基于校園網(wǎng)的Ｗｅｂ安全機(jī)制探討

摘要：隨著信息化工程的推進(jìn)，校園網(wǎng)建設(shè)日漸成熟。與之相應(yīng)的Web安全問題日益突出。文章深入細(xì)致地分析了校園網(wǎng)所面臨的安全問題以及應(yīng)對策略，提供了一個較系統(tǒng)、較科學(xué)的分析和解決Web安全問題的思路，為目前高校校園網(wǎng)的Web安全建設(shè)提供一些參考。

關(guān)鍵詞：防火墻；用戶驗(yàn)證；安全掃描器；入侵檢測系統(tǒng)(IDS)；入侵防御系統(tǒng)(IPS)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)05-10ppp-0c

1 引言

隨著計算機(jī)網(wǎng)絡(luò)的普及和信息技術(shù)的發(fā)展，高校校園網(wǎng)建設(shè)已進(jìn)入成熟期，無論是在規(guī)模、功能還是服務(wù)方面都有了長足的發(fā)展，為學(xué)校與外界實(shí)現(xiàn)資源共享和信息共享提供了有力的平臺，如通過Cernet(中教網(wǎng))與國內(nèi)外各院校、各部、各省等相連，又如通過Internet與各國相連；也有利于實(shí)現(xiàn)校內(nèi)的資源共享與信息交換，如校園行政管理系統(tǒng)、教學(xué)管理系統(tǒng)、各年級師生對圖書館資源的遠(yuǎn)程檢索和資料閱讀系統(tǒng)等等。現(xiàn)代化的信息處理方式和知識獲取手段促進(jìn)了教育的發(fā)展，但隨之而來的網(wǎng)絡(luò)安全問題也日漸明顯的擺在了校園網(wǎng)絡(luò)管理員面前。校園網(wǎng)由于用戶結(jié)點(diǎn)多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，所以比一般的商業(yè)網(wǎng)絡(luò)更容易受到來自病毒、黑客及內(nèi)部濫用的破壞。網(wǎng)絡(luò)的安全性指標(biāo)已經(jīng)成為當(dāng)前校園網(wǎng)建設(shè)和應(yīng)用的關(guān)鍵要素。本文試圖將校園網(wǎng)Web安全機(jī)制和防范措施采用類似系統(tǒng)工程架構(gòu)的方式來分析闡述，努力創(chuàng)造一個“真正安全的校園網(wǎng)”。

2 校園網(wǎng)絡(luò)安全現(xiàn)狀

2.1 基礎(chǔ)設(shè)施安全

主要有以下表現(xiàn)：

（1）市電供應(yīng)不能保障，停電時有發(fā)生；

（2）空調(diào)備份、外機(jī)割管、溫度、濕度不能保障；

（3）光纜斷，樓內(nèi)布線不通、端口壞；

（4）雷擊導(dǎo)致設(shè)備不能工作，火災(zāi)以及無關(guān)人員闖入。

2.2 網(wǎng)絡(luò)運(yùn)行安全

2.2.1 黑客攻擊

在《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》中，黑客的定義是：“對計算機(jī)系統(tǒng)進(jìn)行非授權(quán)訪問的人員”，這也是目前大多數(shù)人對黑客的理解。校園網(wǎng)通過 CERNET 與 Internet 相連，在享受 Internet 方便快捷的同時，也面臨著遭遇攻擊的風(fēng)險。大多數(shù)黑客不會自己分析操作系統(tǒng)或應(yīng)用軟件的源代碼、找出漏洞、編寫工具，他們只是能夠靈活運(yùn)用手中掌握的十分豐富的現(xiàn)成工具。黑客入侵的常用手法有：端口監(jiān)聽、端口掃描、口令入侵、JAVA炸彈等。

2.2.2 病毒破壞

計算機(jī)病毒影響計算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響高校校園網(wǎng)絡(luò)安全的主要因素。

2.2.3 操作系統(tǒng)漏洞

在目前，被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是UNIX、WINDOWS 和Linux等，這些操作系統(tǒng)都存在各種各樣的安全問題，許多新型計算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染。如不對操作系統(tǒng)進(jìn)行及時更新，彌補(bǔ)各種漏洞，計算機(jī)即使安裝了防毒軟件也會反復(fù)感染。

