楊贛川 胥獻(xiàn)偉

（四川文理學(xué)院網(wǎng)絡(luò)管理中心 四川 635000）

0 引言

伴隨著高校的網(wǎng)絡(luò)建設(shè)規(guī)模逐漸擴(kuò)大，網(wǎng)絡(luò)用戶數(shù)量成倍增長(zhǎng)。網(wǎng)絡(luò)購(gòu)物、瀏覽網(wǎng)頁(yè)、網(wǎng)絡(luò)游戲、網(wǎng)上銀行等各式各樣的網(wǎng)絡(luò)服務(wù)方式越來(lái)越多。這些網(wǎng)絡(luò)服務(wù)中存在一些重要的信息，比如銀行密碼、游戲賬號(hào)、個(gè)人隱私等是不需要讓別人知曉的，象這些信息需要采用數(shù)據(jù)加密的方式來(lái)保護(hù)；高校教師科研的信息，只有特定工作人員才有權(quán)知曉；只有安全可靠的網(wǎng)絡(luò)環(huán)境才能確保這些信息在網(wǎng)絡(luò)上安全傳輸，保護(hù)學(xué)校和個(gè)人的重要信息不受任何病毒或詐騙網(wǎng)站的侵害。

1 目前高校網(wǎng)絡(luò)安全存在的主要問(wèn)題

高校網(wǎng)絡(luò)安全指網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)信息及網(wǎng)絡(luò)軟件的安全。確保網(wǎng)絡(luò)設(shè)備穩(wěn)定運(yùn)行，數(shù)據(jù)不受破壞、更改、泄露。高校校園網(wǎng)絡(luò)規(guī)模越來(lái)越大、拓?fù)浣Y(jié)構(gòu)越來(lái)越復(fù)雜、用戶的安全意識(shí)的淡薄，這些都給高校網(wǎng)絡(luò)安全管理帶來(lái)一定的壓力。盡管許多高校就網(wǎng)絡(luò)安全問(wèn)題做了相應(yīng)的對(duì)策，也取得了很好的成效，但是有些高校網(wǎng)絡(luò)安全仍然存在一些問(wèn)題。

1.1 網(wǎng)絡(luò)安全設(shè)備投入不夠

網(wǎng)絡(luò)安全設(shè)備指有防火墻、安全審計(jì)、網(wǎng)頁(yè)過(guò)濾、防病毒、入侵檢測(cè)、漏洞掃描等功能的設(shè)備。一方面，目前來(lái)看國(guó)內(nèi)許多高校雖然學(xué)生人數(shù)在增加，但由于擴(kuò)建規(guī)模，資金仍然匱乏。許多高校網(wǎng)絡(luò)安全設(shè)備功能并不齊全，這樣的網(wǎng)絡(luò)是存在隱患的。甚至有些學(xué)校沒(méi)有自己的網(wǎng)絡(luò)安全設(shè)備，一些簡(jiǎn)單的安全設(shè)備可能是網(wǎng)絡(luò)營(yíng)運(yùn)商提供的。另一方面，有些高校領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全不夠重視，認(rèn)為沒(méi)有必要購(gòu)買那么多安全設(shè)備或是老設(shè)備將就有的心態(tài)。網(wǎng)絡(luò)技術(shù)迅速發(fā)展，老的安全設(shè)備不具備新技術(shù)的功能，不能承受學(xué)校規(guī)模壯大帶來(lái)的壓力，這樣對(duì)整個(gè)校園網(wǎng)是不安全的。網(wǎng)絡(luò)安全設(shè)備大多是校園網(wǎng)的核心設(shè)備，這些設(shè)備出問(wèn)題會(huì)影響整個(gè)網(wǎng)絡(luò)，甚至使整個(gè)校園網(wǎng)癱瘓。網(wǎng)絡(luò)安全設(shè)備的功能不可小視，為了學(xué)校發(fā)展該投入還是不可缺少。

1.2 校園網(wǎng)遭受黑客攻擊與惡意入侵

高校網(wǎng)絡(luò)體系逐漸壯大，也把黑客的目光吸引過(guò)來(lái)了。高校網(wǎng)站一直以來(lái)都是黑客攻擊的對(duì)象，這是讓網(wǎng)站服務(wù)器管理者很頭痛的事情。很多高校經(jīng)常被黑客攻擊，甚至被修改或竊取重要資料。學(xué)校網(wǎng)站主頁(yè)被掛馬、篡改的事件屢見(jiàn)不鮮，嚴(yán)重影響學(xué)校的形象。黑客攻擊的目的就是盜竊系統(tǒng)保密信息、破壞網(wǎng)絡(luò)、惡意入侵等。黑客攻擊的主要方法：

