校園網網絡安全論文

導語：校園網網絡安全論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1網絡安全的基本概念

1．1網絡安全的定義

國際標準化組織（ISO）將網絡安全［2］定義為：為數據處理系統建立相應的安全保護措施，保護運行在網絡系統中的硬件、軟件以及系統中的數據不被黑客更改、破壞或者泄露，從而保證了網絡服務不中斷，使得系統可靠安全地運行．上述網絡安全的定義包含兩方面內容：物理安全和邏輯安全．其中物理安全是指在構建網絡系統的時候，保證物理線路能夠防雷、放火、防水、防盜等，能夠保證物理線路連續的進行數據傳輸．而邏輯安全通常指的是傳輸在網絡上數據的信息安全，即對網絡上傳輸信息的保密性、可用性和完整性的保護．另一方面，網絡安全性的涵義也可以理解成是信息安全的一種引申，即網絡安全是對網絡信息的保密性、可用性和完整性提供相應的保護．概括的說，可以將網絡安全定義為：為保證目前網絡中運行的系統、信息數據、信道傳輸數據和信息內容的安全而采取相應的措施，從而保證網絡中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性．

1．2網絡安全基本特征

網絡安全應具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征．保密性：信息未經授權不泄露給任何用戶，而且信息的特性也具有保密性，其它非授權用戶、實體或過程無法利用其特征．可用性：用戶經過授權后可按需使用，即授權用戶當需要該信息時能否正常存取．網絡環境下常見的可用性的攻擊包括拒絕服務攻擊、破壞網絡或系統的正常運行等．可控性：對網絡中傳播的信息及其內容具有控制能力．可審查性：當網絡中出現安全問題時可提供相應的依據與手段，便于追蹤攻擊源．完整性：用戶未經授權不能隨意改變數據的特性，即信息在保存或者傳輸的過程中擁有不被修改、破壞或丟失的特性，保證了信息的完整性．

2校園網建設概述及其安全威脅

隨著互聯網的快速普及，校園網建設已經成為學校的基礎建設之一，教育信息化、數字化已經成為教育發展的主方向，校園網已成為學校日常教學、辦公、科研、管理、生活主要的工具和手段之一，并發揮著越來越重要的作用［3］．另一方面，隨著國家科教興國戰略的實施，政府加強了對學校的投資，由此也加強了學校對校園網的建設．中國教育和科研計算機網（CER－NET）的成立，標志著教育網的形成．CERNET主干網絡傳輸速率已達到2．5Gpbs，總容量達40Gpbs，它吸引超過1000所高校的鼎力加盟，覆蓋全國超過200個城市．目前，大部分學校都已建成校園網，實現了校園網的整體覆蓋，包括辦公樓、教學樓、宿舍樓等．校園網同時與Internet對接，實現了校園辦公教學的信息化、自動化．如圖1所示，為一個簡單的校園網組網模型．隨著CERNET的建設不斷提高，校園網已經成為互聯網的重要組成部分之一，是學校信息化、數字化建設的基礎設施，同時擔任著科研與教學的重要任務．然而，目前國內大多數學校都缺乏對校園網建設的綜合規劃、缺乏相應的網絡管理措施、以及對校園網絡的認識不足，這些都極大阻礙了校園網的發展．因此合理地對校園網絡升級，是目前學校校園網工程的首要目標之一［4］．同時，校園網作為學校數字化、信息化的基礎設施，安全問題不容忽視．在互聯網開放程度很高的今天，校園網往往最容易成為黑客攻擊的目標．威脅校園網安全的因素有很多，但主要的安全威脅有以下幾類．

2．1TCP／IP協議漏洞造成的威脅

現在互聯網上使用最多的協議就是TCP／IP協議了，這幾乎是所有校園網采用的網絡傳輸協議．TCP／IP協議在設計之初，就沒有考慮安全問題，它只考慮如何把信息互相傳輸，因此存在很大的安全威脅．雖然國際標準化組織提出的OSI七層協議能夠很好的保證網絡安全，但是由于TCP／IP協議的開放性和通用性幾乎占用了整個市場，使得OSI七層協議無法推廣．所以，目前網絡黑客針對TCP／IP漏洞攻擊有很多，例如：數據竊聽、源地址欺騙、ARP欺騙等等．

（1）數據竊聽（PacketSniff）．TCP／IP協議從設計之初，就采取的是數據包明碼傳輸，這種傳輸模式使得數據包很容易被竊聽、修改和偽造．黑客可以利用一系列工具獲取網絡中正在傳輸的數據包，竊取用戶有利用價值的信息，如用戶賬戶和密碼等信息．同時，黑客也能修改和偽造數據包，讓用戶誤入釣魚網站或者竊取網上銀行信息，給用戶造成直接經濟損失．特別是在校園網中，數據包流通比較集中，一旦獲取了校園網服務器或管理員賬號信息，將會給校園網絡造成重大損失．

