张雪 邢磊
[摘要]随着互联网的飞速发展,网络安全已经成为很现实的问题,不仅造成了不可估量的经济损失,而且成为网络技术广泛使用的一个障碍。高校校园网因其自身的特点,安全问题尤为突出。重点对高校校园网存在的安全隐患与问题进行调查和研究,并对高校校园网的安全技术与优化策略进行了介绍和探讨。
[关键词]校园网络;安全分析;防范措施
[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0355-02
引言
校园网是高校教育信息化的重要基础设施,在高校的教学、科研、管理和生活服务中起着越来越重要的作用。高等院校在不断扩大校园建设、加强办学条件的同时,为适应现代教育的发展和要求,也逐步开始自身校园网的建设和应用。与此对应,校园网的安全面临着巨大的挑战,如何管理好校园网,保障校园网安全、稳定的运行,是各院校校园网管理人员必须认真面对的问题。
1 校园网络安全的现状分析
1.1 采用开放的网络环境
由于教学和科研的特点决定了校园网络环境应该是开放的,管理也是较为宽松的。在企业网环境中可以限制Web浏览站点和用户的网络流量,甚至限制外部发起的连接不允许进入防火墙,但是在校园网环境下通常是行不通的,至少在校园网的主干不能实施过多的限制,否则一些新的应用、新的技术很难再校园网内部实施。面对这种开放的网络环境,安全管理的难度很大,面临的挑战也很突出,在所有的局域网中校园网所面对的环境最为复杂。
1.2 存在操作系统或软件漏洞
由于校内终端用户对计算机认知能力存在差异,有些用户不知如何为系统更新安全补丁,有些则是没有随时更新补丁的习惯,造成校园内大部分计算机系统都存在不同程度的安全漏洞,而目前网络上的很多新型病毒和攻击手段大部分都是针对操作系统漏洞攻击并传染的;另外校内师生在网上随意下载的软件中可能携带隐藏的木马、后门等恶意代码,导致系统运行缓慢,这些软件也可能被攻击者所利用。
1.3 拥有活跃的用户群体
校园网用户的主体是高校学生,这个年轻群体的上网行为相当活跃,由之带来的网络风险也十分严峻。一方面若学生浏览不良网站、下载经过伪装的恶意软件等网络行为都可能将木马、蠕虫、病毒等程序带人校园网,并且大多数学生不懂如何防范病毒和处理病毒,校园网一旦受到安全威胁,能很快地在校园网内蔓延,并且大面积出现相同的症状,严重时会造成校园网的瘫痪。另一方面学生对网络新技术具有强烈的好奇心,为了满足好奇心而勇于尝试在网上学到的各种攻击技术,对网络设备、业务系统进行攻击,给校园网的安全工作增加了难度。
1.4 网络外部的入侵、攻击等恶意破坏行为
校园网与互联网相连,在享受方便快捷的同时,也面临着遭遇攻击的风险。借助网络上泛滥的“傻瓜式”的攻击软件,外网非法用户即使不具备任何计算机技术也可对校园网进行肆无忌惮的攻击。例如通过注入漏洞检测工具对WEB服务器进行数据库注入式攻击,造成学院网站主页被篡改、数据被破坏等恶果。
1.5 校园网中的计算机系统管理比较复杂
校园网中的计算机系统的购置和管理情况非常复杂。学生宿舍中的电脑一般是学生自己花钱购买、自己维护。院系各个单位或者是统一采购,有技术人员负责维护或者是教师自助购买、没有专人维护。在这种情况下,要求所有的端系统实施统一的安全策略(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产安全管理和设备安全管理,出现安全问题后通常无法分清责任。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板,变成攻击实验床也无人察觉。
1.6 安全专项资金投入少和技术人员缺乏
大多数高职院校将经费主要投入到校园网络的规模建设上,往往对保证网络安全的软硬件设备不够重视,未能架构起行之有效的网络安全体系。
网络安全是当今较前沿的计算机技术,需要较强的实践能力和丰富的现场经验。高校一般没有设置专门的网络安全技术人员,现有的网络管理人员多只具备组网管理技术,却缺乏处理网络安全风险的技术与经验,难以应付复杂多变的网络安全问题。
2 校园网络安全防护解决方案设计及对策
2.1 网络安全设备的使用
2.1.1 防火墙
网络防火墙是指设置在计算机网络之间的一道隔离装置,可以隔离两个或者多个网络、限制网络互访,以保护网络用户的安全。为了胜任安全防护的重任,防火墙自身具有非常强的抗攻击能力和免疫力,网络之间的所有网络数据包都必须经过防火墙过滤,只有符合相应安全策略的数据包才可以通过防火墙。
