◆宋偉玲

中學(xué)校園網(wǎng)絡(luò)安全的問題及對策——網(wǎng)管十年談網(wǎng)絡(luò)安全

◆宋偉玲

（山東省濟(jì)南第九中學(xué) 山東 250022）

中學(xué)校園網(wǎng)絡(luò)是學(xué)校信息化教學(xué)的重要設(shè)施，確保校園網(wǎng)絡(luò)的安全使用是學(xué)校開展正常教育教學(xué)工作的必要條件，隨著網(wǎng)絡(luò)應(yīng)用的逐步深入，中學(xué)校園網(wǎng)絡(luò)正面臨著各種各樣的安全威脅，本人對于網(wǎng)絡(luò)管理工作中所遇到的網(wǎng)絡(luò)安全問題，結(jié)合個人多年的實(shí)踐經(jīng)驗(yàn)及所掌握的理論知識，探討了中學(xué)校園網(wǎng)絡(luò)安全的防護(hù)策略。

中學(xué)校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防護(hù)策略

隨著全球信息化程度的不斷提高，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用越來越廣泛，人們對計(jì)算機(jī)網(wǎng)絡(luò)的依賴性也越來越強(qiáng)，中學(xué)校園網(wǎng)絡(luò)日漸成為學(xué)校對內(nèi)資源共享、對外信息交流的重要工具，在教學(xué)、科研、管理以及對外交流與合作中起到了不可替代的作用。但網(wǎng)絡(luò)如同一柄雙刃劍，隨著校園網(wǎng)絡(luò)上各種數(shù)據(jù)的急劇增加，各種各樣的安全威脅開始接踵而至，校園網(wǎng)絡(luò)一旦因安全問題而停止運(yùn)行、中斷服務(wù)，將極大地影響學(xué)校的教育教學(xué)工作，所以校園網(wǎng)絡(luò)的安全問題必須引起足夠重視，確保系統(tǒng)運(yùn)行的穩(wěn)定可靠和網(wǎng)絡(luò)服務(wù)的連續(xù)暢通至關(guān)重要。

1 中學(xué)校園網(wǎng)絡(luò)安全所面臨的威脅

我們的網(wǎng)絡(luò)是一個開放的平臺，網(wǎng)絡(luò)設(shè)計(jì)之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的考慮則非常有限，伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用和迅猛發(fā)展，網(wǎng)絡(luò)攻擊與防御技術(shù)，在“魔高一尺，道高一丈”的循環(huán)往復(fù)中不斷攀升，網(wǎng)絡(luò)固有的開放性和互聯(lián)性，曾經(jīng)是網(wǎng)絡(luò)最大的優(yōu)越性，如今變成了網(wǎng)絡(luò)安全的隱患。網(wǎng)絡(luò)安全已經(jīng)變成越來越棘手的問題，只要是接入到因特網(wǎng)中的計(jì)算機(jī)都有可能被攻擊或入侵，而遭受安全問題的困擾。

首先，網(wǎng)絡(luò)協(xié)議的脆弱性，成為網(wǎng)絡(luò)安全的隱患之一。

目前網(wǎng)絡(luò)上所使用的TCP/IP協(xié)議，由于其協(xié)議簇完全公開，因此，利用TCP/IP協(xié)議簇的漏洞進(jìn)行的網(wǎng)絡(luò)攻擊，已成為校園網(wǎng)中目前最常見的安全威脅之一，比較典型的ARP地址欺騙，就是利用ARP協(xié)議的接收與發(fā)送無須身份驗(yàn)證的特性而進(jìn)行的ARP攻擊。曾經(jīng)因?yàn)锳RP地址欺騙導(dǎo)致校園網(wǎng)中的很多用戶無法登錄網(wǎng)絡(luò)，影響了正常的教育教學(xué)。

其次，廣泛使用的Windows操作系統(tǒng)存在各種漏洞，成為網(wǎng)絡(luò)安全的隱患之二。

Windows出現(xiàn)之前，這個世界還是一個紙張的世界，Windows的偉大成就之一在于使工作成果方便地看到并且打印出來，這樣一個開端也影響了Windows的后期發(fā)展，導(dǎo)致了Windows天生的安全性問題。Windows操作系統(tǒng)中存在著大量漏洞（也稱為脆弱性，又稱為安全缺陷），除了可能的人為原因，客觀原因主要是受編程人員的能力、經(jīng)驗(yàn)和當(dāng)時(shí)的安全技術(shù)加密方法所限，在程序中難免會有不足之處，輕則影響程序的效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。Windows作為PC使用最廣泛的圖形界面操作系統(tǒng)顯然居于壟斷地位，招致了無數(shù)黑客的目光，這就使得Windows自身的漏洞無所遁形，而這些漏洞一旦被利用，就會造成信息泄漏、數(shù)據(jù)丟失等后果，成為網(wǎng)絡(luò)安全的隱患。

