校園網(wǎng)絡(luò)安全隱患及防御措施

1、畢業(yè)論文（設(shè)計(jì)）畢業(yè)論文（設(shè)計(jì)） (校園網(wǎng)絡(luò)安全隱患及防御措施) 姓 名： 學(xué) 號(hào)： 系 別： 專 業(yè)： 計(jì)算機(jī)教育 年 級(jí)： 2007 級(jí) 指導(dǎo)教師： 2011 年 10 月 30 日 目 錄 1.1.引言引言 .1 1 2.2. 校園網(wǎng)絡(luò)安全現(xiàn)狀分析校園網(wǎng)絡(luò)安全現(xiàn)狀分析 .1 1 3.3. 校園網(wǎng)絡(luò)中校園網(wǎng)絡(luò)中存存在的主要安全隱患在的主要安全隱患 .1 1 3.13.1 病毒與攻擊病毒與攻擊 .1 3.23.2 不良信息的傳播不良信息的傳播 .2 3.33.3 系統(tǒng)、軟件漏洞威脅系統(tǒng)、軟件漏洞威脅 .2 3.43.4 設(shè)備物理及配置的安全設(shè)備物理及配置的安全 .2 3.53.5 攻擊無(wú)線網(wǎng)

2、絡(luò)攻擊無(wú)線網(wǎng)絡(luò) .2 3.63.6 大量的垃圾郵件大量的垃圾郵件 .2 4.4. 校園網(wǎng)絡(luò)安全的防御措施校園網(wǎng)絡(luò)安全的防御措施 .2 2 4.14.1 安裝防毒、殺毒軟件安裝防毒、殺毒軟件 .2 4.24.2 構(gòu)建防火墻系統(tǒng)構(gòu)建防火墻系統(tǒng) .2 4.34.3 及時(shí)更新補(bǔ)丁程序及時(shí)更新補(bǔ)丁程序 .3 4.44.4 VLANVLAN 劃分劃分 .3 4.54.5 建立入侵檢測(cè)系統(tǒng)建立入侵檢測(cè)系統(tǒng) .3 4.64.6 增強(qiáng)師生的網(wǎng)絡(luò)安全意識(shí)增強(qiáng)師生的網(wǎng)絡(luò)安全意識(shí) .4 4.74.7 時(shí)常對(duì)系統(tǒng)、數(shù)據(jù)進(jìn)行備份時(shí)常對(duì)系統(tǒng)、數(shù)據(jù)進(jìn)行備份 .4 5.5. 結(jié)束語(yǔ)結(jié)束語(yǔ) .4 4 校園網(wǎng)絡(luò)安全隱患及防御措施

3、摘 要：隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展以及在學(xué)校的廣泛應(yīng)用。校園網(wǎng)絡(luò)因其需提供開(kāi)放式的網(wǎng)絡(luò)資源，校 園信息及網(wǎng)絡(luò)的安全就面臨著許多威脅和其所存在的安全隱患，對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊與防御措施進(jìn)行描述， 本文分析了校園網(wǎng)絡(luò)安全所面臨的主要威脅，就這些威脅探討出一些防御的各項(xiàng)措施。 關(guān)鍵詞：校園網(wǎng)絡(luò)；安全隱患；主要威脅；防御措施 1.1.引言引言 隨著互聯(lián)網(wǎng)技術(shù)的普及，學(xué)校教育信息化也高速發(fā)展，使得校園網(wǎng)的網(wǎng)絡(luò)安全問(wèn)題越來(lái) 越突出。校園網(wǎng)是當(dāng)代高校最重要基礎(chǔ)設(shè)施之一，是提升學(xué)校的教學(xué)質(zhì)量、科研、服務(wù)、文 化娛樂(lè)、加強(qiáng)對(duì)外交流等服務(wù)的特殊支撐平臺(tái)，校園網(wǎng)的網(wǎng)絡(luò)安全狀況，直接影響著學(xué)校的 教學(xué)活動(dòng)。 維護(hù)網(wǎng)絡(luò)安全就

