校园网络安全技术研究与解决方案.pdf

资源描述

1、校园网络安全技术研究与解决方案李立新校园网络安全技术研究与解决方案李立新 ( 甘肃政法学院实验管理中心甘肃兰州， 7 3 0 0 7 ( ) ) 摘要：通过研究校园网络体系结构的特点，从网络的不同层次对校园网络面对的安全问题进行详细分析，并列举各层次常见的威胁与攻击形式。最后结合校园网的具体特点分析现实网络安全，设计校园网安全方案。关键词：网络安全；防火墙；校园网；身份认证 Ab s t r a c t ： Th i s a r t i c l e s t u d i e s t h e c a mp u s n e t wo r k s y s t e m s

2、t r u c tur e c h a r a c t e r i s t i c s F r o m t h e d i ff e r e n t l e v e l s o f n e t wo r k o f c a mp u s n e t wo r k s e c u r i t y i n t h e f a c e o f a d e t a i l e d a n a l y s i s ，i t l i s t s a l l l e v e l s o f c o mmo n t h r e a t s a n d a t t a c k s f o r m Ba s e

3、d o n t h e a n a l y s i s o f t h e c h a r a c t e r i s t i c s o f c a mp u s n e tw o r k r e a l n e tw o r k s e c u r i t y , t h e c a mp u s n e t wo r k s e c u r i ty p l a n i s d e s i g n e d Ke y wo r d s ： Ne t wo r k s e c u r i ty； fir e wa l l ； Ca mp u s n e t w o r k； I d e n

4、t i t y a u t h e n t i c a t i o n 中图分类号： T P 3 9 3 文献标识码： A 文章编号： i 0 0 1 - 9 2 2 7 ( 2 0 1 3 ) - 0 1 0 1 6 8 - 0 2 1 网络信息安全框架网络信息安全框架反映了信息系统安全需求和体系结构的 _共性，其构成要素是安全特性、系统单元及T C P I P 参考模型的结构层次。如图1 所示为三维信息。图l 网络信息安全框架系统安全结构框架，信息安全特性包括保密性、完整性、可用性以及认证安全，系统单元包括物理单元、网络单元、系统单元、

5、应用单元、管理单元。 2 校园网络面对的安全问题 2 1 校园网的网络体系结构校园网是局域网的种形式。当前，我国校园网的建设发展非常迅速，绝大部分高校的校园网络基础设施建设己具备一一定规模，几乎所有的教学、办公、宿舍楼都接入了校园网。是为学校教育教学提供资源共享、信息交流和协同工作的计算机网络系统。 2 2 校园网络的安全风险分析本文主要从物理层、网络层、传输层、操作系统4 个方面对校园网面临的各种风险进行分类描述。 2 2 I 物理层的安全风险物理层安全风险指的是由于物理设备的放置不合适或者环境防范措施不得力，使

6、得网络设备、设施包括服务器、工作站、交收稿日期： 2 O 1 2 - 0 9 - 2 5 作者简介：李立新， ( 1 9 6 8 - ) ，女，甘肃省兰州市人；毕业于：兰州交通大学计算机科学技术本科；甘肃政法学院，实验管理中心，实验师。主要从事网络维护、机房管理。 l 6 8 换机、路由器等网络设备，光缆和双绞线等网络线路以及 U P S 等遭受水灾、火灾、地震、雷电等自然灾害、意外事故或人为破坏，造成校园网不能正常运行。主要表现如下： ( 1 ) 地震、水灾、火灾等环境事故造成通信线路破坏、设备

7、损坏、系统毁灭： ( 2 ) 电源故障造成设备断电，导致服务器硬件损坏、操作系统文件损坏、数据信息丢失； ( 3 ) 存储、传输介质损坏导致数据丢失； ( 4 ) 没有采取措施针对机密程度不同的网络实施物理隔离； ( 5 ) 安防措施薄弱，以致信息泄露或设备被盗、被毁； ( 6 ) 电磁辐射可能造成信号被截获，造成数据信息丢失、泄密。 2 2 2 网络层的安全风险网络层处于网络体系结构中物理链路层和传输层之，该层封装 I P数据报，进行路由转发，解决机器之问的通信问

