校園網網絡信息安全問題探討

姜貴平 薛進 劉賢喜 張煥遠 張偉

1 山東農業大學計算機科學實驗教學中心 山東泰安 2710182 山東農業大學網絡與教育技術部 山東泰安 271018

作者：姜貴平，學士，實驗師，主要研究方向為計算機網絡及圖形圖像處理。

隨著Internet的飛速發展，因特網上豐富的資源吸引著越來越多的用戶接入Internet，隨之而來的校園網的網絡安全問題也日益顯得突出，各種各樣的安全問題威脅著校園網的正常運行，給學校教學、科研、管理和對外交流帶來重大影響。因此，校園網安全問題已經成為當前各高校網絡建設中不可忽視的問題。本文就影響校園網網絡安全的主要因素及防御措施進行探討。

1 校園網絡安全存在的問題

目前校園網面臨的安全問題主要有硬件設備的安全、操作系統存在的漏洞、病毒侵害、黑客攻擊、垃圾郵件、網絡管理方面、用戶安全意識薄弱等。

1.1 硬件設備的安全問題

硬件設備是整個校園網絡系統的物質基礎，保證計算機信息系統各種設備的安全是保障整個校園網絡系統安全的前提。由于現在很多學校受人力、物力、財力、技術水平等因素的限制，不少校園網沒有采取必要的防護措施，抵御自然災害和意外事故的能力較差，造成的網絡設備損壞、數據丟失的現象屢見不鮮。

1.2 操作系統存在的漏洞

普遍存在的計算機系統的漏洞，對信息安全、系統的使用、網絡的運行構成嚴重的威脅。網絡系統的安全性能完全依賴主機安裝的操作系統的安全。目前，被廣泛使用的操作系統主要有Unix、Windows和Linux等，這些操作系統都存在大量已知和未知的漏洞，眾多的計算機病毒就是利用操作系統的漏洞進行攻擊與傳染。

1.3 病毒侵害

校園網的特點是用戶量大、上網時間長、在線用戶比例高，在這種高速、大容量的局域網中，各種計算機病毒和蠕蟲都容易通過用戶的不小心或有漏洞的系統迅速傳播擴散，由于它是在網絡上傳播的，加快了病毒的傳播速度，造成網絡阻塞甚至癱瘓，給網絡帶來災難性后果。如ARP病毒，病毒發作時表現為計算機網絡連接正常，能Ping通局域網內機器卻無法Ping通網關，用戶頻繁斷網，IE瀏覽器頻繁出錯；或由于ARP欺騙的木馬程序發作時發出大量的欺騙性廣播包，導致局域網內用戶上網不穩定，極大地影響用戶的正常使用，給整個校園網的安全帶來嚴重的隱患。

1.4 黑客攻擊

黑客攻擊是竊取信息、破壞網絡、制造干擾等為目的的攻擊行為。攻擊的方式大致分為：

1)欺騙，在網絡中，一臺主機假冒另一臺實體的攻擊；

2)中間人攻擊，攻擊者往往利用一些網上監聽工具，截取兩臺通信主機沒有加密的信息；

3)拒絕服務攻擊，在短時內提交大量針對某個網站的交易，該網站就可能因為不能及時處理這些交易而拒絕新的訪問；

4)口令破解，它可能使黑客猜測到系統中重要用戶的口令而破壞系統；

5)系統漏洞，黑客利用軟件或硬件設計的缺陷來實施對目標的破壞。

1.5 垃圾郵件

隨著計算機網絡的普及，電子郵件已經成為人們現實生活工作中必不可少的信息交流手段，但是同時又是最容易受非法信息污染的環節。垃圾郵件的出現嚴重干擾了人們的日常工作與生活，特別是病毒類的垃圾郵件，已經嚴重威脅到用戶信息的安全。有些學校雖然使用的是內部的郵件系統，但是沒有任何反垃圾郵件、病毒郵件的監管措施，使得郵件系統成為大部分學校局域網內的安全隱患。

