淺談校園網(wǎng)安全管理

1、    淺談校園網(wǎng)安全管理    計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、信息處理技術(shù)以及多媒體技術(shù)的飛速發(fā)展，為學(xué)校信息化建設(shè)注入了新的活力。學(xué)校信息化建設(shè)必然要依托校園網(wǎng)。只有建成高速、穩(wěn)定、安全、可靠的校園網(wǎng)，學(xué)校的數(shù)字信息資源、網(wǎng)絡(luò)服務(wù)、信息服務(wù)等應(yīng)用系統(tǒng)，才能正常運(yùn)行，才能為教師教學(xué)和學(xué)生學(xué)習(xí)創(chuàng)造良好的環(huán)境。但是，我們必須清醒地看到：如果校園網(wǎng)的安全性得不到保障，必然會成為學(xué)校信息化建設(shè)的障礙，甚至給學(xué)校的教學(xué)工作帶來很大的負(fù)面影響。 一、校園網(wǎng)的安全隱患 1病毒感染 校園網(wǎng)中病毒的主要來源有盜版光盤、電子郵件、惡意的網(wǎng)頁、網(wǎng)絡(luò)共享

2、、軟盤等。主要入侵途徑見下： 1)輕率地使用盜版光盤上的軟件，因為光盤是只讀的，即便發(fā)現(xiàn)了病毒也無法刪除，再加上它廉價的優(yōu)勢，很容易誤用。 2)隨著互聯(lián)網(wǎng)的發(fā)展，電子郵件被頻繁地使用，這給蠕蟲類病毒提供了良好的空間，毫無防備的接收電子郵件，甚至是僅僅選中了一封郵件的標(biāo)題頭，就有可能使病毒在你的機(jī)器里安家落戶了?，F(xiàn)在網(wǎng)絡(luò)病毒肆意橫行，傳播速度快、破壞性強(qiáng)、傳播范圍廣，我們必須多加小心。 3)瀏覽網(wǎng)頁是絕大多數(shù)上網(wǎng)者的事情，令人遺憾的是，過去一直被認(rèn)為瀏覽網(wǎng)頁是安全的觀念現(xiàn)在已經(jīng)被徹底打破，大量事實表明僅僅是閱讀了某些網(wǎng)頁(當(dāng)然是含有惡意代碼的網(wǎng)頁，事實上你并不知道它

3、有害)，就完全有可能在你的機(jī)器上運(yùn)行任何程序，比如格式化你的硬盤，安裝木馬，把你的瀏覽器肆意篡改，限制某些功能等等。 4)在校園網(wǎng)中設(shè)置網(wǎng)絡(luò)共享可以極大的方便用戶共享信息，但是不幸的是如果共享文件中有病毒，它就會感染使用此共享文件的系統(tǒng)，進(jìn)而影響到所有的用戶。 5)來自軟盤的入侵，校園網(wǎng)方便了人們的數(shù)據(jù)交流，軟盤的使用量大大減少，但是如果不小心使用了帶有引導(dǎo)區(qū)病毒的軟盤，盡管這種病毒不能成功的駐留你的機(jī)器，但是它有可能破壞你的硬盤分區(qū)，導(dǎo)致數(shù)據(jù)丟失。 2網(wǎng)絡(luò)攻擊 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，魚龍混雜的東西都來了，各種網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，黑客的惡意行為給人們帶來

4、了難以估量的損失，甚至有些教師一上網(wǎng)就心有余悸。分析網(wǎng)絡(luò)攻擊將有助于做好防范措施。網(wǎng)絡(luò)攻擊主要有以下幾種形式： 1)拒絕服務(wù)(dos)：就是對服務(wù)器產(chǎn)生大量的服務(wù)請求，使服務(wù)器忙于響應(yīng)大量的應(yīng)答訊息，造成的現(xiàn)象為tcpip棧崩潰，導(dǎo)致與internet的連接中斷、有無數(shù)的窗口被打開、系統(tǒng)死機(jī)，甚至重新啟動等等，使得服務(wù)器系統(tǒng)不勝負(fù)荷，致使服務(wù)器喪失提供正常服務(wù)的能力。這種攻擊不需要高深的知識，僅從網(wǎng)上下載一些程序winnuker,flusho等，甚至使用簡單的網(wǎng)絡(luò)命令ping(偽裝ip地址)，也能夠造成系統(tǒng)資源大量消耗，最終形成dos攻擊，致使系統(tǒng)當(dāng)機(jī)。 2)木馬程序：你的

