校园网的安全威胁及管理策略

彭俊

四川商务职业学院科研与产学合作指导处 四川 611131

0 引言

随着网络技术应用的深入，校园网上各种数据也在急剧增加，各种各样的安全威胁开始接踵而至。目前，校园网如同其它计算机网络一样，存在着极大的安全威胁，特别是网络病毒以及网络内部及外部的黑客攻击。保障校园网的安全工作仅靠人工完成是不可能的，必须借助先进的技术及工具来协助完成如此繁重的劳动，以保证校园网络的正常运转。

1 校园网的安全威胁

安全威胁来自各个方面，如计算机系统的脆弱性主要来自操作系统和应用程序的缺陷与后门。缺陷即操作系统和应用程序都存在安全漏洞。操作系统的后门是由操作系统开发者有意设置的，这样他们就能在用户不在时仍能进入系统。在网络环境下还来源于通信协议的不安全性，来自网络的威胁主要是由于局域网一般是广播式的，所以在网络存在着电子窃听。系统与协议的漏洞导致入侵与破坏。身份欺骗是由口令破解与口令骗取组成的。通过编制程序制作的病毒、逻辑炸弹、木马程序等是对网络安全的严重威胁。

由于计算机网络是一个复杂的系统，它不仅包括软件系统、硬件系统、各类信息系统和使用以及管理这些信息资源的人。网络本身所具有的开放性，使得计算机网络的安全面临着各种各样的威胁，比如系统安全漏洞、应用程序错误、搭线窃听、数据泄露与边用、故意对数据或程序进行的破坏、病毒感染、网络攻击、自然灾害以及管理不善等等。这些威胁对网络安全都会带来不同程度的影响，妨碍网络用户的正常使用。

根据各种网络威胁产生的原因，我们把网络威胁归纳为以下3类；即软件系统自身的安全缺陷导致的威胁、非法进行网络操作带来的威胁、网络规划和运行管理上的不完善带来的威胁。

1.1 软件系统自身的安全缺陷导致的威胁

(1) 操作系统和应用软件自身存在着安全漏洞。如现在使用的操作系统 Windows/Unix等几乎都或多或少存在安全漏洞，各类服务端软件、浏览器、一般桌面软件等都曾发现存在安全隐患。可以说任何一个软件系统都可能因设计中的缺陷而产生漏洞，这是影响网络安全的主要原因之一。

(2) 网络环境中的网络协议存在安全漏洞。各类主机中都会运行着这种或那种网络协议，如 TCP/IP、IPX/SPX、NEIBEUI等，由于这些网络协议并非专为安全通信而设计，缺乏相应的安全机制，系统中的安全漏洞或“后门”也不可避免地存在。许多非法入侵、攻击和病毒传播往往就是利用协议的这些漏洞来对网络系统或用户进行破坏。

1.2 非法进行网络操作带来的威胁

非法进行网络操作主要是指人为地、有意识地对网络设备和服务进行恶意攻击，监听窃取网络用户账号和密码，非法使用网络资源，引入各种网络病毒破坏用户系统和数据，使用恶意代码大量占用网络资源，使网络运行效率降低，严重时将直接导致整个网络系统瘫痪。目前网络上类似这种危害种类有很多，造成的危害十分巨大，较常见的有以下两种。

(1) 非授权访问网络资源

在未经许可的情况下访问网络资源，如有意避开系统访问控制机制，对网络设备和资源进行非正常操作使用，或擅自扩大权限，越权访问信息。主要有以下几种形式；通过网络监听获取网上用户的账号和密码，非法获取网上传输的数据；通过隐蔽通道进行篡改、删除数据等非法活动；非法用户以未授权方式进行操作等。这些都可能破坏信息系统的完整性、机密性和可信性。

