高校校園網(wǎng)絡(luò)安全分析和研究對(duì)策

李春青

廣西民族師范學(xué)院 廣西 532200

0 引言

校園網(wǎng)絡(luò)是數(shù)字化校園的基礎(chǔ)，是衡量高校信息化建設(shè)程度的重要標(biāo)準(zhǔn)之一，對(duì)加快信息處理、資源優(yōu)化利用、提高工作效率、實(shí)現(xiàn)資源共享等都起到了不可估量的作用，擔(dān)當(dāng)著學(xué)校日常辦公、對(duì)外交流、科研教學(xué)管理等重要任務(wù)。然而，薄弱的校園網(wǎng)絡(luò)安全系統(tǒng)也成為一個(gè)重要的問(wèn)題擺在我們面前，如何保證校園網(wǎng)能很好的為學(xué)校服務(wù)，又要保護(hù)學(xué)校的投資，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)具有高度的穩(wěn)定性、可用性和安全性，避免不被攻擊和破壞，已經(jīng)成為高校網(wǎng)絡(luò)管理部門(mén)日常重要工作和首要任務(wù)。

1 校園網(wǎng)絡(luò)存在的安全威脅

高校網(wǎng)絡(luò)是一個(gè)半開(kāi)放的Internet系統(tǒng)，具有用戶(hù)數(shù)量大、信息交換頻繁、服務(wù)多樣化等特點(diǎn)，所面臨的安全問(wèn)題有來(lái)自互聯(lián)網(wǎng)的安全威脅和組成學(xué)校網(wǎng)絡(luò)系統(tǒng)各個(gè)層面的問(wèn)題。

1.1 外部威脅

(1) 來(lái)自網(wǎng)絡(luò)病毒的威脅

計(jì)算機(jī)病毒是一組具有破壞性的計(jì)算機(jī)程序，具有隱蔽性、破壞性和傳染性的特點(diǎn)，隨著網(wǎng)絡(luò)信息的傳播而蔓延開(kāi)來(lái)。隨著網(wǎng)絡(luò)技術(shù)快速發(fā)展和社會(huì)信息化進(jìn)程的加快，當(dāng)今互聯(lián)網(wǎng)上的病毒層出不窮，使得世界每一個(gè)角落的計(jì)算機(jī)系統(tǒng)時(shí)刻處于受威脅的狀態(tài)。這些計(jì)算機(jī)病毒輕則直接影響計(jì)算機(jī)運(yùn)行速度，破壞網(wǎng)絡(luò)資源使用效率，重則破壞系統(tǒng)軟件和文件系統(tǒng)，甚至損壞計(jì)算機(jī)硬件系統(tǒng)，造成不可挽回的損失。校園網(wǎng)絡(luò)所提供的資源共享、郵件服務(wù)、網(wǎng)絡(luò)下載等功能更是為病毒傳播打開(kāi)了一扇大門(mén)，因此，病毒防范的任務(wù)更加重要。

(2) 黑客攻擊

黑客利用其掌握的計(jì)算機(jī)技術(shù)，利用互聯(lián)網(wǎng)訪(fǎng)問(wèn)協(xié)議漏洞和主機(jī)端口的開(kāi)放性，進(jìn)行信息的非法訪(fǎng)問(wèn)和篡改。其常用攻擊手段有后門(mén)程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽(tīng)和密碼破解等。高校網(wǎng)絡(luò)信息具有的特殊性成了黑客攻擊的主要目標(biāo)，據(jù)統(tǒng)計(jì)，每年高考考生填報(bào)志愿之際，幾乎所有高校都被黑客非法訪(fǎng)問(wèn)和篡改數(shù)據(jù)，做好防范黑客攻擊的工作尤為重要。

1.2 內(nèi)部攻擊

高校的校園網(wǎng)絡(luò)是一個(gè)具有一定規(guī)模的小型網(wǎng)絡(luò)系統(tǒng)，用戶(hù)復(fù)雜。高校生一直以來(lái)都是網(wǎng)絡(luò)活躍用戶(hù)，具有強(qiáng)烈的好奇心和征服欲，且很多同學(xué)掌握的計(jì)算機(jī)技術(shù)水平較高，且有很強(qiáng)的動(dòng)手能力，他們經(jīng)常有意無(wú)意掃描攻擊校園網(wǎng)，并以此為炫耀自己的手段。另外，校園網(wǎng)絡(luò)用戶(hù)經(jīng)常利用提供的下載功能下載電影、音樂(lè)和其它文件等，無(wú)形中造成網(wǎng)絡(luò)堵塞和病毒傳播。因此，來(lái)自?xún)?nèi)部的威脅帶來(lái)的嚴(yán)重性一點(diǎn)都不亞于來(lái)自外部的威脅。

