張莉

廣東女子職業(yè)技術(shù)學院 廣東 511450

0 前言

隨著高校信息化進程的推進，高校校園網(wǎng)上運行的應(yīng)用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復(fù)雜，校園網(wǎng)的安全問題成為信息化建設(shè)中的一個重點問題。校園網(wǎng)安全是一個較為復(fù)雜的系統(tǒng)工程，要考慮到用戶、管理、技術(shù)三方面的因素。從嚴格的意義上來講，100%的安全網(wǎng)絡(luò)系統(tǒng)是沒有的，網(wǎng)絡(luò)安全工作是循序漸進、不斷完善的過程。

廣東某職業(yè)技術(shù)學院目前正在進行校園網(wǎng)的升級改造，旨在提高校園網(wǎng)的穩(wěn)定性與安全性。本文就以該學院的校園網(wǎng)為硬件環(huán)境，對網(wǎng)絡(luò)安全現(xiàn)狀中的問題進行分析，并提出問題的解決方案。

1 校園網(wǎng)概況

廣東某職業(yè)技術(shù)學院是一所公辦的全日制普通高校，由主校區(qū)和分校區(qū)兩部分構(gòu)成。學院校園網(wǎng)采用雙出口與外網(wǎng)連接，現(xiàn)以100Mbps帶寬光纖接入CHINANET(中國電信網(wǎng))、10Mbps帶寬光纖接入CERNET(國家教育科研網(wǎng))，以高性能的萬兆路由交換機作為核心網(wǎng)絡(luò)設(shè)備，采用成熟的千兆主干，百兆到桌面的鏈路連接，鋪設(shè)光纖10多公里，覆蓋全院兩個校區(qū)所有教學樓，圖書館，綜合樓，學生宿舍及教工住宅，信息點總數(shù)達5000多個。現(xiàn)有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

校園網(wǎng)的建設(shè)，不但滿足了學生教學和管理資料查詢的需要，還在校園網(wǎng)基礎(chǔ)平臺上先后建設(shè)和應(yīng)用了圖書館網(wǎng)絡(luò)管理系統(tǒng)、校園網(wǎng)辦公教務(wù)學籍管理應(yīng)用系統(tǒng)、后勤IC卡管理系統(tǒng)，為我院教學管理信息化、現(xiàn)代化發(fā)揮了巨大的作用。

目前，數(shù)字化校園基礎(chǔ)平臺建設(shè)已經(jīng)初步完成，教務(wù)、學工、辦公系統(tǒng)、校園一卡通、在線教學等網(wǎng)絡(luò)應(yīng)用項目建設(shè)相繼啟動，校內(nèi)資源總量已達1.6TB。

圖1 廣東某職業(yè)技術(shù)學院網(wǎng)絡(luò)拓撲結(jié)構(gòu)

2 校園網(wǎng)現(xiàn)狀問題分析

校園網(wǎng)作為學院重要的基礎(chǔ)設(shè)施，擔當著學院教學、科研、管理和對外交流等許多角色，校園網(wǎng)安全狀況直接影響著學院的教學活動。在網(wǎng)絡(luò)建成的初期，安全問題還不突出，隨著應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)急劇增加，各種各樣的安全問題開始困擾網(wǎng)絡(luò)管理人員。經(jīng)過對采集的校園網(wǎng)數(shù)據(jù)認真分析，結(jié)合校園網(wǎng)用戶所反映的實際情況，問題主要體現(xiàn)在以下幾個方面。

2.1 網(wǎng)絡(luò)可靠性差

由于網(wǎng)絡(luò)結(jié)構(gòu)中沒有設(shè)備、電源、線路等的冗余和負載均衡，中心核心設(shè)備或分中心設(shè)備故障等問題出現(xiàn)直接導(dǎo)致了大面積的網(wǎng)絡(luò)中斷，影響網(wǎng)絡(luò)的正常運行，每次出現(xiàn)問題后網(wǎng)管人員需要做出相應(yīng)響應(yīng)，網(wǎng)絡(luò)不具有自動愈合功能。在沒有采用負載均衡的設(shè)備上，經(jīng)常會出現(xiàn)部分用戶上網(wǎng)速度變慢或根本無法訪問的現(xiàn)象。

