◆宋伟玲
中学校园网络安全的问题及对策——网管十年谈网络安全
◆宋伟玲
(山东省济南第九中学 山东 250022)
中学校园网络是学校信息化教学的重要设施,确保校园网络的安全使用是学校开展正常教育教学工作的必要条件,随着网络应用的逐步深入,中学校园网络正面临着各种各样的安全威胁,本人对于网络管理工作中所遇到的网络安全问题,结合个人多年的实践经验及所掌握的理论知识,探讨了中学校园网络安全的防护策略。
中学校园网络;网络安全;防护策略
随着全球信息化程度的不断提高,计算机网络应用越来越广泛,人们对计算机网络的依赖性也越来越强,中学校园网络日渐成为学校对内资源共享、对外信息交流的重要工具,在教学、科研、管理以及对外交流与合作中起到了不可替代的作用。但网络如同一柄双刃剑,随着校园网络上各种数据的急剧增加,各种各样的安全威胁开始接踵而至,校园网络一旦因安全问题而停止运行、中断服务,将极大地影响学校的教育教学工作,所以校园网络的安全问题必须引起足够重视,确保系统运行的稳定可靠和网络服务的连续畅通至关重要。
我们的网络是一个开放的平台,网络设计之初仅考虑到信息交流的便利和开放,而对于保障信息安全方面的考虑则非常有限,伴随着计算机网络的普及应用和迅猛发展,网络攻击与防御技术,在“魔高一尺,道高一丈”的循环往复中不断攀升,网络固有的开放性和互联性,曾经是网络最大的优越性,如今变成了网络安全的隐患。网络安全已经变成越来越棘手的问题,只要是接入到因特网中的计算机都有可能被攻击或入侵,而遭受安全问题的困扰。
首先,网络协议的脆弱性,成为网络安全的隐患之一。
目前网络上所使用的TCP/IP协议,由于其协议簇完全公开,因此,利用TCP/IP协议簇的漏洞进行的网络攻击,已成为校园网中目前最常见的安全威胁之一,比较典型的ARP地址欺骗,就是利用ARP协议的接收与发送无须身份验证的特性而进行的ARP攻击。曾经因为ARP地址欺骗导致校园网中的很多用户无法登录网络,影响了正常的教育教学。
其次,广泛使用的Windows操作系统存在各种漏洞,成为网络安全的隐患之二。
Windows出现之前,这个世界还是一个纸张的世界,Windows的伟大成就之一在于使工作成果方便地看到并且打印出来,这样一个开端也影响了Windows的后期发展,导致了Windows天生的安全性问题。Windows操作系统中存在着大量漏洞(也称为脆弱性,又称为安全缺陷),除了可能的人为原因,客观原因主要是受编程人员的能力、经验和当时的安全技术加密方法所限,在程序中难免会有不足之处,轻则影响程序的效率,重则导致非授权用户的权限提升。Windows作为PC使用最广泛的图形界面操作系统显然居于垄断地位,招致了无数黑客的目光,这就使得Windows自身的漏洞无所遁形,而这些漏洞一旦被利用,就会造成信息泄漏、数据丢失等后果,成为网络安全的隐患。
我校校园网始建于2002年,采用三层结构和星形拓扑设计,形成了千兆为主干、百兆到桌面的校园网络(2016年办公电脑、网络核心设备再次更新之后,学校网络实现了千兆到桌面,并具备万兆主干的可扩展功能),目前覆盖全校的办公室、教室、实验室、微机室、音乐教室、美术教室、动漫教室、智慧空间和视频会议室、网络直播室等所有办公与教学的场所。校园网出口从济南广电的10Mbps带宽,到2008年改为济南联通的100Mbps带宽,并拥有16个C类超网IP地址,为校园网用户提供网络接入、WWW、研究性学习平台、FTP文件传输、心理网站、选课系统、网上阅卷、电子监考、网络版安全防护软件的控制台等等各种服务,布线信息点在2002年建网时300多个,2017年原公寓楼改造为2号教学楼,网络规模进一步扩大,总信息点数达到了540多个,并在原来100Mbps带宽基础上升级到200Mbps带宽,2018年学校实现无线网络全覆盖,同年并入济南教育城域网。
