淺談校園網(wǎng)的安全隱患及防范措施

張莉

廣東女子職業(yè)技術(shù)學(xué)院 廣東 511450

0 前言

隨著高校信息化進(jìn)程的推進(jìn)，高校校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復(fù)雜，校園網(wǎng)的安全問題成為信息化建設(shè)中的一個(gè)重點(diǎn)問題。校園網(wǎng)安全是一個(gè)較為復(fù)雜的系統(tǒng)工程，要考慮到用戶、管理、技術(shù)三方面的因素。從嚴(yán)格的意義上來講，100%的安全網(wǎng)絡(luò)系統(tǒng)是沒有的，網(wǎng)絡(luò)安全工作是循序漸進(jìn)、不斷完善的過程。

廣東某職業(yè)技術(shù)學(xué)院目前正在進(jìn)行校園網(wǎng)的升級改造，旨在提高校園網(wǎng)的穩(wěn)定性與安全性。本文就以該學(xué)院的校園網(wǎng)為硬件環(huán)境，對網(wǎng)絡(luò)安全現(xiàn)狀中的問題進(jìn)行分析，并提出問題的解決方案。

1 校園網(wǎng)概況

廣東某職業(yè)技術(shù)學(xué)院是一所公辦的全日制普通高校，由主校區(qū)和分校區(qū)兩部分構(gòu)成。學(xué)院校園網(wǎng)采用雙出口與外網(wǎng)連接，現(xiàn)以100Mbps帶寬光纖接入CHINANET(中國電信網(wǎng))、10Mbps帶寬光纖接入CERNET(國家教育科研網(wǎng))，以高性能的萬兆路由交換機(jī)作為核心網(wǎng)絡(luò)設(shè)備，采用成熟的千兆主干，百兆到桌面的鏈路連接，鋪設(shè)光纖10多公里，覆蓋全院兩個(gè)校區(qū)所有教學(xué)樓，圖書館，綜合樓，學(xué)生宿舍及教工住宅，信息點(diǎn)總數(shù)達(dá)5000多個(gè)?，F(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

校園網(wǎng)的建設(shè)，不但滿足了學(xué)生教學(xué)和管理資料查詢的需要，還在校園網(wǎng)基礎(chǔ)平臺上先后建設(shè)和應(yīng)用了圖書館網(wǎng)絡(luò)管理系統(tǒng)、校園網(wǎng)辦公教務(wù)學(xué)籍管理應(yīng)用系統(tǒng)、后勤IC卡管理系統(tǒng)，為我院教學(xué)管理信息化、現(xiàn)代化發(fā)揮了巨大的作用。

目前，數(shù)字化校園基礎(chǔ)平臺建設(shè)已經(jīng)初步完成，教務(wù)、學(xué)工、辦公系統(tǒng)、校園一卡通、在線教學(xué)等網(wǎng)絡(luò)應(yīng)用項(xiàng)目建設(shè)相繼啟動，校內(nèi)資源總量已達(dá)1.6TB。

圖1 廣東某職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2 校園網(wǎng)現(xiàn)狀問題分析

校園網(wǎng)作為學(xué)院重要的基礎(chǔ)設(shè)施，擔(dān)當(dāng)著學(xué)院教學(xué)、科研、管理和對外交流等許多角色，校園網(wǎng)安全狀況直接影響著學(xué)院的教學(xué)活動。在網(wǎng)絡(luò)建成的初期，安全問題還不突出，隨著應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)急劇增加，各種各樣的安全問題開始困擾網(wǎng)絡(luò)管理人員。經(jīng)過對采集的校園網(wǎng)數(shù)據(jù)認(rèn)真分析，結(jié)合校園網(wǎng)用戶所反映的實(shí)際情況，問題主要體現(xiàn)在以下幾個(gè)方面。

