网络的安全性和可管理性越来越受到人们的重视

1、网络的安全性和可管理性越来越受到人们的重视，笔者结合在网络管理方面的一些经验体 会，从网络病毒的预防和控制出发，采取了一些技术管理措施，有效地避免了用户隐私和重 要数据外泄，提高了网络运行的稳定性和安全性。我们应通过建立健全的网络管理制度，尽 量避免或减少人为因素的破坏，通过先进的网络技术手段配合管理制度对网络进行有效管 理，进一步加强校园网的安全性和可管理性。互联网进入中国以来，得到了迅速的发展和极为广泛的应用，位于教育与科研前沿阵地 的主力军一高校，责无旁贷地成为了互联网这一新技术的最有力推进者。从1994年国家 批复立项的中国教育与科研网工程起，高校的网络发展和网络技术的提高一直走在全国

2、各行 业的前头，大量的新技术在高校首先得到应用和推广。校园网络发展日益迅速，各种网络应 用层出不穷。网络的安全性和管理性问题越来越多地摆在校园网管理者面前。比如：在网络 安全方面如何能有效地检测并预防病毒和网络攻击，使网络能时刻正常地运行？在运营方 面，如何实现灵活运营，如何防止不法用户享用网络资源？如何实现对校园网络的应用监控 等。一、网络病毒的预防和控制网络在提供给大家方便的同时，也给病毒传播提供了最快捷的途径。随着网络的飞速发 展，网络病毒编制者水平也在提高，加上近几年网络病毒和黑客软件的结合，网络病毒的爆 发直接导致了用户隐私和重要数据的外泄；同时还极大地消耗了网络资源，造成网络性能急

3、 剧下降。从近期的“熊猫烧香”、“灰鸽子”及大量“木马”等网络病毒的爆发可以看出，网络病毒 的防范任务越来越严峻。而防范病毒的措施需要在原来的单机方式的基础上，进行集中管理， 统一升级，统一监控网络防病毒体系。校园网在学校的信息化建设中作为数字化信息的最重 要传输载体，如何保证其正常运行，如何预防和控制病毒，免受各种网络病毒的侵害，成为 各高校的一个紧迫问题。下面就这些问题向大家提供一些可行性经验。网络安全主要分为内部网络安全和外部网络安全。现在大多数网络防护都使用防火墙， 但多数防火墙都只能对外部网络安全进行控制，目前内部网络的应用越来越复杂，而且内部 网络上大多数的应用都特别重要，甚至是要

4、求严格保密的，一旦遭遇到涉密、破坏等事件， 将产生严重的后果。这些都使得内部网络安全问题变得越来越重要和突出。所以说目前迫切 需要解决的网络安全问题应该主要来自于网络的内部。内部网络的病毒防范浏览染毒和非法的网站及盗版软件应用程序的运用，导致病毒泛滥，形成对网络安全的 严重冲击；另外，学生使用移动存储设备在不同的计算机上来回拷贝文件，造成了病毒更大 范围地传播。而且整个网络中只要有一台计算机中了病毒，病毒就有可能会在内部网络中迅 速传播，导致整个校园网瘫痪，给校园网络的运行和维护带来极大的麻烦。鉴于以上这些情况，网络中心提出病毒安全智能点前置的安全方案，即在网络的交换机 上实施不同的病毒安全策

5、略。网络中心通过在交换机上设置相应的病毒防护策略，配合网络中心的认证客户端软件， 能具体侦测到具体的某台计算机上是否有病毒。当交换机侦测到病毒后，交换机立即给用户 发布信息提示用户杀毒，并启动网络管理员配置，断开该用户的时间程序，比如管理员设定 的时间是2小时，在发现有病毒2小时后，开通该用户的网络，再次检测是否有病毒，如 果用户已经杀掉病毒，就为他开通；如果没有杀掉继续关闭；之后以2小时为时间段循环 检测，直到病毒被杀掉。这种策略可以控制有病毒的计算机使用网络，同时网络中心也知道 具体哪个用户中了什么病毒，通过网络管理员定位和发现病毒源，保证整个网络在无病毒状 态下正常运行。内部网络的安全监

