张黎坤

三年前我市整合中等职业教育，其中我校和另两个学校合并，以我校为主，其他称为东、西校区。校领导决定整合网络，推进信息化建设，包括对外网上招生，内部网络化办公、电子图书馆、选课系统、排课系统、图书借阅、食堂、洗浴、一卡通等工程。实践中，我们注重服务、效能、易用性、安全性、费用等因素的权衡，使用了如下安全策略。

一、以账户为核心进行管理

1.一个用户、一个账户(One userOne account)，全校一卡通。

2.账户灵活分组，赋予适当权限。

建教师组和学生组。将账户加入其中，分别赋予适当权限。

有时也面对临时目标设立虚拟工作组。

二、保证主干畅通，全网冗余设计，负载均衡

核心层采用高性能双并列主干交换机结构，一个链路失效后，快速将负载转移到集束的其他链路上，使网络正常运行。

采用HSRP，一个路由器不工作时，另一个可迅速接管，不至整个网络瘫痪，在第三层上实现路由容错、负载均衡、对用户通明。

三、合理设置和分配IP地址

1.静、动结合

重要的服务器、网关等少数设备为静态IP；其他机器通过DHCP服务器动态分配。

2.划分VLAN

为隔绝广播风暴，方便组内共享和教学，合理划分VLAN。

每个机房设一个VLAN，可用于教学广播系统授课、分发素材和控制。

每个教研组设一个VLAN，可访问组内共享的教案、课件等材料。

设置一管理VLAN，连在核心三层交换机上，配置ACL，只许管理VLAN和特定主机直接访问每一台机器，其他均过滤。在管理VLAN中设一无线接入端口，通过WPA-PSK(TKIP)加密链路，但出于安全考虑平时不开通。

四、设置VPN

1.LANtoLAN方式VPN

VPN网关上配输入输出过滤器，将VPN隧道数据流转发给VPN服务器，其他数据流按类型转发给相应的服务器，隧道使用IPSec提供安全保障。

2.客户到LAN方式VPN

采用SSL隧道安全协议。设置教师和学生公用VPN账号密码和并发数，Web登录后，仍要进行个人账户验证，才可访问。

开通专用管理员VPN账号，在进行证书认证后，可远程登录维护。

五、数据库的安全策略

1.采用分布式数据库

为减少校际间带宽的占用、便于管理，采用分布式，使数据库的存储和使用尽量在本校区内完成。

2.站点间相互信任、数据一致性维护、加密和备份

站点间通过Kerberos基于对称密码体制的双向身份验证协议来进行信任验证。

当多用户并发访问数据时，会产生丢失更新、读过时数据、读脏数据等问题，采用两段封锁协议可使并发调度策略串行化，避免带来的问题：如死锁，则强行撤销引起死锁的事务，数据库回滚。

分片设计上，遵循完备性、重构和不相交条件。

对敏感字段进行库内加密，常用于索引的字段明文存放。

数据库定期冷热备份，多用增量备份，建立日志和检查点，以便发生事务、系统或介质故障和病毒破坏时进行数据恢复。

六、防火墙配置

用ACL允许教师账户访问Inter—net，在规定时间以外拒绝学生账户访问Internet；对外过滤非法IP地址和协议，通过账户名口令登录。才能访问内部资源。

用代理服务器，分担部分用户认证，缓存设计大大分减了出校流量、冗余，使安全性和性能得以提高。

管理人员每天检查日志，及时发现异常进行处理。

七、防毒措施

用卡巴斯基的网络版进行实时监控定期查杀；每台PC上安装杀毒软件，定时升级，实时监控和查杀。

学生机房克隆前，母盘要保证无毒；中毒后可一键还原。

以上就是我校网络建设中安全策略和机制的设计实施情况，在实际运行和使用中不断改进取得了好的效果。

参考文献：

[1]张友生，系统分析师考试全程指导[M].北京：清华大学出版社，2009

[2]郭向勇，吴光斌，赵怡滨，千兆位以太网组网技术[M].北京：电子工业出版社，2002

(编辑：郭桂真)