曾 科

【摘 要】建立安全、有效的校園網(wǎng)絡(luò)安全體系,才能保證高校教學(xué)與科研工作的順利進行。本文通過對校園網(wǎng)安全隱患進行分析,探討校園網(wǎng)的安全防護問題,并提出建議和解決措施。

【關(guān)鍵詞】校園網(wǎng)絡(luò) 隱患 安全管理 對策

互聯(lián)網(wǎng)起源于1969年的ARPANet最初用于軍事目的,1993年開始應(yīng)用于商業(yè)。現(xiàn)今隨著計算機技術(shù)的廣泛發(fā)展,計算機應(yīng)用領(lǐng)域不斷擴大,特別是在教育機構(gòu),校園網(wǎng)成為教學(xué)、辦公科研、資源共享的重要工具。校園網(wǎng)帶來方便的同時,網(wǎng)絡(luò)本身的開放、共享、廣泛、復(fù)雜性也帶來了一系列令人擔(dān)心的問題,網(wǎng)絡(luò)安全已經(jīng)被提到了重要日程。無論我們是否愿意承認,只要連接了Internet,都是容易受攻擊的。因而在網(wǎng)絡(luò)本身的開放性、共享性的前提下,如何保證校園網(wǎng)絡(luò)的安全性,以抵抗入侵、防范網(wǎng)絡(luò)攻擊等,成為目前校園網(wǎng)絡(luò)建立健全的關(guān)鍵。

1 安全隱患

近幾年來,隨著高校規(guī)模的不斷擴大,新校區(qū)或者合并校區(qū)的擴建,高校校園網(wǎng)普遍存在網(wǎng)絡(luò)規(guī)模較大,上網(wǎng)地點較分散,網(wǎng)絡(luò)監(jiān)管困難,上網(wǎng)行為不夠規(guī)范等現(xiàn)象,因而加大了校園網(wǎng)絡(luò)在使用過程中的安全隱患。

1.1網(wǎng)絡(luò)自身的安全缺陷

網(wǎng)絡(luò)是一個開放的環(huán)境,TCP/IP是一個通用的協(xié)議,即通過IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識,基于IP地址進行多用戶的認證和授權(quán),并根據(jù)IP包中源IP地址判斷數(shù)據(jù)的真實和安全性,但該協(xié)議的最大缺點就是缺乏對IP地址的保護,缺乏對源IP地址真實性的認證機制,這就是TCP/IP協(xié)議不安全的根本所在。通過TCP/IP協(xié)議缺陷進行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協(xié)議攻擊、SYN攻擊等等。

1.2網(wǎng)絡(luò)結(jié)構(gòu)、配置、物理設(shè)備不安全

最初的互聯(lián)網(wǎng)只是用于少數(shù)可信的用戶群體,因此設(shè)計時沒有充分考慮安全威脅,互聯(lián)網(wǎng)和所連接的計算機系統(tǒng)在實現(xiàn)階段也留下了大量的安全漏洞。并且網(wǎng)絡(luò)使用中由于所連接的計算機硬件多,一些廠商可能將未經(jīng)嚴格測試的產(chǎn)品推向市場,留下大量安全隱患。同時,由于操作人員技術(shù)水平有限,所以在網(wǎng)絡(luò)系統(tǒng)維護階段會產(chǎn)生某些安全漏洞,盡管某些系統(tǒng)提供了一些安全機制,但由于種種原因使這些安全機制沒有發(fā)揮其作用。

1.3內(nèi)部用戶的安全威脅

系統(tǒng)內(nèi)部人員存心攻擊、惡作劇或無心之失等原因?qū)W(wǎng)絡(luò)進行破壞或攻擊的行為,將會給網(wǎng)絡(luò)信息系統(tǒng)帶來更加難以預(yù)料的重大損失。U盤、移動硬盤等移動介質(zhì)交叉使用和在聯(lián)接互聯(lián)網(wǎng)的電腦上使用,造成病毒交叉感染等等,都會給校園網(wǎng)絡(luò)帶來較大的安全威脅。特別是近年來利用ARP協(xié)議漏洞進行竊聽、流量分析、DNS劫持、資源非授權(quán)使用、植入木馬病毒不斷增加,嚴重影響了網(wǎng)絡(luò)安全。

