高校局域网安全问题分析及对策

2012-10-14贾美红翟海江

赤峰学院学报·自然科学版 2012年4期

关键词：局域网校园网防火墙

贾美红，翟海江

（1.阳泉师范高等专科学校，山西阳泉 045200；2.荥阳市71834部队，河南荥阳）

高校局域网安全问题分析及对策

贾美红1，翟海江2

（1.阳泉师范高等专科学校，山西阳泉 045200；2.荥阳市71834部队，河南荥阳）

随着网络的普及和社会信息化程度的提高，校园局域网已成为当前高校教学、科研、管理和对外交流的重要工具.校园网在为师生提供极大方便的同时，受技术、社会环境等各种因素的影响，存在着不少安全隐患，时刻威胁着校园网络的健康发展.本文针对当前高校局域网的安全问题进行了研究，并结合当前高等教育信息化深入发展的实际，提出了一些相应的对策.

高校局域网；网络安全；安全策略；入侵检测；备份

1 引言

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断.网络安全从其本质上来讲就是要保障网络服务的可用性和网络信息的完整性.网络安全受到破坏后往往导致网络服务中断或者网络信息缺失，特别是校园网，各部门的教学办公活动数据都采用网络集中存放，统一管理.因此校园网必须采取很好的安全防范对策，才能保证正常的运行.

2 高校局域网的特点

2.1 网络建设硬件设备多，联接复杂

高校局域网大都采用以太网拓扑结构，由核心、汇聚和接入三个层次构成.这种结构的网络，需要大量的服务器、交换机、路由器和微机等硬件设备，线路联接相当复杂.另外，校园网一般设置有两个出口，分别与内部网(Cernet)、国际互联网(Internet)连接.

2.2 网络建设软硬件比例失调

高校局域网在建设上长期存在“重硬轻软”的现象，在软硬件建设投资中，软硬件投资比例往往高达1:15，甚至更高，而国际上通行的比例是5:5，这样的投资使校园网在实际应用中发挥不出应有的作用，造成了硬件资源的极大浪费.软件的投资不足，导致大量盗版软件的泛滥使用，而这些软件本身就存在较多问题，例如留有后门、携带病毒等，影响整个网络的安全运行.

2.3 网络环境开放，管理松散

高校局域网的建设是一项持续的系统工程，需要随着计算机和网络的发展而不断完善，这就要求学校组织专门的人员进行定期的维护和升级.当前许多高校都忽视了这方面的规划和管理，加之，校园网的应用功能要求校园网络环境必须是开放的，管理上的疏忽就为网络安全留下一些隐患.

2.4 网络用户规模大，应用丰富

以不同的用户为划分标准，高校局域网可区分为学生去、教学区、办公区、家属区等.同时，校园内单位众多，各单位基本都有不少基于局域网的应用，这些应用功能各异、需求不同、体系繁杂.而应用系统越丰富，越容易有漏洞，出现安全问题.

高校校园网络拓扑示意图如下：

3 高校局域网面临的安全威胁

任何网络的安全威胁都不是单一的，而是立体的，关乎各个系统甚至整个信息网.因此，防护也可以从物理层、网络层、系统层和管理层四个层面进行安全风险评估，了解安全风险来自何处，从而更好地防御来自各个层面的诸多风险.

3.1 物理层安全风险

物理层安全风险主要是指物理层的媒体受到破坏，从而造成网络系统的阻断.通常包括诸如设备链路老化、设备被盗或有意无意被毁坏、因电磁辐射造成的信息泄露及各种突发的自然灾害等情况.

3.2 网络层安全风险

网络层安全风险主要是由于数据传输、网络边界和网络设备等引发的安全风险.

3.2.1 数据传输安全风险

数据在传输过程中，经常会出现窃听、恶意篡改或破坏等现象，而对于高校局域网而言，出现对多的是私接网络和假冒MAC、IP地址以取得上网服务.

3.2.2 网络边界风险分析

高校局域网由于应用功能，对INTERNET开放了WWW、EMALL等服务，如果局域网在网络边界没有强有力的控制，在受到非法访问或黑客恶意攻击时，服务器就会受到极大的破坏.

3.2.3 网络设备风险分析

庞大的校园局域网运行起来，需要大量设备，这些设备本身的安全也需要考虑，若是其中一些设备配置不当或者配置信息被改动，将会引起信息泄露，甚至整个网络全面瘫痪.

