校園網(wǎng)安全現(xiàn)狀與策略

◆竇夏陽(yáng)

（西安科技大學(xué)信息網(wǎng)絡(luò)中心 陜西 710054）

校園網(wǎng)安全現(xiàn)狀與策略

◆竇夏陽(yáng)

（西安科技大學(xué)信息網(wǎng)絡(luò)中心 陜西 710054）

在信息化建設(shè)的快速發(fā)展下，各高校都先后逐步建設(shè)起自己的校園網(wǎng)，為了提高學(xué)?？蒲薪虒W(xué)質(zhì)量、管理水平，并滿(mǎn)足校園網(wǎng)用戶(hù)增長(zhǎng)的需求，學(xué)校不斷提升校園網(wǎng)主干設(shè)備性能、增加網(wǎng)絡(luò)帶寬，建設(shè)更加完善的網(wǎng)絡(luò)體系。但是由于自身開(kāi)放性的特點(diǎn)使得校園網(wǎng)不可避免地成為了黑客的攻擊目標(biāo)。病毒、木馬、惡意軟件等均對(duì)校園網(wǎng)的安全造成了重大隱患，導(dǎo)致校園網(wǎng)癱瘓、信息泄漏等嚴(yán)重后果。所以如何保證校園網(wǎng)正常地運(yùn)行、數(shù)據(jù)安全可靠地傳輸，又同時(shí)能夠?yàn)橛脩?hù)提供開(kāi)放的環(huán)境和豐富的資源，成為了急需解決的問(wèn)題。

校園網(wǎng)；信息安全；安全現(xiàn)狀；安全威脅；安全策略

0 引言

校園網(wǎng)不但為教學(xué)、科研和生活提供基本環(huán)境，同時(shí)也是信息化建設(shè)和發(fā)展的基礎(chǔ)所在，校園網(wǎng)的正常運(yùn)作關(guān)系著科研、教學(xué)的是否能夠順利開(kāi)展，以及學(xué)校是否能夠安全穩(wěn)定地建設(shè)發(fā)展。但是由于校園網(wǎng)自身存在的安全漏洞、外部威脅不斷增長(zhǎng)、網(wǎng)絡(luò)內(nèi)接入設(shè)備數(shù)目龐大結(jié)構(gòu)復(fù)雜、內(nèi)部用戶(hù)安全意識(shí)薄弱、安全防范措施不足等原因，高等院校網(wǎng)絡(luò)安全狀況不容樂(lè)觀，只有解決這些問(wèn)題，才能使校園網(wǎng)真正服務(wù)于教學(xué)、科研和生活。

1 校園網(wǎng)安全現(xiàn)狀

1.1 校園網(wǎng)內(nèi)部用戶(hù)安全意識(shí)薄弱，缺乏法律知識(shí)

大部分校園網(wǎng)用戶(hù)對(duì)計(jì)算機(jī)安全知識(shí)知之甚少，只對(duì)自己的設(shè)備采取了最基本的安全防護(hù)手段，這類(lèi)設(shè)備很容易被黑客利用，傳播病毒，以及變成“肉機(jī)”，在不知道的情況下被黑客利用對(duì)校園網(wǎng)內(nèi)其他設(shè)備或校園網(wǎng)發(fā)起攻擊。也有一些對(duì)安全知識(shí)感興趣的學(xué)生，但由于缺乏相關(guān)法律知識(shí)，且不考慮行為后果，嘗試一些新的攻擊手段，也會(huì)對(duì)校園網(wǎng)造成一定的影響和破壞。

1.2 設(shè)備眾多，管理人員管理困難

校園網(wǎng)中接入的設(shè)備數(shù)量龐大，這些設(shè)備類(lèi)型不同、操作系統(tǒng)多種多樣、分布在不同的物理地址，由不同的人員使用，有不同的使用目的。由于這些種種的差異性，使得網(wǎng)絡(luò)管理人員不能使用統(tǒng)一的安全策略去管理所有的接入設(shè)備。如果這些設(shè)備存在漏洞或者攜帶病毒木馬，當(dāng)設(shè)備接入校園網(wǎng)后，很可能會(huì)在校園網(wǎng)內(nèi)傳播病毒，影響網(wǎng)絡(luò)運(yùn)行，獲取非授權(quán)信息，造成嚴(yán)重的后果。

