高职校园网络安全研究

高职校园网络安全研究

摘要：校园网是高职院校重要的信息化平台，在高职教育近年来的快速发展中发挥了巨大作用。校园网对丰富教学手段，加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了特殊的作用。然而校园网在给使用者带来了诸多便利的同时，也面临着如安全漏洞、病毒木马、网络攻击等许多安全问题。如何使校园网更加安全高

效地运行，是每个网络管理人员需要关注的问题。

关键词：高职；校园网；安全

1高职院校校园网络安全问题分析

1.1安全漏洞与病毒攻击

校园网面临的主要威胁就是安全漏洞与病毒攻击，首当其冲的就是网络服务器。目前在高职院校中广泛使用的服务器操作系统，都存在一些安全漏洞，对网络安全构成了威胁。这些系统安全风险级别不同，例如被广泛使用的Windows NT/2000、Windows Server 2003，由于其普遍性和易操作性，加之自身存在诸多的安全漏洞、浏览器漏洞、IIS等漏洞，使它成为最易被攻击的系统,而低价盗版的泛滥更是给病毒提供了可乘之机，GNU/Linux虽然普遍认为其稳定性、安全性能优于Windows，不过由于其自身体系架构和技术的复杂性，也时常招致更高层次黑客的攻击。

在客户端,校园网内普遍使用的Windows系列个人桌面系统也存在许多漏洞，更重要的是日常一些不良的使用习惯，比如更新不及时、

开启不必要端口、使用移动存储设备不慎等都极易传播病毒，给网络攻击留下通道。除此之外很多应用软件的安全漏洞也很严重，比如常用的Flash软件、播放器软件、P2P软件、甚至微软Office软件中的Excel、PowerPoint、Outlook等都存在一些安全漏洞，一旦被黑客或病毒利用,有可能导致灾难性后果。

以上安全问题日渐突出，使得“肉鸡”这个新名词频频出现。不论是安全级别较高的服务器还是设防不严普通用户，都是由于各种安全漏洞或病毒原因，被攻击者控制，任其摆布。如果校园网内用户不幸被俘沦为“肉鸡”，那黑客就不费吹灰之力侵入校园网，在网内就更加“畅通无阻”，引发的安全威胁也愈加严重。这足以说明安全漏

洞与病毒仍是校园网络安全的重大威胁。

1.2校园网内部安全隐患

在网络安全业内有一条80/20法则：据统计,80%的安全威胁来自于网络内部。之所以造成这样的结果，是由于内部用户对网络的结构和应用模式通常都比较了解，发动攻击或破坏的障碍远比外界小，因此来自内部的安全威胁往往更大一些。在许多高职院校，校园网用户群体主要以在校大学生为主。这些学生用户数量庞大，少则几千,多则上万, 其中不乏一些网络技术的爱好者，他们对校园网络较为熟悉，是最活跃的网络用户。出于对网络新技术的好奇,急于尝试,有时便把校园网当成了自己的“试验田”,在校园网上尝试各种攻击技术。另外,由于网络管理员偶尔的疏忽大意，不慎将一些关键密码外泄或者由于相关管理人员变动，而管理者没有及时更改密码、取消相应用