2 中學(xué)校園網(wǎng)絡(luò)安全的常見問題及解決措施

我校校園網(wǎng)始建于2002年，采用三層結(jié)構(gòu)和星形拓?fù)湓O(shè)計(jì)，形成了千兆為主干、百兆到桌面的校園網(wǎng)絡(luò)（2016年辦公電腦、網(wǎng)絡(luò)核心設(shè)備再次更新之后，學(xué)校網(wǎng)絡(luò)實(shí)現(xiàn)了千兆到桌面，并具備萬兆主干的可擴(kuò)展功能），目前覆蓋全校的辦公室、教室、實(shí)驗(yàn)室、微機(jī)室、音樂教室、美術(shù)教室、動漫教室、智慧空間和視頻會議室、網(wǎng)絡(luò)直播室等所有辦公與教學(xué)的場所。校園網(wǎng)出口從濟(jì)南廣電的10Mbps帶寬，到2008年改為濟(jì)南聯(lián)通的100Mbps帶寬，并擁有16個C類超網(wǎng)IP地址，為校園網(wǎng)用戶提供網(wǎng)絡(luò)接入、WWW、研究性學(xué)習(xí)平臺、FTP文件傳輸、心理網(wǎng)站、選課系統(tǒng)、網(wǎng)上閱卷、電子監(jiān)考、網(wǎng)絡(luò)版安全防護(hù)軟件的控制臺等等各種服務(wù)，布線信息點(diǎn)在2002年建網(wǎng)時(shí)300多個，2017年原公寓樓改造為2號教學(xué)樓，網(wǎng)絡(luò)規(guī)模進(jìn)一步擴(kuò)大，總信息點(diǎn)數(shù)達(dá)到了540多個，并在原來100Mbps帶寬基礎(chǔ)上升級到200Mbps帶寬，2018年學(xué)校實(shí)現(xiàn)無線網(wǎng)絡(luò)全覆蓋，同年并入濟(jì)南教育城域網(wǎng)。

十多年來，在學(xué)校網(wǎng)絡(luò)管理的工作中，有時(shí)會遇到個別終端網(wǎng)絡(luò)的問題或者全校網(wǎng)絡(luò)的異常，管理中出現(xiàn)過嚴(yán)重的ARP地址欺騙等各種網(wǎng)絡(luò)問題，一定程度上影響了正常的教學(xué)和辦公。為不斷加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，于2009年、2016年兩次進(jìn)行了校園網(wǎng)絡(luò)各個環(huán)節(jié)的設(shè)備和軟件系統(tǒng)的更新，也解決了一些歷史遺留的問題，比如端口對應(yīng)的測定，對2017年校內(nèi)出現(xiàn)的網(wǎng)絡(luò)攻擊，進(jìn)行了各環(huán)節(jié)、多方位、多策略持續(xù)地排查，在網(wǎng)絡(luò)安全專家及公司高級工程師的引領(lǐng)下，最終突破技術(shù)難題，查了個水落石出?？傊@些年遇到了諸多問題，也經(jīng)過了不懈的努力和研究，采取了一系列措施，收到了明顯效果，積累了一些網(wǎng)絡(luò)安全方面經(jīng)驗(yàn)、教訓(xùn)及對策，在此與大家交流并探討。

2.1 IP地址沖突，導(dǎo)致一些用戶無法上網(wǎng)

校園網(wǎng)中常見IP地址沖突，主要是因?yàn)椴《净蚱渌驅(qū)е铝讼到y(tǒng)故障，所以才進(jìn)行系統(tǒng)重裝，重裝后機(jī)主常常忘記了自己分配到的IP地址，有時(shí)臨時(shí)用一個，結(jié)果導(dǎo)致地址沖突，以至于無法上網(wǎng)；其次，為了配合教室內(nèi)電腦的系統(tǒng)維護(hù)，教室內(nèi)電腦的IP地址平時(shí)禁止外網(wǎng)連接，而課外活動期間有的學(xué)生為了上外網(wǎng)，就臨時(shí)改用一個可以登錄外網(wǎng)、卻是已經(jīng)分配給同網(wǎng)段老師辦公電腦的IP地址，由此造成地址沖突，導(dǎo)致老師的辦公電腦不能正常訪問網(wǎng)絡(luò)。

對于此問題，可以在核心交換機(jī)上進(jìn)行了IP地址與MAC地址綁定。同時(shí)，將各網(wǎng)段未分配的IP地址，在防火墻中禁止外網(wǎng)連接；2016年11月學(xué)校第二次網(wǎng)絡(luò)核心設(shè)備更新，啟用了深信服下一代防火墻和上網(wǎng)優(yōu)化網(wǎng)關(guān)，這個問題變得非常智能，只要所用IP地址是開通外網(wǎng)、未被占用的，連通網(wǎng)絡(luò)之后，只要上網(wǎng)瀏覽量足夠，上網(wǎng)優(yōu)化網(wǎng)關(guān)AC會自動識別網(wǎng)絡(luò)終端（網(wǎng)絡(luò)設(shè)備、電腦、手機(jī)等）的MAC地址并與所用IP地址綁定，這個問題得到了比較徹底的解決。

