石家莊市第二職業(yè)中專是一所以計(jì)算機(jī)為主要專業(yè)的國(guó)辦專業(yè)學(xué)校，校內(nèi)的網(wǎng)絡(luò)專業(yè)在河北中職學(xué)校中具有很強(qiáng)實(shí)力。筆者是網(wǎng)絡(luò)專業(yè)的負(fù)責(zé)人，經(jīng)過(guò)近10年的網(wǎng)絡(luò)教學(xué)和實(shí)踐，對(duì)計(jì)算機(jī)專業(yè)尤其是擁有網(wǎng)絡(luò)專業(yè)的學(xué)校的校園網(wǎng)的安全有自己的一些思考和實(shí)踐。

　　學(xué)校校園網(wǎng)系統(tǒng)的具體情況是:

　　● 就以往的安全管理來(lái)看，以整體防御確保每一臺(tái)計(jì)算機(jī)的安全對(duì)于學(xué)校來(lái)說(shuō)只存在理論的可能性，實(shí)踐起來(lái)較為困難;

　　● 學(xué)校只有一個(gè)專職網(wǎng)管人員而且脫離教學(xué)任務(wù)，對(duì)實(shí)際情況掌握的不是很熟悉。只能完成網(wǎng)管中心的局部安全;

　　● 就功能而言，學(xué)校的計(jì)算機(jī)網(wǎng)絡(luò)可分為4大類型:教師集中辦公的微機(jī)網(wǎng)絡(luò)、學(xué)生上機(jī)的微機(jī)網(wǎng)絡(luò)、網(wǎng)管中心網(wǎng)絡(luò)、學(xué)校職能部門(mén)例如檔案室、會(huì)計(jì)室、校長(zhǎng)室、試卷庫(kù)等部門(mén)網(wǎng)絡(luò);

　　● 學(xué)校了解網(wǎng)絡(luò)安全的專業(yè)教師非常多，而且專業(yè)各有特長(zhǎng);

　　● 網(wǎng)絡(luò)安全課程必須開(kāi)設(shè)，內(nèi)部攻擊不能從制度上禁止。

　　分區(qū)防守，增強(qiáng)“壁壘”

　　根據(jù)以上具體情況結(jié)合網(wǎng)絡(luò)安全問(wèn)題我們得出了以下的分析結(jié)果:

　　1、靠網(wǎng)管一個(gè)人實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全是不可能的。

　　2、四個(gè)不同功能的網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)安全的要求是不同的。教師網(wǎng)絡(luò)因?yàn)闄?quán)限較大所以主動(dòng)染毒性非常強(qiáng)，但是由教師網(wǎng)絡(luò)發(fā)起的對(duì)校園網(wǎng)絡(luò)的內(nèi)部攻擊非常少。網(wǎng)管中心的網(wǎng)絡(luò)非常重要但是相對(duì)安全。學(xué)生機(jī)房由于紀(jì)律的約束，主動(dòng)染毒性不存在,但是針對(duì)網(wǎng)絡(luò)的內(nèi)部攻擊次數(shù)非常多。學(xué)校職能部門(mén)網(wǎng)絡(luò)由于涉及到學(xué)校的重要信息以及相關(guān)考試的信息，所以對(duì)網(wǎng)絡(luò)安全要求非常高。

　　3、如果仍然采用習(xí)慣的整體防御，會(huì)出現(xiàn)一個(gè)區(qū)域網(wǎng)絡(luò)安全出了問(wèn)題導(dǎo)致其他功能區(qū)域全部出現(xiàn)問(wèn)題。

　　針對(duì)學(xué)校的具體情況和網(wǎng)絡(luò)安全問(wèn)題的分析，我們制定了分區(qū)域防守與增強(qiáng)網(wǎng)段“壁壘”的總體安全策略。具體策略如下:

　　1、 由專業(yè)教師包括網(wǎng)管在內(nèi)組成網(wǎng)絡(luò)安全小組負(fù)責(zé)校園網(wǎng)絡(luò)安全。小組成員根據(jù)專業(yè)方向的不同負(fù)責(zé)對(duì)威脅網(wǎng)絡(luò)安全因素的具體防守，從人員方面加強(qiáng)力量。