十多年来,在学校网络管理的工作中,有时会遇到个别终端网络的问题或者全校网络的异常,管理中出现过严重的ARP地址欺骗等各种网络问题,一定程度上影响了正常的教学和办公。为不断加强网络安全建设,于2009年、2016年两次进行了校园网络各个环节的设备和软件系统的更新,也解决了一些历史遗留的问题,比如端口对应的测定,对2017年校内出现的网络攻击,进行了各环节、多方位、多策略持续地排查,在网络安全专家及公司高级工程师的引领下,最终突破技术难题,查了个水落石出。总之,这些年遇到了诸多问题,也经过了不懈的努力和研究,采取了一系列措施,收到了明显效果,积累了一些网络安全方面经验、教训及对策,在此与大家交流并探讨。
校园网中常见IP地址冲突,主要是因为病毒或其他原因导致了系统故障,所以才进行系统重装,重装后机主常常忘记了自己分配到的IP地址,有时临时用一个,结果导致地址冲突,以至于无法上网;其次,为了配合教室内电脑的系统维护,教室内电脑的IP地址平时禁止外网连接,而课外活动期间有的学生为了上外网,就临时改用一个可以登录外网、却是已经分配给同网段老师办公电脑的IP地址,由此造成地址冲突,导致老师的办公电脑不能正常访问网络。
对于此问题,可以在核心交换机上进行了IP地址与MAC地址绑定。同时,将各网段未分配的IP地址,在防火墙中禁止外网连接;2016年11月学校第二次网络核心设备更新,启用了深信服下一代防火墙和上网优化网关,这个问题变得非常智能,只要所用IP地址是开通外网、未被占用的,连通网络之后,只要上网浏览量足够,上网优化网关AC会自动识别网络终端(网络设备、电脑、手机等)的MAC地址并与所用IP地址绑定,这个问题得到了比较彻底的解决。
IP地址与MAC地址的绑定,同时也是下面一个问题的解决措施之一。
2008年前后,校园网内的ARP地址欺骗比较严重,时常现出老师办公电脑的网络时断时续。根据欺骗的对象可以将ARP欺骗分为两种类型:欺骗网关型和欺骗主机型。其中,欺骗网关型是指攻击发生时网关内存中维护的IP-MAC对照表被污染,网关找不到真实的主机,致使主机收不到网关的回应包,从而造成上网不正常;而欺骗主机型是指攻击发生时,主机缓存中维护的ARP表被污染,网关的真实MAC地址被篡改,致使主机找不到真实的网关,同样造成无法上网。
在解决这个问题的过程中,2016年第二次核心设备更新之前,基本上分为两个阶段,先后施策如下:
第一阶段从2008年开始,侧重于解决欺骗主机型的ARP攻击。建议老师们在“启动”项里放置批处理文件rarp-*.bat,*号代表不同的VLAN,在VLAN1的老师使用rarp-1.bat文件,在VLAN2的老师使用rarp-2.bat文件(IP与MAC绑定的命令),以此类推,运行bat文件以绑定网关。特别提醒:一定要在网络正常时运行,才能绑定正确的网关。
第二个阶段从2010年开始,侧重于解决欺骗网关型的ARP攻击。在核心交换机中绑定检测到的、在线电脑的IP地址和MAC地址,算是彻底解决了ARP地址欺骗问题。这个工作需要经常去做:一是因为登录核心交换机时,可能见不到暂未开机的电脑;二是因为工作调整、办公位置变更,IP地址、电脑或者网卡更换等,都需要解绑,并根据现实的IP地址和MAC地址的对应情况,重新绑定。
2016年学校第二次网络核心设备更新以后,上网优化网关AC自动检测并绑定,需要的时候,再手动解绑。
当IE浏览器本身出现故障时,或者IE被恶意破坏后,都可能导致无法浏览网页,这时候往往QQ是可以登录的,这种情况下,建议重新下载并安装IE;另外,特别推荐使用谷歌浏览器,多年的实践反复证明,如果网络其他环节正常,用IE浏览器浏览网页卡滞,换用谷歌浏览器后,会流畅很多。
