摘要：校園網(wǎng)的安全問題可能會(huì)威脅影響到學(xué)校的教學(xué)科研、管理和對(duì)外交流等正常工作，它已經(jīng)成為當(dāng)前各學(xué)校網(wǎng)絡(luò)建設(shè)中迫在眉睫的問題。本文對(duì)校園網(wǎng)面臨的安全威脅，從現(xiàn)有的網(wǎng)絡(luò)機(jī)制以及人為攻擊兩方面進(jìn)行了分析，而后針對(duì)攻擊來源從控制接入、業(yè)務(wù)流監(jiān)控和備份鏡像上提出了相應(yīng)可行的防治策略，并提出了加強(qiáng)校園網(wǎng)內(nèi)部人員管理的具體方法。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 24-0141-02

1 引言

校園網(wǎng)作為數(shù)字化校園的重要基礎(chǔ)，擔(dān)當(dāng)著學(xué)校教學(xué)科研、管理和對(duì)外交流等重要任務(wù)，為學(xué)校的教育、教學(xué)、生活提供了極大的方便。然而在享受校園網(wǎng)方便快捷的同時(shí)，隨著校園網(wǎng)規(guī)模的壯大和運(yùn)用水平的提高，校園網(wǎng)的安全問題也隨之?dāng)[在眼前，它面臨著病毒泛濫、非法攻擊、未授權(quán)訪問、盜用網(wǎng)絡(luò)資源、內(nèi)部信息非法竊取等一系列的安全問題。如何保證校園網(wǎng)不被攻擊和破壞，如何使校園網(wǎng)免受黑客的入侵、病毒的侵襲和其他不良意圖的攻擊等風(fēng)險(xiǎn)，確保校園網(wǎng)正常、高效和安全地運(yùn)行，已經(jīng)成為學(xué)校需要解決的重大問題，也是校園網(wǎng)管理的重要任務(wù)。

2 校園局域網(wǎng)安全分析

2.1 現(xiàn)有網(wǎng)絡(luò)機(jī)制造成的網(wǎng)絡(luò)威脅

目前的網(wǎng)絡(luò)技術(shù)，在原理上應(yīng)用的都是TCP/IP。但是TCP/IP協(xié)議本身就存在諸多缺陷，如：缺乏安全策略，IP協(xié)議容易被竊聽和欺騙，ICMP報(bào)文協(xié)議存在缺陷等等。此外，應(yīng)用程序甚至操作系統(tǒng)都可能存在安全漏洞或安全后門。這些都為人為攻擊提供了可能。

2.2 人為攻擊造成的網(wǎng)絡(luò)威脅

（1）網(wǎng)絡(luò)監(jiān)聽。從網(wǎng)絡(luò)的原理上講，每一個(gè)計(jì)算機(jī)都有其硬件地址。當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí)，這些數(shù)據(jù)會(huì)發(fā)往連接在一起的所有可用的主機(jī)。但是數(shù)據(jù)包中包含著應(yīng)該接收數(shù)據(jù)包主機(jī)的正確地址，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收。然而嗅探器（英文Sniffer），可收接收處理所有這些數(shù)據(jù)包，無論數(shù)據(jù)包中的目標(biāo)地址是什么，只要經(jīng)過其接口主機(jī)它都將接收。（2）數(shù)據(jù)篡改。數(shù)據(jù)篡改是建立在網(wǎng)絡(luò)監(jiān)聽基礎(chǔ)之上，還多了一個(gè)修改數(shù)據(jù)的過程。（3）口令破解。黑客可以利用口令破解軟件，遠(yuǎn)程去破解計(jì)算機(jī)的口令，如果用戶設(shè)置的是空口令或是弱口令，黑客破解后就可以遠(yuǎn)程連接到此用戶的計(jì)算機(jī)上，竊取資料。黑客較常利用人們的密碼設(shè)置習(xí)慣，針對(duì)所搜集到的信息，對(duì)有意義或簡(jiǎn)單的字符進(jìn)行組合，生成口令字典，并以它作為基礎(chǔ)，編寫程序，讓計(jì)算機(jī)模擬登陸的方式，逐個(gè)進(jìn)行測(cè)試，看能否成功進(jìn)入。（4）緩沖區(qū)溢出。所有程序都是在內(nèi)存中運(yùn)行的，如果系統(tǒng)有漏洞存在，黑客可以通過一段代碼，進(jìn)入其它區(qū)域如管理員區(qū)域，這時(shí)黑客具有管理員權(quán)限，可以遠(yuǎn)程操作計(jì)算機(jī)。（5）木馬攻擊。木馬程序，常被偽裝成郵件的附件形式，或是和一些軟件捆綁在一起，當(dāng)用戶打開郵件或是安裝軟件時(shí)，電腦就會(huì)感染木馬，以后黑客就可以通過木馬監(jiān)視此用戶或盜竊這個(gè)用戶的有價(jià)值的信息。

3 校園局域網(wǎng)的安全解決方案與策略

3.1 訪問控制

IP地址盜用或地址欺騙是一個(gè)常見的威脅校園網(wǎng)安全的因素。諸多網(wǎng)絡(luò)應(yīng)用，如流量統(tǒng)計(jì)、賬號(hào)控制等都是基于IP地址的。如果合法地址被盜用，網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)則面臨被破壞、竊聽，甚至盜用。而綁定MAC地址與IP地址是防止內(nèi)部IP盜用的一個(gè)有效措施。下面我們以Cisco交換機(jī)為例介紹IP和MAC綁定的設(shè)置方案：

