版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
STYLEREF"標(biāo)題1"參考文獻北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計PAGE20PAGE19北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計說明書班級:計算機應(yīng)用技術(shù)0631姓名:郭玉龍設(shè)計題目:校園網(wǎng)安全設(shè)計與實現(xiàn)設(shè)計時間:5月1號至5月14號指導(dǎo)教師:史銀龍
摘要當(dāng)前,網(wǎng)絡(luò)技術(shù)飛速發(fā)展,它正以不可替代的趨勢影響著人們的生活和工作,給人類帶來高效和快捷,校園網(wǎng)的建成,使學(xué)校實現(xiàn)了管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化,這對于提高學(xué)校的管理水平和教學(xué)質(zhì)量具有十分重要的意義。但是,由于網(wǎng)絡(luò)不安全狀態(tài)的存在,校園網(wǎng)數(shù)據(jù)丟失、系統(tǒng)被修改或癱瘓的事情仍有發(fā)生,這對于建立一個安全,穩(wěn)定高效的校園系統(tǒng)時,網(wǎng)絡(luò)安全成為一個非常重要的環(huán)節(jié)。隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,校園網(wǎng)迅速發(fā)展和普及,在學(xué)校日常工作學(xué)習(xí)和管理中發(fā)揮了至關(guān)重要的作用。但隨著網(wǎng)絡(luò)的普及,其安全問題也日益突出。如何讓校園網(wǎng)正常高效的運行,充分發(fā)揮其教學(xué)、管理和服務(wù)等功能,已成為不可忽視的一個問題。本文著重分析了如今校園網(wǎng)中存在的安全隱患,從技術(shù)、設(shè)備、管理等多方面提出了改進和解決的方案,希望能對校園網(wǎng)的安全管理有所幫助,為師生創(chuàng)造一個安全、高效、干凈的上網(wǎng)環(huán)境。關(guān)鍵字:校園網(wǎng)攻擊威脅安全防火墻
目錄摘要……………..21.緒論…………21.1研究背景…………21.2課題的提出1.3課題的設(shè)計目標(biāo)與內(nèi)容1.4課題的研究意義1.4論文結(jié)構(gòu)安排2.互聯(lián)網(wǎng)現(xiàn)狀和安全分析2.1互聯(lián)網(wǎng)現(xiàn)狀2.2互聯(lián)網(wǎng)安全和缺陷分析2.2.1互聯(lián)網(wǎng)的開放性2.2.2自身的脆弱性2.2.3攻擊的普遍性2.2.4管理的困難性3.校園網(wǎng)安全現(xiàn)狀與安全分析3.1校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)概述3.2校園網(wǎng)網(wǎng)絡(luò)特點3.3校園網(wǎng)安全現(xiàn)狀3.4校園網(wǎng)安全威脅分析3.5校園網(wǎng)攻擊常用手段4校園網(wǎng)絡(luò)安全策略4.1物理安全策略4.2訪問控制策略4.3防火墻控制策略4.4信息加密策略4.5網(wǎng)絡(luò)入侵檢測技術(shù)4.6備份和鏡像技術(shù)4.7有害信息的過濾4.8網(wǎng)絡(luò)安全管理規(guī)范5.校園網(wǎng)安全防御的措施5.1網(wǎng)絡(luò)防火墻5.2采用入侵檢測系統(tǒng)5.3漏洞掃描系統(tǒng)5.4網(wǎng)絡(luò)病毒的防范5.5利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全5.6安全審計管理結(jié)論參考文獻
1.緒論1.1研究背景經(jīng)過多年的信息化建設(shè)之后,國內(nèi)大多數(shù)高?;旧隙冀ǔ闪俗约旱男@網(wǎng)。但隨著其應(yīng)用的深入,校園網(wǎng)絡(luò)的安全問題也逐漸突出,直接影響著學(xué)校的教學(xué)、管理、科研活動。因此,在全面了解校園網(wǎng)的安全現(xiàn)狀基礎(chǔ)上,合理構(gòu)建安全體系結(jié)構(gòu),改善網(wǎng)絡(luò)應(yīng)用環(huán)境的工作迫在眉睫。1.2課題來源校園網(wǎng)安全事件逐年增多,危害程度有增無減。結(jié)合這種情況,撰寫一篇關(guān)于校園網(wǎng)安全方面的論文,提高人們對校園網(wǎng)的重視度并且通過設(shè)計的實現(xiàn)達到網(wǎng)絡(luò)安全性的增強。1.3設(shè)計目標(biāo)與內(nèi)容本文章系統(tǒng)的整理了關(guān)于校園網(wǎng)安全的程度和問題,對于安全的一些根本性建議。