●杨秋田

(武警学院训练部,河北廊坊 065000)

随着计算机技术的飞速发展,信息及网络已经成为社会发展的重要推动因素,已经应用到诸多领域。其中,许多涉及政府主要的决策、军事秘密、企业生产经营的商业信息以及银行的资金转账、科研成果等重要信息,极具敏感性、保密性,甚至是国家、企业、科研单位的机密。这些信息特征自然吸引了来自世界各地的各种人为的攻击,他们试图获取或篡改这些信息,造成了网络信息的重大安全隐患。本文仅对校园网中的安全问题进行分析,并给出相应的对策。

一、网络安全的基本概念

网络安全从本质上讲就是网络上的信息安全,从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术、理论都是网络安全的范畴。

计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。

二、校园网络的特点

各国的高等教育都是最早建设和应用互联网技术的行业之一,中国的高校校园网一般都最先应用最先进的网络技术,网络应用普及,用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方,安全管理也更为困难。与政府或企业网相比,高校校园网具备以下特点。

(一)校园网的速度快、规模大。高校校园网是最早的宽带网络,普遍使用的以太网技术决定了校园网最初的带宽不低于 10Mbps,目前普遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户群体一般也比较大,少则数千人、多则数万人。中国的高校学生一般集中住宿,因而用户群很密集。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快、对网络的影响比较严重。

(二)校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂,比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的,有的部系是统一采购、有技术人员负责维护的,有些部系则是自主购买、没有专人维护的。这种情况下要求所有的终端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理,出现安全问题后通常无法分清责任。比较典型的现象是,用户的计算机接入校园网后感染病毒,反过来这台感染病毒的计算机又影响了校园网的运行,于是出现终端系统用户和网络管理员相互指责的现象。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察。

(三)活跃的用户群体。高等学校的学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响和破坏。

(四)开放的网络环境。由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。比如,企业网可以限制允许 Web浏览和电子邮件的流量,甚至限制外部发起的连接不允许进入防火墙,但是在校园网环境下通常是行不通的,至少在校园网的主干不能实施过多的限制,否则一些新的应用、新的技术很难在校园网内部实施。

(五)有限的投入。校园网的建设和管理通常都轻视了网络安全,特别是管理和维护人员方面的投入明显不足。在中国大多数的校园网中,通常只有网络中心的少数工作人员,他们只能维护网络的正常运行,无暇顾及、也没有条件管理和维护数万台计算机的安全。部、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。

(六)盗版资源泛滥。由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,Microsoft公司对盗版的 XP操作系统的更新作了限制,盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。

以上各种原因导致校园网既是安全隐患的发源地,也是攻击者最容易攻破的目标。因此导致当前校园网常见的风险如下：

1.普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁。2.计算机蠕虫、病毒泛滥,影响用户的使用、影响信息安全和网络运行。3.外来的系统入侵、攻击等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器。4.内部用户的攻击行为,这些行为给校园网造成了不良的影响,损害了学校的声誉。5.校园网内部用户对网络资源的滥用,有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载,占用了大量的网络带宽,影响了校园网的应用。6.垃圾邮件、不良信息的传播,有的利用校园网内无人管理的服务器作为中转,严重影响学校的声誉。

三、校园网最常见的攻击及其防范对策

(一)特洛伊木马。特洛伊木马程序技术是黑客常用的攻击手段。它通过电脑系统隐藏一个会在Windows启动时运行的程序,采用服务器/客户机的运行方式,从而达到在上网时控制你电脑的目的。

特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的程序中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。

防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期扫描监测。

(二)邮件炸弹。电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,影响计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中,也经常发现学生利用炸弹对校园网进行实验性攻击破坏。

防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息,也可使自己的连接只能达到指定的服务器,从而免受或少受外界邮件的侵袭。

(三)过载攻击。过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击,它是通过大量地进行人为地增大 CPU的工作量,耗费 CPU的工作时间,使其它的用户一直处于等待状态。

防止过载攻击的方法有：限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来分析问题的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外,还可以让系统自动检查是否过载或者重新启动系统。

