校園網(wǎng)的安全威脅及管理策略

彭俊

四川商務(wù)職業(yè)學(xué)院科研與產(chǎn)學(xué)合作指導(dǎo)處 四川 611131

0 引言

隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)也在急劇增加，各種各樣的安全威脅開(kāi)始接踵而至。目前，校園網(wǎng)如同其它計(jì)算機(jī)網(wǎng)絡(luò)一樣，存在著極大的安全威脅，特別是網(wǎng)絡(luò)病毒以及網(wǎng)絡(luò)內(nèi)部及外部的黑客攻擊。保障校園網(wǎng)的安全工作僅靠人工完成是不可能的，必須借助先進(jìn)的技術(shù)及工具來(lái)協(xié)助完成如此繁重的勞動(dòng)，以保證校園網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。

1 校園網(wǎng)的安全威脅

安全威脅來(lái)自各個(gè)方面，如計(jì)算機(jī)系統(tǒng)的脆弱性主要來(lái)自操作系統(tǒng)和應(yīng)用程序的缺陷與后門。缺陷即操作系統(tǒng)和應(yīng)用程序都存在安全漏洞。操作系統(tǒng)的后門是由操作系統(tǒng)開(kāi)發(fā)者有意設(shè)置的，這樣他們就能在用戶不在時(shí)仍能進(jìn)入系統(tǒng)。在網(wǎng)絡(luò)環(huán)境下還來(lái)源于通信協(xié)議的不安全性，來(lái)自網(wǎng)絡(luò)的威脅主要是由于局域網(wǎng)一般是廣播式的，所以在網(wǎng)絡(luò)存在著電子竊聽(tīng)。系統(tǒng)與協(xié)議的漏洞導(dǎo)致入侵與破壞。身份欺騙是由口令破解與口令騙取組成的。通過(guò)編制程序制作的病毒、邏輯炸彈、木馬程序等是對(duì)網(wǎng)絡(luò)安全的嚴(yán)重威脅。

由于計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)復(fù)雜的系統(tǒng)，它不僅包括軟件系統(tǒng)、硬件系統(tǒng)、各類信息系統(tǒng)和使用以及管理這些信息資源的人。網(wǎng)絡(luò)本身所具有的開(kāi)放性，使得計(jì)算機(jī)網(wǎng)絡(luò)的安全面臨著各種各樣的威脅，比如系統(tǒng)安全漏洞、應(yīng)用程序錯(cuò)誤、搭線竊聽(tīng)、數(shù)據(jù)泄露與邊用、故意對(duì)數(shù)據(jù)或程序進(jìn)行的破壞、病毒感染、網(wǎng)絡(luò)攻擊、自然災(zāi)害以及管理不善等等。這些威脅對(duì)網(wǎng)絡(luò)安全都會(huì)帶來(lái)不同程度的影響，妨礙網(wǎng)絡(luò)用戶的正常使用。

根據(jù)各種網(wǎng)絡(luò)威脅產(chǎn)生的原因，我們把網(wǎng)絡(luò)威脅歸納為以下3類；即軟件系統(tǒng)自身的安全缺陷導(dǎo)致的威脅、非法進(jìn)行網(wǎng)絡(luò)操作帶來(lái)的威脅、網(wǎng)絡(luò)規(guī)劃和運(yùn)行管理上的不完善帶來(lái)的威脅。

1.1 軟件系統(tǒng)自身的安全缺陷導(dǎo)致的威脅

(1) 操作系統(tǒng)和應(yīng)用軟件自身存在著安全漏洞。如現(xiàn)在使用的操作系統(tǒng) Windows/Unix等幾乎都或多或少存在安全漏洞，各類服務(wù)端軟件、瀏覽器、一般桌面軟件等都曾發(fā)現(xiàn)存在安全隱患?？梢哉f(shuō)任何一個(gè)軟件系統(tǒng)都可能因設(shè)計(jì)中的缺陷而產(chǎn)生漏洞，這是影響網(wǎng)絡(luò)安全的主要原因之一。

