王杰昌

摘? 要：校園網(wǎng)具有獨特的網(wǎng)絡(luò)環(huán)境，其面臨的主要安全問題有網(wǎng)絡(luò)邊界權(quán)限問題和木馬病毒問題。而應(yīng)對這兩個主要安全問題的策略就是部署防火墻和殺毒軟件，該文講解了這兩種技術(shù)手段，并重點闡述了殺毒軟件的部署和操作，以有效應(yīng)對網(wǎng)絡(luò)安全威脅。

關(guān)鍵詞：校園網(wǎng)? 主要安全問題? 防火墻? 殺毒軟件

中圖分類號：TP393.08? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1672-3791（2019）03（a）-0009-02

和其他網(wǎng)絡(luò)不同，校園網(wǎng)有其獨特性，首先學(xué)校有大量師生要上網(wǎng)，其次還有很多業(yè)務(wù)系統(tǒng)。在校園中網(wǎng)絡(luò)要覆蓋教學(xué)樓、辦公樓、圖書信息大樓以及宿舍樓等不同領(lǐng)域，信息節(jié)點近萬余個，校園網(wǎng)的安全威脅多樣化[1]。保障校園網(wǎng)的網(wǎng)絡(luò)安全，營造穩(wěn)健的網(wǎng)絡(luò)環(huán)境，仍是各高校網(wǎng)絡(luò)維護工作的重點所在。

1? 校園網(wǎng)主要安全問題分析

首先，網(wǎng)絡(luò)邊界和權(quán)限問題。網(wǎng)絡(luò)也是有邊界的，不是誰想訪問校內(nèi)資源就能訪問的。比如校園網(wǎng)的圖書館資源，這些都是高校花錢購買的，專門提供給廣大師生使用的，如果校園網(wǎng)不設(shè)置邊界和權(quán)限，那么會有很多社會人士通過網(wǎng)絡(luò)進(jìn)入校園網(wǎng)，免費使用圖書館資源。再比如高校教務(wù)系統(tǒng)的權(quán)限要區(qū)別設(shè)置，不同的身份給予不同的權(quán)限，高級權(quán)限只能開放給教務(wù)處的老師，普通師生只能給予查詢權(quán)限，如果這些權(quán)限沒有管控，任何人都能隨意修改成績，那問題就嚴(yán)重了。

其次，網(wǎng)絡(luò)病毒和木馬問題。由于校園網(wǎng)上網(wǎng)用戶眾多，感染病毒和木馬的幾率是很大的。如果不能及時攔截和查殺這些病毒和木馬，任其擴散開來，如果學(xué)生機房或中心機房服務(wù)器區(qū)被感染，那么整個校園網(wǎng)岌岌可危。2017年至2018年勒索病毒在很多國家肆虐，我國高校校園網(wǎng)也深受其害，這就是很好的例證。

2? 校園網(wǎng)主要安全問題的對策

根據(jù)校園網(wǎng)經(jīng)常遇到的諸多安全問題（如網(wǎng)絡(luò)邊界和權(quán)限問題、網(wǎng)絡(luò)病毒和木馬問題、網(wǎng)絡(luò)黑客和不法分子對校園網(wǎng)的攻擊等），需要一個比較全面的安全防護方案，下面就方案的幾個組成部分進(jìn)行詳細(xì)的闡述。

2.1 防火墻

對于網(wǎng)絡(luò)邊界和權(quán)限問題，我們首先應(yīng)該考慮的是在校園網(wǎng)和因特網(wǎng)之間嵌入防火墻設(shè)備，管控校園網(wǎng)和因特網(wǎng)之間的連接和訪問[2]，避免校外人士隨意進(jìn)出校園網(wǎng)和獲取校內(nèi)網(wǎng)絡(luò)資源的問題，同時管控廣大師生的上網(wǎng)行為。如果師生在校外還想訪問校內(nèi)資源，可以開放一些網(wǎng)站的http權(quán)限，讓師生在校外通過賬號密碼登錄訪問;還可以通過VPN或虛擬客戶端訪問內(nèi)網(wǎng)資源。

