1 引言 在国家实施科教兴国战略的背景下,校园网络已经成为职业院校的必备硬件基础,是衡量职业院校教育现代化、信息化的重要标志。 目前,大多数有条件的职业院校在校园网硬件工程建设投入巨资。校园网为职业院校的教学、科研、行政办公搭建了一个信息平台,并产生了明显的效果。 2 APPDRR网络安全模型 APPDRR(全网动态安全理论)网络安全模型是一种动态,自适应的现代网络安全模型,[1] 即:网络安全 = 风险分析 + 制定策略 + 系统防护 + 实时监测 + 实时响应 + 灾难恢复,本文是基于 APPDRR 模型的风险分析指导下展开的。 风险分析是 APPDRR 模型的重要组成部分,通过对资产、脆弱性和威胁,综合评估分析网络所面临的风险,对所发现的风险提出相应的处理意见和安全建议,并指导下一步的网络安全建设。 3 职业院校网络风险分析 职业院校网络面临着诸多的问题,首先是规划建设并不是一步到位的,是经过不断升级改造后才形成的规模。安全设备品牌种类不一,在功能和处理能力上存差别,有的职业院校管理的重点侧重于网络边界和主机安全等方面,但是在校园网络的运行过程中,所出现的的威胁,大量集中在应用层攻击、网络资源滥用和基于二层的网络攻击。 本文从链路层、网络层、操作系统、应用层和网络管理等 6 个方面,对职业院校网络所面临的风险作一个粗略的分析。 3.1 数据链层的安全 数据链层位于物理层和网络层之间,数据链层受到的破坏会直接作用到其他各层。数据链层的安全隐患又容易被忽略,数据链层的安全问题有:MAC 地址泛洪攻击、ARP 攻击、存取控制地址欺骗、VLAN 攻击、VTP 攻击和 VLAN 跳跃攻击。 3.2 网络层的安全 网络层处于数据链层和传输层之间,是网络体系结构中的第三层,TCP/IP 协议族中最核心的 IP 协议就在网络层,广泛应用的TCP、UDP、IGMP 及 ICMP 数据包,都以 IP数据报文形式传输。网络层封装 IP 数据包,并路由转发,解决机器之间的通信问题。网络层常见安全问题有:明文传输面临的威胁、IP地址欺骗、源路由欺骗和 ICMP 攻击。 3.3 传输层的安全 传输层在 OSI 模型中起着关键作用,负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议:传输控制协议和用户数据报协议。传输层常见安全问题有:TCP"SYN" 攻击、Land 攻击、TCP 会话劫持和端口扫描攻击。 3.4 操作系统的安全 目前在职业院校,除了服务器是使用UNIX、Linux 外,其 它工作站基本是使用微软操作系统,存在以下风险。 (1)安全隐患的产生,主要是操作系统配置不合理,例如:没有管理员口令,用户弱口令,未删除和禁用不必要的帐号,设置完全共享的目录、没有防病毒软件、不合理的访问控制,资源共享的访问权限配置不当等。 (2)操作系统的正常运行需要很多系统服务支撑,这些系统服务向用户和应用程序提供功能接口,有些是操作系统正常运行必需的,有些则是不必要的。不必要的服务不仅会占用系统资源,还会给操作系统带来安全威胁。如果用户不知道自已的操作系统,哪些服务是可以访问网络的,就容易被入侵者利用。 3.5 业务应用的安全 职业院校为了满足科研、教学、办公的需要,校园网搭建了很多网络应用系统,如: 信息发布、教务管理、办公自动化、图书管理等。这些应用系统很重要,但也存在风险如下: (1)身份认证:操作系统和应用系统为了保证安全,采取了身份认证措施,这些机制各有特点,但是入侵者仍可以利用网络窃听、非法数据库访问、穷举攻击、重放攻击手段获取口令。用户安全意识淡薄,使用系统默认或者弱密码,并且长期不改动,形同虚设。 (2)WEB 服务:WEB 服务是学校用于对外宣传、开展网络远程教学的重要手段,应用极其普遍,使得 Web 服务经常成为非法攻击的首选目标。存在的安全隐患较多,网页代码本身就存在后门和一些缺陷,比如 IIS 漏洞、ASP 的上传漏洞、SQL 注入、缓冲区溢出等。入侵者一旦攻陷 WEB 服务器,可以把 WEB服务器作为跳板,通过中间件或数据库连接部件,非法访问学校内部应用系统和数据库,并可利用网页脚本访问本地文件系统和网络系统中其它资源。 (3)数据库:数据库是信息系统的核心,校园网内的业务应用依赖于各种数据库系统,保证数据的安全和完整,正确配置数据库系统显得至关重要。数据库是个复杂的系统。非专业人员是无法正确配置数据库系统的。关系型数据库是可从端口寻址的,通过查询工具就可建立与数据库的连接,例如通过 TCP1521 和1526 端口,就能侵入一个弱防护的数据库;数据库运行过程中,出现的错误信息,可以泄漏数据库结构,分析这些信息就能实施攻击。 (4)网络资源共享:为了工作方便,内部人员经常会使用网络共享,如果没有对资源共享,作必要的访问控制策略,重要的数据信息,就无防护地暴露在网络中。 3.6 网络管理的安全 安全管理对于有一定规模的职业院校网络来说是极其重要的。如果没有相应制度约束,就会带来风险:网络管理人员把校园网络结构、系统的一些重要信息传播给外人,会造成信息泄漏;密码和密钥管理风险,管理员账户及密码被外人窃取;在约束缺失的情况下,利用网络和系统的弱点,实施入侵、修改、删除数据等非法行为;审计不力或无审计,当网络受到攻击或其它威胁时,没有相应的检测、监控、报告与预警机制。事件发生后,不能提供任何记录,无法追踪线索,缺乏对网络的可控和可审查性。 4 结束语 综上 , 为了把职业院校网络建成一个全方位、多层次的网络安全防范体系 , 从根本上解决校园网络内外部对网络安全造成的威胁 , 首先我们得作风险分析,发现风险,并提出相应的意见和建议,并指导下一步的网络安全建设。 参考文献。 [1] 彭飞 , 龙敏 . 计算机网络安全 [M]. 北京:清华大学出版社 ,2013.
点此咨询学术顾问 快人一步得到答案