高校校園網信息安全隱患深挖與排除*

施 勇，王宗斌

（淮南師范學院 網絡信息中心，安徽 淮南232038）

一、高校校園網安全隱患深挖

1.操作系統與應用軟件引發的安全隱患

操作系統與應用軟件引發的高校校園網安全問題不容忽視。目前，有的操作系統或應用軟件留有“后門”程序，在系統或軟件的開放過程中，程序員常常會在軟件或系統內創建后門程序，其目的是方便后期修改程序設計與開發中的缺陷，但同時，如果后門信息被其他人獲取，或是后期仍舊保留有后門程序代碼，安全隱患便產生了，很容易被黑客抓住此漏洞進行攻擊，常見的后門有網頁后門、線程插入后門、擴展后門、c/s后門、root kit 6o f3H 3B；同時，因為各種系統或者軟件功能較多、容量較大，各種安全漏洞便不可避免地出現了，各種應用程序更新交替頻繁，各種安全問題層出不窮，因此，黑客可能就此展開入侵行為。還有部分高校的校園網FTP服務器上擁有大量的信息資源，如各類軟件（可能含非法軟件）、單機或網絡游戲、教學資源。而有些非法軟件在安裝后還會在系統中留下大量的漏洞，給網絡信息安全帶來極大的隱患，同時大量的軟件和視頻，都有可能被黑客等不法分子種植木馬、植入后門；又如校園網內使用頻繁的各種網絡郵件，也可能被部分不法分子利用，傳遞有病毒的郵件，種種此類對校園網埋下了安全隱患。這就需要針對不同操作系統或應用程序的安全隱患運用不同的對策，來降低各種隱患引發的各種損失。

2.網內配置引發的安全隱患

高校局域網網絡形成了復雜的拓撲結構，各個院系網站、行政與教輔部門的網站、創先爭優網站、廉政風險防控網站、質量工程網站及各個網站的分支，網關、路由器、交換機、防火墻、檢測系統等各類軟硬件參數配置存在各類隱患。當下高校較為重視網絡邊界安全，在網絡接口處運用檢測軟件或防火墻進行安全檢測，防范來自外部的攻擊。但在校園內連接外網的計算機較多，而每一次網絡信息傳遞都有可能引發各種隱患。需要對網絡中的P2P/IM帶寬的濫用、各類游戲、網上炒股、在線視頻、網絡媒體、非法站點訪問等行為進行識別與控制，對網絡流量、校園網用戶上網行為進行深入分析與全面的排除。如以前惡性黑客攻擊事件、木馬傳播等可能先以控制服務器為出發點，然后在此基礎上對其他主機展開攻擊，便引發了數據外泄、病毒擴散，從而導致整個網絡系統癱瘓。

3.網絡協議引發的安全隱患

TCP/IP協議已經成為事實上的國際標準，也是最常用的網絡通信協議。但是TCP/IP協議本身卻可能引發一些安全問題，這些安全問題將會導致多種類型的網絡攻擊。網絡中關于TCP/IP協議簇自身缺陷而引起的安全漏洞很多，例如源地址欺騙或IP欺騙（source address spoofing or IP spoofing）、源路由選擇欺騙（source routing spoofing）、路由選擇協議攻擊 （RIP attack）、鑒別攻擊（authentication attack）、TCP 序列號欺騙 （TCP sequence number spoofing）、TCP SYN 攻擊 （TCP SYN flooding attack）。[1]

4.用戶設置引發的安全隱患

很多用戶習慣在私人電腦上對郵箱、微博等使用登錄賬號的“記住密碼”功能，相當于把這些賬號的密碼保護功能給予排除了，下次再訪問就可以直接登錄。如MHTML 0day漏洞會導致網民電腦中的Cookie文件被黑客竊取，造成電子郵件泄露、微博賬號等被黑客利用等狀況；校園網用戶對郵箱、微博、游戲、網購等賬號設置相同的密碼，容易造成不法分子暴力破解，引發惡性連鎖反應；有的用戶在計算機安裝好系統后就直接聯網使用，沒有進行相應的安全檢查及設置；校內用戶利用P2P應用軟件下載，如迅雷、eMule VeryCD、QQ直播、酷狗(KuGoo)等，占用學校有限帶寬，導致正常的校園應用服務受到影響，網絡訪問受到嚴重干擾。

