●楊秋田

(武警學院訓練部,河北廊坊 065000)

隨著計算機技術的飛速發(fā)展,信息及網(wǎng)絡已經(jīng)成為社會發(fā)展的重要推動因素,已經(jīng)應用到諸多領域。其中,許多涉及政府主要的決策、軍事秘密、企業(yè)生產(chǎn)經(jīng)營的商業(yè)信息以及銀行的資金轉(zhuǎn)賬、科研成果等重要信息,極具敏感性、保密性,甚至是國家、企業(yè)、科研單位的機密。這些信息特征自然吸引了來自世界各地的各種人為的攻擊,他們試圖獲取或篡改這些信息,造成了網(wǎng)絡信息的重大安全隱患。本文僅對校園網(wǎng)中的安全問題進行分析,并給出相應的對策。

一、網(wǎng)絡安全的基本概念

網(wǎng)絡安全從本質(zhì)上講就是網(wǎng)絡上的信息安全,從廣義上講,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術、理論都是網(wǎng)絡安全的范疇。

計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網(wǎng)絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外,還要考慮如何應付突發(fā)的自然災害、軍事打擊等對網(wǎng)絡硬件的破壞,以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信,保持網(wǎng)絡通信的連續(xù)性。網(wǎng)絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。

二、校園網(wǎng)絡的特點

各國的高等教育都是最早建設和應用互聯(lián)網(wǎng)技術的行業(yè)之一,中國的高校校園網(wǎng)一般都最先應用最先進的網(wǎng)絡技術,網(wǎng)絡應用普及,用戶群密集而且活躍。然而校園網(wǎng)由于自身的特點也是安全問題比較突出的地方,安全管理也更為困難。與政府或企業(yè)網(wǎng)相比,高校校園網(wǎng)具備以下特點。

(一)校園網(wǎng)的速度快、規(guī)模大。高校校園網(wǎng)是最早的寬帶網(wǎng)絡,普遍使用的以太網(wǎng)技術決定了校園網(wǎng)最初的帶寬不低于 10Mbps,目前普遍使用了百兆到桌面、千兆甚至萬兆實現(xiàn)園區(qū)主干互聯(lián)。校園網(wǎng)的用戶群體一般也比較大,少則數(shù)千人、多則數(shù)萬人。中國的高校學生一般集中住宿,因而用戶群很密集。正是由于高帶寬和大用戶量的特點,網(wǎng)絡安全問題一般蔓延快、對網(wǎng)絡的影響比較嚴重。

(二)校園網(wǎng)中的計算機系統(tǒng)管理比較復雜。校園網(wǎng)中的計算機系統(tǒng)的購置和管理情況非常復雜,比如學生宿舍中的電腦一般是學生自己花錢購買、自己維護的,有的部系是統(tǒng)一采購、有技術人員負責維護的,有些部系則是自主購買、沒有專人維護的。這種情況下要求所有的終端系統(tǒng)實施統(tǒng)一的安全政策(比如安裝防病毒軟件、設置可靠的口令)是非常困難的。由于沒有統(tǒng)一的資產(chǎn)管理和設備管理,出現(xiàn)安全問題后通常無法分清責任。比較典型的現(xiàn)象是,用戶的計算機接入校園網(wǎng)后感染病毒,反過來這臺感染病毒的計算機又影響了校園網(wǎng)的運行,于是出現(xiàn)終端系統(tǒng)用戶和網(wǎng)絡管理員相互指責的現(xiàn)象。更有些計算機甚至服務器系統(tǒng)建設完畢之后無人管理,甚至被攻擊者攻破作為攻擊的跳板、變成攻擊試驗床也無人覺察。

(三)活躍的用戶群體。高等學校的學生通常是最活躍的網(wǎng)絡用戶,對網(wǎng)絡新技術充滿好奇,勇于嘗試。如果沒有意識到后果的嚴重性,有些學生會嘗試使用網(wǎng)上學到的、甚至自己研究的各種攻擊技術,可能對網(wǎng)絡造成一定的影響和破壞。

