校园网的安全及对策
2013-04-29李奎
李奎
摘 要: 随着学校信息化建设的不断加强,应用领域在不断扩展,但是面对的安全威胁也在不断增加,校内和校外的安全威胁同时存在。保障校园网的安全运行成为校园网建设中的重要课题。使用防火墙进行访问和控制,采用入侵检测系统,VLAN技术的使用,VPN使用,漏洞扫描,身份认证等方式保证信息化校园的安全,建立较为全面的校园信息安全体系。
关键词: 安全威胁 校园网络 解决方案
1.引言
由于互联网技术的快速发展,网络在校园中的应用领域越来越广,参与了学校的教学、科研、管理、校园一卡通和对外交流等,已成为高校不可或缺的基础设施。但是由于网络设计的开放性、互联性及对安全的防护设计先天不足,随着网络规模的扩大,面临的安全威胁种类不同,而且增长速度惊人,因此需要建构各种技术融合的立体的安全体系保障校园网的安全。
2.校园网络面临的威胁
安全威胁的类型包括数据安全和系统安全。当前校园网络中的绝大部分机器采用Windows系统,漏洞最多,经常被黑客攻击,受到的病毒威胁也最多,这些都是系统安全的范畴。而数据安全威胁主要指信息被窃听,篡改、无法传递和伪造信息。网络在运行中面临的安全威胁的表现有如下方面:
(1)非法访问。利用假冒和欺骗的手段获得合法的访问权限,或者超越用户拥有的合法权限获取资源,篡改信息,改变设备的配置信息,甚至是从事违法犯罪活动。校园网络是对学生开放的,但是有许多资源是要授权访问的,比如成绩管理系统和在线考试系统都需要口令,从校外访问网站一些期刊、科研信息与成果等资源也是需要身份验证的。大学生群体中也会存在一部分人试图利用已学技术非法访问一些资源。
(2)木马、病毒泛滥。用户使用感染病毒的U盘及其他存储设备,访问一些带有病毒的网站,收取藏有病毒的邮件附件,这些因素都可导致计算机感染病毒,由于处在网络中,传播迅速,带来了极大危害,威胁了计算机网络的安全。
(3)因特网上非法和不良内容的访問。学生可以通过校园网络访问因特网,而因特网上资源鱼龙混杂,存在色情、暴力、赌博等网站,大学生群体是所有网民中最活跃的,很容易就可以接触到这些信息。阻止学生浏览和下载不良信息,促进学生身心健康成长也是学校德育工作的一个方面。
(4)拒绝服务攻击。此攻击的目的是使计算机或网络无法提供正常的服务,有带宽攻击和连通性攻击。常见的带宽攻击指用大量的垃圾信息冲击网络,使得所有可用资源被消耗殆尽,无法处理合法的用户请求。连通性攻击指大量的信息冲击计算机消耗掉计算的操作系统资源,计算机无法满足合法用户的请求。
(5)安全漏洞。微软是这样定义的:即使使用者在合理配置了产品的条件下,由于产品自身存在的缺陷,产品的运行可能被改变从而带来非设计者预期的后果,并可能最终导致安全性被破坏的问题,包括使用者系统被非法侵占,数据被非法访问并泄露,或系统拒绝服务等。漏洞本身不会对系统产生损害,只有其被恶意利用时才会产生危害。
3.校园网络安全解决方案
针对校园网络的安全,可以采用多种先进的技术构建一个网络安全体系,最大限度地发挥这个体系的功能,应对来自网络内部和外部的安全威胁,但是几乎不可能从根本上解决网络安全问题。目前主要有防火墙技术、VPN技术、VLAN技术、分布式防毒软件、入侵检测技术、身份认证等。
安全技术采用的越多,安全保障就越有力,但由于成本等因素,部分高校不可能使用许多的技术构建一个层次分明的安全防护体系。下面简单探讨由各种技术构建的校园安全体系结构。
