摘要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)絡(luò)安全問題日益突出，本文簡要介紹了威脅網(wǎng)絡(luò)安全的因素以及相應(yīng)的對策。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)19-30026-02

On Campus Network Security Problems and Countermeasures

LIU Geng-biao

(Guangdong Construction Vocational Technology Institute，Guangzhou 510450， China)

Abstract: With the development of network technology，the problem of campus network security is becoming more and more serious. This article briefly introduces the facts that threatened network security and settling methods of campus network

Key words: Campus Network；Network Security

1 引言

校園網(wǎng)是校內(nèi)外信息發(fā)布和交流的窗口，也是高職院校教學(xué)、行政管理和科研不可缺少的重要基礎(chǔ)設(shè)施。隨著校園網(wǎng)規(guī)模的逐漸擴(kuò)大和各種應(yīng)用的深入進(jìn)行，網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜。行政管理、圖書資料管理、資源信息等局域網(wǎng)應(yīng)用逐步加大；通過與教育網(wǎng)的互聯(lián)，實(shí)現(xiàn)教育資源的信息共享；通過與Internet的連接，為學(xué)校的教學(xué)管理、日常辦公、內(nèi)外交流等各種應(yīng)用提供全面有力的支持。但是，各種問題也隨之出現(xiàn)了，網(wǎng)絡(luò)系統(tǒng)在運(yùn)行中會網(wǎng)絡(luò)性能下降、不時遭受計(jì)算機(jī)病毒的滋擾、網(wǎng)絡(luò)攻擊等問題，影響了校園網(wǎng)的正常使用。

2 校園網(wǎng)絡(luò)安全方面存在的問題

2.1 網(wǎng)絡(luò)硬件安全問題

網(wǎng)絡(luò)硬件安全是一個常見的問題，其中一個主要問題是網(wǎng)絡(luò)設(shè)備遭受雷擊，雷雨天氣時，即使關(guān)閉電腦，如果網(wǎng)絡(luò)線沒拔出，打雷的時候也有可能燒壞主版、網(wǎng)卡和所連接的交換機(jī)端口，造成電腦和樓宇交換機(jī)等設(shè)備的損壞等。

另一個主要問題是戶外光纜容易遭受其他施工時意外破壞。

2.2 網(wǎng)絡(luò)服務(wù)器安全問題

目前校園網(wǎng)中網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)主要有Windows 2000/2003、Linux、UNIX等，這些操作系統(tǒng)存在程度不同的安全漏洞，安全風(fēng)險級別不同，都在某種程度上對網(wǎng)絡(luò)安全構(gòu)成了威脅。例如隨著Windows 2000/2003的普及使用以及自身設(shè)計(jì)的原因，它成為主流網(wǎng)絡(luò)操作系統(tǒng)中安全級別最低的系統(tǒng)：包括自身系統(tǒng)設(shè)計(jì)缺陷、瀏覽器存在的漏洞、IIS漏洞、病毒發(fā)作主要對象等；雖說UNIX安全性較高，但還是存在某方面的系統(tǒng)漏洞，高級黑客還是能對其進(jìn)行攻擊，包括RIP路由轉(zhuǎn)移、服務(wù)安全漏洞、病毒等。

2.3 網(wǎng)絡(luò)互聯(lián)設(shè)備配置問題

網(wǎng)絡(luò)互聯(lián)設(shè)備，特別是防火墻和路由器的配置關(guān)系到整個網(wǎng)絡(luò)是否安全可靠的全局性問題，網(wǎng)絡(luò)管理員必須非常慎重來配置相關(guān)的ACL(訪問控制列表)以及其他的安全策略。往往發(fā)生全局性的安全問題，和防火墻和路由器的安全策略配置不合理是有著直接的關(guān)系。

