時間:2023-03-10 15:06:19
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇校園網絡安全范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)08-1836-01
On Campus Network Security
CHEN Cheng-zhao
(Computer School of Wuhan University, Wuhan 430072, China; Network Center of Jianghan University of Arts and Science, Wuhan 430072, China)
Abstract: people are attaching more attention to Network security, combined with the experiences in network management, talk about some views on the security of campus network, from password security, system security, shared directories, security and Trojan horse prevention and so on.
Key words: campus network; network security; virus; firewall
網絡的應用日益豐富,目前e-mail、ftp、WWW已經非常普遍。近幾年發展起來的VOD點播、網上交友、網上游戲、網上求職、網上購物、網上醫療以及網上學習等也是如火如荼、雖然這些應用還處于發展階段,但是有很大的發展前景。目前校園網的建設也得到了快速的發展,全國絕大多數的高校建成了自己的校園網絡。
隨著網絡規模的急劇膨脹、網絡用戶的快速增長,關鍵性應用的不斷普及和深入,校園網已經成為教育行業信息化的關鍵網絡基礎設施。伴隨著校園網絡的發展,“數字校園”概念逐漸被高等院校采納并實施。可以說,高速、穩定、安全、可管理是“數字校園”建設的基本要求和最終目標。下面就我個人在工作中的經驗,談談對校園網安全的一些看法。
1 系統的安全
雖然操作系統的功能及安全性日趨完善,但從目前來看,最近流行于網絡上的“ARP”、“機器狗”等病毒都是利用系統的漏洞進行傳播的。各種系統都或多或少存在著各種的漏洞,系統漏洞的存在就成網絡安全的首要問題。作為一個網絡管理人員,及時發現并修補系統漏洞是主要任務。對于正在使用的軟件和服務,應該密切關注其官網的最新版本和安全信息,一旦發現有關的安全問題就立即對軟件進行必要的補丁和升級。
一般啟動操作系統時,會同時啟動數十個服務,但有些服務時沒有必要的,反而會成為黑客、病毒和木馬入侵的隱患。如允許遠程修改注冊表、提供IPC連接、默認共享等,應及時關閉這些服務。同時嚴格控制用戶向系統的訪問,可以利用身份驗證和用戶權限控制技術,兩者結合使用,給予不同的用戶不同的操作權限,實現信息安全的分級管理。
2 防火墻與入侵檢測系統的使用
應用服務器在校園網中的使用量很大,極易成為黑客攻擊的主要對象。因此們需要對所有的外部網絡接口隔離,用防火墻在內 外網之間構建一道安全屏障。防火墻會對數據包進行過濾,阻止外部非法用戶的訪問和破壞。所以在防火墻配置上,我們要根據每個學校的需求設置正確的安全過濾規則,網絡管理人員應定期查看防火墻的記錄日志,及時發現攻擊行為和不良記錄并采取相應的對策。
入侵檢測系統相對防火墻,是一種積極主動的安全防護技術,能夠在系統受到危害前發出警報。即使一個系統中不存在某個漏洞,但是檢測系統仍然可以檢測到相應的攻擊事件并調整狀態做出警告。所以,入侵監測系統能夠及時發現攻擊行為,防火墻能夠有效的阻止和處理攻擊行為,將兩者集合使用能更加有效的保護網絡安全,將安全隱患降到最低。
3 個人用戶安全
大多數的校園網用戶安全意識淡薄,比如不使用殺毒軟件或不及時更新病毒庫;不及時更新系統漏洞;使用移動存儲時沒有事先殺毒;接受或運行來歷不明的文件或郵件;瀏覽黃色或非法網站等行為,這些行為都有可能導致電腦中毒。中毒后對方能在你的電腦上上傳、下載文件,偷取你的各種賬號信息及密碼。除了能泄露個人資料外,如今很多病毒能夠通過用戶單機對校園網進行攻擊,惡意的向被攻擊服務器發送信息,嚴重的占用校園網帶寬,致使網絡運行速度慢,嚴重的更處于一種癱瘓的狀態。
所以個人用戶的安全也不能小視,作為網絡管理人員,在推廣網絡應用的同時,也要加強上網行為安全的宣傳教育工作,并制定相應的制度,防范和制止各種違法行為。
4 結論
校園網安全體系是一個動態的、不斷發展的機制,當然不論我們怎么防范,由于系統和軟件本身的局限性和計算機網絡的開放性,我們都不可能徹底的消除所有網絡系統的安全隱患。但是作為一名網絡管理人員,我們需要提高工作熱情,加強責任心,頭腦中時刻具備安全意識,提高自己的專業知識和技能,為廣大師生提供更快、更安全的校園網環境。
參考文獻:
[1] 賈遂民.校園網絡安全分析與對策[J].卿城大學學報:自然科學版. 2005(2):83-86.
[2] 凌捷,肖鵬,何東風. 防火墻本身的安全問題淺析[J].計算機應用與軟件 2004(7):138-140.
