高校局域網(wǎng)安全問(wèn)題分析及對(duì)策

賈美紅，翟海江

（1.陽(yáng)泉師范高等專科學(xué)校，山西 陽(yáng)泉 045200；2.滎陽(yáng)市71834部隊(duì)，河南 滎陽(yáng) ）

高校局域網(wǎng)安全問(wèn)題分析及對(duì)策

賈美紅1，翟海江2

（1.陽(yáng)泉師范高等專科學(xué)校，山西 陽(yáng)泉 045200；2.滎陽(yáng)市71834部隊(duì)，河南 滎陽(yáng) ）

隨著網(wǎng)絡(luò)的普及和社會(huì)信息化程度的提高，校園局域網(wǎng)已成為當(dāng)前高校教學(xué)、科研、管理和對(duì)外交流的重要工具.校園網(wǎng)在為師生提供極大方便的同時(shí)，受技術(shù)、社會(huì)環(huán)境等各種因素的影響，存在著不少安全隱患，時(shí)刻威脅著校園網(wǎng)絡(luò)的健康發(fā)展.本文針對(duì)當(dāng)前高校局域網(wǎng)的安全問(wèn)題進(jìn)行了研究，并結(jié)合當(dāng)前高等教育信息化深入發(fā)展的實(shí)際，提出了一些相應(yīng)的對(duì)策.

高校局域網(wǎng)；網(wǎng)絡(luò)安全；安全策略；入侵檢測(cè)；備份

1 引言

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷.網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是要保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性.網(wǎng)絡(luò)安全受到破壞后往往導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷或者網(wǎng)絡(luò)信息缺失，特別是校園網(wǎng)，各部門的教學(xué)辦公活動(dòng)數(shù)據(jù)都采用網(wǎng)絡(luò)集中存放，統(tǒng)一管理.因此校園網(wǎng)必須采取很好的安全防范對(duì)策，才能保證正常的運(yùn)行.

2 高校局域網(wǎng)的特點(diǎn)

2.1 網(wǎng)絡(luò)建設(shè)硬件設(shè)備多，聯(lián)接復(fù)雜

高校局域網(wǎng)大都采用以太網(wǎng)拓?fù)浣Y(jié)構(gòu)，由核心、匯聚和接入三個(gè)層次構(gòu)成.這種結(jié)構(gòu)的網(wǎng)絡(luò)，需要大量的服務(wù)器、交換機(jī)、路由器和微機(jī)等硬件設(shè)備，線路聯(lián)接相當(dāng)復(fù)雜.另外，校園網(wǎng)一般設(shè)置有兩個(gè)出口，分別與內(nèi)部網(wǎng)(Cernet)、國(guó)際互聯(lián)網(wǎng)(Internet)連接.

2.2 網(wǎng)絡(luò)建設(shè)軟硬件比例失調(diào)

高校局域網(wǎng)在建設(shè)上長(zhǎng)期存在“重硬輕軟”的現(xiàn)象，在軟硬件建設(shè)投資中，軟硬件投資比例往往高達(dá)1:15，甚至更高，而國(guó)際上通行的比例是5:5，這樣的投資使校園網(wǎng)在實(shí)際應(yīng)用中發(fā)揮不出應(yīng)有的作用，造成了硬件資源的極大浪費(fèi).軟件的投資不足，導(dǎo)致大量盜版軟件的泛濫使用，而這些軟件本身就存在較多問(wèn)題，例如留有后門、攜帶病毒等，影響整個(gè)網(wǎng)絡(luò)的安全運(yùn)行.

2.3 網(wǎng)絡(luò)環(huán)境開(kāi)放，管理松散

高校局域網(wǎng)的建設(shè)是一項(xiàng)持續(xù)的系統(tǒng)工程，需要隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展而不斷完善，這就要求學(xué)校組織專門的人員進(jìn)行定期的維護(hù)和升級(jí).當(dāng)前許多高校都忽視了這方面的規(guī)劃和管理，加之，校園網(wǎng)的應(yīng)用功能要求校園網(wǎng)絡(luò)環(huán)境必須是開(kāi)放的，管理上的疏忽就為網(wǎng)絡(luò)安全留下一些隱患.