目前網(wǎng)絡(luò)上所使用的TCP/IP協(xié)議(Transmission Control Protocol/Internet Protocol，傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)，由于其協(xié)議簇完全公開，因此，利用 TCP/IP協(xié)議簇的漏洞進行的網(wǎng)絡(luò)攻擊成為了校園網(wǎng)中目前最常見的安全威脅之一，比較典型的例如利用 ARP協(xié)議(Address Resolution Protocol，地址解析協(xié)議)的接收/發(fā)送無需身份驗證特性而進行的ARP攻擊。曾經(jīng)因為ARP病毒導(dǎo)致校園網(wǎng)中的多數(shù)用戶無法正常使用網(wǎng)絡(luò)功能，影響了正常的教學。

2.2 網(wǎng)絡(luò)安全性差

由于教學、辦公、學生公共機房等場所的計算機管理不善，容易造成IP地址沖突、計算機感染病毒造成網(wǎng)絡(luò)擁塞、流量異常以及資料泄密等安全事故，這些事件的發(fā)生嚴重影響了校園網(wǎng)運行的安全性和可靠性。

互聯(lián)網(wǎng)迅猛發(fā)展使得網(wǎng)絡(luò)運營成為社會時尚，但同時也為病毒感染和快速傳播提供了途徑。病毒通過網(wǎng)絡(luò)傳遞，并在計算機沒有任何防護措施的情況下運行，從而導(dǎo)致系統(tǒng)崩潰，網(wǎng)絡(luò)癱瘓，對網(wǎng)絡(luò)服務(wù)構(gòu)成嚴重威脅，造成巨大損失。

2.3 網(wǎng)絡(luò)資源整合程度低

在校園網(wǎng)上運行有郵件系統(tǒng)、辦公管理系統(tǒng)、教務(wù)管理系統(tǒng)、網(wǎng)絡(luò)教學平臺、精品課程課件開發(fā)平臺、學習資源平臺、校內(nèi)數(shù)字圖書館、學生選課系統(tǒng)、校園一卡通管理系統(tǒng)、學生作業(yè)管理系統(tǒng)等一系列平臺，但這些平臺彼此之間的互相兼容性不高，需要進行資源整合，實現(xiàn)高效、穩(wěn)定的網(wǎng)絡(luò)資源平臺。

2.4 IP沖突問題

校園網(wǎng)中最常見的就是盜用合法用戶的IP地址，造成IP地址沖突，使得用戶不能正常訪問網(wǎng)絡(luò)，嚴重的可以造成主機癱瘓，甚至影響整個校園網(wǎng)的運行。校內(nèi)的部分場所是采用的固定IP地址分配接入，有些場所又使用了自動獲取 IP地址的方法，需要重新規(guī)劃整理IP地址的分配范圍。

2.5 防火墻攻擊

網(wǎng)絡(luò)安全的主要威脅可以分為外部入侵和內(nèi)部攻擊兩種形式，校園網(wǎng)的問題主要是內(nèi)部攻擊。在高校網(wǎng)絡(luò)用戶中，學生和教師成為校園網(wǎng)龐大的用戶群，根據(jù)用戶行為可以劃分為三類：非法用戶接入、合法用戶有意破壞和合法用戶無意破壞。

防火墻系統(tǒng)相關(guān)技術(shù)的發(fā)展已經(jīng)比較成熟，防火墻系統(tǒng)很堅固，但這只是對外的防護而已，它對于內(nèi)部的防護則幾乎不起什么作用，然而一般情況下有大多數(shù)的攻擊是來自局域網(wǎng)的內(nèi)部人員，所以怎樣防止來自內(nèi)部的攻擊是當前校園網(wǎng)建設(shè)中的一個非常重要的方面。

2.6 對郵件服務(wù)器進行攻擊

由于用戶安全觀念的淡薄以及網(wǎng)上某些人的別有用心，會給校園網(wǎng)的Email用戶發(fā)一些不良內(nèi)容的信件，有時還會攜帶各種各樣的病毒。因此，怎樣防止有問題的信件進入校園網(wǎng)的Email系統(tǒng)也是一個待解決的問題。

惡意用戶利用校園網(wǎng)內(nèi)郵件服務(wù)器系統(tǒng)的缺陷，例如缺乏有效的郵件過濾機制和郵件轉(zhuǎn)發(fā)限制機制，對郵件服務(wù)器進行攻擊。目前常見的攻擊有兩類：一類是中繼利用，即遠程主機通過被攻擊郵件服務(wù)器向外發(fā)送郵件。另一類是垃圾郵件，也稱郵件炸彈，通過大量發(fā)送垃圾郵件，造成郵件服務(wù)器阻塞，增大校園網(wǎng)流量，甚至系統(tǒng)崩潰，同時還會給校園網(wǎng)帶來經(jīng)濟上和名譽上的損失。

