高校校園網(wǎng)絡(luò)安全隱患及對(duì)策探討

高校校園網(wǎng)絡(luò)平安隱患及對(duì)策討論

【摘要】建立平安、有效的校園網(wǎng)絡(luò)平安體系,才能保證高校教學(xué)與科研工作的順利進(jìn)展。本文通過(guò)對(duì)校園網(wǎng)平安隱患進(jìn)展分析,討論校園網(wǎng)的平安防護(hù)問(wèn)題,并提出建議和解決措施。【關(guān)鍵詞】校園網(wǎng)絡(luò)隱患平安管理對(duì)策互聯(lián)網(wǎng)起源于1969年的ARPANet最初用于軍事目的,1993年開(kāi)場(chǎng)應(yīng)用于商業(yè)?，F(xiàn)今隨著計(jì)算機(jī)技術(shù)的廣泛開(kāi)展,計(jì)算機(jī)應(yīng)用領(lǐng)域不斷擴(kuò)大,特別是在教育機(jī)構(gòu),校園網(wǎng)成為教學(xué)、辦公科研、資源共享的重要工具。校園網(wǎng)帶來(lái)方便的同時(shí),網(wǎng)絡(luò)本身的開(kāi)放、共享、廣泛、復(fù)雜性也帶來(lái)了一系列令人擔(dān)憂(yōu)的問(wèn)題,網(wǎng)絡(luò)平安已經(jīng)被提到了重要日程。無(wú)論我們是否愿意成認(rèn),只要連接了Internet,都是容易受攻擊的。因此在網(wǎng)絡(luò)本身的開(kāi)放性、共享性的前提下,如何保證校園網(wǎng)絡(luò)的平安性,以抵抗入侵、防范網(wǎng)絡(luò)攻擊等,成為目前校園網(wǎng)絡(luò)建立健全的關(guān)鍵。1平安隱患近幾年來(lái),隨著高校規(guī)模的不斷擴(kuò)大,新校區(qū)或者合并校區(qū)的擴(kuò)建,高校校園網(wǎng)普遍存在網(wǎng)絡(luò)規(guī)模較大,上網(wǎng)地點(diǎn)較分散,網(wǎng)絡(luò)監(jiān)管困難,上網(wǎng)行為不夠標(biāo)準(zhǔn)等現(xiàn)象,因此加大了校園網(wǎng)絡(luò)在使用過(guò)程中的平安隱患。1.1網(wǎng)絡(luò)自身的平安缺陷網(wǎng)絡(luò)是一個(gè)開(kāi)放的環(huán)境,TP/IP是一個(gè)通用的協(xié)議,即通過(guò)IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí),基于IP地址進(jìn)展多用戶(hù)的認(rèn)證和受權(quán),并根據(jù)IP包中源IP地址判斷數(shù)據(jù)的真實(shí)和平安性,但該協(xié)議的最大缺點(diǎn)就是缺乏對(duì)IP地址的保護(hù),缺乏對(duì)源IP地址真實(shí)性的認(rèn)證機(jī)制,這就是TP/IP協(xié)議不平安的根本所在。通過(guò)TP/IP協(xié)議缺陷進(jìn)展的常見(jiàn)攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協(xié)議攻擊、SYN攻擊等等。1.2網(wǎng)絡(luò)構(gòu)造、配置、物理設(shè)備不平安最初的互聯(lián)網(wǎng)只是用于少數(shù)可信的用戶(hù)群體,因此設(shè)計(jì)時(shí)沒(méi)有充分考慮平安威脅,互聯(lián)網(wǎng)和所連接的計(jì)算機(jī)系統(tǒng)在實(shí)現(xiàn)階段也留下了大量的平安破綻。并且網(wǎng)絡(luò)使用中由于所連接的計(jì)算機(jī)硬件多,一些廠商可能將未經(jīng)嚴(yán)格測(cè)試的產(chǎn)品推向市場(chǎng),留下大量平安隱患。同時(shí),由于操作人員技術(shù)程度有限,所以在網(wǎng)絡(luò)系統(tǒng)維護(hù)階段會(huì)產(chǎn)生某些平安破綻,盡管某些系統(tǒng)提供了一些平安機(jī)制,但由于種種原因使這些平安機(jī)制沒(méi)有發(fā)揮其作用。1.3內(nèi)部用戶(hù)的平安威脅系統(tǒng)內(nèi)部人員存心攻擊、惡作劇或無(wú)心之失等原因?qū)W(wǎng)絡(luò)進(jìn)展破壞或攻擊的行為,將會(huì)給網(wǎng)絡(luò)信息系統(tǒng)帶來(lái)更加難以意料的重大損失。U盤(pán)、挪動(dòng)硬盤(pán)等挪動(dòng)介質(zhì)穿插使用和在聯(lián)接互聯(lián)網(wǎng)的電腦上使用,造成病毒穿插感染等等,都會(huì)給校園網(wǎng)絡(luò)帶來(lái)較大的平安威脅。