高校校園網(wǎng)絡(luò)安全分析及解決方案

【摘要】校園網(wǎng)是校園信息傳輸?shù)钠脚_(tái)，必須建立有機(jī)的、智能化的網(wǎng)絡(luò)安全防范體系以保護(hù)校園信息和關(guān)鍵應(yīng)用的安全。然而，不少校園網(wǎng)由于安全建設(shè)嚴(yán)重滯后，使得其在建設(shè)初期就埋下了安全隱患；投入運(yùn)行后，又疏于安全管理，以致校園網(wǎng)沒有發(fā)揮它應(yīng)有的作用。因此，只有建成高速、穩(wěn)定、安全、可靠的校園網(wǎng)，高校的數(shù)字信息資源、網(wǎng)絡(luò)服務(wù)、信息服務(wù)等，才能正常運(yùn)行。加強(qiáng)安全建設(shè)是建好、用好校園網(wǎng)的重要保障。該文就此提出了一些看法和建議。

【關(guān)鍵詞】校園網(wǎng)；安全；控制；管理；系統(tǒng)

【中圖分類號(hào)】G434 【文獻(xiàn)標(biāo)識(shí)碼】B 【論文編號(hào)】1009—8097 (2008) 03—0091—03

目前許多學(xué)校都已經(jīng)建立了校園網(wǎng)，并通過(guò)各種方式與國(guó)際互聯(lián)網(wǎng)相連，校園網(wǎng)已經(jīng)成為學(xué)校教學(xué)、科研和管理的重要渠道，并已經(jīng)改變了人們的生活和學(xué)習(xí)方式，成為人們進(jìn)行信息交流的基本工具。而且，校園網(wǎng)作為高校信息化建設(shè)的基礎(chǔ)設(shè)施，在各學(xué)校也得到了極大的發(fā)展。隨著校園網(wǎng)規(guī)模急劇擴(kuò)大、網(wǎng)絡(luò)用戶數(shù)量快速增多、校園網(wǎng)的開放程度日益增加，校園網(wǎng)的安全問(wèn)題也就顯得愈發(fā)突出了?？梢哉f(shuō)，校園網(wǎng)安全問(wèn)題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題，如何保證校園網(wǎng)的安全運(yùn)行，已成為當(dāng)前許多高校信息化建設(shè)的當(dāng)務(wù)之急。

一 高校校園網(wǎng)的安全現(xiàn)狀

高校一般都是最先應(yīng)用先進(jìn)網(wǎng)絡(luò)技術(shù)的地方，而且網(wǎng)絡(luò)應(yīng)用普及，用戶群密集而且活躍，特別是學(xué)生，好奇心和求知欲很強(qiáng)，經(jīng)常會(huì)嘗試各種網(wǎng)絡(luò)技術(shù)問(wèn)題，所以安全問(wèn)題比較突出，安全管理更為復(fù)雜、困難。當(dāng)前，高校校園網(wǎng)絡(luò)普遍存在的安全隱患和漏洞有以下幾種:

1 來(lái)自硬件系統(tǒng)的安全威脅。硬件的安全問(wèn)題也可以分為兩種，一種是物理安全，一種是設(shè)置安全。物理安全是指由于物理設(shè)備的放置不合適或者防范不得力，使得服務(wù)器、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等網(wǎng)絡(luò)線路以及UPS 和電纜線等電源設(shè)備遭受意外事故或人為破壞，造成校園網(wǎng)不能正常運(yùn)行。設(shè)置安全是指在設(shè)備上進(jìn)行必要的設(shè)置(如服務(wù)器、交換機(jī)的密碼等)，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)。

2 來(lái)自校園網(wǎng)內(nèi)部的威脅。校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生，學(xué)校不能有效的規(guī)范和約束學(xué)生的上網(wǎng)行為，學(xué)生會(huì)經(jīng)常的監(jiān)聽或掃描學(xué)校網(wǎng)絡(luò)，因此來(lái)自內(nèi)部的安全威脅更難應(yīng)付。

3 來(lái)自Internet 的威脅。Internet上有各種不同內(nèi)容的網(wǎng)站，這些形形色色、良莠不齊的網(wǎng)絡(luò)資源不但會(huì)占用大量流量資源，造成網(wǎng)絡(luò)堵塞、上網(wǎng)速度慢等問(wèn)題，而且由于校園網(wǎng)與Internet 相連，校園網(wǎng)也就面臨著遭遇攻擊的風(fēng)險(xiǎn)。

