孟利霞

摘要:隨著網(wǎng)絡(luò)與信息技術(shù)的飛速發(fā)展,校園網(wǎng)在這場(chǎng)沖擊中也經(jīng)歷了不同時(shí)期的變革。校園網(wǎng)的建成,使學(xué)校的管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化,廣大師生員工對(duì)網(wǎng)絡(luò)的依賴(lài)性也越來(lái)越強(qiáng)。由于網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜化,網(wǎng)絡(luò)安全日益成為影響網(wǎng)絡(luò)性能的重要問(wèn)題。本文在分析校園網(wǎng)安全風(fēng)險(xiǎn)的基礎(chǔ)上,提出了網(wǎng)絡(luò)安全防范和校園網(wǎng)建設(shè)的對(duì)策。

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;VLAN;SSL VPN

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)22-0ppp-0c

1 引言

國(guó)內(nèi)校園網(wǎng)從1994年啟動(dòng)建立至今,大致可以劃分為三個(gè)階段:第一階段是基礎(chǔ)設(shè)施建設(shè)時(shí)期,第二階段是應(yīng)用平臺(tái)建設(shè)時(shí)期,第三階段是信息資源建設(shè)時(shí)期。逐漸豐富起來(lái)的應(yīng)用和信息資源使校園網(wǎng)在學(xué)校教學(xué)、科研和管理等方面發(fā)揮的作用日益重要,廣大師生從事教學(xué)、科研、生活和管理工作時(shí)對(duì)校園網(wǎng)依賴(lài)性也越來(lái)越高。而伴隨著數(shù)字化校園的逐步推進(jìn),網(wǎng)絡(luò)環(huán)境和應(yīng)用愈發(fā)復(fù)雜化,如何保證網(wǎng)絡(luò)的暢通和安全,網(wǎng)絡(luò)安全成了當(dāng)前校園網(wǎng)建設(shè)中關(guān)注的要點(diǎn)之一。

2 目前校園網(wǎng)中存在的安全問(wèn)題

校園網(wǎng)劃分為辦公樓、機(jī)房、學(xué)生宿舍和教師宿舍。目前校園網(wǎng)用戶(hù)面臨的安全問(wèn)題有:操作系統(tǒng)、應(yīng)用程序的安全漏洞普遍存在,蠕蟲(chóng)病毒、木馬后門(mén)軟件的廣泛傳播,新型木馬病毒的查殺對(duì)用戶(hù)要求越來(lái)越高,惡意軟件、間諜軟件對(duì)用戶(hù)的困擾,來(lái)自校園網(wǎng)內(nèi)外的大量網(wǎng)絡(luò)攻擊入侵,垃圾郵件的煩擾,用戶(hù)安全意識(shí)薄弱。

2.1 Web應(yīng)用存在的安全漏洞

SQL注入攻擊(SQL injection):這類(lèi)攻擊是Internet上最常見(jiàn)的應(yīng)用層攻擊,主要漏洞存在于用ASP,PHP,ASP.NET,JSP,CGI腳本語(yǔ)言編寫(xiě)的動(dòng)態(tài)網(wǎng)頁(yè)。Web應(yīng)用通常根據(jù)用戶(hù)輸入去訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù),如果不對(duì)用戶(hù)的輸入進(jìn)行嚴(yán)格的檢查和過(guò)濾,則黑客就可以利用動(dòng)態(tài)網(wǎng)頁(yè)與后臺(tái)數(shù)據(jù)庫(kù)之間的數(shù)據(jù)傳遞漏洞發(fā)起SQL注入攻擊。

跨站腳本攻擊[1](Cross Site Scripting):一般情況下,大多數(shù)網(wǎng)站的應(yīng)用程序都沒(méi)有檢查用戶(hù)輸入,黑客就是利用這個(gè)漏洞,把java script上傳到Web服務(wù)器,在用戶(hù)不知情的情況下,把用戶(hù)從合法網(wǎng)站轉(zhuǎn)到黑客的網(wǎng)站上,從而竊取用戶(hù)cookie,用戶(hù)名,密碼等。該漏洞可能導(dǎo)致在客戶(hù)端瀏覽器執(zhí)行任意腳本,從而導(dǎo)致泄漏敏感信息。還可能導(dǎo)致拒絕服務(wù)攻擊或者是隱藏攻擊者真實(shí)身份的代理攻擊。

