王杰昌

摘? 要：校園網(wǎng)具有獨(dú)特的網(wǎng)絡(luò)環(huán)境，其面臨的主要安全問題有網(wǎng)絡(luò)邊界權(quán)限問題和木馬病毒問題。而應(yīng)對(duì)這兩個(gè)主要安全問題的策略就是部署防火墻和殺毒軟件，該文講解了這兩種技術(shù)手段，并重點(diǎn)闡述了殺毒軟件的部署和操作，以有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅。

關(guān)鍵詞：校園網(wǎng)? 主要安全問題? 防火墻? 殺毒軟件

中圖分類號(hào)：TP393.08? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號(hào)：1672-3791（2019）03（a）-0009-02

和其他網(wǎng)絡(luò)不同，校園網(wǎng)有其獨(dú)特性，首先學(xué)校有大量師生要上網(wǎng)，其次還有很多業(yè)務(wù)系統(tǒng)。在校園中網(wǎng)絡(luò)要覆蓋教學(xué)樓、辦公樓、圖書信息大樓以及宿舍樓等不同領(lǐng)域，信息節(jié)點(diǎn)近萬余個(gè)，校園網(wǎng)的安全威脅多樣化[1]。保障校園網(wǎng)的網(wǎng)絡(luò)安全，營造穩(wěn)健的網(wǎng)絡(luò)環(huán)境，仍是各高校網(wǎng)絡(luò)維護(hù)工作的重點(diǎn)所在。

1? 校園網(wǎng)主要安全問題分析

首先，網(wǎng)絡(luò)邊界和權(quán)限問題。網(wǎng)絡(luò)也是有邊界的，不是誰想訪問校內(nèi)資源就能訪問的。比如校園網(wǎng)的圖書館資源，這些都是高校花錢購買的，專門提供給廣大師生使用的，如果校園網(wǎng)不設(shè)置邊界和權(quán)限，那么會(huì)有很多社會(huì)人士通過網(wǎng)絡(luò)進(jìn)入校園網(wǎng)，免費(fèi)使用圖書館資源。再比如高校教務(wù)系統(tǒng)的權(quán)限要區(qū)別設(shè)置，不同的身份給予不同的權(quán)限，高級(jí)權(quán)限只能開放給教務(wù)處的老師，普通師生只能給予查詢權(quán)限，如果這些權(quán)限沒有管控，任何人都能隨意修改成績，那問題就嚴(yán)重了。

其次，網(wǎng)絡(luò)病毒和木馬問題。由于校園網(wǎng)上網(wǎng)用戶眾多，感染病毒和木馬的幾率是很大的。如果不能及時(shí)攔截和查殺這些病毒和木馬，任其擴(kuò)散開來，如果學(xué)生機(jī)房或中心機(jī)房服務(wù)器區(qū)被感染，那么整個(gè)校園網(wǎng)岌岌可危。2017年至2018年勒索病毒在很多國家肆虐，我國高校校園網(wǎng)也深受其害，這就是很好的例證。

2? 校園網(wǎng)主要安全問題的對(duì)策

根據(jù)校園網(wǎng)經(jīng)常遇到的諸多安全問題（如網(wǎng)絡(luò)邊界和權(quán)限問題、網(wǎng)絡(luò)病毒和木馬問題、網(wǎng)絡(luò)黑客和不法分子對(duì)校園網(wǎng)的攻擊等），需要一個(gè)比較全面的安全防護(hù)方案，下面就方案的幾個(gè)組成部分進(jìn)行詳細(xì)的闡述。

2.1 防火墻

對(duì)于網(wǎng)絡(luò)邊界和權(quán)限問題，我們首先應(yīng)該考慮的是在校園網(wǎng)和因特網(wǎng)之間嵌入防火墻設(shè)備，管控校園網(wǎng)和因特網(wǎng)之間的連接和訪問[2]，避免校外人士隨意進(jìn)出校園網(wǎng)和獲取校內(nèi)網(wǎng)絡(luò)資源的問題，同時(shí)管控廣大師生的上網(wǎng)行為。如果師生在校外還想訪問校內(nèi)資源，可以開放一些網(wǎng)站的http權(quán)限，讓師生在校外通過賬號(hào)密碼登錄訪問;還可以通過VPN或虛擬客戶端訪問內(nèi)網(wǎng)資源。

其次，為避免校內(nèi)普通師生PC對(duì)中心機(jī)房服務(wù)器區(qū)發(fā)動(dòng)的網(wǎng)絡(luò)攻擊，還需在他們之間設(shè)置內(nèi)網(wǎng)虛擬防火墻。