　　2、 針對(duì)功能不同的網(wǎng)絡(luò)，例如教師網(wǎng)絡(luò)、學(xué)生網(wǎng)絡(luò)等進(jìn)行網(wǎng)絡(luò)分段，分區(qū)域進(jìn)行防守，不同區(qū)域根據(jù)安全問(wèn)題的不同側(cè)重采取相應(yīng)的網(wǎng)段安全策略。

　　3、 整個(gè)網(wǎng)絡(luò)安全體系由主防火墻和子防火墻一起構(gòu)成。主防火墻由網(wǎng)管負(fù)責(zé)，進(jìn)行網(wǎng)絡(luò)整體防守。子防火墻由專業(yè)老師具體負(fù)責(zé)，配置到具體網(wǎng)段進(jìn)行區(qū)域防守。

　　4、 不同的區(qū)域就是網(wǎng)段配置不同的五大安全部件，在防火墻、防毒墻、身份驗(yàn)證、傳輸加密、IDS/IPS幾個(gè)方面區(qū)別配置來(lái)適應(yīng)不同區(qū)域的具體要求。

　　以上就是分區(qū)域防守思想，我們?cè)诰唧w實(shí)施之后發(fā)現(xiàn)網(wǎng)絡(luò)安全有以下幾點(diǎn)可喜的變化:

　　1、校園整體網(wǎng)絡(luò)安全有所提高，不同區(qū)域的網(wǎng)絡(luò)安全由具體人負(fù)責(zé)，責(zé)任到人，相關(guān)網(wǎng)絡(luò)安全問(wèn)題可以快速解決。

　　2、因?yàn)閷I(yè)人員的方向不同，負(fù)責(zé)不同區(qū)域的防守個(gè)人的專業(yè)特長(zhǎng)有所體現(xiàn)，處理問(wèn)題得心應(yīng)手。

　　3、在出現(xiàn)安全問(wèn)題時(shí)可以輕松做到盡量減少損失。在損失掉一個(gè)區(qū)域之后其他區(qū)域仍有很強(qiáng)的安全性，以往整個(gè)網(wǎng)絡(luò)同時(shí)出現(xiàn)一種安全問(wèn)題的現(xiàn)象基本杜絕。

　　4、成立了安全委員會(huì)后，負(fù)責(zé)不同防守任務(wù)的人員互通情況相互促進(jìn)學(xué)校安全人員的技能和素質(zhì)有很大的提高。

　　但是，簡(jiǎn)單的靠IP分段會(huì)存在許多功能問(wèn)題。而且由于IP的人為可設(shè)置性使得網(wǎng)絡(luò)存在很大的安全隱患。所以在此基礎(chǔ)上學(xué)校更換了主交換機(jī)和子交換機(jī)。使用了主三層交換設(shè)備和可配置VLAN的子交換設(shè)備和高性能路由器。這樣使得我們的分網(wǎng)段實(shí)施“壁壘”的思想可以更方便地實(shí)現(xiàn)。分網(wǎng)段實(shí)施“壁壘”的思想是分區(qū)域防守的有利保證，從硬件方面增強(qiáng)了分區(qū)域防守的力度。

　　分網(wǎng)段增強(qiáng)網(wǎng)段“壁壘”的思想較為簡(jiǎn)單，為了讓大家更好理解，在此作簡(jiǎn)單的闡述。

　　1、把原來(lái)的按地理情況分網(wǎng)段改按功能分網(wǎng)段，在設(shè)備的支持下改以物理連接控制為邏輯連接控制。

　　2、利用設(shè)備所能提供的三層交換和VLAN功能加強(qiáng)防火墻實(shí)力。

　　3、改IDS為IPS從根本上可以預(yù)防攻擊的來(lái)臨，同時(shí)啟用設(shè)備自帶的安全功能加強(qiáng)安全防護(hù)。

　　尋求主動(dòng)優(yōu)勢(shì)

　　以上就是分網(wǎng)段加強(qiáng)壁壘的思想。在人員得到鍛煉從而增強(qiáng)自身技術(shù)實(shí)力和硬件設(shè)備得到加強(qiáng)的基礎(chǔ)上，我們對(duì)學(xué)校校園網(wǎng)的安全做了更大膽的改進(jìn)。我們變被動(dòng)防守為主動(dòng)防守，在相關(guān)法律的允許下學(xué)校做了大量嘗試。

