高職院校校園網(wǎng)的安全策略探析

譚瓊玲

永州職業(yè)技術(shù)學(xué)院商貿(mào)旅游學(xué)院 湖南 425006

0 前言

由于全球信息化的快速發(fā)展，計算機(jī)網(wǎng)絡(luò)安全問題越來越引起人們的重視。近幾年來，隨著校園網(wǎng)迅速普及，黑客入侵、信息泄露和病毒泛濫等網(wǎng)絡(luò)安全問題日趨嚴(yán)重。

1 目前網(wǎng)絡(luò)存在的安全隱患

1.1 非授權(quán)訪問

沒有經(jīng)過同意，就使用網(wǎng)絡(luò)或計算機(jī)資源，被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息等。它主要有以下幾種方式：假冒身份攻擊、合法用戶以未授權(quán)的方式進(jìn)行操作、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行非法操作等。

1.2 破壞數(shù)據(jù)完整性

以不正當(dāng)手段取得數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾合法用戶的正常使用。

1.3 信息泄露或丟失

敏感數(shù)據(jù)被泄露出去或丟失，它常包括：通過建立隱蔽隧道等竊取敏感信息，信息在傳輸中丟失或泄露，信息在存儲介質(zhì)中丟失或泄露等。

1.4 抵賴

可能出現(xiàn)的抵賴行為有：發(fā)送信息后，發(fā)送方否認(rèn)已經(jīng)發(fā)送過信息；接收方在接收到信息后，否認(rèn)接收到信息。

1.5 拒絕服務(wù)攻擊

不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，執(zhí)行無關(guān)程序，改變正常的作業(yè)流程，使系統(tǒng)響應(yīng)減慢甚至癱瘓，干擾正常用戶的使用，使合法用戶不能進(jìn)入計算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。由于入侵檢測系統(tǒng)中的網(wǎng)絡(luò)引擎、主機(jī)代理和存儲系統(tǒng)都對網(wǎng)絡(luò)通信非常敏感，所以非常容易受到攻擊。

2 威脅高職院校校園網(wǎng)安全的原因

2.1 物理方面

在物理方面，校園網(wǎng)的安全很脆弱。校園網(wǎng)使用的設(shè)備較多，如通信線路、交換機(jī)等都有可能遭到攻擊，引起通信的中斷。存儲介質(zhì)的丟失，會引起信息的泄密等。

2.2 技術(shù)方面

高職院校的校園網(wǎng)基本上都與Internet相連，Internet的資源共享性和開放性使得網(wǎng)絡(luò)存在安全隱患。目前我們使用的操作系統(tǒng)存在著各種漏洞、后門等，對網(wǎng)絡(luò)安全構(gòu)成威脅。

2.3 宣傳教育方面

雖然關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)已經(jīng)制定，但并沒在用戶中進(jìn)行廣泛宣傳，致使用戶有意破壞網(wǎng)絡(luò)安全。

2.4 管理方面

嚴(yán)格的管理是保證校園網(wǎng)安全的重要途徑。許多高職院校對網(wǎng)絡(luò)的管理松懈，管理者和用戶的安全意思淡薄，疏于防范，沒有建立校園網(wǎng)的安全管理體制。

2.5 用戶方面

校園網(wǎng)的用戶包括教師和學(xué)生，校園網(wǎng)是以用戶為中心的系統(tǒng)，一個合法的用戶在系統(tǒng)內(nèi)可以執(zhí)行各種操作，如要下載，有可能會下載一些帶有病毒的軟件。

