校园网安全隐患及其防护措施

  • 格式:docx
  • 大小:19.58 KB
  • 文档页数:7

校园网安全隐患及其防护措施 信息化的高速进展,使校园网的安全显得特别重要,本文从管理与技术相结合 的高度,对校园网存在的安全隐患和漏洞进行了比较系统的分析 ,给出了一个实用 的校园网安全防护措施,提出了社会工程学对网络安全的影响也应引起人们的足 够重视

信息化的高速进展,使校园网的安全显得特别重要,本文从管理与技术相结合 的高度,对校园网存在的安全隐患和漏洞进行了比较系统的分析 ,给出了一个实用 的校园网安全防护措施,提出了社会工程学对网络安全的影响也应引起人们的足 够重视。

校园网作为服务于学校教育、科研和行政管理的计算机信息网络,与CERNET

In ternet 互联,实现了校园内计算机连网、信息资源共享。现今社会已进入了信 息化的时代,而要实现信息化,首先要实现网络化,网络是信息资源得以利用的基 础。但由于网络的开放性、资源的共享性、联结形式的多样性、终端分布的不均 匀性以及网络边界的不可知性,必然存在众多潜在的安全隐患。随着In ternet在

商业活动中重要性的不断增长,网络攻击同时也在不断增加,已经发生的网络安全 事件让人们不得不冷静地思考网络的安全价值,网络安全已成为网络的生存之本。

、网络安全及其领域 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的 或者恶意的原因而遭到破坏、更改和泄露,系统连续可靠正常地运行,网络服务不 中断。从本质上讲网络安全就是网络上信息的安全。 广义来说,凡是涉及网络上信 息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全 的研究领域。网络安全的具体含义会随着“角度”的变化而变化。网络安全涉及 到通信和网络、密码学、芯片、操作系统、数据库等多方面技术。目前的网络安 全产品,可分为:3A类产品、安全操作系统、安全隔离与信息交换系统、安全WEB 反病毒产、

品、IDS和弱点评估产品、防火墙、VPN保密机、PKI等。其中,防火墙是网 络安全的第一道屏障,所占市场最大,安全技术也比较成熟。

、校园网存在的安全隐患和漏洞 2.1黑客攻击 有的校园网同时与 CERNETInternet 相连,有的通过CERNE与Internet 相 连,在享受In ternet方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日

益猖獗,成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、 拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来 自校园网外部,还有相当一部分来自校园网内部,由于内部用户对网络的结构和应 用模式都比较了解,因此来自内部的安全威胁会更大一些。

2.2 BUG影响 目前使用的软件尤其是操作系统或多或少都存在安全漏洞 ,对网络安全构成

这些系统安全风险级别不同,UNIX因其技术较复杂通常会导致一些高级黑客对其 进行攻击;而Windows NTP200(操作系统由于得到了广泛的普及,加上其自身安全

漏洞较多,因此,导致它成为较不安全的操作系统。在去年一段时期、冲击波病毒 比较盛行,冲击波”这个利用微软 RPC漏洞进行传播的蠕虫病毒至少攻击了全球

80%的Windows用户,使他们的计算机无法工作并反复重启 ,该病毒还引发了 DoS(Denial of service) 攻击,使多个国家的互联网也受到相当影响。 2.3不良信息传播 在校园网接入In ternet 后,师生都可以通过校园网络进入 In ternet。目前 In ternet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法 律法规,对人生观、世界观正在形成中的学生危害非常大。特别是中小学生 ,由于 年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行安全措施,势必会导 致这些信息在校园内传播,侵蚀学生的心灵。

2.4病毒危害 学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方 便,下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及,

接入校园网的节点数

日益增多,这些节点大都没有采取安全防护措施,随时有可能造成病毒泛滥、 信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。 2.5设备物理安全 设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换

了威胁。现在网络服务器安装的操作系统有 UNIX Windows NTP2000 Linux 等, 机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困 难。个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校园网络全部 或部分瘫痪。

2.6设备配置安全 设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火 墙、路由器的密码等),防止黑客取得硬件设备的控制权。许多网管往往由于没有 在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过 于简单易猜,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取 得对服务器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设 备的配置,

严重时甚至会导致整个校园网络瘫痪。

2.7管理漏洞 一个健全的安全体系,实际上应该体现的是“三分技术、七分管理”,网络的 整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的 ,更重要的是 体现在对人、对设备的安全管理以及一套行之有效的安全管理制度,尤其重要的是 加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比较了解,若 不加强管理,一但有人出于某种目的破坏网络,后果将不堪设想。IP地址盗用、滥 用是校园网必须加强管理的方面,特别是学生区、机房等。IP配置不当也会造成 部分区域网络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设 成本网段的网关地址,这会导致整个学生机房无法正常访问外网。