IP地址與MAC地址的綁定，同時(shí)也是下面一個問題的解決措施之一。

2.2 ARP地址欺騙比較瘋狂，導(dǎo)致電腦網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)

2008年前后，校園網(wǎng)內(nèi)的ARP地址欺騙比較嚴(yán)重，時(shí)常現(xiàn)出老師辦公電腦的網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)。根據(jù)欺騙的對象可以將ARP欺騙分為兩種類型：欺騙網(wǎng)關(guān)型和欺騙主機(jī)型。其中，欺騙網(wǎng)關(guān)型是指攻擊發(fā)生時(shí)網(wǎng)關(guān)內(nèi)存中維護(hù)的IP－MAC對照表被污染，網(wǎng)關(guān)找不到真實(shí)的主機(jī)，致使主機(jī)收不到網(wǎng)關(guān)的回應(yīng)包，從而造成上網(wǎng)不正常；而欺騙主機(jī)型是指攻擊發(fā)生時(shí)，主機(jī)緩存中維護(hù)的ARP表被污染，網(wǎng)關(guān)的真實(shí)MAC地址被篡改，致使主機(jī)找不到真實(shí)的網(wǎng)關(guān)，同樣造成無法上網(wǎng)。

在解決這個問題的過程中，2016年第二次核心設(shè)備更新之前，基本上分為兩個階段，先后施策如下：

第一階段從2008年開始，側(cè)重于解決欺騙主機(jī)型的ARP攻擊。建議老師們在“啟動”項(xiàng)里放置批處理文件rarp-*.bat，*號代表不同的VLAN，在VLAN1的老師使用rarp-1.bat文件，在VLAN2的老師使用rarp-2.bat文件（IP與MAC綁定的命令），以此類推，運(yùn)行bat文件以綁定網(wǎng)關(guān)。特別提醒：一定要在網(wǎng)絡(luò)正常時(shí)運(yùn)行，才能綁定正確的網(wǎng)關(guān)。

第二個階段從2010年開始，側(cè)重于解決欺騙網(wǎng)關(guān)型的ARP攻擊。在核心交換機(jī)中綁定檢測到的、在線電腦的IP地址和MAC地址，算是徹底解決了ARP地址欺騙問題。這個工作需要經(jīng)常去做：一是因?yàn)榈卿浐诵慕粨Q機(jī)時(shí)，可能見不到暫未開機(jī)的電腦；二是因?yàn)楣ぷ髡{(diào)整、辦公位置變更，IP地址、電腦或者網(wǎng)卡更換等，都需要解綁，并根據(jù)現(xiàn)實(shí)的IP地址和MAC地址的對應(yīng)情況，重新綁定。

2016年學(xué)校第二次網(wǎng)絡(luò)核心設(shè)備更新以后，上網(wǎng)優(yōu)化網(wǎng)關(guān)AC自動檢測并綁定，需要的時(shí)候，再手動解綁。

2.3 IE瀏覽器出現(xiàn)故障，導(dǎo)致無法上網(wǎng)

當(dāng)IE瀏覽器本身出現(xiàn)故障時(shí)，或者IE被惡意破壞后，都可能導(dǎo)致無法瀏覽網(wǎng)頁，這時(shí)候往往QQ是可以登錄的，這種情況下，建議重新下載并安裝IE；另外，特別推薦使用谷歌瀏覽器，多年的實(shí)踐反復(fù)證明，如果網(wǎng)絡(luò)其他環(huán)節(jié)正常，用IE瀏覽器瀏覽網(wǎng)頁卡滯，換用谷歌瀏覽器后，會流暢很多。

2.4 DNS服務(wù)器問題，造成網(wǎng)絡(luò)登錄失敗

如果QQ能登錄、而網(wǎng)頁打不開，就有可能是DNS服務(wù)器的問題。原因之一可能是本機(jī)的DNS設(shè)置錯誤，原因之二可能是DNS服務(wù)器本身問題。這時(shí)可以先檢查本機(jī)所設(shè)置DNS服務(wù)器的IP地址是否正確，如果設(shè)置正確無誤，可以判斷是這個DNS服務(wù)器本身工作異常，可以考慮換用其他DNS服務(wù)器的IP地址，因?yàn)槊總€ISP 都有多個不同的DNS服務(wù)器。例如，聯(lián)通的DNS服務(wù)器IP地址有： 202.102.152.3、202.102.128.68等等。

有幾次全校的電腦一時(shí)間都不能訪問外網(wǎng)、而內(nèi)網(wǎng)正常，QQ也在線，原因就是當(dāng)時(shí)DNS服務(wù)器本身的問題，或者服務(wù)器故障，或者服務(wù)器進(jìn)行系統(tǒng)維護(hù)暫停服務(wù)了，所以換用了其他DNS服務(wù)器，網(wǎng)頁瀏覽馬上就恢復(fù)正常了。

