淺析校園網安全問題及對策

摘要：隨著網絡技術的發展，校園網絡安全問題日益突出，本文簡要介紹了威脅網絡安全的因素以及相應的對策。

關鍵詞：校園網；網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)19-30026-02

On Campus Network Security Problems and Countermeasures

LIU Geng-biao

(Guangdong Construction Vocational Technology Institute，Guangzhou 510450， China)

Abstract: With the development of network technology，the problem of campus network security is becoming more and more serious. This article briefly introduces the facts that threatened network security and settling methods of campus network

Key words: Campus Network；Network Security

1 引言

校園網是校內外信息發布和交流的窗口，也是高職院校教學、行政管理和科研不可缺少的重要基礎設施。隨著校園網規模的逐漸擴大和各種應用的深入進行，網絡環境變得越來越復雜。行政管理、圖書資料管理、資源信息等局域網應用逐步加大；通過與教育網的互聯，實現教育資源的信息共享；通過與Internet的連接，為學校的教學管理、日常辦公、內外交流等各種應用提供全面有力的支持。但是，各種問題也隨之出現了，網絡系統在運行中會網絡性能下降、不時遭受計算機病毒的滋擾、網絡攻擊等問題，影響了校園網的正常使用。

2 校園網絡安全方面存在的問題

2.1 網絡硬件安全問題

網絡硬件安全是一個常見的問題，其中一個主要問題是網絡設備遭受雷擊，雷雨天氣時，即使關閉電腦，如果網絡線沒拔出，打雷的時候也有可能燒壞主版、網卡和所連接的交換機端口，造成電腦和樓宇交換機等設備的損壞等。

另一個主要問題是戶外光纜容易遭受其他施工時意外破壞。

2.2 網絡服務器安全問題

目前校園網中網絡服務器安裝的操作系統主要有Windows 2000/2003、Linux、UNIX等，這些操作系統存在程度不同的安全漏洞，安全風險級別不同，都在某種程度上對網絡安全構成了威脅。例如隨著Windows 2000/2003的普及使用以及自身設計的原因，它成為主流網絡操作系統中安全級別最低的系統：包括自身系統設計缺陷、瀏覽器存在的漏洞、IIS漏洞、病毒發作主要對象等；雖說UNIX安全性較高，但還是存在某方面的系統漏洞，高級黑客還是能對其進行攻擊，包括RIP路由轉移、服務安全漏洞、病毒等。

2.3 網絡互聯設備配置問題

網絡互聯設備，特別是防火墻和路由器的配置關系到整個網絡是否安全可靠的全局性問題，網絡管理員必須非常慎重來配置相關的ACL(訪問控制列表)以及其他的安全策略。往往發生全局性的安全問題，和防火墻和路由器的安全策略配置不合理是有著直接的關系。

2.4 網絡病毒傳播問題

計算機病毒問題，是一個常見網絡安全問題，也是計算機網絡世界里的一個永恒問題。早在幾年前，國家計算機病毒應急處理中心流行病毒分析報告就已經指出，網絡共享已經成為病毒傳播的一個重要途徑，越來越多的病毒運用這種手段進行傳播。有些病毒還能使用弱密碼攻擊的方法進行攻擊，因此建議用戶關閉一切不必要的共享，最好還要給共享設置健壯的密碼，不給病毒有可乘之機。

特別是在學校網絡或者是電腦室機房網絡中包括學生宿舍之間的網絡，這種病毒的清除存在一定的難度。在病毒的清除過程中，局域網中只要還有一臺機器的病毒沒被徹底清除，又或者沒有及時修補漏洞、更新殺毒軟件，病毒便又有機會入侵，很有可能再次感染整個網絡，很多電腦機房網絡都遇到過這種重復感染的現象，如熊貓燒香病毒，因此在同步升級和殺毒的同時，還要確保每臺機器都被同步處理過。

2.5 黑客入侵攻擊問題

隨著網絡在快速發展和普及，越來越多的人使用網絡并掌握一定的網絡技術，特別是現在在網絡上提供了大量的傻瓜化的黑客入侵攻擊軟件，人們可以很方便的下載并使用這種工具軟件對網絡實施攻擊。

黑客入侵攻擊一般分兩種情況：外部網絡攻擊和內網攻擊。根據有關方面的數據統計分析顯示，內部網絡攻擊的安全事件越來越多，占了網絡安全事件的大部分。總體上看，黑客入侵攻擊問題日益突出。

2.6 網絡性能問題

隨著網絡應用和內容的發展和擴張，眾多業務對網絡基礎帶寬的需求迅速增長，特別是基于P2P技術的眾多應用的大量使用，這將使得網絡容量需求與網絡帶寬之間的矛盾日益突出。最直接的影響就是網絡性能下降，主要表現為網絡通信速度下降，例如對校外部網絡站訪問或其它服務速度明顯緩慢。當然引起網絡性能下降的因素可能是多種多樣的。但其中一個重要因素就是校園里面存在諸如BT等大量網絡下載所導致的。

3 校園網絡安全對策

3.1 網絡規劃設計應合理

這里主要想針對網絡硬件的安全提出對策，防雷擊方面的措施。目前可以采用安裝網絡防雷系統。該系統分為電源防雷器和信號防雷器，分別保護網絡電源和網絡信號系統，安裝在需要保護設備的前端部位，可以將雷擊或雷擊感應的電流由此前端被釋放到地，并將過電壓限制在設備可以承受的范圍之內，從而起到保護網絡設備和網上設備的目的。

