甘林　譚曉東

摘要：互聯(lián)網(wǎng)是一把雙刃劍，它給人們的生活、工作帶來便利的同時也造成了諸多不安全因素，如黑客攻擊、病毒肆掠、木馬入侵等等。校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施，肩負(fù)著教學(xué)、科研、管理和對外交流等多重角色，如何確保校園網(wǎng)絡(luò)信息的安全，是校園網(wǎng)建設(shè)中的首要問題，必須花大力氣解決此問題。

關(guān)鍵詞：校園網(wǎng)；信息；安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2012）34-8122-03

1網(wǎng)絡(luò)信息安全的含義及其特征

隨著計算機技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國家的政府、軍事、文教等諸多領(lǐng)域，存儲、傳輸和處理的許多信息是政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要的信息。其中有很多是敏感信息，甚至是國家機密，所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等）。通常利用計算機犯罪具有很大的隱蔽性，這也大大刺激了計算機高技術(shù)犯罪案件的發(fā)生。計算機犯罪率的迅速增加，使各國的計算機系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴(yán)重的社會問題之一。

網(wǎng)絡(luò)信息安全有五大特征[1]：

1）完整性 指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲、傳輸，這是最基本的安全特征。

2）保密性 指信息按給定要求不泄漏給非授權(quán)的個人、實體或過程，或提供其利用的特性，即杜絕有用信息泄漏給非授權(quán)個人或?qū)嶓w，強調(diào)有用信息只被授權(quán)對象使用的特征。

3）可用性 指網(wǎng)絡(luò)信息可被授權(quán)實體正確訪問，并按要求能正常使用或在非正常情況下能恢復(fù)使用的特征，即在系統(tǒng)運行時能正確存取所需信息，當(dāng)系統(tǒng)遭受攻擊或破壞時，能迅速恢復(fù)并能投入使用。可用性是衡量網(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能。

4）不可否認(rèn)性 指通信雙方在信息交互過程中，確信參與者本身，以及參與者所提供的信息的真實同一性，即所有參與者都不可能否認(rèn)或抵賴本人的真實身份，以及提供信息的原樣性和完成的操作與承諾。

5）可控性 指對流通在網(wǎng)絡(luò)系統(tǒng)中的信息傳播及具體內(nèi)容能夠?qū)崿F(xiàn)有效控制的特性，即網(wǎng)絡(luò)系統(tǒng)中的任何信息要在一定傳輸范圍和存放空間內(nèi)可控。除了采用常規(guī)的傳播站點和傳播內(nèi)容監(jiān)控這種形式外，最典型的如密碼的托管政策，當(dāng)加密算法交由第三方管理時，必須嚴(yán)格按規(guī)定可控執(zhí)行。

2校園網(wǎng)絡(luò)信息安全應(yīng)

校園網(wǎng)絡(luò)安全主要包括物理設(shè)備安全和網(wǎng)絡(luò)信息安全。物理設(shè)備的安全防范主要是防止設(shè)備被盜、雷擊、電流電壓過大而損毀。這些問題只要能加強常規(guī)檢查，做好基本防護(hù)措施就能得到解決。因此，校園網(wǎng)絡(luò)安全的核心問題是網(wǎng)絡(luò)信息安全。

2.1賀州學(xué)院校園網(wǎng)絡(luò)信息安全狀況

我院校園網(wǎng)建設(shè)與大多數(shù)地方本科院校一樣，受到資金和技術(shù)條件的限制，面臨著如下方面的安全威脅。

2.1.1設(shè)備的配置安全

網(wǎng)絡(luò)設(shè)備的配置安全是指在網(wǎng)絡(luò)設(shè)備上進(jìn)行必要的設(shè)置，防止不懷好意的人取得網(wǎng)絡(luò)設(shè)備的控制權(quán)。我院部分管理員安全意識不強，沒有在網(wǎng)絡(luò)設(shè)備上配置必要的密碼或者密碼設(shè)置過于簡單，導(dǎo)致網(wǎng)絡(luò)故障頻繁發(fā)生。

