1、 青岛酒店管理职业技术学院毕业论文青岛酒店管理职业技术学院毕业设计(论文)设计(论文)题目: 网络安全之校园网络规划及安全 技术 学 号: 1502100205 姓 名: 代秋霞 院 别: 信息工程技术学院 专 业: 电子商务 指导教师: 安述照 青岛酒店管理职业技术学院教务处制 2018 年 5 月 6 日 目 录摘要.。.。.。.。.。.。.。.。.。.。.。.。.。.。.。.4关键词.。.。.。.。.。.。.。.。.。.。.。.。.。.。.。.。.。4第一章 校园网网络概述。.。.。.。.。.。.。.。.。.。51.1计算机网络的发展与安全现状。.。.。.。.。.。.。.。.。.。.。5
2、 1。1。1 计算机网络的发展。.。.。.。.。.。.。.。.。.。.。5 1.1。2 计算机网络安全的现状.。.。.。.。.。.。.。.。.。61。2 校园网络安全简介.。.。.。.。.。.。.。.。.。.。.。.。.6 1。2.1 校园网概念及其问题。.。.。.。.。.。.。.。.。.。.。.。6 1。2.2 校园网的发展趋势.。.。.。.。.。.。.。.。.。.。.。.。.7 1。3 校园网的网络构成。.。.。.。.。.。.。.。.。.。.7 1。3.1 校园网网络体系结构概述。.。.。.。.。.。.。.。.。.7 1。3。2 校园网系统功能构成.。.。.。.。.。.。.。.。.。.。8
3、 1.3。3 校园应用管理平台。.。.。.。.。.。.。.。.。.。.。.。.。8 1.3。4 校园网的建设目标.。.。.。.。.。.。.。.。.。.8第二章 校园网的安全隐患。.。.。.。.。.。.。.。.。.。.。92。1 威胁校园网安全的内部因素.。.。.。.。.。.。.。.。.。92.1。1 软硬件自身的漏洞.。.。.。.。.。.。.。.。92.1.2设置上的失误.。.。.。.。.。.。.。.。.。.。.。.。.。92.1.3 管理漏洞.。.。.。.。.。.。.。.。.。.。.。.。.。.。.。.102.2 威胁校园网安全的外部因素。.。.。.。.。.。.。.。.。.。.。.。102。
4、2.1 网络黑客的入侵。.。.。.。.。.。.。.。.。.。.。.。102。2.2 计算机病毒的破坏.。.。.。.。.。.。.。.。.。.。.。.10 2。3 校园网安全防御与应急关键设备技术。.。.。.。.。.。.。.。11第三章 校园网络安全对策分析.。.。.。.。.。. 123。1 校园网络安全策略概述.。.。.。.。.。.。.。.。.。.。.。.。.。.。.123.1.1 网络安全系统策略的制定。.。.。.。.。.。.。.。.。.123。1.2 校园安全的设计原则。.。.。.。.。.。.。.。.。.。.。.。.。.133。2 校园网络安全体系结构设计。.。.。.。.。.。.。.。.13
5、3。2.1 设计校园网络安全体系的原则。.。.。.。.。.133。2.2 校园网络安全体系的设计内容.。.。.。.。.。.。.。.13 3。3 校园网建设需求分析.。.。.。.。.。.。.。.。.。143。3。1 需求分析。.。.。.。.。.。.。.。.。.。.。.。. 143。3.2 关键设备。.。.。.。.。.。.。.。.。.。.。.。.。.153。3。3 校园网络拓扑。.。.。.。.。.。.。.。.。.。.。.。.。153。4 解决校园网安全问题的关键技术.。.。.。.。.。.。.。.。.。.。153。4。1 防火墙部署.。.。.。.。.。.。.。.。.。.。.。163.4.2 虚拟专用
6、网(VPN)。.。.。.。.。.。.。.。.。.。.。.。.。.。.。.173。4.3 入侵检测(IDS).。.。.。.。.。.。.。.。.。.。.。.。.。173。4。4 计算机病毒防御.。.。.。.。.。.。.。.。.。.。.。183。4。5 漏洞扫描。.。.。.。.。.。.。.。.。.。.。.。.。183.4。6 备份与恢复.。.。.。.。.。.。.。.。.。.。.。.。.。.。.。.。183。4。7 网络管理的安全。.。.。.。.。.。.。.。.。.。.。193。4。8 组网技术。.。.。.。.。.。.。.。.。.。.。193.4.9 网络操作系统.。.。.。.。.。.。.。.。.。.
