等保2.0条件下高校网络安全问题分析及防护对策

◆张中正 许源

等保2.0条件下高校网络安全问题分析及防护对策

◆张中正 许源

（南京森林警察学院（南京）信息技术学院 江苏 210000）

在信息化快速发展的当下，高校需要提高自身的发展需求，需要提高办公效率及教学科研质量。所以，要结合当前的技术手段，构建校园网络安全体系。本文在网络安全等级保护二级标准下，结合高校校园网络安全建设的规划，利用扫描、渗透等技术手段对高校的网络安全进行检测。测试网络中存在的安全隐患，从物理介质、通讯手段、校园网络环境和校园网络管理中心等方面展开论述。

网络安全；高校校园网；等级保护；防护策略

随着现代网络化的飞速发展，高校为满足自身发展的需要，为提高办公效率及教学科研质量，而构建校园网络安全体系。目前，高校的校园网络安全体系不够完善，管理理念比较落后，很大程度上导致被黑客攻击，被非法窃取重要信息、更改信息。我们以高校网络安全为研究对象，利用渗透等技术对高校的网络进行检测，对存在的安全隐患，提出相应的分析与优化意见[1]。

1 网络安全检测方法

针对高校网络存在的安全隐患，对高校网络进行安全测试。通过网络构建逐步分析，找出校园外部网站、内部主机配置中的不安全因素。对物理层面的设备检查，周围环境保护[1]；从安全配置层面来查看配置的一些用户规则；对系统安全防护措施、业务系统等进行安全评估。检查系统中高危安全漏洞的隐患、弱口令风险，对可能造成师生个人信息泄露、教学办公业务不畅通、设备被远程控制、网络阻断等安全事件，及时排除潜在危险，保障网络安全。检测重点从以下几个方面入手。

1.1 网络设备的检测

开放端口检测，探测过程中，对端口进行采集。通过扫描服务端口，判断出存在于服务器上的可攻击对象。利用Nmap或御剑高速TCP端口扫描工具。对常见网络端口如22端口，SSH远程连接；23端口Telnet等扫描分析，从爆破、嗅探方面入手检测。Banner信息测试，使用Wireshark抓包工具，可以发现端口是否开放，根据RST/ACK包来判定，有无Banner信息，假如端口是开放状态，则进行了TCP协议的三次握手。弱口令检测：使用常用字典密码本或破解工具，对检测对象进行爆破尝试。

1.2 操作系统的检测

采集不同系统版本信息，对于不同版本的系统的差别进行针对性分析。尝试弱口令测试系统的管理员密码。

1.3 业务系统的检测

安全配置的检查。检查网络服务设备、安全设备，还有主机操作系统、数据库，中间连接服务及网络服务应用程序等。对系统安全配置的设定，可以防护外来入侵。如访问控制，禁用guest账户，删除无关用户；启用本机组策略密码复杂化策略；账户的管理上面不显示上一次登录的用户名，可以在安全选项中交互式登录设置；对文件设置访问权限，将默认共享参数设置为0，对系统自动更新[3]；对日志文件大小的管理等。测试网络是否被上传恶意代码或高校校园未检测到的异常入侵，获取设备的管理员权限的漏洞、数据库漏洞等。