2.5 由于校園網(wǎng)內(nèi)有電腦中毒，導(dǎo)致整個網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)

2009年學(xué)校首次更新網(wǎng)絡(luò)核心設(shè)備，為防火墻購買了三年的安全軟件包（7個軟件，包括防病毒門戶等），各種原因只用了一年就顯示到期了，導(dǎo)致防火墻軟弱無力，而學(xué)校因?yàn)橐呀?jīng)為電腦購買了網(wǎng)絡(luò)版的卡巴斯基，也不想再重復(fù)投入，網(wǎng)絡(luò)安全的第一道防線失守；自從2013年開始，電腦的系統(tǒng)管理員們選擇了免費(fèi)殺毒軟件，把網(wǎng)絡(luò)版的卡巴斯基放棄了，網(wǎng)絡(luò)安全的第二道防線失守。而網(wǎng)絡(luò)環(huán)境復(fù)雜多變，病毒木馬不斷升級換代，所以系統(tǒng)卡滯、網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)，就不足為奇了。直到2016年第二次網(wǎng)絡(luò)核心設(shè)備更新，啟用了深信服的下一代防火墻，由于歷經(jīng)磨難大家也都認(rèn)識到正版殺毒軟件的價(jià)值，幾乎全部電腦都安裝并定時(shí)掃描，這個問題才得以徹底解決。

2013年到2016年的兩三年之間，由于電腦系統(tǒng)的維護(hù)人員隨意使用免費(fèi)的殺毒軟件，導(dǎo)致學(xué)校網(wǎng)絡(luò)時(shí)常卡滯——他們這樣做的原因是：電腦配置不夠，安裝學(xué)校購買的卡巴斯基之后，在更新或者掃描時(shí)用電腦辦公會比較卡。其實(shí)，如果自行設(shè)置定時(shí)更新、定時(shí)掃描（選擇自己不急用電腦的時(shí)段，比如中午），就可以正常使用卡巴斯基，比較安全而且工作時(shí)運(yùn)行流暢。全校電腦更新?lián)Q代也不是一時(shí)可以解決的，系統(tǒng)維護(hù)人員基本上只負(fù)責(zé)一鍵恢復(fù)，關(guān)鍵環(huán)節(jié)缺失，卡滯問題時(shí)常出現(xiàn)，期間試用了深信服的下一代防火墻，發(fā)現(xiàn)校園網(wǎng)中的僵尸主機(jī)比比皆是，而當(dāng)時(shí)的僵尸主機(jī)IP地址列表明確顯示：所有的僵尸主機(jī)沒有一個是安裝了卡巴斯基的，可見免費(fèi)殺毒軟件的效能，非常有限。

在網(wǎng)絡(luò)安全的兩道防線失守之后，學(xué)校網(wǎng)絡(luò)出現(xiàn)時(shí)斷時(shí)續(xù)的狀況，具體原因之一是DNS服務(wù)器檢測到了校園網(wǎng)中有電腦中毒或者有危險(xiǎn)軟件，然后自動切斷網(wǎng)絡(luò)連接（斷網(wǎng)時(shí)間默認(rèn)設(shè)置為20分鐘）。由于全校所有網(wǎng)絡(luò)終端在互聯(lián)網(wǎng)上對應(yīng)于同一個外網(wǎng)IP地址，所以，其他正常電腦如果設(shè)置使用了相同的DNS服務(wù)器，也打不開網(wǎng)頁，更換DNS服務(wù)器的IP地址，網(wǎng)頁瀏覽馬上恢復(fù)正常；如果更換相同DNS地址的電腦多了，其中再有中毒電腦，網(wǎng)絡(luò)不通的現(xiàn)象又會重復(fù)出現(xiàn)。具體原因之二是中毒電腦大量發(fā)包，瞬間占用了絕大部分的網(wǎng)絡(luò)帶寬。2013年下學(xué)期，某網(wǎng)站制作公司寄生在學(xué)校的一臺服務(wù)器中毒（未安裝學(xué)校購買的正版殺毒軟件），嚴(yán)重影響了整個學(xué)校網(wǎng)絡(luò)的正常運(yùn)行。由于當(dāng)時(shí)經(jīng)驗(yàn)不足，頗費(fèi)了些周折，最終通過科來網(wǎng)絡(luò)分析系統(tǒng)，檢測到學(xué)校多達(dá)98%的帶寬被中毒的服務(wù)器獨(dú)占，斷開該服務(wù)器的網(wǎng)絡(luò)連接，學(xué)校網(wǎng)絡(luò)馬上恢復(fù)正常，然后果斷處理中毒的服務(wù)器。

