劉永濤?陳彥英

摘?要：本文著重闡述了我們信息中心如何通過將用戶管理和網(wǎng)絡(luò)安全技術(shù)結(jié)合在一起，來全力保障我校校園網(wǎng)用戶的上網(wǎng)安全。

關(guān)鍵詞：用戶管理?合理運(yùn)用多技術(shù)?上網(wǎng)安全

中圖分類號：G64 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2012）10（a）-0062-02

如今，校園網(wǎng)在眾多學(xué)校應(yīng)運(yùn)而生，為教職員工及學(xué)生的學(xué)習(xí)生活提供了諸多方便，在教學(xué)、科研、行政辦公等方面都起著至關(guān)重要的作用。然而，校園網(wǎng)用戶卻遭受著木馬、惡意插件、間諜軟件、網(wǎng)絡(luò)釣魚等各種威脅，上網(wǎng)查詢資料、瀏覽網(wǎng)頁時(shí)，在不知不覺中遭受攻擊，致使個(gè)人隱私泄露、重要資料丟失、遭受網(wǎng)絡(luò)詐騙等。在我校，通過采取將用戶管理和網(wǎng)絡(luò)安全技術(shù)結(jié)合在一起的方法，切實(shí)保障了校園網(wǎng)用戶的上網(wǎng)安全。

1加強(qiáng)校園網(wǎng)用戶管理，規(guī)范上網(wǎng)行為

據(jù)統(tǒng)計(jì)，目前60%的網(wǎng)絡(luò)攻擊及破壞來自于網(wǎng)絡(luò)內(nèi)部，因此，要保證校園網(wǎng)用戶的上網(wǎng)安全，就需要加強(qiáng)校園網(wǎng)用戶的管理，規(guī)范其上網(wǎng)行為。并且，2005年11月23日公安部部長辦公會議提出并通過的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，并自2006年3月1日起已經(jīng)施行。該規(guī)定對用戶信息、用戶上網(wǎng)記錄、地址轉(zhuǎn)換記錄、設(shè)備狀態(tài)記錄等都有要求。

1.1制定并嚴(yán)格執(zhí)行完善的上網(wǎng)制度

我們信息中心根據(jù)學(xué)校的實(shí)際情況，制定了完善的《漯河醫(yī)學(xué)高等?？茖W(xué)校上網(wǎng)管理制度》等一系列制度，其中規(guī)定，只有本校教職員工及學(xué)生可以通過校園網(wǎng)接入互聯(lián)網(wǎng)，且接入互聯(lián)網(wǎng)的用戶必須使用真實(shí)身份才能使用互聯(lián)網(wǎng)的各種服務(wù)。我們信息中心對于每個(gè)需要通過校園網(wǎng)接入互聯(lián)網(wǎng)的用戶，認(rèn)證核實(shí)身份，審核通過后發(fā)放上網(wǎng)賬號、密碼、IP地址并將其入網(wǎng)申請表、身份證復(fù)印件、賬號、IP地址等重要信息存檔。

1.2進(jìn)行入網(wǎng)身份認(rèn)證，規(guī)范用戶管理

自2007年開始，我校就使用福建星網(wǎng)銳捷的RG-SAM系統(tǒng)對用戶入網(wǎng)進(jìn)行身份認(rèn)證管理。銳捷 SAM 認(rèn)證計(jì)費(fèi)系統(tǒng)接入認(rèn)證采用 802.1X 或 Web 兩種方式對接入用戶進(jìn)行認(rèn)證，與銳捷交換機(jī)聯(lián)動，嚴(yán)格綁定校園網(wǎng)用戶的賬號、IP地址、MAC地址、交換機(jī)端口、交換機(jī)IP等信息，從網(wǎng)絡(luò)邊緣就對接入用戶進(jìn)行管理控制，未通過認(rèn)證的客戶，不僅無法訪問外網(wǎng)，對于內(nèi)網(wǎng)也無法訪問，避免了非法用戶接入帶來的病毒傳播、網(wǎng)絡(luò)攻擊等行為的發(fā)生。通過入網(wǎng)身份認(rèn)證，實(shí)現(xiàn)學(xué)校內(nèi)部的所有辦公區(qū)、家屬院、學(xué)生宿舍的身份認(rèn)證，為“GSN”全網(wǎng)安全提供基礎(chǔ)的身份驗(yàn)證平臺。在出現(xiàn)安全問題之后，就能夠很快追查到相關(guān)源頭，為校園網(wǎng)運(yùn)營提供了非常強(qiáng)有力的安全保障機(jī)制，極大的減輕了校園網(wǎng)管理的負(fù)擔(dān)。與此同時(shí)，進(jìn)行入網(wǎng)身份驗(yàn)證的多元素綁定，也使校園網(wǎng)用戶必須使用自己的用戶名和IP才可以訪問校園網(wǎng)，避免了不受控的上網(wǎng)行為出現(xiàn)，將安全威脅置之網(wǎng)外，在一定程度上保障了校園網(wǎng)用戶的上網(wǎng)安全。