(四)開放的網(wǎng)絡環(huán)境。由于教學和科研的特點決定了校園網(wǎng)絡環(huán)境應該是開放的、管理也是較為寬松的。比如,企業(yè)網(wǎng)可以限制允許 Web瀏覽和電子郵件的流量,甚至限制外部發(fā)起的連接不允許進入防火墻,但是在校園網(wǎng)環(huán)境下通常是行不通的,至少在校園網(wǎng)的主干不能實施過多的限制,否則一些新的應用、新的技術很難在校園網(wǎng)內(nèi)部實施。

(五)有限的投入。校園網(wǎng)的建設和管理通常都輕視了網(wǎng)絡安全,特別是管理和維護人員方面的投入明顯不足。在中國大多數(shù)的校園網(wǎng)中,通常只有網(wǎng)絡中心的少數(shù)工作人員,他們只能維護網(wǎng)絡的正常運行,無暇顧及、也沒有條件管理和維護數(shù)萬臺計算機的安全。部、系一級的專職的計算機系統(tǒng)管理員對計算機系統(tǒng)的安全是非常重要的。

(六)盜版資源泛濫。由于缺乏版權意識,盜版軟件、影視資源在校園網(wǎng)中普遍使用,這些軟件的傳播一方面占用了大量的網(wǎng)絡帶寬,另一方面也給網(wǎng)絡安全帶來了一定的隱患。比如,Microsoft公司對盜版的 XP操作系統(tǒng)的更新作了限制,盜版安裝的計算機系統(tǒng)今后會留下大量的安全漏洞。另一方面,從網(wǎng)絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統(tǒng)因此被攻擊者侵入和利用。

以上各種原因?qū)е滦@網(wǎng)既是安全隱患的發(fā)源地,也是攻擊者最容易攻破的目標。因此導致當前校園網(wǎng)常見的風險如下：

1.普遍存在的計算機系統(tǒng)的漏洞,對信息安全、系統(tǒng)的使用、網(wǎng)絡的運行構成嚴重的威脅。2.計算機蠕蟲、病毒泛濫,影響用戶的使用、影響信息安全和網(wǎng)絡運行。3.外來的系統(tǒng)入侵、攻擊等惡意破壞行為,有些計算機已經(jīng)被攻破,用作黑客攻擊的工具;拒絕服務攻擊目前越來越普遍,不少開始針對重點高校的網(wǎng)站和服務器。4.內(nèi)部用戶的攻擊行為,這些行為給校園網(wǎng)造成了不良的影響,損害了學校的聲譽。5.校園網(wǎng)內(nèi)部用戶對網(wǎng)絡資源的濫用,有的校園網(wǎng)用戶利用免費的校園網(wǎng)資源提供商業(yè)的或者免費的視頻、軟件資源下載,占用了大量的網(wǎng)絡帶寬,影響了校園網(wǎng)的應用。6.垃圾郵件、不良信息的傳播,有的利用校園網(wǎng)內(nèi)無人管理的服務器作為中轉(zhuǎn),嚴重影響學校的聲譽。

三、校園網(wǎng)最常見的攻擊及其防范對策

(一)特洛伊木馬。特洛伊木馬程序技術是黑客常用的攻擊手段。它通過電腦系統(tǒng)隱藏一個會在Windows啟動時運行的程序,采用服務器/客戶機的運行方式,從而達到在上網(wǎng)時控制你電腦的目的。

特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼,因此含有特洛伊木馬的程序在執(zhí)行時,表面上是執(zhí)行正常的程序,而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個部分,即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡中傳播的指令。特洛伊木馬具有很強的生命力,在網(wǎng)絡中當人們執(zhí)行一個含有特洛伊木馬的程序時,它能把自己插入一些未被感染的程序中,從而使它們受到感染。此類攻擊對計算機的危害極大,通過特洛伊木馬,網(wǎng)絡攻擊者可以讀寫未經(jīng)授權的文件,甚至可以獲得對被攻擊的計算機的控制權。

防止在正常程序中隱藏特洛伊木馬的主要方法是人們在生成文件時,對每一個文件進行數(shù)字簽名,而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行,運用網(wǎng)絡掃描軟件定期掃描監(jiān)測。

