高校計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及管理策略探析

1、    高校計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及管理策略探析    韓素娟【摘 要】計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，硬件制造和技術(shù)成本的降低，使得社會中越來越多的領(lǐng)域成為互聯(lián)網(wǎng)的受益者，高校校園網(wǎng)絡(luò)更是在教學(xué)、管理、科研中發(fā)揮重要的作用。但校園網(wǎng)在為學(xué)校的發(fā)展帶來便利時，也存在著安全威脅。本文首先介紹了網(wǎng)絡(luò)中存在的安全威脅，然后陳述了高校校園網(wǎng)絡(luò)的安全現(xiàn)狀，最后提出增強(qiáng)校園網(wǎng)絡(luò)安全的管理措施?！娟P(guān)鍵詞】校園網(wǎng)絡(luò)；漏洞；網(wǎng)絡(luò)安全；管理策略0 引言隨著網(wǎng)絡(luò)技術(shù)應(yīng)用在社會政治、經(jīng)濟(jì)、文化、生產(chǎn)等領(lǐng)域的普及，社會信息化建設(shè)已初具規(guī)模。校園網(wǎng)絡(luò)系統(tǒng)在高校中的興起和完善，為學(xué)校的智能化

2、教學(xué)、網(wǎng)絡(luò)化管理、自由化科研帶來了機(jī)遇。然而，另一方面，網(wǎng)絡(luò)安全問題不僅阻礙網(wǎng)絡(luò)技術(shù)在高校中應(yīng)用范圍的拓展，更限制高校網(wǎng)絡(luò)中信息的海量傳遞。加強(qiáng)校園網(wǎng)絡(luò)安全管理建設(shè)， 不僅關(guān)系到學(xué)校的整體形象，也關(guān)系到學(xué)校的整體利益。一方面，教育管理的智能化發(fā)展，使校園網(wǎng)成為每個高校的信息化展示的門戶；另一方面，校園網(wǎng)中隱含了大量的學(xué)校的信息資料，學(xué)校的整個運(yùn)營離不開網(wǎng)絡(luò)，一旦出了問題，都會造成巨大損失。所以，我們在加強(qiáng)校園網(wǎng)絡(luò)建設(shè)的同時，一定要注意校園網(wǎng)絡(luò)的安全，增強(qiáng)網(wǎng)絡(luò)的安全管理，制定合理的管理策略。1 網(wǎng)絡(luò)中存在的安全威脅網(wǎng)絡(luò)給人們生活帶來不愉快和尷尬的事例舉不勝舉，存儲在計算機(jī)中的信息不知不覺被刪除、

3、在數(shù)據(jù)庫中的記錄不知何時被修改、正在使用的計算機(jī)卻不知何故突然“開機(jī)”等等，諸如此類的安全威脅事件數(shù)不勝數(shù)。常見的安全威脅有：（1）網(wǎng)絡(luò)通信協(xié)議的弱點(diǎn)tcp/ip協(xié)議設(shè)計是面向開放的網(wǎng)絡(luò)環(huán)境，缺乏類似認(rèn)證等基本安全特性，這些弱點(diǎn)帶來許多直接的安全威脅。（2）操作系統(tǒng)的漏洞操作系統(tǒng)不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。幾乎所有操作系統(tǒng)的代碼規(guī)模都很大，這決定其中幾乎肯定存在實現(xiàn)的缺陷和漏洞。（3）應(yīng)用系統(tǒng)設(shè)計的漏洞與操作系統(tǒng)情況類似，應(yīng)用程序的設(shè)計過程也會帶來很多由于人的局限性所導(dǎo)致的缺陷或漏洞。（4）網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況

4、下，還可以提供較好的安全性，不合理的網(wǎng)絡(luò)設(shè)計則成為網(wǎng)絡(luò)的安全威脅。（5）惡意攻擊有組織、有特定目的人為惡意攻擊是網(wǎng)絡(luò)安全威脅的重要表現(xiàn)。這樣的威脅有時來自合法的用戶。（6）網(wǎng)絡(luò)物理設(shè)備網(wǎng)絡(luò)物理設(shè)備自身的電磁泄露所引起的漏洞引發(fā)的隱患是一類極為重要的網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)設(shè)備的自然老化也可能帶來安全隱患。（7）管理不當(dāng)管理制度的不到位、技術(shù)手段的使用不當(dāng)?shù)榷伎赡軒韲?yán)重的安全隱患，比如計算機(jī)設(shè)備的盜竊、防火墻配置不合理等。網(wǎng)絡(luò)的開放性為我們帶來了方便，但其脆弱性讓攻擊者有機(jī)可乘。隨著安全威脅手段的多樣化，病毒、木馬種類的增長，“后門”與漏洞的發(fā)現(xiàn)，使得信息安全得不到有效的保障，威脅著社會中某些重要信

