彭俊

四川商務職業(yè)學院科研與產學合作指導處 四川 611131

0 引言

隨著網絡技術應用的深入，校園網上各種數據也在急劇增加，各種各樣的安全威脅開始接踵而至。目前，校園網如同其它計算機網絡一樣，存在著極大的安全威脅，特別是網絡病毒以及網絡內部及外部的黑客攻擊。保障校園網的安全工作僅靠人工完成是不可能的，必須借助先進的技術及工具來協(xié)助完成如此繁重的勞動，以保證校園網絡的正常運轉。

1 校園網的安全威脅

安全威脅來自各個方面，如計算機系統(tǒng)的脆弱性主要來自操作系統(tǒng)和應用程序的缺陷與后門。缺陷即操作系統(tǒng)和應用程序都存在安全漏洞。操作系統(tǒng)的后門是由操作系統(tǒng)開發(fā)者有意設置的，這樣他們就能在用戶不在時仍能進入系統(tǒng)。在網絡環(huán)境下還來源于通信協(xié)議的不安全性，來自網絡的威脅主要是由于局域網一般是廣播式的，所以在網絡存在著電子竊聽。系統(tǒng)與協(xié)議的漏洞導致入侵與破壞。身份欺騙是由口令破解與口令騙取組成的。通過編制程序制作的病毒、邏輯炸彈、木馬程序等是對網絡安全的嚴重威脅。

由于計算機網絡是一個復雜的系統(tǒng)，它不僅包括軟件系統(tǒng)、硬件系統(tǒng)、各類信息系統(tǒng)和使用以及管理這些信息資源的人。網絡本身所具有的開放性，使得計算機網絡的安全面臨著各種各樣的威脅，比如系統(tǒng)安全漏洞、應用程序錯誤、搭線竊聽、數據泄露與邊用、故意對數據或程序進行的破壞、病毒感染、網絡攻擊、自然災害以及管理不善等等。這些威脅對網絡安全都會帶來不同程度的影響，妨礙網絡用戶的正常使用。

根據各種網絡威脅產生的原因，我們把網絡威脅歸納為以下3類；即軟件系統(tǒng)自身的安全缺陷導致的威脅、非法進行網絡操作帶來的威脅、網絡規(guī)劃和運行管理上的不完善帶來的威脅。

1.1 軟件系統(tǒng)自身的安全缺陷導致的威脅

(1) 操作系統(tǒng)和應用軟件自身存在著安全漏洞。如現在使用的操作系統(tǒng) Windows/Unix等幾乎都或多或少存在安全漏洞，各類服務端軟件、瀏覽器、一般桌面軟件等都曾發(fā)現存在安全隱患?？梢哉f任何一個軟件系統(tǒng)都可能因設計中的缺陷而產生漏洞，這是影響網絡安全的主要原因之一。

(2) 網絡環(huán)境中的網絡協(xié)議存在安全漏洞。各類主機中都會運行著這種或那種網絡協(xié)議，如 TCP/IP、IPX/SPX、NEIBEUI等，由于這些網絡協(xié)議并非專為安全通信而設計，缺乏相應的安全機制，系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。許多非法入侵、攻擊和病毒傳播往往就是利用協(xié)議的這些漏洞來對網絡系統(tǒng)或用戶進行破壞。

1.2 非法進行網絡操作帶來的威脅

非法進行網絡操作主要是指人為地、有意識地對網絡設備和服務進行惡意攻擊，監(jiān)聽竊取網絡用戶賬號和密碼，非法使用網絡資源，引入各種網絡病毒破壞用戶系統(tǒng)和數據，使用惡意代碼大量占用網絡資源，使網絡運行效率降低，嚴重時將直接導致整個網絡系統(tǒng)癱瘓。目前網絡上類似這種危害種類有很多，造成的危害十分巨大，較常見的有以下兩種。

(1) 非授權訪問網絡資源

在未經許可的情況下訪問網絡資源，如有意避開系統(tǒng)訪問控制機制，對網絡設備和資源進行非正常操作使用，或擅自擴大權限，越權訪問信息。主要有以下幾種形式；通過網絡監(jiān)聽獲取網上用戶的賬號和密碼，非法獲取網上傳輸的數據；通過隱蔽通道進行篡改、刪除數據等非法活動；非法用戶以未授權方式進行操作等。這些都可能破壞信息系統(tǒng)的完整性、機密性和可信性。

