校園網(wǎng)安全隱患及其防護(hù)措施

校園網(wǎng)安全隱患及其防護(hù)措施信息化的高速進(jìn)展,使校園網(wǎng)的安全顯得特別重要,本文從管理與技術(shù)相結(jié)合的高度,對(duì)校園網(wǎng)存在的安全隱患和漏洞進(jìn)行了比較系統(tǒng)的分析,給出了一個(gè)實(shí)用的校園網(wǎng)安全防護(hù)措施,提出了社會(huì)工程學(xué)對(duì)網(wǎng)絡(luò)安全的影響也應(yīng)引起人們的足夠重視信息化的高速進(jìn)展,使校園網(wǎng)的安全顯得特別重要,本文從管理與技術(shù)相結(jié)合的高度,對(duì)校園網(wǎng)存在的安全隱患和漏洞進(jìn)行了比較系統(tǒng)的分析,給出了一個(gè)實(shí)用的校園網(wǎng)安全防護(hù)措施,提出了社會(huì)工程學(xué)對(duì)網(wǎng)絡(luò)安全的影響也應(yīng)引起人們的足夠重視。校園網(wǎng)作為服務(wù)于學(xué)校教育、科研和行政管理的計(jì)算機(jī)信息網(wǎng)絡(luò),與CERNET、Internet互聯(lián),實(shí)現(xiàn)了校園內(nèi)計(jì)算機(jī)連網(wǎng)、信息資源共享。現(xiàn)今社會(huì)已進(jìn)入了信息化的時(shí)代,而要實(shí)現(xiàn)信息化,首先要實(shí)現(xiàn)網(wǎng)絡(luò)化,網(wǎng)絡(luò)是信息資源得以利用的基礎(chǔ)。但由于網(wǎng)絡(luò)的開放性、資源的共享性、聯(lián)結(jié)形式的多樣性、終端分布的不均勻性以及網(wǎng)絡(luò)邊界的不可知性,必然存在眾多潛在的安全隱患。隨著Internet在商業(yè)活動(dòng)中重要性的不斷增長(zhǎng),網(wǎng)絡(luò)攻擊同時(shí)也在不斷增加,已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件讓人們不得不冷靜地思考網(wǎng)絡(luò)的安全價(jià)值,網(wǎng)絡(luò)安全已成為網(wǎng)絡(luò)的生存之本。一、網(wǎng)絡(luò)安全及其領(lǐng)域網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改和泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。從本質(zhì)上講網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上信息的安全。廣義來(lái)說(shuō),凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。網(wǎng)絡(luò)安全涉及到通信和網(wǎng)絡(luò)、密碼學(xué)、芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)等多方面技術(shù)。目前的網(wǎng)絡(luò)安全產(chǎn)品,可分為:3A類產(chǎn)品、安全操作系統(tǒng)、安全隔離與信息交換系統(tǒng)、安全WEB、反病毒產(chǎn)、品、IDS和弱點(diǎn)評(píng)估產(chǎn)品、防火墻、VPN、保密機(jī)、PKI等。其中,防火墻是網(wǎng)絡(luò)安全的第一道屏障,所占市場(chǎng)最大,安全技術(shù)也比較成熟。二、校園網(wǎng)存在的安全隱患和漏洞2.1黑客攻擊有的校園網(wǎng)同時(shí)與CERNET、Internet相連,有的通過CERNET與Internet相連,在享受Internet方便快捷的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn)。黑客攻擊活動(dòng)日益猖獗,成為當(dāng)今社會(huì)關(guān)注的焦點(diǎn)。典型的黑客攻擊有入侵系統(tǒng)攻擊、欺騙攻擊、拒絕服務(wù)攻擊、對(duì)防火墻的攻擊、木馬程序攻擊、后門攻擊等。