2.4 網(wǎng)絡(luò)病毒傳播問題

計(jì)算機(jī)病毒問題，是一個常見網(wǎng)絡(luò)安全問題，也是計(jì)算機(jī)網(wǎng)絡(luò)世界里的一個永恒問題。早在幾年前，國家計(jì)算機(jī)病毒應(yīng)急處理中心流行病毒分析報(bào)告就已經(jīng)指出，網(wǎng)絡(luò)共享已經(jīng)成為病毒傳播的一個重要途徑，越來越多的病毒運(yùn)用這種手段進(jìn)行傳播。有些病毒還能使用弱密碼攻擊的方法進(jìn)行攻擊，因此建議用戶關(guān)閉一切不必要的共享，最好還要給共享設(shè)置健壯的密碼，不給病毒有可乘之機(jī)。

特別是在學(xué)校網(wǎng)絡(luò)或者是電腦室機(jī)房網(wǎng)絡(luò)中包括學(xué)生宿舍之間的網(wǎng)絡(luò)，這種病毒的清除存在一定的難度。在病毒的清除過程中，局域網(wǎng)中只要還有一臺機(jī)器的病毒沒被徹底清除，又或者沒有及時修補(bǔ)漏洞、更新殺毒軟件，病毒便又有機(jī)會入侵，很有可能再次感染整個網(wǎng)絡(luò)，很多電腦機(jī)房網(wǎng)絡(luò)都遇到過這種重復(fù)感染的現(xiàn)象，如熊貓燒香病毒，因此在同步升級和殺毒的同時，還要確保每臺機(jī)器都被同步處理過。

2.5 黑客入侵攻擊問題

隨著網(wǎng)絡(luò)在快速發(fā)展和普及，越來越多的人使用網(wǎng)絡(luò)并掌握一定的網(wǎng)絡(luò)技術(shù)，特別是現(xiàn)在在網(wǎng)絡(luò)上提供了大量的傻瓜化的黑客入侵攻擊軟件，人們可以很方便的下載并使用這種工具軟件對網(wǎng)絡(luò)實(shí)施攻擊。

黑客入侵攻擊一般分兩種情況：外部網(wǎng)絡(luò)攻擊和內(nèi)網(wǎng)攻擊。根據(jù)有關(guān)方面的數(shù)據(jù)統(tǒng)計(jì)分析顯示，內(nèi)部網(wǎng)絡(luò)攻擊的安全事件越來越多，占了網(wǎng)絡(luò)安全事件的大部分。總體上看，黑客入侵攻擊問題日益突出。

2.6 網(wǎng)絡(luò)性能問題

隨著網(wǎng)絡(luò)應(yīng)用和內(nèi)容的發(fā)展和擴(kuò)張，眾多業(yè)務(wù)對網(wǎng)絡(luò)基礎(chǔ)帶寬的需求迅速增長，特別是基于P2P技術(shù)的眾多應(yīng)用的大量使用，這將使得網(wǎng)絡(luò)容量需求與網(wǎng)絡(luò)帶寬之間的矛盾日益突出。最直接的影響就是網(wǎng)絡(luò)性能下降，主要表現(xiàn)為網(wǎng)絡(luò)通信速度下降，例如對校外部網(wǎng)絡(luò)站訪問或其它服務(wù)速度明顯緩慢。當(dāng)然引起網(wǎng)絡(luò)性能下降的因素可能是多種多樣的。但其中一個重要因素就是校園里面存在諸如BT等大量網(wǎng)絡(luò)下載所導(dǎo)致的。

3 校園網(wǎng)絡(luò)安全對策

3.1 網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)應(yīng)合理

這里主要想針對網(wǎng)絡(luò)硬件的安全提出對策，防雷擊方面的措施。目前可以采用安裝網(wǎng)絡(luò)防雷系統(tǒng)。該系統(tǒng)分為電源防雷器和信號防雷器，分別保護(hù)網(wǎng)絡(luò)電源和網(wǎng)絡(luò)信號系統(tǒng)，安裝在需要保護(hù)設(shè)備的前端部位，可以將雷擊或雷擊感應(yīng)的電流由此前端被釋放到地，并將過電壓限制在設(shè)備可以承受的范圍之內(nèi)，從而起到保護(hù)網(wǎng)絡(luò)設(shè)備和網(wǎng)上設(shè)備的目的。

