周凱文

摘要：當(dāng)今社會(huì)已步入網(wǎng)絡(luò)時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)深入到了社會(huì)生活的各個(gè)領(lǐng)域，以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的現(xiàn)代信息技術(shù)教育已在我國(guó)中小學(xué)校得到了普及和快速發(fā)展，在網(wǎng)絡(luò)信息化技術(shù)在校園得到廣泛應(yīng)用的同時(shí)，校園網(wǎng)絡(luò)安全的重要性也日趨顯現(xiàn)，本文正是從此問(wèn)題出發(fā)，針對(duì)對(duì)目前校園網(wǎng)絡(luò)在管理和使用上的常見(jiàn)安全問(wèn)題和漏洞進(jìn)行分析，指出常見(jiàn)的攻擊手段和需采取的防護(hù)措施。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)問(wèn)題措施

一、前言

校園網(wǎng)絡(luò)作為學(xué)校的基礎(chǔ)設(shè)施和學(xué)校教育信息化的主要載體與媒介，是日常教學(xué)管理和與外界互通交流的重要渠道，它為在校師生提供著教學(xué)、科研、管理的平臺(tái)，校園網(wǎng)絡(luò)安全的重要性毋庸置疑，如何維護(hù)與防范校園網(wǎng)絡(luò)安全業(yè)已成為廣大學(xué)校網(wǎng)絡(luò)管理員所關(guān)注的熱點(diǎn)。

二、校園網(wǎng)絡(luò)安全存在的問(wèn)題

從學(xué)校校園網(wǎng)絡(luò)服務(wù)的對(duì)象和運(yùn)行的環(huán)境來(lái)看，校園網(wǎng)絡(luò)所存在的問(wèn)題也具有鮮明的特點(diǎn)。主要表現(xiàn)在：

1.內(nèi)部網(wǎng)絡(luò)系統(tǒng)防護(hù)措施不嚴(yán)密，系統(tǒng)存在非法越權(quán)訪問(wèn)現(xiàn)象。雖然中小學(xué)校內(nèi)部網(wǎng)絡(luò)系統(tǒng)一般不存放涉密數(shù)據(jù)，所以來(lái)自外部互聯(lián)網(wǎng)之上的威脅不多，因此，許多校園網(wǎng)絡(luò)系統(tǒng)管理員沒(méi)有針對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)權(quán)限做出嚴(yán)格的限定，但同樣的安全隱患也正存在于網(wǎng)絡(luò)內(nèi)部，如某些考試資源服務(wù)器，網(wǎng)站數(shù)據(jù)庫(kù)服務(wù)器等，有些學(xué)生為了獲取某些考試答案而攻擊服務(wù)器，當(dāng)中也有一些黑客技術(shù)愛(ài)好者使用一些木馬軟件進(jìn)行漏洞掃描攻擊。

2.某些系統(tǒng)使用率低，疏于管理，漏洞偏多。校園網(wǎng)絡(luò)中存在一些長(zhǎng)時(shí)間不用或使用率較低的系統(tǒng)，由于使用率低，無(wú)人關(guān)注，管理員很少對(duì)其進(jìn)行監(jiān)視和管理，隨著運(yùn)行環(huán)境的不斷變化和外界技術(shù)的逐漸進(jìn)步，這類(lèi)系統(tǒng)自身存在的程序漏洞也日漸增多，許多網(wǎng)絡(luò)攻擊者正是利用疏于管理的軟件漏洞作為切入點(diǎn)，采取旁注式攻擊，進(jìn)而控制整個(gè)服務(wù)器，滲透進(jìn)入到校園內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊行為。

3.網(wǎng)絡(luò)設(shè)備在策略配置上存在缺陷，無(wú)法真正有效的過(guò)濾掉攻擊行為。校園網(wǎng)絡(luò)安全與防范不僅僅是網(wǎng)絡(luò)安全硬件的簡(jiǎn)單堆砌，許多學(xué)校投入財(cái)力，購(gòu)買(mǎi)大量網(wǎng)絡(luò)安全設(shè)備，只經(jīng)過(guò)簡(jiǎn)單配置或直接以默認(rèn)配置就投入運(yùn)行使用，其實(shí)其中存在大量安全隱患，每個(gè)網(wǎng)絡(luò)環(huán)境依據(jù)其運(yùn)行對(duì)象與組成架構(gòu)都有其獨(dú)特的安全防護(hù)重點(diǎn)，而各學(xué)校網(wǎng)絡(luò)管理員一般由學(xué)校信息技術(shù)學(xué)科教師兼任，在忙于教務(wù)的同時(shí)，疏忽了對(duì)網(wǎng)絡(luò)設(shè)備的配置使用進(jìn)行精細(xì)化管理，這樣許多網(wǎng)絡(luò)設(shè)備的安全配置工作就由外包服務(wù)商來(lái)完成，但由于外部人員往往不可能根據(jù)學(xué)校網(wǎng)絡(luò)運(yùn)行的特點(diǎn)與運(yùn)行的業(yè)務(wù)需求進(jìn)行細(xì)化配置，就可能會(huì)存在疏漏之處，在日后的網(wǎng)絡(luò)運(yùn)行中可能會(huì)帶來(lái)安全漏洞。例如，某些網(wǎng)絡(luò)設(shè)備的IP訪問(wèn)策略、判斷攻擊行為規(guī)則、網(wǎng)絡(luò)訪問(wèn)控制規(guī)則等。

