單守雪

摘 要： 為了保證廣大師生安全地使用網絡，避免因網絡的安全問題帶來不必要的損失，本文系統(tǒng)、全面地對校園網絡系統(tǒng)安全風險進行了分析。

關鍵詞： 校園網絡系統(tǒng) 安全風險分析 安全需求分析

校園網絡系統(tǒng)是一個龐大的、復雜的網絡系統(tǒng)。在這個系統(tǒng)內，用戶多為學生，他們年輕好奇心強、喜歡探索，嘗試各種軟件，且安全防范意識低。校園網復雜的網絡環(huán)境和各類應用軟件都有可能對校園網產生安全威脅，攻擊者往往是利用系統(tǒng)最薄弱的環(huán)節(jié)進行攻擊，所以充分、全面的風險分析是設計網絡安全系統(tǒng)的必要前提。

筆者從網絡系統(tǒng)的物理層、鏈路層、網絡層、操作系統(tǒng)層、應用層及管理層等方面對校園網絡系統(tǒng)進行了安全風險分析與需求分析。

1.物理層安全風險分析

物理層的安全風險主要是指組成網絡系統(tǒng)的各種設備的安全，防止因惡劣的自然環(huán)境、人為誤操作、黑客攻擊給網絡系統(tǒng)帶來安全威脅。

2.鏈路層脆弱性分析

鏈路層功能是接收來自網路層的IP數據報，把數據發(fā)送到制定的網絡上；接收物理幀，抽出網絡層數據報。Mac地址泛洪攻擊、ARP欺騙等基于協議漏洞的攻擊在數據鏈路層中還有許多。校園網校網絡鏈路層的脆弱性主要體現在： ①ARP安全隱患；②PPP安全隱患；③ CSMA/CD安全隱患。

3.網絡層脆弱性分析

網絡層的功能是處理數據包在網絡中的活動（packet）。網絡層是異構網絡的關鍵。接收傳輸層的請求，封裝數據包，加包頭。TCP/IP 協議最初的設計就是構建網絡，缺乏對安全的考慮，所以網絡層存在以下安全隱患。

（1）IP協議的安全隱患：缺少身份認證機制，不檢查IP地址，產生IP欺騙攻擊，尤其是地址假冒。IP數據包包含源路由選項，本來是可以指定路由，測試流量，但是可以利用源路由選項進行攻擊，源路由指定了IP數據包必須經過的路由，使得入侵者可以繞開網絡的安全措施，選擇攻擊目標。

（2）ICMP協議的安全隱患：ICMP作用：差錯控制、擁塞控制（沒有用戶數據）。原理：利用重定向報文破壞路由和利用不可達報文發(fā)起拒絕服務攻擊。方法：ICMP包為64KB，根據包標題頭信息為有效載荷生成緩沖區(qū)，載荷大小超過上限，導致堆棧溢出，系統(tǒng)崩潰。在局域網內還可以偽造ICMP重定向包，使其經過自己主機，就會產生不可達。

4.操作系統(tǒng)的脆弱性分析

操作系統(tǒng)的安全包括網絡操作系統(tǒng)自身的安全和提供的服務接口的安全。網絡操作系統(tǒng)由于自身代碼多，不可避免地存在安全缺陷和安全漏洞。網絡操作系統(tǒng)雖然提供了一些，如用戶驗證、審計跟蹤、防火墻等安全功能，但仍然存在很多安全威脅。①系統(tǒng)安全配置不當，操作系統(tǒng)本身提供了一些安全防護功能，但是這些功能沒有開啟，防護功能起不到保護的作用，或是系統(tǒng)登錄秘密設置簡單，容易被黑客破解進而獲得管理員權限。②系統(tǒng)服務，操作系統(tǒng)開啟了一些網絡服務，這些服務在提供給用戶使用的同時也出現了一些漏洞，這些漏洞一旦被黑客發(fā)現，就會被黑客利用，獲取服務器的訪問權限攻擊服務器或網內的用戶。③病毒和黑客，病毒的威脅和黑客的攻擊是網絡系統(tǒng)安全威脅的主要來源。針對病毒的防治要及時更新病毒庫和采取最新的國際化殺毒技術，將先進的殺毒模式引進，以提高殺毒軟件的殺毒能力與殺毒效率。

黑客主要是通過掃描軟件，發(fā)現系統(tǒng)安全漏洞，利用漏洞獲取管理員賬號密碼，進而成功入侵校園網絡系統(tǒng)。修補這些漏洞可以使用風險評估軟件找出漏洞，下載補丁，修復系統(tǒng)。

5.應用層安全風險分析

校園網提供給 校園網服務、FTP 服務、數據庫等服務。提供服務的系統(tǒng)也存在安全漏洞。①校園網服務，校園網對師生提供服務、對外宣傳的窗口。如果存在漏洞，則黑客可能利用DDOS技術攻擊網站服務器，修改數據、篡改網站網頁、使網站不能正常使用。②FTP 服務，FTP 服務給師生提供文件上傳和下載文件服務，但是端口長期開放會造成不法分子將敏感信息從公共信息剝離。同時FTP 服務是明文傳輸，信息易被黑客截獲并破解。③數據庫服務，攻擊者可以利用數據庫存在的漏洞，獲取數據的信息進行破解，引起數據泄露。④TELNET，TELNET登錄時會話中賬號和口令明文傳輸，通過會話劫持獲得賬號和密碼。⑤DNS，DNS服務器返回的相應信息被網絡主機信任。偽造IP地址請求影響服務器映射表，控制服務器。

6.管理的安全風險分析

網絡安全系統(tǒng)的日常管理是尤為重要的。特別是對網絡管理的負有管理責任的工作人員。主要的管理風險體現在以下幾點：①樹立保密觀念，切實保護好賬號密碼，不使用過于簡單的密碼。②操作人員對系統(tǒng)不熟悉，安全配置沒做好。③管理制度不健全，機密文件處理不當。④沒有責任心，對工作不負責，有意損壞網絡設備。⑤網絡安全系統(tǒng)內部人員 利用工作便利非法獲取他人信息。

筆者在校園網安全方面從物理層、鏈路層、網絡層、操作系統(tǒng)的脆弱性、應用層和管理層六個方面進行了風險分析，提出了校園網安全建設目標，提供了解決校園網日益增加的網絡使用和應用軟件的使用造成的對校園網安全帶來的不安全因素問題的解決辦法，為建設高效、穩(wěn)定、安全的校園網奠定了堅實基礎。

參考文獻：

[1]劉杰民，敬茂華.TCP/IP網絡中網絡層的安全問題及防范策略[J].網絡安全技術與應用，2006，12.