校園網(wǎng)絡安全問題與對策

1、校園網(wǎng)絡安全問題與對策隨著教育信息化的 發(fā)展,計算機校園網(wǎng) 絡系統(tǒng)成為學校重要的 現(xiàn)代化基 礎設施, 為學校建設提供安全、可靠、快捷的網(wǎng) 絡環(huán)境,學校的學生思想教育、教學、科研、管 理等對網(wǎng)絡的依賴將越來越 緊密。校園網(wǎng)的安全狀況直接影響到 這些活動的順利進 行,因此,保障校園網(wǎng) 絡信息安全已 經成為當前各校網(wǎng) 絡建設中不可忽 視的首要 問 題。校園網(wǎng)網(wǎng) 絡安全問題分析校園網(wǎng)具有速度快、規(guī)模大,計算機系統(tǒng)管理復雜,隨著其應用的深入 ,校園網(wǎng)絡 的安全 問題也逐 漸突出,直接影響著學校的教學、管理、科研活 動。因此,在全面了解 校園網(wǎng)的安全 現(xiàn)狀基礎上,合理構建安全體系 結構,改善網(wǎng) 絡應用環(huán)境

2、的工作迫在眉 睫。當前,校園網(wǎng)網(wǎng) 絡常見的安全 隱患有以下幾種。1.1計算機系 統(tǒng)漏洞。目前,校園網(wǎng)中被廣泛使用的網(wǎng) 絡操作系 統(tǒng)主要是 WINDO WS,存在各種各樣的安全問題,服務器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都存在 大量安全漏洞。而且隨著 時間的推移,將會有更多漏洞被人 發(fā)現(xiàn)并利用。許多新型 計 算機病毒都是利用操作系 統(tǒng)的漏洞進行傳染,如不對操作系統(tǒng)進行及時更新,這些漏 洞就是一個個安全 隱患。1.2計算機病毒的破壞。計算機病毒影響 計算機系統(tǒng)的正常運行、破壞系 統(tǒng)軟件 和文件系統(tǒng)、使網(wǎng)絡效率下降、甚至造成計算機和網(wǎng)絡系統(tǒng)的癱瘓,是影響校園網(wǎng) 絡 安全的主要因素。 計算機

3、病毒具有以下特點 :一是攻 擊隱蔽性強;二是繁殖能力 強;三 是傳染途徑廣;四是潛伏期長;五是破壞力大。如ARP欺騙病毒、熊貓燒香病毒,網(wǎng)絡 執(zhí)行官、網(wǎng)絡特工、 ARPKILLER 、灰鴿子等木 馬病毒,表現(xiàn)為集體掉線、部分掉線、 單機掉線、游戲帳號、QQ帳號、網(wǎng)上銀行卡等帳號和密碼被盜等等，嚴重威脅了校園 網(wǎng)絡的正常使用。1.3來自網(wǎng)絡外部的入侵、攻擊等惡意破壞行為。校園網(wǎng)與In ternet相連，在享受In terne方便快捷的同時,也面臨著遭遇攻擊的風險。黑客也經常利用網(wǎng)絡攻擊校園網(wǎng) 的服務器,以竊取一些重要信息。目前在因特網(wǎng)上 ,可以自由下 載很多攻 擊工具,這類 攻擊工具設置簡單、使

4、用方便,破壞力大,這意味著攻擊所需要的技 術門檻大大降低。 因此,一個技 術平平的普通攻 擊者很可能就是 對網(wǎng)絡系統(tǒng)造成巨大危害的黑客。1.4校園網(wǎng)內部的攻 擊。校園網(wǎng)是廣大 師生進 行教學與科研活 動的主要平臺 ,由 于學校部分 師生對網(wǎng)絡知識很感興趣,具有一定的知 識水平,對內部網(wǎng) 絡的結構和應 用模式又比 較了解 ,攻擊校園網(wǎng)就成了他 們表現(xiàn)自己的能力 ,實踐自己所學知 識的首 選 ,經常有意無意的攻 擊 校園網(wǎng)系 統(tǒng),干擾校園網(wǎng)的安全運行。1.5校園網(wǎng)用戶對網(wǎng)絡資源的濫用。實際上有相當一部分的In ternet訪問是與工 作無關的 ,有人利用校園網(wǎng) 資源進行商 業(yè)的或免 費的視頻、軟件