2.1 網(wǎng)絡(luò)可靠性差

由于網(wǎng)絡(luò)結(jié)構(gòu)中沒有設(shè)備、電源、線路等的冗余和負(fù)載均衡，中心核心設(shè)備或分中心設(shè)備故障等問題出現(xiàn)直接導(dǎo)致了大面積的網(wǎng)絡(luò)中斷，影響網(wǎng)絡(luò)的正常運(yùn)行，每次出現(xiàn)問題后網(wǎng)管人員需要做出相應(yīng)響應(yīng)，網(wǎng)絡(luò)不具有自動愈合功能。在沒有采用負(fù)載均衡的設(shè)備上，經(jīng)常會出現(xiàn)部分用戶上網(wǎng)速度變慢或根本無法訪問的現(xiàn)象。

目前網(wǎng)絡(luò)上所使用的TCP/IP協(xié)議(Transmission Control Protocol/Internet Protocol，傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)，由于其協(xié)議簇完全公開，因此，利用 TCP/IP協(xié)議簇的漏洞進(jìn)行的網(wǎng)絡(luò)攻擊成為了校園網(wǎng)中目前最常見的安全威脅之一，比較典型的例如利用 ARP協(xié)議(Address Resolution Protocol，地址解析協(xié)議)的接收/發(fā)送無需身份驗(yàn)證特性而進(jìn)行的ARP攻擊。曾經(jīng)因?yàn)锳RP病毒導(dǎo)致校園網(wǎng)中的多數(shù)用戶無法正常使用網(wǎng)絡(luò)功能，影響了正常的教學(xué)。

2.2 網(wǎng)絡(luò)安全性差

由于教學(xué)、辦公、學(xué)生公共機(jī)房等場所的計(jì)算機(jī)管理不善，容易造成IP地址沖突、計(jì)算機(jī)感染病毒造成網(wǎng)絡(luò)擁塞、流量異常以及資料泄密等安全事故，這些事件的發(fā)生嚴(yán)重影響了校園網(wǎng)運(yùn)行的安全性和可靠性。

互聯(lián)網(wǎng)迅猛發(fā)展使得網(wǎng)絡(luò)運(yùn)營成為社會時(shí)尚，但同時(shí)也為病毒感染和快速傳播提供了途徑。病毒通過網(wǎng)絡(luò)傳遞，并在計(jì)算機(jī)沒有任何防護(hù)措施的情況下運(yùn)行，從而導(dǎo)致系統(tǒng)崩潰，網(wǎng)絡(luò)癱瘓，對網(wǎng)絡(luò)服務(wù)構(gòu)成嚴(yán)重威脅，造成巨大損失。

2.3 網(wǎng)絡(luò)資源整合程度低

在校園網(wǎng)上運(yùn)行有郵件系統(tǒng)、辦公管理系統(tǒng)、教務(wù)管理系統(tǒng)、網(wǎng)絡(luò)教學(xué)平臺、精品課程課件開發(fā)平臺、學(xué)習(xí)資源平臺、校內(nèi)數(shù)字圖書館、學(xué)生選課系統(tǒng)、校園一卡通管理系統(tǒng)、學(xué)生作業(yè)管理系統(tǒng)等一系列平臺，但這些平臺彼此之間的互相兼容性不高，需要進(jìn)行資源整合，實(shí)現(xiàn)高效、穩(wěn)定的網(wǎng)絡(luò)資源平臺。

2.4 IP沖突問題

校園網(wǎng)中最常見的就是盜用合法用戶的IP地址，造成IP地址沖突，使得用戶不能正常訪問網(wǎng)絡(luò)，嚴(yán)重的可以造成主機(jī)癱瘓，甚至影響整個(gè)校園網(wǎng)的運(yùn)行。校內(nèi)的部分場所是采用的固定IP地址分配接入，有些場所又使用了自動獲取 IP地址的方法，需要重新規(guī)劃整理IP地址的分配范圍。