黑客攻擊不僅來(lái)自校園網(wǎng)外部,還有相當(dāng)一部分來(lái)自校園網(wǎng)內(nèi)部,由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,因此來(lái)自內(nèi)部的安全威脅會(huì)更大一些。2.2BUG影響目前使用的軟件尤其是操作系統(tǒng)或多或少都存在安全漏洞,對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅?，F(xiàn)在網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有UNIX、WindowsNTP2000、Linux等,這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不同,UNIX因其技術(shù)較復(fù)雜通常會(huì)導(dǎo)致一些高級(jí)黑客對(duì)其進(jìn)行攻擊;而WindowsNTP2000操作系統(tǒng)由于得到了廣泛的普及,加上其自身安全漏洞較多,因此,導(dǎo)致它成為較不安全的操作系統(tǒng)。在去年一段時(shí)期、沖擊波病毒比較盛行,沖擊波”這個(gè)利用微軟RPC漏洞進(jìn)行傳播的蠕蟲病毒至少攻擊了全球80%的Windows用戶,使他們的計(jì)算機(jī)無(wú)法工作并反復(fù)重啟,該病毒還引發(fā)了DoS(Denialofservice)攻擊,使多個(gè)國(guó)家的互聯(lián)網(wǎng)也受到相當(dāng)影響。2.3不良信息傳播在校園網(wǎng)接入Internet后,師生都可以通過校園網(wǎng)絡(luò)進(jìn)入Internet。目前Internet上各種信息良莠不齊,其中有些不良信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī),對(duì)人生觀、世界觀正在形成中的學(xué)生危害非常大。特別是中小學(xué)生,由于年齡小,分辨是非和抵御干擾能力較差,如果不采取切實(shí)可行安全措施,勢(shì)必會(huì)導(dǎo)致這些信息在校園內(nèi)傳播,侵蝕學(xué)生的心靈。2.4病毒危害學(xué)校接入廣域網(wǎng)后,給大家?guī)?lái)方便的同時(shí),也為病毒進(jìn)入學(xué)校之門提供了方便,下載的程序、電子郵件都可能帶有病毒。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及,接入校園網(wǎng)的節(jié)點(diǎn)數(shù)日益增多,這些節(jié)點(diǎn)大都沒有采取安全防護(hù)措施,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、甚至系統(tǒng)癱瘓等嚴(yán)重后果。2.5設(shè)備物理安全設(shè)備物理安全主要是指對(duì)網(wǎng)絡(luò)硬件設(shè)備的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換3.5關(guān)閉不必要的端口和服務(wù)服務(wù)器操作系統(tǒng)在安裝的時(shí)候,會(huì)啟動(dòng)一些不需要的服務(wù),這樣不但占用系統(tǒng)資源,而且增加了系統(tǒng)的安全隱患。停止運(yùn)行服務(wù)器上不必要的服務(wù),關(guān)閉不必要的端口,防止有人利用這些服務(wù)和端口進(jìn)行非法操作。3.6安裝網(wǎng)絡(luò)殺毒軟件現(xiàn)在網(wǎng)絡(luò)上的病毒非常猖獗,這就需要在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版的殺毒軟件來(lái)控制病毒的傳播,目前,大多數(shù)反病毒廠商(如賽門鐵克、瑞星、冠群金辰、趨勢(shì)、熊貓等)都已經(jīng)推出了網(wǎng)絡(luò)版的殺毒軟件;同時(shí),在網(wǎng)絡(luò)版的殺毒軟件使用中,必須要定期或及時(shí)升級(jí)殺毒軟件的引擎、病毒庫(kù)。