魏碧英 念云

【摘要】 規(guī)范地建設(shè)好，管理好，使用好校園網(wǎng)是校園網(wǎng)健康發(fā)展的關(guān)鍵。文章主要從校園網(wǎng)的設(shè)計(jì)原則和網(wǎng)絡(luò)結(jié)構(gòu)入手，介紹校園網(wǎng)規(guī)劃和管理中涉及到的網(wǎng)絡(luò)管理和安全管理等問(wèn)題。

【關(guān)鍵詞】 校園網(wǎng) 網(wǎng)絡(luò)管理 信息交流

校園網(wǎng)是面向校園內(nèi)部師生的網(wǎng)絡(luò)，應(yīng)該為校園內(nèi)的廣大師生提供一個(gè)信息化教學(xué)環(huán)境，促進(jìn)信息交流，資源共享和技術(shù)科研合作，同時(shí)根據(jù)實(shí)際所需，在必要的地方實(shí)現(xiàn)安全認(rèn)證和計(jì)費(fèi)管理，使建成的校園網(wǎng)形成可管理、易維護(hù)、安全、高效的新一代網(wǎng)絡(luò)體系。

一、校園網(wǎng)的設(shè)計(jì)原則和網(wǎng)絡(luò)結(jié)構(gòu)

校園網(wǎng)設(shè)計(jì)時(shí)應(yīng)遵從以下原則：1、先進(jìn)性；2、標(biāo)準(zhǔn)化和開(kāi)放性；3、可靠性和可用性；4、靈活性和兼容性；5、實(shí)用性和經(jīng)濟(jì)性；6、安全性和保密性；7、擴(kuò)展性和升級(jí)能力；8、網(wǎng)絡(luò)的靈活性及可管理性[1]。

目前，各個(gè)學(xué)校的校園網(wǎng)的結(jié)構(gòu)基本相同，大多采用以下結(jié)構(gòu)：（1）主干網(wǎng)采用千兆以太網(wǎng)，10M/100M自適應(yīng)交換到桌面。 （2）整個(gè)網(wǎng)絡(luò)由網(wǎng)絡(luò)主控室、教學(xué)子網(wǎng)、辦公子網(wǎng)、圖書(shū)館子網(wǎng)、學(xué)生宿舍樓子網(wǎng)等組成，其中網(wǎng)絡(luò)主控室是整個(gè)網(wǎng)絡(luò)的主干，是網(wǎng)絡(luò)的總節(jié)點(diǎn)，其余各個(gè)子網(wǎng)的中心為二級(jí)節(jié)點(diǎn)。（3）校園網(wǎng)實(shí)現(xiàn)辦公自動(dòng)化、學(xué)校內(nèi)部主頁(yè)、內(nèi)部電子郵件、電子教室、電子圖書(shū)館、內(nèi)部信息服務(wù)等主要功能。

二、建設(shè)目標(biāo)

網(wǎng)絡(luò)建設(shè)總體目標(biāo)是采用先進(jìn)實(shí)用的計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)通信技術(shù)，建立一個(gè)覆蓋全校所有建筑和部門(mén)的綜合網(wǎng)絡(luò)，建立一個(gè)技術(shù)先進(jìn)、安全可靠、高效優(yōu)質(zhì)的校園網(wǎng)絡(luò)系統(tǒng)，為廣大師生、教研和管理人員提供一個(gè)先進(jìn)的網(wǎng)絡(luò)環(huán)境，使學(xué)校的教學(xué)、管理和科研達(dá)到一個(gè)高效的層次。同時(shí)，通過(guò)校園網(wǎng)與國(guó)內(nèi)外通信網(wǎng)絡(luò)的連通，共享國(guó)內(nèi)外資源，建立一個(gè)滿(mǎn)實(shí)用校園網(wǎng)絡(luò)[2]。

三、網(wǎng)絡(luò)管理

3.1網(wǎng)絡(luò)安全的管理

校園網(wǎng)中的各信息點(diǎn)一般使用固定IP地址，科學(xué)的VLAN劃分和規(guī)范有序的IP地址管理是網(wǎng)絡(luò)安全管理工作的基礎(chǔ)，在構(gòu)建網(wǎng)絡(luò)時(shí)要做好規(guī)劃、制定切實(shí)可行的實(shí)施方案。VLAN劃分要做到既滿(mǎn)足使用要求又方便網(wǎng)絡(luò)管理。要注意校園網(wǎng)VLAN劃分的策略、VLAN劃分的方法、VLAN之間的路由策略。IP地址管理要做到對(duì)網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)設(shè)備的MAC地址進(jìn)行登記、進(jìn)行IP地址與MAC地址綁定、進(jìn)行用戶(hù)認(rèn)證。這樣可以有效預(yù)防局域網(wǎng)內(nèi)發(fā)生IP地址沖突、盜用造成ARP攻擊等問(wèn)題。

