◆張中正 許源

等保2.0條件下高校網(wǎng)絡(luò)安全問題分析及防護(hù)對(duì)策

◆張中正 許源

（南京森林警察學(xué)院（南京）信息技術(shù)學(xué)院 江蘇 210000）

在信息化快速發(fā)展的當(dāng)下，高校需要提高自身的發(fā)展需求，需要提高辦公效率及教學(xué)科研質(zhì)量。所以，要結(jié)合當(dāng)前的技術(shù)手段，構(gòu)建校園網(wǎng)絡(luò)安全體系。本文在網(wǎng)絡(luò)安全等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)下，結(jié)合高校校園網(wǎng)絡(luò)安全建設(shè)的規(guī)劃，利用掃描、滲透等技術(shù)手段對(duì)高校的網(wǎng)絡(luò)安全進(jìn)行檢測(cè)。測(cè)試網(wǎng)絡(luò)中存在的安全隱患，從物理介質(zhì)、通訊手段、校園網(wǎng)絡(luò)環(huán)境和校園網(wǎng)絡(luò)管理中心等方面展開論述。

網(wǎng)絡(luò)安全；高校校園網(wǎng)；等級(jí)保護(hù)；防護(hù)策略

隨著現(xiàn)代網(wǎng)絡(luò)化的飛速發(fā)展，高校為滿足自身發(fā)展的需要，為提高辦公效率及教學(xué)科研質(zhì)量，而構(gòu)建校園網(wǎng)絡(luò)安全體系。目前，高校的校園網(wǎng)絡(luò)安全體系不夠完善，管理理念比較落后，很大程度上導(dǎo)致被黑客攻擊，被非法竊取重要信息、更改信息。我們以高校網(wǎng)絡(luò)安全為研究對(duì)象，利用滲透等技術(shù)對(duì)高校的網(wǎng)絡(luò)進(jìn)行檢測(cè)，對(duì)存在的安全隱患，提出相應(yīng)的分析與優(yōu)化意見[1]。

1 網(wǎng)絡(luò)安全檢測(cè)方法

針對(duì)高校網(wǎng)絡(luò)存在的安全隱患，對(duì)高校網(wǎng)絡(luò)進(jìn)行安全測(cè)試。通過網(wǎng)絡(luò)構(gòu)建逐步分析，找出校園外部網(wǎng)站、內(nèi)部主機(jī)配置中的不安全因素。對(duì)物理層面的設(shè)備檢查，周圍環(huán)境保護(hù)[1]；從安全配置層面來查看配置的一些用戶規(guī)則；對(duì)系統(tǒng)安全防護(hù)措施、業(yè)務(wù)系統(tǒng)等進(jìn)行安全評(píng)估。檢查系統(tǒng)中高危安全漏洞的隱患、弱口令風(fēng)險(xiǎn)，對(duì)可能造成師生個(gè)人信息泄露、教學(xué)辦公業(yè)務(wù)不暢通、設(shè)備被遠(yuǎn)程控制、網(wǎng)絡(luò)阻斷等安全事件，及時(shí)排除潛在危險(xiǎn)，保障網(wǎng)絡(luò)安全。檢測(cè)重點(diǎn)從以下幾個(gè)方面入手。

1.1 網(wǎng)絡(luò)設(shè)備的檢測(cè)

開放端口檢測(cè)，探測(cè)過程中，對(duì)端口進(jìn)行采集。通過掃描服務(wù)端口，判斷出存在于服務(wù)器上的可攻擊對(duì)象。利用Nmap或御劍高速TCP端口掃描工具。對(duì)常見網(wǎng)絡(luò)端口如22端口，SSH遠(yuǎn)程連接；23端口Telnet等掃描分析，從爆破、嗅探方面入手檢測(cè)。Banner信息測(cè)試，使用Wireshark抓包工具，可以發(fā)現(xiàn)端口是否開放，根據(jù)RST/ACK包來判定，有無Banner信息，假如端口是開放狀態(tài)，則進(jìn)行了TCP協(xié)議的三次握手。弱口令檢測(cè)：使用常用字典密碼本或破解工具，對(duì)檢測(cè)對(duì)象進(jìn)行爆破嘗試。

