等保2.0條件下高校網(wǎng)絡(luò)安全問題分析及防護對策

◆張中正 許源

等保2.0條件下高校網(wǎng)絡(luò)安全問題分析及防護對策

◆張中正 許源

（南京森林警察學院（南京）信息技術(shù)學院 江蘇 210000）

在信息化快速發(fā)展的當下，高校需要提高自身的發(fā)展需求，需要提高辦公效率及教學科研質(zhì)量。所以，要結(jié)合當前的技術(shù)手段，構(gòu)建校園網(wǎng)絡(luò)安全體系。本文在網(wǎng)絡(luò)安全等級保護二級標準下，結(jié)合高校校園網(wǎng)絡(luò)安全建設(shè)的規(guī)劃，利用掃描、滲透等技術(shù)手段對高校的網(wǎng)絡(luò)安全進行檢測。測試網(wǎng)絡(luò)中存在的安全隱患，從物理介質(zhì)、通訊手段、校園網(wǎng)絡(luò)環(huán)境和校園網(wǎng)絡(luò)管理中心等方面展開論述。

網(wǎng)絡(luò)安全；高校校園網(wǎng)；等級保護；防護策略

隨著現(xiàn)代網(wǎng)絡(luò)化的飛速發(fā)展，高校為滿足自身發(fā)展的需要，為提高辦公效率及教學科研質(zhì)量，而構(gòu)建校園網(wǎng)絡(luò)安全體系。目前，高校的校園網(wǎng)絡(luò)安全體系不夠完善，管理理念比較落后，很大程度上導致被黑客攻擊，被非法竊取重要信息、更改信息。我們以高校網(wǎng)絡(luò)安全為研究對象，利用滲透等技術(shù)對高校的網(wǎng)絡(luò)進行檢測，對存在的安全隱患，提出相應(yīng)的分析與優(yōu)化意見[1]。

1 網(wǎng)絡(luò)安全檢測方法

針對高校網(wǎng)絡(luò)存在的安全隱患，對高校網(wǎng)絡(luò)進行安全測試。通過網(wǎng)絡(luò)構(gòu)建逐步分析，找出校園外部網(wǎng)站、內(nèi)部主機配置中的不安全因素。對物理層面的設(shè)備檢查，周圍環(huán)境保護[1]；從安全配置層面來查看配置的一些用戶規(guī)則；對系統(tǒng)安全防護措施、業(yè)務(wù)系統(tǒng)等進行安全評估。檢查系統(tǒng)中高危安全漏洞的隱患、弱口令風險，對可能造成師生個人信息泄露、教學辦公業(yè)務(wù)不暢通、設(shè)備被遠程控制、網(wǎng)絡(luò)阻斷等安全事件，及時排除潛在危險，保障網(wǎng)絡(luò)安全。檢測重點從以下幾個方面入手。

1.1 網(wǎng)絡(luò)設(shè)備的檢測

開放端口檢測，探測過程中，對端口進行采集。通過掃描服務(wù)端口，判斷出存在于服務(wù)器上的可攻擊對象。利用Nmap或御劍高速TCP端口掃描工具。對常見網(wǎng)絡(luò)端口如22端口，SSH遠程連接；23端口Telnet等掃描分析，從爆破、嗅探方面入手檢測。Banner信息測試，使用Wireshark抓包工具，可以發(fā)現(xiàn)端口是否開放，根據(jù)RST/ACK包來判定，有無Banner信息，假如端口是開放狀態(tài)，則進行了TCP協(xié)議的三次握手。弱口令檢測：使用常用字典密碼本或破解工具，對檢測對象進行爆破嘗試。

1.2 操作系統(tǒng)的檢測

采集不同系統(tǒng)版本信息，對于不同版本的系統(tǒng)的差別進行針對性分析。嘗試弱口令測試系統(tǒng)的管理員密碼。

1.3 業(yè)務(wù)系統(tǒng)的檢測

安全配置的檢查。檢查網(wǎng)絡(luò)服務(wù)設(shè)備、安全設(shè)備，還有主機操作系統(tǒng)、數(shù)據(jù)庫，中間連接服務(wù)及網(wǎng)絡(luò)服務(wù)應(yīng)用程序等。對系統(tǒng)安全配置的設(shè)定，可以防護外來入侵。如訪問控制，禁用guest賬戶，刪除無關(guān)用戶；啟用本機組策略密碼復(fù)雜化策略；賬戶的管理上面不顯示上一次登錄的用戶名，可以在安全選項中交互式登錄設(shè)置；對文件設(shè)置訪問權(quán)限，將默認共享參數(shù)設(shè)置為0，對系統(tǒng)自動更新[3]；對日志文件大小的管理等。測試網(wǎng)絡(luò)是否被上傳惡意代碼或高校校園未檢測到的異常入侵，獲取設(shè)備的管理員權(quán)限的漏洞、數(shù)據(jù)庫漏洞等。

