网站被“黑”引发的校园网络安全的思考.doc

网站被“黑”引发的校园网络安全的思考 摘 要： 　　随着“校校通”工程的普及，大、中、小学都建设了自己的校园网校园网络。校园网作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色，而校园网安全状况直接影响着学校的教学活动及对外宣传等。在网络建成的初期，安全问题可能还不明显，但随着网络应用的深入，校园网上的各种数据会急剧增加，网络面临的攻击呈等比增加，各种各样的安全问题使校园网时不时呈“亚健康状态”，开始困扰着我们这些网络管理人员。随着网络规模的不断扩大，终端用户对网络性能要求的不断提高，校园网安全问题应该说越来越被广泛关注。 　　关键词：校园网　网络安全　防火墙　安全机制 “学校网站上不了……”，作为学校网管的我当接到电话时，脑海里立刻闪过一个念头——难道被“黑”了，当打开ＷＥＢ服务器一看，网站首页已被更改，只显示一串字符，被黑客攻击了，于是迅速从备份文件恢复首页文件，使WEB服务器正常…… 我校校园网络现状如拓扑图所示：电信铁通光纤100兆双接入，NETEYE防火墙，以CISCO4006三层交换主交换，CISCO29系列为楼层交换，均以光纤互连，主干1000兆，百兆交换到桌面，拥有WEB服务器、VOD、FTP服务器、MAIL服务器、校务教务管理平台等服务器，网内机器全部部署了网络版瑞星杀毒软件。 应该说这样的拓扑结构应该比较安全的，可为什么会导致网站被“黑”呢？ 第一是我校的防火墙出现故障损坏，未能及时购置新设备，可校园网WEB网站不能停止服务，考虑到我们是个学校再加上新设备正在招标，不久即将更换设备，心存侥幸估计不大可能受到攻击，故将WEB服务器直接暴露在了公网上，没有任何防御措施。 第二个原因也是致命的，我们为了管理WEB服务器的便捷，开设了其他一些服务，但是在站点权限设置忽略了上多开放了用户权限，于是给了黑客开了一个小小的“后门”，直接导致WEB服务器受到攻击被黑。 通过校园网站被黑，纵观整个校园网网络的安全问题，我陷入了思考…… 目前校园网内出现的问题主要有以下几种： l 病毒（特别是计算机局域网病毒） l IP地址盗用 l 防火墙问题 l 黑客攻击 l 系统补丁 l 网络应用服务器的权限设置等 纵观以上校园网络出现的问题，影响校园网络安全，无外乎两种因素：人为因素和自然因素，其中人为因素危害最大，归纳起来主要有以下三种危害： ①人为的无意失误 网络管理员安全配置不当会造成的安全漏洞；不合理地设定资源访问控制，一些共享资源就有可能被偶然或无意地破坏；不合理的路由设置，会导致网络“颈用”甚至网络中断。网络安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享；机器不安装杀毒软件，导致局域网内病毒横行；随意设置IP地址，引发IP地址冲突，影响正常用户的网络使用…… ②人为的恶意攻击 这就是我们常说的黑客攻击，它是计算机网络所面临的最大威胁，黑客攻击又可以分为以下两种：一种是主动攻击，它的各种方式有选择地破坏信息的有效性和完整性。这就是纯粹的信息破坏，这样的网络侵犯者被称为积极侵犯者，积极侵犯者截取网上的信息包，并对之进行更改使之失效，或者故意添加一些有利于自己的信息，起到信息误导的作用，或者登录进入系统使用并占用大量网络资源，造成资源的消耗，损害合法用户的利益，积极侵犯者的破坏作用最大；另一类是被动攻击，它是在不影响正常工作的情况下，进行截获窃取、破译以获得重要的机密信息，如网游、信用卡帐号密码的盗取，这种仅窃听而不破坏网络中传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。 ③网络软件的漏洞和“后门” 无论系统软件还是网络应用软件不可能是百分之百无缺陷和无漏洞的，然而这些缺陷恰恰是黑客进行攻击的首选目标。目前我们大家使用的操作系统WINDOWSXP、WINDOWS2000、WINDOWS2003SERVER、LIUX都有着很多的漏洞。曾经出现过网络大事件例如2003年的“冲击波”，2004年的“震荡波”，2005年爱情后门，2007年“熊猫烧香” 威金蠕虫”的都是因为系统软件有漏洞，导致系统崩溃甚至信息资料完全丢失，造成极大的经济损失。还有我们许多老师同学们在安装应用软件时一不小心把一些流氓软件和木马也同时装进了系统，无论是对单机还是整个校园网都带来了安全隐患。 鉴于诸多网络不安全因素，使得网络管理员必须采取相应的策略来应付，通过数十年的网络管理及吸取本次网站被“黑”的教训，针对校园网络安全可采用以下安全策略： 1．网络管理机制 网络安全建设是“三分设备，七分管理”，没有切实可行的安全保障体系和制度，网络安全都是空谈。健全的网络安全管理规章制度：这是解决网络安全问题的所有安全策略中最重要的一点。 （1）校园网内必须建立一支高技术，高素质、高责任心的校园网络安全管理的队伍。