孟利霞

摘要:随着网络与信息技术的飞速发展,校园网在这场冲击中也经历了不同时期的变革。校园网的建成,使学校的管理网络化和教学手段现代化,广大师生员工对网络的依赖性也越来越强。由于网络环境和网络应用日趋复杂化,网络安全日益成为影响网络性能的重要问题。本文在分析校园网安全风险的基础上,提出了网络安全防范和校园网建设的对策。

关键词:校园网;网络安全;VLAN;SSL VPN

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)22-0ppp-0c

1 引言

国内校园网从1994年启动建立至今,大致可以划分为三个阶段:第一阶段是基础设施建设时期,第二阶段是应用平台建设时期,第三阶段是信息资源建设时期。逐渐丰富起来的应用和信息资源使校园网在学校教学、科研和管理等方面发挥的作用日益重要,广大师生从事教学、科研、生活和管理工作时对校园网依赖性也越来越高。而伴随着数字化校园的逐步推进,网络环境和应用愈发复杂化,如何保证网络的畅通和安全,网络安全成了当前校园网建设中关注的要点之一。

2 目前校园网中存在的安全问题

校园网划分为办公楼、机房、学生宿舍和教师宿舍。目前校园网用户面临的安全问题有:操作系统、应用程序的安全漏洞普遍存在,蠕虫病毒、木马后门软件的广泛传播,新型木马病毒的查杀对用户要求越来越高,恶意软件、间谍软件对用户的困扰,来自校园网内外的大量网络攻击入侵,垃圾邮件的烦扰,用户安全意识薄弱。

2.1 Web应用存在的安全漏洞

SQL注入攻击(SQL injection):这类攻击是Internet上最常见的应用层攻击,主要漏洞存在于用ASP,PHP,ASP.NET,JSP,CGI脚本语言编写的动态网页。Web应用通常根据用户输入去访问后台数据库,如果不对用户的输入进行严格的检查和过滤,则黑客就可以利用动态网页与后台数据库之间的数据传递漏洞发起SQL注入攻击。

跨站脚本攻击[1](Cross Site Scripting):一般情况下,大多数网站的应用程序都没有检查用户输入,黑客就是利用这个漏洞,把java script上传到Web服务器,在用户不知情的情况下,把用户从合法网站转到黑客的网站上,从而窃取用户cookie,用户名,密码等。该漏洞可能导致在客户端浏览器执行任意脚本,从而导致泄漏敏感信息。还可能导致拒绝服务攻击或者是隐藏攻击者真实身份的代理攻击。

网页篡改攻击(HTTP PUT Method Site Defacement):主要是由于Web服务器或应用服务器没有进行正确的配置所致,Web服务器没有禁止未经授权的用户以“PUT”方式上传文件或程序代码,致使黑客利用此漏洞篡改页面。

2.2 病毒和蠕虫

校园网的特点是用户量大、上网时间长、在线用户比例高,在这种高速大容量的局域网中,各种病毒和蠕虫,不论新旧都容易通过不小心的用户或有漏洞的系统迅速传播扩散,造成网络阻塞甚至瘫痪。尤其是ARP病毒,病毒发作时表现为计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序发作时发出大量的欺骗性广播包,导致局域网内用户上网不稳定,极大地影响了用户的正常使用,给整个校园网的安全也带来了严重的隐患。

2.3 不良信息的传播

目前互联网上传播的各种信息良莠不齐,有些是违反道德规范和法律法规的不良信息,这些不良信息可以通过电子邮件、网页浏览、BBS论坛、聊天室等进行传播,对校园网的信息安全造成很大的危害。

2.4 用户安全意识薄弱

校园网是以大量用户为中心的系统,一个合法的用户在这个系统中可以执行大多数操作。尽管网管人员通过访问控制策略等手段可以限定用户的某些对网络产生破坏的行为,但更多的安全措施必须由用户自己来完成。用户安全意识薄弱,操作不规范都是威胁校园网安全的主要因素。比如U盘病毒在校内大范围的传播。

3 校园网安全策略

校园网是整个Internet网的一部分,既存在和外部通信,也存在内部之间的通信,要降低校园网的安全风险,就需要解决对外和对内的安全隐患。

3.1 漏洞扫描

对网站安全而言,SQL注入攻击、跨站脚本攻击和网页篡改攻击是当前危害最大的三大类漏洞。根据计算机紧急响应组(CERT)的报告,99%的网络入侵都基于已知的漏洞而发生,而且这些可通过预先漏洞评估来发现。如果赶在攻击发生前修补安全漏洞,就可有效预防或减少攻击的发生,因此及时发现和修补漏洞是一项非常重要的工作。随着安全漏洞的日益发展和复杂化,一个网站要修正每一个潜在的安全漏洞是不太可能的,因此发现并修补危害最大的漏洞是非常有效的。

