網(wǎng)絡安全之校園網(wǎng)絡規(guī)劃及安全技術畢業(yè)論文.doc

青島酒店管理職業(yè)技術學院畢業(yè)論文 0 青青島島酒酒店店管管理理職職業(yè)業(yè)技技術術學學院院 畢業(yè)設計（論文）畢業(yè)設計（論文） 設計（論文）題目： 網(wǎng)絡安全之校園網(wǎng)絡規(guī)劃及安全 技術 學 號： 1502100205 姓 名： 代秋霞 院 別： 信息工程技術學院 專 業(yè)： 電子商務 指導教師： 安述照 青島酒店管理職業(yè)技術學院教務處制 2018 年 5 月 6 日 青島酒店管理職業(yè)技術學院畢業(yè)論文 1 目目 錄錄 摘要4 關鍵詞4 第一章 校園網(wǎng)網(wǎng)絡概述.5 1.1 計算機網(wǎng)絡的發(fā)展與安全現(xiàn)狀.5 1.1.1 計算機網(wǎng)絡的發(fā)展5 1.1.2 計算機網(wǎng)絡安全的現(xiàn)狀6 1.2 校園網(wǎng)絡安全簡介6 1.2.1 校園網(wǎng)概念及其問題6 1.2.2 校園網(wǎng)的發(fā)展趨勢7 1.3 校園網(wǎng)的網(wǎng)絡構成7 1.3.1 校園網(wǎng)網(wǎng)絡體系結構概述7 1.3.2 校園網(wǎng)系統(tǒng)功能構成8 1.3.3 校園應用管理平臺8 1.3.4 校園網(wǎng)的建設目標8 第二章 校園網(wǎng)的安全隱患.9 2.1 威脅校園網(wǎng)安全的內(nèi)部因素9 2.1.1 軟硬件自身的漏洞9 2.1.2 設置上的失誤9 2.1.3 管理漏洞.10 2.2 威脅校園網(wǎng)安全的外部因素.10 2.2.1 網(wǎng)絡黑客的入侵.10 2.2.2 計算機病毒的破壞.10 2.3 校園網(wǎng)安全防御與應急關鍵設備技術11 青島酒店管理職業(yè)技術學院畢業(yè)論文 2 第三章 校園網(wǎng)絡安全對策分析 12 3.1 校園網(wǎng)絡安全策略概述12 3.1.1 網(wǎng)絡安全系統(tǒng)策略的制定.12 3.1.2 校園安全的設計原則.13 3.2 校園網(wǎng)絡安全體系結構設計.13 3.2.1 設計校園網(wǎng)絡安全體系的原則.13 3.2.2 校園網(wǎng)絡安全體系的設計內(nèi)容.13 3.3 校園網(wǎng)建設需求分析14 3.3.1 需求分析 14 3.3.2 關鍵設備.15 3.3.3 校園網(wǎng)絡拓撲.15 3.4 解決校園網(wǎng)安全問題的關鍵技術.15 3.4.1 防火墻部署.16 3.4.2 虛擬專用網(wǎng)(VPN)17 3.4.3 入侵檢測(IDS)17 3.4.4 計算機病毒防御.18 3.4.5 漏洞掃描.18 3.4.6 備份與恢復.18 3.4.7 網(wǎng)絡管理的安全.19 3.4.8 組網(wǎng)技術.19 3.4.9 網(wǎng)絡操作系統(tǒng).20 3.4.10 INTERNET 接入技術.20 3.4.11 建網(wǎng)方案21 3.5 校園網(wǎng)的運行.23 3.5.1 校園網(wǎng)的應用.24 3.5.2 校園網(wǎng)的管理.24 青島酒店管理職業(yè)技術學院畢業(yè)論文 3 參考文獻. 24 致謝.25 摘要:隨著互聯(lián)網(wǎng)的普及和國內(nèi)各高校網(wǎng)絡建設的不斷發(fā)展，目前高校大多建立了 校園網(wǎng)，它己經(jīng)成為高校信息化的重要組成部分。但隨著黑客入侵的增多及網(wǎng)絡 病毒的泛濫，校園網(wǎng)的安全已成為不容忽視的問題，如何在開放網(wǎng)絡的環(huán)境中保證 校園網(wǎng)的安全性已經(jīng)成為十分迫切的問題。 本文系統(tǒng)地介紹了網(wǎng)絡安全的概念、討論了校園網(wǎng)目前面臨的各種安全威脅。本 文針對校園網(wǎng)的建設目標，列出了應對校園網(wǎng)絡安全的關鍵技術，并結合校園網(wǎng)的 特點詳細論述了校園網(wǎng)安全防御的實現(xiàn)和措施，包括防火墻的設置，身份認證和數(shù) 據(jù)加密，入侵檢測，物理專用隔離網(wǎng)等等。最后本文分析了實際相關案例，使技術 與實際應用相結合，說明基于校園網(wǎng)網(wǎng)絡信息安全的運行模式和過程。 關鍵詞：校園網(wǎng); 網(wǎng)絡安全; 防火墻; 入侵檢測 精品 4 網(wǎng)絡安全之校園網(wǎng)規(guī)劃及安全技術 第一章 校園網(wǎng)網(wǎng)絡概述 隨著網(wǎng)絡技術的不斷發(fā)展，網(wǎng)絡安全已成為一個不可忽視的問題。伴隨著高校 校園數(shù)字化的不斷深入校園網(wǎng)安全越來越成為人們關注的焦點之一。本章系統(tǒng)地論 述了計算機網(wǎng)絡技術的發(fā)展以及當前網(wǎng)絡安全所面臨的主要問題，校園網(wǎng)的發(fā)展狀 況，校園網(wǎng)的拓撲結構，功能結構，校園網(wǎng)的建設目標等內(nèi)容。 1.1 計算機網(wǎng)絡的發(fā)展與安全現(xiàn)狀 自 1946 年第一臺計算機以來，計算機技術及網(wǎng)絡技術得到飛速發(fā)展，計算機網(wǎng) 絡已成為國民經(jīng)濟的重要支撐，發(fā)揮著舉足輕重的作用。與此同時，網(wǎng)絡安全問題 也成為一個不可忽視的問題。 1.1.1 計算機網(wǎng)絡的發(fā)展 Internet 是以 TCP/IP 協(xié)議為核心的一種計算機網(wǎng)絡體系結構的統(tǒng)稱。在計算 機網(wǎng)絡技術近 40 年的發(fā)展歷史中，曾經(jīng)涌現(xiàn)出各種各樣的計算機網(wǎng)絡體系結構和技 術，它們努力提供類似于 Internet 的功能和服務，但是都沒有像 Internet 能夠在 技術上和實踐上適應于各種變化，獲得今天這樣的巨大成功，并且正在對計算機網(wǎng) 絡技術的未來發(fā)展趨勢產(chǎn)生深刻的影響。隨著 Internet 規(guī)模的不斷擴大，新網(wǎng)絡技 術的不斷出現(xiàn)和網(wǎng)絡應用的發(fā)展，對 Internet 技術不斷提出新的挑戰(zhàn)。目前，負責 Internet 技術工作的 Internet 工程任務組織（IETF）正在九個領域開展技術研究。 由于網(wǎng)絡的規(guī)模和應用迅速發(fā)展，計算機信息網(wǎng)絡技術面臨的挑戰(zhàn)仍然是十分嚴峻 的。主要包括以下幾個方面： 1) 網(wǎng)絡的可擴展性 原先設計的 TCP 網(wǎng)絡技術不能適應 Internet 規(guī)模的不斷擴大，網(wǎng)絡的可擴展性 問題成為重要的技術挑戰(zhàn)。