高校校園網安全分析及策略

摘要：隨著高校校園網規模的逐漸擴大和系統應用的不斷深入，校園網在高校的教學、科研以及管理中發揮著越來越重要的作用。但是，高校校園網具有互聯性、開放性、共享性等特點，具有眾多的不安全因素，如網絡病毒、黑客的攻擊等。校園網安全面臨的威脅與日俱增，如何加強校園網的安全，是當前非常重要、非常迫切的任務。

關鍵詞：高校校園網；威脅分析；安全策略

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)14-20ppp-0c

Analysis and Stretegies for Campus-Network Security in Colleges

TANG Hai-bo

(Yongzhou Vocational-Technical College， Yongzhou 425100，China)

Abstract: With the development of the campus-network， it has been expended in scale and has been systimatic used widly. Campus-network played more and more important role in teaching， reseach and management in colleges. But， it has not only its own features， such as interconnected， openning， sharing information，etc. also lots of unsafety factors， such as network virus， hacker attack， ect. exist. It is important and emergent that how to strengthen the safety of campus net-work under the increasing threaten which the safety of campus-network has been met.

Key words: college campus-network; threaten analysis; safe strategy

1 引言

高校校園網作為學校重要的基礎設施，擔當著學校教學、科研以及管理等角色。校園網不僅給高校的教育帶來巨大的幫助，同時給學生提供了大量的信息，校園網已成為豐富知識的載體，成為學習的一種重要的工具。但是，隨著高校校園網應用的發展和擴大，校園網的安全問題也日益突出。惡意軟件、網絡病毒在校園網中傳播，以及黑客的攻擊，造成校園網網速變慢、信息丟失以及網絡癱瘓等嚴重后果，對校園網安全構成巨大威脅。如何保證校園網安全、穩定、高效地運行，同時滿足辦公、教學以及學生學習的需要，是每一所高校必須解決的問題。

2 校園網安全面臨的威脅分析

2.1 操作系統自身的漏洞

在校園網絡環境中，網絡系統的安全性依賴于網絡中各主機系統的安全性，而主機系統的安全性正是由操作系統的安全性所決定的。沒有安全的操作系統的支持，校園網絡安全也毫無根基可言。目前校園網中服務器常用的操作系統有Windows 2003 Server、Unix、Linux等，這些操作系統都是符合C2級安全級別的操作系統，但是都存在不少漏洞。例如Windows的IE漏洞、IIS漏洞，Unix的自身安全漏洞、服務安全漏洞等，如果對這些漏洞不了解，不采取相應的措施，就會使操作系統完全暴露給入侵者，對校園網安全構成威脅。

2.2 網絡病毒

網絡病毒最顯著的特征是它的傳播過程與傳統單機病毒截然不同，網絡病毒的傳播無需普通的用戶介入，它們的傳播途徑廣，傳播速度快，造成的危害極大，幾乎到了令人防不勝防的地步。網絡病毒可以分為郵件病毒、網頁病毒、FTP病毒等，網絡病毒侵入校園網后，自動收集有用信息，如郵件地址列表、網絡中傳輸的明文口令等，或者是自動探測其他計算機上存在的漏洞，然后據此向校園網中其他計算機傳播。如震蕩波病毒、熊貓燒香病毒、AV終結者病毒、ARP病毒等等，都會對校園網安全構成威脅。

2.3 黑客入侵

黑客的工作主要是通過對技術和實際實現中的邏輯漏洞進行挖掘，通過系統允許的操作對沒有權限操作的信息資源進行訪問和處理。[1]黑客還可以充分利用校園網中人為運行管理中存在的問題對校園網實施入侵。通過欺騙、信息搜集的方法，黑客可以從校園網的薄弱環節入手，通過對人本身的習慣的把握，迅速地完成對校園網絡用戶身份的竊取進而完成對整個校園網絡的攻擊。

2.4 校園網絡內部威脅

校園網絡安全的威脅既可以來自內部網，又可以來自外部網。根據不同的研究結果表明，大約有70%--85%的安全事故來自內部網。首先，校園網絡雖然是一種規模較小的網絡，但使用者成分卻比較復雜。計算機水平不高的人員使得計算機更容易受到攻擊，或感染病毒、木馬，在校園網中傳播，影響網絡正常使用。其次，網絡管理員的無意失誤，比如安全口令選擇不當、用戶權限設置過大等等，同樣給校園網絡帶來致命的威脅。

3 校園網絡安全策略

3.1 物理安全

物理安全是校園網絡安全的最基本保障，是整個校園網絡安全系統中不可缺少和忽視的組成部分。在校園網規劃設計階段，就應該充分考慮到網絡設備的安全問題。比如設備的防電磁輻射、抗電磁干擾以及電源保護等，通過相應的防護措施，實現對校園網絡的有效保護。

