基于校園網的網絡安全檢測與監控系統

[摘要]隨著校園網規模的不斷擴大以及應用的不斷深入，校園網中的安全問題也逐步暴露出來。本文介紹了校園網安全方面的有關知識，對校園網安全方面存在的漏洞進行了分析，并針對這些漏洞提出了檢測與監控系統方案。

[關鍵詞]校園網 網絡安全 檢測 監控

隨著計算機網絡技術的發展以及我國教育信息化的推進，校園網得到了空前的發展。校園網是學校信息化建設的基礎設施，也是學校實現信息化的一個重要平臺，在教學支持服務、教學教務管理、行政管理和校內外信息溝通等方面起著舉足輕重的作用。老師和學生利用計算機和網絡進行工作、學習、交流，改變了傳統的教學方式和學習方式，極大地提高了教學質量和學習效率。然而資源共享和信息安全一直作為一對矛盾體而存在著，隨著計算機網絡資源共享的進一步加強，信息安全問題也日益突出。

一、校園網安全問題分析

據美國 FBI 統計，美國每年因網絡安全問題所造成的經濟損失高達75億美元，而全球平均每20秒鐘就發生一起Internet計算機入侵事件。近年來大規模的網絡安全事件接連發生，如最近大規模爆發的“熊貓燒香”病毒，2003年讓人“談虎色變”的“沖擊波”病毒，2004年的一種叫“My Doom”的新型蠕蟲病毒，2000年2月和2005年夏天的大規模拒絕服務攻擊等等。同時，互聯網上病毒、蠕蟲程序、木馬程序、拒絕服務攻擊、網絡欺詐等新的攻擊手段越來越多，導致數據泄密、硬件損壞等事件屢屢發生，甚至導致世界性的互聯網癱瘓，造成軍事、經濟等各方面無法估計的損失。

校園網與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇全球范圍攻擊的風險。另外由于校園網內部用戶對網絡的結構和應用模式都比較了解，來自內部的安全威脅更大一些。現在，黑客攻擊工具在網上泛濫成災，而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。目前使用的操作系統或多或少地存在安全漏洞，本身系統的漏洞、瀏覽器的漏洞、IIS的漏洞、服務安全漏洞、Unix自身的病毒等等，這些都對網絡安全構成威脅。

1.軟件系統存在安全漏洞

一方面，使用協議本身存在安全漏洞。校園網大多是利用Internet技術構建的，Internet構建初期是完全非贏利性的信息共享載體，只為小范圍研究人員提供服務的，網絡的共享性和開放性決定網上信息安全存在先天不足。許多的網絡協議和應用都沒有提供必要的安全服務，比如電子郵件使用的SMTP協議沒有提供認證機制，導致垃圾郵件泛濫。再如其賴以生存的TCP/IP協議，TCP/IP協議是通用的協議，各種硬件和軟件平臺的計算機系統都可以通過各種方式介入進來，缺乏相應的安全機制。在設計上，幾乎所有的Internet協議都沒有考慮安全機制，它在安全可靠、服務質量、帶寬和方便性等方面都存在著不適應性。

另一方面，軟件的設計不可能完美無缺，理論上來講，任何一個系統都會在一定程度上存在著安全漏洞，特別是操作系統。因為這些軟件一般都比較復雜、龐大，有時會因為程序員的疏忽或軟件設計上的失誤而留下一些漏洞。我們常用的操作系統，無論是WINDOWS還是UNIX，LINUX幾乎都有不同程度的已知和未知的錯誤、漏洞，眾多的服務器、瀏覽器、一些桌面軟件等也存在著安全隱患。

2.病毒的侵害

在校園網中的用戶眾多中，許多用戶每天都要通過校園網訪問Internet，而當今Internet上的許多的資源都暗藏病毒。如果某個用戶的計算機上沒有安裝防病毒系統，那么該計算機就極易感染病毒。從病毒發展趨勢來看，現在的病毒已經由單一傳播、單種行為，變成依賴互聯網傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計算機病毒更多地呈現出如下的特點：與Internet和 Intranet更加緊密地結合，利用一切可以利用的方式(如郵件、局域網、遠程管理、即時通信工具等)進行傳播；大部分病毒都具有混合型特征，集文件傳染、蠕蟲、木馬、黑客程序的特點于一身，破壞性大大增強；因為其擴散極快，不再追求隱藏性，而更加注重欺騙性；利用系統漏洞將成為病毒有力的傳播方法。

