淺析校網網安全問題及對策

摘要:隨著網絡技術的發(fā)展，校園網絡安全問題日益突出，該文簡要介紹了威脅網絡安全的因素以及相應的對策。

關鍵詞:校園網;安全;威脅;解決方案

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6640-03

On Campus Network Security Problems and Countermeasures

ZHOU Xi

(Hefei University of Technology， Hefei 230009， China)

Abstract: With the development of network technology，the problem of campus network security is becoming more and more serious.This article briefly introduces the facts that threatened network security and settling methods of campus network.

Key words: campus network; security; threat; solution

在最近幾年中，我們各高校校園網的網絡基礎設施得到了更新，也使我們的校園網規(guī)模得以擴大并覆蓋整個校園，校園網技術得到了升級，不斷部署各種校園網應用系統(tǒng)。通過科研需求、教學應用、網絡辦公、網上娛樂等方面，網絡應用逐漸滲透到了校園生活的方方面面。網上辦公，上網備課，網上教學，網上搜索、學習，接收郵件，網絡聊天，游戲娛樂，購物，校園用戶聯(lián)網的時間一天天延長。2008年教育部科技發(fā)展中心公布的相關數據顯示，99.1%的高校教學、科研、行政辦公已經全部聯(lián)入校園網，93.5%高校的教室已提供了校園網接入環(huán)境，85%的學校在學生宿舍已經接入網絡，今天校園網幾乎覆蓋了各高校的每個角落。

1 校園網絡安全方面存在的問題

1.1 網絡入侵

指具有熟練的編寫和調試計算機程序的技巧，并使用這些技巧來獲得非法或未授法的網絡或文件訪問，入侵進入他方內部網的行為。網絡入侵的目的主要是取得使用系統(tǒng)的存儲權限、寫權限以及訪問其他存儲內容的權限;或者是作為進一步進入其他系統(tǒng)的跳板;或者惡意破壞這個系統(tǒng)，使其毀壞而喪失服務能力。

1.2 后門和木馬程序

從最早計算機被入侵開始，黑客們就已經發(fā)展了“后門”這門技術，利用這門技術，他們可以再次進入系統(tǒng)。木馬，又稱為特洛伊木馬，是一類特殊的后門程序，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。

1.3 計算機病毒和蠕蟲

計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。與傳統(tǒng)的病毒不同，蠕蟲病毒以計算機為載體，利用操作系統(tǒng)和應用程序的漏洞主動進行攻擊，是一種通過網絡傳統(tǒng)的惡性病毒。它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特征，如不利用文件寄生(有的只存在于內存中)，對網絡造成拒絕服務，以及和黑客技術相結合等。在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網絡的發(fā)展使得蠕蟲可以在短短的時間內蔓延整個網絡，造成網絡癱瘓。

1.4 拒絕服務(DoS)

攻擊DoS是一種很簡單，但也是很有效的進攻方式，這種進攻方式沒有方法能夠阻止。它的目的就是拒絕服務訪問，破壞組織的正常運作，最終會使部分Internet連接和網絡系統(tǒng)失效。除此之外，還有針對www服務、ftp服務、tftp服務等的拒絕服務攻擊。拒絕服務攻擊由于其操作簡單、攻擊者易于隱藏、攻擊效果明顯等優(yōu)點，得到廣泛應用和快速發(fā)展，近年來又出現(xiàn)了分布式拒絕服務攻擊(DDoS)，從而大大提高了攻擊的效果。

1.5 對加密算法的攻擊

一般來說破譯者可對密碼進行惟密文攻擊、己知明文攻擊、選擇密文攻擊和選擇明文攻擊及窮舉攻擊。對特定算法還有特定攻擊方法，如對DES這類迭代分組密碼可選擇差分密碼分析、能量攻擊法。

1.6 端口掃描

端口掃描是一種獲取主機信息的方法。利用端口掃描程序掃描網絡上的一臺主機，可以從掃描的端口數目和端口號來判斷出目標主機運行的操作系統(tǒng)，結合其它掃描信息進而掌握一個局域網的構造。

