1数据链层的安全
数据链层位于物理层和网络层之间,数据链层受到的破坏会直接作用到其他各层。数据链层的安全隐患又容易被忽略,数据链层的安全问题有:MAC地址泛洪攻击、ARP攻击、存取控制地址欺骗、VLAN攻击、VTP攻击和VLAN跳跃攻击。
2网络层的安全
网络层处于数据链层和传输层之间,是网络体系结构中的第三层,TCP/IP协议族中最核心的IP协议就在网络层,广泛应用的TCP、UDP、IGMP及ICMP数据包,都以IP数据报文形式传输。网络层封装IP数据包,并路由转发,解决机器之间的通信问题。网络层常见安全问题有:明文传输面临的威胁、IP地址欺骗、源路由欺骗和ICMP攻击。
3传输层的安全
传输层在OSI模型中起着关键作用,负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议:传输控制协议和用户数据报协议。传输层常见安全问题有:TCP"SYN"攻击、Land攻击、TCP会话劫持和端口扫描攻击。
4操作系统的安全
目前在职业院校,除了服务器是使用UNIX、Linux外,其它工作站基本是使用微软操作系统,存在以下风险。(1)安全隐患的产生,主要是操作系统配置不合理,例如:没有管理员口令,用户弱口令,未删除和禁用不必要的帐号,设置完全共享的目录、没有防病毒软件、不合理的访问控制,资源共享的访问权限配置不当等。(2)操作系统的正常运行需要很多系统服务支撑,这些系统服务向用户和应用程序提供功能接口,有些是操作系统正常运行必需的,有些则是不必要的。不必要的服务不仅会占用系统资源,还会给操作系统带来安全威胁。如果用户不知道自已的操作系统,哪些服务是可以访问网络的,就容易被入侵者利用。
5业务应用的安全
职业院校为了满足科研、教学、办公的需要,校园网搭建了很多网络应用系统,如:信息、教务管理、办公自动化、图书管理等。这些应用系统很重要,但也存在风险如下:(1)身份认证:操作系统和应用系统为了保证安全,采取了身份认证措施,这些机制各有特点,但是入侵者仍可以利用网络窃听、非法数据库访问、穷举攻击、重放攻击手段获取口令。用户安全意识淡薄,使用系统默认或者弱密码,并且长期不改动,形同虚设。(2)WEB服务:WEB服务是学校用于对外宣传、开展网络远程教学的重要手段,应用极其普遍,使得Web服务经常成为非法攻击的首选目标。存在的安全隐患较多,网页代码本身就存在后门和一些缺陷,比如IIS漏洞、ASP的上传漏洞、SQL注入、缓冲区溢出等。入侵者一旦攻陷WEB服务器,可以把WEB服务器作为跳板,通过中间件或数据库连接部件,非法访问学校内部应用系统和数据库,并可利用网页脚本访问本地文件系统和网络系统中其它资源。(3)数据库:数据库是信息系统的核心,校园网内的业务应用依赖于各种数据库系统,保证数据的安全和完整,正确配置数据库系统显得至关重要。数据库是个复杂的系统。非专业人员是无法正确配置数据库系统的。关系型数据库是可从端口寻址的,通过查询工具就可建立与数据库的连接,例如通过TCP1521和1526端口,就能侵入一个弱防护的数据库;数据库运行过程中,出现的错误信息,可以泄漏数据库结构,分析这些信息就能实施攻击。(4)网络资源共享:为了工作方便,内部人员经常会使用网络共享,如果没有对资源共享,作必要的访问控制策略,重要的数据信息,就无防护地暴露在网络中。
6网络管理的安全
安全管理对于有一定规模的职业院校网络来说是极其重要的。如果没有相应制度约束,就会带来风险:网络管理人员把校园网络结构、系统的一些重要信息传播给外人,会造成信息泄漏;密码和密钥管理风险,管理员账户及密码被外人窃取;在约束缺失的情况下,利用网络和系统的弱点,实施入侵、修改、删除数据等非法行为;审计不力或无审计,当网络受到攻击或其它威胁时,没有相应的检测、监控、报告与预警机制。事件发生后,不能提供任何记录,无法追踪线索,缺乏对网络的可控和可审查性。
7结束语
综上,为了把职业院校网络建成一个全方位、多层次的网络安全防范体系,从根本上解决校园网络内外部对网络安全造成的威胁,首先我们得作风险分析,发现风险,并提出相应的意见和建议,并指导下一步的网络安全建设。
作者:袁文光 单位:长沙商贸旅游职业技术学院
