葉　波

校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等許多角色。校園網(wǎng)安全狀況直接影響著學(xué)校的教學(xué)活動(dòng)。在網(wǎng)絡(luò)建成的初期，安全問(wèn)題可能還不突出，但隨著應(yīng)用的深入，各種各樣的安全問(wèn)題開始困擾我們。特別是近期校園網(wǎng)出現(xiàn)的一些新問(wèn)題，例如ARP造成網(wǎng)絡(luò)運(yùn)行不穩(wěn)定、P2P軟件占用大量網(wǎng)絡(luò)帶寬、大量的系統(tǒng)和應(yīng)用程序的漏洞被利用、一種病毒多種傳播手段等。因此我們必須不斷研究校園網(wǎng)面臨的安全問(wèn)題，結(jié)合本校網(wǎng)絡(luò)的實(shí)際情況找出解決這些問(wèn)題的具體方法，為學(xué)校的教育教學(xué)提供一個(gè)良好的網(wǎng)絡(luò)環(huán)境。

一、校園網(wǎng)面臨的主要安全隱患

1.各種操作系統(tǒng)以及應(yīng)用軟件自身存在的漏洞是當(dāng)前校園網(wǎng)最大的安全隱患

所謂漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。隨著軟件交流規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”不可避免地存在，比如我們常用的操作系統(tǒng)，無(wú)論是Windows還是Unix幾乎都存在或多或少的安全漏洞，眾多的服務(wù)器、瀏覽器、一些應(yīng)用軟件等都被發(fā)現(xiàn)存在安全隱患。目前鮮為人知的安全漏洞或脆弱點(diǎn)就多達(dá)140處，而且隨著時(shí)間的推移，將會(huì)有更多新安全漏洞被人發(fā)現(xiàn)和利用，嚴(yán)重威脅校園網(wǎng)的安全。

漏洞形成的因素主要有：首先，計(jì)算機(jī)系統(tǒng)設(shè)計(jì)的問(wèn)題。如網(wǎng)絡(luò)應(yīng)用需要開放某些端口,同樣也為黑客留下了侵入通道。對(duì)于一些開源性的系統(tǒng)或應(yīng)用程序，黑客會(huì)分析其源碼找到漏洞進(jìn)行攻擊。其次，計(jì)算機(jī)病毒攻擊網(wǎng)絡(luò)。計(jì)算機(jī)病毒具備破壞性和傳染性,主要通過(guò)電子郵件、文件下載、網(wǎng)絡(luò)訪問(wèn)、移動(dòng)介質(zhì)等形式進(jìn)行傳播,可造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓。廣義上的計(jì)算機(jī)病毒概念已經(jīng)超過(guò)原有范疇,可包括:傳統(tǒng)病毒、蠕蟲、木馬、后門、惡意網(wǎng)頁(yè)代碼(惡意Java腳本/ActiveX)等。再次，管理人員的不安全行為。大多數(shù)網(wǎng)管都沒(méi)有嚴(yán)格遵守網(wǎng)絡(luò)相關(guān)操作章程,導(dǎo)致疏忽了諸多安全漏洞。最后，人為的惡意攻擊。

2.計(jì)算機(jī)蠕蟲、病毒泛濫

網(wǎng)絡(luò)蠕蟲病毒的危害日益嚴(yán)重，種類和數(shù)量日益增多，發(fā)作日益頻繁?，F(xiàn)在蠕蟲病毒往往與黑客技術(shù)結(jié)合，計(jì)算機(jī)中毒發(fā)作后，常導(dǎo)致拒絕服務(wù)攻擊，連累全網(wǎng)服務(wù)中斷。過(guò)去病毒最大的“本事”是復(fù)制自身到其他程序。現(xiàn)在它具有了蠕蟲的特點(diǎn)，通過(guò)網(wǎng)絡(luò)到處亂竄。還有些病毒具有黑客程序的功能，一旦侵入計(jì)算機(jī)系統(tǒng)后，病毒控制者可以從入侵的系統(tǒng)中竊取信息，遠(yuǎn)程控制這些系統(tǒng)。