(2) 网络病毒

利用网络传播病毒，其破坏性远大于单机系统，而且用户很难防范。目前，网络型病毒一般是利用 Internet的开放性、操作系统及各类应用程序的漏洞来进行传播，或对计算机系统进行攻击。近年来网络病毒的发展趋势迅猛，除宏病毒外，基本都属于网络型病毒。网络病毒具有利用网络中软件系统的缺陷，进行自我复制和主动传播的特点。如蠕虫(worm)病毒就是利用软件系统漏洞，通过分布式网络来扩散、传播的。受这种病毒的影响，网络数据信息遭到破坏，无用数据占用大量网络带宽，严重时，可能致使网络服务中断。网络型病毒的传播速度快、危害范围广，为了防范它往往要对某些网络功能进行限制。另外，“木马”(也叫特洛伊木马)类病毒危害性也十分巨大，这类病毒通常与黑客有联系，被黑客用来作为窃取信息以及非法使用资源的工具。

1.3 网络规划、运行管理上的不完善带来的威胁

网络规划、网络系统设计不合理，系统配置策略考虑不周，设备功能不完善，缺少必要的数据备份措施等都会给网络正常运行带来威胁。网络的正常运行离不开系统管理人员对网络系统的管理。各种安全措施都要经管理人员进行配置后才能有效地实施。从技术角度看，人为的失误，比如错误的指令、错误删除修改数据，不恰当的配置都会增加系统管理、使用的复杂性，降低网络系统的安全性。另外，组织管理措施不当，也会造成设备的损坏和保密信息的泄露，给网络安全运行带来隐患。

2 校园网的安全管理策略

校园网具有访问方式多样、用户群庞大、网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。校园网安全方案的设计因校园网的拓扑结构以及安全需求的不同有很大差别，校园网上作站经二级交换机连入中心交换机，网管工作站及安全所有工作站直接连入中心交换机，中心交换机再通过防火墙连入互联网。为保证校园网络的安全性， 一般采用以下一些策略。

2.1 设备安全

在校园网规划设计阶段就应该充分考虑到网络设备的安全问题。将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止无意损坏。对于终端设备，如工作站、小型交换机、集线器和其他转接设备要落实到人，进行严格管理。

2.2 技术保证

校园网是基于广播技术构建。出于广播原理，使得从任何一个节点出发的网络数据报在整个信道上蔓延，数据可以被连接在网络上的任何一个节点的网卡捕获。校园网的数据被截取和窃取成为安全的主要问题，另外，ARP地址欺骗、泛洪等很多问题，还有 TCP/IP协议固有的不安全因素，网络操作系统的安全缺陷等，都使得基于校园网的安全防范非常关键。

针对校园网来说，最主要应该采取以下一些技术措施：

(1) 网络分段

校园网一般以C类网络为主要类型，如何组织一个C类网络中的254主机进行安全通信就显得非常重要。将网络划分成多个于网络来实现安全管理，通常有两种方式，一种是基于交换机的 VLAN虚拟局域网的划分，另一种是基于IP地址的子网划分。其中.基于IP地址的划分由于以牺牲大量的有效IP地址为代价，为了在网络上实现逻辑管理，实现静态的固定分配IP而大大降低了网络服务效率，所以在校园管理中并不常用。因此采用交换式局域网技术(ATM 或以太交换)的校园网络，可以运用 VLAN 技术来加强内部网络管理。VLAN技术的核心是网络分段。根据不同的部门及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。

网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。校园网则可以采用不同网络分段的方式进行安全管理。例如，对于TCP/ IP网络，根据学校的不同用户群可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。

(2) 防火墙控制

防火墙是目前最为流行也是使用最广泛的一种网络安全技术，防火墙作为一个分离器、限制器和分析器，用于执行两个网络之间的访问控制策略，有效地监控了内部网和Internet之间的任何活动，既可为内部网络提供必要的访问控制，又不会造成网络瓶颈，并通过安全策略控制进出系统的数据，保护网络内部的关键资源。

