李春青

廣西民族師范學院 廣西 532200

0 引言

校園網(wǎng)絡是數(shù)字化校園的基礎，是衡量高校信息化建設程度的重要標準之一，對加快信息處理、資源優(yōu)化利用、提高工作效率、實現(xiàn)資源共享等都起到了不可估量的作用，擔當著學校日常辦公、對外交流、科研教學管理等重要任務。然而，薄弱的校園網(wǎng)絡安全系統(tǒng)也成為一個重要的問題擺在我們面前，如何保證校園網(wǎng)能很好的為學校服務，又要保護學校的投資，實現(xiàn)整個網(wǎng)絡具有高度的穩(wěn)定性、可用性和安全性，避免不被攻擊和破壞，已經(jīng)成為高校網(wǎng)絡管理部門日常重要工作和首要任務。

1 校園網(wǎng)絡存在的安全威脅

高校網(wǎng)絡是一個半開放的Internet系統(tǒng)，具有用戶數(shù)量大、信息交換頻繁、服務多樣化等特點，所面臨的安全問題有來自互聯(lián)網(wǎng)的安全威脅和組成學校網(wǎng)絡系統(tǒng)各個層面的問題。

1.1 外部威脅

(1) 來自網(wǎng)絡病毒的威脅

計算機病毒是一組具有破壞性的計算機程序，具有隱蔽性、破壞性和傳染性的特點，隨著網(wǎng)絡信息的傳播而蔓延開來。隨著網(wǎng)絡技術快速發(fā)展和社會信息化進程的加快，當今互聯(lián)網(wǎng)上的病毒層出不窮，使得世界每一個角落的計算機系統(tǒng)時刻處于受威脅的狀態(tài)。這些計算機病毒輕則直接影響計算機運行速度，破壞網(wǎng)絡資源使用效率，重則破壞系統(tǒng)軟件和文件系統(tǒng)，甚至損壞計算機硬件系統(tǒng)，造成不可挽回的損失。校園網(wǎng)絡所提供的資源共享、郵件服務、網(wǎng)絡下載等功能更是為病毒傳播打開了一扇大門，因此，病毒防范的任務更加重要。

(2) 黑客攻擊

黑客利用其掌握的計算機技術，利用互聯(lián)網(wǎng)訪問協(xié)議漏洞和主機端口的開放性，進行信息的非法訪問和篡改。其常用攻擊手段有后門程序、信息炸彈、拒絕服務、網(wǎng)絡監(jiān)聽和密碼破解等。高校網(wǎng)絡信息具有的特殊性成了黑客攻擊的主要目標，據(jù)統(tǒng)計，每年高考考生填報志愿之際，幾乎所有高校都被黑客非法訪問和篡改數(shù)據(jù)，做好防范黑客攻擊的工作尤為重要。

1.2 內部攻擊

高校的校園網(wǎng)絡是一個具有一定規(guī)模的小型網(wǎng)絡系統(tǒng)，用戶復雜。高校生一直以來都是網(wǎng)絡活躍用戶，具有強烈的好奇心和征服欲，且很多同學掌握的計算機技術水平較高，且有很強的動手能力，他們經(jīng)常有意無意掃描攻擊校園網(wǎng)，并以此為炫耀自己的手段。另外，校園網(wǎng)絡用戶經(jīng)常利用提供的下載功能下載電影、音樂和其它文件等，無形中造成網(wǎng)絡堵塞和病毒傳播。因此，來自內部的威脅帶來的嚴重性一點都不亞于來自外部的威脅。

1.3 所使用軟件漏洞問題

校園安全網(wǎng)絡中，關鍵的部分是主機系統(tǒng)的安全，主機系統(tǒng)一般由操作系統(tǒng)和應用軟件組成。當前所使用的操作系統(tǒng)主要是Windows、Linux和Unix操作系統(tǒng)，這些操作系統(tǒng)都是符合C2 級安全級別的操作系，但是這些系統(tǒng)本身存在著不少漏洞，這些漏洞對于系統(tǒng)的正常運行不影響，如果對這些漏洞處理不當，將成為攻擊者利用的攻擊途徑，對校園網(wǎng)絡構成嚴重的威脅。很多高校網(wǎng)站管理系統(tǒng)是使用開放的源代碼修改而成，存在先天性安全隱患，再加上一些網(wǎng)站開發(fā)技術人員缺少安全意識，注重網(wǎng)站系統(tǒng)的使用而不注重系統(tǒng)的安全考慮，導致SQL注入式攻擊和跨腳本攻擊普遍存在，網(wǎng)站信息極易被修改。在我國，盜版軟件、影視資料在校園中普遍使用，這些隨意從網(wǎng)絡下載的軟件可能隱藏著后門、木馬程序等惡意代碼，是攻擊者慣用手段之一。