摘要:校園網絡作為信息化建設的主要載體,校園網絡安全已經成為當前校園網絡建設中不可忽視的首要問題。本文介紹了當前校園網絡中常見的安全隱患:系統漏洞、病毒破壞和網絡攻擊,并將校園網絡安全管理分為硬件管理和軟件管理。
關鍵詞:校園網;安全隱患;安全管理
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不收偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常的運行,網絡服務器不中斷。它是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
隨著教育信息化的發展,校園網絡在校園管理、日常教學等方面正扮演正扮演著越來越重要的角色。在國家“校校通”工程的推動下,許多學校都將自己的內網與Internet進行聯通,網絡安全逐漸成為Internet及其各項網絡服務和應用進一步發展的重要問題,網絡安全亦在與網絡攻擊的對抗中不斷發展。網絡的生命在于其安全性,如何構建相對可靠的校園網絡安全體系,就成了校園網絡管理人員的一個重要課題。
校園網與Internet相連,且速度快和規模大,在享受Internet方便快捷的同時局限性面臨著遭遇攻擊的風險。高校校園網目前普遍使用了百M到千M甚至萬M實現園區主干互聯。校園網的用戶群比較密集。正是由于高寬帶和用戶多的特點,網絡安全問題一般蔓延快,對網絡的影響比較嚴重。當前校園網網絡常見的安全隱患有以下幾種。
1.計算機系統漏洞
目前校園網中使用的操作系統存在安全漏洞,對網絡安全構成威脅。網絡服務器安裝的操作系統有INNT/2000、UNIX、LINUX等,這些系統安全風險級別不同,例如,WINNT/2000的普遍性和可操作性使它成為最不安全的系統:自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等,這些漏洞個就是一個個安全隱患。
2.計算機病毒的破壞
計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、是網絡效率下降,甚至造成計算機和網絡系統的癱瘓,是影響校園網絡安全的主要因素。計算機病毒具有以下特點:一是攻擊隱蔽性強;二是繁殖能力強;三是傳染途徑廣;四是潛伏期長;五是破壞力大。如ARP欺騙病毒、熊貓燒香病毒、網絡執行官、網絡特工、ARPKILLER、灰鴿子等木馬病毒、表現為集體掉線、部分掉線、單機掉線、游戲賬號、QQ賬號、網上銀行卡等賬號和密碼被盜等等,嚴重威脅了校園網絡的正常使用。
3.網絡攻擊
網絡攻擊包括很多方面,有黑客攻擊法、IP欺騙法、拒絕服務攻擊法和信息梗阻法。在校園網里普遍發生的是拒絕服務攻擊,這是因為校園用戶集中度高、密度大為拒絕攻擊提供了天然條件。加之學生的好奇心的因素,導致拒絕服務攻擊發生頻率較高,這種攻擊不是以獲得網絡的控制權和信息的訪問權為目的,而是為了使網絡服務不能正常運行。當Web服務器或FTP服務器這些專門的網絡應用服務遭到拒絕服務攻擊時,攻擊者能夠獲得并把持服務器支持的所有有用鏈接,而將服務器真正的用戶有效地關在外面。大部分拒絕服務攻擊是利用被攻擊系統整體結構設計上的弱點,而不是利用軟件的缺陷或安全漏洞。
前述各種網絡安全威脅,都是通過網絡安全缺陷和系統軟硬件漏洞來對網絡發起攻擊的。為杜絕網絡威脅,主要手段就是完善網絡病毒監管能力,堵塞網絡漏洞,從而達到網絡安全。
校園網安全管理包括各種網絡安全的規章制度、安全策略、口令規則等,其主要分為對硬件的安全管理、軟件的安全管理兩部分。
1.對硬件的安全管理
硬件設備的管理,包括交換機的地址管理、主交換機的虛擬網劃分、路由器的設置等。在局域網內,學校應盡量采用動態地址與靜態地址相結合的方法管理。一些重要處室應有固定IP地址,既方便與其他終端通信,又能夠在主服務器不I作的情況下正常工作,便于校內事務的管理和數據的傳輸、保存,其他的終端全部采用動態地址。合理劃分虛擬網,使各個功能相同或相近的終端位于同一虛擬網下,方便它們彼此間的通訊,保證數據的安全性。
2.對軟件的安全管理
軟件管理是整個校園網的核心,整個校同網的軟件系統主要包括以下幾個部分:網絡操作系統、網絡殺毒軟件、網絡管理軟件等。其中網絡操作系統是整個網絡的基礎,對于Windows操作系統,由于使用較方便,而且在其基礎上開發的各種軟件較多,故使用得較多,但系統的安全性相對較差。而對于Linux操作系統,它的穩定性和安全性都較Windows高,不過其要求的技術條件較高且應用軟件相對較少。一般可采用Windows2000 Server作為網絡操作系統,而服務器的配置與維護就是軟件管理的核心內容。數據的備份及保存是非常關鍵的,可以應用Windows 2000提供的系統備份功能進行數據的備份,也可采用數據庫本身的數據備份工具將數據備份到硬盤上,也可定期將數據存儲到光盤上。校園網還需要在其他方面進行安全設置,實現對網絡的安全管理,如設置防火墻、設置服務器等。
總之,由于互聯網絡的開放性和通信協議的安全缺陷,以及在網絡環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易被泄露和破壞,因此校園網的高效運行更依賴于對網絡安全的管理、預防和維護,這樣才能提高網絡的利用率,保證數據的安全性,充分發揮校園網的作用,使其為學校的教學和管理服務。(新疆沙灣縣教師進修學校;新疆;沙灣;832100)
參考文獻
[1] 姚南生.校園網安全策略的探討[J].淮南師范學院學報,2003,(3).
關鍵詞: 校園網絡平安 系統平安 網絡運行平安 內部網絡平安 防火墻
許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但校園網用戶在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的癱瘓,嚴重影響了校園網的正常運行。所以在積極發展辦公自動化,實現資源共享的同時,校園網用戶都應加強對校園網絡安全的重視。因此,如何在現有的條件下,搞好網絡安全,就成了校園網絡管理人員的一個重要課題。
高校網絡管理員肩負著校園網絡的維護和管理責任,同時也承擔維護系統安全、網絡運行安全和內部網絡安全的責任。維護好網絡安全,我們可從以下幾個方面著手。
一、系統安全
主要措施有反病毒、入侵檢測、審計分析等技術。系統安全包括主機和服務器運行安全。我們可采用以下措施來保護系統的安全。
1.反病毒技術。計算機病毒是引起計算機故障、破壞計算機數據的主要原因之一。特別是在網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等,從中發現是否有違反安全策略的行為和被攻擊的跡象,
2.入侵檢測。入侵檢測指對入侵行為的發現。通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它進行分析,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞,統計分析異常行為,等等。