1.2 操作系統(tǒng)的檢測(cè)

采集不同系統(tǒng)版本信息，對(duì)于不同版本的系統(tǒng)的差別進(jìn)行針對(duì)性分析。嘗試弱口令測(cè)試系統(tǒng)的管理員密碼。

1.3 業(yè)務(wù)系統(tǒng)的檢測(cè)

安全配置的檢查。檢查網(wǎng)絡(luò)服務(wù)設(shè)備、安全設(shè)備，還有主機(jī)操作系統(tǒng)、數(shù)據(jù)庫，中間連接服務(wù)及網(wǎng)絡(luò)服務(wù)應(yīng)用程序等。對(duì)系統(tǒng)安全配置的設(shè)定，可以防護(hù)外來入侵。如訪問控制，禁用guest賬戶，刪除無關(guān)用戶；啟用本機(jī)組策略密碼復(fù)雜化策略；賬戶的管理上面不顯示上一次登錄的用戶名，可以在安全選項(xiàng)中交互式登錄設(shè)置；對(duì)文件設(shè)置訪問權(quán)限，將默認(rèn)共享參數(shù)設(shè)置為0，對(duì)系統(tǒng)自動(dòng)更新[3]；對(duì)日志文件大小的管理等。測(cè)試網(wǎng)絡(luò)是否被上傳惡意代碼或高校校園未檢測(cè)到的異常入侵，獲取設(shè)備的管理員權(quán)限的漏洞、數(shù)據(jù)庫漏洞等。

1.4 安全防護(hù)設(shè)施的檢測(cè)

檢查安全防護(hù)設(shè)施所開放的端口，關(guān)閉不必要端口。對(duì)安全軟件升級(jí)情況進(jìn)行核查，對(duì)配置情況等進(jìn)行檢測(cè)評(píng)估。

1.5 滲透測(cè)試

內(nèi)網(wǎng)測(cè)試。一般需要在高校內(nèi)部網(wǎng)絡(luò)發(fā)起，滲透檢測(cè)過程可以有效模擬校園內(nèi)部發(fā)生的網(wǎng)絡(luò)攻擊行為，以此作出危害評(píng)估。

外網(wǎng)測(cè)試。測(cè)試過程需要完全處于校園網(wǎng)絡(luò)外部，模擬外部攻擊者對(duì)校園內(nèi)部網(wǎng)絡(luò)所發(fā)起的攻擊行為。比如遠(yuǎn)程攻擊服務(wù)器，Web注入、弱口令爆破、開放應(yīng)用服務(wù)盲點(diǎn)檢測(cè)等等。

黑盒測(cè)試。是對(duì)測(cè)試對(duì)象不了解的狀態(tài)下進(jìn)行模擬攻擊。一般這種類型測(cè)試，相關(guān)滲透信息收集來自各種公開對(duì)外開放的服務(wù)。

白盒測(cè)試。測(cè)試過程比較煩瑣，一般需要合法渠道向被測(cè)對(duì)象取得一些測(cè)試信息，比如校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)站或校園應(yīng)用軟件平臺(tái)的代碼、師生資料信息等。

1.6 網(wǎng)絡(luò)安全漏洞掃描技術(shù)

由于軟件或協(xié)議的設(shè)計(jì)和實(shí)現(xiàn)的缺點(diǎn)、系統(tǒng)和網(wǎng)絡(luò)的配置錯(cuò)誤都會(huì)使系統(tǒng)當(dāng)中存在一些安全漏洞。入侵者會(huì)利用這些漏洞侵入計(jì)算機(jī)系統(tǒng)，黑客在入侵系統(tǒng)之前，要對(duì)攻擊對(duì)象進(jìn)行信息收集，比如操作系統(tǒng)類型，是Window系統(tǒng)還是Linux，運(yùn)行的服務(wù)、網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是否合理、網(wǎng)絡(luò)端口和主機(jī)的用戶名、IP等信息，要分析收集到的資料，測(cè)試有無隱患。若發(fā)現(xiàn)系統(tǒng)存在安全Bug，黑客就針對(duì)這些漏洞進(jìn)行病毒或木馬入侵。