2.1.2管理上的漏洞

校園網(wǎng)絡(luò)信息安全“三分靠技術(shù)，七分靠管理”，所以，對于網(wǎng)絡(luò)管理相關(guān)人員應(yīng)該要制定嚴(yán)格的管理制度，明確責(zé)任，嚴(yán)格實行責(zé)任追究制。對于因工作上的疏忽而造成重大設(shè)備損壞，關(guān)鍵保密信息泄露等產(chǎn)生嚴(yán)重不良影響的事件，要追究有關(guān)責(zé)任人的責(zé)任，直接與經(jīng)濟利益和年考核掛鉤。

2.1.3各種BUG的影響

計算機的操作系統(tǒng)和各類應(yīng)用軟件不可避免地存在各種各樣的安全漏洞，流行于網(wǎng)絡(luò)上的很多病毒和木馬程序，很容易利用各種BUG竊取和泄露敏感信息。

目錄共享導(dǎo)致信息的外泄。在校園網(wǎng)絡(luò)中，利用在對等網(wǎng)中對計算機中的某個目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個方法。但是當(dāng)一個目錄共享后就成了數(shù)據(jù)資料安全的一個嚴(yán)重隱患。

2.1.4網(wǎng)絡(luò)攻擊

廣義的網(wǎng)絡(luò)攻擊包括很多方面。這里結(jié)合校園網(wǎng)絡(luò)安全的特點，重點介紹在校園網(wǎng)普遍發(fā)生的ARP攻擊和拒絕服務(wù)攻擊（DoS）。

ARP是一個位于TCP/IP協(xié)議中的一個底層協(xié)議，對應(yīng)于數(shù)據(jù)鏈路層，負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址，通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)行。ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，這種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包讓網(wǎng)絡(luò)上特定計算機或所有計算機無法正常連接，還能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信使網(wǎng)絡(luò)阻塞甚至造成網(wǎng)絡(luò)中斷。ARP攻擊十分簡單對于一般熟悉網(wǎng)絡(luò)知識的人都可以使用WinArpAttacker軟件來進(jìn)行ARP攻擊，使用某個用用戶不能正常連接或者是造成某個用戶的IP沖突。對于用戶正常連接造成很太的影響。

拒絕服務(wù)攻擊是通過攻擊主機、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備，導(dǎo)致被攻擊網(wǎng)絡(luò)無法提供正常服務(wù)的一種攻擊方式。典型的拒絕服務(wù)攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大量發(fā)送數(shù)據(jù)從而消耗其資源，使得合法用戶無法正常訪問服務(wù)器。

拒絕服務(wù)攻擊的方法多樣。攻擊者在發(fā)起攻擊時，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯(lián)合使用的模式。就其攻擊手段來說.主要有以下幾種：

1）死亡之Ping早期的網(wǎng)絡(luò)不支持大數(shù)據(jù)包，攻擊者通過網(wǎng)絡(luò)發(fā)送大量的大數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再是一個重要問題了。

2）UDP洪水攻擊攻擊利用如chargen和echo等簡單的TCP／IP服務(wù).相互發(fā)送大量數(shù)據(jù)以占滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。

3）SYN洪水攻擊攻擊者通過向服務(wù)器發(fā)送連續(xù)的SYN握手信息來癱瘓服務(wù)器的攻擊方式。

4）LAND攻擊該攻擊是讓服務(wù)器自己向自己發(fā)送SYN握手信息，以達(dá)到癱瘓主機的目的。

5）電子郵件炸彈通過向一臺服務(wù)器大量地，不間斷地發(fā)送電子郵件，起到癱瘓服務(wù)器的作用。

6）分布式拒絕服務(wù)攻擊它是威力最強大的拒絕服務(wù)攻擊方式，其主要采用多臺服務(wù)器對同一網(wǎng)絡(luò)同時發(fā)起攻擊，導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。

