提升校園網絡安全性的探索與研究

張雪　邢磊

[摘要]隨著互聯網的飛速發展，網絡安全已經成為很現實的問題，不僅造成了不可估量的經濟損失，而且成為網絡技術廣泛使用的一個障礙。高校校園網因其自身的特點，安全問題尤為突出。重點對高校校園網存在的安全隱患與問題進行調查和研究，并對高校校園網的安全技術與優化策略進行了介紹和探討。

[關鍵詞]校園網絡；安全分析；防范措施

[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158（2013）06-0355-02

引言

校園網是高校教育信息化的重要基礎設施，在高校的教學、科研、管理和生活服務中起著越來越重要的作用。高等院校在不斷擴大校園建設、加強辦學條件的同時，為適應現代教育的發展和要求，也逐步開始自身校園網的建設和應用。與此對應，校園網的安全面臨著巨大的挑戰，如何管理好校園網，保障校園網安全、穩定的運行，是各院校校園網管理人員必須認真面對的問題。

1 校園網絡安全的現狀分析

1.1 采用開放的網絡環境

由于教學和科研的特點決定了校園網絡環境應該是開放的，管理也是較為寬松的。在企業網環境中可以限制Web瀏覽站點和用戶的網絡流量，甚至限制外部發起的連接不允許進入防火墻，但是在校園網環境下通常是行不通的，至少在校園網的主干不能實施過多的限制，否則一些新的應用、新的技術很難再校園網內部實施。面對這種開放的網絡環境，安全管理的難度很大，面臨的挑戰也很突出，在所有的局域網中校園網所面對的環境最為復雜。

1.2 存在操作系統或軟件漏洞

由于校內終端用戶對計算機認知能力存在差異，有些用戶不知如何為系統更新安全補丁，有些則是沒有隨時更新補丁的習慣，造成校園內大部分計算機系統都存在不同程度的安全漏洞，而目前網絡上的很多新型病毒和攻擊手段大部分都是針對操作系統漏洞攻擊并傳染的；另外校內師生在網上隨意下載的軟件中可能攜帶隱藏的木馬、后門等惡意代碼，導致系統運行緩慢，這些軟件也可能被攻擊者所利用。

1.3 擁有活躍的用戶群體

校園網用戶的主體是高校學生，這個年輕群體的上網行為相當活躍，由之帶來的網絡風險也十分嚴峻。一方面若學生瀏覽不良網站、下載經過偽裝的惡意軟件等網絡行為都可能將木馬、蠕蟲、病毒等程序帶人校園網，并且大多數學生不懂如何防范病毒和處理病毒，校園網一旦受到安全威脅，能很快地在校園網內蔓延，并且大面積出現相同的癥狀，嚴重時會造成校園網的癱瘓。另一方面學生對網絡新技術具有強烈的好奇心，為了滿足好奇心而勇于嘗試在網上學到的各種攻擊技術，對網絡設備、業務系統進行攻擊，給校園網的安全工作增加了難度。

1.4 網絡外部的入侵、攻擊等惡意破壞行為

校園網與互聯網相連，在享受方便快捷的同時，也面臨著遭遇攻擊的風險。借助網絡上泛濫的“傻瓜式”的攻擊軟件，外網非法用戶即使不具備任何計算機技術也可對校園網進行肆無忌憚的攻擊。例如通過注入漏洞檢測工具對WEB服務器進行數據庫注入式攻擊，造成學院網站主頁被篡改、數據被破壞等惡果。

1.5 校園網中的計算機系統管理比較復雜

校園網中的計算機系統的購置和管理情況非常復雜。學生宿舍中的電腦一般是學生自己花錢購買、自己維護。院系各個單位或者是統一采購，有技術人員負責維護或者是教師自助購買、沒有專人維護。在這種情況下，要求所有的端系統實施統一的安全策略（比如安裝防病毒軟件、設置可靠的口令）是非常困難的。由于沒有統一的資產安全管理和設備安全管理，出現安全問題后通常無法分清責任。更有些計算機甚至服務器系統建設完畢之后無人管理，甚至被攻擊者攻破作為攻擊的跳板，變成攻擊實驗床也無人察覺。

1.6 安全專項資金投入少和技術人員缺乏

大多數高職院校將經費主要投入到校園網絡的規模建設上，往往對保證網絡安全的軟硬件設備不夠重視，未能架構起行之有效的網絡安全體系。

網絡安全是當今較前沿的計算機技術，需要較強的實踐能力和豐富的現場經驗。高校一般沒有設置專門的網絡安全技術人員，現有的網絡管理人員多只具備組網管理技術，卻缺乏處理網絡安全風險的技術與經驗，難以應付復雜多變的網絡安全問題。