　　首先，學(xué)校建立了自由網(wǎng)絡(luò)攻擊區(qū)域?qū)W(xué)生們開(kāi)放，學(xué)生可以自由對(duì)此區(qū)域的機(jī)器發(fā)起攻擊，使得學(xué)生們有了攻擊的目標(biāo)。既鍛煉了學(xué)生們的攻防能力又減少了校園網(wǎng)的內(nèi)部攻擊，一舉兩得。

　　其次，學(xué)校建立了誘攻區(qū)，轉(zhuǎn)移來(lái)自外網(wǎng)對(duì)學(xué)校主服務(wù)器的攻擊方向。通過(guò)改變主服務(wù)器的配置，使得來(lái)自網(wǎng)外針對(duì)服務(wù)器的攻擊轉(zhuǎn)入誘攻區(qū)。而且學(xué)校在誘攻區(qū)內(nèi)實(shí)施了網(wǎng)絡(luò)陷阱等多種安全設(shè)置使得攻擊者徒勞無(wú)功，保護(hù)了主服務(wù)器的安全。

　　再次，學(xué)校對(duì)相關(guān)服務(wù)器提供的服務(wù)都實(shí)施了虛擬化，使得即使虛擬機(jī)被攻陷，主要數(shù)據(jù)和服務(wù)仍然可以很快得以恢復(fù)。

　　同時(shí)，學(xué)校培養(yǎng)了攻擊捕獲手，針對(duì)攻擊展開(kāi)了針?shù)h相對(duì)的網(wǎng)絡(luò)捕獲。這樣學(xué)校對(duì)違法攻擊就可以追查到具體的攻擊IP，為學(xué)校從法律角度維護(hù)網(wǎng)絡(luò)安全提供事實(shí)依據(jù)。

　　學(xué)校還建立了補(bǔ)丁服務(wù)器，對(duì)所有軟件的補(bǔ)丁統(tǒng)一管理，對(duì)各區(qū)域的機(jī)器統(tǒng)一升級(jí)，使全校計(jì)算機(jī)針對(duì)各種漏洞的補(bǔ)丁達(dá)到了最快速度的處理。全范圍的實(shí)現(xiàn)防止漏洞攻擊，解決了補(bǔ)丁升級(jí)不一致導(dǎo)致的安全問(wèn)題。

　　在經(jīng)過(guò)以上3個(gè)階段的網(wǎng)絡(luò)安全策略實(shí)施之后，我們經(jīng)過(guò)近一年的實(shí)踐和數(shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn)整體網(wǎng)絡(luò)安全有了本質(zhì)的提高。大范圍的網(wǎng)絡(luò)安全事故基本沒(méi)有出現(xiàn)，相關(guān)攻擊大大減少。

　　期待更進(jìn)一步

　　我們?cè)趯?shí)驗(yàn)過(guò)程中也發(fā)現(xiàn)了相關(guān)的問(wèn)題:

　　1、由于防火墻的設(shè)置導(dǎo)致不同區(qū)域網(wǎng)絡(luò)互訪速度下降。

　　2、由于主防火墻和子防火墻在安全策略上的設(shè)置問(wèn)題導(dǎo)致有些區(qū)域的有關(guān)網(wǎng)絡(luò)功能實(shí)施困難。

　　3、由于負(fù)責(zé)安全的人員比較多，增加了網(wǎng)絡(luò)安全的密碼風(fēng)險(xiǎn)。

　　針對(duì)以上三個(gè)問(wèn)題我們做了相應(yīng)的改進(jìn)。速度和安全很難兼顧，所以只有通過(guò)更新設(shè)備、增大容量來(lái)從本質(zhì)上提高速度。針對(duì)主防火墻和子防火墻策略沖突問(wèn)題，采取了由緊到松的逐步放開(kāi)的策略，即先關(guān)閉相應(yīng)功能，然后根據(jù)具體區(qū)域的網(wǎng)絡(luò)需求經(jīng)過(guò)配置實(shí)踐后再逐一打開(kāi)相關(guān)功能。這樣教師微機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)游戲問(wèn)題也得到了一定控制。針對(duì)密碼風(fēng)險(xiǎn)的問(wèn)題，加強(qiáng)了人員思想培訓(xùn)和密碼分發(fā)更新制度，基本解決了無(wú)意泄密的問(wèn)題。