(1)防火墙技术。防火墙是一种用来加强计算机网络之间访问控制的特殊的网络互联设备,对流经防火墙的数据按照规定的策略进行检查,允许内部用户对外网的合法访问,阻止对内部信息资源的非法访问,过滤掉不良信息的目的,即只允许被授权的访问。防火墙的技术在不断发展,功能和分类也在变化,根据防火墙处理的对象不同,可以分为包过滤防火墙和应用层网关。
包过滤防火墙是早期的一种防火墙,检查通过防火墙的每一个数据包报头,用一个新的报头替换掉旧报头,离开防火墙。这种工作方式不占用带宽,但是攻击者可以得到防火墙内部的地址并锁定机器,同时防火墙只检查源IP地址,容易受到IP欺骗攻击。
应用层网关也叫代理服务器,运行在应用层上,客户端将请求送至代理服务器,由代理服务器向服务器请求数据,代理服务器收到后交给客户端。应用层网关阻隔了外界和内部的直接联系,减少了蠕虫、木马等造成的危害。但是每次连接时有多余的开销,访问速度会变慢,每一个服务都需要一个特定的代理软件,新开发的应用,也需要开发相应的代理服务。
(2)入侵检测系统。入侵检测技术是一种主动安全技术,收集网络系统内若干不同关键点的信息,分析采集的信息与已知的网络入侵和系统误用模式数据库进行比较,发现网络系统中存在的攻击和违反安全策略的行为,发出警报并可协调防火墙拦截数据。
入侵检测系统应尽可能在更大的范围内采集信息,这样才有可能发现疑点,数据负荷比较大;只能发现已知的入侵行为,没有智能;有一些正常的数据的特性符合已定义的策略而被误报,同样一些真正的入侵行为没有发现而被漏报。
(3)虚拟局域网VLAN。虚拟局域网是将一些有共同需求的设备划分成一个网段而构成一个逻辑组,突破了地理位置的局限,但是必须属于一个逻辑广播域,对于一个VLAN内的终端可以分布在不同的交换设备上。
由于广播信息限制在同一个VLAN内,减少或者避免了网络风暴,同时提高了网络整体的带宽。设置交换机访问控制列表可以实现不同虚拟网间的访问。对不同位置的用户加入或退出VLAN,通过对交换机做一些设置和更改就可以轻松实现,摆脱了传统的网关方式。设置交换设备的ACL可以实现基于访问表的安全防范策略。
(4)VPN。高校近年的快速扩张,导致一个高校拥有多个校区,校区之间需要安全的数据共享,师生员工不在校园需要访问校内资源时,使用VPN就是一个很好的解决方案,既兼顾了经济成本又提高了安全。VPN是公用网络平台上搭建的点到点的逻辑链路,并不存在物理上的线路,用户的数据在专用的虚拟通道中进行传输,使用了加密和认证技术,拥有了类似专用网的安全性能,可以实现数据的安全传输。目前常见的技术有IPSecVPN、MPLSVPN和SSLVPN。高校一般采用SSLVPN解决方案。
SSLVPN是基于应用层的且不需要专用的客户端软件的方案,能够细化接入控制功能,提供用户级别的认证,用户可以从任何地方远程连入企业内部网,由于SSLVPN安装在内网防火墙之后,可以在不改变原有的网络结构情况下增加需要VPN服务的服务器。但是SSLVPN允许用户从任何地方运行Web浏览器,访问网络资源。网络会暴露于情况不明的计算机面前,有可能遭到攻击,一些SSLVPN解决方案为了提供功能全面的访问会要求客户端浏览器安装插件,但是远程主机因不允许而遭到拒绝访问。同时,浏览器可能会把文档和屏幕缓存存在远程主机上,只要点一下后退按钮,就有可能显示机密信息,给企业内部网带来很大的安全隐患。SSLVPN具有广泛的适用性和使用的方便性,可以远程访问内网B/S服务器、邮件服务器等,VPN具有极强的可控制性,为用户提供个性化的服务和管理,用于访问只有内部网才有权访问的专用信息资源,例如付费的数据库及技术资料等。
