淺談校園網(wǎng)網(wǎng)絡(luò)安全面臨的威脅及其防范措施

扈志峰

摘要：網(wǎng)絡(luò)技術(shù)的普及，使校園網(wǎng)給我們帶來了網(wǎng)絡(luò)通信、資源共享和辦公自動(dòng)化等方便快捷的工作條件。但由于校園網(wǎng)具有開放性、分布性等特征，任何人都可以通過計(jì)算機(jī)訪問校園網(wǎng)絡(luò)，這就可能出現(xiàn)有人攻擊網(wǎng)絡(luò)、破壞網(wǎng)絡(luò)、傳播計(jì)算機(jī)病毒，竊取保密信息等安全威脅，這使得網(wǎng)絡(luò)安全顯得尤為重要。本文提出了一些校園網(wǎng)網(wǎng)絡(luò)安全性所面臨的威脅，并提出了一些防范措施。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)威脅；防范技術(shù)

1前言

隨著近年來信息技術(shù)的迅猛發(fā)展，一個(gè)高速高效、資源豐富、應(yīng)用廣泛的校園網(wǎng)已經(jīng)成為院校正常教學(xué)、科研、管理工作中的一個(gè)必不可少的組成部分。校園網(wǎng)是利用現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)等為基礎(chǔ)建立起來的主要應(yīng)用于學(xué)校內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)，它主要支持全校各部門的辦公教學(xué)活動(dòng)，把分散于學(xué)校內(nèi)部的各獨(dú)立用戶聯(lián)結(jié)起來，實(shí)現(xiàn)內(nèi)部的互聯(lián)互通，而且也可以實(shí)現(xiàn)校內(nèi)用戶與校外Internet網(wǎng)的互通。

然而，隨著越來越多的校園網(wǎng)投入運(yùn)行和接入Internet，作為開放網(wǎng)絡(luò)的組成部分，校園網(wǎng)也面臨著病毒泛濫、非法攻擊、未授權(quán)訪問、盜用網(wǎng)絡(luò)資源、內(nèi)部信息非法竊取等一系列安全問題。下面我們就校園網(wǎng)網(wǎng)絡(luò)安全面臨的各種威脅及其防范措施進(jìn)行探討。

2校園網(wǎng)網(wǎng)絡(luò)安全面臨的威脅

2.1網(wǎng)絡(luò)物理安全面臨的威脅

網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，它主要體現(xiàn)在對(duì)網(wǎng)絡(luò)硬件設(shè)備的破壞，這也是目前校園網(wǎng)中比較常見的一種安全威脅。主要表現(xiàn)有以下幾點(diǎn)：

（1）自然環(huán)境事故對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)造成的毀滅，如：地震，火災(zāi)，水災(zāi)等；

（2）無意識(shí)人為原因造成校園網(wǎng)網(wǎng)絡(luò)線路的破壞，如：施工不慎挖斷線纜、室內(nèi)裝修剪斷線路等；

（3）人為故意造成校園網(wǎng)網(wǎng)絡(luò)設(shè)備的破壞，如：設(shè)備被盜，被毀等。

2.2應(yīng)用程序的安全漏洞帶來的威脅

應(yīng)用程序的安全涉及很多方面。應(yīng)用程序系統(tǒng)是動(dòng)態(tài)的、不斷變化的，安全性也是動(dòng)態(tài)的。

2.2.1 病毒程序和木馬程序的危害

由于校園網(wǎng)接入的計(jì)算機(jī)數(shù)量很大，計(jì)算機(jī)普遍采用 windows 作為操作系統(tǒng)，而目前各種計(jì)算機(jī)病毒大多數(shù)都是針對(duì) windows操作系統(tǒng)的，網(wǎng)絡(luò)又是病毒傳播的最好、最快的途徑之一，病毒程序可以通過網(wǎng)上下載、電子郵件、盜版光盤或軟盤等傳播途徑潛入校園網(wǎng)。因此，病毒的危害是不可輕視的。校園網(wǎng)中一旦有一臺(tái)計(jì)算機(jī)受病毒感染，病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到校園網(wǎng)上的所有計(jì)算機(jī)，可能造成信息泄漏、文件丟失、破壞數(shù)據(jù)、毀損硬件、阻塞網(wǎng)絡(luò)，甚至造成整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)傳輸中斷和系統(tǒng)癱瘓。

現(xiàn)在的木馬程序已經(jīng)超過了一般病毒的危害性，在網(wǎng)絡(luò)環(huán)境中，特別是對(duì)那些沒有防備的計(jì)算機(jī)用戶很容易被入侵者種下木馬程序。計(jì)算機(jī)用戶一旦被木馬控制，其計(jì)算機(jī)內(nèi)以及與之相連的計(jì)算機(jī)中的重要信息都會(huì)被竊取，甚至被破壞。這給我們的工作，學(xué)習(xí)和生活帶來了一些不必要的麻煩。