4、像保護(hù)自己的家，沒(méi)有人會(huì)在門上裝八道鎖，卻不關(guān)窗戶。本文從校園 網(wǎng)絡(luò)安全現(xiàn)狀方面進(jìn)行分析，針對(duì)每一個(gè)可能遭侵入的地方與存在的安全隱患，進(jìn)行一系列 的防御措施。 2.2. 校園網(wǎng)絡(luò)安全現(xiàn)狀分析校園網(wǎng)絡(luò)安全現(xiàn)狀分析 所謂校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶 然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行， 網(wǎng)絡(luò)服務(wù)不中斷。1這就需要我們建立一套實(shí)際可行的校園網(wǎng)絡(luò)安全體系來(lái)保障校園網(wǎng)絡(luò)安 全穩(wěn)定地運(yùn)行。 校園的網(wǎng)絡(luò)跟一般的企業(yè)單位的網(wǎng)絡(luò)是不同的，校園網(wǎng)絡(luò)安全問(wèn)題不僅是來(lái)自于外網(wǎng)， 更大的安全威脅是來(lái)自于校園內(nèi)部。 （一） 、大多數(shù)學(xué)

5、校在組建校園網(wǎng)絡(luò)時(shí)，總是重視網(wǎng)絡(luò)建設(shè)把經(jīng)費(fèi)花在急于解決的問(wèn)題上， 而忽略了網(wǎng)絡(luò)的安全問(wèn)題。導(dǎo)致原先的舊設(shè)備不能及時(shí)的更新或者只是對(duì)一些設(shè)備進(jìn)行更新， 軟硬件安全設(shè)施不足，網(wǎng)絡(luò)實(shí)體安全不足等。 （二） 、使用群體又大多數(shù)都是非計(jì)算機(jī)本專業(yè)的在校師生，對(duì)安全防御工作的知識(shí)還是 很薄弱的。通常我們使用校園網(wǎng)絡(luò)的時(shí)候，很容易隨意點(diǎn)擊來(lái)歷不明的 Email、打開(kāi)網(wǎng)頁(yè)鏈 接、下載未經(jīng)無(wú)毒驗(yàn)證的軟件，隨意用 U 盤、手機(jī)、移動(dòng)硬盤等而沒(méi)有采取防護(hù)的措施，若 將攜帶有病毒的移動(dòng)存取設(shè)備插入校園網(wǎng)絡(luò)中的電腦，感染上病毒，就很有可能使得校園網(wǎng) 內(nèi)病毒泛濫，嚴(yán)重可導(dǎo)致整個(gè)校園網(wǎng)絡(luò)癱瘓。 （三） 、大多數(shù)學(xué)校使用的計(jì)

6、算機(jī)系統(tǒng)的軟件都是盜版的，導(dǎo)致操作系統(tǒng)的漏洞很多，正 是由于這些漏洞，使得校園網(wǎng)絡(luò)的安全情勢(shì)日益嚴(yán)重。 3.3. 校園網(wǎng)絡(luò)中存在的主要安全隱患校園網(wǎng)絡(luò)中存在的主要安全隱患 3.13.1 病毒與攻擊病毒與攻擊 計(jì)算機(jī)病毒(Computer Virus)在中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中被 明確定義，病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算 機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼” 。 2校園網(wǎng)絡(luò)與 Internet 相連， 就能容易受到攻擊，病毒會(huì)使用各種手法讓受害者無(wú)法察覺(jué)，設(shè)置躲避防毒軟件的監(jiān)視。電 腦病毒傳染主要有三個(gè)途徑： 1.從受感染

7、的移動(dòng)式存儲(chǔ)設(shè)備如 U 盤、光盤、移動(dòng)硬盤傳染給其它的電腦； 2.電子郵件的附件傳染，這類的病毒常利用受害者的通訊錄傳送病毒給更多的潛在受害 者； 3.附著在別的正常軟件上，尤其越來(lái)越多人肆意的從網(wǎng)絡(luò)上下載軟件，卻從沒(méi)驗(yàn)證過(guò)軟 件是否已經(jīng)受到病毒的感染。 3.23.2 不良信息的傳播不良信息的傳播 目前互聯(lián)網(wǎng)上的不良信息傳播是借助于一定網(wǎng)絡(luò)信息技術(shù)手段實(shí)現(xiàn)的，不法網(wǎng)站利用極 其隱蔽的手段在網(wǎng)上散播帶有淫穢色情和大量低俗不良信息長(zhǎng)期在網(wǎng)上傳播、擴(kuò)散色情、暴 力等內(nèi)容，部分的學(xué)生正處于成長(zhǎng)期，不健康內(nèi)容會(huì)對(duì)他們的成長(zhǎng)產(chǎn)生不利的影響，而校園 里的不良信息傳播大多數(shù)是因?yàn)橐恍W(xué)生處于好奇的心理或者是無(wú)

