《校园网络安全研究 --曹道立》由会员分享,可在线阅读,更多相关《校园网络安全研究 --曹道立(26页珍藏版)》请在金锄头文库上搜索。
1、校园网络安全系统的研究作 者:曹道立指导老师:李争艳摘要: 随着校园网的普及,在提高学校工作效率的同时,也带来了安全方面的隐患。文章介绍了当前的重要的网络安全技术,并结合当前校园网发展过程中出现的各类实际问题以及校园网安全防范体系结构进行了分析与研究,并且提出了校园网安全系统设计与实现方案,该方案包含了网络技术的综合应用和实现方法。关键字:校园网;安全系统; 防火墙;入侵检测 0引言随着计算机网络应用的广泛深入,网络安全问题变得日益复杂和突出,由于Internet网络协议的开发性,系统的通用性,无政府的管理状态,使得Internet在极大的传播信息的同时,也面临着不可预测的威胁和攻击。网络技术
2、越发展,对网络攻击手段就越巧妙,越多样性。一方面由于计算机网络的开放性和信息共享性促进了网络的飞速的发展,另一方面也正是这种开发性以及计算机本身安全的脆弱性,导致了网络安全方面的诸多漏洞。可以说,网络安全问题将始终伴随着Internet的发展而存在。所以网络的安全性同网络的性能,可靠性和可用性一起,成为组建运行网络不可忽视的问题。随着校园网的普及和国内各院校网络建设的不断发展,大多数学校都建立了自己的校园网,它已经成为学校信息化的重要部分。校园网作为学校重要的基础设施,担当着学校教学,科研,管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建设的初期,安全问题可能还不突出
3、。随着应用的深入,校园网规模的不断扩大,校园网上各种数据会急剧增加,网络攻击越来越多,各种各样的安全问题开始阻碍了校园网的正常运行。同时随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性能要求不断提高,网络安全逐步成为网络技术发展中一个极为关键的任务,对网络的发展产生很大影响,成为现代化信息网络中最重要的问题之一。因此,随着校园网规模的不断扩大,如何确保校园网正常,高效和安全地运行是所有高校面临的问题。面对网络病毒以及网络内部及外部的黑客攻击与威胁,我们必须了解操作系统,各种网络协议的其自身的设计缺陷,熟知黑客攻击网络的各种手段,借助先进的技术及工具来协助完成繁重的安全防护工
4、作,从而确保校园网络运行的安全和可靠。1校园网安全状况与分析1.1校园网网络结构和应用系统概述校园网信息系统是校园网的数字神经中枢,合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境,同时通过各院校之间的互联互通,将会极大的提高教育行业整体的工作效率和教育质量。校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。教学局域网是教学人员利用计算机开展教学和学生通过计算机来学习的网络平台;图书馆局域网实现了图书馆的网络化管理以及图书的网上检索或
5、浏览;办公自动化局域网是教职员工自动化办公的平台,可以在此平台上开展公文管理、会议管理、档案管理以及个人办公管理等。实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管理、后勤管理等应用,形成院校的综合管理信息系统;校园外网的服务器群构成了校园网的服务系统,一般包括DNS、WEB、FTP、PROXY以及MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入,使院校教职工和学生能使用电子邮件和浏览器等应用方式,在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。1.2校园网网络特点高等教育和科研机构是互联网诞生的摇篮,也是最早的应用环境。各国的
6、高等教育都是最早建设和应用互联网技术的行业之一,中国的高校校园网一般都最先应用最先进的网络技术,网络应用普及,用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方,安全管理也更为复杂、困难。1.2.1校园网的速度快和规模大高校校园网是最早的宽带网络,普遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps,目前普遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户群体一般也比较大,少则数千人、多则数万人。中国的高校学生一般集中住宿,因而用户群比较密集。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快、对网络的影响比较严重。1.2.2系统管理比较复杂校园网中
7、的计算机系统的购置和管理情况非常复杂,比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的,有的院系是统一采购、有技术人员负责维护的,有些院系则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理,出现安全问题后通常无法分清责任。比较典型的现象是,用户的计算机接入校园网后感染病毒,反过来这台感染病毒的计算机又影响了校园网的运行,于是出现端系统用户和网络管理员相互指责的现象。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察。1.2.
