淺談校園網絡安全防護策略

[摘 要]隨著計算機網絡技術的不斷發展，更多的教學、日常工作都是在校園網中完成的。因此，校園網絡信息安全已經越來越影響師生的正常教學、學習。如何解決校園網絡信息安全已經是在各校園網絡建設中必須要考慮的問題。

[關鍵詞]校園網絡；信息安全；計算機病毒；防火墻；防護策略

一、校園網絡信息安全現狀

校園網絡一般分為內網和外網兩部分，其中校園外網主要指學校提供對外服務的服務器群、與ISP的接入等。校園內網主要提供教學、辦公自動化等內容。因此，校園網絡面臨的潛在攻擊類型可能包括：

（一）修改傳輸中的數據

電子郵件、實時報文傳輸、文件傳輸的過程中都容易收到截取和修改。

（二）插入并利用Trojan木馬、后門、病毒與蠕蟲等惡意代碼

攻擊者能進入用戶系統并執行命令。通過先前發現的脆弱性并使用該訪問來達到其攻擊目的。包括植入基于未來事件而發作的軟件。

（三）利用協議或基礎設施的BUG

利用協議中的缺陷來欺騙用戶或重定向通信量。這種攻擊有哄騙域名服務器進行未授權遠程登陸；使用ICMP炸彈使某個機器離線；使用源路由偽裝成信任主機；TCP序列號猜測獲得訪問權；未截獲合法連接而進行的TCP組合等。

（四）建立非授權的網絡連接

對高密級網絡具有物理訪問能力的用戶未授權連接到一個低密級或敏感網絡中，這違背了安全策略或用戶流程。

（五）偽裝成合法用戶

利用可信實體的標識，通過電子郵件、實時報文或請求文件傳輸得以進入通信信道，實現惡意目的。

（六）地址欺騙

一個主體可能假冒成另一個主體獲得對特定信息的訪問。例如，外部網上的一個用戶可能利用假地址偽裝成內部網上的用戶訪問內部資源。

（七）監視純文本報文

純文本報文是那些沒有被加密的報文，一旦被攔截，純文本報文就很容易被讀出。

（八）拒絕服務攻擊

包括炸彈、洪水攻擊等DoS攻擊以及DDoS攻擊，造成網絡宕機或服務停止，形成業務中斷。

這些已存在或潛在的網絡威脅，多數是由于校園網用戶的網絡安全意識薄弱或本身校園網絡的安全防護措施設置不高造成的。為了更好地安全使用網絡，我們有必要對校園網采取一些安全防護措施。

二、防止病毒流入內網

（一）采用防火墻實施邊界保護機制

防火墻技術，最初是針對 Internet 網絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火墻。

1.對源、目的和服務做出限制，并阻斷危險的協議，比如ICMP協議。進出邊界的通信都需要進行控制；

2.限制可執行代碼的服務和下載能力；

3.使用訪問控制列表；

4.使用身份驗證機制；

5.使用網絡地址轉換機制隱藏內部網絡（地址和網絡拓撲結構）防止潛在攻擊者；

6.記錄和分析源路徑和其他信息包，并對攻擊做出反應和進行限制；

7.掃描惡毒軟件；

8.操作者能夠方便正確的配置邊界保護機制，如采取友好圖形用戶界面（GUI）；

9.自監控并且有產生告警的能力。

（二）采用新型入侵防御系統（IPS）

邊界防護技術提供周邊的訪問控制，被“授權”的內部和遠程用戶可以在邊界內嘗試窺探、濫用以及執行惡意行為。防火墻并不會監測被授權用戶的行為，它的側重點也不是內部威脅。防火墻被允許一定程度的訪問，則有可能為來自外部的漏洞窺探和潛在的攻擊打開了大門。網絡入侵者越來越多地利用開放的服務端口（如HTTP、SMTP、POP3、DNS等）發起攻擊，且手段隱蔽，破壞性卻非常大。IPS是一種部署在網關位置的安全設備，利用攻擊的知識對網絡數據和行為進行深層檢查，從而更有效地抵御應用層攻擊。IPS在線（Inline）的部署模式使它可以直接將有害的流量（探測、攻擊等）阻擋于所保護的網絡之外。