同时对网络管理员需进行专业知识和技能的培训，提高管理能力； （2）制定校园网内的网络信息安全法规，做到有章可循、有法可依；包括机器名称的规范及IP地址的规范使用等； （3）定期对学校教师和其他人员进行电脑的常规使用及信息安全知识普及。 （4）在学校的网站设立“信息中心”栏目，发布网络法令法规、网络病毒公告、操作系统更新公告等，并提供常用软件的补丁下载或建立校园网内公共FTP。 2．硬件设备保障机制 如防火墙、VLAN技术、带宽及流量控制设备、入侵检测设备 防火墙：防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统。部署防火墙技术,构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。在原防火墙出现损坏的情况下，我们现已申购了CISCO ASA5200防火墙。但值得注意的是安装防火墙并不能做到绝对的安全，如：不能封锁不经由防火墙的攻击，不能防止感染了病毒的软件和文件的传输，不能防止数据驱动方式攻击，不能防范内部侵入及攻击。 VLAN 技术：校园网络终端的增多使得单个网段的IP地址捉襟见肘，IP的盗用也越来越频繁。我们可以利用VLAN技术来加强内部网络管理，VLAN技术的核心是网络分段。根据不同的应用以及不同的安全级别，将网络分段并隔离，实现相互的访问控制，可以达到限定用户非法访问的目的。 3．带宽及流量控制系统 我校共有机器1253台，接入网络的有1000余台，其中教师机近300台，机房7机器00多台，一般情况下同时在线机器约400多台，原先才用１０Ｍ电信＋１０兆铁通双接入按照同时在线的机器数量带宽相对比较吃紧，大家感觉网速较慢，现已向电信局申请１００兆带宽。 而网速较慢的原因除了带宽的限制还有网络流量的问题。现在的网络资源十分丰富，BT、电驴、迅雷等多线程下载及在线影视播放都将占用极大的带宽资源，利用流量控制设备进行流量分析可以让我们感知自己校园网络的性能，可以限定所有用户的带宽，也可以限定单个用户的带宽，还可以限定应用程序占用带宽……解决了以前网络流量分配不公，极少部分终端用户占用了大部分资源的问题；如30%的机器通过迅雷下载、使用PPLIVE占用大量的资源，而剩下的机器却因为带宽的饱和无法正常浏览网页，从而保证网关和防火墙的安全。而且其预警机制可以让用户为无法预料的网络事件作出提前的反应。 入侵检测系统IDS（Intrusion Detection System）。网络安全是整体、动态饿。为了确保网络更加安全，必需配备入侵检测系统。对透过防火墙的攻击进行检测并作出相应反应（记录、报警、阻断）。入侵检测系统可以对入侵行为进行侦测，她通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，如出现任何不应该发生的活动，将采取相应的措施报告并制止入侵活动。采用IDS可以增强校园网系统抵御非法入侵能里。并帮助网络管理员对入侵行为进行跟踪。 ４．病毒防护机制 在网络防病毒方案中，我们最终要达到一个目的就是：要在整个校园内部局域网杜绝病毒的感染、传播和发作，为了实现这一点，作为网络管理员应该在整个网络内可能感染和传播病毒的终端采取响应的防病毒手段。同时为了有效、便携的实施和管理整个网络防病毒体系，应能实现远程安装，智能升级、远城报警、集中管理、分布查杀等多种功能，我校选用了瑞星网络版杀毒软件，并部署到位。 ５．信息备份机制 学校资料虽然不像商业网站的资料那样都带有明确的价值。但是关系到整个学校正常的教学状况，极其重要。所以应该定期对所有服务器资料，特别是数据服务器，系统日志进行备份。但是备份不仅仅是对数据文件的备份，也不是仅仅使用拷贝的手段就进行了备份。对整个网络系统进行备份即网络系统的备份才能在系统遭遇破坏时，可方便地恢复原系统。最好使用专业的备份软件，它可以通过优化数据的传输率来提高备份的速度。使用此方法可以在网络问题不可解决之时重新导人系统或数据，将造成的危害程度减到最小。 感　言 校园网的安全问题是一个较为复杂的系统工程,从严格的意义上来讲,没有绝对安全的网络系统。在网络安全日益影响到校园网运行的情况下,我们不能够去保障校园网绝对的安全,只能说我们要尽一切可能去制止、减小一切非法的访问和操作,把不安全的因素降到最少,要完善校园网管理制度,对相关的校园网管理人员进行培训,对学生进行网络道德的教育,提高公德意识,安装最新的防病毒软件和病毒防火墙,不断安装软件补丁更新系统漏洞,对重要文件要进行备份,从多个方面进行防范,把校园网不安全因素降到最少。 校园网网络安全是一个系统工程，因此需要建立互相支撑的多种安全机制，并将各种安全技术结合在一起，才能生成一个高效"通用"安全的网络系统!当前网络技术飞速发展，校园网对学校教学"管理"科研等各方面产生了巨大的促进作用，希望我们大家能共同努力探索、实践，构建校园网的安全长城!