收藏 分销(赏)

校园网络安全技术研究与解决方案.pdf

上传人:abo****er 文档编号:53778 上传时间:2021-06-16 格式:PDF 页数:2 大小:187.11KB
下载 相关 举报
校园网络安全技术研究与解决方案.pdf_第1页
第1页 / 共2页
校园网络安全技术研究与解决方案.pdf_第2页
第2页 / 共2页
亲,该文档总共2页,全部预览完了,如果喜欢就下载吧!
资源描述

1、校园网络安全技术研究与解决方案李立新 校 园网络安全技术研究与解决方案 李立新 ( 甘肃政法学院实验管理 中心 甘肃兰州, 7 3 0 0 7 ( ) ) 摘要: 通过研究校园网络体系结构的特点, 从网络的不同层次对校园网络面对的安全问题进行详细分析, 并列举各 层次常见的威胁与攻击形式。最后结合校园网的具体特点分析现实网络安全, 设计校园网安全方案。 关键词: 网络安全; 防火墙; 校园网; 身份认证 Ab s t r a c t : Th i s a r t i c l e s t u d i e s t h e c a mp u s n e t wo r k s y s t e m s

2、t r u c tur e c h a r a c t e r i s t i c s F r o m t h e d i ff e r e n t l e v e l s o f n e t wo r k o f c a mp u s n e t wo r k s e c u r i t y i n t h e f a c e o f a d e t a i l e d a n a l y s i s ,i t l i s t s a l l l e v e l s o f c o mmo n t h r e a t s a n d a t t a c k s f o r m Ba s e

3、d o n t h e a n a l y s i s o f t h e c h a r a c t e r i s t i c s o f c a mp u s n e tw o r k r e a l n e tw o r k s e c u r i t y , t h e c a mp u s n e t wo r k s e c u r i ty p l a n i s d e s i g n e d Ke y wo r d s : Ne t wo r k s e c u r i ty; fir e wa l l ; Ca mp u s n e t w o r k; I d e n

4、t i t y a u t h e n t i c a t i o n 中图分类号: T P 3 9 3 文献标识码: A 文章编号: i 0 0 1 - 9 2 2 7 ( 2 0 1 3 ) - 0 1 0 1 6 8 - 0 2 1 网络信息安全框架 网络信息安全框架反映了信息系统安全需求和体系结构的 _共性, 其构成要素是安全特性、 系统单元及T C P I P 参考模型的结 构层次 。如 图1 所 示为三维信 息。 图l 网络信息安全框架 系统安全结构框架 , 信息安全特性包括保密性、 完整性、 可 用性 以及 认证安全 , 系 统单元包括物 理单元 、 网络单 元、 系统单 元、

5、应 用单元 、 管理单元。 2 校园网络面对的安全问题 2 1 校 园网的网络体 系结构 校园网是局域网的种形式 。当前, 我 国校园网的建设发展 非常迅速, 绝大部分高校的校园网络基础设施建设己具备一 一 定规 模, 几乎所有的教学、 办公、 宿舍楼都接入了校园网。是为学校教 育教学提供资源共享、 信息交流和协同工作的计算机网络系统。 2 2 校 园网络 的安全风险分析 本文主要从物理层、 网络层 、 传输层、 操作系统4 个方面对 校园网面临的各种风 险进行 分类描述 。 2 2 I 物理层 的安全风 险 物理层安全风险指 的是 由于物理 设备的放置 不合适或者环 境防范措施不得力 , 使

6、得网络设备 、 设施 包括 服务器、 工作 站、 交 收稿 日期: 2 O 1 2 - 0 9 - 2 5 作者简介: 李立新, ( 1 9 6 8 - ) , 女, 甘肃省兰州市人; 毕业于: 兰州交通大学计算机科学技术本科; 甘肃政法学院, 实验管理中 心, 实验师。主要从事网络维护、 机房管理。 l 6 8 换机 、 路由器等网络设备 , 光缆和双绞线等网络线路 以及 U P S 等 遭受 水灾 、 火灾 、 地震 、 雷 电等 自然灾害 、 意外事 故或 人为破 坏 , 造成校园网不能正常运行。主要表现 如下: ( 1 ) 地 震、 水 灾、 火灾等环境事故造成通信线 路破 坏、 设备

7、损 坏 、 系统毁 灭: ( 2 ) 电源故 障造成设备 断 电, 导致服 务器硬件 损坏 、 操作 系 统文件损坏、 数据信息丢失; ( 3 ) 存储 、 传输介质损坏 导致 数据 丢失; ( 4 ) 没有采取措施针对机密程度不 同的 网络实施物理隔离; ( 5 ) 安 防措施薄弱 , 以致 信息泄露或设 备被 盗、 被毁; ( 6 ) 电磁辐 射 可能 造成 信 号被 截 获 , 造 成 数据 信 息 丢 失 、 泄密 。 2 2 2 网络层的安全 风险 网络层处于网络体系结构中物理链路层和传输层之 , 该 层封 装 I P数 据报 , 进行 路 由转发 , 解 决机器 之 问 的通信 问