網(wǎng)頁(yè)篡改攻擊(HTTP PUT Method Site Defacement):主要是由于Web服務(wù)器或應(yīng)用服務(wù)器沒(méi)有進(jìn)行正確的配置所致,Web服務(wù)器沒(méi)有禁止未經(jīng)授權(quán)的用戶(hù)以“PUT”方式上傳文件或程序代碼,致使黑客利用此漏洞篡改頁(yè)面。

2.2 病毒和蠕蟲(chóng)

校園網(wǎng)的特點(diǎn)是用戶(hù)量大、上網(wǎng)時(shí)間長(zhǎng)、在線用戶(hù)比例高,在這種高速大容量的局域網(wǎng)中,各種病毒和蠕蟲(chóng),不論新舊都容易通過(guò)不小心的用戶(hù)或有漏洞的系統(tǒng)迅速傳播擴(kuò)散,造成網(wǎng)絡(luò)阻塞甚至癱瘓。尤其是ARP病毒,病毒發(fā)作時(shí)表現(xiàn)為計(jì)算機(jī)網(wǎng)絡(luò)連接正常,卻無(wú)法打開(kāi)網(wǎng)頁(yè);或由于ARP欺騙的木馬程序發(fā)作時(shí)發(fā)出大量的欺騙性廣播包,導(dǎo)致局域網(wǎng)內(nèi)用戶(hù)上網(wǎng)不穩(wěn)定,極大地影響了用戶(hù)的正常使用,給整個(gè)校園網(wǎng)的安全也帶來(lái)了嚴(yán)重的隱患。

2.3 不良信息的傳播

目前互聯(lián)網(wǎng)上傳播的各種信息良莠不齊,有些是違反道德規(guī)范和法律法規(guī)的不良信息,這些不良信息可以通過(guò)電子郵件、網(wǎng)頁(yè)瀏覽、BBS論壇、聊天室等進(jìn)行傳播,對(duì)校園網(wǎng)的信息安全造成很大的危害。

2.4 用戶(hù)安全意識(shí)薄弱

校園網(wǎng)是以大量用戶(hù)為中心的系統(tǒng),一個(gè)合法的用戶(hù)在這個(gè)系統(tǒng)中可以執(zhí)行大多數(shù)操作。盡管網(wǎng)管人員通過(guò)訪問(wèn)控制策略等手段可以限定用戶(hù)的某些對(duì)網(wǎng)絡(luò)產(chǎn)生破壞的行為,但更多的安全措施必須由用戶(hù)自己來(lái)完成。用戶(hù)安全意識(shí)薄弱,操作不規(guī)范都是威脅校園網(wǎng)安全的主要因素。比如U盤(pán)病毒在校內(nèi)大范圍的傳播。

3 校園網(wǎng)安全策略

校園網(wǎng)是整個(gè)Internet網(wǎng)的一部分,既存在和外部通信,也存在內(nèi)部之間的通信,要降低校園網(wǎng)的安全風(fēng)險(xiǎn),就需要解決對(duì)外和對(duì)內(nèi)的安全隱患。

3.1 漏洞掃描

對(duì)網(wǎng)站安全而言,SQL注入攻擊、跨站腳本攻擊和網(wǎng)頁(yè)篡改攻擊是當(dāng)前危害最大的三大類(lèi)漏洞。根據(jù)計(jì)算機(jī)緊急響應(yīng)組(CERT)的報(bào)告,99%的網(wǎng)絡(luò)入侵都基于已知的漏洞而發(fā)生,而且這些可通過(guò)預(yù)先漏洞評(píng)估來(lái)發(fā)現(xiàn)。如果趕在攻擊發(fā)生前修補(bǔ)安全漏洞,就可有效預(yù)防或減少攻擊的發(fā)生,因此及時(shí)發(fā)現(xiàn)和修補(bǔ)漏洞是一項(xiàng)非常重要的工作。隨著安全漏洞的日益發(fā)展和復(fù)雜化,一個(gè)網(wǎng)站要修正每一個(gè)潛在的安全漏洞是不太可能的,因此發(fā)現(xiàn)并修補(bǔ)危害最大的漏洞是非常有效的。

