校園網網絡安全問題分析與對策

校園網網絡安全問題分析與對策組員：經管0701XXXX經管0702XXXX經管0701XXXX【摘要】：隨著互聯網的高速開展和教育信息化進程的不斷深入,校園網在高校教學、科研和管理中的作用越來越重要,同時高校校園網絡平安問題也日益突出。如何提高校園網的平安性已是迫切需要解決的問題。文章從高校校園網的現狀及特點出發(fā),分析了目前高校校園網普遍存在的平安問題,并提出了加強高校校園網平安管理的對策。通過分析校園網平安威脅的原因、狀況、設計維護校園網平安的方案，進一步探索加強高校教育系統(tǒng)信息平安和網絡平安管理，預防和打擊各種網上違紀、違法行為的重要途徑?！娟P鍵詞】：校園網平安問題分析對策防火墻殺毒軟件病毒目錄第一章引言4第二章校園網網絡結構和應用系統(tǒng)概述5第三章校園網網絡的平安問題分析63.1高校校園網的特點63.2校園網面臨的主要網絡平安問題和威脅7第四章校園網網絡的平安問題應對措施104.1校園網網絡設計階段的應對措施——平安設計104.2校園網網絡平安管理的對策14第五章結束語20第一章引言高校是計算機網絡誕生的搖籃,也是最早應用網絡技術的地方。校園網是當代高校重要根底設施之一，校園網信息系統(tǒng)是校園網的數字神經中樞,是促進學校提升教學質量、提高管理效率和加強對外交流合作的重要平臺,校園網的平安狀況直接影響著學校的各項工作。在校園網建設初期,網絡平安問題可能還不突出,但隨著應用的不斷深入和用戶的不斷增加,高校校園網上的數據信息急劇增長,各種各樣的平安問題層出不窮?！靶@網既是大量攻擊的發(fā)源地,也是攻擊者最容易攻破的目標”,校園網絡平安已經引起了各高校的高度重視。并且校園網絡平安問題已成為信息時代高校共同面臨的挑戰(zhàn)，網絡信息平安問題成為當務之急，如果不很好地解決這個問題，必將阻礙高校信息化開展的進程。第二章校園網網絡結構和應用系統(tǒng)概述校園網信息系統(tǒng)是校園網的數字神經中樞，合理的使用不僅能促進各院校的現代化教學改革、提高教學質量、改善教學環(huán)境，同時通過各院校之間的互聯互通，將會極大的提高教育行業(yè)整體的工作效率和教育質量。校園網總體上分為校園內網和校園外網。校園內網主要包括教學局域網、圖書館局域網、辦公自動化局域網等。校園外網主要指學校提供對外效勞的效勞器群、與CERNET的接入以及遠程移動辦公用戶的接入等。教學局域網是教學人員利用計算機開展教學和學生通過計算機來學習的網絡平臺；圖書館局域網實現了圖書館的網絡化管理以及圖書的網上檢索或瀏覽；辦公自動化局域網是教職員工自動化辦公的平臺，可以在此平臺上開展公文管理、會議管理、檔案管理以及個人辦公管理等。實現包括教學管理、科研管理、學員管理、資產管理、人事管理、黨務管理、財務管理、后勤管理等應用，形成院校的綜合管理信息系統(tǒng)；校園外網的效勞器群構成了校園網的效勞系統(tǒng)，一般包括DNS、WEB、FTP、PROXY以及MAIL、認證計費、OA效勞等。外部網實現了校園網與CERNET及INTERNET的根底接入，使院校教職工和學生能使用電子郵件和瀏覽器等應用方式，在教學、科研和管理工作中利用國內和國際網進行信息交流和共享。第三章校園網網絡的平安問題分析3.1高校校園網的特點與其它局域網相比,高校校園網自身的特點導致網絡平安問題嚴重、平安管理復雜。其特點可以概括為兩個方面:

