校園網(wǎng)絡安全問題及對策研究

摘 要：隨著網(wǎng)絡應用的深入發(fā)展，網(wǎng)絡在各種信息系統(tǒng)中的作用越來越重要，同時計算機網(wǎng)絡安全受到嚴峻的考驗，諸如利用系統(tǒng)漏銅進行攻擊、非法獲取用戶信息與數(shù)據(jù)、傳輸釋放病毒等攻擊手段與方式層出不窮。如何更有效地保護重要的信息數(shù)據(jù)，提高計算機網(wǎng)絡系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡應用必須考慮和解決的一個重要問題。

關鍵詞：校園網(wǎng)絡；漏洞；安全策略

中圖分類號：TP393.18

1 校園網(wǎng)絡造成安全問題

校園網(wǎng)絡自身的特點是網(wǎng)絡應用普及，用戶群密集而且活躍，是安全問題比較突出的地方。校園網(wǎng)的以下特點導致安全管理非常復雜：

1.1 網(wǎng)絡的速度快和規(guī)模大。目前普遍使用了百兆到桌面、千兆園區(qū)主干互聯(lián)。校園網(wǎng)的用戶群體一般也比較大，教學，辦公，科研等無不用到網(wǎng)絡，用戶群也比較密集。正是由于高帶寬和大用戶量的特點，網(wǎng)絡安全問題蔓延快、對網(wǎng)絡的影響比較嚴重。

1.2 網(wǎng)絡中的計算機系統(tǒng)管理比較復雜。校園網(wǎng)中的計算機系統(tǒng)的購置和管理情況非常復雜，出現(xiàn)安全問題后通常無法分清責任。比較典型的現(xiàn)象是，用戶的計算機接入校園網(wǎng)后感染病毒，反過來這臺感染病毒的計算機又影響了校園網(wǎng)的運行。

1.3 開放的網(wǎng)絡環(huán)境。由于教學和科研的特點決定了校園網(wǎng)絡環(huán)境應該是開放的、管理也是較為寬松的。企業(yè)網(wǎng)可以限制允許Web瀏覽和電子郵件的流量，甚至限制外部發(fā)起的連接不允許進入，可校園網(wǎng)是行不通的，否則一些新的應用、新的技術很難在校園網(wǎng)內部實施。

1.4 校園網(wǎng)內部用戶對網(wǎng)絡資源的濫用。有的校園網(wǎng)用戶利用免費的校園網(wǎng)資源提供商業(yè)的或者免費的視頻、軟件資源下載，占用了大量的網(wǎng)絡帶寬，影響了校園網(wǎng)的應用；垃圾郵件、不良信息的傳播等。

2 校園網(wǎng)絡信息系統(tǒng)的漏洞帶來的安全問題

網(wǎng)絡系統(tǒng)的一個缺陷被利用來干“原本”不能去干的事，就被稱為安全漏洞，所以安全漏洞必然和系統(tǒng)漏洞的利用緊密聯(lián)系在一起，導致當前校園網(wǎng)常見的風險。漏洞利用的類型：

2.1 數(shù)據(jù)方面。訪問本來不可訪問的數(shù)據(jù)，包括讀和寫。這一條通常是攻擊者的核心目的，而且可造成非常嚴重的災難。

2.2 可用性。獲得對系統(tǒng)某些服務的控制權限，這可能導致某些重要服務被攻擊者停止而導致拒絕服務攻擊。

2.3 認證繞過。通常利用認證系統(tǒng)的漏洞而不用受權就能進入系統(tǒng)。通常認證繞過都是為權限提升或直接的數(shù)據(jù)訪問服務的。

2.4 代碼執(zhí)行。主要是讓程序將輸入的內容作為代碼來執(zhí)行，從而獲得遠程系統(tǒng)的訪問權限或本地系統(tǒng)的更高權限。

3 網(wǎng)絡防護的安全策略

網(wǎng)絡防護技術是通過在網(wǎng)絡邊界處設置對流經(jīng)的信息利用各種設備進行檢查，只有符合規(guī)定的信息才可以進入網(wǎng)絡，從而達到阻止對網(wǎng)絡攻擊目的；或者量化信息單位，使信息分散在各個邏輯子網(wǎng)中。主要的網(wǎng)絡防護技術包括：

3.1 防火墻。防火墻能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。它可以關閉不使用的網(wǎng)絡端口，能極大地提高一個內部網(wǎng)絡的安全性；而且還能禁止特定端口的流出通信，封鎖木馬病毒的侵入；它可以禁止特殊站點的主動訪問，從而防止來自不明入侵者的所有通信?？梢詫⒎阑饓ε渲贸稍S多不同保護級別，適合自身網(wǎng)絡需要 。防火墻技術有包過濾技術、授權服務器、應用網(wǎng)關技術等。

3.2 安全路由器。路由器可以作為監(jiān)控流量的工具，現(xiàn)在它還具備了健壯的防火墻功能，還有一些有用的IDS/IPS功能，QoS和流量管理工具等。在網(wǎng)絡安全設備使用上多了選擇。