8、题 。 T C ) l P协议族 中最 为核 心的协 议I Pf I n t e r n e t 办议) 在 网络层应 用最为广泛 。T C P , U D P , I C MP及 I G MP 数据 都 以I P 数 据报格 式 进行传输。这一层的常见安全问题主要有: ( 1 ) 明 文传输 面 临 的威胁 ( 2 ) I P地 址欺 骗 ( 3 ) 源路 由欺骗 ( 4 ) 路 由信 息协议( R I P ) 攻击 ( 5 ) I C MP攻击 ( 6 ) 端 口扫描 威胁 扫 描技 术有 T C P c o n n e c t 0 扫 描、 S Y N扫描 、 F I N扫描 、 I P

9、段扫 描、 反 向I d e n t 扫描 等。 ( 7 )I P碎片攻 击 2 2 3 传输层 的安全风 险 传输层 在 O S I 模 型中起着 关键 作用 , 负责端 到端可靠 的交 换数据传输和数据抓控制。在传输层使用最广泛的有两种协 议: 传输控制协议( T C P ) )T I 用户数据报协议( U D P ) ( 1 ) T C P ” S Y N ” 攻击: T C P是一种基于字节流 的、 面 向连 接的 、 可靠的传输层通 信 协 议, 不 同主机之 间建 立 一 一 条 T C P 连 接 , 要经过 二次握手 机制 。 二 次握 手后 , 主机 A和主机 B 就 可 以

10、相 互进行 数据传 输 。在 第 二次握 手时 , 主机 B接到主 机 A的 S Y N请求后 要建立 个监 听 队列保持该连接至少7 、 5 秒, 攻击者利用该机制向 标主机技 送 多个 S Y N请求 , 但 却不响应 返 回的S Y N &A C K , 致使 口标 主机 学兔兔 w w w .x u e t u t u .c o m 自动化与仪器仪表 2 o 1 3 年第 1 期( 总第 1 6 5 期) 的监 听队列填满, 停止接受新 的连接 , 拒绝服务 。 ( 2 ) L a n d 攻击: 属 于拒绝 服务攻 击类型 , 该攻击首 先构造 一个具 有相 同I P 源地 址、 目

11、标地 址的T C P S Y N数据 包, 接 收到该数据包 的主机会 向 自己发送 S Y N A C K消 息, 循环往 复, 消耗 大量 的系统资源 , 或 者 由于创 建了过多的空连接 , 导致超 时拒 绝服 务。 ( 3 ) T C P会话劫持: 会话劫持结合使用嗅探和欺骗等多种手段, 利用T C P的工 作原理 实施攻 击。 攻击者 以嗅探 技术获得 网络 中活动 T C P会话报 文 , 分析通 信双方的源I P , 目的I p 和相应端口, 并得知其中一台主机对接收 下一 个T C P报文 中s e q 值和 a c k s e q 值 的要 求 。攻击者 发送 一个 带有净荷

12、 的T C P报文给 目标主机 , 该报文会改变 目标主机的 a c k s e q 值 , 认 可攻 击者并 拒绝 合法 主机的通 信 。这 种攻 击能避 开 目标主机 对访 问者 的安全 身份认 证 , 使攻击 者直接 进入授信 访 问状态 , 构成严重 的安全危胁 。 ( 4 ) U D P 淹没攻击 : 用户数据包l 办议U D Pf U s e r D a t a g r a mP r o t o c o 1 ) 是一种面向 事务的、 无连接的、 不可靠的传输协议, 通信过程中不需要在源 端和 终端 之间建立 连接 , 吞 吐量只受通 信双方 应用程序 生成数 据的速度 、 传输带宽

13、和主机性能的限制; 不需要维持连接, 开销 小, 可 同时 与多个客 户机传输 信息 。攻击者 随机 向一台通信主 机的端 口发送 U D P 数据包, 受害主机接收到U D P包, 会寻找 目 的端 口等待 的应用程序 , 应用程序 不存在 , 就会返 回一个 目的无 法 连接 的 I C MP数据包给 伪装 的源地址 。 当端 口接 收到足够 多 的源地址不存在的U D P数据包, 就会因消耗过多的系统资源而 导致瘫痪 。 ( 5 ) 端 口扫描攻击: T C P或U D P 端 口是计算机的通信通道, 也是潜在的入侵通 道。端口扫描的实质是探测, 方法是针对一台通信主机的每个端 口发送信

14、 息, 通过分析返回的信 息类型来判断该主机是否使用了 某个端口的通信服务, 通过测试这些服务发现漏洞进而入侵。 2 2 4操作 系统的安全风险 绝大部分操作 系统存在安全脆弱 性。 目前通用 的 Wi n d o w s , U N I X ,L i n u x 以及其他商用操作系统, 在前期设计和后期软件 代 码 的大 规模开 发过程 中不可避 免 的存 在一些缺 陷 , 为调查 试 需要有 的开发厂 商还 留下后 门, 使得 操作系 统本身存 在很 多安 全漏 洞, 非常 容易被攻 击。 ( 1 ) U N I X操作 系统: U N I X是 一个多 用户 、 多任 务 、 分时 的操

