謝大吉 李明華

1.四川文理學院網(wǎng)絡(luò)中心，四川 達州 635000 2.四川省巴中市第二中學，四川 巴中 636000

新形勢下高校網(wǎng)絡(luò)安全隱患與對策研究

謝大吉1李明華2

1.四川文理學院網(wǎng)絡(luò)中心，四川 達州 635000 2.四川省巴中市第二中學，四川 巴中 636000

新形勢下高校網(wǎng)絡(luò)安全隱患日益突出，結(jié)合高校網(wǎng)絡(luò)特點，分析存在的各種問題及原因，并提出了強化校園網(wǎng)絡(luò)的安全對策。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；入侵檢測；ARP

引言

二十世紀前后十年間，我國各類高校普遍擴大校園規(guī)模和學生人數(shù)，相應地校園網(wǎng)絡(luò)不斷得到改造擴充發(fā)展，依托校園網(wǎng)的各類資源也日益豐富和完善。目前校園網(wǎng)已經(jīng)成為高校教學、科研和管理的重要平臺、內(nèi)外信息交流和溝通的重要手段和師生學習生活的一部分。但是，隨著網(wǎng)絡(luò)規(guī)模的擴大、在線人數(shù)不斷增多、網(wǎng)絡(luò)開放程度的不斷增強，網(wǎng)絡(luò)安全問題也越來越突出[1]。如何有效地保證校園網(wǎng)的安全，更好地為學校師生提供優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)，成為高校普遍關(guān)注的課題。

1 高校網(wǎng)絡(luò)特點

高校網(wǎng)絡(luò)經(jīng)過大規(guī)模的發(fā)展變革，既不同于以前，也不同于一般的公司網(wǎng)絡(luò)或中小學校園網(wǎng)，它有其自身的特點。

1.1 網(wǎng)絡(luò)結(jié)構(gòu)日趨復雜

高等院校經(jīng)過近20年的擴張，基本上都已發(fā)展成為多校區(qū)，校園網(wǎng)絡(luò)也發(fā)生了很大的變化，不僅人數(shù)增加了，覆蓋范圍擴大了，出口從單一出口發(fā)展成為多出口，而且網(wǎng)絡(luò)規(guī)模發(fā)生了很大變化，拓撲結(jié)構(gòu)也從第一的拓撲結(jié)構(gòu)發(fā)展成為混合型拓撲結(jié)構(gòu)，如由星型結(jié)構(gòu)和總線型結(jié)構(gòu)結(jié)合在一起的網(wǎng)絡(luò)結(jié)構(gòu)，這樣的拓撲結(jié)構(gòu)更能滿足較大網(wǎng)絡(luò)的拓展，解決星形網(wǎng)絡(luò)在傳輸距離上的局限，而同時又解決了總線型網(wǎng)絡(luò)在連接用戶數(shù)量的限制[2]。校園網(wǎng)絡(luò)的核心設(shè)備一般采用雙機熱備份，路由策略、訪問控制等更趨復雜。

1.2 設(shè)備眾多，分布廣泛

校園網(wǎng)物理上分布在校園的各個角落，通過主干光纖線路連接在一起，光纖收發(fā)器、交換機、防火墻、路由器、服務(wù)器等各類網(wǎng)絡(luò)設(shè)備成百上千安裝在各棟樓宇，價值大，易發(fā)生故障和安全事故，給校園網(wǎng)絡(luò)管理和安全工作帶來了很大挑戰(zhàn)。

1.3 網(wǎng)絡(luò)用戶眾多，技術(shù)水平參差不齊

高校一部分用戶對計算機興趣大，思維靈和，技術(shù)水平較高，一部分人卻不具備基本的電腦常識，連如何設(shè)置IP地址都弄不明白，更別談如何保護自己電腦免遭侵害，所以技術(shù)水平兩極分化明顯，同時網(wǎng)絡(luò)上各類木馬、病毒、破解工具泛濫，因而內(nèi)網(wǎng)面臨的安全形勢十分嚴峻，如在學生宿舍，個別用戶為了自己占有更多帶寬或證明自己，利用ARP病毒攻擊其他用戶。