（2）源地址欺騙（SourceAddressSpoofing）．在網絡安全中，一個比較重要的安全問題就是源地址欺騙．這里的源地址，能夠是IP地址，也能是MAC地址．但是MAC地址隨著路由轉發，信息會發生變化，而且在實際的網絡系統中，也有一定的限制，改造欺騙難度比較大，所以一般的源地址欺騙是指IP地址偽造欺騙．攻擊者通常偽造被攻擊的主機IP地址，騙取防火墻信任，從而對校園網內部發起攻擊．

（3）源路由選擇欺騙（SourceRoutingSpoo－fing）．在一個完整的IP數據包中，通常只包含源地址和目的地址，即路由器可以知道數據包從哪個主機發送出來，將要到達哪個主機．源路由是指數據包將會列出所要經過的路由，路由器將會根據這些指定的路由將數據包送達相應的主機，然后根據其反向路由進行應答，從而實現主機之間的通信．而源路由選擇欺騙，則是攻擊者通過偽造主機源路由，讓數據包經過該主機必經路由，使受攻擊主機出現錯誤判斷，將某些被保護的數據提供給了攻擊者．另一方面，由于路由器一般對接收到的路由信息是不經過檢驗的，這樣就給攻擊者提供便利，攻擊者可以發送虛假數據包，改變某些重要數據包的傳遞路徑，使得數據在傳遞到正常主機前，即可抓取分析，從而也達到攻擊的目的．

（4）鑒別攻擊（AuthenticationAttacks）．由于TCP／IP協議還無法證明網絡身份的真實有效性，因此黑客可以偽造他人合法身份入侵到網絡系統或者獲取密鑰信息，從而達到攻擊目的．

（5）ARP欺騙（AddressResolutionProtocolSpoofing）．ARP即地址解析協議，作用是將網絡中的IP地址轉換成MAC物理地址的協議．因為在局域網中，尤其是在校園網中，使用最多的往往是MAC地址進行傳輸，而不是IP地址進行傳輸，所以ARP協議能夠很快的讓局域網中的兩臺主機進行通信．而黑客只需在局域網中進行網絡監聽，獲取到一臺主機A的節點信息（IP地址和MAC地址），就能偽造A的數據包，與B進行通信，獲取有用信息．另一方面，黑客可以偽造一個不存在的MAC地址在局域網內傳播，形成廣播風暴，這樣會造成網絡不通，給局域網造成致命打擊．

（6）DoS攻擊（DenialofService）．DoS攻擊，即拒絕服務攻擊，攻擊者的目的是讓目標主機或網絡無法提供正常服務．因為TCP協議采用三次握手建立一次連接，而任何一次握手失敗，則會重新發送．攻擊者正是利用這一個協議漏洞，采取不斷建立連接，然后丟棄該連接數據包，使得服務器處于等待狀態，如果攻擊者一直持續連接和丟棄的過程，則服務器和網絡所有的資源會被完全消耗，導致計算機或網絡無法正常工作，從而達到攻擊目的．

（7）DDoS攻擊（DistributedDenialofServ－ice）．DDoS攻擊，即分布式拒絕服務攻擊，它是指攻擊者借助一系列工具或手段，聯合多個計算機組成攻擊平臺，對一個或數個目標發動DoS攻擊．最基本的DoS是利用合法的服務請求，占用攻擊目標主機大量服務資源，使得正常用戶無法訪問．然而DoS服務需要占用大量帶寬，單個計算機攻擊肯定無法達到攻擊者想要的目標．因此網絡黑客會抓取網絡“肉雞”，集合大量網絡帶寬，組成龐大的攻擊平臺，可以在瞬間讓被攻擊目標處于癱瘓狀態．

（8）TCP序列號欺騙和攻擊（TCPSequenceNumberSpoofingandAttack）．黑客利用一系列工具可以偽造TCP序列號，形成一個TCP封包，對網絡中可信節點進行攻擊．而且最重要的是，黑客可能利用偽造的TCP封包發動SYN攻擊，讓服務器無法完成三次握手，造成服務器開放大量等待端口，影響正常網絡訪問，嚴重時，可直接造成服務器死機，如果該服務器是WEB服務器或者DNS服務器，那么可能導致網站主頁無法鏈接或者校園網內部用戶無法訪問外部網絡．

