淺談高校校園網的安全運營

裴彩燕　陳春霞　張　帥

[摘要]網絡安全越來越受到人們的重視，校園網絡包括圖書館，內部網等亦會受到病毒，惡意攻擊等網絡威脅的侵害。從網絡安全策略的角度對校園網絡管理中的安全問題進行分析和探討。

[關鍵詞]校園網 網絡安全 安全策略 防火墻

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0510

與一般的企業網應用不同，校園網在使用行為特征和性能需求上有著獨有的規律。首先，網絡在學校里被用得很充分，校園網既有常規的應用，也有很多非常規的應用。特別是一些新的應用，更是在校園網中層出不窮。有些新應用目前在技術上可能還不是很成熟，但是在校園網中常常有普遍的使用。另外，學生喜歡挑戰網絡。由于使用圖書館網絡的大部分是學生，他們的好奇心都是很重，并且現在各種攻擊手段的教材隨處可見，所以有少數學生就把圖書館網絡作為攻擊的對象。學生選擇攻擊圖書館網絡是因為圖書館網絡對于他們來說是內網，學校的IP地址基本是在學校內部公開的，這樣可以很方便的隱藏學生自己的IP地址，對圖書館網絡進行泛洪等的基本攻擊，并可以很快見到他們攻擊所能帶來的危害。

一、安全的概念

包括物理安全和邏輯安全。物理安全指網絡系統中各通信計算機設備以及相關設備的物理保護，免予破壞、丟失等；邏輯安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏給未經授權的人，完整性是指計算機系統能夠防止非法修改和刪除數據和程序，可用性是指系統能夠防止非法獨占計算機資源和數據，合法用戶的正常請求能及時、正確、安全的得到服務或回應。

網絡計算機中安全威脅主要有：身份竊取，身份假冒、數據竊取、數據篡改，操作否認、非授權訪問、病毒等。

二、解決方案的分類

解決網絡安全問題涉及的范圍廣泛；不安全因素主要集中在網絡傳播介質及網絡協議的缺陷、密碼系統的缺陷、主機操作系統的缺陷上，因此在安全策略方面重點考慮：

（一）基礎結構安全

主要包括：操作系統選擇和問題規避；帳號設置、口令強度、網絡參數、文件監測保護在現實運作中，密碼系統已經非常完善，標準的DES、RSA和 其他相關認證體系已經成為公認的具有計算復雜性安全的密碼標準協議，這個標準的健壯性也經受了成千上萬網絡主機的考驗，但是在網絡協議與操作系統本身上，仍然有很多可被攻擊的入口。很多網絡安全中的問題集中在操作系統的缺陷上。Unix及類 Unix操作系統是在 Internet中非常普遍的操作系統，主要用于網絡服務。它的源代碼是公開的，所以在很多場合下使用者可以定制自己的Unix，操作系統，使它更適合網絡相關的服務要求。

由于網絡協議是獨立與操作系統的，它的體系結構與操作系統端是無關的，網絡協議所存在的安全隱患也是獨立于操作系統來修正的。

（二）管理安全

安全管理是網絡必須考慮的，主要包括：權限管理，單點登錄，安全管理中心等。

管理的技術手段很多，通過采用加強身份確認的方法獲得網上資源控制權提供安全的遠程接入手段；采用虛擬專網技術如網絡保密機解決數據在公網傳輸的安全性；安全郵件和安全Web服務器也是一類重要的安全產品。然而，對一個具體的網絡系統，我們在安全風險評估確定合適的安全需求后，從技術上講可以架構一個滿足基本要求的安全設備平臺。但是發生最頻繁的安全威脅實際上是非技術因素，安全管理漏洞和疏忽才是最大的安全隱患。只有把安全管理制度與安全管理技術手段結合起來，這個網絡信息系統的安全性才有保障。因此，采用集中統一的管理策略，以技術手段實現非技術的安全管理，主要由安全管理中心實現。

（三）邊界安全

校園網絡與外界的邊界劃分是否科學?IT系統與外界、內部關鍵部門之間是否安全隔離?這都屬于邊界安全范圍。可以在關心的實體之間安裝防火墻產品和攻擊檢測軟件，來加強邊界安全，實施攻擊防御方案。關于防火墻技術的使用成功與否對網絡的安全有決定性作用，對此我們進行主要討論。

