高校校園網(wǎng)安全分析及策略

摘要：隨著高校校園網(wǎng)規(guī)模的逐漸擴(kuò)大和系統(tǒng)應(yīng)用的不斷深入，校園網(wǎng)在高校的教學(xué)、科研以及管理中發(fā)揮著越來(lái)越重要的作用。但是，高校校園網(wǎng)具有互聯(lián)性、開放性、共享性等特點(diǎn)，具有眾多的不安全因素，如網(wǎng)絡(luò)病毒、黑客的攻擊等。校園網(wǎng)安全面臨的威脅與日俱增，如何加強(qiáng)校園網(wǎng)的安全，是當(dāng)前非常重要、非常迫切的任務(wù)。

關(guān)鍵詞：高校校園網(wǎng)；威脅分析；安全策略

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)14-20ppp-0c

Analysis and Stretegies for Campus-Network Security in Colleges

TANG Hai-bo

(Yongzhou Vocational-Technical College， Yongzhou 425100，China)

Abstract: With the development of the campus-network， it has been expended in scale and has been systimatic used widly. Campus-network played more and more important role in teaching， reseach and management in colleges. But， it has not only its own features， such as interconnected， openning， sharing information，etc. also lots of unsafety factors， such as network virus， hacker attack， ect. exist. It is important and emergent that how to strengthen the safety of campus net-work under the increasing threaten which the safety of campus-network has been met.

Key words: college campus-network; threaten analysis; safe strategy

1 引言

高校校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研以及管理等角色。校園網(wǎng)不僅給高校的教育帶來(lái)巨大的幫助，同時(shí)給學(xué)生提供了大量的信息，校園網(wǎng)已成為豐富知識(shí)的載體，成為學(xué)習(xí)的一種重要的工具。但是，隨著高校校園網(wǎng)應(yīng)用的發(fā)展和擴(kuò)大，校園網(wǎng)的安全問題也日益突出。惡意軟件、網(wǎng)絡(luò)病毒在校園網(wǎng)中傳播，以及黑客的攻擊，造成校園網(wǎng)網(wǎng)速變慢、信息丟失以及網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，對(duì)校園網(wǎng)安全構(gòu)成巨大威脅。如何保證校園網(wǎng)安全、穩(wěn)定、高效地運(yùn)行，同時(shí)滿足辦公、教學(xué)以及學(xué)生學(xué)習(xí)的需要，是每一所高校必須解決的問題。

2 校園網(wǎng)安全面臨的威脅分析

2.1 操作系統(tǒng)自身的漏洞

在校園網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的安全性，而主機(jī)系統(tǒng)的安全性正是由操作系統(tǒng)的安全性所決定的。沒有安全的操作系統(tǒng)的支持，校園網(wǎng)絡(luò)安全也毫無(wú)根基可言。目前校園網(wǎng)中服務(wù)器常用的操作系統(tǒng)有Windows 2003 Server、Unix、Linux等，這些操作系統(tǒng)都是符合C2級(jí)安全級(jí)別的操作系統(tǒng)，但是都存在不少漏洞。例如Windows的IE漏洞、IIS漏洞，Unix的自身安全漏洞、服務(wù)安全漏洞等，如果對(duì)這些漏洞不了解，不采取相應(yīng)的措施，就會(huì)使操作系統(tǒng)完全暴露給入侵者，對(duì)校園網(wǎng)安全構(gòu)成威脅。

2.2 網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒最顯著的特征是它的傳播過程與傳統(tǒng)單機(jī)病毒截然不同，網(wǎng)絡(luò)病毒的傳播無(wú)需普通的用戶介入，它們的傳播途徑廣，傳播速度快，造成的危害極大，幾乎到了令人防不勝防的地步。網(wǎng)絡(luò)病毒可以分為郵件病毒、網(wǎng)頁(yè)病毒、FTP病毒等，網(wǎng)絡(luò)病毒侵入校園網(wǎng)后，自動(dòng)收集有用信息，如郵件地址列表、網(wǎng)絡(luò)中傳輸?shù)拿魑目诹畹龋蛘呤亲詣?dòng)探測(cè)其他計(jì)算機(jī)上存在的漏洞，然后據(jù)此向校園網(wǎng)中其他計(jì)算機(jī)傳播。如震蕩波病毒、熊貓燒香病毒、AV終結(jié)者病毒、ARP病毒等等，都會(huì)對(duì)校園網(wǎng)安全構(gòu)成威脅。

