由網站被黑引發的校園網絡安全思考

■王健

“學校網站上不了……”作為學校網管，當筆者接到這樣的電話時，腦海里立刻閃過一個念頭——難道被“黑”了？當打開Web服務器一看，網站首頁已被更改，只顯示一串字符——被黑客攻擊。于是迅速從備份文件恢復首頁文件，使Web服務器正常……

金陵中等專業學校校園網絡現狀如拓撲圖（圖1）所示：電信鐵通光纖100 M雙接入，NetEye防火墻，以Cisco 4006三層交換主交換，Cisco 29系列為樓層交換，均以光纖互連，主干1 000 M，百兆交換到桌面，擁有Web服務器、VOD、FTP服務器、MAIL服務器、校務教務管理平臺等服務器，網內機器全部部署網絡版瑞星殺毒軟件。

這樣的拓撲結構應該說是比較安全的，可為什么會導致網站被“黑”呢？1）學校的防火墻出現故障損壞，未能及時購置新設備，可校園網Web網站不能停止服務。筆者考慮到這里是學校，再加上新設備正在招標，不久即將更換設備，心存僥幸，估計不大可能受到攻擊，故將Web服務器直接暴露在公網上，沒有任何防御措施。2）更致命的，為了管理Web服務器的便捷，開設其他一些服務，但是在站點權限設置上多開放了用戶權限，于是給黑客開了一個小小的“后門”，直接導致Web服務器受到攻擊被黑。

目前校園網內出現的問題主要有：病毒（特別是計算機局域網病毒）；IP地址盜用；防火墻問題；黑客攻擊；系統補丁；網絡應用服務器的權限設置等。綜觀校園網絡出現的問題，影響校園網絡安全的，無外乎兩種因素：人為因素和自然因素。其中人為因素危害最大，歸納起來主要有3種。

1）人為的無意失誤。網絡管理員安全配置不當會造成安全漏洞；不合理地設定資源訪問控制，一些共享資源就有可能被偶然或無意破壞；不合理的路由設置會導致網絡中斷。網絡安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享；機器不安裝殺毒軟件，導致局域網內病毒橫行；隨意設置IP地址，引發IP地址沖突，影響正常用戶的網絡使用……

2）人為的惡意攻擊。這就是常說的黑客攻擊，它是計算機網絡所面臨的最大威脅。黑客攻擊又可以分為兩種。一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性。這就是純粹的信息破壞，這樣的網絡侵犯者被稱為積極侵犯者。積極侵犯者截取網上的信息包，并對之進行更改使之失效；或者故意添加一些有利于自己的信息，起到信息誤導的作用；或者登錄進入系統使用并占用大量網絡資源，造成資源的消耗，損害合法用戶的利益。積極侵犯者的破壞作用最大。另一類是被動攻擊，它是在不影響正常工作的情況下，進行截獲竊取、破譯以獲得重要的機密信息，如網游、信用卡賬號密碼的盜取，這種僅竊取而不破壞網絡中傳輸信息的侵犯者被稱為消極侵犯者。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄露。

3）網絡軟件的漏洞和“后門”。無論系統軟件還是網絡應用軟件，不可能百分之百無缺陷或無漏洞，然而這些缺陷恰恰是黑客進行攻擊的首選目標。目前大家使用的操作系統都有很多的漏洞，曾經出現過的網絡大事件都是因為系統軟件有漏洞，導致系統崩潰甚至信息資料完全丟失，造成極大的經濟損失。還有許多師生在安裝應用軟件時一不小心把一些流氓軟件和木馬同時裝進系統，無論是對單機還是整個校園網都帶來安全隱患。

鑒于諸多網絡不安全因素，使得網絡管理員必須采取相應的策略來應付。通過多年的網絡管理經驗及吸取本次網站被“黑”的教訓，筆者針對校園網絡安全提出幾點安全策略。

1）網絡管理機制。網絡安全建設是“三分設備，七分管理”，沒有切實可行的安全保障體系和制度，網絡安全都是空談。健全的網絡安全管理規章制度，是解決網絡安全問題的所有安全策略中最重要的一點。①必須建立一支高技術、高素質、高責任心的校園網絡安全管理隊伍，同時對網絡管理員進行專業知識和技能培訓，提高管理能力；②制定網絡信息安全法規，做到有章可循、有法可依，包括機器名稱的規范及IP地址的規范使用等；③定期對學校教師和其他人員進行電腦常規使用及信息安全知識普及；④在學校網站設立“信息中心”欄目，發布網絡法令法規、網絡病毒公告、操作系統更新公告等，并提供常用軟件的補丁下載或建立校園網內公共FTP。