5、機(jī)器上一旦被人種植了木馬，就意味著你的機(jī)器就可以被別人像你自己一樣使用，你的一舉一動都在他人的掌握之中，甚至利用你的機(jī)器去做些你不知道的事情，而那個人可能是在地球的那一邊，很難發(fā)現(xiàn)他。 3)網(wǎng)絡(luò)嗅探器：是指嗅探類程序，他們潛伏在網(wǎng)絡(luò)中，利用互聯(lián)網(wǎng)透明傳輸?shù)娜觞c，悄悄地捕獲著網(wǎng)絡(luò)上的數(shù)據(jù)包，如果沒有實施安全措施的話，網(wǎng)絡(luò)已無安全性可言。 4)黑客入侵：是指某些具有頂尖網(wǎng)絡(luò)技術(shù)的人士，使用掃描程序發(fā)現(xiàn)系統(tǒng)開放的端口和漏洞，然后通過特殊的程序或進(jìn)行特定操作就能夠控制整個系統(tǒng)(這當(dāng)然也包括你自己的機(jī)器，只要他愿意)。當(dāng)然校園網(wǎng)遭受黑客攻擊的可能性很小，但也不能夠排除一些小小黑客們把

6、校園網(wǎng)的機(jī)器作為“雞肉”來小試牛刀，這是因為校園網(wǎng)的機(jī)器安全措施一般較差，還是注意的好啊。 3校園網(wǎng)內(nèi)部的威脅 主要有ip地址的盜用，混用問題，校園網(wǎng)內(nèi)部連接的計算機(jī)有的是得到合法的ip地址，有的沒有申請過ip地址，如果沒有ip地址的用戶冒用合法用戶的ip地址上網(wǎng)，這就是ip地址的盜用；ip地址的混用是指用戶由于某些原因，人為地修改了機(jī)器的靜態(tài)的ip地址。這兩種情況都能造成局域網(wǎng)內(nèi)部地址的沖突，嚴(yán)重影響著網(wǎng)絡(luò)的正常使用。 二、安全解決方案 好的安全解決方案要從環(huán)境、用戶、產(chǎn)品、意識等方面來考慮，進(jìn)行綜合分析，逐個解決存在的問題，把可能發(fā)生的危害排除在發(fā)生

7、之前，達(dá)到安全防護(hù)的目的。并且把網(wǎng)絡(luò)安全理念貫穿于網(wǎng)絡(luò)建設(shè)、使用和維護(hù)的整個過程中，而不是顧此失彼，僅僅強(qiáng)調(diào)某個環(huán)節(jié)。 1選用先進(jìn)的設(shè)備組建網(wǎng)絡(luò)系統(tǒng)。在校園網(wǎng)建設(shè)和使用過程中，設(shè)備的選用和維護(hù)在校園網(wǎng)中占有極其重要的地位。比如選用先進(jìn)的三層交換機(jī)來連接電信局的服務(wù)器和校園網(wǎng)的各個終端用戶，來實現(xiàn)寬帶上網(wǎng)。這樣可以避免以太網(wǎng)偵聽的危險，用戶間進(jìn)行通訊時，數(shù)據(jù)包不會被同一臺集線器上的其他用戶偵聽，使得數(shù)據(jù)通訊更加保密。 2采用虛擬局域網(wǎng)技術(shù)(vlan)。一個vlan組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。