最后，為避免中心機(jī)房服務(wù)器之間（尤其是同vlan服務(wù)器之間）發(fā)起的網(wǎng)絡(luò)攻擊，我們還需考慮開啟服務(wù)器操作系統(tǒng)自帶的防火墻，并且視具體情況設(shè)置端口例外。

2.2 殺毒軟件

對(duì)于網(wǎng)絡(luò)病毒和木馬問題，我們要考慮使用殺毒軟件[3]。對(duì)于廣大普通師生的PC，我們建議安裝免費(fèi)的殺毒軟件，比如360安全衛(wèi)士（查殺木馬）和360殺毒（查殺病毒），或者火絨安全軟件（前瑞星殺毒軟件團(tuán)隊(duì)研發(fā)）等。而對(duì)于服務(wù)器和重要人物（校領(lǐng)導(dǎo)、網(wǎng)絡(luò)中心管理員、教務(wù)系統(tǒng)管理員、財(cái)務(wù)系統(tǒng)管理員、辦公系統(tǒng)管理員、人事系統(tǒng)管理員等）的辦公電腦，我們建議使用購買的正版殺毒軟件，比如卡巴斯基，而卡巴斯基殺毒軟件是把病毒和木馬都記錄在其病毒庫內(nèi)，認(rèn)為它們都是病毒，所以該軟件是集安全衛(wèi)士和殺毒為一體的軟件。因?yàn)閷?duì)于普通用戶而言，免費(fèi)的殺毒軟件就夠用了，但是這些免費(fèi)的殺毒軟件往往比較“流氓”，會(huì)捆綁很多軟件，在你不注意的情況下會(huì)安裝到系統(tǒng)里，而這些對(duì)于服務(wù)器和重要人物辦公PC是不安全的;而收費(fèi)殺毒軟件則不會(huì)，它們往往是為安裝的機(jī)器量身打造的，而且會(huì)及時(shí)更新病毒庫和升級(jí)軟件，還有售后工程師提供技術(shù)支持，這些都是免費(fèi)軟件所不具備的。下面我們以卡巴斯基殺毒軟件為例，闡述一下其具體使用。

2.2.1 軟件安裝部署

首先，需要安全防護(hù)的服務(wù)器和重要人物辦公電腦要逐一安裝該殺毒軟件的客戶端，對(duì)于單臺(tái)的物理服務(wù)器，卡巴斯基殺毒軟件可直接安裝，對(duì)于不同操作系統(tǒng)的服務(wù)器，該軟件也相對(duì)應(yīng)的有Windows版本和Linux版本;對(duì)于虛擬服務(wù)器來說，需要在其宿主機(jī)底層安裝該軟件。

其次，再部署一臺(tái)vShield Manager服務(wù)器，作為卡巴斯基殺毒軟件和VMware對(duì)接的“中介”。

最后，為其分配一臺(tái)虛擬服務(wù)器作為管理機(jī)，并且在管理機(jī)部署卡巴斯基安全中心，要保證所有安裝卡巴斯基殺毒軟件客戶端服務(wù)器和辦公PC與管理機(jī)的服務(wù)端口暢通。

2.2.2 管理組設(shè)置

對(duì)于管理組設(shè)置網(wǎng)絡(luò)中心管理員只需在管理機(jī)上操作即可，不需要對(duì)所有安裝該軟件的服務(wù)器或PC進(jìn)行逐一操作。打開安全中心，首先要設(shè)置管理組，將虛擬服務(wù)器的宿主機(jī)分成一組命名為vCenter，將單臺(tái)的物理服務(wù)器和辦公PC編成一組命名為物理機(jī)。

對(duì)于vCenter組來說，因虛擬機(jī)所在的宿主機(jī)底層安裝的都是Linux操作系統(tǒng)，所以只需創(chuàng)建一個(gè)Linux系統(tǒng)殺毒軟件更新任務(wù)即可，只要付費(fèi)，就可及時(shí)更新軟件和病毒庫。然后再創(chuàng)建一個(gè)掃描任務(wù)：（1）為避免掃描任務(wù)影響服務(wù)器的正常工作，可避開學(xué)校工作時(shí)間，設(shè)置其每周六晚上零點(diǎn)開始全盤掃描;（2）安全級(jí)別自定義，檢測(cè)到威脅后可設(shè)置為自動(dòng)選擇操作，這樣以來，如果檢測(cè)到文件感染病毒就清除病毒，如果檢測(cè)到木馬就刪除，如果檢測(cè)到疑似感染病毒的文件就隔離，如果檢測(cè)到感染病毒文件無法清除就放到存儲(chǔ)的未處理文件里;（3）掃描范圍設(shè)置需考慮特殊軟件，比如校園網(wǎng)有FTP服務(wù)器，管理員經(jīng)常會(huì)往FTP服務(wù)器上上傳一些應(yīng)用軟件安裝包及其破解工具，而卡巴斯基會(huì)把破解工具視為病毒并殺掉，如果我們確認(rèn)該工具無毒，可以采取類似建立白名單的做法，將其放到一個(gè)指定的文件夾里，掃描范圍可設(shè)定為除該指定文件夾以外的所有文件夾。

