◆孟建東
(山東醫(yī)學(xué)高等??茖W(xué)校計算機(jī)教研室 山東 276000)
基于多層防護(hù)的校園網(wǎng)安全體系研究
◆孟建東
(山東醫(yī)學(xué)高等??茖W(xué)校計算機(jī)教研室 山東 276000)
校園網(wǎng)本身具有開放性和多樣性的特性,僅僅在單方面采取相關(guān)的安全防護(hù)措施無法有效保證校園網(wǎng)的安全。目前,需要構(gòu)建一個更加全面、多層次的信息安全防護(hù)體系。本文主要對高校校園網(wǎng)需要面對的安全威脅進(jìn)行了相關(guān)的分析和研究,并提出了建立多層防護(hù)校園網(wǎng)的安全體系。
校園網(wǎng);多層防護(hù);安全體系;網(wǎng)絡(luò)安全
伴隨著國內(nèi)教育信息化的不斷發(fā)展,各高校都逐漸建立起自己的校園網(wǎng)絡(luò),并且校園網(wǎng)的建立對學(xué)生間的學(xué)術(shù)交流與高校的教學(xué)管理都有著非常重要的作用。學(xué)校是研究和開發(fā)新技術(shù)的聚集地,其保存著大量的科技研發(fā)成果和一些相關(guān)的技術(shù)資料,同時校內(nèi)的師生富有活躍的思維和創(chuàng)造能力,樂于將先進(jìn)的科學(xué)技術(shù)應(yīng)用到生活當(dāng)中,而且有著強(qiáng)烈好奇心的他們?nèi)菀自囼?yàn)各種黑客技術(shù)和工具,威脅著學(xué)校校園網(wǎng)絡(luò)的安全。因此,構(gòu)建一個安全、實(shí)用的安全防護(hù)體系是迫切需要的。
校園網(wǎng)絡(luò)不但需要提供開放的網(wǎng)絡(luò)資源和上網(wǎng)需求,而且需要確保整個校園網(wǎng)絡(luò)系統(tǒng)的安全性。校園網(wǎng)絡(luò)遭受的攻擊主要來源于兩個方面,第一個是來源于外部公網(wǎng)的攻擊,第二個是來源于校園網(wǎng)內(nèi)部的攻擊[1]。由于校園網(wǎng)的用戶較多,遭受內(nèi)部的攻擊或者是操控內(nèi)部主機(jī)對外進(jìn)行攻擊的情況占多數(shù),這些行為所引起的破壞已遠(yuǎn)遠(yuǎn)大于外部攻擊。校園網(wǎng)絡(luò)主要面臨的安全威脅分為以下幾點(diǎn)。
1.1 網(wǎng)絡(luò)物理造成的安全威脅
學(xué)校內(nèi)應(yīng)用的路由器、交換機(jī)、工作站以及各類網(wǎng)絡(luò)服務(wù)器等硬件設(shè)備和通信設(shè)備容易受到自然災(zāi)害和人為破壞,甚至是搭線監(jiān)聽等攻擊[2]。
1.2 人為失誤造成的安全威脅
由于學(xué)校網(wǎng)絡(luò)管理人員的一些無心操作所造成的安全威脅主要包括以下幾方面:第一,打開了網(wǎng)絡(luò)設(shè)備中沒有應(yīng)用的端口或是應(yīng)用了系統(tǒng)默認(rèn)的配置,使攻擊者能夠通過端口掃描技術(shù)獲取相應(yīng)的端口信息,進(jìn)而進(jìn)行非法訪問;第二,學(xué)校網(wǎng)絡(luò)管理人員沒有較強(qiáng)的安全意識,一些非管理人員隨便進(jìn)出學(xué)校中心機(jī)房;第三,對全部網(wǎng)絡(luò)設(shè)備設(shè)置了相同的密碼,或者是設(shè)置的密碼過于簡單。
1.3 人為惡意攻擊造成的安全威脅
(1)計算機(jī)病毒:是指一種可執(zhí)行的程序代碼,它能夠?qū)⒆陨砀街诟鞣N類型的文件上,隨著文件傳送到另一用戶上。它具有傳播性、感染性、隱藏性和破壞性等特點(diǎn)。計算機(jī)病毒的傳染是從網(wǎng)絡(luò)上進(jìn)行的,其傳播的方式主要是在軟件下載、發(fā)送郵件等過程中病毒附著在文件進(jìn)入到內(nèi)部網(wǎng)絡(luò),而后對網(wǎng)絡(luò)開始進(jìn)行攻擊。
(2)特洛伊木馬:是指設(shè)計者根據(jù)系統(tǒng)中存在的某些缺陷而有意創(chuàng)造出來的,是一種對用戶系統(tǒng)進(jìn)行攻擊,任意盜取、毀壞被攻擊者文件的工具。使用特洛伊木馬能夠遠(yuǎn)程操控被攻擊者的系統(tǒng),對學(xué)校網(wǎng)絡(luò)信息的安全性和完整性造成一定的影響。完整的特洛伊木馬套裝程序包括著兩部分:服務(wù)器部分和客戶端部分。攻擊者首先將服務(wù)器植入受害者的電腦中系統(tǒng)中,再通過客戶端進(jìn)入到已經(jīng)運(yùn)行服務(wù)器的電腦,進(jìn)而能夠遠(yuǎn)程操控受害者電腦,來獲取受害者信息。
