◆宋偉玲

中學(xué)校園網(wǎng)絡(luò)安全的問(wèn)題及對(duì)策——網(wǎng)管十年談網(wǎng)絡(luò)安全

◆宋偉玲

（山東省濟(jì)南第九中學(xué) 山東 250022）

中學(xué)校園網(wǎng)絡(luò)是學(xué)校信息化教學(xué)的重要設(shè)施，確保校園網(wǎng)絡(luò)的安全使用是學(xué)校開(kāi)展正常教育教學(xué)工作的必要條件，隨著網(wǎng)絡(luò)應(yīng)用的逐步深入，中學(xué)校園網(wǎng)絡(luò)正面臨著各種各樣的安全威脅，本人對(duì)于網(wǎng)絡(luò)管理工作中所遇到的網(wǎng)絡(luò)安全問(wèn)題，結(jié)合個(gè)人多年的實(shí)踐經(jīng)驗(yàn)及所掌握的理論知識(shí)，探討了中學(xué)校園網(wǎng)絡(luò)安全的防護(hù)策略。

中學(xué)校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防護(hù)策略

隨著全球信息化程度的不斷提高，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛，人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴性也越來(lái)越強(qiáng)，中學(xué)校園網(wǎng)絡(luò)日漸成為學(xué)校對(duì)內(nèi)資源共享、對(duì)外信息交流的重要工具，在教學(xué)、科研、管理以及對(duì)外交流與合作中起到了不可替代的作用。但網(wǎng)絡(luò)如同一柄雙刃劍，隨著校園網(wǎng)絡(luò)上各種數(shù)據(jù)的急劇增加，各種各樣的安全威脅開(kāi)始接踵而至，校園網(wǎng)絡(luò)一旦因安全問(wèn)題而停止運(yùn)行、中斷服務(wù)，將極大地影響學(xué)校的教育教學(xué)工作，所以校園網(wǎng)絡(luò)的安全問(wèn)題必須引起足夠重視，確保系統(tǒng)運(yùn)行的穩(wěn)定可靠和網(wǎng)絡(luò)服務(wù)的連續(xù)暢通至關(guān)重要。

1 中學(xué)校園網(wǎng)絡(luò)安全所面臨的威脅

我們的網(wǎng)絡(luò)是一個(gè)開(kāi)放的平臺(tái)，網(wǎng)絡(luò)設(shè)計(jì)之初僅考慮到信息交流的便利和開(kāi)放，而對(duì)于保障信息安全方面的考慮則非常有限，伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用和迅猛發(fā)展，網(wǎng)絡(luò)攻擊與防御技術(shù)，在“魔高一尺，道高一丈”的循環(huán)往復(fù)中不斷攀升，網(wǎng)絡(luò)固有的開(kāi)放性和互聯(lián)性，曾經(jīng)是網(wǎng)絡(luò)最大的優(yōu)越性，如今變成了網(wǎng)絡(luò)安全的隱患。網(wǎng)絡(luò)安全已經(jīng)變成越來(lái)越棘手的問(wèn)題，只要是接入到因特網(wǎng)中的計(jì)算機(jī)都有可能被攻擊或入侵，而遭受安全問(wèn)題的困擾。

首先，網(wǎng)絡(luò)協(xié)議的脆弱性，成為網(wǎng)絡(luò)安全的隱患之一。

目前網(wǎng)絡(luò)上所使用的TCP/IP協(xié)議，由于其協(xié)議簇完全公開(kāi)，因此，利用TCP/IP協(xié)議簇的漏洞進(jìn)行的網(wǎng)絡(luò)攻擊，已成為校園網(wǎng)中目前最常見(jiàn)的安全威脅之一，比較典型的ARP地址欺騙，就是利用ARP協(xié)議的接收與發(fā)送無(wú)須身份驗(yàn)證的特性而進(jìn)行的ARP攻擊。曾經(jīng)因?yàn)锳RP地址欺騙導(dǎo)致校園網(wǎng)中的很多用戶無(wú)法登錄網(wǎng)絡(luò)，影響了正常的教育教學(xué)。

其次，廣泛使用的Windows操作系統(tǒng)存在各種漏洞，成為網(wǎng)絡(luò)安全的隱患之二。

Windows出現(xiàn)之前，這個(gè)世界還是一個(gè)紙張的世界，Windows的偉大成就之一在于使工作成果方便地看到并且打印出來(lái)，這樣一個(gè)開(kāi)端也影響了Windows的后期發(fā)展，導(dǎo)致了Windows天生的安全性問(wèn)題。Windows操作系統(tǒng)中存在著大量漏洞（也稱為脆弱性，又稱為安全缺陷），除了可能的人為原因，客觀原因主要是受編程人員的能力、經(jīng)驗(yàn)和當(dāng)時(shí)的安全技術(shù)加密方法所限，在程序中難免會(huì)有不足之處，輕則影響程序的效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。Windows作為PC使用最廣泛的圖形界面操作系統(tǒng)顯然居于壟斷地位，招致了無(wú)數(shù)黑客的目光，這就使得Windows自身的漏洞無(wú)所遁形，而這些漏洞一旦被利用，就會(huì)造成信息泄漏、數(shù)據(jù)丟失等后果，成為網(wǎng)絡(luò)安全的隱患。