1.3定期對校園網(wǎng)用戶進(jìn)行信息技術(shù)培訓(xùn)

我中心制定詳細(xì)的培訓(xùn)方案，對通過校園網(wǎng)接入互聯(lián)網(wǎng)的用戶進(jìn)行計(jì)算機(jī)應(yīng)用基礎(chǔ)和計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)方面的培訓(xùn)。通過培訓(xùn)，提升用戶安全使用計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)的能力。

2合理運(yùn)用技術(shù)手段，保障校園網(wǎng)用戶的上網(wǎng)安全

2.1合理劃分虛擬局域網(wǎng)

虛擬局域網(wǎng)簡稱VLAN，它是一種實(shí)現(xiàn)虛擬工作組的先進(jìn)技術(shù)，能夠?qū)⑿@網(wǎng)內(nèi)的設(shè)備按照各種各樣的應(yīng)用業(yè)務(wù)和對應(yīng)的安全級別，進(jìn)行邏輯分段，并產(chǎn)生多個(gè)不同的網(wǎng)段。通過劃分虛擬局域網(wǎng)來實(shí)現(xiàn)不同業(yè)務(wù)及應(yīng)用間的隔離，也實(shí)現(xiàn)了相互間的訪問控制，對于限制非法用戶對于校園網(wǎng)的訪問起到非常巨大的作用，進(jìn)而更加有效的保障校園網(wǎng)安全及校園網(wǎng)用戶的上網(wǎng)安全。

2.2實(shí)施GSN全局安全網(wǎng)絡(luò)解決方案

當(dāng)前網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻，但反觀傳統(tǒng)的網(wǎng)絡(luò)安全措施，均只是單點(diǎn)或者局部的安全。比如說，防火墻，雖然能夠有效保護(hù)出口安全或者受保護(hù)的服務(wù)器區(qū)域，阻止某些攻擊行為，但無法分析深層的數(shù)據(jù)，尤其無法處理內(nèi)部攻擊行為；殺毒軟件，在面對如今病毒種類繁多、變化迅速的情況下，殺毒軟件往往陷入亡羊補(bǔ)牢的被動局面。在此形勢下，GSN（Global Security Network）全局安全網(wǎng)絡(luò)解決方案應(yīng)運(yùn)而生。GSN全局安全網(wǎng)絡(luò)解決方案是由銳捷安全交換機(jī)、銳捷安全管理平臺、銳捷安全計(jì)費(fèi)管理系統(tǒng)（SAM）、網(wǎng)絡(luò)入侵檢測系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成，能實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動，使每個(gè)設(shè)備都發(fā)揮安全防護(hù)的作用。GSN通過將用戶入網(wǎng)強(qiáng)制安全、主機(jī)信息收集和健康性檢查、安全事件下的設(shè)備聯(lián)動集成到一個(gè)網(wǎng)絡(luò)安全解決方案中，以“多兵種”協(xié)同達(dá)到網(wǎng)絡(luò)全方位的安全，以此達(dá)到對網(wǎng)絡(luò)安全威脅的自動防御，以及對網(wǎng)絡(luò)受損系統(tǒng)的自動修復(fù)，同時(shí)其針對網(wǎng)絡(luò)環(huán)境變化和新網(wǎng)絡(luò)行為的自動學(xué)習(xí)能力，也達(dá)到了對未知安全事件的防范，做到了真正的主動防御。

我校于2007年全面實(shí)施了GSN全局安全網(wǎng)絡(luò)解決方案，在技術(shù)層面最大化的保護(hù)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊的威脅，在管理方面，規(guī)范了網(wǎng)絡(luò)管理，使網(wǎng)絡(luò)可控、可管，為保障校園網(wǎng)用戶上網(wǎng)安全提供了技術(shù)保障。

3搭建安全DNS，確保上網(wǎng)安全

DNS 是域名系統(tǒng)（Domain Name System）的縮寫，是因特網(wǎng)的一項(xiàng)核心服務(wù)，它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。方便是方便了，但是面臨著嚴(yán)重的安全威脅。如果DNS服務(wù)器被攻擊，輕者大面積斷網(wǎng)，重者將會造成用戶隱私泄露、重要信息丟失、遭受網(wǎng)絡(luò)詐騙等嚴(yán)重后果。如果DNS服務(wù)器構(gòu)建的安全了，可使用戶免受網(wǎng)絡(luò)攻擊的危害。因此，構(gòu)建安全的DNS，是保障校園網(wǎng)用戶上網(wǎng)安全的關(guān)鍵所在。

3.1搭建安全的DNS服務(wù)器

要搭建安全DNS系統(tǒng)，作為前提條件的服務(wù)器系統(tǒng)要相對安全。除了使用正版服務(wù)器操作系統(tǒng)外，也要做到只安裝DNS服務(wù)器軟件，其他的服務(wù)軟件及應(yīng)用軟件一律不安裝，保證服務(wù)器的純凈。

