校园网网络安全论文

校园网网络安全论文１网络安全的基本概念１．１网络安全的定义国际标准化组织ＩＳＯ将网络安全［２］定义为为数据处理系统建立相应的安全保护措施，保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露，从而保证了网络服务不中断，使得系统可靠安全地运行．上述网络安全的定义包含两方面内容物理安全和逻辑安全．其中物理安全是指在构建网络系统的时候，保证物理线路能够防雷、放火、防水、防盗等，能够保证物理线路连续的进行数据传输．而逻辑安全通常指的是传输在网络上数据的信息安全，即对网络上传输信息的保密性、可用性和完整性的保护．另一方面，网络安全性的涵义也可以理解成是信息安全的一种引申，即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护．概括的说，可以将网络安全定义为为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施，从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性．１．２网络安全基本特征网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征．保密性信息未经授权不泄露给任何用户，而且信息的特性也具有保密性，其它非授权用户、实体或过程无法利用其特征．可用性用户经过授权后可按需使用，即授权用户当需要该信息时能否正常存取．网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等．可控性对网络中传播的信息及其内容具有控制能力．可审查性当网络中出现安全问题时可提供相应的依据与手段，便于追踪攻击源．完整性用户未经授权不能随意改变数据的特性，即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性，保证了信息的完整性．２校园网建设概述及其安全威胁随着互联网的快速普及，校园网建设已经成为学校的基础建设之一，教育信息化、数字化已经成为教育发展的主方向，校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一，并发挥着越来越重要的作用［３］．另一方面，随着国家科教兴国战略的实施，政府加强了对学校的投资，由此也加强了学校对校园网的建设．中国教育和科研计算机网ＣＥＲ－ＮＥＴ的成立，标志着教育网的形成．ＣＥＲＮＥＴ主干网络传输速率已达到２．５Ｇｐｂｓ，总容量达４０Ｇｐｂｓ，它吸引超过１０００所高校的鼎力加盟，覆盖全国超过２００个城市．目前，大部分学校都已建成校园网，实现了校园网的整体覆盖，包括办公楼、教学楼、宿舍楼等．校园网同时与Ｉｎｔｅｒｎｅｔ对接，实现了校园办公教学的信息化、自动化．如图１所示，为一个简单的校园网组网模型．随着ＣＥＲＮＥＴ的建设不断提高，校园网已经成为互联网的重要组成部分之一，是学校信息化、数字化建设的基础设施，同时担任着科研与教学的重要任务．然而，目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足，这些都极大阻碍了校园网的发展．因此合理地对校园网络升级，是目前学校校园网工程的首要目标之一［４］．同时，校园网作为学校数字化、信息化的基础设施，安全问题不容忽视．在互联网开放程度很高的今天，校园网往往最容易成为黑客攻击的目标．威胁校园网安全的因素有很多，但主要的安全威胁有以下几类．２．１ＴＣＰ／ＩＰ协议漏洞造成的威胁现在互联网上使用最多的协议就是ＴＣＰ／ＩＰ协议了，这几乎是所有校园网采用的网络传输协议．ＴＣＰ／ＩＰ协议在设计之初，就没有考虑安全问题，它只考虑如何把信息互相传输，因此存在很大的安全威胁．虽然国际标准化组织提出的ＯＳＩ七层协议能够很好的保证网络安全，但是由于ＴＣＰ／ＩＰ协议的开放性和通用性几乎占用了整个市场，使得ＯＳＩ七层协议无法推广．所以，目前网络黑客针对ＴＣＰ／ＩＰ漏洞攻击有很多，例如数据窃听、源地址欺骗、ＡＲＰ欺骗等等．１数据窃听ＰａｃｋｅｔＳｎｉｆｆ．