2 中學(xué)校園網(wǎng)絡(luò)安全的常見(jiàn)問(wèn)題及解決措施

我校校園網(wǎng)始建于2002年，采用三層結(jié)構(gòu)和星形拓?fù)湓O(shè)計(jì)，形成了千兆為主干、百兆到桌面的校園網(wǎng)絡(luò)（2016年辦公電腦、網(wǎng)絡(luò)核心設(shè)備再次更新之后，學(xué)校網(wǎng)絡(luò)實(shí)現(xiàn)了千兆到桌面，并具備萬(wàn)兆主干的可擴(kuò)展功能），目前覆蓋全校的辦公室、教室、實(shí)驗(yàn)室、微機(jī)室、音樂(lè)教室、美術(shù)教室、動(dòng)漫教室、智慧空間和視頻會(huì)議室、網(wǎng)絡(luò)直播室等所有辦公與教學(xué)的場(chǎng)所。校園網(wǎng)出口從濟(jì)南廣電的10Mbps帶寬，到2008年改為濟(jì)南聯(lián)通的100Mbps帶寬，并擁有16個(gè)C類超網(wǎng)IP地址，為校園網(wǎng)用戶提供網(wǎng)絡(luò)接入、WWW、研究性學(xué)習(xí)平臺(tái)、FTP文件傳輸、心理網(wǎng)站、選課系統(tǒng)、網(wǎng)上閱卷、電子監(jiān)考、網(wǎng)絡(luò)版安全防護(hù)軟件的控制臺(tái)等等各種服務(wù)，布線信息點(diǎn)在2002年建網(wǎng)時(shí)300多個(gè)，2017年原公寓樓改造為2號(hào)教學(xué)樓，網(wǎng)絡(luò)規(guī)模進(jìn)一步擴(kuò)大，總信息點(diǎn)數(shù)達(dá)到了540多個(gè)，并在原來(lái)100Mbps帶寬基礎(chǔ)上升級(jí)到200Mbps帶寬，2018年學(xué)校實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)全覆蓋，同年并入濟(jì)南教育城域網(wǎng)。

十多年來(lái)，在學(xué)校網(wǎng)絡(luò)管理的工作中，有時(shí)會(huì)遇到個(gè)別終端網(wǎng)絡(luò)的問(wèn)題或者全校網(wǎng)絡(luò)的異常，管理中出現(xiàn)過(guò)嚴(yán)重的ARP地址欺騙等各種網(wǎng)絡(luò)問(wèn)題，一定程度上影響了正常的教學(xué)和辦公。為不斷加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，于2009年、2016年兩次進(jìn)行了校園網(wǎng)絡(luò)各個(gè)環(huán)節(jié)的設(shè)備和軟件系統(tǒng)的更新，也解決了一些歷史遺留的問(wèn)題，比如端口對(duì)應(yīng)的測(cè)定，對(duì)2017年校內(nèi)出現(xiàn)的網(wǎng)絡(luò)攻擊，進(jìn)行了各環(huán)節(jié)、多方位、多策略持續(xù)地排查，在網(wǎng)絡(luò)安全專家及公司高級(jí)工程師的引領(lǐng)下，最終突破技術(shù)難題，查了個(gè)水落石出?？傊@些年遇到了諸多問(wèn)題，也經(jīng)過(guò)了不懈的努力和研究，采取了一系列措施，收到了明顯效果，積累了一些網(wǎng)絡(luò)安全方面經(jīng)驗(yàn)、教訓(xùn)及對(duì)策，在此與大家交流并探討。

2.1 IP地址沖突，導(dǎo)致一些用戶無(wú)法上網(wǎng)

校園網(wǎng)中常見(jiàn)IP地址沖突，主要是因?yàn)椴《净蚱渌驅(qū)е铝讼到y(tǒng)故障，所以才進(jìn)行系統(tǒng)重裝，重裝后機(jī)主常常忘記了自己分配到的IP地址，有時(shí)臨時(shí)用一個(gè)，結(jié)果導(dǎo)致地址沖突，以至于無(wú)法上網(wǎng)；其次，為了配合教室內(nèi)電腦的系統(tǒng)維護(hù)，教室內(nèi)電腦的IP地址平時(shí)禁止外網(wǎng)連接，而課外活動(dòng)期間有的學(xué)生為了上外網(wǎng)，就臨時(shí)改用一個(gè)可以登錄外網(wǎng)、卻是已經(jīng)分配給同網(wǎng)段老師辦公電腦的IP地址，由此造成地址沖突，導(dǎo)致老師的辦公電腦不能正常訪問(wèn)網(wǎng)絡(luò)。

對(duì)于此問(wèn)題，可以在核心交換機(jī)上進(jìn)行了IP地址與MAC地址綁定。同時(shí)，將各網(wǎng)段未分配的IP地址，在防火墻中禁止外網(wǎng)連接；2016年11月學(xué)校第二次網(wǎng)絡(luò)核心設(shè)備更新，啟用了深信服下一代防火墻和上網(wǎng)優(yōu)化網(wǎng)關(guān)，這個(gè)問(wèn)題變得非常智能，只要所用IP地址是開(kāi)通外網(wǎng)、未被占用的，連通網(wǎng)絡(luò)之后，只要上網(wǎng)瀏覽量足夠，上網(wǎng)優(yōu)化網(wǎng)關(guān)AC會(huì)自動(dòng)識(shí)別網(wǎng)絡(luò)終端（網(wǎng)絡(luò)設(shè)備、電腦、手機(jī)等）的MAC地址并與所用IP地址綁定，這個(gè)問(wèn)題得到了比較徹底的解決。

