1网络病毒攻击
计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。网络病毒是计算机病毒的一种,此外,计算机病毒还包括文件病毒和引导性病毒。网络病毒是通过在互联网上传播、感染网络上的可以执行的文件(例如:DOC、EXE、COM等可执行文件),这些病毒文件会感染处于网络中计算机上的正常文件。常见的网络病毒有木马、蠕虫病毒、恶意脚本等。
2垃圾邮件和间谍软件
垃圾邮件一般是利用垃圾邮件群发器来批量发送的。在校园网如果是单纯的用作广告宣传的垃圾邮件一般影响不是很大,假如是有恶意的网站宣传(如钓鱼网站等),这些可能会对校园网用户造成很大的损失。在没有使用邮件网关等防护设备的情况下,校园网的邮件服务器可能瞬间会受到大量的垃圾邮件的恶意攻击,可能使服务器难以响应大量的通信信息,导致邮件服务器瘫痪,从而影响用户正常的收发邮件。所谓间谍软件就是在计算机用户毫不知情的情况下,安装在用户计算机上的后门,用以搜集用户的敏感、机密信息的恶意软件。有些间谍软件甚至能远程控制办公用户的电脑或应用服务器,形成庞大的计算机“僵尸网络”,这无疑是校园网面临的重要的安全隐患之一。由于网络的开放性、互联互通的特性,除了上述三个主要的威胁高校校园网的因素外,网上丰富资源良莠不齐,对于教书育人的高等学校来说,学校如果没有类似上网行为管理功能的设备,在校大学生面对形形色色的网上资源,可能会浏览、下载或上传暴力、反动、色情等不良的信息,这些都不利于学生身心健康,给学校的教育带来负面的影响,后果不堪设想。在目前的国内高校,校园网与外网之间基本上都有出口防火墙,可是对构建安全的校园网,这还远远不够。由于安全意识或资金方面等方面的种种因素,高校校园网的安全体系构建还不够完善,这就给黑客、网络病毒增加了入侵校园网的机会,如果校园网经常遭受黑客攻击、网络病毒泛滥、分布式拒绝服务攻击等等,这些都会给学校造成无法挽回的损失。因此,构建一整套校园网络安全管理体系势在必行,必须采用先进的网络管理技术和设备,构建分布式、多层次、全方位校园网安全体系结构。
3高校校园网络安全体系的构建
3.1校园网的安全策略
安全策略是指在某种特定的网络环境下,为实现网络某个安全保护级别所必须遵循的规则。根据性质不同,可以分为基于规则、基于身份、基于角色三个方面安全策略,其包括领先的技术、规范的管理和相关的法律。构建网络安全体系的基础和核心是安全策略,它决定如何采取措施进行保障网络系统的安全运行。(1)总体构思:在充分了解现实的前提下,制定出适应高校数字化校园总体建设规模的校园网安全与防范规划蓝图;依照总体蓝图,逐步完善实施网络安全与防范工作构想。(2)设计原则:针对繁多复杂的攻击和网络病毒的入侵,采取单一设备或技术去防范复杂体系下的校园网的安全隐患,是不切实际的。因此,高校校园网的安全策略的设计必须从两个方面、三个层面上进行,即在学校内网与外网结合采用不一样的安全策略;依照学校网络中心管理员、二级学院管理员、具体用户三个层面展开分布式的安全防护。(3)框架体系:依据高校校园网的建设原则,构建校园网安全防护体系应该从管理优先的角度考虑,即主要由校园内网安全防御体系结构、隔离外网的屏障和相关的安全管理策略平台组合而成。
3.2构建校园网的安全技术