(2) 網絡病毒

利用網絡傳播病毒，其破壞性遠大于單機系統(tǒng)，而且用戶很難防范。目前，網絡型病毒一般是利用 Internet的開放性、操作系統(tǒng)及各類應用程序的漏洞來進行傳播，或對計算機系統(tǒng)進行攻擊。近年來網絡病毒的發(fā)展趨勢迅猛，除宏病毒外，基本都屬于網絡型病毒。網絡病毒具有利用網絡中軟件系統(tǒng)的缺陷，進行自我復制和主動傳播的特點。如蠕蟲(worm)病毒就是利用軟件系統(tǒng)漏洞，通過分布式網絡來擴散、傳播的。受這種病毒的影響，網絡數據信息遭到破壞，無用數據占用大量網絡帶寬，嚴重時，可能致使網絡服務中斷。網絡型病毒的傳播速度快、危害范圍廣，為了防范它往往要對某些網絡功能進行限制。另外，“木馬”(也叫特洛伊木馬)類病毒危害性也十分巨大，這類病毒通常與黑客有聯(lián)系，被黑客用來作為竊取信息以及非法使用資源的工具。

1.3 網絡規(guī)劃、運行管理上的不完善帶來的威脅

網絡規(guī)劃、網絡系統(tǒng)設計不合理，系統(tǒng)配置策略考慮不周，設備功能不完善，缺少必要的數據備份措施等都會給網絡正常運行帶來威脅。網絡的正常運行離不開系統(tǒng)管理人員對網絡系統(tǒng)的管理。各種安全措施都要經管理人員進行配置后才能有效地實施。從技術角度看，人為的失誤，比如錯誤的指令、錯誤刪除修改數據，不恰當的配置都會增加系統(tǒng)管理、使用的復雜性，降低網絡系統(tǒng)的安全性。另外，組織管理措施不當，也會造成設備的損壞和保密信息的泄露，給網絡安全運行帶來隱患。

2 校園網的安全管理策略

校園網具有訪問方式多樣、用戶群龐大、網絡行為突發(fā)性較高等特點。網絡的安全問題需要從網絡規(guī)劃設計階段就仔細考慮，并在實際運行中嚴格管理。校園網安全方案的設計因校園網的拓撲結構以及安全需求的不同有很大差別，校園網上作站經二級交換機連入中心交換機，網管工作站及安全所有工作站直接連入中心交換機，中心交換機再通過防火墻連入互聯(lián)網。為保證校園網絡的安全性， 一般采用以下一些策略。

2.1 設備安全

在校園網規(guī)劃設計階段就應該充分考慮到網絡設備的安全問題。將一些重要的設備，如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空，并有明顯標記，防止無意損壞。對于終端設備，如工作站、小型交換機、集線器和其他轉接設備要落實到人，進行嚴格管理。

2.2 技術保證

校園網是基于廣播技術構建。出于廣播原理，使得從任何一個節(jié)點出發(fā)的網絡數據報在整個信道上蔓延，數據可以被連接在網絡上的任何一個節(jié)點的網卡捕獲。校園網的數據被截取和竊取成為安全的主要問題，另外，ARP地址欺騙、泛洪等很多問題，還有 TCP/IP協(xié)議固有的不安全因素，網絡操作系統(tǒng)的安全缺陷等，都使得基于校園網的安全防范非常關鍵。

針對校園網來說，最主要應該采取以下一些技術措施：

(1) 網絡分段

校園網一般以C類網絡為主要類型，如何組織一個C類網絡中的254主機進行安全通信就顯得非常重要。將網絡劃分成多個于網絡來實現安全管理，通常有兩種方式，一種是基于交換機的 VLAN虛擬局域網的劃分，另一種是基于IP地址的子網劃分。其中.基于IP地址的劃分由于以犧牲大量的有效IP地址為代價，為了在網絡上實現邏輯管理，實現靜態(tài)的固定分配IP而大大降低了網絡服務效率，所以在校園管理中并不常用。因此采用交換式局域網技術(ATM 或以太交換)的校園網絡，可以運用 VLAN 技術來加強內部網絡管理。VLAN技術的核心是網絡分段。根據不同的部門及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，可以達到限制用戶非法訪問的目的。

網絡分段通常被認為是控制網絡廣播風暴的一種基本手段，但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，網絡分段可分為物理分段和邏輯分段兩種方式。校園網則可以采用不同網絡分段的方式進行安全管理。例如，對于TCP/ IP網絡，根據學校的不同用戶群可把網絡分成若干IP子網，各子網間必須通過路由器、路由交換機、網關或防火墻等設備進行連接，利用這些中間設備(含軟件、硬件)的安全機制來控制各子網間的訪問。

(2) 防火墻控制

防火墻是目前最為流行也是使用最廣泛的一種網絡安全技術，防火墻作為一個分離器、限制器和分析器，用于執(zhí)行兩個網絡之間的訪問控制策略，有效地監(jiān)控了內部網和Internet之間的任何活動，既可為內部網絡提供必要的訪問控制，又不會造成網絡瓶頸，并通過安全策略控制進出系統(tǒng)的數據，保護網絡內部的關鍵資源。

