莫泓銘，蔡勇智

（四川民族學院，四川康定 626001）

淺析民族高校校園網(wǎng)常見安全隱患及其對策

莫泓銘，蔡勇智

（四川民族學院，四川康定 626001）

本文結合民族高校與其他高校校園網(wǎng)的普通性與特殊性，分析校園網(wǎng)常見的安全隱患，如網(wǎng)絡節(jié)點數(shù)量、使用者操作水平差異及不良的操作習慣、協(xié)議本身的漏洞等。并結合高校校園網(wǎng)的實際，從管理制度、備份冗余、普及安全知識、采用VLAN技術將校園網(wǎng)簡化和加強網(wǎng)絡管理實行身份驗證等方面提出一些關于增強校園網(wǎng)絡安全性的策略。

民族高校；校園網(wǎng)；安全隱患；對策

隨著計算機網(wǎng)絡技術的不斷發(fā)展，互聯(lián)網(wǎng)的應用越來越廣泛，網(wǎng)絡已普及社會的各行各業(yè)，各高校都建立了自己的校園網(wǎng)并接入了因特網(wǎng)。網(wǎng)絡技術的發(fā)展使地處偏遠地區(qū)的民族高校能快速接觸到最新知識，為教學、科研、辦公帶來了不少便利。校園網(wǎng)作為信息傳播的新媒體，已經(jīng)成為廣大師生員工必不可少的教學、科研和學習的工具，并且實現(xiàn)了無紙化辦公，教育信息化程度進一步得到提高，為廣大師生教學科研、信息交流及獲取各類知識提供了重要渠道。網(wǎng)絡最基本的初衷即基于彼此信任的、開放的資源共享，但也帶來了各種安全隱患。民族高校校園網(wǎng)的安全性問題與其他校園網(wǎng)比較，有其普遍性，也有其獨特性。本文以四川民族學院校園網(wǎng)為例，分析校園網(wǎng)常見的安全問題，探討一些能提高校園網(wǎng)安全性的措施。

1 民族高校校園網(wǎng)常見的安全隱患

1.1 接入校園網(wǎng)的計算機數(shù)量眾多

隨著高校辦公自動化的進展，教職工至少人手一臺計算機，計算機在大學生中的普及率基本上也達到60%以上，這些計算機大多都能輕易接入校園網(wǎng)。

1.2 計算機使用者技術參差不齊

作為民族高校，有相當一部分教職工及學生的計算機應用水平較低，他們處于只會打字、上網(wǎng)等水平。在網(wǎng)上下載資料或軟件安裝時常常不經(jīng)意間安裝了一些惡意的插件，而這些插件很有可能暗藏病毒。并且，移動存儲設備廣泛使用，使用者不知如何安全地打開外來移動存儲設備，只是一味地雙擊或右鍵打開，也為病毒的廣泛傳播創(chuàng)造了必要的條件。

1.3 網(wǎng)絡協(xié)議本身的漏洞

現(xiàn)行通用的上網(wǎng)協(xié)議為TCP/IP協(xié)議簇，該協(xié)議簇的初衷是共享，而非強調(diào)安全性。網(wǎng)絡中關于TCP/IP協(xié)議簇自身缺陷而引起的安全漏洞很多，例如：（1）利用TCP不完全的三次握手引發(fā)DOS攻擊；（2）TCP/IP沒有對自己的數(shù)據(jù)包進行完整性校驗，可以造成中間人攻擊；（3）利用ARP的映射來實現(xiàn)IP的欺騙；（4）運用ICMP的ping這樣的程序探測目標地址，通過響應可以得出目的地址。

1.4 操作系統(tǒng)的漏洞

很多網(wǎng)民習慣在私人電腦上對郵箱、微博等常用賬號“記住密碼”功能，相當于把這些賬號的“通行證”保存在了Cookie文件中，下次再訪問就可以直接登錄。而最新的MHTML0day漏洞會導致網(wǎng)民電腦中的Cookie文件被黑客竊取，造成電子郵件泄露、微博賬號等被黑客冒用等后果。諸如此類的還有默認共享、Windows XP系統(tǒng)默認空密碼帳戶Administrator等。