4 系統(tǒng)或軟件的漏洞。目前使用的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。而且現(xiàn)在許多從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼， 這些軟件的使用也可能被攻擊者侵入和利用。

5 管理方面的問(wèn)題。一是校園網(wǎng)的用戶群體一般比較大，少則數(shù)千人、多則數(shù)萬(wàn)人，數(shù)據(jù)量大、速度高。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，學(xué)生通過(guò)網(wǎng)絡(luò)在線看電影、聽音樂(lè)，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點(diǎn)大部分都沒有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。

二 威脅高校校園網(wǎng)安全的原因分析

網(wǎng)絡(luò)的不安全因素很多，但是由于學(xué)校是以教學(xué)活動(dòng)為中心的場(chǎng)所，所以，校園網(wǎng)的安全問(wèn)題有著它自己的特殊性，目前，校園網(wǎng)存在的安全隱患和漏洞主要有如下幾點(diǎn)：

1 校園網(wǎng)中的設(shè)備多。校園網(wǎng)需要各種設(shè)備的支持，而這些設(shè)備分布在各種不同的地方，管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起校園網(wǎng)的癱瘓，如室外通信光纜、電纜等，分布范圍廣，不能封閉式管理；室內(nèi)設(shè)備也可能發(fā)生被盜、損壞等情況。校園網(wǎng)是一個(gè)平臺(tái)，面向全校的師生，校園網(wǎng)中的設(shè)備管理也比較多樣化，校級(jí)設(shè)備一般有網(wǎng)絡(luò)中心管理，院、系級(jí)設(shè)備由本部門管理，也由本部門維護(hù)，學(xué)生自用的機(jī)器，放在學(xué)生宿舍中，由學(xué)生自行維護(hù)。這樣就很難對(duì)所有設(shè)備實(shí)施統(tǒng)一的安全策略，如安裝防病毒軟件等。所以當(dāng)用戶的計(jì)算機(jī)接入校園網(wǎng)后感染病毒，這臺(tái)感染病毒的計(jì)算機(jī)又影響了校園網(wǎng)的運(yùn)行，于是出現(xiàn)“交叉感染”。

2 技術(shù)上的不足。由于教學(xué)和科研的特點(diǎn)決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的。目前校園網(wǎng)大都是利用Internet 技術(shù)構(gòu)造的，且又與Internet 相連，所以校園網(wǎng)在運(yùn)行過(guò)程中面臨各種安全威脅。現(xiàn)在TCP/IP協(xié)議廣泛用于各種網(wǎng)絡(luò)，所以幾乎所有的Internet 協(xié)議都沒有考慮安全機(jī)制。并且現(xiàn)在人們很容易從Internet上獲得相關(guān)的核心技術(shù)資料，特別是有關(guān)Internet 自身的技術(shù)資料及各類黑客軟件，很容易造成網(wǎng)絡(luò)安全問(wèn)題。尤其是在學(xué)校學(xué)生的好奇心、破壞欲給校園網(wǎng)帶來(lái)了很多安全問(wèn)題。其次，隨著軟件交流規(guī)模的不斷增大，軟件中的安全漏洞也不可避免地存在。當(dāng)前應(yīng)用的各種網(wǎng)絡(luò)操作系統(tǒng)都有不同級(jí)別的安全風(fēng)險(xiǎn)。

3 活躍的用戶群體。高校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇，敢于嘗試。很多學(xué)生的計(jì)算機(jī)技術(shù)水平非常高，而且具有強(qiáng)烈的好奇心和實(shí)踐欲望，他們時(shí)常有意無(wú)意地破壞校園網(wǎng)系統(tǒng)，嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù)，干擾校園網(wǎng)的安全運(yùn)行。另外，很多學(xué)生通過(guò)網(wǎng)絡(luò)在線看電影、聽音樂(lè)、玩游戲，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。校園網(wǎng)與一般網(wǎng)絡(luò)不同，不僅要注意防止外部網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)的攻擊，還要注意防范校園網(wǎng)內(nèi)部的學(xué)生攻擊?？梢哉f(shuō)，來(lái)自校園網(wǎng)內(nèi)部的安全隱患比校園網(wǎng)外部的安全隱患破壞力更強(qiáng)、影響更廣、威脅更大。

4 盜版資源泛濫。由于缺乏版權(quán)意識(shí)，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播也給網(wǎng)絡(luò)安全帶來(lái)了一定的隱患。另一方面，從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。