1.4 部分資源有訪問限制，保密性要求較高

高校有些資源或有些應用服務(wù)由于使用許可等原因，有訪問限制或者是不對外的，具有一定保密要求，例如圖書館藏資源不對校外用戶開放，某些科研信息涉及國家利益不能公開，這就要求網(wǎng)管人員必須采取相應的安全措施，阻止非法訪問或非法入侵。

1.5 網(wǎng)絡(luò)使用頻率大，網(wǎng)絡(luò)脆弱性強

高校網(wǎng)絡(luò)除深夜外，其余時間用戶大多在線，網(wǎng)絡(luò)設(shè)備帶寬都是滿負荷運行，白天集中在辦公區(qū)、教學區(qū)，夜晚集中在學生宿舍和教師宿舍，一旦個別用戶機器中毒或設(shè)備出現(xiàn)故障問題容易出現(xiàn)整棟樓宇無法上網(wǎng)甚至局部癱瘓。

1.6 網(wǎng)絡(luò)資源眾多，應用廣泛，

依托于校園網(wǎng)的應用服務(wù)五花八門，涵蓋了學校工作的各個方面，如學校、系部WEB服務(wù)、域名DNS系統(tǒng)、郵件Email系統(tǒng)、視頻點播VOD系統(tǒng)、文件下載FTP系統(tǒng)、圖書查詢借閱系統(tǒng)、檔案管理系統(tǒng)、招生就業(yè)系統(tǒng)、辦公自動化系統(tǒng)、教務(wù)管理系統(tǒng)、精品課程系統(tǒng)、保衛(wèi)監(jiān)控系統(tǒng)等。防黑防木馬防攻擊，對管理人員提出了更高的技術(shù)要求，網(wǎng)絡(luò)安全工作形勢不容樂觀。

2 高校網(wǎng)絡(luò)存在的主要問題與原因

高校網(wǎng)絡(luò)出口多，帶寬高，內(nèi)外信息都能從網(wǎng)上方便快捷找到，用戶對網(wǎng)絡(luò)依存度較強，同時也面臨著來自內(nèi)外兩個方面的網(wǎng)絡(luò)攻擊，特別是內(nèi)部用戶，對網(wǎng)絡(luò)的結(jié)構(gòu)布局和使用模式細節(jié)比較了解，因而網(wǎng)絡(luò)所面臨的風險很大，具體來說，存在以下幾點：

2.1 用戶缺乏網(wǎng)絡(luò)安全常識

與具有較高攻擊防范意識的用戶相對立的是大多用戶包括部分老師和學生，嚴重缺乏網(wǎng)絡(luò)安全常識，在他們的意識中只要安裝了殺毒軟件就以為萬事大吉，電腦用戶名及密碼設(shè)置簡單易于破解，有的甚至不給機器設(shè)用戶名和密碼，不打補丁、不給軟件升級等等，這些機器往往成為“肉雞”，給網(wǎng)絡(luò)帶來嚴重的威脅。

2.2 網(wǎng)絡(luò)攻擊頻率較高

依托于校園網(wǎng)的各類資源很多，并大多與學生相關(guān)，也是學生感興趣的，而學生每天接觸最多的也就是校園網(wǎng)，因而學校各類網(wǎng)站資源往往為他們首選的攻擊目標，同時對某些網(wǎng)絡(luò)設(shè)備如防火墻、路由器、交換器的用戶名密碼，他們也采取各種手段破解，所以校園網(wǎng)成了木馬病毒工具的試驗場，攻擊不斷，你方唱罷我登場。

