劉曉燕

摘要文章通過對校園局域網(wǎng)絡(luò)日常工作中所涉及的安全管理問題進(jìn)行分析，結(jié)合我校在實(shí)際工作中所應(yīng)用的實(shí)際安防防護(hù)措施，總結(jié)歸納了一些系統(tǒng)的解決辦法，即從網(wǎng)絡(luò)規(guī)劃，防病毒體系，提高局域網(wǎng)用戶的安全防護(hù)意識三方面來實(shí)現(xiàn)。

關(guān)鍵詞校園網(wǎng)；VLAN；補(bǔ)丁管理器；防火墻；防病毒軟件

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）12-0096-02

隨著計(jì)算機(jī)、信息網(wǎng)絡(luò)技術(shù)的革新，網(wǎng)絡(luò)的應(yīng)用已經(jīng)成為現(xiàn)代化社會不可分割的重要部分。任何事物都是雙面的，網(wǎng)絡(luò)應(yīng)用在給我們帶來便捷的同時(shí)也出現(xiàn)了許多的問題，由于局域網(wǎng)與互聯(lián)網(wǎng)相連，局域網(wǎng)用戶頻繁使用互聯(lián)網(wǎng)，且普通用戶的安全意識及行為欠規(guī)范，造成局域網(wǎng)出現(xiàn)病毒傳播，黑客網(wǎng)絡(luò)攻擊等事件發(fā)生，給局域網(wǎng)的數(shù)據(jù)安全、網(wǎng)絡(luò)安全帶來了很大的威脅，本人結(jié)合自己對北京開放大學(xué)延慶分校局域網(wǎng)管理的實(shí)際情況，歸納了一些網(wǎng)絡(luò)安全管理工作經(jīng)驗(yàn)，供大家參鑒。

1局域網(wǎng)規(guī)劃

1.1 主干網(wǎng)的選擇

當(dāng)前，主干網(wǎng)技術(shù)主要有FDDI、FAST ETHERNET、GIGABIT ETHERNET和ATM幾種。可以發(fā)現(xiàn)FDDI在我校不太適用，而ATM雖然技術(shù)顯見，但目前標(biāo)準(zhǔn)還未完全形成，根據(jù)我校網(wǎng)絡(luò)的需求原則，我們選擇了千兆位以太網(wǎng)作為主干網(wǎng)，并且易向ATM過渡。千兆位以太網(wǎng)采用CSMA/CD協(xié)議，幀格式。傳輸介質(zhì)可以是光纖，也可以是雙絞線。

1.2 網(wǎng)絡(luò)分段

校園網(wǎng)內(nèi)部根據(jù)不同的需求對整個(gè)網(wǎng)絡(luò)進(jìn)行必要分段，將校園網(wǎng)分為辦公段、機(jī)房段和教室段，由于各網(wǎng)段間不能直接互訪，從而增強(qiáng)各子網(wǎng)的安全性能。

網(wǎng)絡(luò)分段可分為物理分段和邏輯分段。

物理分段指的是在網(wǎng)絡(luò)的最底層將物理層和數(shù)據(jù)鏈路層，暨ISO/OSI網(wǎng)絡(luò)體系中的第一層和第二層分為幾個(gè)網(wǎng)段，各個(gè)網(wǎng)段間無法直接進(jìn)行通訊。

邏輯分段則指的是在ISO/OSI體系中的第三層，暨網(wǎng)絡(luò)層上進(jìn)行分段。例如在TCP/IP網(wǎng)絡(luò)中，我們實(shí)際上把網(wǎng)絡(luò)分成了若干個(gè)子網(wǎng)，各子網(wǎng)因網(wǎng)絡(luò)掩碼不同，不能直接通訊，只能通過路由器、三層交換機(jī)、網(wǎng)關(guān)、VPN、防火墻等隔離設(shè)備進(jìn)行連接，利用這些軟、硬件設(shè)備來控制各子網(wǎng)間的網(wǎng)絡(luò)訪問。在我們的實(shí)際工作中，通常采用物理與邏輯分段進(jìn)行結(jié)合的方式來對網(wǎng)絡(luò)的安全性進(jìn)行控制。

