淺談校園網的安全隱患及防范措施

張莉

廣東女子職業技術學院 廣東 511450

0 前言

隨著高校信息化進程的推進，高校校園網上運行的應用系統越來越多，信息系統變得越來越龐大和復雜，校園網的安全問題成為信息化建設中的一個重點問題。校園網安全是一個較為復雜的系統工程，要考慮到用戶、管理、技術三方面的因素。從嚴格的意義上來講，100%的安全網絡系統是沒有的，網絡安全工作是循序漸進、不斷完善的過程。

廣東某職業技術學院目前正在進行校園網的升級改造，旨在提高校園網的穩定性與安全性。本文就以該學院的校園網為硬件環境，對網絡安全現狀中的問題進行分析，并提出問題的解決方案。

1 校園網概況

廣東某職業技術學院是一所公辦的全日制普通高校，由主校區和分校區兩部分構成。學院校園網采用雙出口與外網連接，現以100Mbps帶寬光纖接入CHINANET(中國電信網)、10Mbps帶寬光纖接入CERNET(國家教育科研網)，以高性能的萬兆路由交換機作為核心網絡設備，采用成熟的千兆主干，百兆到桌面的鏈路連接，鋪設光纖10多公里，覆蓋全院兩個校區所有教學樓，圖書館，綜合樓，學生宿舍及教工住宅，信息點總數達5000多個。現有的網絡拓撲結構如圖1所示。

校園網的建設，不但滿足了學生教學和管理資料查詢的需要，還在校園網基礎平臺上先后建設和應用了圖書館網絡管理系統、校園網辦公教務學籍管理應用系統、后勤IC卡管理系統，為我院教學管理信息化、現代化發揮了巨大的作用。

目前，數字化校園基礎平臺建設已經初步完成，教務、學工、辦公系統、校園一卡通、在線教學等網絡應用項目建設相繼啟動，校內資源總量已達1.6TB。

圖1 廣東某職業技術學院網絡拓撲結構

2 校園網現狀問題分析

校園網作為學院重要的基礎設施，擔當著學院教學、科研、管理和對外交流等許多角色，校園網安全狀況直接影響著學院的教學活動。在網絡建成的初期，安全問題還不突出，隨著應用的深入，校園網上各種數據急劇增加，各種各樣的安全問題開始困擾網絡管理人員。經過對采集的校園網數據認真分析，結合校園網用戶所反映的實際情況，問題主要體現在以下幾個方面。

2.1 網絡可靠性差

由于網絡結構中沒有設備、電源、線路等的冗余和負載均衡，中心核心設備或分中心設備故障等問題出現直接導致了大面積的網絡中斷，影響網絡的正常運行，每次出現問題后網管人員需要做出相應響應，網絡不具有自動愈合功能。在沒有采用負載均衡的設備上，經常會出現部分用戶上網速度變慢或根本無法訪問的現象。

目前網絡上所使用的TCP/IP協議(Transmission Control Protocol/Internet Protocol，傳輸控制協議/因特網互聯協議)，由于其協議簇完全公開，因此，利用 TCP/IP協議簇的漏洞進行的網絡攻擊成為了校園網中目前最常見的安全威脅之一，比較典型的例如利用 ARP協議(Address Resolution Protocol，地址解析協議)的接收/發送無需身份驗證特性而進行的ARP攻擊。曾經因為ARP病毒導致校園網中的多數用戶無法正常使用網絡功能，影響了正常的教學。

2.2 網絡安全性差

由于教學、辦公、學生公共機房等場所的計算機管理不善，容易造成IP地址沖突、計算機感染病毒造成網絡擁塞、流量異常以及資料泄密等安全事故，這些事件的發生嚴重影響了校園網運行的安全性和可靠性。

互聯網迅猛發展使得網絡運營成為社會時尚，但同時也為病毒感染和快速傳播提供了途徑。病毒通過網絡傳遞，并在計算機沒有任何防護措施的情況下運行，從而導致系統崩潰，網絡癱瘓，對網絡服務構成嚴重威脅，造成巨大損失。

2.3 網絡資源整合程度低

在校園網上運行有郵件系統、辦公管理系統、教務管理系統、網絡教學平臺、精品課程課件開發平臺、學習資源平臺、校內數字圖書館、學生選課系統、校園一卡通管理系統、學生作業管理系統等一系列平臺，但這些平臺彼此之間的互相兼容性不高，需要進行資源整合，實現高效、穩定的網絡資源平臺。

