[摘要]隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大以及應(yīng)用的不斷深入，校園網(wǎng)中的安全問題也逐步暴露出來。本文介紹了校園網(wǎng)安全方面的有關(guān)知識(shí)，對(duì)校園網(wǎng)安全方面存在的漏洞進(jìn)行了分析，并針對(duì)這些漏洞提出了檢測(cè)與監(jiān)控系統(tǒng)方案。

[關(guān)鍵詞]校園網(wǎng) 網(wǎng)絡(luò)安全 檢測(cè) 監(jiān)控

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展以及我國(guó)教育信息化的推進(jìn)，校園網(wǎng)得到了空前的發(fā)展。校園網(wǎng)是學(xué)校信息化建設(shè)的基礎(chǔ)設(shè)施，也是學(xué)校實(shí)現(xiàn)信息化的一個(gè)重要平臺(tái)，在教學(xué)支持服務(wù)、教學(xué)教務(wù)管理、行政管理和校內(nèi)外信息溝通等方面起著舉足輕重的作用。老師和學(xué)生利用計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行工作、學(xué)習(xí)、交流，改變了傳統(tǒng)的教學(xué)方式和學(xué)習(xí)方式，極大地提高了教學(xué)質(zhì)量和學(xué)習(xí)效率。然而資源共享和信息安全一直作為一對(duì)矛盾體而存在著，隨著計(jì)算機(jī)網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)，信息安全問題也日益突出。

一、校園網(wǎng)安全問題分析

據(jù)美國(guó) FBI 統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全球平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)入侵事件。近年來大規(guī)模的網(wǎng)絡(luò)安全事件接連發(fā)生，如最近大規(guī)模爆發(fā)的“熊貓燒香”病毒，2003年讓人“談虎色變”的“沖擊波”病毒，2004年的一種叫“My Doom”的新型蠕蟲病毒，2000年2月和2005年夏天的大規(guī)模拒絕服務(wù)攻擊等等。同時(shí)，互聯(lián)網(wǎng)上病毒、蠕蟲程序、木馬程序、拒絕服務(wù)攻擊、網(wǎng)絡(luò)欺詐等新的攻擊手段越來越多，導(dǎo)致數(shù)據(jù)泄密、硬件損壞等事件屢屢發(fā)生，甚至導(dǎo)致世界性的互聯(lián)網(wǎng)癱瘓，造成軍事、經(jīng)濟(jì)等各方面無法估計(jì)的損失。

校園網(wǎng)與Internet相連，在享受Internet方便快捷的同時(shí)，也面臨著遭遇全球范圍攻擊的風(fēng)險(xiǎn)。另外由于校園網(wǎng)內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，來自內(nèi)部的安全威脅更大一些?，F(xiàn)在，黑客攻擊工具在網(wǎng)上泛濫成災(zāi)，而個(gè)別學(xué)生的心理特點(diǎn)決定了其利用這些工具進(jìn)行攻擊的可能性。目前使用的操作系統(tǒng)或多或少地存在安全漏洞，本身系統(tǒng)的漏洞、瀏覽器的漏洞、IIS的漏洞、服務(wù)安全漏洞、Unix自身的病毒等等，這些都對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅。

1.軟件系統(tǒng)存在安全漏洞

一方面，使用協(xié)議本身存在安全漏洞。校園網(wǎng)大多是利用Internet技術(shù)構(gòu)建的，Internet構(gòu)建初期是完全非贏利性的信息共享載體，只為小范圍研究人員提供服務(wù)的，網(wǎng)絡(luò)的共享性和開放性決定網(wǎng)上信息安全存在先天不足。許多的網(wǎng)絡(luò)協(xié)議和應(yīng)用都沒有提供必要的安全服務(wù)，比如電子郵件使用的SMTP協(xié)議沒有提供認(rèn)證機(jī)制，導(dǎo)致垃圾郵件泛濫。再如其賴以生存的TCP/IP協(xié)議，TCP/IP協(xié)議是通用的協(xié)議，各種硬件和軟件平臺(tái)的計(jì)算機(jī)系統(tǒng)都可以通過各種方式介入進(jìn)來，缺乏相應(yīng)的安全機(jī)制。在設(shè)計(jì)上，幾乎所有的Internet協(xié)議都沒有考慮安全機(jī)制，它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面都存在著不適應(yīng)性。

另一方面，軟件的設(shè)計(jì)不可能完美無缺，理論上來講，任何一個(gè)系統(tǒng)都會(huì)在一定程度上存在著安全漏洞，特別是操作系統(tǒng)。因?yàn)檫@些軟件一般都比較復(fù)雜、龐大，有時(shí)會(huì)因?yàn)槌绦騿T的疏忽或軟件設(shè)計(jì)上的失誤而留下一些漏洞。我們常用的操作系統(tǒng)，無論是WINDOWS還是UNIX，LINUX幾乎都有不同程度的已知和未知的錯(cuò)誤、漏洞，眾多的服務(wù)器、瀏覽器、一些桌面軟件等也存在著安全隱患。

