校園網絡安全問題分析與對策隨著教育信息化的發展,計算機校園網絡系統成為學校重要的現代化基礎設施,為學校建設提供安全、可靠、快捷的網絡環境,學校的學生思想教育、教學、科研、管理等對網絡的依賴將越來越緊密。校園網的安全狀況直接影響到這些活動的順利進行,因此,保障校園網絡信息安全已經成為當前各高校網絡建設中不可忽視的首要問題。 1.校園網網絡安全問題分析 校園網具有速度快、規模大,計算機系統管理復雜,隨著其應用的深入,校園網絡的安全問題也逐漸突出,直接影響著學校的教學、管理、科研活動。當前,校園網網絡常見的安全隱患有以下幾種。 1.1計算機系統漏洞。目前,校園網中被廣泛使用的網絡操作系統主要是WINDOWS,存在各種各樣的安全問題,服務器、操作系統、防火墻、TCP/IP協議等方面都存在大量安全漏洞。而且隨著時間的推移,將會有更多漏洞被人發現并利用。1.2計算機病毒的破壞。計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、使網絡效率下降、甚至造成計算機和網絡系統的癱瘓,是影響校園網絡安全的主要因素。 1.3來自網絡外部的入侵、攻擊等惡意破壞行為。校園網與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。黑客也經常利用網絡攻擊校園網的服務器,以竊取一些重要信息。目前在因特網上,可以自由下載很多攻擊工具,這類攻擊工具設置簡單、使用方便,破壞力大,這意味著攻擊所需要的技術門檻大大降低。1.4校園網用戶對網絡資源的濫用。實際上有相當一部分的Internet訪問是與工作無關的,有人利用校園網資源進行商業的或免費的視頻、軟件資源下載服務,甚至有的是去訪問色情、暴力、反動站點,導致大量非法內容或垃圾郵件出入,占用了大量珍貴的網絡帶寬,Internet資源嚴重被浪費,造成流量堵塞、上網速度慢等問題,而且不良信息內容也極大地危害青少年學生的身心健康。 1.5網絡硬件設備受損。校園網絡涉及硬件的設備分布在整個校園內,管理起來有一定的難度,暴露在外面的設施,都有可能遭到有意或無意地損壞,這樣可能會造成校園網絡全部或部分癱瘓的嚴重后果。 1.6校園網安全管理有缺陷。隨著校園內計算機應用的大范圍普及,接入校園網的計算機日益增多,如果管理措施不力,隨時有可能造成病毒傳播泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。校園計算機網絡建設普遍存在重視硬件投入,忽視軟件投資;重運行,輕管理的現象。網絡系統管理員只將精力集中于IP的申請分配和開通、帳戶的維護、各服務器上應用系統日常維護、系統日志的審查和網絡規范的設計及調整上,而很少去研究網絡安全狀態的發展變化、入侵手段、防范措施、安全機制等。1.9計算機病毒的破壞行為1.攻擊系統數據區，攻擊部位包括： 硬盤主引尋扇區、Boot扇區、FAT表、文件目錄。一般來說，攻擊系統數據區的病毒是惡性病毒，受損的數據不易恢復。 2.攻擊文件 病毒對文件的攻擊方式很多，可列舉如下：刪除、改名、替換內容、丟失部分程序代碼、內容顛倒、寫入時間空白、變碎片、假冒文件、丟失文件簇、丟失數據文件。 3.攻擊內存 內存是計算機的重要資源，也是病毒的攻擊目標。病毒額外地占用和消耗系統的內存資源，可以導致一些大程序受阻。病毒攻擊內存的方式如下：占用大量內存、改變內存總量、禁止分配內存、蠶食內存。 4.干擾系統運行 病毒會干擾系統的正常運行，以此做為自己的破壞行為。此類行為也是花樣繁多，可以列舉下述諸方式：不執行命令、干擾內部命令的執行、虛假報警、打不開文件、內部棧溢出、占用特殊數據區、換現行盤、時鐘倒轉、重啟動、死機、強制游戲、擾亂串并行口。 5.速度下降 病毒激活時，其內部的時間延遲程序啟動。在時鐘中納入了時間的循環計數，迫使計算機空轉，計算機速度明顯下降。 6.攻擊磁盤 攻擊磁盤數據、不寫盤、寫操作變讀操作、寫盤時丟字節。 7.擾亂屏幕顯示 病毒擾亂屏幕顯示的方式很多，可列舉如下：字符跌落、環繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫、吃字符。 8.鍵盤 病毒干擾鍵盤操作，已發現有下述方式：響鈴、封鎖鍵盤、換字、抹掉緩存區字符、重復、輸入紊亂。 2.造成這些現狀的原因 2.1網絡安全維護的投入不足。網絡安全維護的工作量是很大的,并且很困難,需要一定的人力、物力,然而大多數學校在校園網上的設備投入和人員投入很不充足,有限的經費也往往主要用在網絡設備購置上,對于網絡安全建設,普遍沒有比較系統的投入。 