2.7 各種服務(wù)器和網(wǎng)絡(luò)設(shè)備的掃描和攻擊

有些用戶對校園網(wǎng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備進行掃描和攻擊，造成網(wǎng)絡(luò)負載過重，致使服務(wù)器拒絕提供服務(wù)，或造成校園網(wǎng)不能提供正常的服務(wù)。

由于作為網(wǎng)絡(luò)基礎(chǔ)的 TCP/IP協(xié)議本身就具有安全性方面的缺陷，加上具體設(shè)計中的各種因素，校園網(wǎng)中各主機和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全漏洞，加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時可能存在各種不合理操作，因此惡意用戶可以利用一些專用程序?qū)ο到y(tǒng)進行掃描，利用發(fā)現(xiàn)的安全缺陷侵入系統(tǒng)，獲得各種用戶權(quán)限，從事危害系統(tǒng)安全的活動。

2.8 非法地址的訪問

對于一些反動的或不健康的站點，應(yīng)當禁止校園網(wǎng)用戶通過校園網(wǎng)去訪問?？梢酝ㄟ^路由器或防火墻過濾部分非法地址的訪問。為了方便教師在家辦公，校園網(wǎng)開通了 VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))連接的功能，對VPN用戶的管理也非常重要，為了防止非法用戶通過 VPN通道進入校園網(wǎng)，管理員應(yīng)該嚴格管理VPN用戶的信息。

2.9 針對應(yīng)用服務(wù)器的攻擊

校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是 DNS服務(wù)器和Web應(yīng)用服務(wù)器，是目前校園網(wǎng)管理員最關(guān)注的安全問題。

目前針對 DNS服務(wù)器的攻擊主要有兩類：一類是緩存區(qū)中毒，主要是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進行區(qū)域傳輸時插入錯誤的 DNS信息，一旦成功，攻擊者可以使發(fā)向合法站點的傳輸流改變方向，使其轉(zhuǎn)向攻擊者指定的站點。另一類是域劫持，攻擊者利用用戶升級自己的域注冊信息時所使用的不安全機制接管域注冊過程以控制合法的域。

Web應(yīng)用服務(wù)器自身具有很多脆弱性，如Web服務(wù)軟件自身存在安全問題，Web應(yīng)用程序安全性較差，如常見的ASP(Active Server Page，動態(tài)服務(wù)器頁面)、PHP(Hypertext Preprocessor，超級文本預(yù)處理語言)腳本等都具有嚴重的安全漏洞，而系統(tǒng)管理員很難做出全面的處理，因此，極易受到惡意用戶的攻擊。

如何讓校園網(wǎng)更安全，防止網(wǎng)絡(luò)遭受病毒的侵襲，已成為校園網(wǎng)迫切需要解決的問題。

3 校園網(wǎng)安全解決方案

學院校園網(wǎng)已有較完善的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，在保證現(xiàn)有網(wǎng)絡(luò)正常工作的同時，再進行開發(fā)和完善是解決校園網(wǎng)安全的最佳選擇，針對以上問題，提出如下解決方法。

3.1 采用入侵檢測系統(tǒng)

入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在校園網(wǎng)中采用入侵檢測技術(shù)，最好采用混合入侵檢測。需要從兩方面來著手：基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測。

3.2 安全監(jiān)測系統(tǒng)

在校園網(wǎng)的Web服務(wù)器、Email服務(wù)器等各種服務(wù)器中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的Web、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)絡(luò)中心報告，采取措施。并利用專門的日志分析工具對保存在數(shù)據(jù)庫中的訪問日志進行統(tǒng)計并繪制統(tǒng)計圖，可以對訪問地址和流量進行分析，對于明顯的攻擊便可一目了然了。

3.3 配置防火墻

防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，能夠有效防止 Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。IP鏈規(guī)則是一套直接編譯在系統(tǒng)內(nèi)核中的防火墻，其運行效率是其他外掛在操作系統(tǒng)上的軟件防火墻所無法比擬的，假若希望在流量較大網(wǎng)絡(luò)接口安設(shè)防火墻，而又不想購買昂貴的硬件防火墻時，采用IP鏈規(guī)則建立包過濾防火墻是一個不錯的選擇。

