校園網(wǎng)網(wǎng)絡(luò)安全問題及對策探討

摘要:該文通過對互聯(lián)網(wǎng)信息安全的定義、組成、目標(biāo)等分析，介紹了校園網(wǎng)安全管理的特點和常見的威脅，提出網(wǎng)絡(luò)安全防范的重要性，并結(jié)合筆者工作實際經(jīng)驗，提出了相應(yīng)的防范策略，策略對提高網(wǎng)絡(luò)信息安全具有一定的作用。

關(guān)鍵詞:校園網(wǎng)絡(luò);信息安全;防范策略

中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2009)24-6631-02

1 概述

網(wǎng)絡(luò)信息安全是指保護信息財產(chǎn)，防止信息被非授權(quán)地訪問、使用、泄露、分解、修改和毀壞，以求保證信息的保密性、完整性、可用性和可追責(zé)性，使信息保障能正確實施、信息系統(tǒng)能如意運行、信息服務(wù)能滿足要求。隨著計算機技術(shù)和通信技術(shù)的發(fā)展，認(rèn)清信息系統(tǒng)的脆弱性和潛在威脅，采取必要的安全策略，對于保障信息系統(tǒng)的安全性將十分重要。同時進行信息系統(tǒng)安全防范，不斷追蹤新技術(shù)的應(yīng)用情況，及時升級、完善自身的防御措施[1-2]。

1.1 網(wǎng)絡(luò)安全的基本組成

從內(nèi)容上看，網(wǎng)絡(luò)安全大致包括四個方面:

1) 網(wǎng)絡(luò)實體安全:如計算機的物理條件、物理環(huán)境及設(shè)施的安全標(biāo)準(zhǔn)，計算機硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等。

2) 軟件安全:如保護網(wǎng)絡(luò)系統(tǒng)不被非法侵入，系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改、不受病毒的侵害等。

3) 網(wǎng)絡(luò)中的數(shù)據(jù)安全:如保護網(wǎng)絡(luò)信息的數(shù)據(jù)安全，不被非法存取，保護其完整、一致等。

4) 網(wǎng)絡(luò)安全管理:如運行時突發(fā)事件的安全處理等，包括采取計算機安全技術(shù)，建立安全管理制度，開展安全審計，進行風(fēng)險分析等內(nèi)容。

1.2 網(wǎng)絡(luò)信息安全的目標(biāo)

1) 完整性:完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網(wǎng)絡(luò)信息安全進行攻擊的最終目的就是破壞信息的完整性。

2) 可用性:可用性是指合法用戶訪問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息。

3) 可控性:可控性是指授權(quán)機構(gòu)對信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

4) 保密性:保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權(quán)個人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。保密性是在可靠性和可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段。

5) 可審查性:在信息交流過程結(jié)束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認(rèn)曾經(jīng)接收到對方的信息。

2 校園網(wǎng)安全管理的特點及常見威脅[3-4]

2.1 校園網(wǎng)安全管理的特點

校園網(wǎng)是學(xué)校發(fā)展的重要基礎(chǔ)設(shè)施，它不僅為學(xué)校提供各種本地網(wǎng)絡(luò)應(yīng)用，同時也是溝通學(xué)校校園網(wǎng)內(nèi)外部網(wǎng)絡(luò)的橋梁。筆者根據(jù)自身校園情況，認(rèn)為當(dāng)前校園網(wǎng)有以下特點:

1) 操作方便，易于管理:校園網(wǎng)接入復(fù)雜而且面積較大，網(wǎng)絡(luò)維護需要方便快捷，設(shè)備網(wǎng)管性強，從而方便網(wǎng)絡(luò)故障的快速排除。

2) 認(rèn)證計費:校園網(wǎng)對學(xué)生上網(wǎng)必須進行有效的控制和計費策略，以提高網(wǎng)絡(luò)的利用率。

3) 安全可靠:校園網(wǎng)中同樣有大量關(guān)于檔案管理和教學(xué)的重要數(shù)據(jù)，如果被破壞或竊取，對學(xué)校都將是一個很大的損失;

4) 校園信息結(jié)構(gòu)出現(xiàn)多樣化:校園網(wǎng)應(yīng)用分為辦公管理、電子教學(xué)和遠(yuǎn)程通訊等三大內(nèi)容。數(shù)據(jù)類型復(fù)雜，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求;

5) 高速的局域網(wǎng)連接:由于校園網(wǎng)的核心是面向自身校園師生的網(wǎng)絡(luò)，因此局域網(wǎng)是建設(shè)重點。網(wǎng)絡(luò)信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項重要要求。

2.2 校園網(wǎng)絡(luò)信息的主要威脅

網(wǎng)絡(luò)病毒是校園網(wǎng)絡(luò)信息的最主要威脅，它除了具有可傳播性、可執(zhí)行性、穩(wěn)蔽性、破壞性等計算機病毒的共性外，還具有一些新的特點:

1) 感染速度快:只要有一臺工作站中病毒，幾分鐘內(nèi)就可能將網(wǎng)上的數(shù)百臺計算機全部感染。

2) 擴散面廣:病毒在網(wǎng)絡(luò)中擴散速度快、擴散范圍大，不僅能迅速感染局域網(wǎng)內(nèi)的所有計算機，還能通過網(wǎng)絡(luò)將病毒在一瞬間傳播到千里之外。

3) 傳播形式復(fù)雜多樣、難于徹底清除:單機上的計算機病毒有時可通過刪除帶毒文件、低級格式化硬盤等措施將病毒徹底清除，而網(wǎng)絡(luò)中只要有一臺工作站未能消毒干凈就可使整個網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成清除工作的一臺工作站就有可能被網(wǎng)上另一臺帶毒工作站所感染。