(2) 網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)協(xié)議存在安全漏洞。各類主機(jī)中都會(huì)運(yùn)行著這種或那種網(wǎng)絡(luò)協(xié)議，如 TCP/IP、IPX/SPX、NEIBEUI等，由于這些網(wǎng)絡(luò)協(xié)議并非專為安全通信而設(shè)計(jì)，缺乏相應(yīng)的安全機(jī)制，系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。許多非法入侵、攻擊和病毒傳播往往就是利用協(xié)議的這些漏洞來(lái)對(duì)網(wǎng)絡(luò)系統(tǒng)或用戶進(jìn)行破壞。

1.2 非法進(jìn)行網(wǎng)絡(luò)操作帶來(lái)的威脅

非法進(jìn)行網(wǎng)絡(luò)操作主要是指人為地、有意識(shí)地對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)進(jìn)行惡意攻擊，監(jiān)聽(tīng)竊取網(wǎng)絡(luò)用戶賬號(hào)和密碼，非法使用網(wǎng)絡(luò)資源，引入各種網(wǎng)絡(luò)病毒破壞用戶系統(tǒng)和數(shù)據(jù)，使用惡意代碼大量占用網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)運(yùn)行效率降低，嚴(yán)重時(shí)將直接導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓。目前網(wǎng)絡(luò)上類似這種危害種類有很多，造成的危害十分巨大，較常見(jiàn)的有以下兩種。

(1) 非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源

在未經(jīng)許可的情況下訪問(wèn)網(wǎng)絡(luò)資源，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備和資源進(jìn)行非正常操作使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。主要有以下幾種形式；通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶的賬號(hào)和密碼，非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；通過(guò)隱蔽通道進(jìn)行篡改、刪除數(shù)據(jù)等非法活動(dòng)；非法用戶以未授權(quán)方式進(jìn)行操作等。這些都可能破壞信息系統(tǒng)的完整性、機(jī)密性和可信性。

(2) 網(wǎng)絡(luò)病毒

利用網(wǎng)絡(luò)傳播病毒，其破壞性遠(yuǎn)大于單機(jī)系統(tǒng)，而且用戶很難防范。目前，網(wǎng)絡(luò)型病毒一般是利用 Internet的開(kāi)放性、操作系統(tǒng)及各類應(yīng)用程序的漏洞來(lái)進(jìn)行傳播，或?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行攻擊。近年來(lái)網(wǎng)絡(luò)病毒的發(fā)展趨勢(shì)迅猛，除宏病毒外，基本都屬于網(wǎng)絡(luò)型病毒。網(wǎng)絡(luò)病毒具有利用網(wǎng)絡(luò)中軟件系統(tǒng)的缺陷，進(jìn)行自我復(fù)制和主動(dòng)傳播的特點(diǎn)。如蠕蟲(worm)病毒就是利用軟件系統(tǒng)漏洞，通過(guò)分布式網(wǎng)絡(luò)來(lái)擴(kuò)散、傳播的。受這種病毒的影響，網(wǎng)絡(luò)數(shù)據(jù)信息遭到破壞，無(wú)用數(shù)據(jù)占用大量網(wǎng)絡(luò)帶寬，嚴(yán)重時(shí)，可能致使網(wǎng)絡(luò)服務(wù)中斷。網(wǎng)絡(luò)型病毒的傳播速度快、危害范圍廣，為了防范它往往要對(duì)某些網(wǎng)絡(luò)功能進(jìn)行限制。另外，“木馬”(也叫特洛伊木馬)類病毒危害性也十分巨大，這類病毒通常與黑客有聯(lián)系，被黑客用來(lái)作為竊取信息以及非法使用資源的工具。