3.3 VLAN劃分。網(wǎng)絡設備數(shù)量增加到一定程度后，確保部分安全性比較敏感的部門數(shù)據(jù)不被隨意訪問瀏覽而采用一種劃分相互隔離子網(wǎng)的方法，利用路由器細致的將內部網(wǎng)劃分成不同的網(wǎng)絡安全域，實施隔離及訪問控制。內部網(wǎng)絡的網(wǎng)段之間的連接，通過路由器防止網(wǎng)段之間的問題穿過整個網(wǎng)絡而傳播。達到信息安全防護目的。

3.4 VPN。VPN（Virtual Private Network）虛擬專用網(wǎng)絡，它是通過使用公用線路臨時性的、安全的連接。將內部網(wǎng)絡通過公用骨干網(wǎng)與由它擴張的邏輯上相同的網(wǎng)絡連接，使區(qū)域分散的網(wǎng)絡之間與之信任連接，保證數(shù)據(jù)的傳輸安全。VPN技術采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復制。

4 網(wǎng)絡內部檢測分析

4.1 系統(tǒng)安全。系統(tǒng)安全包括主機和服務器的運行安全，主要措施病毒防范、入侵檢測、審計分析等技術。

（1）反病毒技術。計算機病毒是破壞計算機系統(tǒng)、應用軟件、計算機信息數(shù)據(jù)的主要因素，它是能夠自身傳染給其它程序，對網(wǎng)絡環(huán)境構成威脅，有著巨大威脅性和破壞力。通常方法使用殺病毒軟件對計算機系統(tǒng)中的文件進行周期掃描和監(jiān)測，還可以在終端安裝還原芯片和對網(wǎng)絡目錄及文件設置訪問權限等；（2）網(wǎng)絡漏洞掃描技術。網(wǎng)絡攻擊者經(jīng)過踩點掃描入侵以后，總想留下后門，這樣網(wǎng)絡漏洞掃描系統(tǒng)能夠預先評估和分析系統(tǒng)中存在的各種安全隱患，防止被黑客所利用的漏洞，對系統(tǒng)中重要的數(shù)據(jù)，文件等進行保護。漏洞掃描主要通過一下兩種方法檢測目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡服務，將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描；（3）審計監(jiān)控技術。審計會對用戶使用時間，使用的信息資源，以及如何使用進行詳細的記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)安全的最后一道防線，處于操作系統(tǒng)的最高層。審計與監(jiān)控能夠還原原來的進程和問題，對于數(shù)據(jù)恢復和責任追查非常有必要。

4.2 內部網(wǎng)絡安全策略。為了保證局域網(wǎng)安全，內部網(wǎng)絡對外網(wǎng)訪問時進行隔離，常用的方法是在內網(wǎng)與外部網(wǎng)絡之間采用訪問控制和進行網(wǎng)絡安全檢測，以構筑內部網(wǎng)的安全性。

（1）訪問控制。是預設好規(guī)則，限制訪問主體對客體的訪問權限，從而使計算機系統(tǒng)合法的使用。防火墻是實現(xiàn)訪問控制機制的主要工具，它不允許敏感數(shù)據(jù)從內部網(wǎng)絡流出，所有內部數(shù)據(jù)被標識為機密；并能提供下讀功能來阻止受限的外網(wǎng)對內網(wǎng)不安全訪問，提供上寫功能來限制那些非由內向外發(fā)出的連接信息進入。用它對用戶訪問的資源進行管理，對規(guī)則不允許的進行限制，允許的才被訪問；（2）網(wǎng)絡地址轉換技術（NAT）。路由器提供了一種掩飾內部網(wǎng)絡本質的方法，即NAT技術。把內部私有IP地址轉換成合法地址，是一個局域網(wǎng)共用一個IP地址或少量合法地址上網(wǎng)，從而網(wǎng)絡之外沒人可以通過指定IP地址的方式直接對網(wǎng)絡內部的任何一臺特定的主機發(fā)起攻擊；（3）網(wǎng)絡安全檢測。它是維護網(wǎng)絡系統(tǒng)安全最有效的辦法，定期對網(wǎng)絡系統(tǒng)進行安全性網(wǎng)絡掃描，分析出有關網(wǎng)絡的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，并針對檢測到的網(wǎng)絡安全隱患給出相應的修補措施和安全建議。提高內部網(wǎng)絡安全防護性能，檢測評估已運行網(wǎng)絡的安全性能。作為一種積極主動的安全防護技術，可以對內部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前可以提供安全防護解決方案。

5 結束語

綜上所述，校園網(wǎng)絡的安全問題，不僅是設備，技術的問題，還是管理的問題。對于校園網(wǎng)絡的管理人員來講，一定要提高網(wǎng)絡安全意識，加強網(wǎng)絡安全技術的掌握，而且更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。

參考文獻：

[1]謝希仁.計算機網(wǎng)絡教程[M].北京：人民郵電出版社，2009.

[2]潘號良.面向基礎設施的網(wǎng)絡安全措施探討[J].軟件導刊，2008（03）：74-75.

[3]河南省職業(yè)教研室.計算機網(wǎng)絡技術[M].北京：電子工業(yè)出版社，2013.

[4]何文生.企業(yè)網(wǎng)搭建及應用[M].北京：電子工業(yè)出版社，2012.

作者單位：平頂山市工業(yè)學校，河南平頂山 467099