摘 要:本文从合作民族师范高等专科学校(以下简称合作民族师专)校园网的特点出发,分析校园网病毒的发展趋势、入侵渠道,以及合作民族师专潜在的病毒威胁,并提出一个解决校园网病毒防护的方案。
关键词:校园网 病毒 趋势 渠道 防病毒体系
中图分类号:TP309 文献标识码:A 文章编号:1673-8454(2008)19-0040-03
随着信息化的发展,校园网已经成为教学不可分割的一部分,学校网站、网络教学平台、课件共享、VOD点播以及办公自动化等业务的开展都与校园网息息相关。校园网的安全,尤其是校园网中的病毒防护,也就渐渐变成一个重要的议题。那么,如何打造一个安全的校园网环境呢?管理员需要做哪些工作?本文以合作民族师专校园网为例,阐明如何打造一个安全、又易于管理的校园网防病毒系统。
一、合作民族师专校园网的主要特点[1][2][3]
(1)校园网的速度快、规模大。
(2)校园网中的计算机系统管理比较复杂。合作民族师专校园网中的计算机系统的购置和管理情况非常复杂,比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的,系部是统一采购、有技术人员负责维护的,而教师用计算机自主购买、没有专人维护。
(3)活跃的用户群体。学生是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响和破坏,但学生对计算机病毒知识的认识非常薄弱。
(4)开放的网络环境。教学和科研的特点决定了合作民族师专校园网络环境应该是开放的、管理是宽松的。
(5)有限的投入。合作民族师专校园网的建设和管理通常都轻视了计算机病毒防护体系的构建,特别是管理和维护人员方面的投入明显不足。通常只有网络中心的少数工作人员,他们只能维护网络的正常运行,无暇顾及、也没有条件管理和维护近千台计算机的病毒防护工作。
(6)盗版资源泛滥。由于缺乏版权意识,盗版软件、影视资源在合作民族师专校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。
二、校园网病毒的发展趋势
在现今的网络时代,病毒的发展呈现出以下趋势:
(1)病毒与黑客程序相结合。
(2)蠕虫病毒更加泛滥。
(3)病毒破坏性更大。
(4)制作病毒的方法更简单。
(5)病毒传播速度更快,传播渠道更多。
(6)病毒的实时检测更困难。众所周知,对待病毒应以预防为主,如果发生了病毒感染,往往就已经造成了不可挽回的损失,因此对网上传输的文件进行实时病毒检测成了亟待解决的重要问题。
(7)网关防病毒已成趋势。
三、校园网病毒入侵渠道分析
目前绝大多数病毒传播的途径是网络。对于一个网络系统而言,针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。
(1)来自系统外部(Internet或外网)的病毒入侵:这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高、耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。
(2)网络邮件/群件系统:如果网络内采用了自己的邮件/群件系统实施办公和信息自动化,那么一旦有某个用户感染了病毒,通过邮件方式该病毒将以几何级数在网络内迅速传播,并且很容易导致邮件系统负荷过大而瘫痪。
(3)文件服务器:文件资源共享是网络的基本功能。文件服务器大大提高了资源的利用率,并且能对信息进行长期的存储和保护。但是一旦服务器本身感染了病毒,就会对所有的访问者构成威胁。因此文件服务器需要防病毒保护。
(4)最终用户:病毒最后的入侵途径是最终的桌面用户。由于网络共享的便利性,某个感染病毒的桌面机可能随时会感染其它的机器,或是被种上黑客程序而向外传送机密文件(如“SirCam”病毒)。因此在网络内对所有的客户机进行防毒控制也很有必要。
(5)内容保护:目前邮件系统的使用异常方便,致使用户很容易在不经意间将重要的、机密的或是不当的信息通过邮件发送出去;另一方面,来自Internet上的垃圾邮件很多,导致用户需花大量的精力和时间去处理,降低了工作效率。因此对往来的邮件内容进行过滤也很重要。
(6)集中管理:对于一个大型网络来说,部署的防毒系统将十分复杂和庞大。尤其是各网点在地域上分离的情况下,通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护显得十分重要。这样可以大大降低维护人员的数量和维护成本,并且缩短升级、维护系统的响应时间。防毒系统的最大特点是需要不断的升级和更新防毒软件,以应对新产生的各类病毒。因此,对各网点的防毒软件集中进行升级也是有效防毒的重要一环。
四、合作民族师专潜在病毒威胁分析
(1)外部:合作民族师专与互联网有两条直接通道,虽然中间有防火墙验证数据的合法性,但仍会受到来自互联网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁。
(2)内部:局域网中的工作站及文件服务器都会受到病毒的感染,病毒的攻击方式多种多样,有通过局域网传播、传统介质(光盘、软盘)传播等等,一旦受到感染,便会迅速传播,给日常的工作和生产带来极大的威胁。
(3)邮件服务器:电子邮件已成为病毒传播的最大载体,任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施,极易受到攻击,并会导致病毒在网络内部快速传播。当客户机染毒并产生几何数量级的信件时,邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降,甚至死机。
五、建立一个完善的病毒防范体系[4][5][6]
针对校园网的复杂情况,在病毒防护方面,必须建立一个完善同时又方便管理的网络安全防护系统。
很多计算机用户都认为,只要自己的计算机安装了一个单机版的防病毒软件,就可以高枕无忧。但是,从目前的网络发展和病毒的发展来看,这个观点已经过时了。现在的病毒,很多都具有智能性,并向网络病毒发展,它们能够自动复制并自动传播。尤其是像蠕虫等病毒,是根据系统漏洞来使机器受到感染。而且,病毒发展的速度非常快,蠕虫病毒有可能和木马程序相结合,通过漏洞攻击客户机,并在中毒的机器中打开后门,使用户的机器门户大开。那么,怎样才可以做到最好的防范呢?