1.7 設(shè)備冗余檢測(cè)

如果系統(tǒng)發(fā)生故障，冗余設(shè)備將負(fù)責(zé)故障緊急備用，可以縮短故障檢修耽誤的時(shí)間。保證網(wǎng)絡(luò)的連續(xù)性。冗余方案能緩解突發(fā)網(wǎng)絡(luò)攻擊，任何技術(shù)都要部署冗余設(shè)計(jì)。防范不可預(yù)測(cè)性攻擊，確保了系統(tǒng)的安全性。因此，部署冗余設(shè)計(jì)十分重要。冗余是網(wǎng)絡(luò)工作者常用的一種保護(hù)機(jī)制方式。

2 高等院校網(wǎng)絡(luò)安全所面對(duì)的問題

2.1 系統(tǒng)漏洞具有普遍性

在計(jì)算機(jī)硬件、軟件和協(xié)議的實(shí)現(xiàn)過程中，設(shè)計(jì)的安全策略存在缺陷，使得網(wǎng)絡(luò)攻擊者能夠利用這些弱點(diǎn)來破壞系統(tǒng)。由于缺乏有效的管理，高校的網(wǎng)絡(luò)設(shè)備易產(chǎn)生大量的安全漏洞。此外，校園網(wǎng)中的用戶大部分是非計(jì)算機(jī)專業(yè)人員，他們平時(shí)使用的大多僅限于簡(jiǎn)單的辦公學(xué)習(xí)軟件，對(duì)計(jì)算機(jī)的安全維護(hù)方面的知識(shí)欠缺，對(duì)于漏洞的定期檢查和更新沒有關(guān)注，容易引發(fā)攻擊者利用尚未修復(fù)的漏洞對(duì)校園網(wǎng)進(jìn)行攻擊。

2.2 計(jì)算機(jī)惡意代碼不斷升級(jí)

病毒、木馬具有很強(qiáng)的隱藏性、復(fù)制性，計(jì)算機(jī)一旦感染了病毒或木馬程序，將導(dǎo)致系統(tǒng)處于拒絕服務(wù)攻擊狀態(tài)，甚至累及全網(wǎng)業(yè)務(wù)，阻塞了大量的帶寬資源，造成網(wǎng)絡(luò)阻塞。這有可能破壞計(jì)算機(jī)系統(tǒng)，導(dǎo)致系統(tǒng)死亡。一些病毒感染計(jì)算機(jī)中的重要文件和數(shù)據(jù)，造成文件和數(shù)據(jù)的丟失、隱藏、加密；由此非法獲取用戶個(gè)人信息，給用戶造成經(jīng)濟(jì)損失。目前高校檢測(cè)出來的病毒及木馬有如下類別：Irc協(xié)議僵尸網(wǎng)絡(luò)，劫持木馬，蠕蟲病毒，網(wǎng)頁篡改，網(wǎng)站后門攻擊，遠(yuǎn)控木馬等。高等院校使用的機(jī)房流動(dòng)性大，病毒傳播途徑廣，病毒的傳播危害更大。例如，通過電子郵件、U盤、網(wǎng)站等傳播[2]。機(jī)房的用戶在進(jìn)行未知郵件下載時(shí)不進(jìn)行安全檢測(cè)就下載打開，導(dǎo)致惡意軟件植入；學(xué)生個(gè)人U盤攜帶病毒，有些機(jī)房未安裝殺毒軟件，易感染機(jī)房的主機(jī)，從而影響到整個(gè)校園網(wǎng)的安全運(yùn)行。

2.3 高校網(wǎng)絡(luò)內(nèi)部的不穩(wěn)定因素

高校內(nèi)網(wǎng)使用的主體為學(xué)生用戶，學(xué)生具有探索心理，加之對(duì)于網(wǎng)絡(luò)安全宣傳理念的薄弱，他們可能會(huì)嘗試從網(wǎng)絡(luò)上學(xué)習(xí)攻擊方法，從網(wǎng)絡(luò)上下載攻擊工具進(jìn)行攻擊，造成校園網(wǎng)絡(luò)服務(wù)器異常。例如，使用國外的端口掃描工具、一句話木馬等，對(duì)被保護(hù)的文件進(jìn)行非授權(quán)的讀、寫操作；對(duì)網(wǎng)絡(luò)端口進(jìn)行掃描。此類行為給校園網(wǎng)帶來一定負(fù)擔(dān)，造成一定的危害。