2.病毒的侵害

在校園網(wǎng)中的用戶眾多中，許多用戶每天都要通過校園網(wǎng)訪問Internet，而當(dāng)今Internet上的許多的資源都暗藏病毒。如果某個(gè)用戶的計(jì)算機(jī)上沒有安裝防病毒系統(tǒng)，那么該計(jì)算機(jī)就極易感染病毒。從病毒發(fā)展趨勢(shì)來看，現(xiàn)在的病毒已經(jīng)由單一傳播、單種行為，變成依賴互聯(lián)網(wǎng)傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計(jì)算機(jī)病毒更多地呈現(xiàn)出如下的特點(diǎn)：與Internet和 Intranet更加緊密地結(jié)合，利用一切可以利用的方式(如郵件、局域網(wǎng)、遠(yuǎn)程管理、即時(shí)通信工具等)進(jìn)行傳播；大部分病毒都具有混合型特征，集文件傳染、蠕蟲、木馬、黑客程序的特點(diǎn)于一身，破壞性大大增強(qiáng)；因?yàn)槠鋽U(kuò)散極快，不再追求隱藏性，而更加注重欺騙性；利用系統(tǒng)漏洞將成為病毒有力的傳播方法。

3.網(wǎng)絡(luò)攻擊

Internet是一個(gè)開放的網(wǎng)絡(luò)，計(jì)算機(jī)可以通過各種網(wǎng)絡(luò)設(shè)備接入Internet，如果對(duì)網(wǎng)絡(luò)訪問不加限制，那么Internet上所有的網(wǎng)絡(luò)資源都可以被任意訪問。從校園網(wǎng)的安全角度考慮，對(duì)于任何一個(gè)Internet用戶都有必要加以防范，因?yàn)槿魏我粋€(gè)用戶都有可能是校園網(wǎng)的被攻擊者。攻擊者通過設(shè)置特洛伊木馬、WWW欺騙、端口掃描等方法對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，一旦攻擊成功，將對(duì)學(xué)校的數(shù)據(jù)造成極大的威脅。比如一些黑客入侵學(xué)校的Web服務(wù)器，篡改學(xué)校的主頁以損壞學(xué)校形象，或?qū)W(xué)校Web服務(wù)器發(fā)送大量的攻擊數(shù)據(jù)包，導(dǎo)致學(xué)校的主頁難以訪問。網(wǎng)絡(luò)攻擊不僅來自于外部，還可能來自校園網(wǎng)內(nèi)部。這是因?yàn)樾@網(wǎng)內(nèi)部的用戶對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)更加熟悉，同時(shí)校園網(wǎng)用戶中絕大部分是具有較高知識(shí)水平的大學(xué)生群體，在學(xué)生中不乏計(jì)算機(jī)應(yīng)用高手(特別是計(jì)算機(jī)專業(yè)的學(xué)生)，由于對(duì)網(wǎng)絡(luò)攻擊的巨大的好奇心和渴望攻擊成功的心理，使他們把校園網(wǎng)絡(luò)當(dāng)作網(wǎng)絡(luò)攻擊的試驗(yàn)場(chǎng)地，而這種不安全因素對(duì)校園網(wǎng)的破壞力往往更大。

4.管理上的欠缺

網(wǎng)絡(luò)的整體安全僅從技術(shù)和設(shè)備入手是不夠的，還應(yīng)該有一套對(duì)工作人員行之有效的管理制度，尤其要加強(qiáng)對(duì)內(nèi)部人員的管理和約束。這是因?yàn)閮?nèi)部人員對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)、模式都比較了解，若不加強(qiáng)管理，一旦有人出于某種目的破壞網(wǎng)絡(luò)，后果將不堪設(shè)想。然而，目前國(guó)內(nèi)的高校中還很少有學(xué)校具備完善的校園網(wǎng)管理制度。同時(shí)，在對(duì)設(shè)備的操作方面也應(yīng)設(shè)立相應(yīng)的操作規(guī)范。如沒有規(guī)范的操作，把交換機(jī)的密碼設(shè)置得過于簡(jiǎn)單；或者允許用戶從任何地點(diǎn)登陸核心交換機(jī)，諸如此類的問題都會(huì)給網(wǎng)絡(luò)的安全帶來巨大的隱患。在對(duì)用戶的管理方面，目前很多學(xué)校還沒有建立起一套行之有效的校園網(wǎng)用戶管理方法。有的學(xué)校即使有用戶上網(wǎng)守則，但也沒有相應(yīng)的監(jiān)控措施，這也就難以取得違規(guī)用戶的行為證據(jù)。這些都是管理上的缺陷。