如果QQ能登录、而网页打不开,就有可能是DNS服务器的问题。原因之一可能是本机的DNS设置错误,原因之二可能是DNS服务器本身问题。这时可以先检查本机所设置DNS服务器的IP地址是否正确,如果设置正确无误,可以判断是这个DNS服务器本身工作异常,可以考虑换用其他DNS服务器的IP地址,因为每个ISP 都有多个不同的DNS服务器。例如,联通的DNS服务器IP地址有: 202.102.152.3、202.102.128.68等等。
有几次全校的电脑一时间都不能访问外网、而内网正常,QQ也在线,原因就是当时DNS服务器本身的问题,或者服务器故障,或者服务器进行系统维护暂停服务了,所以换用了其他DNS服务器,网页浏览马上就恢复正常了。
2009年学校首次更新网络核心设备,为防火墙购买了三年的安全软件包(7个软件,包括防病毒门户等),各种原因只用了一年就显示到期了,导致防火墙软弱无力,而学校因为已经为电脑购买了网络版的卡巴斯基,也不想再重复投入,网络安全的第一道防线失守;自从2013年开始,电脑的系统管理员们选择了免费杀毒软件,把网络版的卡巴斯基放弃了,网络安全的第二道防线失守。而网络环境复杂多变,病毒木马不断升级换代,所以系统卡滞、网络时断时续,就不足为奇了。直到2016年第二次网络核心设备更新,启用了深信服的下一代防火墙,由于历经磨难大家也都认识到正版杀毒软件的价值,几乎全部电脑都安装并定时扫描,这个问题才得以彻底解决。
2013年到2016年的两三年之间,由于电脑系统的维护人员随意使用免费的杀毒软件,导致学校网络时常卡滞——他们这样做的原因是:电脑配置不够,安装学校购买的卡巴斯基之后,在更新或者扫描时用电脑办公会比较卡。其实,如果自行设置定时更新、定时扫描(选择自己不急用电脑的时段,比如中午),就可以正常使用卡巴斯基,比较安全而且工作时运行流畅。全校电脑更新换代也不是一时可以解决的,系统维护人员基本上只负责一键恢复,关键环节缺失,卡滞问题时常出现,期间试用了深信服的下一代防火墙,发现校园网中的僵尸主机比比皆是,而当时的僵尸主机IP地址列表明确显示:所有的僵尸主机没有一个是安装了卡巴斯基的,可见免费杀毒软件的效能,非常有限。
在网络安全的两道防线失守之后,学校网络出现时断时续的状况,具体原因之一是DNS服务器检测到了校园网中有电脑中毒或者有危险软件,然后自动切断网络连接(断网时间默认设置为20分钟)。由于全校所有网络终端在互联网上对应于同一个外网IP地址,所以,其他正常电脑如果设置使用了相同的DNS服务器,也打不开网页,更换DNS服务器的IP地址,网页浏览马上恢复正常;如果更换相同DNS地址的电脑多了,其中再有中毒电脑,网络不通的现象又会重复出现。具体原因之二是中毒电脑大量发包,瞬间占用了绝大部分的网络带宽。2013年下学期,某网站制作公司寄生在学校的一台服务器中毒(未安装学校购买的正版杀毒软件),严重影响了整个学校网络的正常运行。由于当时经验不足,颇费了些周折,最终通过科来网络分析系统,检测到学校多达98%的带宽被中毒的服务器独占,断开该服务器的网络连接,学校网络马上恢复正常,然后果断处理中毒的服务器。
由于工作中难免意见冲突,有人或法律意识淡薄,或以为校内不可能有人觉察到,基于不为人知的目的进行了非法操作,导致学校网络相当长的时间内,时不时出现网络卡滞的现象。后来才逐渐明白这实际上已经属于纯正的网络犯罪,也属于网上危害公共安全犯罪。内网出现的攻击,学校知情并支持解决问题,身为学校网管必须迎接挑战、担当作为,对网络安全设备的运行情况每日观察并截图,在各层交换机开启生成树协议以排除形成环路等情况,想方设法、殚精竭虑,争取了安全设备供应商有限的技术支持,在咨询技术问题时意外引来了网络安全专家的介入,网络安全专家现场勘察之后当时定性,并给予了解决问题的方向和勇气。