發現并及時修補漏洞是每個網絡管理人員的主要任務。當然,從目前來看,系統漏洞的存在成為網絡安全的首要問題。從系統中發現漏洞不是一般網絡管理人員所能做到的,但是,及早地發現有報告的漏洞,并進行升級補丁卻是應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于已使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多網絡管理員對此認識不夠,以致于過了幾年,還能掃描到機器存在許多漏洞。校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統存在的漏洞也就越多,也就有更多的危險。因此從安全角度考慮,網絡管理員應將不必要的服務關閉,只向公眾提供所需的基本的服務。最典型的校園網服務器中對公眾通常只提供Web服務功能,而沒有必要向公眾提供FTP功能,這樣,服務器的服務配置中,只開放Web服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3.審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程。它還能指出系統正被怎樣地使用。在確定是否有網絡攻擊的情況時,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處置的重要依據。另外,通過對安全事件的不時收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能發生的破壞。除使用一般的網管軟件系統、監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的罕見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。
二、網絡運行安全
要保證網絡運行安全,除采用各種安全檢測和控制技術來防止各種安全隱患外,我們還應該具備盡快地全盤恢復運行計算機系統所需的數據的功能,即將所有文件寫入備份介質。一般數據備份操作有兩種:一是全盤備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法。二是差分備份,備份上次全盤備份之后更改過的所有文件,有“冷備份”和“熱備份”兩種方案。“熱備份”指下載備份的數據還在整個計算機系統和網絡中,根據備份的存儲媒介不同,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,系統恢復時重新安裝。其特點是便于保管,用以彌補“熱備份”的一些不足。進行備份的過程中常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離。常用的措施是內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
采用防火墻技術是目前維護內部網安全的最主要的同時也是最在效和最經濟的措施之一。防火墻不同網絡或網絡安全域之間信息的唯一出入口,防火墻在內外網隔離及訪問系統中,能根據平安政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進出的數據,管理進出網絡的訪問行為,封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全維護融合到系統的整體安全戰略中,才能實現真正的平安。
保證網絡系統安全最有效的方法是定期對網絡系統進行安全性評估分析,檢查系統存在弱點和漏洞,采取彌補措施和安全策略,達到增強網絡安全性的目的。
參考文獻:
關鍵詞:校園網絡;網絡安全;系統安全
隨著網絡技術的不斷發展和Internet的日益普及,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享起到了無法估量的作用。但一些教師和學生在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。網絡的生命在于其安全性。因此,如何在現有的條件下,搞好網絡的安全,就成了校園網絡管理人員的一個重要課題。
一、校園網絡現狀
隨著電腦的普及,計算機技術并沒有像早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識,對于生活在學校的學生們就更不用說了。幾乎每所學校都有其自身的網絡體系,無論是無線網絡還是有線網絡。有了網絡的幫助后老師可以提高課堂內容的豐富度,不必拘泥于灌輸死板的概念內容,而是靈活的動態模式,這樣才能更好地激發學生的學習興趣。在大家看來每所學校所關心的安全領域問題是大致相同的,無論是在哪方面,無疑就是網絡是否暢通,上網是否安全,網絡是否可以抵御黑客攻擊,上網時我們的賬號是否存在風險等問題。網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
二、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒、入侵檢測、審計分析等技術。
(一)反病毒技術
計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染給其它程序,并進行自我復制,特別是在網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。
(二)入侵檢測
入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算C系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。在校園網中服務器為用戶提供著各種的服務,但是服務提供得越多,系統就存在越多的漏洞,也就有更多的危險。因此,從安全角度考慮,應將不必要的服務關閉,只向公眾提供他們所需的基本的服務。
(三)審計監控技術
審計監控不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、類聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞。
三、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施,保證網絡受到攻擊后能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補“熱備份”的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
四、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
(一)訪問控制
在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全最主要,同時也是最有效和最經濟的措施之一。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。
(二)網絡安全檢測
關鍵詞:校園網;網絡安全;網絡管理