5、息的機(jī)密性、完整性、可靠性。2 高校校園網(wǎng)絡(luò)安全現(xiàn)狀2.1 校園網(wǎng)絡(luò)的特點(diǎn)校園網(wǎng)絡(luò)因其存在于學(xué)校中，所以存在區(qū)別于其它局域網(wǎng)絡(luò)的特點(diǎn)。2.1.1 龐大的用戶群體校園中學(xué)生、教師、員工的數(shù)量龐大，每一個ip地址可能面對多個用戶的使用，每一位用戶又進(jìn)行各自不同的網(wǎng)絡(luò)訪問，不固定的用戶群體和大量的信息交互使校園網(wǎng)用戶感染網(wǎng)絡(luò)病毒的概率很高。2.1.2 應(yīng)用領(lǐng)域的模塊化與互聯(lián)教學(xué)、黨政、科研、后勤等不同的工作使用著不同的服務(wù)器和網(wǎng)絡(luò)設(shè)備，這也使得校園網(wǎng)絡(luò)存在模塊化，但同時方便所有用戶對這些工作的資源的訪問，各個模塊之間存在著聯(lián)系。2.1.3 網(wǎng)絡(luò)用戶的自主性與動態(tài)性大u盤、移動硬盤、便攜式計算機(jī)的大量

6、使用，增加了網(wǎng)絡(luò)中病毒的傳播速度。而且，隨著經(jīng)濟(jì)的發(fā)展，智能手機(jī)、平板電腦等網(wǎng)絡(luò)終端設(shè)備的動態(tài)接入，其使用的不確定性也增加了校園網(wǎng)絡(luò)的安全隱患。2.2 校園網(wǎng)絡(luò)存在的安全問題2.2.1 入侵與主動攻擊校園網(wǎng)絡(luò)因其高帶寬，資源豐富、網(wǎng)關(guān)出口種類多等，為用戶帶來了便利的同時，也成為了病毒等傳播的最快途徑。網(wǎng)絡(luò)主要面對的攻擊有病毒、木馬蠕蟲等。計算機(jī)病毒變種的更新之快，使各類殺毒軟件都沒辦法起到完全防護(hù)，它們往往破壞校園網(wǎng)絡(luò)的運(yùn)行，致使網(wǎng)絡(luò)癱瘓或破壞校園網(wǎng)絡(luò)數(shù)據(jù)庫中的信息，使數(shù)據(jù)不可用；木馬則是悄悄植入網(wǎng)絡(luò)中的服務(wù)器主機(jī)，使黑客對校園網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程控制；蠕蟲除了具有病毒傳播性、隱蔽性、破壞性；也可主動

7、傳播并且不利用文件寄生，對校園網(wǎng)的破壞更是強(qiáng)烈。2.2.2 網(wǎng)絡(luò)安全隔離薄弱校園網(wǎng)與整個廣域網(wǎng)的互聯(lián)，為學(xué)校的用戶帶來方便的同時，也為某些黑客帶來了施展技術(shù)的空間。所以對校園網(wǎng)絡(luò)進(jìn)行有效的安全隔離是必須的。防火墻系統(tǒng)相關(guān)技術(shù)的發(fā)展已經(jīng)比較成熟，但這只是對外防護(hù)而已，它對于網(wǎng)絡(luò)內(nèi)部的威脅不起作用。這就使得網(wǎng)絡(luò)內(nèi)部的攻擊成為重大隱患。例如，有些學(xué)生出于對黑客技術(shù)的好奇和興趣，利用黑客工具或手段攻擊校園網(wǎng)絡(luò)，或者，大家在使用有病毒的u盤或電腦，使病毒通過局域互聯(lián)在校園網(wǎng)中擴(kuò)散。這些攻擊通常對學(xué)校存放重要資料的服務(wù)器攻擊，使學(xué)校重要的資料丟失或損壞，對學(xué)校造成重大損失。2.2.3 系統(tǒng)與軟件的漏洞目前