4.校園網(wǎng)絡(luò)使用者安全意識(shí)淡薄，導(dǎo)致應(yīng)用系統(tǒng)從內(nèi)部感染病毒。就目前來(lái)看，許多中小學(xué)校的師生、網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)使用行為還不規(guī)范，網(wǎng)絡(luò)安全問(wèn)題未能引起重視，有些教師、學(xué)生在內(nèi)部網(wǎng)絡(luò)上網(wǎng)時(shí)，訪問(wèn)不良網(wǎng)站、隨意復(fù)制程序文件等行為較為普遍，有些網(wǎng)絡(luò)服務(wù)器甚至存在一機(jī)多用的現(xiàn)象，服務(wù)器操作系統(tǒng)由于其用途和特性的不同，決定了其特殊性，例如，如果使用者安裝了某些聊天工具、網(wǎng)絡(luò)軟件、遠(yuǎn)程共享軟件，就可能導(dǎo)致服務(wù)器主動(dòng)開(kāi)放一些易受攻擊的端口（如135、139、445、3389等），從而使系統(tǒng)被攻擊的可能性增大。

三、校園網(wǎng)絡(luò)安全的防范措施

目前，比較成熟穩(wěn)定的網(wǎng)絡(luò)安全技術(shù)產(chǎn)品有：硬件防火墻、入侵檢測(cè)系統(tǒng)（intrusion detection system，簡(jiǎn)稱(chēng)“IDS”）、入侵防御系統(tǒng)（IPS）、網(wǎng)絡(luò)殺毒軟件、上網(wǎng)行為管控、數(shù)據(jù)云備份、VPN、VLAN、地址綁定等，但網(wǎng)絡(luò)安全技術(shù)不僅僅是硬件產(chǎn)品的簡(jiǎn)單堆砌，它應(yīng)當(dāng)包括從應(yīng)用系統(tǒng)到網(wǎng)絡(luò)訪問(wèn)、從硬件設(shè)備到使用服務(wù)的一個(gè)整體性、體系性的有機(jī)結(jié)合。

1.在校園網(wǎng)絡(luò)出口合理布置防火墻網(wǎng)關(guān)

防火墻位于計(jì)算機(jī)和所連接的網(wǎng)絡(luò)之間，所有經(jīng)流的網(wǎng)絡(luò)通信都要經(jīng)過(guò)網(wǎng)絡(luò)防火墻，防火墻會(huì)對(duì)此進(jìn)行掃描并對(duì)其中非法數(shù)據(jù)包進(jìn)行過(guò)濾攔截，網(wǎng)絡(luò)管理員還可以根據(jù)網(wǎng)絡(luò)使用的需要通過(guò)防火墻關(guān)閉一些不用的端口，屏蔽一些指定的IP地址的通信請(qǐng)求。

根據(jù)用戶的需求和群體特性進(jìn)行網(wǎng)絡(luò)劃分VLAN，VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"，在傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)中，所有的用戶同處一個(gè)網(wǎng)絡(luò)環(huán)境，這必然會(huì)造成網(wǎng)絡(luò)性能的下降，管理的混亂和不便，所以我們就要對(duì)其進(jìn)行分域劃分管理，VLAN是一組存在于邏輯上的用戶與設(shè)備，經(jīng)過(guò)網(wǎng)絡(luò)管理員的組織劃分，可以將學(xué)校內(nèi)部諸如不同地理位置的教室、網(wǎng)絡(luò)功能室、辦公室根據(jù)使用者的群體對(duì)其進(jìn)行歸類(lèi)劃分，與傳統(tǒng)的局域網(wǎng)絡(luò)技術(shù)相比，它具有靈活度高、使用成本低、可控性高、安全性強(qiáng)的特點(diǎn)。

2.通過(guò)地址綁定技術(shù)，運(yùn)用訪問(wèn)控制系統(tǒng)實(shí)現(xiàn)信息智能化過(guò)濾。校園網(wǎng)絡(luò)中使用度較高的群體是學(xué)生，而學(xué)生使用網(wǎng)絡(luò)的場(chǎng)所一般在于計(jì)算機(jī)網(wǎng)絡(luò)教室、圖書(shū)館、宿舍等。通過(guò)IP地址和MAC地址的綁定，既可以避免IP地址的盜用，也可以避免ARP病毒和攻擊行為，同時(shí)也可配合網(wǎng)絡(luò)攻擊監(jiān)控日志對(duì)攻擊來(lái)源做出判斷和定位，在上網(wǎng)行為控制策略中可限定網(wǎng)絡(luò)使用者的訪問(wèn)站點(diǎn)范圍，使用的端口等。

