校園網絡安全風險分析與對策

摘要：校園網在學校擔當著許多重要的角色，隨著校園網應用的深入，校園網的安全問題也日益突出。因此如何確保校園網絡安全運行成為當前迫切解決的問題。本文在對校園網的安全風險進行分析的基礎上，針對當前的網絡攻擊方式，提出了校園網絡的安全策略。

關鍵詞：校園網；網絡安全風險；對策

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)25-1409-03

Analysis of Campus Network Security and Protective Measures

YAN Kun-hao

(Ningxia Vocational Technical College， Yinchuan 750002， China)

Abstract: Nowadays campus network plays many important roles in college. And many factors of insecurity emerge gradually. So how to keep campus network safe is the most emergent matter now. This paper analyses the campus network security risk， and put forward measures to strengthen the campus network security.

Key words: Campus network; Security risk; Measures

校園網絡作為學校重要的基礎設施，擔當著學校教學、科研、管理和對外交流等許多角色。校園網安全狀況直接影響著學校的教學活動。隨著校園網應用的深入，校園網的安全問題也日益突出。

1 校園網絡安全風險

1.1 物理安全風險

物理安全是整個網絡系統安全的前提。物理安全的風險主要有：①地震、水災、火災、雷擊等自然災害；②電源或硬件故障；③人為操作失誤或錯誤；④設備被盜、被毀或超負荷運轉；⑤電磁輻射、干擾；⑥線路盜用及搭線竊聽等。

1.2 網絡安全風險

網絡安全涉及到網絡拓撲結構、網絡路由狀況及整個網絡環境等的安全。

1) 與公網連接面臨的威脅。

因校園網絡與Internet公網相連，基于公網的開放性及復雜性，將會給校園網絡帶來一些公網的無法預測的風險和威脅。一旦內部網絡中的一臺機器安全受損，就會同時影響到在同一網絡上的許多其它系統。如果網絡規劃不合理，而且沒有采取相應的安全防護措施，可能連黑客怎么闖入的都不知道，甚至會成為黑客入侵其他站點的跳板。

2) 網絡內部不同安全域之間互聯的安全風險。

校園網絡包括許多不同功能的系統，包括辦公自動化、教務管理、財務管理、數字圖書館等系統，安全需求不一樣。如果實際互聯中沒有采取相應的安全措施，則可能因為相互之間的自由訪問而造成網絡間的攻擊事件。

1.3 系統的安全風險

所謂系統的安全是指整個網絡操作系統、網絡硬件平臺是否可靠且值得信任。系統的安全程度與對其進行安全配置、管理及系統的應用面有很大關系。沒有絕對安全的操作系統，無論是Microsfot 的Windows或者其它任何商用的UNIX、NETWARE等操作系統，其本身存在許多安全漏洞，而且其開發廠商必然也有其Back-Door，這些“后門”或安全漏洞都給網絡帶來重大安全隱患。

1.4 應用的安全風險

應用安全是指主機系統上應用軟件層面的安全，如：Web服務器、 辦公自動化系統、電子郵件系統、數據庫、財務軟件系統、防病毒軟件等的安全問題。應用系統軟件的引入給用戶帶來方便的同時，也給網絡帶來新的威脅，這是因為大部分Internet應用系統軟件沒有進行很好的安全性設計，且網絡服務器程序經常要用超級用戶特權來執行，這便造成諸多安全問題。主要表現在：

1) 網絡資源共享應用風險。

校園網絡內部用戶之間共享網絡資源，在內部辦公網絡中就可能存在著：用戶有意、無意把硬盤中重要信息目錄共享，長期暴露在網絡鄰居上，可能被外部人員輕易偷取或被內部其他用戶竊取并傳播出去造成泄密。

2) 電子郵件系統應用風險。

由于電子郵件的廣泛應用，內外用戶間的信息傳遞，就存在被黑客跟蹤或收到一些特洛伊木馬、病毒等來歷不明的程序。如果沒有采用防病毒系統或者因為許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，讓黑客掌握了系統的主動權，給系統帶來不安全因素。另外接入互聯網，還會遇到來自各方面的垃圾郵件，干擾內部合法用戶的日常工作。

3) 用戶使用的安全風險。

許多網絡系統的最基本的安全性是要求對使用者的合法身份進行驗證，比如登錄網絡需要輸入用戶名及口令；管理一個應用系統也需要輸入用戶名及口令。如果用戶在設置自己的網絡系統時為了便于記憶而采用個人身份特征的相關信息作為用戶名或者口令字（如名字的全拼或者簡拼，口令用生日、電話號碼等）。還有用戶在監時離開電腦時，沒有退出相應網絡系統界面或者關機，可能在這個時間差的時間內就發生了信息泄漏或者攻擊事件。

4) 數據信息安全風險。

數據信息的安全性涉及到，機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。

對于校園網絡來說，主要保護對象也是數據信息。對重要的個人數據或者是應用數據庫，如果沒有進行必要的保護就有可能被非法竊取。用戶硬盤上的數據，光盤、磁帶保存的數據都可能被竊取或者破壞。這些關鍵信息、數據如果遭到破壞或攻擊，那么對學校來說，它的影響將是不可估量的。

1.5 管理的安全風險

管理是網絡中安全最最重要的部分。責權不明，管理混亂，使得一些用戶或管理員隨便讓一些非本地用戶甚至外來人員進入機房重地，或者用戶有意無意泄漏一些重要信息，而管理上卻沒有相應制度來約束。缺乏必要的獎懲制度，或者法律制度來約束內部用戶或者外部用戶的個人破壞行為。

當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部用戶的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。