3網(wǎng)絡(luò)信息安全防范措施

根據(jù)我校校園網(wǎng)安全需求和安全威脅，我校的計算機網(wǎng)絡(luò)主要采取了以下的防范措施。

3.1管理措施

我校對于校園網(wǎng)絡(luò)的管理進(jìn)行了明確的分工，責(zé)任落實到具體的部門和具體的個人。設(shè)置了校內(nèi)網(wǎng)絡(luò)中心專職管理部門，負(fù)責(zé)網(wǎng)絡(luò)運行維護(hù)與安全檢查的日常工作。網(wǎng)絡(luò)管理員負(fù)責(zé)整個網(wǎng)絡(luò)及信息的安全工作，建立網(wǎng)絡(luò)事故報告并定期匯報，及時解決突發(fā)事件和問題，同時制定了相應(yīng)的管理制度。

1）中心機房管理制度規(guī)定中心機房由網(wǎng)絡(luò)中心單位負(fù)責(zé)人員進(jìn)行管理，其他無關(guān)人員禁止進(jìn)入中心機房。在機房中安裝了空調(diào)，保持網(wǎng)絡(luò)設(shè)備環(huán)境的適宜和干凈整潔，此外，網(wǎng)絡(luò)設(shè)備安裝在固定的機柜內(nèi)，并安加鎖，確保網(wǎng)絡(luò)服務(wù)器的物理安全。

2）訪問記錄和檢查處理制度對每個使用網(wǎng)絡(luò)設(shè)備的人員都要進(jìn)行記名登記制度，便于監(jiān)督學(xué)生使用設(shè)備情況和損壞責(zé)任追究。此外，由網(wǎng)絡(luò)中心人員監(jiān)控網(wǎng)絡(luò)的運行，建立和定期檢查網(wǎng)絡(luò)的訪問日志，發(fā)現(xiàn)惡意使用網(wǎng)絡(luò)和惡意攻擊時如實分析和上報并作出及時處理。

3）口令安全管理網(wǎng)絡(luò)管理員對入網(wǎng)計算機和使用者進(jìn)行登記，由網(wǎng)絡(luò)中心負(fù)責(zé)對其進(jìn)行監(jiān)督和檢查，任何人不得更改IP及網(wǎng)絡(luò)設(shè)置。對于系統(tǒng)配置等一些統(tǒng)一規(guī)范的部分建立口令，防止學(xué)生等其他人員隨意訪問或修改。

3.2數(shù)據(jù)備份

數(shù)據(jù)備份是把文件或數(shù)據(jù)庫從原來存儲的地方復(fù)制到其他地方的活動，其目的是為了在設(shè)備發(fā)生故障或發(fā)生其他威脅數(shù)據(jù)安全的災(zāi)害時保護(hù)數(shù)據(jù)，將數(shù)據(jù)遭破壞的程度減到最小[2]。它是通過增加數(shù)據(jù)的冗余度來達(dá)到保護(hù)數(shù)據(jù)安全的目的。如果數(shù)據(jù)被銷毀或破壞，數(shù)據(jù)備份將是恢復(fù)資料的唯一途徑。數(shù)據(jù)備份能在較短的時間內(nèi)用比較小的代價，將有價值的數(shù)據(jù)存放到與初始創(chuàng)建的存儲位置相異的地方，在數(shù)據(jù)被破壞時，再在較短的時間和非常小的代價花費下將數(shù)據(jù)全部恢復(fù)或部分恢復(fù)。