7、。.。.。.。.。.203.4.10 INTERNET 接入技术.。.。.。.。.。.。.。.。.。.。203。4。11 建网方案。.。.。.。.。.。.。.。.。.。.。.。.。.。.213.5 校园网的运行.。.。.。.。.。.。.。.。.。.。.。.。.。.233.5。1 校园网的应用。.。.。.。.。.。.。.。.。.。.243.5。2 校园网的管理.。.。.。.。.。.。.。.。.。.。.。24参考文献.。.。.。.。.。.。.。.。.。.。.。.。 24致谢.。.。.。.。.。.。.。.。.。.。.。.。.。.。2534青岛酒店管理职业技术学院毕业论文(设计)摘要 摘要:随着互联网
8、的普及和国内各高校网络建设的不断发展,目前高校大多建立了校园网,它己经成为高校信息化的重要组成部分.但随着黑客入侵的增多及网络病毒的泛滥,校园网的安全已成为不容忽视的问题,如何在开放网络的环境中保证校园网的安全性已经成为十分迫切的问题。 本文系统地介绍了网络安全的概念、讨论了校园网目前面临的各种安全威胁。本文针对校园网的建设目标,列出了应对校园网络安全的关键技术,并结合校园网的特点详细论述了校园网安全防御的实现和措施,包括防火墙的设置,身份认证和数据加密,入侵检测,物理专用隔离网等等。最后本文分析了实际相关案例,使技术与实际应用相结合,说明基于校园网网络信息安全的运行模式和过程。 关键词:校园
9、网; 网络安全; 防火墙; 入侵检测 精品网络安全之校园网规划及安全技术第一章 校园网网络概述随着网络技术的不断发展,网络安全已成为一个不可忽视的问题.伴随着高校校园数字化的不断深入校园网安全越来越成为人们关注的焦点之一。本章系统地论述了计算机网络技术的发展以及当前网络安全所面临的主要问题,校园网的发展状况,校园网的拓扑结构,功能结构,校园网的建设目标等内容。1。1计算机网络的发展与安全现状自1946年第一台计算机以来,计算机技术及网络技术得到飞速发展,计算机网络已成为国民经济的重要支撑,发挥着举足轻重的作用.与此同时,网络安全问题也成为一个不可忽视的问题。1。1。1 计算机网络的发展Inte
10、rnet是以TCP/IP协议为核心的一种计算机网络体系结构的统称.在计算机网络技术近40年的发展历史中,曾经涌现出各种各样的计算机网络体系结构和技术,它们努力提供类似于Internet的功能和服务,但是都没有像Internet能够在技术上和实践上适应于各种变化,获得今天这样的巨大成功,并且正在对计算机网络技术的未来发展趋势产生深刻的影响.随着Internet规模的不断扩大,新网络技术的不断出现和网络应用的发展,对Internet技术不断提出新的挑战。目前,负责Internet技术工作的Internet工程任务组织(IETF)正在九个领域开展技术研究。由于网络的规模和应用迅速发展,计算机信息网络
11、技术面临的挑战仍然是十分严峻的。主要包括以下几个方面:1) 网络的可扩展性原先设计的TCP网络技术不能适应Internet规模的不断扩大,网络的可扩展性问题成为重要的技术挑战。例如:网络的地址空间不够大;网络主干网的速度需要大大提高;采用多个Internet主干网后,网络间的连接和路由选择技术;大型分布式网络目录系统;网络上大量零散信息,包括WWW信息的自动发现和检索技术等等。2) 网络的安全性Internet技术的灵活性和开放性使得它在安全方面存在一些安全漏洞。国际标准化组织给网络安全的定义为:“为数据处理系统建立和采用的技术和管理保护计算机硬件软件和数据不因偶然和恶意的原因遭到破坏更改和泄
12、露”。网络的安全性问题包括系统安全和网络信息安全两方面的内容。这方面的技术挑战包括:网络和计算机系统的技术设计漏洞;网络和计算机系统口令的偷窃;协议出错;认证出错;信息泄漏:防火墙技术;信息传输加密算法和电子签名等等。3) 网络服务质量基于分组交换技术的TCP/IP协议不能保证网络用户获得所需的网络服务质量,这对于原先的Internet网络应用无关紧要,但是对于许多新型的网络应用却带来麻烦,例如:像Internet Phone、See you See me、Video man等实时的网络应用希望获得固定的网络带宽.这方面的协议己经在研究之中.4) 新的网络应用新的网络应用对Internet/I