于是加班加点导出上网优化网关AC中的网络日志,尝试自行分析,中间困难重重。网络攻击严重的时段,不到一分钟的网络日志就需要一个满格的电子表格文件来存储,因为一个电子表格文件一次最多能导出10万条网络日志,而导出或者打开一个这样的文件需要几分钟甚至十几分钟的时间,耗时之长、工作量之大,常人难以想象,网络日志的分析也经历了很曲折的研究过程。最终透过网络日志的分析结果,校内攻击源一目了然:外发攻击的终端并发连接数特别大,有时在2、3分钟时间内竟然占到总数的95%以上,有时甚至高达98%,远远大于其他正常终端,几乎达到设备所允许并发连接数的上限,所以导致其他终端无法打开网页,严重的时候QQ也登录不了;而且回溯、分析之前网络攻击时段的日志,发现外发攻击的终端、人员,相对固定,只是反反复复。针对这种情况,第一时间把网络日志的分析结果提交学校网络安全领导小组,然后在有限的处理措施得到允许的前提下,从技术上把外发攻击终端有线网络的相关IP地址,从上网优化网关AC中进行流控,并结合无线网络的暂停使用(把相关人员手机或电脑无线网卡的MAC地址加入黑名单一个月,根据之后的表现,决定是否恢复开通)来提醒或者惩戒,效果明显。
中学校园网络安全包括网络系统安全和信息系统安全两部分,即首先要保证硬件、软件、运行服务的安全,也就是网络畅通,其次要保证数据安全。网络安全的问题是当今网络技术的一个重要研究课题,安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。中学校园网络安全的防护策略,一要注重提高人员素质,二要加强日常管理维护,三要综合应用多种网络安全技术,主要包括防火墙、划分VLAN、安全认证与访问控制等,并及时进行系统软件升级、杀毒软件和应用软件的更新。
中学校园网络安全主要涉及管理、技术和应用层面,要确保网络安全,必须注重把每个环节落实到每个层面。进行所有这些具体操作的都是人,人员是网络安全中最薄弱的环节,然而这个环节的加固又是最经济、最高效的。因此必须加强对使用网络和管理网络的人员进行安全培训,增强内部人员的安全防范意识,提高内部管理人员的整体素质,提高校内所有人员的法律意识,学习并遵守《中华人民共和国网络安全法》,做到学法、知法、守法。
防火墙是目前最为流行、也是使用最广泛的一种网络安全技术。防火墙常被安装在内网与外网的节点上,用于逻辑隔离内网和外网。防火墙的功能之一是控制内部网络对外部网络的访问,此功能分为两个方面:一方面是可以控制内部网络用户对外部一些非法或者受限网络的访问,另一方面是控制内部网络用户是否可以连接到外部网络,前者是通过对外部IP地址或者网址的控制来实现的,后者则通过对内部用户的IP控制来实现;防火墙的功能之二是控制外部网络用户对内部网络的访问,此功能也分为两个方面:一方面是只允许外部用户访问本地网络的某些主机(主要是服务器),另一方面是只允许外部用户中指定的用户访问本地网络。
我校2009年配置的防火墙为Watch Guard X1250e,实际工作中常用的功能有:网络地址转换,开通某服务器的端口以允许外部访问,或禁止内部部分IP地址连接外网,或设置特定外网地址拒绝内部访问等。2016年配置的是深信服的下一代防火墙AF-1210,配合使用的是深信服的上网优化网关AC-1400,AF安全防护功能强大,对内部访问的网络检测到安全隐患之后自动“拒绝”,来自外部网络的异常连接直接“阻断”;AF防外不防内,真可谓家贼难防,排查校内的网络攻击,则体现了配备AC是非常必要、非常重要的,二者各有所长、互为补充,可以解决绝大部分的网络安全问题。为了充分发挥下一代防火墙和上网优化网关在保障网络安全方面的潜能,一方面需要单位持续地投入以便能够及时升级,另一方面需要网管不断地学习,深入地研究和探索。