2 校園網絡安全防護解決方案設計及對策

2.1 網絡安全設備的使用

2.1.1 防火墻

網絡防火墻是指設置在計算機網絡之間的一道隔離裝置，可以隔離兩個或者多個網絡、限制網絡互訪，以保護網絡用戶的安全。為了勝任安全防護的重任，防火墻自身具有非常強的抗攻擊能力和免疫力，網絡之間的所有網絡數據包都必須經過防火墻過濾，只有符合相應安全策略的數據包才可以通過防火墻。

基于以上特性，防火墻一般部署在內網與外網之間，在網絡邊界處充當一個檢查點，以此作為安全保障體系的第一道防線，防御黑客攻擊。從性能方面考慮，首選硬件防火墻，由于硬件防火墻的硬件和軟件都單獨進行設計，由專用網絡芯片處理數據包，同時采用專門的操作系統平臺，從而避免通用操作系統的安全性漏洞。并且其對軟硬件有特殊要求，因此擁有高吞吐量、安全與速度兼顧的優點。但是選購硬件防火墻時需要注意的是，盡管許多網絡防火墻都號稱是硬件防火墻，并且硬件連同軟件一起銷售，但并沒有自己獨立的操作系統，只是基于x86計算機架構和開放的Linux/UNIX操作系統，以及一套自己開發的網絡防火墻軟件，其從根本意義上講，仍然是軟件防火墻。

在校園網入口處部署防火墻并不能發現和防止校園網內部針對核心服務器發起的攻擊，因此若條件允許，還可以建立多級防火墻來進一步保護校內的應用服務器群和數據庫服務器群。

2.1.2 入侵防御系統

隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，傳統的防火墻只能對三層或四層進行檢查，不能檢測應用層的內容，因此單純通過部署防火墻已經無法滿足校園網的安全需要。入侵防御系統（IPS）的設計基于一種全新的思想和體系架構，工作于串聯方式，采用ASIC等硬件設計技術實現網絡數據流的捕獲，檢測引擎綜合特征檢測、異常檢測、DoS/DDoS檢測、緩沖區溢出檢測等多種手段，并使用硬件加速技術進行深層數據包分析處理，能高效、準確的檢測和防御已知或未知的攻擊，并實施多種響應方式，如丟棄數據包、終止會話、修改防火墻策略、實時生成警報和日志記錄等，突破了以往IDS只能檢測不能防御入侵的局限性，提供了一個較完整的入侵防護解決方案。

傳統的防火墻旨在拒絕那些明顯可疑的網絡流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施，而絕大多數IDS系統都是被動的，不是主動的。也就是說，在攻擊實際發生之前，它們往往無法預先發出警報。而入侵防御系統IPS則傾向于提供主動防御，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。

IPS之所以能夠實現實時檢查和阻止入侵，在于IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發現之后，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定制的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用二層至七層的漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊并加以阻止。

IPS常常以串聯方式部署在出口處，抵御來自外網的入侵威脅。若來自校園網內部的入侵風險也較高，可以在靠近服務器群的位置處布置IPS，以增強校園網整體入侵防御的能力。

根據我們的使用經驗，IPS最好分階段、有步驟地部署實施。

第1階段：檢測，但不防御。

IPS以串聯方式工作，只進行檢測，不阻斷數據流，但它會將不符合協議的數據包丟棄，確保通過的數據包都是合乎規范的，是插入和規避類攻擊無從得手。在這個階段IPS的主要任務是適應環境，在保護校園網絡和應用的同時不會產生新的麻煩，同時也是管理員熟悉并了解IPS檢測機制的一個過程。

第2階段：檢測，并有選擇地防御。

當串聯方式被證明合適后，管理員就可以根據報警日志確定入侵檢測策略的有效性，先選擇一些最嚴重的報警，確保沒有誤報，然后對該類型的特征實施阻斷相應。在此階段，IPS檢測攻擊檢測共計并有選擇的防御，只將有明顯危害的攻擊流阻斷。

第3階段：檢測，并全面防御。

在確認了IPS的有效性并且安全策略經過不斷的調整優化之后，管理員就可以為所有入侵特征設置響應方式，從而使IPS進入全面的防御工作模式，一旦發現有害數據包就將其丟棄并阻斷隨后的數據流。

2.2 構建全方位的漏洞與病毒防護體系

2.2.1 架設微軟更新服務器

校園網內絕大多數電腦都是使用了微軟的操作系統，而目前網絡上相當比例的惡意攻擊都是在利用操作系統的設計缺陷展開的，這些缺陷或錯誤可以被不法者或電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個電腦，進而會威脅到整個校園網的安全。因此及時更新操作系統的漏洞補丁，已成為提高系統安全性的主要手段。