2.3 黑客入侵

黑客的工作主要是通過對(duì)技術(shù)和實(shí)際實(shí)現(xiàn)中的邏輯漏洞進(jìn)行挖掘，通過系統(tǒng)允許的操作對(duì)沒有權(quán)限操作的信息資源進(jìn)行訪問和處理。[1]黑客還可以充分利用校園網(wǎng)中人為運(yùn)行管理中存在的問題對(duì)校園網(wǎng)實(shí)施入侵。通過欺騙、信息搜集的方法，黑客可以從校園網(wǎng)的薄弱環(huán)節(jié)入手，通過對(duì)人本身的習(xí)慣的把握，迅速地完成對(duì)校園網(wǎng)絡(luò)用戶身份的竊取進(jìn)而完成對(duì)整個(gè)校園網(wǎng)絡(luò)的攻擊。

2.4 校園網(wǎng)絡(luò)內(nèi)部威脅

校園網(wǎng)絡(luò)安全的威脅既可以來(lái)自內(nèi)部網(wǎng)，又可以來(lái)自外部網(wǎng)。根據(jù)不同的研究結(jié)果表明，大約有70%--85%的安全事故來(lái)自內(nèi)部網(wǎng)。首先，校園網(wǎng)絡(luò)雖然是一種規(guī)模較小的網(wǎng)絡(luò)，但使用者成分卻比較復(fù)雜。計(jì)算機(jī)水平不高的人員使得計(jì)算機(jī)更容易受到攻擊，或感染病毒、木馬，在校園網(wǎng)中傳播，影響網(wǎng)絡(luò)正常使用。其次，網(wǎng)絡(luò)管理員的無(wú)意失誤，比如安全口令選擇不當(dāng)、用戶權(quán)限設(shè)置過大等等，同樣給校園網(wǎng)絡(luò)帶來(lái)致命的威脅。

3 校園網(wǎng)絡(luò)安全策略

3.1 物理安全

物理安全是校園網(wǎng)絡(luò)安全的最基本保障，是整個(gè)校園網(wǎng)絡(luò)安全系統(tǒng)中不可缺少和忽視的組成部分。在校園網(wǎng)規(guī)劃設(shè)計(jì)階段，就應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題。比如設(shè)備的防電磁輻射、抗電磁干擾以及電源保護(hù)等，通過相應(yīng)的防護(hù)措施，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)的有效保護(hù)。

3.2 安全技術(shù)

3.2.1 防病毒技術(shù)

對(duì)于病毒威脅最理想的解決辦法是防止，即在第一步就不允許病毒進(jìn)入系統(tǒng)。在校園網(wǎng)中，應(yīng)該在整個(gè)網(wǎng)絡(luò)制定防病毒方案，最好的辦法就是在校園網(wǎng)中安裝網(wǎng)絡(luò)版殺毒軟件。比如瑞星網(wǎng)絡(luò)版殺毒軟件，它包括瑞星系統(tǒng)中心、管理員控制臺(tái)、殺毒軟件服務(wù)器端和殺毒軟件客戶端四個(gè)部分。首先，在校園網(wǎng)絡(luò)中心服務(wù)器安裝瑞星網(wǎng)絡(luò)版殺毒軟件的系統(tǒng)中心；其次，在校園各教學(xué)點(diǎn)、行政部門等分支機(jī)構(gòu)分別安裝瑞星網(wǎng)絡(luò)版殺毒軟件的客戶端；再次，校園網(wǎng)絡(luò)中心的瑞星系統(tǒng)中心定期對(duì)殺毒軟件進(jìn)行智能升級(jí)，并自動(dòng)將最新的升級(jí)文件分發(fā)到校園網(wǎng)內(nèi)各服務(wù)器端與客戶端，確保校園網(wǎng)內(nèi)殺毒軟件的更新保持同步。通過在校園網(wǎng)內(nèi)安裝網(wǎng)絡(luò)版殺毒軟件，可以很容易地在整個(gè)校園網(wǎng)內(nèi)實(shí)現(xiàn)遠(yuǎn)程管理、智能升級(jí)、自動(dòng)分發(fā)、遠(yuǎn)程報(bào)警等多種功能，可以在校園網(wǎng)中的任意一臺(tái)計(jì)算機(jī)上對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中控制管理，清楚地掌握整個(gè)網(wǎng)絡(luò)環(huán)境中各個(gè)節(jié)點(diǎn)的病毒監(jiān)測(cè)狀態(tài)，最大程度的減少了整個(gè)網(wǎng)絡(luò)中的安全漏洞，有效保障了整個(gè)網(wǎng)絡(luò)的系統(tǒng)安全。有效的管理，嚴(yán)密的保護(hù)，杜絕病毒的入侵，從而實(shí)現(xiàn)校園網(wǎng)防病毒的目的。

3.2.2 防火墻技術(shù)

