文/牛晓望
在各类高新技术飞速发展的信息时代,互联网已成为各个领域、各种群体广泛应用、交流的信息平台,在人们的日常生活中发挥着不可替代的作用。随着网络信息教育影响的不断发展扩大,网络作为新兴媒体,已成为高校学生获取知识和各种信息的主要途径。在这种新形势下,建设先进、实用、开放、安全可靠的高校校园网对一个学校的生存发展显得尤为重要。随着高校信息化进程的不断推进,高校校园网上运行的应用系统越来越多,信息系统变得越来越庞杂,用户群密集且越来越活跃,其安全风险也变得更加严重和复杂。网络时刻受病毒、黑客的威胁,不但会影响校园网络系统的正常运行,还可能造成整个教务、管理系统中重要数据的丢失、损坏和泄露,给学校带来不可估量的损失。因此,高校校园网安全问题不容忽视。
(一)计算机系统漏洞。高校校园网络中,计算机软件、硬件的不足或协议的缺陷,都属于计算机系统的漏洞,它们对信息安全、系统的使用、网络的运行会构成不同程度的威胁。这些漏洞一旦被发现,攻击者就可以在未授权的情况下访问或破坏系统,从而危害整个校园网络系统的安全。
(二)针对防火墙的攻击。虽然防火墙对网络边界安全起了相当大的保护作用,但我们都清楚,没有哪一种防火墙是万能的。防火墙不能完全防范黑客的刻意攻击,也不能有效防范内部用户的攻击,它时常存在着被侵扰的可能性和受攻击的威胁。而校园网的主要用户——学生恰恰缺乏足够的网络常识和计算机病毒防范意识,他们会经常有意或无意地对校园网进行各种各样的攻击,以致严重影响了校园网的正常工作。
(三)外来的系统入侵、攻击等恶意破坏行为。由于外来的系统入侵、攻击等恶意破坏行为的发生,有些计算机很轻易地被攻破,其使用者往往不能在第一时间发现异常,个人信息一旦泄露,损失不可估量。这些被攻破的计算机又会成为黑客利用的工具和攻击的对象,利用这些计算机再去攻击其他系统,短时间内整个系统就会面临瘫痪的可能和更严重的后果。
(四)网络病毒。随着因特网的流行,计算机病毒借助网络爆发流行,通过网络传播的病毒在传播速度、破坏性、传播范围等方面都比单机病毒的危害性大,给使用者带来了极大的损失。这些病毒一旦发作,会在最短的时间内传播影响到整个网络系统,给用户造成巨大的损失。
(五)IP地址及用户账号的盗用或多人使用同一账号。由于互联网中用户数量众多,难免出现盗用他人IP地址和用户账号的行为,这就大大增加了校园网系统管理的难度,IP地址冲突不断、用户无法正常上网;同时,由于某些软件的功能相对简单,存在明显的漏洞——没有对同一账号同时登录次数进行限制,也使得多个用户可以使用一个账号同时上网,势必会造成学校资源的流失以及教学秩序的混乱。
(六)垃圾邮件、不良信息的传播。高校校园网的主要功能是为教学和科研服务的,因此,网络环境应该是开放的,管理也是较为宽松的。作为该网络中最活跃的用户——学生,他们对网络充满了好奇,乐于探索各种信息,尝试多样操作方式,以获取更宽泛、更丰富的网络资源。如果没有良好的网络素质,有些学生会尝试使用网上学到的甚至自己研究的各种攻击技术,传播各种有害信息和垃圾邮件,给校园网造成不良影响。
校园网上大量存在的计算机病毒、黑客行为、木马等安全威胁,无时无刻不在影响着校园网络的健康有序发展。利用何种技术、方法及有效措施来保障高校校园网络的安全,使其正常运行、健康发展,已成为目前许多高校管理部门亟待解决的问题。
(一)加强校园网安全管理政策建设。制度建设是校园管理的基础,对校园网的管理,更需要健全、有效的安全管理措施,告诉用户哪些行为是允许的、哪些行为是不允许的,尤其对计算机使用权限的规定要全面、客观、严谨,既要层次分明、严格把关,又要高效实用、有利于工作。诸如对学生用户,要尤其重视健康上网的思想教育,正确引导学生合理使用网络,指导与规范并行、提高与发展并重,使学生驰骋于网络空间,去播种更多的绿色种子,去获取更有价值的精神给养。