2.4 IP沖突問題

校園網中最常見的就是盜用合法用戶的IP地址，造成IP地址沖突，使得用戶不能正常訪問網絡，嚴重的可以造成主機癱瘓，甚至影響整個校園網的運行。校內的部分場所是采用的固定IP地址分配接入，有些場所又使用了自動獲取 IP地址的方法，需要重新規劃整理IP地址的分配范圍。

2.5 防火墻攻擊

網絡安全的主要威脅可以分為外部入侵和內部攻擊兩種形式，校園網的問題主要是內部攻擊。在高校網絡用戶中，學生和教師成為校園網龐大的用戶群，根據用戶行為可以劃分為三類：非法用戶接入、合法用戶有意破壞和合法用戶無意破壞。

防火墻系統相關技術的發展已經比較成熟，防火墻系統很堅固，但這只是對外的防護而已，它對于內部的防護則幾乎不起什么作用，然而一般情況下有大多數的攻擊是來自局域網的內部人員，所以怎樣防止來自內部的攻擊是當前校園網建設中的一個非常重要的方面。

2.6 對郵件服務器進行攻擊

由于用戶安全觀念的淡薄以及網上某些人的別有用心，會給校園網的Email用戶發一些不良內容的信件，有時還會攜帶各種各樣的病毒。因此，怎樣防止有問題的信件進入校園網的Email系統也是一個待解決的問題。

惡意用戶利用校園網內郵件服務器系統的缺陷，例如缺乏有效的郵件過濾機制和郵件轉發限制機制，對郵件服務器進行攻擊。目前常見的攻擊有兩類：一類是中繼利用，即遠程主機通過被攻擊郵件服務器向外發送郵件。另一類是垃圾郵件，也稱郵件炸彈，通過大量發送垃圾郵件，造成郵件服務器阻塞，增大校園網流量，甚至系統崩潰，同時還會給校園網帶來經濟上和名譽上的損失。

2.7 各種服務器和網絡設備的掃描和攻擊

有些用戶對校園網的服務器和網絡設備進行掃描和攻擊，造成網絡負載過重，致使服務器拒絕提供服務，或造成校園網不能提供正常的服務。

由于作為網絡基礎的 TCP/IP協議本身就具有安全性方面的缺陷，加上具體設計中的各種因素，校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全漏洞，加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作，因此惡意用戶可以利用一些專用程序對系統進行掃描，利用發現的安全缺陷侵入系統，獲得各種用戶權限，從事危害系統安全的活動。

2.8 非法地址的訪問

對于一些反動的或不健康的站點，應當禁止校園網用戶通過校園網去訪問。可以通過路由器或防火墻過濾部分非法地址的訪問。為了方便教師在家辦公，校園網開通了 VPN(Virtual Private Network，虛擬專用網絡)連接的功能，對VPN用戶的管理也非常重要，為了防止非法用戶通過 VPN通道進入校園網，管理員應該嚴格管理VPN用戶的信息。

2.9 針對應用服務器的攻擊

校園網中較易受攻擊的應用服務器主要是 DNS服務器和Web應用服務器，是目前校園網管理員最關注的安全問題。

目前針對 DNS服務器的攻擊主要有兩類：一類是緩存區中毒，主要是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的 DNS信息，一旦成功，攻擊者可以使發向合法站點的傳輸流改變方向，使其轉向攻擊者指定的站點。另一類是域劫持，攻擊者利用用戶升級自己的域注冊信息時所使用的不安全機制接管域注冊過程以控制合法的域。

Web應用服務器自身具有很多脆弱性，如Web服務軟件自身存在安全問題，Web應用程序安全性較差，如常見的ASP(Active Server Page，動態服務器頁面)、PHP(Hypertext Preprocessor，超級文本預處理語言)腳本等都具有嚴重的安全漏洞，而系統管理員很難做出全面的處理，因此，極易受到惡意用戶的攻擊。

如何讓校園網更安全，防止網絡遭受病毒的侵襲，已成為校園網迫切需要解決的問題。

3 校園網安全解決方案

學院校園網已有較完善的網絡系統結構，在保證現有網絡正常工作的同時，再進行開發和完善是解決校園網安全的最佳選擇，針對以上問題，提出如下解決方法。

3.1 采用入侵檢測系統

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。在校園網中采用入侵檢測技術，最好采用混合入侵檢測。需要從兩方面來著手：基于網絡的入侵檢測和基于主機的入侵檢測。

