隨著計算機網(wǎng)絡(luò)及計算機課程的進(jìn)一步普及�,越來越多的學(xué)校構(gòu)建了網(wǎng)絡(luò)環(huán)境,大多數(shù)學(xué)生已掌握了基本的計算機和網(wǎng)絡(luò)知識的基礎(chǔ)���。然而校園網(wǎng)絡(luò)的安全問題已成為威脅信息技術(shù)教育進(jìn)一步推進(jìn)的首要問題�����。
一、校園網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn)
隨著教育部“計算機基礎(chǔ)”課程的進(jìn)一步普及�����,越來越多的學(xué)校具備網(wǎng)絡(luò)環(huán)境��,隨著計算機輔助教學(xué)軟件的日益增多和教學(xué)資源庫的日益完善��,學(xué)生在掌握了基本的計算機和網(wǎng)絡(luò)知識的基礎(chǔ)上��,逐漸將之應(yīng)用于其他學(xué)科的學(xué)習(xí)���,充分發(fā)揮這一先進(jìn)工具的作用。
然而還有一些現(xiàn)象不容樂觀��。通過對已建校園網(wǎng)的中小學(xué)校的調(diào)查發(fā)現(xiàn)�,校園網(wǎng)絡(luò)的安全問題已經(jīng)成為威脅信息技術(shù)教育進(jìn)一步推進(jìn)的首要問題,和互聯(lián)網(wǎng)經(jīng)受的考驗一樣�����,病毒��、攻擊和各種各樣的不健康信息以其越來越大的危害侵蝕學(xué)校這片凈土����。這些網(wǎng)絡(luò)安全問題主要體現(xiàn)在以下幾個方面��。
1.不健康信息��。據(jù)對國內(nèi)各省市中小學(xué)校的調(diào)查表明����,不健康信息借助網(wǎng)絡(luò)這一方便的傳播工具正在逐漸侵害著孩子們的成長����。
對此現(xiàn)象的蔓延目前大多學(xué)校沒有防患于未然的良策。據(jù)教育專家分析����,學(xué)生的好奇心理、逆反心理加上網(wǎng)絡(luò)這一方便的傳播工具是產(chǎn)生這些現(xiàn)象的罪魁禍?zhǔn)?��,這一現(xiàn)象將隨教育信息化的進(jìn)一步推進(jìn)日益嚴(yán)重�。
2.病毒����。幾乎從計算機誕生之日起,病毒就成為威脅信息技術(shù)發(fā)展的負(fù)面因素,到今天為止���,數(shù)以萬計的計算機病毒以其“光輝”的發(fā)展歷史同時被記入信息技術(shù)發(fā)展史���。
在學(xué)校,幾乎每個網(wǎng)管教師都飽受病毒的困擾�����,學(xué)校的病毒可能來源于各個方面——互聯(lián)網(wǎng)����、軟盤����、光盤等,用傳統(tǒng)的辦法防不勝防���,為了不占用學(xué)生和教師們正常的工作時間�,網(wǎng)管教師幾乎要犧牲所有的業(yè)余時間和節(jié)假日����,不遺余力地修復(fù)癱瘓的計算機和網(wǎng)絡(luò),但這種修復(fù)往往是滯后的,網(wǎng)管教師仍舊要背負(fù)各種各樣的責(zé)備����。
3.攻擊。相對于前兩種危害而言���,學(xué)校受到網(wǎng)絡(luò)攻擊造成的危害算是比較小的��,網(wǎng)絡(luò)攻擊更多體現(xiàn)在網(wǎng)絡(luò)技術(shù)比較發(fā)達(dá)的地區(qū)�。
二�����、校園網(wǎng)絡(luò)安全問題的特點和需求分析
和企事業(yè)網(wǎng)絡(luò)相比���,校園網(wǎng)絡(luò)的安全問題有其顯著的特點�,這些特點主要體現(xiàn)在以下幾個方面:
1.企事業(yè)單位如金融��、證券��、國家機關(guān)對于數(shù)據(jù)安全的考慮總是放在第一位的���,其次才考慮對于病毒和不健康信息的防范����;學(xué)校是教書育人的環(huán)境,學(xué)生的世界觀尚未完全成型�����,很多學(xué)生還處于青春期�,很容易受到不健康信息的誤導(dǎo)。學(xué)?����?偸前逊婪恫唤】敌畔⒆鳛樾@網(wǎng)絡(luò)安全的第一道防線��,其次才考慮病毒和攻擊����。
2.企事業(yè)單位人手一機���,人員的流動性不大�����,且每人的工作內(nèi)容不同�,對本機的保護性較強,管理也相對容易����,各種安全漏洞一般很難從軟、光盤進(jìn)入�����,只需從網(wǎng)關(guān)處防范即可���;學(xué)校學(xué)生的流動性較大����,機器易受各種各樣的感染���。
3.對于昂貴的防火墻等設(shè)備�����,大部分學(xué)校承受不起���,現(xiàn)在已經(jīng)是理智的投資時代,很少有學(xué)校愿意投資僅僅是概念上的網(wǎng)絡(luò)安全建設(shè)�����。
4.企事業(yè)單位對于網(wǎng)絡(luò)安全的定義僅限于防范,學(xué)校擔(dān)負(fù)著教學(xué)育人的任務(wù)�����,所以對于網(wǎng)絡(luò)安全的定義還包括嚴(yán)格的管理���,當(dāng)學(xué)生沉湎于其中時進(jìn)行合適的管理和引導(dǎo)�,防患于未然��。
從以上特點分析����,學(xué)校對校園網(wǎng)絡(luò)安全產(chǎn)品的需求是分層次的,但主要應(yīng)該體現(xiàn)在以下幾個方面����。能夠全方位地杜絕不健康信息在校園網(wǎng)上的泛濫�����;具有較強的管理功能�,使主管教師能及時發(fā)現(xiàn)�、及時處理�����、防止擴散����,在學(xué)生未受影響之前進(jìn)行消除;具有較強的防病毒功能�����;具有防黑客攻擊功能�����;產(chǎn)品性價比優(yōu)良�,不應(yīng)占據(jù)過多投資;產(chǎn)品的運行和維護簡單�����,運行費用低廉��。
三����、某大學(xué)校園網(wǎng)絡(luò)安全策略
該大學(xué)校園網(wǎng)絡(luò)采用兩級結(jié)構(gòu):主干網(wǎng)和子網(wǎng)����。校園網(wǎng)的主干采用成熟的100M快速以太網(wǎng)����,由網(wǎng)絡(luò)中心用光纖聯(lián)至各座大樓的分節(jié)點,再經(jīng)分節(jié)點的交換機連接到大樓的各個用戶���。這種配置結(jié)構(gòu)既保證了主干網(wǎng)信息可靠��、高速��、無瓶頸地傳輸�,又為用戶計算機接入提供了靈活�����、方便的手段�����。
1.校園網(wǎng)絡(luò)的IP路由信息和訪問范圍的控制管理�����。校園網(wǎng)絡(luò)主要采用TCP/IP網(wǎng)絡(luò)協(xié)議�����,網(wǎng)上的路由器間需要交換路由信息��,IP路由信息交換有動態(tài)和靜態(tài)兩種方式�����。采用靜態(tài)路由協(xié)議�,與上一級網(wǎng)絡(luò)中心相連,不采用RIP主要原因是為了防止網(wǎng)絡(luò)上不正確的路由信息對本校園網(wǎng)絡(luò)的影響�����。
為了控制用訪問一些網(wǎng)絡(luò)采用IP的限制��,在路由器上加入這兩條指令:
ip access-group 100 out
access-list 100 permit ip 202.xx.xx.xx 0.0.0.xx any
access-list 100 permit ip any國內(nèi)ip列表 ip反向mask