中圖分類號:TP393 文獻標識碼:A文章編號:1009-3044(2007)06-11545-02
1 引言
隨著“校校通”工程、教育城域網的深入開展,許多學校都建立了校園網絡并投入使用,這無疑對豐富教學形式,實現資源共享,加快信息處理,提高工作效率都起到無法估量的作用。校園網絡在學校的信息化建設中扮演了至關重要的角色,但在網絡建設的過程中,由于對技術的偏好和網絡安全意識的不足,普遍都存在“重技術、輕安全、輕管理”的傾向,作為數字化信息的最重要傳輸載體,如何保證校園網絡能正常的運行不受各種網絡黑客的侵害成為各個學校不可回避的一個緊迫問題,解決網絡安全問題刻不容緩。
2 目前校園網絡中普遍存在的安全問題
2.1 網絡安全方面的投入不足,沒有系統的網絡安全設施配備
大多數學校網絡建設經費不足,所以就將有限的經費投在關鍵設備上,對于網絡安全建設沒有比較系統的投入,使得校園網處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
2.2 缺少專業的網絡管理員
網絡出口、網絡監控、日志系統等缺乏有效的管理,上網用戶的身份無法唯一識別,存在極大的安全隱患。
2.3 電子郵件系統極不完善,缺乏安全管理和監控的手段
電子郵件既是互聯網必不可少的一個應用之一,同時也是病毒和垃圾的重要傳播手段。目前絕大多數校園網郵件系統依然采用互聯網上下載的免費版本的郵件系統,不能提供自身完善的安全防護,更沒有提供任何針對用戶來往信件過濾、監控和管理的手段,完全不符合國家對安全郵件系統的要求,出現問題時也無法及時有效的解決
2.4 網絡病毒泛濫,造成網絡性能急劇下降,很多重要數據丟失,損失不可估量。
網絡病毒的肆虐傳播,極大的消耗了網絡資源;造成網絡性能下降,單純單機殺毒軟件已經不能滿足用戶的需求,迫切需要集中管理、統一升級、統一監控的針對網絡的防病毒體系。
2.5 網絡安全意識淡薄,沒有指定完善的網絡安全管理制度
校園網絡上的用戶安全意識淡薄,大量的非正常訪問導致網絡資源的浪費,同時也為網絡的安全帶來了極大的安全隱患。
綜上所述,校園網絡安全的形勢非常嚴峻,目前,許多學校的校園網都以WINDOWS NT做為系統平臺,由IIS(Internet Information Server)提供WEB等等服務。下面本人結合自己校園網絡管理的一點經驗與體會,提幾個基本的、關鍵的解決方案。
3 校園網絡安全解決方案
3.1 配備完整的、系統的網絡安全設備,規范出口的管理
校園網出口配備了雙冗余的Cisco PIX535防火墻,把校園網絡分成三個隔離網段:校園內部各功能網、DMZ區、Internet。通過防火墻的隔離,防止了跨網攻擊、網絡間干擾等安全隱患,同時病毒的感染范圍也可以得到有效的控制,使各網段的安全性大大提高。
我校校園網采用了包括路由器、防火墻和交換機在內的三層立體集成化安全防御。第一層防護由邊界路由器實現。邊界路由器提供Internet與校園網的連接,為防止外部用戶對服務器進行非法操作,對服務器的內容進行刪除、修改等破壞,必須對外部訪問的操作進行嚴格控制。利用Cisco路由器所具有的防火墻功能,可防止各服務器受到來自外部的破壞。第二層防護由PIX防火墻保障。PIX防火墻將校園內部網和外部完全分開,PIX是內部各網絡子系統對外的惟一出口,通過使用PIX防火墻隔離內、外網絡,更進一步保障了內部網絡的安全。第三層防護由交換機提供。網絡管理員在核心交換機部署防火墻模塊,這是抵御外部攻擊的第三道屏障,也是防止內部攻擊的有利手段。
3.2 服務器安全措施
3.2.1 密碼的設置
眾所周知,用密碼保護系統和數據的安全是最基本、最常用的方法。但目前發生的大多數安全問題,還是由于密碼管理不嚴造成的,因此密碼口令的有效管理是非常基本的,也是非常重要的。首先,絕對杜絕不設口令的帳號存在,尤其是超級用戶帳號。一些網絡管理人員,為了圖方便,認為服務服務器只由自己一個人管理使用,常常對系統不設置密碼。這樣,“入侵者”就能通過網絡輕而易舉的進入系統,另外,對于系統的一些權限,如果設置不當,對用戶不進行密碼驗證,也可能為“入侵者”留下后門。其次,在密碼口令的設置上要避免使用弱密碼,就是容易被人猜出的字符作為密碼,例如常有人將自己名字的縮寫或6位相同的數字進行密碼設置。密碼的長度也是設置者所要考慮的一個問題。在WINDOWS NT系統中,有一個sam文件,它是windows NT的用戶帳戶數據庫,所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果“入侵者”通過系統或網絡的漏洞得到了這個文件,就能通過一定的程序(如L0phtCrack)對它進行解碼分析。在用L0phtCrack破解時,如果使用"暴力破解" 方式對所有字符組合進行破解,那么對于5位以下的密碼它最多只要用十幾分鐘就完成,對于6位字符的密碼它也只要用十幾小時,但是對于7位或以上它至少耗時一個月左右,所以說,在密碼設置時一定要有足夠的長度。總之在密碼設置上,最好使用一個不常見、有一定長度的但是你又容易記得的密碼。另外,適當的交叉使用大小寫字母也是增加被破解難度的好辦法。
3.2.2 及時為系統打補丁
對于Windows操作系統的服務器,采用Windows自動更新服務預防操作系統的漏洞。對于UNIX操作系統,網絡管理人員時刻關心相關廠商的網站上的補丁列表,及時為系統打上相應的補丁。
3.2.3 用戶終端IP地址配置
我校選用支持DHCP Snooping功能的接入交換機,用戶的IP地址只能由網絡中心分配,而不能來自非法的IP地址提供者。對于學校的職能部門,因為存在一些專用服務器,為了防止用戶將IP地址手動設置成服務器的地址而造成沖突,職能部門的接入交換機全部采用支持IP SourceGuard的交換機,用戶必須從DCHP服務器取得IP地址才可進行通信,私自設定IP地址將會自動被交換機禁止。
3.2.4 進行有效的監控和管理
上網用戶不但要通過統一的校級身份認證系統確認,而且,合法用戶上網的行為也要受到統一的監控,上網行為的日志要集中保存在中心服務器上,保證這個記錄的法律性和準確性。
4 用戶終端系統安全措施
用戶終端的安全包含兩個方面:一個是操作系統的安全性,一個是應用程序的安全性。 針對操作系統的安全性,我校的校園網內安裝了Windows更新服務器,每天凌晨定時從微軟網站同步下載補丁程序,并及時下發給終端機,使終端機能及時獲得更新的操作系統補丁。 應用程序的安全性主要在于防止機器中病毒以及惡意程序的影響,針對病毒影響,我們采用了兩層安全模式:一是在校園網內安裝了網絡版的瑞星殺毒軟件;二是我們在校園網出口以及各個匯聚節點放置基于集群的病毒網關,一旦發現下聯的客戶機有中毒的癥狀,則主動切斷用戶的連接,并將用戶的鏈接定向到瑞星殺毒軟件進行查殺病毒,并通過自行編寫的ActiveX控件更改客戶端的注冊表,使Windows客戶端的自動更新自動指向校內更新服務器。為了防止惡意程序的影響,要求校內終端用戶安裝Windows Defender。
5 完善電子郵件系統,提供安全監控和管理功能
針對目前郵件系統存在的安全隱患,我校的郵件系統采用Eyou的產品,我們在Eyou系統中內嵌了殺毒軟件,對用戶的郵件直接進行病毒的查殺。對于出入學校的郵件,進行垃圾郵件檢查、病毒檢查。