6、控传统的网络监控是通过网络端口镜像或是利用抓包软件控制，通过对流经过交换机的数 据包的分析来确定用户使用网络的情况。这种方式有两个最大的缺点：一是对数据包的分析 需要有很高的专业知识，一般的人员完成不了；二是如果发现问题，不能自行解决。网络中心通过自行开发或购买配合交换机的网络监控软件，实现了对网络的即时监控， 这些监控包括：实时记录电脑工作台的屏幕快照；通过重播器可随时播放已记录的历史 画面；自由选择每次记荧幕快照的时间间隔；同时监控一个或多个工作站；对用户进 行控制及其它多种功能，这些功能包括：用户只有持有USB密钥和密码才能在指定电脑上 网，禁止使用指定的应用程式，禁止或限制浏览运行指定

7、的网站，锁定工作站和登出、重启 或关闭工作站，并对所监控的数据进分析归类。二、要保证网络的安全运行，必须加强网络的管理性网络安全意识淡薄，没有制定完善的网络安全管理制度，在校园网络上攻击、侵入他人 机器，盗用他人帐号，非法使用网络，非法获取未授权的文件，通过邮件等方式进行骚扰和 人身攻击等事件经常发生、屡见不鲜。我院网络中心做过统计，我校主要的几个应用服务器 平均一个星期会经受到数千次甚至上万次的非正常访问尝试，而其中一大部分的非法访问源 自校内，说明校园网络上的用户安全意识淡薄；另外，没有制定严格而又完善的网络安全管 理制度，大多数校园网在安全管理上也没有任何标准，这也是网络安全问题泛滥的一

8、个重要 原因。我校网络中心根据多年网络管理和安全经验，并且参照国家标准和技术发展方向，提 出了以下校园网络安全解决办法：实现网络运营一一防代理、防假冒。不同于传统的基于802.1x的认证方式（802.1x协议是由美电气与电子工程师协会提 出，刚刚完成标准化的一个符合IEEE 802协议集的局域网接入的控制协议，其全称为基于 端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域 网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的802.1x 认证，又称EAPOE认证，主要用于宽带IP城域网。），部分交换机的配置是基于流的认证 方式。基于流的

9、认证方式是指交换机可以用基于用户设备的MAC地址、VLAN、IP等实现 认证和控制，即无需与物理端口对应，而是基于用户认证控制，一个物理端口上实现多个用 户的接入控制。在接入层的交换设备中不需要支持802.1x，同时能解决传统802.1x认证方 式中无法解决，但对于运营又非常重要的一些问题，如代理或假冒IP和MAC及假冒DHCP SEVER等。防代理目前在校园网网络建设中，利用客户端所在机器上安装代理服务器软件实现多人共用一 个账号上网的现象非常普遍，如Wingate、Sygate、Windows提供的网络共享功能或是使用 SOHO路由器实现网络共享。这样学校提供给学生一条上网的线路，就会给多

10、个学生使用， 大大消耗了网络资源，给学校的运营带来很大的损失。有的交换机上的802.1x扩展功能和 802.1x客户端，就能防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资 源，需侦测出被代理用户和代理服务器之间代理关系，已认证通过的客户端被当作代理服务 器使用。这样就做到了学校只提供一个网络端口，只能有一个用户上网。专业打假学生是一个不安分、好奇心强的群体，一方面，他们把学校的网络当作一个实验环境， 测试各种网络功能;另一方面，他们在不断地寻找方法摆脱学校对学生使用网络资源的控制。 假冒DHCP SEVER和假冒IP、MAC给学校的运营管理带来很大的麻烦。一些思维活跃的 学生能设法用自己的计算机和操作系统配置一个DHCP SEVER，通过网络上的计算机从假 冒的DHCP SEVER寻找到IP地址使用，从而导致网络上的合法用户不能找到DHCP提供 的正确IP地址，因此无法正常使用网络资源。网络中心通过会聚三层交换机和客户端软件 进行配合，一旦发现有假冒的DHCP SEVER，将立即封掉该账户，不让其享用网络资源。网络中心针对学校网络安全和运营管理上最薄弱的环节，提出了自己独特的解决方案， 把这些技术应用到内部网络安全和防止不法用户非法侵入等方面，会给全校提供一个安全和 可以自由运行的网络，同时也方便了校园网的维护，给学校的网络管理带来最大的效