姜貴平 薛進(jìn) 劉賢喜 張煥遠(yuǎn) 張偉

1 山東農(nóng)業(yè)大學(xué)計(jì)算機(jī)科學(xué)實(shí)驗(yàn)教學(xué)中心 山東泰安 2710182 山東農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)與教育技術(shù)部 山東泰安 271018

作者：姜貴平，學(xué)士，實(shí)驗(yàn)師，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)及圖形圖像處理。

隨著Internet的飛速發(fā)展，因特網(wǎng)上豐富的資源吸引著越來越多的用戶接入Internet，隨之而來的校園網(wǎng)的網(wǎng)絡(luò)安全問題也日益顯得突出，各種各樣的安全問題威脅著校園網(wǎng)的正常運(yùn)行，給學(xué)校教學(xué)、科研、管理和對(duì)外交流帶來重大影響。因此，校園網(wǎng)安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的問題。本文就影響校園網(wǎng)網(wǎng)絡(luò)安全的主要因素及防御措施進(jìn)行探討。

1 校園網(wǎng)絡(luò)安全存在的問題

目前校園網(wǎng)面臨的安全問題主要有硬件設(shè)備的安全、操作系統(tǒng)存在的漏洞、病毒侵害、黑客攻擊、垃圾郵件、網(wǎng)絡(luò)管理方面、用戶安全意識(shí)薄弱等。

1.1 硬件設(shè)備的安全問題

硬件設(shè)備是整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的物質(zhì)基礎(chǔ)，保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的安全是保障整個(gè)校園網(wǎng)絡(luò)系統(tǒng)安全的前提。由于現(xiàn)在很多學(xué)校受人力、物力、財(cái)力、技術(shù)水平等因素的限制，不少校園網(wǎng)沒有采取必要的防護(hù)措施，抵御自然災(zāi)害和意外事故的能力較差，造成的網(wǎng)絡(luò)設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象屢見不鮮。

1.2 操作系統(tǒng)存在的漏洞

普遍存在的計(jì)算機(jī)系統(tǒng)的漏洞，對(duì)信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運(yùn)行構(gòu)成嚴(yán)重的威脅。網(wǎng)絡(luò)系統(tǒng)的安全性能完全依賴主機(jī)安裝的操作系統(tǒng)的安全。目前，被廣泛使用的操作系統(tǒng)主要有Unix、Windows和Linux等，這些操作系統(tǒng)都存在大量已知和未知的漏洞，眾多的計(jì)算機(jī)病毒就是利用操作系統(tǒng)的漏洞進(jìn)行攻擊與傳染。

1.3 病毒侵害

校園網(wǎng)的特點(diǎn)是用戶量大、上網(wǎng)時(shí)間長(zhǎng)、在線用戶比例高，在這種高速、大容量的局域網(wǎng)中，各種計(jì)算機(jī)病毒和蠕蟲都容易通過用戶的不小心或有漏洞的系統(tǒng)迅速傳播擴(kuò)散，由于它是在網(wǎng)絡(luò)上傳播的，加快了病毒的傳播速度，造成網(wǎng)絡(luò)阻塞甚至癱瘓，給網(wǎng)絡(luò)帶來災(zāi)難性后果。如ARP病毒，病毒發(fā)作時(shí)表現(xiàn)為計(jì)算機(jī)網(wǎng)絡(luò)連接正常，能Ping通局域網(wǎng)內(nèi)機(jī)器卻無法Ping通網(wǎng)關(guān)，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)；或由于ARP欺騙的木馬程序發(fā)作時(shí)發(fā)出大量的欺騙性廣播包，導(dǎo)致局域網(wǎng)內(nèi)用戶上網(wǎng)不穩(wěn)定，極大地影響用戶的正常使用，給整個(gè)校園網(wǎng)的安全帶來嚴(yán)重的隱患。

1.4 黑客攻擊

黑客攻擊是竊取信息、破壞網(wǎng)絡(luò)、制造干擾等為目的的攻擊行為。攻擊的方式大致分為：

1)欺騙，在網(wǎng)絡(luò)中，一臺(tái)主機(jī)假冒另一臺(tái)實(shí)體的攻擊；

2)中間人攻擊，攻擊者往往利用一些網(wǎng)上監(jiān)聽工具，截取兩臺(tái)通信主機(jī)沒有加密的信息；

3)拒絕服務(wù)攻擊，在短時(shí)內(nèi)提交大量針對(duì)某個(gè)網(wǎng)站的交易，該網(wǎng)站就可能因?yàn)椴荒芗皶r(shí)處理這些交易而拒絕新的訪問；