(二)建立安全的Web发布系统。高校校园网系统应当进行综合安全配置,建立安全的发布系统,防止黑客对Web页面的非法篡改。同时,根据高校网络用户大多思想活跃、敏锐,善于思考、乐于活动的特点,应不断地调整、设置安全防御措施,使该系统较完整地具备实时监控、实时阻断、实时备份、实时恢复的基本能力。
(三)运用VLAN(虚拟局域网)技术。高校校园网的规模通常都很大,网上的广播信息会很多,特别是学生之间的网络交流非常频繁,大量的信息很容易形成广播风暴,引起网络堵塞。可以通过划分很多虚拟局域网来减少整个网络范围内广播包的传输,把广播限制在各个虚拟网的范围内,从而提高网络的传输效率。另外,VLAN根据不同的应用业务及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,这样可以限制用户的非法访问,将损失降到最低点。
(四)客户账号与IP地址、端口进行绑定。现在很多高校学生宿舍都设置了上网功能,学生使用校园网的频率越发频繁,同一宿舍的端口被学生分线为多个端口,当一台机器发生问题,其他同端口的机器也有影响,不利于网络管理,因此,应当将客户账号与IP地址、端口进行绑定。这可以极大地提高客户行为的唯一性,有效防止IP地址和客户账号盗用现象的发生。对账号登录次数进行限定,避免多人次使用同一账号上网的现象。系统提供内、外网NAT(地址转换)功能,避免内网IP地址的暴露,可以降低遭受网络攻击的可能性。
(五)运用过滤平台和防火墙技术。大学生思想活跃,能够敏锐地捕捉各类信息,但也缺乏屏蔽不良信息的能力。作为校园网管理者,应当引进过滤技术,帮助学生屏蔽不良网站的干扰,对网上色情、暴力和其他不健康的内容进行过滤、堵截。如,设置电子公告服务内容的过滤系统和邮件过滤系统。防火墙技术包含动态的过滤包、应用代理服务器、用户认证、网络地址转换、预警模块、日志及计费分析等功能,可以有效地将内部网与外部网隔离开,保护校园网络不被未授权的第三方入侵。
要建立一个真正安全的网络环境,还要加强以下几方面的工作,以便多层次地保障系统的安全性能。
(一)设置病毒防治系统。服务器应当安装计算机病毒防治系统,以防止病毒入侵并对已经入侵的病毒及时进行检测和清除。该病毒防治系统,还应该具备实时更新功能,将抵御病毒侵入的正能量提到最高值,以应对突发的、更加趋于复杂的、隐蔽的病毒攻击。
(二)邮件过滤系统。自身具备邮件系统的网站必须建立邮件过滤系统,它具备反恶意攻击、反垃圾邮件、邮件病毒过滤、邮件内容过滤四项基本功能,以对不同性质的非法邮件和可疑邮件作分别处理,防止恶意使用者利用服务器大量转发不良邮件。这些功能可以为学生营造健康有序的网络空间和环境。
(三)网络入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中,利用审计记录、入侵检测系统能够识别出任何不希望发生的活动,从而达到保护系统安全的目的。网络入侵检测系统能对网络或操作系统上的可疑行为做出策略反应,及时切断资料入侵源,并通过各种途径通知网络管理员,最大限度地保障系统安全。同时,要求网络入侵检测系统本身应当具有一定的抗攻击能力。
(四)漏洞扫描系统的设计。解决网络安全问题,首先要弄清网络中存在哪些安全隐患、漏洞。漏洞扫描系统根据大型网络的复杂性及其变化规律,查找网络安全漏洞,评估并提出修改建议,利用优化系统配置和补丁等方式弥补最新的安全漏洞,消除安全隐患。
此外,还需对服务器系统做到有限授权、预防攻击、主机恢复、审计跟踪等安全措施。如采用服务器备份机制,采用灾难恢复机制来确保系统被破坏后能及时地进行恢复,保证不影响正常的教学秩序。灾难恢复机制中最为重要的当属备份机制。
网络安全防范技术不断进步的同时,威胁网络安全的计算机病毒技术、黑客技术、木马技术等也在不断地发展变化。因此,应该意识到在校园网络的建设实践中,追求百分之百的网络安全是不可能的,综合运用多种网络安全技术构建一个相对安全可靠、先进实用的校园网才是明智之举。