8、意間點(diǎn)擊瀏覽這些網(wǎng)站， 互相傳播，嚴(yán)重污染了校園網(wǎng)絡(luò)環(huán)境、敗壞了社會(huì)風(fēng)氣、損害了廣大學(xué)生身心健康。3 3.33.3 系統(tǒng)、軟件漏洞威脅系統(tǒng)、軟件漏洞威脅 校園網(wǎng)絡(luò)內(nèi)包含了各種的服務(wù)器和服務(wù)器終端設(shè)備，以及運(yùn)行的操作系統(tǒng)、應(yīng)用軟件等 都存在不同程度的系統(tǒng)、軟件漏洞，正因?yàn)檫@些缺陷或錯(cuò)誤會(huì)被不法者或者電腦黑客利用， 從而竊取資料、篡改資料、或使別人無(wú)法取得資料，甚至破壞整個(gè)校園網(wǎng)絡(luò)的系統(tǒng)。 3.43.4 設(shè)備物理及配置的安全設(shè)備物理及配置的安全 校園網(wǎng)絡(luò)的組件如路由器、交換機(jī)、防火墻、服務(wù)器等硬件設(shè)備容易遭受自然災(zāi)害、人 為破壞等攻擊。大多數(shù)校園網(wǎng)絡(luò)設(shè)備的環(huán)境沒(méi)有具體做到防火、防靜電、適當(dāng)?shù)耐L(fēng)和

9、環(huán)境 溫度的控制，往往都是機(jī)房布線雜亂無(wú)章，容易受到不必要的破壞，中心機(jī)房的環(huán)境、物理 安全也是一種威脅。 3.53.5 攻擊無(wú)線網(wǎng)絡(luò)攻擊無(wú)線網(wǎng)絡(luò) 現(xiàn)在隨著無(wú)線網(wǎng)絡(luò)接入的迅速發(fā)展，很多學(xué)校也搭建 WLAN 的服務(wù)，無(wú)線網(wǎng)絡(luò)最基本的問(wèn) 題是竊聽(tīng)攻擊，任何在射頻范圍內(nèi)的通訊設(shè)備或計(jì)算機(jī)都可以接受到訊號(hào)。而許多的無(wú)線網(wǎng) 絡(luò)都沒(méi)有通過(guò)校園網(wǎng)絡(luò)的防火墻直接連接到外部網(wǎng)絡(luò)，也沒(méi)有啟動(dòng)基本的安全設(shè)定，因此被 竊聽(tīng)的資料是以明碼傳輸?shù)摹?3.63.6 大量的垃圾郵件大量的垃圾郵件 目前很多學(xué)校都建立了電子郵件的服務(wù)器為校園網(wǎng)絡(luò)的用戶提供郵件服務(wù)，校園網(wǎng)絡(luò)中 大部分的教師、學(xué)生上網(wǎng)后的第一件事就是查電子郵件，以

10、至于與外界的頻繁 Email 聯(lián)系， 由于郵件過(guò)濾軟件的缺乏和沒(méi)有明文的限制郵件轉(zhuǎn)發(fā)的規(guī)定，使得很多垃圾郵件攻擊郵件服 務(wù)器，垃圾郵件對(duì)校園網(wǎng)絡(luò)的破壞性很強(qiáng)大,同時(shí)也是網(wǎng)絡(luò)病毒、攻擊和不良信息傳播的重 要途徑之一。 4.4. 校園網(wǎng)絡(luò)安全的防御措施校園網(wǎng)絡(luò)安全的防御措施 4.14.1 安裝防毒、殺毒軟件安裝防毒、殺毒軟件 校園網(wǎng)更適用網(wǎng)絡(luò)版防毒軟件。因?yàn)榫W(wǎng)絡(luò)版防毒軟件的管理功能更強(qiáng)大，校園網(wǎng)的管理 員只要及時(shí)在服務(wù)器端進(jìn)行升級(jí)，客戶端啟動(dòng)后就可自動(dòng)升級(jí)，網(wǎng)絡(luò)管理員還可對(duì)所有安裝 客戶端的計(jì)算機(jī)進(jìn)行病毒監(jiān)控、遠(yuǎn)程殺毒，及時(shí)了解校園網(wǎng)中的病毒疫情。4 安裝使用帶有主動(dòng)防御的殺毒軟件，對(duì)病毒進(jìn)行定期