1.4軟件的漏洞

一般認為,軟件中的漏洞和軟件的規(guī)模成正比,軟件越復(fù)雜其漏洞也就越多。在網(wǎng)絡(luò)系統(tǒng)運行過程中,由于操作系統(tǒng)自身不夠完善,針對系統(tǒng)漏洞本身的攻擊較多,且影響也較嚴重。再加之,目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標(biāo)。

1.5病毒的傳播

網(wǎng)絡(luò)的發(fā)展使資源的共享更加方便,移動設(shè)備使資源利用顯著提高,但卻帶來病毒泛濫、網(wǎng)絡(luò)性能急劇下降,許多重要的數(shù)據(jù)因此受到破壞或丟失,也就是說,網(wǎng)絡(luò)在提供方便的同時,也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達”、“沖擊波”、“震蕩波”、“歡樂時光”、“熊貓燒香”的爆發(fā)無不使成千上萬的用戶受到影響,再加之,近幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴峻。

1.6各種非法入侵和攻擊

由于校園網(wǎng)接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護比較薄弱,使得校園網(wǎng)成為易受攻擊的目標(biāo)。非法入侵者有目的的破壞信息的有效性和完整性,竊取數(shù)據(jù),非法搶占系統(tǒng)控制權(quán)、占用系統(tǒng)資源。比如:漏洞、薄弱點掃描,口令破解;非授權(quán)訪問或在非授權(quán)和不能監(jiān)測的方式下對數(shù)據(jù)進行修改;通過網(wǎng)絡(luò)傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統(tǒng)資源導(dǎo)致授權(quán)的用戶不能獲得應(yīng)有的訪問或操作被延遲產(chǎn)生了拒絕服務(wù)等。

2 校園網(wǎng)安全管理和維護的措施與建議

通過以上安全缺陷分析,校園網(wǎng)絡(luò)安全的形式依然非常嚴峻。制定整體的安全部署解決安全隱患和漏洞,是校園網(wǎng)安全、健康運行的保障。

2.1配備高性能的防火墻產(chǎn)品

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般來說,防火墻設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間。防火墻相當(dāng)于分析器,可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù),防火墻也可以在網(wǎng)絡(luò)層和傳輸層運行,根據(jù)預(yù)先設(shè)計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。所以對防火墻作好安全設(shè)置,設(shè)定恰當(dāng)?shù)脑L問控制策略,保障網(wǎng)絡(luò)資源不被非法使用和訪問。

2.2網(wǎng)絡(luò)設(shè)計、使用更合理化

在網(wǎng)絡(luò)設(shè)計之初,需要理解終端設(shè)備安全事件對網(wǎng)絡(luò)的影響,確定需要采取的安全措施,通過已知身份驗證的設(shè)備訪問網(wǎng)絡(luò),防范未經(jīng)授權(quán)的接觸,讓入侵者難以進入。這樣網(wǎng)絡(luò)才能提供可預(yù)測、可衡量、有保證的安全服務(wù)。

2.3軟件漏洞修復(fù)

在校園網(wǎng)絡(luò)系統(tǒng)運行過程中,一方面對用戶進行分類,劃分不同的用戶等級,規(guī)定不同的用戶權(quán)限;另一方面對資源進行區(qū)分,劃分不同的共享級別,例如:只讀、安全控制、備份等等。同時,給不同的用戶分配不同的帳戶、密碼,規(guī)定密碼的有效期,對其進行動態(tài)的分配和修改,保證密碼的有效性;配合防火墻使用的情況下,對一些IP地址進行過濾,以防止惡意破壞者入侵;建立補丁更新服務(wù)器,部署全局更新機制,實時、高效更新軟件漏洞。