2.6 由于校園網(wǎng)內(nèi)部的人為破壞，導(dǎo)致學(xué)校網(wǎng)絡(luò)異常

由于工作中難免意見沖突，有人或法律意識淡薄，或以為校內(nèi)不可能有人覺察到，基于不為人知的目的進(jìn)行了非法操作，導(dǎo)致學(xué)校網(wǎng)絡(luò)相當(dāng)長的時(shí)間內(nèi)，時(shí)不時(shí)出現(xiàn)網(wǎng)絡(luò)卡滯的現(xiàn)象。后來才逐漸明白這實(shí)際上已經(jīng)屬于純正的網(wǎng)絡(luò)犯罪，也屬于網(wǎng)上危害公共安全犯罪。內(nèi)網(wǎng)出現(xiàn)的攻擊，學(xué)校知情并支持解決問題，身為學(xué)校網(wǎng)管必須迎接挑戰(zhàn)、擔(dān)當(dāng)作為，對網(wǎng)絡(luò)安全設(shè)備的運(yùn)行情況每日觀察并截圖，在各層交換機(jī)開啟生成樹協(xié)議以排除形成環(huán)路等情況，想方設(shè)法、殫精竭慮，爭取了安全設(shè)備供應(yīng)商有限的技術(shù)支持，在咨詢技術(shù)問題時(shí)意外引來了網(wǎng)絡(luò)安全專家的介入，網(wǎng)絡(luò)安全專家現(xiàn)場勘察之后當(dāng)時(shí)定性，并給予了解決問題的方向和勇氣。

于是加班加點(diǎn)導(dǎo)出上網(wǎng)優(yōu)化網(wǎng)關(guān)AC中的網(wǎng)絡(luò)日志，嘗試自行分析，中間困難重重。網(wǎng)絡(luò)攻擊嚴(yán)重的時(shí)段，不到一分鐘的網(wǎng)絡(luò)日志就需要一個滿格的電子表格文件來存儲，因?yàn)橐粋€電子表格文件一次最多能導(dǎo)出10萬條網(wǎng)絡(luò)日志，而導(dǎo)出或者打開一個這樣的文件需要幾分鐘甚至十幾分鐘的時(shí)間，耗時(shí)之長、工作量之大，常人難以想象，網(wǎng)絡(luò)日志的分析也經(jīng)歷了很曲折的研究過程。最終透過網(wǎng)絡(luò)日志的分析結(jié)果，校內(nèi)攻擊源一目了然：外發(fā)攻擊的終端并發(fā)連接數(shù)特別大，有時(shí)在2、3分鐘時(shí)間內(nèi)竟然占到總數(shù)的95%以上，有時(shí)甚至高達(dá)98%，遠(yuǎn)遠(yuǎn)大于其他正常終端，幾乎達(dá)到設(shè)備所允許并發(fā)連接數(shù)的上限，所以導(dǎo)致其他終端無法打開網(wǎng)頁，嚴(yán)重的時(shí)候QQ也登錄不了；而且回溯、分析之前網(wǎng)絡(luò)攻擊時(shí)段的日志，發(fā)現(xiàn)外發(fā)攻擊的終端、人員，相對固定，只是反反復(fù)復(fù)。針對這種情況，第一時(shí)間把網(wǎng)絡(luò)日志的分析結(jié)果提交學(xué)校網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，然后在有限的處理措施得到允許的前提下，從技術(shù)上把外發(fā)攻擊終端有線網(wǎng)絡(luò)的相關(guān)IP地址，從上網(wǎng)優(yōu)化網(wǎng)關(guān)AC中進(jìn)行流控，并結(jié)合無線網(wǎng)絡(luò)的暫停使用（把相關(guān)人員手機(jī)或電腦無線網(wǎng)卡的MAC地址加入黑名單一個月，根據(jù)之后的表現(xiàn)，決定是否恢復(fù)開通）來提醒或者懲戒，效果明顯。

3 中學(xué)校園網(wǎng)絡(luò)安全的防護(hù)策略

中學(xué)校園網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)系統(tǒng)安全和信息系統(tǒng)安全兩部分，即首先要保證硬件、軟件、運(yùn)行服務(wù)的安全，也就是網(wǎng)絡(luò)暢通，其次要保證數(shù)據(jù)安全。網(wǎng)絡(luò)安全的問題是當(dāng)今網(wǎng)絡(luò)技術(shù)的一個重要研究課題，安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。中學(xué)校園網(wǎng)絡(luò)安全的防護(hù)策略，一要注重提高人員素質(zhì)，二要加強(qiáng)日常管理維護(hù)，三要綜合應(yīng)用多種網(wǎng)絡(luò)安全技術(shù)，主要包括防火墻、劃分VLAN、安全認(rèn)證與訪問控制等，并及時(shí)進(jìn)行系統(tǒng)軟件升級、殺毒軟件和應(yīng)用軟件的更新。

3.1 加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)

