校园安全技术(2)

盘甚至文件中。寄生性表现为病毒程序一般不独立存在．而是寄生在磁盘系统区或文件中。潜伏性则是指计算机病毒可以长时间地潜伏在文件中，在相应的触发机制出现前并不影响计算机，但当被触发后，则后果严重。激发性是指病毒程序可以按照没计者的要求，例如指定的日期、时间或特定的条件出现在某个点激活并发起攻击。

计算机病毒的传染性证明其具有传播性，防止病毒传播，首先必须认识其传播途径和传播机理。计算机病毒最初传播主要是通过被病毒感染的软件的相互拷贝、携带病毒的盗版光盘的使用等传播。这时候的病毒传播还是线下传播。随着计算机网络的发展，计算机病毒传播主要是通过磁盘拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等方式实现。

病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定的缺陷，尤其是网络系统软件方面存在着漏洞。因此．网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”大肆发起攻击。

2 网络攻击校园网面临的另一个安全威胁就是网络攻击。

广义的网络攻击包括很多方面。这里结合校园网络安全的特点，重点介绍拒绝服务(DoS，Daniel of Service)攻击。之所以介绍拒绝服务攻击，因为拒绝服务攻击在校园网发牛的更为普遍。这是因为校园网用户集中度高、密度大．为拒绝服务攻击提供了天然条件。加之学生的好奇心的因素，导致拒绝服务攻击发生频率较高，是危害校园网安全的重要类型之一。

拒绝服务攻击是通过攻击主机、服务器、路由器等网络设备，导致被攻击网络无法提供服务的一种攻击方式。典型的拒绝服务攻击表现为攻击者向被攻击网络大陆发送数据从而消耗其资源、使得用户无法访问所需信息。

拒绝服务攻击的方法多样。攻击者在发起攻击时，可能采取单一手段的攻击模式，也可能采取多种攻击手段联合使用的模式。就其攻击手段来说．主要有以下几种：

1）死亡之Ping。早期的网络不支持大包，攻击者通过网络发送大母的大数据包到被攻击者网络，造成网络堵塞以致瘫痪。目前的网络已经能够支持大包，这种方式已经不再出现。

2）泪滴攻击。攻击者采用修改包片段字头的方式，使得包无法正确组装．导致网络访问失败的方式。

3 ）UDP洪水攻击。攻击利用如chargen和echo等简单的TCP／IP服务．相互发送大量数据以沾满带宽，从而瘫痪网络的方式。

4 ) SYN洪水攻击。攻击者通过想服务器发送连续的SYN握手信息来瘫痪服务器的攻击方式。

5 ) LAND攻击 该攻击是让服务器自己向自己发送SYN握手信息．已达到瘫痪主机的目的。

6 ) Smurf攻击。攻击者将报文地址设为Echo地址，这样Echo78地址就必须不问断的响应该报文，使得网络带宽被侵占，从而达到瘫痪网络的目的。

7 ) Fraggle攻击。Fraggle攻击对Smurf攻击做了修改。

8 )电子邮件炸弹。通过向一台服务器大量的不间断的发送电子邮件，起到瘫痪服务器的作用。

9 )急性消息攻击。借助机器对某些消息为进行错误校验来攻击服务器。 10)分布式拒绝服务攻击。它是威力最强大的拒绝服务攻击方式，其主要采用多台服务器对同一网络同时发起攻击，导致该网络瞬间瘫痪。

常见的拒绝服务攻击主要有以上几种，攻击者攻击目的和攻击水平不同，选用的方式不同。无论哪种方式，都对网络安全造成很大的危害。[5]

3 存在的安全隐患,以我校为例，校园网络存在的安全隐患和漏洞有:

1 ) 计算机与Internet相连，却没有安装相应的杀毒软件及防火墙。 2) 使用的操作系统存在安全漏洞，网络木马、病毒和黑客攻击影响到系统的安全。校内大部分计算机系统或多或少都存在着各种的漏洞，校园网络又对社会开放，这样一来只要接入INTERNET的用户就可以对校园的网络服务器进行攻击，而流行于网络上的很多病毒如“震荡波、冲击波、尼姆达”病毒都是利用系统的漏洞来进行病毒传播的，加上带毒的木马程序，一感染便驻留在你的计算机当中，在以后的计算机启动后，木马就在机器中打开一个服务，通过这个服务将你计算机的信息、资料向外传递。

3) 目录共享导致信息的外泄, 在校园网络中，利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但可以说几乎所有的人都没有充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。我曾经搜索过外地机器的一个C类IP网段，发现共享的机器就有十几台，而且许多机器是将整个C盘、D盘进行共享，并且在共享时将属性设置为完全共享，且不进行密码保护，这样只要将其映射成一个网络硬盘，就能对上面的资料、文档进行查看、修改、删除。因而对目录共享安全意识的单薄，会导致了信息的外泄。

4) 网络安全意识淡薄，校园网络上的攻击、侵入他人机器，盗用他人帐号

非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜，我校应用服务器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试，而其中一大部分的非法访问源自校内，说明校园网络上的用户安全意识淡薄；另外，没有制定完善而严格的网络安全制度，各校园网在安全管理上也没有任何标准，这也是网络安全问题泛滥的一个重要原因.由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要.

2. 校园网络安全策略

校园网的安全威胁既有来自校内的，也有来自校外的，只有将技术和管理都重视起来，才能切实构筑一个安全的校园网。

国内高校校园网的安全问题有其历史原因：在以前的网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理“的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至直接连接互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次，对整个网络都将是致命性的。

作为高等院校，如何构筑相对可靠的校园网络安全体系问题，变得越来越突出了。一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用先进的技术；二是不断改进管理方法。

2.1 校园网安全管理

针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策略：

1、规范出口管理，实施校园网的整体安全架构，必须解决多出口的问题。对于出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。

2、配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外，通过配置安全产品可

以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。

3、解决用户上网身份问题，建立全校统一的身份认证系统 。校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。

4、严格规范上网场所的管理，集中进行监控和管理 。上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。

5、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度 。 网络安全的技术是多样化的，现状还是“道高一尺，魔高一丈”，因此管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。

2.2 校园网络安全措施

前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。

1、杀毒软件。

杀毒产品的部署. 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能.。

（1）在学校网络中心配置一台高效的Windows2000服务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。 （2）在各办公室分别安装杀毒软件的客户端。

（3）安装完杀毒软件，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

（4）网络中心负责整个校园网的升级工作。

2、采用VLAN技术。

VLAN技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。

3、内容过滤器。

内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以限制外来的垃圾邮件。

4、防火墙。

在与Internet相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性:

(1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则.

(2）禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。

(3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。

(4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 (5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性.

5、入侵检测。

入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员的安全管理能力．提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。

6、漏洞扫描。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库校园安全技术(2)在线全文阅读。