张 磊

[摘要] 随着计算机的普及和计算机网络的广泛应用,校园网络在学校管理、教学、科研等方面已经占有举足轻重的地位,随之而来的网络安全与防护问题也被大家日益重视。本文结合无锡工艺职业技术学院校园网组建实例,着重阐述校园网络安全防护技术,并针对当前主要的网络攻击方式,提出应对的策略。

[关键词] 校园网 网络安全 网络攻击

一、引言

计算机在当今的社会已经不再是个新鲜的名词,随着计算机硬件价格的一再下调,性能的不断提升,以及计算机网络的普及,它已成为工作、生活、娱乐不可或缺的一部分,但计算机网络安全问题也成为最令人头疼的事。由于计算机网络本身具有的开放性、多样性的特点,使得计算机网络容易受黑客、病毒等恶意软件和手段的攻击,给计算机网络安全管理带来一定的难度。

二、校园网络面临的重大问题

校园网一般由两大部分构成,一部分是内网,包括教学局域网、图书馆局域网和办公自动化局域网等构成。另一部分是外网,包括一些外网服务器,主要负责与教育科研网、互联网的连接以及远程移动办公用户等的接入。为了确保信息安全。校园网必须采取技术手段,实现内外网的隔离,并根据学校的实际情况将校园网划分出不同的区域。并制定不同级别的安全策略。

校园网络对核心部分的设备要实施严密的安全防护,统一安装相应级别的防病毒产品,接受统一管理。统一更新,定期执行统一的病毒扫描,杜绝病毒在核心部分设备上藏匿。边界问题是针对于校园内部的办公计算机;机房或电子阅览室的公用计算机以及学生的私人计算机,这部分的结点数量将是非常庞大,这也给网络管理带来了非常大的麻烦。

三、校园网络安全管理措施

1.物理安全

(1)VLAN技术

采用交换式局域网技术(ATM或以太交换)的校园网络,可以用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段,根据不同的地理区域及逻辑部门的特殊作用,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。

(2)防火墙的设置

在此,我们采用的端点式防火墙是将防火墙安装到端点(主机)上,与边界防火墙共同保障网络安全的一种设计思想,包括边界防火墙、端点防火墙和管理中心三部分。它由一个中心来指定策略,并将策略分发到端点上执行。它可以使用一种策略语言来指定策略,并编译成内部形式存储于策略数据库中,系统管理软件将策略分发到被保护的主机上,而主机根据安全策略和加密证书来决定包的接受或丢弃,从而对主机实施保护。

(3)访问控制

访问控制是网络安全防范和保护的重要策略,它的主要任务是保证网络资源不被非法使用和非正常访问。

①防范非法用户非法访问。非法用户的非法访问也就是黑客或间谍的攻击行为。对于用户名及口令的保护方式,对有攻击目的的人根本就不是一种障碍。他们可以通过对网络上信息的监听或猜测,得到用户名及口令。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,只有合法用户才能访问合法资源。

②防范合法用户非授权访问。合法用户的非授权访问,是指合法用户在没有得到许可的情况下访问了不该访问的资源。一般来说,每个成员的主机系统中,有一部分信息可以对外开放,而有些信息则要求保密或具有一定的隐私性。因此,必须对服务及访问权限进行严格控制。

③防范假冒合法用户非法访问。从管理以及实际需求上,是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源,那么,入侵者便会在用户下班或关机的情况下。假冒合法用户的IP地址或用户名等资源进行非法访问。因此,必须从访问控制上做到防止假冒而进行的非法访问。

2.系统安全

系统安全,是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,包括物理安全和逻辑安全。

(1)物理安全

物理安全指网络系统中各通信计算机设备以及相关设备的物理保护,免予破坏、丢失等。从物理上讲,校园网络的安全是脆弱的,任何安置在不能上锁的地方的设施,包括通信光缆、电缆、电话线、局域网、远程网等都有可能遭到破坏,从而引起校园网络的瘫痪,影响正常教学业务的进行。

(2)逻辑安全

逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人,完整性是指计算机系统能够修改和删除数据和程序,可用性是指系统能够防止非法独占计算机资源和数据,合法用户的正常请求能及时、正确、安全的得到服务或回应。

3.计算机病毒防范

(1)计算机病毒的危害

计算机病毒是指编制的或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用并能自我复制的一组计算机指令或者程序代码。

(2)计算机病毒的分类

计算机病毒的分类方法有好几种,按照病毒的传播方式,可分为5类。

①引导型病毒。引导型病毒在ROM BIOS系统引导时,即取得对操作系统的控制权,它常驻内存,伺机传染和破坏。引导型病毒可以感染磁盘的引导扇区,也可以改写硬盘的分区表,因此其破坏性极强,有时会造成整个硬盘数据的丢失。

②文件型病毒。文件型病毒是较为常见的病毒,文件型病毒感染的主要是扩展名为COM、EXE、OVL的文件,病毒将自身附着在系统的文件中,当文件被执行时,病毒也同时被装入内存。

③混合型病毒。混合型病毒综合了引导型和文件型病毒的特点,它通过感染引导区和文件,增加了传染和查杀难度,因此其破坏力比强两者更强。

④宏病毒。宏病毒是微软Office出现以后才出现的病毒,它利用Office提供的宏功能,通过DOC文档及DOT模板进行自我复制及传播。

⑤蠕虫病毒。蠕虫病毒是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等。网络的发展使得蠕虫可以在很短时间内蔓延到大范围网络,造成网络瘫痪。

(3)计算机病毒的防范

对于计算机病毒日益猖獗的这个现象,我们主要通过以下两种方法来遏制它的危害性。

①建立防毒安全体系。从网络管理和病毒监控的角度来说,一是校园网宜选用网络版防毒软件,因为网络版防毒软件的管理功能更强大。二是校园网应采用网关防病毒、服务器防病毒和客户端防病毒的层次化防病毒体系,实现对病毒的全面防范。

②定期建立备份。在内网中要对重要数据进行备份。用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难,可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护内网的安全,必须建立完备的备份系统和备份策略,对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。

四、结束语

随着校园计算机网络的不断发展,使我们不得不面对其带来的种种问题,在保证网络性能不下降的前提下,使我们的网络向着健康、稳定、积极向上的方向发展。

参考文献:

[1]王雷.网络安全问题初探[J].河南职工医学院学报,2004.

[2]高文莲.高校校园网安全设计与实现[J].长治学院学报,2005.

[3]张相锋,孙玉芳.入侵检测系统发展的研究综述[J].计算机科学,2003.