1.4 網(wǎng)絡系統(tǒng)硬件安全

在網(wǎng)絡系統(tǒng)中，硬件安全是最脆弱的。校園網(wǎng)絡系統(tǒng)中所需設備分布廣泛，不可能做到時刻都能全面監(jiān)控這些校園網(wǎng)絡設備，也不是所有設備都能上鎖。這些硬件設備不僅承受來自大自然的威脅，如雷擊、地震、水災、火災等，還要面臨人為有意或無意的破壞。

1.5 安全意識的單薄和投入的欠缺

雖然，很多高校較之以前對校園網(wǎng)絡的投入已經(jīng)加大，但是隨著高校的擴建，校園網(wǎng)絡建設仍然遠遠滯后于高校的發(fā)展需求，很多院校為了應付擴張的校園需求，在校園網(wǎng)絡設計方面僅僅是為了滿足高校的運行需求倉促設計并投入使用的，并非基于安全而設計，在安全設計上有先天不足。在很多高校，網(wǎng)絡管理部門僅有少數(shù)的管理工作所人員，這些工作人員甚至有些是“半道出家”的非專業(yè)人員。他們除了維護網(wǎng)絡的正常運行，還要無條件管理和維護成千上萬臺計算機的安全，根本無暇顧及網(wǎng)絡的安全問題。

1.6 管理職責不明確

校園網(wǎng)絡中使用人員眾多，計算機系統(tǒng)復雜、面大、點多。網(wǎng)絡管理工作人員不僅要保證正常的教學工作需求，還要同時保證各種學生成績管理系統(tǒng)、教務管理系統(tǒng)、人事管理系統(tǒng)的廣泛應用。對用戶的網(wǎng)絡規(guī)范使用方面的宣傳教育和上網(wǎng)監(jiān)管方面工作不到位，經(jīng)常出現(xiàn)由于網(wǎng)內某個點的有意或無意攻擊而引起的整個網(wǎng)絡攻擊事件。完善校園網(wǎng)絡管理制度有待加強。

2 校園網(wǎng)絡安全防范措施

2.1 加強網(wǎng)絡病毒防范體系建設

校園網(wǎng)絡病毒傳播路徑眾多，可通過網(wǎng)絡下載、電子郵件、盜版軟件使用、U盤拷貝等傳播路徑潛入校園網(wǎng)絡，網(wǎng)絡中一旦有一臺機器受病毒感染，則病毒程序就會在極短時間內迅速擴散，有可能感染所有的主機，在校園網(wǎng)絡中安裝可升級的網(wǎng)絡版的防病毒系統(tǒng)，集中控制、管理查殺網(wǎng)絡系統(tǒng)服務器和終端的病毒，保護整個校園網(wǎng)絡不被病毒侵害。在高校，98%以上的用戶使用的是Windows操作系統(tǒng)，這些操作系統(tǒng)本身具有漏洞，如果系統(tǒng)有漏洞沒有補上，即使使用最好的網(wǎng)絡安全系統(tǒng)或防病毒系統(tǒng)也是，沒有在源頭上解決安全問題。所以，在做好病毒防范的同時，還要利用漏洞掃描器定時對系統(tǒng)進行安全評估，發(fā)現(xiàn)安全隱患并實施修復，這樣方可達到網(wǎng)絡相對的持續(xù)安全。

2.2 加強網(wǎng)絡體系硬件安全管理

如何構建一個安全的物理環(huán)境是整個高校網(wǎng)絡系統(tǒng)方案中首先要考慮的問題。物理安全主要從以下幾個方面著手：

(1) 計算機網(wǎng)絡通信系統(tǒng)運行環(huán)境應該按照國家有關標準實施。

(2) 要保證各硬件設備隨時處于良好的工作狀態(tài)，建立健全設備使用管理制度，建立設備運行日志等。

(3) 保障電源安全，主要從電源穩(wěn)定供應、輸電線路安全兩方面入手。

通信設備要具備一定的對抗自然因素和人為因素破壞的能力，還要具有防電磁信息泄露、線路截獲和對抗干擾的能力。

2.3 數(shù)據(jù)備份和恢復

在所有的數(shù)據(jù)安全戰(zhàn)略中，數(shù)據(jù)備份技術是最基礎的工作之一也是系統(tǒng)災難發(fā)生之后恢復的前提條件，在數(shù)據(jù)完整性遭到破壞前起到保護作用。 通過數(shù)據(jù)備份，一個存儲系統(tǒng)乃至整個網(wǎng)絡系統(tǒng)，在發(fā)生災難后，完全可以回到過去某個時間狀態(tài)，能夠最快速的保證系統(tǒng)恢復正常工作。流行的數(shù)據(jù)恢復工具有：Finaldata、EasyRecovery、DataExplore、R-Studio和Lost&Found等。