文章的目標(biāo)是讓院校重視校園網(wǎng)安全的重要性,做為未來更高發(fā)展層次的基石。本文的組織結(jié)構(gòu)本論文的主要內(nèi)容分為五章。第二章詳細(xì)的說明了互聯(lián)網(wǎng)的安全狀況和四個其本身的不利性質(zhì),由于校園網(wǎng)和互聯(lián)網(wǎng)有著密切的關(guān)系,所以起個奠定的作用。第三章結(jié)合第二章互聯(lián)網(wǎng)的資料,詳細(xì)的說明當(dāng)前校園網(wǎng)安全的方方面面。第四章整體對于如此多網(wǎng)絡(luò)安全的各種對策的設(shè)計第五章根據(jù)上一章部分對策,實體化的推出各種安全系統(tǒng)增加網(wǎng)絡(luò)的安全性?;ヂ?lián)網(wǎng)安全問題和缺陷分析2.1互聯(lián)網(wǎng)現(xiàn)狀隨著Internet的迅速發(fā)展和應(yīng)用的普及,計算機網(wǎng)絡(luò)已經(jīng)深入教育、政府、商業(yè)、軍事等各行各業(yè),象電話、交通、水、電一樣,成為社會重要的基礎(chǔ)設(shè)施。如果計算機網(wǎng)絡(luò)的安全可靠運行受到威脅,將會影響人們的工作、學(xué)習(xí)和生活。然而不幸的是,近年來大規(guī)模的網(wǎng)絡(luò)安全事件接連發(fā)生,互聯(lián)網(wǎng)上蠕蟲、拒絕服務(wù)攻擊、網(wǎng)絡(luò)欺詐等新的攻擊手段層出不窮,導(dǎo)致的泄密、數(shù)據(jù)破壞、業(yè)務(wù)無法正常進行等事件屢屢發(fā)生,甚至導(dǎo)致世界性的互聯(lián)網(wǎng)癱瘓,造成的經(jīng)濟損失無法估計。網(wǎng)絡(luò)安全引起世界各國的關(guān)注,政府、企業(yè)和研究機構(gòu)等各領(lǐng)域的組織都對網(wǎng)絡(luò)安全投入了大量的人力物力;但是目前我們面臨的威脅讓人不容樂觀。2.2互聯(lián)網(wǎng)安全和缺陷分析互聯(lián)網(wǎng)安全問題為什么這么嚴(yán)重?這些安全問題是怎么產(chǎn)生的呢?綜合技術(shù)和管理等多方面因素,我們可以歸納為四個方面:互聯(lián)網(wǎng)的開放性、自身的脆弱性、攻擊的普遍性、管理的困難性。2.2.1互聯(lián)網(wǎng)的開放性互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò),TCP/IP是通用的協(xié)議。各種硬件和軟件平臺的計算機系統(tǒng)可以通過各種媒體接入進來,如果不加限制,世界各地均可以訪問。于是各種安全威脅可以不受地理限制、不受平臺約束,可以迅速通過互聯(lián)網(wǎng)影響到世界的每一個角落。2.2.2自身的脆弱性互聯(lián)網(wǎng)的自身的安全缺陷是導(dǎo)致互聯(lián)網(wǎng)脆弱性的根本原因?;ヂ?lián)網(wǎng)的脆弱性體現(xiàn)在設(shè)計、實現(xiàn)、維護的各個環(huán)節(jié)。設(shè)計階段,互聯(lián)網(wǎng)的設(shè)計之初沒有充分考慮安全威脅,因為最初的互聯(lián)網(wǎng)只是用于少數(shù)可信的用戶群體。許多的網(wǎng)絡(luò)協(xié)議和應(yīng)用沒有提供必要的安全服務(wù),比如電子郵件使用的協(xié)議SMTP沒有提供認(rèn)證機制,曾經(jīng)是導(dǎo)致垃圾郵件泛濫的重要原因,遠(yuǎn)程登錄使用的telnet協(xié)議明文傳輸用戶名和口令等,而且IP網(wǎng)絡(luò)也不提供任何服務(wù)質(zhì)量控制機制,導(dǎo)致目前在大規(guī)模拒絕服務(wù)攻擊面前幾乎無能為力。互聯(lián)網(wǎng)和所連接的計算機系統(tǒng)在實現(xiàn)階段也留下了大量安全漏洞。一般認(rèn)為,軟件中的錯誤數(shù)量和軟件的規(guī)模成正比,由于網(wǎng)絡(luò)和相關(guān)軟件越來越復(fù)雜,其中所包含的安全漏洞也越來越多。特別是由于市場競爭,一些廠商為了占領(lǐng)市場會把沒有經(jīng)過嚴(yán)格的質(zhì)量測試的軟件系統(tǒng)推向市場,留下了大量的安全隱患,如緩沖區(qū)溢出。在互聯(lián)網(wǎng)和系統(tǒng)的維護階段的安全漏洞也是安全攻擊的重要目標(biāo)。盡管系統(tǒng)提供了某些安全機制,但是由于管理員或者用戶的技術(shù)水平限制、維護管理工作量大等因素,這些安全機制并沒有發(fā)揮有效作用。比如,系統(tǒng)的缺省安裝和弱口令是大量攻擊成功的原因之一。2.2.3攻擊的普遍性互聯(lián)網(wǎng)威脅的普遍性是安全問題的另一個方面,而且隨著互聯(lián)網(wǎng)的發(fā)展,對互聯(lián)網(wǎng)攻擊的手段也越來越簡單、越來越普遍。