多措并舉保障校園網(wǎng)用戶的上網(wǎng)安全

劉永濤?陳彥英

摘?要：本文著重闡述了我們信息中心如何通過將用戶管理和網(wǎng)絡安全技術結合在一起，來全力保障我校校園網(wǎng)用戶的上網(wǎng)安全。

關鍵詞：用戶管理?合理運用多技術?上網(wǎng)安全

中圖分類號：G64 文獻標識碼：A 文章編號：1674-098X（2012）10（a）-0062-02

如今，校園網(wǎng)在眾多學校應運而生，為教職員工及學生的學習生活提供了諸多方便，在教學、科研、行政辦公等方面都起著至關重要的作用。然而，校園網(wǎng)用戶卻遭受著木馬、惡意插件、間諜軟件、網(wǎng)絡釣魚等各種威脅，上網(wǎng)查詢資料、瀏覽網(wǎng)頁時，在不知不覺中遭受攻擊，致使個人隱私泄露、重要資料丟失、遭受網(wǎng)絡詐騙等。在我校，通過采取將用戶管理和網(wǎng)絡安全技術結合在一起的方法，切實保障了校園網(wǎng)用戶的上網(wǎng)安全。

1加強校園網(wǎng)用戶管理，規(guī)范上網(wǎng)行為

據(jù)統(tǒng)計，目前60%的網(wǎng)絡攻擊及破壞來自于網(wǎng)絡內部，因此，要保證校園網(wǎng)用戶的上網(wǎng)安全，就需要加強校園網(wǎng)用戶的管理，規(guī)范其上網(wǎng)行為。并且，2005年11月23日公安部部長辦公會議提出并通過的《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》，并自2006年3月1日起已經施行。該規(guī)定對用戶信息、用戶上網(wǎng)記錄、地址轉換記錄、設備狀態(tài)記錄等都有要求。

1.1制定并嚴格執(zhí)行完善的上網(wǎng)制度

我們信息中心根據(jù)學校的實際情況，制定了完善的《漯河醫(yī)學高等專科學校上網(wǎng)管理制度》等一系列制度，其中規(guī)定，只有本校教職員工及學生可以通過校園網(wǎng)接入互聯(lián)網(wǎng)，且接入互聯(lián)網(wǎng)的用戶必須使用真實身份才能使用互聯(lián)網(wǎng)的各種服務。我們信息中心對于每個需要通過校園網(wǎng)接入互聯(lián)網(wǎng)的用戶，認證核實身份，審核通過后發(fā)放上網(wǎng)賬號、密碼、IP地址并將其入網(wǎng)申請表、身份證復印件、賬號、IP地址等重要信息存檔。

1.2進行入網(wǎng)身份認證，規(guī)范用戶管理

自2007年開始，我校就使用福建星網(wǎng)銳捷的RG-SAM系統(tǒng)對用戶入網(wǎng)進行身份認證管理。銳捷 SAM 認證計費系統(tǒng)接入認證采用 802.1X 或 Web 兩種方式對接入用戶進行認證，與銳捷交換機聯(lián)動，嚴格綁定校園網(wǎng)用戶的賬號、IP地址、MAC地址、交換機端口、交換機IP等信息，從網(wǎng)絡邊緣就對接入用戶進行管理控制，未通過認證的客戶，不僅無法訪問外網(wǎng)，對于內網(wǎng)也無法訪問，避免了非法用戶接入帶來的病毒傳播、網(wǎng)絡攻擊等行為的發(fā)生。通過入網(wǎng)身份認證，實現(xiàn)學校內部的所有辦公區(qū)、家屬院、學生宿舍的身份認證，為“GSN”全網(wǎng)安全提供基礎的身份驗證平臺。在出現(xiàn)安全問題之后，就能夠很快追查到相關源頭，為校園網(wǎng)運營提供了非常強有力的安全保障機制，極大的減輕了校園網(wǎng)管理的負擔。與此同時，進行入網(wǎng)身份驗證的多元素綁定，也使校園網(wǎng)用戶必須使用自己的用戶名和IP才可以訪問校園網(wǎng)，避免了不受控的上網(wǎng)行為出現(xiàn)，將安全威脅置之網(wǎng)外，在一定程度上保障了校園網(wǎng)用戶的上網(wǎng)安全。

