摘要:文章針對目前高校校園網面臨的各種安全威脅進行了分析,列舉出了影響校園網安全的因素,并從網絡安全技術和網絡安全管理兩個方面提出了對策。校園網的安全問題是一個較為復雜的系統(tǒng)工程,需要全方位防范,防范不僅是被動的,更要主動進行。

關鍵詞:校園網絡;網絡安全;安全策略;入侵檢測;入侵防御

中圖分類號:TP334文獻標識碼:A文章編號:1009-2374(2009)20-0177-03

隨著教育信息化的發(fā)展,計算機校園網絡系統(tǒng)成為學校重要的現(xiàn)代化基礎設施,為學校建設提供安全、可靠、快捷的網絡環(huán)境,學校的學生思想教育、教學、科研、管理等工作對網絡的依賴性將越來越強,校園網的安全狀況直接影響到這些活動的順利進行,因此,保障校園網絡信息安全已經成為當前各高校網絡建設中不可忽視的首要問題。

一、校園網網絡安全問題分析

校園網具有速度快、規(guī)模大,計算機系統(tǒng)管理復雜,隨著其應用的深入,校園網絡的安全問題也逐漸突出,直接影響著學校的教學、管理、科研活動。因此,在全面了解校園網的安全現(xiàn)狀基礎上,合理構建安全體系結構,改善網絡應用環(huán)境的工作迫在眉睫。當前,校園網網絡常見的安全隱患有以下幾種:

1.計算機系統(tǒng)漏洞。目前,校園網中廣泛使用的網絡操作系統(tǒng)主要是Windows,存在各種各樣的安全問題,服務器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞。而且隨著時間的推移,將會有更多漏洞被人發(fā)現(xiàn)并利用。許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染,如不對操作系統(tǒng)進行及時更新,這些漏洞就是一個個安全隱患。

2.計算機病毒的破壞。計算機病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、使網絡效率下降、甚至造成計算機和網絡系統(tǒng)的癱瘓,是影響校園網絡安全的主要因素。計算機病毒具有以下特點:一是攻擊隱蔽性強;二是繁殖能力強;三是傳染途徑廣;四是潛伏期長;五是破壞力大。如ARP欺騙病毒、熊貓燒香病毒,網絡執(zhí)行官、網絡特工、ARPKILLER、灰鴿子等木馬病毒,表現(xiàn)為集體掉線、部分掉線、單機掉線、游戲帳號、QQ帳號、網上銀行卡等帳號和密碼被盜等,嚴重威脅了校園網絡的正常使用。

3.來自網絡外部的入侵、攻擊等惡意破壞行為。校園網與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。黑客也經常利用網絡攻擊校園網的服務器,以竊取一些重要信息。目前在因特網上,可以自由下載很多攻擊工具,這類攻擊工具設置簡單、使用方便,破壞力大,這意味著攻擊所需要的技術門檻大大降低。因此,一個技術平平的普通攻擊者很可能就是對網絡系統(tǒng)造成巨大危害的黑客。

4.校園網內部的攻擊。高校校園網是廣大師生進行教學與科研活動的主要平臺,由于高校部分學生對網絡知識很感興趣,具有相當高的專業(yè)知識水平,對內部網絡的結構和應用模式又比較了解,攻擊校園網就成了他們表現(xiàn)自己能力的方式,實踐自己所學知識的首選,經常有意無意的攻擊校園網系統(tǒng),干擾校園網的安全運行。

5.校園網用戶對網絡資源的濫用。實際上有相當一部分的Internet訪問是與工作無關的,有人利用校園網資源進行商業(yè)的或免費的視頻、軟件資源下載服務,甚至有的是去訪問色情、暴力、反動站點,導致大量非法內容或垃圾郵件出入,占用了大量珍貴的網絡帶寬,Internet資源嚴重被浪費,造成流量堵塞、上網速度慢等問題,而且不良信息內容也極大地危害青少年學生的身心健康。

6.非正常途徑訪問或內部破壞。在高校中,有人為了報復而銷毀或篡改人事檔案記錄;有人私自改變程序設置,引起系統(tǒng)混亂;有人越權處理公務,為了個人私利竊取機密數(shù)據(jù);一些學生通過非正常的手段獲取習題的答案或者在考試前獲得考試內容,使正常的教學練習失去意義。這些行為都嚴重地破壞了學校的管理秩序。

7.網絡硬件設備受損。校園網絡涉及硬件的設備分布在整個校園內,管理起來有一定的難度,暴露在外面的設施,都有可能遭到有意或無意地損壞,這樣可能會造成校園網絡全部或部分癱瘓的嚴重后果。

