以上各种原因导致校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标。因此导致当前校园网常见的风险如下:
1. 普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁;
2. 计算机蠕虫、病毒泛滥,影响用户的使用、信息安全、网络运行;
3. 外来的系统入侵、攻击等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器;
4. 内部用户的攻击行为,这些行为给校园网造成了不良的影响,损害了学校的声誉;
5. 校园网内部用户对网络资源的滥用,有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载,占用了大量的网络带宽,影响了校园网的应用;
6. 垃圾邮件、不良信息的传播,有的利用校园网内无人管理的服务器作为中转,严重影响学校的声誉。
CERNET安全管理措施
中国教育和科研计算机网CERNET从建设之初就非常重视网络安全问题,采取的许多安全措施都是国内领先的。对于连接各大学的网络主干, CERNET最为关注的是主干网的安全可靠运行,并依靠各大学协调一致的努力保障各校园网的安全可靠运行。但是随着技术的发展,CERNET的网络安全也面临着许多挑战。
中国教育和科研计算机网网络中心从1996年跟踪国际应急响应组织的发展,并且在1999年在清华大学成立的中国第一个从事网络安全事件应急响应服务的组织——中国教育和科研网紧急响应组CCERT,并很快在各地区网络中心成立了多个应急响应组如,NJCERT、GZCERT等。
当前CCERT的工作如图2所示,CCERT应急响应组利用自主开发的安全检测系统发现重大的安全事件,同时接收国内相关组织的安全事件报告,对于CERNET范围内一般性的安全事件,则转发给相关的校园网管理员;对于重大的安全事件,则由CERNET主管领导召集相关部门讨论应急方案,由网络运行服务中心(NOC)实施控制和隔离措施,同时上报国家相关主管部门。CERNET也是国内最早发起反垃圾邮件工作和研究的单位之一。在2002年, CERNET发布了关于制止垃圾邮件的管理规定,并具体实施了若干项技术措施。2003年出版了国内第一本关于反垃圾邮件的书籍《垃圾邮件与反垃圾邮件技术》,并于2004年发布了世界上第一个基于SpamAssassin的开放式中文反垃圾邮件过滤规则集,并被Apache软件基金会选定为Linux标准安装模块。
CERNET一贯重视网络安全技术的交流和培训,在每年的CERNET年会上,都开设网络安全和应急响应论坛,由各高校的网络管理和安全管理人员共同交流安全运行管理工作中的问题和经验,另外,CCERT还在全国各地多次进行安全管理技术培训,这些对加强各高校校园网安全管理工作起到了有效的作用。
加强校园网安全管理措施的建议
互联网的分布特性决定了不可能从CERNET主干网上解决校园网的安全问题,加强校园网的安全管理仍然是当前形势下教育和科研网络环境安全管理的重点。中央16号文件《关于进一步加强和改进大学生思想政治教育的意见》也给加强校园网环境的信息安全提出了进一步的要求。
加强校园网的安全管理工作需要从管理和技术两个方面综合考虑:
首先,加强校园网安全管理政策建设。安全政策(Security Policy)描述校园网安全的目标和需求,是一个组织安全管理的需求说明,它是执行各项管理制度、技术措施的依据,一般规定“做什么”而不是“怎么做”,告诉用户哪些行为是允许的、哪些行为是不允许的,违反了这些约定将会受到怎样的处罚。目前很多学校以安全管理规定、安全条例、安全管理办法等形式发布。一个可行的安全政策应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定,不存在通用的、可实施的安全政策。
安全政策应该让所有的校园网用户知道,在国外,企业用户一般要签署AUP(Access Usage Policy),对校园网用户,无论是院系单位还是学生个人,都可以以签署入网协议的形式让用户知道学校的安全管理政策,一方面起到提高安全意识的作用,同时明确责任和义务,便于对安全事故的处理。
其次,加强安全组织建设。目前普遍认为校园网安全管理工作应该由网络/信息/计算中心承担,但是事实上,安全管理工作非常复杂,可能涉及各院系、部、处的人员和业务,因此必须由学校具有决策权的机构和领导组织和协调各部门的管理工作,比如,成立信息安全管理委员会和专门的办公室。另外,安全管理各项措施的实施,单纯依靠网络中心的力量也是不充分的。院/系/处/宿舍安全管理分级负责的组织体系建设仍然是必要的。加强用户安全意识和管理员安全技术的培训工作非常重要。对于新用户的安全意识的培训,新生入学教育和新员工上岗培训是两个比较好的时间,也可以开展一些职工的在职培训、学生的文化课、选修课等形式的安全意识培训和基本技能的培训。对于系统管理员,一定要重视上岗培训。很多学校院系服务器的管理员都是由助教研究生来担任的,这些学生没有经过必要的培训,容易留下大量的安全问题。对于这些岗位的安全培训是当前校园网安全管理非常迫切的环节。IPv6 对网络安全的影响随着中国下一代互联网示范工程CNGI项目的建设,以IPv6技术为核心的下一代互联网建设和研究在我国已经普遍展开,尤其是在教育和科研领域。目前CNGI实验网之一CERNET2已经于2004年底开通,即将有二十多所大学接入CERNET2。
IPv6技术在一定程度上改善了网络安全问题,但是许多安全问题仍然存在。IPv6最重要的安全增强是将IPSec作为强制标准实施,保证了网络层数据的保密性和完整性。然而,大规模部署IPSec所依赖的PKI在IPv6网络上仍然不存在,因此IPSec的广泛实施仍是很遥远的事情。而且, IPSec的信息加密给当前的入侵检测等技术带来了新的挑战,目前的网络的审计机制、防火墙机制都有可能受到影响。
另一方面,目前的许多安全问题出在系统的实现和维护阶段,特别是系统软件和应用软件,跟底层的网络协议无关。因此,利用缓冲区溢出、弱口令等系统漏洞入侵系统的现象不会因为IPv6的实施而有所减少。
IPv6带来的最直接的好处便是地址空间,在网络安全方面,普遍认为这个庞大的地址空间可以大大减缓病毒或蠕虫扫描的速度从而降低病毒或蠕虫的影响。然而IPv6中会不会出现新的传播方式目前仍然不得而知。
不过,IPv6 作为一项发展中的新技术,给我们解决安全问题提供了一个新的机遇。比如,IPv6无尽的地址空间允许我们给所有联网设备分配一个真实的IP地址,无需地址转换,这对于加强安全管理和攻击追踪提供了可行的机制。利用IPv6的特点,研究和开发下一代互联网安全技术和系统,给我国教育和科研领域的研究人员提供了一个新的机遇。
结束语
互联网的各种安全威胁在校园网的运行和管理中表现得尤为突出,加强校园网的安全管理是当前非常迫切、充满挑战的任务。CERNET网络中心在安全管理方面已经采取了许多安全措施,在以后的工作中将以安全管理和技术的交流、培训和协调为工作重点;各高校校园网应加强安全政策、安全管理组织和技术培训,增大安全管理的投入,共同做好校园网的安全管理工作,建设一个安全、可信的教育和科研网络环境。