高校服務器網絡安全防范問題及策略研究

曾聰

摘? ?要：服務器網絡對于高校校園網絡的重要性是非常明顯的。一旦服務器網絡出現運行故障，整個校園網絡就會處于癱瘓狀態，那么學校依賴于網絡的各項工作也無法開展。因此，服務器網絡安全問題就凸顯出來了。文章分析了網絡安全的主要問題，以及針對問題的解決方法與工具，并結合新技術的發展，提出不斷更新維護服務器網絡安全的技術與策略。

關鍵詞：服務器網絡;網絡安全;防火墻;防范措施

1? ? 目前世界的網絡安全狀況

互聯網自建立起來為現代社會生活作出了超出人們想象的巨大貢獻。其開放性和匿名性特征為我們獲取信息提供了便利，但同時在信息安全方面產生了許多漏洞[1]。

（1）據McAfee發布的《網路犯罪的經濟影響》（2018年2月）報告，2017年幾乎每天有780 000條數據記錄由于網絡入侵而泄露。網絡越向前發展，相應的網絡犯罪越會緊跟步伐加快入侵頻率。如今，隨著電腦的普及，上網的人數呈幾何增長，這也使互聯網上的惡意活動規模達到了十分驚人的地步。無論是單月的網絡入侵還是一年的網絡入侵，統計數據都龐大得驚人。網絡技術不斷更新，網絡犯罪分子也會針對受害者開發新技術來突破防范措施、實施更有力的攻擊活動。而比特幣等加密貨幣的產生更讓網絡罪犯的支付和轉賬痕跡變得難以追蹤，進一步助長了犯罪分子的攻擊氣焰。邁克菲報告稱，其中一家主要的互聯網服務提供商（ISP）每天都會遭到800億次惡意掃描。

（2）根據賽門鐵克數據，在2018年第一季度，Google Play商店中共計擁有超過380萬個應用程序。Varonis發布的《2018年全球數據風險報告》分析了62億份關于信用卡信息和健康記錄等文件。結果顯示，其中有高達21%的文件沒有采取任何安全防范措施，可供任何人訪問。另外，41%的文件包含1 000多個面向所有人開放的敏感文件。這意味著網絡罪犯可以輕易獲取受害者的文件。

（3）Cybersecurity Ventures在《2017年網絡犯罪報告》中預測，到2021年網絡犯罪成本可能會高達6萬億美元。據悉，2015年全球網絡犯罪的年成本為3萬億美元。

2? ? 高校服務器的重要性

服務器是計算機的一種，比普通計算機運行更快、負載更高、價格更貴。服務器在網絡中為其他客戶機（如PC機、智能手機、ATM等終端，甚至是火車系統等大型設備）提供計算或應用服務。服務器具有高速的CPU運算能力、長時間的可靠運行能力、強大的I/O外部數據吞吐能力以及更好的擴展性。一般來說，服務器都具備響應服務請求、承擔服務、保障服務的能力。服務器作為電子設備，其內部結構十分復雜，但與普通的計算機內部結構相差不大，包括CPU、硬盤、內存，系統、系統總線等。

信息現代化的步伐正在向前挺進，各高校也紛紛響應政府政策，建設了許多校園網絡教學平臺，開設相應的專業教學機房。但是，前期建設中的網絡安全防范意識淡薄，以致計算機系統安全隱患多，漏洞頻繁出現，讓病毒乘虛在計算機上迅速感染傳播，破壞了校園網的正常運轉。再者，機房管理方面也有問題，致使教學機房服務器網絡安全遭遇多方面的威脅，解決此問題是維護網絡安全的重中之重。高校機房服務器網絡是校園網絡的核心樞紐，承擔著整個校園網絡順暢穩定運行的職責，其運行情況和性能直接影響了高校的教學、科研和管理等工作，是校園網絡和高校機房正常運轉的“定海神針”。因此，深入研究服務器網絡安全問題是非常必要的，研究者可以發現問題并提出有效的防范和改進方案，這對確保校園網絡及機房網絡在安全環境下正常運轉具有重大意義。

3? ? 服務器網絡安全常見的主要問題

3.1? 服務器網絡安全漏洞

通常入侵者會通過黑客專用軟件或自己開發的軟件來尋找網絡存在的安全弱點，就是所謂的系統安全漏洞，從漏洞中輕松地進入服務器系統。這些漏洞主要有幾處：

（1）物理安全性漏洞。入侵者可以在物理接口處進行非授權接入來破壞或切取服務器系統信息。

（2）軟件安全漏洞。入侵者可以通過用戶經常使用的軟件的漏洞，讓惡意程序代碼偷偷進入服務器系統，從而獲得沒經過授權的權限。

（3）軟硬件非整套一體化安全漏洞。不兼容性漏洞，就是將不是出自一整套的硬件與軟件捆綁在一起使用而導致的安全漏洞。一旦系統建立和運行，這種問題很難被發現。

3.2? 通常的網絡攻擊

網絡攻擊是指任何的非授權行為。攻擊范圍從簡單的使服務器無法提供正常的服務到完全破壞、控制服務器。網絡攻擊可以概括為以下幾類：

（1）被動攻擊。攻擊者特意針對某服務器，利用專用軟件工具全天候監視其所有信息流以獲得某些秘密。這種攻擊可以基于網絡（慢速掃描、端口掃描、地址掃描、反向映射）或基于系統（體系結構探測、DNS域轉換、Finger服務、LDAP服務）。被動攻擊是最難被檢測到的，對付這種攻擊的手段一般是去掉或修改各種Banner，包括操作系統和各種應用服務，阻斷用于識別的端口，或者建立防火墻。