4)口令破解，它可能使黑客猜測(cè)到系統(tǒng)中重要用戶的口令而破壞系統(tǒng)；

5)系統(tǒng)漏洞，黑客利用軟件或硬件設(shè)計(jì)的缺陷來實(shí)施對(duì)目標(biāo)的破壞。

1.5 垃圾郵件

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，電子郵件已經(jīng)成為人們現(xiàn)實(shí)生活工作中必不可少的信息交流手段，但是同時(shí)又是最容易受非法信息污染的環(huán)節(jié)。垃圾郵件的出現(xiàn)嚴(yán)重干擾了人們的日常工作與生活，特別是病毒類的垃圾郵件，已經(jīng)嚴(yán)重威脅到用戶信息的安全。有些學(xué)校雖然使用的是內(nèi)部的郵件系統(tǒng)，但是沒有任何反垃圾郵件、病毒郵件的監(jiān)管措施，使得郵件系統(tǒng)成為大部分學(xué)校局域網(wǎng)內(nèi)的安全隱患。

1.6 管理方面存在的問題

嚴(yán)格的管理是校園網(wǎng)安全的重要措施。很多學(xué)校在建設(shè)校園網(wǎng)的時(shí)候，大多是重建設(shè)、輕管理，對(duì)網(wǎng)絡(luò)安全保護(hù)不夠重視，缺乏完善的網(wǎng)絡(luò)安全管理制度，網(wǎng)絡(luò)安全管理意識(shí)淡??；人力、財(cái)力、物力投入不夠，并且在執(zhí)行安全管理制度的時(shí)候往往并不到位；對(duì)于重要的資源，沒有采用安全訪問控制策略，非授權(quán)用戶能夠非法訪問重要資源。這樣會(huì)造成信息丟失、數(shù)據(jù)損壞、系統(tǒng)癱瘓等嚴(yán)重后果。

2 加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全的主要措施

校園網(wǎng)網(wǎng)絡(luò)安全一旦出現(xiàn)問題，勢(shì)必給校園網(wǎng)造成危害，因此，一定要采取措施，確保校園網(wǎng)的安全。

2.1 優(yōu)化硬件，加強(qiáng)設(shè)備的管理與保護(hù)

校園網(wǎng)建設(shè)投資巨大，為了保障校園網(wǎng)硬件設(shè)備的正常運(yùn)行，首先要保證硬件系統(tǒng)的物理安全，采取適當(dāng)措施加強(qiáng)網(wǎng)絡(luò)設(shè)備的管理與保護(hù)。因此，許多高校建設(shè)了高標(biāo)準(zhǔn)的IDC(Internet Data Center)機(jī)房，主要包括配置精密空調(diào)系統(tǒng)、機(jī)房環(huán)境監(jiān)控系統(tǒng)、UPS系統(tǒng)、門禁系統(tǒng)、氣體滅火系統(tǒng)、防雷與接地系統(tǒng)等，構(gòu)建安全、穩(wěn)定的網(wǎng)絡(luò)運(yùn)行環(huán)境。將主要網(wǎng)絡(luò)設(shè)備集中在IDC(Internet Data Center)機(jī)房放置管理，共享機(jī)房資源，進(jìn)行統(tǒng)一監(jiān)管，提高網(wǎng)絡(luò)運(yùn)行的可靠性和安全性。

2.2 加強(qiáng)漏洞掃描，及時(shí)打上補(bǔ)丁

利用網(wǎng)絡(luò)安全掃描工具，查找網(wǎng)絡(luò)安全漏洞，評(píng)估風(fēng)險(xiǎn)并提出修改建議。采用漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，建議建立校園網(wǎng)操作系統(tǒng)補(bǔ)丁服務(wù)器，對(duì)全校所有辦公用計(jì)算機(jī)的操作系統(tǒng)隨時(shí)提供補(bǔ)丁的升級(jí)更新、下載、安裝服務(wù)，發(fā)現(xiàn)問題及時(shí)處理。最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患，否則計(jì)算機(jī)即使安裝了防毒軟件，也會(huì)反復(fù)感染，影響整個(gè)網(wǎng)絡(luò)。

2.3 安裝殺毒軟件，及時(shí)升級(jí)

