校园网安全隐患及其防护措施
- 格式:pdf
- 大小:267.42 KB
- 文档页数:3
收稿日期:2004—05—10基金项目:延安大学2003年专项科研基金资助(Y DK 2003-22)作者简介:张 成(1971—),男,硕士研究生,现任延安大学网络中心副主任,讲师,主要从事校园网建设与管理、计算机课程教学及网络应用研究等工作。
校园网安全隐患及其防护措施张 成 张俊兰 黄 协(延安大学,延安716000)〔摘 要〕 信息化的高速进展,使校园网的安全显得特别重要,本文从管理与技术相结合的高度,对校园网存在的安全隐患和漏洞进行了比较系统的分析,给出了一个实用的校园网安全防护措施,提出了社会工程学对网络安全的影响也应引起人们的足够重视。
〔关键词〕 校园网;安全隐患;防护措施〔Abstract 〕 With the rapid development of in formationization ,the safety of cam pus net becomes particularly im portant.This article makes an in 2depth analysis of the danger to and flaws in the cam pus net from the standpoint of administration and techniques ,and suggests practical measures.At the same time ,the paper urges people to pay m ore attention to the in fluence of s ocial project study on netw ork safety.〔K ey w ords 〕 cam pus net ;hidden danger to safety ;protective measures 〔中图分类号〕TP393118 〔文献标识码〕C 〔文章编号〕1008-0821(2004)10-0050-03 校园网作为服务于学校教育、科研和行政管理的计算机信息网络,与CERNET 、Internet 互联,实现了校园内计算机连网、信息资源共享。
现今社会已进入了信息化的时代,而要实现信息化,首先要实现网络化,网络是信息资源得以利用的基础。
但由于网络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及网络边界的不可知性,必然存在众多潜在的安全隐患。
随着Internet 在商业活动中重要性的不断增长,网络攻击同时也在不断增加,已经发生的网络安全事件让人们不得不冷静地思考网络的安全价值,网络安全已成为网络的生存之本。
1 网络安全及其领域网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改和泄露,系统连续可靠正常地运行,网络服务不中断。
从本质上讲网络安全就是网络上信息的安全。
广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全的具体含义会随着“角度”的变化而变化。
网络安全涉及到通信和网络、密码学、芯片、操作系统、数据库等多方面技术。
目前的网络安全产品,可分为:3A 类产品、安全操作系统、安全隔离与信息交换系统、安全WE B 、反病毒产品、I DS 和弱点评估产品、防火墙、VPN 、保密机、PKI 等。
其中,防火墙是网络安全的第一道屏障,所占市场最大,安全技术也比较成熟。
2 校园网存在的安全隐患和漏洞211 黑客攻击 有的校园网同时与CERNET 、Internet 相连,有的通过CERNET 与Internet 相连,在享受Internet 方便快捷的同时,也面临着遭遇攻击的风险。
黑客攻击活动日益猖獗,成为当今社会关注的焦点。
典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。
黑客攻击不仅来自校园网外部,还有相当一部分来自校园网内部,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。
212 BUG 影响目前使用的软件尤其是操作系统或多或少都存在安全漏洞,对网络安全构成了威胁。
现在网络服务器安装的操作系统有UNIX 、Windows NT Π2000、Linux 等,这些系统安全风险级别不同,UNIX 因其技术较复杂通常会导致一些高级黑客对其进行攻击;而Windows NT Π2000操作系统由于得到了广泛的普及,加上其自身安全漏洞较多,因此,导致它成为较不安全的操作系统。
在去年一段时期、冲击波病毒比较盛行,冲击波”这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows 用户,使他们的计算机无法工作并反复重启,该病毒还引发了D oS (Denial of service )攻击,使多个国家的互联网也受到相当影响。
213 不良信息传播在校园网接入Internet 后,师生都可以通过校园网络进入Internet 。
目前Internet 上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对人生观、世界观正在形成中的学生危害非常大。
特别是中小学生,由于年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行安全措施,势必会导致这些信息在校园内传播,侵蚀学生的心灵。
