摘 要:随着校园网应用的深入,校园网的安全问题日益突出,防范措施越来越成为影响校园网络稳定的关键因素。如何使校园网安全、稳定、高效地运转,已成为各类高校越来越重视的问题。该文对目前高校校园网存在的安全问题和常见的威胁进行归纳分析,并提出加强高校校园网安全管理的相关防范对策与技术。
关键词:高校 校园网 安全风险 防范措施
Abstract: With the application of in-depth campus network, campus network security problems have become increasingly prominent, and preventive measures of the campus network is increasingly becoming a key factor in stability. How to make the campus safe, stable and efficient operation, various universities have become more and more attention. In this paper, the existence of the current campus network security issues and to summarize the common threat analysis, and the campus network security management to strengthen relevant prevention measures and technology.
Key words: Campus Network Security Analysis precautions
一、引言
高校校园网作为数字化校园的重要基础,担当着学校教学、科研、管理和对外交流等重要任务,为学校的教育、教学、生活提供了极大的方便,然而在享受校园网方便快捷的同时,校园网的安全问题也随之摆在我们面前,如何使校园网免受黑客的入侵、病毒的侵袭和其他不良意图的攻击等风险,已经成为高校需要解决的重大问题,也是校园网络管理的重要任务。
二、校园网的安全分析
一个安全的计算机网络应该具有保密性、完整性、可用性、可控性、可审查性与可保护性等特点,包括网络设备安全、网络系统安全和数据安全等。对校园网产生安全威胁的因素主要有以下六个方面:
(一)来自互联网的安全威胁
由于Internet的开放性、国际性与自由性,校园网将面临更加严重的安全威胁。如果校园网与外部网络间没有采取一定的安全防护措施,校园网很容易遭到来自外网黑客的攻击。如:黑客通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放的TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序进行攻击;黑客通过网络监听等手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息;黑客通过发送大量数据包对网络服务器进行攻击,使得服务器超负荷工作导致拒绝服务甚至系统瘫痪。
(二)来自校园网内活跃的用户群体
高校学生一直都是最活跃的互联网用户,对网络新技术充满好奇。很多学生的计算机技术水平比较高,精力旺盛又有很强的动手实践能力,他们时常有意无意地攻击校园网,并以此为乐。另外,很多学生通过校园网下载电影或是在线看电影、听音乐,容易造成网络堵塞和病毒传播。基于此,校园网管理者不但要防范来自外网对校园网的攻击,更要注意防范来自校园网内部的攻击。可以说,来自校园网内部的安全隐患比来自校园网外部的各种不安全因素破坏力更强、影响更广、威胁更大。
(三)来自应用程序的安全漏洞
应用程序系统是动态的、不断变化的,安全性也是动态的。这就需要我们针对不同的应用程序安全漏洞采取相应的安全措施,降低应用程序的安全风险。
1、盗版资源泛滥
由于部分学生缺乏版权意识,盗版软件和影视资源在校园网中大量使用,这一方面占用了网络带宽,另一方面也给整个校园网安全带来了一定的隐患。一些盗版软件在安装的计算机系统中留下大量的安全漏洞。再者,从网上随意下载的软件中可能隐藏木马、后门等恶意代码,可能被不怀好意者利用,造成不必要的损失。
2、内部资源共享
校园网内部有办公自动化系统,而办公网络应用通常是共享网络资源,缺少必要的访问控制策略,教职工就可能有意、无意的把硬盘中重要信息长期暴露在网络上,被轻易窃取并传播出去造成泄密。
3、病毒侵袭危害
病毒程序可以通过网上下载、电子邮件、盗版光盘等传播途径潜入校园网。校园网中一旦有一台计算机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散,传播到校园网上的所有计算机,可能造成信息泄漏、文件丢失、电脑死机,甚至网络瘫痪等严重后果。
4、电子邮件传播
校园网用户可通过邮件系统发送和接收电子邮件,这就有可能被黑客跟踪或收到一些木马、病毒程序等,由于许多学生安全意识比较淡薄,对一些来历不明的邮件没有警惕性,从而给入侵者提供机会,给系统带来不安全因素。
(四)来自系统自身的安全缺陷
系统安全是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然留有“后门”,而且系统本存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。
(五)来自硬件设备的安全威胁
校园网是面向全校师生员工一个平台,校园网中的设备来源复杂,批次较多,各院系的办公设备,一般没有专人维护,难以统一管理,出现安全问题后不能及时发现和解决。用户的计算机接入校园网后感染病毒,反过来这台感染病毒的计算机又会影响到校园网的安全运行。