8、的校園網(wǎng)絡(luò)大都是利用internet技術(shù)構(gòu)建的，同時又與internet相連，internet的共享性和開放性使網(wǎng)上信息安全存在先天不足，因為其賴以生存的tcp/ip協(xié)議，缺乏響相應(yīng)的安全機(jī)制，因此給網(wǎng)絡(luò)攻擊帶來了“后門”便利。如操作系統(tǒng)的漏洞，或安裝軟件的漏洞都成為校園網(wǎng)絡(luò)的安全隱患，校園網(wǎng)上沒有采取正確的安全策略和安全機(jī)制，缺乏先進(jìn)的網(wǎng)絡(luò)技術(shù)、工具、手段和產(chǎn)品，缺乏先進(jìn)的系統(tǒng)恢復(fù)等，都是威脅網(wǎng)絡(luò)安全的重要因素。 2.2.4 缺乏網(wǎng)絡(luò)監(jiān)控措施因為校園網(wǎng)絡(luò)內(nèi)部用戶使用人數(shù)多，范圍廣的特點(diǎn)，使得網(wǎng)絡(luò)監(jiān)管難度較大，這就使一部分人通過盜用或冒充他人的合法ip進(jìn)行通信和從事不正當(dāng)?shù)男袨?。這既阻礙了合法

9、用戶的正常使用，同時為網(wǎng)絡(luò)正常工作帶來了安全隱患。同時，由于校園網(wǎng)絡(luò)使用者范圍之廣，一些沒有安全意識的用戶，用不安全的設(shè)備進(jìn)行機(jī)密數(shù)據(jù)的操作或傳播，對校園網(wǎng)來說都是隱患。2.2.5 數(shù)據(jù)的安全與備份數(shù)據(jù)是整個校園網(wǎng)絡(luò)的核心，學(xué)校服務(wù)器中存儲的重要數(shù)據(jù)、檔案，不論是對學(xué)校還是對個人用戶，都是至關(guān)重要的，一旦被竊取或破壞，都會造成難以挽回的損失，而且有些數(shù)據(jù)是不可恢復(fù)的，所以對數(shù)據(jù)的即時備份和恢復(fù)措施是必要的。3 校園網(wǎng)絡(luò)安全管理措施3.1 構(gòu)建網(wǎng)絡(luò)防毒體系隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，病毒防護(hù)技術(shù)也有進(jìn)步。面對各種類型的計算機(jī)病毒和各種病毒傳播途徑，要做到多級防護(hù)，包括：基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)

10、器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。在建立多級防護(hù)系統(tǒng)的同時，設(shè)立病毒預(yù)防中心，從中心定期對各個級別的設(shè)備進(jìn)行病毒軟件的發(fā)放和更新，并對網(wǎng)絡(luò)中設(shè)備工作狀態(tài)進(jìn)行統(tǒng)計評估，定期制定保護(hù)方案。這樣不但可以做到主機(jī)防范病毒，同時通過主機(jī)傳遞的文件也可以避免被病毒侵害，從而保證校園網(wǎng)絡(luò)的安全。3.2 防火墻與物理隔離的結(jié)合使用防火墻是用來對進(jìn)入校園網(wǎng)絡(luò)的數(shù)據(jù)和用戶進(jìn)行審查控制，決定其是否可以進(jìn)入校園網(wǎng)絡(luò)，是校園網(wǎng)絡(luò)的防護(hù)大門，一般是軟硬一體的網(wǎng)絡(luò)安全設(shè)備。因為校園網(wǎng)的一些信息不能公布于眾，因此必須對這些信息進(jìn)行嚴(yán)格保密，因此對校園網(wǎng)絡(luò)要構(gòu)建專用防火墻，過濾掉不安全的服務(wù)和非法訪問，控制對特殊節(jié)點(diǎn)的訪問