在網絡中心防火墻后部署一臺高性能的IPS，做為邊界防護的第二道防線。入侵防御系統具有內置BYPASS功能，在設備出現硬件及電源故障時快速、自動切換到直通狀態，保障網絡可用性。此外不管是因為硬件或是軟件的因素，假設偵測引擎出現阻礙（blocking）死鎖的狀況，內置BYPASS功能也會自動切換到直通狀態，無須擔心設備的可靠度。內置BYPASS功能可通過遠程管理實現啟動或關閉管理。

IPS將ASIC硬件檢查、深度內容檢測、安全防護、上網行為管理等技術完美地結合在一起。配合實時更新的入侵攻擊特征庫，可檢測防護3000種以上的網絡攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測與掃描等各種網絡威脅，并具有豐富的上網行為管理，可對P2P、聊天、在線游戲、虛擬通道等內網訪問實現細粒度管理控制。從而，很好地提供了動態、主動、深度的安全防御。

防火墻與IPS協同部署的安全方案能夠在網關位置構建起多層次的信息安全防護體系，形成一道完整的保護關鍵服務器和內網安全的防線。

（三）利用微軟系統中的用戶身份認證對上網人員進行訪問授權限制

認證是指對主客體身份進行確認的過程。身份認證是指網絡用戶在進入系統或受限系統資源時，系統對用戶身份的鑒別過程。身份認證的方式有：靜態密碼方式、動態密碼方式、USB Key認證、生物識別技術、CA認證。

（四）在計算機上安裝殺毒軟件

不管是老師還是學生，在校園網內不可避免地要經常使用U盤、移動硬盤，這些移動存儲設備在使用前應進行病毒的掃描和查殺，以避免計算機病毒、木馬等流入校園內網。

（五）個人計算機的使用者盡量不要設置共享目錄，以減少感染病毒的機會

如果確實工作需要開共享目錄，則個人計算機共享目錄的訪問權限必須設置為滿足使用要求的最低訪問權限，并加上復雜密碼。對不再必要的共享目錄，必須及時取消其共享屬性。

三、防止內網病毒流出外網

從網絡安全方面來說，我們不但應該防止計算機病毒、木馬等不安全信息進入校園網，還要防止校園網內感染的計算機病毒、木馬等向外網傳染。防止內網病毒向外網擴散比較好的技術手段是采用防火墻技術。防火墻是一個內網監控系統，處于內部網絡中，隨時監控內部主機的安全狀況。

它具有以下六大功能：信息泄漏防范，防止在內部網主機上，通過網絡、存儲介質、打印機等媒介，有意或無意地擴散本地機密信息；系統用戶管理，記錄用戶登錄系統的信息，為日后的安全審計提供依據；系統資源安全管理，限制系統軟硬件的安裝、卸載，控制特定程序的運行，限制系統進入安全模式，控制文件的重命名和刪除等操作；系統實時運行狀況監控，通過實時抓取并記錄內部網主機的屏幕，來監視內部人員的安全狀況，威懾懷有惡意的內部人員，并在安全問題發生后，提供分析其來源的依據，在必要時，也可直接控制涉及安全問題的主機的I/O設備，如鍵盤、鼠標等；信息安全審計，記錄內網安全審計信息，并提供內網主機使用狀況、安全事件分析等報告。

網絡完全防護是一項長期的工作，它不但涉及到各種安全防范技術，還涉及到用戶的網絡安全意識、網絡管理等許多方面，只有將各方面都做好才能建成一個安全的校園網。

[參考文獻]

[1]龔靜.計算機網絡安全策略的探討[J].福建電腦,2004,(5).

[2]斯特拉斯伯格.防火墻技術大全[M].機械工業出版社, 2003.

[3]張彩文.防火墻技術淺談[J].硅谷,2010,(20).

[作者簡介]譚英，廣西機電工程學校。