第一,在校园网出口处,需要设立一个防火墙。验证数据的合法性,使内网的用户不会受到外网的部分病毒的攻击。
第二,建立完善的病毒防护系统,系统结构如图1所示。
(1)在线扫毒服务器
通过在校园网络的单一节点部署在线扫毒服务器,为整个网络提供了一个全功能的“按需”检测和清除病毒工具,管理员可以选择具有代表性的节点,指导这些节点的使用者调用此服务;接受服务的客户端上所发现的病毒将被清除,同时所有的处理结果将汇总到服务器上,方便管理员对校园网络中出现的病毒类型、分布状况、危害程度做出评估。
(2)中央管理服务器
缺乏管理的网络就是不安全的网络。在防病毒方面,为了达到“主动式的信息安全”目标,改变以往在与病毒对抗中被动挨打的劣势,核心的任务是建立跨越整个校园网范围的防病毒管理中心,该管理中心能起到以下作用:
1)提供跨广域网的管理能力。防病毒管理要求步调统一,只有在防病毒策略、防毒组件的更新等各个方面保持高度的一致性,才能够达到将病毒拒之门外的目的。
2)提供跨平台、跨产品的管理能力。针对校园网应用环境的复杂性,不可能要求管理员熟悉所有应用平台的操作方法,并亲自完成各个平台所对应的不同防病毒产品的维护工作,管理中心要能够做到代替管理员,控制所有相关的节点。
(3)网关防毒墙
网关防护能达到的效果如下:
1)提供网关级别的病毒防护,使病毒在进入校园网边界时即被过滤掉,从而将防护能力提前到用户接触数据之前。
2)提供对最终用户透明的工作方式,借助On-the-Fly专利技术,使用户在对外部数据进行访问时,自动完成病毒过滤。
3)提供对多种操作系统的支持,包括Windows系列、主流Unix和Linux平台。
(4)服务器防毒墙
服务器是网络中的核心设备,它支撑校园网中各种应用的正常运行,并保存有大量重要的用户数据,因此,对服务器的保护责任非常重大。服务器防护要达到的效果如下:
1)防毒墙的安装、更新等操作不会导致服务器的重新启动,从而保证网络应用的连续性。
2)对服务器系统提供实时保护。
3)实时监测各种类型的数据,支持广泛的压缩格式,并提供对多重压缩的过滤能力。
(5)客户端防毒墙
客户端防毒墙要达到的效果如下:
1)防毒墙的安装、更新等操作接受服务器控制,最终用户基本不需要参与;不会导致客户端设备的重新启动,从而保证网络应用的连续性。
2)控制台能够监控客户端的实时运行情况,包括防毒服务运行状态、更新状态、查杀病毒状态等。
3)管理员能够在网络中任意节点调用控制台,对网络中任意位置客户端的防毒配置进行远程控制,例如,调动客户端执行立即扫描操作。
4)对于所有防毒策略配置选项,管理员有能力设定许可或禁止客户端进行更改,从而保证全网防病毒策略的高度一致性。
5)客户端程序资源占用小,确保应用运行流畅。
6)全部病毒过滤在后台执行,终端用户无需参与。
7)能够检测蠕虫、木马、网页病毒等多种恶意代码,并自动进行处置。
第三,根据学校的实际情况,应将校园网划分出不同的区域,并制定不同级别的安全策略:
(1)核心区:学校的计算中心、办公网、图书馆、各教研科室。对核心区的设备要实施严密的安全防护,统一安装对应级别的防病毒产品,接受统一管理,统一更新,定期执行统一的病毒扫描,杜绝病毒在核心区设备上藏匿。同时严格限制使用者对防毒策略的修改能力,确保防病毒水平的高度一致。
(2)可管理区:电子阅览室、学生机房、教室中的设备等。对可管理区的设备,首先需要结合学校的资产管理,查清设备的部署情况,同时有必要加强巡回检查,通过人力投入和程序的自动执行,提高防护水平。同时可使用在线安全风险检查工具,找出该区域内的变动情况。
(3)不可管理区:学生宿舍、客座教师的设备、临时进入校园网络的设备等。对不可管理区的设备,校园网网络管理员基本无法在其上安装客户端软件,设备安全的维护需要依靠使用者自觉完成。网络管理员有责任为不可管理区的用户提供在线病毒扫描服务,以便在用户需要检查和清除所使用的设备上的病毒时,能够获得必要的技术手段。
第四,严格的管理也是重要的一点。
在网络上,很容易找到易使用、且破坏力很强的恶意软件。同时,操作系统经常发现新的漏洞,用户若不及时更新自己的系统、安装补丁,就算安装了强有力的防病毒软件,仍然有机会中毒。单单靠一个较为完善的防病毒系统还是不够的,最重要的还是管理制度。健全的网络病毒防护体系,严格的管理制度是必不可少的一部分。首先,必须制定一套可行,且必须严格执行的制度。其次,管理员必须认真负责。
六、结束语
各种计算机病毒与反病毒之间的较量永远不会停止。用户只有提高自己的防毒意识,才能将病毒对自己的危害降到最低。在病毒防护方面,需要做的工作还很多很多。只要建立一套完善的防病毒系统,加强多级进入点的保护,规范网络安全管理,病毒是可以防患于未然的。
参考文献:
[1].cn
[3]http://
[4]张艳华.经历两次病毒侵袭得到的启示[J].网络安全技术与应用,2004(12).
[5]康洁.构建完善的校园网防毒系统[J].网络安全技术与应用,2005(4).
[6]胡道元,闵文华.网络安全[M].北京:清华大学出版社,2004.1.