高校校园网安全分析及防范策略
来源:用户上传
作者: 陈 震
摘要:随着高校校园网规模的逐渐扩大和系统应用的不断深入,校园网在高校的教学、科研以及管理中发挥着越来越重要的作用。但校园网络安全问题日益突出,文章简要介绍了威胁校园网安全的因素以及相应的防范策略。
关键词:高校校园网;网络安全;防范策略
一、引言
随着计算机网络技术的飞速发展,其应用已逐渐渗透到经济、军事、科技、教育等各个领域和“校校通”工程的日益推进,很多高校都建设了校园网并通过各种渠道接入了internet,在享受Internet方便快捷的同时,校园网络也是学校重要的基础设施,担当着学校教学教务管理、科研、行政管理和对外交流等许多角色,不仅给高校的教育带来巨大的帮助,也给学生提供了大量的信息。校园网安全状况直接影响着学校的教学活动,随着现代网络应用的不断深入,使得校园网络安全问题也不断暴露出来、日益突出。例如非授权访问、冒充合法用户、恶意软件和网络病毒传播等,干扰系统正常运行造成网速变慢、信息丢失以及网络瘫痪等严重后果。因此,如何构筑相对可靠的校园网安全体系是每一所高校必须解决的问题。
二、校园网安全存在的威胁分析
(一)网络硬件安全问题
网络的硬件安全风险主要有环境事故(如地震、水灾、火灾、雷电等)、电源故障、人为操作失误或错误、设备被盗或被毁、电磁干扰、线路截获等。例如,网络设备遭受雷击,雷雨天气时,即使关闭电脑,也有可能烧坏主版、网卡和所连接的交换机端口,造成电脑和楼宇交换机等设备的损坏等;日常工作中因断电造成设备损坏、数据丢失的现象也时有发生;另外,户外光缆容易遭受其他施工时意外破坏。
(二)防火墙局限性
防火墙实质上就是一种隔离控制技术,将网络分成内部网络和外部网络两部分(见图1),是设置在被保护网络和外部网络之间的一道屏障,检查和检测所有进出内部网络的信息流,以便防止未经授权的通信进出被保护的内部网络。虽然它是目前保护网络安全的有效手段,但也存在一定的局限性:不能防范不经过防火墙的攻击和威胁;防火墙只能对跨越边界的信息进行检测、控制,而对网络内部人员的攻击不具备防范能力;不能完全防止传送已感染病毒的软件或文件;防火墙难于管理和配置,容易造成安全漏洞。
(三)系统安全问题
在校园网络环境中,网络系统的安全性依赖于网络中各节点主机系统的安全性,而主机系统的安全性正是由操作系统的安全性所决定的。没有安全的操作系统的支持,校园网络安全也毫无根基可言。目前校园网中服务器常用的操作系统有Windows 2003Server、Unix、Linux等,这些操作系统存在不同程度的安全漏洞,在某种程度上对网络安全构成了威胁,例如UNIX服务器、NT服务器及Windows桌面PC存在系统漏洞。这些都给予黑客入侵的机会,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者,对校园网安全构成威胁;另一方面网络协议本身缺乏安全性,由于网络系统内运行着多种网络协议(TCP/IP,IPX/SPX,NETBEUA),而这些网络协议并非专门为安全通讯而设计,使得网络存在安全威胁。如TCP/IP协议族软件,本身缺乏安全性。
(四)网络病毒传播问题
计算机病毒问题是一个常见网络安全问题,也是计算机网络世界里的一个永恒问题。网络病毒的传播无需普通的用户介入,它们的传播途径广,传播速度快,造成的危害极大,几乎到了令人防不胜防的地步。网络病毒侵入校园网后,自动收集有用信息,或者是自动探测其他计算机上存在的漏洞,通过局域网传播,在很短的时间内就可以使校园网内部几百台电脑中病毒,导致整个校园网瘫痪,对校园网安全构成威胁。
(五)黑客入侵攻击问题
随着网络在快速发展和普及,越来越多的人使用并掌握一定的网络技术,特别是现在网络上提供了大量的傻瓜化的黑客入侵攻击软件,人们可以很方便的下载并使用这种工具软件对网络实施攻击,黑客还可以从校园网的薄弱环节入手,迅速地完成对校园网络用户身份的窃取和非法地对信息资源进行访问和处理进而完成对整个校园网络的攻击。
(六)校园网络内部威胁
校园网络安全的威胁既可以来自内部网,又可以来自外部网。根据不同的研究结果表明,大约有70-85%的安全事故来自内部网。首先,由于内部用户对网络的结构和应用模式都比较了解,网络上的黑客攻击工具泛滥成灾,很容易利用这些工具进行攻击校园网,影响网络正常使用;其次,网络管理员的无意失误,如安全口令选择不当、用户权限设置过大等等,同样给校园网络带来致命的威胁。
三、校园网络安全防范策略
(一)校园网的规划
VLAN技术的核心是网络分段,可将网络分段为物理分段和逻辑分段两种方式。在实际应用过程中,通常将二者相结合。按学校职能划分不同的VLAN,在一定程度上起到了网络隔离的作用,即使局域网机器中病毒,也只是被限制在某一网段之内,不至于扩散到整个网络;同时在三层交换机上通过访问控制列表对不同网段的访问进行限制。
(二)物理安全策略
