莫泓銘，蔡勇智

（四川民族學(xué)院，四川康定 626001）

淺析民族高校校園網(wǎng)常見安全隱患及其對策

莫泓銘，蔡勇智

（四川民族學(xué)院，四川康定 626001）

本文結(jié)合民族高校與其他高校校園網(wǎng)的普通性與特殊性，分析校園網(wǎng)常見的安全隱患，如網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量、使用者操作水平差異及不良的操作習(xí)慣、協(xié)議本身的漏洞等。并結(jié)合高校校園網(wǎng)的實(shí)際，從管理制度、備份冗余、普及安全知識、采用VLAN技術(shù)將校園網(wǎng)簡化和加強(qiáng)網(wǎng)絡(luò)管理實(shí)行身份驗(yàn)證等方面提出一些關(guān)于增強(qiáng)校園網(wǎng)絡(luò)安全性的策略。

民族高校；校園網(wǎng)；安全隱患；對策

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)的應(yīng)用越來越廣泛，網(wǎng)絡(luò)已普及社會的各行各業(yè)，各高校都建立了自己的校園網(wǎng)并接入了因特網(wǎng)。網(wǎng)絡(luò)技術(shù)的發(fā)展使地處偏遠(yuǎn)地區(qū)的民族高校能快速接觸到最新知識，為教學(xué)、科研、辦公帶來了不少便利。校園網(wǎng)作為信息傳播的新媒體，已經(jīng)成為廣大師生員工必不可少的教學(xué)、科研和學(xué)習(xí)的工具，并且實(shí)現(xiàn)了無紙化辦公，教育信息化程度進(jìn)一步得到提高，為廣大師生教學(xué)科研、信息交流及獲取各類知識提供了重要渠道。網(wǎng)絡(luò)最基本的初衷即基于彼此信任的、開放的資源共享，但也帶來了各種安全隱患。民族高校校園網(wǎng)的安全性問題與其他校園網(wǎng)比較，有其普遍性，也有其獨(dú)特性。本文以四川民族學(xué)院校園網(wǎng)為例，分析校園網(wǎng)常見的安全問題，探討一些能提高校園網(wǎng)安全性的措施。

1 民族高校校園網(wǎng)常見的安全隱患

1.1 接入校園網(wǎng)的計(jì)算機(jī)數(shù)量眾多

隨著高校辦公自動化的進(jìn)展，教職工至少人手一臺計(jì)算機(jī)，計(jì)算機(jī)在大學(xué)生中的普及率基本上也達(dá)到60%以上，這些計(jì)算機(jī)大多都能輕易接入校園網(wǎng)。

1.2 計(jì)算機(jī)使用者技術(shù)參差不齊

作為民族高校，有相當(dāng)一部分教職工及學(xué)生的計(jì)算機(jī)應(yīng)用水平較低，他們處于只會打字、上網(wǎng)等水平。在網(wǎng)上下載資料或軟件安裝時常常不經(jīng)意間安裝了一些惡意的插件，而這些插件很有可能暗藏病毒。并且，移動存儲設(shè)備廣泛使用，使用者不知如何安全地打開外來移動存儲設(shè)備，只是一味地雙擊或右鍵打開，也為病毒的廣泛傳播創(chuàng)造了必要的條件。

1.3 網(wǎng)絡(luò)協(xié)議本身的漏洞

現(xiàn)行通用的上網(wǎng)協(xié)議為TCP/IP協(xié)議簇，該協(xié)議簇的初衷是共享，而非強(qiáng)調(diào)安全性。網(wǎng)絡(luò)中關(guān)于TCP/IP協(xié)議簇自身缺陷而引起的安全漏洞很多，例如：（1）利用TCP不完全的三次握手引發(fā)DOS攻擊；（2）TCP/IP沒有對自己的數(shù)據(jù)包進(jìn)行完整性校驗(yàn)，可以造成中間人攻擊；（3）利用ARP的映射來實(shí)現(xiàn)IP的欺騙；（4）運(yùn)用ICMP的ping這樣的程序探測目標(biāo)地址，通過響應(yīng)可以得出目的地址。