中學(xué)校園網(wǎng)絡(luò)安全主要涉及管理、技術(shù)和應(yīng)用層面，要確保網(wǎng)絡(luò)安全，必須注重把每個環(huán)節(jié)落實(shí)到每個層面。進(jìn)行所有這些具體操作的都是人，人員是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是最經(jīng)濟(jì)、最高效的。因此必須加強(qiáng)對使用網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的人員進(jìn)行安全培訓(xùn)，增強(qiáng)內(nèi)部人員的安全防范意識，提高內(nèi)部管理人員的整體素質(zhì)，提高校內(nèi)所有人員的法律意識，學(xué)習(xí)并遵守《中華人民共和國網(wǎng)絡(luò)安全法》，做到學(xué)法、知法、守法。

3.2 防火墻技術(shù)

防火墻是目前最為流行、也是使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)。防火墻常被安裝在內(nèi)網(wǎng)與外網(wǎng)的節(jié)點(diǎn)上，用于邏輯隔離內(nèi)網(wǎng)和外網(wǎng)。防火墻的功能之一是控制內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問，此功能分為兩個方面：一方面是可以控制內(nèi)部網(wǎng)絡(luò)用戶對外部一些非法或者受限網(wǎng)絡(luò)的訪問，另一方面是控制內(nèi)部網(wǎng)絡(luò)用戶是否可以連接到外部網(wǎng)絡(luò)，前者是通過對外部IP地址或者網(wǎng)址的控制來實(shí)現(xiàn)的，后者則通過對內(nèi)部用戶的IP控制來實(shí)現(xiàn)；防火墻的功能之二是控制外部網(wǎng)絡(luò)用戶對內(nèi)部網(wǎng)絡(luò)的訪問，此功能也分為兩個方面：一方面是只允許外部用戶訪問本地網(wǎng)絡(luò)的某些主機(jī)（主要是服務(wù)器），另一方面是只允許外部用戶中指定的用戶訪問本地網(wǎng)絡(luò)。

我校2009年配置的防火墻為Watch Guard X1250e，實(shí)際工作中常用的功能有：網(wǎng)絡(luò)地址轉(zhuǎn)換，開通某服務(wù)器的端口以允許外部訪問，或禁止內(nèi)部部分IP地址連接外網(wǎng)，或設(shè)置特定外網(wǎng)地址拒絕內(nèi)部訪問等。2016年配置的是深信服的下一代防火墻AF-1210，配合使用的是深信服的上網(wǎng)優(yōu)化網(wǎng)關(guān)AC-1400，AF安全防護(hù)功能強(qiáng)大，對內(nèi)部訪問的網(wǎng)絡(luò)檢測到安全隱患之后自動“拒絕”，來自外部網(wǎng)絡(luò)的異常連接直接“阻斷”；AF防外不防內(nèi)，真可謂家賊難防，排查校內(nèi)的網(wǎng)絡(luò)攻擊，則體現(xiàn)了配備AC是非常必要、非常重要的，二者各有所長、互為補(bǔ)充，可以解決絕大部分的網(wǎng)絡(luò)安全問題。為了充分發(fā)揮下一代防火墻和上網(wǎng)優(yōu)化網(wǎng)關(guān)在保障網(wǎng)絡(luò)安全方面的潛能，一方面需要單位持續(xù)地投入以便能夠及時(shí)升級，另一方面需要網(wǎng)管不斷地學(xué)習(xí)，深入地研究和探索。

3.3 VLAN劃分

運(yùn)用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的部門及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。運(yùn)用VLAN技術(shù)主要是有利于：一是防范廣播風(fēng)暴。限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量，網(wǎng)絡(luò)分段可以防止廣播風(fēng)暴波及整個網(wǎng)絡(luò)。二是增強(qiáng)局域網(wǎng)的安全性。含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個VLAN內(nèi)的用戶不能和其他VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等設(shè)備。

我們學(xué)校2009年核心設(shè)備更新，劃分的VLAN數(shù)為10個，其中兩個備用。服務(wù)器單獨(dú)一個VLAN，辦公區(qū)、教學(xué)區(qū)、教輔區(qū)，以及不同樓宇分別劃歸為不同的VLAN，而教學(xué)樓和公寓樓的1 二層教學(xué)區(qū)，劃分在同一個VLAN中；不同VLAN之間用戶要進(jìn)行數(shù)據(jù)傳輸，首先要關(guān)閉Windows防火墻，其次關(guān)閉安全防護(hù)軟件（如卡巴斯基）的防火墻等，由此已經(jīng)達(dá)到了VLAN劃分的目的。學(xué)校2016年核心設(shè)備再次更新，加上無線網(wǎng)絡(luò)全覆蓋、更新兩個新的云機(jī)房，改造后的2號教學(xué)樓單獨(dú)VLAN，總的VLAN數(shù)增至19個。

3.4 加強(qiáng)用戶認(rèn)證

既考慮管理上安全，也兼顧使用上方便，長期以來嚴(yán)格落實(shí)網(wǎng)絡(luò)安全認(rèn)證，保障不同用戶的相應(yīng)權(quán)限，比如有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)、網(wǎng)絡(luò)核心設(shè)備、FTP文件傳輸服務(wù)器等等。

