高校校園網安全分析及防范策略

　　摘要：隨著高校校園網規模的逐漸擴大和系統應用的不斷深入，校園網在高校的教學、科研以及管理中發揮著越來越重要的作用。但校園網絡安全問題日益突出，文章簡要介紹了威脅校園網安全的因素以及相應的防范策略。
　　關鍵詞：高校校園網；網絡安全；防范策略
　　
　　一、引言
　　
　　隨著計算機網絡技術的飛速發展，其應用已逐漸滲透到經濟、軍事、科技、教育等各個領域和“校校通”工程的日益推進，很多高校都建設了校園網并通過各種渠道接入了internet，在享受Internet方便快捷的同時，校園網絡也是學校重要的基礎設施，擔當著學校教學教務管理、科研、行政管理和對外交流等許多角色，不僅給高校的教育帶來巨大的幫助，也給學生提供了大量的信息。校園網安全狀況直接影響著學校的教學活動，隨著現代網絡應用的不斷深入，使得校園網絡安全問題也不斷暴露出來、日益突出。例如非授權訪問、冒充合法用戶、惡意軟件和網絡病毒傳播等，干擾系統正常運行造成網速變慢、信息丟失以及網絡癱瘓等嚴重后果。因此，如何構筑相對可靠的校園網安全體系是每一所高校必須解決的問題。
　　
　　二、校園網安全存在的威脅分析
　　
　　（一）網絡硬件安全問題
　　網絡的硬件安全風險主要有環境事故（如地震、水災、火災、雷電等）、電源故障、人為操作失誤或錯誤、設備被盜或被毀、電磁干擾、線路截獲等。例如，網絡設備遭受雷擊，雷雨天氣時，即使關閉電腦，也有可能燒壞主版、網卡和所連接的交換機端口，造成電腦和樓宇交換機等設備的損壞等；日常工作中因斷電造成設備損壞、數據丟失的現象也時有發生；另外，戶外光纜容易遭受其他施工時意外破壞。
　　（二）防火墻局限性
　　防火墻實質上就是一種隔離控制技術，將網絡分成內部網絡和外部網絡兩部分（見圖1），是設置在被保護網絡和外部網絡之間的一道屏障，檢查和檢測所有進出內部網絡的信息流，以便防止未經授權的通信進出被保護的內部網絡。雖然它是目前保護網絡安全的有效手段，但也存在一定的局限性：不能防范不經過防火墻的攻擊和威脅；防火墻只能對跨越邊界的信息進行檢測、控制，而對網絡內部人員的攻擊不具備防范能力；不能完全防止傳送已感染病毒的軟件或文件；防火墻難于管理和配置，容易造成安全漏洞。
　　
　　（三）系統安全問題
　　在校園網絡環境中，網絡系統的安全性依賴于網絡中各節點主機系統的安全性，而主機系統的安全性正是由操作系統的安全性所決定的。沒有安全的操作系統的支持，校園網絡安全也毫無根基可言。目前校園網中服務器常用的操作系統有Windows 2003Server、Unix、Linux等，這些操作系統存在不同程度的安全漏洞，在某種程度上對網絡安全構成了威脅，例如UNIX服務器、NT服務器及Windows桌面PC存在系統漏洞。這些都給予黑客入侵的機會，如果對這些漏洞不了解，不采取相應的措施，就會使操作系統完全暴露給入侵者，對校園網安全構成威脅；另一方面網絡協議本身缺乏安全性，由于網絡系統內運行著多種網絡協議（TCP/IP，IPX/SPX，NETBEUA），而這些網絡協議并非專門為安全通訊而設計，使得網絡存在安全威脅。如TCP/IP協議族軟件，本身缺乏安全性。
　　（四）網絡病毒傳播問題
　　計算機病毒問題是一個常見網絡安全問題，也是計算機網絡世界里的一個永恒問題。網絡病毒的傳播無需普通的用戶介入，它們的傳播途徑廣，傳播速度快，造成的危害極大，幾乎到了令人防不勝防的地步。網絡病毒侵入校園網后，自動收集有用信息，或者是自動探測其他計算機上存在的漏洞，通過局域網傳播，在很短的時間內就可以使校園網內部幾百臺電腦中病毒，導致整個校園網癱瘓，對校園網安全構成威脅。
　　（五）黑客入侵攻擊問題
　　隨著網絡在快速發展和普及，越來越多的人使用并掌握一定的網絡技術，特別是現在網絡上提供了大量的傻瓜化的黑客入侵攻擊軟件，人們可以很方便的下載并使用這種工具軟件對網絡實施攻擊，黑客還可以從校園網的薄弱環節入手，迅速地完成對校園網絡用戶身份的竊取和非法地對信息資源進行訪問和處理進而完成對整個校園網絡的攻擊。
　　（六）校園網絡內部威脅
　　校園網絡安全的威脅既可以來自內部網，又可以來自外部網。根據不同的研究結果表明，大約有70-85%的安全事故來自內部網。首先，由于內部用戶對網絡的結構和應用模式都比較了解，網絡上的黑客攻擊工具泛濫成災，很容易利用這些工具進行攻擊校園網，影響網絡正常使用；其次，網絡管理員的無意失誤，如安全口令選擇不當、用戶權限設置過大等等，同樣給校園網絡帶來致命的威脅。
　　
　　三、校園網絡安全防范策略
　　
　　（一）校園網的規劃
　　VLAN技術的核心是網絡分段，可將網絡分段為物理分段和邏輯分段兩種方式。在實際應用過程中，通常將二者相結合。按學校職能劃分不同的VLAN，在一定程度上起到了網絡隔離的作用，即使局域網機器中病毒，也只是被限制在某一網段之內，不至于擴散到整個網絡；同時在三層交換機上通過訪問控制列表對不同網段的訪問進行限制。
　　（二）物理安全策略
