吳李

摘要：文章通過闡述校園網(wǎng)的特點，分析校園網(wǎng)的安全問題，對校園網(wǎng)多層次訪問控制展開探討，旨在為如何促進校園網(wǎng)有序健康運行研究適用提供一些思路。

關(guān)鍵詞：校園網(wǎng)；分層防護；訪問控制；安全體系

一、引言

校園網(wǎng)如同一把“雙刃劍”，一方面會對高校建設起到促進作用，一方面會引發(fā)一系列信息安全問題。由此可見，對校園網(wǎng)多層次訪問控制展開研究有著十分重要的現(xiàn)實意義。

二、校園網(wǎng)的特點

校園網(wǎng)作為一個全面開放式的網(wǎng)絡計算機環(huán)境，此類開放性經(jīng)由制定協(xié)調(diào)一致的網(wǎng)絡體系架構(gòu)，秉承協(xié)調(diào)一致的通信協(xié)議標準達成，涵蓋選取開放標準、開放架構(gòu)、開放技術(shù)等內(nèi)容，所以其應當提供多層次安全控制手段，構(gòu)建健全安全管理體系，防止校園網(wǎng)遭受外部入侵或內(nèi)部破壞，為數(shù)據(jù)完整及系統(tǒng)安全提供有效保障。

三、校園網(wǎng)的安全問題

（一）外部攻擊

該種威脅源于校園網(wǎng)外部的非法入侵，諸如一系列病毒傳播、各類軟件自身存在漏洞、黑客攻擊及互聯(lián)網(wǎng)賴以生存的TCP/IP協(xié)議未有相關(guān)安全機制等。就好比，黑客會對網(wǎng)絡信息有效性、全面性進行選擇性地破壞，偽裝成常規(guī)用戶進入網(wǎng)絡，同時占用各種資源，修改網(wǎng)絡數(shù)據(jù)，破壞軟件執(zhí)行等[1]。

（二）內(nèi)部攻擊

校園網(wǎng)提供了各式各樣的網(wǎng)絡應用功能，包括網(wǎng)上選課、PIP、視頻點播、課表查詢、成績查詢等，由于一些學生有著強烈的好奇心，一心想要成為一名黑客，且不乏有部分學生應用自學的相關(guān)攻擊技術(shù)，自局域網(wǎng)內(nèi)部對校園網(wǎng)展開攻擊，而通常情況下，此類行為往往是應用硬件防火墻的校園網(wǎng)最薄弱部分。此外，一些學生未養(yǎng)成良好的上網(wǎng)習慣，好比殺毒軟件及防火墻不定時更新、下載一些含有病毒的網(wǎng)絡文件、隨意使用U盤等，一定程度對全面校園網(wǎng)安全構(gòu)成不良影響。

四、校園網(wǎng)多層次訪問控制

（一）物理層

確保計算機信息系統(tǒng)每一設備的物理安全是全面計算機系統(tǒng)完全的重要前提。最底層是安全最為薄弱的環(huán)節(jié)，倘若遭受威脅、破壞，則該層以上的任意網(wǎng)絡層次均會面臨不良影響，其為網(wǎng)絡安全的重要基礎。物理層應當權(quán)衡的安全內(nèi)容包括物理設備安全、線路安全以及機房安全等。為了盡可能消除安全風險，強化突發(fā)狀況下的恢復能力，應當構(gòu)建完善的網(wǎng)絡管理制度，同時應當結(jié)合網(wǎng)絡環(huán)境轉(zhuǎn)變作出實時優(yōu)化調(diào)整，從而有效適應網(wǎng)絡發(fā)展需求。

（二）數(shù)據(jù)鏈路層

數(shù)據(jù)鏈路層關(guān)聯(lián)的網(wǎng)絡設備已交換機為主，為了對校園網(wǎng)內(nèi)部全面安全開展防范，最佳途徑是于交換機部位開展控制。數(shù)據(jù)鏈路層的安全隱患有MAC地址欺騙、STP攻擊及接入點管理不足等。于交換機上劃分VLAN，制定好一系列安全配置。倘若條件允許，可將MAC地址與端口進行綁定，從而有效防止或者縮減MCA地址欺騙及ARP病毒攻擊等[2]。

（三）網(wǎng)絡互聯(lián)層

于網(wǎng)絡互聯(lián)層工作的設備已路由器、三層交換機為主，也就是說大多數(shù)安全隱患均聚集與此方面設備上。

1、IP地址欺騙。對合法用戶IP地址進行盜用，對自身真實身份進行隱藏，IP地址欺騙與MAC地址欺騙之間結(jié)合，偽裝成合法用戶開展網(wǎng)絡訪問。就好比十分多見的IP地址沖突就可能是IP地址欺騙造成的，致使網(wǎng)絡中其他主機無法有序運行或占用大量資源，對帶寬造成不良影響。

2、IP掃描攻擊。現(xiàn)階段常見的掃描攻擊包括：“目的IP地址變化的掃描”可稱作“scan dest ip at-tack”，此類掃描攻擊對網(wǎng)絡會構(gòu)成極大危害，一方面會對網(wǎng)絡帶寬進行消耗，一方面會極大交換機負擔；“目的IP地址不存在”可稱作“same des ip at-tack”，此類掃描攻擊會不斷發(fā)送大量的報文[3]。