（2）主動攻擊。攻擊的方式有很多，一般有口令入侵、放置特洛伊木馬程式、www的欺騙技術、電子郵件攻擊、利用黑客軟件攻擊、安全漏洞攻擊等。攻擊者利用上述方法試圖突破網絡的安全防線，從而達到入侵的目的。面對這種攻擊，我們重在檢測，而不在預防。

（3）物理接口入侵。在物理接口處接入網絡、系統或設備，未經授權便進入系統修改、收集或拒絕訪問信息。

（4）管理人員攻擊。即通過系統授權訪問，但是惡意或者非惡意地破壞服務器系統。

4? ? 服務器網絡安全防范措施

4.1? 服務器自帶或安裝防火墻

防火墻是一種綜合性技術，包含計算機網絡技術、密碼加密技術、安全技術、軟件技術、安全協議、網絡標準化組織的安全規范以及安全操作系統等。防火墻具有防范等級設置，用戶可以根據實際情況進行控制。防火墻能記錄互聯網的上網活動并隱藏用戶網絡點，且可以實現內部信任網絡與外部不可信任網絡之間或內部網不同網絡安全區域的隔離與訪問控制，保證網絡系統及內網絡的可用性，有效阻止互聯網的外部攻擊。

4.2? 各種殺毒軟件

殺毒軟件，也稱反病毒軟件或防毒軟件，用來消除威脅計算機安全的電腦病毒、特洛伊木馬和惡意軟件等，集防護與消除病毒于一體。

殺毒軟件通常集合了對文件、應用軟件進行監控識別、病毒掃描、病毒清除和系統文件自動升級等功能，有的還帶有數據恢復的額外功能，是計算機防御系統的重要組成部分，同時也是一種可以清除病毒、木馬等一切已知的對計算機有危害的程序代碼的程序工具[2]。

4.3? 入侵檢測系統

互聯網有了前面的兩重防御防線，按理來說比較安全了。但是，網絡罪犯不斷開發的新入侵軟件和工具來掃描發現用戶網絡中的安全漏洞并實施非法入侵。更重要的是，網上隨處可見入侵教程和工具，這使得網絡入侵危害變得更容易、更頻繁。跟防火墻不同的是，入侵檢測系統屬于主動防御技術。

入侵檢測系統通過從網絡中的若干關鍵節點收集信息并對其進行分析，從中發現違反安全策略的行為和遭到入侵攻擊的痕跡，自動作出響應。入侵檢測系統的主要功能是檢測和分析用戶和系統行為，檢查和掃描整個系統的安全以便發現安全漏洞，評估重要文件的完整性，識別已知的攻擊行為，統計分析異常的行為模式，審計跟蹤操作系統以及檢測違反安全策略的用戶行為等。入侵檢查系統能實時監控整個操作系統，發現入侵事件并實時跟蹤，自主阻止即將造成系統損壞或數據丟失的入侵行為，確保系統能恢復正常工作。入侵檢測系統還會收集有關入侵的技術資料，用于改進和增強系統抵抗入侵的能力[3]。

5? ? 服務器網絡安全的未來發展

隨著相關技術的不斷進步，未來服務器網絡的安全會趨于復雜化和人工智能化。近幾年，5G移動通信技術逐步得到應用，網速能達到非常大的吞吐量，這方便了黑客使用多種作案工具實施任何地點、任何時段的服務器網絡安全攻擊，造成服務器網絡安全防范與入侵數據分析的困難與復雜。人工智能的進展速度也不慢，這方面的技術無疑可以為服務器網絡攻擊的優化與精準攻擊導航。原本對黑客來說，具有高度個性化的攻擊工具需要昂貴的成本，而如今，基于人工智能技術的服務器網絡攻擊工具形成的自動化攻擊能大大減少黑客投入的精力。不過事物都有兩面性，對應的服務器網絡安全防御能力也將進一步提升。人工智能技術能應用于服務器網絡攻擊，同樣也可以應用于服務器網絡防御。在防御方面，引入人工智能技術對病毒攻擊加以識別，跟蹤分析入侵行為的痕跡，借助模式識別技術判定病毒的危害性并自動做出防御舉措。在防火墻滲透方面，引入新一代NP技術對網絡進行封裝處理，在防火墻外面創造多層“防甲”來不斷削弱網絡攻擊的滲透力，同時動態監測防火墻的使用狀態，及時響應防火墻遭到滲透與攻擊情況。

[參考文獻]

[1]陳明.信息安全技術[M].北京：清華大學出版社，2007.

[2]360百科.殺毒軟件[EB/OL].（2016-09-21）[2020-02-20].https：//baike.so.com/doc/3475294-3656427.html.

[3]雷震甲.網絡工程師教程[M].3版.北京：清華大學出版社，2009.