目前，邏輯分段中的VLAN（Virtual local area net）即虛擬網(wǎng)絡(luò)技術(shù)已經(jīng)成熟，能使對局域網(wǎng)絡(luò)的內(nèi)部子網(wǎng)劃分更加方便。VLAN的出現(xiàn)可以實(shí)現(xiàn)處于不同樓層、甚至是不同建筑里用戶加入到同一個(gè)邏輯子網(wǎng)中，共享一個(gè)廣播域。通過對VLAN的創(chuàng)建，可以控制廣播風(fēng)暴的產(chǎn)生，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

對于VLAN的劃分，目前有四種策略：1）基于端口的VLAN：該方法只需要對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配組合在不同的邏輯網(wǎng)段中即可；2）基于MAC地址的VLAN：MAC地址即網(wǎng)卡的標(biāo)志符，每塊網(wǎng)卡的MAC地址都是唯一的，該方法僅適用于小型網(wǎng)絡(luò)，當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大，使用者增多時(shí)，會加大管理的難度；3）基于路由的VLAN：路由協(xié)議工作在七層協(xié)議的第三層，即網(wǎng)絡(luò)層，該方式允許VLAN跨越多個(gè)交換機(jī)，也允許一個(gè)端口位于多個(gè)VLAN中；4）基于策略的VLAN：該方式主要取決于VLAN的規(guī)劃策略。目前對于VLAN的劃分主要是采用1，3兩種方式。

根據(jù)實(shí)際需求，我們采用基于IP地址綁定的VLAN策略將辦公區(qū)域、機(jī)房區(qū)域和教室區(qū)域劃分成相應(yīng)的子網(wǎng)，即提高了部門內(nèi)的子網(wǎng)訪問速度，又有效的將部門內(nèi)子網(wǎng)與網(wǎng)絡(luò)中其他用戶進(jìn)行隔離，使整個(gè)網(wǎng)絡(luò)更高效，可靠運(yùn)行。

2防病毒體系

2.1 防火墻技術(shù)

防火墻分為軟件防火墻及硬件防火墻。針對于局域網(wǎng)絡(luò)的系統(tǒng)安全，這里講的防火墻指的是硬件防火墻，是一種用來阻止內(nèi)外網(wǎng)絡(luò)間進(jìn)行非法訪問的一種重要設(shè)備。硬件防火墻的設(shè)置不是為了保護(hù)局域網(wǎng)內(nèi)的某一臺計(jì)算機(jī)或服務(wù)器，而是對內(nèi)部一個(gè)或多個(gè)子網(wǎng)進(jìn)行防護(hù)，盡可能的屏蔽互聯(lián)網(wǎng)上對內(nèi)部網(wǎng)段任意地址進(jìn)行的非法鏈接。一般來說防火墻默認(rèn)的設(shè)置是全部拒絕內(nèi)外訪問，只有配置了內(nèi)外認(rèn)可安全的地址才能進(jìn)行鏈接訪問，它既是局域網(wǎng)與互聯(lián)網(wǎng)間訪問的橋梁也是信息安全通道上堅(jiān)實(shí)的壁壘，通過設(shè)置各種安全策略來防止不可預(yù)料的潛在威脅與入侵破壞。

從邏輯上講，防火墻就是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

2.2 基于網(wǎng)絡(luò)的入侵檢測技術(shù)

為了保障局域網(wǎng)絡(luò)安全，建立一套安全防護(hù)體系，進(jìn)行多手段、全方位的檢測與防護(hù)也是非常重要的。區(qū)別于硬件防火墻等靜態(tài)防御設(shè)備，入侵檢測裝置具有動態(tài)檢測、實(shí)時(shí)性、主動防御等特點(diǎn)，能夠在局域網(wǎng)內(nèi)部實(shí)施監(jiān)測網(wǎng)絡(luò)中出現(xiàn)的非法入侵行為，并及時(shí)進(jìn)行報(bào)警，有效的彌補(bǔ)了防火墻設(shè)備的不足。

入侵檢測設(shè)備具有的主要功能：

1）通過檢測識別已知的違反攻擊行為，懲罰網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)非法入侵事件的發(fā)生。

