葉海琴,孟彩霞

(1.周口師范學(xué)院公共計算機(jī)教研部,河南周口 466001; 2.鐵道警官高等專科學(xué)校警察管理系,河南鄭州 450053)

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,目前很多高校都建立了校園網(wǎng)絡(luò)并投入使用,高校校園網(wǎng)絡(luò)為學(xué)校的信息化建設(shè)奠定了基礎(chǔ),為學(xué)校的可持續(xù)發(fā)展提供了保證。校園網(wǎng)作為高校信息化平臺的基礎(chǔ),擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流的重要任務(wù)。但與此同時也帶來了前所未有的安全問題,利用計算機(jī)網(wǎng)絡(luò)犯罪的案件正呈上升趨勢,危害和影響越來越大。外部黑客的侵襲,內(nèi)部人員的攻擊,不良、非法信息的侵入和病毒破壞都能造成網(wǎng)絡(luò)信息系統(tǒng)的癱瘓,嚴(yán)重威脅著網(wǎng)絡(luò)的正常使用。因此,如何在現(xiàn)有的條件下避免惡性事件發(fā)生,搞好網(wǎng)絡(luò)的安全工作,已成了必須重視的一個緊迫課題。

一、高校校園網(wǎng)的特點(diǎn)

(一)規(guī)模大、速度快

隨著網(wǎng)絡(luò)的迅速發(fā)展和高校的擴(kuò)招,校園網(wǎng)覆蓋的范圍也越來越大且分布密集。目前各高?；緦?shí)現(xiàn)主干百兆、千兆到桌面,部分新建的學(xué)校已經(jīng)實(shí)現(xiàn)主干萬兆互聯(lián)。由于我國高校的用戶群分布比較密集,加上高帶寬和大用戶量的特點(diǎn),高帶寬成了一把“雙刃劍”,網(wǎng)絡(luò)問題一旦發(fā)生,則蔓延迅速,對網(wǎng)絡(luò)的影響就會更嚴(yán)重。

(二)復(fù)雜的用戶群體

高校校園網(wǎng)的用戶群體相對復(fù)雜,除了一部分教師外,還有很大一部分是學(xué)生。高等學(xué)校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶,對網(wǎng)絡(luò)新技術(shù)充滿好奇與渴望,勇于嘗試,很多學(xué)生都以能成為一名黑客為榮。他們會經(jīng)常嘗試使用各種網(wǎng)絡(luò)新技術(shù),尤其是一些學(xué)生會嘗試使用從網(wǎng)上學(xué)到的或者是自己研究的一些攻擊技術(shù),卻沒有意識到后果的嚴(yán)重性。由此所引發(fā)的不安全因素會比較多。

(三)管理相對混亂

高校中計算機(jī)的管理情況非常復(fù)雜。高校計算機(jī)的來源主要有以下幾種:1.學(xué)校統(tǒng)一購買的辦公用機(jī);2.多媒體教室和機(jī)房的教學(xué)用機(jī);3.學(xué)生或教師自己購買的機(jī)器。一般來說,教學(xué)用機(jī)是由專業(yè)的管理人員進(jìn)行維護(hù),相對使用情況較好,辦公用機(jī)以及教師或?qū)W生自己購買的機(jī)器由于沒有專業(yè)的維護(hù),相對來說維護(hù)情況較差,往往是病毒感染的主要對象,而且在高校中隨著移動辦公的普及,筆記本越來越多,如果一臺感染了病毒的筆記本在各個不同的網(wǎng)段中使用,就使網(wǎng)管人員很難判別出是哪一臺機(jī)器有問題,增加了管理的難度。

(四)開放的網(wǎng)絡(luò)環(huán)境

教學(xué)和科研的需要,決定了校園網(wǎng)絡(luò)的環(huán)境是開放的,而且在管理方面較企業(yè)網(wǎng)絡(luò)來說要更寬松一些,這樣就會留下一些安全隱患。企業(yè)網(wǎng)可以限制允許Web瀏覽和電子郵件的流量,甚至限制外部發(fā)起的鏈接,不允許其進(jìn)入防火墻,但是這在校園網(wǎng)環(huán)境下通常是行不通的。比如,學(xué)生在校內(nèi)和校外對學(xué)校教學(xué)管理系統(tǒng)中的成績來進(jìn)行查詢,開辦遠(yuǎn)程教育的學(xué)校一般通過網(wǎng)絡(luò)課程對學(xué)生進(jìn)行網(wǎng)上授課、網(wǎng)上答疑,所以在校園網(wǎng)中不能實(shí)施過多的限制,否則一些新的應(yīng)用、新的技術(shù)很難在校園網(wǎng)內(nèi)部實(shí)施。

二、高校校園網(wǎng)存在的安全問題

(一)網(wǎng)絡(luò)病毒的威脅

隨著計算機(jī)軟硬件技術(shù)的迅速發(fā)展,計算機(jī)病毒也在不斷地推陳出新。目前,病毒已成為困擾計算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)發(fā)展的重要問題。其危害程度更是深淺不一,輕則運(yùn)行速度明顯變慢,頻繁死機(jī),重則文件被刪除,硬盤分區(qū)表被破壞,甚至硬盤被非法格式化,更有甚者還會造成計算機(jī)硬件損壞,很難修復(fù)。由于校園網(wǎng)的使用者是教師和學(xué)生,很多資料都需要共享,這樣就為病毒的傳播提供了方便。因此,網(wǎng)絡(luò)病毒的防范任務(wù)更加艱巨。

