摘 要：校園局域網(wǎng)安全已經(jīng)成為校園網(wǎng)絡(luò)應(yīng)用的重要前提。文章對局域網(wǎng)中常見安全現(xiàn)象進(jìn)行了簡要的概括分析并提出了加強(qiáng)網(wǎng)絡(luò)安全防范的技術(shù)措施。

關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)安全；安全防護(hù)措施

中圖分類號：TP393.17

近幾年網(wǎng)絡(luò)在我國得到了飛速發(fā)展，現(xiàn)在很多家庭有了電腦，并且也連接上了因特網(wǎng)，作為一所完全中學(xué)，我校的信息技術(shù)建設(shè)也得到了學(xué)校領(lǐng)導(dǎo)的充分重視，每位教師都配備了能夠接入互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)，這給教學(xué)帶來了充分的便利，與此同時(shí)，我校的網(wǎng)絡(luò)安全也在經(jīng)受嚴(yán)峻的考驗(yàn)。

網(wǎng)絡(luò)的迅速發(fā)展給我們帶來了很大的便利，但同時(shí)網(wǎng)絡(luò)的迅速發(fā)展給傳播病毒木馬等惡意程序也帶來了更快的通道，我們?nèi)绾伪Ｗo(hù)個(gè)人隱私及資料，我作為學(xué)校網(wǎng)絡(luò)管理人員，又如何保障學(xué)校網(wǎng)絡(luò)暢通，不被攻擊，這都給我的工作提出了嚴(yán)峻的考驗(yàn)，工作之余我不斷學(xué)習(xí)網(wǎng)絡(luò)技術(shù)知識(shí)，考取國家軟考網(wǎng)絡(luò)工程師資格證，提高自己理論知識(shí)水平的同時(shí)，將理論應(yīng)用與實(shí)踐，積累了一些經(jīng)驗(yàn)，拿出來與大家分享。

對于中小學(xué)網(wǎng)絡(luò)安全面臨的問題，我認(rèn)為主要是保障網(wǎng)絡(luò)暢通，預(yù)防學(xué)校服務(wù)器被黑客攻擊，防止個(gè)人資料丟失等，涉密的信息不多。木桶原理指的是：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。這個(gè)原理同樣適用網(wǎng)絡(luò)安全。一個(gè)企業(yè)的網(wǎng)絡(luò)安全水平將由與網(wǎng)絡(luò)安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。很多單位認(rèn)為我們是小企業(yè)，沒有資金去搞網(wǎng)絡(luò)安全及數(shù)據(jù)保密備份工作，其實(shí)，企業(yè)可以根據(jù)自身特點(diǎn)及需要，來定制符合自己實(shí)際情況的安全防御體系，在安全木桶的不同木板上都要投入，投入多少可以根據(jù)企業(yè)自身情況來決定，一定不能有短板。

網(wǎng)絡(luò)攻擊形式按網(wǎng)絡(luò)服務(wù)分為：E-Mail、FTP、Telnet、R服務(wù)、IIS等， 按技術(shù)途徑分為：口令攻擊、Dos攻擊、種植木馬，按攻擊目的分為：數(shù)據(jù)竊取、偽造濫用資源、篡改數(shù)據(jù)。

了解了主流網(wǎng)絡(luò)攻擊方法以及自身單位需要防御哪些攻擊，剩下就是根據(jù)自己單位實(shí)際預(yù)算來完成木桶上的每個(gè)木板，很人多認(rèn)為我們安裝殺毒軟件就可以了，不需要防火墻，或者安裝個(gè)防火墻，就萬事大吉，不需要購置入侵保護(hù)系統(tǒng)，要知道，黑客攻擊的就是網(wǎng)絡(luò)安全的最短板，可能你每個(gè)方面做得都很好，但是有一個(gè)地方疏漏，就會(huì)導(dǎo)致黑客長驅(qū)直入，獲取所有網(wǎng)絡(luò)權(quán)限，進(jìn)出自由。