5、資源下載服務,甚至 有的是去訪問色情、暴力、反動站點,導致大量非法內容或垃圾 郵件出入,占用了大量 珍貴的網(wǎng)絡帶寬，In ternet資源嚴重被浪費,造成流量堵塞、上網(wǎng)速度慢等 問題,而且不 良信息內容也極大地危害青少年學生的身心健康。1.6非正常途徑 訪問 或內部破壞。在學校中 ,有人為了報復而銷毀 或篡改人事檔 案記錄;有人私自改 變程序設置,引起系 統(tǒng)混亂;有人越權處理公務,為了個人私利竊 取機密數(shù)據(jù) ;一些學生通 過非正常的手段 獲取習題的答案或者在考 試前獲得考試內 容,使正常的教學 練習失去意 義。這些行為都嚴重地破壞了學校的管理秩序。1.7網(wǎng)絡硬件設備受損。校園網(wǎng)絡涉及硬件的 設

6、備分布在整個校園內 ,管理起來 有一定的 難度,暴露在外面的 設施,都有可能遭到有意或無意地 損壞,這樣可能會造成 校園網(wǎng) 絡全部或部分 癱瘓的嚴重后果。1.8校園網(wǎng)安全管理有缺陷。隨著校園內 計算機 應用的大范 圍普及 ,接入校園網(wǎng) 的計算機日益增多 ,如果管理措施不力 ,隨時有可能造成病毒 傳播泛 濫、信息丟失、數(shù) 據(jù)損壞、網(wǎng)絡被攻擊、系統(tǒng)癱瘓 等嚴重后果。校園 計算機網(wǎng) 絡建設普遍存在重 視硬件投入 ,忽視軟件投 資 ;重運行,輕管理的現(xiàn)象。主要表現(xiàn)為對網(wǎng)絡安全的認識不足,將網(wǎng)絡系統(tǒng)作為一項 純 技術工程來實施,沒有一套完善的安全管理方案 ;網(wǎng)絡系統(tǒng)管理員只將精力集中于IP 的申請分配和

7、開通、帳戶的維護、各服務器上應用系統(tǒng)日常維護、系統(tǒng)日志的 審查和 網(wǎng)絡規(guī)范的設計及調整上,而很少去研究網(wǎng) 絡安全狀 態(tài)的發(fā)展變化、入侵手段、防范 措施、安全機制等。造成這些現(xiàn)狀的原因2.1網(wǎng)絡安全維護的投入不足。網(wǎng)絡安全維護的工作量是很大的 ,并且很困 難,需 要一定的人力、物力 ,然而大多數(shù)學校在校園網(wǎng)上的 設備投入和人 員投入很不充足 , 有限的經費也往往主要用在網(wǎng) 絡設備購置上,對于網(wǎng)絡安全建設,普遍沒有比 較系統(tǒng) 的投入。2.2網(wǎng)絡管理員責任心不 強。很多學校的網(wǎng) 絡管理員的都具有一定的 專業(yè)水平, 基本可以 勝任本職工作,但是可能由于學校 領導對 網(wǎng)絡安全不是很重 視,或者因為個 人

8、某些方面的原因 ,造成工作 熱情不高、責任心不 強,所以也就不會花很多的心思去 維護網(wǎng)絡、維護硬件。2.3師生的網(wǎng) 絡安全意 識和觀念淡薄。很多學生包括部分教 師對 網(wǎng)絡安全不 夠重 視,法律意識也不是很 強。通過網(wǎng)絡,或通過帶毒的移動存儲介質,經常有意無意的 傳 播病毒,攻擊校園網(wǎng)系 統(tǒng),干擾校園網(wǎng)的安全運行。2.4盜版資源泛濫。由于缺乏版權意識,盜版軟件、影視資源在校園網(wǎng)中普遍使用 這些軟件的傳播一方面占用了大量的網(wǎng) 絡帶寬,另一方面也 給網(wǎng)絡安全帶來了一定 的隱患。比如,盜版安裝的 計算機系 統(tǒng)今后會留下大量的安全漏洞。系 統(tǒng)自動更新引 起的電腦黑屏事件，就是因為Microsoft公司對

