高校网络安全问题探讨

杨赣川 胥献伟

（四川文理学院网络管理中心 四川 635000）

0 引言

伴随着高校的网络建设规模逐渐扩大，网络用户数量成倍增长。网络购物、浏览网页、网络游戏、网上银行等各式各样的网络服务方式越来越多。这些网络服务中存在一些重要的信息，比如银行密码、游戏账号、个人隐私等是不需要让别人知晓的，象这些信息需要采用数据加密的方式来保护；高校教师科研的信息，只有特定工作人员才有权知晓；只有安全可靠的网络环境才能确保这些信息在网络上安全传输，保护学校和个人的重要信息不受任何病毒或诈骗网站的侵害。

1 目前高校网络安全存在的主要问题

高校网络安全指网络设备、网络信息及网络软件的安全。确保网络设备稳定运行，数据不受破坏、更改、泄露。高校校园网络规模越来越大、拓扑结构越来越复杂、用户的安全意识的淡薄，这些都给高校网络安全管理带来一定的压力。尽管许多高校就网络安全问题做了相应的对策，也取得了很好的成效，但是有些高校网络安全仍然存在一些问题。

1.1 网络安全设备投入不够

网络安全设备指有防火墙、安全审计、网页过滤、防病毒、入侵检测、漏洞扫描等功能的设备。一方面，目前来看国内许多高校虽然学生人数在增加，但由于扩建规模，资金仍然匮乏。许多高校网络安全设备功能并不齐全，这样的网络是存在隐患的。甚至有些学校没有自己的网络安全设备，一些简单的安全设备可能是网络营运商提供的。另一方面，有些高校领导对网络安全不够重视，认为没有必要购买那么多安全设备或是老设备将就有的心态。网络技术迅速发展，老的安全设备不具备新技术的功能，不能承受学校规模壮大带来的压力，这样对整个校园网是不安全的。网络安全设备大多是校园网的核心设备，这些设备出问题会影响整个网络，甚至使整个校园网瘫痪。网络安全设备的功能不可小视，为了学校发展该投入还是不可缺少。

1.2 校园网遭受黑客攻击与恶意入侵

高校网络体系逐渐壮大，也把黑客的目光吸引过来了。高校网站一直以来都是黑客攻击的对象，这是让网站服务器管理者很头痛的事情。很多高校经常被黑客攻击，甚至被修改或窃取重要资料。学校网站主页被挂马、篡改的事件屡见不鲜，严重影响学校的形象。黑客攻击的目的就是盗窃系统保密信息、破坏网络、恶意入侵等。黑客攻击的主要方法：

（1）后门程序：程序开发完成后没有彻底去掉模块的后门，黑客利用穷举搜索法发现并利用这些后门，然后进入系统并发动攻击。

（2）信息炸弹：使用发数据包的软件短时间内发送大量信息给目标服务器，导致网络堵塞，甚至服务器系统崩溃。信息炸弹还包括逻辑炸弹、邮件炸弹等。

（3）拒绝服务：它是利用合理的服务请求来消耗系统资源或带宽资源，使合法用户无法得到服务的响应。如TCP SYN洪泛攻击、Land攻击、Smurf攻击等多种方式。

（4）控制攻击：试图获得对目标机器控制权的攻击。最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。

（5）网络监听：监视目标系统各种与网络安全有关的信息，截获网上传输的信息，通常可以获得口令等重要信息。

网络攻击无处不在，不光在校园里。国际上网络攻击事件时有发生，最新数据显示，2013年2月24日中国西藏网的邮件系统分别被植入后门。2013年2月22日，中国网英文版企业分站遭到源自美国地址的攻击，页面遭恶意篡改。2013年1月28日人民网IP地址遭受来自境外的DDoS攻击，出现明显异常流量，峰值达到正常流量的12倍。网络攻击的危害和破坏性大家有目共睹，应对网络攻击的警钟必须长鸣。

1.3 用户DNS被篡改容易被钓

随着上网形式多样化，用户不光只是一台计算机上网，一般是多台电脑或多个手机同时上网，所以几乎每个学生寝室和教工宿舍都有安装路由器。有些网站嵌入了一些恶意代码或木马程序，当用户访问该网站时，本地DNS服务器地址或路由器的DNS设置容易被篡改。DNS地址一旦被篡改是非常危险的事情，你访问任何网站都会解析到钓鱼网站上去，有时你完全察觉不到。尤其喜欢网上购物的朋友，打开淘宝网址，错误DNS地址会解析到虚假的淘宝网去。如果你在这个钓鱼网上购物，你的淘宝账号密码、银行账号密码就会全部泄露。主要原因是用户的路由器一般不设置或设置简单，大多数用户不会去修改路由器的登录用户名和密码，默认都是admin或guest，或者是密码过于简单被破译。遇到这种问题最好的办法就是登陆路由器恢复出厂设置或按键恢复，再登陆路由器修改admin密码和wifi密码，建议不要过于简单。

