校園網安全現狀研究

魯學亮，劉臻

(北京師范大學信息網絡中心,北京100875）

校園網安全現狀研究

魯學亮，劉臻

(北京師范大學信息網絡中心,北京100875）

目前高校校園網發展迅速，各種應用資源不斷豐富，網絡安全問題日益突出。校園網呈現活躍用戶眾多、用戶網絡安全意識淡薄、管理不規范等特點，這些問題導致校園網極易受到攻擊。本文以北京師范大學校園網絡為例，通過對校園網運行數據和用戶使用特點進行分析，同時結合校園網流量類型和受攻擊方式的分析，提出通過有效的技術手段和規范的管理解決校園網安全問題。

校園網；網絡安全；IPS；流控；IPv6

一、前言

在大力推動高校信息化過程中，校園網絡得到了快速發展。校園網作為高校信息化建設的重要基礎設施，為學校教學、科研提供先進的信息化教學環境，同時為師生提供網絡接入、綜合信息服務等，校園網已經成為學校日常工作中不可或缺的一部分。在Internet快速發展過程中暴露出一系列問題，其中網絡安全問題尤其突出，校園網作為Internet的重要組成部分，由于自身在網絡安全方面的弱點，使其成為網絡安全的重災區，每年因為網絡安全事件給高校造成財產、聲譽等巨大的損失。校園網絡安全建設是一個系統工程，它包含防火墻、入侵防御檢測、防病毒、網絡行為審計、漏洞掃描、災難備份、安全集中管理等一系列安全措施。本文將詳細分析校園網現狀及用戶特點，并針對影響整個校園網運行的安全事件進行分析，如造成校園網整體或部分區域斷網、訪問延遲的事件等，最后提出保障校園網網絡安全的基本措施。

二、校園網安全現狀及特點

校園網是一個集計算機網絡技術、信息管理、辦公自動化和信息發布等功能于一體的綜合信息平臺，是一個終端、服務器、網絡設備、用戶眾多的復雜的局域網，通過有線、無線實現互聯和數據傳輸。校園網的這些特點決定了在網絡安全管理方面的復雜性。分析研究校園網安全現狀可以從多個方面入手，主要的分析手段包括IDS、IPS等入侵檢測系統以及系統漏洞分析系統。在本文中將通過流量控制系統、入侵檢測系統、脆弱掃描分析系統等對校園網安全現狀進行分析研究。校園網的安全現狀及特點可以分為以下幾方面：

1．活躍用戶眾多，安全意識淡薄

隨著經濟的快速發展，擁有一臺個人計算機對于現在的大學生來說已經不再是一件不能想象的事，計算機技術也成為大學生的必修課。校園網的用戶群體非常龐大，少則數千人、多則數萬人。中國的高校學生一般集中住宿，因而用戶非常密集。正是由于高帶寬和大用戶量的特點，網絡安全問題蔓延快、對網絡的影響嚴重。除此之外，大學生對新鮮事物的好奇心，驅使他們更愿意去嘗試和挑戰網絡新技術，如果沒有意識到后果的嚴重性，可能對網絡造成一定的影響和破壞。校園網用戶眾多，但真正有網絡安全意識的用戶卻少的可憐，大多數用戶對于自己的PC機只做簡單的系統默認防護，因此成為了校外攻擊的主要攻擊目標，除了會對個人信息、財產造成損失外，還有大量的PC機成為“僵尸主機”，成為了被非法分子利用攻擊他人的“肉機”，或者作為攻擊校園網的跳板。

2．盜版資源泛濫

由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這些軟件的傳播一方面占用了大量的網絡帶寬，另一方面也給網絡安全帶來了一定的隱患。比如，Microsoft公司對盜版的XP操作系統的更新作了限制，盜版安裝的計算機系統今后會留下大量的安全漏洞。另一方面，從網絡上隨意下載的軟件中很多都隱藏木馬、后門等惡意代碼，如不進行檢測直接運行安裝將很容易被攻擊者侵入和利用。

3．應用服務管理不規范

隨著互聯網應用的增加以及師生對互聯網資源需求的快速增長，校內各院系組織都建立起了自己的應用服務器，其中包括Web應用、FTP服務、BBS、高性能計算服務等等，這些服務部署分散、管理松散，大多數沒有做安全防范，因此極容易受到攻擊。這些服務雖然不是學校統一管理，但一旦受到攻擊將嚴重影響學校網絡和學校的聲譽。如圖1所示為我校某天的實時流量監控圖，可以看出在21：00至22：00流量達到了頂峰，這時已經造成了整個校園網的丟包率在50%以上，整個校園網幾乎癱瘓。

圖1 流量監控

經過排查，最終發現為服務器區的某臺服務器被攻擊，斷開該服務器網絡后，校園網恢復正常，圖2為局部網絡拓撲，可見圖中下方斜線處流量已經達800多兆。通過查看該服務器記錄，得知該服務器為新入網機器，操作系統安裝后并未做任何安全措施，也沒有更新必要的安全補丁。

圖2 網絡拓撲

三、校園網常見安全問題分析

1．流量類型分析

流量控制系統是校園網中應用比較廣泛的網絡管理系統，近年來以P2P協議為核心的下載工具的大量應用，在給用戶帶來高速下載的同時也給網絡帶寬帶來巨大的挑戰，因此網絡管理者開始應用流量控制系統以監控和管理這些流量來保證其他流量的正常傳輸。如果不對P2P流量進行限制，它將占滿整個網絡帶寬，使整個校園網訪問出現巨大延遲。除了P2P流量外，某些中毒的PC機或服務器也會出現向外發送大流量的情況，如UDP泛洪攻擊、蠕蟲攻擊等。圖3所示為我校IPS對網絡事件的監測分析圖，從圖上可以看到校園網絡中存在大量的P2P流量。

圖3 事件監控

2．攻擊方式分析

（1）探測掃描

網絡攻擊者在發動攻擊之前必定會對目標網絡進行探測以找出網絡漏洞以備攻擊，因此在對網絡監控過程中將會發現大量的網絡探測事件。圖4為我校10天的網絡事件監測分布圖，其中排在第一位的便是Traceroute ICMP/IPOPT掃描探測類事件的相關操作，這其中有正常的操作當然也有很多非法的嗅探，由此可見網絡攻擊者無時無刻不在關注著校園的網絡安全漏洞。

圖4 網絡事件分布

（2）跨站腳本攻擊

跨站腳本攻擊是指在遠程Web頁面的HTML代碼中插入惡意代碼，用戶誤認為該頁面是可信賴的，當用戶打開該頁面，瀏覽器會自動下載惡意代碼，運行其中的腳本。腳本注入事件屬于Web安全問題范疇，它指攻擊者利用Web應用系統不對用戶輸入數據進行嚴格檢查和過濾的缺陷，主動通過用戶輸入域注入具有惡意性質的腳本片段。攻擊者可以利用的用戶輸入域包括URL參數、表單域、Cookie域等，一般通過