高校網絡安全問題探討

楊贛川 胥獻偉

（四川文理學院網絡管理中心 四川 635000）

0 引言

伴隨著高校的網絡建設規模逐漸擴大，網絡用戶數量成倍增長。網絡購物、瀏覽網頁、網絡游戲、網上銀行等各式各樣的網絡服務方式越來越多。這些網絡服務中存在一些重要的信息，比如銀行密碼、游戲賬號、個人隱私等是不需要讓別人知曉的，象這些信息需要采用數據加密的方式來保護；高校教師科研的信息，只有特定工作人員才有權知曉；只有安全可靠的網絡環境才能確保這些信息在網絡上安全傳輸，保護學校和個人的重要信息不受任何病毒或詐騙網站的侵害。

1 目前高校網絡安全存在的主要問題

高校網絡安全指網絡設備、網絡信息及網絡軟件的安全。確保網絡設備穩定運行，數據不受破壞、更改、泄露。高校校園網絡規模越來越大、拓撲結構越來越復雜、用戶的安全意識的淡薄，這些都給高校網絡安全管理帶來一定的壓力。盡管許多高校就網絡安全問題做了相應的對策，也取得了很好的成效，但是有些高校網絡安全仍然存在一些問題。

1.1 網絡安全設備投入不夠

網絡安全設備指有防火墻、安全審計、網頁過濾、防病毒、入侵檢測、漏洞掃描等功能的設備。一方面，目前來看國內許多高校雖然學生人數在增加，但由于擴建規模，資金仍然匱乏。許多高校網絡安全設備功能并不齊全，這樣的網絡是存在隱患的。甚至有些學校沒有自己的網絡安全設備，一些簡單的安全設備可能是網絡營運商提供的。另一方面，有些高校領導對網絡安全不夠重視，認為沒有必要購買那么多安全設備或是老設備將就有的心態。網絡技術迅速發展，老的安全設備不具備新技術的功能，不能承受學校規模壯大帶來的壓力，這樣對整個校園網是不安全的。網絡安全設備大多是校園網的核心設備，這些設備出問題會影響整個網絡，甚至使整個校園網癱瘓。網絡安全設備的功能不可小視，為了學校發展該投入還是不可缺少。

1.2 校園網遭受黑客攻擊與惡意入侵

高校網絡體系逐漸壯大，也把黑客的目光吸引過來了。高校網站一直以來都是黑客攻擊的對象，這是讓網站服務器管理者很頭痛的事情。很多高校經常被黑客攻擊，甚至被修改或竊取重要資料。學校網站主頁被掛馬、篡改的事件屢見不鮮，嚴重影響學校的形象。黑客攻擊的目的就是盜竊系統保密信息、破壞網絡、惡意入侵等。黑客攻擊的主要方法：

（1）后門程序：程序開發完成后沒有徹底去掉模塊的后門，黑客利用窮舉搜索法發現并利用這些后門，然后進入系統并發動攻擊。

（2）信息炸彈：使用發數據包的軟件短時間內發送大量信息給目標服務器，導致網絡堵塞，甚至服務器系統崩潰。信息炸彈還包括邏輯炸彈、郵件炸彈等。

（3）拒絕服務：它是利用合理的服務請求來消耗系統資源或帶寬資源，使合法用戶無法得到服務的響應。如TCP SYN洪泛攻擊、Land攻擊、Smurf攻擊等多種方式。

（4）控制攻擊：試圖獲得對目標機器控制權的攻擊。最常見的三種：口令攻擊、特洛伊木馬、緩沖區溢出攻擊。

（5）網絡監聽：監視目標系統各種與網絡安全有關的信息，截獲網上傳輸的信息，通常可以獲得口令等重要信息。

網絡攻擊無處不在，不光在校園里。國際上網絡攻擊事件時有發生，最新數據顯示，2013年2月24日中國西藏網的郵件系統分別被植入后門。2013年2月22日，中國網英文版企業分站遭到源自美國地址的攻擊，頁面遭惡意篡改。2013年1月28日人民網IP地址遭受來自境外的DDoS攻擊，出現明顯異常流量，峰值達到正常流量的12倍。網絡攻擊的危害和破壞性大家有目共睹，應對網絡攻擊的警鐘必須長鳴。

