葉海琴,孟彩霞

(1.周口師范學院公共計算機教研部,河南周口 466001; 2.鐵道警官高等?？茖W校警察管理系,河南鄭州 450053)

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,目前很多高校都建立了校園網(wǎng)絡(luò)并投入使用,高校校園網(wǎng)絡(luò)為學校的信息化建設(shè)奠定了基礎(chǔ),為學校的可持續(xù)發(fā)展提供了保證。校園網(wǎng)作為高校信息化平臺的基礎(chǔ),擔當著學校教學、科研、管理和對外交流的重要任務(wù)。但與此同時也帶來了前所未有的安全問題,利用計算機網(wǎng)絡(luò)犯罪的案件正呈上升趨勢,危害和影響越來越大。外部黑客的侵襲,內(nèi)部人員的攻擊,不良、非法信息的侵入和病毒破壞都能造成網(wǎng)絡(luò)信息系統(tǒng)的癱瘓,嚴重威脅著網(wǎng)絡(luò)的正常使用。因此,如何在現(xiàn)有的條件下避免惡性事件發(fā)生,搞好網(wǎng)絡(luò)的安全工作,已成了必須重視的一個緊迫課題。

一、高校校園網(wǎng)的特點

(一)規(guī)模大、速度快

隨著網(wǎng)絡(luò)的迅速發(fā)展和高校的擴招,校園網(wǎng)覆蓋的范圍也越來越大且分布密集。目前各高?；緦崿F(xiàn)主干百兆、千兆到桌面,部分新建的學校已經(jīng)實現(xiàn)主干萬兆互聯(lián)。由于我國高校的用戶群分布比較密集,加上高帶寬和大用戶量的特點,高帶寬成了一把“雙刃劍”,網(wǎng)絡(luò)問題一旦發(fā)生,則蔓延迅速,對網(wǎng)絡(luò)的影響就會更嚴重。

(二)復雜的用戶群體

高校校園網(wǎng)的用戶群體相對復雜,除了一部分教師外,還有很大一部分是學生。高等學校的學生通常是最活躍的網(wǎng)絡(luò)用戶,對網(wǎng)絡(luò)新技術(shù)充滿好奇與渴望,勇于嘗試,很多學生都以能成為一名黑客為榮。他們會經(jīng)常嘗試使用各種網(wǎng)絡(luò)新技術(shù),尤其是一些學生會嘗試使用從網(wǎng)上學到的或者是自己研究的一些攻擊技術(shù),卻沒有意識到后果的嚴重性。由此所引發(fā)的不安全因素會比較多。

(三)管理相對混亂

高校中計算機的管理情況非常復雜。高校計算機的來源主要有以下幾種:1.學校統(tǒng)一購買的辦公用機;2.多媒體教室和機房的教學用機;3.學生或教師自己購買的機器。一般來說,教學用機是由專業(yè)的管理人員進行維護,相對使用情況較好,辦公用機以及教師或?qū)W生自己購買的機器由于沒有專業(yè)的維護,相對來說維護情況較差,往往是病毒感染的主要對象,而且在高校中隨著移動辦公的普及,筆記本越來越多,如果一臺感染了病毒的筆記本在各個不同的網(wǎng)段中使用,就使網(wǎng)管人員很難判別出是哪一臺機器有問題,增加了管理的難度。

(四)開放的網(wǎng)絡(luò)環(huán)境

教學和科研的需要,決定了校園網(wǎng)絡(luò)的環(huán)境是開放的,而且在管理方面較企業(yè)網(wǎng)絡(luò)來說要更寬松一些,這樣就會留下一些安全隱患。企業(yè)網(wǎng)可以限制允許Web瀏覽和電子郵件的流量,甚至限制外部發(fā)起的鏈接,不允許其進入防火墻,但是這在校園網(wǎng)環(huán)境下通常是行不通的。比如,學生在校內(nèi)和校外對學校教學管理系統(tǒng)中的成績來進行查詢,開辦遠程教育的學校一般通過網(wǎng)絡(luò)課程對學生進行網(wǎng)上授課、網(wǎng)上答疑,所以在校園網(wǎng)中不能實施過多的限制,否則一些新的應(yīng)用、新的技術(shù)很難在校園網(wǎng)內(nèi)部實施。

二、高校校園網(wǎng)存在的安全問題

(一)網(wǎng)絡(luò)病毒的威脅

隨著計算機軟硬件技術(shù)的迅速發(fā)展,計算機病毒也在不斷地推陳出新。目前,病毒已成為困擾計算機系統(tǒng)安全和網(wǎng)絡(luò)發(fā)展的重要問題。其危害程度更是深淺不一,輕則運行速度明顯變慢,頻繁死機,重則文件被刪除,硬盤分區(qū)表被破壞,甚至硬盤被非法格式化,更有甚者還會造成計算機硬件損壞,很難修復。由于校園網(wǎng)的使用者是教師和學生,很多資料都需要共享,這樣就為病毒的傳播提供了方便。因此,網(wǎng)絡(luò)病毒的防范任務(wù)更加艱巨。

