高校校園網(wǎng)絡(luò)安全分析及解決方案

【摘要】校園網(wǎng)是校園信息傳輸?shù)钠脚_，必須建立有機的、智能化的網(wǎng)絡(luò)安全防范體系以保護校園信息和關(guān)鍵應(yīng)用的安全。然而，不少校園網(wǎng)由于安全建設(shè)嚴(yán)重滯后，使得其在建設(shè)初期就埋下了安全隱患；投入運行后，又疏于安全管理，以致校園網(wǎng)沒有發(fā)揮它應(yīng)有的作用。因此，只有建成高速、穩(wěn)定、安全、可靠的校園網(wǎng)，高校的數(shù)字信息資源、網(wǎng)絡(luò)服務(wù)、信息服務(wù)等，才能正常運行。加強安全建設(shè)是建好、用好校園網(wǎng)的重要保障。該文就此提出了一些看法和建議。

【關(guān)鍵詞】校園網(wǎng)；安全；控制；管理；系統(tǒng)

【中圖分類號】G434 【文獻標(biāo)識碼】B 【論文編號】1009—8097 (2008) 03—0091—03

目前許多學(xué)校都已經(jīng)建立了校園網(wǎng)，并通過各種方式與國際互聯(lián)網(wǎng)相連，校園網(wǎng)已經(jīng)成為學(xué)校教學(xué)、科研和管理的重要渠道，并已經(jīng)改變了人們的生活和學(xué)習(xí)方式，成為人們進行信息交流的基本工具。而且，校園網(wǎng)作為高校信息化建設(shè)的基礎(chǔ)設(shè)施，在各學(xué)校也得到了極大的發(fā)展。隨著校園網(wǎng)規(guī)模急劇擴大、網(wǎng)絡(luò)用戶數(shù)量快速增多、校園網(wǎng)的開放程度日益增加，校園網(wǎng)的安全問題也就顯得愈發(fā)突出了。可以說，校園網(wǎng)安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題，如何保證校園網(wǎng)的安全運行，已成為當(dāng)前許多高校信息化建設(shè)的當(dāng)務(wù)之急。

一 高校校園網(wǎng)的安全現(xiàn)狀

高校一般都是最先應(yīng)用先進網(wǎng)絡(luò)技術(shù)的地方，而且網(wǎng)絡(luò)應(yīng)用普及，用戶群密集而且活躍，特別是學(xué)生，好奇心和求知欲很強，經(jīng)常會嘗試各種網(wǎng)絡(luò)技術(shù)問題，所以安全問題比較突出，安全管理更為復(fù)雜、困難。當(dāng)前，高校校園網(wǎng)絡(luò)普遍存在的安全隱患和漏洞有以下幾種:

1 來自硬件系統(tǒng)的安全威脅。硬件的安全問題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。物理安全是指由于物理設(shè)備的放置不合適或者防范不得力，使得服務(wù)器、交換機、路由器等網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等網(wǎng)絡(luò)線路以及UPS 和電纜線等電源設(shè)備遭受意外事故或人為破壞，造成校園網(wǎng)不能正常運行。設(shè)置安全是指在設(shè)備上進行必要的設(shè)置(如服務(wù)器、交換機的密碼等)，防止黑客取得硬件設(shè)備的遠程控制權(quán)。

2 來自校園網(wǎng)內(nèi)部的威脅。校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生，學(xué)校不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，學(xué)生會經(jīng)常的監(jiān)聽或掃描學(xué)校網(wǎng)絡(luò)，因此來自內(nèi)部的安全威脅更難應(yīng)付。

3 來自Internet 的威脅。Internet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡(luò)資源不但會占用大量流量資源，造成網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問題，而且由于校園網(wǎng)與Internet 相連，校園網(wǎng)也就面臨著遭遇攻擊的風(fēng)險。

4 系統(tǒng)或軟件的漏洞。目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼， 這些軟件的使用也可能被攻擊者侵入和利用。

