校园网络安全的环境分析及防范对策――以潮州党校为例.docVIP

校园网络安全的环境分析及防范对策――以潮州党校为例 　　摘要:该文介绍了潮州党校校园网的概况,着重分析了非法入侵和攻击、IP地址盗用、计算机病毒的威胁、网络拥堵、未授权访问、无线AP安全等校园网络运行中出现的安全问题,有针对性地提出了相应的防范对策,确保了校园网络的安全稳定运行。 　　关键词:网络安全;分析;防范对策 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)21-6124-03 　　1 潮州党校校园网络概况 　　潮州党校校园网络接入信息点共1200多个,采用三级交换星型拓扑结构,教学区、办公区、宿舍区、宾馆、会堂各楼宇间采用光纤连接,百兆到桌面,网络中心主交换机采用华为H3C Quidway的S6503交换机,接入层采用华为3COM的E系列交换机,防火墙采用华为H3C QuidwayAR28-31防火墙,兼作路由器。教学区、办公区、会堂IP地址采用静态分配,宿舍区、宾馆IP地址采用动态分配,办公区、宾馆各楼层均配备无线AP上网。目前,主要应用有:校园一卡通系统,数字图书馆,VOD视频点播系统,捷信达酒店管理系统,FTP服务,E-mail服务等。 　　2 我校校园网运行中出现的安全问题 　　2.1 非法入侵和攻击 　　由于校园网络的开放性和技术的公开性,一些人出于种种目的,利用各种黑客工具非法入侵校园网,窃取网络上的信息,比如用户密码或各种数据库系统中的信息,甚至恶意删除数据库内容、传播计算机病毒。还有一些计算机用户,出于好奇心或为了展现自己的技术水平,采用各种非法技术手段对校园网进行恶意攻击,推毁网络节点,甚至造成网络瘫痪,给校园网的正常运行带来严重威胁。 　　2.2 IP地址盗用 　　随着用户的不断增加,校园网中的IP地址盗用问题越来越突出,成为网络管理人员头痛的问题之一。一部分用户没有通过正常途径申请合法IP地址,而是随意指定IP地址,或直接冒用他人的合法IP地址,造成网络内部地址的冲突,侵害了合法IP地址用户的权益。常见的IP地址盗用方法有以下几种:一是在TCP/IP配置中直接静态修改IP地址;二是通过使用配置程序对网卡的MAC地址进行修改,进而成对修改IP-MAC地址对;三是直接编写程序绕过上层网络软件,达到动态修改自己的IP地址。 　　2.3 计算机病毒的威胁 　　在网络运行过程中,我们经常监测到各种计算机病毒的威胁,如果采取的防范措施稍有不慎,随时都有可能造成病毒泛滥,进而造成计算机工作效率下降、数据或其它资源遭到破坏,甚至造成网络系统瘫痪。特别是一些网络病毒,专门攻击网络薄弱环节,尤其是网络系统软件,在设计时难免出现一些漏洞,网络病毒就专门针对这些漏洞进行攻击,让网管人员防不胜防。 　　2.4 网络拥堵 　　随着Internet上多媒体资源的暴增,以及各种下载工具的使用,如BT、Emule等网络资源下载工具,运行时都会占用大量带宽,导致其它用户上网速度变慢,甚至无法正常访问。更有甚者,通过同步风暴等黑客工具,恶意占用大量带宽,造成网络拥堵,使用户的合法访问请求得不到响应。 　　2.5 未授权访问 　　我校有部分应用系统并不完全对外开放,只允许有该权限的人访问,如VOD视频点播系统、数字图书资源等,但在运行过程中,发现有外部网络或内部网络用户利用各种技术手段避开系统访问控制机制,对其进行非正常访问,给系统的安全运行带来严重威胁。 　　2.6 无线AP安全问题 　　我校在办公区、宾馆区各楼层都配备无线AP上网功能,这大大方便了教职工及宾馆客人使用互联网,但同时也带来了新的安全问题。现在关于无线AP安全设置的破解工具非常多,从无线网信号的侦测、监听到破解应有尽有,包括WEP加密、WPA加密、MAC过滤、SSID隐藏等,一些别有用心的人可以通过破解无线网进而攻陷整个校园网。 　　3 防范对策 　　3.1 针对非法入侵和攻击,我们对防火墙做如下设置以提高其安全性 　　1) 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,通过建立访问控制列表等手段,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。同时,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。 　　2) 将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法 IP 地址离开内部网络的 IP 包,防止内部网络发起的对外的攻击。因为黑客的一种惯用手段是修改报文,使报文的源地址成为他要攻击的主机的同网段地址,利用这种办法欺骗目标主机并取得目标主机的信任,达到其目的。 　　3) 为了防止拒绝服务攻击,