构建高校校园网络安全体系的主要技术有:防火墙技术、入侵检测技术、入侵防御技术、数据加密技术、虚拟专用网技术、访问控制技术以及防病毒技术等。防火墙技术是建立在信息安全技术和现代网络通信技术基础上的应用性安全技术,防火墙主要由4个部分构成,分别为服务访问策略、包过滤、应用网关和验证工具。它是通过监测和控制网络之间的访问行为和信息交换来实现对网络安全的有效管理,其基本功能为:对进出网络的数据进行过滤;对访问内网的行为进行管理,禁止某些非法的规则、攻击行为;对网络攻击行为进行检测和告警等。入侵检测技术是一种用于检测计算机网络中违反安全策略行为的技术,通过对系统数据进行实时的分析,一旦发现非授权的网络访问或攻击等入侵行为时,立即采用报警、切断入侵链路等对抗手段,增强了系统应对网络攻击的能力。入侵检测系统(IDS)是入侵检测的软件与硬件的组合体,它不仅能够识别和处理外部网络的入侵行为,而且可以防止校内非授权用户的网络行为,让系统管理员随时掌握学校网络系统的运行状况,在一定程度上弥补防火墙的不足之处,是对防火墙的补充。入侵防御技术是对防火墙的防御功能和入侵检测系统检测功能的综合,它是一种积极主动地针对外网的入侵行为进行实时地防范和阻止的技术,它部署在局域网的出口处,每当检测有网络攻击行为时,采取措施立即中断、调整或隔离那些非正常或具有破坏性的网络传输行为,会自动地把攻击数据包丢弃,使攻击数据包无法到达目标主机。所以,从根本上解决了黑客的攻击行为,入侵防御系统(IPS)是对防火墙和防病毒软件的补充。数据加密技术是指将一个明文经过加密钥或加密函数加密,转换成无意义的密文,对方则是通过解密钥或解密函数还原成明文。数据加密技术能够保障数据流在传输和存储的过程中有效地应对异常截收或非法访问等威胁。数据加密技术是保障校园网网络安全特别是信息安全最基本的技术措施,它是网络安全技术的基石。虚拟专用网技术(VPN)是建立在公网上的专有网络。VPN是依靠网络服务提供商,将校园内部网与公网建立连接,在公网上建立起多校区校园网络间的专用数据传输通道(隧道)。它自身并不是一个独立的物理链路,而是一种逻辑链路,在逻辑链路上加密传输的用户数据信息,所以把它称为虚拟专用网。访问控制技术是在身份认证的基础之上,根据预先指定的策略组授权对提出数据资源访问请求的用户加以控制,保障了校园网的数据资源安全。访问控制是数据资源保护和网络安全风险防范的主要策略之一,它是校园网络系统完备性、保密性和安全性的重要基础。上述是构建高校校园网络安全体系的主要技术,随着互联网科技及网络攻防技术的进一步发展,校园网需要不断完善网络安全体系,如可以采用电磁屏蔽、红外报警等技术保障物理设备(服务器等)的安全;使用漏洞扫描系统设备扫描校园网计算机的漏洞,利用补丁分发系统修复计算机系统漏洞;使用WAF防火墙针对校园网网站的防护;在校园网部署网络版杀毒软件;针对垃圾邮件泛滥可以使用邮件网关系统对垃圾邮件进行过滤;非正版软件可能存在木马或病毒,需要在校园网推进软件正版化工作;对校园网络用户进行网络安全知识教育,文明用网;切实加强校园网运维管理等等。
4结束语
俗话说“:道高一尺,魔高一丈”,所以,构建校园网安全体系,不是一劳永逸的事情,需要不断地加强、完善相关校园网的安全体系,让“道”始终走在“魔”的前面。只有这样高校校园网络的诸多应用服务系统(Web、DNS、OA、Mail等)才能有序正常地运行,实现真正充分利用网络资源,服务全校师生、服务校园的教学科研。
作者:宋斗超 单位:淮阴师范学院现代教育技术中心
1来自网络外部的安全威胁
对于网络外部的威胁主要有:入侵、攻击、扫描、病毒等各种安全问题。网络入侵是通过互联网进入校园网中,篡改数据,或实施破坏行为,造成网络业务的瘫痪。目前,这种攻击是主动的、有目的、甚至是有组织的行为。而病毒和木马等问题是与非安全网络的业务互联,在通讯中携带而来,一旦在校园网中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。目前,很多高校的服务器都是直接上联到外网出口防火墙,或者是上联到核心交换机上,服务器对于来自网络内部的攻击行为无法做到安全防护。一旦出现病毒攻击或者出现来自内部的入侵行为,校园网中的应用服务将出现中断。