3.2 安全技術

3.2.1 防病毒技術

對于病毒威脅最理想的解決辦法是防止，即在第一步就不允許病毒進入系統。在校園網中，應該在整個網絡制定防病毒方案，最好的辦法就是在校園網中安裝網絡版殺毒軟件。比如瑞星網絡版殺毒軟件，它包括瑞星系統中心、管理員控制臺、殺毒軟件服務器端和殺毒軟件客戶端四個部分。首先，在校園網絡中心服務器安裝瑞星網絡版殺毒軟件的系統中心；其次，在校園各教學點、行政部門等分支機構分別安裝瑞星網絡版殺毒軟件的客戶端；再次，校園網絡中心的瑞星系統中心定期對殺毒軟件進行智能升級，并自動將最新的升級文件分發到校園網內各服務器端與客戶端，確保校園網內殺毒軟件的更新保持同步。通過在校園網內安裝網絡版殺毒軟件，可以很容易地在整個校園網內實現遠程管理、智能升級、自動分發、遠程報警等多種功能，可以在校園網中的任意一臺計算機上對整個網絡進行集中控制管理，清楚地掌握整個網絡環境中各個節點的病毒監測狀態，最大程度的減少了整個網絡中的安全漏洞，有效保障了整個網絡的系統安全。有效的管理，嚴密的保護，杜絕病毒的入侵，從而實現校園網防病毒的目的。

3.2.2 防火墻技術

對于校園網，應該從開放的、無邊界的網絡環境中獨立出來，成為可管理、可控制的、安全的內部網絡。只有做到這一點，實現校園網絡信息安全才有可能，而最基本的分隔手段就是防火墻。防火墻是網絡安全的第一道門戶，可以實現內部網（信任網絡）與外部不可信任網絡（如因特網）之間，或是內部網不同網絡安全區域的隔離與訪問控制，保證網絡系統及網絡服務的可用性。[2]防火墻通常使用的安全控制手段主要有包過濾技術、狀態檢測、代理服務。在校園網中引入防火墻技術，可以通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽校園網絡內部的信息、結構和運行狀況，有選擇地接受外部訪問。對校園網內部強化設備監管、控制對服務器與外部網絡的訪問，在校園網和外部網絡之間架起一道屏障，以防止發生不可預測的、潛在的破壞性侵入和攻擊，實現對校園網的保護。

3.2.3 入侵檢測技術

入侵檢測是防火墻的合理補充。防火墻屬于靜態的安全防御技術，對于網絡日新月異的攻擊手段缺乏主動的反應，而入侵檢測屬于動態的安全技術，能幫助系統主動的對付網絡攻擊，擴展了系統管理員的安全管理能力，包括安全審計、監視、進攻識別和響應等等，提高了校園網信息安全基礎結構的完整性。由此看來，在校園網中引入入侵檢測技術是非常重要。例如，在校園網中使用瑞星RIDS-100入侵檢測系統，它集入侵檢測、網絡管理和網絡監視功能于一身，能實時捕獲內外網之間傳輸的所有數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測校園網上發生的入侵行為和異常現象，并在數據庫中記錄有關事件，作為管理員事后分析的依據；如果情況嚴重，RIDS-100可以發出實時報警，使得管理員能夠及時采取應對措施。另外RIDS-100入侵檢測系統可以與防火墻聯動，自動配置防火墻策略，配合防火墻系統使用，可以全面保障校園網的安全，組成完整的校園網安全解決方案。作為防火墻之后的第二道安全閘門，入侵檢測系統在不影響校園網絡性能的情況下能對校園網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

3.3 校園網管理

校園網安全除了先進的技術，還必須要有嚴格、合理和有效的安全管理來支持和補充。校園網安全管理的最終目標是將校園網的安全風險降低到最低的程度，保證校園網的安全運行和使用。首先，必須要建立一套嚴格的安全管理制度；其次，加強對教師和學生網絡安全的教育和培訓，增強網絡安全意識；再次，規范上網場所，過濾有害信息；最后，培養一支具有安全管理意識和管理技能的校園網管理隊伍。[3]

4 結束語

如何保證校園網中計算機和信息的安全是一個重要且復雜的問題，隨著計算機技術的發展，新技術的不斷涌現和使用，校園網的安全有待于在實踐中進一步研究和探索。目前，應當綜合運用多種安全技術，加強安全策略、安全管理和技術培訓，從而建立起一套真正適合校園網的安全網絡體系。

參考文獻：

[1] 王鳳英，程震.網絡與信息安全[M].中國鐵道出版社，2006.

[2] 雷震甲.網絡工程師教程[M].清華大學出版社，2004.

[3] 楊燁.高校校園網安全問題分析與對策[J].湖北廣播電視大學學報，2007(3).

收稿日期：2008-03-05

作者簡介：唐海波（1977-），男，湖南永州人，湖南永州職業技術學院教師，中南大學在讀碩士，研究方向：計算機網絡。