通常系統自帶的Windows Update功能都是自動連接到MicrosoftUpdate來下載更新補丁，但是在校園網環境下，會帶來以下問題：

（1）校園網客戶端數量眾多，更新操作會占用學校較多的出口帶寬資源。

（2）部分電腦存在平時不接入互聯網的情況，無法及時獲取最新的漏洞補丁。

（3）部分使用者不重視補丁程序的重要性，即使出現更新提示，也不主動更新。

基于以上原因，有必要在校內建設專用的微軟更新服務器。目前微軟提供免費的補丁分發方案WSUS（Windows Server Update Services），在Windows Server 2003平臺下需要安裝WSUS 3.0 sp2來添加該項功能，在Windows Server 2008和Windows Server 2012平臺下，已經內置了WSus組件功能。該方案支持微軟公司全部產品的更新，包含Windows、Office、SQL Server等內容。通過WSUS這個內部網絡中的Windows升級服務，所有Windows更新都集中下載到內部網的WSUS服務器中，而校園網中的客戶機通過WSUS服務器來得到更新。這在很大程度上節省了網絡資源，避免了外部網絡流量的浪費并且提高了內部網絡中計算機更新的效率。此外，還能通過制訂相應更新策略來控制客戶端的更新方式，以此達到強制更新的目的。

通常情況是在校園網環境中部署一臺WSUS服務器，當網絡規模很大且一臺WSUS服務器無法滿足需求時，可以使用多臺服務器進行補丁分發工作。整個部署分服務器端和客戶端。服務器端配置不難，但需按照校園網內安裝的微軟產品數量預留足夠的硬盤空間，此外還需做好補丁的審批策略。客戶端有兩種部署方式，一種是域環境下的組策略方式進行統一自動部署，另一種是非域環境下修改該機注冊表或組策略。

2.2.2 建立網絡防病毒體系

由于計算機病毒形式及傳播途徑的多樣化，校園網的防病毒工作再也不能是簡單的、單臺計算機病毒的檢測及清除，而是需要建立多層次的、立體的網絡病毒防護體系。確保各終端計算機安裝網絡版防病毒軟件的客戶端，并及時更新病毒庫；制定詳細的反病毒策略，定期對網絡服務器及工作站進行掃描監測；通過管理端設置和維護全校整體病毒防護策略，并對網絡病毒情況進行及時的監控與報告。

在選擇網絡防病毒解決方案時可以考慮以下一些因素：

（1）擁有多種安裝平臺的客戶端。除了能提供最常見windows平臺，還能提供Mac、Linux等平臺，能提供32位及64位平臺。只有提供各種平臺的客戶端安裝程序，才能在校園網中做到真正意義上的全方位防護。

（2）擁有便捷的部署方式。針對校園內各種不同用途的計算機，能給出多種簡便的部署方式，并且安裝好后零配置，用戶無需關心后續操作。

（3）功能強大的管理控制端。管理控制端必須擁有強大的集中式管理功能，能發現所管理客戶端存在的安全風險，能自動下發統一制定的安全策略，當發現大規模病毒爆發，能及時給出警告。針對日常的管理，擁有詳細的報表及日志功能。

（4）技術上擁有領先功能。如智能型掃描引擎能在計算機空閑時工作；針對目前主流的虛擬環境，能防止在虛擬環境中同時掃描和更新。

（5）是否還附帶了其他便于管理的功能。有些產品除了提供防病毒、反間諜軟件、桌面防火墻、網絡準入控制等功能，還提供了軟、硬件資產管理和軟件分發功能，該功能對學校來說，能極大的幫助管理員減輕相應的工作量。

3 結束語

校園網是一個復雜的綜合性系統工程，嚴格來說，絕對安全的校園網是不存在的。而完善的網絡安全策略是校園網網絡安全的前提，從計算機技術方面對網絡設備以及服務器進行合理的設置可以杜絕大多數的不安全因素，但是校園網內部的安全事件時有發生，期望通過硬件或是軟件一勞永逸的解決校園網安全及管理問題是不現實的。在目前，唯有綜合運用防火墻、殺毒軟件等多項措施，互相配合，從管理上規范校園網的使用，才能實現一個安全的校園網絡環境，使其可靠、高效地為廣大師生服務。

參考文獻

[1]劉遠生，辛一，計算機網絡安全（第2版）[J]，清華大學出版社，2009

[2]馬宜興，網絡安全與病毒防范（第5版）[J]，上海交通大學出版社，2011

[3]周世杰，陳偉，羅緒成，計算機系統與網絡安全技術[J]，高等教育出版社，2011

[4]黃波，劉洋洋，紀芳，信息網絡安全管理[J]，清華大學出版社，2013

[5]劉曉輝，網管天下：網絡安全管理實踐（第2版）[J]，電子工業出版社，2009