职业院校网络安全风险分析.docVIP

职业院校网络安全风险分析 　　摘 要 　　职业院校网络迅速发展的同时，层出不穷的网络安全问题影响了校园网的正常运行。为了更好地建设职业院校园网络，本文在APPDRR模型的风险分析指导下，从职业院校网络的特点出发，探讨当前职业院校网络所面临的安全风险。 　　【关键词】APPDRR 风险分析 　　1 引言 　　在国家实施科教兴国战略的背景下，校园网络已经成为职业院校的必备硬件基础，是衡量职业院校教育现代化、信息化的重要标志。目前，大多数有条件的职业院校在校园网硬件工程建设投入巨资。校园网为职业院校的教学、科研、行政办公搭建了一个信息平台，并产生了明显的效果。 　　2 APPDRR网络安全模型 　　APPDRR（全网动态安全理论）网络安全模型是一种动态，自适应的现代网络安全模型，[1]即：网络安全= 风险分析+ 制定策略+ 系统防护+ 实时监测+ 实时响应+ 灾难恢复，本文是基于APPDRR模型的风险分析指导下展开的。 　　风险分析是APPDRR模型的重要组成部分，通过对资产、脆弱性和威胁，综合评估分析网络所面临的风险，对所发现的风险提出相应的处理意见和安全建议，并指导下一步的网络安全建设。 　　3 职业院校网络风险分析 　　职业院校网络面临着诸多的问题，首先是规划建设并不是一步到位的，是经过不断升级改造后才形成的规模。安全设备品牌种类不一，在功能和处理能力上存差别，有的职业院校管理的重点侧重于网络边界和主机安全等方面，但是在校园网络的运行过程中，所出现的的威胁，大量集中在应用层攻击、网络资源滥用和基于二层的网络攻击。 　　本文从链路层、网络层、操作系统、应用层和网络管理等6个方面，对职业院校网络所面临的风险作一个粗略的分析。 　　3.1 数据链层的安全 　　数据链层位于物理层和网络层之间，数据链层受到的破坏会直接作用到其他各层。数据链层的安全隐患又容易被忽略，数据链层的安全问题有： MAC 地址泛洪攻击、ARP攻击、存取控制地址欺骗、VLAN 攻击、VTP 攻击和VLAN 跳跃攻击。 　　3.2 网络层的安全 　　网络层处于数据链层和传输层之间，是网络体系结构中的第三层，TCP/IP 协议族中最核心的IP协议就在网络层，广泛应用的TCP、UDP、IGMP及ICMP 数据包，都以 IP 数据报文形式传输。网络层封装 IP 数据包，并路由转发，解决机器之间的通信问题。网络层常见安全问题有：明文传输面临的威胁、IP 地址欺骗、源路由欺骗和ICMP 攻击。 　　3.3 传输层的安全 　　传输层在 OSI 模型中起着关键作用，负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议：传输控制协议和用户数据报协议。传输层常见安全问题有：TCPSYN攻击、Land 攻击、TCP 会话劫持和端口扫描攻击。 　　3.4 操作系统的安全 　　目前在职业院校，除了服务器是使用UNIX、Linux外，其它工作站基本是使用微软操作系统，存在以下风险。 　　（1）安全隐患的产生，主要是操作系统配置不合理，例如：没有管理员口令，用户弱口令，未删除和禁用不必要的帐号，设置完全共享的目录、没有防病毒软件、不合理的访问控制，资源共享的访问权限配置不当等。 　　（2）操作系统的正常运行需要很多系统服务支撑，这些系统服务向用户和应用程序提供功能接口，有些是操作系统正常运行必需的，有些则是不必要的。不必要的服务不仅会占用系统资源，还会给操作系统带来安全威胁。如果用户不知道自已的操作系统，哪些服务是可以访问网络的，就容易被入侵者利用。 　　3.5 业务应用的安全 　　职业院校为了满足科研、教学、办公的需要，校园网搭建了很多网络应用系统，如：信息发布、教务管理、办公自动化、图书管理等。这些应用系统很重要，但也存在风险如下： 　　（1）身份认证：操作系统和应用系统为了保证安全，采取了身份认证措施，这些机制各有特点，但是入侵者仍可以利用网络窃听、非法数据库访问、穷举攻击、重放攻击手段获取口令。用户安全意识淡薄，使用系统默认或者弱密码，并且长期不改动，形同虚设。 　　（2）WEB 服务：WEB 服务是学校用于对外宣传、开展网络远程教学的重要手段，应用极其普遍，使得 Web 服务经常成为非法攻击的首选目标。存在的安全隐患较多，网页代码本身就存在后门和一些缺陷，比如 IIS 漏洞、ASP 的上传漏洞、SQL 注入、缓冲区溢出等。入侵者一旦攻陷WEB 服务器，可以把WEB 服务器作为跳板，通过中间件或数据库连接部件，非法访问学校内部应用系统和数据库，并可利用网页脚本访问本地文件系统和网络系统中其它资源。 　　（3）数据库：数据库是信息系统的核心，校园网内的业务应用依赖于各种数据库系统，保证数据的安全和完整，正确配置数据库系统显得至关重要。数据库是个复杂的系统。非专业人员是