表示只有96網(wǎng)段上202.xx.xx.xx-202.xx.xx.xx的用戶才能訪問國外網(wǎng)站�,這樣防止其他用戶訪問國外網(wǎng)站,造成國外流量劇增�����,從而增加經(jīng)費開支。此外�����,有些校園網(wǎng)絡(luò)web服務(wù)器的內(nèi)容�,如校園網(wǎng)絡(luò)辦公信息系統(tǒng)只能讓校園網(wǎng)絡(luò)內(nèi)用戶訪問,在Web服務(wù)器設(shè)置定義源IP訪問范圍�;利用網(wǎng)絡(luò)的c類地址的超網(wǎng)掩碼技術(shù)實現(xiàn)這一功能。也就是校園內(nèi)部用戶可以訪問校園網(wǎng)絡(luò)辦公信息的內(nèi)容�。
2.校園網(wǎng)絡(luò)設(shè)備防雷電的防范策略。由于雷電直擊���,及其他電磁感應(yīng)���,未受保護的網(wǎng)絡(luò)負(fù)載設(shè)備將被瞬態(tài)過電壓破壞數(shù)據(jù)傳輸、耗損元件��、或者毀壞芯片�����,造成不穩(wěn)定的性能�、硬件故障等問題。
建筑物的防雷主要通過安裝避雷針來實現(xiàn),它可以有效地防止雷擊損害建筑物并大大降低雷直接擊中網(wǎng)絡(luò)傳輸線和網(wǎng)絡(luò)設(shè)備及電源線的可能性����,在一定程度上起到網(wǎng)絡(luò)防雷的作用���。
電源防雷的主要作用是防止雷擊過電壓從電源供入端進(jìn)入設(shè)備�����,保障設(shè)備及數(shù)據(jù)傳輸暢通無阻���。普通插座的接地端要接地,地線不但直接影響電源防雷器的效能而且還影響到信號防雷器的效能��。盡管在電源和通信線路等外接引入線路上安裝了防雷保護裝置��,由于雷擊發(fā)生時網(wǎng)絡(luò)線(如雙絞線)感應(yīng)到的過電壓���,會影響網(wǎng)絡(luò)的正常運行甚至徹底破壞網(wǎng)絡(luò)系統(tǒng)���。由外來線路進(jìn)入的DDN或ISDN一定要在重要線路的網(wǎng)絡(luò)接口上做相應(yīng)的保護,如防火墻內(nèi)外網(wǎng)接口��,安裝RJ45防雷器等,一旦有雷擊就可以避免雷擊造成網(wǎng)絡(luò)設(shè)備的嚴(yán)重?fù)p失����。 4.校園網(wǎng)絡(luò)安全策略��。在計算機網(wǎng)絡(luò)日益擴展和普及的今天����,計算機安全要求更高,涉及面更廣��。不但要求防治病毒�,還要提高系統(tǒng)抵抗外來非法黑客入侵的能力,還要提高對遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋C苄?����,避免在傳輸途中遭受非法竊取�。
在防治網(wǎng)絡(luò)病毒方面,接受不明電子郵件��,下載軟件如:.zip.exe等文件過程中應(yīng)特別加以注意�����。它們都有潛伏病毒的可能性。
對于系統(tǒng)本身安全性���,主要考慮服務(wù)器自身的穩(wěn)定性�,增強自身的抵抗能力�,杜絕一切可能讓黑客入侵的渠道��,避免造成對系統(tǒng)的威脅��。對重要系統(tǒng)�����,必須加上防火墻和數(shù)據(jù)加密技術(shù)加以保護����。
計算機系統(tǒng)安全是個很大的范疇,操作系統(tǒng)��、應(yīng)用軟件�����、硬件本身都有可能出現(xiàn)一些情況���,平時應(yīng)重視�,加以防范。
在網(wǎng)絡(luò)操作系統(tǒng)安全預(yù)防措施����。
1)盡量使ftp,mail等服務(wù)器與之分開��,去掉ftp����,sendmail,tftp��,NIS�,NFS,finger�,netstat等一些無關(guān)的應(yīng)用。
2)定期查看服務(wù)器中的日志logs文件�����,分析一切可疑事件����。在errorlog中出現(xiàn)rm��,login����,/bin/perl��,/bin/sh等之類記錄時��,服務(wù)器可能會受到一些非法用戶的入侵嘗試����。
