校園網(wǎng)網(wǎng)絡安全分析及防范對策淺析

陳善為

寶雞文理學院教育科學與技術系 陜西 721016

0 引言

網(wǎng)絡信息化程度的提高，極大地促進了校園信息化建設的發(fā)展，校園網(wǎng)絡的合理使用不僅能促進現(xiàn)代校園的教學改革、提高科研質量、改善教學環(huán)境，同時通過相互之間的互聯(lián)互通，能極大的促進教育行業(yè)整體的工作效率和教育質量。但隨著網(wǎng)絡應用的深入，校園網(wǎng)所面臨的安全問題也日益嚴峻，影響著學校的教學、管理、科研活動，給校園網(wǎng)的安全和可運營性提出了新的要求，因此，在全面了解校園網(wǎng)的安全現(xiàn)狀基礎上，合理構建安全體系結構，改善網(wǎng)絡應用環(huán)境的工作迫在眉睫。

1 校園網(wǎng)網(wǎng)絡安全面臨的威脅

1.1 惡意病毒威脅

惡意病毒程序可以通過網(wǎng)上下載、電子郵件、盜版光盤或U盤，mp3、數(shù)碼相機等移動存儲設備等傳播途徑潛入校園網(wǎng)。可能造成信息泄露、文件丟失、破壞數(shù)據(jù)、毀損硬件、阻塞網(wǎng)絡，甚至造成整個校園網(wǎng)絡傳輸中斷和系統(tǒng)癱瘓。

1.2 資源共享的信息泄露

校園網(wǎng)絡主要承擔教學、科研、辦公任務，因此經(jīng)常要部署共享網(wǎng)絡資源，便于師生之間的資源共享，由于缺少必要的訪問控制策略和保密意識淡薄，就可能有意、無意的把重要信息，特別是科研成果長期暴露在網(wǎng)絡上，從而被輕易竊取并傳播出去造成泄密。

1.3 對應用服務器的惡意攻擊

校園網(wǎng)與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險。針對校園網(wǎng)應用服務器的網(wǎng)絡攻擊，往往具有影響范圍廣、損失大、后續(xù)處理難度高的特點，是目前校園網(wǎng)管理最關注的安全問題。校園網(wǎng)中較易受攻擊的應用服務器主要是DNS服務器、Web應用服務器和郵件服務器。內(nèi)外網(wǎng)惡意用戶可能利用一些工具對網(wǎng)絡及服務器發(fā)起DoS、DDoS攻擊，增大校園網(wǎng)流量，導致網(wǎng)絡及服務不可用，甚至系統(tǒng)崩潰，給校園網(wǎng)帶來經(jīng)濟和聲譽損失。

1.4 校園網(wǎng)內(nèi)部的攻擊

由于內(nèi)部用戶對網(wǎng)絡的結構和應用模式相對比較了解，很多學生，尤其是理工科學生對網(wǎng)絡新技術充滿好奇和實踐欲望，他們經(jīng)常有意無意的攻擊校園網(wǎng)系統(tǒng)，干擾校園網(wǎng)的安全運行。校園網(wǎng)與一般企業(yè)網(wǎng)不同的是，不僅要注意防止外部網(wǎng)絡對校園網(wǎng)的攻擊，還要注意防范校園網(wǎng)內(nèi)部的黑客攻擊。

1.5 校園網(wǎng)安全管理缺陷

校園網(wǎng)的用戶群體一般也比較大，少則數(shù)千人、多則數(shù)萬人，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計算機應用的大范圍普及，接入校園網(wǎng)節(jié)點日漸增多，學生通過網(wǎng)絡在線看電影、聽音樂，很容易造成網(wǎng)絡堵塞和病毒傳播。而這些節(jié)點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、網(wǎng)絡被攻擊、系統(tǒng)癱瘓等嚴重后果。

2 校園網(wǎng)絡防范措施

針對校園網(wǎng)面臨的主要的安全威脅，一個具有高安全性的校園網(wǎng)應該需要從以下幾個方面進行綜合防范。

2.1 建立涵蓋校園網(wǎng)絡的病毒防御體系

未來網(wǎng)絡威脅的特征是：病毒傳播的速度越來越快、從發(fā)現(xiàn)漏洞到利用漏洞進行攻擊之間的間隔越來越短。最有效的病毒防范就是主動預防，即部署整體的網(wǎng)絡安全解決方案代替簡單的反病毒解決方案。不僅要對進入校園網(wǎng)內(nèi)部的請求進行病毒掃描和內(nèi)容過濾，而且還要在內(nèi)部用戶訪問外部網(wǎng)絡、進行內(nèi)部應用之前，在本地網(wǎng)絡邊界進行病毒掃描和內(nèi)容過濾，從而防止用戶的關鍵業(yè)務受到病毒、惡意代碼的破壞，提高網(wǎng)絡的安全性和可用性。具體部署可在網(wǎng)絡中心機房建立防病毒監(jiān)測與控制中心，配置防病毒管理和分發(fā)服務器；實現(xiàn)計算機終端防病毒軟件統(tǒng)一的安裝、統(tǒng)一的管理和病毒庫的更新；針對在校園網(wǎng)出入口的流量，在校園網(wǎng)出口處設置網(wǎng)關防病毒系統(tǒng)。對通過FTP下載文件、通過POP3接收下載外部郵件時可能攜帶的惡意程序和病毒進行查殺掃描，對通過SMTP發(fā)送的外部和內(nèi)部郵件的附件、消息體進行病毒的過濾。