1.7 對網絡協(xié)議TCP/IP弱點的攻擊

在最初設計TCP/IP各類協(xié)議時，由于假設網絡是安全的，沒有考慮網絡安全問題，網絡協(xié)議或缺乏認證機制或缺少數據保密性，因此可能被攻擊者加以利用而入侵網絡。

1.8 垃圾郵件

隨著網絡的快速發(fā)展，通過電子郵件進行的商品虛假宣傳等不法行為不僅損害了消費者的合法權益，浪費網民的寶貴時間，占用大量網絡資源，而且嚴重擾亂了市場經濟秩序，造成巨大經濟損失。

1.9 其它網絡安全隱患

主要表現(xiàn)有:搭線竊聽或線路干擾;身份截取或中繼攻擊;人為地破壞網絡設施造成網絡癱瘓等。

目前，如何保護好自己的信息不受侵犯及如何有效地預防他人非法入侵等一系列信息安全課題已經引起國內外有關人士的熱切注視，并且已經發(fā)展成為一個有相當規(guī)模的產業(yè)。

2 校園網絡安全對策

2.1 網絡規(guī)劃設計應合理

這里主要想針對網絡硬件的安全提出對策，防雷擊方面的措施。目前可以采用安裝網絡防雷系統(tǒng)。該系統(tǒng)分為電源防雷器和信號防雷器，分別保護網絡電源和網絡信號系統(tǒng)，安裝在需要保護設備的前端部位，可以將雷擊或雷擊感應的電流由此前端被釋放到地，并將過電壓限制在設備可以承受的范圍之內，從而起到保護網絡設備和網上設備的目的。

另一個問題是防止戶外光纖或其他網絡通信線纜被意外挖斷，主要的措施可以采取線纜深埋地下，并且在地面上做好相關的標記說明，同時在學校的建筑規(guī)劃圖紙上也作相應的標注。可以避免此類意外事件的發(fā)生。

2.2 及時更新系統(tǒng)，優(yōu)化系統(tǒng)配置

首先，針對目前主流網絡操作系統(tǒng)和網絡設備的系統(tǒng)漏洞，我們可以采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據檢查結果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。及時更新系統(tǒng)，如打上系統(tǒng)補丁、及時更新殺毒軟件。

其次，對每個網絡用戶設置相應的權限，并應用策略要求每個網絡用戶設置較為健壯的用戶口令。防止網絡用戶擁有過大的系統(tǒng)權利，造成入侵或過失操作。

再有，關閉不必要的網絡服務。原因很簡單，開放越多的網絡服務，就意味著更大的機會存在漏洞，更不安全。

2.3 合理配置互聯(lián)設備

首先，在Internet與校園網內網之間通常都要部署防火墻，以便在內外部網絡之間建立一道牢固的安全屏障。其中FTP、WWW、DNS、E-mail服務器安置在防火墻的DMZ區(qū)(即“非軍事區(qū)”，DMZ可以阻止內網和外部網絡直接通信，以確保內網安全)，與內、外部網絡間進行隔離，內網接口連接校園網內網交換機，外部網絡接口通過路由器和Internet連接。這樣一來，通過Internet進來的外部網絡用戶只能訪問到對外公開的一些服務(如FTP、WWW、DNS、E-mail等)，既可以保護內網資源不被外部網絡非授權用戶的非法訪問或破壞，也可以阻止內部用戶對外部網絡相關資源的使用，同時還能夠對發(fā)生在網絡中的安全事件進行跟蹤和審計。

其次，在防火墻設置上我們按照下面原則來配置以提高網絡安全性:

1) 根據校園網安全策略和目標，規(guī)劃設置合理的安全過濾規(guī)則，審核IP數據包的內容，包括協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自外部網絡的對校園內網的不必要的、非法的訪問。總原則是“不被允許的服務就是被禁止”。

2) 在防火墻上作配置，過濾掉以內部網絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發(fā)起的對外的攻擊。