1.4 安全防護設(shè)施的檢測

檢查安全防護設(shè)施所開放的端口，關(guān)閉不必要端口。對安全軟件升級情況進行核查，對配置情況等進行檢測評估。

1.5 滲透測試

內(nèi)網(wǎng)測試。一般需要在高校內(nèi)部網(wǎng)絡(luò)發(fā)起，滲透檢測過程可以有效模擬校園內(nèi)部發(fā)生的網(wǎng)絡(luò)攻擊行為，以此作出危害評估。

外網(wǎng)測試。測試過程需要完全處于校園網(wǎng)絡(luò)外部，模擬外部攻擊者對校園內(nèi)部網(wǎng)絡(luò)所發(fā)起的攻擊行為。比如遠程攻擊服務(wù)器，Web注入、弱口令爆破、開放應(yīng)用服務(wù)盲點檢測等等。

黑盒測試。是對測試對象不了解的狀態(tài)下進行模擬攻擊。一般這種類型測試，相關(guān)滲透信息收集來自各種公開對外開放的服務(wù)。

白盒測試。測試過程比較煩瑣，一般需要合法渠道向被測對象取得一些測試信息，比如校園網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)站或校園應(yīng)用軟件平臺的代碼、師生資料信息等。

1.6 網(wǎng)絡(luò)安全漏洞掃描技術(shù)

由于軟件或協(xié)議的設(shè)計和實現(xiàn)的缺點、系統(tǒng)和網(wǎng)絡(luò)的配置錯誤都會使系統(tǒng)當中存在一些安全漏洞。入侵者會利用這些漏洞侵入計算機系統(tǒng)，黑客在入侵系統(tǒng)之前，要對攻擊對象進行信息收集，比如操作系統(tǒng)類型，是Window系統(tǒng)還是Linux，運行的服務(wù)、網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是否合理、網(wǎng)絡(luò)端口和主機的用戶名、IP等信息，要分析收集到的資料，測試有無隱患。若發(fā)現(xiàn)系統(tǒng)存在安全Bug，黑客就針對這些漏洞進行病毒或木馬入侵。

1.7 設(shè)備冗余檢測

如果系統(tǒng)發(fā)生故障，冗余設(shè)備將負責故障緊急備用，可以縮短故障檢修耽誤的時間。保證網(wǎng)絡(luò)的連續(xù)性。冗余方案能緩解突發(fā)網(wǎng)絡(luò)攻擊，任何技術(shù)都要部署冗余設(shè)計。防范不可預(yù)測性攻擊，確保了系統(tǒng)的安全性。因此，部署冗余設(shè)計十分重要。冗余是網(wǎng)絡(luò)工作者常用的一種保護機制方式。

2 高等院校網(wǎng)絡(luò)安全所面對的問題

2.1 系統(tǒng)漏洞具有普遍性

在計算機硬件、軟件和協(xié)議的實現(xiàn)過程中，設(shè)計的安全策略存在缺陷，使得網(wǎng)絡(luò)攻擊者能夠利用這些弱點來破壞系統(tǒng)。由于缺乏有效的管理，高校的網(wǎng)絡(luò)設(shè)備易產(chǎn)生大量的安全漏洞。此外，校園網(wǎng)中的用戶大部分是非計算機專業(yè)人員，他們平時使用的大多僅限于簡單的辦公學習軟件，對計算機的安全維護方面的知識欠缺，對于漏洞的定期檢查和更新沒有關(guān)注，容易引發(fā)攻擊者利用尚未修復(fù)的漏洞對校園網(wǎng)進行攻擊。

