【正文】 無論在國內(nèi)還是國外，校園網(wǎng)的存在與否，是衡量該院校學術(shù)水平與管理水平的重要標志，也是提高學校教學、科研水平不可或缺的重要支撐環(huán)節(jié)。 共享資源是校園網(wǎng)最基本的應用，人們通過網(wǎng)絡更有效地共享各種軟、硬件及信息資源，為眾多的科研人員提供一種嶄新的合作環(huán)境。校園網(wǎng)能提供異型機聯(lián)網(wǎng)的公共計算環(huán)境、 海量的用戶文件存儲空間、價值不菲的打印輸出設(shè)備、能方便獲取的圖文并茂的電子圖書信息，以及為各級行政人員服務的行政信息管理系統(tǒng)和為一般用戶服務的電子郵件系統(tǒng)。 3. 網(wǎng)絡的攻擊 網(wǎng)絡攻擊的含義 網(wǎng)絡攻擊（ work attack）：利用網(wǎng)絡存在的漏洞和安全缺陷對系統(tǒng)和資源進行的攻擊。 網(wǎng)絡攻擊的種類 攻擊的主要系列如下圖所示： 14 15 ? 讀取攻擊 — 在未授權(quán)的情況下查看信心 ? 操縱攻擊 — 修改信息 ? 欺騙攻擊 — 提供虛假信息或虛假服務 ? 泛紅攻擊 — 使計算機資源發(fā)生溢出 ? 重定向攻擊 更改后續(xù)信息 ? 混合攻擊 — 采用不止一種所列的方法 網(wǎng)絡攻擊的危害 網(wǎng)絡系統(tǒng)面臨的威脅主要來自外部的人為影響和自然環(huán)境的影響，它們包括對網(wǎng)絡設(shè)備的威脅和對網(wǎng)絡中信息的威脅。這些威脅的主要表現(xiàn)有：非法授權(quán)訪問，假冒合法用戶，病毒破壞，線路竊聽，黑客入侵，干擾系統(tǒng)正常運行，修改或刪除數(shù)據(jù)等。這些威脅 總體 可分為兩大類 ： 無意威脅和故意威脅。 (1).無意威脅 無意威脅是在無預謀的情況下破壞系統(tǒng)的安全性、可靠性或信息的完整性。無意威脅主要是由一些偶然因素引起，如軟、硬件的機能失常，人為誤操作，電源故障和自然災害等 。 16 人為的失誤現(xiàn)象有：人為誤操作，管理不善而造成系統(tǒng)信息丟失、設(shè)備被盜、發(fā)生火災、水災，安全設(shè)置不當而留下的安全漏洞，用戶口令不慎暴露，信息資源共享設(shè)置不當而被非法用戶訪問等。 自然災害威脅如地震、風暴、泥石流、洪水、閃電雷擊、蟲鼠害及高溫、各種污染等構(gòu)成的威脅。 (2).故意威脅 故意威脅實際上就是 “ 人為攻擊 ” 。由于網(wǎng)絡本身存在脆弱性，因此總有某些人或某些組織想方設(shè)法利用網(wǎng)絡系統(tǒng)達到某種目的，如從事工業(yè)、商業(yè)或軍事情報搜集工作的 “ 間諜 ” ，對相應領(lǐng)域的網(wǎng)絡信息是最感興趣的，他們對網(wǎng)絡系統(tǒng)的安全構(gòu)成了主要威脅 。 攻擊者對系統(tǒng)的攻擊范圍，可從隨便瀏覽信息到使用特殊技術(shù)對系統(tǒng)進行攻擊，以便得到有針對性的信息。這些攻擊 還 可 以 分 成 被動攻擊和主動攻擊。 被動攻擊是指攻擊者只通過監(jiān)聽網(wǎng)絡線路上的信息流而獲得信息內(nèi)容，或獲得信息的長度、傳輸頻率等特征，以便進行信息流量分析攻擊。被動攻擊不干擾信息的正常流動，如被動地搭線竊聽或非授權(quán)地閱讀信息。被動攻擊 能 破壞信息的保密性。 主動攻擊是指攻擊者對傳輸中的信息或存儲的信息進行各種非法處理，有選擇地更改、插入、延遲、刪除或復制這些信息。主動攻擊常用的方法有：篡改程序及數(shù)據(jù)、假冒合法用 戶入侵系統(tǒng)、破壞軟件和數(shù)據(jù)、中斷系統(tǒng)正常運行、傳播計算機病毒、耗盡系統(tǒng)的服務資源而造成拒絕服務等。