2）操作系統(tǒng)日志管理，識別違反安全策略的攻擊或安全違規(guī)行為。

3）檢查并分析黑客在實(shí)施網(wǎng)絡(luò)攻擊前的探測行為，預(yù)先給管理員發(fā)出警報(bào)。

4）評估系統(tǒng)關(guān)鍵資源和系統(tǒng)文件的數(shù)據(jù)完整性。

5）幫助管理員檢測系統(tǒng)配置及漏洞，利于其進(jìn)行修補(bǔ)。

2.3 補(bǔ)丁管理器

目前，多數(shù)病毒都是利用微軟操作系統(tǒng)的漏洞來對計(jì)算機(jī)進(jìn)行攻擊，而且造成的后果非常嚴(yán)重，諸如去沖擊波（Worm. Blaster）病毒利用的是系統(tǒng)的RPC DCOM漏洞，病毒攻擊系統(tǒng)時(shí)會使RPC服務(wù)崩潰，該服務(wù)是Windows操作系統(tǒng)使用的一種遠(yuǎn)程過程調(diào)用協(xié)議；震蕩波（Worm.Sasser）病毒利用的是系統(tǒng)的LSASS服務(wù)，該服務(wù)是操作系統(tǒng)使用的本地安全認(rèn)證子系統(tǒng)服務(wù)，均導(dǎo)致了眾多計(jì)算機(jī)系統(tǒng)崩潰，嚴(yán)重影響到用戶資料的安全性和完好性。而實(shí)際上微軟公司在此事件發(fā)生之前即已經(jīng)針對相應(yīng)的漏洞發(fā)布了補(bǔ)丁，但由于多數(shù)用戶不能及時(shí)更新操作系統(tǒng)，因而沒能在這次病毒風(fēng)暴中幸免，由此可以看出，及時(shí)升級操作系統(tǒng)，為操作系統(tǒng)安裝系統(tǒng)補(bǔ)丁，其實(shí)就系統(tǒng)自身而言，將大大增強(qiáng)其抗擊病毒的免疫力。

雖然微軟操作系統(tǒng)自身帶有自動更新功能，可以搜索最新更新并安裝，但由于我校教職工大多數(shù)非計(jì)算機(jī)專業(yè)，沒有經(jīng)常下載補(bǔ)丁的習(xí)慣，因此多數(shù)用戶的系統(tǒng)安全仍然得不到保障，對此我們采用了相應(yīng)的補(bǔ)丁管理器，時(shí)時(shí)搜索并下載最新的系統(tǒng)補(bǔ)丁，發(fā)布命令，使局域網(wǎng)內(nèi)所有用戶計(jì)算機(jī)系統(tǒng)自動進(jìn)行更新，確保局域網(wǎng)內(nèi)所有用戶的操作系統(tǒng)工作在最安全可靠的狀態(tài)下。

2.4 企業(yè)級網(wǎng)絡(luò)版防病毒軟件

隨著數(shù)字技術(shù)及Internet技術(shù)的日益發(fā)展，病毒技術(shù)也在不斷發(fā)展提高。它們的傳播途徑越來越廣，傳播速度越來越快，造成的危害越來越大，幾乎到了令人防不勝防的地步。因此學(xué)校在建立了一個(gè)完整的網(wǎng)絡(luò)平臺之后，為確保整個(gè)校園網(wǎng)的業(yè)務(wù)數(shù)據(jù)不受到病毒的破壞，日常工作不受病毒的侵?jǐn)_，選擇一款性能卓越的網(wǎng)絡(luò)版防病毒軟件也是防病毒體系中至關(guān)重要的元素?？傊《静闅⑹欠駨氐?，查殺速度是否快速，操作界面是否便捷，能否實(shí)現(xiàn)遠(yuǎn)程集中管理以及能否及時(shí)提供病毒庫和掃描引擎的升級，是決定一個(gè)好的網(wǎng)絡(luò)版防病毒軟件的關(guān)鍵。

目前比較推崇的防病毒產(chǎn)品諾頓，趨勢均來自國外，價(jià)格不菲，而瑞星殺毒軟件作為國產(chǎn)知名品牌，其性能也得到了廣大用戶的肯定，我?？紤]到售后服務(wù)問題，以及以前對瑞星防病毒產(chǎn)品的實(shí)際使用情況，采用了瑞星網(wǎng)絡(luò)版防病毒產(chǎn)品，目前一切運(yùn)行良好。

endprint

2.5 加強(qiáng)服務(wù)器主機(jī)的獨(dú)立性

局域網(wǎng)中，最需要受到保護(hù)的就應(yīng)該數(shù)運(yùn)行各套重要系統(tǒng)的應(yīng)用服務(wù)器，通常這些應(yīng)用服務(wù)器都是局域網(wǎng)絡(luò)的核心終端，一般會提供所有網(wǎng)絡(luò)用戶節(jié)點(diǎn)的連接功能，并與用戶有較大的數(shù)據(jù)交換，控制了服務(wù)器則較容易控制網(wǎng)絡(luò)中的各個(gè)用戶。因此，各臺應(yīng)用服務(wù)器會成為黑客攻擊的主要目標(biāo)。如果要加強(qiáng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全控制，應(yīng)盡快能的減少與服務(wù)器相連接的節(jié)點(diǎn)，必要時(shí)保持其獨(dú)立運(yùn)行，并定期對重要資料進(jìn)行異地備份，這樣可保證資料的安全性、完整性。

