摘 要:建设校园网时,如果缺乏安全意识、安全管理,整个校园网的安全将会面临极大的威胁。因此,使用相关的安全技术去构建一个安全、可靠的校园网络成了当前急需考虑的问题。
关键词:校园网;网络安全;防范技术
因为院校教育信息化的不断发展,信息网络在学校的教学、科研及管理中起到了不可或缺的重要作用。使得高等院校的核心资产变成了信息网络。可是网络的开放性特点(尤其是Internet的全球性),使得网络面临着巨大的安全性风险。首先诸如病毒、网络漏洞、拒绝服务、网络破坏性攻击等网络威胁的存在;其次不完善的网络协议、各种软件;还有网络管理人员的错误,最终使风险成为实际的灾难。不断发生的网络入侵事件,令校园网络的安全和正常使用都受到了严重的威胁。如网络中断,数据被盗用、暴露或篡改,更甚者使学校与外部的联系中断,从而使得学校正常的教学及科研工作不能够顺利开展。
造成这种状况,初步分析原因主要有:
1.不合理的投入比例
只有增大校园网硬件设施的投入,才能获得校园网的速度和规模,相应的校园网的用户群体也得到提高。恰恰正由于高宽带和用户量大这两个特点,网络安全问题才显得比较严重。数千台计算机的安全只能靠少数工作人员来维护,投入明显不足。
2.校园网中的计算机系统管理难度大
由于很难在所有的端系统实施统一的安全政策,这样便使得“入侵者”有机可乘,病毒泛滥。
3.滥用盗版
一方面由于操作系统本身存在的网络安全漏洞,如NT服务器及Windows桌面PC,会给网络安全带来了一定的隐患。如:安装盗版的计算机系统存在大量的安全漏洞。另一方面,如果从网络上随意下载软件,这些软件中可能隐藏着木马、后门等恶意代码,因此而成为攻击者侵入和利用的突破口。
4、活跃的用户群体
校园网中最大的用户群体是大学生,他们好奇心强、求知欲旺,勇于尝试,但是缺乏法律意识,自控能力相对也比较差。在这种情况下,他们完全出于好奇的会对校园网发起非恶意攻击,这也是对校园网络安全性的一种极大考验。
5.不健全的机制
首先校园网中没有对用户实行有效的身份认证机制,其次网络系统的安全性缺乏有效的手段进行监视、评估,还有就是不能采取有效的入侵检测办法,同时针对入侵采取主动式的防御措施。
6.网络的开放性
由于校圆网担当着学校教学、科研、管理和对外交流等许多重要角色,为保持学术气氛活跃和应用便利,通常不能实施过多的限制。也就决定了校园网络环境应该是开放的、管理也比较宽松。
7.网络不可信
没有有效的整合各种安全技术及措施,并使它们协同工作,形成不了一个安全可信的体系结构。
8. P2P下载
校园网提供的迅雷、BT、电驴及Flashget等下载软件服务,使得用户利用这些软件下载音乐、视屏时,占用了网络大量带宽。这严重影响校园网的运行。
9. 垃圾邮件
校园网的电子邮件服务器缺乏有效的邮件过滤机制和限制邮件转发机制,从而使其成为大量垃圾邮件的中转站、垃圾邮件的攻击对象。这样不仅会造成邮件服务器阻塞,还会增大校园网的网络流量,更有甚者导致邮件服务器崩溃。
虽然有关于网络安全的法律法规,也制定了网络安全机制,但是由于各种各样的原因,并没有得到很好的贯彻和落实。相反,黑客却经常利用网络这个平台进行技术交流活动。由此可见,构建一个合理的、主动的、系统的校园网安全体系显得至关重要。
由上分析可知,校园网络安全存在的主要问题就是如何对病毒进行预防、对访问进行控制、对身份进行验证和加密技术、修补系统安全漏洞等。一个网络,既要从网络安全技术、网络设备、网络结构、操作系统和网络应用等多方面考虑网络内部的安全性,又要考虑本网络和外部网络互联时的安全性。
一、防火墙技术
目前最为流行、使用最广泛的一种网络安全技术就是防火墙技术。 防火墙是指一种将内部网和公众访问网(如Intemet)相对分开的方法,说到底其实就是一种隔离技术。当两个网络进行通信时,防火墙作为一种访问控制尺度,它既可以使用户“同意”的人和数据进入自己的网络,也可以使那些未经用户认可的访问者和数据禁止通行。通过这个方式,黑客便不能随意入侵网络更改、拷贝和破坏用户的信息。防火墙主要有三种类型:包过滤型、代理服务器型、全状态包过滤型。