2.2 建立內(nèi)外有別的網(wǎng)絡安全隔離體系

通過防火墻的流量過濾和訪問控制技術，有利于提高網(wǎng)絡抵抗黑客攻擊的能力和系統(tǒng)的安全性。針對內(nèi)外網(wǎng)還可采取其他措施：隔離內(nèi)部不同網(wǎng)段，建立VLAN；內(nèi)外網(wǎng)絡采用兩套IP地址，網(wǎng)絡地址實行轉換；通過IP地址與 MAC地址對應，防止IP欺騙；基于用戶和IP地址的網(wǎng)絡計費和流量統(tǒng)計與控制；提供應用代理服務，隔離內(nèi)外網(wǎng)絡；提供準入控制；支持透明接入和VPN及其管理。

2.3 構建全方位的內(nèi)部網(wǎng)絡監(jiān)控機制

在不影響網(wǎng)絡正常運行的情況下，增加內(nèi)部網(wǎng)絡監(jiān)控機制，對服務器、網(wǎng)絡、業(yè)務流程等進行全面監(jiān)測，動態(tài)地監(jiān)測網(wǎng)絡內(nèi)部活動并做出及時的響應，可以最大限度地保護網(wǎng)絡資源。在校園網(wǎng)關鍵部位安裝網(wǎng)絡入侵檢測系統(tǒng)，通過端口鏡像對計算機網(wǎng)絡或主機中的若干關鍵信息的收集和分析，實現(xiàn)網(wǎng)絡傳輸信息的實時檢測，對網(wǎng)絡和信息系統(tǒng)訪問的異常行為進行監(jiān)測和報警；配備Web、E-mail、BBS的安全監(jiān)測系統(tǒng)，網(wǎng)絡監(jiān)聽系統(tǒng)等。通過監(jiān)控手段，增強網(wǎng)絡安全的自我適應性和反應能力，從而保證網(wǎng)絡服務的正常提供；通過使用網(wǎng)管軟件、日志分析軟件、MRTG和 Sniffer等工具，形成一個從實時監(jiān)控到離線審計在內(nèi)，功能較完整、覆蓋面較廣的監(jiān)控管理系統(tǒng)。

2.4 建立完善完備的數(shù)據(jù)備份機制

同構構建完善的網(wǎng)絡數(shù)據(jù)備份系統(tǒng)，使校園網(wǎng)絡系統(tǒng)具備容災備份機制，在最短的時間內(nèi)恢復整個網(wǎng)絡應用。應具備以下功能：計算機網(wǎng)絡數(shù)據(jù)備份自動化；對數(shù)據(jù)形成分門別類的介質存儲，使數(shù)據(jù)的保存更細致、科學；以備份服務器為中心，對各種平臺的應用系統(tǒng)及其他信息數(shù)據(jù)進行集中備份，系統(tǒng)管理員可以在任意一臺工作站上管理、監(jiān)控、配置備份系統(tǒng)，實現(xiàn)分布處理、集中管理。

2.5 建立虛擬專用網(wǎng)(VPN)和專用通道

使用 VPN網(wǎng)關設備和相關技術手段，對機密性要求較高的用戶建立虛擬專用網(wǎng)。VPN在網(wǎng)絡層對數(shù)據(jù)傳輸進行加密，優(yōu)于針對具體鏈路類型的鏈路層傳輸加密。主要應用在內(nèi)聯(lián)網(wǎng)、網(wǎng)間網(wǎng)中，對專線連接使用網(wǎng)關對網(wǎng)關模式。使用安全VPN 可以有效地解決網(wǎng)際互聯(lián)的安全傳輸問題。

2.6 建立完整的網(wǎng)絡安全服務機制

為了確保整個網(wǎng)絡的安全有效運行，有必要對網(wǎng)絡進行全面的安全性分析和研究，制定出一套滿足網(wǎng)絡實際安全需要的、切實可行的安全管理和設備配備方案。主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及配套的專業(yè)措施。

3 結束語

校園網(wǎng)的安全問題是一個較為復雜的系統(tǒng)工程，不能僅僅依靠防火墻、防病毒軟件等單個的系統(tǒng)，而需要結合校園網(wǎng)絡的實際安全需求，并將各種安全技術和管理手段結合在一起，把不安全的因素降到最少，才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。

[1]William stallings.密碼編碼學與網(wǎng)絡安全.原理與實踐[M].北京：電子工業(yè)出版社.2001.

[2]劉欽創(chuàng).高校校園網(wǎng)的安全現(xiàn)狀與對策[J].現(xiàn)代計算機.2005.

[3]新建.校園網(wǎng)的安全現(xiàn)狀和改進對策[J].網(wǎng)絡安全技術與運用.2007.

[4]黃國敬.銀行網(wǎng)絡系統(tǒng)安全防護措施[J].計算機安全.2004.