浅谈校园网的安全隐患及防范措施

张莉

广东女子职业技术学院 广东 511450

0 前言

随着高校信息化进程的推进，高校校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂，校园网的安全问题成为信息化建设中的一个重点问题。校园网安全是一个较为复杂的系统工程，要考虑到用户、管理、技术三方面的因素。从严格的意义上来讲，100%的安全网络系统是没有的，网络安全工作是循序渐进、不断完善的过程。

广东某职业技术学院目前正在进行校园网的升级改造，旨在提高校园网的稳定性与安全性。本文就以该学院的校园网为硬件环境，对网络安全现状中的问题进行分析，并提出问题的解决方案。

1 校园网概况

广东某职业技术学院是一所公办的全日制普通高校，由主校区和分校区两部分构成。学院校园网采用双出口与外网连接，现以100Mbps带宽光纤接入CHINANET(中国电信网)、10Mbps带宽光纤接入CERNET(国家教育科研网)，以高性能的万兆路由交换机作为核心网络设备，采用成熟的千兆主干，百兆到桌面的链路连接，铺设光纤10多公里，覆盖全院两个校区所有教学楼，图书馆，综合楼，学生宿舍及教工住宅，信息点总数达5000多个。现有的网络拓扑结构如图1所示。

校园网的建设，不但满足了学生教学和管理资料查询的需要，还在校园网基础平台上先后建设和应用了图书馆网络管理系统、校园网办公教务学籍管理应用系统、后勤IC卡管理系统，为我院教学管理信息化、现代化发挥了巨大的作用。

目前，数字化校园基础平台建设已经初步完成，教务、学工、办公系统、校园一卡通、在线教学等网络应用项目建设相继启动，校内资源总量已达1.6TB。

图1 广东某职业技术学院网络拓扑结构

2 校园网现状问题分析

校园网作为学院重要的基础设施，担当着学院教学、科研、管理和对外交流等许多角色，校园网安全状况直接影响着学院的教学活动。在网络建成的初期，安全问题还不突出，随着应用的深入，校园网上各种数据急剧增加，各种各样的安全问题开始困扰网络管理人员。经过对采集的校园网数据认真分析，结合校园网用户所反映的实际情况，问题主要体现在以下几个方面。

2.1 网络可靠性差

由于网络结构中没有设备、电源、线路等的冗余和负载均衡，中心核心设备或分中心设备故障等问题出现直接导致了大面积的网络中断，影响网络的正常运行，每次出现问题后网管人员需要做出相应响应，网络不具有自动愈合功能。在没有采用负载均衡的设备上，经常会出现部分用户上网速度变慢或根本无法访问的现象。

目前网络上所使用的TCP/IP协议(Transmission Control Protocol/Internet Protocol，传输控制协议/因特网互联协议)，由于其协议簇完全公开，因此，利用 TCP/IP协议簇的漏洞进行的网络攻击成为了校园网中目前最常见的安全威胁之一，比较典型的例如利用 ARP协议(Address Resolution Protocol，地址解析协议)的接收/发送无需身份验证特性而进行的ARP攻击。曾经因为ARP病毒导致校园网中的多数用户无法正常使用网络功能，影响了正常的教学。

2.2 网络安全性差

由于教学、办公、学生公共机房等场所的计算机管理不善，容易造成IP地址冲突、计算机感染病毒造成网络拥塞、流量异常以及资料泄密等安全事故，这些事件的发生严重影响了校园网运行的安全性和可靠性。

互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。病毒通过网络传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。

2.3 网络资源整合程度低

在校园网上运行有邮件系统、办公管理系统、教务管理系统、网络教学平台、精品课程课件开发平台、学习资源平台、校内数字图书馆、学生选课系统、校园一卡通管理系统、学生作业管理系统等一系列平台，但这些平台彼此之间的互相兼容性不高，需要进行资源整合，实现高效、稳定的网络资源平台。

2.4 IP冲突问题

校园网中最常见的就是盗用合法用户的IP地址，造成IP地址冲突，使得用户不能正常访问网络，严重的可以造成主机瘫痪，甚至影响整个校园网的运行。校内的部分场所是采用的固定IP地址分配接入，有些场所又使用了自动获取 IP地址的方法，需要重新规划整理IP地址的分配范围。

2.5 防火墙攻击

网络安全的主要威胁可以分为外部入侵和内部攻击两种形式，校园网的问题主要是内部攻击。在高校网络用户中，学生和教师成为校园网庞大的用户群，根据用户行为可以划分为三类：非法用户接入、合法用户有意破坏和合法用户无意破坏。

防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对外的防护而已，它对于内部的防护则几乎不起什么作用，然而一般情况下有大多数的攻击是来自局域网的内部人员，所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。

2.6 对邮件服务器进行攻击

由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。

恶意用户利用校园网内邮件服务器系统的缺陷，例如缺乏有效的邮件过滤机制和邮件转发限制机制，对邮件服务器进行攻击。目前常见的攻击有两类：一类是中继利用，即远程主机通过被攻击邮件服务器向外发送邮件。另一类是垃圾邮件，也称邮件炸弹，通过大量发送垃圾邮件，造成邮件服务器阻塞，增大校园网流量，甚至系统崩溃，同时还会给校园网带来经济上和名誉上的损失。

2.7 各种服务器和网络设备的扫描和攻击

有些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。

由于作为网络基础的 TCP/IP协议本身就具有安全性方面的缺陷，加上具体设计中的各种因素，校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全漏洞，加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作，因此恶意用户可以利用一些专用程序对系统进行扫描，利用发现的安全缺陷侵入系统，获得各种用户权限，从事危害系统安全的活动。