〔1〕用戶群體的特點。高校校園網用戶群體以高校學生為主。一方面,用戶數量大、網絡水平較高。隨著高校的擴招,現在各高校的在校學生規(guī)模越來越大,校園網用戶少那么幾千,多那么幾萬,而且往往比擬集中。高校學習以自主性學習為主,決定了高校學生可供自主支配的時間寬裕。通過學習,高校學生普遍掌握了一定的計算機根底知識和網絡知識,其計算機水平比普通商業(yè)用戶要高,而且他們對網絡新技術充滿好奇,勇于嘗試,通常是最活潑的網絡用戶。另一方面,用戶網絡平安意識、版權意識普遍較為淡薄。高校學生往往對網絡平安問題的嚴重后果認識缺乏、理解不深,局部學生甚至還把校園網當成自己的“練兵場”,在校園網上嘗試各種攻擊技術。另外,由于資金缺乏和缺乏版權意識等原因,導致高校學生在校園網上大量使用盜版軟件和盜版資源。攻擊技術的嘗試和盜版軟件的傳播既占用了大量的網絡帶寬,又給網絡平安帶來了極大的隱患?！?〕校園網建設和管理的特點。一方面,校園網建設需要投入大量的經費,少那么幾百萬,多那么幾千萬,而高校的經費普遍是比擬緊張的,有限的投入往往用于擴展網絡規(guī)模、增加網絡應用這些師生都能看到成果的方面,而往往無視或輕視師生不容易看到成果的網絡平安方面。由于投入少,缺少必要的網絡平安管理設備和軟件,致使管理和維護出現困難。另一方面,各高校為了學校的教學、科研、管理以及學生學習生活的需要,目前根本上都建立了千兆主干、百兆桌面,甚至萬兆主干、千兆桌面的校園網,高帶寬的校園網給校園網用戶帶來了方便,但同時也大大增加了網絡完全管理的難度。3.2校園網面臨的主要網絡平安問題和威脅校園網的用戶數量較大，局域網絡數目較多，認真分析可以總結出校園網面臨著如下的平安威脅：〔1〕平安漏洞。校園網內普遍存在用戶操作系統(tǒng)漏洞和應用軟件平安漏洞,這些漏洞影響用戶系統(tǒng)的正常使用和網絡的正常運行,對網絡平安構成嚴重的威脅,一旦被黑客或病毒利用,甚至有可能導致災難性的后果?！?〕病毒和攻擊。網絡病毒發(fā)病和傳播速度極快,而許多校園網用戶由于各種各樣的原因,沒有安裝殺毒軟件或不能及時更新殺毒軟件病毒庫,造成網絡病毒泛濫,不僅嚴重地危害到了用戶計算機平安,而且極大的消耗了網絡資源,造成網絡擁塞,給每一個用戶都帶來極大的不便。同時外來的攻擊和內部用戶的攻擊越來越多、危害越來越大,已經嚴重影響到了校園網的正常使用?！?〕濫用網絡資源。在校園網內,用戶濫用網絡資源的情況嚴重,有私自開設代理效勞器,非法獲取網絡效勞的,也有校園網用戶非法下載或上傳的,甚至有的用戶每天都不斷網,其流量每天都到達幾十個G,占用了大量的網絡帶寬,影響了校園網的其它應用?！?〕不良信息的傳播。不良信息的傳播對正在形成世界觀和人生觀的大學生而言,危害是非常大的。網絡上的信息良莠不齊,其中有違反人類道德標準或法律法規(guī)的,如果不對這些信息加以過濾和處理,學生就會有在校園網內瀏覽淫穢、賭博、暴力等不健康網頁的時機。要確保高校學生健康成長、積極向上,就必須采取措施對校園網絡信息進行過濾和處理,使他們盡可能少地接觸網絡上的不良信息?！?〕垃圾郵件。垃圾郵件對校園網的破壞性很大,它占用網絡帶寬,造成郵件效勞器擁塞,進而降低整個網絡的運行效率,同時也是網絡病毒、攻擊和不良信息傳播的重要途徑之一?，F在雖然很多高校都建立了電子郵件效勞器為校園網用戶提供郵件效勞,但由于缺乏郵件過濾軟件以及缺少限制郵件轉發(fā)的相關管理制度,使郵件效勞器成為了垃圾郵件的攻擊對象和中轉站,大大增大了校園網的網絡流量,浪費了大量的校園網帶寬,造成校園網用戶收發(fā)郵件速度慢,甚至導致郵件效勞器崩潰?！?〕惡意破壞。惡意破壞主要是指對網絡設備和網絡系統(tǒng)的破壞。設備破壞是指對網絡硬件設備的破壞?，F在各高校校園網的設備數量多、類型雜、分布比擬分散,管理起來非常困難,個別用戶可能出于某些目的,會有意或無意地將它們損壞。系統(tǒng)破壞是指利用黑客技術對校園網絡各系統(tǒng)進行破壞,如:修改或刪除網絡設備的配置文件、篡改學校主頁等等。而這兩個方面的破壞均會影響校園網的平安運行,造成校園網絡全部或局部癱瘓,甚至造成網絡平安事故。〔7〕管理運營問題。A.工作人員對信息系統(tǒng)的應急處理能力不強，防范水平不高。高校辦公室工作人員大都是非計算機專業(yè)的人員，計算機知識相對缺乏，對信息平安的防范意識尤為薄弱，缺乏對系統(tǒng)的根本維護能力，這勢必給高校校園網的信息平安造成威脅。