高职校园网络安全研究摘要:校园网是高职院校重要的信息化平台,在高职教育近年来的快速发展中发挥了巨大作用。
校园网对丰富教学手段,加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了特殊的作用。
然而校园网在给使用者带来了诸多便利的同时,也面临着如安全漏洞、病毒木马、网络攻击等许多安全问题。
如何使校园网更加安全高效地运行,是每个网络管理人员需要关注的问题。
关键词:高职;校园网;安全1高职院校校园网络安全问题分析1.1安全漏洞与病毒攻击校园网面临的主要威胁就是安全漏洞与病毒攻击,首当其冲的就是网络服务器。
目前在高职院校中广泛使用的服务器操作系统,都存在一些安全漏洞,对网络安全构成了威胁。
这些系统安全风险级别不同,例如被广泛使用的Windows NT/2000、Windows Server 2003,由于其普遍性和易操作性,加之自身存在诸多的安全漏洞、浏览器漏洞、IIS等漏洞,使它成为最易被攻击的系统,而低价盗版的泛滥更是给病毒提供了可乘之机,GNU/Linux虽然普遍认为其稳定性、安全性能优于Windows,不过由于其自身体系架构和技术的复杂性,也时常招致更高层次黑客的攻击。
在客户端,校园网内普遍使用的Windows系列个人桌面系统也存在许多漏洞,更重要的是日常一些不良的使用习惯,比如更新不及时、开启不必要端口、使用移动存储设备不慎等都极易传播病毒,给网络攻击留下通道。
除此之外很多应用软件的安全漏洞也很严重,比如常用的Flash软件、播放器软件、P2P软件、甚至微软Office软件中的Excel、PowerPoint、Outlook等都存在一些安全漏洞,一旦被黑客或病毒利用,有可能导致灾难性后果。
以上安全问题日渐突出,使得“肉鸡”这个新名词频频出现。
不论是安全级别较高的服务器还是设防不严普通用户,都是由于各种安全漏洞或病毒原因,被攻击者控制,任其摆布。
如果校园网内用户不幸被俘沦为“肉鸡”,那黑客就不费吹灰之力侵入校园网,在网内就更加“畅通无阻”,引发的安全威胁也愈加严重。
这足以说明安全漏洞与病毒仍是校园网络安全的重大威胁。
1.2校园网内部安全隐患在网络安全业内有一条80/20法则:据统计,80%的安全威胁来自于网络内部。
之所以造成这样的结果,是由于内部用户对网络的结构和应用模式通常都比较了解,发动攻击或破坏的障碍远比外界小,因此来自内部的安全威胁往往更大一些。
在许多高职院校,校园网用户群体主要以在校大学生为主。
这些学生用户数量庞大,少则几千,多则上万, 其中不乏一些网络技术的爱好者,他们对校园网络较为熟悉,是最活跃的网络用户。
出于对网络新技术的好奇,急于尝试,有时便把校园网当成了自己的“试验田”,在校园网上尝试各种攻击技术。
另外,由于网络管理员偶尔的疏忽大意,不慎将一些关键密码外泄或者由于相关管理人员变动,而管理者没有及时更改密码、取消相应用户及权限,这都可能增加来自于网络内部的安全隐患。
由此可见,构建相对安全的校园网不仅要依靠先进的设备和技术,更重要的是加强制度建设,加大对用户的安全教育,提高管理人员的安全意识。
1.3网络应用的安全问题目前大多数高职院校的校园网通过CERNET与其他网络运营商提供的双出口与Internet相连,给使用者提供了比其他环境更高的带宽,用户可以最快速下载或上传自己需要的资源。
然而带宽也是一种资源,再高的带宽若总被一些垃圾信息占用,那么正常的应用需求势必受到影响,网络安全也会受到威胁,比如垃圾邮件、滥用网络资源等。
大量垃圾邮件对校园网的破坏性很大,它占用网络带宽,造成E-mail服务器拥塞,进而降低整个网络的运行效率,同时也是网络攻击、病毒和不良信息传播的重要途径。
现在虽然很多高职院校都搭建了自己的E-mail服务器,为校园网用户提供邮件服务,但由于缺乏相应过滤软件以及缺少限制邮件转发的相关机制,反而使E-mail服务器成为垃圾邮件的攻击对象和中转站,大大增加了网络流量,浪费了宝贵的校园网带宽,造成校园网用户收发邮件速度缓慢,甚至导致E-mail服务器崩溃。
此外,有些校园网用户滥用网络资源。
有私自架设代理服务器,非法获取网络服务的,也有用户非法下载或上传的,甚至有的用户将机器当成了个人的服务器,每天都在网上“挂着”,即便受到攻击也不易察觉。
这些不安全的应用不仅占用了大量网络带宽,影响了校园网的正常应用,更致命的是由于开启的一些不安全服务,极易使相关端口成为网络攻击和病毒木马入侵的途径,从而被控沦为“肉鸡”,给校园网的安全造成极大的隐患。
1.4设备安全问题目前校园网络拓扑大多仍以3层结构为主:以网络机房为中心,通过光纤联接校园内各建筑物,再由建筑物的设备间通过光纤或双绞线向每个信息点发散。
这样的网络结构包括了大量如交换机、路由器、防火墙等网络硬件设备以及通信线缆,这些设备的正常运行是整个网络的安全运行的基础。
设备安全指通过相应保护手段使计算机系统、网络设备及线缆等硬件实体免受自然灾害、物理损坏、电磁泄漏、操作失误、人为干扰、搭线攻击等破坏,确保硬件设备安全。