（1）后門程序：程序開(kāi)發(fā)完成后沒(méi)有徹底去掉模塊的后門，黑客利用窮舉搜索法發(fā)現(xiàn)并利用這些后門，然后進(jìn)入系統(tǒng)并發(fā)動(dòng)攻擊。

（2）信息炸彈：使用發(fā)數(shù)據(jù)包的軟件短時(shí)間內(nèi)發(fā)送大量信息給目標(biāo)服務(wù)器，導(dǎo)致網(wǎng)絡(luò)堵塞，甚至服務(wù)器系統(tǒng)崩潰。信息炸彈還包括邏輯炸彈、郵件炸彈等。

（3）拒絕服務(wù)：它是利用合理的服務(wù)請(qǐng)求來(lái)消耗系統(tǒng)資源或帶寬資源，使合法用戶無(wú)法得到服務(wù)的響應(yīng)。如TCP SYN洪泛攻擊、Land攻擊、Smurf攻擊等多種方式。

（4）控制攻擊：試圖獲得對(duì)目標(biāo)機(jī)器控制權(quán)的攻擊。最常見(jiàn)的三種：口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊。

（5）網(wǎng)絡(luò)監(jiān)聽(tīng)：監(jiān)視目標(biāo)系統(tǒng)各種與網(wǎng)絡(luò)安全有關(guān)的信息，截獲網(wǎng)上傳輸?shù)男畔?，通常可以獲得口令等重要信息。

網(wǎng)絡(luò)攻擊無(wú)處不在，不光在校園里。國(guó)際上網(wǎng)絡(luò)攻擊事件時(shí)有發(fā)生，最新數(shù)據(jù)顯示，2013年2月24日中國(guó)西藏網(wǎng)的郵件系統(tǒng)分別被植入后門。2013年2月22日，中國(guó)網(wǎng)英文版企業(yè)分站遭到源自美國(guó)地址的攻擊，頁(yè)面遭惡意篡改。2013年1月28日人民網(wǎng)IP地址遭受來(lái)自境外的DDoS攻擊，出現(xiàn)明顯異常流量，峰值達(dá)到正常流量的12倍。網(wǎng)絡(luò)攻擊的危害和破壞性大家有目共睹，應(yīng)對(duì)網(wǎng)絡(luò)攻擊的警鐘必須長(zhǎng)鳴。

1.3 用戶DNS被篡改容易被釣

隨著上網(wǎng)形式多樣化，用戶不光只是一臺(tái)計(jì)算機(jī)上網(wǎng)，一般是多臺(tái)電腦或多個(gè)手機(jī)同時(shí)上網(wǎng)，所以幾乎每個(gè)學(xué)生寢室和教工宿舍都有安裝路由器。有些網(wǎng)站嵌入了一些惡意代碼或木馬程序，當(dāng)用戶訪問(wèn)該網(wǎng)站時(shí)，本地DNS服務(wù)器地址或路由器的DNS設(shè)置容易被篡改。DNS地址一旦被篡改是非常危險(xiǎn)的事情，你訪問(wèn)任何網(wǎng)站都會(huì)解析到釣魚(yú)網(wǎng)站上去，有時(shí)你完全察覺(jué)不到。尤其喜歡網(wǎng)上購(gòu)物的朋友，打開(kāi)淘寶網(wǎng)址，錯(cuò)誤DNS地址會(huì)解析到虛假的淘寶網(wǎng)去。如果你在這個(gè)釣魚(yú)網(wǎng)上購(gòu)物，你的淘寶賬號(hào)密碼、銀行賬號(hào)密碼就會(huì)全部泄露。主要原因是用戶的路由器一般不設(shè)置或設(shè)置簡(jiǎn)單，大多數(shù)用戶不會(huì)去修改路由器的登錄用戶名和密碼，默認(rèn)都是admin或guest，或者是密碼過(guò)于簡(jiǎn)單被破譯。遇到這種問(wèn)題最好的辦法就是登陸路由器恢復(fù)出廠設(shè)置或按鍵恢復(fù)，再登陸路由器修改admin密碼和wifi密碼，建議不要過(guò)于簡(jiǎn)單。