如圖1所示,目前攻擊工具的功能卻越來越強,而對攻擊者的知識水平要求卻越來越低,因此攻擊者也更為普遍。2.2.4管理的困難性管理方面的困難性也是互聯(lián)網(wǎng)安全問題的重要原因。具體到一個企業(yè)內(nèi)部的安全管理,由于業(yè)務(wù)發(fā)展迅速、人員流動頻繁、技術(shù)更新快等因素的影響,安全管理也非常復(fù)雜,人力投入不足、安全政策不明是常見的現(xiàn)象;擴大到不同國家之間,由于安全事件通常是不分國界的,但是安全管理卻受國家、地理、政治、文化、語言等多種因素的限制,比如跨國界的安全事件的追蹤非常困難。校園網(wǎng)安全狀況與分析3.1校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)概述校園網(wǎng)信息系統(tǒng)是校園網(wǎng)的數(shù)字神經(jīng)中樞,合理的使用不僅能促進各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境,同時通過各院校之間的互聯(lián)互通,將會極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量。校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與CERNET的接入以及遠(yuǎn)程移動辦公用戶的接入等。教學(xué)局域網(wǎng)是教學(xué)人員利用計算機開展教學(xué)和學(xué)生通過計算機來學(xué)習(xí)的網(wǎng)絡(luò)平臺;圖書館局域網(wǎng)實現(xiàn)了圖書館的網(wǎng)絡(luò)化管理以及圖書的網(wǎng)上檢索或瀏覽;辦公自動化局域網(wǎng)是教職員工自動化辦公的平臺,可以在此平臺上開展公文管理、會議管理、檔案管理以及個人辦公管理等。實現(xiàn)包括教學(xué)管理、科研管理、學(xué)員管理、資產(chǎn)管理、人事管理、黨務(wù)管理、財務(wù)管理、后勤管理等應(yīng)用,形成院校的綜合管理信息系統(tǒng);校園外網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng),一般包括DNS、WEB、FTP、PROXY以及MAIL服務(wù)等。外部網(wǎng)實現(xiàn)了校園網(wǎng)與CERNET及INTERNET的基礎(chǔ)接入,使院校教職工和學(xué)生能使用電子郵件和瀏覽器等應(yīng)用方式,在教學(xué)、科研和管理工作中利用國內(nèi)和國際網(wǎng)進行信息交流和共享。3.2校園網(wǎng)網(wǎng)絡(luò)特點高等教育和科研機構(gòu)是互聯(lián)網(wǎng)誕生的搖籃,也是最早的應(yīng)用環(huán)境。各國的高等教育都是最早建設(shè)和應(yīng)用互聯(lián)網(wǎng)技術(shù)的行業(yè)之一,中國的高校校園網(wǎng)一般都最先應(yīng)用最先進的網(wǎng)絡(luò)技術(shù),網(wǎng)絡(luò)應(yīng)用普及,用戶群密集而且活躍。然而校園網(wǎng)由于自身的特點也是安全問題比較突出的地方,安全管理也更為復(fù)雜、困難。1.校園網(wǎng)的速度快和規(guī)模大。高校校園網(wǎng)是最早的寬帶網(wǎng)絡(luò),普遍使用的以太網(wǎng)技術(shù)決定了校園網(wǎng)最初的帶寬不低于10Mbps,目前普遍使用了百兆到桌面、千兆甚至萬兆實現(xiàn)園區(qū)主干互聯(lián)。校園網(wǎng)的用戶群體一般也比較大,少則數(shù)千人、多則數(shù)萬人。中國的高校學(xué)生一般集中住宿,因而用戶群比較密集。正是由于高帶寬和大用戶量的特點,網(wǎng)絡(luò)安全問題一般蔓延快、對網(wǎng)絡(luò)的影響比較嚴(yán)重。2.校園網(wǎng)中的計算機系統(tǒng)管理比較復(fù)雜。校園網(wǎng)中的計算機系統(tǒng)的購置和管理情況非常復(fù)雜,比如學(xué)生宿舍中的電腦一般是學(xué)生自己花錢購買、自己維護的,有的院系是統(tǒng)一采購、有技術(shù)人員負(fù)責(zé)維護的,有些院系則是教師自主購買、沒有專人維護的。這種情況下要求所有的端系統(tǒng)實施統(tǒng)一的安全政策(比如安裝防病毒軟件、設(shè)置可靠的口令)是非常困難的。由于沒有統(tǒng)一的資產(chǎn)管理和設(shè)備管理,出現(xiàn)安全問題后通常無法分清責(zé)任。比較典型的現(xiàn)象是,用戶的計算機接入校園網(wǎng)后感染病毒,反過來這臺感染病毒的計算機又影響了校園網(wǎng)的運行,于是出現(xiàn)端系統(tǒng)用戶和網(wǎng)絡(luò)管理員相互指責(zé)的現(xiàn)象。