1.4 操作系統(tǒng)的漏洞

很多網(wǎng)民習(xí)慣在私人電腦上對郵箱、微博等常用賬號“記住密碼”功能，相當(dāng)于把這些賬號的“通行證”保存在了Cookie文件中，下次再訪問就可以直接登錄。而最新的MHTML0day漏洞會導(dǎo)致網(wǎng)民電腦中的Cookie文件被黑客竊取，造成電子郵件泄露、微博賬號等被黑客冒用等后果。諸如此類的還有默認(rèn)共享、Windows XP系統(tǒng)默認(rèn)空密碼帳戶Administrator等。

1.5 空密碼問題嚴(yán)重

大多計(jì)算機(jī)在安裝好系統(tǒng)后就直接聯(lián)網(wǎng)使用，沒有進(jìn)行相應(yīng)的安全檢查及設(shè)置，許多計(jì)算機(jī)都沒有設(shè)置密碼，或者設(shè)置的密碼極為簡單。

2 提高民族高校校園網(wǎng)安全性的策略

2.1 健全完善校園網(wǎng)計(jì)算機(jī)入網(wǎng)管理制度

校園網(wǎng)的管理制度可從用戶與網(wǎng)絡(luò)管理者兩個層面制定。在用戶層面，從用戶開戶時就告之入網(wǎng)責(zé)任與權(quán)利及相關(guān)的法律法規(guī)，并強(qiáng)調(diào)不得盜用他人帳號上網(wǎng)、不得使用他人IP地址；不得私自架設(shè)代理服務(wù)器；不得攻擊、侵入他人計(jì)算機(jī)等約定并以協(xié)議形式簽訂保存。從而規(guī)范入網(wǎng)用戶行為，對違反入網(wǎng)規(guī)定的用戶采取斷網(wǎng)或給予相應(yīng)的處分，情節(jié)嚴(yán)重者交公安機(jī)關(guān)處理。網(wǎng)絡(luò)管理者層面，加強(qiáng)對網(wǎng)絡(luò)管理者專業(yè)知識升級更新，提升網(wǎng)絡(luò)管理能力；實(shí)行網(wǎng)絡(luò)安全運(yùn)行績效考核制，確保網(wǎng)絡(luò)安全無障礙運(yùn)行。

2.2 重點(diǎn)數(shù)據(jù)建立備份、容錯機(jī)制

對校園網(wǎng)內(nèi)的重點(diǎn)數(shù)據(jù)單元（如教務(wù)處、財(cái)務(wù)處、后勤服務(wù)中心、網(wǎng)絡(luò)信息中心等區(qū)域）盡量不要接入外網(wǎng)，做好每周定期自動備份（重要操作后要及時備份），以保證在數(shù)據(jù)遭到損壞后能及時恢復(fù)，把損失降到最低。對于需24小時不間斷提供服務(wù)的數(shù)據(jù)單元還應(yīng)該建立冗余鏡像，兩臺服務(wù)器指定為一主一從，當(dāng)主服務(wù)器發(fā)生故障時，從服務(wù)器及時接管主服務(wù)器來提供服務(wù)。為防止數(shù)據(jù)在非法獲取后泄露，在數(shù)據(jù)流通環(huán)節(jié)及數(shù)據(jù)存儲環(huán)節(jié)應(yīng)進(jìn)行加密，加密算法至少達(dá)到128位，在采購重點(diǎn)數(shù)據(jù)單位數(shù)據(jù)庫軟件時應(yīng)充分考慮這一點(diǎn)。

2.3 在校園內(nèi)開展計(jì)算機(jī)安全知識培訓(xùn)，普及防病毒技巧

通過現(xiàn)場培訓(xùn)、網(wǎng)絡(luò)培訓(xùn)、利用校園網(wǎng)平臺自學(xué)等方式，向廣大教職工和學(xué)生普及計(jì)算機(jī)安全使用小常識，使其養(yǎng)成良好的操作習(xí)慣。如：對來歷不明的文件或被感染了病毒的文件不能直接雙擊或通過右鍵打開方式打開，正確的做法是通過資源管理器打開；對移動設(shè)備在使用前先殺毒；對網(wǎng)上下載的文件先殺毒，確認(rèn)無毒后才打開；能識別常見文件類型，通過文件擴(kuò)展名能知道這是什么類型文件；鑒別偽裝的可執(zhí)行文件；經(jīng)常對計(jì)算機(jī)進(jìn)行體檢，有利于及時發(fā)現(xiàn)有無病毒。