3.網絡攻擊

Internet是一個開放的網絡，計算機可以通過各種網絡設備接入Internet，如果對網絡訪問不加限制，那么Internet上所有的網絡資源都可以被任意訪問。從校園網的安全角度考慮，對于任何一個Internet用戶都有必要加以防范，因為任何一個用戶都有可能是校園網的被攻擊者。攻擊者通過設置特洛伊木馬、WWW欺騙、端口掃描等方法對網絡進行攻擊，一旦攻擊成功，將對學校的數據造成極大的威脅。比如一些黑客入侵學校的Web服務器，篡改學校的主頁以損壞學校形象，或對學校Web服務器發送大量的攻擊數據包，導致學校的主頁難以訪問。網絡攻擊不僅來自于外部，還可能來自校園網內部。這是因為校園網內部的用戶對網絡結構和應用系統更加熟悉，同時校園網用戶中絕大部分是具有較高知識水平的大學生群體，在學生中不乏計算機應用高手(特別是計算機專業的學生)，由于對網絡攻擊的巨大的好奇心和渴望攻擊成功的心理，使他們把校園網絡當作網絡攻擊的試驗場地，而這種不安全因素對校園網的破壞力往往更大。

4.管理上的欠缺

網絡的整體安全僅從技術和設備入手是不夠的，還應該有一套對工作人員行之有效的管理制度，尤其要加強對內部人員的管理和約束。這是因為內部人員對網絡的結構、模式都比較了解，若不加強管理，一旦有人出于某種目的破壞網絡，后果將不堪設想。然而，目前國內的高校中還很少有學校具備完善的校園網管理制度。同時，在對設備的操作方面也應設立相應的操作規范。如沒有規范的操作，把交換機的密碼設置得過于簡單；或者允許用戶從任何地點登陸核心交換機，諸如此類的問題都會給網絡的安全帶來巨大的隱患。在對用戶的管理方面，目前很多學校還沒有建立起一套行之有效的校園網用戶管理方法。有的學校即使有用戶上網守則，但也沒有相應的監控措施，這也就難以取得違規用戶的行為證據。這些都是管理上的缺陷。

二、校園網安全檢測監控與實施

1.漏洞掃描系統

解決網絡中安全問題，首先防止某些水平較高的黑客發現服務器中存在的安全隱患、脆弱點，為了防止其行為被發現、監聽，將檢測計算機也破壞掉。

解決的方案是，不允許任何賬號的遠程登陸。并且采用目前最先進的漏洞掃描系統(如天鏡漏洞掃描系統)定期對工作站、服務器、交換機等進行安全檢查，來彌補防火墻的局限性與脆弱性。漏洞檢測和安全風險評估技術，因其可預知主體受攻擊的可能性和具體的指證將要發生的行為和產生的后果，而受到網絡安全業界的重視。這一技術的應用可幫助識別檢測對象的系統資源，分析這一資源被攻擊的可能指數，了解支撐系統本身的脆弱性，評估所有存在的安全風險。它包括了網絡模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等功能，幫助用戶控制可能發生的安全事件，最大可能的消除安全隱患。根據檢查結果向系統管理員提供周密可靠的安全分析報告，為提高網絡安全整體水平產生重要依據。

2.網絡防病毒系統

在非網絡環境下計算機病毒的防殺一般都是靠單機版的殺毒軟件來完成，但在校園網環境下單機版的殺毒軟件已經無法適應網絡病毒的防殺要求。這是因為單機版的殺毒軟件只能防殺本地計算機中的病毒，且單機版的殺毒軟件各自為政，在病毒庫的升級以及病毒的統一防殺方面很難做到協調一致。

要有效地防范網絡病毒，可以采用集中式病毒防殺系統。該系統包括了服務器端和客戶端兩個模塊。首先在校園網上建立一個防病毒服務器，即系統的控制中心，然后采用客戶端安裝或網絡分發的方式將客戶端軟件安裝到每個工作站上，并設置每個工作站接受服務器的管理。管理員只需利用控制臺軟件就能對聯網計算機進行統一的病毒清除，從而能有效地控制校園病毒的爆發。如果有新病毒庫發布，只需對服務器上的病毒庫更新，客戶端就會自動到服務器上下載并更新病毒庫。集中式病毒防殺系統因它的病毒庫更新及時方便、防殺行動統一徹底、系統穩定可靠、用戶參與少等優點成為了校園網的病毒防治中最有效的措施之一。