2.2師生的網絡安全意識和觀念淡薄。很多學生包括部分教師對網絡安全不夠重視,法律意識也不是很強。通過網絡,或通過帶毒的移動存儲介質,經常有意無意的傳播病毒,攻擊校園網系統,干擾校園網的安全運行。 2.3盜版資源泛濫。由于缺乏版權意識,盜版軟件、影視資源在校園網中普遍使用,這些軟件的傳播一方面占用了大量的網絡帶寬,另一方面也給網絡安全帶來了一定的隱患。比如,盜版安裝的計算機系統今后會留下大量的安全漏洞。系統自動更新引起的電腦黑屏事件,就是因為Microsoft公司對盜版的XP操作系統的更新作了限制。另一方面,從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統因此被攻擊者侵入和利用。 3.對策措施 3.1身份認證技術。身份認證是對通信方進行身份確認來阻止非授權用戶進入。常用的身份認證方法有口令認證法。主要是給系統管理員帳戶設置足夠復雜的強密碼,最好是字母+數字+符號的組合;系統管理員的口令應嚴格管理,不定期地予以更換。很多用戶的Windows XP/2000系統卻根本沒有設置密碼,有的用戶,雖然也設置了密碼,但密碼要么全是數字的,要么很短,對于這類密碼,可以輕易的被破解。 3.2防范系統安全漏洞。及時更新操作系統,安裝各種補丁程序非常重要。一般用戶需要借助第三方產品(如:漏洞掃描系統)的幫助,及時發現安全隱患。如何才能有效的保護系統不受病毒感染呢?可以通過安裝金山衛士或其它功能類似的軟件來給系統的漏洞打好補丁,這樣可以有效的保護系統。 3.3防范計算機病毒。 作為校園網的網絡管理人員,要為系統使用安全策略,如帳戶設定、審核策略、網絡訪問、安全選項設定等。選擇合適的防病毒軟件,及時更新病毒庫。校園網的管理員只要及時在服務器端進行升級,客戶端啟動后就可自動升級,網管員還可對所有安裝客戶端的計算機進行病毒監控、進行遠程殺毒,及時了解校園網中病毒疫情。 計算機用戶要增強網絡安全意識。不要輕易使用盜版和存在安全隱患的軟件;不輕易瀏覽一些缺乏可信度的網站;不要隨便打開不明來歷的電子郵件,尤其是郵件附件中的EXE和COM等可執行程序,對方發過來的電子郵件及相關附件的文檔,首先要“另存為.”命令保存到本地硬盤,待用殺毒軟件檢查無毒后才可以打開使用;不要隨便共享文件和文件夾,即使要共享,也得設置好權限; 3.4網絡監控措施。在不影響網絡正常運行的情況下,增加內部網絡監控機制,可以最大限度地保護網絡資源。如:配備入侵檢測系統(IDS, Intrusion Detection System),入侵防御系統(IPS, Intrusion Prevention System),Web、E-mail、BBS的安全監測系統和網絡監聽系統等。通過監控手段,增強網絡安全的自我適應性和反應能力,及時發現不安全因素,從而保證網絡服務的正常提供。通過使用網管軟件、日志分析軟件、MRTG和Sniffer等工具,形成一個功能較完整、覆蓋面較廣的監控管理系統。 3.5網絡安全隔離。防火墻作為一種將內外網隔離的技術,普遍運用于校園網安全建設中。合理使用防火墻,可以構筑內外網之間的安全屏障,有效地將內部網與外部網隔離開來,有利于提高網絡抵抗黑客攻擊的能力和系統的安全性。在WindowsXP/2000系統中可以開啟自身帶的防火墻功能,但最好還是安裝專業的防火墻軟件,如天網、360安全衛士和瑞星防火墻等。 3.6數據備份和恢復。對于計算機而言,最重要的應該是硬盤中存儲的數據。用戶數據不要與系統共用一個分區,避免因重裝系統造成數據丟失。重要的數據要及時備份,備份前要進行病毒查殺,數據備份可采取異地備份、光盤備份等多種方式。對于校園網的管理員來說,要做好各種應急準備工作,必須要有一套應急修復工具,如系統啟動盤、DOS版殺毒盤、緊急系統恢復盤、各種操作系統盤、常用應用軟件包、最新系統補丁盤等,并且做好分區表、DOS引導扇區、注冊表等的備份工作,這樣可提高系統維護和修復時的工作效率。 3.7制定切實可行的網絡安全管理制度。為了確保整個網絡的安全有效運行,有必要對網絡進行全面的安全性分析和研究,制定出一套滿足網絡實際安全需要的、切實可行的安全管理。校園網的安全問題是一個較為復雜的系統工程, 需要全方位防范,防范不僅是被動的,更要主動進行。在網絡安全日益影響到校園網運行的情況下,要完善校園網管理制度,對相關的校園網管理人員進行培訓,對學生進行網絡道德的教育,提高公德意識;安裝最新的防病毒軟件和病毒防火墻,不斷安裝軟件補丁更新系統漏洞,