石家莊市第二職業(yè)中專是一所以計算機為主要專業(yè)的國辦專業(yè)學(xué)校，校內(nèi)的網(wǎng)絡(luò)專業(yè)在河北中職學(xué)校中具有很強實力。筆者是網(wǎng)絡(luò)專業(yè)的負(fù)責(zé)人，經(jīng)過近10年的網(wǎng)絡(luò)教學(xué)和實踐，對計算機專業(yè)尤其是擁有網(wǎng)絡(luò)專業(yè)的學(xué)校的校園網(wǎng)的安全有自己的一些思考和實踐。

　　學(xué)校校園網(wǎng)系統(tǒng)的具體情況是:

　　● 就以往的安全管理來看，以整體防御確保每一臺計算機的安全對于學(xué)校來說只存在理論的可能性，實踐起來較為困難;

　　● 學(xué)校只有一個專職網(wǎng)管人員而且脫離教學(xué)任務(wù)，對實際情況掌握的不是很熟悉。只能完成網(wǎng)管中心的局部安全;

　　● 就功能而言，學(xué)校的計算機網(wǎng)絡(luò)可分為4大類型:教師集中辦公的微機網(wǎng)絡(luò)、學(xué)生上機的微機網(wǎng)絡(luò)、網(wǎng)管中心網(wǎng)絡(luò)、學(xué)校職能部門例如檔案室、會計室、校長室、試卷庫等部門網(wǎng)絡(luò);

　　● 學(xué)校了解網(wǎng)絡(luò)安全的專業(yè)教師非常多，而且專業(yè)各有特長;

　　● 網(wǎng)絡(luò)安全課程必須開設(shè)，內(nèi)部攻擊不能從制度上禁止。

　　分區(qū)防守，增強“壁壘”

　　根據(jù)以上具體情況結(jié)合網(wǎng)絡(luò)安全問題我們得出了以下的分析結(jié)果:

　　1、靠網(wǎng)管一個人實現(xiàn)整個網(wǎng)絡(luò)的安全是不可能的。

　　2、四個不同功能的網(wǎng)絡(luò)對網(wǎng)絡(luò)安全的要求是不同的。教師網(wǎng)絡(luò)因為權(quán)限較大所以主動染毒性非常強，但是由教師網(wǎng)絡(luò)發(fā)起的對校園網(wǎng)絡(luò)的內(nèi)部攻擊非常少。網(wǎng)管中心的網(wǎng)絡(luò)非常重要但是相對安全。學(xué)生機房由于紀(jì)律的約束，主動染毒性不存在,但是針對網(wǎng)絡(luò)的內(nèi)部攻擊次數(shù)非常多。學(xué)校職能部門網(wǎng)絡(luò)由于涉及到學(xué)校的重要信息以及相關(guān)考試的信息，所以對網(wǎng)絡(luò)安全要求非常高。

　　3、如果仍然采用習(xí)慣的整體防御，會出現(xiàn)一個區(qū)域網(wǎng)絡(luò)安全出了問題導(dǎo)致其他功能區(qū)域全部出現(xiàn)問題。

　　針對學(xué)校的具體情況和網(wǎng)絡(luò)安全問題的分析，我們制定了分區(qū)域防守與增強網(wǎng)段“壁壘”的總體安全策略。具體策略如下:

　　1、 由專業(yè)教師包括網(wǎng)管在內(nèi)組成網(wǎng)絡(luò)安全小組負(fù)責(zé)校園網(wǎng)絡(luò)安全。小組成員根據(jù)專業(yè)方向的不同負(fù)責(zé)對威脅網(wǎng)絡(luò)安全因素的具體防守，從人員方面加強力量。

　　2、 針對功能不同的網(wǎng)絡(luò)，例如教師網(wǎng)絡(luò)、學(xué)生網(wǎng)絡(luò)等進行網(wǎng)絡(luò)分段，分區(qū)域進行防守，不同區(qū)域根據(jù)安全問題的不同側(cè)重采取相應(yīng)的網(wǎng)段安全策略。

　　3、 整個網(wǎng)絡(luò)安全體系由主防火墻和子防火墻一起構(gòu)成。主防火墻由網(wǎng)管負(fù)責(zé)，進行網(wǎng)絡(luò)整體防守。子防火墻由專業(yè)老師具體負(fù)責(zé)，配置到具體網(wǎng)段進行區(qū)域防守。

　　4、 不同的區(qū)域就是網(wǎng)段配置不同的五大安全部件，在防火墻、防毒墻、身份驗證、傳輸加密、IDS/IPS幾個方面區(qū)別配置來適應(yīng)不同區(qū)域的具體要求。

　　以上就是分區(qū)域防守思想，我們在具體實施之后發(fā)現(xiàn)網(wǎng)絡(luò)安全有以下幾點可喜的變化:

　　1、校園整體網(wǎng)絡(luò)安全有所提高，不同區(qū)域的網(wǎng)絡(luò)安全由具體人負(fù)責(zé)，責(zé)任到人，相關(guān)網(wǎng)絡(luò)安全問題可以快速解決。

　　2、因為專業(yè)人員的方向不同，負(fù)責(zé)不同區(qū)域的防守個人的專業(yè)特長有所體現(xiàn)，處理問題得心應(yīng)手。

　　3、在出現(xiàn)安全問題時可以輕松做到盡量減少損失。在損失掉一個區(qū)域之后其他區(qū)域仍有很強的安全性，以往整個網(wǎng)絡(luò)同時出現(xiàn)一種安全問題的現(xiàn)象基本杜絕。

