校园网安全现状研究

摘 要：目前高校校园网发展迅速，各种应用资源不断丰富，网络安全问题日益突出。校园网呈现活跃用户众多、用户网络安全意识淡薄、管理不规范等特点，这些问题导致校园网极易受到攻击。本文以北京师范大学校园网络为例，通过对校园网运行数据和用户使用特点进行分析，同时结合校园网流量类型和受攻击方式的分析，提出通过有效的技术手段和规范的管理解决校园网安全问题。

关键词：校园网；网络安全；IPS；流控；IPv6

中图分类号：TP315 文献标识码：A 文章编号：1673-8454(2012)09-0033-04

一、前言

在大力推动高校信息化过程中，校园网络得到了快速发展。校园网作为高校信息化建设的重要基础设施，为学校教学、科研提供先进的信息化教学环境，同时为师生提供网络接入、综合信息服务等，校园网已经成为学校日常工作中不可或缺的一部分。在Internet快速发展过程中暴露出一系列问题，其中网络安全问题尤其突出，校园网作为Internet的重要组成部分，由于自身在网络安全方面的弱点，使其成为网络安全的重灾区，每年因为网络安全事件给高校造成财产、声誉等巨大的损失。校园网络安全建设是一个系统工程，它包含防火墙、入侵防御检测、防病毒、网络行为审计、漏洞扫描、灾难备份、安全集中管理等一系列安全措施。本文将详细分析校园网现状及用户特点，并针对影响整个校园网运行的安全事件进行分析，如造成校园网整体或部分区域断网、访问延迟的事件等，最后提出保障校园网网络安全的基本措施。

二、校园网安全现状及特点

校园网是一个集计算机网络技术、信息管理、办公自动化和信息等功能于一体的综合信息平台，是一个终端、服务器、网络设备、用户众多的复杂的局域网，通过有线、无线实现互联和数据传输。校园网的这些特点决定了在网络安全管理方面的复杂性。分析研究校园网安全现状可以从多个方面入手，主要的分析手段包括IDS、IPS等入侵检测系统以及系统漏洞分析系统。在本文中将通过流量控制系统、入侵检测系统、脆弱扫描分析系统等对校园网安全现状进行分析研究。校园网的安全现状及特点可以分为以下几方面：

1．活跃用户众多，安全意识淡薄

随着经济的快速发展，拥有一台个人计算机对于现在的大学生来说已经不再是一件不能想象的事，计算机技术也成为大学生的必修课。校园网的用户群体非常庞大，少则数千人、多则数万人。中国的高校学生一般集中住宿，因而用户非常密集。正是由于高带宽和大用户量的特点，网络安全问题蔓延快、对网络的影响严重。除此之外，大学生对新鲜事物的好奇心，驱使他们更愿意去尝试和挑战网络新技术，如果没有意识到后果的严重性，可能对网络造成一定的影响和破坏。校园网用户众多，但真正有网络安全意识的用户却少的可怜，大多数用户对于自己的PC机只做简单的系统默认防护，因此成为了校外攻击的主要攻击目标，除了会对个人信息、财产造成损失外，还有大量的PC机成为“僵尸主机”，成为了被非法分子利用攻击他人的“肉机”，或者作为攻击校园网的跳板。

2．盗版资源泛滥

由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的传播一方面占用了大量的网络带宽，另一方面也给网络安全带来了一定的隐患。比如，Microsoft公司对盗版的XP操作系统的更新作了限制，盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面，从网络上随意下载的软件中很多都隐藏木马、后门等恶意代码，如不进行检测直接运行安装将很容易被攻击者侵入和利用。

3．应用服务管理不规范

随着互联网应用的增加以及师生对互联网资源需求的快速增长，校内各院系组织都建立起了自己的应用服务器，其中包括Web应用、FTP服务、BBS、高性能计算服务等等，这些服务部署分散、管理松散，大多数没有做安全防范，因此极容易受到攻击。这些服务虽然不是学校统一管理，但一旦受到攻击将严重影响学校网络和学校的声誉。如图1所示为我校某天的实时流量监控图，可以看出在21：00至22：00流量达到了顶峰，这时已经造成了整个校园网的丢包率在50%以上，整个校园网几乎瘫痪。

经过排查，最终发现为服务器区的某台服务器被攻击，断开该服务器网络后，校园网恢复正常，图2为局部网络拓扑，可见图中下方斜线处流量已经达800多兆。通过查看该服务器记录，得知该服务器为新入网机器，操作系统安装后并未做任何安全措施，也没有更新必要的安全补丁。

三、校园网常见安全问题分析

1．流量类型分析

流量控制系统是校园网中应用比较广泛的网络管理系统，近年来以P2P协议为核心的下载工具的大量应用，在给用户带来高速下载的同时也给网络带宽带来巨大的挑战，因此网络管理者开始应用流量控制系统以监控和管理这些流量来保证其他流量的正常传输。如果不对P2P流量进行限制，它将占满整个网络带宽，使整个校园网访问出现巨大延迟。除了P2P流量外，某些中毒的PC机或服务器也会出现向外发送大流量的情况，如UDP泛洪攻击、蠕虫攻击等。图3所示为我校IPS对网络事件的监测分析图，从图上可以看到校园网络中存在大量的P2P流量。