2.4 校園網(wǎng)外部入侵及破壞性攻擊

在一些黑客論壇中，網(wǎng)絡(luò)攻擊的工具繁多，且操作簡(jiǎn)單及附有教程學(xué)習(xí)，任何人都可以通過網(wǎng)絡(luò)下載。對(duì)于一些沒有相關(guān)的專業(yè)技術(shù)的人員，同樣可以利用這些工具對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行攻擊。其次，一些網(wǎng)絡(luò)黑客，常常編寫病毒，獲取暴利，例如勒索病毒。

2.5 垃圾危害信息的傳播

垃圾郵件主要是一些彈窗廣告、商業(yè)宣傳、個(gè)人網(wǎng)站推薦等信息。垃圾郵件可分為良性和惡性的。良性垃圾郵件只是單純地傳播信息，對(duì)于用戶本身來說影響不大。垃圾郵件則有一定的破壞作用，如：郵件附帶木馬程序，破壞接收方操作系統(tǒng)，盜取用戶信息等。有些垃圾郵件為了快速廣泛傳播垃圾郵件，常使用多臺(tái)機(jī)器，同時(shí)訪問郵件接收服務(wù)器，利用簡(jiǎn)單的DDoS攻擊，導(dǎo)致郵件服務(wù)器資源上限，干擾郵件服務(wù)器正常接收。在信息交換的今天，校園網(wǎng)與互聯(lián)網(wǎng)資源是共享的?；ヂ?lián)網(wǎng)上存在很多有關(guān)色情、暴力、賭博等不健康的平臺(tái)網(wǎng)站。這些網(wǎng)站的言論是違反道德標(biāo)準(zhǔn)和國家規(guī)定的，有些甚至是違法的。如果對(duì)這些網(wǎng)站網(wǎng)址不加過濾而進(jìn)入校園網(wǎng)內(nèi)部，對(duì)學(xué)生的成長是不利的。為此，要限制不良網(wǎng)站的訪問，加強(qiáng)相應(yīng)的安全措施。

3 校園網(wǎng)絡(luò)安全問題防護(hù)工作的方案

3.1 校園網(wǎng)絡(luò)系統(tǒng)安全策略設(shè)計(jì)

高校校園網(wǎng)安全策略需要從這幾個(gè)方面著手，網(wǎng)絡(luò)管理的隔離層面、對(duì)網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控層面、網(wǎng)絡(luò)管理應(yīng)對(duì)方案、網(wǎng)絡(luò)系統(tǒng)漏洞修補(bǔ)手段、熱點(diǎn)學(xué)生端認(rèn)證技術(shù)等[4]。

（1）使用高校操作系統(tǒng)的安全注意

平時(shí)工作中，機(jī)房管理員沒有做好安全防范措施，就安裝和配置操作系統(tǒng)，導(dǎo)致病毒進(jìn)入操作系統(tǒng)，在系統(tǒng)安裝結(jié)束后，也未能發(fā)現(xiàn)，影響網(wǎng)絡(luò)安全。同時(shí)，由于系統(tǒng)存在安全漏洞，還給外來攻擊者留下后門。高校為方便學(xué)習(xí)交流，都會(huì)開設(shè)相應(yīng)的應(yīng)用服務(wù)，這些服務(wù)的安全問題都要注意。

（2）高校網(wǎng)絡(luò)病毒防范策略

在中心機(jī)房網(wǎng)絡(luò)區(qū)域布控防病毒軟件。對(duì)該區(qū)域進(jìn)行重點(diǎn)監(jiān)控掃描，安裝360安全軟件，分區(qū)域進(jìn)行管理。設(shè)置系統(tǒng)開機(jī)或關(guān)機(jī)狀態(tài)進(jìn)行殺毒檢測(cè)[4]。對(duì)公共機(jī)房、實(shí)驗(yàn)室等計(jì)算機(jī)終端機(jī)，設(shè)置還原系統(tǒng)，可以采用鏡像分發(fā)來減少計(jì)算機(jī)病毒傳播的風(fēng)險(xiǎn)，對(duì)特定區(qū)域封閉傳輸媒介的傳輸接口。

