学校局域网面临的安全威胁与防范措施

2022-09-11

自Internet问世以来, 随着基于计算机网络技术的现代教育手段应用的日益广泛, 学校建设计算机网络的热情空前高涨。计算机网络的普及对加快信息处理、合理配置教育资源、充分利用优质教育资源、提高工作效率、减轻劳动强度、实现资源共享都起到了不可估量的作用。而资源共享和信息安全一直作为一对矛盾体而存在着, 随着计算机网络资源共享的进一步加强, 信息安全问题也日益突出。

局域网是互联网的一种主要的存在方式和组成部分, 局域网的安全问题在某种意义上反映了所有的网络安全问题。学校局域网既面临来自外部的安全威胁, 也面临来自学校内部的安全威胁。由此需要加强防范措施, 以保证学校局域网络的安全。

1 学校局域网安全所面临的威胁

1.1 来自外部的安全威胁

学校局域网与互连网相连, 每天都会有入侵者试图闯入网络节点。很多行政和教学单位的电脑中存有涉及机密的文件, 比如学生的试卷、学校财务情况等。在互联网上当DOS攻击活动猖獗的时候, 大部分攻击都是利用学校局域网的主机进行的。黑客利用这些主机在管理上的松懈来达到发动攻击的目的, 同时也隐藏了自己。而国内学校局域网因为意识与资金方面的原因, 以及对技术的偏好和运营意识的不足, 普遍都存在“重技术、轻安全、轻管理”的倾向。学校局域网建设者在安全方面往往没有太多的关注, 常常只是在内部网与互联网之间放一个防火墙就万事大吉, 有些学校甚至什么也不放, 直接面对互联网, 这就给病毒、黑客提供了充分施展身手的空间。

1.2 来自学校局域网内部的安全威胁

来自学校局域网内部的安全隐患比来自学校局域网外部的各种不安全因素破坏力更强、影响更广、威胁更大。美国教育界和企业界80%的数据破坏是由防火墙内的人造成的, 入侵检测系统或抗病毒软件对此却无能为力。学校局域网还存在一个经常被忽视但是越来越严重的现象, 就是有相当数量的学生的计算机相关技术水平非常高, 甚至超乎管理人员的想象, 他们往往是从内部攻击网络的主要人群。

内部安全危害分为三大类:操作失误、存心捣乱和用户无知。

(1) 操作失误, 包括用户不经意获得了不应该拥有的权限。新设用户账户、改动账户及进行其他日常维护任务时, 管理员偶尔会把管理权限授给不合适的用户。虽然自己没有恶意, 但这些新授权的用户无意中会给数据和系统带来严重破坏。正确的措施就是取消过高的权限并纠正破坏。

(2) 以学生和老师的蓄意破坏为例, 可能存在的漏洞包括他们离开学校后设立特洛伊木马以获得访问权, 而对用户和用户组权限管理不善常常会导致他们离开后很长时间内仍能访问极重要的内容。

(3) 因学生的无知引起的安全漏洞会造成极为严重的代价。合理的安全政策响应机制包括教育用户、删除违反政策的文件及通知管理员和管理部门。

1.3 从破坏对象来看, 学校局域网面临的威胁

大体可分为对数据信息的危害和对设备的危害。常见的入侵方式和表现形式包括下面几种:

(1) 非授权访问及冒充合法用户。包括对网络设备及信息资源进行非正常使用和越权使用或者利用假冒和欺骗的手段非法获得用户的使用权限, 以达到占用用户资源的目的等等。如教师电脑中的学生档案资料、学校财务情况以及教师的一些个人信息, 被非授权用户从网络上获得。

(2) 利用操作系统的一些漏洞。如有名的WindowsDCOM蠕虫病毒就是利用Windows漏洞进行攻击的。

(3) 破坏数据的完整性。包括使用非法手段删除、修改、重发某些重要信息, 影响用户的正常工作。

(4) 病毒与恶意攻击。指通过网络传播病毒或恶意脚本文件等, 干扰用户的正常使用。如冻结注册表、修改I E设置等。通过邮件或资料下载, 病毒或木马程序被下载到本地机器上。此外, 盗版软件也是传播病毒及木马程序的途径之一。

(5) 系统自身设置造成可乘之机。许多教师为了办公方便, 将所有硬盘分区共享, 并且不限制权限, 使其他用户通过网上邻居等简单方式就可以对文件进行操作。

(6) Internet上非法内容以及垃圾邮件的干扰, 一些恶意网站不仅内容无聊, 而且往往还带有一些恶意代码。一旦浏览之后, 轻则更改IE设置, 重则更改注册表, 造成系统的不稳定。

2 学校局域网网络安全防范措施

学校局域网安全是一项系统工程, 在实施时要充分考虑各种情况, 针对不同情况采取相应的措施。基于核心交换机的安全策略是其中比较重要的一项, 只要长期有效地坚持, 合理地配置好网络设备, 再将防火墙、入侵检测系统、网络杀毒、蜜罐等系统纳入, 就可以构筑立体动态的有效、安全、灵便的网络空间, 为教学和科研提供安全高效的保障。