1.5 空密碼問題嚴重

大多計算機在安裝好系統(tǒng)后就直接聯(lián)網(wǎng)使用，沒有進行相應的安全檢查及設置，許多計算機都沒有設置密碼，或者設置的密碼極為簡單。

2 提高民族高校校園網(wǎng)安全性的策略

2.1 健全完善校園網(wǎng)計算機入網(wǎng)管理制度

校園網(wǎng)的管理制度可從用戶與網(wǎng)絡管理者兩個層面制定。在用戶層面，從用戶開戶時就告之入網(wǎng)責任與權利及相關的法律法規(guī)，并強調(diào)不得盜用他人帳號上網(wǎng)、不得使用他人IP地址；不得私自架設代理服務器；不得攻擊、侵入他人計算機等約定并以協(xié)議形式簽訂保存。從而規(guī)范入網(wǎng)用戶行為，對違反入網(wǎng)規(guī)定的用戶采取斷網(wǎng)或給予相應的處分，情節(jié)嚴重者交公安機關處理。網(wǎng)絡管理者層面，加強對網(wǎng)絡管理者專業(yè)知識升級更新，提升網(wǎng)絡管理能力；實行網(wǎng)絡安全運行績效考核制，確保網(wǎng)絡安全無障礙運行。

2.2 重點數(shù)據(jù)建立備份、容錯機制

對校園網(wǎng)內(nèi)的重點數(shù)據(jù)單元（如教務處、財務處、后勤服務中心、網(wǎng)絡信息中心等區(qū)域）盡量不要接入外網(wǎng)，做好每周定期自動備份（重要操作后要及時備份），以保證在數(shù)據(jù)遭到損壞后能及時恢復，把損失降到最低。對于需24小時不間斷提供服務的數(shù)據(jù)單元還應該建立冗余鏡像，兩臺服務器指定為一主一從，當主服務器發(fā)生故障時，從服務器及時接管主服務器來提供服務。為防止數(shù)據(jù)在非法獲取后泄露，在數(shù)據(jù)流通環(huán)節(jié)及數(shù)據(jù)存儲環(huán)節(jié)應進行加密，加密算法至少達到128位，在采購重點數(shù)據(jù)單位數(shù)據(jù)庫軟件時應充分考慮這一點。

2.3 在校園內(nèi)開展計算機安全知識培訓，普及防病毒技巧

通過現(xiàn)場培訓、網(wǎng)絡培訓、利用校園網(wǎng)平臺自學等方式，向廣大教職工和學生普及計算機安全使用小常識，使其養(yǎng)成良好的操作習慣。如：對來歷不明的文件或被感染了病毒的文件不能直接雙擊或通過右鍵打開方式打開，正確的做法是通過資源管理器打開；對移動設備在使用前先殺毒；對網(wǎng)上下載的文件先殺毒，確認無毒后才打開；能識別常見文件類型，通過文件擴展名能知道這是什么類型文件；鑒別偽裝的可執(zhí)行文件；經(jīng)常對計算機進行體檢，有利于及時發(fā)現(xiàn)有無病毒。

2.4 加強個人計算機安全管理

入網(wǎng)計算機都應做好自身安全防護工作，以減少給整個網(wǎng)絡造成的安全隱患。（1）防止空密碼或弱口令問題。每臺計算機都應該設置密碼，密碼不能太簡單或易猜，以防止暴力破解密碼。這是防止非法訪問最基本的一步，也是保護信息安全最重要的一步；（2）安裝殺毒軟件。殺毒軟件就像保險一樣，在系統(tǒng)沒感染病毒的時候它就像一個安全守護神，在感染病毒后，它能最大限度地對癥下藥，清除病毒，保護數(shù)據(jù)安全。盡管有的用戶自詡計算機應用水平較高，能對付常規(guī)的病毒而不安裝殺毒軟件，殊不知，病毒也是在不斷更新發(fā)展的，而殺毒軟件背后是一個專門研究對抗病毒的技術團隊，當出現(xiàn)新的病毒后，殺毒軟件能在最短時間內(nèi)通過更新方式獲得清除新病毒的程序；（3）及時修復系統(tǒng)漏洞，打上安全補丁。雖然如今絕大多數(shù)用戶對電腦安全的防護意識已經(jīng)大大提高，但是“漏洞修復”可能永遠無法擁有如“查殺病毒”同等重要的心理定位，漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。許多病毒都是通過系統(tǒng)漏洞進入系統(tǒng)，或者是利用系統(tǒng)存在的漏洞直接攻擊或者控制計算機系統(tǒng)的。漏洞補丁可以通過開啟系統(tǒng)自帶的“Windows Update”功能實現(xiàn)從微軟官方自動下載更新，也可以利用QQ管家、360安全衛(wèi)士、金山衛(wèi)士等安全管理軟件實現(xiàn)按需下載。