另一個問題是防止戶外光纖或其他網(wǎng)絡(luò)通信線纜被意外挖斷，主要的措施可以采取線纜深埋地下，并且在地面上做好相關(guān)的標(biāo)記說明，同時在學(xué)校的建筑規(guī)劃圖紙上也作相應(yīng)的標(biāo)注?？梢员苊獯祟愐馔馐录陌l(fā)生。

3.2 及時更新系統(tǒng)，優(yōu)化系統(tǒng)配置

首先，針對目前主流網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的系統(tǒng)漏洞，我們可以采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報(bào)告。及時更新系統(tǒng)，如打上系統(tǒng)補(bǔ)丁、及時更新殺毒軟件。

其次，對每個網(wǎng)絡(luò)用戶設(shè)置相應(yīng)的權(quán)限，并應(yīng)用策略要求每個網(wǎng)絡(luò)用戶設(shè)置較為健壯的用戶口令。防止網(wǎng)絡(luò)用戶擁有過大的系統(tǒng)權(quán)利，造成入侵或過失操作。

再有，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)。原因很簡單，開放越多的網(wǎng)絡(luò)服務(wù)，就意味著更大的機(jī)會存在漏洞，更不安全。

3.3 合理配置互聯(lián)設(shè)備

首先，在Internet與校園網(wǎng)內(nèi)網(wǎng)之間通常都要部署防火墻，以便在內(nèi)外部網(wǎng)絡(luò)之間建立一道牢固的安全屏障。其中FTP、WWW、DNS、E-mail服務(wù)器安置在防火墻的DMZ區(qū)（即“非軍事區(qū)”，DMZ可以阻止內(nèi)網(wǎng)和外部網(wǎng)絡(luò)直接通信，以確保內(nèi)網(wǎng)安全），與內(nèi)、外部網(wǎng)絡(luò)間進(jìn)行隔離，內(nèi)網(wǎng)接口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外部網(wǎng)絡(luò)接口通過路由器和Internet連接。這樣一來，通過Internet進(jìn)來的外部網(wǎng)絡(luò)用戶只能訪問到對外公開的一些服務(wù)（如FTP、WWW、DNS、E-mail等），既可以保護(hù)內(nèi)網(wǎng)資源不被外部網(wǎng)絡(luò)非授權(quán)用戶的非法訪問或破壞，也可以阻止內(nèi)部用戶對外部網(wǎng)絡(luò)相關(guān)資源的使用，同時還能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。

其次，在防火墻設(shè)置上我們按照下面原則來配置以提高網(wǎng)絡(luò)安全性：

(1) 根據(jù)校園網(wǎng)安全策略和目標(biāo)，規(guī)劃設(shè)置合理的安全過濾規(guī)則，審核IP數(shù)據(jù)包的內(nèi)容，包括協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自外部網(wǎng)絡(luò)的對校園內(nèi)網(wǎng)的不必要的、非法的訪問?？傇瓌t是“不被允許的服務(wù)就是被禁止”。

(2) 在防火墻上作配置，過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外的攻擊。

(3) 在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用。

(4) 定期查看防火墻訪問日志，以便及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。

3.4 防范網(wǎng)絡(luò)病毒傳播，限制影響范圍

針對這個問題，可以從多個角度來采取不同的辦法解決。首先，現(xiàn)在有這么一種解決辦法，就是在校園網(wǎng)中安裝一個安全系統(tǒng)，這個安全系統(tǒng)對所有接入校園網(wǎng)的每一臺主機(jī)作一個安全身份認(rèn)證和系統(tǒng)安全檢查，對有安全漏洞有機(jī)器，強(qiáng)制為其安裝補(bǔ)丁或更新病毒庫之后才允許接入網(wǎng)絡(luò)。目前國內(nèi)方面有銳捷網(wǎng)絡(luò)公司開發(fā)的GSN系統(tǒng)，該系統(tǒng)集自動防御（自御）、自動修復(fù)（自愈）與自動學(xué)習(xí)（自育）三大功能于一體，從而使網(wǎng)絡(luò)安全防御體系從被動防御轉(zhuǎn)向主動防御、自動修復(fù)、自動學(xué)習(xí)的安全防御體系。