2.4 建立完善的校園網(wǎng)絡信息安全管理制度

制定嚴格的管理制度，明確各層用戶各部門人員安全職責劃分，從校領導層到安全管理小組，再到每一位教職工，層層制定相應的信息安全職責要求和監(jiān)督管理制度，從信息源頭上保證信息不外泄。對網(wǎng)絡管理人員的專業(yè)知識和操作技能進行培訓和加強。

2.5 使用其它技術手段加強網(wǎng)絡安全防范與檢測

(1) 防火墻技術

防火墻是設置在校園網(wǎng)絡與外部網(wǎng)絡之間的第一道安全屏障，也是抵御未授權訪問和黑客入侵的有效手段，是使用最廣泛的校園網(wǎng)絡系統(tǒng)安全策略工具之一。防火墻通過檢測、過濾和限制通過其的數(shù)據(jù)流，盡可能的對外屏蔽內網(wǎng)信息，有效監(jiān)控內網(wǎng)與外部互聯(lián)網(wǎng)之間的通信，保障校園內部網(wǎng)絡安全。

(2) 入侵檢測技術

隨著計算機技術的發(fā)展，攻擊技術和手段越來越發(fā)復雜，甚至繞過防火墻進入內網(wǎng)，傳統(tǒng)的單一的防火墻防御系統(tǒng)已經(jīng)不能擋住這些攻擊。近年來，入侵檢測等主動防御技術得到了重視和發(fā)展。入侵檢測系統(tǒng)可以對網(wǎng)絡傳輸進行即時監(jiān)控，發(fā)現(xiàn)可疑的傳輸時發(fā)出警報或者采取主動反應措施。在校園網(wǎng)絡中，可采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)。基于網(wǎng)絡入侵檢測系統(tǒng)布置于關鍵的網(wǎng)絡接入點，而基于主機的網(wǎng)絡入侵檢測系統(tǒng)布置與關鍵服務器主機系統(tǒng)，架構成一套完整立體的主動防護體系。

(3) 訪問控制技術

訪問控制技術可以檢測和拒絕網(wǎng)絡中那些未經(jīng)授權訪問的用戶，最大限度的保護校園網(wǎng)絡資源的安全。訪問控制技術授權正常用戶訪問校內網(wǎng)絡資源，比如授權系統(tǒng)管理員控制用戶對服務器、目錄和文件等資源的訪問以及操作，保證內網(wǎng)資源不被非法訪問、非法使用和非法破壞。

(4) 數(shù)據(jù)加密技術

加密技術主要為了防止數(shù)據(jù)傳輸過程中明文信息受到被動攻擊而采取的有效措施。數(shù)據(jù)加密技術在數(shù)據(jù)信息傳輸前對數(shù)據(jù)信息采取重新組合的方式打亂信息，而獲取數(shù)據(jù)信息的人只有知道用于還原數(shù)據(jù)的密鑰才能解碼并還原數(shù)據(jù)，這措施更適用于開放的網(wǎng)絡環(huán)境中，對動態(tài)數(shù)據(jù)實施保護，提高數(shù)據(jù)的安全性。

3 結束語

校園網(wǎng)絡安全建設是一個復雜、龐大的體系工程，涉及技術、設備、人員和管理制度等多方面的因素，需要從整體上進行規(guī)劃和把握，沒有切實可行的安全保障體系，建設安全的高校校園網(wǎng)絡系統(tǒng)就成了空談。各高校應切實嚴格按照國家制定的安全標準“因地制宜”制定更為合適的網(wǎng)絡建設要求，將人員與技術、部門與整體、被動防御與主動檢測、制度與管理結合起來，形成一套完整的、協(xié)調一致、有章可循的網(wǎng)絡安全防護體系，這樣才能有效控制和減少校園網(wǎng)的隱患。

[1] 張軍偉.高校網(wǎng)絡安全分析及其對策.技術應用.2009.

[2] 張同光.信息安全技術實用教程.電子工業(yè)出版社.2010.

[3] 趙君梅.校園網(wǎng)絡安全方案的設計與實現(xiàn).重慶大學.2009.