對(duì)于物理機(jī)組來說，因該組單臺(tái)的物理服務(wù)器有安裝Windows系統(tǒng)的，還有安裝Linux操作系統(tǒng)的，辦公PC安裝的是Windows系統(tǒng)，所以其任務(wù)應(yīng)該是既有針對(duì)Windows系統(tǒng)的軟件更新和掃描任務(wù)，也有針對(duì)Linux系統(tǒng)的掃描更新任務(wù)。

當(dāng)然上述設(shè)定的自動(dòng)更新和掃描任務(wù)，在必要時(shí)也可以由管理員手動(dòng)更新和手動(dòng)掃描。另外，在各組計(jì)算機(jī)選項(xiàng)卡還能看到各機(jī)器的連接狀態(tài)和病毒庫更新狀態(tài)，我們可以據(jù)此對(duì)有問題機(jī)器進(jìn)行酌情處理。

2.2.3 報(bào)告和通知

在這方面，我們可設(shè)定感染最嚴(yán)重計(jì)算機(jī)報(bào)告、所有機(jī)器一個(gè)月病毒報(bào)告、特殊機(jī)一周病毒報(bào)告、物理機(jī)一周病毒報(bào)告、虛擬機(jī)一周病毒報(bào)告等。查看感染最嚴(yán)重計(jì)算機(jī)報(bào)告時(shí)，我們經(jīng)常會(huì)看到OA服務(wù)器，分析原因，我們會(huì)考慮到很多老師會(huì)通過自己的辦公PC向服務(wù)器上傳公文（Word文檔），部分老師的辦公PC有病毒，我們查看隔離區(qū)感染公文就會(huì)知道是哪個(gè)部門哪位老師的公文，進(jìn)而追蹤到其辦公PC，對(duì)這些辦公PC進(jìn)行全面的掃毒殺毒。同理，其他報(bào)告也對(duì)我們的安全維護(hù)工作大有裨益的。

2.2.4 存儲(chǔ)

在存儲(chǔ)類里面也有比較重要選項(xiàng)，比如更新、授權(quán)許可、隔離、備份、未處理文件等。其中，隔離里面存放的是疑似感染病毒文件，如果確認(rèn)是正常，則可以恢復(fù)該文件。未處理文件里面存放的是感染病毒的文件，因該文件正在運(yùn)行，所以無法清除病毒，只能放在這里，管理員可停止運(yùn)行該文件或重啟服務(wù)器，然后就可清除掉該文件的病毒。更新、授權(quán)許可、備份則不再贅述。

2.2.5 管理服務(wù)器

在平時(shí)的維護(hù)工作當(dāng)中，我們經(jīng)常看的就是管理服務(wù)器頁面，它是一個(gè)總概覽頁面，包括部署、計(jì)算機(jī)管理、計(jì)算機(jī)保護(hù)和病毒掃描、更新、監(jiān)控等幾大類。通過這個(gè)頁面我們可以看出各方面的大致情況，優(yōu)先處理標(biāo)紅告警的問題，比如有幾臺(tái)機(jī)器病毒庫過期、幾臺(tái)機(jī)器反病毒保護(hù)沒有運(yùn)行、幾臺(tái)機(jī)器禁用保護(hù)等。

3? 結(jié)語

道高一尺，魔高一丈。校園網(wǎng)安全防護(hù)就是一個(gè)此消彼長、不斷攻防的過程。隨著時(shí)代的發(fā)展和技術(shù)的進(jìn)步，網(wǎng)絡(luò)病毒和黑客也在發(fā)展，校園網(wǎng)所面臨的安全問題也會(huì)越來越復(fù)雜，所以，安全防護(hù)技術(shù)也要不斷地升級(jí)，不斷地改進(jìn)，加以應(yīng)對(duì)。

參考文獻(xiàn)

[1] 徐澤唯.校園網(wǎng)絡(luò)管理及安全防護(hù)方案分析[J].電腦知識(shí)與技術(shù)，2018（162）：72-74.

[2] 斯托林斯.密碼編碼學(xué)與網(wǎng)絡(luò)安全——原理與實(shí)踐[M].3版.北京：電子工業(yè)出版社，2004.

[3] 楊戰(zhàn)旗.校園網(wǎng)安全風(fēng)險(xiǎn)應(yīng)對(duì)策略研究[J].福建電腦，2018（3）：102-103.