ＴＣＰ／ＩＰ协议从设计之初，就采取的是数据包明码传输，这种传输模式使得数据包很容易被窃听、修改和伪造．黑客可以利用一系列工具获取网络中正在传输的数据包，窃取用户有利用价值的信息，如用户账户和密码等信息．同时，黑客也能修改和伪造数据包，让用户误入钓鱼网站或者窃取网上银行信息，给用户造成直接经济损失．特别是在校园网中，数据包流通比较集中，一旦获取了校园网服务器或管理员账号信息，将会给校园网络造成重大损失．２源地址欺骗ＳｏｕｒｃｅＡｄｄｒｅｓｓＳｐｏｏｆｉｎｇ．在网络安全中，一个比较重要的安全问题就是源地址欺骗．这里的源地址，能够是ＩＰ地址，也能是ＭＡＣ地址．但是ＭＡＣ地址随着路由转发，信息会发生变化，而且在实际的网络系统中，也有一定的限制，改造欺骗难度比较大，所以一般的源地址欺骗是指ＩＰ地址伪造欺骗．攻击者通常伪造被攻击的主机ＩＰ地址，骗取防火墙信任，从而对校园网内部发起攻击．３源路由选择欺骗ＳｏｕｒｃｅＲｏｕｔｉｎｇＳｐｏｏ－ｆｉｎｇ．在一个完整的ＩＰ数据包中，通常只包含源地址和目的地址，即路由器可以知道数据包从哪个主机发送出来，将要到达哪个主机．源路由是指数据包将会列出所要经过的路由，路由器将会根据这些指定的路由将数据包送达相应的主机，然后根据其反向路由进行应答，从而实现主机之间的通信．而源路由选择欺骗，则是攻击者通过伪造主机源路由，让数据包经过该主机必经路由，使受攻击主机出现错误判断，将某些被保护的数据提供给了攻击者．另一方面，由于路由器一般对接收到的路由信息是不经过检验的，这样就给攻击者提供便利，攻击者可以发送虚假数据包，改变某些重要数据包的传递路径，使得数据在传递到正常主机前，即可抓取分析，从而也达到攻击的目的．４鉴别攻击ＡｕｔｈｅｎｔｉｃａｔｉｏｎＡｔｔａｃｋｓ．由于ＴＣＰ／ＩＰ协议还无法证明网络身份的真实有效性，因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息，从而达到攻击目的．５ＡＲＰ欺骗ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌＳｐｏｏｆｉｎｇ．ＡＲＰ即地址解析协议，作用是将网络中的ＩＰ地址转换成ＭＡＣ物理地址的协议．因为在局域网中，尤其是在校园网中，使用最多的往往是ＭＡＣ地址进行传输，而不是ＩＰ地址进行传输，所以ＡＲＰ协议能够很快的让局域网中的两台主机进行通信．而黑客只需在局域网中进行网络监听，获取到一台主机Ａ的节点信息ＩＰ地址和ＭＡＣ地址，就能伪造Ａ的数据包，与Ｂ进行通信，获取有用信息．另一方面，黑客可以伪造一个不存在的ＭＡＣ地址在局域网内传播，形成广播风暴，这样会造成网络不通，给局域网造成致命打击．６ＤｏＳ攻击ＤｅｎｉａｌｏｆＳｅｒｖｉｃｅ．ＤｏＳ攻击，即拒绝服务攻击，攻击者的目的是让目标主机或网络无法提供正常服务．因为ＴＣＰ协议采用三次握手建立一次连接，而任何一次握手失败，则会重新发送．攻击者正是利用这一个协议漏洞，采取不断建立连接，然后丢弃该连接数据包，使得服务器处于等待状态，如果攻击者一直持续连接和丢弃的过程，则服务器和网络所有的资源会被完全消耗，导致计算机或网络无法正常工作，从而达到攻击目的．７ＤＤｏＳ攻击ＤｉｓｔｒｉｂｕｔｅｄＤｅｎｉａｌｏｆＳｅｒｖ－ｉｃｅ．ＤＤｏＳ攻击，即分布式拒绝服务攻击，它是指攻击者借助一系列工具或手段，联合多个计算机组成攻击平台，对一个或数个目标发动ＤｏＳ攻击．最基本的ＤｏＳ是利用合法的服务请求，占用攻击目标主机大量服务资源，使得正常用户无法访问．然而ＤｏＳ服务需要占用大量带宽，单个计算机攻击肯定无法达到攻击者想要的目标．因此网络黑客会抓取网络肉鸡，集合大量网络带宽，组成庞大的攻击平台，可以在瞬间让被攻击目标处于瘫痪状态．８ＴＣＰ序列号欺骗和攻击ＴＣＰＳｅｑｕｅｎｃｅＮｕｍｂｅｒＳｐｏｏｆｉｎｇａｎｄＡｔｔａｃｋ．黑客利用一系列工具可以伪造ＴＣＰ序列号，形成一个ＴＣＰ封包，对网络中可信节点进行攻击．而且最重要的是，黑客可能利用伪造的ＴＣＰ封包发动ＳＹＮ攻击，让服务器无法完成三次握手，造成服务器开放大量等待端口，影响正常网络访问，严重时，可直接造成服务器死机，如果该服务器是ＷＥＢ服务器或者ＤＮＳ服务器，那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络．