2.8 非法地址的访问

对于一些反动的或不健康的站点，应当禁止校园网用户通过校园网去访问。可以通过路由器或防火墙过滤部分非法地址的访问。为了方便教师在家办公，校园网开通了 VPN(Virtual Private Network，虚拟专用网络)连接的功能，对VPN用户的管理也非常重要，为了防止非法用户通过 VPN通道进入校园网，管理员应该严格管理VPN用户的信息。

2.9 针对应用服务器的攻击

校园网中较易受攻击的应用服务器主要是 DNS服务器和Web应用服务器，是目前校园网管理员最关注的安全问题。

目前针对 DNS服务器的攻击主要有两类：一类是缓存区中毒，主要是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的 DNS信息，一旦成功，攻击者可以使发向合法站点的传输流改变方向，使其转向攻击者指定的站点。另一类是域劫持，攻击者利用用户升级自己的域注册信息时所使用的不安全机制接管域注册过程以控制合法的域。

Web应用服务器自身具有很多脆弱性，如Web服务软件自身存在安全问题，Web应用程序安全性较差，如常见的ASP(Active Server Page，动态服务器页面)、PHP(Hypertext Preprocessor，超级文本预处理语言)脚本等都具有严重的安全漏洞，而系统管理员很难做出全面的处理，因此，极易受到恶意用户的攻击。

如何让校园网更安全，防止网络遭受病毒的侵袭，已成为校园网迫切需要解决的问题。

3 校园网安全解决方案

学院校园网已有较完善的网络系统结构，在保证现有网络正常工作的同时，再进行开发和完善是解决校园网安全的最佳选择，针对以上问题，提出如下解决方法。

3.1 采用入侵检测系统

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在校园网中采用入侵检测技术，最好采用混合入侵检测。需要从两方面来着手：基于网络的入侵检测和基于主机的入侵检测。

3.2 安全监测系统

在校园网的Web服务器、Email服务器等各种服务器中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将其还原成完整的Web、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网络中心报告，采取措施。并利用专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图，可以对访问地址和流量进行分析，对于明显的攻击便可一目了然了。

3.3 配置防火墙

防火墙是一种行之有效且应用广泛的网络安全机制，能够有效防止 Internet上的不安全因素蔓延到局域网内部。IP链规则是一套直接编译在系统内核中的防火墙，其运行效率是其他外挂在操作系统上的软件防火墙所无法比拟的，假若希望在流量较大网络接口安设防火墙，而又不想购买昂贵的硬件防火墙时，采用IP链规则建立包过滤防火墙是一个不错的选择。

3.4 构筑透明代理

使用 IP链规则可以使内网的主机不需要做任何设置就可以访问 Web，但其缺点就是当内网数台主机先后访问Internet上某一站点时，第一台将该站点的主页以及页面中的图像从 Internet下载到本机，而其它几台访问时也要重复相同的操作，即从 Internet下载了同样的内容，这样的重复劳动自然会浪费相当多的带宽，而使用具有Web缓存的代理服务器便可解决此问题。在第一台主机访问该站点时代理服务软件将此网页的内容缓存到本地硬盘，而后其他主机再次访问该站时，代理服务器只是检测该网页是否有更新，若无更新便直接将本机的缓存传送过去，这样既可以节省带宽又有效地提高了上网速度。

3.5 采用Socks代理服务

Socks(Protocol for sessions traversal across firewall securely，防火墙安全会话转换协议)是一组是用客户端/服务器端结构的代理协议。Socks的软件组成包含Socks服务器程序及Socks客户端应用程序库。用户的应用程序只要支持Socks协议就能通过Socks代理服务器连接到防火墙外的网络。

3.6 漏洞扫描系统

解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。

3.7 防止IP盗用

在路由器上捆绑IP和MAC(Media Access Control, 介质访问控制)地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个 IP广播包的工作站返回一个警告信息。

3.8 利用网络监听维护子网系统安全

对于校园网外部的入侵可以通过安装防火墙来解决，但是防火墙对于校园网内部的侵袭则无能为力。在这种情况下，为校园网内部的各个子网做一个具有一定功能的审计文件，为管理人员分析内部网络的运作状态提供依据。

3.9 防止用户破坏

对于校园网内用户进行有效管理，能够从很大程度上降低网络安全的威胁。为此应加强对校园网用户的安全意识教育，提高遵守相关的安全制度的自觉性，增强整体安全防范能力。对于非法访问和黑客攻击事件，一旦发现要严肃处理。

3.10 加强网管人员安全意识

培养一支具有安全管理意识的网管队伍也是建设安全的校园网环境不可缺少的条件。加强对校园网安全技术和管理人员的培训，使他们从技术上提高应对各种攻击的能力。网络管理人员通过对所有用户设置资源使用权限与口令，对用户名和口令进行加密存储、传输，提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。

通过以上各种方法基本上可以建立一套相对完整的网络安全系统。不过，网络安全是一个系统的工程，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，并将各种安全技术，如密码技术、防火墙技术等等结合在一起，才能拥有一个高效、稳定、安全的网络系统。

[1]杜鹏飞.校园网络安全管理探析[J].网络安全技术与应用.2007.

[2]方耿,林庆霓,莫卓豪.网络维护与故障诊断[M].北京:冶金工业出版社.2005.

[3]欧帅.DNS拒绝服务攻击的防护系统的研究与设计[D].西南交通大学.2009.

[4]蒋文保,杨大鉴,任晓明.宽带网络入侵检测系统的分析与实现[J].计算机工程.2007.

[5]朱萍.基于透明代理的 Linux防火墙的设计与实现[J].合肥工业大学学报(自然科学版) .2007.

[6]赵科.高职院校校园网管理思考[J].网络与信息.2008.