2.2.2資源共享的問題

校園網(wǎng)內(nèi)部有辦公自動(dòng)化系統(tǒng)，而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，缺少必要的訪問控制策略，我們就可能有意、無意的把硬盤中重要信息長期暴露在網(wǎng)絡(luò)上，從而被輕易竊取并傳播出去造成泄密。特別是校園網(wǎng)上的共享磁盤，不同的用戶出于工作的方便性，把一些資料和信息放到了共享磁盤上，提供給需要者。但是共享磁盤的特點(diǎn)是大家共同享有，別有用心的人完全可以在需要者拿走這些資料和信息之前，截走這些資料和信息。

2.3對(duì)應(yīng)用服務(wù)器的惡意攻擊

針對(duì)校園網(wǎng)應(yīng)用服務(wù)器的網(wǎng)絡(luò)攻擊，往往具有影響范圍廣、損失大、后續(xù)處理難度高的特點(diǎn)，是目前校園網(wǎng)管理員最關(guān)注的安全問題。校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是DNS服務(wù)器、Web應(yīng)用服務(wù)器和郵件服務(wù)器。

Web應(yīng)用服務(wù)器自身具有很多脆弱性，如Web服務(wù)軟件自身存在安全問題，Web應(yīng)用程序安全性較差，比較典型的是目前應(yīng)用很廣的CGI程序和ASP、PHP腳本等都具有嚴(yán)重的安全漏洞，而系統(tǒng)管理員由于種種因素限制，很難做出全面的處理，因此，極易受到惡意用戶的攻擊。

DNS服務(wù)器因其使用UDP協(xié)議，因而較易受到惡意用戶的攻擊，目前針對(duì)DNS服務(wù)器的攻擊主要有兩類：一類是緩存區(qū)中毒，主要是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的DNS信息，一旦成功，攻擊者可以使發(fā)向合法站點(diǎn)的傳輸流改變方向，使其轉(zhuǎn)向攻擊者指定的站點(diǎn)。另一類是域劫持，攻擊者利用用戶升級(jí)自己的域注冊(cè)信息時(shí)所使用的不安全機(jī)制接管域注冊(cè)過程以控制合法的域。

惡意用戶利用校園網(wǎng)內(nèi)郵件服務(wù)器系統(tǒng)的缺陷，例如缺乏有效的郵件過濾機(jī)制和郵件轉(zhuǎn)發(fā)限制機(jī)制，對(duì)郵件服務(wù)器進(jìn)行攻擊。目前常見的攻擊有兩類：一類是中繼利用，即遠(yuǎn)程主機(jī)通過被攻擊郵件服務(wù)器向外發(fā)送郵件。另一類是垃圾郵件，也稱郵件炸彈，通過大量發(fā)送垃圾郵件，造成郵件服務(wù)器阻塞，增大校園網(wǎng)流量，甚至系統(tǒng)崩潰，同時(shí)還會(huì)給校園網(wǎng)帶來經(jīng)濟(jì)上和名譽(yù)上的損失。

2.4來自互聯(lián)網(wǎng)的安全威脅

校園網(wǎng)是與Internet互連的。由于Internet的開放性、國際性與自由性，校園網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果校園網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，校園網(wǎng)很容易遭到來自外網(wǎng)黑客的攻擊。如：黑客通過嗅探程序來探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放的TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序進(jìn)行攻擊；黑客通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息；黑客通過發(fā)送大量數(shù)據(jù)包對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù)甚至系統(tǒng)癱瘓。

3針對(duì)威脅的防范措施

3.1物理安全防護(hù)。

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。它主要包括兩個(gè)方面：

（1）對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；

（2）設(shè)備安全。設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等。

3.2 建立校園網(wǎng)集中式網(wǎng)絡(luò)防病毒系統(tǒng)。

早期的校園網(wǎng)用戶習(xí)慣于使用單機(jī)版防病毒系統(tǒng)，但是隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，病毒的危害和傳播已經(jīng)脫離了單機(jī)的模式，原有的單機(jī)版防病毒系統(tǒng)已經(jīng)不能適應(yīng)新的要求，最突出的表現(xiàn)就是，即便被證明是有效的單機(jī)版防病毒系統(tǒng)也僅能對(duì)本機(jī)進(jìn)行防殺，而無法阻止病毒在網(wǎng)絡(luò)上的傳播，一旦本機(jī)防病毒系統(tǒng)出現(xiàn)問題，將不能避免病毒的侵害。

目前，集中式防病毒系統(tǒng)是有效防殺校園網(wǎng)病毒的最有效措施之一，其具有防護(hù)范圍廣、病毒庫更新及時(shí)、系統(tǒng)穩(wěn)定、投資效益高等特點(diǎn)。在校園網(wǎng)中建立病毒防殺中心，既可以對(duì)校園網(wǎng)內(nèi)的聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行管理，進(jìn)行統(tǒng)一的病毒掃描和清除，而且可以對(duì)終端進(jìn)行自動(dòng)更新和病毒庫升級(jí)，及時(shí)對(duì)病毒防殺信息進(jìn)行公告，還可以對(duì)位于校園網(wǎng)外的特定聯(lián)網(wǎng)用戶提供在線殺毒功能，更重要的是，集中式防病毒系統(tǒng)可以提供電子郵件病毒網(wǎng)關(guān)，與電子郵件系統(tǒng)相結(jié)合，對(duì)郵件實(shí)施病毒過濾。