1.6 管理方面存在的問題

嚴格的管理是校園網安全的重要措施。很多學校在建設校園網的時候，大多是重建設、輕管理，對網絡安全保護不夠重視，缺乏完善的網絡安全管理制度，網絡安全管理意識淡薄；人力、財力、物力投入不夠，并且在執行安全管理制度的時候往往并不到位；對于重要的資源，沒有采用安全訪問控制策略，非授權用戶能夠非法訪問重要資源。這樣會造成信息丟失、數據損壞、系統癱瘓等嚴重后果。

2 加強校園網網絡安全的主要措施

校園網網絡安全一旦出現問題，勢必給校園網造成危害，因此，一定要采取措施，確保校園網的安全。

2.1 優化硬件，加強設備的管理與保護

校園網建設投資巨大，為了保障校園網硬件設備的正常運行，首先要保證硬件系統的物理安全，采取適當措施加強網絡設備的管理與保護。因此，許多高校建設了高標準的IDC(Internet Data Center)機房，主要包括配置精密空調系統、機房環境監控系統、UPS系統、門禁系統、氣體滅火系統、防雷與接地系統等，構建安全、穩定的網絡運行環境。將主要網絡設備集中在IDC(Internet Data Center)機房放置管理，共享機房資源，進行統一監管，提高網絡運行的可靠性和安全性。

2.2 加強漏洞掃描，及時打上補丁

利用網絡安全掃描工具，查找網絡安全漏洞，評估風險并提出修改建議。采用漏洞掃描系統定期對工作站、服務器進行安全檢查，并根據檢查結果向系統管理員提供詳細可靠的安全性分析報告，建議建立校園網操作系統補丁服務器，對全校所有辦公用計算機的操作系統隨時提供補丁的升級更新、下載、安裝服務，發現問題及時處理。最大可能地彌補最新的安全漏洞和消除安全隱患，否則計算機即使安裝了防毒軟件，也會反復感染，影響整個網絡。

2.3 安裝殺毒軟件，及時升級

對于計算機病毒的防范，必須安裝防病毒軟件。防病毒軟件分為網絡版和單機版，單機版是安裝在單臺計算機上，只能保護單臺計算機；網絡版安裝在網絡服務器上，管理著整個網絡。如果只安裝單機版，網絡上個別計算機感染上病毒，有時也會影響整個網段的正常工作，如某臺計算機感染震蕩波病毒，整個網段就會堵塞甚至癱瘓。作為校園網最好是安裝網絡版殺毒軟件，這樣才能保證整個網絡的安全和穩定。殺毒軟件要做到及時升級，只有及時升級才能保證防御新出現的病毒。

2.4 采用防火墻，防止受攻擊

防火墻是一種隔離控制技術，是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障。通過防火墻把內、外網進行隔離，外網口與Internet連接，內網口連接核心交換機，DMZ接口連接對外訪問的服務器。利用防火墻在網絡通訊時執行一種訪問控制尺度，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、偷竊或破壞網絡上的重要信息。

防火墻有硬件防火墻和軟件防火墻，硬件防火墻是安裝在校園網的入口處，以減少外部對校園網的攻擊；軟件防火墻一般安裝在主機上，它既可以防止來自外網，也可以防止來自局域網內部的攻擊。

2.5 郵件過濾，完善電子郵件系統

在垃圾郵件控制和防范方面，可利用郵件過濾技術，如采用eyou公司的網關系統。網關采用從TCP鏈接到內容識別等多層有先進技術的過濾，可有效對抗最新的垃圾郵件發送手段。網關在郵件傳輸中的多個階段設置了多層過濾引擎，通過采用改進的貝葉斯算法和龐大的垃圾郵件知識庫以及智能垃圾郵件識別引擎，實現對垃圾郵件、有害信息、病毒郵件的有效過濾，可有效識別多種語言的垃圾郵件，抗干擾力強，識別率超過95%，同時保持了極低的誤判率，還提供了詳盡的日志信息和統計功能，方便信息查詢。