網(wǎng)絡(luò)安全要求保證網(wǎng)絡(luò)不被攻擊，保證重要信息不被篡改。網(wǎng)管人員設(shè)計(jì)并實(shí)施網(wǎng)絡(luò)安全解決方案，以降低被攻擊和侵害的風(fēng)險(xiǎn)?？梢圆扇〉拇胧┯校簶?biāo)識(shí)重要的網(wǎng)絡(luò)資源，設(shè)置訪問(wèn)權(quán)限；確定重要的網(wǎng)絡(luò)資源與其用戶(hù)間的映射關(guān)系；監(jiān)視對(duì)重要資源的訪問(wèn)；記錄非法登錄及對(duì)重要網(wǎng)絡(luò)資源的非法訪問(wèn)等。

3.2校園網(wǎng)設(shè)備的管理

組建校園網(wǎng)的設(shè)備多，信息點(diǎn)分散，應(yīng)該將網(wǎng)絡(luò)設(shè)備集中建立檔案，進(jìn)行統(tǒng)一管理。主要做法如下：

（1）了解不同設(shè)備的各自性能并建立檔案?jìng)洳?。?）建立每臺(tái)設(shè)備的配置檔案及更換記錄。（3）將所有網(wǎng)絡(luò)設(shè)備的驅(qū)動(dòng)程序收集起來(lái)集中放到某臺(tái)工作站中，方便日后機(jī)器重裝。（4）將安裝好系統(tǒng)軟件及常用軟件的各種配置的計(jì)算機(jī)硬盤(pán)都通過(guò)GHOST軟件將其鏡像成一個(gè)文件放到服務(wù)器中。

3.3網(wǎng)絡(luò)管理軟件的使用

網(wǎng)絡(luò)管理軟件屬于網(wǎng)絡(luò)軟件（通信支撐平臺(tái)軟件、網(wǎng)絡(luò)服務(wù)支撐平臺(tái)軟件、網(wǎng)絡(luò)應(yīng)用支撐平臺(tái)軟件、網(wǎng)絡(luò)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)以及用于特殊網(wǎng)絡(luò)站點(diǎn)）的一種，即通過(guò)軟件來(lái)支持行為，提高工作效率。借助此網(wǎng)管系統(tǒng)，網(wǎng)絡(luò)管理人員不僅可以進(jìn)行自動(dòng)化的網(wǎng)絡(luò)監(jiān)測(cè)和管理，而且可以開(kāi)發(fā)網(wǎng)絡(luò)管理應(yīng)用程序，按照網(wǎng)絡(luò)管理的對(duì)象，它可以分為系統(tǒng)管理軟件和設(shè)備管理軟件[4]。

四、網(wǎng)站管理

4.1 WWW服務(wù)管理

1、IIS管理

WWW服務(wù)器為更新網(wǎng)站內(nèi)容，一般會(huì)安裝FTP服務(wù)，所以管理WWW服務(wù)要和FTP服務(wù)協(xié)同管理。（1）只安裝必須的服務(wù)。 （2）停止默認(rèn)的FTP站點(diǎn)、默認(rèn)的Web站點(diǎn)、管理Web站點(diǎn)，在新的目錄下新建WWW服務(wù)與FTP服務(wù)。（3）安裝新的Service Pack后，重設(shè)IIS的應(yīng)用程序映射。（4）設(shè)置IP拒絕訪問(wèn)列表。（5）禁止對(duì)FTP服務(wù)的匿名訪問(wèn)。（6）記錄并審查日志。（7）慎重設(shè)置WEB站點(diǎn)目錄的訪問(wèn)權(quán)限。

2、網(wǎng)頁(yè)編程安全管理

數(shù)據(jù)檢查和文件檢查有利于防止SQL注入、防止跨站腳本攻擊、防止存在源文件的文本。

3、數(shù)據(jù)庫(kù)的安全配置]

數(shù)據(jù)庫(kù)服務(wù)是Intranet應(yīng)用的基礎(chǔ)，也是平常維護(hù)網(wǎng)絡(luò)安全時(shí)容易忽視的問(wèn)題，這里介紹SQL Server數(shù)據(jù)庫(kù)服務(wù)器的安全配置。（1）在服務(wù)器端腳本上過(guò)濾一些類(lèi)似 ， ‘ ； @/ 等字符，防止破壞者構(gòu)造惡意的SQL語(yǔ)句。（2）安裝SQL Server的最新補(bǔ)丁。（3）使用安全的密碼策略。（4）使用安全的帳號(hào)策略。（5）加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄。（6）管理擴(kuò)展存儲(chǔ)過(guò)程。（7）使用協(xié)議加密。（8）更改原默認(rèn)的1433端口，拒絕來(lái)自1434端口的探測(cè)。

