高校校園網絡安全隱患及對策探討

曾 科

【摘 要】建立安全、有效的校園網絡安全體系,才能保證高校教學與科研工作的順利進行。本文通過對校園網安全隱患進行分析,探討校園網的安全防護問題,并提出建議和解決措施。

【關鍵詞】校園網絡 隱患 安全管理 對策

互聯網起源于1969年的ARPANet最初用于軍事目的,1993年開始應用于商業。現今隨著計算機技術的廣泛發展,計算機應用領域不斷擴大,特別是在教育機構,校園網成為教學、辦公科研、資源共享的重要工具。校園網帶來方便的同時,網絡本身的開放、共享、廣泛、復雜性也帶來了一系列令人擔心的問題,網絡安全已經被提到了重要日程。無論我們是否愿意承認,只要連接了Internet,都是容易受攻擊的。因而在網絡本身的開放性、共享性的前提下,如何保證校園網絡的安全性,以抵抗入侵、防范網絡攻擊等,成為目前校園網絡建立健全的關鍵。

1 安全隱患

近幾年來,隨著高校規模的不斷擴大,新校區或者合并校區的擴建,高校校園網普遍存在網絡規模較大,上網地點較分散,網絡監管困難,上網行為不夠規范等現象,因而加大了校園網絡在使用過程中的安全隱患。

1.1網絡自身的安全缺陷

網絡是一個開放的環境,TCP/IP是一個通用的協議,即通過IP地址作為網絡節點的唯一標識,基于IP地址進行多用戶的認證和授權,并根據IP包中源IP地址判斷數據的真實和安全性,但該協議的最大缺點就是缺乏對IP地址的保護,缺乏對源IP地址真實性的認證機制,這就是TCP/IP協議不安全的根本所在。通過TCP/IP協議缺陷進行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協議攻擊、SYN攻擊等等。

1.2網絡結構、配置、物理設備不安全

最初的互聯網只是用于少數可信的用戶群體,因此設計時沒有充分考慮安全威脅,互聯網和所連接的計算機系統在實現階段也留下了大量的安全漏洞。并且網絡使用中由于所連接的計算機硬件多,一些廠商可能將未經嚴格測試的產品推向市場,留下大量安全隱患。同時,由于操作人員技術水平有限,所以在網絡系統維護階段會產生某些安全漏洞,盡管某些系統提供了一些安全機制,但由于種種原因使這些安全機制沒有發揮其作用。

1.3內部用戶的安全威脅

系統內部人員存心攻擊、惡作劇或無心之失等原因對網絡進行破壞或攻擊的行為,將會給網絡信息系統帶來更加難以預料的重大損失。U盤、移動硬盤等移動介質交叉使用和在聯接互聯網的電腦上使用,造成病毒交叉感染等等,都會給校園網絡帶來較大的安全威脅。特別是近年來利用ARP協議漏洞進行竊聽、流量分析、DNS劫持、資源非授權使用、植入木馬病毒不斷增加,嚴重影響了網絡安全。

1.4軟件的漏洞

一般認為,軟件中的漏洞和軟件的規模成正比,軟件越復雜其漏洞也就越多。在網絡系統運行過程中,由于操作系統自身不夠完善,針對系統漏洞本身的攻擊較多,且影響也較嚴重。再加之,目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標。

1.5病毒的傳播

網絡的發展使資源的共享更加方便,移動設備使資源利用顯著提高,但卻帶來病毒泛濫、網絡性能急劇下降,許多重要的數據因此受到破壞或丟失,也就是說,網絡在提供方便的同時,也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達”、“沖擊波”、“震蕩波”、“歡樂時光”、“熊貓燒香”的爆發無不使成千上萬的用戶受到影響,再加之,近幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網絡病毒的防范任務越來越嚴峻。

1.6各種非法入侵和攻擊

由于校園網接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護比較薄弱,使得校園網成為易受攻擊的目標。非法入侵者有目的的破壞信息的有效性和完整性,竊取數據,非法搶占系統控制權、占用系統資源。比如:漏洞、薄弱點掃描,口令破解;非授權訪問或在非授權和不能監測的方式下對數據進行修改;通過網絡傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統資源導致授權的用戶不能獲得應有的訪問或操作被延遲產生了拒絕服務等。

