單守雪

摘 要： 為了保證廣大師生安全地使用網(wǎng)絡(luò)，避免因網(wǎng)絡(luò)的安全問題帶來不必要的損失，本文系統(tǒng)、全面地對校園網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險進(jìn)行了分析。

關(guān)鍵詞： 校園網(wǎng)絡(luò)系統(tǒng) 安全風(fēng)險分析 安全需求分析

校園網(wǎng)絡(luò)系統(tǒng)是一個龐大的、復(fù)雜的網(wǎng)絡(luò)系統(tǒng)。在這個系統(tǒng)內(nèi)，用戶多為學(xué)生，他們年輕好奇心強(qiáng)、喜歡探索，嘗試各種軟件，且安全防范意識低。校園網(wǎng)復(fù)雜的網(wǎng)絡(luò)環(huán)境和各類應(yīng)用軟件都有可能對校園網(wǎng)產(chǎn)生安全威脅，攻擊者往往是利用系統(tǒng)最薄弱的環(huán)節(jié)進(jìn)行攻擊，所以充分、全面的風(fēng)險分析是設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)的必要前提。

筆者從網(wǎng)絡(luò)系統(tǒng)的物理層、鏈路層、網(wǎng)絡(luò)層、操作系統(tǒng)層、應(yīng)用層及管理層等方面對校園網(wǎng)絡(luò)系統(tǒng)進(jìn)行了安全風(fēng)險分析與需求分析。

1.物理層安全風(fēng)險分析

物理層的安全風(fēng)險主要是指組成網(wǎng)絡(luò)系統(tǒng)的各種設(shè)備的安全，防止因惡劣的自然環(huán)境、人為誤操作、黑客攻擊給網(wǎng)絡(luò)系統(tǒng)帶來安全威脅。

2.鏈路層脆弱性分析

鏈路層功能是接收來自網(wǎng)路層的IP數(shù)據(jù)報(bào)，把數(shù)據(jù)發(fā)送到制定的網(wǎng)絡(luò)上；接收物理幀，抽出網(wǎng)絡(luò)層數(shù)據(jù)報(bào)。Mac地址泛洪攻擊、ARP欺騙等基于協(xié)議漏洞的攻擊在數(shù)據(jù)鏈路層中還有許多。校園網(wǎng)校網(wǎng)絡(luò)鏈路層的脆弱性主要體現(xiàn)在： ①ARP安全隱患；②PPP安全隱患；③ CSMA/CD安全隱患。

3.網(wǎng)絡(luò)層脆弱性分析

網(wǎng)絡(luò)層的功能是處理數(shù)據(jù)包在網(wǎng)絡(luò)中的活動（packet）。網(wǎng)絡(luò)層是異構(gòu)網(wǎng)絡(luò)的關(guān)鍵。接收傳輸層的請求，封裝數(shù)據(jù)包，加包頭。TCP/IP 協(xié)議最初的設(shè)計(jì)就是構(gòu)建網(wǎng)絡(luò)，缺乏對安全的考慮，所以網(wǎng)絡(luò)層存在以下安全隱患。

（1）IP協(xié)議的安全隱患：缺少身份認(rèn)證機(jī)制，不檢查IP地址，產(chǎn)生IP欺騙攻擊，尤其是地址假冒。IP數(shù)據(jù)包包含源路由選項(xiàng)，本來是可以指定路由，測試流量，但是可以利用源路由選項(xiàng)進(jìn)行攻擊，源路由指定了IP數(shù)據(jù)包必須經(jīng)過的路由，使得入侵者可以繞開網(wǎng)絡(luò)的安全措施，選擇攻擊目標(biāo)。

（2）ICMP協(xié)議的安全隱患：ICMP作用：差錯控制、擁塞控制（沒有用戶數(shù)據(jù)）。原理：利用重定向報(bào)文破壞路由和利用不可達(dá)報(bào)文發(fā)起拒絕服務(wù)攻擊。方法：ICMP包為64KB，根據(jù)包標(biāo)題頭信息為有效載荷生成緩沖區(qū)，載荷大小超過上限，導(dǎo)致堆棧溢出，系統(tǒng)崩潰。在局域網(wǎng)內(nèi)還可以偽造ICMP重定向包，使其經(jīng)過自己主機(jī)，就會產(chǎn)生不可達(dá)。