6 配備專業的網絡安全管理員,嚴格管理制度
關鍵詞:網絡安全系統安全網絡運行安全內部網絡安全防火墻
隨著網絡技術的不斷發展和Internet的日益普及,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的:網絡的生命在于其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了校園網絡管理人員的一個重要課題。
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術。
網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
一、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞。
因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。
二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。針對某些網絡,在某些情況下,它的一些局域網的某個網段比另一個網段更受信任,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。
2、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析,用實踐性的方法掃描分析網絡系統,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。
以上只是對防范外部入侵,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施,健康正常的校園網絡需要廣大師生共同來維護。
參考文獻
1.局域網組建與維護DIY.人民郵電出版社,2003.05
一、防病毒技術
新型病毒層出不窮,傳播速度快,破壞能力越來越強。校園網必須在網絡系統的各個環節嚴加防范,才能控制或阻止病毒的侵害。考慮學校教學用機數量龐大,要建立全面的主動病毒防護體系,在每臺工作站、服務器上都要有反病毒軟件并能統一管理。校園網與Internet相連的網關,也要安裝防病毒軟件進行攔截,以阻止病毒進入校園網傳播擴散。由于師生信息瀏覽和EMAIL通信的普遍性,在Internet瀏覽、下載的信息時有可能傳播病毒到內部網絡上,防病毒軟件要能阻止網頁攜帶的Applet小應用程序、ActiveX等病毒破壞,發現并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。
目前,主流的防病毒產品主要有賽門鐵克、趨勢、江民、金山等,網絡上也不乏免費殺毒軟件,如360殺毒。首次安裝防病毒軟件時,一定要對計算機做一次徹底的病毒掃描,注意定期查殺,及時進行軟件的更新。
二、防火墻與網絡隔離技術
配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網內部。校內單機可以使用個人防火墻,網上這樣的免費或限時軟件很多,比如:360安全衛士、天網。校園內外網之間,可根據學校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務器的操作系統,安全性有較大限制,速度也比較慢,建議有條件的學校配置硬件防火墻。硬件防火墻有專用硬件平臺和專用操作系統,甚至芯片級硬件防火墻使用專門芯片硬件平臺。沒有操作系統,它們的速度快、性能高、處理能力強。目前,常用的軟件防火墻有Checkpoint、KFW傲盾、天網等,常用的硬件防火墻有Net Screen、Cisco、Hill stone等,還可根據學校需要選配NAT、DNS、VPN、IDS等不同模塊。
網絡隔離技術在內、外部主機系統中嵌入安全加固且不同的操作系統,內部主機的操作系統對外部攻擊者是不可見的。在校園網和外部網絡之間形成了物理隔離帶,消除了基于網絡協議的攻擊。這種技術的應用,必將使校園網絡管理高效化、簡單化,安全級別也更高。
三、VLAN技術
隨著校園網絡規模擴大,網內機器超過200臺時網絡管理將極為困難。在實際應用時,采取VLAN技術把校園網劃分為行政辦公、教師、學生等子網。劃分可以跨過物理設備,各子網之間無法直接通信,信息僅在VLAN內的成員之間傳送,限制非成員數據轉發,從而減少了主干網的數據流量,控制網絡風暴在必要范圍內,并增強網絡的安全性,利于管理。根據校園網管理特點,通常選擇下面三種方法劃分VLAN。
(1)基于端口的劃分。根據以太網交換機的端口劃分不同VLAN,可以把跨交換機的端口劃分到同一VLAN中,一個VLAN對應一個端口集合,一個端口在某一時間只能位于一個VLAN中。比如可以把交換機SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl;把交換機SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡單易行,但是靈活性差。當教學用機需要移動時,新端口不位于原VLAN中時,機器不能直接連接通信,需要管理員重新定義端口配置。
(2)基于MAC地址的劃分。校園網中的每個MAC地址對應一臺計算機,一個VLAN就是一個MAC地址集合。比如把所有教師機的MAC地址添加到VLANl中,所有學生機的MAC地址添加到VLAN2中。配置完成后,交換機根據MAC地址識別和跟蹤教學用機。即使教學用機或服務器移動位置,更換端口,也不會改變其所屬的VLAN。這種方法,用戶使用靈活,但是管理員工作量大而煩瑣:初始化時,如果用戶數量較多,要收集所有計算機MAC地址,對所有計算機進行配置,工作量極大;后期,每一臺新計算機入網時,也需要添加到對應的VLAN中,否則不能連接。
(3)基于IP地址劃分。校園網中的網絡層IP地址對應一臺計算機,一個VLAN就是一個IP地址集合。例如:把IP地址192.168.1.1-192.168.1.100設置為VLANI給教師使用,把192.168.2.1-192.168.2.200設置為VLAN2給學生使用。它具有第2種劃分方法的優點,用戶計算機可以不修改網絡配置移動,并且無需收集MAC地址對所有計算機單獨配置。但校園網中每次數據轉發,都需要檢查TCP/IP協議的網絡層,網絡工作效率低。
目前,應用比較廣泛的具備VLAN功能的交換機、路由器主要有Cisco、銳捷、神州數碼等,這些網絡設備也不一定具備VLAN所有劃分方式。因此,學校要根據自己的要求和價格承受能力,選擇不同層次和功能的VLAN網絡設備,再根據實際設備選擇適合的VLAN劃分方式配置網絡。
四、云防護技術
校園網中Email、BBS、Web、即時通信、上傳下載各種服務和應用繁多,這也為黑客提供了更多的攻擊途徑。目前針對網絡的聯合攻擊規模越來越大,破壞性越來越強。許多校園網絡工作站點要么成為“僵尸”,要么成為被攻擊的對象。比如:“僵尸網絡”就是通過掛馬、下載等途徑控制數量巨大的“肉雞”對目標進行DOS等攻擊;還有“零日攻擊”指惡意運用立即被發現的安全漏洞,利用時間差在網絡未及防范的情況下實施攻擊。
關鍵詞:網絡 安全 黑客