11、，提供對網(wǎng)絡(luò)訪問的監(jiān)聽和預(yù)警，系統(tǒng)認(rèn)證，生成安全日志，通過對日志中訪問情況分析改進(jìn)防護(hù)措施。同時，對校園網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行子網(wǎng)劃分，在各個子網(wǎng)設(shè)立防火墻和訪問控制系統(tǒng)，使各個子域間保持局部安全。由于internet網(wǎng)絡(luò)沒有絕對安全，所以對于高度機(jī)密的數(shù)據(jù)，只能使用物理隔離的設(shè)備進(jìn)行操作，做到“涉密的工作不上網(wǎng)，上網(wǎng)的工作不設(shè)密”。3.3 完善校園網(wǎng)絡(luò)安全機(jī)制和管理手段?！氨就鶑膬?nèi)部被攻破”，網(wǎng)絡(luò)中的安全問題有很大一部分是由于內(nèi)部原因造成。如系統(tǒng)和軟件老化存在漏洞，用戶的不當(dāng)操作和疏忽。因此學(xué)校應(yīng)當(dāng)對校內(nèi)低水平的使用者進(jìn)行定期培訓(xùn)和指導(dǎo)，提高用戶群體的安全意識。此外，管理人員要對防火墻、ids入侵

12、檢測系統(tǒng)、郵件過濾網(wǎng)關(guān)、路由器進(jìn)行合理配置，注重服務(wù)器和信息系統(tǒng)漏洞的防范，即時更新補(bǔ)丁，并采用安全策略和安全機(jī)制，有效的防止病毒和黑客的攻擊，加強(qiáng)系統(tǒng)的安全性。3.4 操作系統(tǒng)檢測的預(yù)防與漏洞檢測攻擊者往往通過檢測操作系統(tǒng)版本與配置來獲得系統(tǒng)或運(yùn)行在其上的軟件的漏洞，所以對于操作系統(tǒng)檢測和漏洞掃描的防范十分重要。對于反操作系統(tǒng)檢測可以用端口掃描檢測工具來監(jiān)視os檢測活動，并利用安全代理或邊界防火墻對敏感信息進(jìn)行過濾。同時，也可以使用一些honeypot類欺騙技術(shù)來誤導(dǎo)攻擊者。對于漏洞，目前在internet上有許多研究計算機(jī)網(wǎng)絡(luò)安全漏洞的收集、分類和整理，以及漏洞庫的構(gòu)造和維護(hù)的團(tuán)體和組織，

13、他們經(jīng)常會公布些新產(chǎn)生的漏洞。經(jīng)常瀏覽該類網(wǎng)站如安全焦點(diǎn)、中國國家信息安全漏洞共享平臺，發(fā)現(xiàn)、更新校園服務(wù)器系統(tǒng)漏洞，確保系統(tǒng)的安全性。3.5 數(shù)據(jù)恢復(fù)與定期備份對于學(xué)校來說，最重要的是學(xué)校中的各種各樣的數(shù)據(jù)資料，包括校園網(wǎng)的使用也是為了方便對數(shù)據(jù)的操作和保存。所以應(yīng)該定期對所有服務(wù)器資料，特別是數(shù)據(jù)服務(wù)器，系統(tǒng)日志進(jìn)行備份。但是備份不僅僅是對數(shù)據(jù)文件的備份，也不是僅僅使用拷貝的手段就進(jìn)行了備份。對整個網(wǎng)絡(luò)系統(tǒng)進(jìn)行備份即網(wǎng)絡(luò)系統(tǒng)的備份才能在系統(tǒng)遭遇破壞時，可方便地恢復(fù)原系統(tǒng)。最好使用專業(yè)的備份軟件，它可以通過優(yōu)化數(shù)據(jù)的傳輸率來提高備份的速度。這樣，即使校園網(wǎng)服務(wù)器遭到破壞數(shù)據(jù)丟失，也可即時恢復(fù)，不至于造成不可挽回的損失。4 結(jié)束語高校校園的網(wǎng)絡(luò)化、信息化為高校的教學(xué)和辦公帶來了方便，也為學(xué)生們的學(xué)習(xí)和生活帶來了很多好處，但同時網(wǎng)絡(luò)中的安全威脅也影響著校園網(wǎng)絡(luò)的工作和每一個用戶的正常使用。如何構(gòu)建新安全的校園網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)的智能化安全管理，值得我們今后繼續(xù)研究和探索?！緟⒖嘉墨I(xiàn)】1齊德顯，胡錚.網(wǎng)絡(luò)與信息資源管理m.北京：北京兵器工業(yè)出版社，2005.2邵波，王其和.計算機(jī)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用m.北京：電子工業(yè)出版社，2005.3黃中偉.計算機(jī)網(wǎng)絡(luò)管理與安全技術(shù)m北京：人民郵電出版社，2005.4曾曉燕.計算機(jī)網(wǎng)絡(luò)安全的管理研究