1、焦作大学毕业设计(论文)题目 校园网网络的安全现状及对策研究 院 系 专 业 信息管理与信息系统 年 级 学生姓名 学生学号 指导教师 完成毕业设计(论文)时间 年 月 目录摘要31.0 网络安全发展历史与现状分析51.1.1因特网的发展及其安全问题51.1.2网络的开放性带来的安全问题51.2网络安全的防护力脆弱,导致的网络危机61.3网络安全的主要威胁因素61.4我国网络安全现状及发展趋势72.0 校园网网络概述82.1.1 校园网的简介82.1.2 校园网概念82.1.3校园网有什么作用83.0 校园网的网络构成103.1校园网网络体系结构概述103.2校园网系统功能构成103.3 校园
2、的应用管理平台123.4 典型校园网拓扑结构123.5 校园网的建设目标134 网络安全概述144.1网络安全的含义144.2 网络安全的属性144.3 网络安全机制154.3.1 网络安全技术机制154.3.2 网络安全管理机制155.0 校园网存在的安全隐患165.1 危害校园网安全的内部因素165.1.1 软硬件自身存在的漏洞165.1.2 设置上的失误165.1.3 管理上的漏洞175.2 危害校园网安全的外部因素175.2.1 网络黑客的侵入175.2.2 计算机病毒的破坏176.0 校园网网络安全对策分析196.1网络攻击的概念196.2 校园网络安全对策概述196.2.1 网络安
3、全系统对策的制定196.2.2 校园网络安全的设计原则206.3 校园网络安全体系结构设计206.3.1 设计校园网络安全体系的原则216.3.2 校园网络安全体系的设计内容216.4 解决校园网安全问题的主要方法216.4.1 防火墙部署216.4.2 备份与恢复226.4.3 入侵检测(IDS)236.4.4 计算机病毒防范246.4.5 漏洞扫描247.0 其他网络安全解决方案267.1关闭不必要的端口267.2 巩固安全策略26结语28参考文献30摘要随着计算机和网络技术的迅猛发展,互联网成了人们快速获取,发布,传递信息的重要途径。计算机网络已渗透到社会的各个领域。各行各业都处在网络化
4、和信息化的建设过程中。所以计算机网络在人们的生活,经济,和政治上发挥着重要的作用。随着网络的逐步普及,校园网络的建设是学校向信息化发展的必然选择,校园网网络系统是一个非常庞大而复杂的系统,它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统,但是同时校园网还面临各种安全威胁本论文从计算机网络面临的各种安全威胁,系统地介绍网络安全技术。并针对校园网络的安全问题进行研究,首先分析了高校网络系统安全的隐患,然后从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略。本次论文研究中,我首先了解了网络安全问题的主要威
5、胁因素,并利用网络安全知识对安全问题进行剖析。其次,通过对网络技术的研究,得出校园网也会面临着安全上的威胁。最后,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。关键词:网络安全,安全防范,校园网,校园网安全1.0 网络安全发展历史与现状分析1.1.1因特网的发展及其安全问题随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息
6、处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。主要表现在以下方面: 1.1.2网络的开放性带来的安全问题Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略、管理和技术被研究和应用。然而,即使在使用了现有的安全工具和技术的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以包括为以下几点:(1) 安全机制在特定环境下并非万无一失。比如防火墙,它虽然是一种有效的安全工具,可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的
7、访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。(2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,Windows NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对Windows NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
8、(3)系统的后门是难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。(4) BUG难以防范。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序