三 高校校園網(wǎng)絡(luò)所面臨的主要安全問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅大體可以分為兩種，一是來(lái)自網(wǎng)絡(luò)硬件的威脅，包括使用的各種網(wǎng)絡(luò)設(shè)備；二是來(lái)自網(wǎng)絡(luò)中信息的威脅，包括網(wǎng)絡(luò)中數(shù)據(jù)的威脅，也包括對(duì)處理這些數(shù)據(jù)的信息系統(tǒng)以及應(yīng)用軟件的威脅。主要的安全問(wèn)題有如下幾點(diǎn)：

1 物理層的安全問(wèn)題

物理層的安全問(wèn)題是指由于網(wǎng)絡(luò)設(shè)備的放置不合適或者防范措施不得力，使得網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等遭受意外事故或人為破壞，造成校園網(wǎng)不能正常運(yùn)行。物理安全是制訂校園網(wǎng)安全解決方案時(shí)首先應(yīng)考慮的問(wèn)題。

2 系統(tǒng)和應(yīng)用軟件存在的漏洞威脅

在校園網(wǎng)中使用的操作系統(tǒng)和應(yīng)用軟件千差萬(wàn)別，這些操作系統(tǒng)和應(yīng)用軟件不可能沒有缺陷和漏洞，這些缺陷和漏洞，如未及時(shí)發(fā)現(xiàn)，就會(huì)被攻擊者所利用，對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅，而且網(wǎng)絡(luò)用戶濫用某些共享軟件也會(huì)導(dǎo)致計(jì)算機(jī)可能成為黑客攻擊校園網(wǎng)的后門。

3 計(jì)算機(jī)病毒入侵和黑客攻擊

計(jì)算機(jī)病毒是校園網(wǎng)安全最大的威脅因素，有著巨大的破壞性。尤其是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播的病毒，其傳播速度快、影響大、殺毒難等都不是單機(jī)病毒所能相比的。校園網(wǎng)在接入Internet 后，便面臨著內(nèi)部和外部黑客雙重攻擊的危險(xiǎn)，尤以內(nèi)部攻擊為主。

4 內(nèi)部用戶濫用網(wǎng)絡(luò)資源

校園網(wǎng)內(nèi)部用戶對(duì)校園網(wǎng)資源的濫用，有的校園網(wǎng)用戶利用校園網(wǎng)資源提供視頻、音頻、軟件等資源下載，占用了大量的網(wǎng)絡(luò)帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網(wǎng)絡(luò)帶寬，給正常的校園網(wǎng)應(yīng)用帶來(lái)了極大的威脅。

四 高校校園網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)和解決途徑

網(wǎng)絡(luò)安全問(wèn)題，是一個(gè)系統(tǒng)工程，不是單純的技術(shù)問(wèn)題。它涉及物理安全、系統(tǒng)安全、技術(shù)安全，管理安全等諸多方面，只有建立一套解決校園網(wǎng)安全威脅的整體解決方案，才能保證校園網(wǎng)的各種資源免受自然或人為的破壞，確保校園網(wǎng)安全運(yùn)行，因此必須從系統(tǒng)的觀點(diǎn)去考慮。下面介紹幾種安全對(duì)策。

1 訪問(wèn)控制

訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。用戶的入網(wǎng)訪問(wèn)控制通常有用戶名和口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查等。當(dāng)用戶進(jìn)入網(wǎng)絡(luò)后，網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問(wèn)權(quán)限，用戶只能在其權(quán)限內(nèi)進(jìn)行操作。這樣，就保證網(wǎng)絡(luò)資源不被非法訪問(wèn)和非法使用。用戶在其合法的訪問(wèn)授權(quán)之外無(wú)其他的訪問(wèn)特權(quán)，有效防止了網(wǎng)絡(luò)因超權(quán)限訪問(wèn)而造成的損失。目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開始的。一旦黑客進(jìn)入了系統(tǒng)，那么所有的防衛(wèi)措施幾乎就沒有作用，所以對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的措施。

2 防火墻與IDS 聯(lián)動(dòng)

