莫泓铭，蔡勇智

（四川民族学院，四川康定 626001）

浅析民族高校校园网常见安全隐患及其对策

莫泓铭，蔡勇智

（四川民族学院，四川康定 626001）

本文结合民族高校与其他高校校园网的普通性与特殊性，分析校园网常见的安全隐患，如网络节点数量、使用者操作水平差异及不良的操作习惯、协议本身的漏洞等。并结合高校校园网的实际，从管理制度、备份冗余、普及安全知识、采用VLAN技术将校园网简化和加强网络管理实行身份验证等方面提出一些关于增强校园网络安全性的策略。

民族高校；校园网；安全隐患；对策

随着计算机网络技术的不断发展，互联网的应用越来越广泛，网络已普及社会的各行各业，各高校都建立了自己的校园网并接入了因特网。网络技术的发展使地处偏远地区的民族高校能快速接触到最新知识，为教学、科研、办公带来了不少便利。校园网作为信息传播的新媒体，已经成为广大师生员工必不可少的教学、科研和学习的工具，并且实现了无纸化办公，教育信息化程度进一步得到提高，为广大师生教学科研、信息交流及获取各类知识提供了重要渠道。网络最基本的初衷即基于彼此信任的、开放的资源共享，但也带来了各种安全隐患。民族高校校园网的安全性问题与其他校园网比较，有其普遍性，也有其独特性。本文以四川民族学院校园网为例，分析校园网常见的安全问题，探讨一些能提高校园网安全性的措施。

1 民族高校校园网常见的安全隐患

1.1 接入校园网的计算机数量众多

随着高校办公自动化的进展，教职工至少人手一台计算机，计算机在大学生中的普及率基本上也达到60%以上，这些计算机大多都能轻易接入校园网。

1.2 计算机使用者技术参差不齐

作为民族高校，有相当一部分教职工及学生的计算机应用水平较低，他们处于只会打字、上网等水平。在网上下载资料或软件安装时常常不经意间安装了一些恶意的插件，而这些插件很有可能暗藏病毒。并且，移动存储设备广泛使用，使用者不知如何安全地打开外来移动存储设备，只是一味地双击或右键打开，也为病毒的广泛传播创造了必要的条件。

1.3 网络协议本身的漏洞

现行通用的上网协议为TCP/IP协议簇，该协议簇的初衷是共享，而非强调安全性。网络中关于TCP/IP协议簇自身缺陷而引起的安全漏洞很多，例如：（1）利用TCP不完全的三次握手引发DOS攻击；（2）TCP/IP没有对自己的数据包进行完整性校验，可以造成中间人攻击；（3）利用ARP的映射来实现IP的欺骗；（4）运用ICMP的ping这样的程序探测目标地址，通过响应可以得出目的地址。

1.4 操作系统的漏洞

很多网民习惯在私人电脑上对邮箱、微博等常用账号“记住密码”功能，相当于把这些账号的“通行证”保存在了Cookie文件中，下次再访问就可以直接登录。而最新的MHTML0day漏洞会导致网民电脑中的Cookie文件被黑客窃取，造成电子邮件泄露、微博账号等被黑客冒用等后果。诸如此类的还有默认共享、Windows XP系统默认空密码帐户Administrator等。

1.5 空密码问题严重

大多计算机在安装好系统后就直接联网使用，没有进行相应的安全检查及设置，许多计算机都没有设置密码，或者设置的密码极为简单。

2 提高民族高校校园网安全性的策略

2.1 健全完善校园网计算机入网管理制度

校园网的管理制度可从用户与网络管理者两个层面制定。在用户层面，从用户开户时就告之入网责任与权利及相关的法律法规，并强调不得盗用他人帐号上网、不得使用他人IP地址；不得私自架设代理服务器；不得攻击、侵入他人计算机等约定并以协议形式签订保存。从而规范入网用户行为，对违反入网规定的用户采取断网或给予相应的处分，情节严重者交公安机关处理。网络管理者层面，加强对网络管理者专业知识升级更新，提升网络管理能力；实行网络安全运行绩效考核制，确保网络安全无障碍运行。

2.2 重点数据建立备份、容错机制

对校园网内的重点数据单元（如教务处、财务处、后勤服务中心、网络信息中心等区域）尽量不要接入外网，做好每周定期自动备份（重要操作后要及时备份），以保证在数据遭到损坏后能及时恢复，把损失降到最低。对于需24小时不间断提供服务的数据单元还应该建立冗余镜像，两台服务器指定为一主一从，当主服务器发生故障时，从服务器及时接管主服务器来提供服务。为防止数据在非法获取后泄露，在数据流通环节及数据存储环节应进行加密，加密算法至少达到128位，在采购重点数据单位数据库软件时应充分考虑这一点。

2.3 在校园内开展计算机安全知识培训，普及防病毒技巧

通过现场培训、网络培训、利用校园网平台自学等方式，向广大教职工和学生普及计算机安全使用小常识，使其养成良好的操作习惯。如：对来历不明的文件或被感染了病毒的文件不能直接双击或通过右键打开方式打开，正确的做法是通过资源管理器打开；对移动设备在使用前先杀毒；对网上下载的文件先杀毒，确认无毒后才打开；能识别常见文件类型，通过文件扩展名能知道这是什么类型文件；鉴别伪装的可执行文件；经常对计算机进行体检，有利于及时发现有无病毒。

