校园网安全隐患及其防护措施
校园网安全隐患及其防护措施
信息化的高速进展,使校园网的安全显得特别重要,本文从管理与技术相结合
的高度,对校园网存在的安全隐患和漏洞进行了比较系统的分析,给出了一个实用
的校园网安全防护措施,提出了社会工程学对网络安全的影响也应引起人们的足够重视
信息化的高速进展,使校园网的安全显得特别重要,本文从管理与技术相结合
的高度,对校园网存在的安全隐患和漏洞进行了比较系统的分析,给出了一个实用
的校园网安全防护措施,提出了社会工程学对网络安全的影响也应引起人们的足够重视。
校园网作为服务于学校教育、科研和行政管理的计算机信息网络,与CERNET
In ternet 互联,实现了校园内计算机连网、信息资源共享。现今社会已进入了信息化的时代,而要实现信息化,首先要实现网络化,网络是信息资源得以利用的基础。但由于网络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及网络边界的不可知性,必然存在众多潜在的安全隐患。随着In ternet在
商业活动中重要性的不断增长,网络攻击同时也在不断增加,已经发生的网络安全事件让人们不得不冷静地思考网络的安全价值,网络安全已成为网络的生存之本。
、网络安全及其领域
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改和泄露,系统连续可靠正常地运行,网络服务不中断。从本质上讲网络安全就是网络上信息的安全。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。网络安全涉及到通信和网络、密码学、芯片、操作系统、数据库等多方面技术。目前的网络安全产品,可分为:3A类产品、安全操作系统、安全隔离与信息交换系统、安全WEB 反病毒产、
品、IDS和弱点评估产品、防火墙、VPN保密机、PKI等。其中,防火墙是网络安全的第一道屏障,所占市场最大,安全技术也比较成熟。
、校园网存在的安全隐患和漏洞
2.1黑客攻击
有的校园网同时与CERNETInternet 相连,有的通过CERNE与Internet 相连,在享受In ternet方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日
益猖獗,成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园网外部,还有相当一部分来自校园网内部,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。
2.2 BUG影响
目前使用的软件尤其是操作系统或多或少都存在安全漏洞,对网络安全构成
了威胁。现在网络服务器安装的操作系统有UNIX Windows NTP2000 Linux 等,
这些系统安全风险级别不同,UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击;而Windows NTP200(操作系统由于得到了广泛的普及,加上其自身安全
漏洞较多,因此,导致它成为较不安全的操作系统。在去年一段时期、冲击波病毒比较盛行,冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球
80%的Windows用户,使他们的计算机无法工作并反复重启,该病毒还引发了
DoS(Denial of service) 攻击,使多个国家的互联网也受到相当影响。
2.3不良信息传播
在校园网接入In ternet 后,师生都可以通过校园网络进入In ternet。目前In ternet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法
律法规,对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于
年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行安全措施,势必会导致这些信息在校园内传播,侵蚀学生的心灵。
2.4病毒危害
学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方便,下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及,
接入校园网的节点数
日益增多,这些节点大都没有采取安全防护措施,随时有可能造成病毒泛滥、
信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。
2.5设备物理安全
设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换
机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校园网络全部或部分瘫痪。
2.6设备配置安全
设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等),防止黑客取得硬件设备的控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单易猜,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备的配置,严重时甚至会导致整个校园网络瘫痪。