例如:網(wǎng)絡的地址空間不夠大;網(wǎng)絡主干網(wǎng)的速度需要大 大提高;采用多個 Internet 主干網(wǎng)后，網(wǎng)絡間的連接和路由選擇技術;大型分布式網(wǎng) 絡目錄系統(tǒng);網(wǎng)絡上大量零散信息，包括 WWW 信息的自動發(fā)現(xiàn)和檢索技術等等。 精品 5 2) 網(wǎng)絡的安全性 Internet 技術的靈活性和開放性使得它在安全方面存在一些安全漏洞。國際標 準化組織給網(wǎng)絡安全的定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理保護計算 機硬件軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞更改和泄露”。網(wǎng)絡的安全性問 題包括系統(tǒng)安全和網(wǎng)絡信息安全兩方面的內(nèi)容。這方面的技術挑戰(zhàn)包括:網(wǎng)絡和計算 機系統(tǒng)的技術設計漏洞;網(wǎng)絡和計算機系統(tǒng)口令的偷竊;協(xié)議出錯;認證出錯;信息泄 漏:防火墻技術;信息傳輸加密算法和電子簽名等等。 3) 網(wǎng)絡服務質(zhì)量 基于分組交換技術的 TCP/IP 協(xié)議不能保證網(wǎng)絡用戶獲得所需的網(wǎng)絡服務質(zhì)量， 這對于原先的 Internet 網(wǎng)絡應用無關緊要，但是對于許多新型的網(wǎng)絡應用 卻帶來麻煩，例如:像 Internet Phone、See you- See me、Video man 等實時的網(wǎng) 絡應用希望獲得固定的網(wǎng)絡帶寬。這方面的協(xié)議己經(jīng)在研究之中。 4) 新的網(wǎng)絡應用 新的網(wǎng)絡應用對 Internet/Intranet 技術的挑戰(zhàn)尤為巨大，由此也帶來了網(wǎng)絡 原始設計與規(guī)劃所未考慮或考慮不周的問題。 1.1.2 計算機網(wǎng)絡安全的現(xiàn)狀 近三年，全球信息網(wǎng)絡安全呈現(xiàn)出一些新特點，主要體現(xiàn)在如下幾個方面： 網(wǎng)絡威脅形式多樣，經(jīng)濟利益成為網(wǎng)絡攻擊的最大驅動力；網(wǎng)絡攻擊呈現(xiàn)出組 織嚴密化、行為趨利化、目標直接化的趨勢。網(wǎng)絡欺騙手段進一步升級，黑客不光 利用電子郵件和網(wǎng)站進行詐騙，具有“網(wǎng)絡釣魚”性質(zhì)的病毒也開始出現(xiàn)，勒索軟 件、網(wǎng)絡游戲、網(wǎng)絡銀行盜號木馬等被廣泛使用，都充分說明了經(jīng)濟利益已經(jīng)成為 網(wǎng)絡攻擊的最大驅動力。網(wǎng)絡黑客逐步形成了較為嚴密的組織，在組織內(nèi)部分工明 確，從惡意代碼的制作，惡意代碼的散布到敏感信息的竊取都有專人負責;網(wǎng)絡攻擊 從最初的技術炫耀轉向獲取經(jīng)濟利益，網(wǎng)絡攻擊的針對性和定向性越來越強;針對特 定目標的網(wǎng)絡攻擊具有更大的威脅和破壞性，信息安全防護形勢嚴峻。網(wǎng)絡安全除 以上情況外還包括以下幾個方面： 1) 漏洞數(shù)量居高不下，利用漏洞發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。安全漏 精品 6 洞是指在網(wǎng)絡系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯誤，攻擊 者利用這些缺陷和錯誤可以對網(wǎng)絡系統(tǒng)進行非授權的訪問或破壞。 2) 病毒傳播形式多元化。網(wǎng)站、移動存儲設備成為病毒傳播的新渠道。黑客們 越來越多地通過網(wǎng)站對用戶進行攻擊。此外，通過移動存儲設備傳播病毒使很多電 腦用戶飽受其害。 3) 信息新技術應用和組網(wǎng)模式帶來新的安全問題。無線射頻識別(RFID)、IPT 的應用、以及傳感器網(wǎng)絡、ad-hoc 等網(wǎng)絡通信模式的變化給信息安全帶來了一些新 挑戰(zhàn)。 1.2 校園網(wǎng)絡安全簡介 隨著網(wǎng)絡技術的發(fā)展和網(wǎng)絡應用的普及，校園網(wǎng)在國內(nèi)高等學校中已經(jīng)開始普 及。而且隨著國內(nèi)高校的教學發(fā)展，高校應用水平的提高，高等學校校園網(wǎng)的整體 水平和層次有了很大的提高。 1.2.1 校園網(wǎng)概念及其問題 “校園網(wǎng)”的概念是指大、中、小學教育單位的網(wǎng)絡，它以應用為目的，基于 Internet/Intranet 技術的計算機網(wǎng)絡和它的使用者以及相關規(guī)章制度的集合。一 個完整的校園網(wǎng)建設要緊緊圍繞“路、車、貨、駕駛員培訓”四大元素來進行。在 這四大元素中，“貨”是重點，它是校園網(wǎng)建設的核心。 這里，“路”是指物理網(wǎng)絡的搭建，包括四個方面：結構化布線、網(wǎng)絡連 通（網(wǎng)絡設備的選擇）、服務器的選擇、終端的選擇；“車”是指系統(tǒng)平臺的建設， 如教育行政管理平臺、教學管理平臺、資源庫管理平臺和校園網(wǎng)通信平臺，其中， 行政管理和教學平臺主要針對教育工作，資源庫平臺將為這兩個平臺提供詳盡的資 料；“貨”是指軟件（具體是指應用系統(tǒng)）的建設，它根據(jù)學校的需求選擇一些應 用軟件和硬件，一般學校常用的應用系統(tǒng)有多媒體網(wǎng)絡教室、多媒體電子閱覽室、 網(wǎng)絡多媒體課件制作系統(tǒng)、校園信息管理系統(tǒng)、視頻點播、學校主頁等；而“駕駛 員培訓”是指為適應現(xiàn)代網(wǎng)絡教學的要求而對相關人員進行的培訓。這是一個伸縮 性比較大的工作，從人員角度，培訓可分為四級：校長的培訓、校園管理員的培訓、 精品 7 青年骨干教師的培訓、全體教師的培訓，這些人員在培訓之后能夠針對學校的具體、 特殊的需求或是未來需求而提出切實可行的建議，以便能夠更好地進行系統(tǒng)的二次 開發(fā)。 目前校園網(wǎng)存在的四大問題： 缺少關于校園網(wǎng)建設的理論與實踐的科學認識； 缺乏系統(tǒng)思考和統(tǒng)一規(guī)劃，盲目地追求硬件建設與一次到位； 對教師進行計算機基礎應用及網(wǎng)絡培訓的意義，沒有意識或力度不夠； 對校園網(wǎng)的關鍵部分資源庫的建設相對滯后。 1.2.2 校園網(wǎng)發(fā)展趨勢 隨著網(wǎng)絡技術的發(fā)展和網(wǎng)絡應用的普及，校園網(wǎng)在國內(nèi)高等學校中已經(jīng)開始普 及。而且隨著國內(nèi)高校的教學發(fā)展，高校應用水平的提高，高等學校校園網(wǎng)的整體 水平和層次有了很大的提高。