1.3 校園網(wǎng)中軟硬件自身安全漏洞

硬件漏洞主要是指物理上的安全威脅，主要由于物理設(shè)備管理手段不當(dāng)、物理環(huán)境不符合安全要求等，使得校園網(wǎng)硬件設(shè)備如服務(wù)器、存儲(chǔ)設(shè)備、交換機(jī)、路由器等受到自然災(zāi)害破壞以及人為破壞而造成校園網(wǎng)中斷不能正常使用。

軟件漏洞則是主要指系統(tǒng)漏洞，校園網(wǎng)中有眾多的設(shè)備和豐富的資源，各種系統(tǒng)參差不齊種類(lèi)繁多，而且不乏有很多盜版軟件，這些軟件系統(tǒng)中很可能存在著安全漏洞，隨意下載的資源中也會(huì)攜帶著病毒、木馬等惡意代碼，最終導(dǎo)致用戶(hù)設(shè)備感染病毒，并成為病毒傳播的媒介。

1.4 計(jì)算機(jī)病毒泛濫

校園網(wǎng)在為用戶(hù)提供便捷服務(wù)的同時(shí)也為病毒快速傳播留下可能，用戶(hù)在收發(fā)郵件、瀏覽網(wǎng)頁(yè)、下載文件時(shí)均有可能感染病毒。而病毒在校園網(wǎng)內(nèi)的傳播，不但會(huì)占用大量網(wǎng)絡(luò)資源，也會(huì)對(duì)個(gè)人設(shè)備、網(wǎng)絡(luò)設(shè)備以及服務(wù)器帶來(lái)很大的危害，影響到整個(gè)校園網(wǎng)的正常運(yùn)作，甚至?xí)?dǎo)致整體癱瘓。

1.5 缺乏統(tǒng)一的有效的管理制度以及操作規(guī)范。

缺乏統(tǒng)一有效的管理制度和操作規(guī)范也對(duì)校園網(wǎng)埋下了安全隱患，比如學(xué)校各部門(mén)分散采購(gòu)設(shè)備服務(wù)器，在設(shè)備接入校園網(wǎng)前，未進(jìn)行全面徹底的漏洞掃描，使得這些自身存在漏洞的服務(wù)器成為了黑客攻擊學(xué)校網(wǎng)絡(luò)的辯解途徑；缺少有效的監(jiān)控措施，管理人員無(wú)法及時(shí)發(fā)現(xiàn)異常情況，以及在違規(guī)行為發(fā)生后，不能取得有力證據(jù)；管理人員使用的用戶(hù)名和口令過(guò)于簡(jiǎn)單，極易被黑客破解；機(jī)房進(jìn)出管理不嚴(yán)格，使得入侵者能夠接近重要設(shè)備。這些管理制度上的不完善均有可能帶來(lái)安全隱患。

1.6 安全防范措施不足

缺乏統(tǒng)一的安全策略，沒(méi)有針對(duì)所有可能發(fā)生的安全隱患制定完善的安全機(jī)制，不能采取有效的入侵檢測(cè)技術(shù)，及時(shí)進(jìn)行主動(dòng)防御。

2 校園網(wǎng)安全策略

2.1 建立完善管理制度，加強(qiáng)管理人員培訓(xùn)

針對(duì)校園網(wǎng)管理，學(xué)校應(yīng)建立完善的制度規(guī)范。其中包括：機(jī)房環(huán)境中溫度濕度的控制；設(shè)備接入校園網(wǎng)前安全檢測(cè)掃描的要求；管理員設(shè)定口令難易度要求；機(jī)房進(jìn)出登記管理要求；以及管理人員在應(yīng)對(duì)突發(fā)情況，如斷電、斷網(wǎng)時(shí)如何操作等。只有當(dāng)建立一套完善的管理制度時(shí)，才能最大限度地保證校園網(wǎng)以及數(shù)據(jù)的安全，減少損失。

其次，應(yīng)該加強(qiáng)對(duì)管理人員的培訓(xùn)，包括相關(guān)安全知識(shí)的培訓(xùn)，以及在實(shí)際情況下如何采取正確的應(yīng)對(duì)手段。只有組建一支責(zé)任心強(qiáng)、技術(shù)水平高的人才隊(duì)伍，才能夠構(gòu)建更加完善、可靠和安全的校園網(wǎng)。

2.2 加強(qiáng)用戶(hù)安全意識(shí)