2）硬件設備保障機制。

①防火墻作為一種將內外網隔離的技術，普遍運用于校園網安全建設中。防火墻是一種按某種規則對專網和互聯網，或對互聯網的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離)，從而阻斷不希望發生的網絡間通信的系統。部署防火墻技術，構筑內外網之間的安全屏障，可以有效地將內部網與外部網隔離開來，保護校園網絡不受未經授權的第三方侵入。在原防火墻出現損壞的情況下，現已申購Cisco ASA5200防火墻。但值得注意的是，安裝防火墻并不能做到絕對的安全，如：不能封鎖不經由防火墻的攻擊，不能防止感染病毒的軟件和文件的傳輸，不能防止數據驅動方式攻擊，不能防范內部侵入及攻擊。

②VLAN技術。校園網絡終端的增多使得單個網段的IP地址捉襟見肘，IP的盜用也越來越頻繁。可以利用VLAN技術來加強內部網絡管理，VLAN技術的核心是網絡分段。根據不同的應用以及不同的安全級別，將網絡分段并隔離，實現相互的訪問控制，可以達到限定用戶非法訪問的目的。

③帶寬及流量控制系統。學校共有機器1 253臺，接入網絡的有1 000余臺，其中教師機近300臺，機房機器700多臺，一般情況下同時在線機器約400多臺。原先用10 M電信＋10 M鐵通雙接入，按照同時在線的機器數量，帶寬相對比較吃緊，大家感覺網速較慢。現已向電信局申請100 M帶寬。

而網速較慢的原因除了帶寬的限制，還有網絡流量的問題。現在的網絡資源十分豐富，BT、電驢、迅雷等多線程下載及在線影視播放都將占用極大的帶寬資源。利用流量控制設備進行流量分析，可以感知自己校園網絡的性能，可以限定所有用戶的帶寬，也可以限定單個用戶的帶寬，還可以限定應用程序占用帶寬……解決了以前網絡流量分配不公，極少部分終端用戶占用大部分資源的問題，從而保證網關和防火墻的安全。而且其預警機制可以讓用戶為無法預料的網絡事件作出提前反應。

④入侵檢測系統IDS（Intrusion Detection System）。網絡安全是整體、動態的。為了確保網絡更加安全，必需配備入侵檢測系統，對透過防火墻的攻擊進行檢測并作出相應反應（記錄、報警、阻斷）。入侵檢測系統可以對入侵行為進行偵測，通過從計算機網絡或計算機系統的關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。如出現任何不應該發生的活動，將采取相應的措施報告并制止入侵活動。采用IDS可以增強校園網系統抵御非法入侵的能力，并幫助網絡管理員對入侵行為進行跟蹤。

3）病毒防護機制。在網絡防病毒方案中，最終要達到一個目的就是：要在整個校園內部局域網杜絕病毒的感染、傳播和發作。為了實現這一點，網絡管理員應該在整個網絡內可能感染和傳播病毒的終端采取相應的防病毒手段。同時為了有效、便捷地實施和管理整個網絡防病毒體系，應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。學生選用瑞星網絡版殺毒軟件，并部署到位。

4）信息備份機制。學校資料雖然不像商業網站的資料那樣都帶有明確的價值，但是關系到整個學校正常的教學狀況，極其重要。所以應該定期對所有服務器資料特別是數據服務器、系統日志進行備份。但是備份不僅僅是對數據文件的備份，也不是僅僅使用拷貝的手段進行備份。對整個網絡系統進行備份才能在系統遭遇破壞時方便地恢復原系統。最好使用專業的備份軟件，它可以通過優化數據的傳輸率來提高備份的速度。使用此方法可以在網絡問題不可解決之時重新導入系統或數據，將造成的危害程度減到最小。

校園網的安全問題是一個較為復雜的系統工程，從嚴格的意義上來講，沒有絕對安全的網絡系統。在網絡安全日益影響到校園網運行的情況下，不能夠去保障校園網絕對的安全，只能說要盡一切可能去制止、減小一切非法的訪問和操作。要完善校園網管理制度，對相關的校園網管理人員進行培訓，對學生進行網絡道德教育，提高公德意識，安裝最新的防病毒軟件和病毒防火墻，不斷安裝軟件補丁、更新系統漏洞，對重要文件進行備份，從多個方面進行防范，把校園網不安全因素降到最少。

校園網絡安全是一個系統工程，因此需要建立互相支撐的多種安全機制，并將各種安全技術結合在一起，才能生成一個高效、通用、安全的網絡系統。當前網絡技術飛速發展，校園網對學校教學、管理、科研等各方面產生巨大的促進作用，希望大家能共同努力探索、實踐，構建校園網的安全長城。■