2.4防殺毒軟件系統(tǒng)

在互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的今天,病毒以每年兩千種新病毒的速度遞增。在校園網(wǎng)中使用帶防火墻的企業(yè)版殺毒軟件,就能對整個校園網(wǎng)絡(luò)的起到安全防護的作用,使計算機免受病毒入侵。

2.5配備入侵檢測系統(tǒng)(IDS)并建立蜜罐陷阱系統(tǒng)

入侵檢測就是對入侵行為的檢測,通過收集和分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象,而蜜罐的目的在于吸引攻擊者、然后記錄下一舉一動的計算機系統(tǒng),攻擊者入侵后,可以隨時了解其針對服務(wù)器發(fā)出的最新的攻擊和漏洞,這樣系統(tǒng)就可以及時、有針對性的防范攻擊和修復(fù)漏洞。

2.6系統(tǒng)安全風(fēng)險評估

互聯(lián)網(wǎng)的不安全因素?zé)o時無刻的威脅著網(wǎng)絡(luò)安全,只有在網(wǎng)絡(luò)系統(tǒng)所面臨的風(fēng)險進行了有效評估的基礎(chǔ)上,才能掌握網(wǎng)絡(luò)安全中存在的漏洞和威脅,從而采取有效措施控制網(wǎng)絡(luò)風(fēng)險。風(fēng)險評估過程是一個動態(tài)循環(huán)的,因此必須進行周期性、長期的評估。

2.7災(zāi)難恢復(fù)計劃

1996年報道的網(wǎng)絡(luò)攻擊方式只有400種,1998年達到4000種。 CERT/CC公布的漏洞數(shù)據(jù)為,2000年1090個,2002年已經(jīng)增加至4129個?？梢韵胂?對管理員來說要跟上補丁的步伐是很困難的。而且,入侵者往往能夠在軟件廠商修補這些漏洞之前首先發(fā)現(xiàn)這些漏洞。尤其是緩沖區(qū)溢出類型的漏洞,其危害性非常大而又無處不在,是計算機安全的最大的威脅。我們無論怎么想辦法都不可能防止災(zāi)難的發(fā)生,但為了使災(zāi)難發(fā)生造成的損失減到最小,就應(yīng)該在災(zāi)難發(fā)生之前建立意外事件計劃,記錄各種災(zāi)難發(fā)生所產(chǎn)生的影響,并為此作出相應(yīng)的應(yīng)對措施。

2.8加強管理

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展、應(yīng)用領(lǐng)域的廣泛性以及用戶對網(wǎng)絡(luò)的了解程度加深,惡意破壞者或者非法入侵者對網(wǎng)絡(luò)安全的影響會越來越大,這就使得網(wǎng)絡(luò)安全管理工作任務(wù)更加艱巨而重要。因而,在網(wǎng)絡(luò)安全管理工作中必須做到及時進行漏洞的修補和日志的查看,保證網(wǎng)絡(luò)的穩(wěn)定性。另外,高校也應(yīng)該頒布網(wǎng)絡(luò)行為的相關(guān)規(guī)范和處罰條例,這樣才能更有效的控制和減少來自內(nèi)部網(wǎng)絡(luò)的安全隱患。

3 結(jié)束語

網(wǎng)絡(luò)技術(shù)的普及,使人們對網(wǎng)絡(luò)的依賴程度加大,對網(wǎng)絡(luò)的破壞造成的損失和混亂會比以往任何時候都大。這也就使得高校需要對網(wǎng)絡(luò)安全做更高的要求,也使得網(wǎng)絡(luò)安全的地位將越來越重要,網(wǎng)絡(luò)安全必然會隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻:

[1]邵波,王其和.計算機網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].北京:電子工業(yè)出版社,2005.11

[2]吳婷.高校校園網(wǎng)的安全與管理維護[J]文化與教育技術(shù). 2009.