9、设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。(5)黑客的攻击手段在不断地升级。安全工具的更新速度慢,且绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应迟钝。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。 1.2网络安全的防护力脆弱,导致的网络危机(1)根据Warroon Research的调
10、查,1997年世界排名前一千的公司几乎都曾被黑客闯入。 (2) 据美国FBI统计,美国每年因网络安全造成的损失高达75亿美元。 (3) Ernst和Young报告,由于信息安全被窃或滥用,几乎80%的大型企业遭受损失。 (4)最近一次黑客大规模的攻击行动中,雅虎网站的网络停止运行3小时,这令它损失了几百万美金的交易。而据统计在这整个行动中美国经济共损失了十多亿美金。由于业界人心惶惶,亚马逊(A)、AOL、雅虎(Yahoo!)、eBay的股价均告下挫,以科技股为主的那斯达克指数(Nasdaq)打破过去连续三天创下新高的升势,下挫了六十三点,杜琼斯工业平均指数周三收市时也跌了二百五十八点。1.3网
11、络安全的主要威胁因素(1)软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。(2)配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。(3)安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(4)病毒:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计
12、算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。(5)黑客:对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。1.4我国网络安全现状及发展趋势因特网在我国的迅速普及,我国境内信息系统的攻击事件也正在呈现快速增长的势头。据了解,从1997年底到现在,我国的政府部门、证券公司、银行、ISP, ICP等机构的计算机网
13、络相继遭到多次攻击。因此,加强网络信息安全保障已成为当前的迫切任务。 目前我国网络安全的现状和面临的威胁主要有:(1)计算机网络系统使用的软、硬件很大一部分是国外产品,我们对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。(2)全社会的信息安全意识虽然有所提高,但将其提到实际日程中来的依然很少。(3)目前关于网络犯罪的法律、法规还不健全。 (4)我国信息安全人才培养还不能满足其需要。2.0 校园网网络概述技术的不断发展,网络安全已成为一个不可忽视的问题。伴随着高校校园数字化的不断深入,校园网安全越来越成为人们关注的焦点之一。本章系统地论述了计算机网络技术的发展以及当前网络安
14、全所面临的主要问题,校园网的发展状况,校园网的拓扑结构,功能结构,校园网的建设目标等内容。2.1.1 校园网的简介随着网络技术的发展和网络应用的普及,校园网在国内高等学校中已经开始普及。并且随着国内高校的教学发展,高校应用水平的提高,高等学校校园网的整体水平和层次有了不小的提高。 2.1.2 校园网概念校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。第一,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带 、具有交互功能和专业性强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。如
15、果一所学校有多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。第二,校园网应具有教务、行政和总务管理功能。2.1.3校园网有什么作用(1) 信息传递这是校园网络最基本的功能之一,用来实现电脑与电脑之间传递各种信息,使分散在校园内不同地点的电脑用户可以进行集中的控制管理。在校务部门建立网络服务器,可以为整个校园网络提供各类教学资源 (2) 资源共享l信息资源共享。通过接入DDN或ISDN,很容易将校园网连接到internet,这样,网络内的各电脑终端不但可以互通信息资源,而且可以享受网络服务器上的相关数据及internet网上取之不尽,用之不竭的巨大信息资源,校园网
16、在教学活动中的作用也将成倍地增强 (3) 网上资源提高教学质量,方便教学以往传统的教学手段已经不能够满足时代进步的需要,如何把课本里的东西,变得生动、形象,在以前是很难的,但现在就不算什么,依靠信息技术,从互联网我们可以找到教学资源,并可应用到教学中。网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的。校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境。这样的教学方式,大大提高了学生的学习兴趣,教学效果好,老师也就提高了教学的质量,