2.2 計算機惡意代碼不斷升級

病毒、木馬具有很強的隱藏性、復(fù)制性，計算機一旦感染了病毒或木馬程序，將導致系統(tǒng)處于拒絕服務(wù)攻擊狀態(tài)，甚至累及全網(wǎng)業(yè)務(wù)，阻塞了大量的帶寬資源，造成網(wǎng)絡(luò)阻塞。這有可能破壞計算機系統(tǒng)，導致系統(tǒng)死亡。一些病毒感染計算機中的重要文件和數(shù)據(jù)，造成文件和數(shù)據(jù)的丟失、隱藏、加密；由此非法獲取用戶個人信息，給用戶造成經(jīng)濟損失。目前高校檢測出來的病毒及木馬有如下類別：Irc協(xié)議僵尸網(wǎng)絡(luò)，劫持木馬，蠕蟲病毒，網(wǎng)頁篡改，網(wǎng)站后門攻擊，遠控木馬等。高等院校使用的機房流動性大，病毒傳播途徑廣，病毒的傳播危害更大。例如，通過電子郵件、U盤、網(wǎng)站等傳播[2]。機房的用戶在進行未知郵件下載時不進行安全檢測就下載打開，導致惡意軟件植入；學生個人U盤攜帶病毒，有些機房未安裝殺毒軟件，易感染機房的主機，從而影響到整個校園網(wǎng)的安全運行。

2.3 高校網(wǎng)絡(luò)內(nèi)部的不穩(wěn)定因素

高校內(nèi)網(wǎng)使用的主體為學生用戶，學生具有探索心理，加之對于網(wǎng)絡(luò)安全宣傳理念的薄弱，他們可能會嘗試從網(wǎng)絡(luò)上學習攻擊方法，從網(wǎng)絡(luò)上下載攻擊工具進行攻擊，造成校園網(wǎng)絡(luò)服務(wù)器異常。例如，使用國外的端口掃描工具、一句話木馬等，對被保護的文件進行非授權(quán)的讀、寫操作；對網(wǎng)絡(luò)端口進行掃描。此類行為給校園網(wǎng)帶來一定負擔，造成一定的危害。

2.4 校園網(wǎng)外部入侵及破壞性攻擊

在一些黑客論壇中，網(wǎng)絡(luò)攻擊的工具繁多，且操作簡單及附有教程學習，任何人都可以通過網(wǎng)絡(luò)下載。對于一些沒有相關(guān)的專業(yè)技術(shù)的人員，同樣可以利用這些工具對網(wǎng)絡(luò)中的設(shè)備進行攻擊。其次，一些網(wǎng)絡(luò)黑客，常常編寫病毒，獲取暴利，例如勒索病毒。

2.5 垃圾危害信息的傳播

垃圾郵件主要是一些彈窗廣告、商業(yè)宣傳、個人網(wǎng)站推薦等信息。垃圾郵件可分為良性和惡性的。良性垃圾郵件只是單純地傳播信息，對于用戶本身來說影響不大。垃圾郵件則有一定的破壞作用，如：郵件附帶木馬程序，破壞接收方操作系統(tǒng)，盜取用戶信息等。有些垃圾郵件為了快速廣泛傳播垃圾郵件，常使用多臺機器，同時訪問郵件接收服務(wù)器，利用簡單的DDoS攻擊，導致郵件服務(wù)器資源上限，干擾郵件服務(wù)器正常接收。在信息交換的今天，校園網(wǎng)與互聯(lián)網(wǎng)資源是共享的?；ヂ?lián)網(wǎng)上存在很多有關(guān)色情、暴力、賭博等不健康的平臺網(wǎng)站。這些網(wǎng)站的言論是違反道德標準和國家規(guī)定的，有些甚至是違法的。如果對這些網(wǎng)站網(wǎng)址不加過濾而進入校園網(wǎng)內(nèi)部，對學生的成長是不利的。為此，要限制不良網(wǎng)站的訪問，加強相應(yīng)的安全措施。

3 校園網(wǎng)絡(luò)安全問題防護工作的方案

3.1 校園網(wǎng)絡(luò)系統(tǒng)安全策略設(shè)計

高校校園網(wǎng)安全策略需要從這幾個方面著手，網(wǎng)絡(luò)管理的隔離層面、對網(wǎng)絡(luò)實時監(jiān)控層面、網(wǎng)絡(luò)管理應(yīng)對方案、網(wǎng)絡(luò)系統(tǒng)漏洞修補手段、熱點學生端認證技術(shù)等[4]。