1.3 用戶DNS被篡改容易被釣

隨著上網形式多樣化，用戶不光只是一臺計算機上網，一般是多臺電腦或多個手機同時上網，所以幾乎每個學生寢室和教工宿舍都有安裝路由器。有些網站嵌入了一些惡意代碼或木馬程序，當用戶訪問該網站時，本地DNS服務器地址或路由器的DNS設置容易被篡改。DNS地址一旦被篡改是非常危險的事情，你訪問任何網站都會解析到釣魚網站上去，有時你完全察覺不到。尤其喜歡網上購物的朋友，打開淘寶網址，錯誤DNS地址會解析到虛假的淘寶網去。如果你在這個釣魚網上購物，你的淘寶賬號密碼、銀行賬號密碼就會全部泄露。主要原因是用戶的路由器一般不設置或設置簡單，大多數用戶不會去修改路由器的登錄用戶名和密碼，默認都是admin或guest，或者是密碼過于簡單被破譯。遇到這種問題最好的辦法就是登陸路由器恢復出廠設置或按鍵恢復，再登陸路由器修改admin密碼和wifi密碼，建議不要過于簡單。

1.4 對病毒防范意識缺乏

凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。早期的病毒都是單機病毒，以磁盤為載體。當今的病毒大多都是網絡病毒，傳播媒介是網絡。網絡病毒具有擴散面廣、傳染性強、針對性強、破壞性強等特點。這類病毒傳播速率快、可觸發性、多種感染方式、難以清除，對網絡危害非常大。網絡病毒分為蠕蟲和木馬兩種攻擊手段。主要傳播方式為電子郵件、網頁、文件傳輸。高校存在一些用戶的計算機不安裝殺毒軟件和防火墻，這些用戶的計算機都容易被感染病毒。有些用戶又安裝多個不同品牌的殺毒軟件和防火墻，一個計算機安裝多個殺毒軟件會發生沖突，嚴重的會使系統癱瘓。校園網內如果一臺計算機感染了網絡病毒，可能在短時間內傳播到整個校園網。影響整個網絡的運行速度，中毒嚴重的可能會破壞文件、丟失數據，甚至會使校園網處于運行癱瘓狀態。嚴重影響正常的教學、辦公和科研。所以我們提倡一臺計算機只安裝一個殺毒軟件和防火墻并及時更新升級。在高校幾乎人人都有移動存儲設備，大量的移動存儲設備也是病毒攜帶的主要工具，同時增加了病毒傳播的途徑。移動存儲設備在辦公室、寢室、教室、機房、家里經常用到，一旦任何一臺計算機中了病毒，其他使用過的計算機都會被傳染。因此建議移動存儲設備使用前查殺一下病毒。

2 高校網絡安全問題應對措施

首先我們要認識到目前我國高校網絡安全的確存在一些問題，有些可以使用技術手段去解決或避免。其次應該加強網絡安全管理，加大資金、人員投入力度。當然光這些還是不夠的，網絡環境和我們現實環境是一樣的，需要廣大用戶共同維護，營造安全健康的網絡環境。

2.1 加強網絡安全管理

高校網絡安全管理主要指計費認證系統和網絡環境的安全管理。加強計費認證系統管理就是加強對用戶網絡使用權限的控制，通過身份識別、密碼驗證等技術，有效的管理校園網絡用戶。加強網絡環境的安全管理就是阻止用戶非法登陸網絡核心設備及刪改配置信息，未經允許授權者不能使用校網絡資源。構建網絡安全防范體系，及時發現并修補漏洞，實現全面的網絡保護。網絡安全管理要求管理者在最小影響網絡性能的前提下，采用最優的管理方法，確保校園網絡的安全可靠運行。