另一個問題是防止戶外光纖或其他網絡通信線纜被意外挖斷，主要的措施可以采取線纜深埋地下，并且在地面上做好相關的標記說明，同時在學校的建筑規劃圖紙上也作相應的標注。可以避免此類意外事件的發生。

3.2 及時更新系統，優化系統配置

首先，針對目前主流網絡操作系統和網絡設備的系統漏洞，我們可以采用先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查，并根據檢查結果向系統管理員提供周密、可靠的安全性分析報告。及時更新系統，如打上系統補丁、及時更新殺毒軟件。

其次，對每個網絡用戶設置相應的權限，并應用策略要求每個網絡用戶設置較為健壯的用戶口令。防止網絡用戶擁有過大的系統權利，造成入侵或過失操作。

再有，關閉不必要的網絡服務。原因很簡單，開放越多的網絡服務，就意味著更大的機會存在漏洞，更不安全。

3.3 合理配置互聯設備

首先，在Internet與校園網內網之間通常都要部署防火墻，以便在內外部網絡之間建立一道牢固的安全屏障。其中FTP、WWW、DNS、E-mail服務器安置在防火墻的DMZ區（即“非軍事區”，DMZ可以阻止內網和外部網絡直接通信，以確保內網安全），與內、外部網絡間進行隔離，內網接口連接校園網內網交換機，外部網絡接口通過路由器和Internet連接。這樣一來，通過Internet進來的外部網絡用戶只能訪問到對外公開的一些服務（如FTP、WWW、DNS、E-mail等），既可以保護內網資源不被外部網絡非授權用戶的非法訪問或破壞，也可以阻止內部用戶對外部網絡相關資源的使用，同時還能夠對發生在網絡中的安全事件進行跟蹤和審計。

其次，在防火墻設置上我們按照下面原則來配置以提高網絡安全性：

(1) 根據校園網安全策略和目標，規劃設置合理的安全過濾規則，審核IP數據包的內容，包括協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自外部網絡的對校園內網的不必要的、非法的訪問。總原則是“不被允許的服務就是被禁止”。

(2) 在防火墻上作配置，過濾掉以內部網絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發起的對外的攻擊。

(3) 在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。

(4) 定期查看防火墻訪問日志，以便及時發現攻擊行為和不良的上網記錄。

3.4 防范網絡病毒傳播，限制影響范圍

針對這個問題，可以從多個角度來采取不同的辦法解決。首先，現在有這么一種解決辦法，就是在校園網中安裝一個安全系統，這個安全系統對所有接入校園網的每一臺主機作一個安全身份認證和系統安全檢查，對有安全漏洞有機器，強制為其安裝補丁或更新病毒庫之后才允許接入網絡。目前國內方面有銳捷網絡公司開發的GSN系統，該系統集自動防御（自御）、自動修復（自愈）與自動學習（自育）三大功能于一體，從而使網絡安全防御體系從被動防御轉向主動防御、自動修復、自動學習的安全防御體系。

其次，可以利用VLAN技術，在學校的不同網段或不同的宿舍、辦公室劃分VLAN，實現隔離。這樣做的好處是隔離廣播范圍，即如果有局域網機器中了網絡病毒，也只是被限制在本網段之內，不至于擴散到整個網絡。

3.5 過濾站點或服務，保障網絡性能

校園網里面影響網絡性能的一個重要因素是存在大量下載，包括BT下載，或在線觀看視頻電影等。這些都會導致網絡性能下降。相應的解決辦法可以有：在網絡對外節點如防火墻或者路由器上作相應的設置，屏蔽諸如BT、P2P之類的數據流量通過；也可以在校園網絡中心設置以流量計費的方式，以控制學校網絡出口帶寬的數據流量，使得網絡出口帶寬負載適中，保證網絡通暢，網絡性能穩定。

3.6 防范黑客入侵攻擊

由于內部用戶對網絡的結構和應用模式都比較了解，因此來自內部的安全威脅會更大一些。我們的安全防范措施也應該重視內部情況。目前常用的辦法有：部署IDS(入侵檢測系統)。入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。強大的、完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足。根據校園網絡的特點，我們采用各種入侵檢測系統，入侵檢測引擎可以接入到高檔的中心交換機上，對來自外部網和校園網內部的各種行為進行實時檢測。目前的入侵檢測系統多數集入侵檢測、網絡管理和網絡監視功能于一身，能實時捕獲內外部網絡之間傳輸的所有數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法檢測網絡上發生的入侵行為和異常現象，并在數據庫中記錄有關事件，作為網絡管理員事后分析的依據；如果情況嚴重，IDS還可以發出實時報警，使學校管理員能夠及時采取應對措施。

4 結束語

本文針對校園網環境的實際情況，分析了校園網絡的安全威脅的若干因素，并提出了相應的對策；其中防火墻是目前安全技術使用最廣泛的技術，防火墻除了使用上面介紹的方案之外還可以使用其他技術加強校園網安全，同時還可以運用VLAN技術來加強內部網絡管理。總之，校園網絡的安全管理是全方位的，只有從規劃和日常管理等各個環節抓起．綜合利用各種網絡安全技術手段．才能有效地確保校園網絡安全、可靠、穩定地運行。

參考文獻：

[1] 馬駿，周君儀. 淺談校園網網絡安全及防范技術. 廣西輕工業.

[2] 單征. 網絡黑洞攻擊與防范指南. 中國電力出版社.

[3] http://www.rising.com.cn/network2006/network2006_case1.htm.