2．攻击方式分析

（1）探测扫描

网络攻击者在发动攻击之前必定会对目标网络进行探测以找出网络漏洞以备攻击，因此在对网络监控过程中将会发现大量的网络探测事件。图4为我校10天的网络事件监测分布图，其中排在第一位的便是Traceroute ICMP/IPOPT扫描探测类事件的相关操作，这其中有正常的操作当然也有很多非法的嗅探，由此可见网络攻击者无时无刻不在关注着校园的网络安全漏洞。

（2）跨站脚本攻击

跨站脚本攻击是指在远程Web页面的HTML代码中插入恶意代码，用户误认为该页面是可信赖的，当用户打开该页面，浏览器会自动下载恶意代码，运行其中的脚本。脚本注入事件属于Web安全问题范畴，它指攻击者利用Web应用系统不对用户输入数据进行严格检查和过滤的缺陷，主动通过用户输入域注入具有恶意性质的脚本片段。攻击者可以利用的用户输入域包括URL参数、表单域、Cookie域等，一般通过标签来注入脚本，或者通过其他HTML标签的属性赋值来注入脚本。这些注入的脚本片段将反射到被攻击者Web客户端并在被攻击主机的Web客户端上执行，从而达到恶意攻击目的，包括窃取客户端敏感信息，或者在用户无法觉察的情况下发送具有恶意性质或者可能导致严重后果的HTTP请求。跨站脚本攻击是一种在校园网中发生频率非常高的网络安全事件，每天在IPS监控中可以看到大量的报警信息。从学校网络管理者的角度来看，可将跨站脚本攻击分为两类，一类是校内某应用系统被植入脚本，当校内用户访问该用户时对用户发起攻击行为，第二类是校外的应用系统被植入脚本，当校内用户访问时对用户发起攻击，相对而言前者对校园网的危害更大一些，但一般不会对整个校园网整体运行造成危害。

（3）SQL 注入

SQL 注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧。SQL注入是应用系统中最常见同时也是危害最大的一类弱点。导致SQL注入的基本原因是由于应用程序对用户的输入没有进行安全性检查，从而使得用户可以自行输入SQL查询语句，对数据库中的信息进行浏览、查询、更新。基于SQL注入的攻击方法多种多样，而且有很多变形，这也是传统工具难以发现和定位的。利用SQL注入漏洞可以构成对Web服务器的直接攻击，还可能用于网页挂马，导致机密数据如电子商务网站的客户信息等泄漏；服务器被控制；后台数据库执行非授权的查询、修改、删除；泄露认证相关的敏感信息，导致攻击者控制Web应用、网站数据的恶意破坏。每年在高校招生的一段时间内，都有众多高校的招生网站被挂马，因此给学校和考生带来非常大的损失。

（4）DDoS攻击

DDoS攻击是Distributed Denial of Service (分布式拒绝服务攻击)很多DoS攻击源一起攻击某台服务器就组成了DDoS攻击。[1]最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。常见的有SYN Flood、TCP Flood、UDP Flood、ICMP Flood及其变种Land、Teardrop、Smurf、Ping of Death等等。　DDoS攻击是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高，从而最终导致系统崩溃，无法提供正常的服务。随着各种业务对Internet依赖程度的日益加强，DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁，而未来更加强大的攻击工具的出现，为日后发动数量更多、破坏力更强的DDoS攻击带来可能。

图5为我校2011年8月4日的校园网流量图，可以看出在18：20至18：30左右和19：50至20：00点间校园网总出口流量异常，在此期间整个校园网几乎无法访问。IPS设备报警显示网络受到UDP-Flood淹没拒绝服务攻击。通过对相应外网攻击IP和校内被攻击IP做了访问限制，网络恢复正常。

（5）ARP病毒

ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP协议是TCP/IP协议组的一个协议，用于把网络地址翻译成物理地址（又称MAC地址）。[2]通常此类攻击的手段有两种：路由欺骗和网关欺骗。ARP是一种入侵电脑的木马病毒。当病毒发作时会发出大量的数据包导致局域网通讯拥塞，造成该交换机资源耗尽，导致大量用户无法上网或访问速度缓慢。如图6所示为我校某宿舍楼ARP监测记录，因一台PC机中ARP病毒导致其他学生无法上网。从图上可以看出该网段内所有IP地址对外呈现一个MAC地址和一个交换机端口，可见ARP病毒将自己宣称为网关致使所有PC机将流量转移到该中毒PC上。

四、防护措施

1．有效利用网络管理系统

强有力的技术手段是网络安全的重要保证，网络管理人员应在网络出现问题时在最短的时间内解决问题。有效地利用入侵检测系统、流量监控系统、网络管理系统来定位网络故障点，并进行有效处理。入侵检测系统能最早地对网络安全事件进行报警，通知管理人员防止事件蔓延，网络管理员通过入侵检测系统报警的信息通过网络管理系统查看网络拓扑图，网络设备信息具体定位到某一区域的某几台设备，并对其进行相应处理。根据问题设备的不同用途和安全事件类型进行不同的处理，包括关闭该设备的外网访问、限制流量、限制连接数等措施。