1.4 對(duì)病毒防范意識(shí)缺乏

凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。早期的病毒都是單機(jī)病毒，以磁盤為載體。當(dāng)今的病毒大多都是網(wǎng)絡(luò)病毒，傳播媒介是網(wǎng)絡(luò)。網(wǎng)絡(luò)病毒具有擴(kuò)散面廣、傳染性強(qiáng)、針對(duì)性強(qiáng)、破壞性強(qiáng)等特點(diǎn)。這類病毒傳播速率快、可觸發(fā)性、多種感染方式、難以清除，對(duì)網(wǎng)絡(luò)危害非常大。網(wǎng)絡(luò)病毒分為蠕蟲(chóng)和木馬兩種攻擊手段。主要傳播方式為電子郵件、網(wǎng)頁(yè)、文件傳輸。高校存在一些用戶的計(jì)算機(jī)不安裝殺毒軟件和防火墻，這些用戶的計(jì)算機(jī)都容易被感染病毒。有些用戶又安裝多個(gè)不同品牌的殺毒軟件和防火墻，一個(gè)計(jì)算機(jī)安裝多個(gè)殺毒軟件會(huì)發(fā)生沖突，嚴(yán)重的會(huì)使系統(tǒng)癱瘓。校園網(wǎng)內(nèi)如果一臺(tái)計(jì)算機(jī)感染了網(wǎng)絡(luò)病毒，可能在短時(shí)間內(nèi)傳播到整個(gè)校園網(wǎng)。影響整個(gè)網(wǎng)絡(luò)的運(yùn)行速度，中毒嚴(yán)重的可能會(huì)破壞文件、丟失數(shù)據(jù)，甚至?xí)剐@網(wǎng)處于運(yùn)行癱瘓狀態(tài)。嚴(yán)重影響正常的教學(xué)、辦公和科研。所以我們提倡一臺(tái)計(jì)算機(jī)只安裝一個(gè)殺毒軟件和防火墻并及時(shí)更新升級(jí)。在高校幾乎人人都有移動(dòng)存儲(chǔ)設(shè)備，大量的移動(dòng)存儲(chǔ)設(shè)備也是病毒攜帶的主要工具，同時(shí)增加了病毒傳播的途徑。移動(dòng)存儲(chǔ)設(shè)備在辦公室、寢室、教室、機(jī)房、家里經(jīng)常用到，一旦任何一臺(tái)計(jì)算機(jī)中了病毒，其他使用過(guò)的計(jì)算機(jī)都會(huì)被傳染。因此建議移動(dòng)存儲(chǔ)設(shè)備使用前查殺一下病毒。

2 高校網(wǎng)絡(luò)安全問(wèn)題應(yīng)對(duì)措施

首先我們要認(rèn)識(shí)到目前我國(guó)高校網(wǎng)絡(luò)安全的確存在一些問(wèn)題，有些可以使用技術(shù)手段去解決或避免。其次應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全管理，加大資金、人員投入力度。當(dāng)然光這些還是不夠的，網(wǎng)絡(luò)環(huán)境和我們現(xiàn)實(shí)環(huán)境是一樣的，需要廣大用戶共同維護(hù)，營(yíng)造安全健康的網(wǎng)絡(luò)環(huán)境。

2.1 加強(qiáng)網(wǎng)絡(luò)安全管理

高校網(wǎng)絡(luò)安全管理主要指計(jì)費(fèi)認(rèn)證系統(tǒng)和網(wǎng)絡(luò)環(huán)境的安全管理。加強(qiáng)計(jì)費(fèi)認(rèn)證系統(tǒng)管理就是加強(qiáng)對(duì)用戶網(wǎng)絡(luò)使用權(quán)限的控制，通過(guò)身份識(shí)別、密碼驗(yàn)證等技術(shù)，有效的管理校園網(wǎng)絡(luò)用戶。加強(qiáng)網(wǎng)絡(luò)環(huán)境的安全管理就是阻止用戶非法登陸網(wǎng)絡(luò)核心設(shè)備及刪改配置信息，未經(jīng)允許授權(quán)者不能使用校網(wǎng)絡(luò)資源。構(gòu)建網(wǎng)絡(luò)安全防范體系，及時(shí)發(fā)現(xiàn)并修補(bǔ)漏洞，實(shí)現(xiàn)全面的網(wǎng)絡(luò)保護(hù)。網(wǎng)絡(luò)安全管理要求管理者在最小影響網(wǎng)絡(luò)性能的前提下，采用最優(yōu)的管理方法，確保校園網(wǎng)絡(luò)的安全可靠運(yùn)行。

2.2 利用防火墻阻止網(wǎng)絡(luò)攻擊

防火墻是設(shè)置在校園內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入[2]。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。采用防火墻可實(shí)現(xiàn)高校校園網(wǎng)與如因特網(wǎng)之間或校園網(wǎng)不同安全域之間的隔離與訪問(wèn)控制，可以很好的把黑客和病毒攻擊拒之門外。防火墻主要采用數(shù)據(jù)包過(guò)濾、代理服務(wù)、狀態(tài)檢測(cè)、網(wǎng)絡(luò)地址轉(zhuǎn)換四種實(shí)現(xiàn)技術(shù)[3]。

（1）數(shù)據(jù)包過(guò)濾：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，依據(jù) ACL訪問(wèn)控制列表對(duì)數(shù)據(jù)流中每個(gè)數(shù)據(jù)包包頭中的參數(shù)或它們的組合進(jìn)行檢查，以確定是否允許該數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。是一種簡(jiǎn)單、高效的安全控制技術(shù)。

