校园网络安全及防御对策

校园网络安全及防御对策

郭军

重庆工贸职业技术学院 重庆涪陵 408000

摘要：校园网作为学校重要基础设施，发挥着不可替代的作用，但随之而来的网络信息安全问题也日益突出，如何防范网络安全风险就成为我们必须要解决的一个重要问题。本文首先分析了校园网络安全现状，从安全漏洞、DDoS两方面就如何保障校园网信息安全进行了探讨。

关键词：校园网；信息安全；安全漏洞；DDoS

一、引言

校园网是当代学校重要基础设施之一，是促进学校提升教学质量、提高管理效率和加强对外交流合作的重要平台。据统计，全国教育类网站20余万个，IPv4地址1300万，使用学生数达3.5亿，专任教师的使用人数达1800余万。校园网呈现出使用人数多，系统数量多，存储数据多的特点。近年来，随着各种应用的不断扩展和深入，由于安全漏洞和DDoS攻击等原因造成的信息安全和服务中断事件层出不穷，给广大的使用者带来了极大的安全隐患和使用不便，直接影响着学校的工作的正常开展。为此，探讨校园网络信息安全的综合策略，确保校园网络的安全运行有着重大意义。

二、漏洞是信息安全的隐患

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞是一个广义的概念，它不只是可以通过软件扫描出的各种级别的漏洞，还包括弱口令、管理不善和配置不当等原因造成的漏洞。通过漏洞窃取数据是黑客惯用的手段，安全漏洞是信息安全的最大威胁。根据教育行业漏洞报告平台（https：//src.edu-info.edu.cn）对教育行业相关网站进行的监测中，共发现漏洞87955个，平均每个教育网站漏洞数达1.39个。全国教育行业相关网站中有22821个网站存在安全漏洞，占教育网站总数的35.98%。

1.漏洞的等级

漏洞按其造成的危害程度可分为严重、高危、中危、低危。严重漏洞被攻击之后可能对网站或服务器的正常运行造成严重影响，或对用户财产及个人信息造成重大损失，直接利用难度较低。高危漏洞被利用之后，造成的影响较大，虽直接利用难度较高，但能为进一步攻击造成极大便利。中危漏洞利用难度极高，或满足严格条件才能实现攻击，或漏洞本身无法被直接攻击但能为进一步攻击起较大帮助作用。低危漏洞无法直接实现攻击，但提供的信息可能让攻击者更容易找到其他安全漏洞。不同类型和等级的漏洞在一定条件下可以互相转化，因此不管是什么等级的漏洞，都应该引起高度重视。

2.常见漏洞及成因

（1）SQL注入。SQL 注入主要用于非法获取网站控制权， 是发生在应用程序的数据库层上的安全漏洞。

（2）XSS（跨站脚本漏洞）。XSS借助网站进行传播，可被用于进行窃取隐私、钓鱼欺骗、诱导用户再次登录，然后获取其登录凭证、传播恶意代码等攻击。

（3）CSRF (跨站请求伪造)。CSRF通常由于服务端没有对请求头做严格过滤引起的。CSRF会造成密码重置，用户伪造等问题，可能引发严重后果。

（4）弱口令漏洞。容易被别人猜测到或被破解工具破解的口令均为弱口令，由此产生的漏洞即为弱口令漏洞。

（5）文件上传漏洞。文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的，攻击者可通过Web 访问的目录上传任意文件，包括网站后门文件（ webshell ），进而远程控制网站服务器。

漏洞虽然是硬件、软件、协议的存在缺陷造成，有一定的客观性，但一些漏洞也存在人为因素。比如弱口令、文件上传无权限控制、敏感信息泄露等。

三、DDoS攻击导致服务瘫痪

DDoS攻击 (Distributed Denial of Service，分布式拒绝服务攻击)限定于资源消耗型的攻击，通常是在“局部”造成压倒性消耗带宽资源、计算资源而导致服务瘫痪。据电信云堤（http://www.damddos.com/networkattack.html#page3）检测显示，2019年5月，全国发生的DDoS攻击量为142Gbps，攻击峰值0.88tTbps，863次攻击峰值>300Gbps。

基于协议的DDoS攻击常见有两种：

1.侵占带宽资源的DDoS。协议载体通常有ICMP-based、UDP-based（SSDP、NTP、DNS）、TCP-based：9（ACK、SYN、Memcached）。攻击手法通常是以小搏大，攻击电路接口IP。

2. 耗尽协议栈连接数，耗尽CPU能力的DDoS攻击。协议载体通常有TCP-based（SYN、各种FLAG组合）、HTTP-based、SSL等。

四、信息安全防御对策

1．安全漏洞的主动安全防御

（1）长期安全投入不可缺。由于漏洞存在的客观性，短平快的思路注定做不好漏洞安全防御，只有长期的持续投入和积累才能小有所成；此外，安全设备仅仅只是投入的一方面，持续安全运维能力和安全团队能力建设更为关键。

（2）完善和落实安全管理责任制度。建设和完善网络信息安全管理制度，严格落实安全漏洞和事件处置、网站管理相关规定；对网络安全法相关要求执行情况开展自查和整改；网站备案管理和年审；实施Web服务白名单制度；；共同推进落实网站年审制度；推进网站集中化部署(网站群、云平台)。

（3）信息系统立项/验收/上线强制要求。上线前需要通过基础安全评估检测；验收需要提供第三方安全评估报告；定期安全检测，常态化安全运维。

（4）加强数据安全管理。保障重要系统数据安全，数据分级分类清晰，明确使用权限、准出流程；开发测试、系统运维、数据分析数据脱敏规定；数据库防火墙、运维审计堡垒机精细化权限管控；敏感数据接触人员签署NDA/保密协议；安全要求和责任压力要层层各级传递。

总的说，解决安全漏洞问题不是一蹴而就，安全态势感知也不是一个单位的战斗，安全威胁情报共享共治，构建网络空间命运共同体。

2．DDoS攻击防御对策

（1）虚假源地址的管控，越向边缘越有效。通过URPF (loose/strict)、ACL源地址匹配、IP+ MAC绑定进行虚假源地址的管控，同时控制网内发出企图反射的攻击。

（2）协议的细致使用。SSDP的自名单、NTP的monlist、DNS的QTYPE及name分析、Memcached。网内的设备资源不被滥用。

（3）服务的性能扩充

适度扩展接入带宽、增加CPU/内存、优化服务架构，争取研判处置时间。

（4）上游相助

借助上游运营商提供防护，在DDoS攻击到达校园网之前进行瓦解。

五、结束语

校园网是校园信息化的核心设施，校园网络安全既有来自于校内的，也有来自校外的。所以，构筑校园网络安全体系，确保校园网在信息安全的前提下高效运行需要从技术、管理、用户三方面全面考虑。综合运用防火墙、入侵检测、防毒软件等多项技术，加强安全管理，提高网络安全意识，注重对学生教职工的网络安全知识培训，构建网络安全共防共治体系，从人员到设备形成具有层次结构的安全防范体系，校园网才能为教学、科研、办公和师生生活提供更加有力的支持。

【参考文献】:

[1]张疆勤，高校校园网安全影响因素分析及其防范对策， 农业网络信息，2010, 7。

[2] 姜开达，校园网的安全防御，2021年教育系统网络安全专题网络培训

[3] 刘紫千，教育系统的网络安全风险防范，2021年教育系统网络安全专题网络培训