（9）ICMP攻擊（InternetControlMessageProtocolAttacks）．ICMP協議是Internet控制報文協議，它屬于TCP／IP協議下的一個子協議，用于在IP主機和路由器之間傳遞控制消息．其中控制消息是指網絡是否暢通、主機是否可連接、路由是否可用等一系列消息，它對數據傳輸有很重要的作用．而ICMP攻擊是指利用操作系統ICMP的尺寸大小不得超過64KB這一規定，發動“PingofDeath”攻擊，當主機ICMP數據包尺寸超過64KB時，主機會發生內存分配錯誤，導致TCP／IP堆棧崩潰，使得目標主機死機．雖然操作系統通過取消ICMP數據包大小限制來解決該漏洞，但是向目標主機發動持續、大規模的ICMP攻擊，會消耗主機CPU、內存等資源，嚴重時也會導致目標主機癱瘓，無法提供正常服務．

2．2漏洞威脅

軟件和操作系統是由程序員編寫的，而在開發的過程中，多多少少會存在各種各樣的漏洞問題，這些漏洞如果不能及時修復，將會對主機造成重大安全威脅．一旦該主機被攻破，同時也會給該主機處在的局域網中的其它機器造成威脅，情況嚴重時，甚至會造成整個網絡癱瘓．近幾年來，無論是Windows操作系統，還是Linux操作系統，的補丁數目一直持續增加．特別是Windows操作系統，在校園網內擁有的用戶眾多，如果沒能及時修復各種漏洞，勢必會影響整個校園網安全．

2．3病毒、木馬威脅

近些年來，隨著互聯網的普及，網絡上各種各樣的開源軟件繁多，有些開源軟件打著免費的旗號，暗留后門或者對操作系統植入木馬，稍不注意，就會對整個系統造成重大影響．同時，網絡上黑客也會主動攻擊，種植木馬，抓取網絡肉雞，作為自己攻擊的跳板，對互聯網上其它的計算機造成嚴重威脅．

2．4初級黑客攻擊

校園網因為自身局限性，其網絡管理水平無法與企業相比，因此很容易受到網絡上初級黑客的攻擊，作為他們試手的目標．另外一方面，互聯網出現的一系列黑客教程、黑客工具，這些教程和工具可以自由查閱和下載，加上很多黑客工具屬于使用簡單，這讓許多初級黑客也能在一段時間內對網絡造成嚴重的攻擊．且根據心理學研究分析，很多普通攻擊者往往有炫耀心理，即把校園網作為自己攻擊的目標，以獲取所謂的成功感，這讓校園網增加更多的威脅．

3目前校園網網絡建設中存在的主要安全問題

目前在校園網網絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題．

3．1人為因素導致的網絡安全問題

3．1．1校園網用戶數量龐大

校園網內用戶量眾多且處在同一個局域網中，同時，校園網內服務器數量也是別的局域網不能比擬的．用戶量加上數目可觀、功能強大的服務器，這些條件也吸引著互聯網上眾多黑客的攻擊，因此存在著很大的安全隱患．

3．1．2校園網用戶安全意識低

根據調查研究發現，校園網的用戶大部分都安全意識不強，用戶計算機整體水平偏低，有一部分校園網用戶基本上不安裝殺毒軟件，也沒能及時給系統打補丁，系統處于“裸奔”狀態．這對于當今如此開放的互聯網，將直接為黑客提供攻擊目標．而且校園網用戶極少學習相應的安全防范知識，在下載和使用軟件時，基本上不考慮其風險性，這些都將會給黑客制造攻擊機會，影響整個校園網安全［5］．

3．1．3信息泄密

信息泄密是指將信息透漏給非授權用戶，它在一定程度上破壞了計算機系統的保密性．目前，常見的信息泄密有：操作系統漏洞、流氓軟件、網絡監聽、病毒、木馬、業務流分析、網絡釣魚、電磁、物理入侵、射頻截獲、非法授權、計算機后門程序．

3．1．4拒絕服務攻擊（DoS）

攻擊者使用一切辦法讓被攻擊計算機停止提供服務，讓合法的信息或資源訪問被拒絕或者嚴重推遲．常見的DoS攻擊有：SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等．