1.3 網(wǎng)絡(luò)規(guī)劃、運(yùn)行管理上的不完善帶來(lái)的威脅

網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)不合理，系統(tǒng)配置策略考慮不周，設(shè)備功能不完善，缺少必要的數(shù)據(jù)備份措施等都會(huì)給網(wǎng)絡(luò)正常運(yùn)行帶來(lái)威脅。網(wǎng)絡(luò)的正常運(yùn)行離不開(kāi)系統(tǒng)管理人員對(duì)網(wǎng)絡(luò)系統(tǒng)的管理。各種安全措施都要經(jīng)管理人員進(jìn)行配置后才能有效地實(shí)施。從技術(shù)角度看，人為的失誤，比如錯(cuò)誤的指令、錯(cuò)誤刪除修改數(shù)據(jù)，不恰當(dāng)?shù)呐渲枚紩?huì)增加系統(tǒng)管理、使用的復(fù)雜性，降低網(wǎng)絡(luò)系統(tǒng)的安全性。另外，組織管理措施不當(dāng)，也會(huì)造成設(shè)備的損壞和保密信息的泄露，給網(wǎng)絡(luò)安全運(yùn)行帶來(lái)隱患。

2 校園網(wǎng)的安全管理策略

校園網(wǎng)具有訪問(wèn)方式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)。網(wǎng)絡(luò)的安全問(wèn)題需要從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮，并在實(shí)際運(yùn)行中嚴(yán)格管理。校園網(wǎng)安全方案的設(shè)計(jì)因校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)以及安全需求的不同有很大差別，校園網(wǎng)上作站經(jīng)二級(jí)交換機(jī)連入中心交換機(jī)，網(wǎng)管工作站及安全所有工作站直接連入中心交換機(jī)，中心交換機(jī)再通過(guò)防火墻連入互聯(lián)網(wǎng)。為保證校園網(wǎng)絡(luò)的安全性， 一般采用以下一些策略。

2.1 設(shè)備安全

在校園網(wǎng)規(guī)劃設(shè)計(jì)階段就應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問(wèn)題。將一些重要的設(shè)備，如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中管理。各種通信線路盡量實(shí)行深埋、穿線或架空，并有明顯標(biāo)記，防止無(wú)意損壞。對(duì)于終端設(shè)備，如工作站、小型交換機(jī)、集線器和其他轉(zhuǎn)接設(shè)備要落實(shí)到人，進(jìn)行嚴(yán)格管理。

2.2 技術(shù)保證

校園網(wǎng)是基于廣播技術(shù)構(gòu)建。出于廣播原理，使得從任何一個(gè)節(jié)點(diǎn)出發(fā)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)在整個(gè)信道上蔓延，數(shù)據(jù)可以被連接在網(wǎng)絡(luò)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡捕獲。校園網(wǎng)的數(shù)據(jù)被截取和竊取成為安全的主要問(wèn)題，另外，ARP地址欺騙、泛洪等很多問(wèn)題，還有 TCP/IP協(xié)議固有的不安全因素，網(wǎng)絡(luò)操作系統(tǒng)的安全缺陷等，都使得基于校園網(wǎng)的安全防范非常關(guān)鍵。

針對(duì)校園網(wǎng)來(lái)說(shuō)，最主要應(yīng)該采取以下一些技術(shù)措施：

(1) 網(wǎng)絡(luò)分段

校園網(wǎng)一般以C類網(wǎng)絡(luò)為主要類型，如何組織一個(gè)C類網(wǎng)絡(luò)中的254主機(jī)進(jìn)行安全通信就顯得非常重要。將網(wǎng)絡(luò)劃分成多個(gè)于網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)安全管理，通常有兩種方式，一種是基于交換機(jī)的 VLAN虛擬局域網(wǎng)的劃分，另一種是基于IP地址的子網(wǎng)劃分。其中.基于IP地址的劃分由于以犧牲大量的有效IP地址為代價(jià)，為了在網(wǎng)絡(luò)上實(shí)現(xiàn)邏輯管理，實(shí)現(xiàn)靜態(tài)的固定分配IP而大大降低了網(wǎng)絡(luò)服務(wù)效率，所以在校園管理中并不常用。因此采用交換式局域網(wǎng)技術(shù)(ATM 或以太交換)的校園網(wǎng)絡(luò)，可以運(yùn)用 VLAN 技術(shù)來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段。根據(jù)不同的部門及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制，可以達(dá)到限制用戶非法訪問(wèn)的目的。