8.校園網安全管理有缺陷。隨著校園內計算機應用的大范圍普及,接入校園網的計算機日益增多,如果管理措施不力,隨時有可能造成病毒傳播泛濫、信息丟失、數(shù)據(jù)損壞、網絡被攻擊、系統(tǒng)癱瘓等嚴重后果。校園計算機網絡建設普遍存在重視硬件投入,忽視軟件投資;重運行,輕管理的現(xiàn)象。主要表現(xiàn)為對網絡安全的認識不足,將網絡系統(tǒng)作為一項純技術工程來實施,沒有一套完善的安全管理方案;網絡系統(tǒng)管理員只將精力集中于IP的申請分配和開通、賬戶的維護、各服務器上應用系統(tǒng)日常維護、系統(tǒng)日志的審查和網絡規(guī)范的設計及調整上,而很少去研究網絡安全狀態(tài)的發(fā)展變化、入侵手段、防范措施、安全機制等。

二、原因分析

1.網絡安全維護的投入不足。網絡安全維護的工作量是很大的,并且很困難,需要一定的人力、物力,然而大多數(shù)學校在校園網上的設備投入和人員投入很不充足,有限的經費也往往主要用在網絡設備購置上,對于網絡安全建設,普遍沒有比較系統(tǒng)的投入。

2.網絡管理員責任心不強。很多學校的網絡管理員都具有一定的專業(yè)水平,基本可以勝任本職工作,但是可能由于學校領導對網絡安全不是很重視,或者因為個人某些方面的原因,造成工作熱情不高、責任心不強,所以也就不會花很多的精力去維護網絡、維護硬件。

3.師生的網絡安全意識和觀念淡薄。很多學生包括部分教師對網絡安全不夠重視,法律意識也不是很強。通過網絡,或通過帶毒的移動存儲介質,經常有意無意的傳播病毒,攻擊校園網系統(tǒng),干擾校園網的安全運行。

4.盜版資源泛濫。由于缺乏版權意識,盜版軟件、影視資源在校園網中普遍使用,這些軟件的傳播一方面占用了大量的網絡帶寬;另一方面也給網絡安全帶來了一定的隱患。比如,盜版安裝的計算機系統(tǒng)今后會留下大量的安全漏洞。系統(tǒng)自動更新引起的電腦黑屏事件,就是因為Microsoft公司對盜版的XP操作系統(tǒng)的更新作了限制。另一方面,從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統(tǒng)因此被攻擊者侵入和利用。

三、對策措施

校園網的安全問題是一個較為復雜的系統(tǒng)工程,要從用戶、管理、技術三方面的因素來考慮。從嚴格的意義上來講,100%的安全網絡系統(tǒng)是沒有的,網絡安全工作是一個循序漸進、不斷完善的過程。 在目前的情況下,需要全面考慮綜合運用防火墻、入侵檢測、殺毒軟件等多項技術,互相配合、加強管理。為了提高校園網絡的安全性,提出以下幾點安全策略:

1.身份認證技術。身份認證是對通信方進行身份確認來阻止非授權用戶進入。常用的身份認證方法有口令認證法。主要是給系統(tǒng)管理員帳戶設置足夠復雜的強密碼,最好是字母+數(shù)字+符號的組合;系統(tǒng)管理員的口令應嚴格管理,不定期地予以更換。很多用戶的Windows XP/2000系統(tǒng)卻根本沒有設置密碼,有的用戶,雖然也設置了密碼,但密碼要么全是數(shù)字的,要么很短,對于這類密碼,可以輕易的破解。

2.防范系統(tǒng)安全漏洞。及時更新操作系統(tǒng),安裝各種補丁程序非常重要。一般用戶需要借助第三方產品(如:漏洞掃描系統(tǒng))的幫助,及時發(fā)現(xiàn)安全隱患。目前,許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染的。比如“紅色代碼”病毒就是利用Windows 2000 Server IIS漏洞進行傳播的;“沖擊波”病毒是利用Windows 2000、Windows XP、Windows 2003操作系統(tǒng)的RPC漏洞進行傳播的;還有一些病毒是利用IE的漏洞進行傳播的。那么,如何才能有效地保護系統(tǒng)不受病毒感染呢?可以通過安裝360安全衛(wèi)士或其它功能類似的軟件來給系統(tǒng)的漏洞打好補丁,這樣可以有效地保護系統(tǒng)。

3.防范計算機病毒。計算機病毒防范工作,首先是防范體系的建立,沒有一個完善的防范體系,一切防范措施都將滯后于計算機病毒的危害。(1)作為校園網的網絡管理人員,要為系統(tǒng)使用安全策略,如賬戶設定、審核策略、網絡訪問、安全選項設定等,使用安全策略不僅可以有效防范病毒,監(jiān)控系統(tǒng)狀態(tài),還可以防范黑客攻擊。(2)選擇合適的防病毒軟件,及時更新病毒庫。防病毒軟件分為兩大類:網絡版和單機版。單機版防毒軟件適用于個人用戶,管理功能相對較弱。從網絡管理和病毒監(jiān)控的角度來說,校園網更適用網絡版防毒軟件,因為網絡版防毒軟件的管理功能更強大,校園網的管理員只要及時在服務器端進行升級,客戶端啟動后就可自動升級,網管員還可對所有安裝客戶端的計算機進行病毒監(jiān)控、進行遠程殺毒,及時了解校園網中病毒疫情。(3)計算機用戶要增強網絡安全意識。不要輕易使用盜版和存在安全隱患的軟件;不輕易瀏覽一些缺乏可信度的網站;不要隨便打開不明來歷的電子郵件,尤其是郵件附件中的EXE和COM等可執(zhí)行程序,對方發(fā)過來的電子郵件及相關附件的文檔,首先要“另存為...”命令保存到本地硬盤,待用殺毒軟件檢查無毒后才可以打開使用;不要隨便共享文件和文件夾,即使要共享,也得設置好權限。