四、加强校园网安全的管理措施技术保障

加强校园网的安全管理工作需要从管理和技术两个方面综合考虑：

首先是加强校园网安全管理政策建设,制定网络信息安全管理规定。依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制、各种网络安全制度,加强网络安全教育和培训。网络安全管理规定是执行各项管理制度、技术措施的依据,一定要详尽描述校园网安全的目标和需求,明确规定做什么,告诉用户哪些行为是允许的、哪些行为是不允许的,违反了这些约定将会受到怎样的处罚。目前很多学校以安全管理规定、安全条例、安全管理办法等形式发布,安全政策应该让所有的校园网用户知道。在国外,企业用户一般要签署 AUP(Access Usage Policy),对校园网用户,我们也可以借鉴,无论是部系单位还是学生个人,都可以以签署入网协议的形式让用户知道学校的安全管理政策,一方面起到提高安全意识的作用,同时明确责任和义务,便于对安全事故的处理。

目前普遍认为校园网安全管理工作应该由网络/信息/计算中心承担,但是事实上,安全管理工作非常复杂,可能涉及各部、系、处、队的人员和业务,因此必须由学校具有决策权的机构和领导组织和协调各部门的管理工作,成立信息安全管理委员会和专门的办公室。另外,安全管理各项措施的实施,单纯依靠网络中心的力量也是不充分的,院/系 /处/宿舍安全管理分级负责的组织体系建设仍然是必要的。加强用户安全意识和管理员安全技术的培训工作非常重要,对于新用户的安全意识的培训,新生入学教育和新员工上岗培训是两个比较好的时间,也可以开展一些职工的在职培训、学生的文化课、选修课等形式的安全意识培训和基本技能的培训。系统管理员要重视上岗培训。对这些岗位的安全培训是当前校园网安全管理非常迫切且重要的环节。

除制定政策,建立组织机构,加强管理之外,还一定要做好如下几项工作：

(一)降低网络物理安全风险。网络物理安全风险主要是指地震、火灾电源故障、人为操作失误、设备被盗、机房环境故障、电磁干扰等。一般小局域网,由于网络物理跨度不大,只要有健全的安全管理制度,做好系统备份,并加强网络设备和机房的管理,这些物理风险还是比较小的。但在校园网,物理线路长,网络跨度大,发生故障的几率还是很高的。网络的物理安全是整个网络系统安全的前提,还应由有责任心的人员来管理负责。

(二)做好网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于网络的全方位防病毒产品。在校园网,需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。现在网络版杀毒软件比较多,如瑞星、诺顿、360等 。

(三)配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止 Internet上的不安全因素蔓延到校园网内部,根据不同网络的安装需求,做好防火墙内服务器及客户端的各种规则配置,更加有效利用好防火墙。

(四)采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系,即是采用混合入侵检测,效果较好。有的入侵检测设备可以同防火墙进行联动设置,效果也不错。

(五)应用 Web,Email,BBS的安全监测系统。在网络的 www服务器、Email服务器中使用网络安全监测系统,实时跟踪、监视网络,截获 Internet网上传输的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。

(六)安装漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

(七)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。

让有责任心的人员管理校园网,保障校园网的物理安全,是维护校园网安全的基础,针对校园网的特点及存在的安全风险,制定相应的安全规章,让每一位校园网用户都知道在校园网上能做什么,不能做什么,这是保证校园网安全的基本保障。选择技术好业务精的人员管理维护校园网,利用先进的技术,不断清除校园网的安全隐患是保证校园网信息安全的重要保障。但是,黑客技术在不断进步,网络病毒在不断翻新,网络的安全隐患在不断增加,要真正做到保障网络安全是不容易的,网络安全隐患和清除隐患保障网络信息安全将是长期共存的一对矛盾。为确保校园网安全,一定要切实加强安全组织保障,不断完善安全管理规章,不断做好安全教育工作,不断更新网络安全技术,真正做到全体人员积极参与,人人注意网络信息安全,这样才能建立高效安全的校园网环境,让校园网为教学科研提供快捷方便的服务。

[1]张嘉宁.网络防火墙技术浅析[J].通信工程.2004,(3).

[2]蔡立军.计算机网络安全技术[M].北京：中国水利水电出版社,2005.

[3]龙冬阳.网络安全技术及应用[M].广州：华南理工大学出版社,2006.

[4]刘占全.网络管理与防火墙[M].北京：人民邮电出版社,1999.