高校校園網(wǎng)絡(luò)安全策略分析

王　濤

[摘要]高校校園網(wǎng)絡(luò)在校園管理、日常教學(xué)等方面的重要性不言而喻，隨著高校規(guī)模的擴(kuò)大，其校園網(wǎng)絡(luò)已顯得日趨重要。分析目前高校校園網(wǎng)絡(luò)所存在的安全隱患，并就如何提高校園網(wǎng)絡(luò)的安全性提出一些安全策略。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 校園網(wǎng) 策略

中圖分類號(hào)：G47文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0510174－01

一、引言

隨著校園網(wǎng)應(yīng)用的深入，校園網(wǎng)安全問題越來越被人們重視。在校園網(wǎng)的建設(shè)中一般都最先應(yīng)用最先進(jìn)的網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)應(yīng)用普及，用戶群密集而且活躍，安全問題非常突出，安全管理更為復(fù)雜，因此穩(wěn)定的網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)成為教育信息化的重要保障，網(wǎng)絡(luò)及信息安全也成為高校關(guān)注焦點(diǎn)之一。

二、高校校園網(wǎng)所存在的隱患

校園網(wǎng)的功能架構(gòu)大致可以分為對(duì)內(nèi)部分，對(duì)外部分和網(wǎng)絡(luò)管理部分。對(duì)內(nèi)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)的建設(shè)，對(duì)外主要實(shí)現(xiàn)校園網(wǎng)與Internet的基礎(chǔ)接入。當(dāng)前，高校校園網(wǎng)絡(luò)普遍的安全隱患和漏洞有以下幾種：

（一）操作系統(tǒng)的安全缺陷。目前使用的網(wǎng)絡(luò)操作系統(tǒng)都存在安全漏洞，近年來的沖擊波、震蕩波就是利用微軟操作系統(tǒng)的漏洞進(jìn)行攻擊的。Unix操作系統(tǒng)的遠(yuǎn)程過程調(diào)用RPC軟件包中包含具有緩沖區(qū)溢出缺陷的程序，容易為入侵者提供溢出攻擊。此外，操作系統(tǒng)還存在著隱蔽通道、天窗等不可避免的安全問題。

（二）計(jì)算機(jī)病毒的威脅。計(jì)算機(jī)病毒是校園網(wǎng)安全最大的威脅，由于計(jì)算機(jī)病毒具有隱蔽性、破壞性、傳染性等特性，一般不容易被發(fā)現(xiàn)，并且一旦校園內(nèi)某臺(tái)機(jī)器感染病毒將能迅速蔓延整個(gè)網(wǎng)絡(luò)，對(duì)校園網(wǎng)絡(luò)安全有著巨大的破壞性。近年來的“CIH病毒”以及“愛蟲病毒”、“震蕩波”等網(wǎng)絡(luò)病毒對(duì)全球計(jì)算機(jī)網(wǎng)絡(luò)造成了極大的破壞和嚴(yán)重的經(jīng)濟(jì)損失。

（三）惡意攻擊。高校學(xué)生對(duì)新鮮事物充滿好奇同時(shí)又具備一定的能力，部分學(xué)生使用BT軟件下載文件，對(duì)服務(wù)器造成威脅；部分對(duì)黑客技術(shù)感興趣的學(xué)生可能會(huì)利用網(wǎng)絡(luò)獲得的知識(shí)來攻擊校園網(wǎng)絡(luò)，校園網(wǎng)內(nèi)針對(duì)QQ的黑客程序隨處可見。

（四）用戶管理方面的問題。網(wǎng)內(nèi)管理人員以及全體師生的安全意識(shí)不強(qiáng)、管理制度不健全，帶來校園網(wǎng)的威脅。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日益增多，學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂、使用BT軟件下載，很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點(diǎn)大部分都沒有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。

三、校園網(wǎng)絡(luò)系統(tǒng)安全的解決途徑

針對(duì)常見的校園網(wǎng)安全威脅，建立有效的安全策略迫在眉睫，只有建立一套解決校園網(wǎng)安全威脅的整體解決方案，才能保證校園網(wǎng)的安全運(yùn)行，筆者根據(jù)自己的實(shí)踐經(jīng)驗(yàn)，總結(jié)出幾種安全對(duì)策：

（一）運(yùn)用防火墻技術(shù)。防火墻是構(gòu)建整個(gè)網(wǎng)絡(luò)安全體系的核心，它位于內(nèi)部網(wǎng)和外部網(wǎng)之間，成為內(nèi)外網(wǎng)之間的一道牢固的安全屏障。

若校園網(wǎng)不加防范地連入Internet，很容易受到入侵者的攻擊，嚴(yán)重時(shí)會(huì)導(dǎo)致網(wǎng)絡(luò)的癱瘓。防火墻分離可信任的校園內(nèi)部網(wǎng)和不可信的公共網(wǎng)，是不同網(wǎng)絡(luò)之間信息的唯一出入口。能根據(jù)學(xué)校的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，具有較強(qiáng)的抗攻擊能力。

