校園網絡安全淺析

[摘要]本文從物理因素、技術因素、管理因素等角度分析了威脅校園網絡的幾個因素，并從物理設備管理、技術提供、管理人員意識幾方面提出了解決問題的策略。

[關鍵詞]校園網 網絡安全 解決方案

現在越來越多的學校建立了校園網。隨著互聯網絡的飛速發展，許多校園網通過專線與互聯網接軌。隨著校園網建設的快速發展，學校對網絡的依賴越來越強，但同時隨著校園網應用的深入，校園網的安全管理問題也日益突出。如何能檢測預防病毒，防止網絡攻擊，實現網絡的安全，這已經成為不可忽視的問題。下面，筆者談談自己的觀點。

一、什么是網絡安全

網絡安全是在分布網絡環境中，對信息載體和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數據、信息內容或能力拒絕服務或被非授權使用和篡改。

對于校園網安全主要包括物理安全和邏輯安全兩方面。

物理安全指網絡系統中各通信計算機設備以及相關設備的物理保護，免予破壞、丟失等。

邏輯安全包括信息完整性、機密性和可用性。機密性是指信息不泄漏給未經授權的人，完整性是指計算機系統能夠防止非法修改和刪除數據和程序，可用性是指系統能夠防止非法獨占計算機資源和數據，合法用戶的正常請求能及時、正確、安全地得到服務或回應。

二、威脅校園網安全的因素

1.校園網內的用戶數量較大，局域網絡數目較多。高校校園網是最早的寬帶網絡，校園網的用戶群體一般也比較大，少則數千人、多則數萬人。正是由于高帶寬和大用戶量的特點，網絡安全問題一般蔓延快、對網絡的影響比較嚴重。

2.校園網中的計算機系統管理比較復雜。校園網中的計算機系統的購置和管理情況非常復雜，比如，學生宿舍中的電腦一般是學生自己花錢購買、自己維護的，有的則是統一采購、有技術人員負責維護的，有的則是教師自主購買、沒有專人維護的。這種情況下，要求所有的客戶端系統實施統一的安全政策（如安裝防病毒軟件、設置可靠的口令）是非常困難的。由于沒有統一的資產管理和設備管理，出現安全問題后通常無法分清責任。更有些計算機乃至服務器系統建設完畢之后無人管理，甚至被攻擊者攻破作為攻擊的跳板，變成攻擊試驗床也無人覺察。

3.活躍的用戶群體。學校的學生通常是最活躍的網絡用戶，對網絡新技術充滿好奇，勇于嘗試。如果沒有意識到后果的嚴重性，有些學生會嘗試使用網上學到的、甚至自己研究的各種攻擊技術，可能對網絡造成一定的影響和破壞。

4.盜版資源泛濫。由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這些軟件的傳播，一方面，占用了大量的網絡帶寬，另一方面，也給網絡安全帶來了一定的隱患。從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統因此被攻擊者侵入和利用。

由于以上各種原因導致校園網既是大量攻擊的發源地，也是廣大攻擊者最容易攻破的目標。因此，校園網常見的風險如下：

校園網內外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸等將病毒帶入校園內網，內部教職工以及學生可能由于使用盜版介質將病毒帶入校園內網；外來的系統對網絡及服務器發起DOS/DDOS攻擊、入侵等惡意破壞行為，有些計算機已經被攻破，用作黑客攻擊的工具；拒絕服務攻擊目前越來越普遍，不少開始針對重點高校的網站和服務器；校園網內管理人員以及全體師生的安全意識不強，管理制度不健全，給校園網帶來威脅。

三、校園網絡安全解決方案

1.配備完整的、系統的網絡安全設備，規范出口的管理

校園網出口配備了雙冗余的Cisco PIX535防火墻，把校園網絡分成三個隔離網段：校園內部各功能網、DMZ區、Internet。通過防火墻的隔離，防止了跨網攻擊、網絡間干擾等安全隱患，同時，病毒的感染范圍也可以得到有效的控制，使各網段的安全性大大提高。

校園網采用了包括路由器、防火墻和交換機在內的三層立體集成化安全防御。第一層防護由邊界路由器實現。邊界路由器提供Internet與校園網的連接，為防止外部用戶對服務器進行非法操作，對服務器的內容進行刪除、修改等破壞，必須對外部訪問的操作進行嚴格控制。利用Cisco路由器所具有的防火墻功能，可防止各服務器受到來自外部的破壞。第二層防護由PIX防火墻保障。PIX防火墻將校園內部網和外部完全分開，PIX是內部各網絡子系統對外的惟一出口，通過使用PIX防火墻隔離內、外網絡，更進一步保障了內部網絡的安全。第三層防護由交換機提供。網絡管理員在核心交換機部署防火墻模塊，這是抵御外部攻擊的第三道屏障，也是防止內部攻擊的有利手段。