高等學校校園網(wǎng)發(fā)展呈現(xiàn)以下趨勢： 與校園網(wǎng)相關的網(wǎng)絡技術、應用技術發(fā)展更新的速度加快；新興的千兆以太網(wǎng)， 甚至萬兆以太網(wǎng)絡、ATM、網(wǎng)絡視頻等技術已被廣泛使用；校園辦公服務軟件的興起， 把學校教學、校務辦公、學校服務等有機地融合進校園網(wǎng)；利用校園網(wǎng)和互聯(lián)網(wǎng)， 發(fā)展了遠程教育系統(tǒng)，豐富了教學手段，拓展了辦學規(guī)模；同時 Internet 應用的發(fā) 展也拓展了高等教育的研究領域；新興的 Internet 應用學科蓬勃發(fā)展，特別是電子 商務應用系統(tǒng)的發(fā)展越來越受到廣大高等院校的重視，已經(jīng)被部分高校編入了教學 范圍。 1.3 校園網(wǎng)的網(wǎng)絡構成 校園網(wǎng)的網(wǎng)絡組成可以按照不同的標準來區(qū)分，通?？梢苑譃榘凑站W(wǎng)絡的拓撲 分為校園網(wǎng)的體系機構以及按網(wǎng)絡的功能分為校園網(wǎng)的功能結構。 1.3.1 校園網(wǎng)網(wǎng)絡體系結構概述 校園網(wǎng)安全策略的制定和實施是以各高校校園網(wǎng)的基礎體系結構和網(wǎng)絡應用具 體情況為依據(jù)和實施基礎的。因此在制定各高校的網(wǎng)絡安全策略和實施具體 精品 8 的安全策略之前，透徹分析本校的校園網(wǎng)體系結構,網(wǎng)絡拓撲結構，網(wǎng)絡的路由 策略，網(wǎng)絡的區(qū)域劃分，IP 及 VLAN 的規(guī)劃，網(wǎng)絡訪問策略，各應用系統(tǒng)的功能服 務對象，訪問限制等等是非常必要的，其性能直接影響到網(wǎng)絡安全策略的實施效果。 網(wǎng)絡體系結構是關于如何構建網(wǎng)絡的技術，它包括兩個層次的內(nèi)涵。一是要標 識出網(wǎng)絡系統(tǒng)由哪些部分組成，清晰地描述出各個部分的功能、目的和特點。二是 要描述網(wǎng)絡各個組成部分之間的關系，如何將各個部分有機地結合在一起，形成完 整的網(wǎng)絡系統(tǒng)，從而保證網(wǎng)絡有效地運轉，也就是將各個部分進行集成的方式或方 法。根據(jù)教育部教育管理信息化標準的要求，校園網(wǎng)的總體建設目標包括： 校園網(wǎng)基礎設施建設是我們數(shù)字化校園的基礎，它的建設水平和效果直接影 響到我們運行在校園網(wǎng)上的服務，影響到全校的教學、科研甚至影響到師生的日 常生活。校園網(wǎng)的建設包括根據(jù)自身的應用需求和特點進行校園網(wǎng)的體系結構的 設計，相關技術設備的選擇，網(wǎng)絡出口包括帶寬的選擇，設備之間拓撲關系的確 定，集成、調(diào)試，應用建設等關鍵環(huán)節(jié)，在這些環(huán)節(jié)當中也包含著對校園網(wǎng)絡安 全的考慮與設計。 近年的信息化建設，通過科研需求、教學應用、網(wǎng)絡辦公、網(wǎng)上娛樂等應用 建設和使用，網(wǎng)絡應用逐漸滲透到了校園生活的方方面面。上網(wǎng)備課，接收郵件， 網(wǎng)絡聊天，游戲購物，校園用戶聯(lián)網(wǎng)的時間一天天延長。教育部科技發(fā)展中心公 布的相關數(shù)據(jù)顯示，98.4%的高校教學、科研、行政辦公已經(jīng)全部聯(lián)入校園網(wǎng)，90.5%高 校的教室已提供了校園網(wǎng)接入環(huán)境，74.35%的學校在學生宿舍已經(jīng)接入網(wǎng)絡，校園 網(wǎng)覆蓋范圍正在逐步地擴大。同時各個高校的網(wǎng)絡應用建設也是搞得風風火火，從 原來的只提供部分特殊用戶的上網(wǎng)接入，只提供基本的 Web 和 Mail 服務發(fā)展到了增 加網(wǎng)絡出口，增加帶寬，建設各部門和學院的二級站點乃至個人站點，Video 視頻 點播系統(tǒng)、IPTV 網(wǎng)絡電視系統(tǒng)、各學科知識數(shù)據(jù)庫系統(tǒng)、教學、人事等業(yè)務系統(tǒng)， 精品課程、網(wǎng)上錄播、監(jiān)控等多種應用系統(tǒng)的建設?，F(xiàn)在各高校正制定各自的數(shù)字 化校園的規(guī)劃，新一輪的校園網(wǎng)應用建設和信息系統(tǒng)集成將展開，這對我們的校園 網(wǎng)基礎設施建設和網(wǎng)絡安全提出了新的挑戰(zhàn)。 精品 9 1.3.2 校園網(wǎng)系統(tǒng)功能構成 校園網(wǎng)作為校園網(wǎng)絡信息平臺應該由一個平臺和三個系統(tǒng)構成，即系統(tǒng)管理平 臺、校園公共信息系統(tǒng)、校園管理信息及辦公自動化系統(tǒng)、校園教-學資源庫系統(tǒng)。 1.3.3 校園應用管理平臺 校園應用系統(tǒng)管理平臺是一個可靠性高、安全性好、易管理的操作平臺。在此 平臺上可輕松的實現(xiàn)用戶注冊、系統(tǒng)的備份和恢復、用戶權限的設置以及資源的調(diào) 整、初始化等管理工作。通過使用 Intranet/Internet 技術以及先進的 XML 技術和 B/S 結構，實現(xiàn)了與 Internet 的無縫連接。 校園公共信息系統(tǒng)（Internet 服務系統(tǒng)）主要用于校園公共信息的管理，是學校 師生進行交流的場所，老師和學生通過公共信息系統(tǒng)將大大拓展信息交流的空間。 作為大學的信息門戶，該系統(tǒng)為全校師生提供校園討論區(qū)（BBS）、校園聊天室、 校園大事記、通知公告、信息發(fā)布等基礎信息服務。通過權限設置，實現(xiàn)角色化管 理，年級、班級、興趣小組等各類角色都可以根據(jù)自己定制的需求去查詢、發(fā)布信 息。 校園管理信息系統(tǒng)用于支持學校日常管理的各項工作。用戶通過使用人事管理、 教育教學管理、后勤管理、教學資源與應用平臺、圖書館管理、生活管理、醫(yī)療管 理等多個功能子系統(tǒng)可以方便快捷地處理各種復雜數(shù)據(jù)操作和文字錄入，完成各種 校園信息數(shù)據(jù)的有效管理。校園辦公自動化針對校園辦公需求不僅實現(xiàn)了便捷保密 的公文管理、檔案管理、信息交流，而且使每位老師、每個學生都擁有自己的信箱。 教學資源庫系統(tǒng)提供一致的資源管理和使用方式，實現(xiàn)簡便精確的資源獲取與 檢索，全面支持教學應用，包括對各類教學軟件庫、教學網(wǎng)絡平臺、電子閱覽室等 資源的分類、檢索和管理、多媒體教學、遠程教育等功能。 1.3.4 校園網(wǎng)的建設目標 網(wǎng)絡安全（Network Security）是抵御內(nèi)部和外部各種形式的威脅，以確保絡的 安全的過程。為了深入徹底地理解什么是網(wǎng)絡安全，必須理解網(wǎng)絡安全旨在保護的 精品 10 網(wǎng)絡上所面臨的威脅，理解一個能夠用于阻止這些攻擊的主要機制也是非常重要的。 通常，在網(wǎng)絡上實現(xiàn)最終的安全目標可通過下面的一系列步驟完成，每一都是為了 澄清攻擊和阻止攻擊的保護方法之間的關系。