5.人為典型攻擊引發的安全隱患

現在出現了越來越多的初級“黑客”，他們嘗試使用各種掃描器到處掃描入侵，使用IP消息炸彈放置在目的地址或網站，嘗試進行攻擊與破壞。比如獲取用戶賬戶信息，截取各類對自身有用的信息，給受害者帶來了嚴重損失。高校校園網內的部分學生計算機操作水平高超，對網絡新技術充滿好奇，勇于嘗試。[2]比如從各種黑客培訓網站上展開實踐，將學校網絡作為練習網站展開攻擊。所以，不僅要杜絕外圍安全隱患，排除外圍攻擊，還要杜絕內網安全隱患，消除內網攻擊。比如，初級“黑客”利用P2P終結者（見圖1）使用局域網中任意一臺電腦便可以控制整個局域網的流量，還可以利用P2P終結者、網絡執法官、網絡神警、聚生網管等軟件進行WWW訪問限制（網頁瀏覽限制）等。

圖1 P2P軟件界面功能截圖

二、高校校園網安全隱患排除

1.使用正版殺毒軟件及時殺毒并修復漏洞

在病毒日益增多的今天，使用防毒軟件進行防毒是非常必要的。校園網要建立完整的病毒防御體系，還要對操作系統和網絡軟件采取保密措施。在各服務器、教學或辦公電腦、多媒體教室的電腦上安裝一種或多種殺毒軟件，定期掃描病毒并修復漏洞，定期升級防毒軟件、其他操作軟件，定期給系統打最新補丁，定期對操作系統進行全盤病毒掃描，定期查看系統日志信息，遇到問題要及時上報或向軟件商發送錯誤報告并進行分析，這樣才能更好地保障計算機的安全。

2.通過雙向IP/MAC綁定

可以防止惡意軟件控制，阻止P2P終結者等軟件，加強網絡資料管理；還可以避免IP地址的盜用、ARP病毒的襲擊，帶來良好的網絡環境。[3]客戶機綁定：客戶機綁定比較簡單，在運行里輸入“cmd”，打開命令行后輸入“ipconfig-all”，其中如 aa-aa-11-11-11-11 這樣的就是網卡的MAC地址，然后輸入 “arp-s 192.168.101.122 aa-aa-11-11-11-11”，這樣就在客戶機上綁定了MAC地址；路由綁定：進入web控制頁面，點擊防火墻→MAC與IP綁定，勾選“啟用MAC地址和IP綁定”，模式兩種都可以，然后點擊ARP掃描，就會出來一堆信息，這就是路由掃描的客戶機MAC地址，然后點保存設置。同時可對一些P2P下載服務進行適當的限制，以保證校園網用戶不會因為P2P下載量過大而產生訪問外網速度較慢的現象。比如通過路由器限制P2P服務，大多數路由器都集成了ACL訪問控制功能，通過對路由器流過的數據報文進行過濾來實現對局域網內網絡行為的控制。比如路由器可以通過對過往數據報文的協議、端口、源IP地址和目標IP地址的控制來實現對各種網絡工具訪問公網的控制。在路由器上通過添加P2P下載的端口、P2P下載的傳輸協議、P2P下載的服務器IP等方法就可以實現對P2P下載的控制。

3.系統管理參數配置

超級管理員賬戶在使用的時候需要小心，并且密碼要盡量復雜，定期更換密碼。許多簡單賬戶與密碼很容易被別人破解，因此使用復雜的登錄密碼將會大大提高校園網絡系統的安全性，減少被病毒攻擊的概率。如別人一遍又一遍地嘗試登錄Windows 2003的Administrator這個用戶，可以將其偽裝成普通用戶，比如改成普通的用戶名，創建名稱為Administrator的本地用戶，將其權限降至最低，并設置超級復雜密碼，這樣可以讓那些網絡攻擊者浪費時間，也可以借此發現其入侵目的；又如任何時候都不要把共享文件的用戶設置成Everyone組，包括打印共享，而默認的屬性就是Everyone組的，所以需要修改；禁用不必要的服務，從開始——運行——services.msc處進行設置等。