2.2 利用防火墻阻止網絡攻擊

防火墻是設置在校園內部網絡和外部網絡之間的一道屏障，實現網絡的安全保護，以防止發生不可預測的、潛在破壞性的侵入[2]。防火墻本身具有較強的抗攻擊能力，它是提供信息安全服務、實現網絡和信息安全的基礎設施。采用防火墻可實現高校校園網與如因特網之間或校園網不同安全域之間的隔離與訪問控制，可以很好的把黑客和病毒攻擊拒之門外。防火墻主要采用數據包過濾、代理服務、狀態檢測、網絡地址轉換四種實現技術[3]。

（1）數據包過濾：系統在網絡層檢查數據包，依據 ACL訪問控制列表對數據流中每個數據包包頭中的參數或它們的組合進行檢查，以確定是否允許該數據包進出內部網絡。是一種簡單、高效的安全控制技術。

（2）代理服務：可以實施用戶認證、詳細日志、審計跟蹤和數據加密等功能。內網拓撲結構信息不易泄漏，有效減少黑客攻，是一種比較高級的防火墻技術。

（3）狀態檢測：狀態檢測防火墻是在動態包過濾的基礎上，增加了狀態檢測機制而形成的。工作在數據鏈路層和網絡層之間，有高效性、高安全性、應用范圍廣等優點。

（4）網絡地址轉換：NAT是基于網絡層的應用，將一個IP地址用另一個IP地址代替。隱藏內部網絡的IP地址、解決地址緊缺問題。

防火墻是非常優秀的網絡安全設備，再好的安全設備如果沒有物盡其用，是發揮不了安全保護作用的。所以要詳細了解防火墻性能，配置管理好，才能發揮設備的應有性能。

2.3 安裝防毒軟件和殺毒軟件

高校校園網絡是病毒滋生的溫床，一直以來病毒都是校園網的安全隱患。所以校園網內每臺計算機都要安裝單機版防毒殺毒軟件并定期更新病毒庫，保護計算機不被感染病毒。針對網絡病毒最好方法是安裝網絡版的防毒殺毒軟件，它能全方位、多層次查殺病毒[4]。要做到定期掃描網絡病毒、修補漏洞、及時升級軟件，把網絡病毒徹底打敗。

2.4 加強校園網用戶管理

加強校園網用戶管理分兩層意思：一是增強用戶的安全意識，有些網絡用戶安全意識不夠，對網絡安全知識了解甚少。個人計算機病毒泛濫，很多時候的網絡事故都由它引起。所以網管人員應該做好宣傳，加強用戶計算機安全知識方面的培訓，增強用戶網絡安全意識。二是合理規范化管理用戶，對教職工、學生、后勤管理人員進行劃分，不同的職業有不同用戶權限。同時對賬號按區域劃分，對辦公室、教工宿舍、學生宿舍等不同的場所賬號的權限也不一樣。并采取動態修改密碼和動態分配的形式，保證用戶密碼有效性。用戶管理規范化對網絡安全管理工作起到事半功倍的作用。

3 結語

網絡安全涉及的技術領域很廣，這里探討的內容不過冰山一角。目前高校網絡安全確實存在一些隱患，要求我們不斷地學習并應用新技術解決網絡安全存在的問題。為教學、科研和辦公提供安全健康的網絡環境。

[1] 陳斌.校園網絡安全問題分析與防范策略研究[J].信息與電腦，2010（8）.

[2] 李文杰.淺析防火墻安全技術及發展[J].科技信息，2OO8（10）.

[3] 謝希仁.計算機網絡（第 5 版）[M]．北京：電子工業出版社.2010：284-305.

[4] 陳文冠，曹亮，陳興華.高校校園網信息安全的研究[J].科技管理研究，2007（2）.