下面的步驟是在一個站上建立和實現(xiàn) 安全的方法： 第 1 步確定要保護的是什么； 第 2 步?jīng)Q定盡力保護它免于什么威脅； 第 3 步?jīng)Q定威脅的可能性； 第 4 步以一種劃算的方法實現(xiàn)保護資產(chǎn)的目的； 第 5 步不斷地檢查這些步驟，每當發(fā)現(xiàn)一個弱點就進行改進。 校園網(wǎng)絡系統(tǒng)需要實現(xiàn)以下安全目標： 保護網(wǎng)絡系統(tǒng)的可用性； 保護網(wǎng)絡系統(tǒng)服務的連續(xù)性； 防范網(wǎng)絡資源的非法訪問及非授權訪問； 防范入侵者的惡意攻擊與破壞； 保護信息通過網(wǎng)上傳輸過程中的機密性、完整性。 第 2 章 校園網(wǎng)的安全隱患 校園網(wǎng)在學校的日常活動中發(fā)揮著越來越重要的作用，與此同時，校園網(wǎng)的安 全問題也越來越突出，網(wǎng)絡病毒，黑客入侵，管理不善等原因使得校園網(wǎng)絡面臨著 嚴重的威脅。 2.1 威脅校園網(wǎng)安全的內(nèi)部因素 在校園網(wǎng)面臨的威脅當中，內(nèi)部因素是一個重要的方面，這其中既包括軟硬件 自身的缺陷，也包括管理者的管理水平等主觀方面的因素。 2.1.1 軟硬件自身的漏洞 來自硬件系統(tǒng)的安全威脅。一方面是指物理安全，主要是由于網(wǎng)絡硬件設備的 放置不合適或者防范措施不得力，使得服務器、工作站、交換機、路由器等網(wǎng)絡設 備，光纜和雙絞線等網(wǎng)絡線路以及 UPS 和電纜線等電源設備遭受自然雷電、水、火 精品 11 意外事故或人為破壞等等而造成的校園網(wǎng)不能正常使用。另一方面是指設置安全。 主要是在設備上進行必要的設置，防止黑客取得硬件設備的遠程控制權等等。硬件 系統(tǒng)安全是制訂校園網(wǎng)安全整體解決方案時首先應考慮的問題。 系統(tǒng)安全漏洞是指系統(tǒng)在設計時沒有考慮到的缺陷，特別是操作系統(tǒng)，因為這 些軟件一般都比較的復雜、龐大，有時會因為程序員的疏忽或軟件設計上的失誤而 留下一些漏洞。理論上講任何一個系統(tǒng)都不同程度地存在著漏洞。因為系統(tǒng)漏洞的 存在，使得針對系統(tǒng)漏洞的網(wǎng)絡攻擊和蠕蟲病毒也層出不窮。攻擊者對系統(tǒng)漏洞進 行攻擊，入侵成功后將獲得系統(tǒng)的相應權限，進而盜取重要資料或對系統(tǒng)進行破壞 活動。目前學校的計算機系統(tǒng)絕大多數(shù)都是使用 Windows2000/XP 操作系統(tǒng)，而 Windows 操作系統(tǒng)是不太安全的。因為 Windows 操作系統(tǒng)的漏洞比較多，由 Windows 操作系統(tǒng)漏洞引發(fā)的不安全問題時有發(fā)生。此外，應用系統(tǒng)也不例外，如 IE、Office 辦公軟件、Ms-SQL、Oracal 等軟件也存在安全漏洞。 2.1.2 設置上的失誤 合理規(guī)劃配置設施是校園網(wǎng)發(fā)揮作用的關鍵。在校園網(wǎng)規(guī)劃時，應考慮長遠， 因為一旦綜合布線、設備配置完成再進行調(diào)整可能需要再重新設計網(wǎng)絡結構，很多 地方需要重新布線，網(wǎng)絡設備也需要重新設置，這樣既浪費人力，物力，也會影響 到教學。對于一些重要的場所，例如圖書館、電子閱覽室、資料室、電腦室、多媒 體制作室、教室、辦公室等應多設信息點。同時網(wǎng)絡集成公司的技術實力、施工質(zhì) 量及其五花八門的“解決方案“大多是自吹自擂，并沒有通過權威部門的評審、鑒定， 致使網(wǎng)絡市場處于一種比較混亂的局面。 2.1.3 管理漏洞 管理是信息網(wǎng)絡安全中最重要的部分。責權不明，管理混亂、安全管理制度不 健全及缺乏可操作性等都可能引起管理安全的風險，主在體現(xiàn)在以下幾點: 1) 內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡結構、管理員用戶名及口令以及系統(tǒng)的一些 重要信息傳播給外人帶來信息泄漏風險； 2) 機房出入管理不嚴格，使入侵者能夠接近重要設備而帶來信息安全風險； 精品 12 3) 一些心懷不滿的內(nèi)部員工，由于熟悉服務器、小程序、腳本和系統(tǒng)的弱點， 進行如復制、刪除數(shù)據(jù)等非法數(shù)據(jù)操作，造成極大的安全風險； 4) 當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操 作等)，無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提 供攻擊者攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡的可控性與可審查性。 建立全新網(wǎng)絡安全機制，必須深刻理解網(wǎng)絡并能提供直接的解決方案，因此， 最可行的做法是管理制度和管理解決方案的結合。 2.2 威脅校園網(wǎng)安全的外部因素 雖然內(nèi)部因素威脅著校園網(wǎng)的安全，但是在絕大多情況下，網(wǎng)絡病毒，黑客 入侵等外部因素對網(wǎng)絡構成很大威脅。 2.2.1 網(wǎng)絡黑客的入侵 “黑客”一詞是由英語 Hacker 英譯出來的，是指專門研究、發(fā)現(xiàn)計算機和 網(wǎng)絡漏洞的計算機愛好者。他們伴隨著計算機和網(wǎng)絡的發(fā)展而產(chǎn)生成長。黑客對 計算機有著狂熱的興趣和執(zhí)著的追求，他們不斷地研究計算機和網(wǎng)絡知識，發(fā)現(xiàn) 計算機和網(wǎng)絡中存在的漏洞，喜歡挑戰(zhàn)高難度的網(wǎng)絡系統(tǒng)并從中找到漏洞，然后 向管理員提出解決和修補漏洞的方法。 由于校園網(wǎng)規(guī)模巨大，各種設備系統(tǒng)差異有很大差異，給管理帶來了很大的 挑戰(zhàn)，同時也成為黑客攻擊的對象。黑客攻擊已成為校園網(wǎng)安全不可忽視的一個 因素。 2.2.2 計算機病毒的破壞 一般來說，計算機網(wǎng)絡的基本構成包括網(wǎng)絡服務器和網(wǎng)絡節(jié)點站（包括有盤工 作站、無盤工作站和遠程工作站）。計算機病毒一般首先通過各種途徑進入到有盤 工作站，也就進入網(wǎng)絡，然后開始在網(wǎng)上的傳播。具體地說，其傳播方式有以下幾 種。 病毒直接從工作站拷貝到服務器中或通過郵件在網(wǎng)內(nèi)傳播； 精品 13 病毒先傳染工作站，在工作站內(nèi)存駐留，等運行網(wǎng)絡盤內(nèi)程序時再傳染給服 務器； 病毒先傳染工作站，在工作站內(nèi)存駐留，在病毒運行時直接通過映像路徑傳 染到服務器中； 如果遠程工作站被病毒侵入，病毒也可以通過數(shù)據(jù)交換進入網(wǎng)絡服務器中一 旦病毒進入文件服務器，就可通過它迅速傳染到整個網(wǎng)絡的每一個計算機上。 2.3 校園網(wǎng)安全防御與應急關鍵設備技術 1) 防火墻及技術 它為網(wǎng)絡通信、數(shù)據(jù)傳輸提供更有保障的安全性。