防火墻能控制內部網絡對外部網絡的訪問。此功能分為兩個方面：一方面是可以控制內部網絡用戶對外部一些非法或者受限網絡的訪問；另一方面是控制內部網絡用戶是否可以連接到外部網絡。前者是通過對外部IP或者網址的控制來實現的。后者是通過對內部用戶的IP控制來實現的。控制外部網絡用戶對內部網絡的訪問。該功能也分為兩個方面，一方面是只允許外部用戶訪問本地網絡的某些主機；另一方面是只允許外部用戶中指定的用戶訪問本地網絡。

防火墻技術包含了動態(tài)的封包過濾、應用代理服務、用戶認證、網絡地址轉換、IP 防假冒、預警模塊、日志及計費分析等功能，可以有效地將內部網與外部網隔離開來，保護校園網絡不受未經授權的第三方侵入。對防火墻要經常實施完整性檢查，以避免防火墻被植入木馬程序。

(3) 設置用戶級別與權限

權限控制是針對網絡非法操作所提出的一種安全保護措施，對用戶和用戶組賦與一定的權限，可以限制用戶和用戶組對于目錄、文件、打印機以及其他共享資源的訪問，可以限制用戶對共享文件、日錄及共享設備的操作。校園網是以用戶為中心的系統(tǒng)，登錄控制能有效地控制用戶登錄到服務器，路由器或交換機等網絡設備來獲取資源。用戶訪問網絡控制大致分為用戶名的識別和驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查三個方面。通過登錄控制能有效地保證網絡的安全。

學校計算機信息中心網絡管理人員通過對所有用戶設置資源使用權限與口令，對用戶名和口令進行加密存儲、傳輸，提供完整的用戶使用記錄和分析等方式可以有效地保證系統(tǒng)的安全。網管人員還需要建立與維護完整的網絡用戶數據庫，嚴格對系統(tǒng)日志進行管理，對學生機房實行精確到人、到機位的使用登記制度，實現了對網絡用戶和服務賬號進行精確的控制。學校網管定時對校園網系統(tǒng)的安全狀況做出評估和審核，關注網絡安全動態(tài)，調整相關安全設置，進行入侵防范，預報計算機病毒，發(fā)出安全公告，機器發(fā)生故障時緊急修復系統(tǒng)。

(4) 入侵檢測

在不影響網絡正常遠行的情況下，增加內部網絡監(jiān)控機制可以做到最大限度的達到資源保護。

使用入侵檢測系統(tǒng)，實時進行有效的網絡監(jiān)控，調整網絡資源分配，及時發(fā)現不正常的數據包，并根據安全策略原則進行處理并及時以互動方式提供給防火墻，更改防火墻使用策略，確保網絡系統(tǒng)的安全。入侵檢測系統(tǒng)分為兩個部分：一部分是入侵檢測引擎，是專用硬件；另一部分是控制臺，與網管工作站—同運行，起管理、配置和查詢作用。定期對網絡和主機進行掃描，定期作風險評估，及時發(fā)現漏洞，及時解決。

(5) 及時升級防病毒軟件

選擇合適的網絡殺毒軟件可以有效地防止病毒在校園網上傳播。它應具有以下一些特征：第一，能夠支持所有的主流平臺，并實現軟件安裝、升級、配置的中央管理；第二，要能保護校園網所有可能的病毒入口，也就是說要支持所有可能用到的 Internet協(xié)議及郵件系統(tǒng)，能適應并且及時跟上瞬息萬變的 Internet 時代步伐；第三，具有較強的防護功能，可以對數據、程序提供有效的保護。校園網上的所有計算機都應該安裝殺毒軟件，開啟及時防護功能，并由管理人員對防病毒軟件及時升級，增加對新病毒的防護能力。

3 小結

隨著網絡的普及，網絡安全問題已成為影響網絡效能的重要問題。Internet以其具有的開放性、國際性和自由性等諸多特點，對安全性提出了更高的要求，網絡安全已成為最為重要與最引人注目的問題。網絡安全策略包含技術方面和管理方面，兩方面相互補充，缺一不可。技術方面主要側重于防范外部非法用戶的攻擊；管理方面?zhèn)戎赜谌藶橐蛩氐墓芾?。本文列舉出網絡存在種種安全威脅，指出了網絡安全防范的一些策略。其目的是介紹一些基本的網絡安全知識與技能、培養(yǎng)我國的網絡安全技術力量。普及網絡安全知識。以促進網絡事業(yè)的健康發(fā)展。

[1]黃主偉.計算機網絡管理與安全技術[M].人民郵電出版社.2006.

[2]魯杰.網絡時代的信息安全[M].中原農民出版社.2000.

[3]陳旿,慕德俊編著. 信息安全知識[M]. 西北工業(yè)大學出版社.2005.

[4]梁廣洪.Internet安全及個人計算機安全應用淺探[J].銅仁職業(yè)技術學院學報.2008.

[5]施建林,張禮芳.淺析網絡環(huán)境下個人計算機的安全防護[J].中國西部科技.2009.