高職院校校園網(wǎng)的安全策略探析

譚瓊玲

永州職業(yè)技術(shù)學(xué)院商貿(mào)旅游學(xué)院 湖南 425006

0 前言

由于全球信息化的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起人們的重視。近幾年來(lái)，隨著校園網(wǎng)迅速普及，黑客入侵、信息泄露和病毒泛濫等網(wǎng)絡(luò)安全問(wèn)題日趨嚴(yán)重。

1 目前網(wǎng)絡(luò)存在的安全隱患

1.1 非授權(quán)訪問(wèn)

沒(méi)有經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源，被看作非授權(quán)訪問(wèn)，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息等。它主要有以下幾種方式：假冒身份攻擊、合法用戶(hù)以未授權(quán)的方式進(jìn)行操作、非法用戶(hù)進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行非法操作等。

1.2 破壞數(shù)據(jù)完整性

以不正當(dāng)手段取得數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾合法用戶(hù)的正常使用。

1.3 信息泄露或丟失

敏感數(shù)據(jù)被泄露出去或丟失，它常包括：通過(guò)建立隱蔽隧道等竊取敏感信息，信息在傳輸中丟失或泄露，信息在存儲(chǔ)介質(zhì)中丟失或泄露等。

1.4 抵賴(lài)

可能出現(xiàn)的抵賴(lài)行為有：發(fā)送信息后，發(fā)送方否認(rèn)已經(jīng)發(fā)送過(guò)信息；接收方在接收到信息后，否認(rèn)接收到信息。

1.5 拒絕服務(wù)攻擊

不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，執(zhí)行無(wú)關(guān)程序，改變正常的作業(yè)流程，使系統(tǒng)響應(yīng)減慢甚至癱瘓，干擾正常用戶(hù)的使用，使合法用戶(hù)不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。由于入侵檢測(cè)系統(tǒng)中的網(wǎng)絡(luò)引擎、主機(jī)代理和存儲(chǔ)系統(tǒng)都對(duì)網(wǎng)絡(luò)通信非常敏感，所以非常容易受到攻擊。

2 威脅高職院校校園網(wǎng)安全的原因

2.1 物理方面

在物理方面，校園網(wǎng)的安全很脆弱。校園網(wǎng)使用的設(shè)備較多，如通信線路、交換機(jī)等都有可能遭到攻擊，引起通信的中斷。存儲(chǔ)介質(zhì)的丟失，會(huì)引起信息的泄密等。

2.2 技術(shù)方面

高職院校的校園網(wǎng)基本上都與Internet相連，Internet的資源共享性和開(kāi)放性使得網(wǎng)絡(luò)存在安全隱患。目前我們使用的操作系統(tǒng)存在著各種漏洞、后門(mén)等，對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅。

2.3 宣傳教育方面

雖然關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)已經(jīng)制定，但并沒(méi)在用戶(hù)中進(jìn)行廣泛宣傳，致使用戶(hù)有意破壞網(wǎng)絡(luò)安全。

2.4 管理方面

嚴(yán)格的管理是保證校園網(wǎng)安全的重要途徑。許多高職院校對(duì)網(wǎng)絡(luò)的管理松懈，管理者和用戶(hù)的安全意思淡薄，疏于防范，沒(méi)有建立校園網(wǎng)的安全管理體制。

2.5 用戶(hù)方面

校園網(wǎng)的用戶(hù)包括教師和學(xué)生，校園網(wǎng)是以用戶(hù)為中心的系統(tǒng)，一個(gè)合法的用戶(hù)在系統(tǒng)內(nèi)可以執(zhí)行各種操作，如要下載，有可能會(huì)下載一些帶有病毒的軟件。

