校园网常见的安全威胁
校园网具有速度快、规模大,计算机系统管理复杂,用户非常活跃,相对开放的网络环境,有限的资金及人力投入等特点,这些特点使校园网既是大量网络攻击的发源地,也是网络攻击者最容易攻破的目标。当前,校园网常见的安全威胁有如下几种。
威胁之一:普遍存在的计算机系统漏洞。安全漏洞是指允许任意用户未经授权获得访问,或提高其访问权限的硬件或软件特征。漏洞也可以理解为某种形式的脆弱性,网络结构、服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。目前,有名的安全漏洞或脆弱点就多达140处,而且随着时间的推移,将会有更多新安全漏洞被人发现和利用。
威胁之二:计算机蠕虫、病毒泛滥。网络蠕虫病毒的危害日益严重,种类和数量日益增多,发作日益频繁。现在,蠕虫病毒往往与黑客技术结合,计算机中毒发作后,常导致拒绝服务攻击(DoS ),连累全网服务中断。过去,病毒最大的“本事”是复制自身到其他程序。现在,它具有了蠕虫的特点,通过网络到处乱窜。还有些病毒具有黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统。
威胁之三:来自网络外部的入侵、攻击等恶意破坏行为。有些计算机被攻破后,成为黑客的工具,进行再次攻击。例如,系统代理攻击:攻击针对单个主机,并通过RealSecure系统代理对它进行监视;拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。拒绝服务攻击的典型方法有SYN Flood、Ping Flood等。
目前在互联网上,人们可以自由下载很多攻击工具。这类攻击工具设置简单、使用方便,这意味着攻击所需要的技术门槛大大降低。几年前仅适用于高智能范围的工具现在可以通过商业途径购买和使用。使用这些工具不需要很高的技术水平,因此,一个技术平平的普通攻击者很可能就是对系统造成巨大危害的黑客。
威胁之四:内部用户的攻击行为。例如,授权访问尝试,它指的是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试,典型方法包括FTP root和NetBus等;预攻击探测,指在连续的非授权访问尝试过程中,攻击者为了获得网络内部和周围的信息使用这种攻击尝试,典型例子包括Satan扫描、端口扫描和IP半途扫描等。这些行为给校园网造成了不良的影响,损害了学校的声誉。
威胁之五:校园网内部用户对网络资源的滥用。有人利用校园网资源进行商业的或免费的视频、软件资源下载服务,占用了大量珍贵的网络带宽。
威胁之六:垃圾邮件、不良信息的传播。
加强校园网安全管理措施
校园网的安全是一个庞大的系统工程,需要全方位防范。防范不仅是被动的,更要主动进行,只有这样,才能取得主动权,使网络避免有意无意的攻击。
及时发现网络设备和服务器中的新漏洞,查明网络中存在的安全隐患和威胁,要求网络是一个可适应性开环式网络,即系统具有互联网扫描功能、系统扫描功能、数据库扫描功能、实时入侵监控功能和系统安全决策功能。只有动态的网络才可能是一个安全性高的网络,图1是P2DR可适应性的网络安全模型。它的基本思想是:以安全策略为核心,通过一致性检查、流量统计、异常分析、模式匹配以及基于应用、目标、主机、网络的入侵检查等方法进行安全漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供依据,当发现系统有异常时,根据系统安全策略作出快速响应,从而保护系统安全。
一个具有高安全性的校园网通常需要从以下几个方面进行综合防范。
防范一:网络病毒防范。未来网络威胁的特征是:病毒传播的速度越来越快、从发现漏洞到利用漏洞进行攻击之间的间隔越来越短。因此,无论是手动的还是自动的应对措施,它们的作用都有限。唯一的方法是主动预防,即部署整体的网络安全解决方案代替简单的反病毒解决方案。不仅要对进入校园网内部的请求进行病毒扫描和内容过滤,而且还要在内部用户访问Internet、进行内部应用之前,在本地网络边界进行病毒扫描和内容过滤,从而防止用户的关键业务受到病毒、恶意代码的破坏,提高网络的安全性和可用性。
防范二:网络安全隔离防范。如设置流量过滤和防火墙:正确配置网络设备进行流量过滤可以有效提高网络的性能,合理使用防火墙有利于提高网络抵抗黑客攻击的能力和系统的安全性。其他措施有:隔离内部不同网段,建立VLAN;内外网络采用两套IP地址,网络地址实行转换;通过IP地址与MAC地址对应,防止IP欺骗;基于用户和IP地址的网络计费和流量统计与控制;提供应用代理服务,隔离内外网络;提供准入控制;支持透明接入和VPN及其管理。
防范三:网络监控措施。在不影响网络正常运行的情况下,增加内部网络监控机制,可以最大限度地保护网络资源。如:配备入侵检测系统,Web、E-mail、BBS的安全监测系统,网络监听系统等。安全监控是指实时对网络和网络上的服务进行安全扫描、纪录和检测,分析网络的工作情况和运行趋势,以此判断网络是否处于健康状态。及时发现不安全因素,对网络的攻击报警及时反馈。通过监控手段,增强网络安全的自我适应性和反应能力,从而保证网络服务的正常提供。通过使用网管软件、日志分析软件、MRTG和Sniffer等工具,形成一个从实时监控到离线审计在内,功能较完整、覆盖面较广的监控管理系统。
防范四:网络安全漏洞。对于非专业人员,他们无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞问题,这时,需要借助第三方产品(如:漏洞扫描系统)的帮助,及时发现安全隐患,提出相应的安全解决方案。
防范五:数据备份和恢复。建立完整的网络数据备份系统应具备以下功能:计算机网络数据备份自动化;使数据备份工作制度化、科学化;有效管理介质,防止读写操作错误;对数据形成分门别类的介质存储,使数据的保存更细致、科学;自动介质的清洗轮转,提高介质的安全性和使用寿命;以备份服务器为中心,对各种平台的应用系统及其他信息数据进行集中备份,系统管理员可以在任意一台工作站上管理、监控、配置备份系统,实现分布处理、集中管理。
防范六:有害信息的过滤。对于大中型校园网来说,还需要配备一套综合的网络管理和信息过滤相结合的系统,实现对用户访问互联网时进行有害信息的过滤和管理。
防范七:网络安全服务。为了确保整个网络的安全有效运行,有必要对网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及配套的专业措施。
(本文选自:《中国教育网络》)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。