2 校園網安全管理和維護的措施與建議

通過以上安全缺陷分析,校園網絡安全的形式依然非常嚴峻。制定整體的安全部署解決安全隱患和漏洞,是校園網安全、健康運行的保障。

2.1配備高性能的防火墻產品

防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。一般來說,防火墻設置在可信賴的內部網絡和不可信賴的外部網絡之間。防火墻相當于分析器,可用來監視或拒絕應用層的通信業務,防火墻也可以在網絡層和傳輸層運行,根據預先設計的報文分組過濾規則來拒絕或允許報文分組通過。所以對防火墻作好安全設置,設定恰當的訪問控制策略,保障網絡資源不被非法使用和訪問。

2.2網絡設計、使用更合理化

在網絡設計之初,需要理解終端設備安全事件對網絡的影響,確定需要采取的安全措施,通過已知身份驗證的設備訪問網絡,防范未經授權的接觸,讓入侵者難以進入。這樣網絡才能提供可預測、可衡量、有保證的安全服務。

2.3軟件漏洞修復

在校園網絡系統運行過程中,一方面對用戶進行分類,劃分不同的用戶等級,規定不同的用戶權限;另一方面對資源進行區分,劃分不同的共享級別,例如:只讀、安全控制、備份等等。同時,給不同的用戶分配不同的帳戶、密碼,規定密碼的有效期,對其進行動態的分配和修改,保證密碼的有效性;配合防火墻使用的情況下,對一些IP地址進行過濾,以防止惡意破壞者入侵;建立補丁更新服務器,部署全局更新機制,實時、高效更新軟件漏洞。

2.4防殺毒軟件系統

在互聯網技術飛速發展的今天,病毒以每年兩千種新病毒的速度遞增。在校園網中使用帶防火墻的企業版殺毒軟件,就能對整個校園網絡的起到安全防護的作用,使計算機免受病毒入侵。

2.5配備入侵檢測系統(IDS)并建立蜜罐陷阱系統

入侵檢測就是對入侵行為的檢測,通過收集和分析計算機網絡或計算機系統中若干關鍵點的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象,而蜜罐的目的在于吸引攻擊者、然后記錄下一舉一動的計算機系統,攻擊者入侵后,可以隨時了解其針對服務器發出的最新的攻擊和漏洞,這樣系統就可以及時、有針對性的防范攻擊和修復漏洞。

2.6系統安全風險評估

互聯網的不安全因素無時無刻的威脅著網絡安全,只有在網絡系統所面臨的風險進行了有效評估的基礎上,才能掌握網絡安全中存在的漏洞和威脅,從而采取有效措施控制網絡風險。風險評估過程是一個動態循環的,因此必須進行周期性、長期的評估。

2.7災難恢復計劃

1996年報道的網絡攻擊方式只有400種,1998年達到4000種。 CERT/CC公布的漏洞數據為,2000年1090個,2002年已經增加至4129個。可以想象,對管理員來說要跟上補丁的步伐是很困難的。而且,入侵者往往能夠在軟件廠商修補這些漏洞之前首先發現這些漏洞。尤其是緩沖區溢出類型的漏洞,其危害性非常大而又無處不在,是計算機安全的最大的威脅。我們無論怎么想辦法都不可能防止災難的發生,但為了使災難發生造成的損失減到最小,就應該在災難發生之前建立意外事件計劃,記錄各種災難發生所產生的影響,并為此作出相應的應對措施。

2.8加強管理

隨著網絡技術的迅速發展、應用領域的廣泛性以及用戶對網絡的了解程度加深,惡意破壞者或者非法入侵者對網絡安全的影響會越來越大,這就使得網絡安全管理工作任務更加艱巨而重要。因而,在網絡安全管理工作中必須做到及時進行漏洞的修補和日志的查看,保證網絡的穩定性。另外,高校也應該頒布網絡行為的相關規范和處罰條例,這樣才能更有效的控制和減少來自內部網絡的安全隱患。

3 結束語

網絡技術的普及,使人們對網絡的依賴程度加大,對網絡的破壞造成的損失和混亂會比以往任何時候都大。這也就使得高校需要對網絡安全做更高的要求,也使得網絡安全的地位將越來越重要,網絡安全必然會隨著網絡應用的發展而不斷發展。

參考文獻:

[1]邵波,王其和.計算機網絡安全技術及應用[M].北京:電子工業出版社,2005.11

[2]吳婷.高校校園網的安全與管理維護[J]文化與教育技術. 2009.