校园网络安全风险分析与对策

摘要：校园网在学校担当着许多重要的角色，随着校园网应用的深入，校园网的安全问题也日益突出。因此如何确保校园网络安全运行成为当前迫切解决的问题。本文在对校园网的安全风险进行分析的基础上，针对当前的网络攻击方式，提出了校园网络的安全策略。

关键词：校园网；网络安全风险；对策

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)25-1409-03

Analysis of Campus Network Security and Protective Measures

YAN Kun-hao

(Ningxia Vocational & Technical College, Yinchuan 750002, China)

Abstract: Nowadays campus network plays many important roles in college. And many factors of insecurity emerge gradually. So how to keep campus network safe is the most emergent matter now. This paper analyses the campus network security risk, and put forward measures to strengthen the campus network security.

Key words: Campus network; Security risk; Measures

校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。随着校园网应用的深入，校园网的安全问题也日益突出。

1 校园网络安全风险

1.1 物理安全风险

物理安全是整个网络系统安全的前提。物理安全的风险主要有：①地震、水灾、火灾、雷击等自然灾害；②电源或硬件故障；③人为操作失误或错误；④设备被盗、被毁或超负荷运转；⑤电磁辐射、干扰；⑥线路盗用及搭线窃听等。

1.2 网络安全风险

网络安全涉及到网络拓扑结构、网络路由状况及整个网络环境等的安全。

1) 与公网连接面临的威胁。

因校园网络与Internet公网相连，基于公网的开放性及复杂性，将会给校园网络带来一些公网的无法预测的风险和威胁。一旦内部网络中的一台机器安全受损，就会同时影响到在同一网络上的许多其它系统。如果网络规划不合理，而且没有采取相应的安全防护措施，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他站点的跳板。

2) 网络内部不同安全域之间互联的安全风险。

校园网络包括许多不同功能的系统，包括办公自动化、教务管理、财务管理、数字图书馆等系统，安全需求不一样。如果实际互联中没有采取相应的安全措施，则可能因为相互之间的自由访问而造成网络间的攻击事件。

1.3 系统的安全风险

所谓系统的安全是指整个网络操作系统、网络硬件平台是否可靠且值得信任。系统的安全程度与对其进行安全配置、管理及系统的应用面有很大关系。没有绝对安全的操作系统，无论是Microsfot 的Windows或者其它任何商用的UNIX、NETWARE等操作系统，其本身存在许多安全漏洞，而且其开发厂商必然也有其Back-Door，这些“后门”或安全漏洞都给网络带来重大安全隐患。

1.4 应用的安全风险

应用安全是指主机系统上应用软件层面的安全，如：Web服务器、 办公自动化系统、电子邮件系统、数据库、财务软件系统、防病毒软件等的安全问题。应用系统软件的引入给用户带来方便的同时，也给网络带来新的威胁，这是因为大部分Internet应用系统软件没有进行很好的安全性设计，且网络服务器程序经常要用超级用户特权来执行，这便造成诸多安全问题。主要表现在：

1) 网络资源共享应用风险。

校园网络内部用户之间共享网络资源，在内部办公网络中就可能存在着：用户有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他用户窃取并传播出去造成泄密。

2) 电子邮件系统应用风险。

由于电子邮件的广泛应用，内外用户间的信息传递，就存在被黑客跟踪或收到一些特洛伊木马、病毒等来历不明的程序。如果没有采用防病毒系统或者因为许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，让黑客掌握了系统的主动权，给系统带来不安全因素。另外接入互联网，还会遇到来自各方面的垃圾邮件，干扰内部合法用户的日常工作。

3) 用户使用的安全风险。

许多网络系统的最基本的安全性是要求对使用者的合法身份进行验证，比如登录网络需要输入用户名及口令；管理一个应用系统也需要输入用户名及口令。如果用户在设置自己的网络系统时为了便于记忆而采用个人身份特征的相关信息作为用户名或者口令字（如名字的全拼或者简拼，口令用生日、电话号码等）。还有用户在监时离开电脑时，没有退出相应网络系统界面或者关机，可能在这个时间差的时间内就发生了信息泄漏或者攻击事件。

4) 数据信息安全风险。

数据信息的安全性涉及到，机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。

对于校园网络来说，主要保护对象也是数据信息。对重要的个人数据或者是应用数据库，如果没有进行必要的保护就有可能被非法窃取。用户硬盘上的数据，光盘、磁带保存的数据都可能被窃取或者破坏。这些关键信息、数据如果遭到破坏或攻击，那么对学校来说，它的影响将是不可估量的。

1.5 管理的安全风险

管理是网络中安全最最重要的部分。责权不明，管理混乱，使得一些用户或管理员随便让一些非本地用户甚至外来人员进入机房重地，或者用户有意无意泄漏一些重要信息，而管理上却没有相应制度来约束。缺乏必要的奖惩制度，或者法律制度来约束内部用户或者外部用户的个人破坏行为。