3終端用戶安全防護(hù)

經(jīng)過我校日常的網(wǎng)絡(luò)風(fēng)險(xiǎn)統(tǒng)計(jì)與分析發(fā)現(xiàn)，校園內(nèi)出現(xiàn)的危害網(wǎng)絡(luò)安全事件大部分是由網(wǎng)絡(luò)用戶的不當(dāng)行為引起的。使用者的安全防護(hù)意識較差，安全知識缺乏，用戶隨意點(diǎn)擊風(fēng)險(xiǎn)鏈接、廣告圖片，安裝彈窗插件，下載不明程序等行為造成計(jì)算機(jī)感染網(wǎng)絡(luò)病毒，安裝木馬，并通過U盤及局域網(wǎng)內(nèi)部數(shù)據(jù)交互植入到其他計(jì)算機(jī)中，對整個(gè)局域網(wǎng)安全造成嚴(yán)重威脅。因此校園局域網(wǎng)內(nèi)用戶加強(qiáng)自身的網(wǎng)絡(luò)安全防護(hù)知識，有絕對的必要。這個(gè)問題，我覺得可以從以下幾個(gè)方面實(shí)現(xiàn)。

1）不要隨意對客戶端防病毒軟件進(jìn)行更改和刪除，保證其正常運(yùn)行。

2）在使用軟盤、光盤、U盤、移動硬盤等存儲設(shè)備時(shí)，應(yīng)先進(jìn)行查殺毒。

3）瀏覽互聯(lián)網(wǎng)時(shí)不要輕易打開來歷不明的EMAIL（電子郵件），不要瀏覽黃色網(wǎng)站及廣告。

黑客通常利用電子郵件進(jìn)行入侵。入侵方式是首先向用戶發(fā)送攜帶木馬程序的電子郵件，接收者在不明情況下隨便打開了郵件，木馬程序就在打開郵件的同時(shí)激活了，悄悄的裝入了計(jì)算機(jī)中，像控制主機(jī)不斷的傳送數(shù)據(jù)，從而達(dá)到竊取重要資料的目的。除此之外，也有的木馬程序是綁定到了網(wǎng)絡(luò)地址鏈接中，當(dāng)用戶在點(diǎn)擊HTML鏈接的同時(shí)也就安裝了黑客所設(shè)置的木馬程序。

4）不要將計(jì)算機(jī)隨便借給陌生人使用。如果使用者在你的計(jì)算機(jī)上安裝木馬程序一般的用戶是不會輕易察覺的，當(dāng)用戶自己再次將電腦連入互聯(lián)網(wǎng)時(shí)很有可能會被黑客所監(jiān)視控制，輕則使計(jì)算機(jī)系統(tǒng)死機(jī)、崩潰，重者泄露隱私、密碼等重要信息。

5）重要文件最好存放在系統(tǒng)盤以外的分區(qū)。對于計(jì)算機(jī)而言，最重要的應(yīng)該是硬盤中存儲的數(shù)據(jù)。用戶數(shù)據(jù)不要與系統(tǒng)共用一個(gè)分區(qū)，萬一系統(tǒng)感染病毒，對計(jì)算機(jī)進(jìn)行重裝時(shí)也能避免數(shù)據(jù)丟失。

參考文獻(xiàn)

[1]劉瑞星.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].機(jī)械工業(yè)出版社，2004.

[2]曲景東，錢昆.局域網(wǎng)建設(shè)DIY[M].清華大學(xué)出版社，2001.

[3]Andrew S. Tanenbaum/著.計(jì)算機(jī)網(wǎng)絡(luò)（第三版）[M].熊桂喜，王小虎譯.清華大學(xué)出版社，1998.

[4]曹元大.入侵檢測技術(shù)[M].人民郵電出版社，2007.

endprint