高校校園網絡安全分析及解決方案

【摘要】校園網是校園信息傳輸的平臺，必須建立有機的、智能化的網絡安全防范體系以保護校園信息和關鍵應用的安全。然而，不少校園網由于安全建設嚴重滯后，使得其在建設初期就埋下了安全隱患；投入運行后，又疏于安全管理，以致校園網沒有發揮它應有的作用。因此，只有建成高速、穩定、安全、可靠的校園網，高校的數字信息資源、網絡服務、信息服務等，才能正常運行。加強安全建設是建好、用好校園網的重要保障。該文就此提出了一些看法和建議。

【關鍵詞】校園網；安全；控制；管理；系統

【中圖分類號】G434 【文獻標識碼】B 【論文編號】1009—8097 (2008) 03—0091—03

目前許多學校都已經建立了校園網，并通過各種方式與國際互聯網相連，校園網已經成為學校教學、科研和管理的重要渠道，并已經改變了人們的生活和學習方式，成為人們進行信息交流的基本工具。而且，校園網作為高校信息化建設的基礎設施，在各學校也得到了極大的發展。隨著校園網規模急劇擴大、網絡用戶數量快速增多、校園網的開放程度日益增加，校園網的安全問題也就顯得愈發突出了。可以說，校園網安全問題已經成為當前各高校網絡建設中不可忽視的首要問題，如何保證校園網的安全運行，已成為當前許多高校信息化建設的當務之急。

一 高校校園網的安全現狀

高校一般都是最先應用先進網絡技術的地方，而且網絡應用普及，用戶群密集而且活躍，特別是學生，好奇心和求知欲很強，經常會嘗試各種網絡技術問題，所以安全問題比較突出，安全管理更為復雜、困難。當前，高校校園網絡普遍存在的安全隱患和漏洞有以下幾種:

1 來自硬件系統的安全威脅。硬件的安全問題也可以分為兩種，一種是物理安全，一種是設置安全。物理安全是指由于物理設備的放置不合適或者防范不得力，使得服務器、交換機、路由器等網絡設備，光纜和雙絞線等網絡線路以及UPS 和電纜線等電源設備遭受意外事故或人為破壞，造成校園網不能正常運行。設置安全是指在設備上進行必要的設置(如服務器、交換機的密碼等)，防止黑客取得硬件設備的遠程控制權。

2 來自校園網內部的威脅。校園網內部也存在很大的安全隱患，由于內部用戶對網絡的結構和應用模式都比較了解，特別是在校學生，學校不能有效的規范和約束學生的上網行為，學生會經常的監聽或掃描學校網絡，因此來自內部的安全威脅更難應付。

3 來自Internet 的威脅。Internet上有各種不同內容的網站，這些形形色色、良莠不齊的網絡資源不但會占用大量流量資源，造成網絡堵塞、上網速度慢等問題，而且由于校園網與Internet 相連，校園網也就面臨著遭遇攻擊的風險。

4 系統或軟件的漏洞。目前使用的操作系統和應用軟件都存在安全漏洞，對網絡安全構成了威脅。而且現在許多從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼， 這些軟件的使用也可能被攻擊者侵入和利用。

5 管理方面的問題。一是校園網的用戶群體一般比較大，少則數千人、多則數萬人，數據量大、速度高。隨著校園內計算機應用的大范圍普及，接入校園網節點日漸增多，學生通過網絡在線看電影、聽音樂，很容易造成網絡堵塞和病毒傳播。而這些節點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。

二 威脅高校校園網安全的原因分析

網絡的不安全因素很多，但是由于學校是以教學活動為中心的場所，所以，校園網的安全問題有著它自己的特殊性，目前，校園網存在的安全隱患和漏洞主要有如下幾點：

1 校園網中的設備多。校園網需要各種設備的支持，而這些設備分布在各種不同的地方，管理困難。其中任何環節上的失誤都有可能引起校園網的癱瘓，如室外通信光纜、電纜等，分布范圍廣，不能封閉式管理；室內設備也可能發生被盜、損壞等情況。校園網是一個平臺，面向全校的師生，校園網中的設備管理也比較多樣化，校級設備一般有網絡中心管理，院、系級設備由本部門管理，也由本部門維護，學生自用的機器，放在學生宿舍中，由學生自行維護。這樣就很難對所有設備實施統一的安全策略，如安裝防病毒軟件等。所以當用戶的計算機接入校園網后感染病毒，這臺感染病毒的計算機又影響了校園網的運行，于是出現“交叉感染”。