3.4 構(gòu)筑透明代理

使用 IP鏈規(guī)則可以使內(nèi)網(wǎng)的主機不需要做任何設(shè)置就可以訪問 Web，但其缺點就是當內(nèi)網(wǎng)數(shù)臺主機先后訪問Internet上某一站點時，第一臺將該站點的主頁以及頁面中的圖像從 Internet下載到本機，而其它幾臺訪問時也要重復(fù)相同的操作，即從 Internet下載了同樣的內(nèi)容，這樣的重復(fù)勞動自然會浪費相當多的帶寬，而使用具有Web緩存的代理服務(wù)器便可解決此問題。在第一臺主機訪問該站點時代理服務(wù)軟件將此網(wǎng)頁的內(nèi)容緩存到本地硬盤，而后其他主機再次訪問該站時，代理服務(wù)器只是檢測該網(wǎng)頁是否有更新，若無更新便直接將本機的緩存?zhèn)魉瓦^去，這樣既可以節(jié)省帶寬又有效地提高了上網(wǎng)速度。

3.5 采用Socks代理服務(wù)

Socks(Protocol for sessions traversal across firewall securely，防火墻安全會話轉(zhuǎn)換協(xié)議)是一組是用客戶端/服務(wù)器端結(jié)構(gòu)的代理協(xié)議。Socks的軟件組成包含Socks服務(wù)器程序及Socks客戶端應(yīng)用程序庫。用戶的應(yīng)用程序只要支持Socks協(xié)議就能通過Socks代理服務(wù)器連接到防火墻外的網(wǎng)絡(luò)。

3.6 漏洞掃描系統(tǒng)

解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

3.7 防止IP盜用

在路由器上捆綁IP和MAC(Media Access Control, 介質(zhì)訪問控制)地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個 IP廣播包的工作站返回一個警告信息。

3.8 利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全

對于校園網(wǎng)外部的入侵可以通過安裝防火墻來解決，但是防火墻對于校園網(wǎng)內(nèi)部的侵襲則無能為力。在這種情況下，為校園網(wǎng)內(nèi)部的各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析內(nèi)部網(wǎng)絡(luò)的運作狀態(tài)提供依據(jù)。

3.9 防止用戶破壞

對于校園網(wǎng)內(nèi)用戶進行有效管理，能夠從很大程度上降低網(wǎng)絡(luò)安全的威脅。為此應(yīng)加強對校園網(wǎng)用戶的安全意識教育，提高遵守相關(guān)的安全制度的自覺性，增強整體安全防范能力。對于非法訪問和黑客攻擊事件，一旦發(fā)現(xiàn)要嚴肅處理。

3.10 加強網(wǎng)管人員安全意識

培養(yǎng)一支具有安全管理意識的網(wǎng)管隊伍也是建設(shè)安全的校園網(wǎng)環(huán)境不可缺少的條件。加強對校園網(wǎng)安全技術(shù)和管理人員的培訓(xùn)，使他們從技術(shù)上提高應(yīng)對各種攻擊的能力。網(wǎng)絡(luò)管理人員通過對所有用戶設(shè)置資源使用權(quán)限與口令，對用戶名和口令進行加密存儲、傳輸，提供完整的用戶使用記錄和分析等方式可以有效地保證系統(tǒng)的安全。

通過以上各種方法基本上可以建立一套相對完整的網(wǎng)絡(luò)安全系統(tǒng)。不過，網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)、防火墻技術(shù)等等結(jié)合在一起，才能擁有一個高效、穩(wěn)定、安全的網(wǎng)絡(luò)系統(tǒng)。

[1]杜鵬飛.校園網(wǎng)絡(luò)安全管理探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007.

[2]方耿,林慶霓,莫卓豪.網(wǎng)絡(luò)維護與故障診斷[M].北京:冶金工業(yè)出版社.2005.

[3]歐帥.DNS拒絕服務(wù)攻擊的防護系統(tǒng)的研究與設(shè)計[D].西南交通大學.2009.

[4]蔣文保,楊大鑒,任曉明.寬帶網(wǎng)絡(luò)入侵檢測系統(tǒng)的分析與實現(xiàn)[J].計算機工程.2007.

[5]朱萍.基于透明代理的 Linux防火墻的設(shè)計與實現(xiàn)[J].合肥工業(yè)大學學報(自然科學版) .2007.

[6]趙科.高職院校校園網(wǎng)管理思考[J].網(wǎng)絡(luò)與信息.2008.