1.4 安全防护设施的检测

检查安全防护设施所开放的端口，关闭不必要端口。对安全软件升级情况进行核查，对配置情况等进行检测评估。

1.5 渗透测试

内网测试。一般需要在高校内部网络发起，渗透检测过程可以有效模拟校园内部发生的网络攻击行为，以此作出危害评估。

外网测试。测试过程需要完全处于校园网络外部，模拟外部攻击者对校园内部网络所发起的攻击行为。比如远程攻击服务器，Web注入、弱口令爆破、开放应用服务盲点检测等等。

黑盒测试。是对测试对象不了解的状态下进行模拟攻击。一般这种类型测试，相关渗透信息收集来自各种公开对外开放的服务。

白盒测试。测试过程比较烦琐，一般需要合法渠道向被测对象取得一些测试信息，比如校园网络拓扑结构、网站或校园应用软件平台的代码、师生资料信息等。

1.6 网络安全漏洞扫描技术

由于软件或协议的设计和实现的缺点、系统和网络的配置错误都会使系统当中存在一些安全漏洞。入侵者会利用这些漏洞侵入计算机系统，黑客在入侵系统之前，要对攻击对象进行信息收集，比如操作系统类型，是Window系统还是Linux，运行的服务、网络的拓扑结构是否合理、网络端口和主机的用户名、IP等信息，要分析收集到的资料，测试有无隐患。若发现系统存在安全Bug，黑客就针对这些漏洞进行病毒或木马入侵。

1.7 设备冗余检测

如果系统发生故障，冗余设备将负责故障紧急备用，可以缩短故障检修耽误的时间。保证网络的连续性。冗余方案能缓解突发网络攻击，任何技术都要部署冗余设计。防范不可预测性攻击，确保了系统的安全性。因此，部署冗余设计十分重要。冗余是网络工作者常用的一种保护机制方式。

2 高等院校网络安全所面对的问题

2.1 系统漏洞具有普遍性

在计算机硬件、软件和协议的实现过程中，设计的安全策略存在缺陷，使得网络攻击者能够利用这些弱点来破坏系统。由于缺乏有效的管理，高校的网络设备易产生大量的安全漏洞。此外，校园网中的用户大部分是非计算机专业人员，他们平时使用的大多仅限于简单的办公学习软件，对计算机的安全维护方面的知识欠缺，对于漏洞的定期检查和更新没有关注，容易引发攻击者利用尚未修复的漏洞对校园网进行攻击。

2.2 计算机恶意代码不断升级

病毒、木马具有很强的隐藏性、复制性，计算机一旦感染了病毒或木马程序，将导致系统处于拒绝服务攻击状态，甚至累及全网业务，阻塞了大量的带宽资源，造成网络阻塞。这有可能破坏计算机系统，导致系统死亡。一些病毒感染计算机中的重要文件和数据，造成文件和数据的丢失、隐藏、加密；由此非法获取用户个人信息，给用户造成经济损失。目前高校检测出来的病毒及木马有如下类别：Irc协议僵尸网络，劫持木马，蠕虫病毒，网页篡改，网站后门攻击，远控木马等。高等院校使用的机房流动性大，病毒传播途径广，病毒的传播危害更大。例如，通过电子邮件、U盘、网站等传播[2]。机房的用户在进行未知邮件下载时不进行安全检测就下载打开，导致恶意软件植入；学生个人U盘携带病毒，有些机房未安装杀毒软件，易感染机房的主机，从而影响到整个校园网的安全运行。

2.3 高校网络内部的不稳定因素

高校内网使用的主体为学生用户，学生具有探索心理，加之对于网络安全宣传理念的薄弱，他们可能会尝试从网络上学习攻击方法，从网络上下载攻击工具进行攻击，造成校园网络服务器异常。例如，使用国外的端口扫描工具、一句话木马等，对被保护的文件进行非授权的读、写操作；对网络端口进行扫描。此类行为给校园网带来一定负担，造成一定的危害。

2.4 校园网外部入侵及破坏性攻击

在一些黑客论坛中，网络攻击的工具繁多，且操作简单及附有教程学习，任何人都可以通过网络下载。对于一些没有相关的专业技术的人员，同样可以利用这些工具对网络中的设备进行攻击。其次，一些网络黑客，常常编写病毒，获取暴利，例如勒索病毒。