(二)人為因素

由于校園網(wǎng)的使用群體相對復(fù)雜,為了用戶方便訪問校園網(wǎng)上的共享資源,很多資料都是沒有設(shè)置密碼的,或者使用的密碼過于簡單,加上經(jīng)常的遠(yuǎn)程登錄等等,這些都對校園網(wǎng)的安全構(gòu)成一定的威脅。由于校園網(wǎng)的使用者中有一大部分是學(xué)生,而學(xué)生又是很活躍、充滿好奇,并且勇于嘗試的用戶,由于沒有意識到后果的嚴(yán)重性,很多學(xué)生用網(wǎng)上學(xué)到的新技術(shù)或自己研究出來的新的攻擊技術(shù)在機(jī)房里做實(shí)驗(yàn),這可能對網(wǎng)絡(luò)造成一定的影響和破壞。

在管理方面,很多學(xué)校在建設(shè)校園網(wǎng)的時候,大多是重建設(shè)、輕管理,沒有完善的管理規(guī)章制度,安全管理意識單薄,重要的設(shè)備,如各種服務(wù)器、主干交換機(jī)、路由器等都比較分散,沒有集中管理,終端設(shè)備沒有落實(shí)到具體個人管理等等,這些都是對網(wǎng)絡(luò)安全造成威脅的隱患。

(三)操作系統(tǒng)安全問題

目前我們所使用的操作系統(tǒng)主要有 W indows 2000/xp、Vista、Linux、UN I X等,這些操作系統(tǒng)存在不同程度的安全漏洞,安全風(fēng)險級別不同,都在某種程度上對網(wǎng)絡(luò)安全造成一定的威脅。自從微軟推出W indows操作系統(tǒng),到至今 Vista系統(tǒng)的誕生,其不可避免的漏洞一直都是讓大家所頭疼的一件事情。因?yàn)楦鞣N黑客入侵、病毒木馬侵入,都是在有漏洞的系統(tǒng)內(nèi)進(jìn)行的,如果一個系統(tǒng)在管理上出現(xiàn)了問題,就會很容易被黑客光顧。

三、解決校園網(wǎng)安全問題的途徑

(一)設(shè)置防火墻

及時安裝和更新防火墻,并在系統(tǒng)啟動時啟動防火墻。對防火墻設(shè)置一定的安全級別,也就是說,通過防火墻來控制哪些用戶和數(shù)據(jù)可以進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時也設(shè)定哪些用戶和數(shù)據(jù)不允許進(jìn)入自己的網(wǎng)絡(luò)內(nèi)部,定期查看防火墻訪問日志,以便及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。這樣即可防止多數(shù)黑客進(jìn)入計算機(jī)偷窺、竊密或放置黑客程序。

(二)強(qiáng)化網(wǎng)絡(luò)安全意識

由于校園網(wǎng)絡(luò)的用戶主要是教師和學(xué)生,現(xiàn)有教材中網(wǎng)絡(luò)安全防護(hù)教育的知識匱乏,應(yīng)對師生進(jìn)行安全教育和培訓(xùn),加強(qiáng)安全防護(hù)知識以及遇到問題如何處理等方面的教育,制定周密的安全教育和培訓(xùn)計劃,充分提高師生的網(wǎng)絡(luò)安全意識。

(三)及時更新系統(tǒng),優(yōu)化系統(tǒng)配置

首先,針對目前主流網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的系統(tǒng)漏洞,我們可以采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。及時更新系統(tǒng),如打上系統(tǒng)補(bǔ)丁、及時更新殺毒軟件。

其次,對每個網(wǎng)絡(luò)用戶設(shè)置相應(yīng)的權(quán)限,并應(yīng)用策略要求每個網(wǎng)絡(luò)用戶設(shè)置較為復(fù)雜的用戶口令。防止網(wǎng)絡(luò)用戶擁有過大的系統(tǒng)權(quán)力,造成入侵或過失操作。

再次,關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)。原因很簡單,開放更多的網(wǎng)絡(luò)服務(wù),就意味著有更大的機(jī)會存在漏洞,更不安全。

(四)網(wǎng)絡(luò)監(jiān)控措施

在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下,增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制,可以做到最大限度地保護(hù)校園網(wǎng)資源。如配備入侵檢測系統(tǒng),Web、E-mail的安全監(jiān)測系統(tǒng),網(wǎng)絡(luò)監(jiān)聽系統(tǒng)等。入侵檢測系統(tǒng)通常是對網(wǎng)絡(luò)流量、CPU使用率和 I/O的使用情況進(jìn)行檢測,與已知的入侵行為作對比,從而檢測是否有攻擊正在進(jìn)行。一旦發(fā)現(xiàn)異常,系統(tǒng)就會產(chǎn)生報警,通知網(wǎng)絡(luò)管理員。通過使用網(wǎng)管軟件、日志分析軟件和 Sniffer等工具,形成一個從實(shí)時監(jiān)控到離線審計在內(nèi)的,功能較完整、覆蓋面較廣的監(jiān)控管理系統(tǒng)。