林洋

摘 要 本文列举了常见的网络安全威胁，讨论建立安全体系的原则、设备选择、运维与问题处置对策。园区网安全体系建设应从实际情况出发，全面系统衡量网络需求，建立多层次多维度的网络安全防护体系，妥善做好制度保障。

关键词 园区网；安全体系；规划；运维

中图分类号 TN9 文献标识码 A 文章编号 2095-6363（2015）09-0050-02

校园网络变得更加开放的同时，网络安全正经受更加严格的挑战，网络管理者必须切实了解保护本地网络安全的手段。本文尝试对如何创建安全的校园网络环境并保持其稳定运行提出一些规划原则与管理方法。

1 常见网络安全威胁类型

1）病毒、木马、蠕虫等自动攻击工具。具备自我复制和传播能力的程序可破坏计算机系统，破坏某信息保密性和完整性，使得攻击者从中获得利益。早期一般通过系统漏洞或文件漏洞传播，随着操作系统安全代码的日趋完善，目前主要靠欺骗性下载（如网站挂马或植入恶意代码）并被简单触发。

2）拒绝服务攻击。拒绝服务是攻击者常用攻击手段之一。攻击者通较强计算能力的服务器或大规模肉鸡作为攻击跳板，对目标发起洪水一般的非法请求，使得服务方难以接受正常访问请求或造成缓冲区溢出，服务被迫关闭甚至崩溃。

3）基于服务代码和服务漏洞的攻击。作为官方的网络窗口，运行于服务之上的网站代码并不总是安全的。事实上，国内多数网站都没能做到足够安全的代码防护。运行于非标准的web服务器的web网站，对熟练的站点攻击者而言，仅需几分钟即可获得基本webshell，并据此进行权限提升。从互联网上下载的免费文章系统（如知名的动网模板），由于受到关注，攻击者更容易通过内部技术组织联络获取攻击手段。

笔者所在学校站点早期使用ACCESS数据库，攻击者便经常尝试直接下载数据库；升级为SQL SERVER数据库后，我们发现了大量的SQL注入攻击代码，如晚间的一次攻击尝试代码：

……

dEcLaRe%20@S%20VaRcHaR（4000）%20SeT%20@s=cAsT（0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR（4000））：eXeC（@s）：--%20aNd%20'%25'=' 80 - 211.117.95.48 ……

从日志中很容易看出，攻击者尝试渗透数据库获取关键数值，并对注入代码做了简单伪装。

4）社会工程学攻击渗透。近年来攻击者对攻击目标的检测方法变得多样化，攻击者通过多种渠道了解目标，利用社会工程学手段分析以获得敏感信息，攻击更具效率，大数据技术的快速发展则进一步加剧了此类风险的威胁水平。如网络管理者总是愿意使用有类似特征的密码体系同时管理公用设备和个人信息，一旦个人信息被猜解，所在网络的安全风险便极大增加。

当代网络面临的安全风险越来越多，攻击不可避免，网络攻击的原理趋向复杂，而攻击者更容易获取更具威胁的自动化攻击工具，这意味着攻击变得愈发容易。

2 学校园区网安全体系的规划和建设

1）园区网安全体系的基本涵义。网络安全体系由硬件安全、底层系统安全和服务/软件安全三个方面构成，任何方面存在漏洞，都会导致整个网络面临安全崩溃。我国当前正在推动关键设备国产化进程，即从硬件层面考虑，保护网络敏感信息不被国外生产厂非法商取。完整的网络安全体系应在硬件层面作出合理选择，在底层系统层面进行合理配置，减少系统漏洞暴露，在提供服务时建立多层次风险防控和数据过滤措施，保证网络安全运行。

2）园区网安全体系规划原则。网络安全与提供服务的性能存在矛盾，管理者应以保障网络服务正常提供为前提，评判网络安全风险，适度规划并保留升级弹性，以经济合理的方式规划安全防御系统。网络安全体系需要覆盖到整个网络，对高风险区域应设置网络边界，并指定数据流动规则（ACL）。

3）网段规划。根据功能区分，通常将整个网络划分几个功能独立的子网，至少包括网络设备与网络管理区域、停火区（DMZ）、学生机房、办公区域以及普通联网用户区域等，各子网间保持物理或逻辑上的网段隔离，不同区域用户一般禁止跨越子网互访。这是保护网络安全的最基本手段。

4）安全防护设备选择。传统网络安全体系基于P2DR模型，即策略、防护、检测和响应，设备组成一般包括终端安全（配置杀毒软件）；ACL（设备、端口规则和数据流向规则）；防火墙以及IDS/IPS（应用于DMZ）；它可以实现对多数病毒和传统攻击的有效抵御，以包过滤为基本检测手段，具备部分协议检测能力；对网站注入、渗透等较新的攻击方式防御能力有限。

选择何种设备组建网络安防体系，取决于本地网络规模、提供的服务类型和网络管理者的技能水平。园区网可以考虑在传统安全体系基础上，根据本地网络运行特性有针对性增加管控设备，为保障带宽有效利用，针对内部用户可配置行为管理系统，对用户网络行为进行管控，对占据带宽资源和并发数资源的应用予以限制；针对WEB服务，可以配置WEB防护系统，对数据库注入、代码攻击、跨站脚本等作出有效防护；针对网络内部恶意行为，可以配置网络日志分析记录系统，在恶意行为发生时提供报警，在行为发生后提供记录。

3 学校园区网安全体系运维原则

1）安全网络要求全部终端用户参与。根据“木桶原理”，网络中任一端点的安全风险会扩大到整个网络。园区网络安全体系需要覆盖到整个网络的所有端点。考虑到难以对所有用户实行严格要求，管理者应考虑网络不同区域的安全等级，制定对应安全策略，在不同区域间设立网络边界，保证任意区域故障不会蔓延至其他区域。

2）制度优先。防患于未然，网络安全事件总是发生在未曾受到关注的制度角落。管理者应综合考虑网络整体状态，制定安全事件责任制度，制定应急预案，制定各类安全事件和风险事件的相应制度，制定网络使用制度等；完善的制度是保障网络稳定运行的必要条件。

3）数据备份。数据备份是网络运维的必需手段。精确计算当前数据容量，预估数据增量，考虑数据备份措施，必要时配备数据备份设备。外部攻击者在获取网络权限后，经常造成有意或无意的数据损害，超过50%的情况下数据损失不可逆转。设置数据备份机制，是保障网络服务的最后手段。

4）完善事件记录。园区网历经长期运行后，管理者将能够发现和总结本地网络常见威胁列表，建立网络运维事件日志，能极大节省管理者故障定位和解决问题的时间与精力。这些记录包括下述文件，网络日常监测记录、病毒流行记录、设备故障处置和维修记录、攻击处置记录等。

4 结论

尽管网络总是不安全的，管理者还是可以通过各种手段，以科学、合理的方式建设网络安全体系，不断学习提高技术水平，尽力保护本地网络和服务不受非法攻击侵害。作为多年工作经验的总结，笔者希望通过本文抛砖引玉，提供网络安全运维的方法和原则，谨与同行共同交流。

参考文献

[1]马福春，崔志云.园区网络安全问题及防护[J].电脑知识与技术，2014（24）：5607-5610.

[2]许振和，李翠华.园区网的安全及其对策[J].厦门大学学报（自然科学版），2001（5）：1163-1165.