淺談高校校園網(wǎng)的安全現(xiàn)狀及其對策

摘要:本文針對目前高校校園網(wǎng)面臨的各種安全問題，從網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全技術(shù)兩個方面提出了相應(yīng)的對策。

關(guān)鍵詞:校園網(wǎng):安全現(xiàn)狀:對策

中圖分類號:TP393.18

文獻標識碼:B

文章編號:1002-2422(2010)06-0048-03

1 目前高校校園網(wǎng)面臨的安全問題

(1)硬件設(shè)備問題。校園網(wǎng)絡(luò)安全最基本的安全就是網(wǎng)絡(luò)系統(tǒng)設(shè)備本身的安全，即所謂物理安全。大多數(shù)學校在組網(wǎng)時，由于安全意識薄弱、經(jīng)費投入不足、技術(shù)等級低等原因，只是單純將原有的單機相互連接，不引用專門的網(wǎng)絡(luò)設(shè)施，這些硬件設(shè)備的缺位給校園網(wǎng)絡(luò)埋下隱患。比如機房設(shè)計不合理，溫度、濕度不適應(yīng)，無抗靜電、抗磁干擾等設(shè)施，沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等。

(2)校園網(wǎng)主要的用戶群體是教師和學生，而學生是一群好奇心強，技術(shù)相對較高，而心理又不完全成熟的群體。學生會因為好奇或惡作劇而做出一些危害網(wǎng)絡(luò)正常運營的行為。比如:侵入他人機器、盜用他人賬號、非法獲取未授權(quán)的文件、通過郵件等方式進行騷擾和人身攻擊等。這充分表明在校園網(wǎng)上的用戶沒有采取相應(yīng)的安全措施，隨意處理存放個人信息，作為管理員來說也沒有對重要的信息進行安全管理;另外，大多高校沒有制定出相對完善而嚴格的網(wǎng)絡(luò)安全制度及相應(yīng)的防范措施，也是導致網(wǎng)絡(luò)安全問題泛濫的一個重要原因。

(3)計算機病毒猖獗。計算機病毒就是指通過某種手段潛伏在計算機存儲介質(zhì)或程序里，一旦條件被滿足時，就能夠被激活，具有對計算機資源進行破壞作用的一組計算機指令或者程序代碼。計算機病毒主要是通過復制文件、傳送文件、運行程序等操作傳播，在日常的使用中，軟盤、硬盤、光盤和網(wǎng)絡(luò)是傳播病毒的主要途經(jīng)。計算機病毒影響計算機系統(tǒng)的正常運行，破壞系統(tǒng)軟件、文件系統(tǒng)和網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)效率急劇下降，輕則造成計算機和網(wǎng)絡(luò)系統(tǒng)的癱瘓，重則全部文件損毀、數(shù)據(jù)丟失等。

(4)垃圾郵件泛濫成災(zāi)。各種廣告、不良文化、病毒等以垃圾郵件的形式涌入校園網(wǎng)。造成郵件病毒的傳播，嚴重污染了校園文化并影響了學生的身心健康，而且還占用大量帶寬和存儲資源，有的還利用校園網(wǎng)內(nèi)無人管理的服務(wù)器作為中轉(zhuǎn)，嚴重影響著學校的聲譽。

(5)入網(wǎng)用戶的終端系統(tǒng)漏洞層出不窮。入侵者攻擊校園網(wǎng)主要是利用軟件或攻擊代碼對網(wǎng)絡(luò)軟件或硬件自身的安全漏洞加以攻擊，獲得相應(yīng)權(quán)限后，非法獲取目標主機的資源，也可能在控制目標主機后，以其為跳板，對其他計算機或網(wǎng)絡(luò)實施攻擊和非法訪問并隱藏其真實身份。終端系統(tǒng)漏洞主要表現(xiàn)在:

①終端違規(guī)操作。終端用戶在上網(wǎng)，安全意識淡溥，出現(xiàn)諸如下列問題:不遵守規(guī)定安裝使用軟件;隨意使用外圍設(shè)備和端口，如U盤等;提供不安全的文件傳輸或網(wǎng)絡(luò)共享服務(wù);隨意打印文件等:

②終端系統(tǒng)的軟硬件漏洞。校園網(wǎng)是一個由多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的復雜網(wǎng)絡(luò)環(huán)境，校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)都存在難以避免的安全漏洞。如果用戶在上網(wǎng)時自己沒有及時安裝補丁和桌面防火墻，由于網(wǎng)絡(luò)規(guī)模日益龐大，網(wǎng)管人員難以為每臺終端及時安裝補丁，就會造成以下的安全隱患，如系統(tǒng)沒有及時打補丁，易遭受攻擊，并導致病毒、木馬、蠕蟲的植入，引發(fā)系統(tǒng)性能下降;在系統(tǒng)接近崩潰，管理人員仍未意識到。

(6)上網(wǎng)賬號、IP地址或MAC地址等個人上網(wǎng)信息被盜用。上網(wǎng)賬號、IP地址或MAC地址等個人信息的盜用就是上網(wǎng)用戶利用各種軟件盜取合法用戶的個人信息，如上網(wǎng)帳號、MAC地址等。然后以獲取的個人信息來上網(wǎng)，導致合法用戶無法正常上網(wǎng)。

2 保障高校校園網(wǎng)的主要安全對策

(1)采取多種措施來完成硬件設(shè)備的安全維護。校園網(wǎng)中的硬件設(shè)備主要有PC機和網(wǎng)絡(luò)設(shè)備等組成，而這些設(shè)備自身都存在著這樣或那樣的漏洞，因此要加強其日常的安全維護。一般來說硬件設(shè)備的日常安全維護主要從以下幾個方面來進行:一是設(shè)備的日常維護，由于任何一種硬件設(shè)備都可能會出故障，這就要求在最初設(shè)計與規(guī)劃校園網(wǎng)時必須考慮到網(wǎng)絡(luò)的容錯能力。如設(shè)備的防火防盜、防水防火等事故，同時還必須給重要設(shè)備提供一個良好的工作環(huán)境，如溫度、濕度、潔凈度、接地、電壓等，并盡量集中管理。二是要考慮上網(wǎng)用戶的不規(guī)范操作引起的人為損害。就需要網(wǎng)絡(luò)管理員制定出各種操作說明文檔，并建立完備的安全管理制度，并采用相應(yīng)的安全技術(shù)措施來鑒別上網(wǎng)用戶的身份，同時控制其在網(wǎng)上的操作權(quán)限。三是網(wǎng)絡(luò)管理員要定期檢查設(shè)備的運行狀況，建立設(shè)備的維護日志，還要在服務(wù)器上定期備份設(shè)備的配置文件和日志文件等重要資料。

(2)采取多種措施和渠道提醒校園網(wǎng)用戶及時升級軟硬件漏洞及補丁。校園網(wǎng)是一個由多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的復雜網(wǎng)絡(luò)環(huán)境。校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)都存在各種各樣的安全漏洞。而這些漏洞可能會成為黑客攻擊系統(tǒng)的一個突破口或跳板，所以為了加強校園網(wǎng)上的各類信息的安全，必須做好校園網(wǎng)系統(tǒng)中各終端系統(tǒng)的軟硬件漏洞及補丁管理。網(wǎng)絡(luò)管理員可建立校園網(wǎng)絡(luò)信息安全服務(wù)網(wǎng)站、發(fā)布計算機系統(tǒng)安全漏洞公告、分發(fā)安全補丁并提供WSUS服務(wù)等措施要求上網(wǎng)用戶必須下載補丁，否則遠程斷網(wǎng)或加入黑名單等方式來進行安全控制。