2.4 網(wǎng)絡(luò)用戶規(guī)模大，應(yīng)用豐富

以不同的用戶為劃分標(biāo)準(zhǔn)，高校局域網(wǎng)可區(qū)分為學(xué)生去、教學(xué)區(qū)、辦公區(qū)、家屬區(qū)等.同時(shí)，校園內(nèi)單位眾多，各單位基本都有不少基于局域網(wǎng)的應(yīng)用，這些應(yīng)用功能各異、需求不同、體系繁雜.而應(yīng)用系統(tǒng)越豐富，越容易有漏洞，出現(xiàn)安全問(wèn)題.

高校校園網(wǎng)絡(luò)拓?fù)涫疽鈭D如下：

3 高校局域網(wǎng)面臨的安全威脅

任何網(wǎng)絡(luò)的安全威脅都不是單一的，而是立體的，關(guān)乎各個(gè)系統(tǒng)甚至整個(gè)信息網(wǎng).因此，防護(hù)也可以從物理層、網(wǎng)絡(luò)層、系統(tǒng)層和管理層四個(gè)層面進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，了解安全風(fēng)險(xiǎn)來(lái)自何處，從而更好地防御來(lái)自各個(gè)層面的諸多風(fēng)險(xiǎn).

3.1 物理層安全風(fēng)險(xiǎn)

物理層安全風(fēng)險(xiǎn)主要是指物理層的媒體受到破壞，從而造成網(wǎng)絡(luò)系統(tǒng)的阻斷.通常包括諸如設(shè)備鏈路老化、設(shè)備被盜或有意無(wú)意被毀壞、因電磁輻射造成的信息泄露及各種突發(fā)的自然災(zāi)害等情況.

3.2 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)主要是由于數(shù)據(jù)傳輸、網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)設(shè)備等引發(fā)的安全風(fēng)險(xiǎn).

3.2.1 數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)

數(shù)據(jù)在傳輸過(guò)程中，經(jīng)常會(huì)出現(xiàn)竊聽(tīng)、惡意篡改或破壞等現(xiàn)象，而對(duì)于高校局域網(wǎng)而言，出現(xiàn)對(duì)多的是私接網(wǎng)絡(luò)和假冒MAC、IP地址以取得上網(wǎng)服務(wù).

3.2.2 網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析

高校局域網(wǎng)由于應(yīng)用功能，對(duì)INTERNET開(kāi)放了WWW、EMALL等服務(wù)，如果局域網(wǎng)在網(wǎng)絡(luò)邊界沒(méi)有強(qiáng)有力的控制，在受到非法訪問(wèn)或黑客惡意攻擊時(shí)，服務(wù)器就會(huì)受到極大的破壞.

3.2.3 網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)分析

龐大的校園局域網(wǎng)運(yùn)行起來(lái)，需要大量設(shè)備，這些設(shè)備本身的安全也需要考慮，若是其中一些設(shè)備配置不當(dāng)或者配置信息被改動(dòng)，將會(huì)引起信息泄露，甚至整個(gè)網(wǎng)絡(luò)全面癱瘓.

3.3 系統(tǒng)層安全風(fēng)險(xiǎn)

系統(tǒng)層安全風(fēng)險(xiǎn)主要來(lái)自高校局域網(wǎng)所使用的操作系統(tǒng)、應(yīng)用系統(tǒng).高校網(wǎng)絡(luò)操作系統(tǒng)一般使用WINDOWS系列和類UNIX系列，這些系統(tǒng)開(kāi)發(fā)商必然留有“后門”，如不進(jìn)行相應(yīng)的安全配置，將會(huì)后患無(wú)窮.而且隨著計(jì)算機(jī)技術(shù)的發(fā)展，這些系統(tǒng)本身就會(huì)出現(xiàn)漏洞，校園管理人員大都不會(huì)經(jīng)常進(jìn)行安全漏洞修補(bǔ).另外，一些用戶的不當(dāng)行為習(xí)慣，比如學(xué)生瀏覽黃色或暴力網(wǎng)站、使用帶毒U盤等，都極容易使服務(wù)器感染病毒或者遭受黑客攻擊.