(二)郵件炸彈。電子郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同一地址發(fā)送電子郵件,攻擊者能夠耗盡接受者網(wǎng)絡的帶寬,占據(jù)郵箱的空間,使用戶的存儲空間消耗殆盡,從而阻止用戶對正常郵件的接收,影響計算機的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡黑客通過計算機網(wǎng)絡對某一目標的報復活動中,也經(jīng)常發(fā)現(xiàn)學生利用炸彈對校園網(wǎng)進行實驗性攻擊破壞。

防止郵件炸彈的方法主要有通過配置路由器,有選擇地接收電子郵件,對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息,也可使自己的連接只能達到指定的服務器,從而免受或少受外界郵件的侵襲。

(三)過載攻擊。過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求,使被攻擊的服務器一直處于繁忙的狀態(tài),從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊,它是通過大量地進行人為地增大 CPU的工作量,耗費 CPU的工作時間,使其它的用戶一直處于等待狀態(tài)。

防止過載攻擊的方法有：限制單個用戶所擁有的最大進程數(shù);殺死一些耗時的進程。然而,這兩種方法都存在一定的負面效應。通過對單個用戶所擁有的最大進程數(shù)的限制和耗時進程的刪除,會使用戶某些正常的請求得不到系統(tǒng)的響應,從而出現(xiàn)類似拒絕服務的現(xiàn)象。通常,管理員可以使用網(wǎng)絡監(jiān)視工具來發(fā)現(xiàn)這種攻擊,通過主機列表和網(wǎng)絡地址列表來分析問題的所在,也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡外部還是網(wǎng)絡內(nèi)部。另外,還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。

四、加強校園網(wǎng)安全的管理措施技術保障

加強校園網(wǎng)的安全管理工作需要從管理和技術兩個方面綜合考慮：

首先是加強校園網(wǎng)安全管理政策建設,制定網(wǎng)絡信息安全管理規(guī)定。依據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》建立健全各種安全機制、各種網(wǎng)絡安全制度,加強網(wǎng)絡安全教育和培訓。網(wǎng)絡安全管理規(guī)定是執(zhí)行各項管理制度、技術措施的依據(jù),一定要詳盡描述校園網(wǎng)安全的目標和需求,明確規(guī)定做什么,告訴用戶哪些行為是允許的、哪些行為是不允許的,違反了這些約定將會受到怎樣的處罰。目前很多學校以安全管理規(guī)定、安全條例、安全管理辦法等形式發(fā)布,安全政策應該讓所有的校園網(wǎng)用戶知道。在國外,企業(yè)用戶一般要簽署 AUP(Access Usage Policy),對校園網(wǎng)用戶,我們也可以借鑒,無論是部系單位還是學生個人,都可以以簽署入網(wǎng)協(xié)議的形式讓用戶知道學校的安全管理政策,一方面起到提高安全意識的作用,同時明確責任和義務,便于對安全事故的處理。

目前普遍認為校園網(wǎng)安全管理工作應該由網(wǎng)絡/信息/計算中心承擔,但是事實上,安全管理工作非常復雜,可能涉及各部、系、處、隊的人員和業(yè)務,因此必須由學校具有決策權的機構和領導組織和協(xié)調(diào)各部門的管理工作,成立信息安全管理委員會和專門的辦公室。另外,安全管理各項措施的實施,單純依靠網(wǎng)絡中心的力量也是不充分的,院/系 /處/宿舍安全管理分級負責的組織體系建設仍然是必要的。加強用戶安全意識和管理員安全技術的培訓工作非常重要,對于新用戶的安全意識的培訓,新生入學教育和新員工上崗培訓是兩個比較好的時間,也可以開展一些職工的在職培訓、學生的文化課、選修課等形式的安全意識培訓和基本技能的培訓。系統(tǒng)管理員要重視上崗培訓。對這些崗位的安全培訓是當前校園網(wǎng)安全管理非常迫切且重要的環(huán)節(jié)。

