园区网网络安全问题及防护

马福春 崔志云

摘要：随着信息化建设的发展，很多单位建立了园区网。园区网不仅是内部共享信息的重要手段，而且是一个重要的展示平台。但网络本身存在的不安全因素也给各单位的信息资源带来了风险。如何在使用网络的过程中保障信息资源的安全是各单位必须解决的问题。该文分析了园区网存在的风险，并给出了相应的解决措施。

关键词：园区网；安全；防护

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）24-5607-02

Study of Campus Network Security and Protection

MA Fu-chun1，CUI Zhi-yun2

（1.PLA Unit 61741， Beijing 10094， China；2.Center for Information Management， Command College of the Chinese Peoples Armed Police Forces， Tianjin 300250，China）

Abstract： With the development of information construction， many enterprises have built their own Campus Network， which is not only convenient to share information resources inside enterprise， but also a very important platform to exhibit the enterprise. However， the safety of information resources is threatened by the inborn weakness of Campus Network. How to ensure the safety of information resources while enjoying the convenience of Campus Network is an inevitable problem for every enterprise to solve. After carefully considering the network security， measures are proposed to strengthen the security of Campus Network in this paper.

Key words： Campus Network；security；protection

随着计算机技术的发展，计算机及网络已经渗透到人们工作生活的各个方面，为了更好地利用计算机和网络带来的便利，提高工作效率，各单位都建立了园区网。所谓园区网，通常是指大学的校园网或者企业的内部网，其特点是整个网络在一个固定地理区域内，园区网的所有者通常也拥有该园区网的物理线路。园区网中部署着单位的信息发布、办公、邮件等应用系统，存储着单位的重要信息，园区网是否安全决定着该单位的信息是否安全。如何保障园区网的安全是每个单位都必须认真思考和解决的问题。

1 园区网面临的主要风险

根据园区网的特点和它在人们的工作、生活中所具有的功能，必须要保证网络信息的安全。为了更安全有效地利用园区网，我们首先要了解园区网会面临哪些风险。

1.1病毒等恶意代码的危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，并能自我复制的一组计算机指令或者程序代码[1]。病毒会破坏计算机上的文件和数据，占用计算机的内存和CPU时间，影响计算机的性能，消耗网络带宽，严重时导致计算机系统崩溃或者网络瘫痪。

木马（Trojan）病毒源自古希腊特洛伊战争中著名的 “木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。木马的目的是窃取计算机上存放的信息数据[2]。现在关系着国计民生的很多重要行业，比如电力、银行、证券、零售等，都依靠网络开展自己的业务，因此以窃取信息为目的的木马可能会给用户带来很大的危害。另外，病毒还会通过制作假冒的银行、电子商务网站等钓鱼网站，窃取用户的银行账户、密码等私密信息[3]。

1.2黑客攻击

黑客通过使用弱点扫描、端口扫描、密码破解、数据包嗅探、钓鱼、Rootkit、社会工程、木马、病毒、蠕虫等工具或者技术手段[4]，发现操作系统、应用软件、网站等的漏洞、后门、账号、密码等信息，并利用这些信息，攻击服务器、计算机、网络，导致网络速度减慢、瘫痪，服务器性能下降，无法正常提供服务，窃取、修改园区网的重要信息。黑客还会使用病毒等工具攻击工业控制系统，破坏工业设施，如外国黑客利用病毒Stuxnet破坏了伊朗将近五分之一的浓缩铀离心机[5]，从而拖延了伊朗核电厂的投入使用。

1.3内部用户的非法访问和攻击

园区网不仅受到来自外部的攻击，还可能面临着园区网内部用户的非法访问和攻击。园区网内部用户比较熟悉园区网的网络结构、网络安全措施、网络安全设备情况、信息资源情况、部门机构、人员构成和服务器及网络管理员等信息，内部用户在攻击园区网络时可利用的信息和手段更多。园区网内部用户处在网络防火墙等网络安全防护设备内部，很多防范外部攻击的防护措施对内部用户是无效的。具有服务器、网络设备管理权限的用户，还可通过更改服务器、网络设备的配置，利用Arp欺骗、端口镜像、数据嗅探、安装监控控制软件等技术手段，获取应用系统的帐户、密码等信息，窃取和盗用园区网内的重要信息资源。

1.4服务器、网络设备等存在的安全漏洞

园区网络中的服务器、交换机、路由器等硬件设备使用的操作系统都存在一些安全漏洞。欧美国家在服务器、网络设备、芯片制造等通信关键行业占据着垄断地位，互联网及园区网络中使用的服务器和计算机、网络设备很多都是外国公司生产制造的。在生产销售过程中，外国的情报机构可以把恶意硬件或者软件植入到这些设备中。有些植入的恶意硬件可以使用无线电波发送信息，借助几英里外的中继站和其它通信设施可以将目标计算机和境外情报机构的电脑连接起来。即使目标计算机不联网，对方仍可以通过这种方式窃取信息。不仅如此，还可使用无线电波把信息注入到网络中，实施攻击[6]。在海湾战争前夕，美国情报人员把带有病毒的芯片植入到伊拉克军方购买的打印机中。海湾战争爆发后，美国人通过无线遥控装置激活了芯片中的病毒，致使伊拉克的防空系统瘫痪[7]。