于路由器配置一系列安全策略，就好比ACL一類，現(xiàn)階段大部分網(wǎng)絡在與外部網(wǎng)絡連接的接口部位啟用NAT相關(guān)的技術(shù)，同樣能夠一定的安全保障，此外還有禁止PING，HTTP服務或者TRACERT相關(guān)命令等，為網(wǎng)絡互聯(lián)層提供安全保障。

（四）傳輸層

傳輸層所遭受的攻擊以面向連接、非面向連接為主。網(wǎng)絡離不開通信，通信則一定要對相關(guān)端口進行占用，而傳輸層則以端到端的通信為主。拒絕服務攻擊/分布式拒絕服務攻擊（DoS/DDoS），其指的是直接采取野蠻方式或者故意攻擊網(wǎng)絡協(xié)議的弊端來耗盡攻擊目標的資源，從而使目標極端及或網(wǎng)絡難以有序運行，乃至系統(tǒng)形成癱瘓。

安全套接層（SSL）及其繼任者傳輸層安全（TSL）指的是為網(wǎng)絡通信提供安全及數(shù)據(jù)全面性的一項安全協(xié)議，SSL與TLS與傳輸層可網(wǎng)絡連接開展加密，為傳輸層提供安全保障[4]。

（五）應用層

1、病毒威脅。經(jīng)由網(wǎng)絡傳播的計算機病毒在傳播覆蓋面、傳播速度及危害性等方面均是單機病毒難以比擬的。就以蠕蟲病毒為例，其可經(jīng)由主動掃描、網(wǎng)絡共享或者電子郵件等途徑對校園網(wǎng)Web服務器形成破壞，轉(zhuǎn)變網(wǎng)頁目錄促進自身繁衍，并經(jīng)由發(fā)送垃圾郵件、掃描網(wǎng)絡，造成網(wǎng)絡拒絕服務，甚至造成網(wǎng)絡癱瘓。

2、垃圾郵件。垃圾郵件即便沒有像病毒感染那樣的破壞性，然而它會迅速充斥滿用戶的收件箱，從而加大了用戶查看重要電子郵件的難度。此外，垃圾郵件還是黑客重要的傳播媒介。

3、內(nèi)部隱患。通常而言，內(nèi)部用戶對網(wǎng)絡結(jié)構(gòu)、應用模式均較為了解，由此便會引發(fā)極大的內(nèi)部安全隱患?，F(xiàn)階段，黑暗攻擊手段可在網(wǎng)上隨意下載到，一些學生心理特征造成其借助此類手段開展攻擊的可能。

五、校園網(wǎng)多層次訪問控制實例說明——以pppoe、8021x為例

pppoe、8021x是相對常見的兩項寬帶網(wǎng)絡接入認證方式。該兩項方法用戶使用體驗極為相近，不過它們的協(xié)議卻存在極大的不同，且具有各自的優(yōu)缺點。

pppoe是在以太網(wǎng)上傳送PPP分組的協(xié)議，對過去PSTN窄帶撥號接入技術(shù)進行了沿用，且繼承了PSTN窄帶撥號接入技術(shù)的特征。Pppoe認證系統(tǒng)包括客戶端、寬帶接入服務器兩個實體，會話期間包括發(fā)現(xiàn)階段、會話階段。Pppoe實踐應用過程中，一些pppoe面臨的問題經(jīng)由結(jié)合相關(guān)安全機制可得以有效處理。在網(wǎng)絡安全問題方面，主要避免廣播包占用帶寬、避免BRAS欺騙，能夠于接入交換機處配置MAC ACL，促使相關(guān)種類廣播包僅可轉(zhuǎn)發(fā)至上聯(lián)接口。

8021x協(xié)議是一類以端口為基礎的接入控制協(xié)議。8021x認證系統(tǒng)包括認證系統(tǒng)、客戶端、認證服務器三個實體。8021x認證數(shù)據(jù)流與業(yè)務數(shù)據(jù)流是相互分開的。現(xiàn)階段，大多數(shù)主流交換機均適用8021x協(xié)議，能夠相對便捷地推行8021x認證的分布式部署。大多數(shù)支持802.1X 的交換機同時也能夠從DHCP包中獲取主機IP地址，因此可以在部署了DHCP 的情況下，實現(xiàn)IP+MAC+端口的綁定，解決IP沖突、ARP攻擊等網(wǎng)絡安全問題。

六、結(jié)束語

總而言之，校園網(wǎng)極易遭受來自各方的攻擊，選取多層防護體系，于逐層制定安全策略，為校園網(wǎng)提供有利的安全保障。相關(guān)人員務必要清楚認識校園網(wǎng)的特點，全面分析校園網(wǎng)的安全問題，不斷鉆研研究、總結(jié)經(jīng)驗，積極促進校園網(wǎng)有序健康運行。（作者單位：廣東工業(yè)大學）

參考文獻：

[1]李賀華，林婧，王偉強. 校園網(wǎng)訪問控制系統(tǒng)原理與實現(xiàn)[J].中國公共安全（學術(shù)版），2009，（3）：75-78.

[2]齊潤泉，賈瑞生. 基于角色的訪問控制在校園網(wǎng)中的應用研究[J].山東科技大學學報（自然科學版），2004，23（1）：35-37.

[3]陳艷華，張凱. 基于多層次的校園網(wǎng)網(wǎng)絡安全分析[J].軟件導刊，2011，10（4）：142-144.