（1）在有線網(wǎng)絡(luò)中，靜態(tài)IP地址綁定MAC地址、IP地址實(shí)名分配到個人，可以實(shí)現(xiàn)相互關(guān)聯(lián)，保證安全用網(wǎng)、責(zé)任到人。在無線網(wǎng)絡(luò)中，啟用了嚴(yán)謹(jǐn)?shù)挠脩魧?shí)名認(rèn)證系統(tǒng)；同時(shí)克服種種困難實(shí)現(xiàn)了教學(xué)樓電子班牌、部分專用教室無線網(wǎng)絡(luò)通過MAC地址認(rèn)證：在相應(yīng)終端檢測到MAC地址并記錄，設(shè)置固定的IP地址，上網(wǎng)優(yōu)化網(wǎng)關(guān)AC中手動添加IP地址綁定MAC地址，在無線網(wǎng)絡(luò)認(rèn)證平臺RG-ESS易安全系統(tǒng)中添加MAC認(rèn)證，為了便于對應(yīng)，最好備注各終端的位置信息，保證安全問題落實(shí)到位。

（2）在網(wǎng)絡(luò)核心設(shè)備中，各網(wǎng)絡(luò)終端要么以靜態(tài)IP地址記錄、要么以用戶實(shí)名記錄，所有網(wǎng)絡(luò)行為都有跡可循、可以回溯，通過無線網(wǎng)絡(luò)核心設(shè)備中的用戶實(shí)名，可以對應(yīng)到所用的IP地址、MAC地址、操作系統(tǒng)及對應(yīng)的終端類型（是計(jì)算機(jī)還是手機(jī)等）；同時(shí)，允許登錄網(wǎng)絡(luò)安全設(shè)備（AF或者AC）的終端IP地址，可以進(jìn)行預(yù)設(shè)，這在一定程序上保證了網(wǎng)絡(luò)的安全。

（3）學(xué)?，F(xiàn)在的FTP服務(wù)器，采用實(shí)名認(rèn)證登錄，每位老師用自己的用戶名/密碼登錄，登錄后可以自行改密；只對自己所在處室組的文件夾有全部的權(quán)限，并且每人只有3GB的空間可用，如果用盡了，需要自行清理后才可以繼續(xù)上傳文件；所有用戶每天的訪問日志自動生成一個文件，用戶實(shí)名制與日志生成的意義，還在于可以實(shí)現(xiàn)信息安全的不可否認(rèn)性。

3.5 設(shè)置用戶權(quán)限

網(wǎng)絡(luò)中有資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。訪問控制就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對資源節(jié)點(diǎn)的訪問，另一方面限制特定用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施，校園網(wǎng)絡(luò)是以用戶為中心的系統(tǒng)，對用戶和用戶組賦予一定的權(quán)限，可以限制用戶和用戶組對于目錄、文件、打印機(jī)以及其他共享資源的訪問，從而有效地保證網(wǎng)絡(luò)的安全。用戶級別與權(quán)限的設(shè)置，應(yīng)該遵循的原則是：為了獲得最大的安全系數(shù)，盡可能給用戶完成任務(wù)所需的最小權(quán)限，即按最小化原則授權(quán)。

（1）在爭取學(xué)?？値捲鲋?00Mbps以后，通過AC對學(xué)生機(jī)房、各種應(yīng)用、無線網(wǎng)絡(luò)實(shí)現(xiàn)了流量分配，并積極回應(yīng)老師們對流量需求的建議，及時(shí)調(diào)整流量策略，以保證校內(nèi)每個用戶足夠的流量，保證教育教學(xué)工作中網(wǎng)絡(luò)應(yīng)用的流量充足、正常運(yùn)行；學(xué)生微機(jī)室的學(xué)生機(jī)IP地址列表對應(yīng)于禁用游戲策略，啟用該策略后，學(xué)生機(jī)上將無法運(yùn)行AC中實(shí)時(shí)更新的所有游戲。

（2）舊的FTP服務(wù)器多處故障無法修復(fù)，需要在新服務(wù)器上重新搭建，serv-U10.4功能強(qiáng)大，可以實(shí)現(xiàn)從舊服務(wù)器備份用戶信息后導(dǎo)入新服務(wù)器，不僅可以將每個用戶原有的數(shù)據(jù)正常遷移，而且能夠?qū)⑺杏脩舻馁~號、密碼、可訪問路徑及相應(yīng)權(quán)限安全遷移，使得每一位老師通過原來的IP地址或者原來的快捷方式、用原來的賬號和密碼無感知地登錄并使用新的服務(wù)器。