IP地址與MAC地址的綁定，同時(shí)也是下面一個(gè)問(wèn)題的解決措施之一。

2.2 ARP地址欺騙比較瘋狂，導(dǎo)致電腦網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)

2008年前后，校園網(wǎng)內(nèi)的ARP地址欺騙比較嚴(yán)重，時(shí)?，F(xiàn)出老師辦公電腦的網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)。根據(jù)欺騙的對(duì)象可以將ARP欺騙分為兩種類型：欺騙網(wǎng)關(guān)型和欺騙主機(jī)型。其中，欺騙網(wǎng)關(guān)型是指攻擊發(fā)生時(shí)網(wǎng)關(guān)內(nèi)存中維護(hù)的IP－MAC對(duì)照表被污染，網(wǎng)關(guān)找不到真實(shí)的主機(jī)，致使主機(jī)收不到網(wǎng)關(guān)的回應(yīng)包，從而造成上網(wǎng)不正常；而欺騙主機(jī)型是指攻擊發(fā)生時(shí)，主機(jī)緩存中維護(hù)的ARP表被污染，網(wǎng)關(guān)的真實(shí)MAC地址被篡改，致使主機(jī)找不到真實(shí)的網(wǎng)關(guān)，同樣造成無(wú)法上網(wǎng)。

在解決這個(gè)問(wèn)題的過(guò)程中，2016年第二次核心設(shè)備更新之前，基本上分為兩個(gè)階段，先后施策如下：

第一階段從2008年開(kāi)始，側(cè)重于解決欺騙主機(jī)型的ARP攻擊。建議老師們?cè)凇皢?dòng)”項(xiàng)里放置批處理文件rarp-*.bat，*號(hào)代表不同的VLAN，在VLAN1的老師使用rarp-1.bat文件，在VLAN2的老師使用rarp-2.bat文件（IP與MAC綁定的命令），以此類推，運(yùn)行bat文件以綁定網(wǎng)關(guān)。特別提醒：一定要在網(wǎng)絡(luò)正常時(shí)運(yùn)行，才能綁定正確的網(wǎng)關(guān)。

第二個(gè)階段從2010年開(kāi)始，側(cè)重于解決欺騙網(wǎng)關(guān)型的ARP攻擊。在核心交換機(jī)中綁定檢測(cè)到的、在線電腦的IP地址和MAC地址，算是徹底解決了ARP地址欺騙問(wèn)題。這個(gè)工作需要經(jīng)常去做：一是因?yàn)榈卿浐诵慕粨Q機(jī)時(shí)，可能見(jiàn)不到暫未開(kāi)機(jī)的電腦；二是因?yàn)楣ぷ髡{(diào)整、辦公位置變更，IP地址、電腦或者網(wǎng)卡更換等，都需要解綁，并根據(jù)現(xiàn)實(shí)的IP地址和MAC地址的對(duì)應(yīng)情況，重新綁定。

2016年學(xué)校第二次網(wǎng)絡(luò)核心設(shè)備更新以后，上網(wǎng)優(yōu)化網(wǎng)關(guān)AC自動(dòng)檢測(cè)并綁定，需要的時(shí)候，再手動(dòng)解綁。

2.3 IE瀏覽器出現(xiàn)故障，導(dǎo)致無(wú)法上網(wǎng)

當(dāng)IE瀏覽器本身出現(xiàn)故障時(shí)，或者IE被惡意破壞后，都可能導(dǎo)致無(wú)法瀏覽網(wǎng)頁(yè)，這時(shí)候往往QQ是可以登錄的，這種情況下，建議重新下載并安裝IE；另外，特別推薦使用谷歌瀏覽器，多年的實(shí)踐反復(fù)證明，如果網(wǎng)絡(luò)其他環(huán)節(jié)正常，用IE瀏覽器瀏覽網(wǎng)頁(yè)卡滯，換用谷歌瀏覽器后，會(huì)流暢很多。

2.4 DNS服務(wù)器問(wèn)題，造成網(wǎng)絡(luò)登錄失敗

如果QQ能登錄、而網(wǎng)頁(yè)打不開(kāi)，就有可能是DNS服務(wù)器的問(wèn)題。原因之一可能是本機(jī)的DNS設(shè)置錯(cuò)誤，原因之二可能是DNS服務(wù)器本身問(wèn)題。這時(shí)可以先檢查本機(jī)所設(shè)置DNS服務(wù)器的IP地址是否正確，如果設(shè)置正確無(wú)誤，可以判斷是這個(gè)DNS服務(wù)器本身工作異常，可以考慮換用其他DNS服務(wù)器的IP地址，因?yàn)槊總€(gè)ISP 都有多個(gè)不同的DNS服務(wù)器。例如，聯(lián)通的DNS服務(wù)器IP地址有： 202.102.152.3、202.102.128.68等等。

有幾次全校的電腦一時(shí)間都不能訪問(wèn)外網(wǎng)、而內(nèi)網(wǎng)正常，QQ也在線，原因就是當(dāng)時(shí)DNS服務(wù)器本身的問(wèn)題，或者服務(wù)器故障，或者服務(wù)器進(jìn)行系統(tǒng)維護(hù)暫停服務(wù)了，所以換用了其他DNS服務(wù)器，網(wǎng)頁(yè)瀏覽馬上就恢復(fù)正常了。