特別是近年來(lái)利用ARP協(xié)議破綻進(jìn)展竊聽(tīng)、流量分析、DNS劫持、資源非受權(quán)使用、植入木馬病毒不斷增加,嚴(yán)重影響了網(wǎng)絡(luò)平安。1.4軟件的破綻一般認(rèn)為,軟件中的破綻和軟件的規(guī)模成正比,軟件越復(fù)雜其破綻也就越多。在網(wǎng)絡(luò)系統(tǒng)運(yùn)行過(guò)程中,由于操作系統(tǒng)自身不夠完善,針對(duì)系統(tǒng)破綻本身的攻擊較多,且影響也較嚴(yán)重。再加之,目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目的。1.5病毒的傳播網(wǎng)絡(luò)的開(kāi)展使資源的共享更加方便,挪動(dòng)設(shè)備使資源利用顯著進(jìn)步,但卻帶來(lái)病毒泛濫、網(wǎng)絡(luò)性能急劇下降,許多重要的數(shù)據(jù)因此受到破壞或喪失,也就是說(shuō),網(wǎng)絡(luò)在提供方便的同時(shí),也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼〞、“尼姆達(dá)〞、“沖擊波〞、“震蕩波〞、“歡樂(lè)光陰〞、“熊貓燒香〞的爆發(fā)無(wú)不使成千上萬(wàn)的用戶(hù)受到影響,再加之,近幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因此網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻。1.6各種非法入侵和攻擊由于校園網(wǎng)接入點(diǎn)較多,擁有眾多的公共資源,并且使用者平安意識(shí)淡薄,平安防護(hù)比擬薄弱,使得校園網(wǎng)成為易受攻擊的目的。非法入侵者有目的的破壞信息的有效性和完好性,竊取數(shù)據(jù),非法搶占系統(tǒng)控制權(quán)、占用系統(tǒng)資源。比方:破綻、薄弱點(diǎn)掃描,口令破解;非受權(quán)訪問(wèn)或在非受權(quán)和不能監(jiān)測(cè)的方式下對(duì)數(shù)據(jù)進(jìn)展修改;通過(guò)網(wǎng)絡(luò)傳播病毒或惡意腳本,干擾用戶(hù)正常使用或者占用過(guò)多的系統(tǒng)資源導(dǎo)致受權(quán)的用戶(hù)不能獲得應(yīng)有的訪問(wèn)或操作被延遲產(chǎn)生了回絕效勞等。2校園網(wǎng)平安管理和維護(hù)的措施與建議通過(guò)以上平安缺陷分析,校園網(wǎng)絡(luò)平安的形式仍然非常嚴(yán)峻。制定整體的平安部署解決平安隱患和破綻,是校園網(wǎng)平安、安康運(yùn)行的保障。2.1裝備高性能的防火墻產(chǎn)品防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間的一系列部件的組合。一般來(lái)說(shuō),防火墻設(shè)置在可信賴(lài)的內(nèi)部網(wǎng)絡(luò)和不可信賴(lài)的外部網(wǎng)絡(luò)之間。防火墻相當(dāng)于分析器,可用來(lái)監(jiān)視或回絕應(yīng)用層的通信業(yè)務(wù),防火墻也可以在網(wǎng)絡(luò)層和傳輸層運(yùn)行,根據(jù)預(yù)先設(shè)計(jì)的報(bào)文分組過(guò)濾規(guī)那么來(lái)回絕或允許報(bào)文分組通過(guò)。所以對(duì)防火墻作好平安設(shè)置,設(shè)定恰當(dāng)?shù)脑L問(wèn)控制策略,保障網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。2.2網(wǎng)絡(luò)設(shè)計(jì)、使用更合理化在網(wǎng)絡(luò)設(shè)計(jì)之初,需要理解終端設(shè)備平安事件對(duì)網(wǎng)絡(luò)的影響,確定需要采取的平安措施,通過(guò)身份驗(yàn)證的設(shè)備訪問(wèn)網(wǎng)絡(luò),防范未經(jīng)受權(quán)的接觸,讓入侵者難以進(jìn)入。這樣網(wǎng)絡(luò)才能提供可預(yù)測(cè)、可衡量、有保證的平安效勞。