1.3 所使用軟件漏洞問(wèn)題

校園安全網(wǎng)絡(luò)中，關(guān)鍵的部分是主機(jī)系統(tǒng)的安全，主機(jī)系統(tǒng)一般由操作系統(tǒng)和應(yīng)用軟件組成。當(dāng)前所使用的操作系統(tǒng)主要是Windows、Linux和Unix操作系統(tǒng)，這些操作系統(tǒng)都是符合C2 級(jí)安全級(jí)別的操作系，但是這些系統(tǒng)本身存在著不少漏洞，這些漏洞對(duì)于系統(tǒng)的正常運(yùn)行不影響，如果對(duì)這些漏洞處理不當(dāng)，將成為攻擊者利用的攻擊途徑，對(duì)校園網(wǎng)絡(luò)構(gòu)成嚴(yán)重的威脅。很多高校網(wǎng)站管理系統(tǒng)是使用開(kāi)放的源代碼修改而成，存在先天性安全隱患，再加上一些網(wǎng)站開(kāi)發(fā)技術(shù)人員缺少安全意識(shí)，注重網(wǎng)站系統(tǒng)的使用而不注重系統(tǒng)的安全考慮，導(dǎo)致SQL注入式攻擊和跨腳本攻擊普遍存在，網(wǎng)站信息極易被修改。在我國(guó)，盜版軟件、影視資料在校園中普遍使用，這些隨意從網(wǎng)絡(luò)下載的軟件可能隱藏著后門(mén)、木馬程序等惡意代碼，是攻擊者慣用手段之一。

1.4 網(wǎng)絡(luò)系統(tǒng)硬件安全

在網(wǎng)絡(luò)系統(tǒng)中，硬件安全是最脆弱的。校園網(wǎng)絡(luò)系統(tǒng)中所需設(shè)備分布廣泛，不可能做到時(shí)刻都能全面監(jiān)控這些校園網(wǎng)絡(luò)設(shè)備，也不是所有設(shè)備都能上鎖。這些硬件設(shè)備不僅承受來(lái)自大自然的威脅，如雷擊、地震、水災(zāi)、火災(zāi)等，還要面臨人為有意或無(wú)意的破壞。

1.5 安全意識(shí)的單薄和投入的欠缺

雖然，很多高校較之以前對(duì)校園網(wǎng)絡(luò)的投入已經(jīng)加大，但是隨著高校的擴(kuò)建，校園網(wǎng)絡(luò)建設(shè)仍然遠(yuǎn)遠(yuǎn)滯后于高校的發(fā)展需求，很多院校為了應(yīng)付擴(kuò)張的校園需求，在校園網(wǎng)絡(luò)設(shè)計(jì)方面僅僅是為了滿(mǎn)足高校的運(yùn)行需求倉(cāng)促設(shè)計(jì)并投入使用的，并非基于安全而設(shè)計(jì)，在安全設(shè)計(jì)上有先天不足。在很多高校，網(wǎng)絡(luò)管理部門(mén)僅有少數(shù)的管理工作所人員，這些工作人員甚至有些是“半道出家”的非專(zhuān)業(yè)人員。他們除了維護(hù)網(wǎng)絡(luò)的正常運(yùn)行，還要無(wú)條件管理和維護(hù)成千上萬(wàn)臺(tái)計(jì)算機(jī)的安全，根本無(wú)暇顧及網(wǎng)絡(luò)的安全問(wèn)題。

1.6 管理職責(zé)不明確

校園網(wǎng)絡(luò)中使用人員眾多，計(jì)算機(jī)系統(tǒng)復(fù)雜、面大、點(diǎn)多。網(wǎng)絡(luò)管理工作人員不僅要保證正常的教學(xué)工作需求，還要同時(shí)保證各種學(xué)生成績(jī)管理系統(tǒng)、教務(wù)管理系統(tǒng)、人事管理系統(tǒng)的廣泛應(yīng)用。對(duì)用戶(hù)的網(wǎng)絡(luò)規(guī)范使用方面的宣傳教育和上網(wǎng)監(jiān)管方面工作不到位，經(jīng)常出現(xiàn)由于網(wǎng)內(nèi)某個(gè)點(diǎn)的有意或無(wú)意攻擊而引起的整個(gè)網(wǎng)絡(luò)攻擊事件。完善校園網(wǎng)絡(luò)管理制度有待加強(qiáng)。