數(shù)據(jù)備份的可使用的介質(zhì)很多，根據(jù)其使用的介質(zhì)種類可以將數(shù)據(jù)備份方法分成如下若干種：軟盤備份、磁帶備份、可移動存儲備份、本機多硬盤備份、網(wǎng)絡(luò)備份[2]。由網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)備份，網(wǎng)絡(luò)管理員根據(jù)不同情況選擇相應(yīng)一種或幾種的數(shù)據(jù)備份方法，利用Windows自帶的功能也可以實現(xiàn)正常備份、差異備份、增量備份。網(wǎng)絡(luò)系統(tǒng)的應(yīng)用軟件采用雙機熱備份的方法，這是為了防止學(xué)校的數(shù)據(jù)或系統(tǒng)遭到破壞時可以很快的從另一臺主機那將數(shù)據(jù)或系統(tǒng)進(jìn)行恢復(fù)。此外，數(shù)據(jù)庫采用定期手工備份和系統(tǒng)自動備份等手段保證數(shù)據(jù)的可靠性。

3.3防火墻部署

我院在防火墻部署方案中，根據(jù)學(xué)校校園網(wǎng)安全策略和安全目標(biāo)，配置了CiscoASA5520防火墻，并將其部署在校園網(wǎng)的入口位置，它能很好的將Internet與學(xué)校內(nèi)部網(wǎng)絡(luò)隔離開來，從而對內(nèi)網(wǎng)和外網(wǎng)之間的訪問提供了安全保障。

防火墻是學(xué)校校園網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備。網(wǎng)絡(luò)管理員根據(jù)學(xué)校校園網(wǎng)絡(luò)自身的安全需求和制定的安全策略，設(shè)計必要的安全過濾規(guī)則，該規(guī)則對流經(jīng)防火墻的數(shù)據(jù)所使用的網(wǎng)絡(luò)協(xié)議和訪問端口號等內(nèi)容進(jìn)行檢測，監(jiān)控通過防火墻的數(shù)據(jù)，允許和禁止特定數(shù)據(jù)包的通過，并對所有事件進(jìn)行監(jiān)控和記錄。如此，網(wǎng)絡(luò)管理員可以定期查看防火墻訪問日志，即可及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄，使校園內(nèi)部網(wǎng)絡(luò)既能對外正常提供Web訪問、FTP下載等服務(wù)的同時，又能保護(hù)內(nèi)部網(wǎng)絡(luò)不被惡意者攻擊，從而實現(xiàn)對校園網(wǎng)進(jìn)行保護(hù)。

配置防火墻可防TCP、UDP等端口掃描、防源路由攻擊、ICMP攻擊、DoS/DDoS攻擊等，同時可提供監(jiān)控和警告功能，支持URL過濾等，此外，可檢測、識別和驗證應(yīng)用類型和處理流量，以便及時發(fā)現(xiàn)并阻止流量和用戶利用開放端口非法侵入網(wǎng)絡(luò)。通過配置防火墻，還可以對外部屏蔽一些校內(nèi)網(wǎng)絡(luò)的資源，使外部用戶無法訪問這些資源，但對于公開的資源，比如校園網(wǎng)站，就可以給外部用戶正常訪問，從而確保校園網(wǎng)絡(luò)數(shù)據(jù)的部分開放性和安全性。

3.4訪問權(quán)限控制

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，訪問權(quán)限控制本質(zhì)上是限制對資源使用，決定主體是否被授權(quán)對客體執(zhí)行某種操作，只有經(jīng)過授權(quán)的用戶在向系統(tǒng)正確提交并驗證通過身份后，才允許訪問特殊的系統(tǒng)資源[3]。對系統(tǒng)中的不同用戶分配不同的權(quán)限，使角色和權(quán)限有效地連接起來，限制了非法用戶登錄系統(tǒng)并占用或破壞系統(tǒng)資源，同時限制了用戶的越權(quán)訪問或越權(quán)操作，只給授權(quán)的用戶使用授權(quán)的服務(wù)，大大增強了系統(tǒng)的信息安全性。此外，對訪問Internet進(jìn)行了限制，統(tǒng)一經(jīng)代理服務(wù)器接入Internet并安裝了防火墻，如此減少外部的威脅，確保校內(nèi)網(wǎng)的安全性。