(二)人為因素

由于校園網(wǎng)的使用群體相對復雜,為了用戶方便訪問校園網(wǎng)上的共享資源,很多資料都是沒有設(shè)置密碼的,或者使用的密碼過于簡單,加上經(jīng)常的遠程登錄等等,這些都對校園網(wǎng)的安全構(gòu)成一定的威脅。由于校園網(wǎng)的使用者中有一大部分是學生,而學生又是很活躍、充滿好奇,并且勇于嘗試的用戶,由于沒有意識到后果的嚴重性,很多學生用網(wǎng)上學到的新技術(shù)或自己研究出來的新的攻擊技術(shù)在機房里做實驗,這可能對網(wǎng)絡(luò)造成一定的影響和破壞。

在管理方面,很多學校在建設(shè)校園網(wǎng)的時候,大多是重建設(shè)、輕管理,沒有完善的管理規(guī)章制度,安全管理意識單薄,重要的設(shè)備,如各種服務(wù)器、主干交換機、路由器等都比較分散,沒有集中管理,終端設(shè)備沒有落實到具體個人管理等等,這些都是對網(wǎng)絡(luò)安全造成威脅的隱患。

(三)操作系統(tǒng)安全問題

目前我們所使用的操作系統(tǒng)主要有 W indows 2000/xp、Vista、Linux、UN I X等,這些操作系統(tǒng)存在不同程度的安全漏洞,安全風險級別不同,都在某種程度上對網(wǎng)絡(luò)安全造成一定的威脅。自從微軟推出W indows操作系統(tǒng),到至今 Vista系統(tǒng)的誕生,其不可避免的漏洞一直都是讓大家所頭疼的一件事情。因為各種黑客入侵、病毒木馬侵入,都是在有漏洞的系統(tǒng)內(nèi)進行的,如果一個系統(tǒng)在管理上出現(xiàn)了問題,就會很容易被黑客光顧。

三、解決校園網(wǎng)安全問題的途徑

(一)設(shè)置防火墻

及時安裝和更新防火墻,并在系統(tǒng)啟動時啟動防火墻。對防火墻設(shè)置一定的安全級別,也就是說,通過防火墻來控制哪些用戶和數(shù)據(jù)可以進入自己的內(nèi)部網(wǎng)絡(luò),同時也設(shè)定哪些用戶和數(shù)據(jù)不允許進入自己的網(wǎng)絡(luò)內(nèi)部,定期查看防火墻訪問日志,以便及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。這樣即可防止多數(shù)黑客進入計算機偷窺、竊密或放置黑客程序。

(二)強化網(wǎng)絡(luò)安全意識

由于校園網(wǎng)絡(luò)的用戶主要是教師和學生,現(xiàn)有教材中網(wǎng)絡(luò)安全防護教育的知識匱乏,應(yīng)對師生進行安全教育和培訓,加強安全防護知識以及遇到問題如何處理等方面的教育,制定周密的安全教育和培訓計劃,充分提高師生的網(wǎng)絡(luò)安全意識。

(三)及時更新系統(tǒng),優(yōu)化系統(tǒng)配置

首先,針對目前主流網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的系統(tǒng)漏洞,我們可以采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。及時更新系統(tǒng),如打上系統(tǒng)補丁、及時更新殺毒軟件。

其次,對每個網(wǎng)絡(luò)用戶設(shè)置相應(yīng)的權(quán)限,并應(yīng)用策略要求每個網(wǎng)絡(luò)用戶設(shè)置較為復雜的用戶口令。防止網(wǎng)絡(luò)用戶擁有過大的系統(tǒng)權(quán)力,造成入侵或過失操作。

再次,關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)。原因很簡單,開放更多的網(wǎng)絡(luò)服務(wù),就意味著有更大的機會存在漏洞,更不安全。

(四)網(wǎng)絡(luò)監(jiān)控措施

在不影響網(wǎng)絡(luò)正常運行的情況下,增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機制,可以做到最大限度地保護校園網(wǎng)資源。如配備入侵檢測系統(tǒng),Web、E-mail的安全監(jiān)測系統(tǒng),網(wǎng)絡(luò)監(jiān)聽系統(tǒng)等。入侵檢測系統(tǒng)通常是對網(wǎng)絡(luò)流量、CPU使用率和 I/O的使用情況進行檢測,與已知的入侵行為作對比,從而檢測是否有攻擊正在進行。一旦發(fā)現(xiàn)異常,系統(tǒng)就會產(chǎn)生報警,通知網(wǎng)絡(luò)管理員。通過使用網(wǎng)管軟件、日志分析軟件和 Sniffer等工具,形成一個從實時監(jiān)控到離線審計在內(nèi)的,功能較完整、覆蓋面較廣的監(jiān)控管理系統(tǒng)。