(3)采用防病毒技術(shù)，完成校園網(wǎng)計算機病毒的查殺和隔離。計算機病毒的破壞形式已不單是刪除本機的數(shù)據(jù)，還可能會使機器向網(wǎng)絡(luò)上發(fā)大量的垃圾包，堵塞網(wǎng)絡(luò)帶寬，造成校園網(wǎng)交換機的死機、網(wǎng)絡(luò)的癱瘓等網(wǎng)絡(luò)故障。因此防范計算機病毒是校園網(wǎng)網(wǎng)絡(luò)安全工作的重要環(huán)節(jié)。為了實現(xiàn)在整個校園網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，應(yīng)采用相應(yīng)的防病毒手段，同時為了方便實施和管理整個校園網(wǎng)的防病毒體系，可選取支持遠程安裝、集中管理、分布查殺、病毒隔離等功能的殺毒防毒軟件。基本思路是在校園網(wǎng)網(wǎng)絡(luò)中心的服務(wù)器上安裝網(wǎng)絡(luò)版的防毒軟件，實現(xiàn)對所有入網(wǎng)客戶端進行病毒庫更新、定時在線查殺等功能。確保所有客戶端即使在沒有接入internet情況下也能夠?qū)崿F(xiàn)本機文件的定期在線查殺，從而大大提高整個校園網(wǎng)的防病毒能力。

(4)采用防火墻技術(shù)和入侵檢測技術(shù)的聯(lián)動，來實現(xiàn)校園網(wǎng)內(nèi)外網(wǎng)絡(luò)安全隔離與實時檢測。在校園網(wǎng)的內(nèi)外網(wǎng)邊界位置設(shè)置防火墻，并啟動相應(yīng)的安全規(guī)則來保護校園網(wǎng)免受外部網(wǎng)絡(luò)的干擾，這樣對所有進入校園網(wǎng)的數(shù)據(jù)包按照安全檢測并過濾，可以有效地阻止來自外來的計算機病毒進入校園網(wǎng)，同時還可以攔截外網(wǎng)的黑客攻擊。入侵檢測，是對入侵行為的一種發(fā)覺，是變被動為主動的安全防護技術(shù)。在不影響網(wǎng)絡(luò)性能的情況下通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息，并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。使網(wǎng)絡(luò)在遭受到危害之前便立即作出攔截、報警等反應(yīng)。一般來說，防火墻能夠?qū)CL中所定義的網(wǎng)絡(luò)攻擊阻擋于網(wǎng)絡(luò)外面。IDS還能對一些非預知的攻擊進行識別并做出反應(yīng)。將IDS與防火墻進行聯(lián)動，能更有效地扼制攻擊事件的發(fā)生，把網(wǎng)絡(luò)隱患降至較低程度。

(5)采用身份認證和權(quán)限管理等訪問控制技術(shù)，來嚴格規(guī)范上網(wǎng)場所的管理，從而保護校園網(wǎng)絡(luò)的重要資源。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要核心策略，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制規(guī)定了主體對客體訪問的限制，并在身份識別的基礎(chǔ)上，根據(jù)身份對提出資源訪問的請求加以控制。訪問控制技術(shù)一般是在操作系統(tǒng)的控制下，按照事先確定的規(guī)則對訪問的全過程進行有效的控制，決定是否允許訪問校園網(wǎng)絡(luò)，只有合法用戶的授權(quán)操作才能被放行。訪問控制技術(shù)涉及的策略主要包括身份認證、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制以及網(wǎng)絡(luò)端口和節(jié)點的安全控制等。其中身份認證是指用戶向系統(tǒng)出示自己身份證明的過程，主要使用約定口令、智能卡和用戶指紋、視網(wǎng)膜和聲音等生理特征。通過身份認證來鑒別一個用戶的合法性，防止非法用戶對網(wǎng)絡(luò)資源進行訪問。是對信息系統(tǒng)資源進行保護的重要措施，也是計算機系統(tǒng)最重要和最基礎(chǔ)的安全機制。