4、FTP服務(wù)管理

FTP服務(wù)容易產(chǎn)生較大的網(wǎng)絡(luò)流量，如果管理不好，就會(huì)造成網(wǎng)絡(luò)堵塞、服務(wù)器死機(jī)等問(wèn)題。FTP服務(wù)管理涉及Serv-U的安裝、用戶(hù)的管理、域的設(shè)置等。

5、防止垃圾郵件

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，人類(lèi)進(jìn)入互聯(lián)網(wǎng)時(shí)代，電子郵件在人們的生活中逐漸取代傳統(tǒng)郵件，成為企業(yè)、個(gè)人工作生活不可或缺的聯(lián)絡(luò)方式，隨之而來(lái)出現(xiàn)大量垃圾郵件，占用大量傳輸、存儲(chǔ)和運(yùn)算資源，造成資源和空間浪費(fèi)。垃圾郵件還具有欺騙性，成為不良信息的主要傳播載體。因此，要制定垃圾郵件過(guò)濾規(guī)則，通過(guò)對(duì)發(fā)件人，收件人，郵件頭，郵件正文等進(jìn)行比較分析，通過(guò)白名單、黑名單結(jié)合，定義過(guò)濾規(guī)則對(duì)違規(guī)郵件過(guò)濾[5]。

6、被入侵系統(tǒng)的恢復(fù)

網(wǎng)站要經(jīng)常進(jìn)行數(shù)據(jù)備份，萬(wàn)一被入侵遭到破壞，就可以進(jìn)行恢復(fù)?；謴?fù)工作不能簡(jiǎn)單地還原系統(tǒng)了事，要進(jìn)行認(rèn)真地分析原因、采取措施、追根尋源，防止以后的入侵或?qū)ζ渌W(wǎng)絡(luò)用戶(hù)的入侵。系統(tǒng)恢復(fù)應(yīng)該包含以下幾個(gè)方面的工作：制定安全策略；記錄恢復(fù)過(guò)程中所有的步驟；奪回對(duì)系統(tǒng)的控制權(quán)；將被侵入的系統(tǒng)從網(wǎng)絡(luò)上斷開(kāi)；復(fù)制一份被侵入系統(tǒng)。

7、計(jì)費(fèi)管理

計(jì)費(fèi)管理是校園網(wǎng)管理的重要工作，計(jì)費(fèi)系統(tǒng)的特點(diǎn)也可以反映出校園網(wǎng)管理和結(jié)構(gòu)的特點(diǎn)。校園網(wǎng)及其管理要注意它的特點(diǎn)：獨(dú)特的計(jì)費(fèi)方式；網(wǎng)絡(luò)出口帶寬逐步擴(kuò)展；多個(gè)網(wǎng)絡(luò)出口的需求；接入方式多樣化；提供服務(wù)多樣化；用戶(hù)層次多樣化；管理對(duì)象多樣化；付費(fèi)類(lèi)型多樣化；網(wǎng)絡(luò)結(jié)構(gòu)多樣化等。

五、入侵分析及策略研究

通過(guò)審查日志文件和系統(tǒng)配置文件，檢查入侵的蛛絲馬跡、入侵者對(duì)系統(tǒng)的修改和系統(tǒng)配置的脆弱性。主要檢查入侵者對(duì)系統(tǒng)配置文件的修改、被修改的數(shù)據(jù)、入侵者留下的工具和數(shù)據(jù)，同時(shí)審查系統(tǒng)日志文件，檢查網(wǎng)絡(luò)嗅探器程序、網(wǎng)絡(luò)上的其它系統(tǒng)和涉及到的或者受到威脅的遠(yuǎn)程站點(diǎn)。具體策略首先是重裝操作系統(tǒng)，安裝所有補(bǔ)丁，及時(shí)關(guān)注系統(tǒng)的升級(jí)和補(bǔ)丁信息，取消不必要的服務(wù)，只配置系統(tǒng)所需要提供的服務(wù)，查閱CERT（計(jì)算機(jī)緊急響應(yīng)組）的安全建議和供應(yīng)商的安全提示。其次是安裝安全工具，啟動(dòng)日志、檢查、記帳程序，將它們?cè)O(shè)置到準(zhǔn)確的級(jí)別，配置防火墻對(duì)網(wǎng)絡(luò)進(jìn)行防御，根據(jù)權(quán)威的安全指南檢查系統(tǒng)的安全性，從而加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全。最后，總結(jié)教訓(xùn)，從記錄中總結(jié)出這起事故的教訓(xùn)，有助于檢討自己的安全策略。計(jì)算事故的代價(jià)，改進(jìn)安全策略，所做的修改要讓組織內(nèi)的所有成員都知道，還要讓他們知道修改后對(duì)他們的影響。

參 考 文 獻(xiàn)

[1] 郭建波.王建國(guó).組建高效的數(shù)字化校園網(wǎng)絡(luò). 信息技術(shù)教育. 2004

[2] 李國(guó)彬.數(shù)字化校園綜合信息網(wǎng)構(gòu)建之研究[J]. 辦公自動(dòng)化.2006