2.5 防火墻攻擊

網(wǎng)絡(luò)安全的主要威脅可以分為外部入侵和內(nèi)部攻擊兩種形式，校園網(wǎng)的問題主要是內(nèi)部攻擊。在高校網(wǎng)絡(luò)用戶中，學(xué)生和教師成為校園網(wǎng)龐大的用戶群，根據(jù)用戶行為可以劃分為三類：非法用戶接入、合法用戶有意破壞和合法用戶無意破壞。

防火墻系統(tǒng)相關(guān)技術(shù)的發(fā)展已經(jīng)比較成熟，防火墻系統(tǒng)很堅(jiān)固，但這只是對外的防護(hù)而已，它對于內(nèi)部的防護(hù)則幾乎不起什么作用，然而一般情況下有大多數(shù)的攻擊是來自局域網(wǎng)的內(nèi)部人員，所以怎樣防止來自內(nèi)部的攻擊是當(dāng)前校園網(wǎng)建設(shè)中的一個(gè)非常重要的方面。

2.6 對郵件服務(wù)器進(jìn)行攻擊

由于用戶安全觀念的淡薄以及網(wǎng)上某些人的別有用心，會給校園網(wǎng)的Email用戶發(fā)一些不良內(nèi)容的信件，有時(shí)還會攜帶各種各樣的病毒。因此，怎樣防止有問題的信件進(jìn)入校園網(wǎng)的Email系統(tǒng)也是一個(gè)待解決的問題。

惡意用戶利用校園網(wǎng)內(nèi)郵件服務(wù)器系統(tǒng)的缺陷，例如缺乏有效的郵件過濾機(jī)制和郵件轉(zhuǎn)發(fā)限制機(jī)制，對郵件服務(wù)器進(jìn)行攻擊。目前常見的攻擊有兩類：一類是中繼利用，即遠(yuǎn)程主機(jī)通過被攻擊郵件服務(wù)器向外發(fā)送郵件。另一類是垃圾郵件，也稱郵件炸彈，通過大量發(fā)送垃圾郵件，造成郵件服務(wù)器阻塞，增大校園網(wǎng)流量，甚至系統(tǒng)崩潰，同時(shí)還會給校園網(wǎng)帶來經(jīng)濟(jì)上和名譽(yù)上的損失。

2.7 各種服務(wù)器和網(wǎng)絡(luò)設(shè)備的掃描和攻擊

有些用戶對校園網(wǎng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行掃描和攻擊，造成網(wǎng)絡(luò)負(fù)載過重，致使服務(wù)器拒絕提供服務(wù)，或造成校園網(wǎng)不能提供正常的服務(wù)。

由于作為網(wǎng)絡(luò)基礎(chǔ)的 TCP/IP協(xié)議本身就具有安全性方面的缺陷，加上具體設(shè)計(jì)中的各種因素，校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全漏洞，加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作，因此惡意用戶可以利用一些專用程序?qū)ο到y(tǒng)進(jìn)行掃描，利用發(fā)現(xiàn)的安全缺陷侵入系統(tǒng)，獲得各種用戶權(quán)限，從事危害系統(tǒng)安全的活動。

2.8 非法地址的訪問

對于一些反動的或不健康的站點(diǎn)，應(yīng)當(dāng)禁止校園網(wǎng)用戶通過校園網(wǎng)去訪問?？梢酝ㄟ^路由器或防火墻過濾部分非法地址的訪問。為了方便教師在家辦公，校園網(wǎng)開通了 VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))連接的功能，對VPN用戶的管理也非常重要，為了防止非法用戶通過 VPN通道進(jìn)入校園網(wǎng)，管理員應(yīng)該嚴(yán)格管理VPN用戶的信息。

2.9 針對應(yīng)用服務(wù)器的攻擊

校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是 DNS服務(wù)器和Web應(yīng)用服務(wù)器，是目前校園網(wǎng)管理員最關(guān)注的安全問題。