4.利用第三方軟件進行預防

例如應用Wireshark（網絡嗅探抓包工具，見圖2）、Sniffer、IpTool、IRIS來對局域網的封包進行分析，通過抓包的手段，可以分析排查網內是否存在A R P攻擊、廣播風暴等等。如使用Wireshark來檢測網絡、資訊安全等相關問題，為新的通訊協定除錯，還可以用來學習網絡協定的相關知識等多種網絡嗅探功能。

圖2 Wireshark界面截圖

5.集成防火墻、入侵檢測、漏洞掃描三大功能模塊，排除校園網信息安全隱患

防火墻、入侵檢測和漏洞掃描被認為是外部服務、內部服務設置的一道道防御措施，它能夠有效降低校園網風險與信息安全威脅，是高校校園網信息安全隱患排除不可缺少的一部分（見圖3）。

圖3 防火墻、入侵檢測、漏洞掃描集成示意圖

首先是詳細配置防火墻防范策略。比如配置端口策略，Windows操作系統默認的服務端口很多，需要開什么端口才開什么端口，必須關閉不需要的端口。常見端口功能及開放如下：FTP（File Transfer Protocol，文件傳輸協議）服務的運用，需要開放21端口；Telnet（遠程登錄）服務的運用，開放23端口；SMTP（Simple Mail Transfer Protocol，簡單郵件傳輸協議）服務的運用，開放25端口；DNS（Domain Name Server，域名服務器）服務器開放用到的是53端口，主要用于域名解析；HTTP（HyperText Transport Protocol，超文本傳輸協議）開放用到的是80端口，功能是在WWW服務上傳遞信息；“NetBIOS Session Service”服務是139端口，Windows文件、打印機共享和Unix中的Samba服務便是用此端口；QQ服務端使用的端口號是8000，而QQ客戶端開放的端口號是4000；遠程控制軟件PcAnywhere所開啟的端口是5632；經常使用代理服務器或者訪問某個網站的時候，會加上“：8080”端口號，8080端口同80端口，功能是提供WWW代理服務，實現網頁瀏覽。比如對外提供網絡服務的服務器，我們把必須利用的端口(比如WWW端口80、FTP端口21、郵件服務端口25、110等)開放，其他端口則全部關閉。

其次是安裝與配置IDS入侵檢測系統。[4]一般來說，防火墻是網絡入口的保護傘，防火墻的任務是控制用戶對網絡的訪問和阻止外部的非法訪問；在放置入侵檢測系統的策略上，防火墻主外，而入侵檢測系統主內，此時，入侵檢測系統監控校園網內部的網絡操作行為及多種攻擊，阻止防火墻過濾之后的隱匿攻擊。

最后是安裝漏洞掃描系統。漏洞掃描可以劃分為ping掃描、端口掃描、OS探測、脆弱點探測、防火墻掃描等五種主要技術，每種技術實現的目標和運用的原理各不相同。通常是指基于各種漏洞，通過掃描方式對指定的遠程或者本地計算機系統的安全威脅進行檢測的行為。它將安全檢測的全過程交給程序自動完成，減少人為管理時間，提高檢測效率，這項技術的具體實現采用的是安全掃描程序。如在一個現有的平臺上有許多漏洞，人為操作較為復雜，而安全掃描程序在較短時間內完成工作，并且將結果輸入，便于分析與排除。

[1]呂方興.TCP/IP協議的安全缺陷可能導致的網絡攻擊[J].科技視界,2012,(10):115.

[2]聶多均.高校校園網網絡安全問題分析與對策[J].人力資源管理,2010,(4):71-72.

[3]王東,侯翠華.IP地址和MAC地址綁定在路由器上的實現[J].技術與市場,2011,(1)：6-7.

[4]解晨光.高校校園網安全管理技術的研究[D].哈爾濱工程大學,2007:17-20.