更有些計算機甚至服務(wù)器系統(tǒng)建設(shè)完畢之后無人管理,甚至被攻擊者攻破作為攻擊的跳板、變成攻擊試驗床也無人覺察。3.活躍的用戶群體。高等學(xué)校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶,對網(wǎng)絡(luò)新技術(shù)充滿好奇,勇于嘗試。如果沒有意識到后果的嚴(yán)重性,有些學(xué)生會嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù),可能對網(wǎng)絡(luò)造成一定的影響和破壞。4.開放的網(wǎng)絡(luò)環(huán)境。由于教學(xué)和科研的特點決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的、管理也是較為寬松的。比如,企業(yè)網(wǎng)可以限制允許Web瀏覽和電子郵件的流量,甚至限制外部發(fā)起的連接不允許進入防火墻,但是在校園網(wǎng)環(huán)境下通常是行不通的,至少在校園網(wǎng)的主干不能實施過多的限制,否則一些新的應(yīng)用、新的技術(shù)很難在校園網(wǎng)內(nèi)部實施。5.有限的投入。校園網(wǎng)的建設(shè)和管理通常都輕視了網(wǎng)絡(luò)安全,特別是管理和維護人員方面的投入明顯不足。在中國大多數(shù)的校園網(wǎng)中,通常只有網(wǎng)絡(luò)中心的少數(shù)工作人員,他們只能維護網(wǎng)絡(luò)的正常運行,無暇顧及、也沒有條件管理和維護數(shù)萬臺計算機的安全,院、系一級的專職的計算機系統(tǒng)管理員對計算機系統(tǒng)的安全是非常重要的。6.盜版資源泛濫。由于缺乏版權(quán)意識,盜版軟件、影視資源在校園網(wǎng)中普遍使用,這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬,另一方面也給網(wǎng)絡(luò)安全帶來了一定的隱患。比如,Microsoft公司對盜版的XP操作系統(tǒng)的更新作了限制,盜版安裝的計算機系統(tǒng)今后會留下大量的安全漏洞。另一方面,從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統(tǒng)因此被攻擊者侵入和利用。3.3校園網(wǎng)安全現(xiàn)狀1.網(wǎng)絡(luò)管理員專業(yè)知識和技能不夠、責(zé)任心不強大多數(shù)網(wǎng)絡(luò)管理員都從大中專院校畢業(yè),在工作之前沒有受過系統(tǒng)的專業(yè)培訓(xùn)。所以,不能很好地勝任本職工作。如把在計算機中裝上還原卡當(dāng)作是萬能管理方法;不設(shè)置系統(tǒng)管理員密碼;在系統(tǒng)中不安裝防火墻和殺毒軟件等等。另外,有些網(wǎng)絡(luò)管理員敷衍塞責(zé),對出現(xiàn)的系統(tǒng)故障置之不理。2.防病毒、木馬和黑客攻擊意識不強大多數(shù)校園網(wǎng)用戶的安全意識非常淡薄。具體表現(xiàn)在:密碼設(shè)置過于簡單;不經(jīng)常用殺毒軟件掃描和刪除病毒;不對殺毒軟件和防火墻軟件進行及時更新;不經(jīng)常掃描系統(tǒng)漏洞并打上補丁;使用移動存儲介質(zhì)時不事先用殺毒軟件進行掃描;運行或打開不明來歷的文件或郵件;經(jīng)常瀏覽帶有色情的網(wǎng)站或惡意網(wǎng)站等等。3.對外來攻擊防御能力不強雖然操作系統(tǒng)的功能及安全性日趨完善,但仍存在著很多漏洞。其中,有些漏洞允許入侵的黑客遠(yuǎn)程執(zhí)行代碼和提升用戶權(quán)限。除操作系統(tǒng)外,桌面應(yīng)用軟件也存在著安全隱患。同時,校園網(wǎng)是基于TCP/IP協(xié)議的網(wǎng)絡(luò),而TCP/IP協(xié)議存在兩大不安全因素:(1)TCP/IP協(xié)議采用明文傳輸數(shù)據(jù),無法保證信息的保密性和完整性。(2)TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點的惟一標(biāo)識,并不能對節(jié)點上的用戶進行有效的身份認(rèn)證,無法保證信息的真實性。4.校園網(wǎng)抵制病毒和木馬入侵的能力不強網(wǎng)絡(luò)在給人們提供方便的同時,也給病毒傳播和木馬攻擊提供了最快捷的途徑。以蠕蟲為代表的病毒肆虐和特洛伊木馬的瘋狂入侵,直接導(dǎo)致了用戶隱私和重要數(shù)據(jù)的外泄。同時,極大地消耗了網(wǎng)絡(luò)和主機的軟硬件資源,造成了網(wǎng)絡(luò)和主機性能的急劇下降,甚至中斷網(wǎng)絡(luò)設(shè)備和主機的正常運行。而目前校園網(wǎng)使用的安全防護措施的單一性、獨立性和落后性使得網(wǎng)絡(luò)病毒和木馬入侵屢屢得逞。