2.5 由于校園網(wǎng)內(nèi)有電腦中毒，導(dǎo)致整個(gè)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)

2009年學(xué)校首次更新網(wǎng)絡(luò)核心設(shè)備，為防火墻購(gòu)買了三年的安全軟件包（7個(gè)軟件，包括防病毒門戶等），各種原因只用了一年就顯示到期了，導(dǎo)致防火墻軟弱無(wú)力，而學(xué)校因?yàn)橐呀?jīng)為電腦購(gòu)買了網(wǎng)絡(luò)版的卡巴斯基，也不想再重復(fù)投入，網(wǎng)絡(luò)安全的第一道防線失守；自從2013年開(kāi)始，電腦的系統(tǒng)管理員們選擇了免費(fèi)殺毒軟件，把網(wǎng)絡(luò)版的卡巴斯基放棄了，網(wǎng)絡(luò)安全的第二道防線失守。而網(wǎng)絡(luò)環(huán)境復(fù)雜多變，病毒木馬不斷升級(jí)換代，所以系統(tǒng)卡滯、網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)，就不足為奇了。直到2016年第二次網(wǎng)絡(luò)核心設(shè)備更新，啟用了深信服的下一代防火墻，由于歷經(jīng)磨難大家也都認(rèn)識(shí)到正版殺毒軟件的價(jià)值，幾乎全部電腦都安裝并定時(shí)掃描，這個(gè)問(wèn)題才得以徹底解決。

2013年到2016年的兩三年之間，由于電腦系統(tǒng)的維護(hù)人員隨意使用免費(fèi)的殺毒軟件，導(dǎo)致學(xué)校網(wǎng)絡(luò)時(shí)?？麄冞@樣做的原因是：電腦配置不夠，安裝學(xué)校購(gòu)買的卡巴斯基之后，在更新或者掃描時(shí)用電腦辦公會(huì)比較卡。其實(shí)，如果自行設(shè)置定時(shí)更新、定時(shí)掃描（選擇自己不急用電腦的時(shí)段，比如中午），就可以正常使用卡巴斯基，比較安全而且工作時(shí)運(yùn)行流暢。全校電腦更新?lián)Q代也不是一時(shí)可以解決的，系統(tǒng)維護(hù)人員基本上只負(fù)責(zé)一鍵恢復(fù)，關(guān)鍵環(huán)節(jié)缺失，卡滯問(wèn)題時(shí)常出現(xiàn)，期間試用了深信服的下一代防火墻，發(fā)現(xiàn)校園網(wǎng)中的僵尸主機(jī)比比皆是，而當(dāng)時(shí)的僵尸主機(jī)IP地址列表明確顯示：所有的僵尸主機(jī)沒(méi)有一個(gè)是安裝了卡巴斯基的，可見(jiàn)免費(fèi)殺毒軟件的效能，非常有限。

在網(wǎng)絡(luò)安全的兩道防線失守之后，學(xué)校網(wǎng)絡(luò)出現(xiàn)時(shí)斷時(shí)續(xù)的狀況，具體原因之一是DNS服務(wù)器檢測(cè)到了校園網(wǎng)中有電腦中毒或者有危險(xiǎn)軟件，然后自動(dòng)切斷網(wǎng)絡(luò)連接（斷網(wǎng)時(shí)間默認(rèn)設(shè)置為20分鐘）。由于全校所有網(wǎng)絡(luò)終端在互聯(lián)網(wǎng)上對(duì)應(yīng)于同一個(gè)外網(wǎng)IP地址，所以，其他正常電腦如果設(shè)置使用了相同的DNS服務(wù)器，也打不開(kāi)網(wǎng)頁(yè)，更換DNS服務(wù)器的IP地址，網(wǎng)頁(yè)瀏覽馬上恢復(fù)正常；如果更換相同DNS地址的電腦多了，其中再有中毒電腦，網(wǎng)絡(luò)不通的現(xiàn)象又會(huì)重復(fù)出現(xiàn)。具體原因之二是中毒電腦大量發(fā)包，瞬間占用了絕大部分的網(wǎng)絡(luò)帶寬。2013年下學(xué)期，某網(wǎng)站制作公司寄生在學(xué)校的一臺(tái)服務(wù)器中毒（未安裝學(xué)校購(gòu)買的正版殺毒軟件），嚴(yán)重影響了整個(gè)學(xué)校網(wǎng)絡(luò)的正常運(yùn)行。由于當(dāng)時(shí)經(jīng)驗(yàn)不足，頗費(fèi)了些周折，最終通過(guò)科來(lái)網(wǎng)絡(luò)分析系統(tǒng)，檢測(cè)到學(xué)校多達(dá)98%的帶寬被中毒的服務(wù)器獨(dú)占，斷開(kāi)該服務(wù)器的網(wǎng)絡(luò)連接，學(xué)校網(wǎng)絡(luò)馬上恢復(fù)正常，然后果斷處理中毒的服務(wù)器。