(3)惡意程序代碼:惡意程序代碼是一種帶有危險性的代碼。一些攻擊者利用惡意程序代碼來尋找網(wǎng)絡(luò)系統(tǒng)中存在的漏洞,通過發(fā)現(xiàn)的漏洞對受害者進(jìn)行攻擊和侵入,并且將成功入侵的電腦當(dāng)做根據(jù)地,再對網(wǎng)絡(luò)內(nèi)其他的電腦進(jìn)行攻擊,從而引起網(wǎng)絡(luò)系統(tǒng)全部癱瘓或者是損失較多的數(shù)據(jù)。
1.4 系統(tǒng)漏洞造成的隱患威脅
校園網(wǎng)絡(luò)中涵蓋著大量的服務(wù)器和終端設(shè)備,在這些服務(wù)器和終端設(shè)備上運(yùn)行的操作系統(tǒng)、管理軟件和應(yīng)用軟件等都有著一定程度上的漏洞,而這些漏洞就成為了黑客攻擊的對象。以往發(fā)生的黑客攻入網(wǎng)絡(luò)內(nèi)部的情況,大多數(shù)是網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件存在漏洞而造成的。
1.5 機(jī)密文件存儲和傳送過程中的隱患
假如計算機(jī)系統(tǒng)遭受到黑客攻擊時,在計算機(jī)中存儲的機(jī)密文件沒有采取適當(dāng)?shù)募用艽胧?,很可能會?dǎo)致文件被盜取。同時,在傳送機(jī)密文件過程中,需要通過多個節(jié)點(diǎn),很容易造成被黑客監(jiān)聽。所以,機(jī)密文件的存儲和傳送對網(wǎng)絡(luò)安全也具有一定的威脅。
通過對校園網(wǎng)內(nèi)面臨的安全威脅的相關(guān)分析,能夠了解到校園網(wǎng)內(nèi)存在著較多不安全成分,如果只從一面安全威脅采取相應(yīng)的對策不能滿足對安全的要求,需要利用多種技術(shù)來確保信息的安全。根據(jù)上述情況,結(jié)合學(xué)校自身情況建立多層防護(hù)體系,并采用不同的技術(shù)來確保整個校園網(wǎng)絡(luò)的安全。
2.1 外部網(wǎng)絡(luò)
外部網(wǎng)絡(luò)層主要表示是校園網(wǎng)路由器和防火墻之外的公共用網(wǎng),當(dāng)前國內(nèi)高校接入公網(wǎng)的方式主要包含中國教育網(wǎng)和中國公用計算機(jī)互聯(lián)網(wǎng)等接入。為有效保證數(shù)據(jù)在公網(wǎng)傳送時不被監(jiān)聽,可采取以下兩種防范措施:
(1)虛擬專網(wǎng)(VPN)技術(shù):這是為外部網(wǎng)絡(luò)用戶可以通過公網(wǎng)安全訪問到校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的一種連接方式。它可以通過利用特殊的加密通訊協(xié)議讓連接在Internet上的不同校區(qū)之間架起一條特有的通訊線路,就如同建立起一條專線,從而有效防止數(shù)據(jù)在公網(wǎng)傳送時被監(jiān)聽[3]。
(2)加密技術(shù):在外部網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)傳送,例如發(fā)送電子郵件,采取密碼技術(shù)是有效保證信息安全的常用方法。當(dāng)前被普遍應(yīng)用的加密算法為對稱算法和非對稱算法,結(jié)合應(yīng)用兩種方法,再采用數(shù)字簽名、數(shù)字證書以及數(shù)字水印等技術(shù),進(jìn)而保證了通信的安全性。
2.2 內(nèi)部網(wǎng)絡(luò)
內(nèi)部網(wǎng)絡(luò)主要表示是校園內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器和各類終端設(shè)備,其主要應(yīng)用到教學(xué)、科研、管理、信息資源共享等方面,并且由校內(nèi)網(wǎng)絡(luò)管理員對計算機(jī)局域網(wǎng)系統(tǒng)進(jìn)行維護(hù)。為有效保證內(nèi)部網(wǎng)絡(luò)的安全性,主要采取以下幾種措施進(jìn)行防護(hù):
(1)建立防火墻系統(tǒng):防火墻是由硬件和軟件組合而成的,它在內(nèi)部網(wǎng)和外部網(wǎng)間構(gòu)建起一個安全網(wǎng)關(guān)卡,篩選經(jīng)過的各種數(shù)據(jù)包,并決定是否將這些數(shù)據(jù)包輸送到目的地[4]。它還可以控制著信息進(jìn)出的流向,提供網(wǎng)絡(luò)使用情況和流量的審查等細(xì)節(jié)。