4.網絡監(jiān)控措施。在不影響網絡正常運行的情況下,增加內部網絡監(jiān)控機制,可以最大限度地保護網絡資源。如:配備入侵檢測系統(tǒng)(IDS,Intrusion Detection System),入侵防御系統(tǒng)(IPS,Intrusion Prevention System),Web、E-mail、BBS的安全監(jiān)測系統(tǒng)和網絡監(jiān)聽系統(tǒng)等。通過監(jiān)控手段,增強網絡安全的自我適應性和反應能力,及時發(fā)現(xiàn)不安全因素,從而保證網絡服務的正常提供。通過使用網管軟件、日志分析軟件、MRTG和Sniffer等工具,形成一個功能較完整、覆蓋面較廣的監(jiān)控管理系統(tǒng)。

5.網絡安全隔離。防火墻作為一種將內外網隔離的技術,普遍運用于校園網安全建設中。合理使用防火墻,可以構筑內外網之間的安全屏障,有效地將內部網與外部網隔離開來,有利于提高網絡抵抗黑客攻擊的能力和系統(tǒng)的安全性。在WindowsXP/2000系統(tǒng)中可以開啟自身帶的防火墻功能,但最好還是安裝專業(yè)的防火墻軟件,如天網、360安全衛(wèi)士和瑞星防火墻等。

6.數(shù)據(jù)備份和恢復。對于計算機而言,最重要的應該是硬盤中存儲的數(shù)據(jù)。用戶數(shù)據(jù)不要與系統(tǒng)共用一個分區(qū),避免因重裝系統(tǒng)造成數(shù)據(jù)丟失。重要的數(shù)據(jù)要及時備份,備份前要進行病毒查殺,數(shù)據(jù)備份可采取異地備份、光盤備份等多種方式。對于校園網的管理員來說,要做好各種應急準備工作,必須要有一套應急修復工具,如系統(tǒng)啟動盤、DOS版殺毒盤、緊急系統(tǒng)恢復盤、各種操作系統(tǒng)盤、常用應用軟件包、最新系統(tǒng)補丁盤等,并且做好分區(qū)表、DOS引導扇區(qū)、注冊表等的備份工作,這樣可提高系統(tǒng)維護和修復時的工作效率。

7.制定切實可行的網絡安全管理制度。為了確保整個網絡的安全有效運行,有必要對網絡進行全面的安全性分析和研究,制定出一套滿足網絡實際安全需要的、切實可行的安全管理。主要包括以下幾方面的內容:(1)建立一個權威的信息安全管理機構,制定統(tǒng)管全局的網絡信息安全規(guī)定;(2)制定網絡管理員的激勵制度,促使他們提高工作熱情,加強工作責任心;(3)對網絡管理員進行專業(yè)知識和技能的培訓,培養(yǎng)一支具有安全管理意識的網管隊伍,使他們從技術上提高應對各種攻擊破壞的能力;(4)把網絡信息安全的基本知識納入學校各專業(yè)教育之中;(5)對學校教師和其他人員進行信息安全知識普及教育;(6)在學校的網站設立網絡安全信息發(fā)布欄目,發(fā)布網絡法令法規(guī)、網絡病毒公告、操作系統(tǒng)更新公告等,并提供常用軟件的補丁下載。

四、結語

校園網的安全問題是一個較為復雜的系統(tǒng)工程, 需要全方位防范,防范不僅不是被動的,更要主動進行。在網絡安全日益影響到校園網運行的情況下,要完善校園網管理制度,對相關的校園網管理人員進行培訓,對學生進行網絡道德的教育,提高公德意識;安裝最新的防病毒軟件和病毒防火墻,不斷安裝軟件補丁更新系統(tǒng)漏洞,對重要文件要進行備份,從多個方面進行防范,盡一切可能去制止、減小一切非法的訪問和操作,把校園網的不安全因素降到最少。

參考文獻

[1]劉欽創(chuàng).高校校園網的安全現(xiàn)狀與對策[J].現(xiàn)代計算機,2006,(3).

[2]楊波.從信息安全角度看校園網發(fā)展現(xiàn)狀[J].甘肅科技,2007,(3).

[3]陳新建.校園網的安全現(xiàn)狀和改進對策[J].網絡安全技術與應用,2007,(3).

作者簡介:蔣玉芳(1981-),女,廣西桂林人,廣西河池職業(yè)學院助教,研究方向:網絡安全。