2.服務器安全措施

（1）密碼的設置。眾所周知，用密碼保護系統和數據的安全是最基本、最常用的方法。但目前發生的大多數安全問題，還是由于密碼管理不嚴造成的。因此，密碼口令的有效管理是非常基本的，也是非常重要的。首先，絕對杜絕不設口令的帳號存在，尤其是超級用戶帳號。一些網絡管理人員，為了圖方便，認為服務器只由自己一個人管理使用，常常對系統不設置密碼，這樣“入侵者”就能通過網絡輕而易舉地進入系統。另外，對于系統的一些權限如果設置不當，對用戶不進行密碼驗證，也可能為“入侵者”留下后門。其次，在密碼口令的設置上要避免使用弱密碼，就是用容易被人猜出的字符作為密碼。例如，常有人將自己名字的縮寫或6位相同的數字進行密碼設置。密碼的長度也是設置者所要考慮的一個問題。在Windows NT系統中，有一個sam文件，它是Windows NT的用戶帳戶數據庫，所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果“入侵者”通過系統或網絡的漏洞得到了這個文件，就能通過一定的程序（如LOphtCrack）對它進行解碼分析。在用LOphtCrack破解時，如果使用“暴力破解”方式對所有字符組合進行破解，那么對于5位以下的密碼它最多只要用十幾分鐘就完成，對于6位字符的密碼它也只要用十幾小時，但是，對于7位或以上的，它至少耗時一個月左右，所以說，在密碼設置時一定要有足夠的長度。總之，在密碼設置上，最好使用一個不常見、有一定長度的但是你又容易記住的密碼。另外，適當的交叉使用大小寫字母也是增加被破解難度的好辦法。

（2）及時為系統打補丁。對于Windows操作系統的服務器，采用Windows自動更新服務預防操作系統的漏洞。對于UNIX操作系統，網絡管理人員時刻關心相關廠商的網站上的補丁列表，及時為系統打上相應的補丁。

（3）用戶終端IP地址配置。我校選用支持DHCP Snooping功能的接入交換機，用戶的IP地址只能由網絡中心分配，而不能來自非法的IP地址提供者。對于學校的職能部門，因為存在一些專用服務器，為了防止用戶將IP地址手動設置成服務器的地址而造成沖突，職能部門的接入交換機全部采用支持IP SourceGuard的交換機，用戶必須從DHCP服務器取得IP地址才可進行通信，私自設定IP地址將會自動被交換機禁止。

（4）進行有效的監控和管理。上網用戶不但要通過統一的校級身份認證系統確認，而且，合法用戶上網的行為也要受到統一的監控，上網行為的日志要集中保存在中心服務器上，保證這個記錄的法律性和準確性。

四、用戶終端系統安全措施

用戶終端的安全包含兩個方面：一個是操作系統的安全性，一個是應用程序的安全性。針對操作系統的安全性，我校的校園網內安裝了Windows更新服務器，每天凌晨定時從微軟網站同步下載補丁程序，并及時下發給終端機，使終端機能及時獲得更新的操作系統補丁。應用程序的安全性主要在于防止機器中病毒以及惡意程序的影響。針對病毒影響，我們采用了兩層安全模式：一是在校園網內安裝了網絡版的瑞星殺毒軟件；二是我們在校園網出口以及各個匯聚節點放置基于集群的病毒網關，一旦發現下聯的客戶機有中毒的癥狀，則主動切斷用戶的連接，并將用戶的鏈接定向到瑞星殺毒軟件進行查殺病毒，并通過自行編寫的ActiveX控件更改客戶端的注冊表，使Windows客戶端的自動更新自動指向校內更新服務器。為了防止惡意程序的影響，要求校內終端用戶安裝Windows Defender。

五、完善電子郵件系統，提供安全監控和管理功能

針對目前郵件系統存在的安全隱患，我校的郵件系統采用Eyou的產品，我們在Eyou系統中內嵌了殺毒軟件，對用戶的郵件直接進行病毒的查殺。對于出入學校的郵件，進行垃圾郵件檢查、病毒檢查。

六、配備專業的網絡安全管理員，嚴格管理制度

隨著網絡技術的迅速發展和上網用戶對網絡的了解程度越來越深，網絡安全的形勢越發嚴峻。近幾年，互聯網絡安全問題頻頻出現，可見現狀還是“道高一尺，魔高一丈。”俗話說，網絡安全“三分設備，七分管理”，安全管理貫穿于整個安全防范體系的始終。必須制訂一系列安全管理制度，對安全技術和安全設施進行管理，對網絡管理人員進行及時的網絡安全理論培訓、安全技術培訓、安全產品培訓以及業務培訓，學校有必要頒布網絡行為規范和具體處罰條例，這樣才能有效地控制和減少網絡安全隱患。只有很好地解決了網絡安全問題，校園網絡的應用才能健康、高速地發展。

總之，校園網絡的安全不僅是技術、設備、資金的問題，更是管理的問題。在網絡安全日益影響到校園網運行的情況下，我們不能夠去保障校園網絕對的安全，只能說我們要盡一切可能去制止、減少一切非法的訪問和操作。比如，完善校園網管理制度，對相關的校園網管理人員進行培訓，對學生進行網絡道德的教育，提高公德意識，安裝最新的防病毒軟件和病毒防火墻，不斷安裝軟件補丁更新系統漏洞，對重要文件進行備份，等等，從多個方面進行防范，把校園網不安全因素減到最少。

參考文獻：

[1]胡道元，閔京華.網絡安全[M].清華大學出版社.

[2]王育民，劉建偉.通信網的安全——理論與技術[M].西安電子科技大學出版社.

[3]龔靜.計算機網絡安全策略的探討[J].福建電腦，2004，（5）：18-19.

[4]王彥波.計算機網絡安全系統[J].信息技術，2003，1(27)：15-16.

[5]王學文，秉輝.計算機網絡安全方案[J].邯鄲職業技術學院學報，2004，3(17)：71-77.

[6]趙暉.計算機網絡安全與防護[J].通信技術.2004，（3）：25-26.

(作者單位：湖南衡陽技師學院）