2.3 盜用學校網(wǎng)絡(luò)資源嚴重

由于TCP/IP協(xié)議本身原因，一旦某個用戶開戶了，其他用戶可以通過它以代理或共享上網(wǎng)的方式使用網(wǎng)絡(luò)，因而私接路由器、私設(shè)代理、私接線路、破解無線路由的密碼等事情時有發(fā)生，造成帶寬耗竭，影響了學院利益和正常用戶的使用。

2.4 網(wǎng)上留言草率

由于教學管理的需要，學校各系各部門有的在自己的主頁上設(shè)有留言板、論壇之類的互動平臺，便于老師與學生交流，然而個別學生卻發(fā)表一些侮辱他人或有違法律的信息言論，給網(wǎng)絡(luò)管理部門工作帶來不必要麻煩。如我校某系留言板成了不發(fā)信息的發(fā)布點，給學院造成了惡劣影響。

2.5 病毒網(wǎng)內(nèi)傳播快，易大面積擴散

由于校園網(wǎng)規(guī)模大，在線用戶很多，因而一旦某臺電腦感染了病毒，如果不及時采取措施，病毒將可能在短時間內(nèi)散布到整個校園網(wǎng)絡(luò)，嚴重的造成校園網(wǎng)堵塞癱瘓，影響網(wǎng)絡(luò)的正常使用。

3 加強高校網(wǎng)絡(luò)安全的措施與方法

3.1 加大網(wǎng)絡(luò)安全和管理系統(tǒng)的投入力度

一般學校較注重校園網(wǎng)建設(shè)中硬件的投入，忽視甚至忽略網(wǎng)絡(luò)安全和管理系統(tǒng)方面的投入。其實設(shè)備再好，說到底只有發(fā)揮設(shè)備的應有性能才能起到良好的作用。在現(xiàn)有的復雜環(huán)境下，僅靠網(wǎng)管人員的知識經(jīng)驗是不夠的，必須建立入侵檢測、入侵預防、身份認證、流量分析等各種安全監(jiān)管系統(tǒng)，采用先進的安全檢測手段，方能有效及時排除各種危險和故障。

3.2 提高網(wǎng)絡(luò)安全意識，強化網(wǎng)絡(luò)安全宣傳和培訓

用戶上網(wǎng)缺乏必要的安全意識和電腦知識，導致系統(tǒng)漏洞百出，木馬病毒泛濫，是大多網(wǎng)絡(luò)安全事故產(chǎn)生的真正原因。因此，要使網(wǎng)絡(luò)安全有序運行必須首先提高用戶計算機水平并認識到安全的重要性及可能給個人和學校帶來的危害，掌握電腦防毒防黑技巧，同時強化網(wǎng)絡(luò)法制教育，并把網(wǎng)絡(luò)安全作為一項長期性工作緊抓不懈。具體操作中，可把電腦安全設(shè)置的方法步驟和注意事項等做成視頻或PPT形式放在網(wǎng)上或張貼在公告欄，也可就計算機基礎(chǔ)知識和網(wǎng)絡(luò)安全問題定期做一些技術(shù)講座和培訓，甚至可將網(wǎng)絡(luò)安全、網(wǎng)絡(luò)法律教育等納入課堂教學中，從而引導和規(guī)范用戶的上網(wǎng)行為，減少安全事故的發(fā)生。

3.3 建立規(guī)范的管理制度和安全有效的操作規(guī)范

網(wǎng)絡(luò)安全涉及面很廣，學校必須在統(tǒng)一領(lǐng)導、分級負責的原則指導下建立相應的網(wǎng)絡(luò)安全管理制度，明確各級部門的職責和相關(guān)人員的崗位責任，分工到位，落實到人，同時制訂操作性強的用戶上網(wǎng)規(guī)范，明確部門對其管轄的上網(wǎng)用戶負有安全教育的責任和義務(wù)，違者必究，提高用戶上網(wǎng)的安全意識。