郵件過濾網關能有效地過濾垃圾郵件和病毒郵件，防范不良信息，保證校園網用戶的信息安全。

2.6 規范制度，加強管理

在計算機網絡系統中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網絡安全的重要保證。首先，制訂一系列完善的規章制度(如《校園計算機網絡管理辦法》《校園網IP地址管理暫行規定》《校園信息發布及保密管理暫行規定》等)，以確保校園計算機網絡正常運行。其次，要不斷加強計算機信息網絡的安全規范化管理力度，大力加強安全技術建設，強化使用人員和管理人員的安全防范意識，使他們自覺遵守和執行安全制度、安全操作規程和安全技術規范，盡可能地把不安全的因素降到最低。學校還應當成立信息安全領導小組，并明確其職責和工作制度，制訂安全事故處理程序、應急計劃等。

2.7 建立入侵檢測系統

入侵檢測系統，顧名思義是對入侵行為的檢測。入侵檢測技術是一種主動保護自己免受攻擊的網絡安全技術，作為防火墻的合理補充。入侵檢測技術能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力，提高了信息安全基層結構的完整性。入侵監測系統的主要功能有：監測并分析用戶和系統的活動；核查系統配置和漏洞；評估系統關鍵資源和數據文件的完整性；識別已知的攻擊行為；統計分析異常行為；操作系統日志管理，并且識別違反安全隱患策略的用戶活動。如NetWatch網絡監控與入侵檢測系統軟件，該軟件具有對網絡進行實時監控、自動或手動切斷網絡連接、孤立堵塞網絡主機、防止ARP欺騙、入侵檢測等功能，支持防火墻的互動，具有靈活的過濾規則制定方式。

2.8 采用VLAN技術

VLAN(Virtual Local Area Network)的中文名為“虛擬局域網”。VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用于交換機和路由器中，但主流應用還是在交換機之中。VLAN技術的實現原理是通過交換機的控制，某一VLAN成員發出的數據包只發給同一VLAN的其他成員，而不會發給該VLAN成員以外的計算機。運用VLAN技術將校園網按功能劃分成幾個不同的網段，各網段子網之間彼此隔離，杜絕病毒和木馬在整個網絡上傳播，是一個加強校園網絡管理的有效手段。VLAN可以改善網絡的通信效率，避免廣播風暴，使網絡的組織更具靈活性，網絡管理簡單直觀，提高網絡的整體安全性。

2.9 網絡數據備份和恢復

校園網網絡系統的安全所圍繞的中心是其中的數據，因此，加強數據的保護是網絡安全的重中之重。設備可以替換，但數據被破壞或丟失，其損失無法計量。必須認真對待文件備份、數據冗余等問題，對重要數據及數據庫系統進行定期備份，并注意備份數據的安全有效，一旦系統出現故障、網絡遭到破壞時，能夠在最短的時間恢復數據，保證網絡系統的正常運行。核心設備的備份主要包括核心交換機、核心路由器、重要服務器等。數據信息備份包括對網絡設備的配置信息、服務器數據等的備份。

3 結語

數據是整個校園網信息安全的核心，設計一套完整的數據備份和恢復系統也是校園網迫切需要的。它要考慮多方面因素，如備份/恢復數據量大小、應用數據中心和備援數據中心之間的距離及數據傳輸方式、災難發生時所要求的恢復速度、備援中心的管理及投入資金等。

[1]姜貴平,武裝,姜貴君,等.局域網組建與管理實訓教程[M].北京:清華大學出版社,2007.

[2]吳企淵.計算機網絡[M].2版.北京:清華大學出版社,2004.

[3]福建星網銳捷網絡有限公司網絡大學.實用網絡技術配置指南進階篇[M].北京:北京希望電子出版社,2005.

[4]Cisco Networking Academy Program. Cisco Networking Academy Program CCNA 3 and 4[M].天津大學,電子科技大學,中山大學,譯.北京:人民郵電出版社,2005.

[5]李慶.校園網信息安全與防范[J].遼寧師專學報,2005,7(1):29-30.

[6]陳斌.校園網絡安全問題分析與防范策略研究[J].信息與電腦,2010(8):3-4.

[7]楊秋田.校園網安全研究[J].武警學院學報,2010,26(9):90-93.

[8]黃鋒.高校校園網信息安全突發事件:危機預防中存在的問題及其對策研究[J].咸寧學院學報2010,30(9):159-161.