13、ntranet技术的挑战尤为巨大,由此也带来了网络原始设计与规划所未考虑或考虑不周的问题。1。1。2 计算机网络安全的现状近三年,全球信息网络安全呈现出一些新特点,主要体现在如下几个方面:网络威胁形式多样,经济利益成为网络攻击的最大驱动力;网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势.网络欺骗手段进一步升级,黑客不光利用电子邮件和网站进行诈骗,具有“网络钓鱼”性质的病毒也开始出现,勒索软件、网络游戏、网络银行盗号木马等被广泛使用,都充分说明了经济利益已经成为网络攻击的最大驱动力。网络黑客逐步形成了较为严密的组织,在组织内部分工明确,从恶意代码的制作,恶意代码的散布到敏感信息的窃取都有
14、专人负责;网络攻击从最初的技术炫耀转向获取经济利益,网络攻击的针对性和定向性越来越强;针对特定目标的网络攻击具有更大的威胁和破坏性,信息安全防护形势严峻。网络安全除以上情况外还包括以下几个方面:1) 漏洞数量居高不下,利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误,攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。2) 病毒传播形式多元化。网站、移动存储设备成为病毒传播的新渠道。黑客们越来越多地通过网站对用户进行攻击。此外,通过移动存储设备传播病毒使很多电脑用户饱受其害。3) 信息新技术应用和组网模式带来新的安全问
15、题。无线射频识别(RFID)、IPT的应用、以及传感器网络、ad-hoc等网络通信模式的变化给信息安全带来了一些新挑战。1.2 校园网络安全简介随着网络技术的发展和网络应用的普及,校园网在国内高等学校中已经开始普及.而且随着国内高校的教学发展,高校应用水平的提高,高等学校校园网的整体水平和层次有了很大的提高。1.2.1 校园网概念及其问题“校园网”的概念是指大、中、小学教育单位的网络,它以应用为目的,基于Internet/Intranet技术的计算机网络和它的使用者以及相关规章制度的集合。一个完整的校园网建设要紧紧围绕“路、车、货、驾驶员培训”四大元素来进行。在这四大元素中,“货”是重点,它是
16、校园网建设的核心。 这里,“路是指物理网络的搭建,包括四个方面:结构化布线、网络连通(网络设备的选择)、服务器的选择、终端的选择;“车是指系统平台的建设,如教育行政管理平台、教学管理平台、资源库管理平台和校园网通信平台,其中,行政管理和教学平台主要针对教育工作,资源库平台将为这两个平台提供详尽的资料;“货”是指软件(具体是指应用系统)的建设,它根据学校的需求选择一些应用软件和硬件,一般学校常用的应用系统有多媒体网络教室、多媒体电子阅览室、网络多媒体课件制作系统、校园信息管理系统、视频点播、学校主页等;而“驾驶员培训是指为适应现代网络教学的要求而对相关人员进行的培训.这是一个伸缩性比较大的工作,
17、从人员角度,培训可分为四级:校长的培训、校园管理员的培训、青年骨干教师的培训、全体教师的培训,这些人员在培训之后能够针对学校的具体、特殊的需求或是未来需求而提出切实可行的建议,以便能够更好地进行系统的二次开发.目前校园网存在的四大问题:l 缺少关于校园网建设的理论与实践的科学认识;l 缺乏系统思考和统一规划,盲目地追求硬件建设与一次到位;l 对教师进行计算机基础应用及网络培训的意义,没有意识或力度不够;l 对校园网的关键部分资源库的建设相对滞后.1.2。2 校园网发展趋势随着网络技术的发展和网络应用的普及,校园网在国内高等学校中已经开始普及.而且随着国内高校的教学发展,高校应用水平的提高,高等
18、学校校园网的整体水平和层次有了很大的提高。高等学校校园网发展呈现以下趋势:与校园网相关的网络技术、应用技术发展更新的速度加快;新兴的千兆以太网,甚至万兆以太网络、ATM、网络视频等技术已被广泛使用;校园办公服务软件的兴起,把学校教学、校务办公、学校服务等有机地融合进校园网;利用校园网和互联网,发展了远程教育系统,丰富了教学手段,拓展了办学规模;同时Internet应用的发展也拓展了高等教育的研究领域;新兴的Internet应用学科蓬勃发展,特别是电子商务应用系统的发展越来越受到广大高等院校的重视,已经被部分高校编入了教学范围。1.3 校园网的网络构成校园网的网络组成可以按照不同的标准来区分,通
19、常可以分为按照网络的拓扑分为校园网的体系机构以及按网络的功能分为校园网的功能结构。1。3.1 校园网网络体系结构概述校园网安全策略的制定和实施是以各高校校园网的基础体系结构和网络应用具体情况为依据和实施基础的。因此在制定各高校的网络安全策略和实施具体的安全策略之前,透彻分析本校的校园网体系结构,网络拓扑结构,网络的路由策略,网络的区域划分,IP及VLAN的规划,网络访问策略,各应用系统的功能服务对象,访问限制等等是非常必要的,其性能直接影响到网络安全策略的实施效果。网络体系结构是关于如何构建网络的技术,它包括两个层次的内涵。一是要标识出网络系统由哪些部分组成,清晰地描述出各个部分的功能、目的和