　　物理安全是校園網絡安全的最基本保障，是整個校園網絡安全系統中不可缺少和忽視的組成部分。在校園網規劃設計階段，就應該充分考慮到網絡設備的安全問題。如安裝網絡防雷系統、防電磁輻射、抗電磁干擾以及電源保護等，通過相應的防護措施，實現對校園網絡的有效保護。防止戶外光纖或其他網絡通信線纜被意外挖斷，主要的措施可以采取線纜深埋地下，并且在地面上做好相關的標記說明，同時在學校的建筑規劃圖紙上也作相應的標注。可以避免此類意外事件的發生。
　　（三）合理配置防火墻
　　防火墻位于校園網和Internet之間，只有通過防火墻，校園網和Internet用戶才能互相訪問。利用防火墻的信息過濾功能，可以過濾掉有害信息，保障網絡的安全。其中FTP、WWW、DNSE-mail服務器安置在防火墻的DMZ區（即“非軍事區”，DMZ可以阻止內網和外部網絡直接通信，以確保內網安全），與內、外部網絡間進行隔離，內網接口連接校園網內網交換機，外部網絡接口通過路由器和Internet連接。通過Internet進來的外部網絡用戶只能訪問到對外公開的服務（如FTP、WWW、DNSE-mail等），既可以保護內網資源不被外部網絡非授權用戶的非法訪問或破壞，也可阻止內部用戶對外部網絡相關資源的使用，同時還能夠對發生在網絡中的安全事件進行跟蹤和審計。
　　在防火墻設置上，按照下面原則來配置以提高網絡安全性：
　　1、根據校園網安全策略和目標，規劃設置合理的安全過濾規則，審核IP數據包的內容，包括協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自外部網絡的對校園內網的不必要的、非法的訪問。總原則是“不被允許的服務就是被禁止”。
　　2、在防火墻上作配置，過濾掉以內部網絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊，過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發起的對外的攻擊。
　　3、在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。
　　
　　4、定期查看防火墻訪問日志，以便及時發現攻擊行為和不良的上網記錄。
　　（四）校園網絡安全監測
　　入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統（Intrusion Detection System，IDS）中利用審計日志，能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全，提高信息的完整性。在校園網絡中最好采用混合入侵檢測，即采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。這些系統或措施在不影響網絡性能的情況下能對網絡進行檢測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
　　（五）防范網絡病毒傳播，限制影響范圍
　　病毒傳播速度快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于校園網的全方位防病毒軟件。校園網的管理員只要及時在服務器端進行升級，客戶端啟動后就可自動升級，網管員還可對所有安裝客戶端的計算機進行病毒監控、進行遠程殺毒，及時了解校園網中病毒疫情。另外，定期或不定期對防病毒軟件升級，使校園網絡免受病毒的侵襲。
　　（六）盜用合法IP問題的解決
　　解決IP地址盜用問題的最有效方法是使用交換機進行控制，即在TCP/IP第二層進行控制：使用交換機提供的端口的單地址工作模式，即交換機的每一個端口只允許一臺主機通過該端口訪問網絡，任何其它地址的主機的訪問被拒絕；另外一種解決方法就是使用靜態ARP表實現路由器隔離，即路由器中IP與MAC地址的映射采用靜態設置，而不通過ARP來獲得，這樣當非法訪問的IP地址和MAC地址不一致時，路由器根據正確的靜態設置轉發的幀就不會到達非法主機。
　　（七）建立安全管理隊伍
　　俗話說，網絡安全是“三分技術，七分管理”，安全管理是貫穿于安全防范體系的始終。安全管理是保證網絡安全的基礎，安全技術是配合安全管理的輔助措施。學校應該加強對網絡使用者安全理論、安全技術以及專業業務的培訓，同時必須建立了一套校園網絡安全管理模式，制定有詳細的安全管理制度，并采取切實有效的措施保證制度的執行。
　　
　　四、結束語
　　
　　校園網絡安全是一個動態發展過程，是檢測、監視、安全響應的循環過程。對網絡安全防范體系的建立不是一勞永逸的，隨著計算機技術的發展，新技術的不斷涌現和使用，新的安全問題也不斷涌現，在對網絡安全的防范策略要不斷改進，保證網絡安全防范體系的良性發展，確保校園網絡朝著健康、安全、高速的方向發展。
　　
　　參考文獻：
　　1、伍錦群.防火墻技術的探討[J].長春理工大