3.2 安全監測系統

在校園網的Web服務器、Email服務器等各種服務器中使用網絡安全監測系統，實時跟蹤、監視網絡，截獲Internet網上傳輸的內容，并將其還原成完整的Web、Email、FTP、Telnet應用的內容，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，及時向上級安全網絡中心報告，采取措施。并利用專門的日志分析工具對保存在數據庫中的訪問日志進行統計并繪制統計圖，可以對訪問地址和流量進行分析，對于明顯的攻擊便可一目了然了。

3.3 配置防火墻

防火墻是一種行之有效且應用廣泛的網絡安全機制，能夠有效防止 Internet上的不安全因素蔓延到局域網內部。IP鏈規則是一套直接編譯在系統內核中的防火墻，其運行效率是其他外掛在操作系統上的軟件防火墻所無法比擬的，假若希望在流量較大網絡接口安設防火墻，而又不想購買昂貴的硬件防火墻時，采用IP鏈規則建立包過濾防火墻是一個不錯的選擇。

3.4 構筑透明代理

使用 IP鏈規則可以使內網的主機不需要做任何設置就可以訪問 Web，但其缺點就是當內網數臺主機先后訪問Internet上某一站點時，第一臺將該站點的主頁以及頁面中的圖像從 Internet下載到本機，而其它幾臺訪問時也要重復相同的操作，即從 Internet下載了同樣的內容，這樣的重復勞動自然會浪費相當多的帶寬，而使用具有Web緩存的代理服務器便可解決此問題。在第一臺主機訪問該站點時代理服務軟件將此網頁的內容緩存到本地硬盤，而后其他主機再次訪問該站時，代理服務器只是檢測該網頁是否有更新，若無更新便直接將本機的緩存傳送過去，這樣既可以節省帶寬又有效地提高了上網速度。

3.5 采用Socks代理服務

Socks(Protocol for sessions traversal across firewall securely，防火墻安全會話轉換協議)是一組是用客戶端/服務器端結構的代理協議。Socks的軟件組成包含Socks服務器程序及Socks客戶端應用程序庫。用戶的應用程序只要支持Socks協議就能通過Socks代理服務器連接到防火墻外的網絡。

3.6 漏洞掃描系統

解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡模擬攻擊從而暴露出網絡的漏洞。

3.7 防止IP盜用

在路由器上捆綁IP和MAC(Media Access Control, 介質訪問控制)地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發出這個 IP廣播包的工作站返回一個警告信息。

3.8 利用網絡監聽維護子網系統安全

對于校園網外部的入侵可以通過安裝防火墻來解決，但是防火墻對于校園網內部的侵襲則無能為力。在這種情況下，為校園網內部的各個子網做一個具有一定功能的審計文件，為管理人員分析內部網絡的運作狀態提供依據。

3.9 防止用戶破壞

對于校園網內用戶進行有效管理，能夠從很大程度上降低網絡安全的威脅。為此應加強對校園網用戶的安全意識教育，提高遵守相關的安全制度的自覺性，增強整體安全防范能力。對于非法訪問和黑客攻擊事件，一旦發現要嚴肅處理。

3.10 加強網管人員安全意識

培養一支具有安全管理意識的網管隊伍也是建設安全的校園網環境不可缺少的條件。加強對校園網安全技術和管理人員的培訓，使他們從技術上提高應對各種攻擊的能力。網絡管理人員通過對所有用戶設置資源使用權限與口令，對用戶名和口令進行加密存儲、傳輸，提供完整的用戶使用記錄和分析等方式可以有效地保證系統的安全。

通過以上各種方法基本上可以建立一套相對完整的網絡安全系統。不過，網絡安全是一個系統的工程，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮系統的安全需求，并將各種安全技術，如密碼技術、防火墻技術等等結合在一起，才能擁有一個高效、穩定、安全的網絡系統。

[1]杜鵬飛.校園網絡安全管理探析[J].網絡安全技術與應用.2007.

[2]方耿,林慶霓,莫卓豪.網絡維護與故障診斷[M].北京:冶金工業出版社.2005.

[3]歐帥.DNS拒絕服務攻擊的防護系統的研究與設計[D].西南交通大學.2009.

[4]蔣文保,楊大鑒,任曉明.寬帶網絡入侵檢測系統的分析與實現[J].計算機工程.2007.

[5]朱萍.基于透明代理的 Linux防火墻的設計與實現[J].合肥工業大學學報(自然科學版) .2007.

[6]趙科.高職院校校園網管理思考[J].網絡與信息.2008.