3.3 系统层安全风险

系统层安全风险主要来自高校局域网所使用的操作系统、应用系统.高校网络操作系统一般使用WINDOWS系列和类UNIX系列，这些系统开发商必然留有“后门”，如不进行相应的安全配置，将会后患无穷.而且随着计算机技术的发展，这些系统本身就会出现漏洞，校园管理人员大都不会经常进行安全漏洞修补.另外，一些用户的不当行为习惯，比如学生浏览黄色或暴力网站、使用带毒U盘等，都极容易使服务器感染病毒或者遭受黑客攻击.

3.4 管理层安全风险

高校局域网的安全威胁也可能来自于责权不明，如管理意识的欠缺、管理机构的不健全、管理制度的不完善和管理技术的不先进等管理因素.

4 高校校园局域网安全防御对策

4.1 设置访问权限

设置访问权限是校园局域网安全防御的第一道屏障，可用于判断用户的身份信息，主要使用口令机制，如登陆口令，共享权限口令等，以防止他人非法使用.尽管设置访问权限可起到一定的防御功能，但若是恶意用户使用网上众多的破译软件恶意破解，光有这个防御措施是远远不够的.

4.2 部署防火墙

防火墙是设置在网络区间的一系列软硬件的组合，如在校园网与INTERNET之间部署一道防火墙，可为内外网之间提供一道安全屏障.当用户执行访问时，可执行访问控制策略决定哪些内部站点允许外界访问和允许访问外界，从而保护内部网免受非法用户的入侵，同时还可对网络中的安全事件进行跟踪和审计.

4.3 部署入侵检测/保护系统（IDS/IPS）

IDS（Intrusion Detection System）是继防火墙之后，迅速发展起来的一类网络安全产品.它通过检测和分析网络中的数据流量，对网络和系统的运行状况进行监视，主动识别各种攻击企图、攻击行为或者攻击结果，最后确保网络系统资源的机密性、完整性和可用性.但当IDS检测出黑客入侵攻击，并且攻击已经造成一定的损失，IDS就无法阻断攻击，比如现在越来越多的蠕虫病毒、DDOS攻击、垃圾邮件等，往往会导致网络瘫痪.IPS（Intrusion Prevention System）就是IDS的替代产品，他可以通过检测和分析网络中的异常数据流量，识别自己是否存在安全隐患，主动对各类攻击性的流量，特别是发生在应用层的安全威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警.

4.4 部署WEB应用防护系统

WEB应用防护系统是针对一般防火墙无法解决的WEB攻击，防止网页被篡改、用户信息泄露、拒绝服务和非法入侵等问题的新型防火墙，主要工作在应用层，具有先天的技术优势.作为防火墙的合理补充，WEB应用防护系统能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性.

4.5 部署漏洞管理系统

网络采用的操作系统和各种软件在设计上一般会存在漏洞，需要用户定期下载补丁程序进行修补.据统计，黑客成功入侵80%都是因为系统存在漏洞却没有及时修补.部署漏洞管理系统能够有效避免因系统漏洞产生的安全问题.目前，一些现成的漏洞管理产品能够在发现系统存在漏洞、网络存在风险、或是出现新病毒时，及时向用户发送安全报告，并提供修补漏洞的程序下载.高校网络管理人员只需定期跟踪这些信息，及时安装漏洞补丁或升级程序就能很好地保护网络安全.

4.6 部署网络防病毒系统

在高校局域网部署网络防病毒系统，可对整个网络进行实时防护.网络防病毒系统非常适合大型网络，具有集中式管理、分布式杀毒的特点，可以选择一些适合高校局域网特点的网络防病毒系统，为校园网络提供多层次、全方位的保护.

4.7 部署内容安全管理系统

前面的防护措施基本上都是针对来自外网的攻击，但是不能监控和防范已授权的内网用户.而对于高校局域网来说，内网用户数量庞大，更容易导致网络安全事件，而且更加隐蔽，所造成的损失更加巨大，因此必须重视对内网的监护.内容安全管理系统，就是针对这个特点设计的，它可以监视用户在进行网站访问、邮件收发、P2P下载、论坛以及浏览视频时的操作，阻止一些网络安全隐患的发生，为校园提供一个安全、绿色的上网环境.