網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽(tīng)，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。校園網(wǎng)則可以采用不同網(wǎng)絡(luò)分段的方式進(jìn)行安全管理。例如，對(duì)于TCP/ IP網(wǎng)絡(luò)，根據(jù)學(xué)校的不同用戶群可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過(guò)路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備(含軟件、硬件)的安全機(jī)制來(lái)控制各子網(wǎng)間的訪問(wèn)。

(2) 防火墻控制

防火墻是目前最為流行也是使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)，防火墻作為一個(gè)分離器、限制器和分析器，用于執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問(wèn)控制策略，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，既可為內(nèi)部網(wǎng)絡(luò)提供必要的訪問(wèn)控制，又不會(huì)造成網(wǎng)絡(luò)瓶頸，并通過(guò)安全策略控制進(jìn)出系統(tǒng)的數(shù)據(jù)，保護(hù)網(wǎng)絡(luò)內(nèi)部的關(guān)鍵資源。

防火墻能控制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問(wèn)。此功能分為兩個(gè)方面：一方面是可以控制內(nèi)部網(wǎng)絡(luò)用戶對(duì)外部一些非法或者受限網(wǎng)絡(luò)的訪問(wèn)；另一方面是控制內(nèi)部網(wǎng)絡(luò)用戶是否可以連接到外部網(wǎng)絡(luò)。前者是通過(guò)對(duì)外部IP或者網(wǎng)址的控制來(lái)實(shí)現(xiàn)的。后者是通過(guò)對(duì)內(nèi)部用戶的IP控制來(lái)實(shí)現(xiàn)的?？刂仆獠烤W(wǎng)絡(luò)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。該功能也分為兩個(gè)方面，一方面是只允許外部用戶訪問(wèn)本地網(wǎng)絡(luò)的某些主機(jī)；另一方面是只允許外部用戶中指定的用戶訪問(wèn)本地網(wǎng)絡(luò)。

防火墻技術(shù)包含了動(dòng)態(tài)的封包過(guò)濾、應(yīng)用代理服務(wù)、用戶認(rèn)證、網(wǎng)絡(luò)地址轉(zhuǎn)換、IP 防假冒、預(yù)警模塊、日志及計(jì)費(fèi)分析等功能，可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開(kāi)來(lái)，保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。對(duì)防火墻要經(jīng)常實(shí)施完整性檢查，以避免防火墻被植入木馬程序。

(3) 設(shè)置用戶級(jí)別與權(quán)限

權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施，對(duì)用戶和用戶組賦與一定的權(quán)限，可以限制用戶和用戶組對(duì)于目錄、文件、打印機(jī)以及其他共享資源的訪問(wèn)，可以限制用戶對(duì)共享文件、日錄及共享設(shè)備的操作。校園網(wǎng)是以用戶為中心的系統(tǒng)，登錄控制能有效地控制用戶登錄到服務(wù)器，路由器或交換機(jī)等網(wǎng)絡(luò)設(shè)備來(lái)獲取資源。用戶訪問(wèn)網(wǎng)絡(luò)控制大致分為用戶名的識(shí)別和驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查三個(gè)方面。通過(guò)登錄控制能有效地保證網(wǎng)絡(luò)的安全。

學(xué)校計(jì)算機(jī)信息中心網(wǎng)絡(luò)管理人員通過(guò)對(duì)所有用戶設(shè)置資源使用權(quán)限與口令，對(duì)用戶名和口令進(jìn)行加密存儲(chǔ)、傳輸，提供完整的用戶使用記錄和分析等方式可以有效地保證系統(tǒng)的安全。網(wǎng)管人員還需要建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫(kù)，嚴(yán)格對(duì)系統(tǒng)日志進(jìn)行管理，對(duì)學(xué)生機(jī)房實(shí)行精確到人、到機(jī)位的使用登記制度，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)用戶和服務(wù)賬號(hào)進(jìn)行精確的控制。學(xué)校網(wǎng)管定時(shí)對(duì)校園網(wǎng)系統(tǒng)的安全狀況做出評(píng)估和審核，關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài)，調(diào)整相關(guān)安全設(shè)置，進(jìn)行入侵防范，預(yù)報(bào)計(jì)算機(jī)病毒，發(fā)出安全公告，機(jī)器發(fā)生故障時(shí)緊急修復(fù)系統(tǒng)。

