◆竇夏陽

（西安科技大學信息網絡中心 陜西 710054）

校園網安全現(xiàn)狀與策略

◆竇夏陽

（西安科技大學信息網絡中心 陜西 710054）

在信息化建設的快速發(fā)展下，各高校都先后逐步建設起自己的校園網，為了提高學校科研教學質量、管理水平，并滿足校園網用戶增長的需求，學校不斷提升校園網主干設備性能、增加網絡帶寬，建設更加完善的網絡體系。但是由于自身開放性的特點使得校園網不可避免地成為了黑客的攻擊目標。病毒、木馬、惡意軟件等均對校園網的安全造成了重大隱患，導致校園網癱瘓、信息泄漏等嚴重后果。所以如何保證校園網正常地運行、數(shù)據(jù)安全可靠地傳輸，又同時能夠為用戶提供開放的環(huán)境和豐富的資源，成為了急需解決的問題。

校園網；信息安全；安全現(xiàn)狀；安全威脅；安全策略

0 引言

校園網不但為教學、科研和生活提供基本環(huán)境，同時也是信息化建設和發(fā)展的基礎所在，校園網的正常運作關系著科研、教學的是否能夠順利開展，以及學校是否能夠安全穩(wěn)定地建設發(fā)展。但是由于校園網自身存在的安全漏洞、外部威脅不斷增長、網絡內接入設備數(shù)目龐大結構復雜、內部用戶安全意識薄弱、安全防范措施不足等原因，高等院校網絡安全狀況不容樂觀，只有解決這些問題，才能使校園網真正服務于教學、科研和生活。

1 校園網安全現(xiàn)狀

1.1 校園網內部用戶安全意識薄弱，缺乏法律知識

大部分校園網用戶對計算機安全知識知之甚少，只對自己的設備采取了最基本的安全防護手段，這類設備很容易被黑客利用，傳播病毒，以及變成“肉機”，在不知道的情況下被黑客利用對校園網內其他設備或校園網發(fā)起攻擊。也有一些對安全知識感興趣的學生，但由于缺乏相關法律知識，且不考慮行為后果，嘗試一些新的攻擊手段，也會對校園網造成一定的影響和破壞。

1.2 設備眾多，管理人員管理困難

校園網中接入的設備數(shù)量龐大，這些設備類型不同、操作系統(tǒng)多種多樣、分布在不同的物理地址，由不同的人員使用，有不同的使用目的。由于這些種種的差異性，使得網絡管理人員不能使用統(tǒng)一的安全策略去管理所有的接入設備。如果這些設備存在漏洞或者攜帶病毒木馬，當設備接入校園網后，很可能會在校園網內傳播病毒，影響網絡運行，獲取非授權信息，造成嚴重的后果。

1.3 校園網中軟硬件自身安全漏洞

硬件漏洞主要是指物理上的安全威脅，主要由于物理設備管理手段不當、物理環(huán)境不符合安全要求等，使得校園網硬件設備如服務器、存儲設備、交換機、路由器等受到自然災害破壞以及人為破壞而造成校園網中斷不能正常使用。

軟件漏洞則是主要指系統(tǒng)漏洞，校園網中有眾多的設備和豐富的資源，各種系統(tǒng)參差不齊種類繁多，而且不乏有很多盜版軟件，這些軟件系統(tǒng)中很可能存在著安全漏洞，隨意下載的資源中也會攜帶著病毒、木馬等惡意代碼，最終導致用戶設備感染病毒，并成為病毒傳播的媒介。

1.4 計算機病毒泛濫

校園網在為用戶提供便捷服務的同時也為病毒快速傳播留下可能，用戶在收發(fā)郵件、瀏覽網頁、下載文件時均有可能感染病毒。而病毒在校園網內的傳播，不但會占用大量網絡資源，也會對個人設備、網絡設備以及服務器帶來很大的危害，影響到整個校園網的正常運作，甚至會導致整體癱瘓。