基于以上特性,防火墙一般部署在内网与外网之间,在网络边界处充当一个检查点,以此作为安全保障体系的第一道防线,防御黑客攻击。从性能方面考虑,首选硬件防火墙,由于硬件防火墙的硬件和软件都单独进行设计,由专用网络芯片处理数据包,同时采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。并且其对软硬件有特殊要求,因此拥有高吞吐量、安全与速度兼顾的优点。但是选购硬件防火墙时需要注意的是,尽管许多网络防火墙都号称是硬件防火墙,并且硬件连同软件一起销售,但并没有自己独立的操作系统,只是基于x86计算机架构和开放的Linux/UNIX操作系统,以及一套自己开发的网络防火墙软件,其从根本意义上讲,仍然是软件防火墙。
在校园网入口处部署防火墙并不能发现和防止校园网内部针对核心服务器发起的攻击,因此若条件允许,还可以建立多级防火墙来进一步保护校内的应用服务器群和数据库服务器群。
2.1.2 入侵防御系统
随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,传统的防火墙只能对三层或四层进行检查,不能检测应用层的内容,因此单纯通过部署防火墙已经无法满足校园网的安全需要。入侵防御系统(IPS)的设计基于一种全新的思想和体系架构,工作于串联方式,采用ASIC等硬件设计技术实现网络数据流的捕获,检测引擎综合特征检测、异常检测、DoS/DDoS检测、缓冲区溢出检测等多种手段,并使用硬件加速技术进行深层数据包分析处理,能高效、准确的检测和防御已知或未知的攻击,并实施多种响应方式,如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等,突破了以往IDS只能检测不能防御入侵的局限性,提供了一个较完整的入侵防护解决方案。
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施,而绝大多数IDS系统都是被动的,不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而入侵防御系统IPS则倾向于提供主动防御,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
IPS之所以能够实现实时检查和阻止入侵,在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用二层至七层的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。
IPS常常以串联方式部署在出口处,抵御来自外网的入侵威胁。若来自校园网内部的入侵风险也较高,可以在靠近服务器群的位置处布置IPS,以增强校园网整体入侵防御的能力。
根据我们的使用经验,IPS最好分阶段、有步骤地部署实施。
第1阶段:检测,但不防御。
IPS以串联方式工作,只进行检测,不阻断数据流,但它会将不符合协议的数据包丢弃,确保通过的数据包都是合乎规范的,是插入和规避类攻击无从得手。在这个阶段IPS的主要任务是适应环境,在保护校园网络和应用的同时不会产生新的麻烦,同时也是管理员熟悉并了解IPS检测机制的一个过程。
第2阶段:检测,并有选择地防御。
当串联方式被证明合适后,管理员就可以根据报警日志确定入侵检测策略的有效性,先选择一些最严重的报警,确保没有误报,然后对该类型的特征实施阻断相应。在此阶段,IPS检测攻击检测共计并有选择的防御,只将有明显危害的攻击流阻断。
第3阶段:检测,并全面防御。
在确认了IPS的有效性并且安全策略经过不断的调整优化之后,管理员就可以为所有入侵特征设置响应方式,从而使IPS进入全面的防御工作模式,一旦发现有害数据包就将其丢弃并阻断随后的数据流。
2.2 构建全方位的漏洞与病毒防护体系
2.2.1 架设微软更新服务器
校园网内绝大多数电脑都是使用了微软的操作系统,而目前网络上相当比例的恶意攻击都是在利用操作系统的设计缺陷展开的,这些缺陷或错误可以被不法者或电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,进而会威胁到整个校园网的安全。因此及时更新操作系统的漏洞补丁,已成为提高系统安全性的主要手段。