8、题。 T C ) l P协议族中最为核心的协议I Pf I n t e r n e t 办议) 在网络层应用最为广泛。T C P ， U D P ， I C MP及 I G MP 数据都以I P 数据报格式进行传输。这一层的常见安全问题主要有： ( 1 ) 明文传输面临的威胁 ( 2 ) I P地址欺骗 ( 3 ) 源路由欺骗 ( 4 ) 路由信息协议( R I P ) 攻击 ( 5 ) I C MP攻击 ( 6 ) 端口扫描威胁扫描技术有 T C P c o n n e c t 0 扫描、 S Y N扫描、 F I N扫描、 I P

9、段扫描、反向I d e n t 扫描等。 ( 7 )I P碎片攻击 2 2 3 传输层的安全风险传输层在 O S I 模型中起着关键作用，负责端到端可靠的交换数据传输和数据抓控制。在传输层使用最广泛的有两种协议：传输控制协议( T C P ) )T I 用户数据报协议( U D P ) ( 1 ) T C P ” S Y N ” 攻击： T C P是一种基于字节流的、面向连接的、可靠的传输层通信协议，不同主机之间建立一一条 T C P 连接，要经过二次握手机制。二次握手后，主机 A和主机 B 就可以

10、相互进行数据传输。在第二次握手时，主机 B接到主机 A的 S Y N请求后要建立个监听队列保持该连接至少7 、 5 秒，攻击者利用该机制向标主机技送多个 S Y N请求，但却不响应返回的S Y N &A C K ，致使口标主机学兔兔 w w w .x u e t u t u .c o m 自动化与仪器仪表 2 o 1 3 年第 1 期( 总第 1 6 5 期) 的监听队列填满，停止接受新的连接，拒绝服务。 ( 2 ) L a n d 攻击：属于拒绝服务攻击类型，该攻击首先构造一个具有相同I P 源地址、目

11、标地址的T C P S Y N数据包，接收到该数据包的主机会向自己发送 S Y N A C K消息，循环往复，消耗大量的系统资源，或者由于创建了过多的空连接，导致超时拒绝服务。 ( 3 ) T C P会话劫持：会话劫持结合使用嗅探和欺骗等多种手段，利用T C P的工作原理实施攻击。攻击者以嗅探技术获得网络中活动 T C P会话报文，分析通信双方的源I P ，目的I p 和相应端口，并得知其中一台主机对接收下一个T C P报文中s e q 值和 a c k s e q 值的要求。攻击者发送一个带有净荷

12、的T C P报文给目标主机，该报文会改变目标主机的 a c k s e q 值，认可攻击者并拒绝合法主机的通信。这种攻击能避开目标主机对访问者的安全身份认证，使攻击者直接进入授信访问状态，构成严重的安全危胁。 ( 4 ) U D P 淹没攻击：用户数据包l 办议U D Pf U s e r D a t a g r a mP r o t o c o 1 ) 是一种面向事务的、无连接的、不可靠的传输协议，通信过程中不需要在源端和终端之间建立连接，吞吐量只受通信双方应用程序生成数据的速度、传输带宽

13、和主机性能的限制；不需要维持连接，开销小，可同时与多个客户机传输信息。攻击者随机向一台通信主机的端口发送 U D P 数据包，受害主机接收到U D P包，会寻找目的端口等待的应用程序，应用程序不存在，就会返回一个目的无法连接的 I C MP数据包给伪装的源地址。当端口接收到足够多的源地址不存在的U D P数据包，就会因消耗过多的系统资源而导致瘫痪。 ( 5 ) 端口扫描攻击： T C P或U D P 端口是计算机的通信通道，也是潜在的入侵通道。端口扫描的实质是探测，方法是针对一台通信主机的每个端口发送信

14、息，通过分析返回的信息类型来判断该主机是否使用了某个端口的通信服务，通过测试这些服务发现漏洞进而入侵。 2 2 4操作系统的安全风险绝大部分操作系统存在安全脆弱性。目前通用的 Wi n d o w s ， U N I X ，L i n u x 以及其他商用操作系统，在前期设计和后期软件代码的大规模开发过程中不可避免的存在一些缺陷，为调查试需要有的开发厂商还留下后门，使得操作系统本身存在很多安全漏洞，非常容易被攻击。 ( 1 ) U N I X操作系统： U N I X是一个多用户、多任务、分时的操

