【浅析校园网安全威胁及防范技术】 如何防范校园安全威胁
时间:2019-05-07 03:33:08 来源:柠檬阅读网 本文已影响 人 
摘要:该文分析并总结了当前国内校园网普遍存在的网络安全问题和威胁,从安全产品的部署和技术防范的角度提出了相应的解决办法,旨在通过建立安全防范体系,确保校园网正常运行。
关键词:校园网;安全;防范技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)12-2694-03
On the Campus Network and Security Threats and Preventive Measures
GAO Xiao-lin
(Guangzhou Technician College,Guangzhou 510410,China)
Abstract: This paper analyzes and summarizes the ubiquitous network campus network security issues and threats, from the security prod uct deployment and technology to prevent the angle and puts forward the corresponding solutions, aims to establish security system, to en sure the normal operation of the campus network.Keywords: campus network, security, security technology.
Key words: campus network; security; prevention technology
随着教育信息化工程的普及以及互联网技术的迅速发展,目前绝大多数学校都建设了校园网,这无疑给学校的办公、教学、管理、学习、科研、娱乐带来了极大的便利。然而,网络的开放性与互联性为我们带来便利的同时也蕴藏了许多安全隐患,例如计算机病毒、黑客入侵等等,这些都给校园网的信息安全造成了巨大威胁,甚至已经在不同程度上影响了校园网络的正常运行。如何合理有效的部署相关安全产品,采取适当的安全技术手段保证校园网的安全,已成为校园网建设发展中我们必须面对和解决的一道难题。
1校园网面临的主要安全问题和威胁
1.1软件漏洞
软件漏洞发生在操作系统或应用系统上,是在程序设计和实现的过程中由于各种原因有意或无意产生的不足和缺陷。网络设备、服务器系统、操作系统、数据库软件、应用软件乃至安全防护产品本身都普遍存在安全漏洞,高危漏洞会带来严重的安全隐患。通常黑客就是利用这些漏洞作为系统入侵的突破口,入侵一旦得逞,黑客就可以获得系统的任意权限,然后在没有授权的情况下对系统进行各种非法操作,给系统安全造成巨大威胁。
1.2计算机病毒和木马
计算机病毒通常通过移动存储设备(如:U盘、磁盘、MP3等)和网络通信(如:电子邮件、BBS、网页、即时通讯软件等)等途径进行传播,以到达破坏系统、文件、数据或影响网络正常运行的目的。其中网络蠕虫病毒对校园网的危害日益严重,其种类和数量繁多,发作日益频繁。现在,蠕虫病毒往往还与黑客技术相结合,计算机中毒发作后,常导致拒绝服务攻击,连累全网服务中断。
木马与一般的病毒不同,它不会自我繁殖,也不会刻意地去感染其他文件,主要通过网络下载,移动存储,挂马等方式进行传播,以达到篡改浏览器、弹出广告、篡改网购交易订单、推广流氓软件、窃取用户各种帐号、密码等私密信息从而获取非法利益的目的。
病毒木马泛滥往往是造成系统和网络故障的直接原因。
1.3非授权访问
校园网内拥有大量的信息资源,如电子图书馆、VOD视频点播、教学管理系统等需要为师生们开发,并允许师生在授权的情况下在校外通过网络连接访问到这些资源。同时,有些信息资源,如档案,公文,科研成果等涉及机密或知识产权,必须采取有效措施防止非法用户的访问和使用,否则这些信息资源就有可能会被窃取,修改,甚至删除,给学校造成无法估量的损失。
1.4滥用网络资源
在校园网内,用户滥用网络资源的情况严重,有私自开设代理服务器,非法获取网络服务的,也有利用校园网资源进行大量的上传和下载的,更有网络游戏、IM、各种P2P应用等对网络带宽资源毫无节制的抢占使用,导致校园网的一些主要应用,如OA、网络教学、教学资源共享、邮件收发等受到严重的影响。
1.5不良信息的发布与传播
一方面,在技工学校里,一些匿名上网的学生喜欢在网络上乱说脏话、散布谣言,在情绪过激时甚至会制造一些违法,反动的言论,这些行为会给学校声誉造成不良影响。另一方面,网络上的信息良莠不齐,其中有违反人类道德标准或法律法规的,如果不对这些信息加以过滤和处理,各种淫秽、色情、赌博、暴力信息就会弥漫整个网络,影响学生的健康成长。
1.6教师与学生的网络安全意识及法律意识薄弱
有的教师和学生随意修改电脑的IP地址,造成与其它电脑发生冲突;一些学生在机房上机时搞恶作剧随意删除其他人的数据,修改电脑参数,造成系统运行不稳定;有的学生甚至恶意传播病毒而觉得好玩;有的计算机专业学生为了显示自己的高超水平,想法设法破解机房计算机系统的保护软件和网管软件,如冰点软件、网络还原精灵软件等最后造成大量计算机系统瘫痪。