通常系统自带的Windows Update功能都是自动连接到MicrosoftUpdate来下载更新补丁,但是在校园网环境下,会带来以下问题:
(1)校园网客户端数量众多,更新操作会占用学校较多的出口带宽资源。
(2)部分电脑存在平时不接入互联网的情况,无法及时获取最新的漏洞补丁。
(3)部分使用者不重视补丁程序的重要性,即使出现更新提示,也不主动更新。
基于以上原因,有必要在校内建设专用的微软更新服务器。目前微软提供免费的补丁分发方案WSUS(Windows Server Update Services),在Windows Server 2003平台下需要安装WSUS 3.0 sp2来添加该项功能,在Windows Server 2008和Windows Server 2012平台下,已经内置了WSus组件功能。该方案支持微软公司全部产品的更新,包含Windows、Office、SQL Server等内容。通过WSUS这个内部网络中的Windows升级服务,所有Windows更新都集中下载到内部网的WSUS服务器中,而校园网中的客户机通过WSUS服务器来得到更新。这在很大程度上节省了网络资源,避免了外部网络流量的浪费并且提高了内部网络中计算机更新的效率。此外,还能通过制订相应更新策略来控制客户端的更新方式,以此达到强制更新的目的。
通常情况是在校园网环境中部署一台WSUS服务器,当网络规模很大且一台WSUS服务器无法满足需求时,可以使用多台服务器进行补丁分发工作。整个部署分服务器端和客户端。服务器端配置不难,但需按照校园网内安装的微软产品数量预留足够的硬盘空间,此外还需做好补丁的审批策略。客户端有两种部署方式,一种是域环境下的组策略方式进行统一自动部署,另一种是非域环境下修改该机注册表或组策略。
2.2.2 建立网络防病毒体系
由于计算机病毒形式及传播途径的多样化,校园网的防病毒工作再也不能是简单的、单台计算机病毒的检测及清除,而是需要建立多层次的、立体的网络病毒防护体系。确保各终端计算机安装网络版防病毒软件的客户端,并及时更新病毒库;制定详细的反病毒策略,定期对网络服务器及工作站进行扫描监测;通过管理端设置和维护全校整体病毒防护策略,并对网络病毒情况进行及时的监控与报告。
在选择网络防病毒解决方案时可以考虑以下一些因素:
(1)拥有多种安装平台的客户端。除了能提供最常见windows平台,还能提供Mac、Linux等平台,能提供32位及64位平台。只有提供各种平台的客户端安装程序,才能在校园网中做到真正意义上的全方位防护。
(2)拥有便捷的部署方式。针对校园内各种不同用途的计算机,能给出多种简便的部署方式,并且安装好后零配置,用户无需关心后续操作。
(3)功能强大的管理控制端。管理控制端必须拥有强大的集中式管理功能,能发现所管理客户端存在的安全风险,能自动下发统一制定的安全策略,当发现大规模病毒爆发,能及时给出警告。针对日常的管理,拥有详细的报表及日志功能。
(4)技术上拥有领先功能。如智能型扫描引擎能在计算机空闲时工作;针对目前主流的虚拟环境,能防止在虚拟环境中同时扫描和更新。
(5)是否还附带了其他便于管理的功能。有些产品除了提供防病毒、反间谍软件、桌面防火墙、网络准入控制等功能,还提供了软、硬件资产管理和软件分发功能,该功能对学校来说,能极大的帮助管理员减轻相应的工作量。
3 结束语
校园网是一个复杂的综合性系统工程,严格来说,绝对安全的校园网是不存在的。而完善的网络安全策略是校园网网络安全的前提,从计算机技术方面对网络设备以及服务器进行合理的设置可以杜绝大多数的不安全因素,但是校园网内部的安全事件时有发生,期望通过硬件或是软件一劳永逸的解决校园网安全及管理问题是不现实的。在目前,唯有综合运用防火墙、杀毒软件等多项措施,互相配合,从管理上规范校园网的使用,才能实现一个安全的校园网络环境,使其可靠、高效地为广大师生服务。
参考文献
[1]刘远生,辛一,计算机网络安全(第2版)[J],清华大学出版社,2009
[2]马宜兴,网络安全与病毒防范(第5版)[J],上海交通大学出版社,2011
[3]周世杰,陈伟,罗绪成,计算机系统与网络安全技术[J],高等教育出版社,2011
[4]黄波,刘洋洋,纪芳,信息网络安全管理[J],清华大学出版社,2013
[5]刘晓辉,网管天下:网络安全管理实践(第2版)[J],电子工业出版社,2009