2.4 加強(qiáng)個人計(jì)算機(jī)安全管理

入網(wǎng)計(jì)算機(jī)都應(yīng)做好自身安全防護(hù)工作，以減少給整個網(wǎng)絡(luò)造成的安全隱患。（1）防止空密碼或弱口令問題。每臺計(jì)算機(jī)都應(yīng)該設(shè)置密碼，密碼不能太簡單或易猜，以防止暴力破解密碼。這是防止非法訪問最基本的一步，也是保護(hù)信息安全最重要的一步；（2）安裝殺毒軟件。殺毒軟件就像保險一樣，在系統(tǒng)沒感染病毒的時候它就像一個安全守護(hù)神，在感染病毒后，它能最大限度地對癥下藥，清除病毒，保護(hù)數(shù)據(jù)安全。盡管有的用戶自詡計(jì)算機(jī)應(yīng)用水平較高，能對付常規(guī)的病毒而不安裝殺毒軟件，殊不知，病毒也是在不斷更新發(fā)展的，而殺毒軟件背后是一個專門研究對抗病毒的技術(shù)團(tuán)隊(duì)，當(dāng)出現(xiàn)新的病毒后，殺毒軟件能在最短時間內(nèi)通過更新方式獲得清除新病毒的程序；（3）及時修復(fù)系統(tǒng)漏洞，打上安全補(bǔ)丁。雖然如今絕大多數(shù)用戶對電腦安全的防護(hù)意識已經(jīng)大大提高，但是“漏洞修復(fù)”可能永遠(yuǎn)無法擁有如“查殺病毒”同等重要的心理定位，漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。許多病毒都是通過系統(tǒng)漏洞進(jìn)入系統(tǒng)，或者是利用系統(tǒng)存在的漏洞直接攻擊或者控制計(jì)算機(jī)系統(tǒng)的。漏洞補(bǔ)丁可以通過開啟系統(tǒng)自帶的“Windows Update”功能實(shí)現(xiàn)從微軟官方自動下載更新，也可以利用QQ管家、360安全衛(wèi)士、金山衛(wèi)士等安全管理軟件實(shí)現(xiàn)按需下載。

2.5 利用VLAN技術(shù)，將校園網(wǎng)劃分為數(shù)個小區(qū)域

VLAN作為一門新興技術(shù)，一出現(xiàn)就獲得廣大網(wǎng)絡(luò)管理員的認(rèn)同，現(xiàn)已在大型局域網(wǎng)絡(luò)中廣泛應(yīng)用。VLAN技術(shù)主要有以下優(yōu)點(diǎn)：（1）減少廣播風(fēng)暴，釋放更多帶寬給用戶，提高網(wǎng)絡(luò)流通性；（2）提高網(wǎng)絡(luò)安全，不在同一個VLAN內(nèi)的數(shù)據(jù)在傳輸時是相互隔離的；不同VLAN間相互訪問必須通過路由器或三層交換機(jī)來實(shí)現(xiàn)；（3）簡化網(wǎng)絡(luò)管理，增加網(wǎng)絡(luò)靈活性，將有相同需求的用戶劃分在同一個VLAN，不必關(guān)心他們是否物理上相鄰（基于網(wǎng)卡MAC地址）。引入VLAN，將一個大的網(wǎng)絡(luò)劃分為多個小網(wǎng)絡(luò)，便于維護(hù)、管理，并且能將網(wǎng)絡(luò)中每臺計(jì)算機(jī)對全局的影響降到最低。根據(jù)不同區(qū)域的功能，將校園網(wǎng)分為服務(wù)器區(qū)、教學(xué)區(qū)、教工生活區(qū)、學(xué)生宿舍區(qū)、辦公區(qū)等，并在每個小區(qū)域建立VLAN，對每個不同的區(qū)域給予不同的權(quán)限，從而防止跨區(qū)域的非法網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽，也能較好地解決訪問授權(quán)的問題。