　　4、成立了安全委員會后，負(fù)責(zé)不同防守任務(wù)的人員互通情況相互促進學(xué)校安全人員的技能和素質(zhì)有很大的提高。

　　但是，簡單的靠IP分段會存在許多功能問題。而且由于IP的人為可設(shè)置性使得網(wǎng)絡(luò)存在很大的安全隱患。所以在此基礎(chǔ)上學(xué)校更換了主交換機和子交換機。使用了主三層交換設(shè)備和可配置VLAN的子交換設(shè)備和高性能路由器。這樣使得我們的分網(wǎng)段實施“壁壘”的思想可以更方便地實現(xiàn)。分網(wǎng)段實施“壁壘”的思想是分區(qū)域防守的有利保證，從硬件方面增強了分區(qū)域防守的力度。

　　分網(wǎng)段增強網(wǎng)段“壁壘”的思想較為簡單，為了讓大家更好理解，在此作簡單的闡述。

　　1、把原來的按地理情況分網(wǎng)段改按功能分網(wǎng)段，在設(shè)備的支持下改以物理連接控制為邏輯連接控制。

　　2、利用設(shè)備所能提供的三層交換和VLAN功能加強防火墻實力。

　　3、改IDS為IPS從根本上可以預(yù)防攻擊的來臨，同時啟用設(shè)備自帶的安全功能加強安全防護。

　　尋求主動優(yōu)勢

　　以上就是分網(wǎng)段加強壁壘的思想。在人員得到鍛煉從而增強自身技術(shù)實力和硬件設(shè)備得到加強的基礎(chǔ)上，我們對學(xué)校校園網(wǎng)的安全做了更大膽的改進。我們變被動防守為主動防守，在相關(guān)法律的允許下學(xué)校做了大量嘗試。

　　首先，學(xué)校建立了自由網(wǎng)絡(luò)攻擊區(qū)域?qū)W(xué)生們開放，學(xué)生可以自由對此區(qū)域的機器發(fā)起攻擊，使得學(xué)生們有了攻擊的目標(biāo)。既鍛煉了學(xué)生們的攻防能力又減少了校園網(wǎng)的內(nèi)部攻擊，一舉兩得。

　　其次，學(xué)校建立了誘攻區(qū)，轉(zhuǎn)移來自外網(wǎng)對學(xué)校主服務(wù)器的攻擊方向。通過改變主服務(wù)器的配置，使得來自網(wǎng)外針對服務(wù)器的攻擊轉(zhuǎn)入誘攻區(qū)。而且學(xué)校在誘攻區(qū)內(nèi)實施了網(wǎng)絡(luò)陷阱等多種安全設(shè)置使得攻擊者徒勞無功，保護了主服務(wù)器的安全。

　　再次，學(xué)校對相關(guān)服務(wù)器提供的服務(wù)都實施了虛擬化，使得即使虛擬機被攻陷，主要數(shù)據(jù)和服務(wù)仍然可以很快得以恢復(fù)。

　　同時，學(xué)校培養(yǎng)了攻擊捕獲手，針對攻擊展開了針鋒相對的網(wǎng)絡(luò)捕獲。這樣學(xué)校對違法攻擊就可以追查到具體的攻擊IP，為學(xué)校從法律角度維護網(wǎng)絡(luò)安全提供事實依據(jù)。

　　學(xué)校還建立了補丁服務(wù)器，對所有軟件的補丁統(tǒng)一管理，對各區(qū)域的機器統(tǒng)一升級，使全校計算機針對各種漏洞的補丁達到了最快速度的處理。全范圍的實現(xiàn)防止漏洞攻擊，解決了補丁升級不一致導(dǎo)致的安全問題。

　　在經(jīng)過以上3個階段的網(wǎng)絡(luò)安全策略實施之后，我們經(jīng)過近一年的實踐和數(shù)據(jù)統(tǒng)計發(fā)現(xiàn)整體網(wǎng)絡(luò)安全有了本質(zhì)的提高。大范圍的網(wǎng)絡(luò)安全事故基本沒有出現(xiàn)，相關(guān)攻擊大大減少。

　　期待更進一步

　　我們在實驗過程中也發(fā)現(xiàn)了相關(guān)的問題:

　　1、由于防火墻的設(shè)置導(dǎo)致不同區(qū)域網(wǎng)絡(luò)互訪速度下降。

　　2、由于主防火墻和子防火墻在安全策略上的設(shè)置問題導(dǎo)致有些區(qū)域的有關(guān)網(wǎng)絡(luò)功能實施困難。

　　3、由于負(fù)責(zé)安全的人員比較多，增加了網(wǎng)絡(luò)安全的密碼風(fēng)險。

　　針對以上三個問題我們做了相應(yīng)的改進。速度和安全很難兼顧，所以只有通過更新設(shè)備、增大容量來從本質(zhì)上提高速度。針對主防火墻和子防火墻策略沖突問題，采取了由緊到松的逐步放開的策略，即先關(guān)閉相應(yīng)功能，然后根據(jù)具體區(qū)域的網(wǎng)絡(luò)需求經(jīng)過配置實踐后再逐一打開相關(guān)功能。這樣教師微機網(wǎng)絡(luò)的網(wǎng)絡(luò)游戲問題也得到了一定控制。針對密碼風(fēng)險的問題，加強了人員思想培訓(xùn)和密碼分發(fā)更新制度，基本解決了無意泄密的問題。