3.5合法用戶自我防范

提高合法用戶的自我防范意識和安全意識。用戶不應(yīng)該隨便告訴自己的口令給他人知道，應(yīng)妥善保管和使用帳號和密碼，而且密碼的設(shè)置應(yīng)數(shù)字、字母或特殊符號相結(jié)合，增加密碼的復(fù)雜性，且定期更換密碼。此外，用戶應(yīng)減少資源的共享。

此外，為了做到安全上網(wǎng)，用戶應(yīng)該做到幾點防范：安裝個人防火墻和殺毒軟件，并及時更新殺毒軟件，使用安全合理的密碼口令；不要隨意下載和運行不明軟件等，一般到官方網(wǎng)站下載需要的軟件；此外，必須提高個人的危險意識，不要隨意訪問一些陌生的網(wǎng)站，且要經(jīng)得住一些惡意網(wǎng)站的誘惑，養(yǎng)成良好的上網(wǎng)習(xí)慣。

3.6病毒防治

病毒防治是計算機網(wǎng)絡(luò)安全非常重要的措施。因為一旦病毒進(jìn)入到整個校園網(wǎng)絡(luò)中感染、傳播，就會致使網(wǎng)絡(luò)系統(tǒng)資源遭到破壞，嚴(yán)重時甚至?xí)?dǎo)致網(wǎng)絡(luò)的癱瘓。對此，學(xué)院中的每臺計算機上都安裝了瑞星殺毒軟件，用以對已知病毒、黑客程序的查找，實時監(jiān)控和清除，恢復(fù)被病毒感染的文件或系統(tǒng)。此外，網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。由網(wǎng)絡(luò)中心定期地對軟件進(jìn)行更新，借助瑞星全新研發(fā)的虛擬化引擎，能夠?qū)δ抉R、后門、蠕蟲等惡意程序進(jìn)行極速智能查殺，保證極高的病毒查殺率。我院主要采取了“防殺結(jié)合、以防為主、以殺為輔”的病毒防治策略。

3.7制定緊急預(yù)案

網(wǎng)絡(luò)管理員監(jiān)測校園網(wǎng)的日常運行情況，一旦發(fā)現(xiàn)網(wǎng)絡(luò)異常，網(wǎng)絡(luò)管理員要進(jìn)行記錄，并迅速分析故障類型，采取緊急措施防止損失發(fā)生或降低損失程度，然后上報網(wǎng)絡(luò)中心或政府有關(guān)部門尋求援助以恢復(fù)系統(tǒng)的正常運行。

4結(jié)束語

隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)信息安全變得越來越重要。如今，網(wǎng)絡(luò)信息安全要求對整個網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行保護(hù)和防范，以確保它們的安全性。

計算機網(wǎng)絡(luò)信息安全問題是一個長期而艱巨的問題。隨著科技的不斷發(fā)展，計算機網(wǎng)絡(luò)也會更加復(fù)雜，網(wǎng)絡(luò)安全包含復(fù)雜的技術(shù)問題，涉及的問題也很深。當(dāng)然，網(wǎng)絡(luò)安全不僅是一個技術(shù)問題，也是一個社會道德問題和法律問題。要解決網(wǎng)絡(luò)信息的安全問題，必須采取技術(shù)和立法等多種手段進(jìn)行綜合治理。

參考文獻(xiàn)：

[1]徐明，張海平.網(wǎng)絡(luò)信息安全[M].西安：西安電子科技大學(xué)出版社，2006，7.

[2]顧巧論，高鐵杠，賈春福.計算機網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2004.

[3]王達(dá).網(wǎng)管員必讀-超級網(wǎng)管經(jīng)驗談[M].北京：電子工業(yè)出版社，2005.