3.4 管理層安全風(fēng)險(xiǎn)

高校局域網(wǎng)的安全威脅也可能來(lái)自于責(zé)權(quán)不明，如管理意識(shí)的欠缺、管理機(jī)構(gòu)的不健全、管理制度的不完善和管理技術(shù)的不先進(jìn)等管理因素.

4 高校校園局域網(wǎng)安全防御對(duì)策

4.1 設(shè)置訪問(wèn)權(quán)限

設(shè)置訪問(wèn)權(quán)限是校園局域網(wǎng)安全防御的第一道屏障，可用于判斷用戶的身份信息，主要使用口令機(jī)制，如登陸口令，共享權(quán)限口令等，以防止他人非法使用.盡管設(shè)置訪問(wèn)權(quán)限可起到一定的防御功能，但若是惡意用戶使用網(wǎng)上眾多的破譯軟件惡意破解，光有這個(gè)防御措施是遠(yuǎn)遠(yuǎn)不夠的.

4.2 部署防火墻

防火墻是設(shè)置在網(wǎng)絡(luò)區(qū)間的一系列軟硬件的組合，如在校園網(wǎng)與INTERNET之間部署一道防火墻，可為內(nèi)外網(wǎng)之間提供一道安全屏障.當(dāng)用戶執(zhí)行訪問(wèn)時(shí)，可執(zhí)行訪問(wèn)控制策略決定哪些內(nèi)部站點(diǎn)允許外界訪問(wèn)和允許訪問(wèn)外界，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵，同時(shí)還可對(duì)網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì).

4.3 部署入侵檢測(cè)/保護(hù)系統(tǒng)（IDS/IPS）

IDS（Intrusion Detection System）是繼防火墻之后，迅速發(fā)展起來(lái)的一類網(wǎng)絡(luò)安全產(chǎn)品.它通過(guò)檢測(cè)和分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，對(duì)網(wǎng)絡(luò)和系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，主動(dòng)識(shí)別各種攻擊企圖、攻擊行為或者攻擊結(jié)果，最后確保網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性.但當(dāng)IDS檢測(cè)出黑客入侵攻擊，并且攻擊已經(jīng)造成一定的損失，IDS就無(wú)法阻斷攻擊，比如現(xiàn)在越來(lái)越多的蠕蟲(chóng)病毒、DDOS攻擊、垃圾郵件等，往往會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓.IPS（Intrusion Prevention System）就是IDS的替代產(chǎn)品，他可以通過(guò)檢測(cè)和分析網(wǎng)絡(luò)中的異常數(shù)據(jù)流量，識(shí)別自己是否存在安全隱患，主動(dòng)對(duì)各類攻擊性的流量，特別是發(fā)生在應(yīng)用層的安全威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警.

4.4 部署WEB應(yīng)用防護(hù)系統(tǒng)

WEB應(yīng)用防護(hù)系統(tǒng)是針對(duì)一般防火墻無(wú)法解決的WEB攻擊，防止網(wǎng)頁(yè)被篡改、用戶信息泄露、拒絕服務(wù)和非法入侵等問(wèn)題的新型防火墻，主要工作在應(yīng)用層，具有先天的技術(shù)優(yōu)勢(shì).作為防火墻的合理補(bǔ)充，WEB應(yīng)用防護(hù)系統(tǒng)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性.

4.5 部署漏洞管理系統(tǒng)

網(wǎng)絡(luò)采用的操作系統(tǒng)和各種軟件在設(shè)計(jì)上一般會(huì)存在漏洞，需要用戶定期下載補(bǔ)丁程序進(jìn)行修補(bǔ).據(jù)統(tǒng)計(jì)，黑客成功入侵80%都是因?yàn)橄到y(tǒng)存在漏洞卻沒(méi)有及時(shí)修補(bǔ).部署漏洞管理系統(tǒng)能夠有效避免因系統(tǒng)漏洞產(chǎn)生的安全問(wèn)題.目前，一些現(xiàn)成的漏洞管理產(chǎn)品能夠在發(fā)現(xiàn)系統(tǒng)存在漏洞、網(wǎng)絡(luò)存在風(fēng)險(xiǎn)、或是出現(xiàn)新病毒時(shí)，及時(shí)向用戶發(fā)送安全報(bào)告，并提供修補(bǔ)漏洞的程序下載.高校網(wǎng)絡(luò)管理人員只需定期跟蹤這些信息，及時(shí)安裝漏洞補(bǔ)丁或升級(jí)程序就能很好地保護(hù)網(wǎng)絡(luò)安全.