防火墻是構(gòu)建整個(gè)網(wǎng)絡(luò)安全體系的核心，它位于內(nèi)部網(wǎng)和外部網(wǎng)之間，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障，其中WWW、MAIL、FTP、DNS等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)防火墻與Internet連接。通過(guò)Internet進(jìn)來(lái)的公眾用戶只能訪問(wèn)到對(duì)外公開的一些服務(wù)，既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。對(duì)于校園網(wǎng)而言，不但要防御外部的攻擊還要考慮內(nèi)部的攻擊。但是，防火墻畢竟只是被動(dòng)防御，因此，必須加強(qiáng)與IDS（入侵檢測(cè)系統(tǒng)）的聯(lián)動(dòng)。IDS 所采用的不是被動(dòng)防御的策略，而是主動(dòng)監(jiān)視、檢測(cè)和識(shí)別正在進(jìn)行的或已經(jīng)成功的入侵行為，并及時(shí)報(bào)告給網(wǎng)絡(luò)管理者。由于IDS 系統(tǒng)除了報(bào)告外，本身不能對(duì)入侵采取任何的防御措施。所以網(wǎng)絡(luò)中心通過(guò)IDS 和防火墻的聯(lián)動(dòng)來(lái)實(shí)現(xiàn)入侵防御，當(dāng)IDS 發(fā)現(xiàn)攻擊企圖后，它會(huì)通知防火墻將攻擊來(lái)源的IP 地址或端口禁掉。這種聯(lián)動(dòng)方式集合了IDS和防火墻的優(yōu)點(diǎn)，從而能主動(dòng)地阻擋入侵，降低非法入侵造成的損失

3 漏洞掃描系統(tǒng)

解決網(wǎng)絡(luò)中安全問(wèn)題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、漏洞。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不夠的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估風(fēng)險(xiǎn)并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。而且也可以采用目前先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。

4 安裝補(bǔ)丁程序和網(wǎng)絡(luò)殺毒軟件

任何操作系統(tǒng)都有漏洞，大部分校園網(wǎng)服務(wù)器使用的操作系統(tǒng)都有漏洞，蓄意攻擊它們的人也特別多，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)對(duì)系統(tǒng)進(jìn)行升級(jí)。在校園網(wǎng)防病毒方案中，系統(tǒng)管理員最終要達(dá)到的一個(gè)目標(biāo)就是，要在整個(gè)網(wǎng)絡(luò)中杜絕病毒的感染和傳播。為了實(shí)現(xiàn)這個(gè)目標(biāo)，系統(tǒng)管理員應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒等多種功能。網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素，如何防止網(wǎng)絡(luò)病毒也就成為校園網(wǎng)安全必須考慮的重要問(wèn)題，因此必須在校園網(wǎng)上安裝網(wǎng)絡(luò)版的殺毒軟件才能滿足要求。

5 運(yùn)用虛擬局域網(wǎng)(VLAN) 技術(shù)

VLAN (Virtual Local Area Network) 即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN 技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制，可以達(dá)到限制用戶非法訪問(wèn)的目的。采用交換式局域網(wǎng)技術(shù)的校園網(wǎng)絡(luò)，可以用VLAN 技術(shù)來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。

6 關(guān)閉不需要的服務(wù)和端口、建立監(jiān)測(cè)系統(tǒng)日志

服務(wù)器操作系統(tǒng)在安裝的時(shí)候，會(huì)啟動(dòng)一些不需要的服務(wù)，這樣會(huì)占用系統(tǒng)的資源，而且也增加了系統(tǒng)的安全隱患。對(duì)于完全不用的服務(wù)，可以完全關(guān)閉；對(duì)于要使用的服務(wù)，應(yīng)開通其服務(wù)。另外，還要關(guān)掉沒有必要開的TCP端口。通過(guò)運(yùn)行系統(tǒng)日志程序，系統(tǒng)會(huì)記錄所有用戶使用系統(tǒng)的情形，包括最近登錄時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)等。日志程序會(huì)定期生成報(bào)表，通過(guò)對(duì)報(bào)表進(jìn)行分析，你可以知道是否有異常現(xiàn)象。

參考文獻(xiàn)：

[1]李海泉.計(jì)算機(jī)系統(tǒng)的安全技術(shù)[M].北京:人民郵電出版社，2002年.

[2]葉忠杰主編.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M]. 北京:科學(xué)技術(shù)出版社，2003年.

[3]齊 蕾.淺談校園網(wǎng)安全控制策略[J].大眾科技，2005，(4): 45～46.

[4]段海新.校園網(wǎng)安全問(wèn)題分析與對(duì)策[J].中國(guó)教育網(wǎng)絡(luò)，2005(3).

[5]張武軍.李雪安.高校校園網(wǎng)安全整體解決方案研究[J].電子科技，2006(3).

[6]劉欽創(chuàng).高校校園網(wǎng)的安全現(xiàn)狀與對(duì)策[J].現(xiàn)代計(jì)算機(jī)，2006(3).