1.7信息存储安全
随着校园网各种应用的不断普和发展,信息资源呈几何级数增长,海量存储、快速存储应运而生,这也给数据的快速存储和数据安全提出了更高的要求。如果磁盘的读写方式没有任何的安全保障,一旦磁盘发生故障就有可能造成灾难性的数据损坏或丢失,后果不堪设想。
2校园网络安全防范策略
2.1主动发现软件漏洞,积极防治
每个系统都有漏洞,如何能快速简便地发现这些漏洞,对其进行修补,对于管理员来说是件非常重要而又困难的事情。漏洞扫描工具可以主动地查找出系统或程序中存在的漏洞、生成报告、分析并提出建议。只要管理员经常对系统进行漏洞扫描,将其作为一项常规的网络信息安全任务来对待,并时刻关注最新的安全技术和系统漏洞报告,及时对发现的漏洞进行处理,做到防患于未然。
2.2建立多层安全保障体系
2.2.1防火墙
防火墙是网络的第一道防线,是不同网络安全域间通信的唯一通道,虽然现在的防火墙功能已经很强大,但是必须强调防火墙仅仅是网络安全的开端,只有设置好防火墙的安全规则才能够有效减少网络安全风险。
2.2.2交换机
交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或死机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,管理员应根据不同型号的设备,采取有效的安全防范技术,净化局域网环境。
1)(锐捷)交换机配置访问控制列表(ACL)
【例如】只允许指定网络(192.168.*.*)的所有主机以HTTP访问服务器172.168.20.100。Switch(config)#ip access-list extended allow_to_database
Switch(config-std-nacl)#permit tcp 192.168.0.0 0.0.255.255 host 172.168.20.100 eq www 2)(锐捷)交换机配置广播风暴抑制
Switch (config-if)#no storm-control broadcast Switch (config-if)#no storm-control multicast Switch (config-if)# no storm-control unicast
3)(锐捷)交换机配置防攻击的系统保护(System Guard功能)
Switch(config-if-GigabitEthernet 0/1)#system-guard enable
Switch(config-if-GigabitEthernet 0/1)#system-guard isolate-time 600
Switch(config-if-GigabitEthernet 0/1)# system-guard same-dest-ip-attack-packets 100 Switch(config-if-GigabitEthernet 0/1)# system-guard scan-dest-ip-attack-packets 100 Switch(config-if-GigabitEthernet 0/1)#exit
Switch(config)#system-guard detect-maxnum 200
Switch(config)#system-guard exception-ip 192.168.1.1/24
同时,通过在交换机上划分VLAN,可以强化网络管理和网络安全,控制不必要的数据广播。随着VOD视频点播在课堂教学上的大量应用,广播包的数量也会急剧增加,当广播包的数量占到总量的30%时,网络的传输效率将会明显下降。特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致网络风暴,使网络通信陷于瘫痪。当校园网络内计算机数超过200台就有必要使用VLAN技术将网络分隔开来,将一个大的广播域划分成若干个小的广播域。
2.2.3服务器
1)关闭不必要的服务
服务器操作系统,在安装的时候,默认会启动一些不需要的服务,这样会占用系统的资源,而且也增加了系统的安全隐患。所以,在服务器管理的时候,应该把不必要的服务关闭。以Windows操作系统为例,通过“开始”→“管理工具”→“服务”来查看当前操作系统所开启的服务,双击列表界面中不需要的服务(如Server服务),打开服务属性设置界面,单击该界面中的“停止”按钮,并将对应服务的启动类型设置为“已禁用”,最后单击“确定”按钮即可。
2)关闭不必要的端口