B.信息平安管理觀念薄弱，負責信息平安人員的意識不強。高校校園網用戶對平安意識以及防范能力沒有足夠重視，且認為防范信息平安是網絡信息或專業(yè)人員的事情，與個人無關。負責信息平安人員把計算機安裝復原卡當作“萬事通”，只對出問題的計算機進行檢查并未對高校網絡檢查等。C.信息平安保障管理機構和組織隊伍不健全對于高校校園網，信息瀏覽人數多，流量大，加大了信息平安人員對其管理和維護難度。且高校普遍存在維護人員短缺、工作機制不完善、隊伍不健全、無法及時響應、快速解決，不能很好地保證校園網絡方便、快捷、標準地運行。D.信息平安管理制度和標準缺乏開發(fā)性我國的信息平安管理制度結構比擬單一，層次較低，難以適應信息網絡技術開展的需要和日新月異帶來的信息平安問題。我國現行的信息平安管理制度根本上是一些保護條例、管理方法，缺少系統(tǒng)標準網絡行為的相應法律。第四章校園網網絡的平安問題應對措施4.1校園網網絡設計階段的應對措施——平安設計下列圖是比擬普遍的校園網拓撲結構?；诖藞D，我們從物理、系統(tǒng)、網絡、應用及管理五個層次分析和設計適合于校園網的平安方案。〔1〕物理層平安物理層的平安主要包括環(huán)境、設備及線路的平安。該層次的平安包括通信線路的平安，物理設備的平安，機房的平安等。物理層的平安主要表達在通信線路的可靠性〔線路備份、網管軟件、傳輸介質〕，軟硬件設備平安性〔替換設備、拆卸設備、增加設備〕，設備的備份，防災害能力、防干擾能力，設備的運行環(huán)境〔溫度、濕度、煙塵〕，不間斷電源保障，等等。系統(tǒng)中心或機房的建設應遵照：GB50173-93《電子計算機機房設計標準》、GB2887-89《計算機站場地平安要求》及GB2887-89《計算機站場地技術條件》的要求。在設備集中的管理間安裝干擾器，防止由于設備輻射造成的信息泄漏?！?〕系統(tǒng)平安該層次的平安問題來自網絡內使用的操作系統(tǒng)的平安，如Windows2000，Windows2003等。主要表現在三方面，一是操作系統(tǒng)本身的缺陷帶來的不平安因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等。二是對操作系統(tǒng)的平安配置問題。三是病毒對操作系統(tǒng)的威脅。系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數據庫、及相關產品的平安漏洞和病毒造成的威脅。解決的技術手段主要有以下幾種：A．采用主機加固手段對主機加固，如升級、打補丁、關閉不需要的端口、安裝殺毒軟件等；B．采用主機訪問控制手段加強對主機的訪問控制；C.安裝LINUX或UNIX系統(tǒng)做效勞器，增加系統(tǒng)平安性能：〔3〕網絡層平安校園網中局域網數目較多，根據需要多個網絡可能要互相聯接。正是這種多網間的互聯，使我們對網絡層的平安要極度重視。定義一個網絡或各網絡內不同平安等級的局部為不同的平安域。平安域之間的連接處叫網絡邊界。下面主要討論以下幾方面的網絡層平安防護：A.多網絡出口應用。校園網一般會分辦公區(qū)和學生宿舍區(qū)兩個場所。學生宿舍區(qū)的網絡往往會由于學生亂下載等造成病毒的惡意散播。為了防止學生宿舍區(qū)的網絡影響到辦公區(qū)的網絡，我們可以采用多個出口，即學生宿舍區(qū)一個出口，辦公區(qū)一個出口。這樣雙方互不影響，也不會影響對方的網速。B.劃分平安子網(VLAN)。如果同一局域網內有不同等級的平安域，可以通過劃分子網及VLAN的方法加以訪問控制。如在教學局域網中學生機房和多媒體機房之間可以通過劃分子網來控制，不允許學生機房的機器訪問多媒體機房的機器。C.加強網絡邊界的訪問控制。平安等級差異較大的邊界需要采用防火墻來控制。如校園內網、校園外網和Internet之間，利用防火墻進行訪問控制和內容過濾?？捎行У亟鉀Q需求中提到的多種威脅。