(6)采用虛擬局域網(wǎng)技術(shù)VLAN，隔離不同需求用戶。將高校網(wǎng)絡(luò)系統(tǒng)中的用戶劃分為各個不同的VLAN，是提高高校網(wǎng)絡(luò)安全的重要措施。通過劃分VLAN，可以根據(jù)學校各部門、實驗室的不同職能將校園網(wǎng)從邏輯上劃分成一個個子網(wǎng)，并把各部門或?qū)嶒炇矣行У馗綦x開，從而有效地防止校園網(wǎng)內(nèi)網(wǎng)上廣播風暴的產(chǎn)生。強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播，使不同VLAN的用戶相互間不能訪問，從而提高校園網(wǎng)絡(luò)的安全性和帶寬的利用率，每個子網(wǎng)之間通過設(shè)置具體的訪問控制列表，允許或限制某一方向的訪問，這樣可以有效地保護各個子網(wǎng)。同時，對學校內(nèi)使用靜態(tài)IP地址上網(wǎng)的機器進行IP地址和MAC地址的綁定，還可以解決校園網(wǎng)內(nèi)lP地址/MAC地址盜用的問題。

(7)采用數(shù)據(jù)備份與災(zāi)難恢復技術(shù)，確保校園網(wǎng)重要數(shù)據(jù)的安全。校園網(wǎng)系統(tǒng)中程序和數(shù)據(jù)的備份至關(guān)重要。由于在校園網(wǎng)中可能會因為軟硬件故障、病毒破壞、黑客入侵、自然災(zāi)害等因素導致網(wǎng)絡(luò)中重要數(shù)據(jù)的丟失或損壞，而影響著校園網(wǎng)的正常運行。必須要對校園網(wǎng)中的重要數(shù)據(jù)進行定期定時備份，必要時還可采取遠程備份或異地備份，同時還要根據(jù)數(shù)據(jù)的安全等級制定出相應(yīng)的備份策略、備份計劃，以便在系統(tǒng)出現(xiàn)問題時能迅速地采取預定的應(yīng)急預案快速地恢復系統(tǒng)與數(shù)據(jù)，盡可能地將損失降到最低。

(8)采用虛擬專用網(wǎng)技術(shù)，建立安全傳輸通道。虛擬專用網(wǎng)(Virtual PrivateNetwork，VPN)是建立在公用網(wǎng)上的、由某一組織或某一群用戶專用的通信網(wǎng)絡(luò)。VPN利用公用網(wǎng)的通信線路來保證網(wǎng)絡(luò)的互聯(lián)互通，利用隧道、加密和認證等技術(shù)來保證信息在公用網(wǎng)內(nèi)安全傳輸，其建設(shè)周期、投入資金和維護費用遠遠低于租用專線方式。VPN之外的用戶無法訪問VPN內(nèi)部的網(wǎng)絡(luò)資源，VPN內(nèi)部用戶之間可以實現(xiàn)安全通信。目前，VPN主要采用四項技術(shù)來保證數(shù)據(jù)的安全傳輸，分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)。

3 結(jié)束語

構(gòu)建相應(yīng)安全的高校校園網(wǎng)絡(luò)體系不僅要用到各種網(wǎng)絡(luò)安全技術(shù)，還需要從用戶和管理人員的安全意識提高、管理水平和安全管理制度等方面多管齊下。只有這樣，才有可能提高高校校園網(wǎng)的網(wǎng)絡(luò)安全。

參考文獻

[1]吳小東.淺談校園網(wǎng)安全問題及防范策略[J].福州:福建電腦，2007(2):71-73.

[2]雷震甲.網(wǎng)絡(luò)工程師教程[J].北京:清華大學出版社，2006.

[3]李秋雁，金志剛.校園網(wǎng)絡(luò)安全策略[J].康山:華北煤炭醫(yī)學院學報，2007，9(1):122-125.

[4]李宗峰.校園網(wǎng)絡(luò)安全問題及對策研究[J].北京:網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009(11):66-73.

[5]鄒縣芳.高校校園網(wǎng)絡(luò)安全問題及策略研究[J].阜陽:阜陽師范學院學報(自然科學版)，2010(6):87-90.