2.7管理漏洞
一个健全的安全体系,实际上应该体现的是“三分技术、七分管理”,网络的
整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的,更重要的是
体现在对人、对设备的安全管理以及一套行之有效的安全管理制度,尤其重要的是加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比较了解,若不加强管理,一但有人出于某种目的破坏网络,后果将不堪设想。IP地址盗用、滥用是校园网必须加强管理的方面,特别是学生区、机房等。IP配置不当也会造成部分区域网络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设成本网段的网关地址,这会导致整个学生机房无法正常访问外网。
三、校园网安全防护措施
3.1安装配置防火墙
“防火墙”是由软件和硬件设备组合而成的计算机网络安全防护设备,设置防
火墙是保护内部网络免于外部网络侵扰的重要措施。防火墙虽然能防范黑客攻击,但防火墙工安全。在In ternet与校园网内网之间部署一台防火墙,就在内外网之
间建立了一道牢固的安全屏障,其中WW、E-mail、FTP DNS!务器连接在防火墙
的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Cernet、In ternet连接。这样,通过In ternet 进来的外网用户只能访问到对外公开的一些服务(如WW、E-mail、FTP DNS等),既保护内网资源不被外部非授
权用户非法访问和破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生
在网络中的安全事件进行跟踪和审计。建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;定期查看防火墙访问日志,以及时发现攻击行为和不良的上网记录。
3.2内容检测
另外,还有许多问题,仅靠防火墙是解决不了的。如为了控制不良信息的传播,
在校园网中需要安装网络行为管理系统,来保障网络信息的健康安全。现在的内容检测软件,功能趋于成熟,可以对邮件收发、网页浏览、文件下载、远程登陆、文件共享等多种网络常见应用进行精细化审计;可监测服务器异常开放的陌生端口,
有效发现系统中的异常的服务;并绘制出直观的流量曲线图。通过内容检测系统可以有效地防止对反政府、犯罪、邪教及黄、赌、毒等不良网站的访问,防止学校的对外形象受到影响,使学校免于受到刑事牵连。此类产品主要有,网盾网络行为管理系统(ENM),复旦光华S.Audit网络入侵检测与安全审计系统,绿信互联网访问管理系统(AR22000)。
3.3建立账号和密码管理机制
账号和密码保护可以说是系统的第一道防线,目前网上大部分对系统的攻击都是从截获或猜测密码开始的,因此对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的
措施。为保证口令安全,系统管理员密码的位数一定要多,至少应该在8位以上,不要用姓名、生日、电话号码、常用单词等作为口令,在口令中混合使用大小
写字母并将数字、符号等引入口令中来,定期修改口令,避免重复使用旧口令等。
对于普通用户,设置一定的账号管理策略,如强制用户每个月更改一次密码。对于一些不常用的账户要关闭,比如匿名登录账号。
3.4及时安装软件补丁程序
软件系统的安全问题是最多的,也是最复杂的。任何软件都有漏洞,作为网络系统管理员就有责任及时地将“补丁”打上。大部分校园网服务器使用的是微软的
Win2dows NTP200(操作系统,因为使用的人特别多,所以发现的Bug也特别多,
同时,蓄意攻击的人也就特别多。微软公司为了弥补操作系统的安全漏洞,在其网
站上提供了许多补丁,网络系统管理员要经常浏览这些官方网站下载并安装相关补丁修补程序及各种升级包。
3.5关闭不必要的端口和服务
服务器操作系统在安装的时候,会启动一些不需要的服务,这样不但占用系统
资源,而且增加了系统的安全隐患。停止运行服务器上不必要的服务,关闭不必要
的端口,防止有人利用这些服务和端口进行非法操作。
3.6安装网络杀毒软件
现在网络上的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播,目前,大多数反病毒厂商(如赛门铁克、瑞星、冠群金辰、趋势、熊猫等)都已经推出了网络版的杀毒软件;同时,在网络版的杀毒软件使用中,必须要定期或及时升级杀毒软件的引擎、病毒库。
3.7划分子网
运用VLAN技术将网络按功能划分成若干个子网,是一个加强内部网络管理的有效手段。可以通过访问策略进行合理的限制,比如划分学生子网和教师子网,使学生不能直接访问专属
教师的内容。对于一些安全性要求比较高的部门,必要时还需要进行物理隔离。
3.8定期检测服务器系统