二、校園網(wǎng)安全檢測(cè)監(jiān)控與實(shí)施

1.漏洞掃描系統(tǒng)

解決網(wǎng)絡(luò)中安全問題，首先防止某些水平較高的黑客發(fā)現(xiàn)服務(wù)器中存在的安全隱患、脆弱點(diǎn)，為了防止其行為被發(fā)現(xiàn)、監(jiān)聽，將檢測(cè)計(jì)算機(jī)也破壞掉。

解決的方案是，不允許任何賬號(hào)的遠(yuǎn)程登陸。并且采用目前最先進(jìn)的漏洞掃描系統(tǒng)(如天鏡漏洞掃描系統(tǒng))定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，來彌補(bǔ)防火墻的局限性與脆弱性。漏洞檢測(cè)和安全風(fēng)險(xiǎn)評(píng)估技術(shù)，因其可預(yù)知主體受攻擊的可能性和具體的指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應(yīng)用可幫助識(shí)別檢測(cè)對(duì)象的系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評(píng)估所有存在的安全風(fēng)險(xiǎn)。它包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測(cè)，報(bào)告服務(wù)進(jìn)程，提取對(duì)象信息，以及評(píng)測(cè)風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。

2.網(wǎng)絡(luò)防病毒系統(tǒng)

在非網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的防殺一般都是靠單機(jī)版的殺毒軟件來完成，但在校園網(wǎng)環(huán)境下單機(jī)版的殺毒軟件已經(jīng)無法適應(yīng)網(wǎng)絡(luò)病毒的防殺要求。這是因?yàn)閱螜C(jī)版的殺毒軟件只能防殺本地計(jì)算機(jī)中的病毒，且單機(jī)版的殺毒軟件各自為政，在病毒庫(kù)的升級(jí)以及病毒的統(tǒng)一防殺方面很難做到協(xié)調(diào)一致。

要有效地防范網(wǎng)絡(luò)病毒，可以采用集中式病毒防殺系統(tǒng)。該系統(tǒng)包括了服務(wù)器端和客戶端兩個(gè)模塊。首先在校園網(wǎng)上建立一個(gè)防病毒服務(wù)器，即系統(tǒng)的控制中心，然后采用客戶端安裝或網(wǎng)絡(luò)分發(fā)的方式將客戶端軟件安裝到每個(gè)工作站上，并設(shè)置每個(gè)工作站接受服務(wù)器的管理。管理員只需利用控制臺(tái)軟件就能對(duì)聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行統(tǒng)一的病毒清除，從而能有效地控制校園病毒的爆發(fā)。如果有新病毒庫(kù)發(fā)布，只需對(duì)服務(wù)器上的病毒庫(kù)更新，客戶端就會(huì)自動(dòng)到服務(wù)器上下載并更新病毒庫(kù)。集中式病毒防殺系統(tǒng)因它的病毒庫(kù)更新及時(shí)方便、防殺行動(dòng)統(tǒng)一徹底、系統(tǒng)穩(wěn)定可靠、用戶參與少等優(yōu)點(diǎn)成為了校園網(wǎng)的病毒防治中最有效的措施之一。

3.入侵檢測(cè)系統(tǒng)

入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。

在校園網(wǎng)中采用入侵檢測(cè)技術(shù)，最好采用混合入侵檢測(cè)，需要從兩方面來著手——基于網(wǎng)絡(luò)的入侵檢測(cè)和基于主機(jī)的入侵檢測(cè)。(1)以我校校園網(wǎng)為例分為多個(gè)網(wǎng)段，基于網(wǎng)絡(luò)的入侵檢測(cè)一般只針對(duì)它直接連接網(wǎng)段的通信，不檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包，因此，在校園網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品。不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與入侵檢測(cè)系統(tǒng)中的某些規(guī)則吻合，則入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)或者直接切斷網(wǎng)絡(luò)的連接，(2) 根據(jù)學(xué)校網(wǎng)絡(luò)的特點(diǎn)，采用瑞星檢測(cè)系統(tǒng)RIDS-100，對(duì)來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各處行為進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖，并采取的相應(yīng)措施。具體部署：將RIDS-100入侵檢測(cè)引擎接入，Cisco Catalyst 8540中心交換機(jī)上。RIDS-100入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲網(wǎng)與網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分折的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分折的依據(jù)。