17、真是一举二得。3.0 校园网的网络构成校园网的网络构成可以按照不同的标准来区分,通常可以按照网络的拓扑和网络的功能分为校园网的体系机构和校园网的功能结构。 3.1校园网网络体系结构概述(1)校园网基础设施建设是我们数字化校园的基础,它的建设水平和效果直接影响到我们运行在校园网上的服务,影响到全校的教学、科研甚至影响到师生的日常生活。校园网的建设包括根据自身的应用需求和特点进行校园网的体系结构的设计,相关技术设备的选择,网络出口包括设备之间拓扑关系的确定、集成、调试,应用建设等关键环节,在这些环节当中也包含着对校园网络安全的考虑与设计。(2)网络体系结构是关于如何构建网络的技术,它包括两个层次的
18、内涵。一是要标识出网络系统由哪些部分组成,清晰地描述出各个部分的目的、功能和特点。二是要描述网络各组成部分之间的关系,如何将各部分有机地结合在一起,形成完整的网络系统,从而保证网络有效地运行,也就是将各部分进行集成的方式。(3)校园网安全策略的制定和实施是以各高校校园网的基础体系结构和网络应用具体情况为依据和实施基础的。因此在制定各高校的网络安全策略和实施具体的安全策略之前,透彻分析校园网体系结构,网络拓扑结构,网络的路由策略,网络的区域划分,IP及VLAN的规划,网络访问策略,各应用系统的功能服务对象,访问限制等等是非常有必要的,其性能直接影响到网络安全策略的实施效果。3.2校园网系统功能构
19、成校园网作为校园网络信息平台应该由一个平台和三个系统构成,即系统管理平台、校园公共信息系统、校园管理信息及办公自动化系统、校园教学资源库系统。见下图1-1校园公共信息系统校园管理信息系统 办公自动化系统教学资源库系统校园BBS校园聊天室校园大事记通知公告信息发布资料管理电子图书馆远程教育系统多媒体教学系统管理 权限管理校园系统管理平台教务管理成绩管理学籍管理课程注册管理生活管理就业管理电子邮件公文管理个人信息管理讨论区后勤管理人事管理图1-1 校 园网系统功能结构图 3.3 校园的应用管理平台(1)校园应用系统管理平台是一个安全性好、易管理、可靠性高的操作平台。在此平台上可轻松的实现系统备份和
20、恢复、用户权限的设置、用户注册以及资源的调整、初始化等管理工作。通过使用Intranet/Internet技术实现了与Internet的无缝连接。(2)教学资源库系统提供一致的资源管理和使用方式,实现简便精确的资源获取与检索,全面支持教学应用,包括对各类教学软件库、教学网络平台、电子阅览室等资源的分类、检索和管理、多媒体教学、远程教育等功能。(3)校园管理信息系统用于支持学校日常管理的各项工作。用户通过使用人事管理、教育教学管理、后勤管理、教学资源与应用平台、图书馆管理、生活管理等多个功能子系统可以方便快捷地处理各种复杂数据操作和文字录入,完成各种校园信息数据的有效管理。 3.4 典型校园网拓
21、扑结构校园网的网络体系结构包括校园网的网络边界设备,核心及骨干设备,网络接入层设备,网络服务提供设备和这些设备的连接方式以及该结构采用的协议及技术。当前的校园网多采用1000M以太网主干技术,1000M或100M到楼,100M或10M到桌面,部分区域采用无线接入技术(802.11)实现无线接入。校园网络一般有边界路由器,高性能的核心路由交换机,各分布层的三层路由交换机,大量的二层可网管接入交换机,以及防火墙,内容过滤系统,流量分析系统,网络设备管理系统等网络硬件设备。校园网多采用星形拓扑结构。常见的校园网拓扑结构如图1-2图1-2 校园网拓扑结构 3.5 校园网的建设目标网络安全是抵御内外部各
22、种形式的威胁,以保证网络安全的过程。为了深入理解什么是网络安全,必须理解网络安全目的是在保护网络上所面临的威胁,理解一个能够用于阻止这些攻击的主要机制也是很重要的。通常,在网络上实现最终的安全目标可通过下面的步骤完成,每一步都是为了澄清攻击和阻止攻击的保护方法之间的关系。下面的步骤是在一个站上建立和实现安全的方法:第1步:确定要保护的是什么;第2步:决定尽力保护它免于什么威胁;第3步:确定威胁的可能性;第4步:以一种划算的方法实现保护资产的目的;第5步:不断地检查这些步骤,每当发现一个弱点就进行改进。校园网络系统需要实现以下安全目标:(1)防范网络资源的非法访问及非授权访问;(2)保护信息通过
23、网上传输过程中的完整性、机密性。(3)保护网络系统的可用性;(4)防御入侵者的恶意破坏与攻击;(5)保护网络系统服务的连续性;4 网络安全概述 4.1网络安全的含义网络安全从其本质来讲就是网络上信息安全,它涉及的领域相当广泛,这是因为目前的公用通信网络中存在着各式各样的安全漏洞和威胁。广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性和可控性的相关技术和理论,都是网络安全的研究领域。网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。且在不同环境和应用中又不同的解释。(1)运行系统安全:即保证信息处理和传输系统的安全,
24、包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。(2)网络上系统信息的安全:包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。(3)网络上信息传输的安全:即信息传播后果的安全、包括信息过滤、不良信息过滤等。(4)网络上信息内容的安全:即我们讨论的狭义的“信息安全”;侧重于保护信息的机密性、真实性和完整性。本质上是保护用户的利益和隐私。4.2 网络安全的属性网络安全具有三个基本的属性:机密性、完整性、可用性。 (1)机密