其次，為避免校內(nèi)普通師生PC對中心機房服務(wù)器區(qū)發(fā)動的網(wǎng)絡(luò)攻擊，還需在他們之間設(shè)置內(nèi)網(wǎng)虛擬防火墻。

最后，為避免中心機房服務(wù)器之間（尤其是同vlan服務(wù)器之間）發(fā)起的網(wǎng)絡(luò)攻擊，我們還需考慮開啟服務(wù)器操作系統(tǒng)自帶的防火墻，并且視具體情況設(shè)置端口例外。

2.2 殺毒軟件

對于網(wǎng)絡(luò)病毒和木馬問題，我們要考慮使用殺毒軟件[3]。對于廣大普通師生的PC，我們建議安裝免費的殺毒軟件，比如360安全衛(wèi)士（查殺木馬）和360殺毒（查殺病毒），或者火絨安全軟件（前瑞星殺毒軟件團隊研發(fā)）等。而對于服務(wù)器和重要人物（校領(lǐng)導(dǎo)、網(wǎng)絡(luò)中心管理員、教務(wù)系統(tǒng)管理員、財務(wù)系統(tǒng)管理員、辦公系統(tǒng)管理員、人事系統(tǒng)管理員等）的辦公電腦，我們建議使用購買的正版殺毒軟件，比如卡巴斯基，而卡巴斯基殺毒軟件是把病毒和木馬都記錄在其病毒庫內(nèi)，認(rèn)為它們都是病毒，所以該軟件是集安全衛(wèi)士和殺毒為一體的軟件。因為對于普通用戶而言，免費的殺毒軟件就夠用了，但是這些免費的殺毒軟件往往比較“流氓”，會捆綁很多軟件，在你不注意的情況下會安裝到系統(tǒng)里，而這些對于服務(wù)器和重要人物辦公PC是不安全的;而收費殺毒軟件則不會，它們往往是為安裝的機器量身打造的，而且會及時更新病毒庫和升級軟件，還有售后工程師提供技術(shù)支持，這些都是免費軟件所不具備的。下面我們以卡巴斯基殺毒軟件為例，闡述一下其具體使用。

2.2.1 軟件安裝部署

首先，需要安全防護的服務(wù)器和重要人物辦公電腦要逐一安裝該殺毒軟件的客戶端，對于單臺的物理服務(wù)器，卡巴斯基殺毒軟件可直接安裝，對于不同操作系統(tǒng)的服務(wù)器，該軟件也相對應(yīng)的有Windows版本和Linux版本;對于虛擬服務(wù)器來說，需要在其宿主機底層安裝該軟件。

其次，再部署一臺vShield Manager服務(wù)器，作為卡巴斯基殺毒軟件和VMware對接的“中介”。

最后，為其分配一臺虛擬服務(wù)器作為管理機，并且在管理機部署卡巴斯基安全中心，要保證所有安裝卡巴斯基殺毒軟件客戶端服務(wù)器和辦公PC與管理機的服務(wù)端口暢通。

2.2.2 管理組設(shè)置

對于管理組設(shè)置網(wǎng)絡(luò)中心管理員只需在管理機上操作即可，不需要對所有安裝該軟件的服務(wù)器或PC進(jìn)行逐一操作。打開安全中心，首先要設(shè)置管理組，將虛擬服務(wù)器的宿主機分成一組命名為vCenter，將單臺的物理服務(wù)器和辦公PC編成一組命名為物理機。

對于vCenter組來說，因虛擬機所在的宿主機底層安裝的都是Linux操作系統(tǒng)，所以只需創(chuàng)建一個Linux系統(tǒng)殺毒軟件更新任務(wù)即可，只要付費，就可及時更新軟件和病毒庫。然后再創(chuàng)建一個掃描任務(wù)：（1）為避免掃描任務(wù)影響服務(wù)器的正常工作，可避開學(xué)校工作時間，設(shè)置其每周六晚上零點開始全盤掃描;（2）安全級別自定義，檢測到威脅后可設(shè)置為自動選擇操作，這樣以來，如果檢測到文件感染病毒就清除病毒，如果檢測到木馬就刪除，如果檢測到疑似感染病毒的文件就隔離，如果檢測到感染病毒文件無法清除就放到存儲的未處理文件里;（3）掃描范圍設(shè)置需考慮特殊軟件，比如校園網(wǎng)有FTP服務(wù)器，管理員經(jīng)常會往FTP服務(wù)器上上傳一些應(yīng)用軟件安裝包及其破解工具，而卡巴斯基會把破解工具視為病毒并殺掉，如果我們確認(rèn)該工具無毒，可以采取類似建立白名單的做法，將其放到一個指定的文件夾里，掃描范圍可設(shè)定為除該指定文件夾以外的所有文件夾。