1.3定期對校園網(wǎng)用戶進行信息技術培訓

我中心制定詳細的培訓方案，對通過校園網(wǎng)接入互聯(lián)網(wǎng)的用戶進行計算機應用基礎和計算機網(wǎng)絡基礎方面的培訓。通過培訓，提升用戶安全使用計算機及計算機網(wǎng)絡的能力。

2合理運用技術手段，保障校園網(wǎng)用戶的上網(wǎng)安全

2.1合理劃分虛擬局域網(wǎng)

虛擬局域網(wǎng)簡稱VLAN，它是一種實現(xiàn)虛擬工作組的先進技術，能夠將校園網(wǎng)內的設備按照各種各樣的應用業(yè)務和對應的安全級別，進行邏輯分段，并產生多個不同的網(wǎng)段。通過劃分虛擬局域網(wǎng)來實現(xiàn)不同業(yè)務及應用間的隔離，也實現(xiàn)了相互間的訪問控制，對于限制非法用戶對于校園網(wǎng)的訪問起到非常巨大的作用，進而更加有效的保障校園網(wǎng)安全及校園網(wǎng)用戶的上網(wǎng)安全。

2.2實施GSN全局安全網(wǎng)絡解決方案

當前網(wǎng)絡安全形勢日趨嚴峻，但反觀傳統(tǒng)的網(wǎng)絡安全措施，均只是單點或者局部的安全。比如說，防火墻，雖然能夠有效保護出口安全或者受保護的服務器區(qū)域，阻止某些攻擊行為，但無法分析深層的數(shù)據(jù)，尤其無法處理內部攻擊行為；殺毒軟件，在面對如今病毒種類繁多、變化迅速的情況下，殺毒軟件往往陷入亡羊補牢的被動局面。在此形勢下，GSN（Global Security Network）全局安全網(wǎng)絡解決方案應運而生。GSN全局安全網(wǎng)絡解決方案是由銳捷安全交換機、銳捷安全管理平臺、銳捷安全計費管理系統(tǒng)（SAM）、網(wǎng)絡入侵檢測系統(tǒng)、安全修復系統(tǒng)等多重網(wǎng)絡元素聯(lián)合組成，能實現(xiàn)同一網(wǎng)絡環(huán)境下的全局聯(lián)動，使每個設備都發(fā)揮安全防護的作用。GSN通過將用戶入網(wǎng)強制安全、主機信息收集和健康性檢查、安全事件下的設備聯(lián)動集成到一個網(wǎng)絡安全解決方案中，以“多兵種”協(xié)同達到網(wǎng)絡全方位的安全，以此達到對網(wǎng)絡安全威脅的自動防御，以及對網(wǎng)絡受損系統(tǒng)的自動修復，同時其針對網(wǎng)絡環(huán)境變化和新網(wǎng)絡行為的自動學習能力，也達到了對未知安全事件的防范，做到了真正的主動防御。

我校于2007年全面實施了GSN全局安全網(wǎng)絡解決方案，在技術層面最大化的保護校園網(wǎng)內部網(wǎng)絡免受網(wǎng)絡攻擊的威脅，在管理方面，規(guī)范了網(wǎng)絡管理，使網(wǎng)絡可控、可管，為保障校園網(wǎng)用戶上網(wǎng)安全提供了技術保障。

3搭建安全DNS，確保上網(wǎng)安全

DNS 是域名系統(tǒng)（Domain Name System）的縮寫，是因特網(wǎng)的一項核心服務，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP數(shù)串。方便是方便了，但是面臨著嚴重的安全威脅。如果DNS服務器被攻擊，輕者大面積斷網(wǎng)，重者將會造成用戶隱私泄露、重要信息丟失、遭受網(wǎng)絡詐騙等嚴重后果。如果DNS服務器構建的安全了，可使用戶免受網(wǎng)絡攻擊的危害。因此，構建安全的DNS，是保障校園網(wǎng)用戶上網(wǎng)安全的關鍵所在。

3.1搭建安全的DNS服務器

要搭建安全DNS系統(tǒng)，作為前提條件的服務器系統(tǒng)要相對安全。除了使用正版服務器操作系統(tǒng)外，也要做到只安裝DNS服務器軟件，其他的服務軟件及應用軟件一律不安裝，保證服務器的純凈。