20、特点.二是要描述网络各个组成部分之间的关系,如何将各个部分有机地结合在一起,形成完整的网络系统,从而保证网络有效地运转,也就是将各个部分进行集成的方式或方法。根据教育部教育管理信息化标准的要求,校园网的总体建设目标包括:校园网基础设施建设是我们数字化校园的基础,它的建设水平和效果直接影响到我们运行在校园网上的服务,影响到全校的教学、科研甚至影响到师生的日常生活.校园网的建设包括根据自身的应用需求和特点进行校园网的体系结构的设计,相关技术设备的选择,网络出口包括带宽的选择,设备之间拓扑关系的确定,集成、调试,应用建设等关键环节,在这些环节当中也包含着对校园网络安全的考虑与设计。近年的信息化建设,
21、通过科研需求、教学应用、网络办公、网上娱乐等应用建设和使用,网络应用逐渐渗透到了校园生活的方方面面.上网备课,接收邮件,网络聊天,游戏购物,校园用户联网的时间一天天延长。教育部科技发展中心公布的相关数据显示,98。4%的高校教学、科研、行政办公已经全部联入校园网,90.5高校的教室已提供了校园网接入环境,74。35%的学校在学生宿舍已经接入网络,校园网覆盖范围正在逐步地扩大.同时各个高校的网络应用建设也是搞得风风火火,从原来的只提供部分特殊用户的上网接入,只提供基本的Web和Mail服务发展到了增加网络出口,增加带宽,建设各部门和学院的二级站点乃至个人站点,Video视频点播系统、IPTV网络
22、电视系统、各学科知识数据库系统、教学、人事等业务系统,精品课程、网上录播、监控等多种应用系统的建设.现在各高校正制定各自的数字化校园的规划,新一轮的校园网应用建设和信息系统集成将展开,这对我们的校园网基础设施建设和网络安全提出了新的挑战。1.3.2 校园网系统功能构成校园网作为校园网络信息平台应该由一个平台和三个系统构成,即系统管理平台、校园公共信息系统、校园管理信息及办公自动化系统、校园教学资源库系统。1。3.3 校园应用管理平台校园应用系统管理平台是一个可靠性高、安全性好、易管理的操作平台。在此平台上可轻松的实现用户注册、系统的备份和恢复、用户权限的设置以及资源的调整、初始化等管理工作.通
23、过使用Intranet/Internet技术以及先进的XML技术和B/S结构,实现了与Internet的无缝连接。校园公共信息系统(Internet服务系统)主要用于校园公共信息的管理,是学校师生进行交流的场所,老师和学生通过公共信息系统将大大拓展信息交流的空间。作为大学的信息门户,该系统为全校师生提供校园讨论区(BBS)、校园聊天室、校园大事记、通知公告、信息发布等基础信息服务。通过权限设置,实现角色化管理,年级、班级、兴趣小组等各类角色都可以根据自己定制的需求去查询、发布信息。校园管理信息系统用于支持学校日常管理的各项工作。用户通过使用人事管理、教育教学管理、后勤管理、教学资源与应用平台、
24、图书馆管理、生活管理、医疗管理等多个功能子系统可以方便快捷地处理各种复杂数据操作和文字录入,完成各种校园信息数据的有效管理。校园办公自动化针对校园办公需求不仅实现了便捷保密的公文管理、档案管理、信息交流,而且使每位老师、每个学生都拥有自己的信箱.教学资源库系统提供一致的资源管理和使用方式,实现简便精确的资源获取与检索,全面支持教学应用,包括对各类教学软件库、教学网络平台、电子阅览室等资源的分类、检索和管理、多媒体教学、远程教育等功能.1。3.4 校园网的建设目标网络安全(Network Security)是抵御内部和外部各种形式的威胁,以确保络的安全的过程。为了深入彻底地理解什么是网络安全,必
25、须理解网络安全旨在保护的网络上所面临的威胁,理解一个能够用于阻止这些攻击的主要机制也是非常重要的。通常,在网络上实现最终的安全目标可通过下面的一系列步骤完成,每一都是为了澄清攻击和阻止攻击的保护方法之间的关系。下面的步骤是在一个站上建立和实现安全的方法:第1步确定要保护的是什么;第2步决定尽力保护它免于什么威胁;第3步决定威胁的可能性;第4步以一种划算的方法实现保护资产的目的;第5步不断地检查这些步骤,每当发现一个弱点就进行改进。校园网络系统需要实现以下安全目标:l 保护网络系统的可用性;l 保护网络系统服务的连续性;l 防范网络资源的非法访问及非授权访问;l 防范入侵者的恶意攻击与破坏;l
