校园网安全问题分析与防范策略研究
【摘 要】 本文分析了校园网安全问题的现状,提出了校园网安全应对策略:坚持网络资源的管理原则;制定网络资源的使用制度;确保互联网访问安全;建立校园内网安全访问措施;加强远程网络访问安全。
【关键词】 校园网;网络安全现状;应对策略
一、前言
随着教育改革的全面推进,教育现代化变得日趋重要,现代教育方式融进了信息化和网络化的特色。在这伟大的进程当中,校园网无疑扮演着非常重要的角色。随着校园数字化建设的逐步深入,校园网成为学校教育信息化的基础设施,也是校园信息化的第一阶段,校园网作为数字化校园的基础平台已经在80%以上的高校普遍建立,国内高校的校园网网络建设虽然起步稍晚一些,但其发展势头迅猛。随着高校扩招,高校评估等多种手段的使用,促使各高等院校对下属院、系的信息化应用越来越重视,基础建设有所加强,应用也进入了一个全新的时代,各高等院校不仅有自己的校园网,而且都已将其应用到教学、科研、管理和学习服务等各个方面。在校园网为学校的发展带来诸多好处的同时,来自网络的病毒、黑客、色情、反动的等违法内容也进入了校园网络,直接威胁着校园信息系统及用户,也成为制约校园网络可用性的主要因素。因此,掌握制约校园网发展的形成因素,进行对症防范措施制订,为校园网络的安全体系建设提供指导和依据就很重要。
二、校园网安全问题分析
1、网络TCP/IP二层安全问题
校园网安全防范的侧重点由以往网络边界、主机安全和病毒防护等方面,转变为基于二层的网络攻击和网络资源滥用、应用层攻击等方面,这些现象的出现给校园网络的安全运行带来了更大的威胁。近年来,校园网内来自网络第二层的攻击数量惊人,已成为校园网络管理者非常头痛的安全问题。根据其威胁的特点分析,主要包括:泛滥攻击、服务器欺骗攻击、欺骗攻击、IP/MAC地址欺骗。
2、网络内部层安全问题
大量研究资料显示,网络内部层遭受攻击占校园网安全问题的比例有逐年上升的趋势,因此,网络内部层的防控是急需解决的问题。校园内网由于管理的需求划分有大量VLAN,然而多数校园网管理者在划分VLAN、配制路由后,并没有对不同VLAN间的用户实施访问控制,就可能造成某一网段用户受蠕虫病毒攻击后,涉及到所有网段的用户,造成整个内网拥塞;或以源地址欺骗攻击在内网中畅通无阻等情况。
3、网络外部层安全问题
高校为外部用户访问内网资源,多采用PPTP协议,虽然使用该协议的VPN接入方式上在数据安全性基本不存在任何问题,但是有些高校对VPN专有VLAN不做任何访问控制,在一定程度上降低了防火墙的作用。另外,尽管用Windows Server搭设VPN服务方便简便,但VPN Server很难依据用户分组对校内资源配置访问策略,暴露出控制能力的不足。
4、应用层安全问题
目前,各类繁多的蠕虫、间谍软件等应用层威胁和邮件L、移动代码结合,形成复合型威胁,使安全问题更加危险及很难防范。此类威胁将直接攻击内网核心服务器和应用及攻击终端用户计算机,给用户带来信息风险及财产损失;还可对校园网络基础设施进行DoS攻击,造成其瘫痪:另外,一些如电驴、BT和QQ等通信软件的普及应用,内网这些宝贵的带宽资源将被无关业务流量浪费,造成巨大的资源损失。
三、校园网安全防范策略
1、坚持网络资源的管理原则