3.4校園網(wǎng)安全威脅分析校園網(wǎng)具有速度快、規(guī)模大,計算機系統(tǒng)管理復(fù)雜,用戶非常活躍,相對開放的網(wǎng)絡(luò)環(huán)境,有限的資金及人力投入等特點,這些特點使校園網(wǎng)既是大量網(wǎng)絡(luò)攻擊的發(fā)源地,也是網(wǎng)絡(luò)攻擊者最容易攻破的目標(biāo)。當(dāng)前,校園網(wǎng)常見的安全威脅有如下幾種。威脅之一:普遍存在的計算機系統(tǒng)漏洞。安全漏洞是指允許任意用戶未經(jīng)授權(quán)獲得訪問,或提高其訪問權(quán)限的硬件或軟件特征。漏洞也可以理解為某種形式的脆弱性,網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞。目前,有名的安全漏洞或脆弱點就多達140處,而且隨著時間的推移,將會有更多新安全漏洞被人發(fā)現(xiàn)和利用。威脅之二:計算機蠕蟲、病毒泛濫。網(wǎng)絡(luò)蠕蟲病毒的危害日益嚴(yán)重,種類和數(shù)量日益增多,發(fā)作日益頻繁。現(xiàn)在,蠕蟲病毒往往與黑客技術(shù)結(jié)合,計算機中毒發(fā)作后,常導(dǎo)致拒絕服務(wù)攻擊(DoS),連累全網(wǎng)服務(wù)中斷。過去,病毒最大的“本事”是復(fù)制自身到其他程序?,F(xiàn)在,它具有了蠕蟲的特點,通過網(wǎng)絡(luò)到處亂竄。還有些病毒具有黑客程序的功能,一旦侵入計算機系統(tǒng)后,病毒控制者可以從入侵的系統(tǒng)中竊取信息,遠(yuǎn)程控制這些系統(tǒng)。威脅之三:來自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為。有些計算機被攻破后,成為黑客的工具,進行再次攻擊。例如,系統(tǒng)代理攻擊:攻擊針對單個主機,并通過RealSecure系統(tǒng)代理對它進行監(jiān)視;拒絕服務(wù)攻擊:一般情況下,拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載,從而使被攻擊對象停止部分或全部服務(wù)。拒絕服務(wù)攻擊的典型方法有SYNFlood、PingFlood等。目前在互聯(lián)網(wǎng)上,人們可以自由下載很多攻擊工具。這類攻擊工具設(shè)置簡單、使用方便,這意味著攻擊所需要的技術(shù)門檻大大降低。幾年前僅適用于高智能范圍的工具現(xiàn)在可以通過商業(yè)途徑購買和使用。使用這些工具不需要很高的技術(shù)水平,因此,一個技術(shù)平平的普通攻擊者很可能就是對系統(tǒng)造成巨大危害的黑客。威脅之四:內(nèi)部用戶的攻擊行為。例如,授權(quán)訪問嘗試,它指的是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試,也包括為獲得被保護訪問權(quán)限所做的嘗試,典型方法包括FTProot和NetBus等;預(yù)攻擊探測,指在連續(xù)的非授權(quán)訪問嘗試過程中,攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部和周圍的信息使用這種攻擊嘗試,典型例子包括Satan掃描、端口掃描和IP半途掃描等。這些行為給校園網(wǎng)造成了不良的影響,損害了學(xué)校的聲譽。威脅之五:校園網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)資源的濫用。有人利用校園網(wǎng)資源進行商業(yè)的或免費的視頻、軟件資源下載服務(wù),占用了大量珍貴的網(wǎng)絡(luò)帶寬。威脅之六:垃圾郵件、不良信息的傳播。3.5校園網(wǎng)常用攻擊手段以上各種原因?qū)е滦@網(wǎng)既是大量攻擊的發(fā)源地,也是攻擊者最容易攻破的目標(biāo)。因此導(dǎo)致當(dāng)前校園網(wǎng)常見的風(fēng)險如下:1.普遍存在的計算機系統(tǒng)的漏洞,對信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運行構(gòu)成嚴(yán)重的威脅;2.計算機蠕蟲、病毒泛濫,影響用戶的使用、信息安全、網(wǎng)絡(luò)運行;3.外來的系統(tǒng)入侵、攻擊等惡意破壞行為,有些計算機已經(jīng)被攻破,用作黑客攻擊的工具;拒絕服務(wù)攻擊目前越來越普遍,不少開始針對重點高校的網(wǎng)站和服務(wù)器;4.內(nèi)部用戶的攻擊行為,這些行為給校園網(wǎng)造成了不良的影響,損害了學(xué)校的聲譽;5.校園網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)資源的濫用,有的校園網(wǎng)用戶利用免費的校園網(wǎng)資源提供商業(yè)的或者免費的視頻、軟件資源下載,占用了大量的網(wǎng)絡(luò)帶寬,影響了校園網(wǎng)的應(yīng)用;6.