分為包過濾防火墻（檢查每 個 IP 包的字段，如源地址、目標地址、端口等 ）；狀態(tài)檢測防火墻（動態(tài)檢查 網(wǎng)絡連接和包）；應用程序代理防火墻（與特定應用程序配合使用）。 防火墻性能：最大帶寬、并發(fā)連接數(shù)、每秒新增連接數(shù)、丟包和延遲；自身安 全性。 防火墻產(chǎn)品：Juniper 的 Net Screen；Cisco 的 Pix；天融信防火墻；天網(wǎng)防火 墻。 2) 入侵檢測與防御及技術 它能及時發(fā)現(xiàn)網(wǎng)絡異常行為，并阻止其進一步發(fā)展。入侵檢測技術包括以下幾 種：基于誤用檢測技術（檢測與異常規(guī)則相匹配的網(wǎng)絡行為）；基于異常檢測技術 （檢測偏離了正常規(guī)則的網(wǎng)絡行為）。入侵檢測核心技術：模式匹配、基于統(tǒng)計方 法、預測模式生成等。防火墻性能：降低誤報率、漏報率；入侵檢測產(chǎn)品有：CA 的 Intrusion Detection,啟明星辰的天闐 IDS 等。 3) 防病毒及技術 它能及時發(fā)現(xiàn)病毒，并清除，阻止病毒進一步傳播、擴散。防病毒核心技術有： 特征代碼匹配、病毒特征自動發(fā)現(xiàn)、啟發(fā)式搜索等，防病毒產(chǎn)品有： Norton、Kaspersky、金山毒霸、瑞星殺毒軟件等。 精品 14 4) 反垃圾郵件及技術 它能過濾、阻止大量的非正常的電子郵件。反垃圾郵件機理：IP 地址、域名、 郵件地址黑白名單方式；基于垃圾郵件行為模式識別模型 ；Domainkeys 方式(基于 PKI 的方式對郵件發(fā)送者進行驗證，對郵件信息進行加密保護，對收信人實現(xiàn)防抵賴 機制)；基于信頭、信體、附件的內(nèi)容過濾方式；反垃圾郵件產(chǎn)品有：防垃圾郵件網(wǎng) 關，如冠群金辰 的 Kill 赤霄郵件過濾網(wǎng)關；防垃圾郵件防火墻，如：博威特的梭子 魚垃圾郵件防火墻。 5) 內(nèi)容過濾及技術 它能阻止不健康、反動信息的復制、傳播。過濾方法有：基于關鍵字、權重關 鍵字、基于 URL 的過濾；基于文字內(nèi)容的深度搜索；一般在防病毒網(wǎng)關、反垃圾郵 件系統(tǒng)中集成。 根據(jù)本章所提出的校園網(wǎng)所面臨的安全威脅，我們除了選取良好的拓撲結構外, 一般還要注意安全保密, 以防止信息的非授權訪問; 要注意數(shù)據(jù)的完整性與精確性, 使信息在存儲或傳輸過程中不被破壞、丟失或不被未經(jīng)授權的惡意或偶然的修改; 注意其可用性, 使計算機的硬件和軟件保持有效的運行, 并且系統(tǒng)在發(fā)生災難時能 夠快速完全地恢復。要防止侵襲者通過非法途徑進入計算機系統(tǒng), 偷盜有用的數(shù)據(jù) 信息, 重點保護系統(tǒng)中容易被攻擊的脆弱點。根據(jù)目前的技術水平, 我們可采取身 份驗證、訪問控制、加密、防火墻技術、記賬、雙備份等安全措施來加以防范。在 校園網(wǎng)安全規(guī)劃時, 對于在什么地方應采取什么樣的安全措施, 事先都必須給予充 分的考慮, 以確保校園網(wǎng)的安全，對于這些問題我們將在下一章節(jié)予以研究。 第 3 章 校園網(wǎng)絡安全對策分析 3.1 校園網(wǎng)絡安全策略概述 隨著網(wǎng)絡應用的開展，要建立一個安全的網(wǎng)絡體系，首先應花較大的精力制 定周密的網(wǎng)絡安全策略，這是最重要的一步。在網(wǎng)絡安全的實施中，技術只是手 段，還應該先對網(wǎng)絡安全管理有個清晰的概念，然后制定翔實的安全策略，最后 精品 15 才是選擇合適的產(chǎn)品用以具體實施和構建安全系統(tǒng)。 要建設一個安全的網(wǎng)絡安全體系，必須采取相應的策略，根據(jù)實際的需求不 同，采取的策略可能有一些不同之處，但大都包括下述策略。 3.1.1 網(wǎng)絡安全系統(tǒng)策略的制定 物理安全的目的是保護路由器、交換機、工作站、各種網(wǎng)絡服務器、打印機 等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊;確保網(wǎng)絡設備 有一個良好的電磁兼容工作環(huán)境;妥善保管備份磁帶和文檔資料;防止非法人員進入 機房進行破壞活動。 采用網(wǎng)絡隔離手段可有效減小信息的傳播面，從而增加信息的安全性。應根 據(jù)業(yè)務劃分、保密要求等因素的差異將網(wǎng)絡進行分段隔離，它可從底層有效地 控制信號傳播途徑及傳播范圍，實現(xiàn)更為細化的安全控制體系，將攻擊和入侵造 成的威脅限制在較小的子網(wǎng)內(nèi)，提高網(wǎng)絡整體的安全水平。路由器、虛擬局域網(wǎng) (VLAN)、防火墻是當前主要的網(wǎng)絡分段手段。 在經(jīng)費允許范圍內(nèi)，盡可能選用安全級別較高的網(wǎng)絡操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)， 以安全套件加固 TCP/IP 各層。如因受客觀條件限制，難以對網(wǎng)絡操作系統(tǒng)及數(shù)據(jù)庫 系統(tǒng)進行選擇，則其他核心軟件，如防火墻、入侵檢測、網(wǎng)絡安全漏洞掃描軟件等 應盡可能地選用經(jīng)國家網(wǎng)絡安全權威機構評審通過的優(yōu)秀國產(chǎn)軟件。 最小授權原則指網(wǎng)絡中賬號設置服務配置主機間信任關系配置等應該為網(wǎng)絡正 常運行所需的最小限度。關閉網(wǎng)絡安全策略中沒有定義的網(wǎng)絡服務并將用戶的權限 配置為策略定義的最小限度、及時刪除不必要的賬號等措施可以將系統(tǒng)的危險性大 大降低。 在網(wǎng)絡安全中，除了采用技術措施之外，制定有關規(guī)章制度，對于確保網(wǎng)絡 安全、可靠地運行將起到十分有效的作用。規(guī)章制度作為一項核心內(nèi)容，應始終 貫穿于系統(tǒng)的安全生命周期。一般來說，安全與方便通常是互相矛盾的。一旦安 全管理與其它管理服務存在沖突的時候，網(wǎng)絡安全往往會作出讓步，或許正是由 于一個細微的讓步，最終導致了整個系統(tǒng)的崩潰。因此，嚴格執(zhí)行安全管理制度 精品 16 是網(wǎng)絡可靠運行的重要保障。 3.1.2 校園安全的設計原則 校園網(wǎng)覆蓋整個校區(qū)，在網(wǎng)絡性能上應該考慮以下幾項要求：數(shù)據(jù)處理、通信 處理能力強，響應速度快。網(wǎng)絡運行的安全性、可靠性高。網(wǎng)絡能夠容易得進行擴 容、升級和管理。主干網(wǎng)的帶寬要高，可以支持多媒體等視頻業(yè)務的開展和滿足數(shù) 據(jù)流量不斷增長的要求。 此外，在校園網(wǎng)建設的具體實施中需要注意的設計原則包括： 堅持開放型，采用國際標準和通用標準； 盡量采用先進、成熟的組網(wǎng)技術； 強調(diào)實用性、并盡可能達到性能價格比最優(yōu)； 統(tǒng)一規(guī)劃、分布實施。 