(六)来自网络设备自身的物理安全
网络物理安全是整个网络系统安全的前提。物理安全的威胁主要有:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电导致操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏。
三、校园网安全的主要对策
(一)安全管理对策
俗话说,网络安全是“三分技术,七分管理”,安全管理贯穿于安全防范体系的始终。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。学校应该加强对网络使用者安全理论、安全技术以及专业业务的培训,提高他们的网络安全防范意识;同时必须建立了一套校园网络安全管理模式,制定有详细的安全管理制度,确定安全管理等级和安全管理范围;制订有关网络操作使用规章制度;制定网络系统的维护制度和应急措施等;构建安全管理平台,组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件,实现校园网的安全管理。
(二)物理安全对策
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致的破坏。它主要包括两个方面:
1、环境安全。对系统所在环境的安全保护,如区域保护和灾难保护;
2、设备安全。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
(三)逻辑安全对策
尽量采用安全性较高的网络操作系统并进行必要的安全配置;关闭一些不常用却存在安全隐患的应用程序;对一些保存有用户信息及其口令的关键文件使用权限进行严格限制;加强口令字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令),并及时给系统打补丁,系统内部的相互调用不对外公开。
在应用系统安全上,应用服务器尽量不要开放一些不常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如TELNET、RLOGIN等服务;加强登录身份认证,确保用户使用的合法性,严格限制登录者的操作权限;充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
四、校园网安全的主要技术
网络安全的主要技术有防病毒技术、防火墙技术、信息加密和数字签名技术、入侵检测技术、黑客诱骗技术、报文验证技术、身份识别技术等八个方面。
(一)病毒防护技术
计算机病毒不仅发生的频率高、损失大,而且潜伏性强、覆盖面广。具有不可估量的威胁性和破坏力。防病毒技术包括预防病毒、检测病毒、消除病毒等技术。
1、病毒预防技术
计算机病毒预防是指在病毒尚未入侵或刚刚入侵时,就拦截、阻击病毒的入侵或立即报警。预防病毒主要有以下几个方面:
(1)安装防病毒软件,并及时、可靠升级反病毒产品。
(2)对重要程序或数据要经常做备份,以便在感染上病毒后尽快得到恢复。
(3)不复制非法软件,不使用盗版软件。
(4)不使用来历不明、无法确定是否带有病毒的磁盘。
(5)不体验来历不明的游戏,不打开来历不明的电子邮件,不登陆不了解的网站。
(6)定期对计算机进行系统病毒检测。
2、病毒检测技术
检测病毒技术是通过对病毒的特征来进行判断的侦测技术,如自身校验、关键字、文件长度的变化等。病毒检测一直是病毒防护的支柱,但随着病毒的数目和可能的切入点的大量增加,识别古怪代码串的进程变得越来越复杂,而且容易产生错误和疏忽。将病毒检测、多层数据保护和集中式管理等多种功能集成起来,形成多层次防御体系,既具有稳健的病毒检测功能,又具有客户机/服务器数据保护能力。
对于内部病毒,如客户机感染的病毒,通过服务器防病毒功能,在病毒从客户机向服务器转移的过程中杀掉,把病毒感染的区域限制在最小范围内。
校园网防病毒软件不仅要安装在关键的服务器上,网络内部其他环节也要安装,同时及时更新病毒代码库。防病毒软件必须能从邮件、FTP文件、网页、光盘等所有可能带来病毒的信息源进行监控和病毒拦截。在选择防病毒软件时要考虑病毒查杀能力、病毒代码更新能力、实时监控能力、快速方便的升级能力、占用系统资源情况等因素。
国产常用的杀毒软件有:360杀毒、瑞星、江民、金山毒霸等。不过,360杀毒最好搭配安装使用360安全卫士。国外常用的杀毒软件有:卡巴斯基、诺顿、east nod32、小红伞等。
(二)防火墙技术
防火墙是指隔离在本地网络与外界网络之间的一道防御系统,它是保护可信网络(用户内部网)不受非可信的外部网(国际互联网)访问的机构,是整体安全防护体系的一个重要组成部分。
1、信息包过滤防火墙
信息包过滤防火墙通过检测信息包TCP和IP标题中包含的信息(源地址、目的地址、应用程序或协议、TCP/UDP源端口码、TCP/UDP目的端口码),决定接受和拒绝该信息。
2、链路级网关
链路级网关放置在内部网和外部网之间,监视从可信客户机或服务器到非可信主机及从非可信主机到可信客户机或服务器之间的TCP通信,以便确定被请求的会话是否合法
3、应用级网关
应用级网关对进出可信网络的信息包进行阻断,并运行代理程序复制和转发跨网关的信息。同时它也起到了一种代理服务器的作用,防止任何可信服务器或客户机与非可信主机之间的直接连接。
4、复合型防火墙
复合型防火墙是上述三类防火墙相结合的产物,提供了更佳的性能和安全性。复合型防火墙有:双归属网关、屏蔽主机网关和屏蔽子网防火墙。
(三)信息加密和数字签名技术
信息加密技术是与防火墙配合使用的技术,是通过对信息的重新组合,使得只有收发双方才能解码还原信息,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。