三、校园网安全防护措施 3.1安装配置防火墙 “防火墙”是由软件和硬件设备组合而成的计算机网络安全防护设备,设置防 火墙是保护内部网络免于外部网络侵扰的重要措施。防火墙虽然能防范黑客攻击, 但防火墙工安全。在In ternet与校园网内网之间部署一台防火墙,就在内外网之

间建立了一道牢固的安全屏障,其中WW、E-mail、FTP DNS!务器连接在防火墙 的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由 器与Cernet、In ternet连接。这样,通过In ternet 进来的外网用户只能访问到对 外公开的一些服务(如WW、E-mail、FTP DNS等),既保护内网资源不被外部非授

权用户非法访问和破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生 在网络中的安全事件进行跟踪和审计。建立内网计算机的IP地址和MAC地址的对 应表,

防止IP地址被盗用;定期查看防火墙访问日志,以及时发现攻击行为和不良 的上网记录。

3.2内容检测 另外,还有许多问题,仅靠防火墙是解决不了的。如为了控制不良信息的传播,

在校园网中需要安装网络行为管理系统,来保障网络信息的健康安全。现在的内容 检测软件,功能趋于成熟,可以对邮件收发、网页浏览、文件下载、远程登陆、文 件共享等多种网络常见应用进行精细化审计;可监测服务器异常开放的陌生端口 ,

有效发现系统中的异常的服务;并绘制出直观的流量曲线图。通过内容检测系统 可以有效地防止对反政府、 犯罪、邪教及黄、赌、毒等不良网站的访问,防止学校 的对外形象受到影响,使学校免于受到刑事牵连。此类产品主要有,网盾网络行为 管理系统(ENM),复旦光华S.Audit网络入侵检测与安全审计系统,绿信互联网访 问管理系统(AR22000)。

3.3建立账号和密码管理机制 账号和密码保护可以说是系统的第一道防线,目前网上大部分对系统的攻击 都是从截获或猜测密码开始的,因此对服务器系统管理员的账号和密码进行管理 是保证系统安全非常重要的

措施。为保证口令安全,系统管理员密码的位数一定要多,至少应该在8位以 上,不要用姓名、生日、电话号码、常用单词等作为口令 ,在口令中混合使用大小

写字母并将数字、符号等引入口令中来,定期修改口令,避免重复使用旧口令等。 对于普通用户,设置一定的账号管理策略,如强制用户每个月更改一次密码。对于 一些不常用的账户要关闭,比如匿名登录账号。

3.4及时安装软件补丁程序 软件系统的安全问题是最多的,也是最复杂的。任何软件都有漏洞,作为网络 系统管理员就有责任及时地将“补丁”打上。大部分校园网服务器使用的是微软 的Win2dows NTP200(操作系统,因为使用的人特别多,所以发现的Bug也特别多,

同时,蓄意攻击的人也就特别多。微软公司为了弥补操作系统的安全漏洞 ,在其网 站上提供了许多补丁,网络系统管理员要经常浏览这些官方网站下载并安装相关 补丁修补程序及各种升级包。 3.5关闭不必要的端口和服务 服务器操作系统在安装的时候,会启动一些不需要的服务,这样不但占用系统 资源,而且增加了系统的安全隐患。停止运行服务器上不必要的服务 ,关闭不必要 的端口,防止有人利用这些服务和端口进行非法操作。 3.6安装网络杀毒软件 现在网络上的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软 件来控制病毒的传播,目前,大多数反病毒厂商(如赛门铁克、瑞星、冠群金辰、趋 势、熊猫等)都已经推出了网络版的杀毒软件;同时,在网络版的杀毒软件使用中, 必须要定期或及时升级杀毒软件的引擎、病毒库。

3.7划分子网 运用VLAN技术将网络按功能划分成若干个子网,是一个加强内部网络管理的 有效手段。可以通过访问策略进行合理的限制,比如划分学生子网和教师子网,使 学生不能直接访问专属

教师的内容。对于一些安全性要求比较高的部门,必要时还需要进行物理隔 离。 3.8定期检测服务器系统 通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登 录的时间、使用的账号、进行的活动等。日志程序要定期生成报表,对报表进行分 析,

你可以知道是否有异常现象。为防止不能预料的系统故障或用户不小心的非法 操作,

必须对系统进行安全备份。

3.9综合管理 综合安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施, 网络的安全需要组织、技术两方面的措施来保证。为数不少的学生对网络技术非 常感兴趣,有些水平还非常高,只靠“防”和“堵”是不行的,应该引导学生将网络 技术运用到校园网的安全建设,从而既满足了学生的表现欲望,又保障了校园网的 安全。仅有正确的引导是不够的,还会有个别学生越轨,这时候就需要制定一整套 的规章制度来约束个别学生的行为。有效的使用网管软件对分散安装的设备进行 实时检测,以便及时发生问题进行处理。一定要建立一套校园网络安全管理模式 制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的