25、性:是指保证信息与信息系统不被非授权者所获取与使用,主要 范措施是密码技术。(2)完整性:是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。 以上可以看出:在网络中,维护信息载体和信息自身的安全都包括了机密性、完整性、可用性这些重要的属性4.3 网络安全机制 网络安全机制是保护网络信息安全所采用的措施,所有的安全机制都是针对某些潜在的安全威胁而设计的,可以根据实际情况单独或组合使用。如何在有限的投入下合理地使用安全机制,以便尽可能地降低安全风险,是值得讨论的,网络信息安全机制应包括:技术机制和管理机制两方面的内容。4.3.1 网络安全技术机制
26、网络安全技术机制包含以下内容:(1)加密和隐藏。加密使信息改变,攻击者无法了解信息的内容从而达到保护;隐藏则是将有用信息隐藏在其他信息中,使攻击者无法发现。 (2)认证和授权。网络设备之间应互认证对方的身份,以保证正确的操作权力赋予和数据的存取控制;同时网络也必须认证用户的身份,以授权保证合法的用户实施正确的操作。 (3)审计和定位。通过对一些重要的事件进行记录,从而在系统中发现错误或受到攻击时能定位错误并找到防范失效的原因,作为内部犯罪和事故后调查取证的基础。 (4)完整性保证。利用密码技术的完整性保护可以很好地对付非法篡改,当信息源的完整性可以被验证却无法模仿时,可提供不可抵赖服务。 (5
27、)权限和存取控制:针对网络系统需要定义的各种不同用户,根据正确的认证,赋予其适当的操作权力,限制其越级操作。 (6)任务填充:在任务间歇期发送无用的具有良好模拟性能的随机数据,以增加攻击者通过分析通信流量和破译密码获得信息难度。4.3.2 网络安全管理机制网络信息安全不仅仅是技术问题,更是一个管理问题,要解决网络信息安全问题,必须制定正确的目标策略,设计可行的技术方案,确定合理的资金技术,采取相应的管理措施和依据相关法律制度。5.0 校园网存在的安全隐患 校园网在学校的日常事务中发挥着重要的作用,与此同时,校园网的安全问题也越来越突出,黑客入侵、网络病毒、管理不善等原因使得校园网络面临着严重的
28、威胁。 5.1 危害校园网安全的内部因素在校园网所面临的威胁当中,内部因素是一个重要的方面,这其中既包括软硬件自身存在的缺陷,也包括管理者的管理水平等主观方面的因素。 5.1.1 软硬件自身存在的漏洞来自硬件系统的安全威胁。一方面是指物理安全,主要是由于网络硬件设备的放置不合适或者防御措施不得力,使得服务器、工作站、交换机、路由器等网络设备,光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受雷电、水、火意外事故或人为破坏等等而造成的校园网不能正常使用。另一方面是指设置安全,主要是在设备上进行必要的设置,防止黑客取得硬件设备的远程控制权等。硬件系统安全是制订校园网安全整体解决方案时首先应考虑
29、的问题。系统安全漏洞是指系统在设计时没有考虑到的缺陷,特别是操作系统,因为这些软件一般都比较的复杂、庞大,有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在,使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者对系统漏洞进行攻击,入侵成功后将获得系统的相应权限,进而盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝大多数都是使用Windows2000/XP操作系统,而Windows操作系统是不太安全的。因为Windows操作系统的漏洞比较多,由Windows操作系统漏洞引发的不安全问题时有发生。 5.1.2 设置上的失
30、误合理规划配置设施是校园网发挥作用的关键。在校园网规划时,应考虑长远,因为一旦综合布线、设备配置完成后再进行调整就可能需要再重新设计网络结构,很多地方需要重新布线,网络设备也需要重新设置,这样既浪费人力,物力,也会影响到教学。对于一些重要的场所,例如图书馆、电子阅览室、资料室、电脑室、多媒体制作室、教室、办公室等应多设信息点。同时网络集成公司的技术实力、施工质量及其五花八门的解决方案大多是自吹自擂,并没有通过权威部门的评审、鉴定,致使网络市场处于一种比较混乱的局面。 5.1.3 管理上的漏洞管理是信息网络安全中最重要的部分。管理混乱、责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安
31、全的风险,主在体现在以下几点:(1)机房出入管理不严格,使入侵者能够接近重要设备而带来信息安全风险;(2)一些心怀不满的内部员工,由于熟悉服务器、小程序、脚本和系统的弱点,进行如:复制、删除数据等非法数据操作,造成极大的安全风险;(3)内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人,带来信息泄漏风险;(4)当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的报告、监控、检测与预警。同时,当事故发生后,也无法提供攻击者攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。建立全新网络安全机制,必须深刻理解网络并能提