(4) 入侵檢測(cè)

在不影響網(wǎng)絡(luò)正常遠(yuǎn)行的情況下，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制可以做到最大限度的達(dá)到資源保護(hù)。

使用入侵檢測(cè)系統(tǒng)，實(shí)時(shí)進(jìn)行有效的網(wǎng)絡(luò)監(jiān)控，調(diào)整網(wǎng)絡(luò)資源分配，及時(shí)發(fā)現(xiàn)不正常的數(shù)據(jù)包，并根據(jù)安全策略原則進(jìn)行處理并及時(shí)以互動(dòng)方式提供給防火墻，更改防火墻使用策略，確保網(wǎng)絡(luò)系統(tǒng)的安全。入侵檢測(cè)系統(tǒng)分為兩個(gè)部分：一部分是入侵檢測(cè)引擎，是專用硬件；另一部分是控制臺(tái)，與網(wǎng)管工作站—同運(yùn)行，起管理、配置和查詢作用。定期對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行掃描，定期作風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)漏洞，及時(shí)解決。

(5) 及時(shí)升級(jí)防病毒軟件

選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。它應(yīng)具有以下一些特征：第一，能夠支持所有的主流平臺(tái)，并實(shí)現(xiàn)軟件安裝、升級(jí)、配置的中央管理；第二，要能保護(hù)校園網(wǎng)所有可能的病毒入口，也就是說(shuō)要支持所有可能用到的 Internet協(xié)議及郵件系統(tǒng)，能適應(yīng)并且及時(shí)跟上瞬息萬(wàn)變的 Internet 時(shí)代步伐；第三，具有較強(qiáng)的防護(hù)功能，可以對(duì)數(shù)據(jù)、程序提供有效的保護(hù)。校園網(wǎng)上的所有計(jì)算機(jī)都應(yīng)該安裝殺毒軟件，開(kāi)啟及時(shí)防護(hù)功能，并由管理人員對(duì)防病毒軟件及時(shí)升級(jí)，增加對(duì)新病毒的防護(hù)能力。

3 小結(jié)

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問(wèn)題已成為影響網(wǎng)絡(luò)效能的重要問(wèn)題。Internet以其具有的開(kāi)放性、國(guó)際性和自由性等諸多特點(diǎn)，對(duì)安全性提出了更高的要求，網(wǎng)絡(luò)安全已成為最為重要與最引人注目的問(wèn)題。網(wǎng)絡(luò)安全策略包含技術(shù)方面和管理方面，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊；管理方面?zhèn)戎赜谌藶橐蛩氐墓芾怼１疚牧信e出網(wǎng)絡(luò)存在種種安全威脅，指出了網(wǎng)絡(luò)安全防范的一些策略。其目的是介紹一些基本的網(wǎng)絡(luò)安全知識(shí)與技能、培養(yǎng)我國(guó)的網(wǎng)絡(luò)安全技術(shù)力量。普及網(wǎng)絡(luò)安全知識(shí)。以促進(jìn)網(wǎng)絡(luò)事業(yè)的健康發(fā)展。

[1]黃主偉.計(jì)算機(jī)網(wǎng)絡(luò)管理與安全技術(shù)[M].人民郵電出版社.2006.

[2]魯杰.網(wǎng)絡(luò)時(shí)代的信息安全[M].中原農(nóng)民出版社.2000.

[3]陳旿,慕德俊編著. 信息安全知識(shí)[M]. 西北工業(yè)大學(xué)出版社.2005.

[4]梁廣洪.Internet安全及個(gè)人計(jì)算機(jī)安全應(yīng)用淺探[J].銅仁職業(yè)技術(shù)學(xué)院學(xué)報(bào).2008.

[5]施建林,張禮芳.淺析網(wǎng)絡(luò)環(huán)境下個(gè)人計(jì)算機(jī)的安全防護(hù)[J].中國(guó)西部科技.2009.