3 安全策略

3.1 運(yùn)用防火墻

防火墻的主要功能是進(jìn)行訪問(wèn)控制，它的主要作用是隔離安全網(wǎng)絡(luò)與不安全網(wǎng)絡(luò)；隔離信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)，并對(duì)它們之間的訪問(wèn)進(jìn)行控制。鑒于防火墻本身的功能特點(diǎn)，決定它的配置位置是在兩個(gè)不同網(wǎng)絡(luò)或者不同安全域之間的連接處，使得防火墻成為兩個(gè)不同網(wǎng)絡(luò)之間訪問(wèn)的惟一通道，這樣防火墻就可以對(duì)所有進(jìn)出它的數(shù)據(jù)進(jìn)行檢查、過(guò)濾，真正發(fā)揮防火墻的最大功效。設(shè)置防火墻后，所有從Internet訪問(wèn)學(xué)校校園網(wǎng)的訪問(wèn)請(qǐng)求都首先到達(dá)防火墻。防火墻可以通過(guò)分析這些數(shù)據(jù)包的性質(zhì)控制網(wǎng)絡(luò)中對(duì)主機(jī)的訪問(wèn)，防火墻還可以對(duì) Internet網(wǎng)絡(luò)采取安全措施，只允許與業(yè)務(wù)有關(guān)的訪問(wèn)進(jìn)入校園網(wǎng)，其他的網(wǎng)絡(luò)服務(wù)請(qǐng)求都加以拒絕，于是來(lái)自外部網(wǎng)絡(luò)的攻擊行為不能到達(dá)校園網(wǎng)主機(jī)。對(duì)于一些特定的服務(wù)請(qǐng)求，防火墻可以進(jìn)行強(qiáng)制認(rèn)證，只有來(lái)自合法主機(jī)的合法操作在通過(guò)認(rèn)證之后才能到達(dá)要訪問(wèn)的主機(jī)。

3.2 運(yùn)用入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)，是對(duì)防火墻的合理補(bǔ)充。入侵檢測(cè)系統(tǒng)與防火墻不同，主要在于防火墻關(guān)注入侵是為了阻止其發(fā)生。防火墻限制網(wǎng)絡(luò)之間的訪問(wèn)，目的在于防止入侵，但并不對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊發(fā)出警報(bào)信號(hào)。而入侵檢測(cè)系統(tǒng)卻可以在入侵發(fā)生時(shí)，評(píng)估可疑的入侵并發(fā)出警告。而且入侵檢測(cè)系統(tǒng)還可以觀察源自系統(tǒng)內(nèi)部的攻擊。但現(xiàn)有的入侵檢測(cè)系統(tǒng)仍然存在著漏報(bào)、誤報(bào)以及在自身安全、管理等方面存在著先天的不足?？梢赃\(yùn)用曙光GodEye-HIDS主機(jī)入侵檢測(cè)系統(tǒng)，它憑借先進(jìn)的分布式入侵檢測(cè)技術(shù)，有效的實(shí)現(xiàn)了“管理周密，簡(jiǎn)單易用”、“檢測(cè)嚴(yán)密，主動(dòng)防護(hù)”、“過(guò)硬的自我保護(hù)功能”、“有效防范近千種黑客攻擊”、“攻擊取證” 等幾大功能優(yōu)勢(shì)，具有極強(qiáng)的抗欺騙能力和降低漏報(bào)誤報(bào)能力。

3.3 運(yùn)用安裝補(bǔ)丁程序

任何操作系統(tǒng)都有漏洞，網(wǎng)絡(luò)系統(tǒng)管理員有責(zé)任及時(shí)地打上“補(bǔ)丁”。目前校園網(wǎng)服務(wù)器多數(shù)使用微軟的 Windows操作系統(tǒng)，微軟公司為了彌補(bǔ)操作系統(tǒng)的安全漏洞，會(huì)定期公布發(fā)現(xiàn)的漏洞，并在官方網(wǎng)站上提供相關(guān)的補(bǔ)丁程序，用戶(hù)可以到網(wǎng)上下載并安裝相關(guān)升級(jí)軟件包。

3.4 重視病毒的防治

計(jì)算機(jī)病毒的防治技術(shù)分成四個(gè)方面，即檢測(cè)、清除、免疫和防御。計(jì)算機(jī)病毒的預(yù)防技術(shù)是指通過(guò)一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)進(jìn)行傳染和破壞，實(shí)際上它是一種特征判定技術(shù)，也可能是一種行為規(guī)則的判定技術(shù)。也就是說(shuō)，計(jì)算機(jī)病毒的預(yù)防是根據(jù)病毒程序的特點(diǎn)對(duì)病毒進(jìn)行分類(lèi)處理，在程序運(yùn)行中凡有類(lèi)似的特點(diǎn)出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。計(jì)算機(jī)病毒檢測(cè)技術(shù)是指通過(guò)一定的技術(shù)手段判定出計(jì)算機(jī)病毒的一種技術(shù)。病毒檢測(cè)技術(shù)主要有兩種，一種是根據(jù)計(jì)算機(jī)病毒程序中的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長(zhǎng)度的變化，在特征分類(lèi)的基礎(chǔ)上建立的病毒檢測(cè)技術(shù)；另一種是不針對(duì)具體病毒程序自身檢驗(yàn)技術(shù)，即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果，以后定期或不定期地根據(jù)保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段的完整性己遭到破壞，從而檢測(cè)到病毒的存在。計(jì)算機(jī)病毒的消除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果，是病毒傳染程序的一種逆過(guò)程。在檢測(cè)發(fā)現(xiàn)特定的計(jì)算機(jī)病毒基礎(chǔ)上，根據(jù)具體病毒的消除方法從傳染的程序中除去計(jì)算機(jī)病毒代碼并恢復(fù)文件的原有結(jié)構(gòu)信息。目前還沒(méi)有一種有效的計(jì)算機(jī)病毒免疫方法。目前，大多數(shù)反病毒廠商都已經(jīng)推出了網(wǎng)絡(luò)版的殺毒軟件，同時(shí)，使用網(wǎng)絡(luò)版的殺毒軟件，一定要及時(shí)升級(jí)殺毒軟件。