3) 在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。

4) 定期查看防火墻訪問日志，以便及時發(fā)現(xiàn)攻擊行為和不良的上網記錄。

2.4 防范網絡病毒傳播，限制影響范圍

針對這個問題，可以從多個角度來采取不同的辦法解決。首先，現(xiàn)在有這么一種解決辦法，就是在校園網中安裝一個安全系統(tǒng)，這個安全系統(tǒng)對所有接入校園網的每一臺主機作一個安全身份認證和系統(tǒng)安全檢查，對有安全漏洞有機器，強制為其安裝補丁或更新病毒庫之后才允許接入網絡。目前國內方面有銳捷網絡公司開發(fā)的GSN系統(tǒng)，該系統(tǒng)集自動防御(自御)、自動修復(自愈)與自動學習(自育)三大功能于一體，從而使網絡安全防御體系從被動防御轉向主動防御、自動修復、自動學習的安全防御體系。

其次，可以利用VLAN技術，在學校的不同網段或不同的宿舍、辦公室劃分VLAN，實現(xiàn)隔離。這樣做的好處是隔離廣播范圍，即如果有局域網機器中了網絡病毒，也只是被限制在本網段之內，不至于擴散到整個網絡。

2.5 過濾站點或服務，保障網絡性能

校園網里面影響網絡性能的一個重要因素是存在大量下載，包括BT下載，或在線觀看視頻電影等。這些都會導致網絡性能下降。相應的解決辦法可以有:在網絡對外節(jié)點如防火墻或者路由器上作相應的設置，屏蔽諸如BT、P2P之類的數據流量通過;也可以在校園網絡中心設置以流量計費的方式，以控制學校網絡出口帶寬的數據流量，使得網絡出口帶寬負載適中，保證網絡通暢，網絡性能穩(wěn)定。

2.6 防范黑客入侵攻擊

由于內部用戶對網絡的結構和應用模式都比較了解，因此來自內部的安全威脅會更大一些。我們的安全防范措施也應該重視內部情況。目前常用的辦法有:部署IDS(入侵檢測系統(tǒng))。入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。強大的、完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。根據校園網絡的特點，我們采用各種入侵檢測系統(tǒng)，入侵檢測引擎可以接入到高檔的中心交換機上，對來自外部網和校園網內部的各種行為進行實時檢測。目前的入侵檢測系統(tǒng)多數集入侵檢測、網絡管理和網絡監(jiān)視功能于一身，能實時捕獲內外部網絡之間傳輸的所有數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法檢測網絡上發(fā)生的入侵行為和異常現(xiàn)象，并在數據庫中記錄有關事件，作為網絡管理員事后分析的依據;如果情況嚴重，IDS還可以發(fā)出實時報警，使學校管理員能夠及時采取應對措施。

3 結束語

該文針對校園網環(huán)境的實際情況，分析了校園網絡的安全威脅的若干因素，并提出了相應的對策;其中防火墻是目前安全技術使用最廣泛的技術，防火墻除了使用上面介紹的方案之外還可以使用其他技術加強校園網安全，同時還可以運用VLAN技術來加強內部網絡管理。總之，校園網絡的安全管理是全方位的，只有從規(guī)劃和日常管理等各個環(huán)節(jié)抓起.綜合利用各種網絡安全技術手段.才能有效地確保校園網絡安全、可靠、穩(wěn)定地運行。

參考文獻:

[1] 馬駿，周君儀.淺談校園網網絡安全及防范技術[J].廣西輕工業(yè)，2001.

[2] 單征.網絡黑洞攻擊與防范指南[M].北京:中國電力出版社，2006.

[3] http://www.rising.com.cn/network2006/network2006_case1.htm.

[4] 許榮生，吳海燕，畢學堯.網絡信息安全的關鍵技術[J].計算機世界，2000(18):C7-C9.

[5] 魏亮.網絡安全策略研究[J].電信網技術，2004(12):18-22.

[6] 袁保宗.互聯(lián)網及其應用[M].吉林:吉林大學出版社，2000.

[7] 李志民.基于活動目錄的訪問控制系統(tǒng)設計[J].中原工學院學報m2004，4.

[8] 薛菲，王曼珠.Windows Server 2003活動目錄從入門到精通[M].北京:電子工業(yè)出版社，2003.

[9] 陳功.校園網絡安全分析[J].達縣師范高等專科學校學報(自然科學版)，2006，3.

[10] 張弢，詹仕華.網絡安全策略的討論[J].福建電腦，2006(1).