校园网络安全浅析

0 引言

随着高校校园信息化建设工作的整体推进,应用系统的整合、统一门户平台的实施、数据存储中心的建立以及各种信息的共享与交流,都需要切实做好校园网安全体系建设,建立事故预警机制,做好善后处理工作,结合硬件、软件,采取各种技术措施,建立一个基于管理措施和多种技术的高校校园网安全体系,确保校园信息化各类基础设施不受来自网内和网外用户非法访问和破坏,管理内部用户对外部资源的合法访问,全面做好校园信息化的安全保卫工作。

1.1 校园网定义

校园网是在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。简单来说，校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。 1.2 校园网的功能

首先，校园网应为学校教学、科研提供先进的信息化教学环境。这就要求：校园网是一个宽带、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等，都可以在该网络上运行。如果一所学校包括多个专业学科（或多个系），也可以形成多个局域网络，并通过有线或无线方式连接起来。其次，校园网应具有教务、行政和总务管理功能。 1.3 校园网的特征 1.3.1 用户数量巨大

由于校区合并、扩大教育规模等因素，现在的高校学生数量和教师数量急剧增加，比如安徽大学2010年学生总数为231人，教职工总数2497人。同时由于网络已经深入到所有人的生活，网络终端一计算机的价格持续下降，可以认为大部分学生和教职工都拥有计算机，再加上各种教学科研用的计算机7935台，安徽大学计算机总数保守估计在两万台以上。 1.3.2 服务类型复杂

高校校园网的服务类型非常复杂，它包括学生在寝室的上网服务、实验室的实验服务、教室里的教学服务、图书馆教务处等的综合服务和学校对站的服务等等。 1.3.3 管理策略复杂

包括服务管理策略和路由器管理策略都很复杂。由于服务类型非常多，对每一类服务的安全权限不一样、网络服务质量不一样、记费策略不一样。导致管理策略非常复杂。

1 常见的网络安全技术

校园网安全是指校园网系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。针对校园的情况，就当前流行的安全技术来说，有以下几种行之有效的技术： 1.1 防火墙技术

1

从防火墙的定义来看，防火墙具有三个特点：所有从内部到外部或从外部到内部的通信都必须经过防火墙、只有内部访问策略授权的通信才能被允许通过、系统本身具有很强的高可靠性。防火墙可以放置在校园网和互联网之间，是抵挡外部网络非法入侵的第一道屏障。防火墙的类型有：包过滤防火墙、应用网关防火墙、代理服务器防火墙和状态检测防火墙。 1.1.1包过滤防火墙

包过滤防火墙又称访问控制表，这种技术对通过的数据包进行初步的筛选，通过定义好的规 1

AT&T工程师Willim Cheswich和Steven Bellovin对防火墙的定义

则，对符合规则的直接通过，不符合的直接丢弃或回复报错。包过滤防火墙实现在网络层，可以通过路由器集成，也可以用的包过滤软件实现，但由于不能对高层进行检测所以其安全性得不到保证。 1.1.2 应用网关防火墙 同包过滤防火墙类似，但应用网关防火墙工作在应用层上，能在网关上执行一些特定的应用程序和服务器程序，实现协议过滤和转发功能。由于进行比较复杂的控制机制所以应用网关防火墙的工作速度比较慢。 1.1.3 代理服务器防火墙

这种技术是指外部主机不能连接到内部安全网络，内部主机要使用代理服务器访问外部的主机，不同的服务可能要求不同的代理服务器，在内部网络和外部网络之间起到一种桥梁的作用，可以有效防止非法的入侵。代理服务器防火墙也是以牺牲速度为代价。 1.1.4 状态检测防火墙

状态检测防火墙引入了动态规则的概念，对网络端口可以动态地开打和关闭，减少网络攻击的可能性。状态检测防火墙根据过去的通信信息和其他应用程序获得的状态信息来动态生成过滤原则，根据新生成的过滤规则过滤新的通信。 1.2 病毒防护技术