3．1．5完整性破壞

攻擊者通過系統漏洞、病毒、木馬、后門程序等方式破壞信息的完整性，使得信息亂碼．

3．1．6網絡濫用

由于授權的用戶因操作或行為不當，導致網絡濫用，從而導致網絡安全威脅，例如非法外聯、非法內聯、設備濫用、業務濫用、移動風險等等．

3．2非人為因素導致的網絡安全問題

網絡安全除去人為因素外，很大一部分安全威脅來自安全工具和操作系統自身的局限性．其具體特征為：每一種安全工具（如：殺毒軟件）都有其自身的應用范圍和環境，同時安全工具受到人為因素、系統漏洞、程序BUG的影響，這些因素反而給攻擊者帶來了一定的便利．對于操作系統而言，沒有絕對安全的操作系統，無論是微軟的Windows系列操作系統，還是開源的Linux操作系統，都有存在后門或漏洞的可能．世界上沒有絕對安全的操作系統，因此在搭建校園網時，要選擇安全性盡可能高的操作系統，而且要隨時提供校園網用戶漏洞補丁下載，以及殺毒軟件，保證用戶系統安全性始終最高．由上所述，我們可以說網絡安全問題絕大部分是由人為因素引起的．現在，國家也制定了相應的法律來保護網絡安全，打擊相應的網絡犯罪活動．但是校園網作為一個龐大的用戶群，如何防范這些網絡犯罪活動顯得尤為重要．我們不能等著整個網絡被攻擊導致癱瘓后再想著去防范，而是要在攻擊之前做好準備工作，讓校園網在安全中運行．

4加強校園網網絡安全建設的對策和建議

加強校園網網絡安全建設主要從以下幾個方面來進行．

4．1應重視校園網網絡的安全搭建

在校園網工程的建設中，網絡系統的搭建是屬于弱電工程，它的耐壓值比較低．由此，在校園網工程的設計和建設中，一定要首先考慮人以及網絡中物理設備的防火、防電以及防雷等安全問題；考慮網絡中布線系統與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離；考慮網絡中物理電路的接地安全；考慮建設合理的防雷系統，保證建筑物、計算機以及其它物理設備的防雷［6］．

4．2應加強校園網網絡的安全維護技術

從技術層面來說，網絡安全主要是由防火墻系統、入侵檢測系統、病毒監測系統等多個安全組件組成，單獨的一個組件是無法保證當前網絡信息安全的．最早的網絡安全技術是采用邊界閾值控制法，即通過對網絡邊界的數據包進行監測，符合規定的數據包可通過，不符合規定的數據包就拋棄，這種方式在一定程度上能阻止對網絡的入侵和攻擊，但是不能有效防止網絡攻擊．目前，應用比較廣泛的網絡安全基本技術有：防火墻技術、防病毒技術、數據加密技術等．防火墻［7］指的是一個由硬件和軟件混合組成的設備，用于將內部網絡和外部網絡隔離起來，建立一層安全保護屏障，它是一種隔離控制技術．常見的防火墻有包過濾技術、技術、狀態監測技術等．相對于防火墻來說，防病毒技術將是從計算機網絡內部進行防控，主要預防病毒程序、后門程序、網絡監聽等．目前采取比較多的防病毒手段是對系統進行監聽，阻止不合規定進程．而且防病毒技術永遠是滯后性的，即防病毒工具一直在病毒出現后才能組織．現在的防病毒技術和云平臺技術結合，已經對病毒起到了一定的控制作用．相對前面兩種技術來說，數據加密技術就比較靈活了．可以將用戶的信息經過加密后，再在網絡上傳輸，及時數據被黑客截獲，沒有有效的密鑰，數據對黑客來說也只是一堆無效數據而已．在開放的互聯網平臺，數據加密能夠有效的保證了用戶的隱私以及數據的安全［8］．

4．3應建立科學的校園網網絡管理人員崗位職責

計算機網絡安全絕大部分是人為因素引起的．因此在校園網搭建過程中，關于對計算機系統管理員的培訓及管理，是校園網網絡安全中最重要的一部分．一個不合理的操作，很有可能讓整個網絡系統癱瘓，因此必須建立健全管理規范，明確管理員責任和權利．同時，要記錄管理員操作信息，當發現不合規定的記錄時，可以及時分析，如果發現黑客入侵，則及時采取必要措施杜絕黑客進一步入侵，必要時需向當地公安機關報案，減少學校損失．另外一方面，建立健全的管理制度以及嚴格的管理模式，可以保證校園網的正常、安全運行．總而言之，網絡安全涉及的領域很多，是一個綜合性的問題．只有合理的運用相關技術以及人員培訓，才能盡最大可能的把安全威脅降到最低．

5結語

校園網絡安全面臨的威脅是多種多樣的，在分析清楚網絡安全威脅的同時，從校園網絡的安全搭建開始，全面綜合考慮各項因素．加強網絡安全的各項維護技術，高效合理的降低校園網絡的攻擊和威脅，對網絡技術人員的培訓也要定期進行，不斷的拓展網絡管理人員的視野，拓寬他們的知識面，及時了解最新前沿的信息，構建一個安全高效的校園網．為學校發展信息化、數字化校園建設提供一個較好的平臺．

作者：齊菊紅1李春霞2工作單位：1．蘭州文理學院師范學院2．蘭州文理學院網絡管理中心