為避免內(nèi)部攻擊的發(fā)生，首先應(yīng)該提高校園網(wǎng)所有用戶(hù)的安全意識(shí)，比如應(yīng)該經(jīng)常對(duì)自己的電腦檢測(cè)病毒，及時(shí)發(fā)現(xiàn)設(shè)備的異常情況，不去點(diǎn)擊不明身份人員發(fā)來(lái)的郵件、鏈接等，防止設(shè)備感染病毒，成為攻擊者攻擊校園網(wǎng)的跳板或者工具。其次針對(duì)學(xué)生主動(dòng)攻擊校園網(wǎng)這種情況，應(yīng)該結(jié)合國(guó)家相關(guān)法律知識(shí)，對(duì)用戶(hù)進(jìn)行普及，避免主動(dòng)攻擊的發(fā)生。

2.3 利用身份認(rèn)證進(jìn)行訪問(wèn)控制

訪問(wèn)控制通過(guò)判斷用戶(hù)身份合法性來(lái)防止非法用戶(hù)入侵，保證內(nèi)部資源不被非法訪問(wèn)和非法獲取。當(dāng)一個(gè)用戶(hù)需要獲取系統(tǒng)內(nèi)資源時(shí)，需要先進(jìn)行身份認(rèn)證，如果是非法用戶(hù)，直接拒絕其訪問(wèn)。如果是合法用戶(hù)，則對(duì)該用戶(hù)采取一定訪問(wèn)控制策略，即他只能獲取到自己權(quán)限范圍內(nèi)的資源，保證權(quán)限最小化，防止信息泄露。

2.4 采取加密策略

信息如果以明文形式在網(wǎng)絡(luò)中傳輸，極易被黑客非法獲取，使得信息安全受到巨大威脅，所以在校園網(wǎng)中，需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密傳輸來(lái)保護(hù)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全性。一個(gè)安全的加密網(wǎng)絡(luò)，可以有效防止非授權(quán)用戶(hù)獲取到信息和數(shù)據(jù)，保護(hù)用戶(hù)數(shù)據(jù)的安全。

2.5 防火墻

防火墻是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間一道執(zhí)行控制策略的防御系統(tǒng)，通過(guò)防火墻可以建立一個(gè)數(shù)據(jù)過(guò)濾機(jī)制，對(duì)所有通過(guò)防火墻的數(shù)據(jù)按照一定的策略進(jìn)行監(jiān)控和審查，來(lái)決定是否允許通過(guò)，從而達(dá)到保護(hù)內(nèi)部信息不被外部非授權(quán)用戶(hù)非法訪問(wèn)和過(guò)濾特定信息的功能。首先，防火墻可以起到網(wǎng)絡(luò)安全屏障的作用，管理員可通過(guò)制定相關(guān)安全策略防止非法用戶(hù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾不安全的服務(wù)，防止黑客的入侵攻擊，為內(nèi)部人員建立一個(gè)安全的網(wǎng)絡(luò)屏障。其次防火墻能有效地對(duì)所有經(jīng)過(guò)防火墻的內(nèi)部和外部訪問(wèn)進(jìn)行記錄，形成完整的日志供網(wǎng)絡(luò)管理員查看。當(dāng)有可疑情況發(fā)生的時(shí)候，防火墻會(huì)自動(dòng)的發(fā)出適當(dāng)?shù)木瘓?bào)，并且提供詳細(xì)的信息供管理員查詢(xún)。防火墻還能夠通過(guò)對(duì)內(nèi)部局域網(wǎng)進(jìn)行劃分，對(duì)不同的局域網(wǎng)采取不同的訪問(wèn)控制，來(lái)對(duì)重點(diǎn)網(wǎng)絡(luò)資源進(jìn)行重點(diǎn)隔離保護(hù)，防止內(nèi)部信息泄露。

2.6 入侵檢測(cè)（IDS）

入侵檢測(cè)技術(shù)可以對(duì)網(wǎng)絡(luò)活動(dòng)和系統(tǒng)事件進(jìn)行實(shí)時(shí)地、不間斷地、動(dòng)態(tài)地監(jiān)控、檢測(cè)、響應(yīng)、防御等過(guò)程。如果攻擊行為從內(nèi)部發(fā)起，其通信過(guò)程不需要經(jīng)過(guò)防火墻，這時(shí)候防火墻沒(méi)有辦法進(jìn)行防御，所以就需要入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)實(shí)時(shí)監(jiān)視用戶(hù)、系統(tǒng)活動(dòng)，對(duì)異常行為進(jìn)行分析、對(duì)攻擊行為進(jìn)行報(bào)警、識(shí)別違反安全策略的行為，在入侵和攻擊發(fā)生之前，采取相應(yīng)措施，彌補(bǔ)防火墻的不足。