垃圾郵件、不良信息的傳播,有的利用校園網(wǎng)內(nèi)無人管理的服務(wù)器作為中轉(zhuǎn),嚴(yán)重影響學(xué)校的聲譽。校園網(wǎng)安全策略4.1物理安全策略保證計算機網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。其目的是保護計算機系統(tǒng)、web服務(wù)器、打印機等硬件實體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。它主要包括兩個方面:4.1.1環(huán)境安全。對系統(tǒng)所在環(huán)境的安全保護,確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。4.1.2設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。4.2訪問控制策略訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問,它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。4.2.1入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制,它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源;控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。4.2.2網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源;可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。4.2.3目錄級安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。4.2.4屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時,網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。4.2.5網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺,以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。4.2.6網(wǎng)絡(luò)監(jiān)測和鎖定控制網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控,服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問,對非法的網(wǎng)絡(luò)訪問,服務(wù)器應(yīng)以圖形或文字或聲音等形式報警,以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進入網(wǎng)絡(luò),網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù),如果非法訪問的次數(shù)達到設(shè)定數(shù)值,那么該賬戶將被自動鎖定。4.2.7網(wǎng)絡(luò)端口和節(jié)點的安全控制端口是虛擬的“門戶”,信息通過它進入和駐留于計算機中,網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護,并以加密的形式來識別節(jié)點的身份。自動回呼設(shè)備用于防止假冒合法用戶,靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡(luò)還常對服務(wù)器端和用戶端采取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發(fā)生器)。在對用戶的身份進行驗證之后,才允許用戶進入用戶端。然后,用戶端和服務(wù)器端再進行相互驗證。4.3防火墻控制策略防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)(可能是軟件或硬件或者是兩者并用),用來限制外部非法(未經(jīng)許可)用戶訪問內(nèi)部網(wǎng)絡(luò)資源,通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入,防止偷竊或起破壞作用的惡意攻擊。