2校园网络安全解决方案
基于对以上校园网中的安全威胁,我们提出了以下安全策略:
2.1升级网络基础交换设备
将校园网内所有交换机全部升级为安全智能接入交换机。智能接入交换机具备大容量访问控制功能,能够屏蔽常见病毒端口,将病毒攻击,网关攻击等行为限制在接入层。并结合用户上网认证系统,对用户进入校园网的权限及可用资源实行规范、分级管理。
2.2集中对校园网内所有上网场所进行监控和管理
配置上网认证系统和行为日志系统,使校园网内所有上网用户不但要通过统一的身份认证系统确认,而且,也要使得合法用户的所有上网行为受到统一的监控。上网行为日志系统需可根据不同的用户、时间以及应用等进行实时的监控,对访问威胁网页行为进行阻断,防止一些病毒和木马通过访问网站进行传播。上网行为的日志要集中保存在中心服务器上,保证记录的法律性和准确性。
2.3配备系统的、完整的网络安全设备
在校园网的内网和外网接口处配置统一网络安全控制和监管设备,一般包括:防火墙、入侵检测与防御系统、系统漏洞扫描系统、网络版的防病毒系统等。此外,配置安全设备既要考虑到功能,同时也必须考虑性能和可扩展性,以避免成为网络的瓶颈。通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。具体可包括以下技术手段:(1)配置防火墙。利用防火墙在网络通讯时执行一种访问控制尺度,允许防火墙同意校园网外部访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止黑客随意更改、移动甚至删除网络上的重要信息[2]。(2)采用入侵检测与防御系统。针对网络中的入侵行为,增加入侵检测与防御系统是一种有效的解决方式。采用先进的协议分析技术,结合了高速信息包捕捉、协议分析、及行为描述代码来探测攻击。在网络和主机层面,将基于攻击特征分析和协议分析的入侵检测技术相结合,监控分析网络传输和系统事件,自动检测和响应可疑行为,使校园网络在系统受到危害之前截断并防范非法入侵和内部网络误用,最大程度降低安全风险,保护校园网络系统安全。(3)使用漏洞扫描系统寻找网络中存在的安全隐患和脆弱点。针对大型校园网络的复杂性和变化性,如果只是依靠个人的经验和技术寻找安全漏洞来做评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患[3]。
2.4确保校园网服务器的安全
在校园网中,校园网服务器通常数量众多,提供的服务对整个校园网而言也至关重要,并且要保证7x24小时不间断运行。而目前,多数学校的服务器都是直接与校园网相连,对于来自内部的安全威胁无法实施任何防护措施。出于以上考虑,为保障服务器的安全,应该在服务器前增加基于web的防火墙,进行安全隔离。另外,在服务器的日常管理和维护过程中,也要加强技术层面的管理,如建立服务器档案、安装补丁程序、加强操作系统权限管理和口令管理、监测系统日志、定期对服务器进行备份与维护等等操作。
3结语
通过以上安全策略,校园网可以做到由内到外的整体防护,这将极大提高校园网的安全性,保证校园网能够稳定健康地为高校教学、管理及研究工作提供服务。实际上,网络安全问题不仅仅是一个技术问题,也是一个管理问题[4]。通过技术方法尽可能去制止、减小一切非法的访问和操作,把不安全的因素降到最少。另外,要完善校园网管理制度,还要对相关的校园网管理人员进行培训,对学生进行网络道德的教育,多管齐下,从多个方面进行防范,才把校园网不安全因素降到最低。
作者:唐宜清 单位:长沙师范学院
