摘 要：互聯(lián)網(wǎng)信息技術(shù)的運用提升了學校教學和管理的效率，同時對安全管理也提出了更多的要求。本文以鄂州職業(yè)大學網(wǎng)絡安全整改項目為例，針對當前校園面臨的幾類安全問題，提出預防和處理的方法。實施過程中配合專業(yè)的安全軟件、防火墻和漏掃設備為學校建設一個穩(wěn)定、安全、高效的網(wǎng)絡環(huán)境提供指導方案，對其他高校的網(wǎng)絡安全建設也有參考價值。

關(guān)鍵詞：信息技術(shù)；網(wǎng)絡安全；防火墻；漏掃

1.問題描述

互聯(lián)網(wǎng)信息技術(shù)的高速發(fā)展帶動了學校智慧校園建設的發(fā)展。數(shù)字化則成為學校發(fā)展的重要方向。高校在數(shù)字化校園建設中也開始面臨各種不安全因素，導致高校安全事件頻發(fā)，甚至是高校網(wǎng)站上被掛非法言論、網(wǎng)站數(shù)據(jù)庫被攻破導致信息泄露。因此如何預防和處理各類網(wǎng)絡安全問題來保證師生的網(wǎng)絡安全對高校信息安全管理者尤為重要。

2 鄂州職業(yè)大學網(wǎng)絡安全現(xiàn)狀。

我校校園網(wǎng)絡于2013年完成一期建設，建設初期考慮的重點是網(wǎng)絡和應用的可用性。針對當前拓撲和實際問題分析出當前網(wǎng)絡安全存在如下問題：

●我校出口防火墻為華三7506E接入路由器配帶的H3C SecBladeII防火墻板卡。該板卡只具備基本的ACL控制、DDOS預防等功能，已經(jīng)不能適應當前網(wǎng)絡安全的需求。

●內(nèi)網(wǎng)用戶、應用服務器如：學校信息化軟件OA、教務、學工、科研人事等系統(tǒng)是否存在能夠被人惡意攻擊的漏洞，都無法得知，存在著極大的不安全因素。

●內(nèi)網(wǎng)用戶隔離的粒度不夠細，一個沖突域的主機過多。存在某個主機感染病毒后影響其他主機和整個網(wǎng)絡的情況。我校三號教學樓多次出現(xiàn)一個主機感染病毒后整棟樓網(wǎng)絡不可用的情況。

3 針對當前問題采取的網(wǎng)絡安全預防和處理手段。

3.1 網(wǎng)絡出口采用網(wǎng)康下一代防火墻（NGAF）作為學?；ヂ?lián)網(wǎng)絡的出口。

在網(wǎng)絡出口處增加防火墻設備實現(xiàn)外網(wǎng)隔離和內(nèi)網(wǎng)過濾功能。學校購買第二代（NGAF）防火墻，部署時根據(jù)學校網(wǎng)絡安全的薄弱點，我們要求實施人員配置防火墻完成以下需求。針對學校內(nèi)網(wǎng)用戶的上網(wǎng)終端提供安全威脅過濾、木馬惡意流量檢測、對外發(fā)布區(qū)服務器保護、NAT、路由等安全防護功能；同時NGAF還內(nèi)置了SSL VPN模塊，保證教師在家里可以登錄學校內(nèi)網(wǎng)訪問內(nèi)網(wǎng)資源和圖書館資源；防火墻單獨部署在內(nèi)網(wǎng)服務器區(qū)域前端需要對來自內(nèi)網(wǎng)辦公區(qū)域或?qū)W生區(qū)域的流量做重點清洗過濾，防止內(nèi)網(wǎng)辦公區(qū)域或?qū)W生區(qū)域終端感染僵尸木馬等病毒后進一步向內(nèi)網(wǎng)服務器區(qū)域的擴散；防火墻可以實時通過互聯(lián)網(wǎng)更新自身病毒庫以抵御新的病毒或者病毒變種。

3.2漏洞掃描發(fā)現(xiàn)應用系統(tǒng)和網(wǎng)絡未知安全漏洞。

通過技術(shù)手段主動去發(fā)現(xiàn)網(wǎng)絡中的未知安全漏洞，進而采取可能的補救措施，做好防范工作。本項目中我們采用兩種手段進行掃描：

基于主機的漏洞即內(nèi)部用戶和服務器主機漏洞。它采用一種被動的、非破壞的辦法對系統(tǒng)進行檢測。這種技術(shù)的缺點是目標主機需要安裝代理程序，優(yōu)點是能夠精準全面的發(fā)現(xiàn)系統(tǒng)漏洞。

基于網(wǎng)絡的漏洞掃描技術(shù)：它是一種基于網(wǎng)絡的遠程監(jiān)測目標網(wǎng)絡或本地主機安全性的技術(shù)。它可以發(fā)現(xiàn)所維護的web服務器的各種TCP/IP端口分配、開放的服務、WEB服務軟件版本和這些服務及軟件在internet上的安全漏洞。它采用主動的、非破壞的手段來檢查系統(tǒng)是否有可能被攻擊崩潰。利用一系列的腳本，模擬對系統(tǒng)進行攻擊的行為，然后對結(jié)構(gòu)進行分析。它的優(yōu)點是不需要再目標系統(tǒng)上安裝任何東西，維護簡便。校園網(wǎng)絡發(fā)生變化的時候，只要某個節(jié)點能掃描到網(wǎng)絡中的全部目標系統(tǒng)，基于網(wǎng)絡的漏洞掃描器就不需要進行任何調(diào)整。缺點是影響網(wǎng)絡的性能。