3.來(lái)自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為

有些計(jì)算機(jī)被攻破后，成為黑客的工具，進(jìn)行再次攻擊。例如，系統(tǒng)代理攻擊就是攻擊針對(duì)單個(gè)主機(jī)，并通過(guò)RealSecure系統(tǒng)代理對(duì)它進(jìn)行監(jiān)視。拒絕服務(wù)攻擊在一般情況下，是通過(guò)使被攻擊對(duì)象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過(guò)載，使被攻擊對(duì)象停止部分或全部服務(wù)，拒絕服務(wù)攻擊的典型方法有SYN Flood、Ping Flood等。

目前在互聯(lián)網(wǎng)上，人們可以自由下載很多攻擊工具。這類攻擊工具設(shè)置簡(jiǎn)單、使用方便，這意味著攻擊所需要的技術(shù)門檻大大降低。因此，一個(gè)技術(shù)平平的普通攻擊者很可能就是對(duì)系統(tǒng)造成巨大危害的黑客。

4.內(nèi)部用戶的攻擊行為

例如，授權(quán)訪問(wèn)嘗試指的是攻擊者對(duì)被保護(hù)文件進(jìn)行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護(hù)訪問(wèn)權(quán)限所做的嘗試，典型方法包括FTP root和NetBus等。預(yù)攻擊探測(cè)指在連續(xù)的非授權(quán)訪問(wèn)嘗試過(guò)程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部和周圍的信息使用這種攻擊嘗試，典型例子包括Satan掃描、端口掃描和IP半途掃描等。這些行為給校園網(wǎng)造成了不良的影響。

5.校園網(wǎng)內(nèi)部用戶對(duì)網(wǎng)絡(luò)資源的濫用

有人利用校園網(wǎng)資源進(jìn)行商業(yè)的或免費(fèi)的視頻、軟件資源下載服務(wù)，占用了大量珍貴的網(wǎng)絡(luò)帶寬。

6.垃圾郵件、不良信息的傳播等

二、維護(hù)校園網(wǎng)安全的對(duì)策

1.及時(shí)發(fā)現(xiàn)新漏洞，查明網(wǎng)絡(luò)中存在的安全隱患和威脅，采取積極的技術(shù)手段防止黑客攻擊

首先，在安裝操作系統(tǒng)和應(yīng)用軟件之后及時(shí)安裝補(bǔ)丁程序，并密切關(guān)注國(guó)內(nèi)外著名的安全站點(diǎn)，及時(shí)獲得最新的網(wǎng)絡(luò)漏洞信息。在使用網(wǎng)絡(luò)系統(tǒng)時(shí)，要設(shè)置和保管好賬號(hào)、密碼和系統(tǒng)中的日志文件，并盡可能地做好備份工作。其次，及時(shí)開啟防火墻，建立安全屏障。防火墻可以屏蔽內(nèi)部網(wǎng)絡(luò)的信息和結(jié)構(gòu)并降低來(lái)自外部網(wǎng)絡(luò)的攻擊。再次，利用系統(tǒng)工具和專用工具防止端口掃描。要利用網(wǎng)絡(luò)漏洞攻擊，必須通過(guò)主機(jī)開放的端口。黑客常利用Satan、Netbrute、SuperScan等工具進(jìn)行端口掃描。防止端口掃描的方法：一是在系統(tǒng)中將特定的端口關(guān)閉，二是利用PortMapping等軟件，對(duì)端口進(jìn)行限制或是轉(zhuǎn)向，最后通過(guò)加密、網(wǎng)絡(luò)分段、劃分虛擬局域網(wǎng)等技術(shù)防止網(wǎng)絡(luò)監(jiān)聽(tīng)。

2.安裝防火墻和網(wǎng)絡(luò)殺毒軟件，防范網(wǎng)絡(luò)病毒

未來(lái)網(wǎng)絡(luò)威脅的特征是病毒傳播的速度越來(lái)越快、從發(fā)現(xiàn)漏洞到利用漏洞進(jìn)行攻擊之間的間隔越來(lái)越短。因此無(wú)論是手動(dòng)的還是自動(dòng)的應(yīng)對(duì)措施，它們的作用都有限。唯一的方法是主動(dòng)預(yù)防，即部署整體的網(wǎng)絡(luò)安全解決方案代替簡(jiǎn)單的反病毒解決方案。選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。實(shí)現(xiàn)軟件安裝、升級(jí)、配置的中央管理不僅要對(duì)進(jìn)入校園網(wǎng)內(nèi)部的請(qǐng)求進(jìn)行病毒掃描和內(nèi)容過(guò)濾，而且還要在內(nèi)部用戶訪問(wèn)Internet、進(jìn)行內(nèi)部應(yīng)用之前，在本地網(wǎng)絡(luò)邊界進(jìn)行病毒掃描和內(nèi)容過(guò)濾，從而防止受到病毒、惡意代碼的破壞，提高網(wǎng)絡(luò)的安全性和可用性。