防火墻的主要目的是控制數據組,只允許合法流通過。其特征是在網絡邊界上建立相應的網絡通信監(jiān)控系統(tǒng)即防火墻來到達保障網絡平安的目的。防火墻技術假設被保護網絡具有明確的邊界和效勞,并且假設網絡信息的威脅主要來自外部網絡而不是內部網絡,它通過建立一整套規(guī)那么和系統(tǒng)策略來檢測、限制、更改穿越防火墻的數據流,實現內部網絡的保護。采用防火墻平安技術適合于與外部網絡相對獨立并且網絡效勞類型相對有限的網絡系統(tǒng),而校園網正屬此型,故要實現校園網的平安應采用防火墻技術。D.防止內外的攻擊威脅。在每個平安域內或多個平安域之間安裝入侵檢測系統(tǒng)〔IDS〕,可有效地防止來自網絡內外的攻擊。E.定期的網絡平安性檢測實現持續(xù)平安。利用漏洞掃描器〔Scanner〕,定期對系統(tǒng)進行平安性評估，及時發(fā)現平安隱患并實施修補，可到達網絡的相對持續(xù)平安。F.建立網絡防病毒系統(tǒng)。在校園網中安裝網絡版的防毒系統(tǒng)，集中控制、管理查殺網絡中的效勞器、終端的病毒，保護全網不被病毒侵害。(4)應用層平安應用層的平安措施主要有以下幾點：eq\o\ac(○,1)各應用系統(tǒng)自身的加固；eq\o\ac(○,2)建立身份認證系統(tǒng)〔實名制〕；eq\o\ac(○,3)建立平安審計系統(tǒng)；eq\o\ac(○,4)建立備份系統(tǒng)；eq\o\ac(○,5)建立日志訪問系經統(tǒng)；(5)管理層平安實現管理層的平安主要注意以下幾點：eq\o\ac(○,1)建立平安管理平臺。主要是指將各種平安系統(tǒng)或設備集中控管、綜合分析。eq\o\ac(○,2)建立、健全平安管理體制。校園網用戶較多，一定要建立一套合理可行的平安管理制度。只有制度和設備的完美結合才能真正提高校園網的平安水平。eq\o\ac(○,3)提高全員的平安意識。信息平安和網絡平安事關師生身心健康，事關教育健康開展，事關國計民生和社會穩(wěn)定。完善信息平安和網絡平安體系，加強信息平安和網絡平安意識，既是互聯網使用單位的法定義務，也是教育信息化開展的迫切需要。為進一步加強我國高校教育系統(tǒng)信息平安和網絡平安管理，預防和打擊各種網上違紀、違法行為，有效推動我國高校教育網絡建設與應用健康有序開展。4.2校園網網絡平安管理的對策高校校園網絡平安管理是一項復雜的系統(tǒng)工程,要提高網絡平安,必須根據實際情況,從多個方面努力?！?〕加強網絡平安管理制度建設“三分技術、七分管理”,網絡平安尤為如此。各高校要根據校園網的實際情況,制定并嚴格執(zhí)行有效的平安管理制度。如:校園網網絡平安管理制度、網絡主干管理與維護制度、校園網非主干維護制度、網絡平安管理崗位職責、網絡運行管理制度、主頁維護管理制度、校園網信息發(fā)布與管理制度、病毒防治管理制度、重要數據備份與管理制度等。此外,為更加有效控制和減少校園網絡的內部隱患,各高校必須制定網絡行為標準和違反該標準的具體處分條例。〔2〕做好物理平安防護物理平安防護是指通過采用輻射防護、屏幕口令、狀態(tài)檢測、報警確認、應急恢復等手段保護網絡效勞器等計算機系統(tǒng)、網絡交換路由等網絡設備和網絡線纜等硬件實體免受自然災害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞。如:將防火墻、核心交換機以及各種重要效勞器等重要設備盡量放在核心機房進行集中管理;將光纖等通信線路實行深埋、穿線或架空,防止無意損壞;將核心設備、主干設備以及接入交換機等設備落實到人,進行嚴格管理。物理平安防護是確保校園網絡系統(tǒng)正常工作、免受干擾破壞的最根本手段?！?〕加強對用戶的教育和培訓通過網絡平安教育使用戶對校園網絡所面臨的各類威脅有較為系統(tǒng)、全面的認識,明確這些威脅對他們的危害,增強他們的網絡平安意識,讓所有校園網用戶都來關心、關注網絡平安。