目前針對 DNS服務(wù)器的攻擊主要有兩類：一類是緩存區(qū)中毒，主要是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的 DNS信息，一旦成功，攻擊者可以使發(fā)向合法站點(diǎn)的傳輸流改變方向，使其轉(zhuǎn)向攻擊者指定的站點(diǎn)。另一類是域劫持，攻擊者利用用戶升級自己的域注冊信息時(shí)所使用的不安全機(jī)制接管域注冊過程以控制合法的域。

Web應(yīng)用服務(wù)器自身具有很多脆弱性，如Web服務(wù)軟件自身存在安全問題，Web應(yīng)用程序安全性較差，如常見的ASP(Active Server Page，動態(tài)服務(wù)器頁面)、PHP(Hypertext Preprocessor，超級文本預(yù)處理語言)腳本等都具有嚴(yán)重的安全漏洞，而系統(tǒng)管理員很難做出全面的處理，因此，極易受到惡意用戶的攻擊。

如何讓校園網(wǎng)更安全，防止網(wǎng)絡(luò)遭受病毒的侵襲，已成為校園網(wǎng)迫切需要解決的問題。

3 校園網(wǎng)安全解決方案

學(xué)院校園網(wǎng)已有較完善的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，在保證現(xiàn)有網(wǎng)絡(luò)正常工作的同時(shí)，再進(jìn)行開發(fā)和完善是解決校園網(wǎng)安全的最佳選擇，針對以上問題，提出如下解決方法。

3.1 采用入侵檢測系統(tǒng)

入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計(jì)記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達(dá)到限制這些活動，以保護(hù)系統(tǒng)的安全。在校園網(wǎng)中采用入侵檢測技術(shù)，最好采用混合入侵檢測。需要從兩方面來著手：基于網(wǎng)絡(luò)的入侵檢測和基于主機(jī)的入侵檢測。

3.2 安全監(jiān)測系統(tǒng)

在校園網(wǎng)的Web服務(wù)器、Email服務(wù)器等各種服務(wù)器中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的Web、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級安全網(wǎng)絡(luò)中心報(bào)告，采取措施。并利用專門的日志分析工具對保存在數(shù)據(jù)庫中的訪問日志進(jìn)行統(tǒng)計(jì)并繪制統(tǒng)計(jì)圖，可以對訪問地址和流量進(jìn)行分析，對于明顯的攻擊便可一目了然了。

3.3 配置防火墻

防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，能夠有效防止 Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。IP鏈規(guī)則是一套直接編譯在系統(tǒng)內(nèi)核中的防火墻，其運(yùn)行效率是其他外掛在操作系統(tǒng)上的軟件防火墻所無法比擬的，假若希望在流量較大網(wǎng)絡(luò)接口安設(shè)防火墻，而又不想購買昂貴的硬件防火墻時(shí)，采用IP鏈規(guī)則建立包過濾防火墻是一個(gè)不錯(cuò)的選擇。

3.4 構(gòu)筑透明代理

使用 IP鏈規(guī)則可以使內(nèi)網(wǎng)的主機(jī)不需要做任何設(shè)置就可以訪問 Web，但其缺點(diǎn)就是當(dāng)內(nèi)網(wǎng)數(shù)臺主機(jī)先后訪問Internet上某一站點(diǎn)時(shí)，第一臺將該站點(diǎn)的主頁以及頁面中的圖像從 Internet下載到本機(jī)，而其它幾臺訪問時(shí)也要重復(fù)相同的操作，即從 Internet下載了同樣的內(nèi)容，這樣的重復(fù)勞動自然會浪費(fèi)相當(dāng)多的帶寬，而使用具有Web緩存的代理服務(wù)器便可解決此問題。在第一臺主機(jī)訪問該站點(diǎn)時(shí)代理服務(wù)軟件將此網(wǎng)頁的內(nèi)容緩存到本地硬盤，而后其他主機(jī)再次訪問該站時(shí)，代理服務(wù)器只是檢測該網(wǎng)頁是否有更新，若無更新便直接將本機(jī)的緩存?zhèn)魉瓦^去，這樣既可以節(jié)省帶寬又有效地提高了上網(wǎng)速度。

