王杰昌

摘? 要：校園網(wǎng)具有獨特的網(wǎng)絡環(huán)境，其面臨的主要安全問題有網(wǎng)絡邊界權(quán)限問題和木馬病毒問題。而應對這兩個主要安全問題的策略就是部署防火墻和殺毒軟件，該文講解了這兩種技術(shù)手段，并重點闡述了殺毒軟件的部署和操作，以有效應對網(wǎng)絡安全威脅。

關(guān)鍵詞：校園網(wǎng)? 主要安全問題? 防火墻? 殺毒軟件

中圖分類號：TP393.08? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1672-3791（2019）03（a）-0009-02

和其他網(wǎng)絡不同，校園網(wǎng)有其獨特性，首先學校有大量師生要上網(wǎng)，其次還有很多業(yè)務系統(tǒng)。在校園中網(wǎng)絡要覆蓋教學樓、辦公樓、圖書信息大樓以及宿舍樓等不同領(lǐng)域，信息節(jié)點近萬余個，校園網(wǎng)的安全威脅多樣化[1]。保障校園網(wǎng)的網(wǎng)絡安全，營造穩(wěn)健的網(wǎng)絡環(huán)境，仍是各高校網(wǎng)絡維護工作的重點所在。

1? 校園網(wǎng)主要安全問題分析

首先，網(wǎng)絡邊界和權(quán)限問題。網(wǎng)絡也是有邊界的，不是誰想訪問校內(nèi)資源就能訪問的。比如校園網(wǎng)的圖書館資源，這些都是高?；ㄥX購買的，專門提供給廣大師生使用的，如果校園網(wǎng)不設(shè)置邊界和權(quán)限，那么會有很多社會人士通過網(wǎng)絡進入校園網(wǎng)，免費使用圖書館資源。再比如高校教務系統(tǒng)的權(quán)限要區(qū)別設(shè)置，不同的身份給予不同的權(quán)限，高級權(quán)限只能開放給教務處的老師，普通師生只能給予查詢權(quán)限，如果這些權(quán)限沒有管控，任何人都能隨意修改成績，那問題就嚴重了。

其次，網(wǎng)絡病毒和木馬問題。由于校園網(wǎng)上網(wǎng)用戶眾多，感染病毒和木馬的幾率是很大的。如果不能及時攔截和查殺這些病毒和木馬，任其擴散開來，如果學生機房或中心機房服務器區(qū)被感染，那么整個校園網(wǎng)岌岌可危。2017年至2018年勒索病毒在很多國家肆虐，我國高校校園網(wǎng)也深受其害，這就是很好的例證。

2? 校園網(wǎng)主要安全問題的對策

根據(jù)校園網(wǎng)經(jīng)常遇到的諸多安全問題（如網(wǎng)絡邊界和權(quán)限問題、網(wǎng)絡病毒和木馬問題、網(wǎng)絡黑客和不法分子對校園網(wǎng)的攻擊等），需要一個比較全面的安全防護方案，下面就方案的幾個組成部分進行詳細的闡述。

2.1 防火墻

對于網(wǎng)絡邊界和權(quán)限問題，我們首先應該考慮的是在校園網(wǎng)和因特網(wǎng)之間嵌入防火墻設(shè)備，管控校園網(wǎng)和因特網(wǎng)之間的連接和訪問[2]，避免校外人士隨意進出校園網(wǎng)和獲取校內(nèi)網(wǎng)絡資源的問題，同時管控廣大師生的上網(wǎng)行為。如果師生在校外還想訪問校內(nèi)資源，可以開放一些網(wǎng)站的http權(quán)限，讓師生在校外通過賬號密碼登錄訪問;還可以通過VPN或虛擬客戶端訪問內(nèi)網(wǎng)資源。

其次，為避免校內(nèi)普通師生PC對中心機房服務器區(qū)發(fā)動的網(wǎng)絡攻擊，還需在他們之間設(shè)置內(nèi)網(wǎng)虛擬防火墻。

最后，為避免中心機房服務器之間（尤其是同vlan服務器之間）發(fā)起的網(wǎng)絡攻擊，我們還需考慮開啟服務器操作系統(tǒng)自帶的防火墻，并且視具體情況設(shè)置端口例外。

2.2 殺毒軟件

對于網(wǎng)絡病毒和木馬問題，我們要考慮使用殺毒軟件[3]。對于廣大普通師生的PC，我們建議安裝免費的殺毒軟件，比如360安全衛(wèi)士（查殺木馬）和360殺毒（查殺病毒），或者火絨安全軟件（前瑞星殺毒軟件團隊研發(fā)）等。而對于服務器和重要人物（校領(lǐng)導、網(wǎng)絡中心管理員、教務系統(tǒng)管理員、財務系統(tǒng)管理員、辦公系統(tǒng)管理員、人事系統(tǒng)管理員等）的辦公電腦，我們建議使用購買的正版殺毒軟件，比如卡巴斯基，而卡巴斯基殺毒軟件是把病毒和木馬都記錄在其病毒庫內(nèi)，認為它們都是病毒，所以該軟件是集安全衛(wèi)士和殺毒為一體的軟件。因為對于普通用戶而言，免費的殺毒軟件就夠用了，但是這些免費的殺毒軟件往往比較“流氓”，會捆綁很多軟件，在你不注意的情況下會安裝到系統(tǒng)里，而這些對于服務器和重要人物辦公PC是不安全的;而收費殺毒軟件則不會，它們往往是為安裝的機器量身打造的，而且會及時更新病毒庫和升級軟件，還有售后工程師提供技術(shù)支持，這些都是免費軟件所不具備的。下面我們以卡巴斯基殺毒軟件為例，闡述一下其具體使用。