4.訪問控制

訪問控制是對(duì)訪問者及訪問過程的一種權(quán)限授予。訪問控制在鑒別機(jī)制提供的信息基礎(chǔ)上，對(duì)內(nèi)部文件和數(shù)據(jù)庫(kù)的安全屬性和共享程度進(jìn)行設(shè)置，對(duì)用戶的使用權(quán)限進(jìn)行劃分。對(duì)用戶的訪問控制可在網(wǎng)絡(luò)層和信息層兩個(gè)層次進(jìn)行，即在用戶進(jìn)入網(wǎng)絡(luò)和訪問數(shù)據(jù)庫(kù)或服務(wù)器時(shí)，對(duì)用戶身份分別進(jìn)行驗(yàn)證。驗(yàn)證機(jī)制為：在網(wǎng)絡(luò)層采用國(guó)際通用的分布式認(rèn)證協(xié)議——RADIUS，對(duì)用戶的授權(quán)在接入服務(wù)器 NAS上完成；在NAS上通過 Filter 的方式限制訪問：在信息層采用 Cookie 機(jī)制，配合數(shù)字簽名技術(shù)，保證系統(tǒng)的安全性。當(dāng)師生訪問文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)管理員應(yīng)給文件、目錄和網(wǎng)絡(luò)設(shè)備等指定訪問屬性，安全的訪問屬性可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來，從而達(dá)到保護(hù)文件、目錄和網(wǎng)絡(luò)設(shè)備的目的。網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問，對(duì)非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警，以引起網(wǎng)絡(luò)管理員的注意。網(wǎng)絡(luò)管理員還需要建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫(kù)，對(duì)系統(tǒng)日志進(jìn)行嚴(yán)格管理。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該賬戶將被自動(dòng)鎖定。定時(shí)對(duì)校園網(wǎng)系統(tǒng)的安全狀況做出評(píng)估和審核，關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài)，調(diào)整相關(guān)安全設(shè)置，進(jìn)行入侵防范，發(fā)出安全公告，緊急修復(fù)系統(tǒng)。

5.人員的教育培訓(xùn)

常言道：“三分技術(shù)，七分管理。”在信息安全體系中，人是最重要的因素。尤其在高校校園網(wǎng)的使用群體中，用戶的技術(shù)水平相對(duì)較高，思想相對(duì)較活躍，進(jìn)行破壞信息安全的各方面環(huán)境條件也較好，所以對(duì)人員的教育培訓(xùn)顯得尤為重要。要制定一套完善的校園網(wǎng)絡(luò)管理模式，制定詳細(xì)的網(wǎng)絡(luò)安全管理制度，如機(jī)房管理制度，病毒防范制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行。

一方面要提高全員的信息安全意識(shí)和信息安全防范的技能，另一方面要加強(qiáng)對(duì)潛在的破壞人群的思想教育，讓他們學(xué)習(xí)掌握安全法規(guī)，知道什么事可為什么事不可為。我們匯編了校園網(wǎng)絡(luò)安全有關(guān)的法律法規(guī)文件，并廣泛地進(jìn)行了宣傳教育和培訓(xùn)。我們的研究和實(shí)踐實(shí)施，經(jīng)過了長(zhǎng)時(shí)間的考驗(yàn)證明了是合理有效的。通過實(shí)踐我們還發(fā)現(xiàn)，校園網(wǎng)信息系統(tǒng)安全問題不能被動(dòng)地應(yīng)付，必須高瞻遠(yuǎn)矚，主動(dòng)防御，從基礎(chǔ)設(shè)施、技術(shù)、管理、人員等多方面系統(tǒng)地考慮部署，才可能從容地面對(duì)各種各樣的潛在的威脅。

三、結(jié)語

校園網(wǎng)安全需要我們以防火墻、數(shù)據(jù)加密、授權(quán)認(rèn)證等安全技術(shù)為手段，并且不斷學(xué)習(xí)最新的網(wǎng)絡(luò)技術(shù)，完善我們的檢測(cè)監(jiān)控系統(tǒng)，同時(shí)還必須有完善的安全管理規(guī)章制度和專門管理人才，才能有效地實(shí)現(xiàn)校園網(wǎng)絡(luò)安全、可靠、穩(wěn)定地運(yùn)行，使大家有一個(gè)更好的網(wǎng)絡(luò)學(xué)習(xí)環(huán)境。

參考文獻(xiàn)：

[1]肖軍模等.網(wǎng)絡(luò)信息安全[M].北京：機(jī)械工業(yè)出版社.2006.

[2]李亞恒，唐毅.網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)[J].計(jì)算機(jī)工程.2001，23(4).

[3]鮑友仲.網(wǎng)絡(luò)安全之防黑秘訣[M].北京：電子工業(yè)出版社.2002.

[4]戴宗坤，羅萬伯.信息系統(tǒng)安全[M].北京電子工業(yè)出版社.2002.

[5]潘瑜等.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：科學(xué)出版社.2006.

(作者單位：湖北荊楚理工學(xué)院)