除制定政策,建立組織機構,加強管理之外,還一定要做好如下幾項工作：

(一)降低網(wǎng)絡物理安全風險。網(wǎng)絡物理安全風險主要是指地震、火災電源故障、人為操作失誤、設備被盜、機房環(huán)境故障、電磁干擾等。一般小局域網(wǎng),由于網(wǎng)絡物理跨度不大,只要有健全的安全管理制度,做好系統(tǒng)備份,并加強網(wǎng)絡設備和機房的管理,這些物理風險還是比較小的。但在校園網(wǎng),物理線路長,網(wǎng)絡跨度大,發(fā)生故障的幾率還是很高的。網(wǎng)絡的物理安全是整個網(wǎng)絡系統(tǒng)安全的前提,還應由有責任心的人員來管理負責。

(二)做好網(wǎng)絡病毒的防范。在網(wǎng)絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒,必須有適合于網(wǎng)絡的全方位防病毒產(chǎn)品。在校園網(wǎng),需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關的防病毒軟件,加強上網(wǎng)計算機的安全。如果在網(wǎng)絡內(nèi)部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,及時為每臺客戶端計算機打好補丁,加強日常監(jiān)測,使網(wǎng)絡免受病毒的侵襲?，F(xiàn)在網(wǎng)絡版殺毒軟件比較多,如瑞星、諾頓、360等 。

(三)配置防火墻。利用防火墻,在網(wǎng)絡通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡,同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡,防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制,防止 Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部,根據(jù)不同網(wǎng)絡的安裝需求,做好防火墻內(nèi)服務器及客戶端的各種規(guī)則配置,更加有效利用好防火墻。

(四)采用入侵檢測系統(tǒng)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術,是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng),則會構架成一套完整立體的主動防御體系,即是采用混合入侵檢測,效果較好。有的入侵檢測設備可以同防火墻進行聯(lián)動設置,效果也不錯。

(五)應用 Web,Email,BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡的 www服務器、Email服務器中使用網(wǎng)絡安全監(jiān)測系統(tǒng),實時跟蹤、監(jiān)視網(wǎng)絡,截獲 Internet網(wǎng)上傳輸?shù)膬?nèi)容,建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋?nèi)容,及時向上級安全網(wǎng)管中心報告,采取措施。

(六)安裝漏洞掃描系統(tǒng)。解決網(wǎng)絡層安全問題,首先要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡的復雜性和不斷變化的情況,僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估,顯然是不現(xiàn)實的。解決的方案是,尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。

(七)利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下,我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務器的審計文件提供備份。

讓有責任心的人員管理校園網(wǎng),保障校園網(wǎng)的物理安全,是維護校園網(wǎng)安全的基礎,針對校園網(wǎng)的特點及存在的安全風險,制定相應的安全規(guī)章,讓每一位校園網(wǎng)用戶都知道在校園網(wǎng)上能做什么,不能做什么,這是保證校園網(wǎng)安全的基本保障。選擇技術好業(yè)務精的人員管理維護校園網(wǎng),利用先進的技術,不斷清除校園網(wǎng)的安全隱患是保證校園網(wǎng)信息安全的重要保障。但是,黑客技術在不斷進步,網(wǎng)絡病毒在不斷翻新,網(wǎng)絡的安全隱患在不斷增加,要真正做到保障網(wǎng)絡安全是不容易的,網(wǎng)絡安全隱患和清除隱患保障網(wǎng)絡信息安全將是長期共存的一對矛盾。為確保校園網(wǎng)安全,一定要切實加強安全組織保障,不斷完善安全管理規(guī)章,不斷做好安全教育工作,不斷更新網(wǎng)絡安全技術,真正做到全體人員積極參與,人人注意網(wǎng)絡信息安全,這樣才能建立高效安全的校園網(wǎng)環(huán)境,讓校園網(wǎng)為教學科研提供快捷方便的服務。

[1]張嘉寧.網(wǎng)絡防火墻技術淺析[J].通信工程.2004,(3).

[2]蔡立軍.計算機網(wǎng)絡安全技術[M].北京：中國水利水電出版社,2005.

[3]龍冬陽.網(wǎng)絡安全技術及應用[M].廣州：華南理工大學出版社,2006.

[4]劉占全.網(wǎng)絡管理與防火墻[M].北京：人民郵電出版社,1999.