高等教育和科研機構是互聯網誕生的搖籃,也是最早的應用環境。各國的高等教育都是最早建設和應用互聯網技術的行業之一,中國的高校校園網一般都最先應用最先進的網絡技術,網絡應用普及,用戶群密集而且活躍。然而校園網由于自身的特點也是安全問題比較突出的地方,安全管理也更為復雜、困難。尤其最近暴發的“紅色代碼”、“藍色代碼”及“尼姆達”等病毒,使人們更加深刻地認識到了網絡安全的重要。正如人們所說的:網絡的生命在于其安全性。因此,如何在現有的條件下搞好網絡的安全,就成了網絡管理人員的一個重要課題。
許多學校的校園網都以Windows2000Server做為系統平臺,由IIS(Internet Information Server)提供Web等等服務。下面本人結合自己對Windows2000Server網絡管理的一點經驗與體會,就技術方面談談自己對校園網安全的一些看法。
一、密碼的安全
眾所周知,用密碼保護系統和數據的安全是最經常采用也是最初采用的之一。目前發現的大多數安全問題,是由于密碼管理不嚴,使“入侵者”得以趁虛而入。因此密碼口令的有效管理是非常基本的,也是非常重要的。
在密碼的設置安全上,首先絕對杜絕不設口令的帳號存在,尤其是超級用戶帳號。一些網絡管理人員,為了圖方便,認為服務服務器只由自己一個人管理使用,常常對系統不設置密碼。這樣,“入侵者”就能通過網絡輕而易舉地進入系統。筆者曾經發現并進入多個這樣的系統。另外,對于系統的一些權限,如果設置不當,對用戶不進行密碼驗證,也可能為“入侵者”留下后門。
其次,在密碼口令的設置上要避免使用弱密碼,就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點,它們的共同特點就是利用自己名字的縮寫或6位相同的數字進行密碼設置。
密碼的長度也是設置者所要考慮的一個問題。在Windows2000Server系統中,有一個sam文件,它是Windows2000Server的用戶帳戶數據庫,所有用戶的登錄名及口令等相關信息都會保存在這個文件中。如果“入侵者”通過系統或網絡的漏洞得到了這個文件,就能通過一定的程序(如L0phtCrack)對它進行解碼。在用L0phtCrack破解時,如果使用“暴力破解”方式對所有字符組合進行破解,那么對于5位以下的密碼它最多只要用十幾分鐘就完成,對于6位字符的密碼它也只要用十幾小時,但是對于7位或以上它至少耗時一個月左右,所以說,在密碼設置時一定要有足夠的長度。總之在密碼設置上,最好使用一個不常見、有一定長度的,但是你又容易記得的密碼。另外,適當地交叉使用大小寫字母也是增加被破解難度的好辦法。
二、系統的安全
曾經流行于網絡上的“紅色代碼”、“藍色代碼”及“尼姆達”病毒都利用系統的漏洞進行傳播。從目前來看,各種系統或多或少都存在著各種的漏洞。系統漏洞的存在就成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起“紅色代碼”、“藍色代碼”及“尼姆達”病毒的傳播流行的Unicode解碼漏洞,早就被發現,且沒隔多久就有了解決方案和補丁,但是許多的網絡管理員并沒有及時地發現和補丁,以致于過了很久還能掃描到許多機器存在該漏洞。
在校園網中服務器為用戶提供著各種的服務,但是服務提供得越多,系統就存在越多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供Web服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放Web服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
三、目錄共享的安全
在校園中,利用在對等網中對機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個。但在設置過程中,要充分認識到當一個目錄共享后,就不光是校園網內的用戶可以訪問到,而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。筆者曾搜索過外地機器的一個C類IP網段,發現共享的機器就有十幾臺,而且許多機器是將整個C盤、D盤進行共享,并且在共享時將屬性設置為完全共享,且不進行密碼保護,這樣只要將其映射成一個網絡硬盤,就能對上面的資料、文檔進行查看、修改、刪除。所以,為了防止資料的外泄,在設置共享時一定要設定訪問密碼。只有這樣,才能保證共享目錄資料的安全。
四、木馬的防范
相信木馬對于大多數人來說不算陌生。它是一種遠程控制工具,以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬,它就變成了一臺傀儡機,對方可以在你的電腦上上傳下載文件,偷窺你的私人文件,偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前,隱私?不復存在!木馬應該說是網絡安全的大敵,并且在進行的各種入侵攻擊行為中,木馬都起到了開路先鋒的作用。
木馬感染通常是執行了一些帶病毒的程序而駐留在你的計算機當中,計算機啟動后,木馬就在計算機中打開一個服務,通過這個服務將你計算機的信息、資料向外傳遞,在各種木馬中,較常見的是“冰河”,筆者也曾用冰河掃描過網絡上的計算機。發現每個C類IP網段中(個人用戶),偶爾都會發現一、二個感染冰河的計算機。由此可見,個人用戶中感染木馬的可能性還是比較高的。如果是服務器感染了木馬,危害更是可怕。
木馬的清除一般可以通過各種殺毒軟件來進行查殺。對于新出現的木馬,我們的防治可以通過端口的掃描來進行,端口是計算機和外部網絡相連的邏輯接口,我們平時多注意一下服務器中開放的端口,如果有一些新端口的出現,就必須查看一下正在運行的程序,以及注冊表中自動加載運行的程序,來監測是否有木馬存在。
以上只是筆者對防范外部入侵、維護網絡安全的一些粗淺看法,當然對于這些方面的安全還可以通過設置必要的防火墻,建立健全的網絡管理制度來實現。但是在網絡內部數據安全上,還必須定時進行數據安全備份。對于硬盤中數據備份的方法很多種,我們提倡通過鏡像卷的設置來進行實時數據備份,這樣即使服務器中的一個硬盤損壞,也不至于數據丟失。
參考文獻:
1.1網絡安全的定義
國際標準化組織(ISO)將網絡安全[2]定義為:為數據處理系統建立相應的安全保護措施,保護運行在網絡系統中的硬件、軟件以及系統中的數據不被黑客更改、破壞或者泄露,從而保證了網絡服務不中斷,使得系統可靠安全地運行.上述網絡安全的定義包含兩方面內容:物理安全和邏輯安全.其中物理安全是指在構建網絡系統的時候,保證物理線路能夠防雷、放火、防水、防盜等,能夠保證物理線路連續的進行數據傳輸.而邏輯安全通常指的是傳輸在網絡上數據的信息安全,即對網絡上傳輸信息的保密性、可用性和完整性的保護.另一方面,網絡安全性的涵義也可以理解成是信息安全的一種引申,即網絡安全是對網絡信息的保密性、可用性和完整性提供相應的保護.概括的說,可以將網絡安全定義為:為保證目前網絡中運行的系統、信息數據、信道傳輸數據和信息內容的安全而采取相應的措施,從而保證網絡中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性.
