彭俊

四川商務(wù)職業(yè)學(xué)院科研與產(chǎn)學(xué)合作指導(dǎo)處 四川 611131

0 引言

隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)也在急劇增加，各種各樣的安全威脅開始接踵而至。目前，校園網(wǎng)如同其它計算機網(wǎng)絡(luò)一樣，存在著極大的安全威脅，特別是網(wǎng)絡(luò)病毒以及網(wǎng)絡(luò)內(nèi)部及外部的黑客攻擊。保障校園網(wǎng)的安全工作僅靠人工完成是不可能的，必須借助先進的技術(shù)及工具來協(xié)助完成如此繁重的勞動，以保證校園網(wǎng)絡(luò)的正常運轉(zhuǎn)。

1 校園網(wǎng)的安全威脅

安全威脅來自各個方面，如計算機系統(tǒng)的脆弱性主要來自操作系統(tǒng)和應(yīng)用程序的缺陷與后門。缺陷即操作系統(tǒng)和應(yīng)用程序都存在安全漏洞。操作系統(tǒng)的后門是由操作系統(tǒng)開發(fā)者有意設(shè)置的，這樣他們就能在用戶不在時仍能進入系統(tǒng)。在網(wǎng)絡(luò)環(huán)境下還來源于通信協(xié)議的不安全性，來自網(wǎng)絡(luò)的威脅主要是由于局域網(wǎng)一般是廣播式的，所以在網(wǎng)絡(luò)存在著電子竊聽。系統(tǒng)與協(xié)議的漏洞導(dǎo)致入侵與破壞。身份欺騙是由口令破解與口令騙取組成的。通過編制程序制作的病毒、邏輯炸彈、木馬程序等是對網(wǎng)絡(luò)安全的嚴(yán)重威脅。

由于計算機網(wǎng)絡(luò)是一個復(fù)雜的系統(tǒng)，它不僅包括軟件系統(tǒng)、硬件系統(tǒng)、各類信息系統(tǒng)和使用以及管理這些信息資源的人。網(wǎng)絡(luò)本身所具有的開放性，使得計算機網(wǎng)絡(luò)的安全面臨著各種各樣的威脅，比如系統(tǒng)安全漏洞、應(yīng)用程序錯誤、搭線竊聽、數(shù)據(jù)泄露與邊用、故意對數(shù)據(jù)或程序進行的破壞、病毒感染、網(wǎng)絡(luò)攻擊、自然災(zāi)害以及管理不善等等。這些威脅對網(wǎng)絡(luò)安全都會帶來不同程度的影響，妨礙網(wǎng)絡(luò)用戶的正常使用。

根據(jù)各種網(wǎng)絡(luò)威脅產(chǎn)生的原因，我們把網(wǎng)絡(luò)威脅歸納為以下3類；即軟件系統(tǒng)自身的安全缺陷導(dǎo)致的威脅、非法進行網(wǎng)絡(luò)操作帶來的威脅、網(wǎng)絡(luò)規(guī)劃和運行管理上的不完善帶來的威脅。

1.1 軟件系統(tǒng)自身的安全缺陷導(dǎo)致的威脅

(1) 操作系統(tǒng)和應(yīng)用軟件自身存在著安全漏洞。如現(xiàn)在使用的操作系統(tǒng) Windows/Unix等幾乎都或多或少存在安全漏洞，各類服務(wù)端軟件、瀏覽器、一般桌面軟件等都曾發(fā)現(xiàn)存在安全隱患?？梢哉f任何一個軟件系統(tǒng)都可能因設(shè)計中的缺陷而產(chǎn)生漏洞，這是影響網(wǎng)絡(luò)安全的主要原因之一。

(2) 網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)協(xié)議存在安全漏洞。各類主機中都會運行著這種或那種網(wǎng)絡(luò)協(xié)議，如 TCP/IP、IPX/SPX、NEIBEUI等，由于這些網(wǎng)絡(luò)協(xié)議并非專為安全通信而設(shè)計，缺乏相應(yīng)的安全機制，系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。許多非法入侵、攻擊和病毒傳播往往就是利用協(xié)議的這些漏洞來對網(wǎng)絡(luò)系統(tǒng)或用戶進行破壞。

1.2 非法進行網(wǎng)絡(luò)操作帶來的威脅

非法進行網(wǎng)絡(luò)操作主要是指人為地、有意識地對網(wǎng)絡(luò)設(shè)備和服務(wù)進行惡意攻擊，監(jiān)聽竊取網(wǎng)絡(luò)用戶賬號和密碼，非法使用網(wǎng)絡(luò)資源，引入各種網(wǎng)絡(luò)病毒破壞用戶系統(tǒng)和數(shù)據(jù)，使用惡意代碼大量占用網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)運行效率降低，嚴(yán)重時將直接導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓。目前網(wǎng)絡(luò)上類似這種危害種類有很多，造成的危害十分巨大，較常見的有以下兩種。