3.2 集成化安全防御

整個(gè)校園網(wǎng)采用包括路由器、防火墻和交換機(jī)在內(nèi)的三層集成化的安全防御。邊界出口要限制校外、校內(nèi)部分訪問(wèn)請(qǐng)求;核心匯聚層要控制常見(jiàn)病毒木馬傳播;接入層要控制用戶(hù)接入,可采取802.1x認(rèn)證或IP-MAC-PORT綁定。

第一層防護(hù)由邊界路由器實(shí)現(xiàn)。學(xué)校的DNS服務(wù)器、WWW服務(wù)器和Email服務(wù)器等都位于防火墻的DMZ區(qū)[2](?；饏^(qū),即DemilitarizedZone)。為防止外部用戶(hù)對(duì)服務(wù)器進(jìn)行非法操作,必須對(duì)外部訪問(wèn)操作進(jìn)行嚴(yán)格控制。利用Cisco路由器所具有的防火墻功能,可限制外部用戶(hù)對(duì)服務(wù)器的操作。

第二層防護(hù)由防火墻保障。防火墻將校園內(nèi)部網(wǎng)和外部互聯(lián)網(wǎng)完全分開(kāi),是內(nèi)部各網(wǎng)絡(luò)子系統(tǒng)對(duì)外的唯一出口,通過(guò)隔離內(nèi)外網(wǎng)絡(luò),更進(jìn)一步保障了內(nèi)部網(wǎng)絡(luò)的安全。

第三層防護(hù)由交換機(jī)提供。核心交換機(jī)通過(guò)部署入侵檢測(cè)系統(tǒng)(IDS)和防火墻模塊,增強(qiáng)對(duì)內(nèi)部業(yè)務(wù)網(wǎng)的安全監(jiān)控。IDS和防火墻結(jié)合運(yùn)行,防火墻可通過(guò)IDS及時(shí)發(fā)現(xiàn)其策略之外的攻擊行為,IDS也可通過(guò)防火墻對(duì)來(lái)自外網(wǎng)的攻擊行為進(jìn)行阻斷,這樣就大大提高了網(wǎng)絡(luò)的整體防護(hù)性能。

3.3 VLAN劃分

VLAN[3]是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)(廣播域)。因此如果僅有一個(gè)廣播域,那么一旦發(fā)出廣播信息,就會(huì)傳遍整個(gè)網(wǎng)絡(luò),并且對(duì)網(wǎng)絡(luò)中的主機(jī)帶來(lái)額外的負(fù)擔(dān)。所以就需要將網(wǎng)絡(luò)分割成多個(gè)廣播域來(lái)提高網(wǎng)絡(luò)性能。VLAN劃分一般采用基于端口的VLAN劃分和基于路由的VLAN劃分。VLAN可以改善網(wǎng)絡(luò)的通信效率、避免廣播風(fēng)暴、使網(wǎng)絡(luò)的組織更具靈活性、網(wǎng)絡(luò)管理簡(jiǎn)單直觀,提高了網(wǎng)絡(luò)的整體安全性。

3.4 SSL VPN解決數(shù)據(jù)信息共享

要解決教師在家里可以訪問(wèn)校內(nèi)數(shù)據(jù)資源,采用SSL VPN[4]技術(shù)能夠確保這種遠(yuǎn)程接入時(shí)的安全。SSL VPN在實(shí)際應(yīng)用中就是要依據(jù)安全控制策略為分散移動(dòng)用戶(hù)提供從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)資源的安全訪問(wèn)通道。通常內(nèi)部的資源服務(wù)器向外網(wǎng)用戶(hù)提供一個(gè)虛擬的URL地址,當(dāng)用戶(hù)從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)資源時(shí),發(fā)起的連接被SSL VPN網(wǎng)關(guān)取得,通過(guò)認(rèn)證后映射到不同的應(yīng)用服務(wù)器,采用這種方式能夠屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),不易遭受來(lái)自外部的攻擊。

