随着计算机技术的发展,Internet的普及,基于计算机网络技术的现代教育手段应用广泛,各学校都相继建立起了自己的校园网,为教师和学生信息获取带来了方便,但信息共享和信息安全历来是一对相互冲突的矛盾,日前校园网安全建设已经引起了一些学校的认识,但是,网络管理工作人员缺乏、安全对策不明晰、技术力量不强,严重影响着校园信息数据与网络设备的正常运行。因此,加强网络安全管理和建设是校园网正常运转的重要保障。
一、校园网的安全情况分析
所谓网络安全,通常情况下是指网络系统的硬件、软件及系统中的数据受到保护,不因偶然的或者恶意的原因遭到破坏、更改、泄密,从而保证系统连续可靠的运行。网络服务不中断,网络安全至少应该具有几个内容;运行系统安全、系统信息安全、信息传播安全、信息内容安全。校园网事实上是计算机网络的一个特定区域,具有网络的一切特性,因此其安全的含义与上述论述是基本一致的。同时,又由于校园网本身的特性,它的安全威胁主要来自以下几个方面:
(一)网络核心技术受制于人
校园网由于种种原因,技术力量不强,在重点高等院校情况较好,?其余学校,尤其是大部分贫困地区的学校,大多数只能选用微软的操作系统。现在广为流行的低位的DES和RSA两种加密算法历时已久,而且处处可以看到美国国家安全局(NSA)的身影。
(二)防火墙安全的不确定性
防火墙的作用依赖于网络管理员的管理,网络管理员如不能及时响应报警,并审查常规记录,防火墙就形同虚设,此外,防火墙的更新更是经常被忽视。还有在校园用户中最常出现的软件“Oicq”也对防火墙提出了质疑。比如,有的防火墙支持SOCK代理,这种代理屏蔽了协议本身,只要客户端支持SOCK代理,该应用在防火墙上就可以穿越,这种代理对于部分不公开的协议,如QQ的语音和视频协议,采用其它技术,在NAT情况下很难实现对该协议的支持,但QQ软件本身支持SOCK代理,如果防火墙支持SOCK代理协议,就可以实现对防火墙的穿越。但对于防火墙而言,不参与协议解码,也意味着防火墙对该协议失去了监测能力。
(三)采用的TCP/IP协议本身缺乏安全性
校园网的网络协议基本上都采用了基于TCP/IP的Intemet协议。而现在广泛使用的IP协议第四版(IPv4)中没有加密的机制,这使得人们由截获II)报文来截取用户机密相当容易。同时,由于现有的几乎每个网络及其连接设备都支持IPv4,因此要想一夜间就完成从IPv4到IPv6的转换是不切实际的,毫无疑问,IPv4向IPv6的过渡需要相当长的时间才能完成。
(四)来自网络内部用户的安全威胁
校园网的使用者大部分是青年教师和学生,Internet上比比皆是的Hacker和Cracker软件,很容易使他们拿来攻击校园网,以此来满足自己的好奇心。
另外,诸如PCANYWHERE远程控制,TELNET远程登陆等应用服务系统在通讯安全方面也考虑的很少,往往成为攻击者入侵的途径。
二、校园网安全防范的指导思想
校园网安全管理含义十分广泛,主要是针对上述辨识和分析出的威胁系统安全的种种因素和系统薄弱环节,从观念意识、管理机制、人员素质、系统设计、设备配置、软件程序、系统运行环境等几个方面,把各项防范措施与策略结合起来,以防为主,做到制度落实、管理到位、技术监控等相结合,采取一系列管理手段和措施,对电子阅览室的安全进行有效的防范与管理。由于校园网使用者的技术水平问题,网络管理员在校园网安全管理中起到重要作用。对管理员来说,最大限度地减少误操作,不定期监测各账户的操作日志,及时发现整个系统的安全隐患和各账户的不正当操作并能及时进行操作处理等问题已经逐步被认识。
三、校园网安全管理中网络管理人员易忽视的几个问题
(一)本地用户获得非授权的文件读访问和非授权文件的写权限。
这个问题的严重程度取决于哪些文件的读或写权限被非法获得。这个问题又存在多种情况,比如,教师和学生如公用,教师在未考试之前就不能把试卷向其他教师在网络上交流,否则学生完全有能力破解并获得试卷。再如允许断点再传的ftp服务器程序,此类服务器程序都必须支持一个“Rest”的命令,如果这个命令是用在上传命令前(send命令),是告诉ftp服务器我要上传的文件会是从ftp服务器中存在的那个文件的什么位置中开始写。假如用户在执行完上传命令后,使服务器信任我们将要进行一个断点再传的操作,而不是一个覆盖原文件的操作(覆盖原文件操作需要另外的权限才可以进行),那么通过这样很简单的操作,任何具有写权限的用户,都可以改动其它用户上传的文件,单是这一点,就存在很大的安全漏洞了。如果上传的是重要文件,随意的修改可以令文件完全碰坏了。
最简单和方便的一种解决方法是,如果一定需要给用户上传权限的话,最好的防范方法是每个用户都给他建立一个目录。将那个用户的权限完全锁在这个目录内,那么用户就没有权限可以查看其它用户的目录,也就是说无法造成以上所说的破坏,在此基础上,管理员应该经常注意使用安全工具查找一般的配置错误,一旦发现攻击用户,应该立即停止其访问权限,冻结其帐号。
(二)服务器配置不当,容易使远程用户获得非授权帐号,获得特权文件的读权限。
出现这种情况,表明网络已经处于不安全状态之中,很多网络管理员不能发现这个问题,或者发现该问题措手不及,事实上,网络管理员应该采取有效措施,保护重要数据,进行日志记录和汇报,分析是否需要中断网络连接,竭尽全力寻找攻击源。
(三)口令安全性。
学校的网络管理员常认为,口令是很不容易被猜出来的。但事实恰恰相反,因为现在管理员虽然很少使用容易被猜出的小于6位的,或者全部是数字重复的密码,但对于密码破译软件来讲,很多密码还是可以被轻易破译的,网络管理员可以反向思维,定期运行一些破译口令的工具,来尝试破译口令文件,如果用户口令被破译出来,就应尽快更改或者通知用户更改密码,防止黑客入侵。
四、结语
校园网安全在很大程度上依赖于科学的、系统的,工程的管理,我们必须努力使网络安全得到最大限度的保护,把各种不安全因素控制在最小的范围之内,以便保障校园网的安全运行,更好地服务于学校师生。