3.防范黑客入侵和對(duì)校園網(wǎng)的破壞行為

為防止來(lái)自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為，使用電腦時(shí)應(yīng)注意以下幾個(gè)方面的問(wèn)題：密碼安全、電子郵件安全、IE的安全、聊天軟件的安全、系統(tǒng)程序的安全、文件的安全等。

4.采取有利措施防止內(nèi)部用戶非正常使用和對(duì)校園網(wǎng)的的攻擊行為

建立各部門計(jì)算機(jī)使用制度，明確用戶的責(zé)任和義務(wù)，為用戶設(shè)定開機(jī)密碼，防止亂用或被他人盜用。嚴(yán)禁各部門隨意安裝和運(yùn)行一些帶有黑客性質(zhì)的軟件。嚴(yán)禁使用未檢驗(yàn)的光盤、軟盤和其他移動(dòng)存儲(chǔ)設(shè)備。對(duì)校園網(wǎng)上的計(jì)算機(jī)實(shí)施IP和MAC地址的綁定，防止私自亂改IP的現(xiàn)象發(fā)生。注意對(duì)校園網(wǎng)服務(wù)器的安全防護(hù)。運(yùn)用VLAN技術(shù)來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。

5.合理控制網(wǎng)絡(luò)流量，保證學(xué)校教育教學(xué)的正常需要

目前許多軟件諸如bt、emule、kugoo、kamun、VaGaa、Podcast Bar、迅雷、Kuho、PP點(diǎn)點(diǎn)通等，這些軟件在使用時(shí)都要占用大量網(wǎng)絡(luò)帶寬，嚴(yán)重影響上網(wǎng)速度，這就是當(dāng)前校園網(wǎng)用戶覺(jué)得網(wǎng)速越來(lái)越慢的主要原因。解決這個(gè)問(wèn)題要結(jié)合各學(xué)校的實(shí)際情況，有條件的可以購(gòu)置流控設(shè)備，對(duì)網(wǎng)絡(luò)流量進(jìn)行動(dòng)態(tài)控制，沒(méi)條件的也可以直接在交換機(jī)上對(duì)各端口流量進(jìn)行控制，以保證大多數(shù)人正常使用校園網(wǎng)。

6.利用過(guò)濾技術(shù)控制不良信息的傳播，營(yíng)造一個(gè)健康的校園網(wǎng)絡(luò)環(huán)境

7.加強(qiáng)對(duì)校園網(wǎng)的科學(xué)、規(guī)范化管理

除了建立起一套嚴(yán)格的安全管理制度外，還必須培養(yǎng)一支具有安全管理意識(shí)的網(wǎng)絡(luò)隊(duì)伍。

校園網(wǎng)絡(luò)的各種安全性威脅在其運(yùn)行和管理中表現(xiàn)得尤為突出,加強(qiáng)校園網(wǎng)的安全管理是當(dāng)前非常迫切、充滿挑戰(zhàn)的任務(wù)，也是一項(xiàng)長(zhǎng)期、復(fù)雜的工作。在目前的情況下，我們應(yīng)當(dāng)對(duì)自己學(xué)校的實(shí)際情況加強(qiáng)管理，認(rèn)真查找安全隱患，及時(shí)解決存在的問(wèn)題，運(yùn)用多種手段，千方百計(jì)地提高校園網(wǎng)絡(luò)的安全性，從而建立起一套真正適合學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)的安全體系。

參考文獻(xiàn)

[1]顧巧論,高鐵杠,賈春福等.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004(9).

[2]邵波,王其和.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].北京:電子工業(yè)出版社,2005(11).