淺析民族高校校園網常見安全隱患及其對策

莫泓銘，蔡勇智

（四川民族學院，四川康定 626001）

淺析民族高校校園網常見安全隱患及其對策

莫泓銘，蔡勇智

（四川民族學院，四川康定 626001）

本文結合民族高校與其他高校校園網的普通性與特殊性，分析校園網常見的安全隱患，如網絡節點數量、使用者操作水平差異及不良的操作習慣、協議本身的漏洞等。并結合高校校園網的實際，從管理制度、備份冗余、普及安全知識、采用VLAN技術將校園網簡化和加強網絡管理實行身份驗證等方面提出一些關于增強校園網絡安全性的策略。

民族高校；校園網；安全隱患；對策

隨著計算機網絡技術的不斷發展，互聯網的應用越來越廣泛，網絡已普及社會的各行各業，各高校都建立了自己的校園網并接入了因特網。網絡技術的發展使地處偏遠地區的民族高校能快速接觸到最新知識，為教學、科研、辦公帶來了不少便利。校園網作為信息傳播的新媒體，已經成為廣大師生員工必不可少的教學、科研和學習的工具，并且實現了無紙化辦公，教育信息化程度進一步得到提高，為廣大師生教學科研、信息交流及獲取各類知識提供了重要渠道。網絡最基本的初衷即基于彼此信任的、開放的資源共享，但也帶來了各種安全隱患。民族高校校園網的安全性問題與其他校園網比較，有其普遍性，也有其獨特性。本文以四川民族學院校園網為例，分析校園網常見的安全問題，探討一些能提高校園網安全性的措施。

1 民族高校校園網常見的安全隱患

1.1 接入校園網的計算機數量眾多

隨著高校辦公自動化的進展，教職工至少人手一臺計算機，計算機在大學生中的普及率基本上也達到60%以上，這些計算機大多都能輕易接入校園網。

1.2 計算機使用者技術參差不齊

作為民族高校，有相當一部分教職工及學生的計算機應用水平較低，他們處于只會打字、上網等水平。在網上下載資料或軟件安裝時常常不經意間安裝了一些惡意的插件，而這些插件很有可能暗藏病毒。并且，移動存儲設備廣泛使用，使用者不知如何安全地打開外來移動存儲設備，只是一味地雙擊或右鍵打開，也為病毒的廣泛傳播創造了必要的條件。

1.3 網絡協議本身的漏洞

現行通用的上網協議為TCP/IP協議簇，該協議簇的初衷是共享，而非強調安全性。網絡中關于TCP/IP協議簇自身缺陷而引起的安全漏洞很多，例如：（1）利用TCP不完全的三次握手引發DOS攻擊；（2）TCP/IP沒有對自己的數據包進行完整性校驗，可以造成中間人攻擊；（3）利用ARP的映射來實現IP的欺騙；（4）運用ICMP的ping這樣的程序探測目標地址，通過響應可以得出目的地址。

1.4 操作系統的漏洞

很多網民習慣在私人電腦上對郵箱、微博等常用賬號“記住密碼”功能，相當于把這些賬號的“通行證”保存在了Cookie文件中，下次再訪問就可以直接登錄。而最新的MHTML0day漏洞會導致網民電腦中的Cookie文件被黑客竊取，造成電子郵件泄露、微博賬號等被黑客冒用等后果。諸如此類的還有默認共享、Windows XP系統默認空密碼帳戶Administrator等。

1.5 空密碼問題嚴重

大多計算機在安裝好系統后就直接聯網使用，沒有進行相應的安全檢查及設置，許多計算機都沒有設置密碼，或者設置的密碼極為簡單。

2 提高民族高校校園網安全性的策略

2.1 健全完善校園網計算機入網管理制度

校園網的管理制度可從用戶與網絡管理者兩個層面制定。在用戶層面，從用戶開戶時就告之入網責任與權利及相關的法律法規，并強調不得盜用他人帳號上網、不得使用他人IP地址；不得私自架設代理服務器；不得攻擊、侵入他人計算機等約定并以協議形式簽訂保存。從而規范入網用戶行為，對違反入網規定的用戶采取斷網或給予相應的處分，情節嚴重者交公安機關處理。網絡管理者層面，加強對網絡管理者專業知識升級更新，提升網絡管理能力；實行網絡安全運行績效考核制，確保網絡安全無障礙運行。

2.2 重點數據建立備份、容錯機制

對校園網內的重點數據單元（如教務處、財務處、后勤服務中心、網絡信息中心等區域）盡量不要接入外網，做好每周定期自動備份（重要操作后要及時備份），以保證在數據遭到損壞后能及時恢復，把損失降到最低。對于需24小時不間斷提供服務的數據單元還應該建立冗余鏡像，兩臺服務器指定為一主一從，當主服務器發生故障時，從服務器及時接管主服務器來提供服務。為防止數據在非法獲取后泄露，在數據流通環節及數據存儲環節應進行加密，加密算法至少達到128位，在采購重點數據單位數據庫軟件時應充分考慮這一點。

2.3 在校園內開展計算機安全知識培訓，普及防病毒技巧

通過現場培訓、網絡培訓、利用校園網平臺自學等方式，向廣大教職工和學生普及計算機安全使用小常識，使其養成良好的操作習慣。如：對來歷不明的文件或被感染了病毒的文件不能直接雙擊或通過右鍵打開方式打開，正確的做法是通過資源管理器打開；對移動設備在使用前先殺毒；對網上下載的文件先殺毒，確認無毒后才打開；能識別常見文件類型，通過文件擴展名能知道這是什么類型文件；鑒別偽裝的可執行文件；經常對計算機進行體檢，有利于及時發現有無病毒。