2 技術上的不足。由于教學和科研的特點決定了校園網絡環境應該是開放的。目前校園網大都是利用Internet 技術構造的，且又與Internet 相連，所以校園網在運行過程中面臨各種安全威脅。現在TCP/IP協議廣泛用于各種網絡，所以幾乎所有的Internet 協議都沒有考慮安全機制。并且現在人們很容易從Internet上獲得相關的核心技術資料，特別是有關Internet 自身的技術資料及各類黑客軟件，很容易造成網絡安全問題。尤其是在學校學生的好奇心、破壞欲給校園網帶來了很多安全問題。其次，隨著軟件交流規模的不斷增大，軟件中的安全漏洞也不可避免地存在。當前應用的各種網絡操作系統都有不同級別的安全風險。

3 活躍的用戶群體。高校的學生通常是最活躍的網絡用戶，對網絡新技術充滿好奇，敢于嘗試。很多學生的計算機技術水平非常高，而且具有強烈的好奇心和實踐欲望，他們時常有意無意地破壞校園網系統，嘗試使用網上學到的、甚至自己研究的各種攻擊技術，干擾校園網的安全運行。另外，很多學生通過網絡在線看電影、聽音樂、玩游戲，很容易造成網絡堵塞和病毒傳播。校園網與一般網絡不同，不僅要注意防止外部網絡用戶對校園網的攻擊，還要注意防范校園網內部的學生攻擊。可以說，來自校園網內部的安全隱患比校園網外部的安全隱患破壞力更強、影響更廣、威脅更大。

4 盜版資源泛濫。由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這些軟件的傳播也給網絡安全帶來了一定的隱患。另一方面，從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統因此被攻擊者侵入和利用。

三 高校校園網絡所面臨的主要安全問題

計算機網絡面臨的安全威脅大體可以分為兩種，一是來自網絡硬件的威脅，包括使用的各種網絡設備；二是來自網絡中信息的威脅，包括網絡中數據的威脅，也包括對處理這些數據的信息系統以及應用軟件的威脅。主要的安全問題有如下幾點：

1 物理層的安全問題

物理層的安全問題是指由于網絡設備的放置不合適或者防范措施不得力，使得網絡設備，光纜和雙絞線等遭受意外事故或人為破壞，造成校園網不能正常運行。物理安全是制訂校園網安全解決方案時首先應考慮的問題。

2 系統和應用軟件存在的漏洞威脅

在校園網中使用的操作系統和應用軟件千差萬別，這些操作系統和應用軟件不可能沒有缺陷和漏洞，這些缺陷和漏洞，如未及時發現，就會被攻擊者所利用，對網絡安全構成威脅，而且網絡用戶濫用某些共享軟件也會導致計算機可能成為黑客攻擊校園網的后門。

3 計算機病毒入侵和黑客攻擊

計算機病毒是校園網安全最大的威脅因素，有著巨大的破壞性。尤其是通過計算機網絡傳播的病毒，其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網在接入Internet 后，便面臨著內部和外部黑客雙重攻擊的危險，尤以內部攻擊為主。

4 內部用戶濫用網絡資源

校園網內部用戶對校園網資源的濫用，有的校園網用戶利用校園網資源提供視頻、音頻、軟件等資源下載，占用了大量的網絡帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網絡帶寬，給正常的校園網應用帶來了極大的威脅。

四 高校校園網絡安全的關鍵技術和解決途徑

網絡安全問題，是一個系統工程，不是單純的技術問題。它涉及物理安全、系統安全、技術安全，管理安全等諸多方面，只有建立一套解決校園網安全威脅的整體解決方案，才能保證校園網的各種資源免受自然或人為的破壞，確保校園網安全運行，因此必須從系統的觀點去考慮。下面介紹幾種安全對策。