2.2.4 口令入侵

為管理和計費(fèi)的方便，一般來說，學(xué)校為每個上網(wǎng)的老師和學(xué)生分配一個賬號，并根據(jù)其應(yīng)用范圍，分配相應(yīng)的權(quán)限。某些人員為了訪問不屬于自己應(yīng)該訪問的內(nèi)容或?qū)⑸暇W(wǎng)的費(fèi)用轉(zhuǎn)嫁給他人，用不正常的手段竊取別人的口令，造成了費(fèi)用管理的混亂

2.2.5 非正常途徑訪問或內(nèi)部破壞

由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來自內(nèi)部的安全威脅更大一些?，F(xiàn)在，黑客攻擊工具在網(wǎng)上泛濫成災(zāi)，而個別學(xué)生的心理特點(diǎn)決定了其利用這些工具進(jìn)行攻擊的可能性。

2.2.6 不良信息的傳播

在校園網(wǎng)接入Internet后，師生都可以通過校園網(wǎng)絡(luò)在自己的電腦上進(jìn)入Internet。目前Internet上各種信息良莠不齊，有關(guān)色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫。這些有毒的信息違反了人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的學(xué)生來說，危害非常大。

2.2.7 帶寬資源的浪費(fèi)

伴隨互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，各種P2P的應(yīng)用也在校園網(wǎng)內(nèi)部廣泛的應(yīng)用，作為一種時下流行的下載手段，各種P2P應(yīng)用可以讓用戶很方便的找到自己需要的網(wǎng)絡(luò)資源，但從另外一個方面來說，大量無限制的P2P連接將極大的消耗網(wǎng)絡(luò)帶寬資源，也給高校正常的網(wǎng)絡(luò)業(yè)務(wù)帶來極大的困擾。

由此可見，構(gòu)建必要的信息安全防護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要。

3 Web安全機(jī)制的建立

針對以上列舉的校園網(wǎng)常見安全問題，我們從以下幾個方面建立起完善的安全機(jī)制：

3.1 基礎(chǔ)設(shè)施保證

將一些重要的設(shè)備，如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中管理，并設(shè)置良好的環(huán)境監(jiān)控體系，包括防火、防盜、門禁監(jiān)控設(shè)施等，以及電源保障體系，包括市電、UPS穩(wěn)壓、空調(diào)等設(shè)施。各種通信線路盡量實(shí)行深埋、穿線或架空，并有明顯標(biāo)記，防止無意損壞。對于終端設(shè)備，如工作站、小型交換機(jī)、集線器和其他轉(zhuǎn)接設(shè)備要落實(shí)到人，進(jìn)行嚴(yán)格管理。

3.2 技術(shù)保證

根據(jù)各高校校園網(wǎng)具體情況選用所需的Web安全控件模塊。以下幾個特征和領(lǐng)域需要著重考慮。

3.2.1 防火墻部署

防火墻是保護(hù)Web及相關(guān)應(yīng)用服務(wù)器免于外部攻擊的最基本的措施。利用防火墻，在網(wǎng)絡(luò)通信時可執(zhí)行一種訪問控制尺度，允許防火墻同意的人或數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外。最大限度的阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。

在防火墻設(shè)置上可以按照以下原則配置來提高網(wǎng)絡(luò)安全性：

（1）根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容，包括協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自外網(wǎng)的對校園內(nèi)網(wǎng)的不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。

（2）配置防火墻，過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外的攻擊。

（3）在防火墻上建立內(nèi)網(wǎng)計算機(jī)的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用。

（4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。

（5）允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理的安全性。

3.2.2 用戶驗(yàn)證

確保只有授權(quán)用戶才能訪問指定內(nèi)容的最好辦法就是采用用戶驗(yàn)證。有增強(qiáng)的、弱的用戶驗(yàn)證機(jī)制可以采用。通常，增強(qiáng)的用戶驗(yàn)證用來控制來自校園網(wǎng)外部的訪問（如Internet），弱的驗(yàn)證用于校園網(wǎng)內(nèi)部的訪問。

3.2.3 入侵檢測/防御系統(tǒng)的部署

入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測系統(tǒng)（Ids）集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，可以發(fā)出實(shí)時報警，使得學(xué)校管理員能夠及時采取應(yīng)對措施。在校園網(wǎng)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系。

而入侵防御技術(shù)則是在傳統(tǒng)防火墻技術(shù)加傳統(tǒng)IDS的技術(shù)已經(jīng)無法應(yīng)對一些安全威脅的情況下產(chǎn)生的一種新技術(shù)。IPS技術(shù)可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報文進(jìn)行丟棄以阻斷攻擊，對濫用報文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。