病毒将自身附在另一个程序上，从而可以做其他程序所做的任何事情，计算机病毒在网络安全中危害最大，主要是因为其具有扩散快速，自身繁衍的特点。现在病毒防护技术可以分为单机防病毒和网络防病毒，其中网络防病毒包括：基于网络目录和文件安全性方法、采用工作站防病毒芯片、采用Station Lock网络防毒方法和基于服务器的防毒技术。 1.3入侵检测技术

即使有了防火墙和杀毒软件，网络安全还是得不到保证，重要原因就是前两者都是被动防御方法，在层出不穷的安全漏洞面前就显得不堪一击。所以还得引入第二道屏障，具有主动防御能力的入侵检测技术。入侵检测技术的主动性表现在，其通过网络中的若干关键地点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到入侵攻击的迹象，并做出响应。其主要功能包括对用户和系统行为的检测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪以及违反安全策略的用户行为的检测等。入侵检测系统包括事件产生器、事件分析器、事件数据库和响应单元四个部分。针对入侵检测系统的工作原理，国际标准化组织设计了该技术的通用模型。此模型清晰地描述了入侵检测系统的工作过程和各个组件之间的相互关系，如图A

事件或反应

响应单元 高级事件 事件存储信息 事件分析器 原始或 低级事件 事件数据库 事件产生器 事件源 图A

1.4 数据备份技术

网络系统不可能一直正常地运行当出现重大灾难性网络故障时，备份技术就显得特别重要。 如果备份工作到位，可以最大程度地降低损失。 1.5 VPN技术

VPN全称Virtual Private Network（虚拟专用网），VPN通过建立虚拟的专用的通道来实现可控的，可靠的和机密的数据传输。VPN有四种关键技术：隧道技术、加解密技术、密钥管理技术和身份认证技术。根据具体情况可以有三种解决方案：内联网VPN、外联网VPN和远程接入VPN。

1.6 端口认证技术

端口认证技术是基于802.1X协议，在校园中运用较多的有h3c 802.1X、华为802.1X和cisco 802.1X客户端。该技术是让校园网内的客户端通过认证后才能获得通过该端口访问的权利。

2 校园网安全现状及面临的安全问题 随着个人电脑的普及，越来越多的学生拥有自己的电脑，同时校园网安全问题也是越来越多，网络速度慢、连接不上网络、个人电脑中毒、学校域名服务器遭到篡改、学校邮件服务器受到攻击等等。

2.1病毒入侵以及系统漏洞

计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、造成计算机和网络系统的瘫痪、使网络效率下降，是破坏校园网安全的主要因素。计算机病毒具有以下特点：一是攻击隐蔽、二是传染途径多、三是潜伏时间长、四是破坏巨大、五是繁殖力强。如ARP欺骗、ARPKILLER、熊猫烧香病毒、网络特工、网络执行官、灰鸽子等木马病毒，表现为一台机器掉线、部分机器掉线、全部机器掉线、账号密码被盗等，严重威胁了校园网的正常使用。 系统漏洞主要有三个方面:一是普通计算机和服务器操作系统等软件漏洞。校园网中广泛使用的网络操作系统主要是Windows 操作系统,也有较少部分的其他类型操作系统,这些系统都存在各种各样的安全漏洞,许多计算机病毒都是利用操作系统的漏洞进行传染的。二是校园网络硬件设备漏洞。连接校园网络各基础设施的硬件设备(如交换机、防火墙等),基本工作原理是运行存储在芯片中的程序,实现一系列功能,这些程序或多或少的都会存在一些漏洞,这些漏洞给入侵者提供了攻击网络的可能。三是校园网站、各单位基于WEB的业务管理系统等代码漏洞。校园网络上运行着大量的网站和众多的业务管理系统,对校内和校外提供丰富多彩的工作、学习和娱乐等内容,但这些站点的代码在编写过程中,存在很多不严谨的地方,甚至有些程序设计人员可能会在代码中留下一些后门程序,这给攻击者留下了攻击的途径。

