王杰昌
摘 要:校园网具有独特的网络环境,其面临的主要安全问题有网络边界权限问题和木马病毒问题。而应对这两个主要安全问题的策略就是部署防火墙和杀毒软件,该文讲解了这两种技术手段,并重点阐述了杀毒软件的部署和操作,以有效应对网络安全威胁。
关键词:校园网 主要安全问题 防火墙 杀毒软件
中图分类号:TP393.08 文獻标识码:A 文章编号:1672-3791(2019)03(a)-0009-02
和其他网络不同,校园网有其独特性,首先学校有大量师生要上网,其次还有很多业务系统。在校园中网络要覆盖教学楼、办公楼、图书信息大楼以及宿舍楼等不同领域,信息节点近万余个,校园网的安全威胁多样化[1]。保障校园网的网络安全,营造稳健的网络环境,仍是各高校网络维护工作的重点所在。
1 校园网主要安全问题分析
首先,网络边界和权限问题。网络也是有边界的,不是谁想访问校内资源就能访问的。比如校园网的图书馆资源,这些都是高校花钱购买的,专门提供给广大师生使用的,如果校园网不设置边界和权限,那么会有很多社会人士通过网络进入校园网,免费使用图书馆资源。再比如高校教务系统的权限要区别设置,不同的身份给予不同的权限,高级权限只能开放给教务处的老师,普通师生只能给予查询权限,如果这些权限没有管控,任何人都能随意修改成绩,那问题就严重了。
其次,网络病毒和木马问题。由于校园网上网用户众多,感染病毒和木马的几率是很大的。如果不能及时拦截和查杀这些病毒和木马,任其扩散开来,如果学生机房或中心机房服务器区被感染,那么整个校园网岌岌可危。2017年至2018年勒索病毒在很多国家肆虐,我国高校校园网也深受其害,这就是很好的例证。
2 校园网主要安全问题的对策
根据校园网经常遇到的诸多安全问题(如网络边界和权限问题、网络病毒和木马问题、网络黑客和不法分子对校园网的攻击等),需要一个比较全面的安全防护方案,下面就方案的几个组成部分进行详细的阐述。
2.1 防火墙
对于网络边界和权限问题,我们首先应该考虑的是在校园网和因特网之间嵌入防火墙设备,管控校园网和因特网之间的连接和访问[2],避免校外人士随意进出校园网和获取校内网络资源的问题,同时管控广大师生的上网行为。如果师生在校外还想访问校内资源,可以开放一些网站的http权限,让师生在校外通过账号密码登录访问;还可以通过VPN或虚拟客户端访问内网资源。
其次,为避免校内普通师生PC对中心机房服务器区发动的网络攻击,还需在他们之间设置内网虚拟防火墙。
最后,为避免中心机房服务器之间(尤其是同vlan服务器之间)发起的网络攻击,我们还需考虑开启服务器操作系统自带的防火墙,并且视具体情况设置端口例外。
2.2 杀毒软件
对于网络病毒和木马问题,我们要考虑使用杀毒软件[3]。对于广大普通师生的PC,我们建议安装免费的杀毒软件,比如360安全卫士(查杀木马)和360杀毒(查杀病毒),或者火绒安全软件(前瑞星杀毒软件团队研发)等。而对于服务器和重要人物(校领导、网络中心管理员、教务系统管理员、财务系统管理员、办公系统管理员、人事系统管理员等)的办公电脑,我们建议使用购买的正版杀毒软件,比如卡巴斯基,而卡巴斯基杀毒软件是把病毒和木马都记录在其病毒库内,认为它们都是病毒,所以该软件是集安全卫士和杀毒为一体的软件。因为对于普通用户而言,免费的杀毒软件就够用了,但是这些免费的杀毒软件往往比较“流氓”,会捆绑很多软件,在你不注意的情况下会安装到系统里,而这些对于服务器和重要人物办公PC是不安全的;而收费杀毒软件则不会,它们往往是为安装的机器量身打造的,而且会及时更新病毒库和升级软件,还有售后工程师提供技术支持,这些都是免费软件所不具备的。下面我们以卡巴斯基杀毒软件为例,阐述一下其具体使用。
2.2.1 软件安装部署
首先,需要安全防护的服务器和重要人物办公电脑要逐一安装该杀毒软件的客户端,对于单台的物理服务器,卡巴斯基杀毒软件可直接安装,对于不同操作系统的服务器,该软件也相对应的有Windows版本和Linux版本;对于虚拟服务器来说,需要在其宿主机底层安装该软件。