3.5 加強(qiáng)網(wǎng)絡(luò)安全宣傳教育

對(duì)用戶(hù)加強(qiáng)網(wǎng)絡(luò)安全法律意識(shí)教育,加強(qiáng)網(wǎng)絡(luò)知識(shí)特別是計(jì)算機(jī)病毒知識(shí)的培訓(xùn),使用戶(hù)擁有足夠的安全常識(shí)和良好的安全意識(shí)。網(wǎng)絡(luò)用戶(hù)應(yīng)基本具備的常識(shí)包括:操作系統(tǒng)及補(bǔ)丁的安裝和升級(jí)、防病毒軟件的安裝、計(jì)算機(jī)的日常使用與維護(hù)、發(fā)現(xiàn)安全問(wèn)題的及時(shí)處理辦法、流行病毒的傳播途徑等。

3.6 網(wǎng)絡(luò)管理

網(wǎng)絡(luò)安全三分技術(shù)、七分管理,安全管理貫穿于整個(gè)安全防范體系的始終。而擁有一個(gè)高度集成、功能完善、實(shí)用性強(qiáng)的網(wǎng)絡(luò)管理軟件是搞好網(wǎng)管的必要途徑?；赪eb的網(wǎng)絡(luò)管理體系融合了Web功能和網(wǎng)管技術(shù),允許網(wǎng)管人員通過(guò)任何一種瀏覽器在網(wǎng)絡(luò)的任何節(jié)點(diǎn)方便迅速地訪問(wèn)計(jì)算機(jī)網(wǎng)絡(luò)。在系統(tǒng)中可嵌入物理拓?fù)湔宫F(xiàn)與編輯,網(wǎng)絡(luò)設(shè)備負(fù)載狀況,重點(diǎn)設(shè)備通斷狀態(tài),主干設(shè)備的Ping延時(shí)、丟包率及CPU利用率、端口的入流量和出流量等模塊。通過(guò)網(wǎng)絡(luò)管理系統(tǒng),可以及時(shí)發(fā)現(xiàn)問(wèn)題,提高工作效率。

4 結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和上網(wǎng)用戶(hù)數(shù)的增多以及用戶(hù)對(duì)網(wǎng)絡(luò)了解程度的加深,網(wǎng)絡(luò)安全管理面臨的形勢(shì)會(huì)更加嚴(yán)峻。而網(wǎng)絡(luò)安全技術(shù)又是非常復(fù)雜和廣泛的,要打破“道高一尺,魔高一丈”的狀況,就需要不斷提高網(wǎng)管人員的安全意識(shí)和技術(shù),做到對(duì)軟硬件的定期檢測(cè)并及時(shí)修補(bǔ)漏洞,需要不斷加強(qiáng)網(wǎng)絡(luò)安全建設(shè),構(gòu)建對(duì)校園網(wǎng)重要服務(wù)器保護(hù)、校園網(wǎng)主機(jī)安全監(jiān)控、網(wǎng)絡(luò)病毒防范的一體化安全系統(tǒng),只有技術(shù)和管理雙管齊下,才能保證校園網(wǎng)高效可靠地運(yùn)轉(zhuǎn),從而為信息資源建設(shè)提供穩(wěn)定安全的基礎(chǔ)平臺(tái)。

參考文獻(xiàn)

[1]杜曄,范艷芳.網(wǎng)絡(luò)攻防技術(shù)教程[M].武漢大學(xué)出版社,2008.

[2]TerryWillianmOgletree著,李之棠譯.防火墻原理與實(shí)施[M].電子工業(yè)出版社,2001.

[3]彭濤.淺談校園網(wǎng)絡(luò)的安全設(shè)計(jì)與管理[J].重慶教育學(xué)院學(xué)報(bào),2007,20(3).

[4]王達(dá).虛擬專(zhuān)用網(wǎng)(VPN)精解[M]. 清華大學(xué)出版社,2004.