3.7劃分子網(wǎng)運(yùn)用VLAN技術(shù)將網(wǎng)絡(luò)按功能劃分成若干個(gè)子網(wǎng),是一個(gè)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理的有效手段。可以通過訪問策略進(jìn)行合理的限制,比如劃分學(xué)生子網(wǎng)和教師子網(wǎng),使學(xué)生不能直接訪問專屬教師的內(nèi)容。對(duì)于一些安全性要求比較高的部門,必要時(shí)還需要進(jìn)行物理隔離。3.8定期檢測(cè)服務(wù)器系統(tǒng)通過運(yùn)行系統(tǒng)日志程序,系統(tǒng)會(huì)記錄下所有用戶使用系統(tǒng)的情形,包括最近登錄的時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)等。日志程序要定期生成報(bào)表,對(duì)報(bào)表進(jìn)行分析,你可以知道是否有異?，F(xiàn)象。為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作,必須對(duì)系統(tǒng)進(jìn)行安全備份。3.9綜合管理綜合安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ),安全技術(shù)是配合安全管理的輔助措施,網(wǎng)絡(luò)的安全需要組織、技術(shù)兩方面的措施來(lái)保證。為數(shù)不少的學(xué)生對(duì)網(wǎng)絡(luò)技術(shù)非常感興趣,有些水平還非常高,只靠“防”和“堵”是不行的,應(yīng)該引導(dǎo)學(xué)生將網(wǎng)絡(luò)技術(shù)運(yùn)用到校園網(wǎng)的安全建設(shè),從而既滿足了學(xué)生的表現(xiàn)欲望,又保障了校園網(wǎng)的安全。僅有正確的引導(dǎo)是不夠的,還會(huì)有個(gè)別學(xué)生越軌,這時(shí)候就需要制定一整套的規(guī)章制度來(lái)約束個(gè)別學(xué)生的行為。有效的使用網(wǎng)管軟件對(duì)分散安裝的設(shè)備進(jìn)行實(shí)時(shí)檢測(cè),以便及時(shí)發(fā)生問題進(jìn)行處理。一定要建立一套校園網(wǎng)絡(luò)安全管理模式,制定詳細(xì)的安全管理制度,如機(jī)房管理制度、病毒防范制度等,并采取切實(shí)有效的措施,保證制度的執(zhí)行。四、社會(huì)工程學(xué)對(duì)網(wǎng)絡(luò)安全帶來(lái)的影響曾經(jīng)有一個(gè)管理員的密碼被外界修改了,管理員無(wú)法使用自己的密碼,于是經(jīng)過對(duì)日志的檢查,除了一個(gè)IP地址登錄過改了管理員密碼外,沒有任何被入侵的痕跡。問這個(gè)管理員的密碼都有誰(shuí)知道,他說(shuō)除了他一個(gè)人誰(shuí)也不知道,他的密碼每周都要換,而且密碼也相當(dāng)強(qiáng)壯。問他最近有什么特別的事情發(fā)生,他說(shuō)沒什么事情發(fā)生,只是最近他們買了一臺(tái)服務(wù)器,昨天那個(gè)公司的人來(lái)電話說(shuō)服務(wù)器有漏洞要遠(yuǎn)程進(jìn)行升級(jí)工作,需要管理員的密碼。一般來(lái)說(shuō)公司或者廠家不會(huì)向用戶詢問有關(guān)用戶密碼的事情,很明顯這就是利用社會(huì)工程學(xué)造成的一個(gè)騙局。一直以來(lái)搞網(wǎng)絡(luò)安全的都把注意力放在了技術(shù)的層面上,但入侵絕不僅是技術(shù)上的入侵。例如,某省的工商銀行的郵箱被盜,給所有網(wǎng)上注冊(cè)的用戶發(fā)了一封郵件,說(shuō)是銀行系統(tǒng)要升級(jí)需要用戶的卡號(hào)和密碼,雖然工行很快發(fā)布了通知,但是誰(shuí)有知道有多少安全意識(shí)薄弱的人按照郵件的內(nèi)容去做了呢?