基于多层防护的校园网安全体系研究

2016-03-14孟建东

网络安全技术与应用 2016年12期

关键词：校园网防火墙漏洞

◆孟建东

（山东医学高等专科学校计算机教研室山东 276000）

基于多层防护的校园网安全体系研究

◆孟建东

（山东医学高等专科学校计算机教研室山东 276000）

校园网本身具有开放性和多样性的特性，仅仅在单方面采取相关的安全防护措施无法有效保证校园网的安全。目前，需要构建一个更加全面、多层次的信息安全防护体系。本文主要对高校校园网需要面对的安全威胁进行了相关的分析和研究，并提出了建立多层防护校园网的安全体系。

校园网；多层防护；安全体系；网络安全

0 引言

伴随着国内教育信息化的不断发展，各高校都逐渐建立起自己的校园网络，并且校园网的建立对学生间的学术交流与高校的教学管理都有着非常重要的作用。学校是研究和开发新技术的聚集地，其保存着大量的科技研发成果和一些相关的技术资料，同时校内的师生富有活跃的思维和创造能力，乐于将先进的科学技术应用到生活当中，而且有着强烈好奇心的他们容易试验各种黑客技术和工具，威胁着学校校园网络的安全。因此，构建一个安全、实用的安全防护体系是迫切需要的。

1 校园网所面临的安全威胁

校园网络不但需要提供开放的网络资源和上网需求，而且需要确保整个校园网络系统的安全性。校园网络遭受的攻击主要来源于两个方面，第一个是来源于外部公网的攻击，第二个是来源于校园网内部的攻击[1]。由于校园网的用户较多，遭受内部的攻击或者是操控内部主机对外进行攻击的情况占多数，这些行为所引起的破坏已远远大于外部攻击。校园网络主要面临的安全威胁分为以下几点。

1.1 网络物理造成的安全威胁

学校内应用的路由器、交换机、工作站以及各类网络服务器等硬件设备和通信设备容易受到自然灾害和人为破坏，甚至是搭线监听等攻击[2]。

1.2 人为失误造成的安全威胁

由于学校网络管理人员的一些无心操作所造成的安全威胁主要包括以下几方面：第一，打开了网络设备中没有应用的端口或是应用了系统默认的配置，使攻击者能够通过端口扫描技术获取相应的端口信息，进而进行非法访问；第二，学校网络管理人员没有较强的安全意识，一些非管理人员随便进出学校中心机房；第三，对全部网络设备设置了相同的密码，或者是设置的密码过于简单。

1.3 人为恶意攻击造成的安全威胁

（1）计算机病毒：是指一种可执行的程序代码，它能够将自身附着在各种类型的文件上，随着文件传送到另一用户上。它具有传播性、感染性、隐藏性和破坏性等特点。计算机病毒的传染是从网络上进行的，其传播的方式主要是在软件下载、发送邮件等过程中病毒附着在文件进入到内部网络，而后对网络开始进行攻击。

（2）特洛伊木马：是指设计者根据系统中存在的某些缺陷而有意创造出来的，是一种对用户系统进行攻击，任意盗取、毁坏被攻击者文件的工具。使用特洛伊木马能够远程操控被攻击者的系统，对学校网络信息的安全性和完整性造成一定的影响。完整的特洛伊木马套装程序包括着两部分：服务器部分和客户端部分。攻击者首先将服务器植入受害者的电脑中系统中，再通过客户端进入到已经运行服务器的电脑，进而能够远程操控受害者电脑，来获取受害者信息。

（3）恶意程序代码：恶意程序代码是一种带有危险性的代码。一些攻击者利用恶意程序代码来寻找网络系统中存在的漏洞，通过发现的漏洞对受害者进行攻击和侵入，并且将成功入侵的电脑当做根据地，再对网络内其他的电脑进行攻击，从而引起网络系统全部瘫痪或者是损失较多的数据。

1.4 系统漏洞造成的隐患威胁

校园网络中涵盖着大量的服务器和终端设备，在这些服务器和终端设备上运行的操作系统、管理软件和应用软件等都有着一定程度上的漏洞，而这些漏洞就成为了黑客攻击的对象。以往发生的黑客攻入网络内部的情况，大多数是网络系统和应用软件存在漏洞而造成的。