1 訪問控制

訪問控制的主要任務是保證網絡資源不被非法使用和非法訪問。用戶的入網訪問控制通常有用戶名和口令的識別與驗證、用戶帳號的缺省限制檢查等。當用戶進入網絡后，網絡系統就賦予這一用戶一定的訪問權限，用戶只能在其權限內進行操作。這樣，就保證網絡資源不被非法訪問和非法使用。用戶在其合法的訪問授權之外無其他的訪問特權，有效防止了網絡因超權限訪問而造成的損失。目前網上的大部分對系統的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統，那么所有的防衛措施幾乎就沒有作用，所以對服務器系統管理員的賬號和密碼進行管理是保證系統安全非常重要的措施。

2 防火墻與IDS 聯動

防火墻是構建整個網絡安全體系的核心，它位于內部網和外部網之間，成為內外網之間一道牢固的安全屏障，其中WWW、MAIL、FTP、DNS等對外服務器連接在防火墻的DMZ區，與內、外網間進行隔離，內網口連接校園網內網交換機，外網口通過防火墻與Internet連接。通過Internet進來的公眾用戶只能訪問到對外公開的一些服務，既保護內網資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，并能夠對發生在網絡中的安全事件進行跟蹤和審計。對于校園網而言，不但要防御外部的攻擊還要考慮內部的攻擊。但是，防火墻畢竟只是被動防御，因此，必須加強與IDS（入侵檢測系統）的聯動。IDS 所采用的不是被動防御的策略，而是主動監視、檢測和識別正在進行的或已經成功的入侵行為，并及時報告給網絡管理者。由于IDS 系統除了報告外，本身不能對入侵采取任何的防御措施。所以網絡中心通過IDS 和防火墻的聯動來實現入侵防御，當IDS 發現攻擊企圖后，它會通知防火墻將攻擊來源的IP 地址或端口禁掉。這種聯動方式集合了IDS和防火墻的優點，從而能主動地阻擋入侵，降低非法入侵造成的損失

3 漏洞掃描系統

解決網絡中安全問題，首先要清楚網絡中存在哪些安全隱患、漏洞。面對大型網絡的復雜性和不斷變化的情況，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不夠的。解決的方案是，尋找一種能查找網絡安全漏洞、評估風險并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡模擬攻擊從而暴露出網絡的漏洞。而且也可以采用目前先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查，并根據檢查結果向系統管理員提供詳細可靠的安全性分析報告，為提高網絡安全整體水平產生重要依據。

4 安裝補丁程序和網絡殺毒軟件

任何操作系統都有漏洞，大部分校園網服務器使用的操作系統都有漏洞，蓄意攻擊它們的人也特別多，作為網絡系統管理員就有責任及時對系統進行升級。在校園網防病毒方案中，系統管理員最終要達到的一個目標就是，要在整個網絡中杜絕病毒的感染和傳播。為了實現這個目標，系統管理員應該在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系，應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒等多種功能。網絡病毒成為威脅網絡安全的重要因素，如何防止網絡病毒也就成為校園網安全必須考慮的重要問題，因此必須在校園網上安裝網絡版的殺毒軟件才能滿足要求。

5 運用虛擬局域網(VLAN) 技術

VLAN (Virtual Local Area Network) 即虛擬局域網，是一種通過將局域網內的設備邏輯地劃分成一個個網段從而實現虛擬工作組的技術。VLAN 技術的核心是網絡分段，根據不同的應用業務以及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，可以達到限制用戶非法訪問的目的。采用交換式局域網技術的校園網絡，可以用VLAN 技術來加強內部網絡管理。

6 關閉不需要的服務和端口、建立監測系統日志

服務器操作系統在安裝的時候，會啟動一些不需要的服務，這樣會占用系統的資源，而且也增加了系統的安全隱患。對于完全不用的服務，可以完全關閉；對于要使用的服務，應開通其服務。另外，還要關掉沒有必要開的TCP端口。通過運行系統日志程序，系統會記錄所有用戶使用系統的情形，包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異常現象。

參考文獻：

[1]李海泉.計算機系統的安全技術[M].北京:人民郵電出版社，2002年.

[2]葉忠杰主編.計算機網絡安全技術[M]. 北京:科學技術出版社，2003年.

[3]齊 蕾.淺談校園網安全控制策略[J].大眾科技，2005，(4): 45～46.

[4]段海新.校園網安全問題分析與對策[J].中國教育網絡，2005(3).

[5]張武軍.李雪安.高校校園網安全整體解決方案研究[J].電子科技，2006(3).

[6]劉欽創.高校校園網的安全現狀與對策[J].現代計算機，2006(3).