3.1.1 安裝軟件防火墻并僅開放DNS服務(wù)器使用的53端口

為了保障DNS服務(wù)器的安全，就需要專機(jī)專用。DNS服務(wù)器主要提供域名解析服務(wù)，因此，只需要開啟53端口，使用防火墻將其余的端口全部封掉，這樣，就避免了因其他服務(wù)爆出漏洞而導(dǎo)致DNS服務(wù)器遭受網(wǎng)絡(luò)攻擊的危險(xiǎn)。

3.1.2 制定DNS策略，降低遭受外部網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)

為了降低遭受DNS服務(wù)器遭受來自校園網(wǎng)外部的拒絕服務(wù)攻擊等網(wǎng)絡(luò)攻擊，需要制定DNS策略，這時(shí)就用到了ACL（訪問控制列表）。ACL就是一個(gè)被命名的地址匹配列表。使用訪問控制列表可以使配置簡單而清晰，一次定義之后可以在多處使用，不會使配置文件因?yàn)榇罅康?IP 地址而變得混亂。要使用ACL，只需要在bind的主配置文件/etc/bind/named.conf中定義ACL，具體語法為：acl acl_name{address_mactch_list}；，在bind中默認(rèn)預(yù)定義了4個(gè)名稱的地址匹配列表（any、localhost、localnets、none），它們可以直接使用。ACL在named.conf中是頂級語句，不能將其嵌套到其他語句使用，因此，在named.conf中要首先定義ACL，然后在隨后定義的options語句中使用已定義的ACL。為了降低管理員的維護(hù)成本，可以講定義ACL的語句單獨(dú)存放在/etc/bind/acl.conf中，然后在主配置文件named.conf中使用如下語句：include “acl.conf”。

在我校校園網(wǎng)DNS服務(wù)器中，我們定義了內(nèi)服地址列表acl our_net{x.x.x.x/24； x.x.x.x/24； ......；}；和外部的公共DNS列表acl pubic_dns{public_dns_address；}；并在/etc/bind/named.conf文件的options中制定了限制DNS查詢和相應(yīng)的控制語句options{allow-query{our-net； pubic_dns；}；allow-recursion{ our-net；}；}；，通過使用限制DNS查詢和相應(yīng)的控制語句來只允許內(nèi)部網(wǎng)絡(luò)及公共DNS服務(wù)器查詢我校的DNS服務(wù)器，不對其他用戶開放DNS查詢服務(wù)，這樣，就將大部分潛在的攻擊者隔離處理，從而降低了遭受攻擊的風(fēng)險(xiǎn)。

為了避免因bind版本泄露而被攻擊者利用，導(dǎo)致攻擊者利用bind版本漏洞攻擊DNS服務(wù)器，因此很有必要隱藏掉DNS服務(wù)器的版本。為了限制客戶端查詢bind版本，可以在options中添加如下配置：dump-file“/var/named/data/dump.db”；statistics-file“/var/named/data/stats.txt”；version“None of you business”；。

為了保障DNS服務(wù)器的安全運(yùn)行，不僅僅要靠安全正確的配置，還要及時(shí)跟蹤服務(wù)器軟件及操作系統(tǒng)的各種各樣的漏洞，及時(shí)為發(fā)現(xiàn)的漏洞打補(bǔ)丁或進(jìn)行版本升級。

4制定校園網(wǎng)內(nèi)部重要數(shù)據(jù)的備份策略，制定應(yīng)急處理預(yù)案

校園網(wǎng)內(nèi)部存在著許多非常重要的信息，必須及時(shí)對這些信息進(jìn)行完整的備份，以便在出現(xiàn)問題的情況下及時(shí)恢復(fù)，將損失降低到最低。我校制定了各部門2天一備份，我中心一周將全校信息備份一次的策略，所有備份的內(nèi)容在存儲設(shè)備上保留一份并在光盤上備份一次。另外，做好應(yīng)急工作是切實(shí)保障整個(gè)校園網(wǎng)安全的一個(gè)非常重要的前提，我中心根據(jù)我校園網(wǎng)絡(luò)的實(shí)際情況建立了校園網(wǎng)安全的應(yīng)急處理預(yù)案，一旦校園網(wǎng)出現(xiàn)故障，就立即根據(jù)相關(guān)的應(yīng)急處理方法來進(jìn)行解決，進(jìn)而將校園網(wǎng)所遭受的破壞降低到最小，最大化的保障校園網(wǎng)用戶的上網(wǎng)安全。

隨著社會及科技的不斷發(fā)展，校園網(wǎng)將會發(fā)揮出越來越重要的作用。也將不斷產(chǎn)生各種各樣的新的校園網(wǎng)網(wǎng)絡(luò)安全問題。在教職員工及學(xué)生在加強(qiáng)自身的安全意識的同時(shí)，我中心切實(shí)做到多措并舉保證校園網(wǎng)用戶的上網(wǎng)安全，避免未授權(quán)用戶的非法訪問以及網(wǎng)絡(luò)攻擊者的惡意攻擊等問題的出現(xiàn)，保證校園網(wǎng)健康、高速的發(fā)展。