通過設(shè)置防火墻能夠有效防止遭受到多數(shù)的外網(wǎng)絡(luò)攻擊。防火墻可以依照具體的功能設(shè)置,作為網(wǎng)絡(luò)總出入關(guān)口,必須要設(shè)置具備高性能的硬件防火墻,在內(nèi)部網(wǎng)絡(luò)中可以根據(jù)各院系實(shí)際情況來設(shè)置防火墻軟件,比如ISA Server 2004。除此之外,無線網(wǎng)絡(luò)接入方式的快速發(fā)展,使一些終端用戶逐漸應(yīng)用到該上網(wǎng)方式。無線上網(wǎng)沒有通過校園網(wǎng)的防火墻而是直接連接外部網(wǎng)絡(luò),對此形成了較大的安全隱患,所以需要教導(dǎo)運(yùn)用無線網(wǎng)的用戶應(yīng)用個人防火墻。
(2)防范病毒:防范病毒主要是將集中式病毒防殺和單機(jī)病毒防殺有效結(jié)合到一起。近些年出現(xiàn)了大批的網(wǎng)絡(luò)病毒,而且這些病毒都具有非常強(qiáng)的感染能力,僅僅校園網(wǎng)中一臺電腦受到病毒感染,該病毒就會自動查找其他電腦中存在的漏洞,一經(jīng)發(fā)現(xiàn)就侵入到該電腦,同時它還可以占用大量網(wǎng)絡(luò)寬帶,進(jìn)而導(dǎo)致網(wǎng)絡(luò)出口堵塞,影響網(wǎng)絡(luò)正常運(yùn)行。
實(shí)時更新的單機(jī)病毒防殺系統(tǒng)能夠有效避免個人計算機(jī)遭受大部分的病毒侵?jǐn)_,可是如果校園網(wǎng)內(nèi)其他用戶計算機(jī)感染病毒,就會導(dǎo)致網(wǎng)絡(luò)性能降低,也是會影響到其他沒有被感染的計算機(jī)正常使用,因此,防范網(wǎng)絡(luò)病毒的傳播也需要利用集中式病毒防殺措施,在校園網(wǎng)中建立病毒防殺中心。集中式的網(wǎng)絡(luò)防殺系統(tǒng)不但能夠管理多臺聯(lián)網(wǎng)計算機(jī),統(tǒng)一清理聯(lián)網(wǎng)計算機(jī)的病毒,還能夠公布病毒防殺信息,自動更新和升級病毒庫,具有較好的預(yù)警能力。
(3)入侵檢測:校園網(wǎng)絡(luò)管理員可以利用一些安全軟件檢查網(wǎng)絡(luò)上流動的數(shù)據(jù)包,辨別非法入侵和其他一些可疑行為,能夠及時進(jìn)行有效的防護(hù)。
2.3 應(yīng)用系統(tǒng)
應(yīng)用系統(tǒng)是網(wǎng)絡(luò)服務(wù)最為核心的部分,但也一定程度的缺陷:其一,系統(tǒng)設(shè)計和開發(fā)的延時性而造成漏洞的形成;其二,應(yīng)用系統(tǒng)的服務(wù)配置也具有一些不安全的問題。針對這些系統(tǒng)存在的漏洞,必須要采取有效措施來彌補(bǔ)漏洞,及時安裝補(bǔ)丁程序;然而針對應(yīng)用程序安全配置的問題,一定要在服務(wù)系統(tǒng)建立時對應(yīng)用系統(tǒng)配置文件進(jìn)行相關(guān)的研究,并按照實(shí)際應(yīng)用情況對配置進(jìn)行優(yōu)化,進(jìn)而減少應(yīng)用服務(wù)上的漏洞,同時適當(dāng)關(guān)閉不應(yīng)用的服務(wù)和端口。網(wǎng)絡(luò)管理員需要定期檢查終端設(shè)備、服務(wù)器和交換機(jī)的漏洞,發(fā)現(xiàn)漏洞后及時采取補(bǔ)救措施。
校園網(wǎng)很容易受到攻擊,所以需要建立多層防護(hù)體系,在每層都設(shè)置安全措施,從而有效全面防范受到攻擊。網(wǎng)絡(luò)安全問題需要受到引起各高校的重視,威脅網(wǎng)絡(luò)安全的方式會不斷更新,因此,這就需要不斷去完善網(wǎng)絡(luò)安全體系。
[1]呂紅飛.淺析高職學(xué)院網(wǎng)絡(luò)信息安全.科技信息,2010.
[2]袁文光.面向職業(yè)院校的校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[D].湖南:湖南大學(xué),2014.
[3]李軍.VPN技術(shù)在校園網(wǎng)中的應(yīng)用[J].赤峰學(xué)院學(xué)報(自然科學(xué)版),2012.
[4]邵澤云,曹來成.網(wǎng)絡(luò)防火墻新技術(shù)的發(fā)展與應(yīng)用研究[J].信息安全與技術(shù),2015.