摘要:随着网络技术的发展,校园网络安全问题日益突出,该文简要介绍了威胁网络安全的因素以及相应的对策。
关键词:校园网;安全;威胁;解决方案
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6640-03
On Campus Network Security Problems and Countermeasures
ZHOU Xi
(Hefei University of Technology, Hefei 230009, China)
Abstract: With the development of network technology,the problem of campus network security is becoming more and more serious.This article briefly introduces the facts that threatened network security and settling methods of campus network.
Key words: campus network; security; threat; solution
在最近几年中,我们各高校校园网的网络基础设施得到了更新,也使我们的校园网规模得以扩大并覆盖整个校园,校园网技术得到了升级,不断部署各种校园网应用系统。通过科研需求、教学应用、网络办公、网上娱乐等方面,网络应用逐渐渗透到了校园生活的方方面面。网上办公,上网备课,网上教学,网上搜索、学习,接收邮件,网络聊天,游戏娱乐,购物,校园用户联网的时间一天天延长。2008年教育部科技发展中心公布的相关数据显示,99.1%的高校教学、科研、行政办公已经全部联入校园网,93.5%高校的教室已提供了校园网接入环境,85%的学校在学生宿舍已经接入网络,今天校园网几乎覆盖了各高校的每个角落。
1 校园网络安全方面存在的问题
1.1 网络入侵
指具有熟练的编写和调试计算机程序的技巧,并使用这些技巧来获得非法或未授法的网络或文件访问,入侵进入他方内部网的行为。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限;或者是作为进一步进入其他系统的跳板;或者恶意破坏这个系统,使其毁坏而丧失服务能力。
1.2 后门和木马程序
从最早计算机被入侵开始,黑客们就已经发展了“后门”这门技术,利用这门技术,他们可以再次进入系统。木马,又称为特洛伊木马,是一类特殊的后门程序,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
1.3 计算机病毒和蠕虫
计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与传统的病毒不同,蠕虫病毒以计算机为载体,利用操作系统和应用程序的漏洞主动进行攻击,是一种通过网络传统的恶性病毒。它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。
1.4 拒绝服务(DoS)
攻击DoS是一种很简单,但也是很有效的进攻方式,这种进攻方式没有方法能够阻止。它的目的就是拒绝服务访问,破坏组织的正常运作,最终会使部分Internet连接和网络系统失效。除此之外,还有针对www服务、ftp服务、tftp服务等的拒绝服务攻击。拒绝服务攻击由于其操作简单、攻击者易于隐藏、攻击效果明显等优点,得到广泛应用和快速发展,近年来又出现了分布式拒绝服务攻击(DDoS),从而大大提高了攻击的效果。
1.5 对加密算法的攻击
一般来说破译者可对密码进行惟密文攻击、己知明文攻击、选择密文攻击和选择明文攻击及穷举攻击。对特定算法还有特定攻击方法,如对DES这类迭代分组密码可选择差分密码分析、能量攻击法。
1.6 端口扫描
端口扫描是一种获取主机信息的方法。利用端口扫描程序扫描网络上的一台主机,可以从扫描的端口数目和端口号来判断出目标主机运行的操作系统,结合其它扫描信息进而掌握一个局域网的构造。
1.7 对网络协议TCP/IP弱点的攻击
在最初设计TCP/IP各类协议时,由于假设网络是安全的,没有考虑网络安全问题,网络协议或缺乏认证机制或缺少数据保密性,因此可能被攻击者加以利用而入侵网络。
1.8 垃圾邮件
随着网络的快速发展,通过电子邮件进行的商品虚假宣传等不法行为不仅损害了消费者的合法权益,浪费网民的宝贵时间,占用大量网络资源,而且严重扰乱了市场经济秩序,造成巨大经济损失。
1.9 其它网络安全隐患
主要表现有:搭线窃听或线路干扰;身份截取或中继攻击;人为地破坏网络设施造成网络瘫痪等。
目前,如何保护好自己的信息不受侵犯及如何有效地预防他人非法入侵等一系列信息安全课题已经引起国内外有关人士的热切注视,并且已经发展成为一个有相当规模的产业。
2 校园网络安全对策
2.1 网络规划设计应合理
这里主要想针对网络硬件的安全提出对策,防雷击方面的措施。目前可以采用安装网络防雷系统。该系统分为电源防雷器和信号防雷器,分别保护网络电源和网络信号系统,安装在需要保护设备的前端部位,可以将雷击或雷击感应的电流由此前端被释放到地,并将过电压限制在设备可以承受的范围之内,从而起到保护网络设备和网上设备的目的。
另一个问题是防止户外光纤或其他网络通信线缆被意外挖断,主要的措施可以采取线缆深埋地下,并且在地面上做好相关的标记说明,同时在学校的建筑规划图纸上也作相应的标注。可以避免此类意外事件的发生。
2.2 及时更新系统,优化系统配置
首先,针对目前主流网络操作系统和网络设备的系统漏洞,我们可以采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。及时更新系统,如打上系统补丁、及时更新杀毒软件。