15、作 系统 。由于其 稳 定性和安全性, 在服务器操作系统中被广泛应用, 但也存在很多 安全 隐患。 ( 2 ) L i n u x 操作系统 L i n u x 是 U N I X系统 的变种 , 其 基于开 放源码 和社 区开发 的 背景 , 促使 其得到很 快的 发展 。由于 L i n u x 的源代 码完全 公开 , 任 何人都 可通过 阅读源代 码来寻找 系统漏 洞 , 也可 以 自己动 手 改写内核来进行修补, 漏洞暴露得充分改进也很彻底。同样地, 它也存在着 口令问题、 S E T U I D问题 、 引导 问题 、 特洛伊木 马问题 等 , 也面 临着安全 隐患缓 冲区溢 出、

16、 S s c a n 扫描工具 、 拒绝服务 性 攻 击等 问题 , 很 多病 毒轻 易修改 了系统 中某 些文件 内容实施 破 坏 。这 些 安全 隐患 可 以通 过 一些 措 施 在 一 定程 度 起 到 优 化 作用。 ( 3 ) Wi n d o w s 操作系统 Wi n d o w s 操作系统作为一种优秀的操作系统, 便于部署、 管 理和应用, 安全的基础结构, 机构级可靠性、 可用性、 可伸缩性和 性能被广泛地应 用于各行各业 , 目前服务器 大部分都在应用它 。 本身的 安全性 并不逊于 L i n u x 和 U N I X, 只是 由于其 应用范 围广 , 所 以成为病毒

17、攻击 的主要 目标 。操作系统本身的漏洞、 应用软件 的漏洞 、 配置与 使用不合理 , 使 Wi n d o w s 操作 系统的安全性 受到 威胁。最好的办法是下载相关补丁进行升级, 系统本身的配置不 合理也是导致安全危险产生 的原 因, 表现在: 开放多余 的服务 、 设 置完全共享的 目录、 设置弱 口令、 不合理的访 问控制、 没有安装防 病毒软件等方面。除操作系统自身设计和开发的缺陷, 导致脆弱 性的其他主要因素有: 病毒木马 、 配置不 当、 系统服务 。 3 校园网安全解决方案的提出 为 了解 决人 工安全检 测 出现 的种种 问题 , 网络 安全 需要全 方位 的考量 , 预

18、防 、 防御、 管理等 各个环节 都不容 忽视 。校 园网 管理部 门提 出了针对安全 问题 的方案需求 。要求新 的安全管理 解决方案能明显提高校园网的安全稳定性, 解决校园网因病毒 ( 如 A R P 及各类蠕虫等) 、 恶意攻击等造成掉线甚至断网问题, 希 望建设 一个覆 盖全 网的安全管 理系统 , 要求 该系 统能 自动 发现 并消除 或拟制病 毒和攻 击行为对 网络造 成 的影 响 , 能 自动 生成 各类安 全事件相 关 日志 , 具有严 重安全事件 报警 功能 。总体来 说, 各 网络 安全 厂商的解 决方案大致可分为 3 类: 3 1 网关控制模式 该模 式是 由联 想网御

19、和 D L i n k 主推 的解决 方案 。该 技术 的特点是在全网的网关即出口位置安装流控设备、 控制管理设 备以及相应的安全策略设备。 3 2端 口控 制 模 式 该模式是 由 H 3 C 和锐捷 网络主推 的解决方案 。该技术的特 点是在全网的接入位置即所有的接入交换机上使用8 0 2 1 x 技术 认证用户的身份 。 3 3 杀毒软件控 制模 式 该模式是 由趋 势科技和瑞星 软件 提 出的解决 方案 。该技术 的特点是采用纯软件的方法在网络上设置杀毒软件服务器, 用 户端安装对应杀毒软件的客户端。 通过对三类方案对比研究后, 决定采用出口控制+ 接入设备 控制 的双重 安全解决 方

20、案 。依据 此综 合方案 , “ 出口控 制” 方案 和“ 接入设备控制” 方案两部分的部分功能模块需要进行整合 。 新 的方 案 以“ 接入 设备控制 ” 方案为基 础 , 把 “ 出 口控制 ” 方案 的 功能加 进来 , 同时 利用“ 网络 出 口方案 ” 的终端安 全性管理 机制 联动“ 接入设备端控制方案” 的8 0 2 1 x 强制认证机制, 综合起来 解决整 网的安全管理 问题 。 参考文献 1 】 顾晨 浅谈 校 同 网 网络安 全及 解 决方 案 I J 】 网络 通 讯及 安全 , 2 0 0 8 ( O 1 ) : p 4 3 4 4 3 6 【 2 1 赵毅 高校校 园计算 机网络设计 与实现【 D 】 重庆大学, 2 0 0 6 , 3 1 6 9 学兔兔 w w w .x u e t u t u .c o m

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 通信科技 > 网络/通信

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服