2．校园网真实源地址验证

目前因特网大多数采用IPv4协议，由于互联网在近几年的飞速发展，IPv4协议自身的局限性日渐凸显，严重制约着网络的进一步发展，尤其是枯竭的地址及安全问题，由此产生的以IPv6协议为基础的下一代互联网在很大程度上顺应了网络的发展要求。针对IPv6主机的安全合法接入问题，清华大学于2009年4月提出SAVI源地址合法性检验RFC草案，该草案主要讲述了IPv4/IPv6的CPS（Control Packet Snooping）原理，根据CPS原理在接入设备上建立基于源地址、锚（MAC地址和接入设备的端口）绑定关系，从而可以判断从接入设备的指定端口接收到的报文的源地址的有效性。源地址匹配绑定表项的数据才允许转发，保证网络上数据分组源地址的真实性。过滤表项用来对数据报文进行过滤。过滤表项的绑定表的一个子集，只有源地址存在于过滤表中的数据报文才能允许通过。地址过滤表主要是将表项绑定到硬件接口上，由硬件进行源地址过滤，指定的用户只能从指定的接口接入。硬件绑定支持“仅IPv6地址”模式和“IPv6+MAC”模式两种绑定。前者检查报文（VID，源IP地址，端口）的匹配关系，后者检查报文（VID，源MAC地址，源IP地址，端口）的匹配关系。我校现已经实现了教学科研区、学生宿舍区的IPv6全覆盖，并通过校园网真实地址验证系管理系统对其进行监测，实时发现非法IP和非法访问，图7为我校校园网真实地址验证管理系统监控报警信息。

3．服务器的统一规范管理

信息网络中心作为学校网络的服务提供者应将校内各单位Web服务、FTP服务等集中放置在信息网络中心的服务器上，服务器由信息网络中心统一管理，内容的更新由各单位负责并通过远程维护，信息网络中心为各单位提供统一的动态信息平台。具备服务器运行环境，并需独立运行和维护服务器的单位，需经信息网络中心批准后方可自行管理维护。统一的管理便于部署统一的安全策略，大大提高资源的有效性和安全性。对服务器的入网进行统一管理，没有达到网络安全标准的禁止入网，网络中心负责全校IP地址的管理与分配，对于新入网的服务器必须要求其填写服务器相关信息，明确服务用途，服务上架完成后，由信息网络中心进行安全检测和端口扫描，根据用户填写的服务用途要求用户关闭不相关的端口和服务，安全检测通过后允许用户连接外网。定期进行安全评估，帮助校园网管理者对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解，及时发现问题并采取相应安全措施。安全评估利用网络安全扫描器、专用安全测试工具对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行安全检查并结合非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。网络管理者通过这些报告对网络设备及信息系统进行安全加固，预防网络安全事件的发生。

4．校外人员接入安全

校外人员接入分为师生对校内资源的访问和工作人员远程对校内网络设备的访问。在校师生出差或不在校内时有访问校内资源的需求，学校开放这些资源的同时也带来一定安全方面的问题，SSL VPN的接入方式很好地解决了这方面的问题，为校外师生访问校内资源提供了安全可靠的访问方式。我校信息网络中心目前有核心设备近百台，包括防火墙网络、路由器、交换机、重要服务器等。每台设备出问题，都会影响到学校部分甚至整个的网络和工作，而每台设备都由两人或多人共同管理维护，还有公司人员协助管理维护。另外学校在建的很多网络工程需要公司的参与，校外公司人员需长期参与和维护校内网络设备，因此需要给这些人员建立一种专门的访问方式。如果无法记录每台设备的操作历史，出现问题将无法查找，操作安全问题无法解决；另外，设备较多，密码的管理和维护比较困难，设备的安全性比较低。为解决这一问题，我校建立了网络核心设备安全管理系统（堡垒主机系统）统一管理网络设备及部分核心服务器，校外人员通过合法的身份进入堡垒主机，通过堡垒主机去访问网络设备，作为学校网络管理者可以掌握并审计这些人员的操作行为，做到行为可查询、可审计。

五、结束语

高校校园网络的高速发展在很大程度上推动了学校的发展，同时日益突出的网络安全问题严重影响了网络健康发展。本文从高校网络管理者的角度结合日常工作，通过分析校园网运行数据提出解决校园网网络安全的措施，高校网络安全需要有完善的软硬件环境，更需要有完善的可执行的规章制度。

参考文献：

[1]秦冠英,李重阳,李丹.基于网络安全的DOS攻防分析[J].自动化与仪器仪表,2011(153):99-100.

[2]徐功文,陈曙,时研会.ARP 协议攻击原理及其防范措施[J].网络与信息安全,2005(1):4-6.