2.2.1 軟件安裝部署

首先，需要安全防護的服務器和重要人物辦公電腦要逐一安裝該殺毒軟件的客戶端，對于單臺的物理服務器，卡巴斯基殺毒軟件可直接安裝，對于不同操作系統(tǒng)的服務器，該軟件也相對應的有Windows版本和Linux版本;對于虛擬服務器來說，需要在其宿主機底層安裝該軟件。

其次，再部署一臺vShield Manager服務器，作為卡巴斯基殺毒軟件和VMware對接的“中介”。

最后，為其分配一臺虛擬服務器作為管理機，并且在管理機部署卡巴斯基安全中心，要保證所有安裝卡巴斯基殺毒軟件客戶端服務器和辦公PC與管理機的服務端口暢通。

2.2.2 管理組設(shè)置

對于管理組設(shè)置網(wǎng)絡中心管理員只需在管理機上操作即可，不需要對所有安裝該軟件的服務器或PC進行逐一操作。打開安全中心，首先要設(shè)置管理組，將虛擬服務器的宿主機分成一組命名為vCenter，將單臺的物理服務器和辦公PC編成一組命名為物理機。

對于vCenter組來說，因虛擬機所在的宿主機底層安裝的都是Linux操作系統(tǒng)，所以只需創(chuàng)建一個Linux系統(tǒng)殺毒軟件更新任務即可，只要付費，就可及時更新軟件和病毒庫。然后再創(chuàng)建一個掃描任務：（1）為避免掃描任務影響服務器的正常工作，可避開學校工作時間，設(shè)置其每周六晚上零點開始全盤掃描;（2）安全級別自定義，檢測到威脅后可設(shè)置為自動選擇操作，這樣以來，如果檢測到文件感染病毒就清除病毒，如果檢測到木馬就刪除，如果檢測到疑似感染病毒的文件就隔離，如果檢測到感染病毒文件無法清除就放到存儲的未處理文件里;（3）掃描范圍設(shè)置需考慮特殊軟件，比如校園網(wǎng)有FTP服務器，管理員經(jīng)常會往FTP服務器上上傳一些應用軟件安裝包及其破解工具，而卡巴斯基會把破解工具視為病毒并殺掉，如果我們確認該工具無毒，可以采取類似建立白名單的做法，將其放到一個指定的文件夾里，掃描范圍可設(shè)定為除該指定文件夾以外的所有文件夾。

對于物理機組來說，因該組單臺的物理服務器有安裝Windows系統(tǒng)的，還有安裝Linux操作系統(tǒng)的，辦公PC安裝的是Windows系統(tǒng)，所以其任務應該是既有針對Windows系統(tǒng)的軟件更新和掃描任務，也有針對Linux系統(tǒng)的掃描更新任務。

當然上述設(shè)定的自動更新和掃描任務，在必要時也可以由管理員手動更新和手動掃描。另外，在各組計算機選項卡還能看到各機器的連接狀態(tài)和病毒庫更新狀態(tài)，我們可以據(jù)此對有問題機器進行酌情處理。

2.2.3 報告和通知

在這方面，我們可設(shè)定感染最嚴重計算機報告、所有機器一個月病毒報告、特殊機一周病毒報告、物理機一周病毒報告、虛擬機一周病毒報告等。查看感染最嚴重計算機報告時，我們經(jīng)常會看到OA服務器，分析原因，我們會考慮到很多老師會通過自己的辦公PC向服務器上傳公文（Word文檔），部分老師的辦公PC有病毒，我們查看隔離區(qū)感染公文就會知道是哪個部門哪位老師的公文，進而追蹤到其辦公PC，對這些辦公PC進行全面的掃毒殺毒。同理，其他報告也對我們的安全維護工作大有裨益的。

2.2.4 存儲

在存儲類里面也有比較重要選項，比如更新、授權(quán)許可、隔離、備份、未處理文件等。其中，隔離里面存放的是疑似感染病毒文件，如果確認是正常，則可以恢復該文件。未處理文件里面存放的是感染病毒的文件，因該文件正在運行，所以無法清除病毒，只能放在這里，管理員可停止運行該文件或重啟服務器，然后就可清除掉該文件的病毒。更新、授權(quán)許可、備份則不再贅述。

2.2.5 管理服務器

在平時的維護工作當中，我們經(jīng)常看的就是管理服務器頁面，它是一個總概覽頁面，包括部署、計算機管理、計算機保護和病毒掃描、更新、監(jiān)控等幾大類。通過這個頁面我們可以看出各方面的大致情況，優(yōu)先處理標紅告警的問題，比如有幾臺機器病毒庫過期、幾臺機器反病毒保護沒有運行、幾臺機器禁用保護等。

3? 結(jié)語

道高一尺，魔高一丈。校園網(wǎng)安全防護就是一個此消彼長、不斷攻防的過程。隨著時代的發(fā)展和技術(shù)的進步，網(wǎng)絡病毒和黑客也在發(fā)展，校園網(wǎng)所面臨的安全問題也會越來越復雜，所以，安全防護技術(shù)也要不斷地升級，不斷地改進，加以應對。

參考文獻

[1] 徐澤唯.校園網(wǎng)絡管理及安全防護方案分析[J].電腦知識與技術(shù)，2018（162）：72-74.

[2] 斯托林斯.密碼編碼學與網(wǎng)絡安全——原理與實踐[M].3版.北京：電子工業(yè)出版社，2004.

[3] 楊戰(zhàn)旗.校園網(wǎng)安全風險應對策略研究[J].福建電腦，2018（3）：102-103.