主動攻擊的破壞力更大，它直接威脅網(wǎng)絡系統(tǒng)的可靠性、信息的保密性、完整性和可用性。 被動攻擊不容易被檢測到，因為它沒有影響信息的正常傳輸，發(fā)送和接受雙方均不容易覺察。但被動攻擊卻容易防止，只要采用加密技術(shù)將傳輸?shù)男畔⒓用?，即使該信息被竊取，非法接收者也不能識別信息的內(nèi)容。 主動攻擊較容易被檢測到，但卻難于防范。因為正常傳輸?shù)男畔⒈淮鄹幕虮粋卧?，接收方根?jù)經(jīng)驗和規(guī)律能容易地覺察出來。除采用加密技術(shù)外，還要采用鑒別技 術(shù)和其他保護機制和措施，才能有效地防止主動攻擊。 被動攻擊和主動攻擊有以下四種具體類型： 竊?。汗粽呶唇?jīng)授權(quán)瀏覽了信息資源。這是對信息保密性的威脅，例如通過搭線捕獲線路上傳輸?shù)臄?shù)據(jù)等。 中斷：攻擊者中斷正常的信息傳輸，使接收方收不到信息，正常的信息變得無用或無法利用，這是對信息可用性的威脅，例如破壞存儲介質(zhì)、切斷通信線路、侵犯文件管理系統(tǒng)等。 篡改：攻擊者未經(jīng)授權(quán)而訪問了信息資源，并篡改了信息。這是對信息完整性的威脅，例如修改文件中的數(shù)據(jù)、改變程序功能、修改傳輸?shù)膱笪膬?nèi)容等。 偽造：攻擊者在系統(tǒng)中 加入了偽造的內(nèi)容。這也是對數(shù)據(jù)完整性的威脅，如向網(wǎng)絡用戶發(fā)送虛假信息，在文件中插入偽造的記錄等。 17 各種網(wǎng)絡攻擊使得各行各業(yè)的信息安全，受到極大的威脅。 軍事、政治決策的泄露，導致國家安全岌岌可危；金融、商業(yè)機密的泄露，使得經(jīng)濟下滑，股票翻飛，企業(yè)危如累卵；教育，研究成果的竊取，使得個人勞動成果，知識產(chǎn)權(quán)遭到巨大的威脅。 4. 網(wǎng)絡攻擊的防范 我國的網(wǎng)絡安全現(xiàn)狀 當前 , 我國的網(wǎng)絡安全面臨嚴峻形勢。 因特網(wǎng)上頻繁發(fā)生的大規(guī)模黑客入侵與計算機病毒泛濫事件 , 使我國很多政府部門、商業(yè)和教育機構(gòu)等 , 都受到 了不同程度的侵害 , 有些甚至造成了很壞的社會影響和重大的經(jīng)濟損失。 2020 年 11 月 28 日下午 , 屬于 CHINAREN的“主頁大巴”遭到非常罕見的嚴重硬件故障 , 導致文件系統(tǒng)崩潰 , 30 萬個人主頁用戶的所有資料丟失 。 2020 年 1 月 30 日 1 時左右 , 263 網(wǎng) 絡 集 團 的 ISP 業(yè)務頁面、 IDC 資料信息港頁面等幾乎在同一時刻被黑客攻擊 。 在 2020 年中美戰(zhàn)機相撞后引發(fā)的兩國黑客大戰(zhàn)中 , 參戰(zhàn)雙方采用的都是已知的攻擊方法 , 從技術(shù)上看并沒有什么新穎之處 , 但結(jié)果是在被黑網(wǎng)站中 , 我國 的網(wǎng)站所占的比例竟高達 36. 7% , 而美國的僅為 3. 4% 。 以上事例充分說明了我國網(wǎng)絡安全的嚴峻形勢。面臨嚴峻的形勢 , 國內(nèi)有越來越多的組織和個人在研究、應用網(wǎng)絡安全技術(shù)并推出了一系列的產(chǎn)品 , 逐步形成了一項產(chǎn)業(yè)。 據(jù)統(tǒng)計 , 截止到 2020 年 2 月份 , 國內(nèi)主營和兼營的網(wǎng)絡安全企業(yè)已超過 1 000 家 , 而且這個數(shù)目還在上升。