32、供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。 5.2 危害校园网安全的外部因素虽然内部因素威胁着校园网的安全,但是在绝大多情况下,黑客入侵,网络病毒等外部因素对网络也构成较大威胁。 5.2.1 网络黑客的侵入 “黑客”一词是由英语Hacker英译出来的,是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生并成长。黑客对计算机有着狂热的兴趣和执着的追求,他们不断地研究计算机和网络知识,发现计算机和网络中存在的漏洞,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。 由于校园网规模巨大,各种设备系统差异有很大差异,
33、给管理带来了较大的挑战,同时也成为黑客攻击的对象。5.2.2 计算机病毒的破坏一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站)。计算机病毒一般首先通过多种途径入侵到有盘工作站,也就进入网络,然后开始在网上的传播。具体地说,其传播方式有以下几种。(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;(2)病毒先传染工作站,在工作站内存驻留,病毒运行时直接通过映像路径传染到服务器中;(3)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件
34、服务器,就可通过它迅速传染到整个网络的每一个计算机上。 5.3 校园网安全防御与应急关键设备技术(1)防火墙及技术。它为网络通信、数据传输提供更有保障的安全性。分为包过滤防火墙(检查每个IP包的字段,如源地址、目标地址、端口等 );状态检测防火墙(动态检查网络连接和包);应用程序代理防火墙(与特定应用程序配合使用)。防火墙性能:最大带宽、并发连接数、每秒新增连接数、丢包和延迟;自身安全性。(2)入侵检测与防御及技术。它能及时发现网络异常行为,并阻止其进一步发展。入侵检测技术包括以下几种:基于误用检测技术(检测与异常规则相匹配的网络行为);基于异常检测技术(检测偏离了正常规则的网络行为)。入侵检
35、测核心技术:模式匹配、基于统计方法、预测模式生成等。防火墙性能:降低误报率、漏报率。(3)防御病毒及技术。它能及时发现病毒,并清除,阻止病毒进一步传播、扩散。防病毒核心技术有:特征代码匹配、病毒特征自动发现、启发式搜索等,防病毒产品有:Norton、金山毒霸、瑞星杀毒软件等。(4)内容过滤及技术。它能阻止不健康、反动信息的复制、传播。过滤方法有:基于关键字、权重关键字、基于URL的过滤;基于文字内容的深度搜索;一般在防病毒网关、反垃圾邮件系统中集成。(5)反垃圾邮件及技术。它能过滤、阻止大量的非正常的电子邮件。反垃圾邮件机理:IP地址、域名、邮件地址黑白名单方式;基于垃圾邮件行为模式识别模型;
36、基于信头、信体、附件的内容过滤方式;反垃圾邮件产品有:防垃圾邮件网关;防垃圾邮件防火墙。根据本章所提出的校园网所面临的安全威胁,我们除了选取良好的拓扑结构外, 一般还要注意安全保密, 以防止信息的非授权访问;注意其可用性, 使计算机的硬件和软件保持有效的运行, 并且系统在发生灾难时能够快速完全地恢复;要注意数据的完整性与精确性, 使信息在存储或传输过程中不被破坏、丢失或不被未经授权的恶意或偶然的修改。要防止侵袭者通过非法途径进入计算机系统, 偷盗有用的数据信息, 重点保护系统中容易被攻击的脆弱点。根据目前的技术水平, 我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等安全措施来加以
37、防范。6.0 校园网网络安全对策分析校园网安全问题愈来愈突出的同时,校园网安全的对策也越来越引起人们的注意。本章重点讨论校园网的安全对策,并在此基础上简要地说明校园网安全体系结构的建 以及校园网网络安全体系的内容,校园网安全问题对策所用到的关键技术。6.1网络攻击的概念校园网的网络攻击主要来自internet中,所以对网络的攻击可以分为两种基本的类型,即服务攻击与非服务攻击。(1)服务攻击指对为网络提供某种服 的服务器发起攻击,遭成该网络的“拒绝服务”,使网络工作部正常。拒绝服务攻击将会带来消耗带宽、消耗计算资源、使系统和应用崩溃等后果,它是阻止针对某种服务的合法使用者访问他有权的服务。(2)
38、非服务攻击 非服务攻击是针对网络层等低层协议进行的,攻击者可能使用各种方法对网络通信设备发起攻击,使得网络通信设备工作严重阻塞或瘫痪,导致一个局域网或更多的网布能正常工作。与服务攻击相比,非服务攻击与特定服务无关,它往往利用协议或操作系统实现协议时的漏洞来达到目的。(3)非授权访问 非授权访问是指存储在联网计算机中的信息或服务被未授权的网络用户非法使用,或者被授权用户越权滥用。 6.2 校园网络安全对策概述随着网络应用的开展,要建立一个安全的网络体系,首先应花较大的精力制定周密的网络安全策略。在网络安全的实施中,技术只是手段,还应该先对网络安全管理有个清晰的概念,然后制定安全策略,最后才是选择