3)網(wǎng)絡(luò)管理員要及時安裝網(wǎng)絡(luò)OS補丁程序���。如windows2000有iis的漏洞���,需要安裝補丁程序sp1、sp2�。
5.利用防火墻增強網(wǎng)絡(luò)的安全性和可管理性。當(dāng)一個網(wǎng)絡(luò)接上Internet之后��,除了考慮計算機病毒�、系統(tǒng)的穩(wěn)定之外��,更主要的是要防止非法用戶的入侵。而目前防止的措施主要靠防火墻完成���。防火墻(firewall)是指一個由軟件或和硬件設(shè)備組合而成����,處于網(wǎng)絡(luò)群體計算機與外界通道(Internet)之間�����,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限����。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中,防火墻是一個系統(tǒng)�����,主要用來執(zhí)行兩個網(wǎng)絡(luò)之間的訪問控制策略���,通常應(yīng)用防火墻的目的有以下幾方面:限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)�����;過濾掉不安全的服務(wù)和非法用戶�;防止入侵者接近網(wǎng)絡(luò)系統(tǒng);限定用戶訪問特殊站點����;為監(jiān)視局域網(wǎng)安全提供方便。
防火墻總體安全框架為:物理地址→IP地址→身份認(rèn)證→應(yīng)用層過濾�,分別采用IP/MAC綁定,狀態(tài)包過濾技術(shù)���,身份認(rèn)證�,內(nèi)容過濾等安全策略���。通過這樣的數(shù)據(jù)流程對內(nèi)部網(wǎng)絡(luò)進(jìn)行全面的保護�����。
IP/MAC綁定技術(shù)方便了網(wǎng)絡(luò)的IP地址管理,杜絕了內(nèi)部網(wǎng)IP地址盜用�����,狀態(tài)包過濾技術(shù)依據(jù)連接狀態(tài)信息進(jìn)行更加全面地過濾�����;而且在對包的網(wǎng)絡(luò)層信息進(jìn)行過濾的同時,更強調(diào)對應(yīng)用層信息的過濾���,因此大大提高了網(wǎng)絡(luò)系統(tǒng)的安全性�����。在應(yīng)用層實現(xiàn)內(nèi)容過濾�,主要是網(wǎng)頁內(nèi)容過濾���,SMTP電子郵件標(biāo)題過濾阻止病毒郵件�����,防止外部網(wǎng)絡(luò)不安全或管理員不希望通過的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)��。
防火墻貫穿內(nèi)部網(wǎng)絡(luò)的整個防御過程:防火墻能夠檢測到通過防火墻的各種入侵�、攻擊和異常事件��,并以相應(yīng)的方式通知相關(guān)人員�����,安全員依據(jù)這些警報信息及時修改相應(yīng)的安全策略,重新制定訪問控制規(guī)則���;由安全員分析審計信息�,修正策略�����,制定新的過濾規(guī)則����。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補丁程序進(jìn)行升級且必須定期進(jìn)行�����,以對付黑客新增的入侵攻擊手段�。
四、結(jié)語
一個網(wǎng)絡(luò)系統(tǒng)的正常運行和安全防范是一項聯(lián)系范圍很廣的任務(wù)�����,需要整個網(wǎng)絡(luò)各個環(huán)節(jié)的工作者不斷地積累工作經(jīng)驗���,加強專業(yè)知識的學(xué)習(xí)和技能提高。不斷地根據(jù)實際情況完善軟件、硬件防護體系����,才能使網(wǎng)絡(luò)保持在平穩(wěn)的狀態(tài)中運行。