3 安全策略

3.1 運用防火墻

防火墻的主要功能是進(jìn)行訪問控制，它的主要作用是隔離安全網(wǎng)絡(luò)與不安全網(wǎng)絡(luò)；隔離信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)，并對它們之間的訪問進(jìn)行控制。鑒于防火墻本身的功能特點，決定它的配置位置是在兩個不同網(wǎng)絡(luò)或者不同安全域之間的連接處，使得防火墻成為兩個不同網(wǎng)絡(luò)之間訪問的惟一通道，這樣防火墻就可以對所有進(jìn)出它的數(shù)據(jù)進(jìn)行檢查、過濾，真正發(fā)揮防火墻的最大功效。設(shè)置防火墻后，所有從Internet訪問學(xué)校校園網(wǎng)的訪問請求都首先到達(dá)防火墻。防火墻可以通過分析這些數(shù)據(jù)包的性質(zhì)控制網(wǎng)絡(luò)中對主機(jī)的訪問，防火墻還可以對 Internet網(wǎng)絡(luò)采取安全措施，只允許與業(yè)務(wù)有關(guān)的訪問進(jìn)入校園網(wǎng)，其他的網(wǎng)絡(luò)服務(wù)請求都加以拒絕，于是來自外部網(wǎng)絡(luò)的攻擊行為不能到達(dá)校園網(wǎng)主機(jī)。對于一些特定的服務(wù)請求，防火墻可以進(jìn)行強(qiáng)制認(rèn)證，只有來自合法主機(jī)的合法操作在通過認(rèn)證之后才能到達(dá)要訪問的主機(jī)。

3.2 運用入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是一種主動保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)，是對防火墻的合理補(bǔ)充。入侵檢測系統(tǒng)與防火墻不同，主要在于防火墻關(guān)注入侵是為了阻止其發(fā)生。防火墻限制網(wǎng)絡(luò)之間的訪問，目的在于防止入侵，但并不對來自網(wǎng)絡(luò)內(nèi)部的攻擊發(fā)出警報信號。而入侵檢測系統(tǒng)卻可以在入侵發(fā)生時，評估可疑的入侵并發(fā)出警告。而且入侵檢測系統(tǒng)還可以觀察源自系統(tǒng)內(nèi)部的攻擊。但現(xiàn)有的入侵檢測系統(tǒng)仍然存在著漏報、誤報以及在自身安全、管理等方面存在著先天的不足。可以運用曙光GodEye-HIDS主機(jī)入侵檢測系統(tǒng)，它憑借先進(jìn)的分布式入侵檢測技術(shù)，有效的實現(xiàn)了“管理周密，簡單易用”、“檢測嚴(yán)密，主動防護(hù)”、“過硬的自我保護(hù)功能”、“有效防范近千種黑客攻擊”、“攻擊取證” 等幾大功能優(yōu)勢，具有極強(qiáng)的抗欺騙能力和降低漏報誤報能力。

3.3 運用安裝補(bǔ)丁程序

任何操作系統(tǒng)都有漏洞，網(wǎng)絡(luò)系統(tǒng)管理員有責(zé)任及時地打上“補(bǔ)丁”。目前校園網(wǎng)服務(wù)器多數(shù)使用微軟的 Windows操作系統(tǒng)，微軟公司為了彌補(bǔ)操作系統(tǒng)的安全漏洞，會定期公布發(fā)現(xiàn)的漏洞，并在官方網(wǎng)站上提供相關(guān)的補(bǔ)丁程序，用戶可以到網(wǎng)上下載并安裝相關(guān)升級軟件包。

3.4 重視病毒的防治

計算機(jī)病毒的防治技術(shù)分成四個方面，即檢測、清除、免疫和防御。計算機(jī)病毒的預(yù)防技術(shù)是指通過一定的技術(shù)手段防止計算機(jī)病毒對系統(tǒng)進(jìn)行傳染和破壞，實際上它是一種特征判定技術(shù)，也可能是一種行為規(guī)則的判定技術(shù)。也就是說，計算機(jī)病毒的預(yù)防是根據(jù)病毒程序的特點對病毒進(jìn)行分類處理，在程序運行中凡有類似的特點出現(xiàn)則認(rèn)定是計算機(jī)病毒。計算機(jī)病毒檢測技術(shù)是指通過一定的技術(shù)手段判定出計算機(jī)病毒的一種技術(shù)。病毒檢測技術(shù)主要有兩種，一種是根據(jù)計算機(jī)病毒程序中的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)；另一種是不針對具體病毒程序自身檢驗技術(shù)，即對某個文件或數(shù)據(jù)段進(jìn)行檢驗和計算并保存其結(jié)果，以后定期或不定期地根據(jù)保存的結(jié)果對該文件或數(shù)據(jù)段進(jìn)行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段的完整性己遭到破壞，從而檢測到病毒的存在。計算機(jī)病毒的消除技術(shù)是計算機(jī)病毒檢測技術(shù)發(fā)展的必然結(jié)果，是病毒傳染程序的一種逆過程。在檢測發(fā)現(xiàn)特定的計算機(jī)病毒基礎(chǔ)上，根據(jù)具體病毒的消除方法從傳染的程序中除去計算機(jī)病毒代碼并恢復(fù)文件的原有結(jié)構(gòu)信息。目前還沒有一種有效的計算機(jī)病毒免疫方法。目前，大多數(shù)反病毒廠商都已經(jīng)推出了網(wǎng)絡(luò)版的殺毒軟件，同時，使用網(wǎng)絡(luò)版的殺毒軟件，一定要及時升級殺毒軟件。