通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登录的时间、使用的账号、进行的活动等。日志程序要定期生成报表,对报表进行分析,你可以知道是否有异常现象。为防止不能预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。
3.9综合管理
综合安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施,网络的安全需要组织、技术两方面的措施来保证。为数不少的学生对网络技术非常感兴趣,有些水平还非常高,只靠“防”和“堵”是不行的,应该引导学生将网络技术运用到校园网的安全建设,从而既满足了学生的表现欲望,又保障了校园网的安全。仅有正确的引导是不够的,还会有个别学生越轨,这时候就需要制定一整套的规章制度来约束个别学生的行为。有效的使用网管软件对分散安装的设备进行实时检测,以便及时发生问题进行处理。一定要建立一套校园网络安全管理模式制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的
措施,保证制度的执行。
四、社会工程学对网络安全带来的影响
曾经有一个管理员的密码被外界修改了,管理员无法使用自己的密码,于是经
过对日志的检查,除了一个IP地址登录过改了管理员密码外,没有任何被入侵的痕迹。问这个管理员的密码都有谁知道,他说除了他一个人谁也不知道,他的密码
每周都要换,而且密码也相当强壮。问他最近有什么特别的事情发生,他说没什么
事情发生,只是最近他们买了一台服务器,昨天那个公司的人来电话说服务器有漏洞要远程进行升级工作,需要管理员的密码。一般来说公司或者厂家不会向用户询问有关用户密码的事情,很明显这就是利用社会工程学造成的一个骗局。一直以来搞网络安全的都把注意力放在了技术的层面上,但入侵绝不仅是技术上的入
侵。例如,某省的工商银行的邮箱被盗,给所有网上注册的用户发了一封邮件, 说是银行系统要升级需要用户的卡号和密码,虽然工行很快发布了通知,但是谁有
知道有多少安全意识薄弱的人按照邮件的内容去做了呢?利用社会工程学进行入
侵的人,肯定在其背后有所图谋,否则很少有人花这么大的心思来构思一场巧妙的骗局,从某个层面来说利用社会工程学10%勺入侵要比利用技术90%勺入侵可怕的多。随着电子商务离我们越来越近,安全问题也越来越严重,真正高技术的入侵者毕竟只是很少的一部分,但是利用社会工程学的入侵者却不需要很强的计算机功
底,也可以说一个对计算机一知半解的人也可以造成入侵。所谓的骗术,有多少是
已经用过的,但至今我们还没有发现的呢?这个问题不是靠技术所能解决的,而是一种广泛的安全意识。
五、结束语
网络安全是一个循序渐进的过程,不可能一蹴而就。虽然理论上常常称在安全方面花费1%勺精力,就可以防御99%勺安全进攻和威胁,但归根结底,安全体系取决于系统中最薄弱的一块,面对系统中所发现的新的、越来越多的安全漏洞,没有
一套健全的系统的安全机制,就不能及时发现漏洞并加以制止。很明显,再完善的安全体系,也不可能实现100%勺安全,但是,至少我们通过各种努力,加固整个系统,减少不必要的损失。校园网的安全问题不仅仅是技术上的问题,而且包括教师、学生等人为因素,它依赖于安全教育和安全意识,必须在意识上和管理上自始至终重视校园网的安全建设。
参考文献
[1]王竹林等.网络安全实践[M].西安:西安电子科技大学出版社,2002.8.
[2]王保顺等.校园网设计与远程教学系统开发[M].北京:人民邮电出版
社,2003.1.
[3]史忠植.高级计算机网络[M].北京:电子工业出版社,2002.1.
要升级需要用户的卡号和密码,虽然工行很快发布了通知,但是谁有知道有多少安全意识薄弱的人按照邮件的内容去做了呢?利用社会工程学进行入侵的人,肯
定在其背后有所图谋,否则很少有人花这么大的心思来构思一场巧妙的骗局,从某
个层面来说利用社会工程学10%勺入侵要比利用技术90%勺入侵可怕的多。随着电子商务离我们越来越近,安全问题也越来越严重,真正高技术的入侵者毕竟只是很
少的一部分,但是利用社会工程学的入侵者却不需要很强的计算机功底,也可以说
一个对计算机一知半解的人也可以造成入侵。所谓的骗术,有多少是已经用过的,
但至今我们还没有发现的呢?这个问题不是靠技术所能解决的,而是一种广泛的安全意识。
五、结束语
网络安全是一个循序渐进的过程,不可能一蹴而就。虽然理论上常常称在安全方面花费1%勺精力,就可以防御99%勺安全进攻和威胁,但归根结底,安全体系取决于系统中最薄弱的一块,面对系统中所发现的新的、越来越多的安全漏洞,没有一套健全的系统的安全机制,就不能及时发现漏洞并加以制止。很明显,再完善的安全体系,也不可能实现100%勺安全,但是,至少我们通过各种努力,加固整个系统,减少不必要的损失。校园网的安全问题不仅仅是技术上的问题,而且包括教师、学生等人为因素,它依赖于安全教育和安全意识,必须在意识上和管理上自始至终重视校园网的安全建设。
参考文献
[1]王竹林等.网络安全实践[M].西安:西安电子科技大学出版社,2002.8.
[2]王保顺等.校园网设计与远程教学系统开发[M].北京:人民邮电出版
社,2003.1.
[3]史忠植.高级计算机网络[M].北京:电子工业出版社,2002.1.
[4]张世永.网络安全原理与应用[M].北京:科学出版社,2003.5.