3.2 校園網(wǎng)絡安全體系結構設計 構建安全高效的校園網(wǎng)絡是校園網(wǎng)建設的目標之一，校園安全體系結構的建設 是其中的重要一環(huán)，安全體系設計的好壞是校園網(wǎng)成敗的關鍵。 3.2.1 設計校園網(wǎng)絡安全體系的原則 根據(jù)網(wǎng)絡安全性設計的要求設計網(wǎng)絡安全體系時應遵循安全性，可行性，高效 性，可承擔性等原則，分別闡述如下： 1) 安全性:設計網(wǎng)絡安全體系的最終目的是為保護信息與網(wǎng)絡系統(tǒng)的安全，所 以安全性成為首要目標。要保證體系的安全性，必須保證體系的完備性和可擴展性。 2) 可行性:設計網(wǎng)絡安全體系不能純粹地從理論角度考慮，再完美的方案，如 果不考慮實際因素，也只能是一些廢紙。設計網(wǎng)絡安全體系的目的是指導實施，如 果實施的難度太大以至于無法實施，那么網(wǎng)絡安全體系本身也就沒有了實際價值。 3) 高效性:構建網(wǎng)絡安全體系的目的是能保證系統(tǒng)的正常運行，如果安全影響 了系統(tǒng)的運行，那么就需要進行權衡了，必須在安全和性能之間選擇合適的平衡點。 精品 17 網(wǎng)絡系統(tǒng)的安全體系包含一些軟件和硬件，它們也會占用網(wǎng)絡系統(tǒng)的一些資源。因 此，在設計網(wǎng)絡安全體系時必須考慮系統(tǒng)資源的開銷，要求安全防護系統(tǒng)本身不能 妨礙網(wǎng)絡系統(tǒng)的正常運轉。 4) 可承擔性:網(wǎng)絡安全體系從設計到實施以及安全系統(tǒng)的后期維護、安全培訓 等各個方面的工作都要由學校來支持，要為此付出一定的代價和開銷。如果我們付 出的代價比從安全體系中獲得的利益還要多，那么我們就不該采用這個方案。 3.2.2 校園網(wǎng)絡安全體系的設計內(nèi)容 一個完整的安全體系應該包含五個安全層面，分別為數(shù)據(jù)保密層，應用層，用 戶層，系統(tǒng)層和網(wǎng)絡層。數(shù)據(jù)保密層重點關注應用層的數(shù)據(jù)安全，因而在數(shù)據(jù)保密 層優(yōu)先考慮數(shù)據(jù)加密算法。應用層的重點是網(wǎng)絡應用中的存取控制和授權。在用戶 層，校園網(wǎng)絡安全體系的主要內(nèi)容包括用戶的管理，登錄，認證。而系統(tǒng)層側重與 操作系統(tǒng)的防病毒，入侵檢測，審計分析。網(wǎng)絡層針對網(wǎng)絡底層數(shù)據(jù)的通訊安全提 出解決方案。 3.3 校園網(wǎng)建設需求分析 3.3.1 需求分析 局域網(wǎng)最大的特點就是可以實現(xiàn)資源的最佳利用,如:共享磁盤設備、打印機等, 從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件,并可在任何一臺共享打印機上進行打印; 當然也可以借助 Wingate 或 Sygate 等軟件多機共享一臺 Modem 上網(wǎng)；或者通過代 理服務器連上 Internet，享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為：10Mbps 網(wǎng) 卡（ISA 插口或 PCI 插口）、100Mbps PCI 插口網(wǎng)卡、10Mbps/100Mbps 自適應網(wǎng)卡 和千兆網(wǎng)卡。目前 10Mbps ISA 插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份額， 但由于 10Mbps ISA 插口網(wǎng)卡的網(wǎng)絡傳輸速率低，且占用大量的 CPU 資源，只適應 于那些對速度要求不高的局域網(wǎng)，因此用 100Mbps PCI 插口的網(wǎng)卡或者 10Mbps/100Mbps 自適應網(wǎng)卡，夠適應于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進 行多媒體信息傳輸?shù)膽铆h(huán)境。 精品 18 BNC 口是用細同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。RJ45 是采用雙絞線作 為傳輸媒介的一種網(wǎng)卡接口，RJ45 的接口酷似電話線的接口，但網(wǎng)絡線使用的是 8 芯的接頭，使用 RJ45 的缺點是架設成本高，但安裝和維護較為方便，因此我們一般 使用 RJ45 接口。集線器 (HUB):根據(jù)微機的數(shù)量,利用 HUB 構成星形結構 ,在工作 站較多的情況下 ,會因 HUB 的處理速率遠遠低于通信線路的傳輸速度 ,從而造成瓶 頸問題。因此有條件的話可選用交換機。一個 Hub 所組成的域稱為沖突域 ,也就是 說 ,網(wǎng)絡上任何一臺計算機在收發(fā)數(shù)據(jù)時 ,其他所有計算機都能夠收到 ,且這些計算 機不能同時進行數(shù)據(jù)的收發(fā) ,否則會發(fā)生碰撞(CSMA/ CD 協(xié)議會阻止碰撞 )。此外 每臺接入 Hub 的計算機 ,都要檢測接收到的數(shù)據(jù)目的地址 ,以確認是否是收到自己 的通信信息 ,因此計算機 CPU 占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級 別應用。 學校校園網(wǎng)是為學校師生提供教學、管理、科研和綜合信息服務的寬帶多媒體 網(wǎng)絡；是學校信息化教學環(huán)境的基礎設施和實現(xiàn)各項管理的物質(zhì)基礎；是建立遠程 教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項靈魂工程。其設計方 案應注意以下原則： 實用性校園網(wǎng)設計應能滿足學校目前對網(wǎng)絡應用的要求，充分實現(xiàn)學校內(nèi)部管 理、教學和科研的網(wǎng)絡化、信息化的要求，使網(wǎng)絡的整體性能盡快得到充分的發(fā)揮， 并且便于掌握。 可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡結構較為復雜，同時在部分子系統(tǒng)中存在較高的技 術性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，具有很高的 MTBF(平均無故障 工作時間)和極低的 MTBR(平均無故障率)，提高容錯設計，支持故障檢測和恢復， 可管理性強。 統(tǒng)一性在系統(tǒng)的設計過程中，堅持“三統(tǒng)一“，即統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一出 口。 