5 管理方面的問題。一是校園網(wǎng)的用戶群體一般比較大，少則數(shù)千人、多則數(shù)萬人，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計算機應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點日漸增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。

二 威脅高校校園網(wǎng)安全的原因分析

網(wǎng)絡(luò)的不安全因素很多，但是由于學(xué)校是以教學(xué)活動為中心的場所，所以，校園網(wǎng)的安全問題有著它自己的特殊性，目前，校園網(wǎng)存在的安全隱患和漏洞主要有如下幾點：

1 校園網(wǎng)中的設(shè)備多。校園網(wǎng)需要各種設(shè)備的支持，而這些設(shè)備分布在各種不同的地方，管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起校園網(wǎng)的癱瘓，如室外通信光纜、電纜等，分布范圍廣，不能封閉式管理；室內(nèi)設(shè)備也可能發(fā)生被盜、損壞等情況。校園網(wǎng)是一個平臺，面向全校的師生，校園網(wǎng)中的設(shè)備管理也比較多樣化，校級設(shè)備一般有網(wǎng)絡(luò)中心管理，院、系級設(shè)備由本部門管理，也由本部門維護，學(xué)生自用的機器，放在學(xué)生宿舍中，由學(xué)生自行維護。這樣就很難對所有設(shè)備實施統(tǒng)一的安全策略，如安裝防病毒軟件等。所以當(dāng)用戶的計算機接入校園網(wǎng)后感染病毒，這臺感染病毒的計算機又影響了校園網(wǎng)的運行，于是出現(xiàn)“交叉感染”。

2 技術(shù)上的不足。由于教學(xué)和科研的特點決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的。目前校園網(wǎng)大都是利用Internet 技術(shù)構(gòu)造的，且又與Internet 相連，所以校園網(wǎng)在運行過程中面臨各種安全威脅。現(xiàn)在TCP/IP協(xié)議廣泛用于各種網(wǎng)絡(luò)，所以幾乎所有的Internet 協(xié)議都沒有考慮安全機制。并且現(xiàn)在人們很容易從Internet上獲得相關(guān)的核心技術(shù)資料，特別是有關(guān)Internet 自身的技術(shù)資料及各類黑客軟件，很容易造成網(wǎng)絡(luò)安全問題。尤其是在學(xué)校學(xué)生的好奇心、破壞欲給校園網(wǎng)帶來了很多安全問題。其次，隨著軟件交流規(guī)模的不斷增大，軟件中的安全漏洞也不可避免地存在。當(dāng)前應(yīng)用的各種網(wǎng)絡(luò)操作系統(tǒng)都有不同級別的安全風(fēng)險。

3 活躍的用戶群體。高校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，對網(wǎng)絡(luò)新技術(shù)充滿好奇，敢于嘗試。很多學(xué)生的計算機技術(shù)水平非常高，而且具有強烈的好奇心和實踐欲望，他們時常有意無意地破壞校園網(wǎng)系統(tǒng)，嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù)，干擾校園網(wǎng)的安全運行。另外，很多學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂、玩游戲，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。校園網(wǎng)與一般網(wǎng)絡(luò)不同，不僅要注意防止外部網(wǎng)絡(luò)用戶對校園網(wǎng)的攻擊，還要注意防范校園網(wǎng)內(nèi)部的學(xué)生攻擊。可以說，來自校園網(wǎng)內(nèi)部的安全隱患比校園網(wǎng)外部的安全隱患破壞力更強、影響更廣、威脅更大。

4 盜版資源泛濫。由于缺乏版權(quán)意識，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播也給網(wǎng)絡(luò)安全帶來了一定的隱患。另一方面，從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。

