校園網(wǎng)絡(luò)建設(shè)的安全策略和規(guī)劃實(shí)踐

張黎坤

三年前我市整合中等職業(yè)教育，其中我校和另兩個(gè)學(xué)校合并，以我校為主，其他稱為東、西校區(qū)。校領(lǐng)導(dǎo)決定整合網(wǎng)絡(luò)，推進(jìn)信息化建設(shè)，包括對(duì)外網(wǎng)上招生，內(nèi)部網(wǎng)絡(luò)化辦公、電子圖書館、選課系統(tǒng)、排課系統(tǒng)、圖書借閱、食堂、洗浴、一卡通等工程。實(shí)踐中，我們注重服務(wù)、效能、易用性、安全性、費(fèi)用等因素的權(quán)衡，使用了如下安全策略。

一、以賬戶為核心進(jìn)行管理

1.一個(gè)用戶、一個(gè)賬戶(One userOne account)，全校一卡通。

2.賬戶靈活分組，賦予適當(dāng)權(quán)限。

建教師組和學(xué)生組。將賬戶加入其中，分別賦予適當(dāng)權(quán)限。

有時(shí)也面對(duì)臨時(shí)目標(biāo)設(shè)立虛擬工作組。

二、保證主干暢通，全網(wǎng)冗余設(shè)計(jì)，負(fù)載均衡

核心層采用高性能雙并列主干交換機(jī)結(jié)構(gòu)，一個(gè)鏈路失效后，快速將負(fù)載轉(zhuǎn)移到集束的其他鏈路上，使網(wǎng)絡(luò)正常運(yùn)行。

采用HSRP，一個(gè)路由器不工作時(shí)，另一個(gè)可迅速接管，不至整個(gè)網(wǎng)絡(luò)癱瘓，在第三層上實(shí)現(xiàn)路由容錯(cuò)、負(fù)載均衡、對(duì)用戶通明。

三、合理設(shè)置和分配IP地址

1.靜、動(dòng)結(jié)合

重要的服務(wù)器、網(wǎng)關(guān)等少數(shù)設(shè)備為靜態(tài)IP；其他機(jī)器通過DHCP服務(wù)器動(dòng)態(tài)分配。

2.劃分VLAN

為隔絕廣播風(fēng)暴，方便組內(nèi)共享和教學(xué)，合理劃分VLAN。

每個(gè)機(jī)房設(shè)一個(gè)VLAN，可用于教學(xué)廣播系統(tǒng)授課、分發(fā)素材和控制。

每個(gè)教研組設(shè)一個(gè)VLAN，可訪問組內(nèi)共享的教案、課件等材料。

設(shè)置一管理VLAN，連在核心三層交換機(jī)上，配置ACL，只許管理VLAN和特定主機(jī)直接訪問每一臺(tái)機(jī)器，其他均過濾。在管理VLAN中設(shè)一無線接入端口，通過WPA-PSK(TKIP)加密鏈路，但出于安全考慮平時(shí)不開通。

四、設(shè)置VPN

1.LANtoLAN方式VPN

VPN網(wǎng)關(guān)上配輸入輸出過濾器，將VPN隧道數(shù)據(jù)流轉(zhuǎn)發(fā)給VPN服務(wù)器，其他數(shù)據(jù)流按類型轉(zhuǎn)發(fā)給相應(yīng)的服務(wù)器，隧道使用IPSec提供安全保障。

2.客戶到LAN方式VPN

采用SSL隧道安全協(xié)議。設(shè)置教師和學(xué)生公用VPN賬號(hào)密碼和并發(fā)數(shù)，Web登錄后，仍要進(jìn)行個(gè)人賬戶驗(yàn)證，才可訪問。

開通專用管理員VPN賬號(hào)，在進(jìn)行證書認(rèn)證后，可遠(yuǎn)程登錄維護(hù)。

五、數(shù)據(jù)庫的安全策略

1.采用分布式數(shù)據(jù)庫

為減少校際間帶寬的占用、便于管理，采用分布式，使數(shù)據(jù)庫的存儲(chǔ)和使用盡量在本校區(qū)內(nèi)完成。

2.站點(diǎn)間相互信任、數(shù)據(jù)一致性維護(hù)、加密和備份

站點(diǎn)間通過Kerberos基于對(duì)稱密碼體制的雙向身份驗(yàn)證協(xié)議來進(jìn)行信任驗(yàn)證。

當(dāng)多用戶并發(fā)訪問數(shù)據(jù)時(shí)，會(huì)產(chǎn)生丟失更新、讀過時(shí)數(shù)據(jù)、讀臟數(shù)據(jù)等問題，采用兩段封鎖協(xié)議可使并發(fā)調(diào)度策略串行化，避免帶來的問題：如死鎖，則強(qiáng)行撤銷引起死鎖的事務(wù)，數(shù)據(jù)庫回滾。

分片設(shè)計(jì)上，遵循完備性、重構(gòu)和不相交條件。

對(duì)敏感字段進(jìn)行庫內(nèi)加密，常用于索引的字段明文存放。

數(shù)據(jù)庫定期冷熱備份，多用增量備份，建立日志和檢查點(diǎn)，以便發(fā)生事務(wù)、系統(tǒng)或介質(zhì)故障和病毒破壞時(shí)進(jìn)行數(shù)據(jù)恢復(fù)。

六、防火墻配置

用ACL允許教師賬戶訪問Inter—net，在規(guī)定時(shí)間以外拒絕學(xué)生賬戶訪問Internet；對(duì)外過濾非法IP地址和協(xié)議，通過賬戶名口令登錄。才能訪問內(nèi)部資源。

用代理服務(wù)器，分擔(dān)部分用戶認(rèn)證，緩存設(shè)計(jì)大大分減了出校流量、冗余，使安全性和性能得以提高。

管理人員每天檢查日志，及時(shí)發(fā)現(xiàn)異常進(jìn)行處理。

七、防毒措施

用卡巴斯基的網(wǎng)絡(luò)版進(jìn)行實(shí)時(shí)監(jiān)控定期查殺；每臺(tái)PC上安裝殺毒軟件，定時(shí)升級(jí)，實(shí)時(shí)監(jiān)控和查殺。

學(xué)生機(jī)房克隆前，母盤要保證無毒；中毒后可一鍵還原。

以上就是我校網(wǎng)絡(luò)建設(shè)中安全策略和機(jī)制的設(shè)計(jì)實(shí)施情況，在實(shí)際運(yùn)行和使用中不斷改進(jìn)取得了好的效果。

參考文獻(xiàn)：

[1]張友生，系統(tǒng)分析師考試全程指導(dǎo)[M].北京：清華大學(xué)出版社，2009

[2]郭向勇，吳光斌，趙怡濱，千兆位以太網(wǎng)組網(wǎng)技術(shù)[M].北京：電子工業(yè)出版社，2002

(編輯：郭桂真)