對(duì)于校園網(wǎng)，應(yīng)該從開放的、無(wú)邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來(lái)，成為可管理、可控制的、安全的內(nèi)部網(wǎng)絡(luò)。只有做到這一點(diǎn)，實(shí)現(xiàn)校園網(wǎng)絡(luò)信息安全才有可能，而最基本的分隔手段就是防火墻。防火墻是網(wǎng)絡(luò)安全的第一道門戶，可以實(shí)現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間，或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全區(qū)域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。[2]防火墻通常使用的安全控制手段主要有包過濾技術(shù)、狀態(tài)檢測(cè)、代理服務(wù)。在校園網(wǎng)中引入防火墻技術(shù)，可以通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽校園網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，有選擇地接受外部訪問。對(duì)校園網(wǎng)內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對(duì)服務(wù)器與外部網(wǎng)絡(luò)的訪問，在校園網(wǎng)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入和攻擊，實(shí)現(xiàn)對(duì)校園網(wǎng)的保護(hù)。

3.2.3 入侵檢測(cè)技術(shù)

入侵檢測(cè)是防火墻的合理補(bǔ)充。防火墻屬于靜態(tài)的安全防御技術(shù)，對(duì)于網(wǎng)絡(luò)日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)，而入侵檢測(cè)屬于動(dòng)態(tài)的安全技術(shù)，能幫助系統(tǒng)主動(dòng)的對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等等，提高了校園網(wǎng)信息安全基礎(chǔ)結(jié)構(gòu)的完整性。由此看來(lái)，在校園網(wǎng)中引入入侵檢測(cè)技術(shù)是非常重要。例如，在校園網(wǎng)中使用瑞星RIDS-100入侵檢測(cè)系統(tǒng)，它集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢測(cè)校園網(wǎng)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，作為管理員事后分析的依據(jù)；如果情況嚴(yán)重，RIDS-100可以發(fā)出實(shí)時(shí)報(bào)警，使得管理員能夠及時(shí)采取應(yīng)對(duì)措施。另外RIDS-100入侵檢測(cè)系統(tǒng)可以與防火墻聯(lián)動(dòng)，自動(dòng)配置防火墻策略，配合防火墻系統(tǒng)使用，可以全面保障校園網(wǎng)的安全，組成完整的校園網(wǎng)安全解決方案。作為防火墻之后的第二道安全閘門，入侵檢測(cè)系統(tǒng)在不影響校園網(wǎng)絡(luò)性能的情況下能對(duì)校園網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

3.3 校園網(wǎng)管理

校園網(wǎng)安全除了先進(jìn)的技術(shù)，還必須要有嚴(yán)格、合理和有效的安全管理來(lái)支持和補(bǔ)充。校園網(wǎng)安全管理的最終目標(biāo)是將校園網(wǎng)的安全風(fēng)險(xiǎn)降低到最低的程度，保證校園網(wǎng)的安全運(yùn)行和使用。首先，必須要建立一套嚴(yán)格的安全管理制度；其次，加強(qiáng)對(duì)教師和學(xué)生網(wǎng)絡(luò)安全的教育和培訓(xùn)，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)；再次，規(guī)范上網(wǎng)場(chǎng)所，過濾有害信息；最后，培養(yǎng)一支具有安全管理意識(shí)和管理技能的校園網(wǎng)管理隊(duì)伍。[3]

4 結(jié)束語(yǔ)

如何保證校園網(wǎng)中計(jì)算機(jī)和信息的安全是一個(gè)重要且復(fù)雜的問題，隨著計(jì)算機(jī)技術(shù)的發(fā)展，新技術(shù)的不斷涌現(xiàn)和使用，校園網(wǎng)的安全有待于在實(shí)踐中進(jìn)一步研究和探索。目前，應(yīng)當(dāng)綜合運(yùn)用多種安全技術(shù)，加強(qiáng)安全策略、安全管理和技術(shù)培訓(xùn)，從而建立起一套真正適合校園網(wǎng)的安全網(wǎng)絡(luò)體系。

參考文獻(xiàn)：

[1] 王鳳英，程震.網(wǎng)絡(luò)與信息安全[M].中國(guó)鐵道出版社，2006.

[2] 雷震甲.網(wǎng)絡(luò)工程師教程[M].清華大學(xué)出版社，2004.

[3] 楊燁.高校校園網(wǎng)安全問題分析與對(duì)策[J].湖北廣播電視大學(xué)學(xué)報(bào)，2007(3).

收稿日期：2008-03-05

作者簡(jiǎn)介：唐海波（1977-），男，湖南永州人，湖南永州職業(yè)技術(shù)學(xué)院教師，中南大學(xué)在讀碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。