(1) 非授權(quán)訪問網(wǎng)絡(luò)資源

在未經(jīng)許可的情況下訪問網(wǎng)絡(luò)資源，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備和資源進行非正常操作使用，或擅自擴大權(quán)限，越權(quán)訪問信息。主要有以下幾種形式；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶的賬號和密碼，非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；通過隱蔽通道進行篡改、刪除數(shù)據(jù)等非法活動；非法用戶以未授權(quán)方式進行操作等。這些都可能破壞信息系統(tǒng)的完整性、機密性和可信性。

(2) 網(wǎng)絡(luò)病毒

利用網(wǎng)絡(luò)傳播病毒，其破壞性遠大于單機系統(tǒng)，而且用戶很難防范。目前，網(wǎng)絡(luò)型病毒一般是利用 Internet的開放性、操作系統(tǒng)及各類應(yīng)用程序的漏洞來進行傳播，或?qū)τ嬎銠C系統(tǒng)進行攻擊。近年來網(wǎng)絡(luò)病毒的發(fā)展趨勢迅猛，除宏病毒外，基本都屬于網(wǎng)絡(luò)型病毒。網(wǎng)絡(luò)病毒具有利用網(wǎng)絡(luò)中軟件系統(tǒng)的缺陷，進行自我復(fù)制和主動傳播的特點。如蠕蟲(worm)病毒就是利用軟件系統(tǒng)漏洞，通過分布式網(wǎng)絡(luò)來擴散、傳播的。受這種病毒的影響，網(wǎng)絡(luò)數(shù)據(jù)信息遭到破壞，無用數(shù)據(jù)占用大量網(wǎng)絡(luò)帶寬，嚴(yán)重時，可能致使網(wǎng)絡(luò)服務(wù)中斷。網(wǎng)絡(luò)型病毒的傳播速度快、危害范圍廣，為了防范它往往要對某些網(wǎng)絡(luò)功能進行限制。另外，“木馬”(也叫特洛伊木馬)類病毒危害性也十分巨大，這類病毒通常與黑客有聯(lián)系，被黑客用來作為竊取信息以及非法使用資源的工具。

1.3 網(wǎng)絡(luò)規(guī)劃、運行管理上的不完善帶來的威脅

網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)系統(tǒng)設(shè)計不合理，系統(tǒng)配置策略考慮不周，設(shè)備功能不完善，缺少必要的數(shù)據(jù)備份措施等都會給網(wǎng)絡(luò)正常運行帶來威脅。網(wǎng)絡(luò)的正常運行離不開系統(tǒng)管理人員對網(wǎng)絡(luò)系統(tǒng)的管理。各種安全措施都要經(jīng)管理人員進行配置后才能有效地實施。從技術(shù)角度看，人為的失誤，比如錯誤的指令、錯誤刪除修改數(shù)據(jù)，不恰當(dāng)?shù)呐渲枚紩黾酉到y(tǒng)管理、使用的復(fù)雜性，降低網(wǎng)絡(luò)系統(tǒng)的安全性。另外，組織管理措施不當(dāng)，也會造成設(shè)備的損壞和保密信息的泄露，給網(wǎng)絡(luò)安全運行帶來隱患。

2 校園網(wǎng)的安全管理策略

校園網(wǎng)具有訪問方式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點。網(wǎng)絡(luò)的安全問題需要從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細考慮，并在實際運行中嚴(yán)格管理。校園網(wǎng)安全方案的設(shè)計因校園網(wǎng)的拓撲結(jié)構(gòu)以及安全需求的不同有很大差別，校園網(wǎng)上作站經(jīng)二級交換機連入中心交換機，網(wǎng)管工作站及安全所有工作站直接連入中心交換機，中心交換機再通過防火墻連入互聯(lián)網(wǎng)。為保證校園網(wǎng)絡(luò)的安全性， 一般采用以下一些策略。

2.1 設(shè)備安全

在校園網(wǎng)規(guī)劃設(shè)計階段就應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題。將一些重要的設(shè)備，如各種服務(wù)器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空，并有明顯標(biāo)記，防止無意損壞。對于終端設(shè)備，如工作站、小型交換機、集線器和其他轉(zhuǎn)接設(shè)備要落實到人，進行嚴(yán)格管理。