1.4 对病毒防范意识缺乏

凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。早期的病毒都是单机病毒，以磁盘为载体。当今的病毒大多都是网络病毒，传播媒介是网络。网络病毒具有扩散面广、传染性强、针对性强、破坏性强等特点。这类病毒传播速率快、可触发性、多种感染方式、难以清除，对网络危害非常大。网络病毒分为蠕虫和木马两种攻击手段。主要传播方式为电子邮件、网页、文件传输。高校存在一些用户的计算机不安装杀毒软件和防火墙，这些用户的计算机都容易被感染病毒。有些用户又安装多个不同品牌的杀毒软件和防火墙，一个计算机安装多个杀毒软件会发生冲突，严重的会使系统瘫痪。校园网内如果一台计算机感染了网络病毒，可能在短时间内传播到整个校园网。影响整个网络的运行速度，中毒严重的可能会破坏文件、丢失数据，甚至会使校园网处于运行瘫痪状态。严重影响正常的教学、办公和科研。所以我们提倡一台计算机只安装一个杀毒软件和防火墙并及时更新升级。在高校几乎人人都有移动存储设备，大量的移动存储设备也是病毒携带的主要工具，同时增加了病毒传播的途径。移动存储设备在办公室、寝室、教室、机房、家里经常用到，一旦任何一台计算机中了病毒，其他使用过的计算机都会被传染。因此建议移动存储设备使用前查杀一下病毒。

2 高校网络安全问题应对措施

首先我们要认识到目前我国高校网络安全的确存在一些问题，有些可以使用技术手段去解决或避免。其次应该加强网络安全管理，加大资金、人员投入力度。当然光这些还是不够的，网络环境和我们现实环境是一样的，需要广大用户共同维护，营造安全健康的网络环境。

2.1 加强网络安全管理

高校网络安全管理主要指计费认证系统和网络环境的安全管理。加强计费认证系统管理就是加强对用户网络使用权限的控制，通过身份识别、密码验证等技术，有效的管理校园网络用户。加强网络环境的安全管理就是阻止用户非法登陆网络核心设备及删改配置信息，未经允许授权者不能使用校网络资源。构建网络安全防范体系，及时发现并修补漏洞，实现全面的网络保护。网络安全管理要求管理者在最小影响网络性能的前提下，采用最优的管理方法，确保校园网络的安全可靠运行。

2.2 利用防火墙阻止网络攻击

防火墙是设置在校园内部网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入[2]。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。采用防火墙可实现高校校园网与如因特网之间或校园网不同安全域之间的隔离与访问控制，可以很好的把黑客和病毒攻击拒之门外。防火墙主要采用数据包过滤、代理服务、状态检测、网络地址转换四种实现技术[3]。

（1）数据包过滤：系统在网络层检查数据包，依据 ACL访问控制列表对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。是一种简单、高效的安全控制技术。

（2）代理服务：可以实施用户认证、详细日志、审计跟踪和数据加密等功能。内网拓扑结构信息不易泄漏，有效减少黑客攻，是一种比较高级的防火墙技术。

（3）状态检测：状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的。工作在数据链路层和网络层之间，有高效性、高安全性、应用范围广等优点。

（4）网络地址转换：NAT是基于网络层的应用，将一个IP地址用另一个IP地址代替。隐藏内部网络的IP地址、解决地址紧缺问题。

防火墙是非常优秀的网络安全设备，再好的安全设备如果没有物尽其用，是发挥不了安全保护作用的。所以要详细了解防火墙性能，配置管理好，才能发挥设备的应有性能。

2.3 安装防毒软件和杀毒软件

高校校园网络是病毒滋生的温床，一直以来病毒都是校园网的安全隐患。所以校园网内每台计算机都要安装单机版防毒杀毒软件并定期更新病毒库，保护计算机不被感染病毒。针对网络病毒最好方法是安装网络版的防毒杀毒软件，它能全方位、多层次查杀病毒[4]。要做到定期扫描网络病毒、修补漏洞、及时升级软件，把网络病毒彻底打败。

2.4 加强校园网用户管理

加强校园网用户管理分两层意思：一是增强用户的安全意识，有些网络用户安全意识不够，对网络安全知识了解甚少。个人计算机病毒泛滥，很多时候的网络事故都由它引起。所以网管人员应该做好宣传，加强用户计算机安全知识方面的培训，增强用户网络安全意识。二是合理规范化管理用户，对教职工、学生、后勤管理人员进行划分，不同的职业有不同用户权限。同时对账号按区域划分，对办公室、教工宿舍、学生宿舍等不同的场所账号的权限也不一样。并采取动态修改密码和动态分配的形式，保证用户密码有效性。用户管理规范化对网络安全管理工作起到事半功倍的作用。

3 结语

网络安全涉及的技术领域很广，这里探讨的内容不过冰山一角。目前高校网络安全确实存在一些隐患，要求我们不断地学习并应用新技术解决网络安全存在的问题。为教学、科研和办公提供安全健康的网络环境。

[1] 陈斌.校园网络安全问题分析与防范策略研究[J].信息与电脑，2010（8）.

[2] 李文杰.浅析防火墙安全技术及发展[J].科技信息，2OO8（10）.

[3] 谢希仁.计算机网络（第 5 版）[M]．北京：电子工业出版社.2010：284-305.

[4] 陈文冠，曹亮，陈兴华.高校校园网信息安全的研究[J].科技管理研究，2007（2）.