3.2 集成化安全防御

整个校园网采用包括路由器、防火墙和交换机在内的三层集成化的安全防御。边界出口要限制校外、校内部分访问请求;核心汇聚层要控制常见病毒木马传播;接入层要控制用户接入,可采取802.1x认证或IP-MAC-PORT绑定。

第一层防护由边界路由器实现。学校的DNS服务器、WWW服务器和Email服务器等都位于防火墙的DMZ区[2](停火区,即DemilitarizedZone)。为防止外部用户对服务器进行非法操作,必须对外部访问操作进行严格控制。利用Cisco路由器所具有的防火墙功能,可限制外部用户对服务器的操作。

第二层防护由防火墙保障。防火墙将校园内部网和外部互联网完全分开,是内部各网络子系统对外的唯一出口,通过隔离内外网络,更进一步保障了内部网络的安全。

第三层防护由交换机提供。核心交换机通过部署入侵检测系统(IDS)和防火墙模块,增强对内部业务网的安全监控。IDS和防火墙结合运行,防火墙可通过IDS及时发现其策略之外的攻击行为,IDS也可通过防火墙对来自外网的攻击行为进行阻断,这样就大大提高了网络的整体防护性能。

3.3 VLAN划分

VLAN[3]是建立在物理网络基础上的一种逻辑子网。VLAN所指的LAN特指使用路由器分割的网络(广播域)。因此如果仅有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。所以就需要将网络分割成多个广播域来提高网络性能。VLAN划分一般采用基于端口的VLAN划分和基于路由的VLAN划分。VLAN可以改善网络的通信效率、避免广播风暴、使网络的组织更具灵活性、网络管理简单直观,提高了网络的整体安全性。

3.4 SSL VPN解决数据信息共享

要解决教师在家里可以访问校内数据资源,采用SSL VPN[4]技术能够确保这种远程接入时的安全。SSL VPN在实际应用中就是要依据安全控制策略为分散移动用户提供从外网访问内网资源的安全访问通道。通常内部的资源服务器向外网用户提供一个虚拟的URL地址,当用户从外网访问内网资源时,发起的连接被SSL VPN网关取得,通过认证后映射到不同的应用服务器,采用这种方式能够屏蔽内部网络的结构,不易遭受来自外部的攻击。

3.5 加强网络安全宣传教育

对用户加强网络安全法律意识教育,加强网络知识特别是计算机病毒知识的培训,使用户拥有足够的安全常识和良好的安全意识。网络用户应基本具备的常识包括:操作系统及补丁的安装和升级、防病毒软件的安装、计算机的日常使用与维护、发现安全问题的及时处理办法、流行病毒的传播途径等。

3.6 网络管理

网络安全三分技术、七分管理,安全管理贯穿于整个安全防范体系的始终。而拥有一个高度集成、功能完善、实用性强的网络管理软件是搞好网管的必要途径。基于Web的网络管理体系融合了Web功能和网管技术,允许网管人员通过任何一种浏览器在网络的任何节点方便迅速地访问计算机网络。在系统中可嵌入物理拓扑展现与编辑,网络设备负载状况,重点设备通断状态,主干设备的Ping延时、丢包率及CPU利用率、端口的入流量和出流量等模块。通过网络管理系统,可以及时发现问题,提高工作效率。

4 结论

随着网络技术的迅速发展和上网用户数的增多以及用户对网络了解程度的加深,网络安全管理面临的形势会更加严峻。而网络安全技术又是非常复杂和广泛的,要打破“道高一尺,魔高一丈”的状况,就需要不断提高网管人员的安全意识和技术,做到对软硬件的定期检测并及时修补漏洞,需要不断加强网络安全建设,构建对校园网重要服务器保护、校园网主机安全监控、网络病毒防范的一体化安全系统,只有技术和管理双管齐下,才能保证校园网高效可靠地运转,从而为信息资源建设提供稳定安全的基础平台。

参考文献

[1]杜晔,范艳芳.网络攻防技术教程[M].武汉大学出版社,2008.

[2]TerryWillianmOgletree著,李之棠译.防火墙原理与实施[M].电子工业出版社,2001.

[3]彭涛.浅谈校园网络的安全设计与管理[J].重庆教育学院学报,2007,20(3).

[4]王达.虚拟专用网(VPN)精解[M]. 清华大学出版社,2004.