謝大吉 李明華

1.四川文理學(xué)院網(wǎng)絡(luò)中心，四川 達(dá)州 635000 2.四川省巴中市第二中學(xué)，四川 巴中 636000

新形勢下高校網(wǎng)絡(luò)安全隱患與對(duì)策研究

謝大吉1李明華2

1.四川文理學(xué)院網(wǎng)絡(luò)中心，四川 達(dá)州 635000 2.四川省巴中市第二中學(xué)，四川 巴中 636000

新形勢下高校網(wǎng)絡(luò)安全隱患日益突出，結(jié)合高校網(wǎng)絡(luò)特點(diǎn)，分析存在的各種問題及原因，并提出了強(qiáng)化校園網(wǎng)絡(luò)的安全對(duì)策。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；入侵檢測；ARP

引言

二十世紀(jì)前后十年間，我國各類高校普遍擴(kuò)大校園規(guī)模和學(xué)生人數(shù)，相應(yīng)地校園網(wǎng)絡(luò)不斷得到改造擴(kuò)充發(fā)展，依托校園網(wǎng)的各類資源也日益豐富和完善。目前校園網(wǎng)已經(jīng)成為高校教學(xué)、科研和管理的重要平臺(tái)、內(nèi)外信息交流和溝通的重要手段和師生學(xué)習(xí)生活的一部分。但是，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大、在線人數(shù)不斷增多、網(wǎng)絡(luò)開放程度的不斷增強(qiáng)，網(wǎng)絡(luò)安全問題也越來越突出[1]。如何有效地保證校園網(wǎng)的安全，更好地為學(xué)校師生提供優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)，成為高校普遍關(guān)注的課題。

1 高校網(wǎng)絡(luò)特點(diǎn)

高校網(wǎng)絡(luò)經(jīng)過大規(guī)模的發(fā)展變革，既不同于以前，也不同于一般的公司網(wǎng)絡(luò)或中小學(xué)校園網(wǎng)，它有其自身的特點(diǎn)。

1.1 網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜

高等院校經(jīng)過近20年的擴(kuò)張，基本上都已發(fā)展成為多校區(qū)，校園網(wǎng)絡(luò)也發(fā)生了很大的變化，不僅人數(shù)增加了，覆蓋范圍擴(kuò)大了，出口從單一出口發(fā)展成為多出口，而且網(wǎng)絡(luò)規(guī)模發(fā)生了很大變化，拓?fù)浣Y(jié)構(gòu)也從第一的拓?fù)浣Y(jié)構(gòu)發(fā)展成為混合型拓?fù)浣Y(jié)構(gòu)，如由星型結(jié)構(gòu)和總線型結(jié)構(gòu)結(jié)合在一起的網(wǎng)絡(luò)結(jié)構(gòu)，這樣的拓?fù)浣Y(jié)構(gòu)更能滿足較大網(wǎng)絡(luò)的拓展，解決星形網(wǎng)絡(luò)在傳輸距離上的局限，而同時(shí)又解決了總線型網(wǎng)絡(luò)在連接用戶數(shù)量的限制[2]。校園網(wǎng)絡(luò)的核心設(shè)備一般采用雙機(jī)熱備份，路由策略、訪問控制等更趨復(fù)雜。

1.2 設(shè)備眾多，分布廣泛

校園網(wǎng)物理上分布在校園的各個(gè)角落，通過主干光纖線路連接在一起，光纖收發(fā)器、交換機(jī)、防火墻、路由器、服務(wù)器等各類網(wǎng)絡(luò)設(shè)備成百上千安裝在各棟樓宇，價(jià)值大，易發(fā)生故障和安全事故，給校園網(wǎng)絡(luò)管理和安全工作帶來了很大挑戰(zhàn)。

1.3 網(wǎng)絡(luò)用戶眾多，技術(shù)水平參差不齊

高校一部分用戶對(duì)計(jì)算機(jī)興趣大，思維靈和，技術(shù)水平較高，一部分人卻不具備基本的電腦常識(shí)，連如何設(shè)置IP地址都弄不明白，更別談如何保護(hù)自己電腦免遭侵害，所以技術(shù)水平兩極分化明顯，同時(shí)網(wǎng)絡(luò)上各類木馬、病毒、破解工具泛濫，因而內(nèi)網(wǎng)面臨的安全形勢十分嚴(yán)峻，如在學(xué)生宿舍，個(gè)別用戶為了自己占有更多帶寬或證明自己，利用ARP病毒攻擊其他用戶。