2.6 由于校園網(wǎng)內(nèi)部的人為破壞，導(dǎo)致學(xué)校網(wǎng)絡(luò)異常

由于工作中難免意見(jiàn)沖突，有人或法律意識(shí)淡薄，或以為校內(nèi)不可能有人覺(jué)察到，基于不為人知的目的進(jìn)行了非法操作，導(dǎo)致學(xué)校網(wǎng)絡(luò)相當(dāng)長(zhǎng)的時(shí)間內(nèi)，時(shí)不時(shí)出現(xiàn)網(wǎng)絡(luò)卡滯的現(xiàn)象。后來(lái)才逐漸明白這實(shí)際上已經(jīng)屬于純正的網(wǎng)絡(luò)犯罪，也屬于網(wǎng)上危害公共安全犯罪。內(nèi)網(wǎng)出現(xiàn)的攻擊，學(xué)校知情并支持解決問(wèn)題，身為學(xué)校網(wǎng)管必須迎接挑戰(zhàn)、擔(dān)當(dāng)作為，對(duì)網(wǎng)絡(luò)安全設(shè)備的運(yùn)行情況每日觀察并截圖，在各層交換機(jī)開(kāi)啟生成樹(shù)協(xié)議以排除形成環(huán)路等情況，想方設(shè)法、殫精竭慮，爭(zhēng)取了安全設(shè)備供應(yīng)商有限的技術(shù)支持，在咨詢技術(shù)問(wèn)題時(shí)意外引來(lái)了網(wǎng)絡(luò)安全專家的介入，網(wǎng)絡(luò)安全專家現(xiàn)場(chǎng)勘察之后當(dāng)時(shí)定性，并給予了解決問(wèn)題的方向和勇氣。

于是加班加點(diǎn)導(dǎo)出上網(wǎng)優(yōu)化網(wǎng)關(guān)AC中的網(wǎng)絡(luò)日志，嘗試自行分析，中間困難重重。網(wǎng)絡(luò)攻擊嚴(yán)重的時(shí)段，不到一分鐘的網(wǎng)絡(luò)日志就需要一個(gè)滿格的電子表格文件來(lái)存儲(chǔ)，因?yàn)橐粋€(gè)電子表格文件一次最多能導(dǎo)出10萬(wàn)條網(wǎng)絡(luò)日志，而導(dǎo)出或者打開(kāi)一個(gè)這樣的文件需要幾分鐘甚至十幾分鐘的時(shí)間，耗時(shí)之長(zhǎng)、工作量之大，常人難以想象，網(wǎng)絡(luò)日志的分析也經(jīng)歷了很曲折的研究過(guò)程。最終透過(guò)網(wǎng)絡(luò)日志的分析結(jié)果，校內(nèi)攻擊源一目了然：外發(fā)攻擊的終端并發(fā)連接數(shù)特別大，有時(shí)在2、3分鐘時(shí)間內(nèi)竟然占到總數(shù)的95%以上，有時(shí)甚至高達(dá)98%，遠(yuǎn)遠(yuǎn)大于其他正常終端，幾乎達(dá)到設(shè)備所允許并發(fā)連接數(shù)的上限，所以導(dǎo)致其他終端無(wú)法打開(kāi)網(wǎng)頁(yè)，嚴(yán)重的時(shí)候QQ也登錄不了；而且回溯、分析之前網(wǎng)絡(luò)攻擊時(shí)段的日志，發(fā)現(xiàn)外發(fā)攻擊的終端、人員，相對(duì)固定，只是反反復(fù)復(fù)。針對(duì)這種情況，第一時(shí)間把網(wǎng)絡(luò)日志的分析結(jié)果提交學(xué)校網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，然后在有限的處理措施得到允許的前提下，從技術(shù)上把外發(fā)攻擊終端有線網(wǎng)絡(luò)的相關(guān)IP地址，從上網(wǎng)優(yōu)化網(wǎng)關(guān)AC中進(jìn)行流控，并結(jié)合無(wú)線網(wǎng)絡(luò)的暫停使用（把相關(guān)人員手機(jī)或電腦無(wú)線網(wǎng)卡的MAC地址加入黑名單一個(gè)月，根據(jù)之后的表現(xiàn)，決定是否恢復(fù)開(kāi)通）來(lái)提醒或者懲戒，效果明顯。

3 中學(xué)校園網(wǎng)絡(luò)安全的防護(hù)策略

中學(xué)校園網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)系統(tǒng)安全和信息系統(tǒng)安全兩部分，即首先要保證硬件、軟件、運(yùn)行服務(wù)的安全，也就是網(wǎng)絡(luò)暢通，其次要保證數(shù)據(jù)安全。網(wǎng)絡(luò)安全的問(wèn)題是當(dāng)今網(wǎng)絡(luò)技術(shù)的一個(gè)重要研究課題，安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。中學(xué)校園網(wǎng)絡(luò)安全的防護(hù)策略，一要注重提高人員素質(zhì)，二要加強(qiáng)日常管理維護(hù)，三要綜合應(yīng)用多種網(wǎng)絡(luò)安全技術(shù)，主要包括防火墻、劃分VLAN、安全認(rèn)證與訪問(wèn)控制等，并及時(shí)進(jìn)行系統(tǒng)軟件升級(jí)、殺毒軟件和應(yīng)用軟件的更新。

3.1 加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)