4) 破壞性大:網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則導(dǎo)致網(wǎng)絡(luò)崩潰，服務(wù)器信息被破壞。

5) 潛在危險性大。校園網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被清除，其潛在的危險也是巨大的，大部分的網(wǎng)絡(luò)在病毒被清除后一個月內(nèi)會再次感染。

6) 黑客攻擊手段與病毒破壞技術(shù)相結(jié)合。病毒開始利用操作系統(tǒng)以及包括IE、outlook 、ICQ等常用網(wǎng)絡(luò)軟件的安全漏洞，進人機器內(nèi)部進行遠(yuǎn)程控制，造成數(shù)據(jù)外泄及系統(tǒng)破壞。

3 網(wǎng)絡(luò)安全的防范[5-7]

1) 網(wǎng)絡(luò)病毒的防范:在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的防病毒產(chǎn)品:一個由服務(wù)器端統(tǒng)一控制管理客戶端的全方位、多層次的防病毒軟件。針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒策略，并通過定期或不定期的升級，使網(wǎng)絡(luò)免受病毒的侵襲。

2) 防火墻技術(shù):防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。防火墻技術(shù)是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度，其主要目標(biāo)就是通過控制進、出一個網(wǎng)絡(luò)的權(quán)限，在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進行控制和審計，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問、干擾和破壞內(nèi)部網(wǎng)絡(luò)資源。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。在局域網(wǎng)網(wǎng)絡(luò)出口設(shè)置防火墻，并對防火墻制定安全策略，對一些不安全的端口和協(xié)議進行限制，使所有的服務(wù)器、工作站及網(wǎng)絡(luò)設(shè)備都在防火墻的保護之下，同時配置一臺日志服務(wù)器記錄、保存防火墻日志，詳細(xì)記錄了進、出網(wǎng)絡(luò)的活動，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源。

3) 入侵檢測系統(tǒng):入侵檢測系統(tǒng)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。入侵檢測屬于動態(tài)的安全技術(shù)，它能幫助系統(tǒng)主動應(yīng)對網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力，同時也提高了校園網(wǎng)信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能在不影響校園網(wǎng)絡(luò)性能的情況下能對校園網(wǎng)絡(luò)進行監(jiān)測，從而實現(xiàn)對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

4) 身份認(rèn)證:身份認(rèn)證是任何一個安全的計算機所必需的組成部分。身份認(rèn)證必須做到準(zhǔn)確無誤地將對方辨認(rèn)出來，同時還應(yīng)該提供雙向的認(rèn)證，即互相證明自己的身份，網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證比較復(fù)雜，因為驗證身份的雙方都是通過網(wǎng)絡(luò)而不是直接接觸的，傳統(tǒng)的指紋等手段已無法使用，同時大量的黑客隨時隨地都可能嘗試向網(wǎng)絡(luò)滲透，截獲合法用戶口令并冒名頂替，以合法身份入網(wǎng)，所以目前通常采用的是基于對稱密鑰加密或公開密鑰加密的方法，以及采用高科技手段的密碼技術(shù)進行身份驗證。

5) 漏洞掃描系統(tǒng):面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò) 安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

6) 訪問控制技術(shù):訪問控制根據(jù)用戶的身份賦予其相應(yīng)的權(quán)限，即按事先確定的規(guī)則決定主體對客體的訪問是否合法，當(dāng)一主體試圖非法使用一個未經(jīng)授權(quán)使用的客體時，該機制將拒絕這一企圖，其主要通過注冊口令、用戶分組控制、文件權(quán)限控制三個層次完成。此外，審計、日志、入侵偵察及報警等對保護網(wǎng)絡(luò)安全起一定的輔助作用，只有將上述各項技術(shù)很好地配合起來，才能為網(wǎng)絡(luò)建立一道安全的屏障。

7) IP盜用問題的解決:在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

8) 利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全:對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務(wù)器的審計文件提供備份。

4 結(jié)束語

本文所提到的校園網(wǎng)絡(luò)安全防范只是加強安全性的建議，并不是做到這些就可以保證萬無一失。認(rèn)清信息系統(tǒng)的脆弱性和潛在威脅，采取必要的安全策略，對于保障信息系統(tǒng)的安全性將十分重要，只有當(dāng)網(wǎng)絡(luò)中的使用者學(xué)會如何安全的使用網(wǎng)絡(luò)資源時，才能最終保證整個網(wǎng)絡(luò)的安全。總之，網(wǎng)絡(luò)安全是一個綜合性的課題，只有嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能完好、實時地保證信息的完整性和確證性，為校園網(wǎng)絡(luò)提供強大的安全服務(wù)。

參考文獻:

[1] 李衛(wèi).計算機網(wǎng)絡(luò)安全與管理[M].北京:清華大學(xué)出版社，2004.

[2] 李俊宇.信息安全技術(shù)基礎(chǔ)[M].北京:冶金工業(yè)出版社.2004.

[3] 哈利，賈建勛，譯.計算機病毒揭秘[M].北京:人民郵電出版社，2002.

[4] 程勝利，談冉，熊文龍，等.計算機病毒及其防治技術(shù)[M].北京:清華大學(xué)出版社，2004.

[5] 寧章.計算機及網(wǎng)絡(luò)安全與防護基礎(chǔ)[M].北京:北京航空航天大學(xué)出版社，1999.

[6] 段鋼.加密與解密[M].2版.北京:電子工業(yè)出版社，2004.

[7] 袁家政.計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社，2002.