利用社會(huì)工程學(xué)進(jìn)行入侵的人,肯定在其背后有所圖謀,否則很少有人花這么大的心思來(lái)構(gòu)思一場(chǎng)巧妙的騙局,從某個(gè)層面來(lái)說(shuō)利用社會(huì)工程學(xué)10%的入侵要比利用技術(shù)90%的入侵可怕的多。隨著電子商務(wù)離我們?cè)絹?lái)越近,安全問題也越來(lái)越嚴(yán)重,真正高技術(shù)的入侵者畢竟只是很少的一部分,但是利用社會(huì)工程學(xué)的入侵者卻不需要很強(qiáng)的計(jì)算機(jī)功底,也可以說(shuō)一個(gè)對(duì)計(jì)算機(jī)一知半解的人也可以造成入侵。所謂的騙術(shù),有多少是已經(jīng)用過的,但至今我們還沒有發(fā)現(xiàn)的呢?這個(gè)問題不是靠技術(shù)所能解決的,而是一種廣泛的安全意識(shí)。五、結(jié)束語(yǔ)網(wǎng)絡(luò)安全是一個(gè)循序漸進(jìn)的過程,不可能一蹴而就。雖然理論上常常稱在安全方面花費(fèi)1%的精力,就可以防御99%的安全進(jìn)攻和威脅,但歸根結(jié)底,安全體系取決于系統(tǒng)中最薄弱的一塊,面對(duì)系統(tǒng)中所發(fā)現(xiàn)的新的、越來(lái)越多的安全漏洞,沒有一套健全的系統(tǒng)的安全機(jī)制,就不能及時(shí)發(fā)現(xiàn)漏洞并加以制止。很明顯,再完善的安全體系,也不可能實(shí)現(xiàn)100%的安全,但是,至少我們通過各種努力,加固整個(gè)系統(tǒng),減少不必要的損失。校園網(wǎng)的安全問題不僅僅是技術(shù)上的問題,而且包括教師、學(xué)生等人為因素,它依賴于安全教育和安全意識(shí),必須在意識(shí)上和管理上自始至終重視校園網(wǎng)的安全建設(shè)。參考文獻(xiàn)[1]王竹林等.網(wǎng)絡(luò)安全實(shí)踐[M].西安:西安電子科技大學(xué)出版社,2002.8.[2]王保順等.校園網(wǎng)設(shè)計(jì)與遠(yuǎn)程教學(xué)系統(tǒng)開發(fā)[M].北京:人民郵電出版社,2003.1.[3]史忠植.高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2002.1.要升級(jí)需要用戶的卡號(hào)和密碼,雖然工行很快發(fā)布了通知,但是誰(shuí)有知道有多少安全意識(shí)薄弱的人按照郵件的內(nèi)容去做了呢?利用社會(huì)工程學(xué)進(jìn)行入侵的人,肯定在其背后有所圖謀,否則很少有人花這么大的心思來(lái)構(gòu)思一場(chǎng)巧妙的騙局,從某個(gè)層面來(lái)說(shuō)利用社會(huì)工程學(xué)10%的入侵要比利用技術(shù)90%的入侵可怕的多。隨著電子商務(wù)離我們?cè)絹?lái)越近,安全問題也越來(lái)越嚴(yán)重,真正高技術(shù)的入侵者畢竟只是很少的一部分,但是利用社會(huì)工程學(xué)的入侵者卻不需要很強(qiáng)的計(jì)算機(jī)功底,也可以說(shuō)一個(gè)對(duì)計(jì)算機(jī)一知半解的人也可以造成入侵。所謂的騙術(shù),有多少是已經(jīng)用過的,但至今我們還沒有發(fā)現(xiàn)的呢?這個(gè)問題不是靠技術(shù)所能解決的,而是一種廣泛的安全意識(shí)。五、結(jié)束語(yǔ)網(wǎng)絡(luò)安全是一個(gè)循序漸進(jìn)的過程,不可能一蹴而就。雖然理論上常常稱在安全方面花費(fèi)1%的精力,就可以防御99%的安全進(jìn)攻和威脅,但歸根結(jié)底,安全體系取決于系統(tǒng)中最薄弱的一塊,面對(duì)系統(tǒng)中所發(fā)現(xiàn)的新的、越來(lái)越多的安全漏洞,沒有一套健全的系統(tǒng)的安全機(jī)制,就不能及時(shí)發(fā)現(xiàn)漏洞并加以制止。很明顯,再完善的安全體系,也不可能實(shí)現(xiàn)100%的安全,但是,至少我們通過各種努力,加固整個(gè)系統(tǒng),減少不必要的損失。校園網(wǎng)的安全問題不僅僅是技術(shù)上的問題