3.增強(qiáng)服務(wù)器安全配置，杜絕漏洞掃描攻擊。服務(wù)器是校園網(wǎng)絡(luò)運(yùn)行的核心設(shè)備，也是黑客們攻擊的青睞對(duì)象，一般直接與外部網(wǎng)絡(luò)交流的服務(wù)器受到攻擊的幾率更高，例如web服務(wù)器，大多數(shù)學(xué)校門(mén)戶網(wǎng)站服務(wù)器應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)都安裝在同一臺(tái)服務(wù)器之上，運(yùn)行的網(wǎng)站內(nèi)容管理系統(tǒng)（CMS）種類(lèi)繁雜，有相當(dāng)部分的CMS系統(tǒng)源程序編寫(xiě)不夠嚴(yán)謹(jǐn)，存在缺陷，攻擊者可通過(guò)諸如SQL注入、網(wǎng)站目錄掃描、弱口令破解、上傳木馬提權(quán)等攻擊行為對(duì)門(mén)戶網(wǎng)站進(jìn)行控制，這種情況下，就需要網(wǎng)絡(luò)管理者做好服務(wù)器的安全配置，對(duì)網(wǎng)站程序存在的注入漏洞進(jìn)行查漏填補(bǔ)，例如，一些文本輸入框、文件上傳服務(wù)、用戶登錄入口等，通過(guò)網(wǎng)站信息發(fā)布服務(wù)（IIS、Apache等）進(jìn)行發(fā)布后，由于缺乏對(duì)用戶提交的查詢(xún)字符串中的危險(xiǎn)字符進(jìn)行過(guò)濾，造成某些攻擊者可利用SQL命令進(jìn)行查詢(xún)，從而對(duì)網(wǎng)站數(shù)據(jù)庫(kù)構(gòu)成直接威脅，獲取管理員帳號(hào)并進(jìn)一步獲取系統(tǒng)控制權(quán)限（webshell）。系統(tǒng)管理員需要對(duì)系統(tǒng)關(guān)鍵部位做好安全防護(hù)，如注冊(cè)表SAM目錄的權(quán)限控制，利用操作系統(tǒng)自帶的安全策略，對(duì)遠(yuǎn)程端口訪問(wèn)、IP訪問(wèn)、數(shù)據(jù)庫(kù)進(jìn)程權(quán)限、上傳目錄文件執(zhí)行權(quán)限做出嚴(yán)格細(xì)致的限定。

4.制定科學(xué)的網(wǎng)絡(luò)安全訪問(wèn)策略。這里所說(shuō)的策略，是指網(wǎng)絡(luò)管理員根據(jù)服務(wù)器運(yùn)行的應(yīng)用系統(tǒng)特性，利用服務(wù)器自帶的管理工具創(chuàng)建出的一系列訪問(wèn)控制措施。解決校園網(wǎng)絡(luò)安全并不只是在互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間放置一個(gè)防火墻就高枕無(wú)憂，還需要我們來(lái)加強(qiáng)系統(tǒng)本身的強(qiáng)壯度，關(guān)閉“后門(mén)”和遺漏，關(guān)閉不必要的端口服務(wù)可以保護(hù)網(wǎng)絡(luò)安全，有的校園網(wǎng)絡(luò)部署有內(nèi)部DNS服務(wù)器，為多個(gè)應(yīng)用系統(tǒng)提供二級(jí)域名服務(wù)，基于域名服務(wù)的重要性，一般不推薦與其他系統(tǒng)共用服務(wù)器，這時(shí)我們就要根據(jù)DNS服務(wù)的特性，只開(kāi)放53端口，在系統(tǒng)防火墻中將其設(shè)為例外或在路由器中只映射53端口。比如，網(wǎng)站服務(wù)器所使用的端口為80端口（以IIS為例），我們?cè)谥贫ㄔ摲?wù)器的安全策略時(shí)可以選擇只開(kāi)放80端口，關(guān)閉掉其余無(wú)用的端口服務(wù)，如郵件服務(wù)smtp的25端口，ftp服務(wù)的21端口。

5.建立網(wǎng)絡(luò)安全制度保障，增強(qiáng)運(yùn)維人員技術(shù)水平。校園網(wǎng)絡(luò)的安全問(wèn)題不僅要部署網(wǎng)絡(luò)安全防護(hù)設(shè)備，更需要建立嚴(yán)格的網(wǎng)絡(luò)安全管理制度，需要網(wǎng)絡(luò)用戶自覺(jué)遵守，人人維護(hù)網(wǎng)絡(luò)安全，人人注意網(wǎng)絡(luò)安全，隨著現(xiàn)代教育技術(shù)在校園中的廣泛應(yīng)用，校園網(wǎng)絡(luò)的規(guī)模必將不斷擴(kuò)大，網(wǎng)絡(luò)安全問(wèn)題也變得更加重要，因此，作為學(xué)校網(wǎng)絡(luò)管理員就要不斷學(xué)習(xí)安全防護(hù)知識(shí)，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)。