8、使用vlan具有以下優(yōu)點： 1)控制廣播風(fēng)暴，一個vlan就是一個邏輯廣播域，通過對vlan的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。 2)提高網(wǎng)絡(luò)整體安全性，通過路由訪問列表和mac地址分配等vlan劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同的 vlan中，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。 3加固操作系統(tǒng)。隨著技術(shù)的發(fā)展，操作系統(tǒng)越來越復(fù)雜，從而導(dǎo)致了操作系統(tǒng)本身的漏洞也越來越多，這樣就使得操作系統(tǒng)不是絕對安全、萬無一失的。最近幾年針對windows、unix安全漏洞的各種病毒、網(wǎng)絡(luò)攻擊日益增多，因此我們必須加固

9、機(jī)器中的操作系統(tǒng)，主要采取以下方法： 1)及時安裝系統(tǒng)補(bǔ)丁程序，各大廠商都會在他們自己的網(wǎng)站以及授權(quán)站點上公布，都是免費(fèi)使用的，需要注意的是，下載安裝補(bǔ)丁程序時需要仔細(xì)閱讀附帶的安裝說明書，以防補(bǔ)丁程序帶來無謂的損失。 2)最小化系統(tǒng)，遵循最小化原則，也就是說，能不裝的一定不裝，一定要裝得要盡量少裝，因為每多一個不必要的模塊，就增加了一份不安全的因素，所以對于系統(tǒng)要嚴(yán)格檢查去掉不必要的模塊，提高系統(tǒng)的安全性。 3)進(jìn)行安全設(shè)置，比如用戶權(quán)限的分配，共享目錄的開放與否、注冊表的安全配置、瀏覽器的安全等級等等。例如去年影響較壞的某些站點，當(dāng)瀏覽其主頁后，瀏覽器被莫名其

10、妙地的修改了，開始菜單的部分功能被禁用，還出現(xiàn)了一些很礙眼的信息，使得有些用戶大為恐慌。其實這種情況完全可以通過升級瀏覽器的版本、設(shè)置較高的安全等級來避免。由于系統(tǒng)默認(rèn)的配置適合大多數(shù)人，但是安全性往往較差，所以對這些進(jìn)行適當(dāng)?shù)脑O(shè)置，能夠提高系統(tǒng)的安全性。 4安裝殺毒軟件?，F(xiàn)在大多數(shù)用戶都了解了病毒，也都安裝殺毒軟件，需要說明的是，安裝了殺毒軟件并不能保證你的機(jī)器已經(jīng)完全拒病毒于門外了，你還需要做以下的事情： 1)及時升級殺毒軟件，這是由于殺毒軟件的滯后性所決定的，否則的話，新的網(wǎng)絡(luò)蠕蟲病毒仍然可以在你的機(jī)器里暢通無阻，而你自己卻認(rèn)為已經(jīng)安裝了殺毒軟件，已經(jīng)固若金湯了，那豈

11、不是夜郎自大。 2)要經(jīng)常使用殺毒軟件檢查系統(tǒng)并清除病毒，安裝后，如果長期不用，那也起不到殺毒作用了，充其量也不過只是一種擺設(shè)而已。 3)使用殺毒軟件的監(jiān)控功能，這樣能夠有效地把木馬程序、網(wǎng)頁炸彈等有害程序拒之門外。 5安裝防火墻技術(shù)。防火墻技術(shù)是控制進(jìn)和出兩個方向通訊的門檻，是抵御來自網(wǎng)絡(luò)攻擊最有效的手段之一，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)或機(jī)器，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。因此它能夠最大程度的保護(hù)你的系統(tǒng)信息不向外泄漏，所以對通過交換機(jī)直接上寬帶的用戶而言，使用

12、防火墻至少可以幫你抵擋來自網(wǎng)絡(luò)常見的攻擊方式： 1)拒絕服務(wù)(dos)，防火墻能識別諸如winnuker,flusho等所發(fā)送的數(shù)據(jù)包，提醒用戶作相應(yīng)的處理，及時切斷與某個 ip的通訊，預(yù)防dos的形成。 2)監(jiān)控不明程序進(jìn)程，木馬類程序往往隱藏在正常的程序中，它們后臺運(yùn)行然后通過網(wǎng)絡(luò)與主控端聯(lián)系，往往很難被發(fā)現(xiàn)，而防火墻的監(jiān)控進(jìn)程功能就可以有效地攔截含有木馬類的不明程序在你的機(jī)器上的運(yùn)行，從而達(dá)到安全防護(hù)的目的。 3)對于熟悉網(wǎng)絡(luò)的用戶而言，還可以使用防火墻的端口阻塞功能關(guān)閉不需要的端口，可以有效地保護(hù)系統(tǒng)信息不向外泄漏，并且也降低了黑客利用開放的端口入侵的可能