(5)身份认证。由于校园网的规模较大,而用户群也最活跃,师生员工接触到新技术的可能性也比较大,特别是学生充满好奇。校园网面临终端有意或无意的攻击,发起arp攻击的主机占用了整个网段的IP地址,其他机器无法接入网络;还有常见的DDOS攻击,网络的带宽被耗尽后无法提供正常的服务。同时学校的教学和科研也决定了校园网的开放特质,因此为了校园网络的安全,大部分高校采用了身份认证方式接入校园网。
身份認证方式也经历了几个发展阶段。最早期的就是PPPOE的身份认证系统,它对每个数据包都要进行拆解、识别,再次封装后转发,所有的工作是由价格昂贵的宽带接入服务器来处理的,一旦数据包过多,封装速度跟不上就成了瓶颈。随后出现了基于业务类型的Web/Portal认证方式,用户只要用Web浏览器就可完成认证,简单快速。但是由于工作原理限制在断电等异常故障后不易检测到用户离线状态,用于计费系统也不合适。现在采用802.1x协议实现身份认证解决了以往身份认证方式的缺陷,实质是对以太网端口进行识别,认证没有通过,端口将被禁止接入网络。
(6)网络杀毒软件。计算机病毒在互联网普及之后得到了迅速发展,更多破坏性强的病毒可以在很短时间内感染全球网络,对互联网构成了巨大威胁,也会产生极大损失。单机使用的杀毒软件只能防杀本机的病毒,无法应对网络病毒,如果本身出现问题,则更会影响整个网络。因此单机杀毒已经很难适应网络时代病毒的传播和查杀。
高校的校园网络为了应对病毒和攻击,都购置了价格昂贵的信息安全设备,但是因为管理问题仍然产生一些问题,单纯的防毒软硬件无法防杀所有的威胁;无法及时响应针对漏洞的攻击。现在的网络杀毒软件具备了安全管理与统计报表的功能,可以帮助信息安全人员进行相关管理。安全管理包括了统一安装、杀毒及管理功能,甚至还可以实现远程桌面、用户划分为不同的组及漏洞修补等。统计报表功能可以统计所有授权用户的病毒感染情况,可以按时间、按部门、按病毒种类统计企业全网中的病毒情况,并形成各种报表,同时促进本地升级,减少网络出口流量。
3.结语
采用各种技术构建一个全面的校园信息安全体系,全天候地保护校园网络,提供给师生一个安全的网络环境。随着网络环境的变化,也暴露出不同的安全问题,要随时维护和改变网络安全体系。在使用各种技术时要综合考虑网络的可扩展性和可管理性等因素,减少以后的网络升级和变化的投资。
参考文献:
[1]博新宇,管志远.高校网络安全问题及对策.实验技术与管理,2011(11):188-190.
[2]曹丽萍.浅析杀毒软件的现状及趋势.电脑与电信,2009(05).
[3]易光华,傅光轩,周锦顺.MPLSVPN、IPSecVPN和SSLVPN技术的研究与比较.贵州科学,2007(06).
[4]查贵庭,彭其军,罗国富.校园网陆安全威胁及安全系统构建.计算机应用研究,2005(03).
[5]张栋毅.校园网络安全分析与安全体系方案设计.计算机应用,2011(12).
[6]胡光民,柯立新.校园网络安全与准入身份认账.上海海洋大学学报,2010(03).
[7]肖阳,李阳.校园网络的多层安全体系研究.中南林业科技大学学报,2010(04).
[8]邱文祥,许辉.校园网的安全防护研究.电化教育研究,2007(09).
[9]程光,张艳丽,江洁新.信息与网络安全.清华大学出版社,2008(06).