3.6 及時(shí)升級和更新

主要是操作系統(tǒng)升級和反病毒軟件升級。

（1）操作系統(tǒng)升級。操作系統(tǒng)是最重要的系統(tǒng)軟件，任何應(yīng)用都運(yùn)行于操作系統(tǒng)之上。為了使用上的方便，中學(xué)校園網(wǎng)絡(luò)中的多數(shù)客戶機(jī)、部分網(wǎng)絡(luò)服務(wù)器，均使用Windows操作系統(tǒng)，而Windows操作系統(tǒng)存在著眾多的系統(tǒng)漏洞，隱藏著很多的安全隱患。雖然操作系統(tǒng)開發(fā)商不斷開發(fā)新的版本，以提高其安全性，但并不能做到十全十美，操作系統(tǒng)開發(fā)商也在陸續(xù)為發(fā)現(xiàn)的系統(tǒng)漏洞提供安全補(bǔ)丁，以增強(qiáng)系統(tǒng)安全性。對于用戶來說，一定要定期或不定期地安裝這些補(bǔ)丁，以增強(qiáng)操作系統(tǒng)的免疫力。

（2）反病毒軟件升級。新的病毒和木馬產(chǎn)生的速度十分驚人，反病毒軟件不一定能夠在第一時(shí)間識別和清除它們，所以反病毒軟件一定要經(jīng)常更新程序和病毒庫，才能夠及時(shí)對最新的病毒和木馬進(jìn)行識別并清除。另外，我校的亞信安全客戶端一度和Office軟件沖突，導(dǎo)致Word等文件無法正常保存，而只能“另存為”，與亞信安全的廠家多次聯(lián)系并遠(yuǎn)程之后，才成功安裝了相關(guān)補(bǔ)丁，Word文件、Excel等文件的保存得以恢復(fù)正常。

我們學(xué)校從2007年至2017年之間用了卡巴斯基網(wǎng)絡(luò)版，客戶端能夠及時(shí)升級，網(wǎng)管也可通過管理控制臺對全校電腦進(jìn)行統(tǒng)一升級和掃描查殺，但是由于關(guān)鍵環(huán)節(jié)的安全意識不強(qiáng)，無法實(shí)現(xiàn)統(tǒng)一管理，而且從客戶端可以自行卸載；2017年至今學(xué)校用的是亞信安全網(wǎng)絡(luò)版，通過管理控制臺，對全校電腦進(jìn)行預(yù)設(shè)掃描、實(shí)時(shí)掃描、全盤掃描等的設(shè)置，每周五中午12點(diǎn)開始對全校電腦統(tǒng)一進(jìn)行全盤掃描。值得一提的是，作為網(wǎng)絡(luò)版安全防護(hù)軟件，亞信安全做得特別好的地方是：客戶端如果退出或卸載，需要管理員提供密碼，這就有效地防止了客戶端隨意退出或者卸載而失控。

另外，為了系統(tǒng)與網(wǎng)絡(luò)的安全，實(shí)現(xiàn)亞信安全客戶端的統(tǒng)一安裝、智能控制，經(jīng)過反復(fù)研究，在AC中成功啟用了網(wǎng)絡(luò)準(zhǔn)入策略，如果AC檢測不到亞信安全客戶端的關(guān)鍵進(jìn)程，電腦就無法登錄外網(wǎng)，這一點(diǎn)AC表現(xiàn)特別出色，這樣可以保證全校所有電腦統(tǒng)一安裝正版防護(hù)軟件，最大限度保障學(xué)校的網(wǎng)絡(luò)安全。同時(shí)，亞信安全也具有人性化操作的功能，有的系統(tǒng)比如圖書流通系統(tǒng)、FTP服務(wù)器軟件Serv-U，還有之前競業(yè)達(dá)的電子監(jiān)考系統(tǒng)等可信任程序，能夠單獨(dú)設(shè)置掃描例外，否則會被掃描清理，而無法正常運(yùn)行。

隨著網(wǎng)絡(luò)的不斷發(fā)展，我們對網(wǎng)絡(luò)的依賴性將逐步增強(qiáng)，而網(wǎng)絡(luò)的安全問題也會隨之增多，因此校園網(wǎng)絡(luò)安全成為關(guān)系教育教學(xué)正常進(jìn)行的重要因素。所以我們必須提高認(rèn)識，加大投入，增強(qiáng)安全防范和法律意識，強(qiáng)化安全管理機(jī)制，采取有效安全策略，確保校園網(wǎng)絡(luò)安全，為學(xué)校的教育教學(xué)構(gòu)筑安全、可靠、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

[1]肖茜.網(wǎng)絡(luò)信息安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（4）：27-28.

[2]張軍偉.高校網(wǎng)絡(luò)安全分析及其對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（10）：62-64.

[3]毛方明.高職院校網(wǎng)絡(luò)安全體系研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（6）：46-48.

[4]彭俊.校園網(wǎng)的安全威脅及管理策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（7）：62-64.

[5]孔曉溪.淺析網(wǎng)絡(luò)安全犯罪的概念與分類[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（3）：68.

[6]Windows系統(tǒng)漏洞的防范:為了防范系統(tǒng)漏洞被黑客利用[EB/OL].http://www.101505.com/sixianghuibao/2019/0414/187028.html.