1.4 部分資源有訪問限制，保密性要求較高

高校有些資源或有些應(yīng)用服務(wù)由于使用許可等原因，有訪問限制或者是不對(duì)外的，具有一定保密要求，例如圖書館藏資源不對(duì)校外用戶開放，某些科研信息涉及國家利益不能公開，這就要求網(wǎng)管人員必須采取相應(yīng)的安全措施，阻止非法訪問或非法入侵。

1.5 網(wǎng)絡(luò)使用頻率大，網(wǎng)絡(luò)脆弱性強(qiáng)

高校網(wǎng)絡(luò)除深夜外，其余時(shí)間用戶大多在線，網(wǎng)絡(luò)設(shè)備帶寬都是滿負(fù)荷運(yùn)行，白天集中在辦公區(qū)、教學(xué)區(qū)，夜晚集中在學(xué)生宿舍和教師宿舍，一旦個(gè)別用戶機(jī)器中毒或設(shè)備出現(xiàn)故障問題容易出現(xiàn)整棟樓宇無法上網(wǎng)甚至局部癱瘓。

1.6 網(wǎng)絡(luò)資源眾多，應(yīng)用廣泛，

依托于校園網(wǎng)的應(yīng)用服務(wù)五花八門，涵蓋了學(xué)校工作的各個(gè)方面，如學(xué)校、系部WEB服務(wù)、域名DNS系統(tǒng)、郵件Email系統(tǒng)、視頻點(diǎn)播VOD系統(tǒng)、文件下載FTP系統(tǒng)、圖書查詢借閱系統(tǒng)、檔案管理系統(tǒng)、招生就業(yè)系統(tǒng)、辦公自動(dòng)化系統(tǒng)、教務(wù)管理系統(tǒng)、精品課程系統(tǒng)、保衛(wèi)監(jiān)控系統(tǒng)等。防黑防木馬防攻擊，對(duì)管理人員提出了更高的技術(shù)要求，網(wǎng)絡(luò)安全工作形勢不容樂觀。

2 高校網(wǎng)絡(luò)存在的主要問題與原因

高校網(wǎng)絡(luò)出口多，帶寬高，內(nèi)外信息都能從網(wǎng)上方便快捷找到，用戶對(duì)網(wǎng)絡(luò)依存度較強(qiáng)，同時(shí)也面臨著來自內(nèi)外兩個(gè)方面的網(wǎng)絡(luò)攻擊，特別是內(nèi)部用戶，對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)布局和使用模式細(xì)節(jié)比較了解，因而網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)很大，具體來說，存在以下幾點(diǎn)：

2.1 用戶缺乏網(wǎng)絡(luò)安全常識(shí)

與具有較高攻擊防范意識(shí)的用戶相對(duì)立的是大多用戶包括部分老師和學(xué)生，嚴(yán)重缺乏網(wǎng)絡(luò)安全常識(shí)，在他們的意識(shí)中只要安裝了殺毒軟件就以為萬事大吉，電腦用戶名及密碼設(shè)置簡單易于破解，有的甚至不給機(jī)器設(shè)用戶名和密碼，不打補(bǔ)丁、不給軟件升級(jí)等等，這些機(jī)器往往成為“肉雞”，給網(wǎng)絡(luò)帶來嚴(yán)重的威脅。

2.2 網(wǎng)絡(luò)攻擊頻率較高

依托于校園網(wǎng)的各類資源很多，并大多與學(xué)生相關(guān)，也是學(xué)生感興趣的，而學(xué)生每天接觸最多的也就是校園網(wǎng)，因而學(xué)校各類網(wǎng)站資源往往為他們首選的攻擊目標(biāo)，同時(shí)對(duì)某些網(wǎng)絡(luò)設(shè)備如防火墻、路由器、交換器的用戶名密碼，他們也采取各種手段破解，所以校園網(wǎng)成了木馬病毒工具的試驗(yàn)場，攻擊不斷，你方唱罷我登場。

2.3 盜用學(xué)校網(wǎng)絡(luò)資源嚴(yán)重

由于TCP/IP協(xié)議本身原因，一旦某個(gè)用戶開戶了，其他用戶可以通過它以代理或共享上網(wǎng)的方式使用網(wǎng)絡(luò)，因而私接路由器、私設(shè)代理、私接線路、破解無線路由的密碼等事情時(shí)有發(fā)生，造成帶寬耗竭，影響了學(xué)院利益和正常用戶的使用。