运用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段,根据不同的部门及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。运用VLAN技术主要是有利于:一是防范广播风暴。限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量,网络分段可以防止广播风暴波及整个网络。二是增强局域网的安全性。含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等设备。
我们学校2009年核心设备更新,划分的VLAN数为10个,其中两个备用。服务器单独一个VLAN,办公区、教学区、教辅区,以及不同楼宇分别划归为不同的VLAN,而教学楼和公寓楼的1 二层教学区,划分在同一个VLAN中;不同VLAN之间用户要进行数据传输,首先要关闭Windows防火墙,其次关闭安全防护软件(如卡巴斯基)的防火墙等,由此已经达到了VLAN划分的目的。学校2016年核心设备再次更新,加上无线网络全覆盖、更新两个新的云机房,改造后的2号教学楼单独VLAN,总的VLAN数增至19个。
既考虑管理上安全,也兼顾使用上方便,长期以来严格落实网络安全认证,保障不同用户的相应权限,比如有线网络和无线网络、网络核心设备、FTP文件传输服务器等等。
(1)在有线网络中,静态IP地址绑定MAC地址、IP地址实名分配到个人,可以实现相互关联,保证安全用网、责任到人。在无线网络中,启用了严谨的用户实名认证系统;同时克服种种困难实现了教学楼电子班牌、部分专用教室无线网络通过MAC地址认证:在相应终端检测到MAC地址并记录,设置固定的IP地址,上网优化网关AC中手动添加IP地址绑定MAC地址,在无线网络认证平台RG-ESS易安全系统中添加MAC认证,为了便于对应,最好备注各终端的位置信息,保证安全问题落实到位。
(2)在网络核心设备中,各网络终端要么以静态IP地址记录、要么以用户实名记录,所有网络行为都有迹可循、可以回溯,通过无线网络核心设备中的用户实名,可以对应到所用的IP地址、MAC地址、操作系统及对应的终端类型(是计算机还是手机等);同时,允许登录网络安全设备(AF或者AC)的终端IP地址,可以进行预设,这在一定程序上保证了网络的安全。
(3)学校现在的FTP服务器,采用实名认证登录,每位老师用自己的用户名/密码登录,登录后可以自行改密;只对自己所在处室组的文件夹有全部的权限,并且每人只有3GB的空间可用,如果用尽了,需要自行清理后才可以继续上传文件;所有用户每天的访问日志自动生成一个文件,用户实名制与日志生成的意义,还在于可以实现信息安全的不可否认性。
网络中有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。访问控制就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定用户节点所能具备的访问权限。权限控制是针对网络非法操作所提出的一种安全保护措施,校园网络是以用户为中心的系统,对用户和用户组赋予一定的权限,可以限制用户和用户组对于目录、文件、打印机以及其他共享资源的访问,从而有效地保证网络的安全。用户级别与权限的设置,应该遵循的原则是:为了获得最大的安全系数,尽可能给用户完成任务所需的最小权限,即按最小化原则授权。
(1)在争取学校总带宽增至200Mbps以后,通过AC对学生机房、各种应用、无线网络实现了流量分配,并积极回应老师们对流量需求的建议,及时调整流量策略,以保证校内每个用户足够的流量,保证教育教学工作中网络应用的流量充足、正常运行;学生微机室的学生机IP地址列表对应于禁用游戏策略,启用该策略后,学生机上将无法运行AC中实时更新的所有游戏。