校園網(wǎng)防火墻系統(tǒng)的設(shè)計(jì)常使用代理服務(wù)器屬于應(yīng)用層防火墻，它連接外部網(wǎng)與內(nèi)部網(wǎng)充當(dāng)防火墻，因?yàn)樾@網(wǎng)內(nèi)的機(jī)器不直接與Internet相連，客戶機(jī)的內(nèi)部資源不會(huì)受到侵犯，同時(shí)，又可在代理服務(wù)器上控制內(nèi)部網(wǎng)客戶機(jī)對(duì)Internet資源和服務(wù)的訪問。

（二）入侵檢測系統(tǒng)。對(duì)于校園網(wǎng)而言，不但要防御外部的攻擊還要考慮內(nèi)部的攻擊。但是，防火墻畢竟只是被動(dòng)防御，因此必須還應(yīng)該采用入侵檢測系統(tǒng)（IDS）。IDS所采用的不是被動(dòng)防御的策略，而是主動(dòng)監(jiān)視、檢測和識(shí)別正在進(jìn)行的或已經(jīng)成功的入侵行為，并及時(shí)報(bào)告給網(wǎng)絡(luò)管理者。但是單靠入侵檢測系統(tǒng)自身，只能及時(shí)發(fā)現(xiàn)攻擊行為，但卻無法阻止和處理。所以，讓IDS與防火墻結(jié)合起來互動(dòng)運(yùn)行，防火墻便可通過IDS及時(shí)發(fā)現(xiàn)其策略之外的攻擊行為，IDS也可以通過防火墻對(duì)來自外部網(wǎng)絡(luò)的攻擊行為進(jìn)行阻斷。這樣就可以大大提高整體防護(hù)性能并解決上述問題。IDS與防火墻有效互動(dòng)就可以實(shí)現(xiàn)一個(gè)較為有效的安全防護(hù)體系，解決了傳統(tǒng)信息安全技術(shù)的弊端，解決了原先防火墻的粗顆粒防御和檢測系統(tǒng)只發(fā)現(xiàn)難響應(yīng)的問題。

（三）網(wǎng)絡(luò)殺毒軟件。從網(wǎng)絡(luò)管理和病毒監(jiān)控的角度來說，校園網(wǎng)宜選用網(wǎng)絡(luò)版防病毒軟件。因?yàn)榫W(wǎng)絡(luò)版防病毒軟件的管理功能更強(qiáng)大，網(wǎng)絡(luò)管理員只要及時(shí)在服務(wù)器端進(jìn)行升級(jí)，客戶端啟動(dòng)后就可以自動(dòng)升級(jí)，網(wǎng)管員還可以對(duì)所有安裝客戶端的計(jì)算機(jī)進(jìn)行病毒監(jiān)控、遠(yuǎn)程殺毒，及時(shí)了解校園網(wǎng)中病毒疫情。

（四）運(yùn)用虛擬局域網(wǎng)技術(shù)。VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。

VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的部門及不同的安全機(jī)制，將網(wǎng)絡(luò)進(jìn)行隔離，可以達(dá)到限制用戶非法訪問的目的。采用交換式局域網(wǎng)技術(shù)組建的校園網(wǎng)絡(luò)，可以運(yùn)用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。

（五）管理方面的提高。校園網(wǎng)各機(jī)房和各業(yè)務(wù)部門機(jī)房都要有專門的管理員負(fù)責(zé)其網(wǎng)絡(luò)安全問題，并建立完善的管理制度。對(duì)學(xué)生開放的機(jī)房，要安裝機(jī)器還原卡，減少外來感染機(jī)會(huì)，控制和監(jiān)視每臺(tái)機(jī)器的下載文件，控制不良信息的傳播與網(wǎng)絡(luò)聊天，加強(qiáng)密碼的管理。對(duì)于各業(yè)務(wù)部門機(jī)房要嚴(yán)格實(shí)行崗位責(zé)任制，對(duì)應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權(quán)，并登記日志。

四、結(jié)束語

校園網(wǎng)安全是一個(gè)動(dòng)態(tài)的發(fā)展過程，應(yīng)該是檢測、監(jiān)視、安全響應(yīng)的循環(huán)過程。只有全面了解校園的網(wǎng)絡(luò)狀況，以及網(wǎng)絡(luò)安全中存在的軟、硬件差異，才能因地制宜地制定安全策略，并實(shí)施網(wǎng)絡(luò)改造，在實(shí)施有效的技術(shù)手段的同時(shí)，配合完善的安全管理策略，提高安全管理人員的素質(zhì)，落實(shí)安全管理制度，并加強(qiáng)對(duì)上網(wǎng)用戶的安全知識(shí)及相關(guān)安全法規(guī)的培訓(xùn)。

參考文獻(xiàn)：

[1]閆宏生，計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)[M].電子工業(yè)出版社，2007.

[2]梁亞聲，計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].機(jī)械工業(yè)出版社，2008.

[3]Chris Brenton著，馬樹奇、金燕譯，網(wǎng)絡(luò)安全從入門到精通[M].電子工業(yè)出版社.

作者簡介：

王濤，男，漢族，湖南城市學(xué)院計(jì)算機(jī)系助教，研究方向：可信系統(tǒng)與網(wǎng)絡(luò)安全。