2.5 垃圾危害信息的传播

垃圾邮件主要是一些弹窗广告、商业宣传、个人网站推荐等信息。垃圾邮件可分为良性和恶性的。良性垃圾邮件只是单纯地传播信息，对于用户本身来说影响不大。垃圾邮件则有一定的破坏作用，如：邮件附带木马程序，破坏接收方操作系统，盗取用户信息等。有些垃圾邮件为了快速广泛传播垃圾邮件，常使用多台机器，同时访问邮件接收服务器，利用简单的DDoS攻击，导致邮件服务器资源上限，干扰邮件服务器正常接收。在信息交换的今天，校园网与互联网资源是共享的。互联网上存在很多有关色情、暴力、赌博等不健康的平台网站。这些网站的言论是违反道德标准和国家规定的，有些甚至是违法的。如果对这些网站网址不加过滤而进入校园网内部，对学生的成长是不利的。为此，要限制不良网站的访问，加强相应的安全措施。

3 校园网络安全问题防护工作的方案

3.1 校园网络系统安全策略设计

高校校园网安全策略需要从这几个方面着手，网络管理的隔离层面、对网络实时监控层面、网络管理应对方案、网络系统漏洞修补手段、热点学生端认证技术等[4]。

（1）使用高校操作系统的安全注意

平时工作中，机房管理员没有做好安全防范措施，就安装和配置操作系统，导致病毒进入操作系统，在系统安装结束后，也未能发现，影响网络安全。同时，由于系统存在安全漏洞，还给外来攻击者留下后门。高校为方便学习交流，都会开设相应的应用服务，这些服务的安全问题都要注意。

（2）高校网络病毒防范策略

在中心机房网络区域布控防病毒软件。对该区域进行重点监控扫描，安装360安全软件，分区域进行管理。设置系统开机或关机状态进行杀毒检测[4]。对公共机房、实验室等计算机终端机，设置还原系统，可以采用镜像分发来减少计算机病毒传播的风险，对特定区域封闭传输媒介的传输接口。

3.2 设备安全防护策略

计算机系统实体定期护理。保证相关周围环境安全，免受自然或人为破坏。优化储存及储存渠道，防止资料外泄。同时，高校可以创建具备保护性的中心机房，将相关重要设备放置于中。做好机房数据备份，以便遇到突发事件时能及时恢复数据，恢复正常。

3.3 网络安全技术策略

身份认证技术。用特定口令、用户信息、用户某种特征来识别用户的身份，确保符合条件的用户通过访问相应的网络资源。

防病毒技术。定期病毒查杀工作，对于高校，在重要网络主机中安装杀毒软件（360，小红伞，卡巴斯基等），并定期对软件进行更新。

防火墙技术。对流量数据按照防火墙的安全策略进行过滤，把属于破坏性、不符合规则的数据流量拦截在外。

文件加密及数字签名技术。文件加密来保护文件的安全性，防止重要数据的窃取与丢失。数字签名技术用来验证发送方身份，实现数据的检验完整[2]。

3.4 网络管理制度完善策略

对高校机房管理员提高要求，对网络信息化建设与运维工作做出合理规划。对专业技术人员进行系统化教学，落实网络安全责任制度。制定相关的应急处理机制[1]。

4 总结语

虽然现阶段高校网络的发展方便了工作与学习，提升了办公效率和学习途径，但也给网络安全性带来很多问题，若不加重视和提高防范，将带来严重的教学、科研损失。高校师生要提高安全意识，做好基本的计算机规范，机房管理员维护好安全策略。同时，高校要强化网络安全的教育，可以多举行网络安全教育报告会，知识竞赛。此外，可以针对不同专业的学生，开设不同程度的网络知识课程，使学生了解网络安全的重要，增强自我保护信息理念[3]。

[1]莫民，曹璞.等保2.0下高职院校智慧校园网络安全体系建设研究[J].网络安全技术与应用，2021.

[2]隋庆茹，刘晓彦.浅析高校网络安全现状及防护措施[J].中国管理信息化，2020.

[3]闫思瑾.高校计算机网络信息管理安全防护问题与策略[J].数字技术与应用，2021．

[4]夏可为. 高校校园网络安全系统的设计方案及论述[J].信息通信，2020.