(2)旧的FTP服务器多处故障无法修复,需要在新服务器上重新搭建,serv-U10.4功能强大,可以实现从旧服务器备份用户信息后导入新服务器,不仅可以将每个用户原有的数据正常迁移,而且能够将所有用户的账号、密码、可访问路径及相应权限安全迁移,使得每一位老师通过原来的IP地址或者原来的快捷方式、用原来的账号和密码无感知地登录并使用新的服务器。
主要是操作系统升级和反病毒软件升级。
(1)操作系统升级。操作系统是最重要的系统软件,任何应用都运行于操作系统之上。为了使用上的方便,中学校园网络中的多数客户机、部分网络服务器,均使用Windows操作系统,而Windows操作系统存在着众多的系统漏洞,隐藏着很多的安全隐患。虽然操作系统开发商不断开发新的版本,以提高其安全性,但并不能做到十全十美,操作系统开发商也在陆续为发现的系统漏洞提供安全补丁,以增强系统安全性。对于用户来说,一定要定期或不定期地安装这些补丁,以增强操作系统的免疫力。
(2)反病毒软件升级。新的病毒和木马产生的速度十分惊人,反病毒软件不一定能够在第一时间识别和清除它们,所以反病毒软件一定要经常更新程序和病毒库,才能够及时对最新的病毒和木马进行识别并清除。另外,我校的亚信安全客户端一度和Office软件冲突,导致Word等文件无法正常保存,而只能“另存为”,与亚信安全的厂家多次联系并远程之后,才成功安装了相关补丁,Word文件、Excel等文件的保存得以恢复正常。
我们学校从2007年至2017年之间用了卡巴斯基网络版,客户端能够及时升级,网管也可通过管理控制台对全校电脑进行统一升级和扫描查杀,但是由于关键环节的安全意识不强,无法实现统一管理,而且从客户端可以自行卸载;2017年至今学校用的是亚信安全网络版,通过管理控制台,对全校电脑进行预设扫描、实时扫描、全盘扫描等的设置,每周五中午12点开始对全校电脑统一进行全盘扫描。值得一提的是,作为网络版安全防护软件,亚信安全做得特别好的地方是:客户端如果退出或卸载,需要管理员提供密码,这就有效地防止了客户端随意退出或者卸载而失控。
另外,为了系统与网络的安全,实现亚信安全客户端的统一安装、智能控制,经过反复研究,在AC中成功启用了网络准入策略,如果AC检测不到亚信安全客户端的关键进程,电脑就无法登录外网,这一点AC表现特别出色,这样可以保证全校所有电脑统一安装正版防护软件,最大限度保障学校的网络安全。同时,亚信安全也具有人性化操作的功能,有的系统比如图书流通系统、FTP服务器软件Serv-U,还有之前竞业达的电子监考系统等可信任程序,能够单独设置扫描例外,否则会被扫描清理,而无法正常运行。
随着网络的不断发展,我们对网络的依赖性将逐步增强,而网络的安全问题也会随之增多,因此校园网络安全成为关系教育教学正常进行的重要因素。所以我们必须提高认识,加大投入,增强安全防范和法律意识,强化安全管理机制,采取有效安全策略,确保校园网络安全,为学校的教育教学构筑安全、可靠、稳定的网络环境。
[1]肖茜.网络信息安全研究[J].网络安全技术与应用,2009(4):27-28.
[2]张军伟.高校网络安全分析及其对策[J].网络安全技术与应用,2009(10):62-64.
[3]毛方明.高职院校网络安全体系研究[J].网络安全技术与应用,2011(6):46-48.
[4]彭俊.校园网的安全威胁及管理策略[J].网络安全技术与应用,2011(7):62-64.
[5]孔晓溪.浅析网络安全犯罪的概念与分类[J].网络安全技术与应用,2012(3):68.
[6]Windows系统漏洞的防范:为了防范系统漏洞被黑客利用[EB/OL].http://www.101505.com/sixianghuibao/2019/0414/187028.html.