39、合适的产品用以具体实施和构建安全系统。要建设一个安全的网络安全体系,必须采取相应的对策,根据实际的需求不同,采取的策略可能有一些不同之处,但大都包括下述策略。 6.2.1 网络安全系统对策的制定物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备有一个良好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进行破坏活动。最小授权原则指网络中账号设置服务配置主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必
40、要的账号等措施可以将系统的危险性大大降低。采用网络隔离手段可有效减小信息的传播面,从而增加信息的安全性。应根据业务划分、保密要求等因素的差异将网络进行分段隔离,它可从底层有效地控制信号传播途径及传播范围,实现更为细化的安全控制体系,将攻击和入侵造成的威胁限制在较小的子网内,提高网络整体的安全水平。路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。在经费允许范围内,尽可能选用安全级别较高的网络操作系统及数据库系统,以安全套件加固TCP/IP各层。如因受客观条件限制,难以对网络操作系统及数据库系统进行选择,则其他核心软件,如防火墙、入侵检测、网络安全漏洞扫描软件等应尽可能地选用经国家
41、网络安全权威机构评审通过的优秀国产软件。在网络安全中,除了采用技术措施之外,制定有关规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由于一个较小的让步,最后使整个系统的崩溃。因此,严格执行安全管理制度是网络可靠运行的重要保障。 6.2.2 校园网络安全的设计原则校园网覆盖整个校区,在网络性能上应该考虑以下几项要求:数据处理、通信处理能力强,响应速度快。网络运行的安全性、可靠性高。网络能够容易得进行扩容、升级和管理。
42、主干网的带宽要高,可以支持多媒体等视频业务的开展和满足数据流量不断增长的要求。此外,在校园网建设的具体实施中需要注意的设计原则包括:(1)强调实用性、并尽可能达到性能价格比最优化;(2)尽量采用先进、成熟的组网技术;(3)坚持开放型,采用国际标准和通用标准;(4)统一规划、分布实施。 6.3 校园网络安全体系结构设计构建安全高效的校园网络是校园网建设的目标之一,校园安全体系结构的建设是其中的重要一环安全体系设计的好坏是校园网成败的关键。6.3.1 设计校园网络安全体系的原则根据网络安全性设计的要求设计网络安全体系时应遵循安全性、可行性、高效性、可承担性等原则,分别阐述如下:(1)安全性:设计网
43、络安全体系的最终目的是为保护信息与网络系统的安全,所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。(2)可行性:设计网络安全体系不能单纯地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。(3)高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。(4)可承担性:网络安
44、全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由学校来支持,要为此付出一定的代价和开销。如果我们付出的代价比从安全体系中获得的利益还要多,那么我们就不该采用这个方案。 6.3.2 校园网络安全体系的设计内容一个完整的安全体系应该包含五个安全层面,分别为数据保密层、应用层、用户层、系统层和网络层。数据保密层重点关注应用层的数据安全,因而在数据保密层优先考虑数据加密算法;应用层的重点是网络应用中的存取控制和授权;在用户层,校园网络安全体系的主要内容包括用户的管理、登录、认证;而系统层侧重与操作系统的防病毒,入侵检测,审计分析;网络层针对网络底层数据的通讯安全提出解决方案。6
45、.4 解决校园网安全问题的主要方法解决校园网安全问题的主要方法包括防火墙、备份与恢复、入侵检测、病毒防御、虚拟专用网、漏洞扫描等。6.4.1 防火墙部署防火墙指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。防火墙根据功能可以分成个人防火墙和网络防火墙,根据实现方法可以分成硬件防火墙和软件防火墙,根据结构可以分成包过滤、状态检测,状态包过滤防火墙。 图3-1 典型防火墙结构 网络防火墙用以保护企业网络等较大的复杂网络,以处理更多的用户。软件防火墙和硬件防火墙是个相对概念,基本上,所有的防火墙都需要软件的处理部分。硬件防火墙指的是将防火墙软件和特定硬件平台集成在一起的应用。软件防火墙则是指对底层硬件没有特殊要求,可以安装在Windows、Unix系统直接使用的防火墙。根据防火墙的工作原理,所有的防火墙从体系结构上都可以分为数据获取、应用处理和数据传输三大部分。通常情况下,数据获取和数据传输是由软、硬件两部分共同实现的。其中,硬件部分一般是防火墙设备的网络接口设备;数据获取的软件部分是负责将硬件获取的网络通讯信息从网络接口设备的缓冲区传送到操作系统