科技信息 计算机与网络 高校校园网安坌问题分析与对策 宁夏轻工业学校 张颖 [摘要]本文针对目前宁夏高校校园网面临的各种安全威胁进行了分析,主要从校园网网络安全现状;校园网络存在的风险提出了 校园网络系统安全对策。 1、引言 随着tnternet的迅速发展和应用的普及,计算机网络已经深入教 育、、商业、军事等各行各业,像电话、交通、水、电一样,成为社会重 要的基础设施。虽然近几年网络安全产品在技术角度已经实现了巨大 设备,引起网络阻塞、网关死机甚至交换设备死机,造成网络的瘫痪。 33外来的系统入侵、攻击等恶意破坏行为,有些计算机已经被攻 破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针 对重点高校的网站和服务器。 进步,在构建网络安全体系方面提供了更加多样化的选择,然而不幸的 是,近年来大规模的网络安全事件接连发生,互联网上蠕虫、拒绝服务 攻击、网络欺诈等新的攻击手段层出不穷,导致的泄密、数据破坏、业务 无法正常进行等事件屡屡发生。就目前的校园网络而言,有些学校的校 园网几乎是不设防的网络。 2、高校校园网网络安全现状 2.1校园网的速度快和规模大。高校校园网是最早的宽带网络,普 遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps,目前普 遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户 群体一般也比较大,少则数千人、多则数万人。高校学生一般集中住宿, 因而用户群比较密集。正是由于高带宽和大用户量的特点,网络安全问 题一般蔓延快、对网络的影响比较严重。 2.2校园网中的计算机系统管理比较复杂。校园网中的计算机系统 的购置和管理情况非常复杂,比如学生宿舍中的电脑一般是学生自己 花钱购买、自己维护的,有的院系是统一采购、有技术人员负责维护的, 有些院系则是教师自主购买、没有专人维护的。这种情况下要求所有的 端系统实施统一的安全(比如安装防病毒软件、设置可靠的口令) 是非常困难的。由于没有统一的资产管理和设备管理,出现安全问题后 通常无法分清责任:比较典型的现象是,用户的计算机接人校园网后感 染病毒,反过来这台感染病毒的计算机又影响了校园网的运行,于是出 现端系统用户和网络管理员相互指责的现象。更有些计算机甚至服务 器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板、变 成攻击试验床也无人觉察。 2.3活跃的用户群体。高等学校的学生通常是最活跃的网络用户, 对网络新技术充满好奇,勇于尝试 如果没有意识到后果的严重性,有 些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对 网络造成一定的影响和破坏。 2.4开放的网络环境。由于教学和科研的特点决定了校园网络环境 应该是开放的、管理也是较为宽松的:比如,企业网可以允许Web 浏览和电子邮件的流量,甚至外部发起的连接不允许进入防火墙, 但是在校园网环境下通常是行不通的,至少在校园网的主干不能实施 过多的,否则一些新的应用、新的技术很难在校园网内部实施。 2.5有限的投入。校园网的建设和管理通常都轻视了网络安全,特 别是管理和维护人员方面的投入明显不足。在中国大多数的校园网中, 通常只有网络中心的少数丁作人员,他们只能维护网络的正常运行,无 暇顾及、也没有条件管理和维护数万台计算机的安全,院、系一级的专 职的汁算机系统管理员对计算机系统的安全是非常重要的 2.6盗版资源泛滥。由于缺乏版权意识,盗版软件、影视资源存校园 网中普遍使用,这些软什的传播一方面占用了大量的网络带宽,另一方 面也给网络安全带来了一定的隐患。比如,Microsoft公司对盗版的XP 操作系统的更新作了,盗版安装的计算机系统今后会留下大量的 安全漏洞:另一方面,从网络上随意下载的软件f11可能隐藏木马、后门 等恶意代码,许多系统因此被攻击者侵入和利用。 3、高校校园网络存在的风险 3.1非法入侵威胁。高校校园网提供www服务、EMAIL服务、远 程教学、视频点播等多项服务,是广大师生进行教学与科研活动的主要 平台。