3.5 信息加密策略

信息加密的目的是保護(hù)校園網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)的安全。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密是保護(hù)網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端點加密是對源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)。節(jié)點加密是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護(hù)。信息加密過程是由各種加密算法來具體實施。多數(shù)情況下，信息加密是保證信息機(jī)密性的惟一方法。

3.6 運用數(shù)據(jù)備份與恢復(fù)技術(shù)

備份技術(shù)是最常用的提高數(shù)據(jù)完整性的措施，它是指對需要保護(hù)的數(shù)據(jù)在另一個地方制作一個備份 ，一旦原有數(shù)據(jù)遭到破壞還能使用數(shù)據(jù)備份進(jìn)行恢復(fù)，所以要定期對數(shù)據(jù)進(jìn)行備份，并異地保存。

3.7 建立身份認(rèn)證系統(tǒng)

校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應(yīng)用系統(tǒng)提供了安全可靠的保證。

3.8 加強(qiáng)用戶安全意識

面對日趨嚴(yán)重的網(wǎng)絡(luò)犯罪，必須逐步建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，使圖謀不軌的人懾于法律的威力，不敢輕舉妄動。利用新生入學(xué)教育和員工崗前培訓(xùn)的時間，對新用戶進(jìn)行網(wǎng)絡(luò)安全及相關(guān)法律、法規(guī)的教育，引導(dǎo)學(xué)生正確學(xué)習(xí)和運用網(wǎng)絡(luò)技術(shù)，機(jī)房要專人管理，無關(guān)人員不得進(jìn)入，只有這樣才能促使校園網(wǎng)健康發(fā)展。

3.9 嚴(yán)格規(guī)范上網(wǎng)場所的管理

對上網(wǎng)用戶集中進(jìn)行監(jiān)控和管理。上網(wǎng)用戶不但要通過身份認(rèn)證系統(tǒng)確認(rèn)，而且合法用戶上網(wǎng)的行為也要統(tǒng)一進(jìn)行監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個記錄的法律性和準(zhǔn)確性。才能保證網(wǎng)絡(luò)能高效、安全地為高職院校師生的工作和學(xué)習(xí)服務(wù)。

4 總結(jié)

校園網(wǎng)絡(luò)安全體系是一個系統(tǒng)的工程，不僅要用技術(shù)來保障系統(tǒng)的安全，還要改進(jìn)管理方法、建立安全防范體系。隨著網(wǎng)絡(luò)自身不斷發(fā)展，必將出現(xiàn)新的安全問題，我們必須根據(jù)情況的變化，不斷對網(wǎng)絡(luò)系統(tǒng)進(jìn)行及時的維護(hù)和更新，細(xì)化各種管理制度，不斷提高校園網(wǎng)管理人員的技術(shù)水平，

[1] 王春榮,劉蘭娟.網(wǎng)絡(luò)安全入侵檢測研究.計算機(jī)時代.2002.

[2] 陳立新.計算機(jī)病毒防治百事通.清華大學(xué)出版社.2000.

[3] 馮登國.計算機(jī)通信網(wǎng)絡(luò)安全[M].清華大學(xué)出版社.2001.

[4] 王銳,陳靚,靳若明,周剛.網(wǎng)絡(luò)最高安全技術(shù)指南[M].機(jī)械工業(yè)出版社.1998.

[5] 謝希仁.計算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社.2000.