我國政府也十分重視網(wǎng)絡安全問題。從 1995 年開始 , 維護網(wǎng)絡安全就成為我國計算機領(lǐng)域的重點課題。目前國內(nèi)從事網(wǎng)絡安全業(yè)務的 1 000 多家企業(yè)中 , 有相當比例 的企業(yè)成為信息戰(zhàn)略的重要組成部分。 在“十五”規(guī)劃中 , 網(wǎng)絡信息安全更成為高技術(shù)計劃信息領(lǐng)域的四大主題之一 , 我國已著手建立積極防御的信息安全保障體系。 在上海和成都 , 我國信息安全技術(shù)產(chǎn)業(yè)化的東西兩大基地已在建設(shè)中。 防病毒、反入侵、測評認證等信息安全基礎(chǔ)設(shè)施也正在加緊建設(shè)與完善。未來五年 , 我國網(wǎng)絡信息安全將重點提高安全防護、入侵檢測、快速反應的能力與水平。目前 , 我國因特網(wǎng)安全的現(xiàn)狀可以從下面幾個方面描述 : 信息和網(wǎng)絡的安全防護能力差。 隨著 1995 年以來上網(wǎng)工程的全面啟動 , 我國各級政府、企事業(yè) 單位、網(wǎng)絡公司等陸續(xù)設(shè)立自己的網(wǎng)站 , 電子商務也正以前所未有的速度迅速發(fā)展 , 但許多應用系統(tǒng)卻處于不設(shè)防狀態(tài) , 存在著極大的信息安全風險和隱患。我國的銀行系統(tǒng)、政府部門、企業(yè)等全都處在信息化和網(wǎng)絡化建設(shè)進程中 , 卻沒有采取有效的安全措施保證網(wǎng)絡的安全。基礎(chǔ)信息產(chǎn)業(yè)嚴重依靠國外。我國的信息化建設(shè)基本上是依賴國外技術(shù)設(shè)備裝備起來的 , 自主開發(fā)的網(wǎng)絡安全產(chǎn)品很少。 在國際財團涌入我國信息市場、大舉推銷電子信息設(shè)備之時 , 我們卻在相對缺乏知識和經(jīng)驗的情況下 , 存在著一些花錢買淘汰技術(shù)和不成熟技術(shù)的現(xiàn)象 , 這其中就潛 伏著信息安 18 全隱患的極大危險。我們的計算機軟件也同樣面臨受制于人的威脅。 雖然我國的計算機制造業(yè)有很大的進步 , 但其中許多核心部件都是原始設(shè)備制造商提供的 , 我們的研發(fā)、生產(chǎn)能力很弱。我們的計算機軟件還面臨市場壟斷和價格歧視的威脅。國外廠商幾乎壟斷了我國計算機軟件的基礎(chǔ)和核心市場特別是操作系統(tǒng)。 信息安全管理機構(gòu)權(quán)威性不夠。 目前 , 國家經(jīng)濟信息安全管理條塊分割、各行其是、相互隔離 , 極大地妨礙了國家有關(guān) 法規(guī)的貫徹執(zhí)行 , 難以防范境外情報機構(gòu)和“黑客”的攻擊。國家在信息安全問題上缺乏專門的權(quán)威性機構(gòu)。與信息 安全相關(guān)的民間管理機構(gòu)與國家信息化領(lǐng)導機構(gòu)之間還沒 有充分溝通協(xié)調(diào)。另外 , 計算機犯罪屢有發(fā)生 , 我國從 1986 年發(fā)現(xiàn)第一件銀行計算機犯罪案起 , 案件數(shù)量呈直線增長趨勢 , 調(diào)查表明每年計算機犯罪發(fā)案率遞增 30% 。 全社會的信息安全意識淡薄。部分人士認為我國信息化程度不高 , 更沒有廣泛聯(lián)網(wǎng) , 因特網(wǎng)用戶的數(shù)量也不多 , 信息安全事件在我國不容易發(fā)生。 