3.入侵檢測系統

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。

在校園網中采用入侵檢測技術，最好采用混合入侵檢測，需要從兩方面來著手——基于網絡的入侵檢測和基于主機的入侵檢測。(1)以我校校園網為例分為多個網段，基于網絡的入侵檢測一般只針對它直接連接網段的通信，不檢測在不同網段的網絡包，因此，在校園網比較重要的網段中放置基于網絡的入侵檢測產品。不停地監視網段中的各種數據包。對每個數據包或可疑的數據包進行特征分析。如果數據包與入侵檢測系統中的某些規則吻合，則入侵檢測系統就會發出警報或者直接切斷網絡的連接，(2) 根據學校網絡的特點，采用瑞星檢測系統RIDS-100，對來自外部網和校園網內部的各處行為進行實時檢測，及時發現各種可能的攻擊企圖，并采取的相應措施。具體部署：將RIDS-100入侵檢測引擎接入，Cisco Catalyst 8540中心交換機上。RIDS-100入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身，能實時捕獲網與網之間傳輸的所有數據，利用內置的攻擊特征庫，使用模式匹配和智能分折的方法，檢測網絡上發生的入侵行為和異常現象，并在數據庫中記錄有關事件，作為網絡管理員事后分折的依據。

4.訪問控制

訪問控制是對訪問者及訪問過程的一種權限授予。訪問控制在鑒別機制提供的信息基礎上，對內部文件和數據庫的安全屬性和共享程度進行設置，對用戶的使用權限進行劃分。對用戶的訪問控制可在網絡層和信息層兩個層次進行，即在用戶進入網絡和訪問數據庫或服務器時，對用戶身份分別進行驗證。驗證機制為：在網絡層采用國際通用的分布式認證協議——RADIUS，對用戶的授權在接入服務器 NAS上完成；在NAS上通過 Filter 的方式限制訪問：在信息層采用 Cookie 機制，配合數字簽名技術，保證系統的安全性。當師生訪問文件、目錄和網絡設備時，網絡管理員應給文件、目錄和網絡設備等指定訪問屬性，安全的訪問屬性可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來，從而達到保護文件、目錄和網絡設備的目的。網絡管理員應對網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。網絡管理員還需要建立與維護完整的網絡用戶數據庫，對系統日志進行嚴格管理。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該賬戶將被自動鎖定。定時對校園網系統的安全狀況做出評估和審核，關注網絡安全動態，調整相關安全設置，進行入侵防范，發出安全公告，緊急修復系統。

5.人員的教育培訓

常言道：“三分技術，七分管理。”在信息安全體系中，人是最重要的因素。尤其在高校校園網的使用群體中，用戶的技術水平相對較高，思想相對較活躍，進行破壞信息安全的各方面環境條件也較好，所以對人員的教育培訓顯得尤為重要。要制定一套完善的校園網絡管理模式，制定詳細的網絡安全管理制度，如機房管理制度，病毒防范制度等，并采取切實有效的措施保證制度的執行。

一方面要提高全員的信息安全意識和信息安全防范的技能，另一方面要加強對潛在的破壞人群的思想教育，讓他們學習掌握安全法規，知道什么事可為什么事不可為。我們匯編了校園網絡安全有關的法律法規文件，并廣泛地進行了宣傳教育和培訓。我們的研究和實踐實施，經過了長時間的考驗證明了是合理有效的。通過實踐我們還發現，校園網信息系統安全問題不能被動地應付，必須高瞻遠矚，主動防御，從基礎設施、技術、管理、人員等多方面系統地考慮部署，才可能從容地面對各種各樣的潛在的威脅。

三、結語

校園網安全需要我們以防火墻、數據加密、授權認證等安全技術為手段，并且不斷學習最新的網絡技術，完善我們的檢測監控系統，同時還必須有完善的安全管理規章制度和專門管理人才，才能有效地實現校園網絡安全、可靠、穩定地運行，使大家有一個更好的網絡學習環境。

參考文獻：

[1]肖軍模等.網絡信息安全[M].北京：機械工業出版社.2006.

[2]李亞恒，唐毅.網絡安全監測系統[J].計算機工程.2001，23(4).

[3]鮑友仲.網絡安全之防黑秘訣[M].北京：電子工業出版社.2002.

[4]戴宗坤，羅萬伯.信息系統安全[M].北京電子工業出版社.2002.

[5]潘瑜等.計算機網絡安全技術[M].北京：科學出版社.2006.

(作者單位：湖北荊楚理工學院)