中學(xué)校園網(wǎng)絡(luò)安全主要涉及管理、技術(shù)和應(yīng)用層面，要確保網(wǎng)絡(luò)安全，必須注重把每個(gè)環(huán)節(jié)落實(shí)到每個(gè)層面。進(jìn)行所有這些具體操作的都是人，人員是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，然而這個(gè)環(huán)節(jié)的加固又是最經(jīng)濟(jì)、最高效的。因此必須加強(qiáng)對(duì)使用網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的人員進(jìn)行安全培訓(xùn)，增強(qiáng)內(nèi)部人員的安全防范意識(shí)，提高內(nèi)部管理人員的整體素質(zhì)，提高校內(nèi)所有人員的法律意識(shí)，學(xué)習(xí)并遵守《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，做到學(xué)法、知法、守法。

3.2 防火墻技術(shù)

防火墻是目前最為流行、也是使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)。防火墻常被安裝在內(nèi)網(wǎng)與外網(wǎng)的節(jié)點(diǎn)上，用于邏輯隔離內(nèi)網(wǎng)和外網(wǎng)。防火墻的功能之一是控制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問(wèn)，此功能分為兩個(gè)方面：一方面是可以控制內(nèi)部網(wǎng)絡(luò)用戶對(duì)外部一些非法或者受限網(wǎng)絡(luò)的訪問(wèn)，另一方面是控制內(nèi)部網(wǎng)絡(luò)用戶是否可以連接到外部網(wǎng)絡(luò)，前者是通過(guò)對(duì)外部IP地址或者網(wǎng)址的控制來(lái)實(shí)現(xiàn)的，后者則通過(guò)對(duì)內(nèi)部用戶的IP控制來(lái)實(shí)現(xiàn)；防火墻的功能之二是控制外部網(wǎng)絡(luò)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，此功能也分為兩個(gè)方面：一方面是只允許外部用戶訪問(wèn)本地網(wǎng)絡(luò)的某些主機(jī)（主要是服務(wù)器），另一方面是只允許外部用戶中指定的用戶訪問(wèn)本地網(wǎng)絡(luò)。

我校2009年配置的防火墻為Watch Guard X1250e，實(shí)際工作中常用的功能有：網(wǎng)絡(luò)地址轉(zhuǎn)換，開(kāi)通某服務(wù)器的端口以允許外部訪問(wèn)，或禁止內(nèi)部部分IP地址連接外網(wǎng)，或設(shè)置特定外網(wǎng)地址拒絕內(nèi)部訪問(wèn)等。2016年配置的是深信服的下一代防火墻AF-1210，配合使用的是深信服的上網(wǎng)優(yōu)化網(wǎng)關(guān)AC-1400，AF安全防護(hù)功能強(qiáng)大，對(duì)內(nèi)部訪問(wèn)的網(wǎng)絡(luò)檢測(cè)到安全隱患之后自動(dòng)“拒絕”，來(lái)自外部網(wǎng)絡(luò)的異常連接直接“阻斷”；AF防外不防內(nèi)，真可謂家賊難防，排查校內(nèi)的網(wǎng)絡(luò)攻擊，則體現(xiàn)了配備AC是非常必要、非常重要的，二者各有所長(zhǎng)、互為補(bǔ)充，可以解決絕大部分的網(wǎng)絡(luò)安全問(wèn)題。為了充分發(fā)揮下一代防火墻和上網(wǎng)優(yōu)化網(wǎng)關(guān)在保障網(wǎng)絡(luò)安全方面的潛能，一方面需要單位持續(xù)地投入以便能夠及時(shí)升級(jí)，另一方面需要網(wǎng)管不斷地學(xué)習(xí)，深入地研究和探索。

3.3 VLAN劃分

運(yùn)用VLAN技術(shù)來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的部門及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制，可以達(dá)到限制用戶非法訪問(wèn)的目的。運(yùn)用VLAN技術(shù)主要是有利于：一是防范廣播風(fēng)暴。限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量，網(wǎng)絡(luò)分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。二是增強(qiáng)局域網(wǎng)的安全性。含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其他VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等設(shè)備。

我們學(xué)校2009年核心設(shè)備更新，劃分的VLAN數(shù)為10個(gè)，其中兩個(gè)備用。服務(wù)器單獨(dú)一個(gè)VLAN，辦公區(qū)、教學(xué)區(qū)、教輔區(qū)，以及不同樓宇分別劃歸為不同的VLAN，而教學(xué)樓和公寓樓的1 二層教學(xué)區(qū)，劃分在同一個(gè)VLAN中；不同VLAN之間用戶要進(jìn)行數(shù)據(jù)傳輸，首先要關(guān)閉Windows防火墻，其次關(guān)閉安全防護(hù)軟件（如卡巴斯基）的防火墻等，由此已經(jīng)達(dá)到了VLAN劃分的目的。學(xué)校2016年核心設(shè)備再次更新，加上無(wú)線網(wǎng)絡(luò)全覆蓋、更新兩個(gè)新的云機(jī)房，改造后的2號(hào)教學(xué)樓單獨(dú)VLAN，總的VLAN數(shù)增至19個(gè)。

3.4 加強(qiáng)用戶認(rèn)證

既考慮管理上安全，也兼顧使用上方便，長(zhǎng)期以來(lái)嚴(yán)格落實(shí)網(wǎng)絡(luò)安全認(rèn)證，保障不同用戶的相應(yīng)權(quán)限，比如有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)、網(wǎng)絡(luò)核心設(shè)備、FTP文件傳輸服務(wù)器等等。