数字签名技术是基于公共密钥的身份验证,它提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。大多数电子交易采用两个密钥加密:密文和用来解码的密钥一起发送,而该密钥本身又被加密,还需要另一个密钥来解码。这种组合加密被称为数字签名,它有可能成为未来电子商业中首选的安全技术。
按作用不同,信息加密和数字签名技术可分为以下四种:
1、数据传输加密技术
对传输中的数据流加密有线路加密和端对端加密两种方式。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护;后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文加密成密文,然后进入TCP/IP数据包封装穿过互联网,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。
2、数据存储加密技术
防止在存储环节上的数据失密有密文存储和存取控制两种方式。前者一般是通过加密法转换、附加密码、加密模块等方法实现;如PGP加密软件,它不光可以为互联网上通信的文件进行加密和数字签名,还可以对本地硬盘文件资料进行加密,防止非法访问。
3、数据完整性鉴别技术
数据完整性鉴别是系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。这种鉴别技术主要应用于大型的数据库管理系统中。数据库系统会根据不同用户设置不同访问权限,并对其身份及权限的完整性进行严格识别。
4、密钥管理技术
运用密钥对数据进行加密,这就涉及了一个密钥的管理问题,因为用加密软件进行加密时所用的密钥通常不是我们平常所用的密码那么仅几位,至多十几位数字或字母,一般情况这种密钥达64bit,有的达到128bit,我们不可能完全用脑来记住这些密钥,只能保存在一个安全的地方,所以这就涉及到了密钥的管理技术。
(四)入侵检测技术
入侵检测技术是一种积极主动的安全防护技术,它提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。它在计算机网络系统中设置若干关键点来收集信息,并将信息输入到检测系统之中来分析判断这些信息,看看网络中是否存在违反安全策略的行为或遭到袭击的迹象,从而帮助系统管理人员对付网络攻击的安全管理能力(包括安全审计、监视、进攻识别和响应)。入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。
(五)黑客诱骗技术
黑客诱骗技术是近期发展起来的一种网络安全技术,通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统,当黑客正为攻入目标系统而沾沾自喜的时候,他在目标系统中的所有行为,包括输入的字符、执行的操作都已经为蜜罐系统所记录。蜜罐系统管理人员通过研究和分析这些记录,可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平。同时在蜜罐系统中记录下的信息还可以作为对黑客进行起诉的证据。蜜罐是增强现有安全性的强大工具,是了解黑客常用工具和攻击策略的有效手段。
黑客通常有获取口令、放置特洛伊木马程序、WWW的欺骗技术、电子邮件攻击、通过一个节点来攻击其他节点、网络监听、寻找系统漏洞、利用帐号进行攻击和偷取特权等九种攻击方法。
(六)报文验证技术
所谓报文验证就是指在两个通信实体之间建立通信联系之后,对每个通信实体收到的信息进行验证以保证所收到的信息是真实的。它主要包括以下内容:报文是有确认的发方产生的;报文内容没有被非法修改过;报文是按照与其传送时间相同的顺序收到的。
(七)身份识别技术
系统的安全性常常依赖于对终端用户身份的正确识别与检验,以防止用户的欺诈行为。身份验证一般包括两个方面的含义:一个是识别,一个是验证。所谓的识别是指对系统中的每个合法用户都具有识别能力。所谓验证是指系统对访问者自称的身份进行验证,以防假冒。身份的验证主要有以下几种方法:口令和通行字的方法;利用信物的身份验证;利用人类生物学特性进行身份验证。
(八)备份和容灾技术
备份就是将数据以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程。容灾是通过在异地建立和维护一个备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。数据备份更多的是指数据从在线状态,剥离到离线状态的过程。由于容灾技术的目的,是为了保证系统的可用性,也就是说,当意外发生时,系统所提供的服务和功能不会因此而间断。即保护系统的在线状态。
即便系统正常工作,没有任何数据丢失或破坏发生,备份工作仍然具有非常大的意义,它为我们进行历史数据查询、统计和分析,以及重要信息归档保存提供了可能。
五、结束语
高校校园网络安全是一个动态发展过程,是检测、监视、安全响应的循环过程,内部人员的蓄意破坏、管理操作者的失误、网络黑客的攻击、操作系统公开或未公开的漏洞、网络架构的变动、网络安全人才的缺乏都将导致网络系统的不安全,因此,校园网络安全及技术防范任重而道远,网络安全防范体系的建立不可能一劳永逸。随着计算机技术的发展,新技术的不断涌现和使用,新的安全问题也不断涌现,对网络安全的防范策略也要不断改进,保证网络安全防范体系的良性发展,确保校园网络朝着健康、安全、高速的方向发展。
参考文献:
1、马斌, 校园网的安全问题及管理对策[J]. 交通职业教育,2004(6).
2、赵良涛, 校园网络安全技术浅析[J].教育技术通讯,2005.
3、蔡向阳,浅谈高校校园网的安全现状及其对策[B].电脑学习2010(06)