基于校园网络的攻击与防御

基于校园网络的攻击与防御

谭亮

天津市电子信息技师学院天津市300350

摘要：在校园网建设的初期，网络安全问题可能并不突出，但随着应用的不断深入和用户的不断增加，一方面，网络攻击层出不穷;另一方面，网络应用的不断扩展使人们对网络的依赖程度越来越高，对网络的破坏会造成前所未有的损失和混乱。

关键词：高校校园网；网络攻击；系统隔离；网络安全；

校园网的安全问题日益突出。介绍了校园网容易遭遇的网络攻击，并对其原理进行了分析，最后针对校园网络的安全问题提出了相应的安全管理措施。

一、校园网络安全的现状

通常校园网具有如下特点:校园网的速度快和规模大、校园网中的计算机系统管理比较复杂、活跃的用户群体、开放的网络环境、有限的投入、盗版资源泛滥。以上各种原因导致当前校园网常见的风险如下:(1)普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁;(2)计算机蠕虫、病毒泛滥,影响用户的使用、信息安全、网络运行;(3)外来的系统入侵、攻击等恶意破坏行为。(4)校园网内部用户对网络资源的滥用。(5)垃圾邮件、不良信息的传播,严重影响学校的声誉。(6)高校校园网还存在一个经常被忽视但是越来越严重的现象:现在有相当数量的学生的计算机相关技术水平非常高,甚至超乎管理人员的想象。

二、网络监听

网络监听可以在网上的任何一个位置实施。在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，但通常由网络管理员操作，攻击者很难进入。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数攻击者的做法。对于攻击者来说，一般对用户口令比较感兴趣，现在很多高校校园网仍采用未加密的IPv4协议，没有对网络数据采取任何形式的加密措施，以至监听者得到的数据包中的用户口令完全是明文形式，并且很容易找出来。网络监听很难被发现，但运行监听软件的机器因负荷过重，对外界的响应很慢。有句玩笑话很有意思“要确保网络安全吗？那就断开网络吧！”任何网络都不是绝对安全的，威胁可以来自各个方面，甚至包括自己网络内部，寻求绝对安全的网络是不现实的，只有相对安全的网络才是真实的；同样，现在安全的网络，不等于将来也安全，所以探索是没有尽头的，需要我们不断地研究、更新，以寻求更好的网络安全防御策略。

三、网络安全防御对策

1.物理安全。保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。应按计算机场地安全要求采取防火、防水、防尘、防震、防静电等技术措施。采用稳压电源，防止电压波动采用不间断电源UPS，防止突然断电引起设备损坏或数据丢失；采取电磁屏蔽及良好接地等手段，使系统中的设备既不因外界或其他设备的电磁干扰而影响其正常工作，也不因其自身的电磁辐射影响周围其他设备的正常工作。

2.系统隔离与访问控制。（1）安全物理隔离由于校园网络的特殊性质，对校园网络内网与校园网络外网(接入Internet公网部分)之间进行完全物理隔离，对内部网络中需要上因特网的用户机器安装物理隔离卡，保证内部网络信息不受Internet公网用户的攻击。（2）划分虚拟子网。根据不同用户安全级别或者不同部门的安全访问需求，可以利用三层交换机来划分虚拟子网(VLAN)，因为三层交换机具有路由功能，在没有配置路由的情况下，不同虚拟子网间是无法互相访问的。通过虚拟子网的划分，既方便局域网络的互联，又能够实现较粗略的访问控制。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。利用VLAN子网隔离技术可以防止广播风暴产生，对一些重要部门实施了安全保护；且当某一部门物理位置发生变化时，只需对交换机进行设置，就可以实现网络的重组，非常方便、快捷，同时节约了成本。总的来说，通过对VLAN的创建可以控制广播风暴的产生，使得网络管理简单、直观，从而提高交换式网络的整体性能和安全性。（3）配备防火墙。防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制、可以针对时间、流量进行访问控制，过滤一些不安全服务。甚至通过透明应用代理，可以对高层应用协议进行访问控制和过滤。同时利用防火墙网络地址转换功能，可以隐藏内部网的网络结构，以及解决可用的合法IP不足等问题。防火墙作为内部网络安全的屏障，其主要目标是保护内部网络资源，强化网络安全策略；防止内部信息泄露和外部入侵；提供对网络资源的访问控制；提供对网络活动的审计、监督等功能。（4）入侵检测系统。入侵检测系统能对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施。它的主要功能有：监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，并积极主动地采用安全防护技术，提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

3.网络系统的安全策略。要选用安全性较高的操作系统和硬件平台，并进行必要的安全配置，尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。应加强登录身份认证(特别是在到达服务器主机之前的认证)，加强口令字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令)，严格限制登录者的操作权限，将其完成的操作限制在最小的范围内，尤其对一些保存有用户信息及其口令的关键文件的使用权限要进行严格限制，确保用户的合法性。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。同时还要及时升级各种已经发布的升级补丁程序，减少因为升级过程周期长而带来攻击事件的发生。

4.网络防病毒策略。网络环境下，计算机病毒传播速度快得惊人，有着不可估量的威胁性和破坏力。因此计算机病毒的防范也是网络安全建设中必须考虑的重要的环节之一。首先要增强防病毒观念，在思想上重视计算机病毒可能会给计算机安全运行带来的危害；其次要提高网络安全意识，碰到不明来信或连接要求账号数据时应保持警觉；不任意下载不明的外挂程序，以免病毒、蠕虫、间谍或木马程序隐藏其中，伺机盗取数据。同时要及时观察和发现异常情况，不使病毒传染到整个磁盘，传染到相邻的计算机，也是防病毒的一个有力措施。最后是安装可靠的网络防病毒软件系统，提供全面的计算机病毒扫描和清除功能。网络管理员或者使用者必须及时通过网络或者其它方式对防病毒系统进行更新、升级，以便防病毒系统能够查杀各种最新的病毒。

5.安全管理。建立和实施严密的网络机房计算机安全管理制度与策略是真正实现网络安全的基础。网络安全管理应按照多人负责原则、任期有限原则和职责分离原则，和系统处理数据的保密性，制订相应的管理制度或采用相应的规范。包括：确定系统的安全等级和安全管理的范围；制订相应的机房出入管理制度和严格的操作规程；制定完备的系统维护制度和应急措施等。

总之，对于高校校园网，除了采取物理隔离、应用网络防病毒系统等方式防止信息泄露，实现不同网络或不信任域之间的隔离外，还要建立完善的安全管理机构及安全管理制度，强化安全管理，提高全体人员的网络安全意识和防范技术，将校园网络安全风险降到最低。

参考文献：

[1]张晓兰．浅谈校园网络安全控制策略．2017．

[2]王航红．刘萍，基于校园网络的攻击与防御研究.2018.