對(duì)于計(jì)算機(jī)病毒的防范，必須安裝防病毒軟件。防病毒軟件分為網(wǎng)絡(luò)版和單機(jī)版，單機(jī)版是安裝在單臺(tái)計(jì)算機(jī)上，只能保護(hù)單臺(tái)計(jì)算機(jī)；網(wǎng)絡(luò)版安裝在網(wǎng)絡(luò)服務(wù)器上，管理著整個(gè)網(wǎng)絡(luò)。如果只安裝單機(jī)版，網(wǎng)絡(luò)上個(gè)別計(jì)算機(jī)感染上病毒，有時(shí)也會(huì)影響整個(gè)網(wǎng)段的正常工作，如某臺(tái)計(jì)算機(jī)感染震蕩波病毒，整個(gè)網(wǎng)段就會(huì)堵塞甚至癱瘓。作為校園網(wǎng)最好是安裝網(wǎng)絡(luò)版殺毒軟件，這樣才能保證整個(gè)網(wǎng)絡(luò)的安全和穩(wěn)定。殺毒軟件要做到及時(shí)升級(jí)，只有及時(shí)升級(jí)才能保證防御新出現(xiàn)的病毒。

2.4 采用防火墻，防止受攻擊

防火墻是一種隔離控制技術(shù)，是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障。通過防火墻把內(nèi)、外網(wǎng)進(jìn)行隔離，外網(wǎng)口與Internet連接，內(nèi)網(wǎng)口連接核心交換機(jī)，DMZ接口連接對(duì)外訪問的服務(wù)器。利用防火墻在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、偷竊或破壞網(wǎng)絡(luò)上的重要信息。

防火墻有硬件防火墻和軟件防火墻，硬件防火墻是安裝在校園網(wǎng)的入口處，以減少外部對(duì)校園網(wǎng)的攻擊；軟件防火墻一般安裝在主機(jī)上，它既可以防止來自外網(wǎng)，也可以防止來自局域網(wǎng)內(nèi)部的攻擊。

2.5 郵件過濾，完善電子郵件系統(tǒng)

在垃圾郵件控制和防范方面，可利用郵件過濾技術(shù)，如采用eyou公司的網(wǎng)關(guān)系統(tǒng)。網(wǎng)關(guān)采用從TCP鏈接到內(nèi)容識(shí)別等多層有先進(jìn)技術(shù)的過濾，可有效對(duì)抗最新的垃圾郵件發(fā)送手段。網(wǎng)關(guān)在郵件傳輸中的多個(gè)階段設(shè)置了多層過濾引擎，通過采用改進(jìn)的貝葉斯算法和龐大的垃圾郵件知識(shí)庫以及智能垃圾郵件識(shí)別引擎，實(shí)現(xiàn)對(duì)垃圾郵件、有害信息、病毒郵件的有效過濾，可有效識(shí)別多種語言的垃圾郵件，抗干擾力強(qiáng)，識(shí)別率超過95%，同時(shí)保持了極低的誤判率，還提供了詳盡的日志信息和統(tǒng)計(jì)功能，方便信息查詢。

郵件過濾網(wǎng)關(guān)能有效地過濾垃圾郵件和病毒郵件，防范不良信息，保證校園網(wǎng)用戶的信息安全。

2.6 規(guī)范制度，加強(qiáng)管理

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)的安全是不存在的，制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證。首先，制訂一系列完善的規(guī)章制度(如《校園計(jì)算機(jī)網(wǎng)絡(luò)管理辦法》《校園網(wǎng)IP地址管理暫行規(guī)定》《校園信息發(fā)布及保密管理暫行規(guī)定》等)，以確保校園計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行。其次，要不斷加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)，使他們自覺遵守和執(zhí)行安全制度、安全操作規(guī)程和安全技術(shù)規(guī)范，盡可能地把不安全的因素降到最低。學(xué)校還應(yīng)當(dāng)成立信息安全領(lǐng)導(dǎo)小組，并明確其職責(zé)和工作制度，制訂安全事故處理程序、應(yīng)急計(jì)劃等。

2.7 建立入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)，顧名思義是對(duì)入侵行為的檢測(cè)。入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)，作為防火墻的合理補(bǔ)充。入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基層結(jié)構(gòu)的完整性。入侵監(jiān)測(cè)系統(tǒng)的主要功能有：監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；操作系統(tǒng)日志管理，并且識(shí)別違反安全隱患策略的用戶活動(dòng)。如NetWatch網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)系統(tǒng)軟件，該軟件具有對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控、自動(dòng)或手動(dòng)切斷網(wǎng)絡(luò)連接、孤立堵塞網(wǎng)絡(luò)主機(jī)、防止ARP欺騙、入侵檢測(cè)等功能，支持防火墻的互動(dòng)，具有靈活的過濾規(guī)則制定方式。