9、盜版的XP操作系統(tǒng)的更新作了限制。 另一方面 ,從網(wǎng)絡上隨意下載的軟件中可能 隱藏木馬、后門等惡意代碼,許多系統(tǒng)因 此被攻 擊 者侵入和利用。對策措施校園網(wǎng)的安全 問題是一個較為復雜的系統(tǒng)工程,要從用戶、管理、技術三方面的 因素來考 慮。從嚴格的意義上來講,100%的安全網(wǎng) 絡系統(tǒng)是沒有的 ,網(wǎng)絡安全工作是 一個循序 漸進、不斷完善的過程。在目前的情況下,需要全面考 慮綜合運用防火 墻、入侵檢測、殺毒軟件等多項技術,互相配合、加強管理。為了提高校園網(wǎng) 絡的安全性 , 提出以下幾點安全策略。3.1身份認證 技術。身份認證 是對通信方 進行身份確 認來阻止非授 權用戶進入。 常用的身份 認證方法有

10、口令 認證 法。主要是給系統(tǒng)管理員帳戶設 置足夠復雜的強密 碼,最好是字母 +數(shù)字+符號的 組合;系統(tǒng)管理員的口令 應嚴格管理 ,不定期地予以更 換 。很多用戶的 WindowsXP/2000系統(tǒng)卻根本沒有設置密碼，有的用戶，雖然也設置了密碼，但密碼要么全是數(shù) 字的,要么很短 ,對于這類密碼,可以輕易的被破解。3.2防范系 統(tǒng)安全漏洞。及時更新操作系 統(tǒng),安裝各種 補丁程序非常重要。一般用 戶需要借助第三方 產品（如:漏洞掃描系統(tǒng)的幫助 ,及時發(fā)現(xiàn) 安全 隱患。目前,許多新型 計算機病毒都是利用操作系 統(tǒng)的漏洞 進行傳染的。比如“紅色代碼”病毒就是利用 Wi ndows 2000 Server

11、 IIS漏洞進行傳播的；沖擊波”病毒是利用 Windows 2000、Windows XP、Windows2003操作系統(tǒng)的RPC漏洞進行傳播的;還有一些病毒是利用IE6.0的漏洞進行傳播的 那么 ,如何才能有效的保 護系 統(tǒng)不受病毒感染呢 ?可以通 過安裝360安全 衛(wèi)士或其它 功能類似的 軟件來給系統(tǒng)的漏洞打好 補丁,這樣可以有效的保 護系統(tǒng)。3.3防范計算機病毒。計算機病毒防范工作 ,首先是防范體系的的建立 ,沒有一個 完善的防范體系 ,一切防范措施都將滯后于 計算機病毒的危害。3.3.1作為校園網(wǎng)的網(wǎng) 絡管理人 員,要為系統(tǒng)使用安全策略 ,如帳戶設 定、審核策 略、網(wǎng)絡訪問、安全選項設

12、 定等。使用安全策略不 僅可以有效防范病毒 ,監(jiān)控系 統(tǒng)狀 態(tài),還可以防范黑客攻 擊。3.3.2選擇合適的防病毒 軟件,及時更新病毒 庫。防病毒軟件分為兩大 類:網(wǎng)絡版 和單機版。單機版防毒 軟件適用于個人用 戶,管理功能相 對較 弱。從網(wǎng)絡管理和病毒 監(jiān)控的角度來 說,校園網(wǎng)更適用網(wǎng) 絡版防毒 軟件,因為網(wǎng)絡版防毒 軟件的管理功能更 強大,校園網(wǎng)的管理 員只要及 時在服務器端進行升級,客戶端啟動后就可自動升級,網(wǎng)管員還可對所有安裝客 戶端的計 算機進行病毒監(jiān)控、進行遠程殺毒,及時了解校園網(wǎng)中病毒疫情。3.3.3計算機用 戶要增強網(wǎng)絡安全意識。不要輕易使用盜版和存在安全 隱患的軟 件;不輕易瀏