2.2 技術(shù)保證

校園網(wǎng)是基于廣播技術(shù)構(gòu)建。出于廣播原理，使得從任何一個節(jié)點出發(fā)的網(wǎng)絡(luò)數(shù)據(jù)報在整個信道上蔓延，數(shù)據(jù)可以被連接在網(wǎng)絡(luò)上的任何一個節(jié)點的網(wǎng)卡捕獲。校園網(wǎng)的數(shù)據(jù)被截取和竊取成為安全的主要問題，另外，ARP地址欺騙、泛洪等很多問題，還有 TCP/IP協(xié)議固有的不安全因素，網(wǎng)絡(luò)操作系統(tǒng)的安全缺陷等，都使得基于校園網(wǎng)的安全防范非常關(guān)鍵。

針對校園網(wǎng)來說，最主要應(yīng)該采取以下一些技術(shù)措施：

(1) 網(wǎng)絡(luò)分段

校園網(wǎng)一般以C類網(wǎng)絡(luò)為主要類型，如何組織一個C類網(wǎng)絡(luò)中的254主機進行安全通信就顯得非常重要。將網(wǎng)絡(luò)劃分成多個于網(wǎng)絡(luò)來實現(xiàn)安全管理，通常有兩種方式，一種是基于交換機的 VLAN虛擬局域網(wǎng)的劃分，另一種是基于IP地址的子網(wǎng)劃分。其中.基于IP地址的劃分由于以犧牲大量的有效IP地址為代價，為了在網(wǎng)絡(luò)上實現(xiàn)邏輯管理，實現(xiàn)靜態(tài)的固定分配IP而大大降低了網(wǎng)絡(luò)服務(wù)效率，所以在校園管理中并不常用。因此采用交換式局域網(wǎng)技術(shù)(ATM 或以太交換)的校園網(wǎng)絡(luò)，可以運用 VLAN 技術(shù)來加強內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段。根據(jù)不同的部門及不同的安全級別，將網(wǎng)絡(luò)分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。

網(wǎng)絡(luò)分段通常被認為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實也是保證網(wǎng)絡(luò)安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。校園網(wǎng)則可以采用不同網(wǎng)絡(luò)分段的方式進行安全管理。例如，對于TCP/ IP網(wǎng)絡(luò)，根據(jù)學(xué)校的不同用戶群可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接，利用這些中間設(shè)備(含軟件、硬件)的安全機制來控制各子網(wǎng)間的訪問。

(2) 防火墻控制

防火墻是目前最為流行也是使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)，防火墻作為一個分離器、限制器和分析器，用于執(zhí)行兩個網(wǎng)絡(luò)之間的訪問控制策略，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，既可為內(nèi)部網(wǎng)絡(luò)提供必要的訪問控制，又不會造成網(wǎng)絡(luò)瓶頸，并通過安全策略控制進出系統(tǒng)的數(shù)據(jù)，保護網(wǎng)絡(luò)內(nèi)部的關(guān)鍵資源。

防火墻能控制內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。此功能分為兩個方面：一方面是可以控制內(nèi)部網(wǎng)絡(luò)用戶對外部一些非法或者受限網(wǎng)絡(luò)的訪問；另一方面是控制內(nèi)部網(wǎng)絡(luò)用戶是否可以連接到外部網(wǎng)絡(luò)。前者是通過對外部IP或者網(wǎng)址的控制來實現(xiàn)的。后者是通過對內(nèi)部用戶的IP控制來實現(xiàn)的?？刂仆獠烤W(wǎng)絡(luò)用戶對內(nèi)部網(wǎng)絡(luò)的訪問。該功能也分為兩個方面，一方面是只允許外部用戶訪問本地網(wǎng)絡(luò)的某些主機；另一方面是只允許外部用戶中指定的用戶訪問本地網(wǎng)絡(luò)。

防火墻技術(shù)包含了動態(tài)的封包過濾、應(yīng)用代理服務(wù)、用戶認證、網(wǎng)絡(luò)地址轉(zhuǎn)換、IP 防假冒、預(yù)警模塊、日志及計費分析等功能，可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來，保護校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。對防火墻要經(jīng)常實施完整性檢查，以避免防火墻被植入木馬程序。

(3) 設(shè)置用戶級別與權(quán)限

權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施，對用戶和用戶組賦與一定的權(quán)限，可以限制用戶和用戶組對于目錄、文件、打印機以及其他共享資源的訪問，可以限制用戶對共享文件、日錄及共享設(shè)備的操作。校園網(wǎng)是以用戶為中心的系統(tǒng)，登錄控制能有效地控制用戶登錄到服務(wù)器，路由器或交換機等網(wǎng)絡(luò)設(shè)備來獲取資源。用戶訪問網(wǎng)絡(luò)控制大致分為用戶名的識別和驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查三個方面。通過登錄控制能有效地保證網(wǎng)絡(luò)的安全。

