石家莊市第二職業中專是一所以計算機為主要專業的國辦專業學校��,校內的網絡專業在河北中職學校中具有很強實力�。筆者是網絡專業的負責人�,經過近10年的網絡教學和實踐�,對計算機專業尤其是擁有網絡專業的學校的校園網的安全有自己的一些思考和實踐。
學校校園網系統的具體情況是:
● 就以往的安全管理來看����,以整體防御確保每一臺計算機的安全對于學校來說只存在理論的可能性�,實踐起來較為困難;
● 學校只有一個專職網管人員而且脫離教學任務����,對實際情況掌握的不是很熟悉。只能完成網管中心的局部安全;
● 就功能而言��,學校的計算機網絡可分為4大類型:教師集中辦公的微機網絡��、學生上機的微機網絡��、網管中心網絡�、學校職能部門例如檔案室、會計室��、校長室��、試卷庫等部門網絡;
● 學校了解網絡安全的專業教師非常多��,而且專業各有特長;
● 網絡安全課程必須開設����,內部攻擊不能從制度上禁止。
分區防守�,增強“壁壘”
根據以上具體情況結合網絡安全問題我們得出了以下的分析結果:
1�、靠網管一個人實現整個網絡的安全是不可能的����。
2、四個不同功能的網絡對網絡安全的要求是不同的��。教師網絡因為權限較大所以主動染毒性非常強����,但是由教師網絡發起的對校園網絡的內部攻擊非常少。網管中心的網絡非常重要但是相對安全��。學生機房由于紀律的約束��,主動染毒性不存在,但是針對網絡的內部攻擊次數非常多����。學校職能部門網絡由于涉及到學校的重要信息以及相關考試的信息����,所以對網絡安全要求非常高。
3����、如果仍然采用習慣的整體防御����,會出現一個區域網絡安全出了問題導致其他功能區域全部出現問題����。
針對學校的具體情況和網絡安全問題的分析,我們制定了分區域防守與增強網段“壁壘”的總體安全策略����。具體策略如下:
1、 由專業教師包括網管在內組成網絡安全小組負責校園網絡安全��。小組成員根據專業方向的不同負責對威脅網絡安全因素的具體防守��,從人員方面加強力量����。
2、 針對功能不同的網絡����,例如教師網絡、學生網絡等進行網絡分段�,分區域進行防守,不同區域根據安全問題的不同側重采取相應的網段安全策略��。
3、 整個網絡安全體系由主防火墻和子防火墻一起構成����。主防火墻由網管負責,進行網絡整體防守��。子防火墻由專業老師具體負責��,配置到具體網段進行區域防守�。
4、 不同的區域就是網段配置不同的五大安全部件����,在防火墻、防毒墻��、身份驗證����、傳輸加密��、IDS/IPS幾個方面區別配置來適應不同區域的具體要求����。
