淺議校園網(wǎng)絡(luò)安全與防范策略

摘要:通過對(duì)校園網(wǎng)絡(luò)使用過程中出現(xiàn)的各種安全問題進(jìn)行分析和研究，提出了從設(shè)備、技術(shù)和管理等多個(gè)層次來(lái)構(gòu)建校園網(wǎng)的網(wǎng)絡(luò)安全體系，并對(duì)一些安全問題提出了自己的看法。

關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;防范策略

中圖法分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10205-02

On the Campus Network Security and Preventive Strategies

WANG Feng-lan

(Shangqiu Medical College， Shangqiu 476100， China)

Abstract: The campus network through the process of using a variety of security issues arise analysis and research， the idea of making equipment， technology and management at multiple levels to build a campus network security system， and a number of security issues put forward their own views.

Key words: network security; firewall; prevention strategy

1 校園網(wǎng)絡(luò)面臨的安全問題

目前，絕大部分校園網(wǎng)絡(luò)通過CERNET與Internet相連，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性和共享性的特點(diǎn)，致使計(jì)算機(jī)網(wǎng)絡(luò)的安全受到潛在的威脅，面臨著遭遇來(lái)自Internet的攻擊風(fēng)險(xiǎn)。同時(shí)，校園網(wǎng)連接學(xué)院各個(gè)部門，還連接校內(nèi)學(xué)生機(jī)等，因此也面臨著來(lái)自校園內(nèi)部的安全威脅。總的來(lái)說，校園網(wǎng)絡(luò)安全問題主要有:

1.1 計(jì)算機(jī)病毒泛濫

計(jì)算機(jī)病毒就是指通過某種手段潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)或程序里，一旦條件被滿足時(shí)，就能夠被激活，具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒主要是通過復(fù)制文件、傳送文件、運(yùn)行程序等操作傳播，在日常的使用中，軟盤、硬盤、光盤和網(wǎng)絡(luò)是傳播病毒的主要途經(jīng)。網(wǎng)絡(luò)的普及為病毒的快速傳播創(chuàng)造了便利的條件，近年來(lái)出現(xiàn)的多種惡性病毒都是基于網(wǎng)絡(luò)進(jìn)行傳播的。這些計(jì)算機(jī)網(wǎng)絡(luò)病毒破壞性很多，計(jì)算機(jī)系統(tǒng)如果遭到網(wǎng)絡(luò)病毒的破壞，輕則系統(tǒng)崩潰、運(yùn)行癱瘓，重則全部文件損毀、數(shù)據(jù)丟失等。

1.2 外部入侵

校園網(wǎng)由于要適應(yīng)學(xué)校的教學(xué)和科研的特點(diǎn)，所以是開放的，管理也是比較寬松的，而且也同時(shí)具備了網(wǎng)絡(luò)信息系統(tǒng)所應(yīng)有的致命的脆弱性、開放性和易受攻擊性。由于黑客的目的一般都是竊取機(jī)密數(shù)據(jù)或破壞系統(tǒng)運(yùn)行，黑客會(huì)對(duì)校園網(wǎng)絡(luò)設(shè)備進(jìn)行信息轟炸，致使服務(wù)中斷，也可能入侵Web或其他文件服務(wù)器刪除或篡改數(shù)據(jù)，致使系統(tǒng)癱瘓甚至完全崩潰，此外黑客還有可能向網(wǎng)絡(luò)傳附帶病毒的文件，達(dá)到間接破壞的目的，因此黑客的攻擊不僅殺傷力大。而且隱蔽性強(qiáng)。

1.3 內(nèi)部攻擊嚴(yán)重

由于使用校園網(wǎng)的大部分是學(xué)生，他們的好奇心較強(qiáng)，且各種攻擊手段的介紹隨處可見，所以有少數(shù)學(xué)生就把校園網(wǎng)作為攻擊的對(duì)象。學(xué)生很容易運(yùn)用ARP欺騙、第三方黑客攻擊軟件、IP碎片攻擊等攻擊手段，且方法也越來(lái)越復(fù)雜。在這樣的情況下，校園網(wǎng)既要保證網(wǎng)絡(luò)的安全運(yùn)行，同時(shí)又要為教學(xué)、科研服務(wù)，滿足學(xué)生學(xué)習(xí)的需求，是高校網(wǎng)絡(luò)管理面臨的新課題。

1.4 系統(tǒng)的漏洞的威脅

目前，校園網(wǎng)使用的系統(tǒng)軟件主要有Windows NT，Windows 2000 Server，UNIX，Linux等，由于系統(tǒng)自身的漏洞，雖然推出了一些針對(duì)性的補(bǔ)丁程序，但也不可避免地容易遭到病毒或人為因素的破壞。由于各校園網(wǎng)使用的管理系統(tǒng)、數(shù)據(jù)庫(kù)不同，開發(fā)商對(duì)于軟件安全性方面的考慮程度也不盡相同。如果系統(tǒng)的開發(fā)水平比較高、比較嚴(yán)密，在安全性能上考慮的比較周到，防范手段也較為先進(jìn)，那么其安全性就大;反之，系統(tǒng)本身存在安全隱患，安全性自然就小。