—05—现代情报2004年10月第10期October 12004N o .10■信息化与网络建设214 病毒危害学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方便,下载的程序、电子邮件都可能带有病毒。
随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,这些节点大都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。
215 设备物理安全设备物理安全主要是指对网络硬件设备的破坏。
网络设备包括服务器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。
个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校园网络全部或部分瘫痪。
216 设备配置安全设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等),防止黑客取得硬件设备的控制权。
许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单易猜,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备的配置,严重时甚至会导致整个校园网络瘫痪。
217 管理漏洞一个健全的安全体系,实际上应该体现的是“三分技术、七分管理”,网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的,更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度,尤其重要的是加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比较了解,若不加强管理,一但有人出于某种目的破坏网络,后果将不堪设想。
IP地址盗用、滥用是校园网必须加强管理的方面,特别是学生区、机房等。
IP配置不当也会造成部分区域网络不通。
如在学生学习机房,有学生不甚将自己的计算机的IP地址设成本网段的网关地址,这会导致整个学生机房无法正常访问外网。
3 校园网安全防护措施311 安装配置防火墙“防火墙”是由软件和硬件设备组合而成的计算机网络安全防护设备,设置防火墙是保护内部网络免于外部网络侵扰的重要措施。
防火墙虽然能防范黑客攻击,但防火墙≠安全。
在Internet与校园网内网之间部署一台防火墙,就在内外网之间建立了一道牢固的安全屏障,其中WWW、E -mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Cernet、Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问和破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生在网络中的安全事件进行跟踪和审计。
建立内网计算机的IP地址和M AC地址的对应表,防止IP地址被盗用;定期查看防火墙访问日志,以及时发现攻击行为和不良的上网记录。
312 内容检测另外,还有许多问题,仅靠防火墙是解决不了的。
如为了控制不良信息的传播,在校园网中需要安装网络行为管理系统,来保障网络信息的健康安全。
现在的内容检测软件,功能趋于成熟,可以对邮件收发、网页浏览、文件下载、远程登陆、文件共享等多种网络常见应用进行精细化审计;可监测服务器异常开放的陌生端口,有效发现系统中的异常的服务;并绘制出直观的流量曲线图。
通过内容检测系统,可以有效地防止对反政府、犯罪、邪教及黄、赌、毒等不良网站的访问,防止学校的对外形象受到影响,使学校免于受到刑事牵连。
此类产品主要有,网盾网络行为管理系统(E NM),复旦光华S Audit网络入侵检测与安全审计系统,绿信互联网访问管理系统(AR22000)。
313 建立账号和密码管理机制账号和密码保护可以说是系统的第一道防线,目前网上大部分对系统的攻击都是从截获或猜测密码开始的,因此对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
为保证口令安全,系统管理员密码的位数一定要多,至少应该在8位以上,不要用姓名、生日、电话号码、常用单词等作为口令,在口令中混合使用大小写字母并将数字、符号等引入口令中来,定期修改口令,避免重复使用旧口令等。
对于普通用户,设置一定的账号管理策略,如强制用户每个月更改一次密码。
对于一些不常用的账户要关闭,比如匿名登录账号。
314 及时安装软件补丁程序软件系统的安全问题是最多的,也是最复杂的。
任何软件都有漏洞,作为网络系统管理员就有责任及时地将“补丁”打上。
大部分校园网服务器使用的是微软的Win2 dows NTΠ2000操作系统,因为使用的人特别多,所以发现的Bug也特别多,同时,蓄意攻击的人也就特别多。
微软公司为了弥补操作系统的安全漏洞,在其网站上提供了许多补丁,网络系统管理员要经常浏览这些官方网站下载并安装相关补丁修补程序及各种升级包。
315 关闭不必要的端口和服务服务器操作系统在安装的时候,会启动一些不需要的服务,这样不但占用系统资源,而且增加了系统的安全隐患。
停止运行服务器上不必要的服务,关闭不必要的端口,防止有人利用这些服务和端口进行非法操作。
316 安装网络杀毒软件现在网络上的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播,目前,大多数反病毒厂商(如赛门铁克、瑞星、冠群金辰、趋势、熊猫等)都已经推出了网络版的杀毒软件;同时,在网络版的杀毒软件使用中,必须要定期或及时升级杀毒软件的引擎、病毒库。