2.4 網(wǎng)上留言草率

由于教學(xué)管理的需要，學(xué)校各系各部門有的在自己的主頁上設(shè)有留言板、論壇之類的互動(dòng)平臺(tái)，便于老師與學(xué)生交流，然而個(gè)別學(xué)生卻發(fā)表一些侮辱他人或有違法律的信息言論，給網(wǎng)絡(luò)管理部門工作帶來不必要麻煩。如我校某系留言板成了不發(fā)信息的發(fā)布點(diǎn)，給學(xué)院造成了惡劣影響。

2.5 病毒網(wǎng)內(nèi)傳播快，易大面積擴(kuò)散

由于校園網(wǎng)規(guī)模大，在線用戶很多，因而一旦某臺(tái)電腦感染了病毒，如果不及時(shí)采取措施，病毒將可能在短時(shí)間內(nèi)散布到整個(gè)校園網(wǎng)絡(luò)，嚴(yán)重的造成校園網(wǎng)堵塞癱瘓，影響網(wǎng)絡(luò)的正常使用。

3 加強(qiáng)高校網(wǎng)絡(luò)安全的措施與方法

3.1 加大網(wǎng)絡(luò)安全和管理系統(tǒng)的投入力度

一般學(xué)校較注重校園網(wǎng)建設(shè)中硬件的投入，忽視甚至忽略網(wǎng)絡(luò)安全和管理系統(tǒng)方面的投入。其實(shí)設(shè)備再好，說到底只有發(fā)揮設(shè)備的應(yīng)有性能才能起到良好的作用。在現(xiàn)有的復(fù)雜環(huán)境下，僅靠網(wǎng)管人員的知識(shí)經(jīng)驗(yàn)是不夠的，必須建立入侵檢測、入侵預(yù)防、身份認(rèn)證、流量分析等各種安全監(jiān)管系統(tǒng)，采用先進(jìn)的安全檢測手段，方能有效及時(shí)排除各種危險(xiǎn)和故障。

3.2 提高網(wǎng)絡(luò)安全意識(shí)，強(qiáng)化網(wǎng)絡(luò)安全宣傳和培訓(xùn)

用戶上網(wǎng)缺乏必要的安全意識(shí)和電腦知識(shí)，導(dǎo)致系統(tǒng)漏洞百出，木馬病毒泛濫，是大多網(wǎng)絡(luò)安全事故產(chǎn)生的真正原因。因此，要使網(wǎng)絡(luò)安全有序運(yùn)行必須首先提高用戶計(jì)算機(jī)水平并認(rèn)識(shí)到安全的重要性及可能給個(gè)人和學(xué)校帶來的危害，掌握電腦防毒防黑技巧，同時(shí)強(qiáng)化網(wǎng)絡(luò)法制教育，并把網(wǎng)絡(luò)安全作為一項(xiàng)長期性工作緊抓不懈。具體操作中，可把電腦安全設(shè)置的方法步驟和注意事項(xiàng)等做成視頻或PPT形式放在網(wǎng)上或張貼在公告欄，也可就計(jì)算機(jī)基礎(chǔ)知識(shí)和網(wǎng)絡(luò)安全問題定期做一些技術(shù)講座和培訓(xùn)，甚至可將網(wǎng)絡(luò)安全、網(wǎng)絡(luò)法律教育等納入課堂教學(xué)中，從而引導(dǎo)和規(guī)范用戶的上網(wǎng)行為，減少安全事故的發(fā)生。

3.3 建立規(guī)范的管理制度和安全有效的操作規(guī)范

網(wǎng)絡(luò)安全涉及面很廣，學(xué)校必須在統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)的原則指導(dǎo)下建立相應(yīng)的網(wǎng)絡(luò)安全管理制度，明確各級(jí)部門的職責(zé)和相關(guān)人員的崗位責(zé)任，分工到位，落實(shí)到人，同時(shí)制訂操作性強(qiáng)的用戶上網(wǎng)規(guī)范，明確部門對(duì)其管轄的上網(wǎng)用戶負(fù)有安全教育的責(zé)任和義務(wù)，違者必究，提高用戶上網(wǎng)的安全意識(shí)。