通常对路由器、核心交换机、防火墙以及各种服务器等关键设备应尽量集中管理,将光纤等通信线路实行深埋、穿线或架空, 并做标记防止无意损坏,对主干线路、接入交换机、边缘设备要专人严格管理,定时巡查防止私接乱搭。
2校园网安全解决方案2.1及时更新,全面提升系统安全(1)系统漏洞是网络安全的首要问题,及早地发现并及时修补漏洞是每个网络管理人员的主要任务。
对于正在使用的操作系统和软件服务,应该密切关注其程序的最新版本和安全信息,一旦发现有关的安全问题就应立即对操作系统和软件进行必要的补丁和升级。
(2)操作系统和一些重要服务一定要设置牢固的密码并经常更换。
密码是首席安全员,是最简单直接的防护方法。
大部分的攻击都是从截获或猜测密码开始的,一旦黑客破译密码成功进入,那么前面的防护措施都失去了意义。
因此每个网络管理人员都要安全有效地管理密码,不能随意泄露密码。
(3)关闭不必要的服务。
校园网中的各类服务器,为用户提供着各种的服务,但是提供的服务越多,相应打开的服务端口就越多,而这些端口很多时候又都成了遭受攻击时的通道,所以多一个不必要的服务就多一个威胁。
从安全角度考虑,应尽可能将一些不必要的服务关闭,只向公众提供基本的服务。
2.2部署防火墙对于校园网来说,要在内外网之间建立一道牢固的安全屏障,最直接的防护方法就是部署防火墙。
防火墙对于非法访问具有很好的预防和控制作用,能够辅助管理人员进行网络安全管理,并有效地降低非法访问发生的几率,防患于未然。
通常将防火墙的内网口与校园网内网核心交换机连接,外网口通过路由器与Internet连接,需要对外发布的服务器,如WWW、E-mail、FTP等服务器可连接在防火墙的DMZ区。
所谓DMZ区也叫“非军事区”,是为不信任系统提供服务的孤立网段,它只允许通过Internet进来的外网用户访问一些对外公开的服务,以此阻止内网和外网直接通信,实现内外网隔离,从而保证内网安全。
防火墙内外网隔离的安全机制既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户使用外部不良资源,还能够对发生在网络中的安全事件进行跟踪和审计。
但这并不是说部署了防火墙校园网就一定牢不可破,而是需要通过全面的配置,才能使防火墙最大限度的发挥其安全规划和防护功能。
通常可以按照以下原则配置防火墙来提高网络安全性:(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网而未经许可的用户对校园内网的非法访问。
总体上遵从“不被允许的服务就是被禁止”的原则。
(2)配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击,过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
(3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用,防止网内ARP攻击。
(4)定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。
2.3入侵检测入侵检测是指对入侵行为的发现。
它通过对网络中若干关键点收集信息并进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高网络管理员的安全管理能力,及时进行安全防范。
入侵检测系统包括进行入侵检测的软件和硬件,入侵检测能力是衡量一个防御体系是否完整有效的重要因素。
强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。
高职院校应根据自己校园网络的特点,采用相应的入侵检测软件或硬件系统,对来自校园网内部和外部的各种行为进行实时检测。
2.4部署网络版杀毒软件为了在整个校园网内杜绝病毒的感染、发作和传播,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。
同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。
3结束语在网络安全业内经常说“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。
在高职院校网络安全管理上,不能单纯依靠由各种硬件设备或软件构成的防护体系,而应该将管理的重心回归到人的身上,建立以人为核心的安全管理机制。
通过对管理员及使用者的安全培训,养成良好的网络使用习惯,进一步提高安全意识,增强防护能力,使校园网的整体安全性能得以提升,更好地为高职教育的发展服务。
参考文献:[1]吴功宜.计算机网络[M].北京:清华大学出版社,2007.[2]沙桂兰.浅谈校园网络安全控制策略[J].电脑知识与技术,2007(3).[3]高冰.网络安全措施探讨[J].沈阳:东北财经大学学报,2003(4).[4]林涛.网络安全与管理[M].北京:电子工业出版社,2005.。