1.5 缺乏統(tǒng)一的有效的管理制度以及操作規(guī)范。

缺乏統(tǒng)一有效的管理制度和操作規(guī)范也對校園網埋下了安全隱患，比如學校各部門分散采購設備服務器，在設備接入校園網前，未進行全面徹底的漏洞掃描，使得這些自身存在漏洞的服務器成為了黑客攻擊學校網絡的辯解途徑；缺少有效的監(jiān)控措施，管理人員無法及時發(fā)現(xiàn)異常情況，以及在違規(guī)行為發(fā)生后，不能取得有力證據(jù)；管理人員使用的用戶名和口令過于簡單，極易被黑客破解；機房進出管理不嚴格，使得入侵者能夠接近重要設備。這些管理制度上的不完善均有可能帶來安全隱患。

1.6 安全防范措施不足

缺乏統(tǒng)一的安全策略，沒有針對所有可能發(fā)生的安全隱患制定完善的安全機制，不能采取有效的入侵檢測技術，及時進行主動防御。

2 校園網安全策略

2.1 建立完善管理制度，加強管理人員培訓

針對校園網管理，學校應建立完善的制度規(guī)范。其中包括：機房環(huán)境中溫度濕度的控制；設備接入校園網前安全檢測掃描的要求；管理員設定口令難易度要求；機房進出登記管理要求；以及管理人員在應對突發(fā)情況，如斷電、斷網時如何操作等。只有當建立一套完善的管理制度時，才能最大限度地保證校園網以及數(shù)據(jù)的安全，減少損失。

其次，應該加強對管理人員的培訓，包括相關安全知識的培訓，以及在實際情況下如何采取正確的應對手段。只有組建一支責任心強、技術水平高的人才隊伍，才能夠構建更加完善、可靠和安全的校園網。

2.2 加強用戶安全意識

為避免內部攻擊的發(fā)生，首先應該提高校園網所有用戶的安全意識，比如應該經常對自己的電腦檢測病毒，及時發(fā)現(xiàn)設備的異常情況，不去點擊不明身份人員發(fā)來的郵件、鏈接等，防止設備感染病毒，成為攻擊者攻擊校園網的跳板或者工具。其次針對學生主動攻擊校園網這種情況，應該結合國家相關法律知識，對用戶進行普及，避免主動攻擊的發(fā)生。

2.3 利用身份認證進行訪問控制

訪問控制通過判斷用戶身份合法性來防止非法用戶入侵，保證內部資源不被非法訪問和非法獲取。當一個用戶需要獲取系統(tǒng)內資源時，需要先進行身份認證，如果是非法用戶，直接拒絕其訪問。如果是合法用戶，則對該用戶采取一定訪問控制策略，即他只能獲取到自己權限范圍內的資源，保證權限最小化，防止信息泄露。

2.4 采取加密策略

信息如果以明文形式在網絡中傳輸，極易被黑客非法獲取，使得信息安全受到巨大威脅，所以在校園網中，需要對網絡數(shù)據(jù)進行加密傳輸來保護網絡系統(tǒng)中的數(shù)據(jù)安全性。一個安全的加密網絡，可以有效防止非授權用戶獲取到信息和數(shù)據(jù)，保護用戶數(shù)據(jù)的安全。

2.5 防火墻

防火墻是內部網絡和外部網絡之間一道執(zhí)行控制策略的防御系統(tǒng)，通過防火墻可以建立一個數(shù)據(jù)過濾機制，對所有通過防火墻的數(shù)據(jù)按照一定的策略進行監(jiān)控和審查，來決定是否允許通過，從而達到保護內部信息不被外部非授權用戶非法訪問和過濾特定信息的功能。首先，防火墻可以起到網絡安全屏障的作用，管理員可通過制定相關安全策略防止非法用戶進入內部網絡，過濾不安全的服務，防止黑客的入侵攻擊，為內部人員建立一個安全的網絡屏障。其次防火墻能有效地對所有經過防火墻的內部和外部訪問進行記錄，形成完整的日志供網絡管理員查看。當有可疑情況發(fā)生的時候，防火墻會自動的發(fā)出適當?shù)木瘓螅⑶姨峁┰敿毜男畔⒐┕芾韱T查詢。防火墻還能夠通過對內部局域網進行劃分，對不同的局域網采取不同的訪問控制，來對重點網絡資源進行重點隔離保護，防止內部信息泄露。