3.5 信息加密策略

信息加密的目的是保護(hù)校園網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)的安全。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端點(diǎn)加密是對(duì)源端用戶(hù)到目的端用戶(hù)的數(shù)據(jù)提供保護(hù)。節(jié)點(diǎn)加密是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。信息加密過(guò)程是由各種加密算法來(lái)具體實(shí)施。多數(shù)情況下，信息加密是保證信息機(jī)密性的惟一方法。

3.6 運(yùn)用數(shù)據(jù)備份與恢復(fù)技術(shù)

備份技術(shù)是最常用的提高數(shù)據(jù)完整性的措施，它是指對(duì)需要保護(hù)的數(shù)據(jù)在另一個(gè)地方制作一個(gè)備份 ，一旦原有數(shù)據(jù)遭到破壞還能使用數(shù)據(jù)備份進(jìn)行恢復(fù)，所以要定期對(duì)數(shù)據(jù)進(jìn)行備份，并異地保存。

3.7 建立身份認(rèn)證系統(tǒng)

校園網(wǎng)絡(luò)必須要解決用戶(hù)上網(wǎng)身份問(wèn)題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問(wèn)題也只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶(hù)上網(wǎng)身份問(wèn)題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。

3.8 加強(qiáng)用戶(hù)安全意識(shí)

面對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)犯罪，必須逐步建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，使圖謀不軌的人懾于法律的威力，不敢輕舉妄動(dòng)。利用新生入學(xué)教育和員工崗前培訓(xùn)的時(shí)間，對(duì)新用戶(hù)進(jìn)行網(wǎng)絡(luò)安全及相關(guān)法律、法規(guī)的教育，引導(dǎo)學(xué)生正確學(xué)習(xí)和運(yùn)用網(wǎng)絡(luò)技術(shù)，機(jī)房要專(zhuān)人管理，無(wú)關(guān)人員不得進(jìn)入，只有這樣才能促使校園網(wǎng)健康發(fā)展。

3.9 嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理

對(duì)上網(wǎng)用戶(hù)集中進(jìn)行監(jiān)控和管理。上網(wǎng)用戶(hù)不但要通過(guò)身份認(rèn)證系統(tǒng)確認(rèn)，而且合法用戶(hù)上網(wǎng)的行為也要統(tǒng)一進(jìn)行監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。才能保證網(wǎng)絡(luò)能高效、安全地為高職院校師生的工作和學(xué)習(xí)服務(wù)。

4 總結(jié)

校園網(wǎng)絡(luò)安全體系是一個(gè)系統(tǒng)的工程，不僅要用技術(shù)來(lái)保障系統(tǒng)的安全，還要改進(jìn)管理方法、建立安全防范體系。隨著網(wǎng)絡(luò)自身不斷發(fā)展，必將出現(xiàn)新的安全問(wèn)題，我們必須根據(jù)情況的變化，不斷對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行及時(shí)的維護(hù)和更新，細(xì)化各種管理制度，不斷提高校園網(wǎng)管理人員的技術(shù)水平，

[1] 王春榮,劉蘭娟.網(wǎng)絡(luò)安全入侵檢測(cè)研究.計(jì)算機(jī)時(shí)代.2002.

[2] 陳立新.計(jì)算機(jī)病毒防治百事通.清華大學(xué)出版社.2000.

[3] 馮登國(guó).計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].清華大學(xué)出版社.2001.

[4] 王銳,陳靚,靳若明,周剛.網(wǎng)絡(luò)最高安全技術(shù)指南[M].機(jī)械工業(yè)出版社.1998.

[5] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社.2000.