3.1.1 安裝軟件防火墻并僅開放DNS服務器使用的53端口

為了保障DNS服務器的安全，就需要專機專用。DNS服務器主要提供域名解析服務，因此，只需要開啟53端口，使用防火墻將其余的端口全部封掉，這樣，就避免了因其他服務爆出漏洞而導致DNS服務器遭受網(wǎng)絡攻擊的危險。

3.1.2 制定DNS策略，降低遭受外部網(wǎng)絡攻擊的風險

為了降低遭受DNS服務器遭受來自校園網(wǎng)外部的拒絕服務攻擊等網(wǎng)絡攻擊，需要制定DNS策略，這時就用到了ACL（訪問控制列表）。ACL就是一個被命名的地址匹配列表。使用訪問控制列表可以使配置簡單而清晰，一次定義之后可以在多處使用，不會使配置文件因為大量的 IP 地址而變得混亂。要使用ACL，只需要在bind的主配置文件/etc/bind/named.conf中定義ACL，具體語法為：acl acl_name{address_mactch_list}；，在bind中默認預定義了4個名稱的地址匹配列表（any、localhost、localnets、none），它們可以直接使用。ACL在named.conf中是頂級語句，不能將其嵌套到其他語句使用，因此，在named.conf中要首先定義ACL，然后在隨后定義的options語句中使用已定義的ACL。為了降低管理員的維護成本，可以講定義ACL的語句單獨存放在/etc/bind/acl.conf中，然后在主配置文件named.conf中使用如下語句：include “acl.conf”。

在我校校園網(wǎng)DNS服務器中，我們定義了內服地址列表acl our_net{x.x.x.x/24； x.x.x.x/24； ......；}；和外部的公共DNS列表acl pubic_dns{public_dns_address；}；并在/etc/bind/named.conf文件的options中制定了限制DNS查詢和相應的控制語句options{allow-query{our-net； pubic_dns；}；allow-recursion{ our-net；}；}；，通過使用限制DNS查詢和相應的控制語句來只允許內部網(wǎng)絡及公共DNS服務器查詢我校的DNS服務器，不對其他用戶開放DNS查詢服務，這樣，就將大部分潛在的攻擊者隔離處理，從而降低了遭受攻擊的風險。

為了避免因bind版本泄露而被攻擊者利用，導致攻擊者利用bind版本漏洞攻擊DNS服務器，因此很有必要隱藏掉DNS服務器的版本。為了限制客戶端查詢bind版本，可以在options中添加如下配置：dump-file“/var/named/data/dump.db”；statistics-file“/var/named/data/stats.txt”；version“None of you business”；。

為了保障DNS服務器的安全運行，不僅僅要靠安全正確的配置，還要及時跟蹤服務器軟件及操作系統(tǒng)的各種各樣的漏洞，及時為發(fā)現(xiàn)的漏洞打補丁或進行版本升級。

4制定校園網(wǎng)內部重要數(shù)據(jù)的備份策略，制定應急處理預案

校園網(wǎng)內部存在著許多非常重要的信息，必須及時對這些信息進行完整的備份，以便在出現(xiàn)問題的情況下及時恢復，將損失降低到最低。我校制定了各部門2天一備份，我中心一周將全校信息備份一次的策略，所有備份的內容在存儲設備上保留一份并在光盤上備份一次。另外，做好應急工作是切實保障整個校園網(wǎng)安全的一個非常重要的前提，我中心根據(jù)我校園網(wǎng)絡的實際情況建立了校園網(wǎng)安全的應急處理預案，一旦校園網(wǎng)出現(xiàn)故障，就立即根據(jù)相關的應急處理方法來進行解決，進而將校園網(wǎng)所遭受的破壞降低到最小，最大化的保障校園網(wǎng)用戶的上網(wǎng)安全。

隨著社會及科技的不斷發(fā)展，校園網(wǎng)將會發(fā)揮出越來越重要的作用。也將不斷產生各種各樣的新的校園網(wǎng)網(wǎng)絡安全問題。在教職員工及學生在加強自身的安全意識的同時，我中心切實做到多措并舉保證校園網(wǎng)用戶的上網(wǎng)安全，避免未授權用戶的非法訪問以及網(wǎng)絡攻擊者的惡意攻擊等問題的出現(xiàn)，保證校園網(wǎng)健康、高速的發(fā)展。