11、的掃描檢查，及時(shí)升級(jí)殺毒軟件病 毒庫(kù)，如：瑞星殺毒軟件網(wǎng)絡(luò)版、卡巴斯基、360 殺毒 4.24.2 構(gòu)建防火墻系統(tǒng)構(gòu)建防火墻系統(tǒng) 防火墻（Firewall）是網(wǎng)絡(luò)安全上一個(gè)重要組件，也是屬于第一線的網(wǎng)絡(luò)防御，大多安 裝于邊界路由器之后，功能是將一個(gè)網(wǎng)絡(luò)與另一網(wǎng)絡(luò)隔開(kāi)，經(jīng)設(shè)定來(lái)限制外網(wǎng)和內(nèi)網(wǎng)信息的 進(jìn)出權(quán)限。最基本的防火墻是運(yùn)作在網(wǎng)絡(luò)層的封包過(guò)濾器，過(guò)濾經(jīng)過(guò)的數(shù)據(jù)包，決定是否將 數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地，使它在 TCP/IP 上的弱點(diǎn)不會(huì)遭人利用，如 Windows XP 與 Vista 操作 系統(tǒng)都有自帶的防火墻。但防火墻本身也可能是受攻擊的目標(biāo)，因此要正確的設(shè)定并下載需 要的補(bǔ)丁。 4.34.3

12、及時(shí)更新補(bǔ)丁程序及時(shí)更新補(bǔ)丁程序 安裝更新補(bǔ)丁是操作系統(tǒng)與應(yīng)用程序最通用的弱點(diǎn)補(bǔ)強(qiáng)方法，以 Windows 2000 為例，微 軟在三年內(nèi)就發(fā)行了四個(gè)完整的補(bǔ)丁包，由此可見(jiàn)一個(gè)操作系統(tǒng)推出之后仍會(huì)有許多需要補(bǔ) 強(qiáng)之處，不能不謹(jǐn)慎，因大多數(shù)病毒和黑客也都是通過(guò)系統(tǒng)的漏洞潛入進(jìn)電腦的，08 年的 時(shí)候大量盜版用戶為了躲避微軟的正版驗(yàn)證，關(guān)閉了系統(tǒng)自動(dòng)更新功能，這就無(wú)疑讓黑客利 用 MS08-067 漏洞進(jìn)行攻擊提供可乘之機(jī)。所以建議使用正版微軟用戶注意更新微軟所提供 的安全補(bǔ)丁，以防范未然。而盜版的用戶可以安裝金山清理專家等能提供微軟補(bǔ)丁下載的第 三方工具。 利用 360 衛(wèi)士，可以進(jìn)行打補(bǔ)丁、漏

13、洞掃描： 圖：4-1 360 安全衛(wèi)士修復(fù)漏洞界面 4.44.4 VLANVLAN 劃分劃分 VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏 輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。5目前絕大多數(shù)的網(wǎng) 絡(luò)攻擊都是源自于校園的內(nèi)網(wǎng)，針對(duì)這樣的情況，我們可以根據(jù)學(xué)校已有各個(gè)部門、地理位 置等方面的需求合理利用 VLAN 劃分，可將整個(gè)校園網(wǎng)絡(luò)劃分成幾個(gè)不同的子網(wǎng)，依不同的 區(qū)域分別進(jìn)行管理和配置。使用 VLAN 劃分也可以防止各個(gè)用戶之間隨意訪問(wèn)資源的問(wèn)題。 以我校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分布為例： 圖：4-2 校園拓?fù)浣Y(jié)構(gòu)圖（

14、依照 VLAN 劃分） 4.54.5 建立入侵檢測(cè)系統(tǒng)建立入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)（Intrusion detection systems,簡(jiǎn)稱 IDS）可以即時(shí)監(jiān)視系統(tǒng)或網(wǎng)絡(luò)， 并檢測(cè)可能的入侵攻擊時(shí)發(fā)出警報(bào)或者采取積極主動(dòng)的反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備，它能收集 入侵攻擊的相關(guān)信息，并且記錄事件，是對(duì)防火墻有益的輔助，一種積極主動(dòng)的安全防護(hù)技 術(shù)。6校園網(wǎng)絡(luò)采用這種技術(shù)，可以在校園網(wǎng)絡(luò)系統(tǒng)受到威脅之前攔截、實(shí)時(shí)監(jiān)視系統(tǒng)能發(fā) 現(xiàn)情況并發(fā)出警告，從而大大提高了校園網(wǎng)絡(luò)的安全性。入侵檢測(cè)系統(tǒng)常與防火墻搭配使用， 可以檢查系統(tǒng)記錄與可疑的行徑，進(jìn)而采取必要的防御措施。 4.64.6 增強(qiáng)師生的網(wǎng)絡(luò)安全