3.5 采用Socks代理服務(wù)

Socks(Protocol for sessions traversal across firewall securely，防火墻安全會話轉(zhuǎn)換協(xié)議)是一組是用客戶端/服務(wù)器端結(jié)構(gòu)的代理協(xié)議。Socks的軟件組成包含Socks服務(wù)器程序及Socks客戶端應(yīng)用程序庫。用戶的應(yīng)用程序只要支持Socks協(xié)議就能通過Socks代理服務(wù)器連接到防火墻外的網(wǎng)絡(luò)。

3.6 漏洞掃描系統(tǒng)

解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評估，顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

3.7 防止IP盜用

在路由器上捆綁IP和MAC(Media Access Control, 介質(zhì)訪問控制)地址。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時(shí)給發(fā)出這個(gè) IP廣播包的工作站返回一個(gè)警告信息。

3.8 利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全

對于校園網(wǎng)外部的入侵可以通過安裝防火墻來解決，但是防火墻對于校園網(wǎng)內(nèi)部的侵襲則無能為力。在這種情況下，為校園網(wǎng)內(nèi)部的各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件，為管理人員分析內(nèi)部網(wǎng)絡(luò)的運(yùn)作狀態(tài)提供依據(jù)。

3.9 防止用戶破壞

對于校園網(wǎng)內(nèi)用戶進(jìn)行有效管理，能夠從很大程度上降低網(wǎng)絡(luò)安全的威脅。為此應(yīng)加強(qiáng)對校園網(wǎng)用戶的安全意識教育，提高遵守相關(guān)的安全制度的自覺性，增強(qiáng)整體安全防范能力。對于非法訪問和黑客攻擊事件，一旦發(fā)現(xiàn)要嚴(yán)肅處理。

3.10 加強(qiáng)網(wǎng)管人員安全意識

培養(yǎng)一支具有安全管理意識的網(wǎng)管隊(duì)伍也是建設(shè)安全的校園網(wǎng)環(huán)境不可缺少的條件。加強(qiáng)對校園網(wǎng)安全技術(shù)和管理人員的培訓(xùn)，使他們從技術(shù)上提高應(yīng)對各種攻擊的能力。網(wǎng)絡(luò)管理人員通過對所有用戶設(shè)置資源使用權(quán)限與口令，對用戶名和口令進(jìn)行加密存儲、傳輸，提供完整的用戶使用記錄和分析等方式可以有效地保證系統(tǒng)的安全。

通過以上各種方法基本上可以建立一套相對完整的網(wǎng)絡(luò)安全系統(tǒng)。不過，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅僅依靠防火墻等單個(gè)的系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)、防火墻技術(shù)等等結(jié)合在一起，才能擁有一個(gè)高效、穩(wěn)定、安全的網(wǎng)絡(luò)系統(tǒng)。

[1]杜鵬飛.校園網(wǎng)絡(luò)安全管理探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007.

[2]方耿,林慶霓,莫卓豪.網(wǎng)絡(luò)維護(hù)與故障診斷[M].北京:冶金工業(yè)出版社.2005.

[3]歐帥.DNS拒絕服務(wù)攻擊的防護(hù)系統(tǒng)的研究與設(shè)計(jì)[D].西南交通大學(xué).2009.

[4]蔣文保,楊大鑒,任曉明.寬帶網(wǎng)絡(luò)入侵檢測系統(tǒng)的分析與實(shí)現(xiàn)[J].計(jì)算機(jī)工程.2007.

[5]朱萍.基于透明代理的 Linux防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版) .2007.

[6]趙科.高職院校校園網(wǎng)管理思考[J].網(wǎng)絡(luò)與信息.2008.