3.4 匯聚各方力量，建立多維網(wǎng)絡(luò)安全體系

每個學校都有不少對計算機網(wǎng)絡(luò)興趣高、技術(shù)水平高的用戶，這部分人采取防堵措施是不行的，應該引導他們將自己的技術(shù)運用到學校的網(wǎng)絡(luò)安全建設(shè)中來，多傾聽他們對學校網(wǎng)絡(luò)管理的意見和建議，甚至可聘請他們參與到學校網(wǎng)絡(luò)管理中來，從而既滿足了學生的表現(xiàn)欲望，又保障了校園網(wǎng)的安全[3]。另外網(wǎng)絡(luò)安全涉及的面廣，技術(shù)更新快，網(wǎng)管中心還應著力探求與其他高校和公司的協(xié)作、合作和交流，建立立體多維的網(wǎng)絡(luò)安防體系。

3.5 加強安全人才的培養(yǎng)和培訓

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和進步，網(wǎng)絡(luò)規(guī)模不斷擴大，對網(wǎng)絡(luò)安全人員也提出了更高要求，要求他們必須具備開拓進取精神，隨時跟蹤網(wǎng)絡(luò)技術(shù)的最新進展和變化，因而單位要有計劃、有步驟、有目的地給員工學習進修的機會和時間，讓他們不斷地更新知識，了解技術(shù)新的走向，了解其他高校新的做法，吸收新的知識，提高自己的業(yè)務(wù)水平和創(chuàng)新能力，達到互利共贏的發(fā)展目標，營造人才茁壯成長的良好環(huán)境和氛圍。

4 結(jié)論

網(wǎng)絡(luò)是學校教育信息化和數(shù)字化校園的載體，對學校的管理、發(fā)展至關(guān)重要[4]。網(wǎng)絡(luò)安全不是一個純粹的技術(shù)問題或某個部門的事情，學校要根據(jù)自身的特點采用有效安全技術(shù)手段和措施抵御和防范來自網(wǎng)絡(luò)的攻擊、木馬和病毒，同時也要建立和完善一套相應的網(wǎng)絡(luò)安全管理的制度和規(guī)范。作為專業(yè)技術(shù)人員，更要不斷加強學習交流，掌握新技術(shù)，發(fā)現(xiàn)新問題，改進和完善校園網(wǎng)絡(luò)的安全策略，從而減少網(wǎng)絡(luò)安全隱患，保證網(wǎng)絡(luò)良性運行。

[1]謝希仁.計算機網(wǎng)絡(luò)(第5版)[M].北京：電子工業(yè)出版社.2010:284-305

[2]吳功宜，吳英.計算機網(wǎng)絡(luò)應用技術(shù)教程(第3版)[M].北京：清華大學出版社.2009:17-18

[3]李新,孫中濤. 高校校園網(wǎng)安全管理研究[J].現(xiàn)代教育裝備.2010,97(9),27-29

[4]肖陽，李陽.校園網(wǎng)絡(luò)的多層安全體系研究[J].中南林業(yè)科技大學學報.2010，30(4)：171-172

CampusNetwork Security Even Analysis And Counter-measure Under The New Time

Xie Daji1Li Minghua2
1.Network Management Center, Sichuan University of Arts and Science,Dazhou Sichuan 635000
2.Bazhong Secondary Middle School,Bazhong Sichuan 636000

Under the new time campus-network security Even is serious. Combined with the features of campusnetwork, It analyzes the various problems and causes, and proposes measures to strengthen the security of campus network.

network security；network management；Intrusion Detect System；ARP

10.3969/j.issn.1001-8972.2011.08.081

謝大吉（1967—），男，漢族，四川巴中人，工程師，軟件工程碩士，主要從事計算機網(wǎng)絡(luò)管理及安全研究。

李明華（1978—），女，漢族，四川巴中人，主要從事計算機應用研究與數(shù)學教學。