淺談校園網(wǎng)網(wǎng)絡安全面臨的威脅及其防范措施

扈志峰

摘要：網(wǎng)絡技術(shù)的普及，使校園網(wǎng)給我們帶來了網(wǎng)絡通信、資源共享和辦公自動化等方便快捷的工作條件。但由于校園網(wǎng)具有開放性、分布性等特征，任何人都可以通過計算機訪問校園網(wǎng)絡，這就可能出現(xiàn)有人攻擊網(wǎng)絡、破壞網(wǎng)絡、傳播計算機病毒，竊取保密信息等安全威脅，這使得網(wǎng)絡安全顯得尤為重要。本文提出了一些校園網(wǎng)網(wǎng)絡安全性所面臨的威脅，并提出了一些防范措施。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡威脅；防范技術(shù)

1前言

隨著近年來信息技術(shù)的迅猛發(fā)展，一個高速高效、資源豐富、應用廣泛的校園網(wǎng)已經(jīng)成為院校正常教學、科研、管理工作中的一個必不可少的組成部分。校園網(wǎng)是利用現(xiàn)代網(wǎng)絡技術(shù)、多媒體技術(shù)等為基礎(chǔ)建立起來的主要應用于學校內(nèi)部的計算機網(wǎng)絡，它主要支持全校各部門的辦公教學活動，把分散于學校內(nèi)部的各獨立用戶聯(lián)結(jié)起來，實現(xiàn)內(nèi)部的互聯(lián)互通，而且也可以實現(xiàn)校內(nèi)用戶與校外Internet網(wǎng)的互通。

然而，隨著越來越多的校園網(wǎng)投入運行和接入Internet，作為開放網(wǎng)絡的組成部分，校園網(wǎng)也面臨著病毒泛濫、非法攻擊、未授權(quán)訪問、盜用網(wǎng)絡資源、內(nèi)部信息非法竊取等一系列安全問題。下面我們就校園網(wǎng)網(wǎng)絡安全面臨的各種威脅及其防范措施進行探討。

2校園網(wǎng)網(wǎng)絡安全面臨的威脅

2.1網(wǎng)絡物理安全面臨的威脅

網(wǎng)絡物理安全是整個網(wǎng)絡系統(tǒng)安全的前提，它主要體現(xiàn)在對網(wǎng)絡硬件設(shè)備的破壞，這也是目前校園網(wǎng)中比較常見的一種安全威脅。主要表現(xiàn)有以下幾點：

（1）自然環(huán)境事故對整個網(wǎng)絡系統(tǒng)造成的毀滅，如：地震，火災，水災等；

（2）無意識人為原因造成校園網(wǎng)網(wǎng)絡線路的破壞，如：施工不慎挖斷線纜、室內(nèi)裝修剪斷線路等；

（3）人為故意造成校園網(wǎng)網(wǎng)絡設(shè)備的破壞，如：設(shè)備被盜，被毀等。

2.2應用程序的安全漏洞帶來的威脅

應用程序的安全涉及很多方面。應用程序系統(tǒng)是動態(tài)的、不斷變化的，安全性也是動態(tài)的。

2.2.1 病毒程序和木馬程序的危害

由于校園網(wǎng)接入的計算機數(shù)量很大，計算機普遍采用 windows 作為操作系統(tǒng)，而目前各種計算機病毒大多數(shù)都是針對 windows操作系統(tǒng)的，網(wǎng)絡又是病毒傳播的最好、最快的途徑之一，病毒程序可以通過網(wǎng)上下載、電子郵件、盜版光盤或軟盤等傳播途徑潛入校園網(wǎng)。因此，病毒的危害是不可輕視的。校園網(wǎng)中一旦有一臺計算機受病毒感染，病毒程序就完全可能在極短的時間內(nèi)迅速擴散，傳播到校園網(wǎng)上的所有計算機，可能造成信息泄漏、文件丟失、破壞數(shù)據(jù)、毀損硬件、阻塞網(wǎng)絡，甚至造成整個計算機網(wǎng)絡傳輸中斷和系統(tǒng)癱瘓。

現(xiàn)在的木馬程序已經(jīng)超過了一般病毒的危害性，在網(wǎng)絡環(huán)境中，特別是對那些沒有防備的計算機用戶很容易被入侵者種下木馬程序。計算機用戶一旦被木馬控制，其計算機內(nèi)以及與之相連的計算機中的重要信息都會被竊取，甚至被破壞。這給我們的工作，學習和生活帶來了一些不必要的麻煩。

2.2.2資源共享的問題

校園網(wǎng)內(nèi)部有辦公自動化系統(tǒng)，而辦公網(wǎng)絡應用通常是共享網(wǎng)絡資源，缺少必要的訪問控制策略，我們就可能有意、無意的把硬盤中重要信息長期暴露在網(wǎng)絡上，從而被輕易竊取并傳播出去造成泄密。特別是校園網(wǎng)上的共享磁盤，不同的用戶出于工作的方便性，把一些資料和信息放到了共享磁盤上，提供給需要者。但是共享磁盤的特點是大家共同享有，別有用心的人完全可以在需要者拿走這些資料和信息之前，截走這些資料和信息。