我們單位在外邊界上為一臺(tái)路由器，外網(wǎng)為電信30M光纖接入，光電轉(zhuǎn)換器轉(zhuǎn)為電口，路由器內(nèi)網(wǎng)接口和核心交換機(jī)之間接入一臺(tái)綠盟NIPS，即通常所說的入侵保護(hù)系統(tǒng)，這樣所有出公網(wǎng)的數(shù)據(jù)流以及從公網(wǎng)來訪問內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流都要經(jīng)過這臺(tái)入侵保護(hù)系統(tǒng)，它自身帶防火墻模塊、防病毒模塊，它內(nèi)部定義了很多規(guī)則庫，名稱為攻擊事件、蠕蟲事件、病毒事件、高風(fēng)險(xiǎn)事件等，用戶根據(jù)自身需要將這些事件全部阻止，這就大大降低了網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)，用戶如果認(rèn)為網(wǎng)絡(luò)安全優(yōu)先于網(wǎng)絡(luò)速度，可以將中低風(fēng)險(xiǎn)事件以及可疑網(wǎng)絡(luò)事件都添加進(jìn)來，當(dāng)然這也會(huì)導(dǎo)致網(wǎng)絡(luò)速度變慢，網(wǎng)絡(luò)也更安全。用戶通過日志也可以查看哪些計(jì)算機(jī)受到攻擊，對這些被攻擊的計(jì)算機(jī)進(jìn)行安全檢查，入系統(tǒng)補(bǔ)丁、防病毒軟件升級等。因?yàn)槿肭直Ｗo(hù)系統(tǒng)工作在應(yīng)用層，根據(jù)這臺(tái)入侵保護(hù)系統(tǒng)的功能，用戶除了安全性的防御以外，還能根據(jù)學(xué)校自身特點(diǎn)來禁止教師在教學(xué)時(shí)段使用某些應(yīng)用程序，如游戲、多線程下載等。

根據(jù)學(xué)校自身情況，除了在路由器上關(guān)閉了很多病毒蠕蟲常用的攻擊端口外，我在核心交換機(jī)上劃分了10個(gè)C類的VLAN，分別對應(yīng)3個(gè)機(jī)房、及各個(gè)部門，有效控制網(wǎng)絡(luò)廣播，提高網(wǎng)絡(luò)的安全性，在路由交換安全上，建議大家設(shè)置加密的密碼，對調(diào)試路由設(shè)備建議采用SSH方式，如果認(rèn)為有必要，或者經(jīng)常需要遠(yuǎn)程接入，可以采用AAA認(rèn)證方式來進(jìn)行會(huì)更加安全。并且建議設(shè)置訪問控制列表來限制遠(yuǎn)程訪問位置。

在服務(wù)器上不需要的服務(wù)及端口盡量禁止，如果能用linux做的服務(wù)盡量用linux來做，我校的http ftp以及圖片服務(wù)器 vod服務(wù)器都是采用linux系統(tǒng)來實(shí)現(xiàn)，眾所周知，windows系統(tǒng)界面友好，但就是窗口式的模式導(dǎo)致系統(tǒng)資源的大量占用，windows系統(tǒng)漏洞較多，并且在windows下能夠運(yùn)行的病毒木馬也較多，我校大部分服務(wù)器采用的為linux 企業(yè)版4，安裝好服務(wù)后，禁用其他服務(wù)及端口，修改啟動(dòng)配置文件直接將啟動(dòng)模式改為3，速度又快，系統(tǒng)又穩(wěn)定，一學(xué)期幾乎不用維護(hù)。

學(xué)校有了入侵保護(hù)系統(tǒng)，并在上面啟用了防火墻及防病毒網(wǎng)關(guān)系統(tǒng)，終端計(jì)算機(jī)仍需要安裝殺毒軟件，我校購買了瑞星網(wǎng)絡(luò)版殺毒軟件，網(wǎng)絡(luò)版與單機(jī)版的最大區(qū)別在于網(wǎng)絡(luò)版可以由主控端控制終端用戶集體殺毒，這樣就避免了網(wǎng)管一臺(tái)一臺(tái)殺毒，病毒仍然在網(wǎng)絡(luò)中傳播?，F(xiàn)在的攻擊都來自于應(yīng)用層，安全設(shè)備、網(wǎng)絡(luò)版殺毒軟件都設(shè)置好了，終端計(jì)算機(jī)的安全也尤為重要，我們對全校教師定期培訓(xùn)計(jì)算機(jī)維護(hù)知識(shí)，同時(shí)也會(huì)加入很多網(wǎng)絡(luò)安全方面的知識(shí)。主要包括以下幾個(gè)方面：一是及時(shí)更新操作系統(tǒng)補(bǔ)丁及殺毒軟件；二是定期對計(jì)算機(jī)及存儲(chǔ)設(shè)備殺毒；三是不下載運(yùn)行來歷不明的軟件；四是不瀏覽入侵保護(hù)系統(tǒng)提示的惡意站點(diǎn)等；五是對個(gè)人重要數(shù)據(jù)定期做異地備份等。