26、保护信息通过网上传输过程中的机密性、完整性.第二章 校园网的安全隐患校园网在学校的日常活动中发挥着越来越重要的作用,与此同时,校园网的安全问题也越来越突出,网络病毒,黑客入侵,管理不善等原因使得校园网络面临着严重的威胁。2.1 威胁校园网安全的内部因素在校园网面临的威胁当中,内部因素是一个重要的方面,这其中既包括软硬件自身的缺陷,也包括管理者的管理水平等主观方面的因素。2.1.1 软硬件自身的漏洞来自硬件系统的安全威胁。一方面是指物理安全,主要是由于网络硬件设备的放置不合适或者防范措施不得力,使得服务器、工作站、交换机、路由器等网络设备,光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受自
27、然雷电、水、火意外事故或人为破坏等等而造成的校园网不能正常使用。另一方面是指设置安全。主要是在设备上进行必要的设置,防止黑客取得硬件设备的远程控制权等等。硬件系统安全是制订校园网安全整体解决方案时首先应考虑的问题。系统安全漏洞是指系统在设计时没有考虑到的缺陷,特别是操作系统,因为这些软件一般都比较的复杂、庞大,有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞.理论上讲任何一个系统都不同程度地存在着漏洞.因为系统漏洞的存在,使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者对系统漏洞进行攻击,入侵成功后将获得系统的相应权限,进而盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝大
28、多数都是使用Windows2000/XP操作系统,而Windows操作系统是不太安全的。因为Windows操作系统的漏洞比较多,由Windows操作系统漏洞引发的不安全问题时有发生.此外,应用系统也不例外,如IE、Office办公软件、Ms-SQL、Oracal等软件也存在安全漏洞。2。1.2设置上的失误合理规划配置设施是校园网发挥作用的关键。在校园网规划时,应考虑长远,因为一旦综合布线、设备配置完成再进行调整可能需要再重新设计网络结构,很多地方需要重新布线,网络设备也需要重新设置,这样既浪费人力,物力,也会影响到教学。对于一些重要的场所,例如图书馆、电子阅览室、资料室、电脑室、多媒体制作室、
29、教室、办公室等应多设信息点。同时网络集成公司的技术实力、施工质量及其五花八门的解决方案大多是自吹自擂,并没有通过权威部门的评审、鉴定,致使网络市场处于一种比较混乱的局面。2。1.3 管理漏洞管理是信息网络安全中最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险,主在体现在以下几点:1) 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险;2) 机房出入管理不严格,使入侵者能够接近重要设备而带来信息安全风险;3) 一些心怀不满的内部员工,由于熟悉服务器、小程序、脚本和系统的弱点,进行如复制、删除数据等非法
30、数据操作,造成极大的安全风险;4) 当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供攻击者攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。2。2 威胁校园网安全的外部因素 虽然内部因素威胁着校园网的安全,但是在绝大多情况下,网络病毒,黑客入侵等外部因素对网络构成很大威胁.2.2.1 网络黑客的入侵“黑客”一词是由英语Hacker英译出来的,是指专门研究、发现计算机和网络漏洞的计
31、算机爱好者。他们伴随着计算机和网络的发展而产生成长.黑客对计算机有着狂热的兴趣和执着的追求,他们不断地研究计算机和网络知识,发现计算机和网络中存在的漏洞,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。 由于校园网规模巨大,各种设备系统差异有很大差异,给管理带来了很大的挑战,同时也成为黑客攻击的对象。黑客攻击已成为校园网安全不可忽视的一个因素。2。2.2 计算机病毒的破坏一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站).计算机病毒一般首先通过各种途径进入到有盘工作站,也就进入网络,然后开始在网上的传播。具体地说,其