物理安全是校园网络安全的最基本保障,是整个校园网络安全系统中不可缺少和忽视的组成部分。在校园网规划设计阶段,就应该充分考虑到网络设备的安全问题。如安装网络防雷系统、防电磁辐射、抗电磁干扰以及电源保护等,通过相应的防护措施,实现对校园网络的有效保护。防止户外光纤或其他网络通信线缆被意外挖断,主要的措施可以采取线缆深埋地下,并且在地面上做好相关的标记说明,同时在学校的建筑规划图纸上也作相应的标注。可以避免此类意外事件的发生。
(三)合理配置防火墙
防火墙位于校园网和Internet之间,只有通过防火墙,校园网和Internet用户才能互相访问。利用防火墙的信息过滤功能,可以过滤掉有害信息,保障网络的安全。其中FTP、WWW、DNSE-mail服务器安置在防火墙的DMZ区(即“非军事区”,DMZ可以阻止内网和外部网络直接通信,以确保内网安全),与内、外部网络间进行隔离,内网接口连接校园网内网交换机,外部网络接口通过路由器和Internet连接。通过Internet进来的外部网络用户只能访问到对外公开的服务(如FTP、WWW、DNSE-mail等),既可以保护内网资源不被外部网络非授权用户的非法访问或破坏,也可阻止内部用户对外部网络相关资源的使用,同时还能够对发生在网络中的安全事件进行跟踪和审计。
在防火墙设置上,按照下面原则来配置以提高网络安全性:
1、根据校园网安全策略和目标,规划设置合理的安全过滤规则,审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外部网络的对校园内网的不必要的、非法的访问。总原则是“不被允许的服务就是被禁止”。
2、在防火墙上作配置,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击,过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
3、在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
4、定期查看防火墙访问日志,以便及时发现攻击行为和不良的上网记录。
(四)校园网络安全监测
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统(Intrusion Detection System,IDS)中利用审计日志,能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全,提高信息的完整性。在校园网络中最好采用混合入侵检测,即采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。这些系统或措施在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
(五)防范网络病毒传播,限制影响范围
病毒传播速度快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于校园网的全方位防病毒软件。校园网的管理员只要及时在服务器端进行升级,客户端启动后就可自动升级,网管员还可对所有安装客户端的计算机进行病毒监控、进行远程杀毒,及时了解校园网中病毒疫情。另外,定期或不定期对防病毒软件升级,使校园网络免受病毒的侵袭。
(六)盗用合法IP问题的解决
解决IP地址盗用问题的最有效方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝;另外一种解决方法就是使用静态ARP表实现路由器隔离,即路由器中IP与MAC地址的映射采用静态设置,而不通过ARP来获得,这样当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
(七)建立安全管理队伍
俗话说,网络安全是“三分技术,七分管理”,安全管理是贯穿于安全防范体系的始终。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。学校应该加强对网络使用者安全理论、安全技术以及专业业务的培训,同时必须建立了一套校园网络安全管理模式,制定有详细的安全管理制度,并采取切实有效的措施保证制度的执行。
四、结束语
校园网络安全是一个动态发展过程,是检测、监视、安全响应的循环过程。对网络安全防范体系的建立不是一劳永逸的,随着计算机技术的发展,新技术的不断涌现和使用,新的安全问题也不断涌现,在对网络安全的防范策略要不断改进,保证网络安全防范体系的良性发展,确保校园网络朝着健康、安全、高速的方向发展。
参考文献:
1、伍锦群.防火墙技术的探讨[J].长春理工大学学报,2008(2).
2、阎慧.防火墙原理与技术[M].机械工业出版社,2004.
3、王建平.网络安全与管理[M].西北工业大学出版社,2008.
4、王凤英,程震.网络与信息安全[M].中国铁道出版社,2006.
5、张新刚,刘妍.防火墙技术及其在校园网络安全中的应用[J].网络安全技术与应用,2006(5).
(作者单位:福州外语外贸职业技术学院计算机系)
转载注明来源:https://www.xzbu.com/2/view-429872.htm