俗话说“病从口入”,在计算机术语中“口”指的就是端口,而“病”就是病毒木马。端口是计算机与外部通信的途径。所以,只要服务器关闭了所有不使用的端口,就可以有效地减少病毒木马从网络入侵系统的可能,大大地提高服务器的安全系数。以Windows操作系统为例关闭“冲击波”病毒使用的139端口,操作如下:通过“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Windows设置”→“安全设置”,展开后可以找到“IP安全策略,在本地机器”。在“IP安全策略,在本地机器”上点右键,选择“创建IP安全策略”,出现“IP安全策略向导”。我们单击“下一步”,在“名称”处为这个安全策略指定一个名字,例如“病毒端口封杀策略”。继续单击“下一步”,去掉“激活默认响应规则”前面的钩。单击“完成”即可创建一条IP安全策略。此时新建的“病毒端口封杀策略”是没有筛选器的,需要对其进行设置,将筛选器添加进去。在“病毒端口封杀策略”上点右键→“属性”。在属性面板中将右下角的“使用‘添加向导’”前面的钩去掉。然后单击“添加”按钮添加新的规则,出现“新规则属性”面板,继续点击“添加”按钮,来到“IP筛选器列表”面板。在添加新的筛选器之前,同样需要将“使用‘添加向导’”选项前面的钩去掉。然后单击“添加”按钮,即可进行筛选器的创建。首先看“寻址”标签,在“源地址”中选择“任何IP地址”,在目标地址中选择“我的IP地址”。然后切换到“协议”标签,在“选择协议类型”下拉框中选择“TCP”,这表示对TCP端口有效。选中下方的“到此端口”,这里填上139,点击“确定”即可。如果要防范魔波病毒,只要按照同样方法再创建一条关闭445端口的筛选器,以此类推。筛选器创建完成后,返回“新规则属性”面板,此时在“IP筛选器列表”中可以发现一条“新IP筛选器列表”,这条列表就是刚才创建的筛选列表。将它选中使之激活,然后切换到“筛选器操作“标签,去掉“使用‘添加向导’”前面的钩。单击“添加”按钮,在“安全措施”标签中选择“阻止”。返回“新规则属性”面板,勾选其中的“新筛选器操作”,单击“关闭”按钮即可。最后,在“病毒端口封杀策略”上点右键,选择“指派”,指派成功后其状态会显示“是”。重新启动电脑,即可让设置的“IP安全策略”生效。
3)云查杀
未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。“云查杀”将安全引擎和病毒木马库放在服务器端,客户端不需要下载升级本地病毒库,客户端在作病毒扫描的时候与服务器端进行交互,这种方式可以实现更快的安全响应速度,更小的资源占用,更快的查杀速度。
2.3上网行为管理
上网行为管理就是通过各种技术手段监控、管制用户对互联网的使用,并对用户的上网行为予以跟踪,记录和审计。以深信服M5500-AC设备为例。设备可以通过网页过滤、关键词过滤、深度内容检测等多种控制功能,管控用户在学习或上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载、Email、FTP等,从而规范用户的上网行为;记录每一位用户所访问过的所有网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容以及各种搜索记录,QQ、MSN等聊天内容,控制所有Email邮件先审计、后发送,Webmail网页邮件内容全面记录(包括正文和附件),从而防止用户通过邮件、即时通讯软件、BBS等途径发布或传播不良信息;提供海量日志存储、丰富的报表功能,为组织决策提供最有效的数据支持。
2.4使用VPN技术实现远程访问接入
VPN通过加密数据、信息及身份认证和访问控制等技术保证信息的安全。加密技术可保证通过公共互联网传输的信息即使被截获也不会造成信息泄漏;信息认证和身份认证则保证信息的完整性,合法性;访问控制保证了不同用户具有不同的权限,某些资源只对特定的访问者的身份或网址开放。VPN实现对内部网的扩展,通过公共互联网为远程用户提供了与学校内部网之间可信的远程访问连接,并保证数据的安全传输。用户只要通过身份验证就如同置身校内一样,可以随时随地从校园外部方便地访问校园内部资源。
2.5使用RAID技术保障数据存储安全
采用RAID(独立磁盘冗余阵列)可以减少磁盘部件的损坏。RAID系统使用许多小容量磁盘驱动器来存储大量数据,并且使可靠性和冗余度得到增强。对计算机来说,这样一种阵列就如同由多个磁盘驱动器构成的一个逻辑单元。所有的RAID系统共同的特点是“热交换”能力:用户可以取出一个存在缺陷的驱动器,并插入一个新的予以更换。对大多数类型的RAID来说,不必中断服务器或系统,就可以自动重建某个出现故障的磁盘上的数据。RAID技术在服务器中的应用,应根据数据安全性、速度等性能要求、可扩展性要求,结合投资成本来综合考虑。目前常用的RAID方式有RAID1、RAID0、RAID5及RAID10。如果性能重要而数据不重要则选RAID0;如果数据重要而写性能不重要则选RAID1;如果两种都重要就可以考虑用RAID5或RAID10。
3结束语
校园网安全是一个动态发展过程,随着计算机技术的发展,新技术的不断涌现和使用,新的安全问题也不断涌现.校园网安全工作任重而道远。安全防范体系的建立不可能一劳永逸,只有对校园网安全的防范技术不断改进,才能保证安全防范体系的良性发展,确保校园网朝着健康、安全、高速的方向发展。
参考文献:
[1]叶丹.网络安全实用技术[M].北京:清华大学出版社,2011.
[2]吴东升.信息时代的个人安全策略[M].北京:科学出版社,2003.
[3]高伟善.数据通信与计算机网络[M].北京:高等教育出版社,2005.