（1）使用高校操作系統(tǒng)的安全注意

平時工作中，機房管理員沒有做好安全防范措施，就安裝和配置操作系統(tǒng)，導致病毒進入操作系統(tǒng)，在系統(tǒng)安裝結(jié)束后，也未能發(fā)現(xiàn)，影響網(wǎng)絡(luò)安全。同時，由于系統(tǒng)存在安全漏洞，還給外來攻擊者留下后門。高校為方便學習交流，都會開設(shè)相應(yīng)的應(yīng)用服務(wù)，這些服務(wù)的安全問題都要注意。

（2）高校網(wǎng)絡(luò)病毒防范策略

在中心機房網(wǎng)絡(luò)區(qū)域布控防病毒軟件。對該區(qū)域進行重點監(jiān)控掃描，安裝360安全軟件，分區(qū)域進行管理。設(shè)置系統(tǒng)開機或關(guān)機狀態(tài)進行殺毒檢測[4]。對公共機房、實驗室等計算機終端機，設(shè)置還原系統(tǒng)，可以采用鏡像分發(fā)來減少計算機病毒傳播的風險，對特定區(qū)域封閉傳輸媒介的傳輸接口。

3.2 設(shè)備安全防護策略

計算機系統(tǒng)實體定期護理。保證相關(guān)周圍環(huán)境安全，免受自然或人為破壞。優(yōu)化儲存及儲存渠道，防止資料外泄。同時，高?？梢詣?chuàng)建具備保護性的中心機房，將相關(guān)重要設(shè)備放置于中。做好機房數(shù)據(jù)備份，以便遇到突發(fā)事件時能及時恢復(fù)數(shù)據(jù)，恢復(fù)正常。

3.3 網(wǎng)絡(luò)安全技術(shù)策略

身份認證技術(shù)。用特定口令、用戶信息、用戶某種特征來識別用戶的身份，確保符合條件的用戶通過訪問相應(yīng)的網(wǎng)絡(luò)資源。

防病毒技術(shù)。定期病毒查殺工作，對于高校，在重要網(wǎng)絡(luò)主機中安裝殺毒軟件（360，小紅傘，卡巴斯基等），并定期對軟件進行更新。

防火墻技術(shù)。對流量數(shù)據(jù)按照防火墻的安全策略進行過濾，把屬于破壞性、不符合規(guī)則的數(shù)據(jù)流量攔截在外。

文件加密及數(shù)字簽名技術(shù)。文件加密來保護文件的安全性，防止重要數(shù)據(jù)的竊取與丟失。數(shù)字簽名技術(shù)用來驗證發(fā)送方身份，實現(xiàn)數(shù)據(jù)的檢驗完整[2]。

3.4 網(wǎng)絡(luò)管理制度完善策略

對高校機房管理員提高要求，對網(wǎng)絡(luò)信息化建設(shè)與運維工作做出合理規(guī)劃。對專業(yè)技術(shù)人員進行系統(tǒng)化教學，落實網(wǎng)絡(luò)安全責任制度。制定相關(guān)的應(yīng)急處理機制[1]。

4 總結(jié)語

雖然現(xiàn)階段高校網(wǎng)絡(luò)的發(fā)展方便了工作與學習，提升了辦公效率和學習途徑，但也給網(wǎng)絡(luò)安全性帶來很多問題，若不加重視和提高防范，將帶來嚴重的教學、科研損失。高校師生要提高安全意識，做好基本的計算機規(guī)范，機房管理員維護好安全策略。同時，高校要強化網(wǎng)絡(luò)安全的教育，可以多舉行網(wǎng)絡(luò)安全教育報告會，知識競賽。此外，可以針對不同專業(yè)的學生，開設(shè)不同程度的網(wǎng)絡(luò)知識課程，使學生了解網(wǎng)絡(luò)安全的重要，增強自我保護信息理念[3]。

[1]莫民，曹璞.等保2.0下高職院校智慧校園網(wǎng)絡(luò)安全體系建設(shè)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021.

[2]隋慶茹，劉曉彥.淺析高校網(wǎng)絡(luò)安全現(xiàn)狀及防護措施[J].中國管理信息化，2020.

[3]閆思瑾.高校計算機網(wǎng)絡(luò)信息管理安全防護問題與策略[J].數(shù)字技術(shù)與應(yīng)用，2021．

[4]夏可為. 高校校園網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計方案及論述[J].信息通信，2020.