我們?yōu)榱俗尳處熌軌蚶斫鉃楹我壯a(bǔ)丁，以及安裝個(gè)人版防火墻殺毒軟件等，我們還給教師現(xiàn)場演示了大名鼎鼎的bt5中MSF攻擊套件如何制作病毒，繞過殺毒軟件，完全控制對方計(jì)算機(jī)，對于不安裝補(bǔ)丁的計(jì)算機(jī)更是順手拈來。了解了這些黑客攻擊手段，教師才從更深層次理解如何安全使用計(jì)算機(jī)網(wǎng)絡(luò)，教師擁有了較高的安全意識(shí)對于學(xué)校整個(gè)網(wǎng)絡(luò)安全性的提升尤為重要。在培訓(xùn)中，我們還專門增加了一個(gè)內(nèi)容，那就是容災(zāi)備份，數(shù)據(jù)對我們每個(gè)人來說都尤為重要，尤其對于我校財(cái)務(wù)部門、教務(wù)部門等，數(shù)據(jù)的保密到不是很關(guān)鍵，關(guān)鍵在于是否能夠?qū)⒁郧暗臄?shù)據(jù)安全的保存下來，隨時(shí)都能夠找到以前的數(shù)據(jù)，老師的數(shù)據(jù)備份意識(shí)是薄弱的，他們認(rèn)為硬盤是不會(huì)壞的，數(shù)據(jù)不刪除是不會(huì)丟的，這就使很多教師進(jìn)入了數(shù)據(jù)備份的誤區(qū)。

據(jù)國際標(biāo)準(zhǔn)SHARE78的定義，災(zāi)難恢復(fù)解決方案可根據(jù)以下主要方面所達(dá)到的程度分為七級，即從低到高有七種不同層次的災(zāi)難恢復(fù)解決方案?？梢愿鶕?jù)企業(yè)數(shù)據(jù)的重要性以及您需要恢復(fù)的速度和程度，來設(shè)計(jì)選擇并實(shí)現(xiàn)您的災(zāi)難恢復(fù)計(jì)劃。在人們的印象里，由于目前容災(zāi)系統(tǒng)的實(shí)施多集中在金融、電信等行業(yè)的大型企業(yè)之中，所以他們理所當(dāng)然地認(rèn)為，只有大型企業(yè)才需要容災(zāi)系統(tǒng)。我校信息中心的重要文件服務(wù)器采用了raid0+1模式的scsi硬盤來做服務(wù)，這種模式既考慮了硬盤的安全性，又兼顧了文件服務(wù)器的速度，定期對重要數(shù)據(jù)進(jìn)行光盤刻錄，對于學(xué)校而言已經(jīng)基本夠用，如果對于服務(wù)要求較高，宕機(jī)時(shí)間不能過長，那就需要有數(shù)據(jù)備份，有備用系統(tǒng)的2級備份方式，我校目前采用為1級備份方式，即有數(shù)據(jù)備份，無備用系統(tǒng)。教師的數(shù)據(jù)備份通常建議老師根據(jù)自己的具體情況對數(shù)據(jù)進(jìn)行定期的異地備份，如在辦公室計(jì)算機(jī)的文檔可以在家中電腦業(yè)做備份，這樣一個(gè)地方的數(shù)據(jù)丟失，可以從另一臺(tái)電腦中拷貝，如果是大量的照片及錄像課視頻建議刻錄光盤進(jìn)行備份。

硬件方面我校從外邊界的防火墻到內(nèi)部的路由交換設(shè)備，軟件方面我校從網(wǎng)絡(luò)版殺毒軟件到教師安全意識(shí)的提升，都努力做到了盡量安全，最后，沒有絕對安全的網(wǎng)絡(luò)，數(shù)據(jù)備份的根本目的就是重新利用，數(shù)據(jù)備份工具的核心就是恢復(fù)。我們將網(wǎng)絡(luò)安全工作的目的了解清楚，也就能夠?qū)崿F(xiàn)校園網(wǎng)絡(luò)的相對安全。

參考文獻(xiàn)：

[1]顏菲.淺談在局域網(wǎng)中數(shù)據(jù)庫應(yīng)用系統(tǒng)的開發(fā)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（11）.

[2]張艷.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（18）.

作者單位：新疆農(nóng)業(yè)大學(xué)附屬中學(xué)，烏魯木齊 830052