通過對校園網用戶的培訓,使他們能盡量保證自己使用的計算機平安,能處理一些簡單的平安問題,從而減少網絡平安事故的發(fā)生。遇到網絡平安問題時,能做好記錄并及時向有關部門報告?！?〕提高網絡管理人員技術水平高水平的網絡管理人員能夠根據校園網的實際平安狀況,通過對校園網的重要資源設置使用權限與口令、通過對相應網絡平安設備尤其是核心設備進行系統(tǒng)配置以有效地保證校園網系統(tǒng)的平安。因此要保證校園網的平安運行,就需要培養(yǎng)一支具有較高平安管理意識的網絡管理員隊伍,提高他們維護網絡平安的警惕性和應對各種攻擊的能力。各高校要從兩個方面著手:一是要加強對現有網絡管理技術人員的培訓,提高他們應對網絡平安問題的能力和水平;二是要引進高水平的網絡平安管理技術人員,提升網絡管理技術人員整體技術水平?！?〕標準出口、入口管理為適應管理和工作的需要,現在高校校園網都有多個網絡出口(如:教育網、電信網等),要實施校園網的整體平安策略,首先就要對多出口進行統(tǒng)一管理,以解決校園網多出口帶來的平安問題,使校園網絡平安體系能夠得以實施,為校園網的平安提供了最根底的保障,如:不同出口間的隔離、封鎖病毒端口、阻止入侵者的攻擊,應用ACL拒絕IP地址欺騙等。〔6〕配備網絡平安設備或系統(tǒng)為減少來自校園網內外的攻擊和破壞,需要在校園網中配置必要的網絡平安設備,如網絡入侵保護系統(tǒng)、主頁防篡改系統(tǒng)、防火墻、網絡防病毒系統(tǒng)、漏洞掃描系統(tǒng)、內容過慮系統(tǒng)、補丁升級系統(tǒng)、效勞器的平安監(jiān)測系統(tǒng)等等。通過配置網絡平安設備,能夠實現對校園網絡的控制和監(jiān)管,能夠阻斷大量的非法訪問,能夠過濾來自網絡的不健康數據信息,能夠幫助網絡管理員在發(fā)生網絡故障時迅速定位。充分利用好這些網絡平安設備可以大大提高校園網的平安級別?！?〕建立全校統(tǒng)一的身份認證系統(tǒng)身份認證系統(tǒng)是整個校園網絡平安體系的根底,是校園網上信息平安的第一道屏障,是保證校園網內各應用系統(tǒng)平安運行的依靠。各高校要建立基于校園網絡的全校統(tǒng)一身份認證系統(tǒng),對校園網用戶上網進行身份認證。這樣不僅可以阻止非法用戶的上網行為,而且也能統(tǒng)一監(jiān)控合法戶上網的行為?！?〕建立更平安的電子郵件系統(tǒng)目前有些優(yōu)秀的電子郵件平安系統(tǒng)具有強大的高準確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現郵件系統(tǒng)的管理與維護,有的電子郵件系統(tǒng)判別垃圾郵件的準確率接近百分之百。各高校要多方分析、比擬,選擇優(yōu)秀的電子郵件平安系統(tǒng)保證校園網的郵件系統(tǒng)平安,以改變郵件系統(tǒng)存在垃圾郵件、郵件病毒、郵件泄密等平安隱患的現狀。〔9〕做好備份和應急處理對校園網來說,一套完整的備份和恢復方案是迫切需要的。備份既指對校園網重要數據的備份,也指核心設備和線路的備份。對網頁效勞器,要配置網頁防篡改系統(tǒng),以防止網頁被更改;對校園網中的核心設備的系統(tǒng)配置要進行備份,以便設備出故障時能及時恢復;對校園網中的核心線路要留有冗余,以便線路出故障時能立即啟用冗余線路以保證校園網絡主干的運行。應急響應是校園網整體平安的重要組成局部,各高校的校園網絡管理部門要制定網絡平安的有關應急處理措施和制度,以保證在出現網絡平安問題時要及時按照應急處理措施處理以減少損失。4.3校園網網絡信息平安的防范措施〔1〕培養(yǎng)高素質的平安運行維護隊伍高校可以組建一支以學生為主體的平安運行維護隊伍，由網絡中心統(tǒng)一領導，中心專業(yè)老師負責對學生等用戶進行平安管