2.3對應用服務器的惡意攻擊

針對校園網(wǎng)應用服務器的網(wǎng)絡攻擊，往往具有影響范圍廣、損失大、后續(xù)處理難度高的特點，是目前校園網(wǎng)管理員最關(guān)注的安全問題。校園網(wǎng)中較易受攻擊的應用服務器主要是DNS服務器、Web應用服務器和郵件服務器。

Web應用服務器自身具有很多脆弱性，如Web服務軟件自身存在安全問題，Web應用程序安全性較差，比較典型的是目前應用很廣的CGI程序和ASP、PHP腳本等都具有嚴重的安全漏洞，而系統(tǒng)管理員由于種種因素限制，很難做出全面的處理，因此，極易受到惡意用戶的攻擊。

DNS服務器因其使用UDP協(xié)議，因而較易受到惡意用戶的攻擊，目前針對DNS服務器的攻擊主要有兩類：一類是緩存區(qū)中毒，主要是指黑客在主DNS服務器向輔DNS服務器進行區(qū)域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者可以使發(fā)向合法站點的傳輸流改變方向，使其轉(zhuǎn)向攻擊者指定的站點。另一類是域劫持，攻擊者利用用戶升級自己的域注冊信息時所使用的不安全機制接管域注冊過程以控制合法的域。

惡意用戶利用校園網(wǎng)內(nèi)郵件服務器系統(tǒng)的缺陷，例如缺乏有效的郵件過濾機制和郵件轉(zhuǎn)發(fā)限制機制，對郵件服務器進行攻擊。目前常見的攻擊有兩類：一類是中繼利用，即遠程主機通過被攻擊郵件服務器向外發(fā)送郵件。另一類是垃圾郵件，也稱郵件炸彈，通過大量發(fā)送垃圾郵件，造成郵件服務器阻塞，增大校園網(wǎng)流量，甚至系統(tǒng)崩潰，同時還會給校園網(wǎng)帶來經(jīng)濟上和名譽上的損失。

2.4來自互聯(lián)網(wǎng)的安全威脅

校園網(wǎng)是與Internet互連的。由于Internet的開放性、國際性與自由性，校園網(wǎng)將面臨更加嚴重的安全威脅。如果校園網(wǎng)與外部網(wǎng)絡間沒有采取一定的安全防護措施，校園網(wǎng)很容易遭到來自外網(wǎng)黑客的攻擊。如：黑客通過嗅探程序來探測、掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡IP地址、應用操作系統(tǒng)的類型、開放的TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應攻擊程序進行攻擊；黑客通過網(wǎng)絡監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息；黑客通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡服務器進行攻擊，使得服務器超負荷工作導致拒絕服務甚至系統(tǒng)癱瘓。

3針對威脅的防范措施

3.1物理安全防護。

物理安全是保護計算機網(wǎng)絡設(shè)備、設(shè)施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞。它主要包括兩個方面：

（1）對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護；

（2）設(shè)備安全。設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。

3.2 建立校園網(wǎng)集中式網(wǎng)絡防病毒系統(tǒng)。

早期的校園網(wǎng)用戶習慣于使用單機版防病毒系統(tǒng)，但是隨著計算機網(wǎng)絡的發(fā)展，病毒的危害和傳播已經(jīng)脫離了單機的模式，原有的單機版防病毒系統(tǒng)已經(jīng)不能適應新的要求，最突出的表現(xiàn)就是，即便被證明是有效的單機版防病毒系統(tǒng)也僅能對本機進行防殺，而無法阻止病毒在網(wǎng)絡上的傳播，一旦本機防病毒系統(tǒng)出現(xiàn)問題，將不能避免病毒的侵害。

目前，集中式防病毒系統(tǒng)是有效防殺校園網(wǎng)病毒的最有效措施之一，其具有防護范圍廣、病毒庫更新及時、系統(tǒng)穩(wěn)定、投資效益高等特點。在校園網(wǎng)中建立病毒防殺中心，既可以對校園網(wǎng)內(nèi)的聯(lián)網(wǎng)計算機進行管理，進行統(tǒng)一的病毒掃描和清除，而且可以對終端進行自動更新和病毒庫升級，及時對病毒防殺信息進行公告，還可以對位于校園網(wǎng)外的特定聯(lián)網(wǎng)用戶提供在線殺毒功能，更重要的是，集中式防病毒系統(tǒng)可以提供電子郵件病毒網(wǎng)關(guān)，與電子郵件系統(tǒng)相結(jié)合，對郵件實施病毒過濾。