二、入侵检测技术
仅仅靠防火墙技术的应用往往不足以保证网络的安全,尤其是不能抵御来自防火墙内侧的入侵。入侵检测系统是以智能和动态分析为基础,在当今的网络的作用越来越强大,它不仅可以实时检测来自外部的入侵行为,还可以实时检测到来自内部的未授权活动。同时能够及时采取相应的记录证据、跟踪入侵、恢复或断开网络连接等防护手段。入侵检测实行的是以攻为守的策略,它不仅能够发现合法用户滥用特权,还能成为追究入侵者法律责任的有效证据,从而有效的弥补了防火墙相对静态防御的不足。
三、身份验证技术
校园网上运行着教学管理系统、财务管理系统和各种对外服务如Web,FTP服务等数据库系统。如果安全措施不到位,这些数据就会有被非法取出、被复制,从而造成信息的泄露,更甚者数据被非法删改。目前校园网络是以Windows为主的操作系统平台,对应的主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面【2】:
1.操作系统安全策略用于配置本地计算机的安全设置,包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派等安全选项。
2.安全管理策略是指网络管理员对系统实施安全管理所采取的方法及策略。
四、访问控制技术和内容审计技术
访问控制也叫接入控制。当非授权用户进入网络、访问计算机资源和通信资源时能够得到及时禁止。访问控制可以根据用户的身份赋予其相应的权限。从而当用户发起访问时,可以根据规则判断主体对客体的访问是否合法。判断的方法主要有口令、用户分组控制和文件权限控制。内容审计的内容有:发邮件的审计、WEB网页审计、TELNET审计、FTP审计和即时聊天工具审计等。
五、VPN技术
VPN(Virtual Private Network)虚拟专用网是指通过公共网络将物理上分布在不同地点的网络连接成逻辑上的虚拟子网,并采用一些在公用网络上构建
专用网络的技术,比如认证、访问控制、机密性、数据完整性等,使得数据能够很安全的通过“加密管道”在公用网络中传播。VPN技术利用在广阔的广域网中拉专线的方法,使得内部信息能够在公共信息网中进行传递。
六、漏洞扫描技术
漏洞扫描可以实现自动检测远端或本地主机安全弱点。它在查询TCP/IP端口的同时记录目标的响应,并收集正在进行的服务、拥有这些服务的用户是否支持匿名登录、是否有某些网络服务需要鉴别等信息。通过安全扫描,便能在很短的时间内收集到安全弱点,并解决这些问题。
七、加密技术
加密是指只有收发双方才能够通过对信息的重新组合,从而还原信息的技术。数据加密技术使得网络上的信息系统及数据的安全性和保密性得到提高,从而有效防止秘密数据被破坏。它是许多安全措施的基本保证。加密后的数据在传输、使用和转换时将不能被第三方知晓内容。基于该特点,使用数据加密技术是确保校园网络中传送信息安全的重要保证。
实际建设管理网站经验表明,只有用以上技术保证了校园网站的安全运行,才能为学校的教学、行政管理、信息交流等提供一个安全的网络平台。
参考文献:
[1] 韩东海,王超,李群.入侵检测系统实例剖析.北京.清华大学出版社,2002.
[2] 李明,王柏盛.虚拟专用网J(VPN)技术【J】.电脑知识与技术,2005,(9).
[3] 陶宏才.潘启敬,对我国高校校园网建设的看法与建议.计算机应用,2006.
[4] 余勇.信息系统安全防护技术全扫描【N】.计算机世界报,2005-09.
[5] 卿斯汉,冯登国.信息系统的安全.北京:科学出版社,2003.
[6] 康仲生.基于内容的网络信息安全审计系统【J】.福州大学学报,2005.05.