13、性，從而達(dá)到安全防護(hù)的目的。 4)與殺毒軟件一樣，安裝了防火墻以后，并非萬事大吉。要想充分發(fā)揮它的安全防護(hù)作用，還必須對它進(jìn)行跟蹤和維護(hù)，要與商家保持密切的聯(lián)系，經(jīng)常關(guān)注商家的動態(tài)，特別是一些免費(fèi)使用的防火墻，象天網(wǎng)防火墻、綠色警戒等，因為商家一旦發(fā)現(xiàn)其產(chǎn)品存在安全漏洞，就會盡快發(fā)布更新程序，此時應(yīng)盡快確認(rèn)真?zhèn)尾Ψ阑饓M(jìn)行更新。 6提高安全意識。大量的安全事件表明：缺乏安全意識是導(dǎo)致事件發(fā)生的重要因素之一。因此還需要把安全意識提到議事日程上來。就校園網(wǎng)而言，在做好技術(shù)防護(hù)的同時，加強(qiáng)校園網(wǎng)的安全教育，提高安全意識，掌握使用安全工具的能力，提高遵守相關(guān)安全制度的自覺性，對于

14、維護(hù)網(wǎng)絡(luò)的安全也是非常重要的。具體如下： 1)向用戶講解互聯(lián)網(wǎng)的基本知識，使用戶了解到互聯(lián)網(wǎng)給人們帶來方便的同時也帶來了更為不安全的因素，這種不安全性是互聯(lián)網(wǎng)的歷史原因造成的，我們一時間還不能完全避免。 2)簡單的了解tcpip協(xié)議、端口、ip地址、www服務(wù)、ftp服務(wù)、email服務(wù)、注冊表的功能及使用等。 3)了解vb和java script activex的互動性。 4)使用戶能夠正確地設(shè)置瀏覽器，會清除上網(wǎng)留下的個人行蹤。 5)能夠掌握殺毒軟件、防火墻軟件的設(shè)置和使用。 6)在使用qq等聊天程序時要特別注意，由于設(shè)計上使用u

15、dp協(xié)議的原因，它很容易泄露你的系統(tǒng)信息 要經(jīng)常升級qq程序。 7)接收電子郵件時打開殺毒軟件的實時監(jiān)控功能。 8)不要擅自改動機(jī)器的ip地址，雖然經(jīng)常更改機(jī)器的ip地址可以防止木馬類程序的攻擊，可是這不是有效的途徑，這樣會造成ip地址的混亂，影響網(wǎng)絡(luò)的正常運(yùn)作，我們應(yīng)該借助有效的工具軟件來查殺木馬程序，做好防范措施。 9)瀏覽網(wǎng)站時盡量去那些名氣大、流量大的網(wǎng)站，因為它們的安全性一般是很好的。因為有些網(wǎng)站往往在你剛登錄上去，你的機(jī)器就可能已經(jīng)染上了病毒；網(wǎng)頁里的腳本可以執(zhí)行你硬盤上的程序；有時當(dāng)你瀏覽某些網(wǎng)頁時，瀏覽器會自動下載某類文件，這是很危險的；有的網(wǎng)頁通過cgi程序就能竊取你硬盤上的資料等等，所以瀏覽網(wǎng)頁時要有選擇性。 10)單位要加強(qiáng)對校園網(wǎng)安全管理人員的培訓(xùn)，使他們從技術(shù)上提高應(yīng)對各種攻擊的能力。 以上是我對網(wǎng)絡(luò)安全的一些粗淺的認(rèn)識