1 引言

在國家實施科教興國戰略的背景下，校園網絡已經成為職業院校的必備硬件基礎，是衡量職業院校教育現代化、信息化的重要標志。
目前，大多數有條件的職業院校在校園網硬件工程建設投入巨資。校園網為職業院校的教學、科研、行政辦公搭建了一個信息平臺，并產生了明顯的效果。

2 APPDRR網絡安全模型

APPDRR（全網動態安全理論）網絡安全模型是一種動態，自適應的現代網絡安全模型，[1] 即：網絡安全 = 風險分析 + 制定策略 + 系統防護 + 實時監測 + 實時響應 + 災難恢復，本文是基于 APPDRR 模型的風險分析指導下展開的。
風險分析是 APPDRR 模型的重要組成部分，通過對資產、脆弱性和威脅，綜合評估分析網絡所面臨的風險，對所發現的風險提出相應的處理意見和安全建議，并指導下一步的網絡安全建設。

3 職業院校網絡風險分析

職業院校網絡面臨著諸多的問題，首先是規劃建設并不是一步到位的，是經過不斷升級改造后才形成的規模。安全設備品牌種類不一，在功能和處理能力上存差別，有的職業院校管理的重點側重于網絡邊界和主機安全等方面，但是在校園網絡的運行過程中，所出現的的威脅，大量集中在應用層攻擊、網絡資源濫用和基于二層的網絡攻擊。
本文從鏈路層、網絡層、操作系統、應用層和網絡管理等 6 個方面，對職業院校網絡所面臨的風險作一個粗略的分析。

3.1 數據鏈層的安全

數據鏈層位于物理層和網絡層之間，數據鏈層受到的破壞會直接作用到其他各層。數據鏈層的安全隱患又容易被忽略，數據鏈層的安全問題有：MAC 地址泛洪攻擊、ARP 攻擊、存取控制地址欺騙、VLAN 攻擊、VTP 攻擊和 VLAN 跳躍攻擊。

3.2 網絡層的安全

網絡層處于數據鏈層和傳輸層之間，是網絡體系結構中的第三層，TCP/IP 協議族中最核心的 IP 協議就在網絡層，廣泛應用的TCP、UDP、IGMP 及 ICMP 數據包，都以 IP數據報文形式傳輸。網絡層封裝 IP 數據包，并路由轉發，解決機器之間的通信問題。網絡層常見安全問題有：明文傳輸面臨的威脅、IP地址欺騙、源路由欺騙和 ICMP 攻擊。

3.3 傳輸層的安全

傳輸層在 OSI 模型中起著關鍵作用，負責端到端可靠的交換數據傳輸和數據控制。在傳輸層使用最廣泛的有兩種協議：傳輸控制協議和用戶數據報協議。傳輸層常見安全問題有：TCP"SYN" 攻擊、Land 攻擊、TCP 會話劫持和端口掃描攻擊。

3.4 操作系統的安全

目前在職業院校，除了服務器是使用UNIX、Linux 外，其 它工作站基本是使用微軟操作系統，存在以下風險。
（1）安全隱患的產生，主要是操作系統配置不合理，例如：沒有管理員口令，用戶弱口令，未刪除和禁用不必要的帳號，設置完全共享的目錄、沒有防病毒軟件、不合理的訪問控制，資源共享的訪問權限配置不當等。
（2）操作系統的正常運行需要很多系統服務支撐，這些系統服務向用戶和應用程序提供功能接口，有些是操作系統正常運行必需的，有些則是不必要的。不必要的服務不僅會占用系統資源，還會給操作系統帶來安全威脅。如果用戶不知道自已的操作系統，哪些服務是可以訪問網絡的，就容易被入侵者利用。

3.5 業務應用的安全

職業院校為了滿足科研、教學、辦公的需要，校園網搭建了很多網絡應用系統，如：
信息發布、教務管理、辦公自動化、圖書管理等。這些應用系統很重要，但也存在風險如下：
（1）身份認證：操作系統和應用系統為了保證安全，采取了身份認證措施，這些機制各有特點，但是入侵者仍可以利用網絡竊聽、非法數據庫訪問、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識淡薄，使用系統默認或者弱密碼，并且長期不改動，形同虛設。
（2）WEB 服務：WEB 服務是學校用于對外宣傳、開展網絡遠程教學的重要手段，應用極其普遍，使得 Web 服務經常成為非法攻擊的首選目標。存在的安全隱患較多，網頁代碼本身就存在后門和一些缺陷，比如 IIS 漏洞、ASP 的上傳漏洞、SQL 注入、緩沖區溢出等。入侵者一旦攻陷 WEB 服務器，可以把 WEB服務器作為跳板，通過中間件或數據庫連接部件，非法訪問學校內部應用系統和數據庫，并可利用網頁腳本訪問本地文件系統和網絡系統中其它資源。
（3）數據庫：數據庫是信息系統的核心，校園網內的業務應用依賴于各種數據庫系統，保證數據的安全和完整，正確配置數據庫系統顯得至關重要。數據庫是個復雜的系統。非專業人員是無法正確配置數據庫系統的。關系型數據庫是可從端口尋址的，通過查詢工具就可建立與數據庫的連接，例如通過 TCP1521 和1526 端口，就能侵入一個弱防護的數據庫；數據庫運行過程中，出現的錯誤信息，可以泄漏數據庫結構，分析這些信息就能實施攻擊。
（4）網絡資源共享：為了工作方便，內部人員經常會使用網絡共享，如果沒有對資源共享，作必要的訪問控制策略，重要的數據信息，就無防護地暴露在網絡中。

3.6 網絡管理的安全

安全管理對于有一定規模的職業院校網絡來說是極其重要的。如果沒有相應制度約束，就會帶來風險：網絡管理人員把校園網絡結構、系統的一些重要信息傳播給外人，會造成信息泄漏；密碼和密鑰管理風險，管理員賬戶及密碼被外人竊??；在約束缺失的情況下，利用網絡和系統的弱點，實施入侵、修改、刪除數據等非法行為；審計不力或無審計，當網絡受到攻擊或其它威脅時，沒有相應的檢測、監控、報告與預警機制。事件發生后，不能提供任何記錄，無法追蹤線索，缺乏對網絡的可控和可審查性。

4 結束語

綜上 , 為了把職業院校網絡建成一個全方位、多層次的網絡安全防范體系 , 從根本上解決校園網絡內外部對網絡安全造成的威脅 , 首先我們得作風險分析，發現風險，并提出相應的意見和建議，并指導下一步的網絡安全建設。

參考文獻。
[1] 彭飛 , 龍敏 . 計算機網絡安全 [M]. 北京：清華大學出版社 ,2013.