校园网络资源的完整性及基于网络资源被处理和保存信息私密性,应受到校内所有用户、系统管理员、信息系统运行和维护人员的帮助确保,具体确保应遵行以下原则:(1)确保一机一帐户,如果给定帐户出现在多台主机上,该名字应是代表同一人,并按照本网络管理实施用户名和口令管理。(2)安全补丁程序的安装应依据其严重性所对应的优先级顺序进行。(3)校内网络用户帐户终止后应该立刻关闭。(4)不要共享在一个安全的TFTP服务器上保存的系统配置文件,让其能被公开获得。(5)定期运行安全管理工具找出网络脆弱口令和脆弱点,检查文件的完整性和系统配置。
2、制定网络资源的使用制度
规定校园内外部访问权限,除内网系统管理员之外,其他用户不能访问、拷贝网络设备或服务器上的系统配置文件。除非其工作任务需要该访问权,否则不允许用户获得或企图获得组成学校网络和信息系统基础设施的网络设备和主机的可执行或超级用户访问权或相当的访问权。该策略还定义了由法律、规章或条例所要求的任何额外限制方面所容许和不容许的内容,用户一定要遵守该安全防范策略中的指示,学校有权依据需要随时改变用户的访问权,用户如不服从学校数据基础设施使用的要求,将对其采取制止或开除措施。
3、确保互联网访问安全
该安全防范策略规定了对互联网访问的原则。对互联网的外出访问可用于教职员工学习和研究开放使用,拨号用户可获得互联网的外出访问。对登录和空闲时间的合理限制应被确定。防火墙可有效实现互联网访问控制、身份认证、实现校园网络系统与外部的安全隔离,以确保校园网络资源信息资产和组件,促使校园互联网络系统的工作效率。防火墙设置可依据具体的功能而定,作为校园互联网络总出入口,可设置性能比较高的硬件防火墙,在内部的各必要节点可灵活设置其它的防火墙产品,可防火墙服务功能将内网划分成多个公共区和安全区,同时制定安全防范策略,以确保校园网络应用服务的正常运行。必须应用至少有一台边界路由器和堡垒主机的防火墙系统来防止从互联网对校园内网络的非授权访问。除了采用穿过互联网的网络层加密技术,否则从互联网到园内网的进入访问将被严格限制。
4、建立校园内网安全访问措施
校园内网安全访问策略定义内网主机的访问权被依据各个部门为其分配的信任级别允许给在教职工。校园建立信任级别,教职工被根据为执行工作任务对网络服务的访问需求而分配一个信任级别,外部个人或群体对内网主机的访问应一律被拒绝,不得具有对网络基础设备的可执行或超级用户访问权,应采用网络层加密技术确保校内服务器间的数据流。
5、加强远程网络访问安全
远程访问是对校园网内部网络的一个延伸,对学校的信息提供了访问途径,因此,访问校园内网的团体要明确远程访问权的安全责任。规定访问内网的任一计算机都应有口令保护,非授权用户不能启动内网连接的通信软件包。学校指定什么类型的机器或文件保护工具应被使用,以保证口令保护不会被轻易绕过。有远程访问需求的教职员工必须通过网络控制中心的接入服务器允许后才能获得内网的访问,还应该使用网络控制中心所支持和认可的远程访问软件计算机。具有拨号访问权的员工也应该有责任确保拨号连接不被他人利用来获得对信息系统资源的访问。对于远程合作者访问学校内网时,必须经过校网络控制中心批准,以确保网络的安全。
【参考文献】
[1] 谭 臻.校园网络安全管理中的黑客入侵与防范[J].计算机安全,2007.
[2] 齐 蕾.浅谈校园网安全控制策略[J].大众科技,2005.
[3] 王玲等.当前计算机网络安全的特点和展望[J].计算机工程,2004.
[4] 向听等.基于ARP欺骗的网络监听原理及实现[J].四川大学学报,2005.
[5] 蔡昭权.二层交换机的攻击分析与防范技术的研究[J].网络安全技术与应用,2005.
【作者简介】
王 爽(1977-)男,陕西西安人,讲师,工学硕士,研究方向:网络技术应用与网络安全.