3.2 設(shè)備安全防護(hù)策略

計(jì)算機(jī)系統(tǒng)實(shí)體定期護(hù)理。保證相關(guān)周圍環(huán)境安全，免受自然或人為破壞。優(yōu)化儲(chǔ)存及儲(chǔ)存渠道，防止資料外泄。同時(shí)，高?？梢詣?chuàng)建具備保護(hù)性的中心機(jī)房，將相關(guān)重要設(shè)備放置于中。做好機(jī)房數(shù)據(jù)備份，以便遇到突發(fā)事件時(shí)能及時(shí)恢復(fù)數(shù)據(jù)，恢復(fù)正常。

3.3 網(wǎng)絡(luò)安全技術(shù)策略

身份認(rèn)證技術(shù)。用特定口令、用戶信息、用戶某種特征來識(shí)別用戶的身份，確保符合條件的用戶通過訪問相應(yīng)的網(wǎng)絡(luò)資源。

防病毒技術(shù)。定期病毒查殺工作，對(duì)于高校，在重要網(wǎng)絡(luò)主機(jī)中安裝殺毒軟件（360，小紅傘，卡巴斯基等），并定期對(duì)軟件進(jìn)行更新。

防火墻技術(shù)。對(duì)流量數(shù)據(jù)按照防火墻的安全策略進(jìn)行過濾，把屬于破壞性、不符合規(guī)則的數(shù)據(jù)流量攔截在外。

文件加密及數(shù)字簽名技術(shù)。文件加密來保護(hù)文件的安全性，防止重要數(shù)據(jù)的竊取與丟失。數(shù)字簽名技術(shù)用來驗(yàn)證發(fā)送方身份，實(shí)現(xiàn)數(shù)據(jù)的檢驗(yàn)完整[2]。

3.4 網(wǎng)絡(luò)管理制度完善策略

對(duì)高校機(jī)房管理員提高要求，對(duì)網(wǎng)絡(luò)信息化建設(shè)與運(yùn)維工作做出合理規(guī)劃。對(duì)專業(yè)技術(shù)人員進(jìn)行系統(tǒng)化教學(xué)，落實(shí)網(wǎng)絡(luò)安全責(zé)任制度。制定相關(guān)的應(yīng)急處理機(jī)制[1]。

4 總結(jié)語

雖然現(xiàn)階段高校網(wǎng)絡(luò)的發(fā)展方便了工作與學(xué)習(xí)，提升了辦公效率和學(xué)習(xí)途徑，但也給網(wǎng)絡(luò)安全性帶來很多問題，若不加重視和提高防范，將帶來嚴(yán)重的教學(xué)、科研損失。高校師生要提高安全意識(shí)，做好基本的計(jì)算機(jī)規(guī)范，機(jī)房管理員維護(hù)好安全策略。同時(shí)，高校要強(qiáng)化網(wǎng)絡(luò)安全的教育，可以多舉行網(wǎng)絡(luò)安全教育報(bào)告會(huì)，知識(shí)競(jìng)賽。此外，可以針對(duì)不同專業(yè)的學(xué)生，開設(shè)不同程度的網(wǎng)絡(luò)知識(shí)課程，使學(xué)生了解網(wǎng)絡(luò)安全的重要，增強(qiáng)自我保護(hù)信息理念[3]。

[1]莫民，曹璞.等保2.0下高職院校智慧校園網(wǎng)絡(luò)安全體系建設(shè)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021.

[2]隋慶茹，劉曉彥.淺析高校網(wǎng)絡(luò)安全現(xiàn)狀及防護(hù)措施[J].中國管理信息化，2020.

[3]閆思瑾.高校計(jì)算機(jī)網(wǎng)絡(luò)信息管理安全防護(hù)問題與策略[J].數(shù)字技術(shù)與應(yīng)用，2021．

[4]夏可為. 高校校園網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)方案及論述[J].信息通信，2020.