學(xué)校計算機信息中心網(wǎng)絡(luò)管理人員通過對所有用戶設(shè)置資源使用權(quán)限與口令，對用戶名和口令進行加密存儲、傳輸，提供完整的用戶使用記錄和分析等方式可以有效地保證系統(tǒng)的安全。網(wǎng)管人員還需要建立與維護完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫，嚴(yán)格對系統(tǒng)日志進行管理，對學(xué)生機房實行精確到人、到機位的使用登記制度，實現(xiàn)了對網(wǎng)絡(luò)用戶和服務(wù)賬號進行精確的控制。學(xué)校網(wǎng)管定時對校園網(wǎng)系統(tǒng)的安全狀況做出評估和審核，關(guān)注網(wǎng)絡(luò)安全動態(tài)，調(diào)整相關(guān)安全設(shè)置，進行入侵防范，預(yù)報計算機病毒，發(fā)出安全公告，機器發(fā)生故障時緊急修復(fù)系統(tǒng)。

(4) 入侵檢測

在不影響網(wǎng)絡(luò)正常遠行的情況下，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機制可以做到最大限度的達到資源保護。

使用入侵檢測系統(tǒng)，實時進行有效的網(wǎng)絡(luò)監(jiān)控，調(diào)整網(wǎng)絡(luò)資源分配，及時發(fā)現(xiàn)不正常的數(shù)據(jù)包，并根據(jù)安全策略原則進行處理并及時以互動方式提供給防火墻，更改防火墻使用策略，確保網(wǎng)絡(luò)系統(tǒng)的安全。入侵檢測系統(tǒng)分為兩個部分：一部分是入侵檢測引擎，是專用硬件；另一部分是控制臺，與網(wǎng)管工作站—同運行，起管理、配置和查詢作用。定期對網(wǎng)絡(luò)和主機進行掃描，定期作風(fēng)險評估，及時發(fā)現(xiàn)漏洞，及時解決。

(5) 及時升級防病毒軟件

選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。它應(yīng)具有以下一些特征：第一，能夠支持所有的主流平臺，并實現(xiàn)軟件安裝、升級、配置的中央管理；第二，要能保護校園網(wǎng)所有可能的病毒入口，也就是說要支持所有可能用到的 Internet協(xié)議及郵件系統(tǒng)，能適應(yīng)并且及時跟上瞬息萬變的 Internet 時代步伐；第三，具有較強的防護功能，可以對數(shù)據(jù)、程序提供有效的保護。校園網(wǎng)上的所有計算機都應(yīng)該安裝殺毒軟件，開啟及時防護功能，并由管理人員對防病毒軟件及時升級，增加對新病毒的防護能力。

3 小結(jié)

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問題已成為影響網(wǎng)絡(luò)效能的重要問題。Internet以其具有的開放性、國際性和自由性等諸多特點，對安全性提出了更高的要求，網(wǎng)絡(luò)安全已成為最為重要與最引人注目的問題。網(wǎng)絡(luò)安全策略包含技術(shù)方面和管理方面，兩方面相互補充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊；管理方面?zhèn)戎赜谌藶橐蛩氐墓芾?。本文列舉出網(wǎng)絡(luò)存在種種安全威脅，指出了網(wǎng)絡(luò)安全防范的一些策略。其目的是介紹一些基本的網(wǎng)絡(luò)安全知識與技能、培養(yǎng)我國的網(wǎng)絡(luò)安全技術(shù)力量。普及網(wǎng)絡(luò)安全知識。以促進網(wǎng)絡(luò)事業(yè)的健康發(fā)展。

[1]黃主偉.計算機網(wǎng)絡(luò)管理與安全技術(shù)[M].人民郵電出版社.2006.

[2]魯杰.網(wǎng)絡(luò)時代的信息安全[M].中原農(nóng)民出版社.2000.

[3]陳旿,慕德俊編著. 信息安全知識[M]. 西北工業(yè)大學(xué)出版社.2005.

[4]梁廣洪.Internet安全及個人計算機安全應(yīng)用淺探[J].銅仁職業(yè)技術(shù)學(xué)院學(xué)報.2008.

[5]施建林,張禮芳.淺析網(wǎng)絡(luò)環(huán)境下個人計算機的安全防護[J].中國西部科技.2009.