2.6 加強(qiáng)網(wǎng)絡(luò)管理，實(shí)行入網(wǎng)計(jì)算機(jī)身份認(rèn)證

每臺接入校園網(wǎng)的計(jì)算機(jī)都必須有對應(yīng)的賬號，而不是簡單地設(shè)置個IP地址就能直接上網(wǎng)。上網(wǎng)計(jì)算機(jī)所訪問過的任何站點(diǎn)，所打開過的任何軟件都應(yīng)該有記錄，并且該記錄還必須按需保存一段時間。目前很多網(wǎng)絡(luò)管理類軟件都可以實(shí)現(xiàn)此類功能，如四川民族學(xué)院校園網(wǎng)所使用的DR.Com軟件，除能輕易實(shí)現(xiàn)以上需求外，還具有防代理接入功能，可防單網(wǎng)卡代理、寬帶路由器接入；防共享上網(wǎng)；透三層綁定MAC地址；定時、實(shí)時廣播、消息發(fā)送；有效防止IP盜用、MAC盜用上網(wǎng)；流量管制、帶寬管理等功能。網(wǎng)絡(luò)管理軟件雖會給用戶造成一定的不便，但對網(wǎng)絡(luò)管理者管理全局網(wǎng)絡(luò)是十分方便且有效的。所有的網(wǎng)絡(luò)管理類軟件都面臨一個共同的問題——破解；網(wǎng)絡(luò)上有許多關(guān)于網(wǎng)絡(luò)管理類軟件的破解使用方法，有些下載后就可直接使用，而有的則需有一定的計(jì)算機(jī)基礎(chǔ)才能使用。因而，網(wǎng)絡(luò)管理類軟件在發(fā)現(xiàn)漏洞或出現(xiàn)破解版的情況下，需及時推出修補(bǔ)漏洞的升級版本才能避免出現(xiàn)監(jiān)管真空區(qū)。

校園網(wǎng)有著最活躍的用戶，有著最先進(jìn)的技術(shù)應(yīng)用平臺。民族高校由于其特殊性，往往還擔(dān)負(fù)著維穩(wěn)等政治任務(wù)。只有加強(qiáng)民族高校校園網(wǎng)的安全運(yùn)行與管理，加強(qiáng)常規(guī)安全檢查，增加校園網(wǎng)安全管理投入，共同維護(hù)校園網(wǎng)，使其成為一個安全、可靠的網(wǎng)絡(luò)，才能為民族高校教學(xué)科研改革服務(wù)，為維護(hù)社會穩(wěn)定、促進(jìn)民族地區(qū)經(jīng)濟(jì)文化大發(fā)展、大繁榮做貢獻(xiàn)。

[1]四川農(nóng)業(yè)大學(xué)信息與教育技術(shù)中心.警示事件[EB/OL].(2012-06-05)[2012-06-10].http://nic.sicau.edu.cn/html/lists/5.htm.

[2]陳新建.高校園網(wǎng)的安全現(xiàn)狀和改進(jìn)對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(3):68-69.

[3]劉欽創(chuàng).高校校園網(wǎng)的安全現(xiàn)狀與對策[J].現(xiàn)代計(jì)算機(jī),2006(3):103-106.

[4]陸凱.高校校園網(wǎng)網(wǎng)絡(luò)安全問題的分析及對策[J].開封大學(xué)學(xué)報(bào),2006(3):82-85.

An Analysis on the Hidden Risks and the Countermeasures on Ethnic Universities’Network

MOHong-ming,CAI Yong-zhi
（Sichuan Universityfor Nationalities,Kangding626001,China）

Combining the commonness and specialness between the ethnic universities and the non-ethnic ones,this paper mainly analyzes the network’s frequently-seen hidden dangers of safety,such as the number of nodes,users’different operating levels and the bad operating habits,the protocol’s loophole.And based on the reality of the campus network,the paper comes up with some tactics to enhance its safety,from the operating systems,standby redundancy, popularity of safety knowledge,the use of VLAN to simplify campus network,and strengthening network management byIDchecking.

ethnic universities;campus network;hidden dangers ofsafety;countermeasures

TP393

A

1008-178X（2012）09-0032-03

2012-06-19

四川民族學(xué)院2011年度校辦自然科學(xué)項(xiàng)目（11XYZB006）。

莫泓銘（1983-），男，四川仁壽人，四川民族學(xué)院藏語文系助理研究員，從事計(jì)算機(jī)應(yīng)用研究。