1.5 机密文件存储和传送过程中的隐患

假如计算机系统遭受到黑客攻击时，在计算机中存储的机密文件没有采取适当的加密措施，很可能会导致文件被盗取。同时，在传送机密文件过程中，需要通过多个节点,很容易造成被黑客监听。所以,机密文件的存储和传送对网络安全也具有一定的威胁。

2 分层防护体系的建立

通过对校园网内面临的安全威胁的相关分析，能够了解到校园网内存在着较多不安全成分，如果只从一面安全威胁采取相应的对策不能满足对安全的要求，需要利用多种技术来确保信息的安全。根据上述情况，结合学校自身情况建立多层防护体系，并采用不同的技术来确保整个校园网络的安全。

2.1 外部网络

外部网络层主要表示是校园网路由器和防火墙之外的公共用网，当前国内高校接入公网的方式主要包含中国教育网和中国公用计算机互联网等接入。为有效保证数据在公网传送时不被监听，可采取以下两种防范措施：

（1）虚拟专网（VPN）技术：这是为外部网络用户可以通过公网安全访问到校园网内部网络的一种连接方式。它可以通过利用特殊的加密通讯协议让连接在Internet上的不同校区之间架起一条特有的通讯线路，就如同建立起一条专线，从而有效防止数据在公网传送时被监听[3]。

（2）加密技术：在外部网络中进行数据传送，例如发送电子邮件，采取密码技术是有效保证信息安全的常用方法。当前被普遍应用的加密算法为对称算法和非对称算法，结合应用两种方法，再采用数字签名、数字证书以及数字水印等技术，进而保证了通信的安全性。

2.2 内部网络

内部网络主要表示是校园内的网络设备、服务器和各类终端设备，其主要应用到教学、科研、管理、信息资源共享等方面，并且由校内网络管理员对计算机局域网系统进行维护。为有效保证内部网络的安全性，主要采取以下几种措施进行防护：

（1）建立防火墙系统：防火墙是由硬件和软件组合而成的，它在内部网和外部网间构建起一个安全网关卡，筛选经过的各种数据包，并决定是否将这些数据包输送到目的地[4]。它还可以控制着信息进出的流向，提供网络使用情况和流量的审查等细节。

通过设置防火墙能够有效防止遭受到多数的外网络攻击。防火墙可以依照具体的功能设置，作为网络总出入关口，必须要设置具备高性能的硬件防火墙，在内部网络中可以根据各院系实际情况来设置防火墙软件，比如ISA Server 2004。除此之外，无线网络接入方式的快速发展，使一些终端用户逐渐应用到该上网方式。无线上网没有通过校园网的防火墙而是直接连接外部网络，对此形成了较大的安全隐患，所以需要教导运用无线网的用户应用个人防火墙。

（2）防范病毒：防范病毒主要是将集中式病毒防杀和单机病毒防杀有效结合到一起。近些年出现了大批的网络病毒，而且这些病毒都具有非常强的感染能力，仅仅校园网中一台电脑受到病毒感染，该病毒就会自动查找其他电脑中存在的漏洞，一经发现就侵入到该电脑，同时它还可以占用大量网络宽带，进而导致网络出口堵塞，影响网络正常运行。

实时更新的单机病毒防杀系统能够有效避免个人计算机遭受大部分的病毒侵扰，可是如果校园网内其他用户计算机感染病毒，就会导致网络性能降低，也是会影响到其他没有被感染的计算机正常使用，因此，防范网络病毒的传播也需要利用集中式病毒防杀措施，在校园网中建立病毒防杀中心。集中式的网络防杀系统不但能够管理多台联网计算机，统一清理联网计算机的病毒，还能够公布病毒防杀信息，自动更新和升级病毒库，具有较好的预警能力。

（3）入侵检测：校园网络管理员可以利用一些安全软件检查网络上流动的数据包，辨别非法入侵和其他一些可疑行为，能够及时进行有效的防护。

2.3 应用系统

应用系统是网络服务最为核心的部分，但也一定程度的缺陷：其一，系统设计和开发的延时性而造成漏洞的形成；其二，应用系统的服务配置也具有一些不安全的问题。针对这些系统存在的漏洞，必须要采取有效措施来弥补漏洞，及时安装补丁程序；然而针对应用程序安全配置的问题，一定要在服务系统建立时对应用系统配置文件进行相关的研究，并按照实际应用情况对配置进行优化，进而减少应用服务上的漏洞，同时适当关闭不应用的服务和端口。网络管理员需要定期检查终端设备、服务器和交换机的漏洞，发现漏洞后及时采取补救措施。