2.4 加强个人计算机安全管理

入网计算机都应做好自身安全防护工作，以减少给整个网络造成的安全隐患。（1）防止空密码或弱口令问题。每台计算机都应该设置密码，密码不能太简单或易猜，以防止暴力破解密码。这是防止非法访问最基本的一步，也是保护信息安全最重要的一步；（2）安装杀毒软件。杀毒软件就像保险一样，在系统没感染病毒的时候它就像一个安全守护神，在感染病毒后，它能最大限度地对症下药，清除病毒，保护数据安全。尽管有的用户自诩计算机应用水平较高，能对付常规的病毒而不安装杀毒软件，殊不知，病毒也是在不断更新发展的，而杀毒软件背后是一个专门研究对抗病毒的技术团队，当出现新的病毒后，杀毒软件能在最短时间内通过更新方式获得清除新病毒的程序；（3）及时修复系统漏洞，打上安全补丁。虽然如今绝大多数用户对电脑安全的防护意识已经大大提高，但是“漏洞修复”可能永远无法拥有如“查杀病毒”同等重要的心理定位，漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。许多病毒都是通过系统漏洞进入系统，或者是利用系统存在的漏洞直接攻击或者控制计算机系统的。漏洞补丁可以通过开启系统自带的“Windows Update”功能实现从微软官方自动下载更新，也可以利用QQ管家、360安全卫士、金山卫士等安全管理软件实现按需下载。

2.5 利用VLAN技术，将校园网划分为数个小区域

VLAN作为一门新兴技术，一出现就获得广大网络管理员的认同，现已在大型局域网络中广泛应用。VLAN技术主要有以下优点：（1）减少广播风暴，释放更多带宽给用户，提高网络流通性；（2）提高网络安全，不在同一个VLAN内的数据在传输时是相互隔离的；不同VLAN间相互访问必须通过路由器或三层交换机来实现；（3）简化网络管理，增加网络灵活性，将有相同需求的用户划分在同一个VLAN，不必关心他们是否物理上相邻（基于网卡MAC地址）。引入VLAN，将一个大的网络划分为多个小网络，便于维护、管理，并且能将网络中每台计算机对全局的影响降到最低。根据不同区域的功能，将校园网分为服务器区、教学区、教工生活区、学生宿舍区、办公区等，并在每个小区域建立VLAN，对每个不同的区域给予不同的权限，从而防止跨区域的非法网络数据监听，也能较好地解决访问授权的问题。

2.6 加强网络管理，实行入网计算机身份认证

每台接入校园网的计算机都必须有对应的账号，而不是简单地设置个IP地址就能直接上网。上网计算机所访问过的任何站点，所打开过的任何软件都应该有记录，并且该记录还必须按需保存一段时间。目前很多网络管理类软件都可以实现此类功能，如四川民族学院校园网所使用的DR.Com软件，除能轻易实现以上需求外，还具有防代理接入功能，可防单网卡代理、宽带路由器接入；防共享上网；透三层绑定MAC地址；定时、实时广播、消息发送；有效防止IP盗用、MAC盗用上网；流量管制、带宽管理等功能。网络管理软件虽会给用户造成一定的不便，但对网络管理者管理全局网络是十分方便且有效的。所有的网络管理类软件都面临一个共同的问题——破解；网络上有许多关于网络管理类软件的破解使用方法，有些下载后就可直接使用，而有的则需有一定的计算机基础才能使用。因而，网络管理类软件在发现漏洞或出现破解版的情况下，需及时推出修补漏洞的升级版本才能避免出现监管真空区。

校园网有着最活跃的用户，有着最先进的技术应用平台。民族高校由于其特殊性，往往还担负着维稳等政治任务。只有加强民族高校校园网的安全运行与管理，加强常规安全检查，增加校园网安全管理投入，共同维护校园网，使其成为一个安全、可靠的网络，才能为民族高校教学科研改革服务，为维护社会稳定、促进民族地区经济文化大发展、大繁荣做贡献。

[1]四川农业大学信息与教育技术中心.警示事件[EB/OL].(2012-06-05)[2012-06-10].http://nic.sicau.edu.cn/html/lists/5.htm.

[2]陈新建.高校园网的安全现状和改进对策[J].网络安全技术与应用,2007(3):68-69.

[3]刘钦创.高校校园网的安全现状与对策[J].现代计算机,2006(3):103-106.

[4]陆凯.高校校园网网络安全问题的分析及对策[J].开封大学学报,2006(3):82-85.

An Analysis on the Hidden Risks and the Countermeasures on Ethnic Universities’Network

MOHong-ming,CAI Yong-zhi
（Sichuan Universityfor Nationalities,Kangding626001,China）

Combining the commonness and specialness between the ethnic universities and the non-ethnic ones,this paper mainly analyzes the network’s frequently-seen hidden dangers of safety,such as the number of nodes,users’different operating levels and the bad operating habits,the protocol’s loophole.And based on the reality of the campus network,the paper comes up with some tactics to enhance its safety,from the operating systems,standby redundancy, popularity of safety knowledge,the use of VLAN to simplify campus network,and strengthening network management byIDchecking.

ethnic universities;campus network;hidden dangers ofsafety;countermeasures

TP393

A

1008-178X（2012）09-0032-03

2012-06-19

四川民族学院2011年度校办自然科学项目（11XYZB006）。

莫泓铭（1983-），男，四川仁寿人，四川民族学院藏语文系助理研究员，从事计算机应用研究。