2.8 采用VLAN技術(shù)

VLAN(Virtual Local Area Network)的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。VLAN技術(shù)的實(shí)現(xiàn)原理是通過交換機(jī)的控制，某一VLAN成員發(fā)出的數(shù)據(jù)包只發(fā)給同一VLAN的其他成員，而不會(huì)發(fā)給該VLAN成員以外的計(jì)算機(jī)。運(yùn)用VLAN技術(shù)將校園網(wǎng)按功能劃分成幾個(gè)不同的網(wǎng)段，各網(wǎng)段子網(wǎng)之間彼此隔離，杜絕病毒和木馬在整個(gè)網(wǎng)絡(luò)上傳播，是一個(gè)加強(qiáng)校園網(wǎng)絡(luò)管理的有效手段。VLAN可以改善網(wǎng)絡(luò)的通信效率，避免廣播風(fēng)暴，使網(wǎng)絡(luò)的組織更具靈活性，網(wǎng)絡(luò)管理簡(jiǎn)單直觀，提高網(wǎng)絡(luò)的整體安全性。

2.9 網(wǎng)絡(luò)數(shù)據(jù)備份和恢復(fù)

校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全所圍繞的中心是其中的數(shù)據(jù)，因此，加強(qiáng)數(shù)據(jù)的保護(hù)是網(wǎng)絡(luò)安全的重中之重。設(shè)備可以替換，但數(shù)據(jù)被破壞或丟失，其損失無法計(jì)量。必須認(rèn)真對(duì)待文件備份、數(shù)據(jù)冗余等問題，對(duì)重要數(shù)據(jù)及數(shù)據(jù)庫系統(tǒng)進(jìn)行定期備份，并注意備份數(shù)據(jù)的安全有效，一旦系統(tǒng)出現(xiàn)故障、網(wǎng)絡(luò)遭到破壞時(shí)，能夠在最短的時(shí)間恢復(fù)數(shù)據(jù)，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。核心設(shè)備的備份主要包括核心交換機(jī)、核心路由器、重要服務(wù)器等。數(shù)據(jù)信息備份包括對(duì)網(wǎng)絡(luò)設(shè)備的配置信息、服務(wù)器數(shù)據(jù)等的備份。

3 結(jié)語

數(shù)據(jù)是整個(gè)校園網(wǎng)信息安全的核心，設(shè)計(jì)一套完整的數(shù)據(jù)備份和恢復(fù)系統(tǒng)也是校園網(wǎng)迫切需要的。它要考慮多方面因素，如備份/恢復(fù)數(shù)據(jù)量大小、應(yīng)用數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的距離及數(shù)據(jù)傳輸方式、災(zāi)難發(fā)生時(shí)所要求的恢復(fù)速度、備援中心的管理及投入資金等。

[1]姜貴平,武裝,姜貴君,等.局域網(wǎng)組建與管理實(shí)訓(xùn)教程[M].北京:清華大學(xué)出版社,2007.

[2]吳企淵.計(jì)算機(jī)網(wǎng)絡(luò)[M].2版.北京:清華大學(xué)出版社,2004.

[3]福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)大學(xué).實(shí)用網(wǎng)絡(luò)技術(shù)配置指南進(jìn)階篇[M].北京:北京希望電子出版社,2005.

[4]Cisco Networking Academy Program. Cisco Networking Academy Program CCNA 3 and 4[M].天津大學(xué),電子科技大學(xué),中山大學(xué),譯.北京:人民郵電出版社,2005.

[5]李慶.校園網(wǎng)信息安全與防范[J].遼寧師專學(xué)報(bào),2005,7(1):29-30.

[6]陳斌.校園網(wǎng)絡(luò)安全問題分析與防范策略研究[J].信息與電腦,2010(8):3-4.

[7]楊秋田.校園網(wǎng)安全研究[J].武警學(xué)院學(xué)報(bào),2010,26(9):90-93.

[8]黃鋒.高校校園網(wǎng)信息安全突發(fā)事件:危機(jī)預(yù)防中存在的問題及其對(duì)策研究[J].咸寧學(xué)院學(xué)報(bào)2010,30(9):159-161.