1．防火墻的概念

所謂“防火墻”，是指一種將內部網和公眾訪問網（Internet）分開的方法，實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息

2．防火墻在網絡中的位置

為了達到對網絡數據傳輸進行監視的目的，防火墻一般位于局域網和廣域網之間或局域網與局域網之間。

在這種情況之下，防火墻的主要作用是允許局域網內的用戶訪問Internet，如瀏覽WWW網站，收發E-mail，并且禁止來自于Internet上的未知用戶闖入局網進行破壞或竊取機密信息。

在這種情況下，防火墻的作用是允許公用信息在兩個網絡中傳輸，保證每個網段的私有信息不被對方訪問。

可以看出無論哪一種形式，防火墻都是數據報文進出網絡的必經之路，這樣才能保證防火墻對網絡的監視保護作用。

3．防火墻的分類

從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

（1）軟件防火墻

軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網管對所工作的操作系統平臺比較熟悉。

（2）硬件防火墻

這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。值得注意的是，由于此類防火墻采用的依然是別人的內核，因此依然會受到OS（操作系統）本身的安全性影響。

傳統硬件防火墻一般至少應具備三個端口，分別接內網，外網和DMZ區（非軍事化區），現在一些新的硬件防火墻往往擴展了端口，常見四端口防火墻一般將第四個端口作為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。

（3）芯片級防火墻

芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。這類防火墻由于是專用OS（操作系統），因此防火墻本身的漏洞比較少，不過價格相對比較高昂

4．防火墻集中的主要功能

創建一個阻塞點；

離不同網絡，防止內部信息的外泄；

強化安全策略；

有效地審計和記錄內、外部網絡上的活動。

（1）創建一個阻塞點

防火墻在一個公司內部網絡和外部網絡間建立一個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設備就可以監視，過濾和檢查所有進來和出去的流量。這樣一個檢查點，在網絡安全行業中稱之為“阻塞點”。通過強制所有進出流量都通過這些檢查點，網絡管理員可以集中在較少的地方來實現安全目的。如果沒有這樣一個供監視和控制信息的點，系統或安全管理員則要在大量的地方來進行監測。

（2）隔離不同網絡，防止內部信息的外泄

這是防火墻最基本的功能，它通過隔離內、外部網絡來確保內部網絡的安全。也限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。企業秘密是大家普遍非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所截獲，攻擊者通過所獲取的信息可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網等信息。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

（3）強化網絡安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。各種安全措施的有機結合，更能有效地對網絡安全性能起到加強作用。

有效地審計和記錄內、外部網絡上的活動

（4）防火墻可以對內、外部網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并進行日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。這為網絡管理人員提供非常重要的安全管理信息，可以使管理員清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足

三、安全方案實施的生命周期

安全管理的方案的實施需要正確的方法和次序，全面的網絡信息安全方案需要在正確的企業安全策略的指導下按部就班地進行實施。網絡安全方案實施生命周期如下所示：

風險評估――＞方案設計――＞方案實施――＞人員培訓――＞安全監控――＞信息反饋――>重新評估

安全管理方案的核心是制定的安全策略。任何安全產品和方案都必須服從此安全策略。應由安全管理專家與領導者一同制定系統的安全管理策略。

在安全方案實施的第一步，是實施方案的風險評估。即對目前網絡環境進行綜合考察， 發現安全隱患，分析可能面臨的不安全因素，從而為將來的安全方案提供總體策略。 從信息安全的角度來為校園IT環境進行合理劃分，找出邊界因素，對癥下藥，并對指定的安全策略進行方案設計和具體實施。 在實施的過程中或實施之后，必須重視人的因素。要對用戶和相關人員進行有效的培訓。為網絡信息安全培養安全管理人員是安全方案中非常重要的一個方面。 實施企業安全方案，對安全性進行總體監控是網絡安全生命周期中的執行階段，如果發生不安全事件，檢查是否能夠實施企業安全策略，能否進行正確的反應：安全 防范的強度是否足夠；是否有未能防止的入侵事件。定時或隨時進行園區網絡安全策略的檢查，及時反饋安全信息，針對漏洞重新進行安全評估，網絡安全方案周期重新開始。

參考文獻：

[1]梁世玲、鄧保國，高校圖書館網絡信息安全的風險與對策，農業網絡信息，2006(8):53-55.

[2]楊學梅，數字圖書館的網絡完全與防范措施，科技情報開發與科技，2006(16）:34-35.