先進性在系統(tǒng)的開發(fā)過程中，既能滿足當前院校對網(wǎng)絡的應用需求，又可以在 將來需要擴展的時候，能方便地擴展，保護目前的所有投資；設計的配置可以靈活 精品 19 變通，以便適應客戶的其他要求。 3.3.2 關鍵設備 在產(chǎn)品選購之前一定要經(jīng)過認真的分析，這次參與組網(wǎng)的機構選用美國 Cisco 公司的 Catalyst 6506 作為數(shù)據(jù)網(wǎng)絡系統(tǒng)的內(nèi)部核心交換機，Catalyst 6506 是大容量 的具有高交換能力的第三層模塊化交換機，Catalyst 6506 的交換容量以及端口數(shù)量 等技術指標足以滿足網(wǎng)絡目前的需求。選擇 Catalyst 3548 作為外網(wǎng)交換機?？梢酝?過千兆的光纖鏈路連接到核心交換機，而所有的用戶終端可以通過 10/100M 自適應 通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交換機上。選擇 Catalyst 3524 和 Catalyst 3548 作為計算機網(wǎng)絡系統(tǒng)的二級匯聚交換機，為終端用戶提供 10/100M 到 桌面。選擇 Cisco 3662 作為計算機網(wǎng)絡系統(tǒng) DDN、ISDN 訪問路由器，既可以滿足 上級單位 Internet 的 DDN、ISDN 接入的需求，又可以滿足繼續(xù)擴展的需求。同時 Cisco 3662 作為計算機網(wǎng)絡系統(tǒng)的撥號服務器，提供分支機構的撥號接入。 網(wǎng)絡核心層：用一臺 Cisco 的高端三層交換機 Catalyst 6506 作為整個交換系統(tǒng) 的核心，由網(wǎng)絡中心網(wǎng)絡管理員統(tǒng)一調(diào)度，從而使計算機網(wǎng)絡系統(tǒng)成為一個具有整 合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡通信平臺。其中配置兩個電 源同時供電，彼此分擔負荷并互為備份。一塊 WS-X6K-S1A-MSFC2 交換引擎是交 換機的心臟，它控制交換機的尋址、數(shù)據(jù)轉發(fā)、模塊控制等。 Catalyst6506 交換機 引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有極強的三層交換能力， 利用 Cisco 特有的 Netflow 技術，完全滿足核心線性三層交換的能力。另一塊 WS- X6408-GBIC 的 8 端口千兆以太光纖模塊將所有的匯聚層設備、接入層設備、網(wǎng)管 工作站及網(wǎng)絡應用服務器都直接連入到核心層設備上去。 匯聚層：在分配線間分別設立 Cisco Catalyst 3524 和 Catalyst 3548 作為計算機網(wǎng) 絡系統(tǒng)匯聚層設備，匯聚層設備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設備 Catalyst 6506 上去，終端用戶可以通過超 5 類 UTP 線纜連接到各層交換機中去，可 以實現(xiàn) 10/100M 的自適應通道連接到局域網(wǎng)中去。 精品 20 接入層；在網(wǎng)絡接入層中我們選用了一臺 Cisco 3660 路由器作為廣域互連和外 部用戶撥號訪問網(wǎng)關，其中主要采用了兩種接入方式分別實現(xiàn)各自功能： 1. ADSL 接入方式。 2. FTTX+LAN 接入方式。 3.3.3 校園網(wǎng)網(wǎng)絡拓撲結構 根據(jù)校園網(wǎng)的需求分析及建設目標，設計方案采用交換式千兆以太網(wǎng)作為主干， 百兆交換到桌面。網(wǎng)絡拓撲采用星型樹結構，網(wǎng)絡中心的交換機使用堆疊方式連接。 3.4 解決校園網(wǎng)安全問題的關鍵技術 解決校園網(wǎng)安全問題的關鍵技術包括防火墻，虛擬專用網(wǎng)，入侵檢測，病毒防 御，備份與恢復，漏洞掃描等。 3.4.1 防火墻部署 防火墻指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道執(zhí)行控制策略的防御系統(tǒng)。它 對網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進行檢查，以決定通信是否被允許， 對外屏蔽內(nèi)部網(wǎng)的信息、結構和運行狀況，并提供單一的安全和審計的安裝控制點， 從而達到保護內(nèi)部網(wǎng)絡的信息不被外部非授權用戶訪問和過濾不良信息目的。 防火墻根據(jù)功能可以分成個人防火墻和網(wǎng)絡防火墻，根據(jù)實現(xiàn)方法可以分成 硬件防火墻和軟件防火墻，根據(jù)結構可以分成包過濾(packet filtering)、狀態(tài)檢 測(State inspection)、應用層代理(即 application proxies)、內(nèi)容過濾/狀態(tài)包 過濾(content filtering/state packet filtering)防火墻。防火墻結構如圖 3-1 所示。 圖 3-1 典型防火墻結構 網(wǎng)絡防火墻用以保護企業(yè)網(wǎng)絡等較大的復雜網(wǎng)絡，以處理更多的用戶。軟件防 精品 21 火墻和硬件防火墻是個相對概念，基本上，所有的防火墻都需要軟件的處理部分。 硬件防火墻指的是將防火墻軟件和特定硬件平臺集成在一起的應用。軟件防火墻則 是指對底層硬件沒有特殊要求，可以安裝在 Windows、Unix 系統(tǒng)直接使用的防火墻。 根據(jù)防火墻的工作原理所有的防火墻從體系結構上都可以分為數(shù)據(jù)獲取、應用 處理和數(shù)據(jù)傳輸三大部分。通常情況下，數(shù)據(jù)獲取和數(shù)據(jù)傳輸是由軟、硬件兩部分 共同實現(xiàn)的。其中，硬件部分一般是防火墻設備的網(wǎng)絡接口設備;數(shù)據(jù)獲取的軟件部 分是負責將硬件獲取的網(wǎng)絡通訊信息從網(wǎng)絡接口設備的緩沖區(qū)傳送到操作系統(tǒng)緩沖 區(qū)進行處理的軟件代碼，數(shù)據(jù)傳輸?shù)能浖糠謩t是執(zhí)行與數(shù)據(jù)獲取相反的工作的軟 件代碼，這些代碼主要作用是將防火墻需要發(fā)送的數(shù)據(jù)包從操作系統(tǒng)緩沖區(qū)中傳送 到相應的網(wǎng)絡接口設備并傳送出去。防火墻將接收到的數(shù)據(jù)包傳送給應用功能模塊， 進行相應的處理。不同的防火墻可能具有不同的應用功能，這些功能可能是包過濾、 狀態(tài)檢測、內(nèi)容過濾、加密、NAT、IDS、VPN、各種代理服務等等。 3.3.2 虛擬專用網(wǎng)(VPN) 虛擬專用網(wǎng)不是真的專用網(wǎng)絡，但卻能夠實現(xiàn)專用網(wǎng)絡的功能。