防火墙能控制内部网络对外部网络的访问。此功能分为两个方面：一方面是可以控制内部网络用户对外部一些非法或者受限网络的访问；另一方面是控制内部网络用户是否可以连接到外部网络。前者是通过对外部IP或者网址的控制来实现的。后者是通过对内部用户的IP控制来实现的。控制外部网络用户对内部网络的访问。该功能也分为两个方面，一方面是只允许外部用户访问本地网络的某些主机；另一方面是只允许外部用户中指定的用户访问本地网络。

防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转换、IP 防假冒、预警模块、日志及计费分析等功能，可以有效地将内部网与外部网隔离开来，保护校园网络不受未经授权的第三方侵入。对防火墙要经常实施完整性检查，以避免防火墙被植入木马程序。

(3) 设置用户级别与权限

权限控制是针对网络非法操作所提出的一种安全保护措施，对用户和用户组赋与一定的权限，可以限制用户和用户组对于目录、文件、打印机以及其他共享资源的访问，可以限制用户对共享文件、日录及共享设备的操作。校园网是以用户为中心的系统，登录控制能有效地控制用户登录到服务器，路由器或交换机等网络设备来获取资源。用户访问网络控制大致分为用户名的识别和验证、用户口令的识别与验证、用户账号的缺省限制检查三个方面。通过登录控制能有效地保证网络的安全。

学校计算机信息中心网络管理人员通过对所有用户设置资源使用权限与口令，对用户名和口令进行加密存储、传输，提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。网管人员还需要建立与维护完整的网络用户数据库，严格对系统日志进行管理，对学生机房实行精确到人、到机位的使用登记制度，实现了对网络用户和服务账号进行精确的控制。学校网管定时对校园网系统的安全状况做出评估和审核，关注网络安全动态，调整相关安全设置，进行入侵防范，预报计算机病毒，发出安全公告，机器发生故障时紧急修复系统。

(4) 入侵检测

在不影响网络正常远行的情况下，增加内部网络监控机制可以做到最大限度的达到资源保护。

使用入侵检测系统，实时进行有效的网络监控，调整网络资源分配，及时发现不正常的数据包，并根据安全策略原则进行处理并及时以互动方式提供给防火墙，更改防火墙使用策略，确保网络系统的安全。入侵检测系统分为两个部分：一部分是入侵检测引擎，是专用硬件；另一部分是控制台，与网管工作站—同运行，起管理、配置和查询作用。定期对网络和主机进行扫描，定期作风险评估，及时发现漏洞，及时解决。

(5) 及时升级防病毒软件

选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。它应具有以下一些特征：第一，能够支持所有的主流平台，并实现软件安装、升级、配置的中央管理；第二，要能保护校园网所有可能的病毒入口，也就是说要支持所有可能用到的 Internet协议及邮件系统，能适应并且及时跟上瞬息万变的 Internet 时代步伐；第三，具有较强的防护功能，可以对数据、程序提供有效的保护。校园网上的所有计算机都应该安装杀毒软件，开启及时防护功能，并由管理人员对防病毒软件及时升级，增加对新病毒的防护能力。

3 小结

随着网络的普及，网络安全问题已成为影响网络效能的重要问题。Internet以其具有的开放性、国际性和自由性等诸多特点，对安全性提出了更高的要求，网络安全已成为最为重要与最引人注目的问题。网络安全策略包含技术方面和管理方面，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击；管理方面侧重于人为因素的管理。本文列举出网络存在种种安全威胁，指出了网络安全防范的一些策略。其目的是介绍一些基本的网络安全知识与技能、培养我国的网络安全技术力量。普及网络安全知识。以促进网络事业的健康发展。

[1]黄主伟.计算机网络管理与安全技术[M].人民邮电出版社.2006.

[2]鲁杰.网络时代的信息安全[M].中原农民出版社.2000.

[3]陈旿,慕德俊编著. 信息安全知识[M]. 西北工业大学出版社.2005.

[4]梁广洪.Internet安全及个人计算机安全应用浅探[J].铜仁职业技术学院学报.2008.

[5]施建林,张礼芳.浅析网络环境下个人计算机的安全防护[J].中国西部科技.2009.