校园中最多的机器就是学生的个人计算机，而很多学生并不是很懂得计算机知识，没有及时甚至从来没有打补丁，许多新型计算机病毒都是利用操作系统的漏洞进行传染。学生的机器属于内网计算机，一旦被病毒感染就会很轻易的去感染或攻击校园网内其他的机器，例如ARP攻击。2007年2月27日清华大学校内某系内部网络发作，现象是网络时断时续，访问速度慢；打开任何网页都可能弹出各类假冒的QQ广告信息；局域网内发现有大量ARP欺骗的存在。检查后发现，一个局域网内有8台主机在同时进行ARP欺骗，而且每隔5秒钟就会变化，在一下午的统计时间里进行，由此我们ARP攻击在局域网内传播的范围很广速度也非常快。

2.2校园网外部入侵和内部攻击

校园网内有大量的学生用户，学生用的网上银行、第三方支付账户、QQ账号、游戏账户、校园卡等等对于黑客来说是一块巨大的“利益奶酪”，所以黑客会经常利用网络攻击校园网

的服务器，以窃取一些重要信息。而且目前在因特网上，后门软件、攻击软件等等下载非常方便，这类软件操作简单，破坏力大，操作的技术门槛又很低，普通网民就可以通过这类软件来进行破坏。处在青春期的学生对网络知识很感兴趣，对于网络攻击更是非常的好奇，对于内部网络的结构和应用模式又比较了解，攻击校园网就成了他们表现自己的能力，实践自己所学知识的首选方式，经常有意无意的攻击校园网，干扰校园网的安全运行。 2.3学生对校园网网络资源的滥用 校园网的出口带宽有限，但在对于校园网的工作应用来说是肯定能够满足的，但是学生在互联网的访问中，有相当一部分的互联网访问是与工作无关的。其中有很多的是大文件下载、在线看电影和玩大型网络游戏，占用了大量的网络带宽，互联网资源严重被浪费，造成流量堵塞、上网速度慢等问题。安徽大学磬苑校区的总出口带宽是2Gb，在校学生约两万人，按同时间最大上网学生5000人算，每个学生至少可以分得400Kb的带宽，又由于网络连接有其突发性的特质，所以每个人可以分得的带宽肯定远大于400Kb。这样的带宽是完全可以满足正常的浏览网页，查看学习资料需求的。但由于小部分学生的不合理利用网络资源，比如通过“泡泡虎”等软件看直播电视、在“六维空间”等网站下载上传大量高清电影和玩“CF”“Dota”等网络游戏，占用了大部分的带宽，使得全校学生的上网速度偏慢。 2.4 校园网安全管理有缺陷

随着校园内计算机应用的大范围普及，接入校园网的计算机日益增多，如果管理措施不力，随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入，忽视软件投资；重运行，轻管理的现象。主要表现为对网络安全的认识不足，将网络系统作为一项纯技术工程来实施，没有一套完善的安全管理方案；网络系统管理员只将精力集中于IP的申请分配和开通、账户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上，而很少去研究网络安全状态的发展变化、实践与应用入侵手段、防范措施、安全机制等。

3 技术解决方案

从校园网的现状和面临的问题可以看到校园网里主要的问题还是网络资源利用不合理，所以最有效的解决方法就是设置比较针对的访问控制策略，控制不合理的访问。 3.1 访问控制

访问控制的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。

3.1.1 入网访问控制

入网访问控制是网络访问的第一道保护,它控制哪些用户能够登录到服务器并获取网络资源；控制准许用户入网的时间和入网的工作站。学校通过向每个申请入网的学生发放账号，学生入网时通过账号密码验证后才能获得网络访问权限，H3C、华为的802.1X客户端就能够实现该功能。