各高?？筛鶕?jù)校園網(wǎng)實(shí)際情況進(jìn)行產(chǎn)品選擇和配置。

3.2.4 網(wǎng)絡(luò)安全掃描器

發(fā)現(xiàn)漏洞的最好方法是模擬攻擊自己，而不是等著別人來攻擊。一個安全掃描器可以基于已知攻擊的數(shù)據(jù)庫，通過網(wǎng)絡(luò)探測防火墻、各種Web應(yīng)用服務(wù)器和其他系統(tǒng)。采用的掃描器還應(yīng)有足夠的智能利用它所發(fā)現(xiàn)的各種信息來模擬攻擊我們的系統(tǒng)并證實(shí)如何能將它攻破。

3.2.5網(wǎng)絡(luò)版殺毒產(chǎn)品部署

為了在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實(shí)施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能。

（1）在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的 Windows2000 服務(wù)器安裝一個殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理多個主機(jī)網(wǎng)點(diǎn)的計算機(jī)。

（2）在各行政、教學(xué)單位等多個分支機(jī)構(gòu)分別安裝殺毒軟件網(wǎng)絡(luò)版的客戶端。

（3）安裝完殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)的查殺毒。

（4）網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。為了安全和管理的方便起見，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到殺毒軟件廠家網(wǎng)站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其它多個主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自動對殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。采取這種升級方式，一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步，使整個校園網(wǎng)都具有最強(qiáng)的防病毒能力；另一方面，由于整個網(wǎng)絡(luò)的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因?yàn)闆]有及時升級為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。

3.3 安全管理

常言說：“三分技術(shù)，七分管理”，安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。這種管理除了建立起一套嚴(yán)格的安全管理規(guī)章制度（基本包括機(jī)房管理制度、病毒防范制度等）外，還必須培養(yǎng)一支具有安全管理意識的網(wǎng)管隊(duì)伍。網(wǎng)路管理人員通過對所有用戶設(shè)置資源使用權(quán)限與口令，對用戶名和口令進(jìn)行加密存儲、傳輸，提供完整的用戶使用記錄和分析等方式可以有效的保證系統(tǒng)的安全。

網(wǎng)管人員還需要建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫，嚴(yán)格對系統(tǒng)日志進(jìn)行管理，對公共機(jī)房實(shí)行精確到人、到機(jī)位的使用登記制度，就可對網(wǎng)絡(luò)用戶和服務(wù)帳號進(jìn)行精確的控制。定時對校園網(wǎng)系統(tǒng)的安全狀況做出評估和審核，關(guān)注網(wǎng)絡(luò)安全動態(tài)，調(diào)整相關(guān)安全設(shè)置，進(jìn)行入侵防范，發(fā)出安全公告，緊急修復(fù)系統(tǒng)等。

3.4 用戶教育

除了對用戶進(jìn)行有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)和規(guī)章制度進(jìn)行宣傳教育外，還必須讓用戶知道如何使用密碼、管理文件、收發(fā)郵件和正確地運(yùn)行應(yīng)用程序。對于非法訪問和黑客攻擊事件，一旦發(fā)現(xiàn)要嚴(yán)肅處理。

4 結(jié)束語

校園網(wǎng)具有訪問方式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)。網(wǎng)絡(luò)的安全問題需要從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細(xì)進(jìn)行考慮，并在實(shí)際運(yùn)行中嚴(yán)格管理。而且校園網(wǎng)Web安全是個系統(tǒng)性的工程，不能僅僅依靠防火墻和其他網(wǎng)絡(luò)安全技術(shù)，而需要仔細(xì)考慮系統(tǒng)的安全需求，建立相應(yīng)的管理制度，并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個高效，通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。當(dāng)然，各校具體情況不同。希望本文提出的Web安全機(jī)制能夠?yàn)楦餍Ｐ@網(wǎng)安全建設(shè)有所幫助。

參考文獻(xiàn)：

[1]王繼克.淺議高校圖書館Web安全機(jī)制和防范措施[J].中國教育信息化，2007(5):55-58.

[2]胡國勝.電子商務(wù)安全[M].華南理工大學(xué)出版社，2004(8).

[3]馬敏.淺談校園網(wǎng)管理與安全. http://www.ahhnedu.cn/.

[4]胡伏湘.校園網(wǎng)安全分析及解決方法[J].計算機(jī)與網(wǎng)絡(luò)，2003(5):60-62.

收稿日期：2007-12-27

作者簡介：馮蓓蓓（1982-），女，畢業(yè)于安徽師范大學(xué)計算機(jī)系，研究方向：電子商務(wù)。