2.4 加強個人計算機安全管理

入網計算機都應做好自身安全防護工作，以減少給整個網絡造成的安全隱患。（1）防止空密碼或弱口令問題。每臺計算機都應該設置密碼，密碼不能太簡單或易猜，以防止暴力破解密碼。這是防止非法訪問最基本的一步，也是保護信息安全最重要的一步；（2）安裝殺毒軟件。殺毒軟件就像保險一樣，在系統沒感染病毒的時候它就像一個安全守護神，在感染病毒后，它能最大限度地對癥下藥，清除病毒，保護數據安全。盡管有的用戶自詡計算機應用水平較高，能對付常規的病毒而不安裝殺毒軟件，殊不知，病毒也是在不斷更新發展的，而殺毒軟件背后是一個專門研究對抗病毒的技術團隊，當出現新的病毒后，殺毒軟件能在最短時間內通過更新方式獲得清除新病毒的程序；（3）及時修復系統漏洞，打上安全補丁。雖然如今絕大多數用戶對電腦安全的防護意識已經大大提高，但是“漏洞修復”可能永遠無法擁有如“查殺病毒”同等重要的心理定位，漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。許多病毒都是通過系統漏洞進入系統，或者是利用系統存在的漏洞直接攻擊或者控制計算機系統的。漏洞補丁可以通過開啟系統自帶的“Windows Update”功能實現從微軟官方自動下載更新，也可以利用QQ管家、360安全衛士、金山衛士等安全管理軟件實現按需下載。

2.5 利用VLAN技術，將校園網劃分為數個小區域

VLAN作為一門新興技術，一出現就獲得廣大網絡管理員的認同，現已在大型局域網絡中廣泛應用。VLAN技術主要有以下優點：（1）減少廣播風暴，釋放更多帶寬給用戶，提高網絡流通性；（2）提高網絡安全，不在同一個VLAN內的數據在傳輸時是相互隔離的；不同VLAN間相互訪問必須通過路由器或三層交換機來實現；（3）簡化網絡管理，增加網絡靈活性，將有相同需求的用戶劃分在同一個VLAN，不必關心他們是否物理上相鄰（基于網卡MAC地址）。引入VLAN，將一個大的網絡劃分為多個小網絡，便于維護、管理，并且能將網絡中每臺計算機對全局的影響降到最低。根據不同區域的功能，將校園網分為服務器區、教學區、教工生活區、學生宿舍區、辦公區等，并在每個小區域建立VLAN，對每個不同的區域給予不同的權限，從而防止跨區域的非法網絡數據監聽，也能較好地解決訪問授權的問題。

2.6 加強網絡管理，實行入網計算機身份認證

每臺接入校園網的計算機都必須有對應的賬號，而不是簡單地設置個IP地址就能直接上網。上網計算機所訪問過的任何站點，所打開過的任何軟件都應該有記錄，并且該記錄還必須按需保存一段時間。目前很多網絡管理類軟件都可以實現此類功能，如四川民族學院校園網所使用的DR.Com軟件，除能輕易實現以上需求外，還具有防代理接入功能，可防單網卡代理、寬帶路由器接入；防共享上網；透三層綁定MAC地址；定時、實時廣播、消息發送；有效防止IP盜用、MAC盜用上網；流量管制、帶寬管理等功能。網絡管理軟件雖會給用戶造成一定的不便，但對網絡管理者管理全局網絡是十分方便且有效的。所有的網絡管理類軟件都面臨一個共同的問題——破解；網絡上有許多關于網絡管理類軟件的破解使用方法，有些下載后就可直接使用，而有的則需有一定的計算機基礎才能使用。因而，網絡管理類軟件在發現漏洞或出現破解版的情況下，需及時推出修補漏洞的升級版本才能避免出現監管真空區。

校園網有著最活躍的用戶，有著最先進的技術應用平臺。民族高校由于其特殊性，往往還擔負著維穩等政治任務。只有加強民族高校校園網的安全運行與管理，加強常規安全檢查，增加校園網安全管理投入，共同維護校園網，使其成為一個安全、可靠的網絡，才能為民族高校教學科研改革服務，為維護社會穩定、促進民族地區經濟文化大發展、大繁榮做貢獻。

[1]四川農業大學信息與教育技術中心.警示事件[EB/OL].(2012-06-05)[2012-06-10].http://nic.sicau.edu.cn/html/lists/5.htm.

[2]陳新建.高校園網的安全現狀和改進對策[J].網絡安全技術與應用,2007(3):68-69.

[3]劉欽創.高校校園網的安全現狀與對策[J].現代計算機,2006(3):103-106.

[4]陸凱.高校校園網網絡安全問題的分析及對策[J].開封大學學報,2006(3):82-85.

An Analysis on the Hidden Risks and the Countermeasures on Ethnic Universities’Network

MOHong-ming,CAI Yong-zhi
（Sichuan Universityfor Nationalities,Kangding626001,China）

Combining the commonness and specialness between the ethnic universities and the non-ethnic ones,this paper mainly analyzes the network’s frequently-seen hidden dangers of safety,such as the number of nodes,users’different operating levels and the bad operating habits,the protocol’s loophole.And based on the reality of the campus network,the paper comes up with some tactics to enhance its safety,from the operating systems,standby redundancy, popularity of safety knowledge,the use of VLAN to simplify campus network,and strengthening network management byIDchecking.

ethnic universities;campus network;hidden dangers ofsafety;countermeasures

TP393

A

1008-178X（2012）09-0032-03

2012-06-19

四川民族學院2011年度校辦自然科學項目（11XYZB006）。

莫泓銘（1983-），男，四川仁壽人，四川民族學院藏語文系助理研究員，從事計算機應用研究。