校园网络安全的分析及对策

在教育部的统一部署和规划下, 学校都建立起了自己的校园网络, 并在学校的教学、管理、科研、交流中发挥越来越重要的作用。一方面校园网已从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络, 校园网在学校的信息化建设中已经在扮演了至关重要的角色, 成为数字化信息的最重要传输载体;另一方面, 学校已将校园网络作为自己思想政治教育的重要阵地。利用校园网络资源, 深入开展网络思想政治工作, 在引导学生树立正确的人生观、世界观、价值观, 培养跨世纪高素质新型人才中发挥着重要的作用。

而目前, 在互联网上利用计算机网络进行各类违法行为的数量也呈上升之势, 黑客的攻击方法已经超过计算机病毒的种类。学校专门从事网络安全方面的专业人员屈指可数, 相对于其他企业和机构有较大差距。学校网络建设者在安全方面没有太多的关注, 只是在内部网与互联网之间放一个防火墙就万事大吉, 这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等, 这些安全隐患发生任何一次对整个网络都将是致命性的。因此, 如何保证校园网络能正常运行不受各种网络黑客的侵害就成为各个学校不可回避的一个紧迫问题。

1 校园网安全特点分析

校园网作为互联网的一种或者说一部分, 不仅具有以上问题, 由于校园网一般都最先应用最先进的网络技术, 网络应用普及, 用户群密集而且活跃, 使得校园网的安全管理更为复杂、困难。与政府或企业网相比, 校园网的以下特点导致安全管理非常复杂:

(1) 校园网的速度快和规模大。校园网普遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps, 目前普遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户群体一般也比较大, 少则数千人、多则数万人。正是由于高带宽和大用户量的特点, 网络安全问题一般蔓延快、对网络的影响比较严重。

(2) 校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂, 学生宿舍中的电脑一般是学生自己花钱购买、自己维护的, 而学校机房是统一采购、有技术人员负责维护的, 有些办公室则没有专人维护。这种情况下要求所有的端系统实施统一的安全政策 (比如安装防病毒软件、设置可靠的口令) 是非常困难的。由于没有统一的资产管理和设备管理, 出现安全问题后通常无法分清责任。

(3) 用户群体相当活跃。学校的学生通常是最活跃的网络用户, 对网络新技术充满好奇, 勇于尝试。如果没有意识到后果的严重性, 有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术, 可能对网络造成一定的影响和破坏。

(4) 开放的网络环境。由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。比如, 企业网可以限制允许Web浏览和电子邮件的流量, 甚至限制外部发起的连接不允许进入防火墙, 但是在校园网环境下通常是行不通的, 至少在校园网的主干不能实施过多的限制, 否则一些新的应用、新的技术很难在校园网内部实施。

(5) 有限的投入。校园网的建设和管理通常都轻视了网络安全, 特别是管理和维护人员方面的投入明显不足。

(6) 盗版资源泛滥。由于缺乏版权意识, 盗版软件、影视资源在校园网中普遍使用, 这些软件的传播一方面占用了大量的网络带宽, 另一方面也给网络安全带来了一定的隐患。

以上各种原因导致校园网既是大量攻击的发源地, 也是攻击者最容易攻破的目标。根据以上特点分析学校校园网常见的安全问题如下:

(1) 普遍存在的计算机系统的漏洞, 对信息安全、系统的使用、网络的运行构成严重的威胁。

(2) 计算机蠕虫、病毒泛滥, 影响用户的使用、信息安全、网络运行。目前我校计算机的防毒软件、防火墙安装不到位, 或者根本没有, 使我们的计算机直接暴露在互联网上, 现在机房的机器很少没有感染病毒的, 严重影响了同学的正常使用。

(3) 外来的系统入侵、攻击等恶意破坏行为, 有些计算机已经被攻破, 用作黑客攻击的工具;因为缺少最基本的安全保护, 使得黑客的攻击毫无阻挡。

(4) 内部用户的攻击行为, 这些行为给校园网造成了不良的影响。

(5) 校园网内部用户对网络资源的滥用。

(6) 垃圾邮件、不良信息的传播。

2 校园网安全问题解决方案

校园网从结构上讲, 可以分成核心、汇聚和接入3个层次;从网络类型可以划分为教学子网、办公子网、宿舍子网等。其特点是底下的接入方式非常多, 包括拨号上网、宽带接入、无线上联等各种形式接入的用户类型也非常复杂。此外, 现在有相当数量的学生的计算机相关技术水平非常高, 甚至超乎管理人员的想象, 很多时候, 校园网的安全隐患更多地是来自于校园网内部。由此可见, 目前学校校园网的安全环境可以用“内外交迫”来形容。

那么如何解决这种“内外交迫”的安全困境, 基于上述对目前学校校园网安全现状的认识与理解, 提出“分布式安全域管理策略”, 将校园网的安全策略重点着眼于网内的安全防范。重点是校园网内的安全策略, 首先从网络层级看, 网络设备本身的安全可靠是前提, 然后其所具备的安全策略才能发挥效用。其次为了包括不同类型的用户的业务安全性, 网络必须具备这些用户进行针对性的安全策略。如此, 才能使整个校园网形成一个内外兼顾的整网安全管理体系。

在“分布式安全域管理策略”中, “安全域”是一个非常重要的概念。“安全域”是指具有不同网络风险的区域, 也就是说把具有相同网络风险或相同安全权限的用户放到一起的一个逻辑域。“安全域”的提出就主要是为了通过多种手段解决网络内部安全的问题。在“安全域”的构建上, 重点是基于用户的V L A N划分的策略。形象地说, 校园网网管理者可以在系统中设定小李、小陈、小张等同学设在属于“学生”的一个V L A N中, 把老李、老陈、老张等老师设在另一个属于“教师”的V L A N中, 而不用考虑这些人处在校园网中的哪个位置、是连到哪台交换机的哪个口上, 系统都会自动帮助用户完成这些负责的V L A N设定, 有了这样一个“基于用户的V L A N”功能, 可以非常方便的根据用户权限的差别划分一个个的“安全域”。因此, 校园网管理者就可以基于不同的安全策略直接对不同的用户进行操作, 即使用户移动了位置, 他所连接的交换机端口变了, 但他同样还是会在原来其所在的“安全域”中, 对他的所有安全策略完全生效。如此一来, 那些充满好奇心的学生也只能在其所在的“安全域”中活动, 而无法进入学校的教师管理系统、财务管理系统等重要系统中, 即使学生用户感染病毒, 也能有效地控制在其所在的“安全域”中, 不会影响整网的安全。

摘要：校园网安全在科技飞速发展和学校信息化管理的今天显得尤为重要。校园网有用户集中、规模较大、用户群体复杂活跃和安全防范较差等特点。针对校园网的特点, 解决校园网络安全可以采用分布式安全域管理策略。

关键词：校园网络安全,黑客攻击,分布式安全域