1.2網絡安全基本特征
網絡安全應具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征.保密性:信息未經授權不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權用戶、實體或過程無法利用其特征.可用性:用戶經過授權后可按需使用,即授權用戶當需要該信息時能否正常存取.網絡環境下常見的可用性的攻擊包括拒絕服務攻擊、破壞網絡或系統的正常運行等.可控性:對網絡中傳播的信息及其內容具有控制能力.可審查性:當網絡中出現安全問題時可提供相應的依據與手段,便于追蹤攻擊源.完整性:用戶未經授權不能隨意改變數據的特性,即信息在保存或者傳輸的過程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網建設概述及其安全威脅
隨著互聯網的快速普及,校園網建設已經成為學校的基礎建設之一,教育信息化、數字化已經成為教育發展的主方向,校園網已成為學校日常教學、辦公、科研、管理、生活主要的工具和手段之一,并發揮著越來越重要的作用[3].另一方面,隨著國家科教興國戰略的實施,政府加強了對學校的投資,由此也加強了學校對校園網的建設.中國教育和科研計算機網(CER-NET)的成立,標志著教育網的形成.CERNET主干網絡傳輸速率已達到2.5Gpbs,總容量達40Gpbs,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前,大部分學校都已建成校園網,實現了校園網的整體覆蓋,包括辦公樓、教學樓、宿舍樓等.校園網同時與Internet對接,實現了校園辦公教學的信息化、自動化.如圖1所示,為一個簡單的校園網組網模型.隨著CERNET的建設不斷提高,校園網已經成為互聯網的重要組成部分之一,是學校信息化、數字化建設的基礎設施,同時擔任著科研與教學的重要任務.然而,目前國內大多數學校都缺乏對校園網建設的綜合規劃、缺乏相應的網絡管理措施、以及對校園網絡的認識不足,這些都極大阻礙了校園網的發展.因此合理地對校園網絡升級,是目前學校校園網工程的首要目標之一[4].同時,校園網作為學校數字化、信息化的基礎設施,安全問題不容忽視.在互聯網開放程度很高的今天,校園網往往最容易成為黑客攻擊的目標.威脅校園網安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協議漏洞造成的威脅
現在互聯網上使用最多的協議就是TCP/IP協議了,這幾乎是所有校園網采用的網絡傳輸協議.TCP/IP協議在設計之初,就沒有考慮安全問題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國際標準化組織提出的OSI七層協議能夠很好的保證網絡安全,但是由于TCP/IP協議的開放性和通用性幾乎占用了整個市場,使得OSI七層協議無法推廣.所以,目前網絡黑客針對TCP/IP漏洞攻擊有很多,例如:數據竊聽、源地址欺騙、ARP欺騙等等.
(1)數據竊聽(PacketSniff).TCP/IP協議從設計之初,就采取的是數據包明碼傳輸,這種傳輸模式使得數據包很容易被竊聽、修改和偽造.黑客可以利用一系列工具獲取網絡中正在傳輸的數據包,竊取用戶有利用價值的信息,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數據包,讓用戶誤入釣魚網站或者竊取網上銀行信息,給用戶造成直接經濟損失.特別是在校園網中,數據包流通比較集中,一旦獲取了校園網服務器或管理員賬號信息,將會給校園網絡造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網絡安全中,一個比較重要的安全問題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉發,信息會發生變化,而且在實際的網絡系統中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任,從而對校園網內部發起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數據包中,通常只包含源地址和目的地址,即路由器可以知道數據包從哪個主機發送出來,將要到達哪個主機.源路由是指數據包將會列出所要經過的路由,路由器將會根據這些指定的路由將數據包送達相應的主機,然后根據其反向路由進行應答,從而實現主機之間的通信.而源路由選擇欺騙,則是攻擊者通過偽造主機源路由,讓數據包經過該主機必經路由,使受攻擊主機出現錯誤判斷,將某些被保護的數據提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經過檢驗的,這樣就給攻擊者提供便利,攻擊者可以發送虛假數據包,改變某些重要數據包的傳遞路徑,使得數據在傳遞到正常主機前,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協議還無法證明網絡身份的真實有效性,因此黑客可以偽造他人合法身份入侵到網絡系統或者獲取密鑰信息,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協議,作用是將網絡中的IP地址轉換成MAC物理地址的協議.因為在局域網中,尤其是在校園網中,使用最多的往往是MAC地址進行傳輸,而不是IP地址進行傳輸,所以ARP協議能夠很快的讓局域網中的兩臺主機進行通信.而黑客只需在局域網中進行網絡監聽,獲取到一臺主機A的節點信息(IP地址和MAC地址),就能偽造A的數據包,與B進行通信,獲取有用信息.另一方面,黑客可以偽造一個不存在的MAC地址在局域網內傳播,形成廣播風暴,這樣會造成網絡不通,給局域網造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務攻擊,攻擊者的目的是讓目標主機或網絡無法提供正常服務.因為TCP協議采用三次握手建立一次連接,而任何一次握手失敗,則會重新發送.攻擊者正是利用這一個協議漏洞,采取不斷建立連接,然后丟棄該連接數據包,使得服務器處于等待狀態,如果攻擊者一直持續連接和丟棄的過程,則服務器和網絡所有的資源會被完全消耗,導致計算機或網絡無法正常工作,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務攻擊,它是指攻擊者借助一系列工具或手段,聯合多個計算機組成攻擊平臺,對一個或數個目標發動DoS攻擊.最基本的DoS是利用合法的服務請求,占用攻擊目標主機大量服務資源,使得正常用戶無法訪問.然而DoS服務需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標.因此網絡黑客會抓取網絡“肉雞”,集合大量網絡帶寬,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標處于癱瘓狀態.
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號,形成一個TCP封包,對網絡中可信節點進行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發動SYN攻擊,讓服務器無法完成三次握手,造成服務器開放大量等待端口,影響正常網絡訪問,嚴重時,可直接造成服務器死機,如果該服務器是WEB服務器或者DNS服務器,那么可能導致網站主頁無法鏈接或者校園網內部用戶無法訪問外部網絡.
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協議是Internet控制報文協議,它屬于TCP/IP協議下的一個子協議,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網絡是否暢通、主機是否可連接、路由是否可用等一系列消息,它對數據傳輸有很重要的作用.而ICMP攻擊是指利用操作系統ICMP的尺寸大小不得超過64KB這一規定,發動“PingofDeath”攻擊,當主機ICMP數據包尺寸超過64KB時,主機會發生內存分配錯誤,導致TCP/IP堆棧崩潰,使得目標主機死機.雖然操作系統通過取消ICMP數據包大小限制來解決該漏洞,但是向目標主機發動持續、大規模的ICMP攻擊,會消耗主機CPU、內存等資源,嚴重時也會導致目標主機癱瘓,無法提供正常服務.
2.2漏洞威脅
軟件和操作系統是由程序員編寫的,而在開發的過程中,多多少少會存在各種各樣的漏洞問題,這些漏洞如果不能及時修復,將會對主機造成重大安全威脅.一旦該主機被攻破,同時也會給該主機處在的局域網中的其它機器造成威脅,情況嚴重時,甚至會造成整個網絡癱瘓.近幾年來,無論是Windows操作系統,還是Linux操作系統,的補丁數目一直持續增加.特別是Windows操作系統,在校園網內擁有的用戶眾多,如果沒能及時修復各種漏洞,勢必會影響整個校園網安全.