對于物理機組來說，因該組單臺的物理服務(wù)器有安裝Windows系統(tǒng)的，還有安裝Linux操作系統(tǒng)的，辦公PC安裝的是Windows系統(tǒng)，所以其任務(wù)應(yīng)該是既有針對Windows系統(tǒng)的軟件更新和掃描任務(wù)，也有針對Linux系統(tǒng)的掃描更新任務(wù)。

當(dāng)然上述設(shè)定的自動更新和掃描任務(wù)，在必要時也可以由管理員手動更新和手動掃描。另外，在各組計算機選項卡還能看到各機器的連接狀態(tài)和病毒庫更新狀態(tài)，我們可以據(jù)此對有問題機器進(jìn)行酌情處理。

2.2.3 報告和通知

在這方面，我們可設(shè)定感染最嚴(yán)重計算機報告、所有機器一個月病毒報告、特殊機一周病毒報告、物理機一周病毒報告、虛擬機一周病毒報告等。查看感染最嚴(yán)重計算機報告時，我們經(jīng)常會看到OA服務(wù)器，分析原因，我們會考慮到很多老師會通過自己的辦公PC向服務(wù)器上傳公文（Word文檔），部分老師的辦公PC有病毒，我們查看隔離區(qū)感染公文就會知道是哪個部門哪位老師的公文，進(jìn)而追蹤到其辦公PC，對這些辦公PC進(jìn)行全面的掃毒殺毒。同理，其他報告也對我們的安全維護工作大有裨益的。

2.2.4 存儲

在存儲類里面也有比較重要選項，比如更新、授權(quán)許可、隔離、備份、未處理文件等。其中，隔離里面存放的是疑似感染病毒文件，如果確認(rèn)是正常，則可以恢復(fù)該文件。未處理文件里面存放的是感染病毒的文件，因該文件正在運行，所以無法清除病毒，只能放在這里，管理員可停止運行該文件或重啟服務(wù)器，然后就可清除掉該文件的病毒。更新、授權(quán)許可、備份則不再贅述。

2.2.5 管理服務(wù)器

在平時的維護工作當(dāng)中，我們經(jīng)?？吹木褪枪芾矸?wù)器頁面，它是一個總概覽頁面，包括部署、計算機管理、計算機保護和病毒掃描、更新、監(jiān)控等幾大類。通過這個頁面我們可以看出各方面的大致情況，優(yōu)先處理標(biāo)紅告警的問題，比如有幾臺機器病毒庫過期、幾臺機器反病毒保護沒有運行、幾臺機器禁用保護等。

3? 結(jié)語

道高一尺，魔高一丈。校園網(wǎng)安全防護就是一個此消彼長、不斷攻防的過程。隨著時代的發(fā)展和技術(shù)的進(jìn)步，網(wǎng)絡(luò)病毒和黑客也在發(fā)展，校園網(wǎng)所面臨的安全問題也會越來越復(fù)雜，所以，安全防護技術(shù)也要不斷地升級，不斷地改進(jìn)，加以應(yīng)對。

參考文獻(xiàn)

[1] 徐澤唯.校園網(wǎng)絡(luò)管理及安全防護方案分析[J].電腦知識與技術(shù)，2018（162）：72-74.

[2] 斯托林斯.密碼編碼學(xué)與網(wǎng)絡(luò)安全——原理與實踐[M].3版.北京：電子工業(yè)出版社，2004.

[3] 楊戰(zhàn)旗.校園網(wǎng)安全風(fēng)險應(yīng)對策略研究[J].福建電腦，2018（3）：102-103.