职业院校的网络安全风险分析

1、职业院校的网络平安风险分析 职业院校的网络平安风险分析 摘 要 职业院校网络迅速开展的同时，层出不穷的网络平安问题影响了校园网的正常运行。为了更好地建设职业院校园网络，本文在APPDRR模型的风险分析指导下，从职业院校网络的特点出发，探讨当前职业院校网络所面临的平安风险。 【关键词】APPDRR 风险分析 1 引言 在国家实施科教兴国战略的背景下，校园网络已经成为职业院校的必备硬件根底，是衡量职业院校教育现代化、信息化的重要标志。目前，大多数有条件的职业院校在校园网硬件工程建设投入巨资。校园网为职业院校的教学、科研、行政办公搭建了一个信息平台，并产生了明显的效果。 2 APPDRR网络平安模型

2、 APPDRR网络平安模型是一种动态，自适应的现代网络平安模型，【1】即：网络平安= 风险分析+ 制定策略+ 系统防护+ 实时监测+ 实时响应+ 灾难恢复，本文是基于APPDRR模型的风险分析指导下展开的。 风险分析是APPDRR模型的重要组成局部，通过对资产、脆弱性和威胁，综合评估分析网络所面临的风险，对所发现的风险提出相应的处理意见和平安建议，并指导下一步的网络平安建设。 3 职业院校网络风险分析 职业院校网络面临着诸多的问题，首先是规划建设并不是一步到位的，是经过不断升级改造后才形成的规模。平安设备品牌种类不一，在功能和处理能力上存差异，有的职业院校管理的重点侧重于网络边界和主机平安等方

3、面，但是在校园网络的运行过程中，所出现的的威胁，大量集中在应用层攻击、网络资源滥用和基于二层的网络攻击。 本文从链路层、网络层、操作系统、应用层和网络管理等6个方面，对职业院校网络所面临的风险作一个粗略的分析。 3.1 数据链层的平安 数据链层位于物理层和网络层之间，数据链层受到的破坏会直接作用到其他各层。数据链层的平安隐患又容易被忽略，数据链层的平安问题有： MAC 地址泛洪攻击、ARP攻击、存取控制地址欺骗、VLAN 攻击、VTP 攻击和VLAN 跳跃攻击。 3.2 网络层的平安 网络层处于数据链层和传输层之间，是网络体系结构中的第三层，TCP/IP 协议族中最核心的IP协议就在网络层，广

4、泛应用的TCP、UDP、IGMP及ICMP 数据包，都以 IP 数据报文形式传输。网络层封装 IP 数据包，并路由转发，解决机器之间的通信问题。网络层常见平安问题有：明文传输面临的威胁、IP 地址欺骗、源路由欺骗和ICMP 攻击。 3.3 传输层的平安 传输层在 OSI 模型中起着关键作用，负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议：传输控制协议和用户数据报协议。传输层常见平安问题有：TCP"SYN"攻击、Land 攻击、TCP 会话劫持和端口扫描攻击。 3.4 操作系统的平安 目前在职业院校，除了效劳器是使用UNIX、Linux外，其它工作站根

5、本是使用微软操作系统，存在以下风险。 平安隐患的产生，主要是操作系统配置不合理，例如：没有管理员口令，用户弱口令，未删除和禁用不必要的帐号，设置完全共享的目录、没有防病毒软件、不合理的访问控制，资源共享的访问权限配置不当等。 操作系统的正常运行需要很多系统效劳支撑，这些系统效劳向用户和应用程序提供功能接口，有些是操作系统正常运行必需的，有些那么是不必要的。不必要的效劳不仅会占用系统资源，还会给操作系统带来平安威胁。如果用户不知道自已的操作系统，哪些效劳是可以访问网络的，就容易被入侵者利用。 3.5 业务应用的平安 职业院校为了满足科研、教学、办公的需要，校园网搭建了很多网络应用系统，如：信息发

6、布、教务管理、办公自动化、图书管理等。这些应用系统很重要，但也存在风险如下： 身份认证：操作系统和应用系统为了保证平安，采取了身份认证措施，这些机制各有特点，但是入侵者仍可以利用网络窃听、非法数据库访问、穷举攻击、重放攻击手段获取口令。用户平安意识淡薄，使用系统默认或者弱密码，并且长期不改动，形同虚设。 WEB 效劳：WEB 效劳是学校用于对外宣传、开展网络远程教学的重要手段，应用极其普遍，使得 Web 效劳经常成为非法攻击的首选目标。存在的平安隐患较多，网页代码本身就存在后门和一些缺陷，比方 IIS 漏洞、ASP 的上传漏洞、SQL 注入、缓冲区溢出等。入侵者一旦攻陷WEB 效劳器，可以把W

7、EB 效劳器作为跳板，通过中间件或数据库连接部件，非法访问学校内部应用系统和数据库，并可利用网页脚本访问本地文件系统和网络系统中其它资源。 数据库：数据库是信息系统的核心，校园网内的业务应用依赖于各种数据库系统，保证数据的平安和完整，正确配置数据库系统显得至关重要。数据库是个复杂的系统。非专业人员是无法正确配置数据库系统的。关系型数据库是可从端口寻址的，通过查询工具就可建立与数据库的连接，例如通过 TCP1521 和 1526端口，就能侵入一个弱防护的数据库；数据库运行过程中，出现的错误信息，可以泄漏数据库结构，分析这些信息就能实施攻击。 网络资源共享：为了工作方便，内部人员经常会使用网络共享

8、，如果没有对资源共享，作必要的访问控制策略，重要的数据信息，就无防护地暴露在网络中。 3.6 网络管理的平安 平安管理对于有一定规模的职业院校网络来说是极其重要的。如果没有相应制度约束，就会带来风险：网络管理人员把校园网络结构、系统的一些重要信息传播给外人，会造成信息泄漏；密码和密钥管理风险，管理员账户及密码被外人窃取；在约束缺失的情况下，利用网络和系统的弱点，实施入侵、修改、删除数据等非法行为；审计不力或无审计，当网络受到攻击或其它威胁时，没有相应的检测、监控、报告与预警机制。事件发生后，不能提供任何记录，无法追踪线索，缺乏对网络的可控和可审查性。 4 结束语 综上， 为了把职业院校网络建成一个全方位、多层次的网络平安防范体系，从根本上解决校园网络内