三 高校校園網(wǎng)絡(luò)所面臨的主要安全問題

計算機網(wǎng)絡(luò)面臨的安全威脅大體可以分為兩種，一是來自網(wǎng)絡(luò)硬件的威脅，包括使用的各種網(wǎng)絡(luò)設(shè)備；二是來自網(wǎng)絡(luò)中信息的威脅，包括網(wǎng)絡(luò)中數(shù)據(jù)的威脅，也包括對處理這些數(shù)據(jù)的信息系統(tǒng)以及應(yīng)用軟件的威脅。主要的安全問題有如下幾點：

1 物理層的安全問題

物理層的安全問題是指由于網(wǎng)絡(luò)設(shè)備的放置不合適或者防范措施不得力，使得網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等遭受意外事故或人為破壞，造成校園網(wǎng)不能正常運行。物理安全是制訂校園網(wǎng)安全解決方案時首先應(yīng)考慮的問題。

2 系統(tǒng)和應(yīng)用軟件存在的漏洞威脅

在校園網(wǎng)中使用的操作系統(tǒng)和應(yīng)用軟件千差萬別，這些操作系統(tǒng)和應(yīng)用軟件不可能沒有缺陷和漏洞，這些缺陷和漏洞，如未及時發(fā)現(xiàn)，就會被攻擊者所利用，對網(wǎng)絡(luò)安全構(gòu)成威脅，而且網(wǎng)絡(luò)用戶濫用某些共享軟件也會導(dǎo)致計算機可能成為黑客攻擊校園網(wǎng)的后門。

3 計算機病毒入侵和黑客攻擊

計算機病毒是校園網(wǎng)安全最大的威脅因素，有著巨大的破壞性。尤其是通過計算機網(wǎng)絡(luò)傳播的病毒，其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網(wǎng)在接入Internet 后，便面臨著內(nèi)部和外部黑客雙重攻擊的危險，尤以內(nèi)部攻擊為主。

4 內(nèi)部用戶濫用網(wǎng)絡(luò)資源

校園網(wǎng)內(nèi)部用戶對校園網(wǎng)資源的濫用，有的校園網(wǎng)用戶利用校園網(wǎng)資源提供視頻、音頻、軟件等資源下載，占用了大量的網(wǎng)絡(luò)帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網(wǎng)絡(luò)帶寬，給正常的校園網(wǎng)應(yīng)用帶來了極大的威脅。

四 高校校園網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)和解決途徑

網(wǎng)絡(luò)安全問題，是一個系統(tǒng)工程，不是單純的技術(shù)問題。它涉及物理安全、系統(tǒng)安全、技術(shù)安全，管理安全等諸多方面，只有建立一套解決校園網(wǎng)安全威脅的整體解決方案，才能保證校園網(wǎng)的各種資源免受自然或人為的破壞，確保校園網(wǎng)安全運行，因此必須從系統(tǒng)的觀點去考慮。下面介紹幾種安全對策。

1 訪問控制

訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名和口令的識別與驗證、用戶帳號的缺省限制檢查等。當(dāng)用戶進入網(wǎng)絡(luò)后，網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問權(quán)限，用戶只能在其權(quán)限內(nèi)進行操作。這樣，就保證網(wǎng)絡(luò)資源不被非法訪問和非法使用。用戶在其合法的訪問授權(quán)之外無其他的訪問特權(quán)，有效防止了網(wǎng)絡(luò)因超權(quán)限訪問而造成的損失。目前網(wǎng)上的大部分對系統(tǒng)的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統(tǒng)，那么所有的防衛(wèi)措施幾乎就沒有作用，所以對服務(wù)器系統(tǒng)管理員的賬號和密碼進行管理是保證系統(tǒng)安全非常重要的措施。