3.3構(gòu)建安全防火墻系統(tǒng)。

防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡技術(shù)和信息安全技術(shù)基礎(chǔ)上的應用性安全技術(shù)產(chǎn)品，是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡安全防范產(chǎn)品。防火墻通過控制和檢測網(wǎng)絡之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理，過濾進、出網(wǎng)絡的數(shù)據(jù)，管理進、出網(wǎng)絡的訪問行為，封堵某些禁止行為，記錄通過防火墻的信息，對網(wǎng)絡攻擊行為進行檢測和告警。

網(wǎng)絡防火墻技術(shù)作為校園網(wǎng)與外部網(wǎng)絡之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡安全技術(shù)。校園網(wǎng)防火墻的設(shè)置可以根據(jù)具體情況而定，在校園網(wǎng)總出口，需要設(shè)置高性能硬件防火墻，在校園網(wǎng)內(nèi)部各節(jié)點，可以根據(jù)實際情況靈活設(shè)置各種防火墻產(chǎn)品。通過周密的防火墻設(shè)置，可以按照服務功能將校園網(wǎng)劃分為多個安全區(qū)域和公共區(qū)域，結(jié)合制定相應的防范策略，可以最大限度地保證校園網(wǎng)應用服務系統(tǒng)的安全工作。

安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是校園網(wǎng)內(nèi)部還是與外部公網(wǎng)的連接處，都應該安裝防火墻。

3.4加強對校園網(wǎng)的監(jiān)控和對用戶的管理。

在校園網(wǎng)出口處采用高性能硬件防火墻，可以有效地阻止大部分來自外網(wǎng)的網(wǎng)絡攻擊，然而，在校園網(wǎng)內(nèi)部，雖然在各節(jié)點仍有各種防火墻產(chǎn)品安裝，但來自內(nèi)網(wǎng)的攻擊仍有可能對校園網(wǎng)的正常工作造成極大的威脅。來自內(nèi)網(wǎng)的攻擊主要表現(xiàn)為網(wǎng)絡病毒和一些惡意用戶使用非法手段竊取用戶信息，實施危害活動，前者可以通過建立校園網(wǎng)集中式網(wǎng)絡防病毒系統(tǒng)加以解決，后者除使用防火墻技術(shù)以外，還需校園網(wǎng)管理員加強對網(wǎng)絡的監(jiān)控以及對用戶的管理。

校園網(wǎng)管理員可以通過使用網(wǎng)絡管理系統(tǒng)對校園網(wǎng)內(nèi)部進行安全管理、安全檢測、安全控制，需要建立嚴格的網(wǎng)絡安全日志和審查系統(tǒng)，建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡主機登錄日志、交換機及路由器日志、網(wǎng)絡服務器日志、內(nèi)部用戶非法活動日志等，并定時對其進行審查分析，一方面可以及時發(fā)現(xiàn)和解決網(wǎng)絡中發(fā)生的安全事故，另一方面可以便于查找網(wǎng)絡安全事故的原因及事故的責任人。

3.5規(guī)定相關(guān)制度，增強防范意識。

應制定有關(guān)規(guī)章制度，確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡操作使用規(guī)章制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等；構(gòu)建安全管理平臺，組成安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡設(shè)備管理系統(tǒng)以及網(wǎng)絡安全設(shè)備統(tǒng)管理軟件，實現(xiàn)校園網(wǎng)的安全管理；應該經(jīng)常對工作人員進行網(wǎng)絡安全防范意識的培訓，提高他們的網(wǎng)絡安全防范意識。

4結(jié)束語

通過對校園網(wǎng)安全的分析，我們提出了相應的防范措施，相信采用了這些防范措施，校園網(wǎng)絡安全將得到保障。但是隨著網(wǎng)絡技術(shù)的不斷發(fā)展，新的技術(shù)將不斷出現(xiàn)，很快都會被應用到計算機系統(tǒng)，而且網(wǎng)絡安全問題是一個不斷碰到新問題和解決問題的過程，校園網(wǎng)將不斷面臨跟多的新的安全問題，我們必須時刻關(guān)注最新的網(wǎng)絡安全發(fā)展動態(tài)，采用最新的技術(shù)，這樣才能保證校園網(wǎng)絡安全運行。

參考文獻：

[1]查貴庭，彭其軍，羅國富.校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建[J].計算機應用研究,2005(03).

[2]杜欣明,鄭明璽.論中國的信息安全建設(shè)[J].現(xiàn)代情報,2005(7):29.

[3]肖德寶.計算機網(wǎng)絡.華中科技大學出版社,2002,2(1).

[4]喬亞麗.淺談校園網(wǎng)建設(shè)規(guī)劃[J].山西科技.2006(01).

[5]雷崢嶸，吳為春.校園網(wǎng)的安全問題及策略[J].廣州大學學報(社會科學版),2001(11).