Switch（config）Mac access-list extended MAC1

#定義一個(gè)MAC地址訪問控制列表并且命名該列表名為MAC1

Switch（config）permit host 0001.010a.010b any

#定義MAC地址為0001.010a.010b的主機(jī)能訪問任意主機(jī)

Switch（config）permit any host 0001.010a.010b

#定義所有主機(jī)能訪問MAC地址為0001.010a.010b的主機(jī)

Switch（config）Ip access-list extended IP1

#定義一個(gè)IP地址訪問控制列表并且命名該列表名為IP1

Switch（config）Permit 102.108.0.1 0.0.0.0 any

#定義IP地址為102.108.0.1的主機(jī)能訪問任意主機(jī)

Permit any 102.108.0.1 0.0.0.0

#定義所有主機(jī)能訪問IP地址為102.108.0.1的主機(jī)

Switch（config-if ）interface Fa0/20

#進(jìn)入設(shè)置具體端口的模式

Switch（config-if ）mac access-group MAC1 in

#在該端口上應(yīng)用名為MAC1的訪問列表（即前面我們定義的訪問策略）

Switch（config-if ）Ip access-group IP1 in

#在該端口上應(yīng)用名為IP1的訪問列表（即前面我們定義的訪問策略）

Switch（config）no mac access-list extended MAC1

#清除名為MAC1的訪問列表

Switch（config）no Ip access-group IP1 in

#清除名為IP1的訪問列表

雖然IP和MAC綁定可以有效地防止非法用戶入侵網(wǎng)絡(luò)，但是對(duì)少數(shù)惡意的合法用戶或者“肉雞”用戶卻缺少防范機(jī)制。要想徹底根治上述攻擊，只有從業(yè)務(wù)流入手，監(jiān)控網(wǎng)絡(luò)中的異常流量，查找攻擊源，采取有效策略化解危機(jī)。

3.2 備份和鏡像

備份技術(shù)指對(duì)需要保護(hù)的數(shù)據(jù)在另一個(gè)地方制作一個(gè)備份，一旦失去原件還能使用數(shù)據(jù)備份。鏡像技術(shù)是指兩個(gè)設(shè)備執(zhí)行完全相同的工作，若其中一個(gè)出現(xiàn)故障，另一個(gè)仍可以繼續(xù)工作。有效的備份鏡像可以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е碌南到y(tǒng)崩潰、信息損壞，避免蒙受重大損失。

3.3 加強(qiáng)校園網(wǎng)內(nèi)部人員管理

（1）提高網(wǎng)絡(luò)安全意識(shí)。讓每個(gè)教職員工及學(xué)生明白網(wǎng)絡(luò)信息安全的重要性，理解保證網(wǎng)絡(luò)安全是所有人員共同的責(zé)任，防止因疏忽懈怠導(dǎo)致的安全事故。（2）增強(qiáng)網(wǎng)絡(luò)安全知識(shí)。讓每個(gè)內(nèi)部人員掌握一定的網(wǎng)絡(luò)安全知識(shí)，培養(yǎng)良好的計(jì)算機(jī)使用習(xí)慣。網(wǎng)絡(luò)安全知識(shí)，即如何設(shè)置強(qiáng)密碼、怎樣關(guān)閉不必要的服務(wù)、慎用移動(dòng)存儲(chǔ)介質(zhì)、文件共享時(shí)盡量控制權(quán)限和增加密碼等等。（3）制定并貫徹安全管理制度。制定相應(yīng)的計(jì)算機(jī)安全管理制度、服務(wù)器安全管理制度、網(wǎng)絡(luò)維護(hù)管理制度等。約束普通用戶等網(wǎng)絡(luò)使用者，督促管理員完成好自身的工作，并定期檢查各項(xiàng)制度的貫徹執(zhí)行情況。

4 結(jié)束語

以上對(duì)企業(yè)局域網(wǎng)面臨的安全威脅，從現(xiàn)有的網(wǎng)絡(luò)機(jī)制以及人為攻擊兩方面進(jìn)行了分析，而后針對(duì)攻擊來源從控制接入、業(yè)務(wù)流監(jiān)控和備份鏡像上提出了相應(yīng)可行的防治策略，并提出了加強(qiáng)校園網(wǎng)內(nèi)部人員管理的具體方法。校園網(wǎng)的信息安全維護(hù)與控制是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)，需要我們不斷深入探索。

參考文獻(xiàn)：

[1]W.Richard Stevens，范建華（譯）.TCP/IP 詳解[M].機(jī)械工業(yè)出版社，2000.

[2]周超.IEEE 802.1X的安全性分析及改進(jìn)[J].計(jì)算機(jī)應(yīng)用，2011，（05）.1265-1270.

[3]曾夢(mèng)良，鄭雪峰.基于接入層的網(wǎng)絡(luò)安全解決方案研究[J].微計(jì)算機(jī)信息，2007，（23）.72-74.

[4]韓多龍.校園局域網(wǎng)安全解決方案[J].中國(guó)教育信息化，2012，（02）.82-83.