户及权限，这都可能增加来自于网络内部的安全隐患。由此可见，构建相对安全的校园网不仅要依靠先进的设备和技术，更重要的是加强

制度建设，加大对用户的安全教育，提高管理人员的安全意识。

1.3网络应用的安全问题

目前大多数高职院校的校园网通过CERNET与其他网络运营商提供的双出口与Internet相连，给使用者提供了比其他环境更高的带宽，用户可以最快速下载或上传自己需要的资源。然而带宽也是一种资源，再高的带宽若总被一些垃圾信息占用，那么正常的应用需求势必受到影响，网络安全也会受到威胁，比如垃圾邮件、滥用网络资源等。大量垃圾邮件对校园网的破坏性很大,它占用网络带宽,造成E-mail服务器拥塞,进而降低整个网络的运行效率,同时也是网络攻击、病毒和不良信息传播的重要途径。现在虽然很多高职院校都搭建了自己的E-mail服务器，为校园网用户提供邮件服务,但由于缺乏相应过滤软件以及缺少限制邮件转发的相关机制,反而使E-mail服务器成为垃圾邮件的攻击对象和中转站,大大增加了网络流量,浪费了宝贵的校园网带宽,造成校园网用户收发邮件速度缓慢,甚至导致E-mail服务器崩溃。此外，有些校园网用户滥用网络资源。有私自架设代理服务器,非法获取网络服务的,也有用户非法下载或上传的,甚至有的用户将机器当成了个人的服务器，每天都在网上“挂着”,即便受到攻击也不易察觉。这些不安全的应用不仅占用了大量网络带宽,影响了校园网的正常应用，更致命的是由于开启的一些不安全服务，极易使相关端口成为网络攻击和病毒木马入侵的途径，从而被控沦为“肉

鸡”，给校园网的安全造成极大的隐患。

1.4设备安全问题

目前校园网络拓扑大多仍以3层结构为主：以网络机房为中心，通过光纤联接校园内各建筑物，再由建筑物的设备间通过光纤或双绞线向每个信息点发散。这样的网络结构包括了大量如交换机、路由器、防火墙等网络硬件设备以及通信线缆，这些设备的正常运行是整个网络的安全运行的基础。设备安全指通过相应保护手段使计算机系统、网络设备及线缆等硬件实体免受自然灾害、物理损坏、电磁泄漏、操作失误、人为干扰、搭线攻击等破坏，确保硬件设备安全。通常对路由器、核心交换机、防火墙以及各种服务器等关键设备应尽量集中管理，将光纤等通信线路实行深埋、穿线或架空, 并做标记防止无意损坏，对主干线路、接入交换机、边缘设备要专人严格管理，定时巡查防止私接乱搭。

2校园网安全解决方案

2.1及时更新，全面提升系统安全

(1)系统漏洞是网络安全的首要问题，及早地发现并及时修补漏洞是每个网络管理人员的主要任务。对于正在使用的操作系统和软件服务，应该密切关注其程序的最新版本和安全信息，一旦发现有关

的安全问题就应立即对操作系统和软件进行必要的补丁和升级。

(2)操作系统和一些重要服务一定要设置牢固的密码并经常更换。密码是首席安全员，是最简单直接的防护方法。大部分的攻击都是从截获或猜测密码开始的，一旦黑客破译密码成功进入，那么前

面的防护措施都失去了意义。因此每个网络管理人员都要安全有效地

管理密码，不能随意泄露密码。

(3)关闭不必要的服务。校园网中的各类服务器，为用户提供着各种的服务，但是提供的服务越多，相应打开的服务端口就越多，而这些端口很多时候又都成了遭受攻击时的通道，所以多一个不必要的服务就多一个威胁。从安全角度考虑，应尽可能将一些不必要的服

务关闭，只向公众提供基本的服务。

2.2部署防火墙

对于校园网来说，要在内外网之间建立一道牢固的安全屏障,最直接的防护方法就是部署防火墙。防火墙对于非法访问具有很好的预防和控制作用，能够辅助管理人员进行网络安全管理，并有效地降低非法访问发生的几率，防患于未然。通常将防火墙的内网口与校园网内网核心交换机连接，外网口通过路由器与Internet连接,需要对外发布的服务器,如WWW、E-mail、FTP等服务器可连接在防火墙的DMZ区。所谓DMZ区也叫“非军事区”，是为不信任系统提供服务的孤立网段，它只允许通过Internet进来的外网用户访问一些对外公开的服务，以此阻止内网和外网直接通信，实现内外网隔离，从而保

证内网安全。

防火墙内外网隔离的安全机制既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户使用外部不良资源，还能够对发生在网络中的安全事件进行跟踪和审计。但这并不是说部署了防火墙校园网就一定牢不可破，而是需要通过全面的配置，才能使防火墙