1.5广播风暴

由于网络拓扑设计或者网线连接错误，或其他原因导致大量广播数据在网段内复制传播，严重时会产生广播风暴，导致网络性能下降，甚至网络阻塞、瘫痪[8]。

1.6帐户和IP地址盗用

在园区网中，不同的帐户及IP地址对信息资源拥有不同的访问权限。攻击者通过各种手段获取高权限用户的帐户，盗用IP地址，访问低权限用户无法访问的信息资源。帐户和IP地址盗用不仅会导致信息资源被非法访问，还可造成IP地址冲突，导致其他用户无法正常使用网络，网络运行出现异常。

2 园区网安全防护措施

针对园区网面临的风险，除了常用的要安装网络版杀毒软件、安装硬件防毒、防火墙外，还可以通过以下多种防护措施，在不同方面起到保障园区网及信息安全的作用。

2.1在园区网中建立域控制器

在园区网内部署域控制器，强制联网计算机都加入到域里面。通过设置域策略，提高计算机的安全级别。设置域策略中的帐户策略，强制帐户使用高强度密码，并设置密码的最长使用时间，避免因为长期使用同一密码而被暴力破解。设置软件分发策略给联网计算机安装网络版杀毒软件，安装操作系统补丁；设置软件限制策略，只允许计算机安装运行被许可的程序，保障信息资源的安全性。

2.2安装操作系统补丁服务器

在园区网内部署微软windows升级服务器，定期从微软网站下载最新的windows系统更新和补丁，为windows客户端提供操作系统补丁，堵塞漏洞。如果园区网内有计算机使用Linux等操作系统，也应建立相应Linux系统的yum升级源，从互联网下载升级包后，升级操作系统。

2.3为计算机安装保密系统，控制文档流转

在重要计算机上安装系统安全加固系统和文档保密管理系统，分散系统管理员的权限，实施文件的访问权限控制，对计算机上编辑、拷贝的文档资料进行登记审计，防止重要文档信息的流出，达到使窃密者偷不走，偷走了也看不懂的目的。

2.4绑定上网计算机的帐户、IP地址和网卡地址

在园区网中部署网络认证系统，绑定用户的帐户、IP地址、MAC地址，只有三者相符的计算机才能接入到园区网中，防止非法访问园区网信息及盗用IP地址，还可以帮助管理员通过日志中的IP地址访问记录查找到用户。

2.5保障服务器和网络设备的安全

服务器和核心交换机是整个园区网的核心，应该把服务器和核心交换机放到专用网络机房中。机房要做到防火、防水、防静电、防雷击、防盗，保障服务器和网络设备的物理安全，重要的网络机房还应该能做到电磁波屏蔽，防止重要信息通过电磁波泄露。严格控制进出机房的人员，禁止未经允许把计算机、网络设备、网线连入到网络设备中，防止有人把非法电子器件、移动部件插入到服务器和网络设备上。打开交换机的生成树协议，防止因错误连线产生的广播风暴。设置服务器、交换机和路由器的密

码，关闭不必要的端口，禁用多余的帐户，更改系统默认管理员帐户名。限制可以远程登录管理服务器、交换机、路由器的计算机IP地址，防止非管理员用户远程登录控制交换机、路由器，防止通过设置镜像端口对网络数据进行监听。

在服务器群的网络接口处安装主动防御设备，控制对服务器的访问，及时阻断非法行为。

另外，在园区网核心交换机的镜像端口上连接入侵检测系统，探测来自互联网以及园区网内部的入侵。实现入侵检测系统和防火墙的联动，利用防火墙及时阻断网络入侵。也是一种不错的防护措施。管理员通过查看入侵检测系统的事件记录，就能够及时发现高危行为，阻断入侵攻击。

3 结束语

网络安全只是相对的安全，动态的安全，不存在绝对的安全，更不可能一蹴而就，一劳永逸。只能根据单位的实际情况，采取适合本单位的安全措施，只有不断总结经验教训，增强园区网络的安全性，才能切实保障园区网的信息资源安全。

参考文献：

[1] 《中华人民共和国计算机信息系统安全保护条例》中华人民共和国国务院令第147号发布[1994-2-18].http：//www.gov.cn/ziliao/flfg/2005-08/06/content_20928.htm

[2] Wikipedia：Trojan horse （computing），21 September 2009，http：//en.wikipedia.org/wiki/Trojan_horse_（computing）

[3] Wikipedia：phishing，18 September 2009，http：//en.wikipedia.org/wiki/Phishing

[4] Wikipedia：Hacker（Computer Security），http：//en.wikipedia.org/wiki/Hacker_（computer_security）

[5] Wikipedia：Stuxnet， http：//en.wikipedia.org/wiki/Stuxnet

[6] N.S.A. Devises Radio Pathway Into Computers， JAN. 14， 2014， http：//www.nytimes.com/2014/01/15/us/nsa-effort-pries-open-computers-not-connected-to-internet.html

[7] 许秀中.网络与网络犯罪[M].中信出版社，200：29.

[8] Steven T Karris：Networks design and management，Fremont，Calif. ： Orchard Publications， ?2004.