4.操作系統(tǒng)的脆弱性分析

操作系統(tǒng)的安全包括網(wǎng)絡(luò)操作系統(tǒng)自身的安全和提供的服務(wù)接口的安全。網(wǎng)絡(luò)操作系統(tǒng)由于自身代碼多，不可避免地存在安全缺陷和安全漏洞。網(wǎng)絡(luò)操作系統(tǒng)雖然提供了一些，如用戶驗(yàn)證、審計(jì)跟蹤、防火墻等安全功能，但仍然存在很多安全威脅。①系統(tǒng)安全配置不當(dāng)，操作系統(tǒng)本身提供了一些安全防護(hù)功能，但是這些功能沒有開啟，防護(hù)功能起不到保護(hù)的作用，或是系統(tǒng)登錄秘密設(shè)置簡單，容易被黑客破解進(jìn)而獲得管理員權(quán)限。②系統(tǒng)服務(wù)，操作系統(tǒng)開啟了一些網(wǎng)絡(luò)服務(wù)，這些服務(wù)在提供給用戶使用的同時也出現(xiàn)了一些漏洞，這些漏洞一旦被黑客發(fā)現(xiàn)，就會被黑客利用，獲取服務(wù)器的訪問權(quán)限攻擊服務(wù)器或網(wǎng)內(nèi)的用戶。③病毒和黑客，病毒的威脅和黑客的攻擊是網(wǎng)絡(luò)系統(tǒng)安全威脅的主要來源。針對病毒的防治要及時更新病毒庫和采取最新的國際化殺毒技術(shù)，將先進(jìn)的殺毒模式引進(jìn)，以提高殺毒軟件的殺毒能力與殺毒效率。

黑客主要是通過掃描軟件，發(fā)現(xiàn)系統(tǒng)安全漏洞，利用漏洞獲取管理員賬號密碼，進(jìn)而成功入侵校園網(wǎng)絡(luò)系統(tǒng)。修補(bǔ)這些漏洞可以使用風(fēng)險評估軟件找出漏洞，下載補(bǔ)丁，修復(fù)系統(tǒng)。

5.應(yīng)用層安全風(fēng)險分析

校園網(wǎng)提供給 校園網(wǎng)服務(wù)、FTP 服務(wù)、數(shù)據(jù)庫等服務(wù)。提供服務(wù)的系統(tǒng)也存在安全漏洞。①校園網(wǎng)服務(wù)，校園網(wǎng)對師生提供服務(wù)、對外宣傳的窗口。如果存在漏洞，則黑客可能利用DDOS技術(shù)攻擊網(wǎng)站服務(wù)器，修改數(shù)據(jù)、篡改網(wǎng)站網(wǎng)頁、使網(wǎng)站不能正常使用。②FTP 服務(wù)，F(xiàn)TP 服務(wù)給師生提供文件上傳和下載文件服務(wù)，但是端口長期開放會造成不法分子將敏感信息從公共信息剝離。同時FTP 服務(wù)是明文傳輸，信息易被黑客截獲并破解。③數(shù)據(jù)庫服務(wù)，攻擊者可以利用數(shù)據(jù)庫存在的漏洞，獲取數(shù)據(jù)的信息進(jìn)行破解，引起數(shù)據(jù)泄露。④TELNET，TELNET登錄時會話中賬號和口令明文傳輸，通過會話劫持獲得賬號和密碼。⑤DNS，DNS服務(wù)器返回的相應(yīng)信息被網(wǎng)絡(luò)主機(jī)信任。偽造IP地址請求影響服務(wù)器映射表，控制服務(wù)器。

6.管理的安全風(fēng)險分析

網(wǎng)絡(luò)安全系統(tǒng)的日常管理是尤為重要的。特別是對網(wǎng)絡(luò)管理的負(fù)有管理責(zé)任的工作人員。主要的管理風(fēng)險體現(xiàn)在以下幾點(diǎn)：①樹立保密觀念，切實(shí)保護(hù)好賬號密碼，不使用過于簡單的密碼。②操作人員對系統(tǒng)不熟悉，安全配置沒做好。③管理制度不健全，機(jī)密文件處理不當(dāng)。④沒有責(zé)任心，對工作不負(fù)責(zé)，有意損壞網(wǎng)絡(luò)設(shè)備。⑤網(wǎng)絡(luò)安全系統(tǒng)內(nèi)部人員 利用工作便利非法獲取他人信息。

筆者在校園網(wǎng)安全方面從物理層、鏈路層、網(wǎng)絡(luò)層、操作系統(tǒng)的脆弱性、應(yīng)用層和管理層六個方面進(jìn)行了風(fēng)險分析，提出了校園網(wǎng)安全建設(shè)目標(biāo)，提供了解決校園網(wǎng)日益增加的網(wǎng)絡(luò)使用和應(yīng)用軟件的使用造成的對校園網(wǎng)安全帶來的不安全因素問題的解決辦法，為建設(shè)高效、穩(wěn)定、安全的校園網(wǎng)奠定了堅(jiān)實(shí)基礎(chǔ)。

參考文獻(xiàn)：

[1]劉杰民，敬茂華.TCP/IP網(wǎng)絡(luò)中網(wǎng)絡(luò)層的安全問題及防范策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，12.