（2）代理服務(wù)：可以實(shí)施用戶認(rèn)證、詳細(xì)日志、審計(jì)跟蹤和數(shù)據(jù)加密等功能。內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)信息不易泄漏，有效減少黑客攻，是一種比較高級(jí)的防火墻技術(shù)。

（3）狀態(tài)檢測(cè)：狀態(tài)檢測(cè)防火墻是在動(dòng)態(tài)包過(guò)濾的基礎(chǔ)上，增加了狀態(tài)檢測(cè)機(jī)制而形成的。工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間，有高效性、高安全性、應(yīng)用范圍廣等優(yōu)點(diǎn)。

（4）網(wǎng)絡(luò)地址轉(zhuǎn)換：NAT是基于網(wǎng)絡(luò)層的應(yīng)用，將一個(gè)IP地址用另一個(gè)IP地址代替。隱藏內(nèi)部網(wǎng)絡(luò)的IP地址、解決地址緊缺問(wèn)題。

防火墻是非常優(yōu)秀的網(wǎng)絡(luò)安全設(shè)備，再好的安全設(shè)備如果沒(méi)有物盡其用，是發(fā)揮不了安全保護(hù)作用的。所以要詳細(xì)了解防火墻性能，配置管理好，才能發(fā)揮設(shè)備的應(yīng)有性能。

2.3 安裝防毒軟件和殺毒軟件

高校校園網(wǎng)絡(luò)是病毒滋生的溫床，一直以來(lái)病毒都是校園網(wǎng)的安全隱患。所以校園網(wǎng)內(nèi)每臺(tái)計(jì)算機(jī)都要安裝單機(jī)版防毒殺毒軟件并定期更新病毒庫(kù)，保護(hù)計(jì)算機(jī)不被感染病毒。針對(duì)網(wǎng)絡(luò)病毒最好方法是安裝網(wǎng)絡(luò)版的防毒殺毒軟件，它能全方位、多層次查殺病毒[4]。要做到定期掃描網(wǎng)絡(luò)病毒、修補(bǔ)漏洞、及時(shí)升級(jí)軟件，把網(wǎng)絡(luò)病毒徹底打敗。

2.4 加強(qiáng)校園網(wǎng)用戶管理

加強(qiáng)校園網(wǎng)用戶管理分兩層意思：一是增強(qiáng)用戶的安全意識(shí)，有些網(wǎng)絡(luò)用戶安全意識(shí)不夠，對(duì)網(wǎng)絡(luò)安全知識(shí)了解甚少。個(gè)人計(jì)算機(jī)病毒泛濫，很多時(shí)候的網(wǎng)絡(luò)事故都由它引起。所以網(wǎng)管人員應(yīng)該做好宣傳，加強(qiáng)用戶計(jì)算機(jī)安全知識(shí)方面的培訓(xùn)，增強(qiáng)用戶網(wǎng)絡(luò)安全意識(shí)。二是合理規(guī)范化管理用戶，對(duì)教職工、學(xué)生、后勤管理人員進(jìn)行劃分，不同的職業(yè)有不同用戶權(quán)限。同時(shí)對(duì)賬號(hào)按區(qū)域劃分，對(duì)辦公室、教工宿舍、學(xué)生宿舍等不同的場(chǎng)所賬號(hào)的權(quán)限也不一樣。并采取動(dòng)態(tài)修改密碼和動(dòng)態(tài)分配的形式，保證用戶密碼有效性。用戶管理規(guī)范化對(duì)網(wǎng)絡(luò)安全管理工作起到事半功倍的作用。

3 結(jié)語(yǔ)

網(wǎng)絡(luò)安全涉及的技術(shù)領(lǐng)域很廣，這里探討的內(nèi)容不過(guò)冰山一角。目前高校網(wǎng)絡(luò)安全確實(shí)存在一些隱患，要求我們不斷地學(xué)習(xí)并應(yīng)用新技術(shù)解決網(wǎng)絡(luò)安全存在的問(wèn)題。為教學(xué)、科研和辦公提供安全健康的網(wǎng)絡(luò)環(huán)境。

[1] 陳斌.校園網(wǎng)絡(luò)安全問(wèn)題分析與防范策略研究[J].信息與電腦，2010（8）.

[2] 李文杰.淺析防火墻安全技術(shù)及發(fā)展[J].科技信息，2OO8（10）.

[3] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第 5 版）[M]．北京：電子工業(yè)出版社.2010：284-305.

[4] 陳文冠，曹亮，陳興華.高校校園網(wǎng)信息安全的研究[J].科技管理研究，2007（2）.