13、覽一些缺乏可信度的網(wǎng)站 ;不要隨便打開不明來 歷的電子郵件,尤其是 郵 件附件中的EXE和COM等可執(zhí)行程序,對方發(fā)過來的電子郵件及相關附件的文檔 ,首先要“另存為. 命”令保 存到本地硬 盤,待用殺毒 軟件檢查 無毒后才可以打開使用 ;不要隨便共享文件和文件 夾,即使要共享 ,也得設 置好權限;3.4網(wǎng)絡監(jiān)控措施。在不影響網(wǎng) 絡正常運行的情況下 ,增加內部網(wǎng) 絡監(jiān)控機制,可 以最大限度地保 護網(wǎng)絡資源。如配備入侵檢測系統(tǒng)（IDS, Intrusion Detection System, 入侵防御系統(tǒng)（IPS, Intrusion PreventionSystem,Web E-mail、BBS

14、的安全監(jiān)測系統(tǒng)和網(wǎng)絡監(jiān)聽系統(tǒng)等。通過監(jiān)控手段,增強網(wǎng)絡安全的自我 適應性和反應能力,及時發(fā)現(xiàn)不安全因素 ,從而保證網(wǎng)絡服務的正常提供。通 過使用 網(wǎng)管軟件、日志分析軟件、MRTG和Sniffer等工具，形成一個功能 較完整、覆蓋面較廣 的監(jiān)控管理系 統(tǒng)。3.5網(wǎng)絡安全隔離。防火 墻作為一種將內外網(wǎng)隔離的技 術,普遍運用于校園網(wǎng)安 全建設中。合理使用防火 墻,可以構筑內外網(wǎng)之 間的安全屏障 ,有效地將內部網(wǎng)與外 部網(wǎng)隔離開來，有利于提高網(wǎng)絡抵抗黑客攻擊的能力和系統(tǒng)的安全性。在WindowsX P/2000系統(tǒng)中可以開啟自身 帶的防火墻功能,但最好還是安裝專業(yè)的防火墻軟件，如 天網(wǎng)、 360安全衛(wèi)

15、士和瑞星防火 墻等。3.6數(shù)據(jù)備份和恢復。對于計算機而言 ,最重要的 應該是硬盤中存儲的數(shù)據(jù)。用戶 數(shù)據(jù)不要與系 統(tǒng)共用一個分區(qū) ,避免因重裝系 統(tǒng)造成數(shù)據(jù) 丟失。重要的數(shù)據(jù)要及 時備 份,備份前要進行病毒 查殺,數(shù)據(jù)備份可采取異地 備份、光盤備份等多種方式。 對于校 園網(wǎng)的管理 員來說,要做好各種 應急準備工作,必須要有一套應急修復工具 ,如系統(tǒng)啟 動盤、DOS版殺毒盤、緊急系統(tǒng)恢復盤、各種操作系統(tǒng)盤、常用應用軟件包、最新系統(tǒng)補丁盤等，并且做好分區(qū)表、DOS引導扇區(qū)、注冊表等的備份工作，這樣可提高系統(tǒng) 維護和修復 時的工作效率。3.7制定切實可行的網(wǎng)絡安全管理制度。為了確保整個網(wǎng)絡的安全有效運行 ,有 必要對網(wǎng)絡進行全面的安全性分析和研究 ,制定出一套 滿足網(wǎng)絡實際安全需要的、切 實可行的安全管理。主要包括以下幾方面的內容 :(1建立一個 權威的信息安全管理機 構,制定統(tǒng)管全局的網(wǎng)絡信息安全規(guī)定;(3制定網(wǎng)絡管理員的激勵制度 ,促使他們提高 工作熱情,加強工作責任心;(4對網(wǎng)絡管理員進行專業(yè)知識和技能的培 訓,培養(yǎng)一支具 有安全管理意 識的網(wǎng)管隊伍,使他們從技術上提高應對各種攻擊破壞的能力 ;(5把網(wǎng) 絡信息安全的基本知 識納入學校各專業(yè)教育之中 ;(6對學校教師和其他人 員進行信 息安全知識普及教育;(7在學校的網(wǎng)站 設立網(wǎng)絡安全信息發(fā)布欄目,發(fā)布網(wǎng)絡法令法 規(guī)、網(wǎng)