当网络出现攻击行为或网络受到其它一些安全威胁时（如内部用户的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。

2 网络攻击方式

一般认为，目前对网络的攻击方式主要表现在：

1) 非授权访问：攻击者通过非法手段访问其无权访问的信息。

2) 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏（如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息。），信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。

3) 破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。

4) 拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

5) 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

3 校园网络安全管理措施

3.1 物理安全

保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。应按计算机场地安全要求采取防火、防水、防尘、防震、防静电等技术措施。采用稳压电源，防止电压波动；采用不间断电源UPS，防止突然断电引起设备损坏或数据丢失；采取电磁屏蔽及良好接地等手段，使系统中的设备既不因外界或其他设备的电磁干扰而影响其正常工作，也不因其自身的电磁辐射影响周围其他设备的正常工作。

3.2 系统隔离与访问控制

3.2.1 安全物理隔离

由于校园网络的特殊性质，对校园网络内网与校园网络外网（接入INTERNET公网部分）之间完全物理隔离，对内部网络中需要上因特网的用户机器安装物理隔离卡，保证内部网络信息不受INTERNET公网用户的攻击。

3.2.2 划分虚拟子网（VLAN）

根据不同用户安全级别或者不同部门的安全访问需求，可以利用三层交换机来划分虚拟子网（VLAN），因为三层交换机具有路由功能，在没有配置路由的情况下，不同虚拟子网间是不能够互相访问。通过虚拟子网的划分，既方便局域网络的互联，又能够实现较粗略的访问控制。

3.2.3 配备防火墙

防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制、可以针对时间、流量进行访问控制，过滤一些不安全服务。甚至通过透明应用，或以对高层应用协议进行较细粒的访问控制和过滤。同时利用防火墙网络地址转换功能，可以隐藏内部网的网络结构，以及解决可用的合法IP不足等问题。防火墙做为内部网络安全的屏障，其主要目标是保护内部网络资源，强化网络安全策略；防止内部信息泄露和外部入侵；提供对网络资源的访问控制；提供对网络活动的审计、监督等功能。

3.3 网络系统的安全策略

要选用安全性较高的操作系统和硬件平台，并进行必要的安全配置，尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。应加强登录身份认证(特别是在到达服务器主机之前的认证)，加强口令字的使用（增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令），严格限制登录者的操作权限，将其完成的操作限制在最小的范围内，尤其对一些保存有用户信息及其口令的关键文件使用权限要进行严格限制，确保用户的合法性。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。同时还要及时升级各种已经的升级补丁程序，减少因为升级过程周期长而带来攻击事件的发生。

3.4 网络防病毒策略

网络环境下，计算机病毒传播速度快得惊人，有着不可估量的威胁性和破坏力。因此计算机病毒的防范也是网络安全建设中必须考虑的重要的环节之一。首先要增强防病毒观念，在思想上重视计算机病毒可能会给计算机安全运行带来的危害；其次要提高网络安全意识，碰到不明来信或连接要求帐号数据时应保持警觉，不任意下载不明的外挂程序，以免病毒、蠕虫、间谍或木马程序隐藏其中。同时要及时观察和发现异常情况，不使病毒传染到整个磁盘，传染到相邻的计算机，也是防病毒的一个有力措施。最后是安装可靠的网络防病毒软件系统，提供全面的计算机病毒扫描和清除功能。网络管理员或者使用者必须及时通过网络或者其它方式对防病毒系统进行更新、升级，以便防病毒系统能够查杀各种最新的病毒。

3.5 安全管理

建立和实施严密的网络机房计算机安全管理制度与策略是真正实现网络安全的基础。网络安全管理应按照多人负责原则、任期有限原则和职责分离原则，和系统处理数据的保密性，制订相应的管理制度或采用相应的规范。包括：确定该系统的安全等级和安全管理的范围；制订相应的机房出入管理制度和严格的操作规程；制订完备的系统维护制度和应急措施等。

4 结束语

网络安全是一个动态发展的过程，随着计算机网络技术的蓬勃发展，新技术层出不穷，不可避免地出现新的安全威胁。我们除了采取物理隔离、应用网络防病毒系统等方式防止信息泄露，实现不同网络或不信任域之间的隔离外，还要建立完善的安全管理机构及安全管理制度，强化安全管理，提高全体人员的网络安全意识和防范技术，将网络安全风险降到最低。

参考文献：

[1] 蒋建春, 杨凡, 文伟平, 郑生琳. 计算机网络信息安全理论与实践教程[M]. 西安电子科技大学出版社,2001.1.

[2] 吕铁军, 王洪慧, 史国良. 计算机网络安全的几点策略[J]. 产业与科技论坛, 2007(6):3.