2 校園網(wǎng)絡(luò)防范策略

2.1 設(shè)備安全管理策略

在校園網(wǎng)規(guī)劃設(shè)計(jì)階段，網(wǎng)絡(luò)中心應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題。將一些重要的網(wǎng)絡(luò)設(shè)備，如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中式管理。各種通信線路盡量實(shí)行深埋、穿線或架空，并有明顯標(biāo)記，防止無(wú)意損壞。對(duì)于終端設(shè)備如工作站、小型交換機(jī)、集線器和其他轉(zhuǎn)接設(shè)備要落實(shí)到人，進(jìn)行嚴(yán)格管理。同時(shí)，校園網(wǎng)設(shè)備的選用也應(yīng)從安全角度考慮選用具有較高的可用性、可靠性、可擴(kuò)展性，支持對(duì)稱多處理器、內(nèi)存糾錯(cuò)能力強(qiáng)的服務(wù)器、三層交換技術(shù)和磁盤管理等因素。

2.2 漏洞掃描系統(tǒng)策略

解決網(wǎng)絡(luò)中安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、漏洞。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不夠的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估風(fēng)險(xiǎn)并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。例如:采用NSS網(wǎng)絡(luò)安全掃描器，定期對(duì)校園網(wǎng)絡(luò)服務(wù)器、工作站、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果得到校園網(wǎng)絡(luò)詳細(xì)可靠的安全性分析報(bào)告，進(jìn)而提高網(wǎng)絡(luò)安全的整體水平。

2.3 軟件防范策略

1) 使用正版操作系統(tǒng)，及時(shí)打補(bǔ)丁和系統(tǒng)升級(jí)。

使用正版的操作系統(tǒng)軟件，可以確保使用者訪問最新的功能、安全性和技術(shù)支持，有助于提高工作效率和擴(kuò)展PC的功能。另外，目前使用的各類操作系統(tǒng)并不是非常安全，在安全性方面存在著很多漏洞，因此，使用者還要及時(shí)上網(wǎng)更新系統(tǒng)到專門的網(wǎng)站上下載補(bǔ)丁程序，第一時(shí)間確保操作系統(tǒng)的安全性。

2) 殺毒軟件

可以通過購(gòu)買專殺病毒的工具軟件，殺毒軟件應(yīng)具有能夠支持所有系統(tǒng)的平臺(tái)，并實(shí)現(xiàn)軟件安裝、升級(jí)、配置的中央管理，要能保護(hù)校園網(wǎng)所有可能的病毒入口，即要支持所有可能用到的Internet協(xié)議及郵件系統(tǒng)，具有較強(qiáng)的防護(hù)功能，可對(duì)數(shù)據(jù)程序提供有效保護(hù)的特征。

2.4 信息過濾與防火墻技術(shù)策略

過濾器技術(shù)可以屏蔽不良的網(wǎng)站，對(duì)網(wǎng)上色情、暴力和邪教等有了強(qiáng)大的堵截功能。有害信息過濾對(duì)于校園網(wǎng)絡(luò)，必須采用一套完整的網(wǎng)絡(luò)管理和信息過濾相結(jié)合的系統(tǒng)，實(shí)現(xiàn)對(duì)整個(gè)校園內(nèi)電腦訪問互聯(lián)網(wǎng)進(jìn)行有害信息過濾管理。

防火墻技術(shù)是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，在Internet與校園網(wǎng)內(nèi)網(wǎng)之間安裝防火墻.成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。它用來(lái)限制外部非法用戶訪問內(nèi)部網(wǎng)絡(luò)資源，通過建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入防止偷竊或起破壞作用的惡意攻擊。也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。

2.5 入侵檢測(cè)策略

入侵檢測(cè)系統(tǒng)是進(jìn)行入侵檢測(cè)的軟件與硬件的組合，被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊;在入侵攻擊過程中，能減少入侵攻擊所造成的損失;在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

2.6 安全管理和網(wǎng)絡(luò)安全認(rèn)識(shí)策略

校園內(nèi)應(yīng)該建立一套校園網(wǎng)絡(luò)安全管理模式，制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行，并定期對(duì)校內(nèi)師生進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，或發(fā)放常見病毒解決方案等。另外，學(xué)校必須頒布網(wǎng)絡(luò)行為規(guī)范和具體處罰條例。做到有章可循，這樣才能有效的控制和減少內(nèi)部網(wǎng)絡(luò)的隱患。

2.7 數(shù)據(jù)備份與恢復(fù)策略

數(shù)據(jù)是網(wǎng)絡(luò)的核心，其安全性要高。數(shù)據(jù)一旦被破壞，那將是災(zāi)難性的，所以要有一套完整的數(shù)據(jù)備份與恢復(fù)方案。為了保證網(wǎng)絡(luò)系統(tǒng)發(fā)生災(zāi)難后做到有的放矢，必須制定一套完整可行的事件救援，災(zāi)難恢復(fù)計(jì)劃及方案。

3 結(jié)束語(yǔ)

加強(qiáng)校園網(wǎng)絡(luò)安全建設(shè)，將是未來(lái)高校面臨的重要課題之一。高校必須提高管理人員的網(wǎng)絡(luò)安全意識(shí)和技術(shù)水平，并將各種安全技術(shù)結(jié)合在一起，才能生成一個(gè)高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn):

[1] 蘇雪，高文知.入侵檢測(cè)技術(shù)在校園網(wǎng)中的應(yīng)用研究[J].科技創(chuàng)業(yè)月刊，2008(12).

[2] 朱雪龍.中小型校園網(wǎng)絡(luò)建設(shè)策略與探索[J].福建電腦，2009(2).

[3] 席桂花，李曉.淺談高校中的計(jì)算機(jī)安全管理[J].電腦知識(shí)與技術(shù)，2008(5).

[4] 王宏偉.網(wǎng)絡(luò)安全威脅與對(duì)策[J].應(yīng)用技術(shù)，2006(5).