2.7 漏洞掃描

漏洞掃描即對(duì)目標(biāo)中有可能存在的安全漏洞進(jìn)行逐項(xiàng)檢測(cè)，使得網(wǎng)絡(luò)管理員可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)中存在的對(duì)外開(kāi)放端口、錯(cuò)誤配置以及已知漏洞等，并及時(shí)采取適當(dāng)?shù)奶幚泶胧﹣?lái)進(jìn)行修補(bǔ)，有效地阻止入侵事件的發(fā)生。

2.8 備份與恢復(fù)

當(dāng)校園網(wǎng)內(nèi)系統(tǒng)發(fā)生故障或人為失誤時(shí)，以及由于外部非法入侵造成系統(tǒng)數(shù)據(jù)完整性可用性被破壞時(shí)，備份和恢復(fù)工作能夠幫助管理員迅速恢復(fù)受破壞的數(shù)據(jù)，把損失降到最低。可建立數(shù)據(jù)備份中心，將數(shù)據(jù)備份制度化，自動(dòng)備份各個(gè)應(yīng)用系統(tǒng)數(shù)據(jù)，減少管理員的工作量。

3 結(jié)論

校園網(wǎng)作為學(xué)校重要的現(xiàn)代化設(shè)施中最重要的一部分，其安全狀況直接影響著學(xué)校建設(shè)、教學(xué)、科研、生活等活動(dòng)的順利運(yùn)行。而由于其校園網(wǎng)自身的開(kāi)放性及缺陷，從嚴(yán)格意義上來(lái)講不可能有絕對(duì)的安全，只有通過(guò)建立合理的管理制度、不斷加強(qiáng)用戶(hù)安全意識(shí)、提升管理人員能力、完善安全防護(hù)策略，才能及時(shí)發(fā)現(xiàn)校園網(wǎng)的威脅，將安全風(fēng)險(xiǎn)因素及損失降到最低。

[1]劉欽創(chuàng)．高校校園網(wǎng)的安全現(xiàn)狀與對(duì)策[J]．現(xiàn)代計(jì)算機(jī)，2015．

[2]李春霞．高校校園網(wǎng)安全防御體系的構(gòu)建與實(shí)施[D]．蘭州：蘭州大學(xué)，2013．

[3]蔡新春．校園網(wǎng)安全防范技術(shù)的研究與實(shí)現(xiàn)[D]．合肥：合肥工業(yè)大學(xué)，2009．

[4]張慧敏，何軍，黃厚寬．入侵檢測(cè)系統(tǒng)[J]．計(jì)算機(jī)應(yīng)用研究，2001．

圖2 安全提示

圖3危險(xiǎn)警告

4 結(jié)語(yǔ)

智能手機(jī)的普及、移動(dòng)4G的來(lái)襲以及二維碼技術(shù)的迅速發(fā)展，使得智能手機(jī)與二維碼緊密地結(jié)合在一起，這給二維碼在許多行業(yè)和領(lǐng)域帶來(lái)前所未有的應(yīng)用價(jià)值。但是依然存在被誘導(dǎo)掃描帶有病毒軟件或釣魚(yú)網(wǎng)站二維碼的風(fēng)險(xiǎn)。一旦頁(yè)面跳轉(zhuǎn)至黑客設(shè)定的網(wǎng)址，用戶(hù)的個(gè)人信息就會(huì)被竊取，或者自己的手機(jī)就被植入了木馬病毒，這是十分危險(xiǎn)的。因此，二維碼使用的普遍性以及由此引發(fā)的安全問(wèn)題的嚴(yán)重性之間的矛盾極為突出，需要社會(huì)大眾予以足夠重視。

參考文獻(xiàn)：

[1]http：//www．cac．gov．cn/2016-01/22/c_1117858695．htm．

[2]Reto Meier．Professional Android Application Developm ent．Wiley，2009．

[3]曾子劍．基于 QR 二維碼編碼技術(shù)的研究與實(shí)現(xiàn)[D]．電子科技大學(xué)，2007．

[4]陸磊．智能手機(jī)平臺(tái)下的二維碼驗(yàn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D]．南京航空航天大學(xué)，2011．

[5]呂仁東．基于QR碼應(yīng)用的倉(cāng)庫(kù)管理系統(tǒng)設(shè)計(jì)[D]．國(guó)防科學(xué)技術(shù)大學(xué)，2006．