其次,对每个网络用户设置相应的权限,并应用策略要求每个网络用户设置较为健壮的用户口令。防止网络用户拥有过大的系统权利,造成入侵或过失操作。
再有,关闭不必要的网络服务。原因很简单,开放越多的网络服务,就意味着更大的机会存在漏洞,更不安全。
2.3 合理配置互联设备
首先,在Internet与校园网内网之间通常都要部署防火墙,以便在内外部网络之间建立一道牢固的安全屏障。其中FTP、WWW、DNS、E-mail服务器安置在防火墙的DMZ区(即“非军事区”,DMZ可以阻止内网和外部网络直接通信,以确保内网安全),与内、外部网络间进行隔离,内网接口连接校园网内网交换机,外部网络接口通过路由器和Internet连接。这样一来,通过Internet进来的外部网络用户只能访问到对外公开的一些服务(如FTP、WWW、DNS、E-mail等),既可以保护内网资源不被外部网络非授权用户的非法访问或破坏,也可以阻止内部用户对外部网络相关资源的使用,同时还能够对发生在网络中的安全事件进行跟踪和审计。
其次,在防火墙设置上我们按照下面原则来配置以提高网络安全性:
1) 根据校园网安全策略和目标,规划设置合理的安全过滤规则,审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外部网络的对校园内网的不必要的、非法的访问。总原则是“不被允许的服务就是被禁止”。
2) 在防火墙上作配置,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
3) 在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
4) 定期查看防火墙访问日志,以便及时发现攻击行为和不良的上网记录。
2.4 防范网络病毒传播,限制影响范围
针对这个问题,可以从多个角度来采取不同的办法解决。首先,现在有这么一种解决办法,就是在校园网中安装一个安全系统,这个安全系统对所有接入校园网的每一台主机作一个安全身份认证和系统安全检查,对有安全漏洞有机器,强制为其安装补丁或更新病毒库之后才允许接入网络。目前国内方面有锐捷网络公司开发的GSN系统,该系统集自动防御(自御)、自动修复(自愈)与自动学习(自育)三大功能于一体,从而使网络安全防御体系从被动防御转向主动防御、自动修复、自动学习的安全防御体系。
其次,可以利用VLAN技术,在学校的不同网段或不同的宿舍、办公室划分VLAN,实现隔离。这样做的好处是隔离广播范围,即如果有局域网机器中了网络病毒,也只是被限制在本网段之内,不至于扩散到整个网络。
2.5 过滤站点或服务,保障网络性能
校园网里面影响网络性能的一个重要因素是存在大量下载,包括BT下载,或在线观看视频电影等。这些都会导致网络性能下降。相应的解决办法可以有:在网络对外节点如防火墙或者路由器上作相应的设置,屏蔽诸如BT、P2P之类的数据流量通过;也可以在校园网络中心设置以流量计费的方式,以控制学校网络出口带宽的数据流量,使得网络出口带宽负载适中,保证网络通畅,网络性能稳定。
2.6 防范黑客入侵攻击
由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。我们的安全防范措施也应该重视内部情况。目前常用的办法有:部署IDS(入侵检测系统)。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据校园网络的特点,我们采用各种入侵检测系统,入侵检测引擎可以接入到高档的中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。目前的入侵检测系统多数集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外部网络之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,IDS还可以发出实时报警,使学校管理员能够及时采取应对措施。
3 结束语
该文针对校园网环境的实际情况,分析了校园网络的安全威胁的若干因素,并提出了相应的对策;其中防火墙是目前安全技术使用最广泛的技术,防火墙除了使用上面介绍的方案之外还可以使用其他技术加强校园网安全,同时还可以运用VLAN技术来加强内部网络管理。总之,校园网络的安全管理是全方位的,只有从规划和日常管理等各个环节抓起.综合利用各种网络安全技术手段.才能有效地确保校园网络安全、可靠、稳定地运行。
参考文献:
[1] 马骏,周君仪.浅谈校园网网络安全及防范技术[J].广西轻工业,2001.
[2] 单征.网络黑洞攻击与防范指南[M].北京:中国电力出版社,2006.
[3] .cn/network2006/network2006_case1.htm.
[4] 许荣生,吴海燕,毕学尧.网络信息安全的关键技术[J].计算机世界,2000(18):C7-C9.
[5] 魏亮.网络安全策略研究[J].电信网技术,2004(12):18-22.
[6] 袁保宗.互联网及其应用[M].吉林:吉林大学出版社,2000.
[7] 李志民.基于活动目录的访问控制系统设计[J].中原工学院学报m2004,4.
[8] 薛菲,王曼珠.Windows Server 2003活动目录从入门到精通[M].北京:电子工业出版社,2003.
[9] 陈功.校园网络安全分析[J].达县师范高等专科学校学报(自然科学版),2006,3.
[10] 张弢,詹仕华.网络安全策略的讨论[J].福建电脑,2006(1).
推荐访问: 浅析 安全问题 对策 校网网
