校园网安全现状研究

鲁学亮，刘臻

(北京师范大学信息网络中心,北京100875）

校园网安全现状研究

鲁学亮，刘臻

(北京师范大学信息网络中心,北京100875）

目前高校校园网发展迅速，各种应用资源不断丰富，网络安全问题日益突出。校园网呈现活跃用户众多、用户网络安全意识淡薄、管理不规范等特点，这些问题导致校园网极易受到攻击。本文以北京师范大学校园网络为例，通过对校园网运行数据和用户使用特点进行分析，同时结合校园网流量类型和受攻击方式的分析，提出通过有效的技术手段和规范的管理解决校园网安全问题。

校园网；网络安全；IPS；流控；IPv6

一、前言

在大力推动高校信息化过程中，校园网络得到了快速发展。校园网作为高校信息化建设的重要基础设施，为学校教学、科研提供先进的信息化教学环境，同时为师生提供网络接入、综合信息服务等，校园网已经成为学校日常工作中不可或缺的一部分。在Internet快速发展过程中暴露出一系列问题，其中网络安全问题尤其突出，校园网作为Internet的重要组成部分，由于自身在网络安全方面的弱点，使其成为网络安全的重灾区，每年因为网络安全事件给高校造成财产、声誉等巨大的损失。校园网络安全建设是一个系统工程，它包含防火墙、入侵防御检测、防病毒、网络行为审计、漏洞扫描、灾难备份、安全集中管理等一系列安全措施。本文将详细分析校园网现状及用户特点，并针对影响整个校园网运行的安全事件进行分析，如造成校园网整体或部分区域断网、访问延迟的事件等，最后提出保障校园网网络安全的基本措施。

二、校园网安全现状及特点

校园网是一个集计算机网络技术、信息管理、办公自动化和信息发布等功能于一体的综合信息平台，是一个终端、服务器、网络设备、用户众多的复杂的局域网，通过有线、无线实现互联和数据传输。校园网的这些特点决定了在网络安全管理方面的复杂性。分析研究校园网安全现状可以从多个方面入手，主要的分析手段包括IDS、IPS等入侵检测系统以及系统漏洞分析系统。在本文中将通过流量控制系统、入侵检测系统、脆弱扫描分析系统等对校园网安全现状进行分析研究。校园网的安全现状及特点可以分为以下几方面：

1．活跃用户众多，安全意识淡薄

随着经济的快速发展，拥有一台个人计算机对于现在的大学生来说已经不再是一件不能想象的事，计算机技术也成为大学生的必修课。校园网的用户群体非常庞大，少则数千人、多则数万人。中国的高校学生一般集中住宿，因而用户非常密集。正是由于高带宽和大用户量的特点，网络安全问题蔓延快、对网络的影响严重。除此之外，大学生对新鲜事物的好奇心，驱使他们更愿意去尝试和挑战网络新技术，如果没有意识到后果的严重性，可能对网络造成一定的影响和破坏。校园网用户众多，但真正有网络安全意识的用户却少的可怜，大多数用户对于自己的PC机只做简单的系统默认防护，因此成为了校外攻击的主要攻击目标，除了会对个人信息、财产造成损失外，还有大量的PC机成为“僵尸主机”，成为了被非法分子利用攻击他人的“肉机”，或者作为攻击校园网的跳板。

2．盗版资源泛滥

由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的传播一方面占用了大量的网络带宽，另一方面也给网络安全带来了一定的隐患。比如，Microsoft公司对盗版的XP操作系统的更新作了限制，盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面，从网络上随意下载的软件中很多都隐藏木马、后门等恶意代码，如不进行检测直接运行安装将很容易被攻击者侵入和利用。

3．应用服务管理不规范

随着互联网应用的增加以及师生对互联网资源需求的快速增长，校内各院系组织都建立起了自己的应用服务器，其中包括Web应用、FTP服务、BBS、高性能计算服务等等，这些服务部署分散、管理松散，大多数没有做安全防范，因此极容易受到攻击。这些服务虽然不是学校统一管理，但一旦受到攻击将严重影响学校网络和学校的声誉。如图1所示为我校某天的实时流量监控图，可以看出在21：00至22：00流量达到了顶峰，这时已经造成了整个校园网的丢包率在50%以上，整个校园网几乎瘫痪。

图1 流量监控

经过排查，最终发现为服务器区的某台服务器被攻击，断开该服务器网络后，校园网恢复正常，图2为局部网络拓扑，可见图中下方斜线处流量已经达800多兆。通过查看该服务器记录，得知该服务器为新入网机器，操作系统安装后并未做任何安全措施，也没有更新必要的安全补丁。

图2 网络拓扑

三、校园网常见安全问题分析

1．流量类型分析

流量控制系统是校园网中应用比较广泛的网络管理系统，近年来以P2P协议为核心的下载工具的大量应用，在给用户带来高速下载的同时也给网络带宽带来巨大的挑战，因此网络管理者开始应用流量控制系统以监控和管理这些流量来保证其他流量的正常传输。如果不对P2P流量进行限制，它将占满整个网络带宽，使整个校园网访问出现巨大延迟。除了P2P流量外，某些中毒的PC机或服务器也会出现向外发送大流量的情况，如UDP泛洪攻击、蠕虫攻击等。图3所示为我校IPS对网络事件的监测分析图，从图上可以看到校园网络中存在大量的P2P流量。

图3 事件监控

2．攻击方式分析

（1）探测扫描

网络攻击者在发动攻击之前必定会对目标网络进行探测以找出网络漏洞以备攻击，因此在对网络监控过程中将会发现大量的网络探测事件。图4为我校10天的网络事件监测分布图，其中排在第一位的便是Traceroute ICMP/IPOPT扫描探测类事件的相关操作，这其中有正常的操作当然也有很多非法的嗅探，由此可见网络攻击者无时无刻不在关注着校园的网络安全漏洞。

图4 网络事件分布

（2）跨站脚本攻击

跨站脚本攻击是指在远程Web页面的HTML代码中插入恶意代码，用户误认为该页面是可信赖的，当用户打开该页面，浏览器会自动下载恶意代码，运行其中的脚本。脚本注入事件属于Web安全问题范畴，它指攻击者利用Web应用系统不对用户输入数据进行严格检查和过滤的缺陷，主动通过用户输入域注入具有恶意性质的脚本片段。攻击者可以利用的用户输入域包括URL参数、表单域、Cookie域等，一般通过