其次,再部署一台vShield Manager服务器,作为卡巴斯基杀毒软件和VMware对接的“中介”。
最后,为其分配一台虚拟服务器作为管理机,并且在管理机部署卡巴斯基安全中心,要保证所有安装卡巴斯基杀毒软件客户端服务器和办公PC与管理机的服务端口畅通。
2.2.2 管理组设置
对于管理组设置网络中心管理员只需在管理机上操作即可,不需要对所有安装该软件的服务器或PC进行逐一操作。打开安全中心,首先要设置管理组,将虚拟服务器的宿主机分成一组命名为vCenter,将单台的物理服务器和办公PC编成一组命名为物理机。
对于vCenter组来说,因虚拟机所在的宿主机底层安装的都是Linux操作系统,所以只需创建一个Linux系统杀毒软件更新任务即可,只要付费,就可及时更新软件和病毒库。然后再创建一个扫描任务:(1)为避免扫描任务影响服务器的正常工作,可避开学校工作时间,设置其每周六晚上零点开始全盘扫描;(2)安全级别自定义,检测到威胁后可设置为自动选择操作,这样以来,如果检测到文件感染病毒就清除病毒,如果检测到木马就删除,如果检测到疑似感染病毒的文件就隔离,如果检测到感染病毒文件无法清除就放到存储的未处理文件里;(3)扫描范围设置需考虑特殊软件,比如校园网有FTP服务器,管理员经常会往FTP服务器上上传一些应用软件安装包及其破解工具,而卡巴斯基会把破解工具视为病毒并杀掉,如果我们确认该工具无毒,可以采取类似建立白名单的做法,将其放到一个指定的文件夹里,扫描范围可设定为除该指定文件夹以外的所有文件夹。
对于物理机组来说,因该组单台的物理服务器有安装Windows系统的,还有安装Linux操作系统的,办公PC安装的是Windows系统,所以其任务应该是既有针对Windows系统的软件更新和扫描任务,也有针對Linux系统的扫描更新任务。
当然上述设定的自动更新和扫描任务,在必要时也可以由管理员手动更新和手动扫描。另外,在各组计算机选项卡还能看到各机器的连接状态和病毒库更新状态,我们可以据此对有问题机器进行酌情处理。
2.2.3 报告和通知
在这方面,我们可设定感染最严重计算机报告、所有机器一个月病毒报告、特殊机一周病毒报告、物理机一周病毒报告、虚拟机一周病毒报告等。查看感染最严重计算机报告时,我们经常会看到OA服务器,分析原因,我们会考虑到很多老师会通过自己的办公PC向服务器上传公文(Word文档),部分老师的办公PC有病毒,我们查看隔离区感染公文就会知道是哪个部门哪位老师的公文,进而追踪到其办公PC,对这些办公PC进行全面的扫毒杀毒。同理,其他报告也对我们的安全维护工作大有裨益的。
2.2.4 存储
在存储类里面也有比较重要选项,比如更新、授权许可、隔离、备份、未处理文件等。其中,隔离里面存放的是疑似感染病毒文件,如果确认是正常,则可以恢复该文件。未处理文件里面存放的是感染病毒的文件,因该文件正在运行,所以无法清除病毒,只能放在这里,管理员可停止运行该文件或重启服务器,然后就可清除掉该文件的病毒。更新、授权许可、备份则不再赘述。
2.2.5 管理服务器
在平时的维护工作当中,我们经常看的就是管理服务器页面,它是一个总概览页面,包括部署、计算机管理、计算机保护和病毒扫描、更新、监控等几大类。通过这个页面我们可以看出各方面的大致情况,优先处理标红告警的问题,比如有几台机器病毒库过期、几台机器反病毒保护没有运行、几台机器禁用保护等。
3 结语
道高一尺,魔高一丈。校园网安全防护就是一个此消彼长、不断攻防的过程。随着时代的发展和技术的进步,网络病毒和黑客也在发展,校园网所面临的安全问题也会越来越复杂,所以,安全防护技术也要不断地升级,不断地改进,加以应对。
参考文献
[1] 徐泽唯.校园网络管理及安全防护方案分析[J].电脑知识与技术,2018(162):72-74.
[2] 斯托林斯.密码编码学与网络安全——原理与实践[M].3版.北京:电子工业出版社,2004.
[3] 杨战旗.校园网安全风险应对策略研究[J].福建电脑,2018(3):102-103.