（1）在有線網(wǎng)絡(luò)中，靜態(tài)IP地址綁定MAC地址、IP地址實(shí)名分配到個(gè)人，可以實(shí)現(xiàn)相互關(guān)聯(lián)，保證安全用網(wǎng)、責(zé)任到人。在無(wú)線網(wǎng)絡(luò)中，啟用了嚴(yán)謹(jǐn)?shù)挠脩魧?shí)名認(rèn)證系統(tǒng)；同時(shí)克服種種困難實(shí)現(xiàn)了教學(xué)樓電子班牌、部分專用教室無(wú)線網(wǎng)絡(luò)通過(guò)MAC地址認(rèn)證：在相應(yīng)終端檢測(cè)到MAC地址并記錄，設(shè)置固定的IP地址，上網(wǎng)優(yōu)化網(wǎng)關(guān)AC中手動(dòng)添加IP地址綁定MAC地址，在無(wú)線網(wǎng)絡(luò)認(rèn)證平臺(tái)RG-ESS易安全系統(tǒng)中添加MAC認(rèn)證，為了便于對(duì)應(yīng)，最好備注各終端的位置信息，保證安全問(wèn)題落實(shí)到位。

（2）在網(wǎng)絡(luò)核心設(shè)備中，各網(wǎng)絡(luò)終端要么以靜態(tài)IP地址記錄、要么以用戶實(shí)名記錄，所有網(wǎng)絡(luò)行為都有跡可循、可以回溯，通過(guò)無(wú)線網(wǎng)絡(luò)核心設(shè)備中的用戶實(shí)名，可以對(duì)應(yīng)到所用的IP地址、MAC地址、操作系統(tǒng)及對(duì)應(yīng)的終端類型（是計(jì)算機(jī)還是手機(jī)等）；同時(shí)，允許登錄網(wǎng)絡(luò)安全設(shè)備（AF或者AC）的終端IP地址，可以進(jìn)行預(yù)設(shè)，這在一定程序上保證了網(wǎng)絡(luò)的安全。

（3）學(xué)?，F(xiàn)在的FTP服務(wù)器，采用實(shí)名認(rèn)證登錄，每位老師用自己的用戶名/密碼登錄，登錄后可以自行改密；只對(duì)自己所在處室組的文件夾有全部的權(quán)限，并且每人只有3GB的空間可用，如果用盡了，需要自行清理后才可以繼續(xù)上傳文件；所有用戶每天的訪問(wèn)日志自動(dòng)生成一個(gè)文件，用戶實(shí)名制與日志生成的意義，還在于可以實(shí)現(xiàn)信息安全的不可否認(rèn)性。

3.5 設(shè)置用戶權(quán)限

網(wǎng)絡(luò)中有資源節(jié)點(diǎn)和用戶節(jié)點(diǎn)兩大類，其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，用戶節(jié)點(diǎn)訪問(wèn)資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。訪問(wèn)控制就是一方面保護(hù)資源節(jié)點(diǎn)，阻止非法用戶對(duì)資源節(jié)點(diǎn)的訪問(wèn)，另一方面限制特定用戶節(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施，校園網(wǎng)絡(luò)是以用戶為中心的系統(tǒng)，對(duì)用戶和用戶組賦予一定的權(quán)限，可以限制用戶和用戶組對(duì)于目錄、文件、打印機(jī)以及其他共享資源的訪問(wèn)，從而有效地保證網(wǎng)絡(luò)的安全。用戶級(jí)別與權(quán)限的設(shè)置，應(yīng)該遵循的原則是：為了獲得最大的安全系數(shù)，盡可能給用戶完成任務(wù)所需的最小權(quán)限，即按最小化原則授權(quán)。

（1）在爭(zhēng)取學(xué)?？値捲鲋?00Mbps以后，通過(guò)AC對(duì)學(xué)生機(jī)房、各種應(yīng)用、無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)了流量分配，并積極回應(yīng)老師們對(duì)流量需求的建議，及時(shí)調(diào)整流量策略，以保證校內(nèi)每個(gè)用戶足夠的流量，保證教育教學(xué)工作中網(wǎng)絡(luò)應(yīng)用的流量充足、正常運(yùn)行；學(xué)生微機(jī)室的學(xué)生機(jī)IP地址列表對(duì)應(yīng)于禁用游戲策略，啟用該策略后，學(xué)生機(jī)上將無(wú)法運(yùn)行AC中實(shí)時(shí)更新的所有游戲。

（2）舊的FTP服務(wù)器多處故障無(wú)法修復(fù)，需要在新服務(wù)器上重新搭建，serv-U10.4功能強(qiáng)大，可以實(shí)現(xiàn)從舊服務(wù)器備份用戶信息后導(dǎo)入新服務(wù)器，不僅可以將每個(gè)用戶原有的數(shù)據(jù)正常遷移，而且能夠?qū)⑺杏脩舻馁~號(hào)、密碼、可訪問(wèn)路徑及相應(yīng)權(quán)限安全遷移，使得每一位老師通過(guò)原來(lái)的IP地址或者原來(lái)的快捷方式、用原來(lái)的賬號(hào)和密碼無(wú)感知地登錄并使用新的服務(wù)器。