2.5 利用VLAN技術，將校園網(wǎng)劃分為數(shù)個小區(qū)域

VLAN作為一門新興技術，一出現(xiàn)就獲得廣大網(wǎng)絡管理員的認同，現(xiàn)已在大型局域網(wǎng)絡中廣泛應用。VLAN技術主要有以下優(yōu)點：（1）減少廣播風暴，釋放更多帶寬給用戶，提高網(wǎng)絡流通性；（2）提高網(wǎng)絡安全，不在同一個VLAN內(nèi)的數(shù)據(jù)在傳輸時是相互隔離的；不同VLAN間相互訪問必須通過路由器或三層交換機來實現(xiàn)；（3）簡化網(wǎng)絡管理，增加網(wǎng)絡靈活性，將有相同需求的用戶劃分在同一個VLAN，不必關心他們是否物理上相鄰（基于網(wǎng)卡MAC地址）。引入VLAN，將一個大的網(wǎng)絡劃分為多個小網(wǎng)絡，便于維護、管理，并且能將網(wǎng)絡中每臺計算機對全局的影響降到最低。根據(jù)不同區(qū)域的功能，將校園網(wǎng)分為服務器區(qū)、教學區(qū)、教工生活區(qū)、學生宿舍區(qū)、辦公區(qū)等，并在每個小區(qū)域建立VLAN，對每個不同的區(qū)域給予不同的權限，從而防止跨區(qū)域的非法網(wǎng)絡數(shù)據(jù)監(jiān)聽，也能較好地解決訪問授權的問題。

2.6 加強網(wǎng)絡管理，實行入網(wǎng)計算機身份認證

每臺接入校園網(wǎng)的計算機都必須有對應的賬號，而不是簡單地設置個IP地址就能直接上網(wǎng)。上網(wǎng)計算機所訪問過的任何站點，所打開過的任何軟件都應該有記錄，并且該記錄還必須按需保存一段時間。目前很多網(wǎng)絡管理類軟件都可以實現(xiàn)此類功能，如四川民族學院校園網(wǎng)所使用的DR.Com軟件，除能輕易實現(xiàn)以上需求外，還具有防代理接入功能，可防單網(wǎng)卡代理、寬帶路由器接入；防共享上網(wǎng)；透三層綁定MAC地址；定時、實時廣播、消息發(fā)送；有效防止IP盜用、MAC盜用上網(wǎng)；流量管制、帶寬管理等功能。網(wǎng)絡管理軟件雖會給用戶造成一定的不便，但對網(wǎng)絡管理者管理全局網(wǎng)絡是十分方便且有效的。所有的網(wǎng)絡管理類軟件都面臨一個共同的問題——破解；網(wǎng)絡上有許多關于網(wǎng)絡管理類軟件的破解使用方法，有些下載后就可直接使用，而有的則需有一定的計算機基礎才能使用。因而，網(wǎng)絡管理類軟件在發(fā)現(xiàn)漏洞或出現(xiàn)破解版的情況下，需及時推出修補漏洞的升級版本才能避免出現(xiàn)監(jiān)管真空區(qū)。

校園網(wǎng)有著最活躍的用戶，有著最先進的技術應用平臺。民族高校由于其特殊性，往往還擔負著維穩(wěn)等政治任務。只有加強民族高校校園網(wǎng)的安全運行與管理，加強常規(guī)安全檢查，增加校園網(wǎng)安全管理投入，共同維護校園網(wǎng)，使其成為一個安全、可靠的網(wǎng)絡，才能為民族高校教學科研改革服務，為維護社會穩(wěn)定、促進民族地區(qū)經(jīng)濟文化大發(fā)展、大繁榮做貢獻。

[1]四川農(nóng)業(yè)大學信息與教育技術中心.警示事件[EB/OL].(2012-06-05)[2012-06-10].http://nic.sicau.edu.cn/html/lists/5.htm.

[2]陳新建.高校園網(wǎng)的安全現(xiàn)狀和改進對策[J].網(wǎng)絡安全技術與應用,2007(3):68-69.

[3]劉欽創(chuàng).高校校園網(wǎng)的安全現(xiàn)狀與對策[J].現(xiàn)代計算機,2006(3):103-106.

[4]陸凱.高校校園網(wǎng)網(wǎng)絡安全問題的分析及對策[J].開封大學學報,2006(3):82-85.

An Analysis on the Hidden Risks and the Countermeasures on Ethnic Universities’Network

MOHong-ming,CAI Yong-zhi
（Sichuan Universityfor Nationalities,Kangding626001,China）

Combining the commonness and specialness between the ethnic universities and the non-ethnic ones,this paper mainly analyzes the network’s frequently-seen hidden dangers of safety,such as the number of nodes,users’different operating levels and the bad operating habits,the protocol’s loophole.And based on the reality of the campus network,the paper comes up with some tactics to enhance its safety,from the operating systems,standby redundancy, popularity of safety knowledge,the use of VLAN to simplify campus network,and strengthening network management byIDchecking.

ethnic universities;campus network;hidden dangers ofsafety;countermeasures

TP393

A

1008-178X（2012）09-0032-03

2012-06-19

四川民族學院2011年度校辦自然科學項目（11XYZB006）。

莫泓銘（1983-），男，四川仁壽人，四川民族學院藏語文系助理研究員，從事計算機應用研究。