其次，可以利用VLAN技術(shù)，在學(xué)校的不同網(wǎng)段或不同的宿舍、辦公室劃分VLAN，實(shí)現(xiàn)隔離。這樣做的好處是隔離廣播范圍，即如果有局域網(wǎng)機(jī)器中了網(wǎng)絡(luò)病毒，也只是被限制在本網(wǎng)段之內(nèi)，不至于擴(kuò)散到整個網(wǎng)絡(luò)。

3.5 過濾站點(diǎn)或服務(wù)，保障網(wǎng)絡(luò)性能

校園網(wǎng)里面影響網(wǎng)絡(luò)性能的一個重要因素是存在大量下載，包括BT下載，或在線觀看視頻電影等。這些都會導(dǎo)致網(wǎng)絡(luò)性能下降。相應(yīng)的解決辦法可以有：在網(wǎng)絡(luò)對外節(jié)點(diǎn)如防火墻或者路由器上作相應(yīng)的設(shè)置，屏蔽諸如BT、P2P之類的數(shù)據(jù)流量通過；也可以在校園網(wǎng)絡(luò)中心設(shè)置以流量計(jì)費(fèi)的方式，以控制學(xué)校網(wǎng)絡(luò)出口帶寬的數(shù)據(jù)流量，使得網(wǎng)絡(luò)出口帶寬負(fù)載適中，保證網(wǎng)絡(luò)通暢，網(wǎng)絡(luò)性能穩(wěn)定。

3.6 防范黑客入侵攻擊

由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來自內(nèi)部的安全威脅會更大一些。我們的安全防范措施也應(yīng)該重視內(nèi)部情況。目前常用的辦法有：部署IDS(入侵檢測系統(tǒng))。入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。強(qiáng)大的、完整的入侵檢測體系可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。根據(jù)校園網(wǎng)絡(luò)的特點(diǎn)，我們采用各種入侵檢測系統(tǒng)，入侵檢測引擎可以接入到高檔的中心交換機(jī)上，對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時檢測。目前的入侵檢測系統(tǒng)多數(shù)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時捕獲內(nèi)外部網(wǎng)絡(luò)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，IDS還可以發(fā)出實(shí)時報(bào)警，使學(xué)校管理員能夠及時采取應(yīng)對措施。

4 結(jié)束語

本文針對校園網(wǎng)環(huán)境的實(shí)際情況，分析了校園網(wǎng)絡(luò)的安全威脅的若干因素，并提出了相應(yīng)的對策；其中防火墻是目前安全技術(shù)使用最廣泛的技術(shù)，防火墻除了使用上面介紹的方案之外還可以使用其他技術(shù)加強(qiáng)校園網(wǎng)安全，同時還可以運(yùn)用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。總之，校園網(wǎng)絡(luò)的安全管理是全方位的，只有從規(guī)劃和日常管理等各個環(huán)節(jié)抓起．綜合利用各種網(wǎng)絡(luò)安全技術(shù)手段．才能有效地確保校園網(wǎng)絡(luò)安全、可靠、穩(wěn)定地運(yùn)行。

參考文獻(xiàn)：

[1] 馬駿，周君儀. 淺談校園網(wǎng)網(wǎng)絡(luò)安全及防范技術(shù). 廣西輕工業(yè).

[2] 單征. 網(wǎng)絡(luò)黑洞攻擊與防范指南. 中國電力出版社.

[3] http://www.rising.com.cn/network2006/network2006_case1.htm.