2 校園網(wǎng)絡(luò)安全防范措施

2.1 加強(qiáng)網(wǎng)絡(luò)病毒防范體系建設(shè)

校園網(wǎng)絡(luò)病毒傳播路徑眾多，可通過(guò)網(wǎng)絡(luò)下載、電子郵件、盜版軟件使用、U盤(pán)拷貝等傳播路徑潛入校園網(wǎng)絡(luò)，網(wǎng)絡(luò)中一旦有一臺(tái)機(jī)器受病毒感染，則病毒程序就會(huì)在極短時(shí)間內(nèi)迅速擴(kuò)散，有可能感染所有的主機(jī)，在校園網(wǎng)絡(luò)中安裝可升級(jí)的網(wǎng)絡(luò)版的防病毒系統(tǒng)，集中控制、管理查殺網(wǎng)絡(luò)系統(tǒng)服務(wù)器和終端的病毒，保護(hù)整個(gè)校園網(wǎng)絡(luò)不被病毒侵害。在高校，98%以上的用戶(hù)使用的是Windows操作系統(tǒng)，這些操作系統(tǒng)本身具有漏洞，如果系統(tǒng)有漏洞沒(méi)有補(bǔ)上，即使使用最好的網(wǎng)絡(luò)安全系統(tǒng)或防病毒系統(tǒng)也是，沒(méi)有在源頭上解決安全問(wèn)題。所以，在做好病毒防范的同時(shí)，還要利用漏洞掃描器定時(shí)對(duì)系統(tǒng)進(jìn)行安全評(píng)估，發(fā)現(xiàn)安全隱患并實(shí)施修復(fù)，這樣方可達(dá)到網(wǎng)絡(luò)相對(duì)的持續(xù)安全。

2.2 加強(qiáng)網(wǎng)絡(luò)體系硬件安全管理

如何構(gòu)建一個(gè)安全的物理環(huán)境是整個(gè)高校網(wǎng)絡(luò)系統(tǒng)方案中首先要考慮的問(wèn)題。物理安全主要從以下幾個(gè)方面著手：

(1) 計(jì)算機(jī)網(wǎng)絡(luò)通信系統(tǒng)運(yùn)行環(huán)境應(yīng)該按照國(guó)家有關(guān)標(biāo)準(zhǔn)實(shí)施。

(2) 要保證各硬件設(shè)備隨時(shí)處于良好的工作狀態(tài)，建立健全設(shè)備使用管理制度，建立設(shè)備運(yùn)行日志等。

(3) 保障電源安全，主要從電源穩(wěn)定供應(yīng)、輸電線(xiàn)路安全兩方面入手。

通信設(shè)備要具備一定的對(duì)抗自然因素和人為因素破壞的能力，還要具有防電磁信息泄露、線(xiàn)路截獲和對(duì)抗干擾的能力。

2.3 數(shù)據(jù)備份和恢復(fù)

在所有的數(shù)據(jù)安全戰(zhàn)略中，數(shù)據(jù)備份技術(shù)是最基礎(chǔ)的工作之一也是系統(tǒng)災(zāi)難發(fā)生之后恢復(fù)的前提條件，在數(shù)據(jù)完整性遭到破壞前起到保護(hù)作用。 通過(guò)數(shù)據(jù)備份，一個(gè)存儲(chǔ)系統(tǒng)乃至整個(gè)網(wǎng)絡(luò)系統(tǒng)，在發(fā)生災(zāi)難后，完全可以回到過(guò)去某個(gè)時(shí)間狀態(tài)，能夠最快速的保證系統(tǒng)恢復(fù)正常工作。流行的數(shù)據(jù)恢復(fù)工具有：Finaldata、EasyRecovery、DataExplore、R-Studio和Lost&Found等。

2.4 建立完善的校園網(wǎng)絡(luò)信息安全管理制度

制定嚴(yán)格的管理制度，明確各層用戶(hù)各部門(mén)人員安全職責(zé)劃分，從校領(lǐng)導(dǎo)層到安全管理小組，再到每一位教職工，層層制定相應(yīng)的信息安全職責(zé)要求和監(jiān)督管理制度，從信息源頭上保證信息不外泄。對(duì)網(wǎng)絡(luò)管理人員的專(zhuān)業(yè)知識(shí)和操作技能進(jìn)行培訓(xùn)和加強(qiáng)。

2.5 使用其它技術(shù)手段加強(qiáng)網(wǎng)絡(luò)安全防范與檢測(cè)

(1) 防火墻技術(shù)