2.6 入侵檢測（IDS）

入侵檢測技術可以對網絡活動和系統(tǒng)事件進行實時地、不間斷地、動態(tài)地監(jiān)控、檢測、響應、防御等過程。如果攻擊行為從內部發(fā)起，其通信過程不需要經過防火墻，這時候防火墻沒有辦法進行防御，所以就需要入侵檢測系統(tǒng)。入侵檢測系統(tǒng)實時監(jiān)視用戶、系統(tǒng)活動，對異常行為進行分析、對攻擊行為進行報警、識別違反安全策略的行為，在入侵和攻擊發(fā)生之前，采取相應措施，彌補防火墻的不足。

2.7 漏洞掃描

漏洞掃描即對目標中有可能存在的安全漏洞進行逐項檢測，使得網絡管理員可以及時發(fā)現(xiàn)網絡和主機中存在的對外開放端口、錯誤配置以及已知漏洞等，并及時采取適當?shù)奶幚泶胧﹣磉M行修補，有效地阻止入侵事件的發(fā)生。

2.8 備份與恢復

當校園網內系統(tǒng)發(fā)生故障或人為失誤時，以及由于外部非法入侵造成系統(tǒng)數(shù)據(jù)完整性可用性被破壞時，備份和恢復工作能夠幫助管理員迅速恢復受破壞的數(shù)據(jù)，把損失降到最低?？山?shù)據(jù)備份中心，將數(shù)據(jù)備份制度化，自動備份各個應用系統(tǒng)數(shù)據(jù)，減少管理員的工作量。

3 結論

校園網作為學校重要的現(xiàn)代化設施中最重要的一部分，其安全狀況直接影響著學校建設、教學、科研、生活等活動的順利運行。而由于其校園網自身的開放性及缺陷，從嚴格意義上來講不可能有絕對的安全，只有通過建立合理的管理制度、不斷加強用戶安全意識、提升管理人員能力、完善安全防護策略，才能及時發(fā)現(xiàn)校園網的威脅，將安全風險因素及損失降到最低。

[1]劉欽創(chuàng)．高校校園網的安全現(xiàn)狀與對策[J]．現(xiàn)代計算機，2015．

[2]李春霞．高校校園網安全防御體系的構建與實施[D]．蘭州：蘭州大學，2013．

[3]蔡新春．校園網安全防范技術的研究與實現(xiàn)[D]．合肥：合肥工業(yè)大學，2009．

[4]張慧敏，何軍，黃厚寬．入侵檢測系統(tǒng)[J]．計算機應用研究，2001．

圖2 安全提示

圖3危險警告

4 結語

智能手機的普及、移動4G的來襲以及二維碼技術的迅速發(fā)展，使得智能手機與二維碼緊密地結合在一起，這給二維碼在許多行業(yè)和領域帶來前所未有的應用價值。但是依然存在被誘導掃描帶有病毒軟件或釣魚網站二維碼的風險。一旦頁面跳轉至黑客設定的網址，用戶的個人信息就會被竊取，或者自己的手機就被植入了木馬病毒，這是十分危險的。因此，二維碼使用的普遍性以及由此引發(fā)的安全問題的嚴重性之間的矛盾極為突出，需要社會大眾予以足夠重視。

參考文獻：

[1]http：//www．cac．gov．cn/2016-01/22/c_1117858695．htm．

[2]Reto Meier．Professional Android Application Developm ent．Wiley，2009．

[3]曾子劍．基于 QR 二維碼編碼技術的研究與實現(xiàn)[D]．電子科技大學，2007．

[4]陸磊．智能手機平臺下的二維碼驗證系統(tǒng)設計與實現(xiàn)[D]．南京航空航天大學，2011．

[5]呂仁東．基于QR碼應用的倉庫管理系統(tǒng)設計[D]．國防科學技術大學，2006．