管理是網絡中安全得到保證的重要組成部分，是防止來自內部網絡入侵必須的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外，還得依靠安全管理來實現。

2 網絡攻擊方式

一般認為，目前對網絡的攻擊方式主要表現在：

1) 非授權訪問：攻擊者通過非法手段訪問其無權訪問的信息。

2) 信息泄漏或丟失：指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如\"黑客\"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、帳號等重要信息。），信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。

3) 破壞數據完整性：以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的響應；惡意添加，修改數據，以干擾用戶的正常使用。

4) 拒絕服務攻擊：它不斷對網絡服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。

5) 利用網絡傳播病毒：通過網絡傳播計算機病毒，其破壞性大大高于單機系統，而且用戶很難防范。

3 校園網絡安全管理措施

3.1 物理安全

保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。應按計算機場地安全要求采取防火、防水、防塵、防震、防靜電等技術措施。采用穩壓電源，防止電壓波動；采用不間斷電源UPS，防止突然斷電引起設備損壞或數據丟失；采取電磁屏蔽及良好接地等手段，使系統中的設備既不因外界或其他設備的電磁干擾而影響其正常工作，也不因其自身的電磁輻射影響周圍其他設備的正常工作。

3.2 系統隔離與訪問控制

3.2.1 安全物理隔離

由于校園網絡的特殊性質，對校園網絡內網與校園網絡外網（接入INTERNET公網部分）之間完全物理隔離，對內部網絡中需要上因特網的用戶機器安裝物理隔離卡，保證內部網絡信息不受INTERNET公網用戶的攻擊。

3.2.2 劃分虛擬子網（VLAN）

根據不同用戶安全級別或者不同部門的安全訪問需求，可以利用三層交換機來劃分虛擬子網（VLAN），因為三層交換機具有路由功能，在沒有配置路由的情況下，不同虛擬子網間是不能夠互相訪問。通過虛擬子網的劃分，既方便局域網絡的互聯，又能夠實現較粗略的訪問控制。

3.2.3 配備防火墻

防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制。并且防火墻可以實現單向或雙向控制、可以針對時間、流量進行訪問控制，過濾一些不安全服務。甚至通過透明應用代理，或以對高層應用協議進行較細粒的訪問控制和過濾。同時利用防火墻網絡地址轉換功能，可以隱藏內部網的網絡結構，以及解決可用的合法IP不足等問題。防火墻做為內部網絡安全的屏障，其主要目標是保護內部網絡資源，強化網絡安全策略；防止內部信息泄露和外部入侵；提供對網絡資源的訪問控制；提供對網絡活動的審計、監督等功能。

3.3 網絡系統的安全策略

要選用安全性較高的操作系統和硬件平臺，并進行必要的安全配置，盡量不要開放一些沒有經常用的協議及協議端口號。如文件服務、電子郵件服務器等應用系統，可以關閉服務器上如HTTP、FTP、TELNET、RLOGIN等服務。應加強登錄身份認證(特別是在到達服務器主機之前的認證)，加強口令字的使用（增加口令復雜程度、不要使用與用戶身份有關的、容易猜測的信息作為口令），嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內，尤其對一些保存有用戶信息及其口令的關鍵文件使用權限要進行嚴格限制，確保用戶的合法性。充分利用操作系統和應用系統本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據。同時還要及時升級各種已經發布的升級補丁程序，減少因為升級過程周期長而帶來攻擊事件的發生。

3.4 網絡防病毒策略

網絡環境下，計算機病毒傳播速度快得驚人，有著不可估量的威脅性和破壞力。因此計算機病毒的防范也是網絡安全建設中必須考慮的重要的環節之一。首先要增強防病毒觀念，在思想上重視計算機病毒可能會給計算機安全運行帶來的危害；其次要提高網絡安全意識，碰到不明來信或連接要求帳號數據時應保持警覺，不任意下載不明的外掛程序，以免病毒、蠕蟲、間諜或木馬程序隱藏其中。同時要及時觀察和發現異常情況，不使病毒傳染到整個磁盤，傳染到相鄰的計算機，也是防病毒的一個有力措施。最后是安裝可靠的網絡防病毒軟件系統，提供全面的計算機病毒掃描和清除功能。網絡管理員或者使用者必須及時通過網絡或者其它方式對防病毒系統進行更新、升級，以便防病毒系統能夠查殺各種最新的病毒。

3.5 安全管理

建立和實施嚴密的網絡機房計算機安全管理制度與策略是真正實現網絡安全的基礎。網絡安全管理應按照多人負責原則、任期有限原則和職責分離原則，和系統處理數據的保密性，制訂相應的管理制度或采用相應的規范。包括：確定該系統的安全等級和安全管理的范圍；制訂相應的機房出入管理制度和嚴格的操作規程；制訂完備的系統維護制度和應急措施等。

4 結束語

網絡安全是一個動態發展的過程，隨著計算機網絡技術的蓬勃發展，新技術層出不窮，不可避免地出現新的安全威脅。我們除了采取物理隔離、應用網絡防病毒系統等方式防止信息泄露，實現不同網絡或不信任域之間的隔離外，還要建立完善的安全管理機構及安全管理制度，強化安全管理，提高全體人員的網絡安全意識和防范技術，將網絡安全風險降到最低。

參考文獻：

[1] 蔣建春， 楊凡， 文偉平， 鄭生琳. 計算機網絡信息安全理論與實踐教程[M]. 西安電子科技大學出版社，2001.1.

[2] 呂鐵軍， 王洪慧， 史國良. 計算機網絡安全的幾點策略[J]. 產業與科技論壇， 2007(6):3.