3.6 及時(shí)升級(jí)和更新

主要是操作系統(tǒng)升級(jí)和反病毒軟件升級(jí)。

（1）操作系統(tǒng)升級(jí)。操作系統(tǒng)是最重要的系統(tǒng)軟件，任何應(yīng)用都運(yùn)行于操作系統(tǒng)之上。為了使用上的方便，中學(xué)校園網(wǎng)絡(luò)中的多數(shù)客戶機(jī)、部分網(wǎng)絡(luò)服務(wù)器，均使用Windows操作系統(tǒng)，而Windows操作系統(tǒng)存在著眾多的系統(tǒng)漏洞，隱藏著很多的安全隱患。雖然操作系統(tǒng)開(kāi)發(fā)商不斷開(kāi)發(fā)新的版本，以提高其安全性，但并不能做到十全十美，操作系統(tǒng)開(kāi)發(fā)商也在陸續(xù)為發(fā)現(xiàn)的系統(tǒng)漏洞提供安全補(bǔ)丁，以增強(qiáng)系統(tǒng)安全性。對(duì)于用戶來(lái)說(shuō)，一定要定期或不定期地安裝這些補(bǔ)丁，以增強(qiáng)操作系統(tǒng)的免疫力。

（2）反病毒軟件升級(jí)。新的病毒和木馬產(chǎn)生的速度十分驚人，反病毒軟件不一定能夠在第一時(shí)間識(shí)別和清除它們，所以反病毒軟件一定要經(jīng)常更新程序和病毒庫(kù)，才能夠及時(shí)對(duì)最新的病毒和木馬進(jìn)行識(shí)別并清除。另外，我校的亞信安全客戶端一度和Office軟件沖突，導(dǎo)致Word等文件無(wú)法正常保存，而只能“另存為”，與亞信安全的廠家多次聯(lián)系并遠(yuǎn)程之后，才成功安裝了相關(guān)補(bǔ)丁，Word文件、Excel等文件的保存得以恢復(fù)正常。

我們學(xué)校從2007年至2017年之間用了卡巴斯基網(wǎng)絡(luò)版，客戶端能夠及時(shí)升級(jí)，網(wǎng)管也可通過(guò)管理控制臺(tái)對(duì)全校電腦進(jìn)行統(tǒng)一升級(jí)和掃描查殺，但是由于關(guān)鍵環(huán)節(jié)的安全意識(shí)不強(qiáng)，無(wú)法實(shí)現(xiàn)統(tǒng)一管理，而且從客戶端可以自行卸載；2017年至今學(xué)校用的是亞信安全網(wǎng)絡(luò)版，通過(guò)管理控制臺(tái)，對(duì)全校電腦進(jìn)行預(yù)設(shè)掃描、實(shí)時(shí)掃描、全盤掃描等的設(shè)置，每周五中午12點(diǎn)開(kāi)始對(duì)全校電腦統(tǒng)一進(jìn)行全盤掃描。值得一提的是，作為網(wǎng)絡(luò)版安全防護(hù)軟件，亞信安全做得特別好的地方是：客戶端如果退出或卸載，需要管理員提供密碼，這就有效地防止了客戶端隨意退出或者卸載而失控。

另外，為了系統(tǒng)與網(wǎng)絡(luò)的安全，實(shí)現(xiàn)亞信安全客戶端的統(tǒng)一安裝、智能控制，經(jīng)過(guò)反復(fù)研究，在AC中成功啟用了網(wǎng)絡(luò)準(zhǔn)入策略，如果AC檢測(cè)不到亞信安全客戶端的關(guān)鍵進(jìn)程，電腦就無(wú)法登錄外網(wǎng)，這一點(diǎn)AC表現(xiàn)特別出色，這樣可以保證全校所有電腦統(tǒng)一安裝正版防護(hù)軟件，最大限度保障學(xué)校的網(wǎng)絡(luò)安全。同時(shí)，亞信安全也具有人性化操作的功能，有的系統(tǒng)比如圖書流通系統(tǒng)、FTP服務(wù)器軟件Serv-U，還有之前競(jìng)業(yè)達(dá)的電子監(jiān)考系統(tǒng)等可信任程序，能夠單獨(dú)設(shè)置掃描例外，否則會(huì)被掃描清理，而無(wú)法正常運(yùn)行。

隨著網(wǎng)絡(luò)的不斷發(fā)展，我們對(duì)網(wǎng)絡(luò)的依賴性將逐步增強(qiáng)，而網(wǎng)絡(luò)的安全問(wèn)題也會(huì)隨之增多，因此校園網(wǎng)絡(luò)安全成為關(guān)系教育教學(xué)正常進(jìn)行的重要因素。所以我們必須提高認(rèn)識(shí)，加大投入，增強(qiáng)安全防范和法律意識(shí)，強(qiáng)化安全管理機(jī)制，采取有效安全策略，確保校園網(wǎng)絡(luò)安全，為學(xué)校的教育教學(xué)構(gòu)筑安全、可靠、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

[1]肖茜.網(wǎng)絡(luò)信息安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（4）：27-28.

[2]張軍偉.高校網(wǎng)絡(luò)安全分析及其對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（10）：62-64.

[3]毛方明.高職院校網(wǎng)絡(luò)安全體系研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（6）：46-48.

[4]彭俊.校園網(wǎng)的安全威脅及管理策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（7）：62-64.

[5]孔曉溪.淺析網(wǎng)絡(luò)安全犯罪的概念與分類[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（3）：68.

[6]Windows系統(tǒng)漏洞的防范:為了防范系統(tǒng)漏洞被黑客利用[EB/OL].http://www.101505.com/sixianghuibao/2019/0414/187028.html.