8、3活跃的用户群体据调查,70%的安全问题来自校园网络内的攻击,高等学校的学生通常是最活跃的网络用户,对于高校而言,一种可能是因为学生的好奇心而对校园网络尝试攻击,大学生正处于身心发展成型的时期,他们渴望尝试,期望了解一下校园,证明自己的有效方式。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响和破坏,甚至对校园网危害很严重。1.2.4开放的网络环境由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。比如,企业网可以限制允许Web浏览和电子邮件的流量,甚至限制外部发起的连接不允许进入防火墙,但是在校园网环境下通常是
9、行不通的,至少在校园网的主干不能实施过多的限制,否则一些新的应用、新的技术很难在校园网内部实施。1.2.5有限的投入校园网的建设和管理通常都轻视了网络安全,特别是管理和维护人员方面的投入明显不足,一个高校有上千台的计算机,而专职网络安全维护的技术人员只有寥寥几个。在中国大多数的校园网中,通常只有网络中心的少数工作人员,他们只能维护网络的正常运行,无暇顾及、也没有条件管理和维护数万台计算机的安全,院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。1.2.6盗版资源泛滥由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络
10、安全带来了一定的隐患。比如,Microsoft公司对盗版的XP操作系统的更新作了限制,盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。1.3校园网安全现状1.3.1网络可靠性与安全性由于网络结构中没有设备,电源,线路等的冗余和负载均衡,中心核心设备或分中心设备故障等问题出现直接导致大面积的网络中断,影响网络的正常运行,每次出现问题后网管人员需要作出相应的响应,网络不具有自动愈合的功能。在没有采用负载均衡的设备上,经常会出现部分用户上网速度慢或根本无法上网的想象。目前网络上使用的TCP/IP 协议有安全
11、隐患。校园网是基于TCP/IP协议的网络,而TCP/IP协议存在两大不安全因素 :(1) TCP/IP协议采用明文传输数据,无法保证信息的保密性和完整性 。 (2) TCP/IP协议以IP地址作为网络节点的惟一标识,并不能对节点上的用户进行有效的身份认证,无法保证信息的真实性。比较典型的例如利用ARP协议的接收和发送无需身份验证特性而进行的ARP 攻击。曾经因为ARP 病毒导致校园网络中多数用户无法正常使用网络功能,影响了正常的教学。由于教学,办公,学生公共机房等场所的计算机管理不善,校园网中最常见的是盗用合法用户的IP地址,造成IP地址冲突,使得用户不能正常访问网络,严重的可以造成主机瘫痪,
12、甚至影响整个校园网的运行。计算机感染病毒造成网络拥塞,流量异常以及资料泄密等安全事故,这些事件的发生严重影响了校园网运行的安全性和可靠性。Internet迅猛发展使得网络运营成为社会时尚,但同时也为病毒感染和快速传播提供了途径。病毒通过网络进行传播,并在计算机没有任何防护措施的情况下运行,从而导致系统崩溃,网络瘫痪,对网络服务构成严重的威胁,造成巨大的损失。1.3.2网络资源整合度低 在校园网上运行的有邮件系统,办公管理系统,教务系统,网络教学平台,精品课程,学校资源平台,校内数字图书馆,学生选课系统等,但这些平台彼此之间的相互兼容性不高,需要进行资源整合,实现高效,稳定的网络资源平台。1.3
13、.3 管理员安全意识与维护网络管理员专业知识和技能不够、责任心不强大多数网络管理员都从大中专院校毕业,在工作之前没有受过系统的专业培训。所以,不能很好地胜任本职工作。如把在计算机中装上还原卡当作是万能管理方法;不设置系统管理员密码;在系统中不安装防火墙和杀毒软件等等。另外,有些网络管理员敷衍塞责,对出现的系统故障置之不理。防病毒、木马和黑客攻击意识不强大多数校园网用户的安全意识非常淡薄。具体表现在:密码设置过于简单;不经常用杀毒软件扫描和删除病毒;不对杀毒软件和防火墙软件进行及时更新;不经常扫描系统漏洞并打上补丁;使用移动存储介质时不事先用杀毒软件进行扫描;运行或打开不明来历的文件或邮件;经常
14、浏览带有色情的网站或恶意网站等等。很多校园网站不注重安全防护,或限于资金匮乏,一些必要的硬件设施没有配备,导致黑客访问时如入无人之地,维护人员技术实力不够,不知道如何应付网络攻击或病毒感染,安全策略缺乏。校园网抵制病毒和木马入侵的能力不强,网络在给人们提供方便的同时,也给病毒传播和木马攻击提供了最快捷的途径。以蠕虫为代表的病毒肆虐和特洛伊木马的疯狂入侵,直接导致了用户隐私和重要数据的外泄。同时,极大地消耗了网络和主机的软硬件资源,造成了网络和主机性能的急剧下降,甚至中断网络设备和主机的正常运行。而目前校园网使用的安全防护措施的单一性、独立性和落后性使得网络病毒和木马入侵屡屡得逞。1.4校园网安
15、全威胁分析安全威胁来自各个方面,如计算机系统脆弱性主要来自操作系统和应用程序的缺陷与后门。缺陷即是操作系统与应用程序都存在的安全漏洞。操作系统的后门是由操作系统的开发者有意设置的,这样他们就能在用户不在是进入系统。安全漏洞是指允许任意用户未经授权获得访问,或提高其访问权限的硬件或软件特征。漏洞也可以理解为某种形式的脆弱性,网络结构、服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。目前,有名的安全漏洞或脆弱点就多达140处,而且随着时间的推移,将会有更多新安全漏洞被人发现和利用。 在网络环境下基于通信协议的不安全性,来自网络的威胁主要是局域网一般是广播式的,所以在网络上存在电
16、子窃听。系统与协议的漏洞导致入侵与破坏。校园网络是一个复杂的系统,它包括软件系统,硬件系统,各类信息系统和使用以及管理这些信息资源的人。网络本身的开发性使得计算机网络面临各种各样的威胁,如系统安全漏洞,应用程序错误,搭线窃听,数据泄漏与边用,故意对数据或程序进行破坏,病毒感染,网络攻击,自然灾害以及管理不善等。这些威胁对网络带来不同程度的影响,妨碍网络用户的正常使用。根据各种网络威胁产生的原因,我们把网络威胁归纳如下:1.4.1网络协议的缺陷目前,绝大多数的校园网是基于TCP/IP 协议的,而TCP/IP协议本身是有诸多缺陷的。TCP/IP协议在设计之初,并没有充分考虑网络安全等方面的问题。因此,目前网络中存在很多利用TCP/IP协议的弱点的攻击行为。例如;拒绝服务攻击(DOS),SYNFLOOD攻击,ARP欺骗等。他们利用了TCP/IP协议的自身的缺陷,导
