北京師范大學構筑校園網防毒圍城

文/張瑞

北京師范大學構筑校園網防毒圍城

文/張瑞

根據《中國教育網絡》雜志在2009年5月底對全國高校的校園網安全狀況所做的調查顯示，近1年內發生過的網絡安全事件的學校占60%以上，發生的網絡安全事件種類繁多，其中病毒、蠕蟲、木馬、惡意代碼、網頁被篡改、DOS攻擊等仍是校園網安全威脅的重點。而國家計算機病毒應急處理中心在《2009年中國計算機病毒疫情調查技術分析報告》（簡稱《報告》）中也指出：網上制作、販賣病毒、木馬的活動日益猖獗，利用病毒、木馬技術的網上侵財活動呈快速上升趨勢，這些情況表明我國網上治安形勢嚴峻。可見，對于網民活躍度高的大學校園來說，校園網的部署錯綜復雜、終端設備星羅棋布、應用類型增多、在校用戶眾多等特點，讓校園網的安全問題一直都是高懸于頂的“達摩克利斯之劍”。

作為信息化建設生力軍的一員，北京師范大學（簡稱北師大）同樣面對著如何提高校園網的信息與網絡安全保障的課題。北師大是一所以教師教育、教育科學和文理基礎學科為主要特色的著名學府，全日制在校生20000余人，“十一五”以來，北師大圍繞“綜合性、有特色、研究型世界知名高水平大學”的發展目標，大力建設具有國內先進水平的數字校園網絡，加強網絡辦公、網絡教學的建設。

部署多層次病毒防線

北師大在建設過程中提出了自己的建設理念，即“預防為主，應急為輔，主動防御強于被動防守”的理念。學校在網絡信息安全評估的基礎上，與信息安全行業的公司合作，提出了一套網絡信息安全的建設規劃和加固措施，組織人員制定和完善了網絡信息安全管理制度。

國家計算機病毒應急處理中心在《報告》中指出：計算機病毒感染率為70.51%，雖然與2008年相比略有下降，當仍然在高位徘徊。實際上，北師大一直非常重視對病毒的防范，同時，在產品選型過程中，也充分考慮了均衡性、節約性、先進性、可靠性、系統擴展性等諸多因素。在校園網中，學校部署了多層次病毒防線：在客戶端布置瑞星網絡版客戶端殺毒軟件，在各種操作系統的應用服務器（包括Windows NT/2000、Unix、Linux）端部署瑞星服務器版殺毒軟件，甚至層層部署系統中心，對整個防病毒系統進行管理，從細節上斬斷病毒可以傳播、寄生的每一個節點，實現病毒的全面防范。

分布多級系統中心

在北京師范大學的網絡防毒方案中，學校布置了瑞星中央系統中心來管理整個防病毒系統，保證了整個防病毒產品從管理系統中及時得到更新，同時又使得管理人員可以在任何時間、任何地點通過瀏覽器來管理防病毒系統，使整個系統中的任何一個節點都可以被管理人員隨時管理，保證整個防病毒系統有效、及時地攔截病毒。

北師大是一所綜合性院校，現設1個學部、22個學院、2個系、23個研究院（所、中心）；為了加強網絡的安全防護，學校在網絡中心安裝一級系統中心的同時，還在全校各下屬院系的網絡中心安裝二級系統中心，同時，一級中心和二級的各個系統中心可以構建成任意形狀的樹狀結構，如圖1所示。

圖1 多中心病毒防護系統網絡

每個系統中心都可以獨立運行、管理自己所轄地區網絡的全部客戶端、服務器端，而二級系統中心既可以按照地理、行政網段劃分，也可以按計算機數量劃分或行政單位劃分。每一個二級系統中心的架構分別是在各下屬單位網絡中心配置一臺專用服務器作為二級系統中心，實現本中心客戶端和服務器的防病毒管理，并將本中心內病毒爆發情況的統計信息上報給一級系統中心的管理者。

通過系統中心的層次性部署，實現反病毒的統一管理和分布管理，統一管理表現為由上級中心統一發送查殺病毒命令、下達版本升級提示，并及時掌握全部系統中心（包含下級中心）的病毒分布情況等；分布管理表現為下級中心既可以在收到上級中心的命令后作出響應，也可以管理本級，并主動向上級中心發送請求和匯報信息。可見，多級系統中心能夠支持大型的、多層級的、復雜的網絡。這樣即使是下級的任何一個客戶端出現病毒，一級系統中心都可以及時發現。

武裝終端

部署完系統中心之后，學校依次進行服務器端、客戶端的防病毒軟件部署。通過建設具備終端合規管理能力的安全軟件系統，再配合其他終端安全硬件，使終端的各項安全指標達到預設的安全管理標準和效果。從而有效解決終端安全問題，達到規范終端安全防護的目的。

專人專責

我校還建立相應的管理制度，如：配備相應的MIS人員，負責整個網絡安全的日常管理及維護；制定相應的機房上機管理制度；強制實施統一的防病毒策略；及時更新升級最新的病毒定義碼等。

融合“云安全”新技術

北師大的殺毒軟件運用了瑞星最新的“云安全”技術。云安全技術融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常進行監測，獲取互聯網中木馬、惡意程序的最新信息，推送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。

瑞星“云安全”系統還應用新一代虛擬機技術，由于虛擬機有著運行效率低的天生缺陷，因此，會出現“集成虛擬機的殺毒軟件殺毒能力強，但安裝之后拖慢機器；不用虛擬機的殺毒軟件殺毒能力弱，但占用資源低”的難題。新一代瑞星虛擬機應用分時技術和硬件 MMU 輔助的本地執行單元，在純虛擬執行模式下，可以在 P4 3.0 的機器上，每秒鐘執行超過2000萬條虛擬指令，結合硬件輔助后，更可以把效率提高 200 倍。

由于虛擬機運行效率的提高，殺毒軟件不但殺毒能力強，而且占用的系統資源更少，運行更快。虛擬機的運用主要是兩個方面：

第一，虛擬機可以集成在殺毒軟件中，當遇到加殼、變形等難以查殺的病毒時，可以將其放入虛擬機中運行，病毒在其中恢復原形運行，就會被殺毒軟件殺掉，這樣就大大提高殺毒軟件有效查殺各種復雜的惡性病毒及木馬的查殺能力。

第二，虛擬機可以用在病毒樣本的自動處理中。由于瑞星云安全系統每天需要處理百萬量級的樣本，因此，虛擬機效率的提高，可以讓系統處理新樣本的時間減少，還可以節約服務器資源。

云安全系統的引入，使得防病毒的力量延伸到互聯網的1.5億個客戶端（瑞星卡卡用戶），“云安全”系統可以第一時間感知到互聯網上存在的安全威脅，并進行快速處理。當網絡管理人員發現校園網內有不能徹底清除的病毒時，可以及時給瑞星發送反饋，瑞星自動分析系統就會在最短的時間內把結果返回給用戶，這樣可以實現最快的反應速度、最好的處理結果。

從2008年開始，北師大建立起分層、分級的網絡信息安全監控梯隊，通過部署全面立體的防病毒體系，配合學校整體網絡安全保障體系的建設，使得信息系統的高、中風險漏洞數量大大降低，讓網絡始終維持在比較高的安全水平。