32、传播方式有以下几种。l 病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;l 病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;l 病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中;l 如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。2。3 校园网安全防御与应急关键设备技术1) 防火墙及技术它为网络通信、数据传输提供更有保障的安全性.分为包过滤防火墙(检查每个IP包的字段,如源地址、目标地址、端口等 );状态检测防火墙(动态检查网络连接和包);应用程序代理
33、防火墙(与特定应用程序配合使用)。防火墙性能:最大带宽、并发连接数、每秒新增连接数、丢包和延迟;自身安全性。防火墙产品:Juniper的Net Screen;Cisco的Pix;天融信防火墙;天网防火墙。2) 入侵检测与防御及技术它能及时发现网络异常行为,并阻止其进一步发展。入侵检测技术包括以下几种:基于误用检测技术(检测与异常规则相匹配的网络行为);基于异常检测技术(检测偏离了正常规则的网络行为)。入侵检测核心技术:模式匹配、基于统计方法、预测模式生成等。防火墙性能:降低误报率、漏报率;入侵检测产品有:CA的Intrusion Detection,启明星辰的天阗IDS等。3) 防病毒及技术它
34、能及时发现病毒,并清除,阻止病毒进一步传播、扩散。防病毒核心技术有:特征代码匹配、病毒特征自动发现、启发式搜索等,防病毒产品有:Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。4) 反垃圾邮件及技术它能过滤、阻止大量的非正常的电子邮件.反垃圾邮件机理:IP地址、域名、邮件地址黑白名单方式;基于垃圾邮件行为模式识别模型 ;Domainkeys方式(基于PKI的方式对邮件发送者进行验证,对邮件信息进行加密保护,对收信人实现防抵赖机制);基于信头、信体、附件的内容过滤方式;反垃圾邮件产品有:防垃圾邮件网关,如冠群金辰 的Kill赤霄邮件过滤网关;防垃圾邮件防火墙,如:博威特的梭子鱼垃圾邮
35、件防火墙。5) 内容过滤及技术它能阻止不健康、反动信息的复制、传播。过滤方法有:基于关键字、权重关键字、基于URL的过滤;基于文字内容的深度搜索;一般在防病毒网关、反垃圾邮件系统中集成.根据本章所提出的校园网所面临的安全威胁,我们除了选取良好的拓扑结构外, 一般还要注意安全保密, 以防止信息的非授权访问; 要注意数据的完整性与精确性, 使信息在存储或传输过程中不被破坏、丢失或不被未经授权的恶意或偶然的修改; 注意其可用性, 使计算机的硬件和软件保持有效的运行, 并且系统在发生灾难时能够快速完全地恢复。要防止侵袭者通过非法途径进入计算机系统, 偷盗有用的数据信息, 重点保护系统中容易被攻击的脆弱
36、点。根据目前的技术水平, 我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等安全措施来加以防范。在校园网安全规划时, 对于在什么地方应采取什么样的安全措施, 事先都必须给予充分的考虑, 以确保校园网的安全,对于这些问题我们将在下一章节予以研究。第三章 校园网络安全对策分析3。1 校园网络安全策略概述 随着网络应用的开展,要建立一个安全的网络体系,首先应花较大的精力制定周密的网络安全策略,这是最重要的一步。在网络安全的实施中,技术只是手段,还应该先对网络安全管理有个清晰的概念,然后制定翔实的安全策略,最后才是选择合适的产品用以具体实施和构建安全系统。要建设一个安全的网络安全体系,必须
37、采取相应的策略,根据实际的需求不同,采取的策略可能有一些不同之处,但大都包括下述策略.3.1。1 网络安全系统策略的制定物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备有一个良好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进行破坏活动。采用网络隔离手段可有效减小信息的传播面,从而增加信息的安全性。应根据业务划分、保密要求等因素的差异将网络进行分段隔离,它可从底层有效地控制信号传播途径及传播范围,实现更为细化的安全控制体系,将攻击和入侵造成的威胁限制在较小的子网内,提高网络整体的安全水