2 防火墻與IDS 聯(lián)動

防火墻是構(gòu)建整個網(wǎng)絡(luò)安全體系的核心，它位于內(nèi)部網(wǎng)和外部網(wǎng)之間，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障，其中WWW、MAIL、FTP、DNS等對外服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過防火墻與Internet連接。通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(wù)，既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進行跟蹤和審計。對于校園網(wǎng)而言，不但要防御外部的攻擊還要考慮內(nèi)部的攻擊。但是，防火墻畢竟只是被動防御，因此，必須加強與IDS（入侵檢測系統(tǒng)）的聯(lián)動。IDS 所采用的不是被動防御的策略，而是主動監(jiān)視、檢測和識別正在進行的或已經(jīng)成功的入侵行為，并及時報告給網(wǎng)絡(luò)管理者。由于IDS 系統(tǒng)除了報告外，本身不能對入侵采取任何的防御措施。所以網(wǎng)絡(luò)中心通過IDS 和防火墻的聯(lián)動來實現(xiàn)入侵防御，當(dāng)IDS 發(fā)現(xiàn)攻擊企圖后，它會通知防火墻將攻擊來源的IP 地址或端口禁掉。這種聯(lián)動方式集合了IDS和防火墻的優(yōu)點，從而能主動地阻擋入侵，降低非法入侵造成的損失

3 漏洞掃描系統(tǒng)

解決網(wǎng)絡(luò)中安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、漏洞。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不夠的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估風(fēng)險并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。而且也可以采用目前先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。

4 安裝補丁程序和網(wǎng)絡(luò)殺毒軟件

任何操作系統(tǒng)都有漏洞，大部分校園網(wǎng)服務(wù)器使用的操作系統(tǒng)都有漏洞，蓄意攻擊它們的人也特別多，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時對系統(tǒng)進行升級。在校園網(wǎng)防病毒方案中，系統(tǒng)管理員最終要達到的一個目標(biāo)就是，要在整個網(wǎng)絡(luò)中杜絕病毒的感染和傳播。為了實現(xiàn)這個目標(biāo)，系統(tǒng)管理員應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒等多種功能。網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素，如何防止網(wǎng)絡(luò)病毒也就成為校園網(wǎng)安全必須考慮的重要問題，因此必須在校園網(wǎng)上安裝網(wǎng)絡(luò)版的殺毒軟件才能滿足要求。

5 運用虛擬局域網(wǎng)(VLAN) 技術(shù)

VLAN (Virtual Local Area Network) 即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。VLAN 技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。采用交換式局域網(wǎng)技術(shù)的校園網(wǎng)絡(luò)，可以用VLAN 技術(shù)來加強內(nèi)部網(wǎng)絡(luò)管理。

6 關(guān)閉不需要的服務(wù)和端口、建立監(jiān)測系統(tǒng)日志

服務(wù)器操作系統(tǒng)在安裝的時候，會啟動一些不需要的服務(wù)，這樣會占用系統(tǒng)的資源，而且也增加了系統(tǒng)的安全隱患。對于完全不用的服務(wù)，可以完全關(guān)閉；對于要使用的服務(wù)，應(yīng)開通其服務(wù)。另外，還要關(guān)掉沒有必要開的TCP端口。通過運行系統(tǒng)日志程序，系統(tǒng)會記錄所有用戶使用系統(tǒng)的情形，包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異常現(xiàn)象。

參考文獻：

[1]李海泉.計算機系統(tǒng)的安全技術(shù)[M].北京:人民郵電出版社，2002年.

[2]葉忠杰主編.計算機網(wǎng)絡(luò)安全技術(shù)[M]. 北京:科學(xué)技術(shù)出版社，2003年.

[3]齊 蕾.淺談校園網(wǎng)安全控制策略[J].大眾科技，2005，(4): 45～46.

[4]段海新.校園網(wǎng)安全問題分析與對策[J].中國教育網(wǎng)絡(luò)，2005(3).

[5]張武軍.李雪安.高校校園網(wǎng)安全整體解決方案研究[J].電子科技，2006(3).

[6]劉欽創(chuàng).高校校園網(wǎng)的安全現(xiàn)狀與對策[J].現(xiàn)代計算機，2006(3).