3.3構(gòu)建安全防火墻系統(tǒng)。

防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品，是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品。防火墻通過控制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)，管理進(jìn)、出網(wǎng)絡(luò)的訪問行為，封堵某些禁止行為，記錄通過防火墻的信息，對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測和告警。

網(wǎng)絡(luò)防火墻技術(shù)作為校園網(wǎng)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)。校園網(wǎng)防火墻的設(shè)置可以根據(jù)具體情況而定，在校園網(wǎng)總出口，需要設(shè)置高性能硬件防火墻，在校園網(wǎng)內(nèi)部各節(jié)點(diǎn)，可以根據(jù)實(shí)際情況靈活設(shè)置各種防火墻產(chǎn)品。通過周密的防火墻設(shè)置，可以按照服務(wù)功能將校園網(wǎng)劃分為多個(gè)安全區(qū)域和公共區(qū)域，結(jié)合制定相應(yīng)的防范策略，可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。

安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是校園網(wǎng)內(nèi)部還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

3.4加強(qiáng)對(duì)校園網(wǎng)的監(jiān)控和對(duì)用戶的管理。

在校園網(wǎng)出口處采用高性能硬件防火墻，可以有效地阻止大部分來自外網(wǎng)的網(wǎng)絡(luò)攻擊，然而，在校園網(wǎng)內(nèi)部，雖然在各節(jié)點(diǎn)仍有各種防火墻產(chǎn)品安裝，但來自內(nèi)網(wǎng)的攻擊仍有可能對(duì)校園網(wǎng)的正常工作造成極大的威脅。來自內(nèi)網(wǎng)的攻擊主要表現(xiàn)為網(wǎng)絡(luò)病毒和一些惡意用戶使用非法手段竊取用戶信息，實(shí)施危害活動(dòng)，前者可以通過建立校園網(wǎng)集中式網(wǎng)絡(luò)防病毒系統(tǒng)加以解決，后者除使用防火墻技術(shù)以外，還需校園網(wǎng)管理員加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理。

校園網(wǎng)管理員可以通過使用網(wǎng)絡(luò)管理系統(tǒng)對(duì)校園網(wǎng)內(nèi)部進(jìn)行安全管理、安全檢測、安全控制，需要建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)，建立詳細(xì)的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機(jī)登錄日志、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動(dòng)日志等，并定時(shí)對(duì)其進(jìn)行審查分析，一方面可以及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故，另一方面可以便于查找網(wǎng)絡(luò)安全事故的原因及事故的責(zé)任人。

3.5規(guī)定相關(guān)制度，增強(qiáng)防范意識(shí)。

應(yīng)制定有關(guān)規(guī)章制度，確定安全管理等級(jí)和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)章制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等；構(gòu)建安全管理平臺(tái)，組成安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件，實(shí)現(xiàn)校園網(wǎng)的安全管理；應(yīng)該經(jīng)常對(duì)工作人員進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)的培訓(xùn)，提高他們的網(wǎng)絡(luò)安全防范意識(shí)。

4結(jié)束語

通過對(duì)校園網(wǎng)安全的分析，我們提出了相應(yīng)的防范措施，相信采用了這些防范措施，校園網(wǎng)絡(luò)安全將得到保障。但是隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，新的技術(shù)將不斷出現(xiàn)，很快都會(huì)被應(yīng)用到計(jì)算機(jī)系統(tǒng)，而且網(wǎng)絡(luò)安全問題是一個(gè)不斷碰到新問題和解決問題的過程，校園網(wǎng)將不斷面臨跟多的新的安全問題，我們必須時(shí)刻關(guān)注最新的網(wǎng)絡(luò)安全發(fā)展動(dòng)態(tài)，采用最新的技術(shù)，這樣才能保證校園網(wǎng)絡(luò)安全運(yùn)行。

參考文獻(xiàn)：

[1]查貴庭，彭其軍，羅國富.校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建[J].計(jì)算機(jī)應(yīng)用研究,2005(03).

[2]杜欣明,鄭明璽.論中國的信息安全建設(shè)[J].現(xiàn)代情報(bào),2005(7):29.

[3]肖德寶.計(jì)算機(jī)網(wǎng)絡(luò).華中科技大學(xué)出版社,2002,2(1).

[4]喬亞麗.淺談校園網(wǎng)建設(shè)規(guī)劃[J].山西科技.2006(01).

[5]雷崢嶸，吳為春.校園網(wǎng)的安全問題及策略[J].廣州大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2001(11).