38、平.路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。在经费允许范围内,尽可能选用安全级别较高的网络操作系统及数据库系统,以安全套件加固TCP/IP各层.如因受客观条件限制,难以对网络操作系统及数据库系统进行选择,则其他核心软件,如防火墙、入侵检测、网络安全漏洞扫描软件等应尽可能地选用经国家网络安全权威机构评审通过的优秀国产软件.最小授权原则指网络中账号设置服务配置主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。在网络安全中,除了采用技术措施之外
39、,制定有关规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由于一个细微的让步,最终导致了整个系统的崩溃。因此,严格执行安全管理制度是网络可靠运行的重要保障.3。1.2 校园安全的设计原则校园网覆盖整个校区,在网络性能上应该考虑以下几项要求:数据处理、通信处理能力强,响应速度快.网络运行的安全性、可靠性高。网络能够容易得进行扩容、升级和管理。主干网的带宽要高,可以支持多媒体等视频业务的开展和满足数据流量不断增长的要求
40、.此外,在校园网建设的具体实施中需要注意的设计原则包括:l 坚持开放型,采用国际标准和通用标准;l 尽量采用先进、成熟的组网技术;l 强调实用性、并尽可能达到性能价格比最优;l 统一规划、分布实施。3.2 校园网络安全体系结构设计构建安全高效的校园网络是校园网建设的目标之一,校园安全体系结构的建设是其中的重要一环,安全体系设计的好坏是校园网成败的关键。3。2.1 设计校园网络安全体系的原则根据网络安全性设计的要求设计网络安全体系时应遵循安全性,可行性,高效性,可承担性等原则,分别阐述如下:1) 安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全,所以安全性成为首要目标。要保证体系的
41、安全性,必须保证体系的完备性和可扩展性。2) 可行性:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。3) 高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点.网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。4) 可承担性:网络安全体系从
42、设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由学校来支持,要为此付出一定的代价和开销。如果我们付出的代价比从安全体系中获得的利益还要多,那么我们就不该采用这个方案。3.2。2 校园网络安全体系的设计内容一个完整的安全体系应该包含五个安全层面,分别为数据保密层,应用层,用户层,系统层和网络层。数据保密层重点关注应用层的数据安全,因而在数据保密层优先考虑数据加密算法。应用层的重点是网络应用中的存取控制和授权。在用户层,校园网络安全体系的主要内容包括用户的管理,登录,认证.而系统层侧重与操作系统的防病毒,入侵检测,审计分析。网络层针对网络底层数据的通讯安全提出解决方案。3.3 校园
43、网建设需求分析3。3。1 需求分析局域网最大的特点就是可以实现资源的最佳利用,如:共享磁盘设备、打印机等,从而可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印;当然也可以借助Wingate或Sygate等软件多机共享一台Modem上网;或者通过代理服务器连上Internet,享受非一般的速度。网卡根据传输速率可分为:10Mbps网卡(ISA 插口或PCI插口)、100Mbps PCI插口网卡、10Mbps/100Mbps自适应网卡和千兆网卡.目前10Mbps ISA插口的网卡仍以其低廉的价格占有市场的一定份额,但由于10Mbps ISA插口网卡的网络传输速率低,且占用大量的CPU资源,只适应于那些对速度要求不高的局域网,因此用100Mbps PCI插口的网卡或者10Mbps/100Mbps自适应网卡,够适应于用户比较多,网上传输的数据量大和需要进行多媒体信息传输的应用环境。BNC口是用细同轴电缆作为传输媒介的一种网卡
浙ICP备2021020529号-1 | 浙B2-20240490 