但由于校园网的独特要求,使得校园网内的服务器对网内用户的 较少,再加上操作系统本身存在的安全漏洞,这些都对校园网内的 服务器群构成一定安全威协。 3_2恶意代码威胁。恶意代码的威胁包括计算机病毒以及利用系统 漏洞的各种恶意攻击。其中,计算机病毒特别是蠕虫病毒是近年来影响 汁算机网络的主要威胁。病毒主要有两个来源,从传人的病毒,以 及内网病毒。由于局域网内用户众多,而且缺乏统一的管理,因此很容 易造成计算机病毒的传播。近几年,网络蠕虫以及利用RPC等漏洞进 行攻击的冲击波、振荡波等病毒,已经严重威胁了高校网络各项应用的 正常使用。例如:由于计算机中毒,造成各项网络服务无法使用;由于局 域网内计算机中毒,产生大量数据包,冲击网络出口的硬件网关等网络 ...——234...—— 3.4内部用户的攻击行为,这些行为给校园网造成了不良的影响, 损害了学校的声誉。 3.5校园网内部用户对网络资源的滥用,有的校园网用户利用免费 的校园网资源提供商业的或者免费的视频、软件资源下载,占用了大量 的网络带宽,影响了校园网的应用。 3.6垃圾邮件、不良信息的传播,有的利用校园网内无人管理的服 务器作为中转,严重影响学校的声誉。 4、高校校园网络系统安全对策 4.1防火墙技术 (1)硬件防火墙:硬件防火墙主要用于对网络中的数据访问进行限 制,提供对系统的访问控制和集巾的安全管理,防止不安全的数据访问 和服务。比如:用户对内网服务器的访问。目前,硬件防火墙按 其实现架构可分为三类:基于通用处理器的工控机架构(PC架构)防火 墙、基于NP技术的硬件防火墙、基于ASIC芯片的硬件防火墙。工控机 架构最大的优点是灵活性好,但在大数据流量的网络环境中处理效率 不理想 (2)软件防火墙:软件防火墙成本较低,安装方便,使用简单,能够 满足个人用户单机防护的基本需求。包括防止黑客攻击、保证信息安 全、监测计算机运行状况等功能。 (3)VPN:VPN(Virtual Private Network)将物理分布在不同地点的网 络通过公用骨干网,尤其是Internet连接形成一个虚拟子网。根据其功 能的不同,VPN又可分为用于实现单位内部异地分芰机构安全互联的 Intranet VPN,以及与其他合作伙伴安全互联的Extranet VPN 4.2防病毒技术 (1)硬件防病毒:硬件防病毒产品主要有硬件防病毒网关、带病毒 过滤功能的防火墙等,主要用于网络的入口处,采用内嵌的内容过滤、 病毒过滤技术,对经过该设备的多种协议的数据进行扫描,并提供强大 的审计与监控功能 能有效的防止从流人的病毒、蠕虫的攻击。由 于硬件设备具有高速、稳定、 易受攻击等优点,硬件防病毒技术正逐 渐成为一种趋势,被集成到交换机等常用网络设备中。 (2)软件防病毒:针对网络病毒的泛滥,合理的部署网络版杀毒软 件,从源头控制病毒的扩散,能够有效的降低蠕虫等病毒的危害程度, 降低病毒造成的损失 在选择网络版杀毒软件时,病毒库的升级速度、 客户端的资源占用情况、软件的易操作性以及是否有强大的管理功能 都是我们需要考虑的闽素。 (3)IDS和IPS技术:入侵检测系统(IDS)是指“通过对行为、安全日 志或审计数据或其它网络土二可以获得的信息进行操作,检测到对系统 的闯入或闯入的企图”(参见国标GB/TI8336)。入侵检测系统只对网络 上不安全的操作进行报警,与路由器或防火墙联动后,也可以进行数据 的阻断。但是,由于IDS系统的被动性以及识别的准确性不高,因此在 使用中仍存在很多问题。入侵防护系统(IPS)采用行为规则技术,在发现 攻击事件时,立即进行阻断。而且,它能够执行一些应用层的访问策略, 对来自正常端口的攻击进行有效防护。 5、结束语 互联网的各种安仝威胁在校同网的运行和管理中表现得尤为突 出,加强校园网的安全管理是当前非常迫切、充满挑战的任务。各高校 校园网应加强安全、安全管理组织和技术培训,增大安全管理的投 人,共同做好校园网的安全管理工作,建设一个安令、可信的教育和科 研网络环境 、 参考文献 [1]李艳华高校计算机机房的行为管理北京:中国教育技术装备, 2006 [2]胡道元,闽京华网络安全 M]北京:清华大学出版社,2004 『3]段海新.校园网安全问题分析与对策2005年9月. [4]姚兰,王新梅.防火墙与入侵检测系统的联动分析[门.信息安全 与通信保密,2002.08).