2.3軟件破綻修復(fù)在校園網(wǎng)絡(luò)系統(tǒng)運(yùn)行過(guò)程中,一方面對(duì)用戶(hù)進(jìn)展分類(lèi),劃分不同的用戶(hù)等級(jí),規(guī)定不同的用戶(hù)權(quán)限;另一方面對(duì)資源進(jìn)展區(qū)分,劃分不同的共享級(jí)別,例如:只讀、平安控制、備份等等。同時(shí),給不同的用戶(hù)分配不同的帳戶(hù)、密碼,規(guī)定密碼的有效期,對(duì)其進(jìn)展動(dòng)態(tài)的分配和修改,保證密碼的有效性;配合防火墻使用的情況下,對(duì)一些IP地址進(jìn)展過(guò)濾,以防止惡意破壞者入侵;建立補(bǔ)丁更新效勞器,部署全局更新機(jī)制,實(shí)時(shí)、高效更新軟件破綻。2.4防殺毒軟件系統(tǒng)在互聯(lián)網(wǎng)技術(shù)飛速開(kāi)展的今天,病毒以每年兩千種新病毒的速度遞增。在校園網(wǎng)中使用帶防火墻的企業(yè)版殺毒軟件,就能對(duì)整個(gè)校園網(wǎng)絡(luò)的起到平安防護(hù)的作用,使計(jì)算機(jī)免受病毒入侵。2.5裝備入侵檢測(cè)系統(tǒng)(IDS)并建立蜜罐陷阱系統(tǒng)入侵檢測(cè)就是對(duì)入侵行為的檢測(cè),通過(guò)搜集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中假設(shè)干關(guān)鍵點(diǎn)的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違背平安策略的行為和被攻擊的跡象,而蜜罐的目的在于吸引攻擊者、然后記錄下一舉一動(dòng)的計(jì)算機(jī)系統(tǒng),攻擊者入侵后,可以隨時(shí)理解其針對(duì)效勞器發(fā)出的最新的攻擊和破綻,這樣系統(tǒng)就可以及時(shí)、有針對(duì)性的防范攻擊和修復(fù)破綻。2.6系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估互聯(lián)網(wǎng)的不平安因素?zé)o時(shí)無(wú)刻的威脅著網(wǎng)絡(luò)平安,只有在網(wǎng)絡(luò)系統(tǒng)所面臨的風(fēng)險(xiǎn)進(jìn)展了有效評(píng)估的根底上,才能掌握網(wǎng)絡(luò)平安中存在的破綻和威脅,從而采取有效措施控制網(wǎng)絡(luò)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估過(guò)程是一個(gè)動(dòng)態(tài)循環(huán)的,因此必須進(jìn)展周期性、長(zhǎng)期的評(píng)估。2.7災(zāi)難恢復(fù)方案1996年報(bào)道的網(wǎng)絡(luò)攻擊方式只有400種,1998年到達(dá)4000種。ERT/公布的破綻數(shù)據(jù)為,2000年1090個(gè),2002年已經(jīng)增加至4129個(gè)?？梢韵胂?對(duì)管理員來(lái)說(shuō)要跟上補(bǔ)丁的步伐是很困難的。而且,入侵者往往可以在軟件廠商修補(bǔ)這些破綻之前首先發(fā)現(xiàn)這些破綻。尤其是緩沖區(qū)溢出類(lèi)型的破綻,其危害性非常大而又無(wú)處不在,是計(jì)算機(jī)平安的最大的威脅。我們無(wú)論怎么想方法都不可能防止災(zāi)難的發(fā)生,但為了使災(zāi)難發(fā)生造成的損失減到最小,就應(yīng)該在災(zāi)難發(fā)生之前建立意外事件方案,記錄各種災(zāi)難發(fā)生所產(chǎn)生的影響,并為此作出相應(yīng)的應(yīng)對(duì)措施。2.8加強(qiáng)管理隨著網(wǎng)絡(luò)技術(shù)的迅速開(kāi)展、應(yīng)用領(lǐng)域的廣泛性以及用戶(hù)對(duì)網(wǎng)絡(luò)的理解程度加深,惡意破壞者或者非法入侵者對(duì)網(wǎng)絡(luò)平安的影響會(huì)越來(lái)越大,這就使得網(wǎng)絡(luò)平安管理工作任務(wù)更加艱巨而重要。因此,在網(wǎng)絡(luò)平安管理工作中必須做到及時(shí)進(jìn)展破綻的修補(bǔ)和日志的查看,保證網(wǎng)絡(luò)的穩(wěn)定性。另外,高校也應(yīng)該公布網(wǎng)絡(luò)行為的相關(guān)標(biāo)準(zhǔn)和處分條例,這樣才能更有效的控制和減少來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的平安隱患。3完畢語(yǔ)網(wǎng)絡(luò)技術(shù)的普及,使人們對(duì)網(wǎng)絡(luò)的依賴(lài)程度加大,對(duì)網(wǎng)絡(luò)的破