15、意識(shí)增強(qiáng)師生的網(wǎng)絡(luò)安全意識(shí) 由于使用者對(duì)于網(wǎng)絡(luò)安全的意識(shí)淡薄，要通過(guò)教育訓(xùn)練建立大家對(duì)網(wǎng)絡(luò)安全意識(shí)的認(rèn)知， 為了可以使其了解網(wǎng)絡(luò)安全的危害性和緊迫性，學(xué)?？梢匝?qǐng)計(jì)算機(jī)專業(yè)教師或人員開(kāi)一節(jié) 講座，講解一下一些基本的網(wǎng)絡(luò)的安全防范技能。同時(shí)也可制定一些機(jī)房制度，如：所有電 子郵件附件都要先存入本地磁盤并通過(guò)掃描后方可打開(kāi)。不隨意打開(kāi)可疑之郵件或附件，不 隨意瀏覽任何可能含惡意內(nèi)容的網(wǎng)站。 4.74.7 時(shí)常對(duì)系統(tǒng)、數(shù)據(jù)進(jìn)行備份時(shí)常對(duì)系統(tǒng)、數(shù)據(jù)進(jìn)行備份 雖說(shuō)具備了各種防御措施，但一些生活中的突發(fā)事件仍會(huì)給校園網(wǎng)絡(luò)安全帶來(lái)無(wú)法估量 的災(zāi)難，所以管理人員要定期進(jìn)行各種系統(tǒng)、數(shù)據(jù)、應(yīng)用軟件的備份工作，以

16、防止因受到病 毒與惡意攻擊而導(dǎo)致的重要數(shù)據(jù)被篡改和竊取，要經(jīng)常查看故障情況、入侵檢測(cè)的日志及維 修記錄等。 對(duì)系統(tǒng)、數(shù)據(jù)備份的工具及方法： 1.光盤：容量大、便于保管和攜帶，安全性較高； 2.移動(dòng)硬盤：容量大、便于移動(dòng)作業(yè)； 3.本地硬盤:可以在本地硬盤上建立一個(gè)占總?cè)萘?20%左右的分區(qū)用于備份文件，備份、 還原都很方便，效率最高、速度最快、單位容量/價(jià)格比最高。其弊端是這個(gè)分區(qū)無(wú)法從電 腦系統(tǒng)中分離出去，備份文件仍處于 CIH 等極具破壞力的病毒控制之下。對(duì)此，您可以用文 檔壓縮備份、建立多級(jí)目錄、隱藏文件等方法緩解潛在的危險(xiǎn)。7 5.5. 結(jié)束語(yǔ)結(jié)束語(yǔ) 校園網(wǎng)絡(luò)安全其實(shí)是一項(xiàng)涉及面廣、知

17、識(shí)需求量大、比較復(fù)雜的系統(tǒng)工程，網(wǎng)絡(luò)所處的 自然環(huán)境、網(wǎng)絡(luò)所需要的一切軟硬件設(shè)備都必須又一定的安全策略來(lái)建設(shè)，從建設(shè)網(wǎng)絡(luò)初步 階段開(kāi)始就與網(wǎng)絡(luò)安全密不可分，從原先存在的安全隱患到運(yùn)用多項(xiàng)防御措施，使之趨向于 安全穩(wěn)定的網(wǎng)絡(luò)體系。通過(guò)這次以校園網(wǎng)為基礎(chǔ)的網(wǎng)絡(luò)安全隱患與防御的過(guò)程，使我對(duì)網(wǎng)絡(luò) 安全有了更充分的認(rèn)識(shí)，動(dòng)手能力也取得了很大的提高。 參考文獻(xiàn) 1李紅映高校校園網(wǎng)絡(luò)安全實(shí)踐談?wù)憬謱W(xué)院校園網(wǎng)絡(luò)安全建設(shè)J電腦知識(shí)與技術(shù)（學(xué)術(shù)交流） ，2007，4（20）：336-337 2李潔淺析計(jì)算機(jī)病毒及防范N內(nèi)江職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010， （2）：54-56 3楊晉校園網(wǎng)不良信息屏蔽措施研究J教學(xué)與管理（理論版） ，2009， （9） 4楊亞莉中國(guó)信息界淺談校園網(wǎng)絡(luò)安全J實(shí)踐與應(yīng)用，2011，1（165）：45-46 5VLAN 虛擬局域網(wǎng)EB/OL 6潘天佑資訊安全概論與實(shí)務(wù)M臺(tái)北：201010-2 7數(shù)據(jù)備份