4.4信息加密策略信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全;端點加密是對源端用戶到目的端用戶的數(shù)據(jù)提供保護;節(jié)點加密是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。信息加密過程是由各種加密算法來具體實施。多數(shù)情況下,信息加密是保證信息機密性的唯一方法。4.5網(wǎng)絡(luò)入侵檢測技術(shù)試圖破壞信息系統(tǒng)的完整性、機密性、可信性的任何網(wǎng)絡(luò)活動,都稱為網(wǎng)絡(luò)入侵。入侵檢測(IntrusionDeteetion)的定義為:識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為,并對此做出反應(yīng)的過程。它不僅檢測來自外部的入侵行為,同時也檢測來自內(nèi)部用戶的未授權(quán)活動。入侵檢測應(yīng)用了以攻為守的策略,它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán),還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)。4.6備份和鏡像技術(shù)用備份和鏡像技術(shù)提高完整性。備份技術(shù)是最常用的提高數(shù)據(jù)完整性的措施,它是指對需要保護的數(shù)據(jù)在另一個地方制作一個備份,一旦失去原件還能使用數(shù)據(jù)備份。鏡像技術(shù)是指兩個設(shè)備執(zhí)行完全相同的工作,若其中一個出現(xiàn)故障,另一個仍可以繼續(xù)工作。4.7有害信息的過濾對于校園網(wǎng)絡(luò),由于使用人群的特定性,必須要對網(wǎng)絡(luò)的有害信息加以過濾,防止一些色情、暴力和反動信息危害學(xué)生的身心健康,必須采用一套完整的網(wǎng)絡(luò)管理和信息過濾相結(jié)合的系統(tǒng)。實現(xiàn)對校園內(nèi)電腦訪問互聯(lián)網(wǎng)進行有害信息過濾管理。4.8網(wǎng)絡(luò)安全管理規(guī)范網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持,在網(wǎng)絡(luò)安全中,除采用技術(shù)措施之外,加強網(wǎng)絡(luò)的安全管理,制定有關(guān)的規(guī)章制度,對于確保網(wǎng)絡(luò)安全、可靠地運行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。校園網(wǎng)安全防御的措施5.1網(wǎng)絡(luò)防火墻防火墻是用來控制信息流的設(shè)施,主要利用IP和TCP包的頭信息對進出被保護網(wǎng)絡(luò)的IP包信息進行過濾,根據(jù)在防火墻上配置的安全策略(過濾規(guī)則)來控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,同時實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、審計和實時報警功能。通過防火墻的包過濾,可實現(xiàn)基于地址的粗粒度訪問控制(入網(wǎng)訪問控制)。通常情況下,防火墻都被部署在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵入口或出口。防火墻主要工作在交換和路由兩種模式。當(dāng)防火墻工作在交換模式時,防火墻的3個接口構(gòu)成一個以太網(wǎng)交換器,本身沒有IP地址,在IP層透明。將內(nèi)網(wǎng)、DMZ區(qū)(非軍事區(qū))和路由器的內(nèi)部端口連接起來,構(gòu)成一個統(tǒng)一的交換式物理子網(wǎng),內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器,這種模式不需要改變原有的網(wǎng)絡(luò)拓樸結(jié)構(gòu)和各主機、設(shè)備的網(wǎng)絡(luò)位置。當(dāng)防火墻工作在路由模式時,可以作為內(nèi)網(wǎng)、DMZ區(qū)和外網(wǎng)三個區(qū)之間的路由器,提供內(nèi)網(wǎng)到外網(wǎng),DMZ區(qū)到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。內(nèi)部網(wǎng)的用戶通過地址轉(zhuǎn)換可訪問INTERNET,內(nèi)部網(wǎng)、DMZ區(qū)通過反向地址轉(zhuǎn)換可向INTERNET提供服務(wù)。5.2采用入侵檢測系統(tǒng)入侵檢測系統(tǒng)用于網(wǎng)絡(luò)和系統(tǒng)的實時安全監(jiān)控,對來自內(nèi)部和外部的非法入侵行為做到及時響應(yīng)、告警和記錄,以彌補防火墻的不足。