15、作系统。由于其稳定性和安全性，在服务器操作系统中被广泛应用，但也存在很多安全隐患。 ( 2 ) L i n u x 操作系统 L i n u x 是 U N I X系统的变种，其基于开放源码和社区开发的背景，促使其得到很快的发展。由于 L i n u x 的源代码完全公开，任何人都可通过阅读源代码来寻找系统漏洞，也可以自己动手改写内核来进行修补，漏洞暴露得充分改进也很彻底。同样地，它也存在着口令问题、 S E T U I D问题、引导问题、特洛伊木马问题等，也面临着安全隐患缓冲区溢出、

16、 S s c a n 扫描工具、拒绝服务性攻击等问题，很多病毒轻易修改了系统中某些文件内容实施破坏。这些安全隐患可以通过一些措施在一定程度起到优化作用。 ( 3 ) Wi n d o w s 操作系统 Wi n d o w s 操作系统作为一种优秀的操作系统，便于部署、管理和应用，安全的基础结构，机构级可靠性、可用性、可伸缩性和性能被广泛地应用于各行各业，目前服务器大部分都在应用它。本身的安全性并不逊于 L i n u x 和 U N I X，只是由于其应用范围广，所以成为病毒

17、攻击的主要目标。操作系统本身的漏洞、应用软件的漏洞、配置与使用不合理，使 Wi n d o w s 操作系统的安全性受到威胁。最好的办法是下载相关补丁进行升级，系统本身的配置不合理也是导致安全危险产生的原因，表现在：开放多余的服务、设置完全共享的目录、设置弱口令、不合理的访问控制、没有安装防病毒软件等方面。除操作系统自身设计和开发的缺陷，导致脆弱性的其他主要因素有：病毒木马、配置不当、系统服务。 3 校园网安全解决方案的提出为了解决人工安全检测出现的种种问题，网络安全需要全方位的考量，预

18、防、防御、管理等各个环节都不容忽视。校园网管理部门提出了针对安全问题的方案需求。要求新的安全管理解决方案能明显提高校园网的安全稳定性，解决校园网因病毒 ( 如 A R P 及各类蠕虫等) 、恶意攻击等造成掉线甚至断网问题，希望建设一个覆盖全网的安全管理系统，要求该系统能自动发现并消除或拟制病毒和攻击行为对网络造成的影响，能自动生成各类安全事件相关日志，具有严重安全事件报警功能。总体来说，各网络安全厂商的解决方案大致可分为 3 类： 3 1 网关控制模式该模式是由联想网御

19、和 D L i n k 主推的解决方案。该技术的特点是在全网的网关即出口位置安装流控设备、控制管理设备以及相应的安全策略设备。 3 2端口控制模式该模式是由 H 3 C 和锐捷网络主推的解决方案。该技术的特点是在全网的接入位置即所有的接入交换机上使用8 0 2 1 x 技术认证用户的身份。 3 3 杀毒软件控制模式该模式是由趋势科技和瑞星软件提出的解决方案。该技术的特点是采用纯软件的方法在网络上设置杀毒软件服务器，用户端安装对应杀毒软件的客户端。通过对三类方案对比研究后，决定采用出口控制+ 接入设备控制的双重安全解决方

20、案。依据此综合方案， “ 出口控制” 方案和“ 接入设备控制” 方案两部分的部分功能模块需要进行整合。新的方案以“ 接入设备控制 ” 方案为基础，把 “ 出口控制 ” 方案的功能加进来，同时利用“ 网络出口方案 ” 的终端安全性管理机制联动“ 接入设备端控制方案” 的8 0 2 1 x 强制认证机制，综合起来解决整网的安全管理问题。参考文献 1 】顾晨浅谈校同网网络安全及解决方案 I J 】网络通讯及安全， 2 0 0 8 ( O 1 ) ： p 4 3 4 4 3 6 【 2 1 赵毅高校校园计算机网络设计与实现【 D 】重庆大学， 2 0 0 6 ， 3 1 6 9 学兔兔 w w w .x u e t u t u .c o m

展开阅读全文