3.1.2 访问协议控制

由于不合理的网络资源利用主要表现在B2B下载上传和大型游戏上，所以可以根据具体的协议制定访问控制策略。以大型游戏为例，即时游戏一般是通过组播来发送报文的，所以可以拒绝某些已知的游戏服务器的组播行为，从而来阻止这种游戏占用大量带宽。 3.1.3 网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。规定用户和用户组可以访问哪些目录、子目录、文件和其他资源, 能够执行哪些操作。

3.1.4 网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台, 以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间、非法访问者检测和关闭的时间间隔。

3.1.5 网络监测和锁定控制

网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络, 网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。 3.1.6 网络端口和节点的安全控制

端口是虚拟的门户,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护, 并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户, 静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。 3.2 病毒预防

计算机病毒是影响高校校园网安全的主要因素。随着网络的不断发展, 计算机病毒也不断变种更新,而被广泛使用的网络操作系统本身也存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪。例如灰鸽子2007、熊猫烧香、新病毒ANI鼠标指针(仿熊猫烧香)、网游大盗、网银大盗、杂匪变种e和斯坎诺变种q等危害极大。因此,网络管理员要安装优秀防毒软件并及时更新,消除这些安全隐患。防病毒软件分为两大类：网络版和单机版。单机版防毒软件适用于个人用户，管理功能相对较弱。从网络管理和病毒监控的角度来说，校园网更适用网络版防毒软件，因为网络版防毒软件的管理功能更强大，校园网的管理员只要及时在服务器端进行升级，客户端启动后就可自动升级，网络管理员还可对所有安装客户端的计算机进行病毒监控、远程杀毒，及时了解校园网中的病毒疫情。 3.3 合理有序管理IP地址

IP地址是校园网络各种功能得以实现的基础。高校校园网络一般可以采用DHCP服务方式使终端自动获得IP地址,但为了防止终端用户私自建立DHCP服务器造成校园网络管理的混乱, 可以配置支持DHCP Snooping功能的接入交换机,使终端用户获取的IP地址只能来自校园网络管理中心。另一方面,为了防止用户手动设置IP地址而造成冲突,可以配置支持IP SourceGuard的接入交换机,使终端用户自行设置的IP地址自动被交换机禁止,必须从DCHP 服务器获取IP地址后才可使用。 3.4 数据备份与镜像

在实际操作过程中,由于各种原因可能造成系统破坏或数据丢失。用备份和镜像技术提高系统或数据的完整性不失为一项好措施。备份是最常用的提高数据完整性的措施,一旦失去原件还可以使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。备份前要进行病毒查杀，数据备份可采取异地备份、光盘备份等多种方式。对于校园网的管理员来说，要做好各种应急准备工作，必须要有一套应急修复工具，如系统启动盘、DOS版杀毒盘、紧急系统恢复盘、各种操作系统盘、常用应用软件包、最新系统补丁盘等，并且做好分区表、DOS引导扇区、注册表等的备份工作，这样可提高系统维护和修复时的工作效率。 3.5网络系统设备维护

硬件设备的安全保护也是非常重要的，校园网的核心机房有着很多重要的机器，比如web服务器，域名服务器，e-mail服务器，核心交换机等等。过高的温度、太大的湿度、灰尘、断电、设备老化、人为破坏等都会或大或小地影响整个网络的正常运行。所以设备的保护应该做到：确保机房是一个封闭的环境，控制好机房的温度与湿度，准备好足够的备用电源，进出机房应该换鞋或穿鞋套，经常查看机器运行状况及时更换老设备，严格控制进出机房人员防止人为破坏机器。