入侵檢測系統(tǒng)通過實時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流,根據(jù)在入侵檢測系統(tǒng)上配置的安全策略(入侵模式),識別、記錄入侵和破壞性的代碼流,尋找違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時,網(wǎng)絡(luò)安全檢測系統(tǒng)的預(yù)警子系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反映,并通過監(jiān)測報警日志對所有可能造成網(wǎng)絡(luò)安全危害的數(shù)據(jù)流進行報警和響應(yīng)。入侵檢測系統(tǒng)運行于需要保護的有敏感數(shù)據(jù)的網(wǎng)絡(luò)上,即存貯和處理重要數(shù)據(jù)的服務(wù)器或防火墻附近,以檢測關(guān)鍵部位的數(shù)據(jù)流,防范非法訪問行為,對非法網(wǎng)絡(luò)行為的審計、監(jiān)測及安全監(jiān)控,并實現(xiàn)與防火墻的聯(lián)動進行動態(tài)保護。入侵檢測系統(tǒng)由控制中心和探測引擎(網(wǎng)絡(luò)的、主機的)組成,控制中心作為系統(tǒng)的管理和配置工具,編輯、修改和分發(fā)各網(wǎng)絡(luò)探測引擎、子控制中心的策略定義,更新各探測引擎的入侵模式特證庫,接收所有探測引擎的實時報警信息??刂浦行呐c各探測引擎間的信息交換通過加密方式進行。5.3漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)是一種系統(tǒng)安全評估技術(shù),具體包括網(wǎng)絡(luò)模擬攻擊、漏洞測試、報告服務(wù)進程、以及評測風(fēng)險,提供安全建議和改進措施等功能。定期或不定期對一些關(guān)鍵設(shè)備和系統(tǒng)(網(wǎng)絡(luò)、操作系統(tǒng)、主干交換機、路由器、重要服務(wù)器、防火墻和應(yīng)用程序)進行漏洞掃描,對這些設(shè)備和系統(tǒng)的安全情況進行評估,發(fā)現(xiàn)并報告系統(tǒng)存在的弱點和漏洞,評估安全風(fēng)險,建議補救措施。漏洞掃描系統(tǒng)性能應(yīng)具備:掃描項目覆蓋網(wǎng)絡(luò)層、應(yīng)用層和各種網(wǎng)絡(luò)服務(wù);掃描對象應(yīng)覆蓋所有的IP設(shè)備和服務(wù)(包括路由器、NT服務(wù)器、UNIX服務(wù)器、防火墻等);大容量的漏洞特征庫;執(zhí)行掃描時不會對掃描對象的系統(tǒng)產(chǎn)生影響;對網(wǎng)絡(luò)的數(shù)據(jù)包傳輸不產(chǎn)生明顯的延遲;較低的誤報率等。5.4防病毒系統(tǒng)對付病毒最理想的辦法是預(yù)防,就是不讓病毒進入系統(tǒng),但這個目標(biāo)不可能實現(xiàn),只能通過加強預(yù)防措施來減少病毒攻擊的成功次數(shù)。防病毒系統(tǒng)的工作方法如下:檢測:一旦感染就立即察覺,并能夠確定病毒的位置;識別:一旦檢測出病毒,能夠確定已感染病毒類型;去除:一旦識別出特定的病毒,能夠?qū)⒏腥镜某绦蚧謴?fù)到原來的狀態(tài),并從系統(tǒng)中去除該病毒,防止該病毒繼續(xù)擴散。防病毒系統(tǒng)的成功與否取決于檢測新的獨特的病毒種系的能力,只有不斷升級病毒特征信息庫,才能防御新型病毒的攻擊。隨著反病毒技術(shù)和產(chǎn)品不斷完善,新型的防病毒軟件采用了更
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 公司勞務(wù)派遣協(xié)議書七篇
- 公司協(xié)議書大全
- 萬能施工安全協(xié)議書
- 面部發(fā)紅發(fā)熱病因介紹
- 進行性球麻痹病因介紹
- 29化學(xué)中考真題匯編《溶液》及答案
- 中考政治第一部分知識闖關(guān)能力提升第5課時平等禮貌待人理解寬容他人復(fù)習(xí)課獲
- (范文)卷板機項目立項報告
- (2024)吸痰管項目可行性研究報告寫作范本(一)
- 2023年電子陶瓷材料項目融資計劃書
- 主要農(nóng)作物(糧食作物)課件
- 百詞斬-定語從句課件-(;)
- 珍惜時間主題班會-做時間的主人課件
- 市政工程施工總體部署
- 護士準(zhǔn)入申請表
- 三年級上冊英語課件-Unit3 Look at me-人教(PEP) (6)(共30張PPT)
- 西方音樂史課程大綱
- 糖皮質(zhì)激素在呼吸科的應(yīng)用課件
- 合法離婚協(xié)議書(2篇)
- 2022年廣東南方報業(yè)傳媒集團有限公司招聘筆試題庫及答案解析
- 20m29.6m30.4m20m鋼箱梁橋?qū)嵗O(shè)計內(nèi)容與表達
評論
0/150
提交評論