另外 , 信息安全領(lǐng)域在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊伍建設(shè)等方面和迅速發(fā)展的形勢極不適應 , 只是作為信息化的研究分支立項 , 投入很少 , 和國外的差距越來越 大。 網(wǎng)絡防范常用的方法 （ 1）于外接的任何存儲設(shè)備，在連接 PC機后，首先進行殺毒。 （ 2）禁用電腦不需要的端口。 （ 3）合理配置防火墻，可以有效的抵御外網(wǎng)的攻擊 （ 4）正確配置交換機，實行交換機 MAC 地址與 IP地址的綁定。 （ 5）科學配置路由器，使用最佳的路由協(xié)議，避免網(wǎng)絡出現(xiàn)信息風暴與垃圾信息。 （ 6） 安全檢查 (身份認證 )。 （ 7） 數(shù)字簽名。 （ 8） 內(nèi)容檢查。 2. 軟件方面的防范 （ 1）對于 PC 機定期進行病毒查殺。 （ 2）不打開未經(jīng)過安全鑒定的未知文件，如 及各種格式的文件。 （ 3）安裝軟件時，首先對軟件進行查殺，確保安全后方可運行 （ 4）任何經(jīng)由網(wǎng)絡下載的軟件，文件等，必須進行病毒查殺方可進行運行、查看等 19 3. 根據(jù) TCP/IP 模型來防范各類 對于這種 TCP/IP 模型，通過相應的軟件進行配置，即可獲得比較不錯的防御效果。 4. 加密技術(shù)的使用 （ 1）對于一些機密的信息，學會使用加密機制進行發(fā)送 （ 2）科學合理 的配置自己的密碼，通過數(shù)字 +英文字母（區(qū)分大小寫）隨機組合成不少于 6位的密碼。 網(wǎng)絡防范最新發(fā)展 在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業(yè)務的需要，而具備多種安全功能，基于應用協(xié)議層防御、低誤報率檢測、高可靠高性能平臺和統(tǒng)一組件化管理的技術(shù)，優(yōu)勢將得到越來越多的體現(xiàn)， UTM(UnifiedThreatManagement，統(tǒng)一威脅管理 )技術(shù)應運而生。 從概念的定義上看， UTM 既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看，很 多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合 UTM 的概念 。而從后半部分來看， UTM 的概念還體現(xiàn)了經(jīng)過多年發(fā)展之后，信息安全行業(yè)對安全管理的深刻理解以及對安全產(chǎn)品可用性、聯(lián)動能力的深入各網(wǎng)絡層次的威脅淺析 安全關(guān)注點：該層次的安全問題主要是由提供服務所采 用的應用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括 WEB服務、 電子郵件系統(tǒng)、 FTP等，此外還包括病毒對系統(tǒng)的威脅 安全關(guān)注點：面向連接和非面向連接的攻擊 安全關(guān)注點： IP地址掃描 /欺騙 /盜用 安全關(guān)注點： MAC地址欺騙 /攻擊、 ARP欺騙 /攻擊、STP攻擊、 DHCP攻擊 安全關(guān)注點：線路的安全、物理設(shè)備的安全、機房的安 全等 TCP/IP協(xié)議棧 網(wǎng)絡中的各個設(shè)備必工作于協(xié)議棧的某個層次 20 研究。 由 于 UTM 設(shè)備是串聯(lián)接入的安全設(shè)備，因此 UTM 設(shè)備本身必須具備良好的性能和高可靠性，同時， UTM 在統(tǒng)一的產(chǎn)品管理平臺下，集防火墻、 VPN、網(wǎng)