９ＩＣＭＰ攻击ＩｎｔｅｒｎｅｔＣｏｎｔｒｏｌＭｅｓｓａｇｅＰｒｏｔｏｃｏｌＡｔｔａｃｋｓ．ＩＣＭＰ协议是Ｉｎｔｅｒｎｅｔ控制报文协议，它属于ＴＣＰ／ＩＰ协议下的一个子协议，用于在ＩＰ主机和路由器之间传递控制消息．其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息，它对数据传输有很重要的作用．而ＩＣＭＰ攻击是指利用操作系统ＩＣＭＰ的尺寸大小不得超过６４ＫＢ这一规定，发动ＰｉｎｇｏｆＤｅａｔｈ攻击，当主机ＩＣＭＰ数据包尺寸超过６４ＫＢ时，主机会发生内存分配错误，导致ＴＣＰ／ＩＰ堆栈崩溃，使得目标主机死机．虽然操作系统通过取消ＩＣＭＰ数据包大小限制来解决该漏洞，但是向目标主机发动持续、大规模的ＩＣＭＰ攻击，会消耗主机ＣＰＵ、内存等资源，严重时也会导致目标主机瘫痪，无法提供正常服务．２．２漏洞威胁软件和操作系统是由程序员编写的，而在开发的过程中，多多少少会存在各种各样的漏洞问题，这些漏洞如果不能及时修复，将会对主机造成重大安全威胁．一旦该主机被攻破，同时也会给该主机处在的局域网中的其它机器造成威胁，情况严重时，甚至会造成整个网络瘫痪．近几年来，无论是Ｗｉｎｄｏｗｓ操作系统，还是Ｌｉｎｕｘ操作系统，发布的补丁数目一直持续增加．特别是Ｗｉｎｄｏｗｓ操作系统，在校园网内拥有的用户众多，如果没能及时修复各种漏洞，势必会影响整个校园网安全．２．３病毒、木马威胁近些年来，随着互联网的普及，网络上各种各样的开源软件繁多，有些开源软件打着免费的旗号，暗留后门或者对操作系统植入木马，稍不注意，就会对整个系统造成重大影响．同时，网络上黑客也会主动攻击，种植木马，抓取网络肉鸡，作为自己攻击的跳板，对互联网上其它的计算机造成严重威胁．２．４初级黑客攻击校园网因为自身局限性，其网络管理水平无法与企业相比，因此很容易受到网络上初级黑客的攻击，作为他们试手的目标．另外一方面，互联网出现的一系列黑客教程、黑客工具，这些教程和工具可以自由查阅和下载，加上很多黑客工具属于使用简单，这让许多初级黑客也能在一段时间内对网络造成严重的攻击．且根据心理学研究分析，很多普通攻击者往往有炫耀心理，即把校园网作为自己攻击的目标，以获取所谓的成功感，这让校园网增加更多的威胁．３目前校园网网络建设中存在的主要安全问题目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题．３．１人为因素导致的网络安全问题３．１．１校园网用户数量庞大校园网内用户量众多且处在同一个局域网中，同时，校园网内服务器数量也是别的局域网不能比拟的．用户量加上数目可观、功能强大的服务器，这些条件也吸引着互联网上众多黑客的攻击，因此存在着很大的安全隐患．３．１．２校园网用户安全意识低根据调查研究发现，校园网的用户大部分都安全意识不强，用户计算机整体水平偏低，有一部分校园网用户基本上不安装杀毒软件，也没能及时给系统打补丁，系统处于裸奔状态．这对于当今如此开放的互联网，将直接为黑客提供攻击目标．而且校园网用户极少学习相应的安全防范知识，在下载和使用软件时，基本上不考虑其风险性，这些都将会给黑客制造攻击机会，影响整个校园网安全［５］．３．１．３信息泄密信息泄密是指将信息透漏给非授权用户，它在一定程度上破坏了计算机系统的保密性．目前，常见的信息泄密有操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序．３．１．４拒绝服务攻击ＤｏＳ攻击者使用一切办法让被攻击计算机停止提供服务，让合法的信息或资源访问被拒绝或者严重推迟．常见的ＤｏＳ攻击有ＳＹＮＦｌｏｏｄ、ＩＰ欺骗、ＵＤＰ洪水攻击、Ｐｉｎｇ洪流攻击等．３．１．５完整性破坏攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性，使得信息乱码．３．１．６网络滥用由于授权的用户因操作或行为不当，导致网络滥用，从而导致网络安全威胁，例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等．３．２非人