虛擬專用網(wǎng)指 的是依靠 ISP(Internet 服務提供商)和其它 NSP(網(wǎng)絡服務提供商)，在公用網(wǎng)絡中 建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒 有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 VPN 分為三種類型:遠程訪問虛擬網(wǎng)(Access VPN)、企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)和企業(yè)擴展虛擬網(wǎng)(Extranet VPN)，這三種類型的 VPN 分別與傳統(tǒng)的遠程訪問 網(wǎng)絡、企業(yè)內(nèi)部的 Intranet 以及企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構成的 Extranet 相對應。 3.3.3 入侵檢測(IDS) 為進一步保護網(wǎng)絡的安全性，需應用入侵檢測技術，對網(wǎng)絡入侵進行實時檢 測，即對網(wǎng)絡活動和系統(tǒng)事件進行實時監(jiān)控。實時入侵檢測強調(diào)時間性，是連續(xù)、 不間斷地監(jiān)控、檢測、響應、防護循環(huán)過程，實時入侵檢測必須實時執(zhí)行。 精品 22 計算機信息網(wǎng)絡設置了防火墻后可以解決多數(shù)網(wǎng)絡安全問題，但是防火墻不是 萬能的，不能提供實時的入侵檢測能力。有些攻擊行為僅僅依靠防火墻是不能防范 的，比如如果攻擊行為從內(nèi)部網(wǎng)絡上發(fā)起，那么對主機的訪問就不需要通過防火墻， 防火墻也就不能對主機進行保護了。一個簡單的入侵檢測系統(tǒng)，如圖 3-2 所示。 圖 3-2 簡單 IDS 系統(tǒng) 入侵監(jiān)測的功能通過執(zhí)行以下任務來實現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構 造和弱點的審計;識別反映已知進攻的活動模式并向相關人士報警;異常行為模式的 統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理，并識別用 戶違反安全策略的行為。 防火墻與入侵檢測這兩種技術具有較強的互補性。目前，實現(xiàn)入侵檢測和防 火墻之間的聯(lián)動有兩種方式可以實現(xiàn)，一種是實現(xiàn)緊密結合，即把入侵檢測系統(tǒng)嵌 入到防火墻中，即入侵檢測系統(tǒng)的數(shù)據(jù)來源不再來自于抓包，而是流經(jīng)防火墻的數(shù) 據(jù)流。所有通過的數(shù)據(jù)包不僅要接受防火墻檢測規(guī)則的驗證，還需要經(jīng)過入侵檢測， 判斷是否具有攻擊性，以達到真正的實時阻斷，這實際上是把兩個產(chǎn)品合成一體。 但是，由于入侵檢測系統(tǒng)本身也是一個很龐大的系統(tǒng)，所以無論從實施難度、合成 后的性能等方面都會因此受到很大影響。所以，目前還沒有廠商做到這一步，仍處 于理論研究階段。但是不容否認，各個安全產(chǎn)品的緊密結合是一種趨勢。第二種方 式是通過開放接口來實現(xiàn)聯(lián)動，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方調(diào) 用，按照一定的協(xié)議進行通訊、警報和傳輸。目前開放協(xié)議的常見形式有:安全廠家 提供 IDS 的開放接口，為各個防火墻廠商使用，以實現(xiàn)互動。這種方式比較靈活， 不影響防火墻和入侵檢測系統(tǒng)的性能。 3 3.3.4 計算機病毒防御 計算機病毒是指編制或者在計算程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)， 影響計算機使用，并能夠自我復制或者在計算程序中插入的破壞計算機功能 或者毀壞數(shù)據(jù)，影響計算機使用，并能夠自我復制的一組計算機指令或者程序代 精品 23 碼，隨著因特網(wǎng)技術的發(fā)展，這一計算機病毒的定義也在進一步擴大化，一些帶有 惡意性質(zhì)的特洛伊木馬程序，黑客程序和蠕蟲程序等從廣義角度也被歸入計算機病 毒的范疇。 從發(fā)展的角度來看，計算機病毒屬于惡意代碼的一種，惡意代碼(malicious code)是一種程序，它可以表述為人為編制的，干擾計算機正常運行并造成計算機軟 硬件故障，甚至破壞數(shù)據(jù)的計算機程序或指令集合都認為是惡意代碼。惡意代碼通 過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數(shù)據(jù)、 運行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。 惡意軟件的傳染結果包括浪費資源、破壞系統(tǒng)、破壞一致性，數(shù)據(jù)丟失和被竊并能 讓客戶端的用戶失去信心。 按傳播方式分類，惡意代碼可以分成幾類:病毒，木馬，蠕蟲，間諜軟件及 移動代碼等。多種復合攻擊技術的使用已經(jīng)使得安全防護不僅僅是針對互聯(lián)網(wǎng)早期 某種病毒防護那么簡單。而計算機病毒的防御是一個系統(tǒng)工程，內(nèi)容涉及防病毒軟 件、補丁升級、以及合理的安全管理規(guī)范等方面。 3.3.5 漏洞掃描 計算機漏洞是系統(tǒng)的一組特性，惡意的主體(攻擊者或者攻擊程序能夠利用這組 特性，通過已授權的手段和方式獲取對資源的未授權訪問，或者對系統(tǒng)造成損害。 這里的漏洞既包括單個計算機系統(tǒng)的脆弱性，也包括計算機網(wǎng)絡系統(tǒng)的漏洞。當系 統(tǒng)的某個漏洞被入侵者滲透(exploit)而造成泄密時，其結果就稱為一次安全事件 (Security Incident)。 漏洞掃描其基本原理是采用模擬黑客攻擊的方式對目標可能存在的己知漏洞進 行逐項檢測，以便對工作站、服務器等各種對象進行安全漏洞檢測。網(wǎng)絡漏洞掃描 在保障網(wǎng)絡安全方面起到越來越重要的作用。借助網(wǎng)絡漏洞掃描，安全管理人員可 以發(fā)現(xiàn)網(wǎng)絡和主機存在的對外開放的端口、提供的服務某些系統(tǒng)信息、錯誤的配置、 已知的安全漏洞等。面對互聯(lián)網(wǎng)入侵，如果根據(jù)具體的應用環(huán)境，盡可能早地通過 網(wǎng)絡掃描來發(fā)現(xiàn)安全漏洞，并及時采取適當?shù)奶幚泶胧┻M行修補，就可以有效地阻 精品 24 止入侵事件的發(fā)生。 3.3.6 備份與恢復 建立完整的網(wǎng)絡數(shù)據(jù)備份系統(tǒng)必須實現(xiàn)以下內(nèi)容：計算機網(wǎng)絡數(shù)據(jù)備份的自動 化，以減少系統(tǒng)管理員的工作量；使數(shù)據(jù)備份工作制度化，科學化；網(wǎng)絡安全技術 及其在校園網(wǎng)中的應用與研究；對介質(zhì)管理的有效化