3.4 匯聚各方力量，建立多維網(wǎng)絡(luò)安全體系

每個(gè)學(xué)校都有不少對(duì)計(jì)算機(jī)網(wǎng)絡(luò)興趣高、技術(shù)水平高的用戶，這部分人采取防堵措施是不行的，應(yīng)該引導(dǎo)他們將自己的技術(shù)運(yùn)用到學(xué)校的網(wǎng)絡(luò)安全建設(shè)中來，多傾聽他們對(duì)學(xué)校網(wǎng)絡(luò)管理的意見和建議，甚至可聘請(qǐng)他們參與到學(xué)校網(wǎng)絡(luò)管理中來，從而既滿足了學(xué)生的表現(xiàn)欲望，又保障了校園網(wǎng)的安全[3]。另外網(wǎng)絡(luò)安全涉及的面廣，技術(shù)更新快，網(wǎng)管中心還應(yīng)著力探求與其他高校和公司的協(xié)作、合作和交流，建立立體多維的網(wǎng)絡(luò)安防體系。

3.5 加強(qiáng)安全人才的培養(yǎng)和培訓(xùn)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和進(jìn)步，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，對(duì)網(wǎng)絡(luò)安全人員也提出了更高要求，要求他們必須具備開拓進(jìn)取精神，隨時(shí)跟蹤網(wǎng)絡(luò)技術(shù)的最新進(jìn)展和變化，因而單位要有計(jì)劃、有步驟、有目的地給員工學(xué)習(xí)進(jìn)修的機(jī)會(huì)和時(shí)間，讓他們不斷地更新知識(shí)，了解技術(shù)新的走向，了解其他高校新的做法，吸收新的知識(shí)，提高自己的業(yè)務(wù)水平和創(chuàng)新能力，達(dá)到互利共贏的發(fā)展目標(biāo)，營造人才茁壯成長的良好環(huán)境和氛圍。

4 結(jié)論

網(wǎng)絡(luò)是學(xué)校教育信息化和數(shù)字化校園的載體，對(duì)學(xué)校的管理、發(fā)展至關(guān)重要[4]。網(wǎng)絡(luò)安全不是一個(gè)純粹的技術(shù)問題或某個(gè)部門的事情，學(xué)校要根據(jù)自身的特點(diǎn)采用有效安全技術(shù)手段和措施抵御和防范來自網(wǎng)絡(luò)的攻擊、木馬和病毒，同時(shí)也要建立和完善一套相應(yīng)的網(wǎng)絡(luò)安全管理的制度和規(guī)范。作為專業(yè)技術(shù)人員，更要不斷加強(qiáng)學(xué)習(xí)交流，掌握新技術(shù)，發(fā)現(xiàn)新問題，改進(jìn)和完善校園網(wǎng)絡(luò)的安全策略，從而減少網(wǎng)絡(luò)安全隱患，保證網(wǎng)絡(luò)良性運(yùn)行。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第5版)[M].北京：電子工業(yè)出版社.2010:284-305

[2]吳功宜，吳英.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)教程(第3版)[M].北京：清華大學(xué)出版社.2009:17-18

[3]李新,孫中濤. 高校校園網(wǎng)安全管理研究[J].現(xiàn)代教育裝備.2010,97(9),27-29

[4]肖陽，李陽.校園網(wǎng)絡(luò)的多層安全體系研究[J].中南林業(yè)科技大學(xué)學(xué)報(bào).2010，30(4)：171-172

CampusNetwork Security Even Analysis And Counter-measure Under The New Time

Xie Daji1Li Minghua2
1.Network Management Center, Sichuan University of Arts and Science,Dazhou Sichuan 635000
2.Bazhong Secondary Middle School,Bazhong Sichuan 636000

Under the new time campus-network security Even is serious. Combined with the features of campusnetwork, It analyzes the various problems and causes, and proposes measures to strengthen the security of campus network.

network security；network management；Intrusion Detect System；ARP

10.3969/j.issn.1001-8972.2011.08.081

謝大吉（1967—），男，漢族，四川巴中人，工程師，軟件工程碩士，主要從事計(jì)算機(jī)網(wǎng)絡(luò)管理及安全研究。

李明華（1978—），女，漢族，四川巴中人，主要從事計(jì)算機(jī)應(yīng)用研究與數(shù)學(xué)教學(xué)。