4.6 部署網(wǎng)絡(luò)防病毒系統(tǒng)

在高校局域網(wǎng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)防護(hù).網(wǎng)絡(luò)防病毒系統(tǒng)非常適合大型網(wǎng)絡(luò)，具有集中式管理、分布式殺毒的特點(diǎn)，可以選擇一些適合高校局域網(wǎng)特點(diǎn)的網(wǎng)絡(luò)防病毒系統(tǒng)，為校園網(wǎng)絡(luò)提供多層次、全方位的保護(hù).

4.7 部署內(nèi)容安全管理系統(tǒng)

前面的防護(hù)措施基本上都是針對(duì)來(lái)自外網(wǎng)的攻擊，但是不能監(jiān)控和防范已授權(quán)的內(nèi)網(wǎng)用戶.而對(duì)于高校局域網(wǎng)來(lái)說(shuō)，內(nèi)網(wǎng)用戶數(shù)量龐大，更容易導(dǎo)致網(wǎng)絡(luò)安全事件，而且更加隱蔽，所造成的損失更加巨大，因此必須重視對(duì)內(nèi)網(wǎng)的監(jiān)護(hù).內(nèi)容安全管理系統(tǒng)，就是針對(duì)這個(gè)特點(diǎn)設(shè)計(jì)的，它可以監(jiān)視用戶在進(jìn)行網(wǎng)站訪問(wèn)、郵件收發(fā)、P2P下載、論壇以及瀏覽視頻時(shí)的操作，阻止一些網(wǎng)絡(luò)安全隱患的發(fā)生，為校園提供一個(gè)安全、綠色的上網(wǎng)環(huán)境.

4.8 部署系統(tǒng)備份

系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線，用來(lái)恢復(fù)遭受災(zāi)難性攻擊之后的系統(tǒng).備份的目的在于重新利用，備份工作的核心是恢復(fù).因此，從便于管理和恢復(fù)的角度考慮，要選擇好備份方案，制訂數(shù)據(jù)分組和存儲(chǔ)介質(zhì)池對(duì)應(yīng)策略，并建立不同的存取權(quán)限.

最終部署的結(jié)構(gòu)如圖所示：

5 結(jié)束語(yǔ)

高校局域網(wǎng)強(qiáng)大的網(wǎng)絡(luò)功能及豐富的信息資源是其他網(wǎng)絡(luò)所不能比擬的，為教學(xué)、科研提供了極大的便利，受到越來(lái)越多網(wǎng)絡(luò)用戶的青睞，每一位使用者在享用局域網(wǎng)帶來(lái)的實(shí)惠時(shí)，都有參與和維護(hù)網(wǎng)絡(luò)安全的圣神職責(zé).在前面所述對(duì)策的層層設(shè)防下，基本可以確保網(wǎng)絡(luò)安全正常運(yùn)轉(zhuǎn).

〔1〕張志強(qiáng)，郝志萍.校園網(wǎng)絡(luò)安全現(xiàn)狀與安全策略構(gòu)建[J].中州大學(xué)學(xué)報(bào)，2008.

〔2〕周揚(yáng)玲.校園網(wǎng)安全問(wèn)題及防范策略[J].四川職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008（3）.

〔3〕張玉珍.高校知識(shí)創(chuàng)新中的信息保障體系研究[J].情報(bào)雜志，2005（1）.

〔4〕張治元.校園網(wǎng)安全威脅及其應(yīng)對(duì)策略探討[J].長(zhǎng)沙通信職業(yè)技術(shù)學(xué)院學(xué)報(bào),2004（4）.

〔5〕臧玉春，劉春宇.高校校園網(wǎng)應(yīng)用現(xiàn)狀的分析與探討[J].長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào)，2004（9）.

〔6〕楚狂.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京:人民郵電出版社,2004.

〔7〕邵波,王其和.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].電子工業(yè)出版社,2005.

TP393.18

A

1673-260X（2012）02-0035-02