3.6及时更新操作系统，安装各种补丁程序

一般用户需要借助第三方产品（如：漏洞扫描系统）的帮助，及时发现安全隐患。目前，许多新型计算机病毒都是利用操作系统的漏洞进行传染的。因此，可以通过安装安全软件来给系统的漏洞打好补丁，有效的保护系统。 3.7创建基于VPN 的校园网络 近年来各地高校在重新整合、资源共享、联合办学和新校区建设的扩张性发展过程中形成了多校区同时存在、合作办学的模式。以陕西教育学院为例，目前新建设的长安校区已经逐步投入使用，相比总部所在的雁塔校区，校园网络如何能够克服地理位置上的分散性使两个相对的校园网能够尽快整合满足教学办公要求是一个非常紧迫的任务。如果采用专线连接 将会增加网络运行的成本。而 VPN技术则是一个很好的选择。如图1所示，它能为多校区提供统一的网络管理平台，降低了校园网建设和管理的成本，并为教学、科研提供更加安全、 便捷的网络环境。

首先，VPN是对内部网的扩展，通过公共互联网为远程用户提供了与学校内部网之间可信的远程访问连接，并保证数据的安全传输。用户利用它可以随时随地从校园外部方便地访问校园内部资源。以前教师出差或外出办公，或者学生寒暑假在家只能通过VPN 拨号接入到校园网访问一些公开的公共信息，但是很多诸如教学课件、图书文献和办公信息等资源却无法使用。而支持VPN的校园网络建设完成之后，师生可以通过VPN方便地接入校园网。一旦通过身份验证就如同置身校内一样，便捷地访问和使用相关资源，极大的方便了教学科研与办公。 其次，通过公共互联网络将学校的各分校区的局域网连接到总部的局域网，形成一个逻辑上的专用网，方便内部资源的共享、文件传递等，节省了DDN专线带来的高额费用。即使地处不同地域，使用VPN就可保证内部资料、教学系统、办公系统等在各个部门和院系之间顺畅地交流运行，从网络上实现了校园的融合共享，将极大的促进学科的融合以及校园精神的统一。

再次，通过加密数据、信息及身份认证和访问控制等技术保证信息的安全性。加密技术可保证通过公共互联网传输的信息即使被截获也不会造成信息泄漏；而身份认证和信息认证则保证信息的完整性，合法性；访问控制保证了不同用户具有不同的权限，某些资源只对特定的访问者的身份或网址开放。这些工作对原有的校园网络管理人员只需经过适当培训就可胜任。 最后，由于不同校区机构网络的差异性。在整合时就可能涉及到设备和软件系统的兼容性问题。而VPN能够兼容不同的操作平台和协议，具有良好的兼容性和可扩充性。采用 VPN技术能够在网络建设上能够极大地避免设备成本和后期网络运行阶段管理成本的浪费，只需要进行必要的软件配置和购置少量的设备就能够完成，在方便快捷使用的同时也为学校节省大量的经费。 3.8 数据加密

数据加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。多数情况下,信息加密是保证信息机密性的唯一方法。

4 管理解决方案

4.1加强校园网管理人才队伍建设,增强网络管理能力

校园网安全保障是一个硬件、软件和人力资源有机结合的整体,三方面相辅相成,缺一不可。 因此,在有足够可靠的安全软硬件的前提下,必须加强校园网管理人员安全技术能力和安全管理能力的培养,鼓励其参加相关的技术培训,拓展专业能力,建立一支职责明确、技术全面、 知识丰富的网络管理人才队伍,全力保障校园网安全。 4.2加强网络道德教育

在校园网安全中,除采用以上技术措施之外,加强学生网络道德教育,增强学生网络道德观念,制定一套完整的规章制度来规范上网人员的行为,使学生在复杂的网络环境下健康成长,对于确保校园网安全可靠地运行、维护校园安全稳定将起到十分重要的作用。

结语 校园网的安全问题,是技术、设备和管理相结合的综合问题。校园网的安全需要网络管理员、学生和教工一起配合来完成。对于网络管理人员来讲,要有丰富的网络安全技术知识更要有警觉的网络安全意识；对于学生和教工来说，应该具有基本的网络安全知识；同时学校应该制定一套完整的规章制度来规范上网人员的行为。