防火墻是設(shè)置在校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，也是抵御未授權(quán)訪(fǎng)問(wèn)和黑客入侵的有效手段，是使用最廣泛的校園網(wǎng)絡(luò)系統(tǒng)安全策略工具之一。防火墻通過(guò)檢測(cè)、過(guò)濾和限制通過(guò)其的數(shù)據(jù)流，盡可能的對(duì)外屏蔽內(nèi)網(wǎng)信息，有效監(jiān)控內(nèi)網(wǎng)與外部互聯(lián)網(wǎng)之間的通信，保障校園內(nèi)部網(wǎng)絡(luò)安全。

(2) 入侵檢測(cè)技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，攻擊技術(shù)和手段越來(lái)越發(fā)復(fù)雜，甚至繞過(guò)防火墻進(jìn)入內(nèi)網(wǎng)，傳統(tǒng)的單一的防火墻防御系統(tǒng)已經(jīng)不能擋住這些攻擊。近年來(lái)，入侵檢測(cè)等主動(dòng)防御技術(shù)得到了重視和發(fā)展。入侵檢測(cè)系統(tǒng)可以對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)控，發(fā)現(xiàn)可疑的傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施。在校園網(wǎng)絡(luò)中，可采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)布置于關(guān)鍵的網(wǎng)絡(luò)接入點(diǎn)，而基于主機(jī)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)布置與關(guān)鍵服務(wù)器主機(jī)系統(tǒng)，架構(gòu)成一套完整立體的主動(dòng)防護(hù)體系。

(3) 訪(fǎng)問(wèn)控制技術(shù)

訪(fǎng)問(wèn)控制技術(shù)可以檢測(cè)和拒絕網(wǎng)絡(luò)中那些未經(jīng)授權(quán)訪(fǎng)問(wèn)的用戶(hù)，最大限度的保護(hù)校園網(wǎng)絡(luò)資源的安全。訪(fǎng)問(wèn)控制技術(shù)授權(quán)正常用戶(hù)訪(fǎng)問(wèn)校內(nèi)網(wǎng)絡(luò)資源，比如授權(quán)系統(tǒng)管理員控制用戶(hù)對(duì)服務(wù)器、目錄和文件等資源的訪(fǎng)問(wèn)以及操作，保證內(nèi)網(wǎng)資源不被非法訪(fǎng)問(wèn)、非法使用和非法破壞。

(4) 數(shù)據(jù)加密技術(shù)

加密技術(shù)主要為了防止數(shù)據(jù)傳輸過(guò)程中明文信息受到被動(dòng)攻擊而采取的有效措施。數(shù)據(jù)加密技術(shù)在數(shù)據(jù)信息傳輸前對(duì)數(shù)據(jù)信息采取重新組合的方式打亂信息，而獲取數(shù)據(jù)信息的人只有知道用于還原數(shù)據(jù)的密鑰才能解碼并還原數(shù)據(jù)，這措施更適用于開(kāi)放的網(wǎng)絡(luò)環(huán)境中，對(duì)動(dòng)態(tài)數(shù)據(jù)實(shí)施保護(hù)，提高數(shù)據(jù)的安全性。

3 結(jié)束語(yǔ)

校園網(wǎng)絡(luò)安全建設(shè)是一個(gè)復(fù)雜、龐大的體系工程，涉及技術(shù)、設(shè)備、人員和管理制度等多方面的因素，需要從整體上進(jìn)行規(guī)劃和把握，沒(méi)有切實(shí)可行的安全保障體系，建設(shè)安全的高校校園網(wǎng)絡(luò)系統(tǒng)就成了空談。各高校應(yīng)切實(shí)嚴(yán)格按照國(guó)家制定的安全標(biāo)準(zhǔn)“因地制宜”制定更為合適的網(wǎng)絡(luò)建設(shè)要求，將人員與技術(shù)、部門(mén)與整體、被動(dòng)防御與主動(dòng)檢測(cè)、制度與管理結(jié)合起來(lái)，形成一套完整的、協(xié)調(diào)一致、有章可循的網(wǎng)絡(luò)安全防護(hù)體系，這樣才能有效控制和減少校園網(wǎng)的隱患。

[1] 張軍偉.高校網(wǎng)絡(luò)安全分析及其對(duì)策.技術(shù)應(yīng)用.2009.

[2] 張同光.信息安全技術(shù)實(shí)用教程.電子工業(yè)出版社.2010.

[3] 趙君梅.校園網(wǎng)絡(luò)安全方案的設(shè)計(jì)與實(shí)現(xiàn).重慶大學(xué).2009.