目前, 比较成熟的网络安全技术产品有:防火墙、入侵检测、身份认证、病毒防范、信息过滤、数据加密、VPN, VLAN、容错、数据备份、地址绑定等。但网络安全不只是这些技术产品的简单堆砌, 它是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。具体防范措施如下:

2.1 根据用户的特性和需求划分VLAN

学校局域网与其他企事业单位的局域网相比, 联网计算机及网络用户的群体更为复杂:有教师备课机、学生机房、学生宿舍、图书馆以及人事、财务、后勤等行政办公计算机等。不同的用户对于网络有着不同的需求。对于自身信息的安全性要求也不同, 据此可以将学校局域网划分为多个V L A N。既可以增强可管理性, 提高安全性, 减小广播域, 提高网络性能和效率;还可以将发生故障的网络接口卡对网络的影响隔离在特定的V L A N中, 不至于扩展到整个网络。

2.2 在学校局域网出口设置防火墙网关

防火墙网关能有效隔离学校局域网和外部互联网, 使学校局域网与互联网之间的访问连接得到有效控制, 阻止黑客对学校局域网的非法访问和攻击。针对学校局域网中部分重要的网段 (如校长办公室、教务、财务、人事、科研中心、重要实验室等) 设置防火墙网关, 将他们和学生机房、学生宿舍的网段隔离, 提供最基本的网络层的访问控制。使之不会受到来自校内其它网段的攻击。

2.3 合理运用入侵检测技术

入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充, 入侵检测技术能够帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力 (包括安全审计、监视、攻击识别和响应) , 提高了信息安全基础结构的完整性。可以利用入侵检测技术构架学校局域网的防御体系。加强对学校局域网特别是行政、教研、服务器等重点网段的保护。

2.4 设置访问控制管理系统和智能信息过滤系统

利用核心交换机Quidway6506的访问控制表可在学生上网比较集中的网段 (如学生机房、学生宿舍、图书馆等) 设置Internet访问控制管理系统和智能信息过滤系统。从技术上对学生的上网行为进行管理和监控。防止学生有意无意访问含有黄、赌、毒、暴力、邪教等内容的网站。另外, 还要加强对学生的信息道德教育, 法制教育及上网行为的管理。使他们不再主动上网浏览、下载、传播这类信息。

2.5 加强服务器安全设置

服务器是学校局域网的核心设备, 也是黑客们的主要攻击对象, 所以它们要有最高的安全性。网络操作系统是学校局域网服务器系统中最重要的组成部分。用户通过使用网络操作系统来使用学校局域网络资源, 所以服务器安全的前提是网络操作系统的安装。

2.6 加强防范, 防止病毒泛滥

要建立一个有效合理的病毒预防和查杀机制。通过在网络中部署分布式、网络化的防病毒系统, 不仅可以让单机有效地防止病毒侵害, 还可以使管理员从中央位置对整个网络进行实时状态下的病毒防护。

2.7 在防火墙内口上捆绑IP和MAC地址

在汇聚交换机上捆绑I P和M A C地址。在接入交换机上捆绑端口和M A C地址。通过M A C地址、I P地址、交换机端口的双重捆绑, 解决学校局域网中IP地址盗用问题和I P冲突问题。

2.8 日志的记录

在学校局域网安全管理中, 我们还要注意日志的收集, 当出现安全事故时, 如果有交换机等设备的日志信息, 就可以通过查看日志, 分析日志, 找到攻击的来源, 从而堵塞漏洞, 将损失降低到最小。因此, 要建立一个日志服务器syslog, 该服务器可以运行在windows或Linux环境下, 服务器软件可以使用3cdemon或ki、vi等。在核心交换机上还要启用日志记录, 并指定syslog服务器的IP地址。

2.9 加强内部安全管理

提高用户的安全意识是为了确保网络和系统的正常运转, 应该建立严格的局域网管理制度和机房上机管理制度, 杜绝人为因素造成网络不安全。配备相应的网络管理人员负责整个网络安全的日常管理及维护。

2.1 0 制度管理

网络安全管理, 相应的规章制度管理也尤为重要, 需建立完善人员职责、安全制度、应急预案等。在日常学校局域网管理过程中, 我们逐步建立和完善的每个岗位职责、各种日志 (核心系统维护日志、应用系统维护日志、网站监控日志、客户端维护日志、无线监控日志、配线间巡查日志、网站安全监控日志等等) 、信息发布、空间申请、安全管理规范等, 做到有章可循, 有志可查, 随时做好维修维护管理记录, 定期巡查、定期维护。

2.1 1 人员管理

网络安全管理中, 人员管理很重要, 要加强管理人员、使用人员的安全防范意识, 有效地消除内部隐患。在管理中, 人员应分工明确, 用户管理、密码管理、权限管理、信息发布等都有专人负责, 保证网上信息这一级的安全。要采用主辅责任制, 规范管理, 责任到人, 有分工有合作, 保证系统的稳定运行。同时在实际工作不断积累经验, 加强人员技术学习和培训。