3.2.1 工具的介紹

本項目采用免費的網(wǎng)絡漏洞掃描器Nessus結(jié)合端口掃描工具nmap，Nessus是一種通過收集系統(tǒng)的信息來自動監(jiān)測遠程或本地主機安全性弱點的程序，能夠使系統(tǒng)管理員發(fā)現(xiàn)所維護的web服務器的各種TCP端口的分配、提供的服務、Web服務器軟件版本及軟件在網(wǎng)絡上的漏洞。它結(jié)合nmap的網(wǎng)絡端口掃描功能，能夠?qū)h程的unix主機和windows主機進行安全檢查。

3.2.2 部署

Nessus需要運行在linux主機之上。本項目采用的是Red Hat Enterprise Linux AS release 4作為服務器。本例服務器端和客戶端的安裝包分別為Nessus-3.0.6-es4.i386.rpm和NessusClient-3.0.1-es4.i386.rpm 。nessus掃描需要插件支持，插件可以通過NASL（Nessus Attack Scripting Language）語言開發(fā)。

3.2.3 結(jié)果輸出

Nessus提供多種格式的報告輸出，包含html，nbe，nsr等類型。不管掃描一臺主機還是整個網(wǎng)絡，都會生成詳盡的漏洞掃描報告。本項目中我們在內(nèi)網(wǎng)應用服務器上部署了agent對其進行了基于主機的漏洞掃描，針對整個學校網(wǎng)絡進行了基于網(wǎng)絡的漏洞掃描。應用服務器的掃描結(jié)果里如果存在高危的漏洞，我們會將掃描結(jié)果發(fā)送給應用軟件廠商督促其盡快整改，針對網(wǎng)絡的漏洞掃描主要是內(nèi)網(wǎng)用戶操作系統(tǒng)漏洞，我們會向其推送消息并協(xié)助其對系統(tǒng)打上補丁。

3.3 網(wǎng)絡隔離

我校網(wǎng)絡設計的初期由于經(jīng)費的不足導致設計時在安全性的考慮很少，具體體現(xiàn)在以下方面如：

●用戶之間的隔離粒度不夠，如：學生網(wǎng)絡、三號教學樓整棟樓為一個沖突域，局域網(wǎng)某臺主機感染病毒后影響其他主機導致整棟樓網(wǎng)速變慢、甚至不可用。

●服務器和用戶區(qū)之間沒有隔離設備，比如學生可以使用自己的賬號，在校園內(nèi)任何地方通過有線或者無線網(wǎng)絡接入到校園網(wǎng)。他們對網(wǎng)絡具有很強的好奇心，加之學校沒有科學合理的防范策略規(guī)范學生的上網(wǎng)行為，有的學生很可能采用DDOS、黑客攻擊軟件或者APR欺騙等惡意方式攻擊網(wǎng)絡中存在漏洞的系統(tǒng)。甚至學生電腦中毒后被黑客利用作為“肉機”攻擊局域網(wǎng)內(nèi)存在著漏洞的主機或者服務器，使學校重要的數(shù)據(jù)泄露和服務器數(shù)據(jù)丟失。

本項目采用了vlan技術(shù)對三號教學樓的不同的樓層進行劃分，學生網(wǎng)絡由于人數(shù)太多，我們采用QinQ技術(shù)將不同的宿舍劃分為一個沖突單元，有效的解決了學生用戶之間的相互影響。服務器和用戶之間我們采用舊的華三7506E接入路由器配帶的H3C SecBladeII防火墻板卡作為隔離設備來限制內(nèi)部用戶對服務器的訪問權(quán)限，保證服務器的安全。

4.總結(jié)

本項目以鄂州職業(yè)大學網(wǎng)絡安全整改項目為背景，研究了高校網(wǎng)絡安全問題的預防和處理方法，從學校實際情況出發(fā)并考慮發(fā)展需要，研究設計一套高校常見網(wǎng)絡安全問題的預防和處理的技術(shù)方案。經(jīng)過此次整改我校的網(wǎng)絡安全性建設得到很大的進步，至今未發(fā)現(xiàn)任何網(wǎng)絡安全問題。

參考文獻：

[1] 劉 杰. 高職院校校園網(wǎng)絡安全與防范策略思考[J].電子商務. 2016（12）：71-72

[2] 許 君. 談“云計算”環(huán)境中的計算機網(wǎng)絡安全[J].建筑.建材.裝飾， 2016（3）：20-21

[3] 張俞玲. 淺談數(shù)字化校園建設中如何建立信息化安全立體防御系統(tǒng)[J].信息系統(tǒng)工程. 2015（9）：130-131

[4] 朱力緯，劉麗勤，王健. 高校基于大數(shù)據(jù)時代的數(shù)字化校園建設探討[J].華東師范大學學報（自然科學版）. 2015（8）：25-26

作者簡介：

何朝陽（1984-），男，湖北仙桃人，助教，碩士，研究方向：計算機網(wǎng)絡技術(shù)、網(wǎng)絡安全.

基金項目：鄂州職業(yè)大學2018年度校級課題（2018YB35）