校园网网络安全问题及对策探讨

摘要:该文通过对互联网信息安全的定义、组成、目标等分析,介绍了校园网安全管理的特点和常见的威胁,提出网络安全防范的重要性,并结合笔者工作实际经验,提出了相应的防范策略,策略对提高网络信息安全具有一定的作用。

关键词:校园网络;信息安全;防范策略

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6631-02

1 概述

网络信息安全是指保护信息财产,防止信息被非授权地访问、使用、泄露、分解、修改和毁坏,以求保证信息的保密性、完整性、可用性和可追责性,使信息保障能正确实施、信息系统能如意运行、信息服务能满足要求。随着计算机技术和通信技术的发展,认清信息系统的脆弱性和潜在威胁,采取必要的安全策略,对于保障信息系统的安全性将十分重要。同时进行信息系统安全防范,不断追踪新技术的应用情况,及时升级、完善自身的防御措施[1-2]。

1.1 网络安全的基本组成

从内容上看,网络安全大致包括四个方面:

1) 网络实体安全:如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等。

2) 软件安全:如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。

3) 网络中的数据安全:如保护网络信息的数据安全,不被非法存取,保护其完整、一致等。

4) 网络安全管理:如运行时突发事件的安全处理等,包括采取计算机安全技术,建立安全管理制度,开展安全审计,进行风险分析等内容。

1.2 网络信息安全的目标

1) 完整性:完整性是指信息未经授权不能被修改、不被破坏、不人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。

2) 可用性:可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。

3) 可控性:可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。

4) 保密性:保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。

5) 可审查性:在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。

2 校园网安全管理的特点及常见威胁[3-4]

2.1 校园网安全管理的特点

校园网是学校发展的重要基础设施,它不仅为学校提供各种本地网络应用,同时也是沟通学校校园网内外部网络的桥梁。笔者根据自身校园情况,认为当前校园网有以下特点:

1) 操作方便,易于管理:校园网接入复杂而且面积较大,网络维护需要方便快捷,设备网管性强,从而方便网络故障的快速排除。

2) 认证计费:校园网对学生上网必须进行有效的控制和计费策略,以提高网络的利用率。

3) 安全可靠:校园网中同样有大量关于档案管理和教学的重要数据,如果被破坏或窃取,对学校都将是一个很大的损失;

4) 校园信息结构出现多样化:校园网应用分为办公管理、电子教学和远程通讯等三大内容。数据类型复杂,不同类型数据对网络传输有不同的质量需求;

5) 高速的局域网连接:由于校园网的核心是面向自身校园师生的网络,因此局域网是建设重点。网络信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项重要要求。

2.2 校园网络信息的主要威胁

网络病毒是校园网络信息的最主要威胁,它除了具有可传播性、可执行性、稳蔽性、破坏性等计算机病毒的共性外,还具有一些新的特点:

1) 感染速度快:只要有一台工作站中病毒,几分钟内就可能将网上的数百台计算机全部感染。

2) 扩散面广:病毒在网络中扩散速度快、扩散范围大,不仅能迅速感染局域网内的所有计算机,还能通过网络将病毒在一瞬间传播到千里之外。

3) 传播形式复杂多样、难于彻底清除:单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除,而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。

4) 破坏性大:网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则导致网络崩溃,服务器信息被破坏。

5) 潜在危险性大。校园网络一旦感染了病毒,即使病毒已被清除,其潜在的危险也是巨大的,大部分的网络在病毒被清除后一个月内会再次感染。

6) 黑客攻击手段与病毒破坏技术相结合。病毒开始利用操作系统以及包括IE、outlook 、ICQ等常用网络软件的安全漏洞,进人机器内部进行远程控制,造成数据外泄及系统破坏。

3 网络安全的防范[5-7]

1) 网络病毒的防范:在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的防病毒产品:一个由服务器端统一控制管理客户端的全方位、多层次的防病毒软件。针对网络中所有可能的病毒攻击点设置对应的防病毒策略,并通过定期或不定期的升级,使网络免受病毒的侵袭。

2) 防火墙技术:防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。防火墙技术是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制进、出一个网络的权限,在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计,防止外部网络用户以非法手段通过外部网络进入内部网络,访问、干扰和破坏内部网络资源。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络的安全。在局域网网络出口设置防火墙,并对防火墙制定安全策略,对一些不安全的端口和协议进行限制,使所有的服务器、工作站及网络设备都在防火墙的保护之下,同时配置一台日志服务器记录、保存防火墙日志,详细记录了进、出网络的活动,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源。

3) 入侵检测系统:入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。入侵检测属于动态的安全技术,它能帮助系统主动应对网络攻击,扩展了系统管理员的安全管理能力,同时也提高了校园网信息安全基础结构的完整性。入侵检测系统能在不影响校园网络性能的情况下能对校园网络进行监测,从而实现对内部攻击、外部攻击和误操作的实时保护。

4) 身份认证:身份认证是任何一个安全的计算机所必需的组成部分。身份认证必须做到准确无误地将对方辨认出来,同时还应该提供双向的认证,即互相证明自己的身份,网络环境下的身份认证比较复杂,因为验证身份的双方都是通过网络而不是直接接触的,传统的指纹等手段已无法使用,同时大量的黑客随时随地都可能尝试向网络渗透,截获合法用户口令并冒名顶替,以合法身份入网,所以目前通常采用的是基于对称密钥加密或公开密钥加密的方法,以及采用高科技手段的密码技术进行身份验证。

5) 漏洞扫描系统:面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络 安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

6) 访问控制技术:访问控制根据用户的身份赋予其相应的权限,即按事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外,审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用,只有将上述各项技术很好地配合起来,才能为网络建立一道安全的屏障。

7) IP盗用问题的解决:在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。

8) 利用网络监听维护子网系统安全:对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。

4 结束语

本文所提到的校园网络安全防范只是加强安全性的建议,并不是做到这些就可以保证万无一失。认清信息系统的脆弱性和潜在威胁,采取必要的安全策略,对于保障信息系统的安全性将十分重要,只有当网络中的使用者学会如何安全的使用网络资源时,才能最终保证整个网络的安全。总之,网络安全是一个综合性的课题,只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为校园网络提供强大的安全服务。

参考文献:

[1] 李卫.计算机网络安全与管理[M].北京:清华大学出版社,2004.

[2] 李俊宇.信息安全技术基础[M].北京:冶金工业出版社.2004.

[3] 哈利,贾建勋,译.计算机病毒揭秘[M].北京:人民邮电出版社,2002.

[4] 程胜利,谈冉,熊文龙,等.计算机病毒及其防治技术[M].北京:清华大学出版社,2004.

[5] 宁章.计算机及网络安全与防护基础[M].北京:北京航空航天大学出版社,1999.

[6] 段钢.加密与解密[M].2版.北京:电子工业出版社,2004.

[7] 袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.