2.3病毒、木馬威脅
近些年來,隨著互聯網的普及,網絡上各種各樣的開源軟件繁多,有些開源軟件打著免費的旗號,暗留后門或者對操作系統植入木馬,稍不注意,就會對整個系統造成重大影響.同時,網絡上黑客也會主動攻擊,種植木馬,抓取網絡肉雞,作為自己攻擊的跳板,對互聯網上其它的計算機造成嚴重威脅.
2.4初級黑客攻擊
校園網因為自身局限性,其網絡管理水平無法與企業相比,因此很容易受到網絡上初級黑客的攻擊,作為他們試手的目標.另外一方面,互聯網出現的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內對網絡造成嚴重的攻擊.且根據心理學研究分析,很多普通攻擊者往往有炫耀心理,即把校園網作為自己攻擊的目標,以獲取所謂的成功感,這讓校園網增加更多的威脅.
3目前校園網網絡建設中存在的主要安全問題
目前在校園網網絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題.
3.1人為因素導致的網絡安全問題
3.1.1校園網用戶數量龐大
校園網內用戶量眾多且處在同一個局域網中,同時,校園網內服務器數量也是別的局域網不能比擬的.用戶量加上數目可觀、功能強大的服務器,這些條件也吸引著互聯網上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網用戶安全意識低
根據調查研究發現,校園網的用戶大部分都安全意識不強,用戶計算機整體水平偏低,有一部分校園網用戶基本上不安裝殺毒軟件,也沒能及時給系統打補丁,系統處于“裸奔”狀態.這對于當今如此開放的互聯網,將直接為黑客提供攻擊目標.而且校園網用戶極少學習相應的安全防范知識,在下載和使用軟件時,基本上不考慮其風險性,這些都將會給黑客制造攻擊機會,影響整個校園網安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權用戶,它在一定程度上破壞了計算機系統的保密性.目前,常見的信息泄密有:操作系統漏洞、流氓軟件、網絡監聽、病毒、木馬、業務流分析、網絡釣魚、電磁、物理入侵、射頻截獲、非法授權、計算機后門程序.
3.1.4拒絕服務攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務,讓合法的信息或資源訪問被拒絕或者嚴重推遲.常見的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統漏洞、病毒、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網絡濫用
由于授權的用戶因操作或行為不當,導致網絡濫用,從而導致網絡安全威脅,例如非法外聯、非法內聯、設備濫用、業務濫用、移動風險等等.
3.2非人為因素導致的網絡安全問題
網絡安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應用范圍和環境,同時安全工具受到人為因素、系統漏洞、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統而言,沒有絕對安全的操作系統,無論是微軟的Windows系列操作系統,還是開源的Linux操作系統,都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統,因此在搭建校園網時,要選擇安全性盡可能高的操作系統,而且要隨時提供校園網用戶漏洞補丁下載,以及殺毒軟件,保證用戶系統安全性始終最高.由上所述,我們可以說網絡安全問題絕大部分是由人為因素引起的.現在,國家也制定了相應的法律來保護網絡安全,打擊相應的網絡犯罪活動.但是校園網作為一個龐大的用戶群,如何防范這些網絡犯罪活動顯得尤為重要.我們不能等著整個網絡被攻擊導致癱瘓后再想著去防范,而是要在攻擊之前做好準備工作,讓校園網在安全中運行.
4加強校園網網絡安全建設的對策和建議
加強校園網網絡安全建設主要從以下幾個方面來進行.
4.1應重視校園網網絡的安全搭建
在校園網工程的建設中,網絡系統的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網工程的設計和建設中,一定要首先考慮人以及網絡中物理設備的防火、防電以及防雷等安全問題;考慮網絡中布線系統與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離;考慮網絡中物理電路的接地安全;考慮建設合理的防雷系統,保證建筑物、計算機以及其它物理設備的防雷[6].
4.2應加強校園網網絡的安全維護技術
從技術層面來說,網絡安全主要是由防火墻系統、入侵檢測系統、病毒監測系統等多個安全組件組成,單獨的一個組件是無法保證當前網絡信息安全的.最早的網絡安全技術是采用邊界閾值控制法,即通過對網絡邊界的數據包進行監測,符合規定的數據包可通過,不符合規定的數據包就拋棄,這種方式在一定程度上能阻止對網絡的入侵和攻擊,但是不能有效防止網絡攻擊.目前,應用比較廣泛的網絡安全基本技術有:防火墻技術、防病毒技術、數據加密技術等.防火墻[7]指的是一個由硬件和軟件混合組成的設備,用于將內部網絡和外部網絡隔離起來,建立一層安全保護屏障,它是一種隔離控制技術.常見的防火墻有包過濾技術、技術、狀態監測技術等.相對于防火墻來說,防病毒技術將是從計算機網絡內部進行防控,主要預防病毒程序、后門程序、網絡監聽等.目前采取比較多的防病毒手段是對系統進行監聽,阻止不合規定進程.而且防病毒技術永遠是滯后性的,即防病毒工具一直在病毒出現后才能組織.現在的防病毒技術和云平臺技術結合,已經對病毒起到了一定的控制作用.相對前面兩種技術來說,數據加密技術就比較靈活了.可以將用戶的信息經過加密后,再在網絡上傳輸,及時數據被黑客截獲,沒有有效的密鑰,數據對黑客來說也只是一堆無效數據而已.在開放的互聯網平臺,數據加密能夠有效的保證了用戶的隱私以及數據的安全[8].
4.3應建立科學的校園網網絡管理人員崗位職責
計算機網絡安全絕大部分是人為因素引起的.因此在校園網搭建過程中,關于對計算機系統管理員的培訓及管理,是校園網網絡安全中最重要的一部分.一個不合理的操作,很有可能讓整個網絡系統癱瘓,因此必須建立健全管理規范,明確管理員責任和權利.同時,要記錄管理員操作信息,當發現不合規定的記錄時,可以及時分析,如果發現黑客入侵,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當地公安機關報案,減少學校損失.另外一方面,建立健全的管理制度以及嚴格的管理模式,可以保證校園網的正常、安全運行.總而言之,網絡安全涉及的領域很多,是一個綜合性的問題.只有合理的運用相關技術以及人員培訓,才能盡最大可能的把安全威脅降到最低.
5結語
