中小學(xué)校園網(wǎng)信息安全及防范培訓(xùn)課件

中小學(xué)校園網(wǎng)信息安全及防范伊犁師范學(xué)院劉新茂1一、國內(nèi)外網(wǎng)絡(luò)安全事件二、中小學(xué)校園網(wǎng)現(xiàn)狀及建設(shè)方案三、網(wǎng)絡(luò)安全的內(nèi)容四、校園網(wǎng)安全防范技術(shù)目錄2斯諾登向媒體透露，說美國政府連續(xù)幾年都在攻擊其他國家的網(wǎng)絡(luò)，其中還監(jiān)聽許多國領(lǐng)導(dǎo)人電話、電子郵件等，包括聯(lián)合國秘書長潘基文、德國總理默克爾，入侵中國的網(wǎng)絡(luò)，竊取各種情報(bào)。一、國內(nèi)外網(wǎng)絡(luò)安全事件4罪行：英國少年賈斯明·辛向體育用品網(wǎng)站發(fā)起

DoS攻擊，并竊取信息。少年承認(rèn)自己受雇于兩家與受害網(wǎng)站競爭，企圖徹底弄垮對(duì)手的在線銷售網(wǎng)點(diǎn)。傳播途徑：賈斯明·辛利用計(jì)算機(jī)病毒控制上千臺(tái)計(jì)算機(jī)，并組成傀儡網(wǎng)絡(luò)，向線上銷售體育用品的網(wǎng)站發(fā)動(dòng)攻擊。造成了兩家受害網(wǎng)站約150萬美元的損失。

判決結(jié)果：五年監(jiān)禁

一、國內(nèi)外網(wǎng)絡(luò)安全事件5罪行：某國小老師竄改教師介聘系統(tǒng)分發(fā)成績傳播途徑：竄改兩位老師的成績，變更女友分?jǐn)?shù)，卻害他人從第1志愿分發(fā)到第10幾個(gè)志愿。罪行：19歲知名高中畢業(yè)生，入侵大考中心、竊取悠游卡系統(tǒng)、百貨公司、黑客組織等會(huì)員資料。傳播途徑：從2009年起陸續(xù)入侵國中基測(cè)與大學(xué)入學(xué)考試中心計(jì)算機(jī)系統(tǒng)，竊取逾一百萬筆考生的姓名、相片與成績等相關(guān)資料，再賣給補(bǔ)習(xí)班。其它還包括臺(tái)北智能卡公司的悠游卡系統(tǒng)資料、新光三越百貨公司會(huì)員卡資料，黑客網(wǎng)會(huì)員資料與其它電子郵件帳號(hào)密碼。

一、國內(nèi)外網(wǎng)絡(luò)安全事件6海康威視安全事件監(jiān)控設(shè)備漏洞或引發(fā)敏感信息泄露2015年2月27日江蘇省公安廳發(fā)布的特急通知稱，主營安防產(chǎn)品的海康威視其生產(chǎn)的監(jiān)控設(shè)備被曝嚴(yán)重的安全隱患，部分設(shè)備已被境外IP地址控制，要求各地立即進(jìn)行全面清查，開展安全加固。隨后調(diào)查顯示，事件出于弱口令漏洞，只需通過修改初始密碼或簡單密碼，或者升級(jí)設(shè)備固件即可解決。作為國內(nèi)最大的監(jiān)控設(shè)備生產(chǎn)商?？低暎m然致力于設(shè)備功能的完善，但忽略了最基本的信息安全問題，可謂“千里之堤，毀于蟻穴”。一、國內(nèi)外網(wǎng)絡(luò)安全事件7超30省市曝管理漏洞：數(shù)千萬社保用戶信息或泄露2015年4月22日從補(bǔ)天漏洞響應(yīng)平臺(tái)獲得的數(shù)據(jù)顯示，圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等大量曝出高危漏洞的省市已經(jīng)超過30個(gè)，僅社保類信息安全漏洞統(tǒng)計(jì)就達(dá)到5279.4萬條，涉及人員數(shù)量達(dá)數(shù)千萬，其中包括個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息。這些信息一旦泄露，造成的危害不僅是個(gè)人隱私全無，還會(huì)被犯罪分子利用，例如復(fù)制身份證、盜辦信用卡、盜刷信用卡等一系列刑事犯罪和經(jīng)濟(jì)犯罪。一、國內(nèi)外網(wǎng)絡(luò)安全事件8優(yōu)購網(wǎng)交易信息疑泄露超百人被騙上百萬2015年5月18日有客戶反饋，在購物網(wǎng)站優(yōu)購時(shí)尚商城購物后，個(gè)人信息被泄露，銀行錢款被盜，受騙網(wǎng)友建立的QQ群中，已有160多個(gè)群友，被騙金額總計(jì)上百萬元。優(yōu)購網(wǎng)官方回應(yīng)稱，信息泄露是黑客“撞庫”所致，已向公安機(jī)關(guān)報(bào)案。一、國內(nèi)外網(wǎng)絡(luò)安全事件9央視報(bào)道“危險(xiǎn)的WiFi”

央視《消費(fèi)主張》報(bào)道了人們?nèi)粘Ｊ褂玫臒o線網(wǎng)絡(luò)存在巨大的安全隱患。在節(jié)目中，央視和安全工程師在多個(gè)場景實(shí)際測(cè)驗(yàn)顯示，火車站、咖啡館等公共場所的一些免費(fèi)WIFI熱點(diǎn)有可能就是釣魚陷阱，而家里的路由器也可能被惡意攻擊者輕松攻破。一、國內(nèi)外網(wǎng)絡(luò)安全事件10二、中小學(xué)校園網(wǎng)現(xiàn)狀及建設(shè)方案資金緊缺網(wǎng)絡(luò)硬件設(shè)備配備不齊全缺乏計(jì)算機(jī)及網(wǎng)絡(luò)相關(guān)專業(yè)技術(shù)人員校園網(wǎng)僅提供互聯(lián)網(wǎng)服務(wù)，校內(nèi)資源匱乏資金的一次性投入,校園網(wǎng)的使用效率低下11網(wǎng)絡(luò)拓?fù)渲行W(xué)校園網(wǎng)設(shè)計(jì)方案核心層分布層接入層防火墻提供強(qiáng)有力的服務(wù)器、內(nèi)網(wǎng)安全保護(hù)、提供IDS等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強(qiáng)，具有強(qiáng)大的NAT功能。12簡化方案聯(lián)電信服務(wù)器區(qū)辦公區(qū)SecPathU200-AH3CS5120H3CWX3024H3CMSR30-40WA2620-AGN包括無線覆蓋WA2620-AGNWA2620-AGN包括無線覆蓋包括無線覆蓋13a.防火墻b.路由器c.核心交換機(jī)d.分布層交換機(jī)e.訪問層交換機(jī)二層分級(jí)模型核心層接入層網(wǎng)絡(luò)設(shè)備選型三層分級(jí)模型14VLAN的優(yōu)勢(shì)VLAN劃分與IP規(guī)劃可以減小廣播風(fēng)暴，劃分VLAN后，廣播只在子網(wǎng)中進(jìn)行增加網(wǎng)絡(luò)的安全性，不同的VLAN不能隨意通訊提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少物理開支VLAN的子網(wǎng)訪問，可以在三層交換機(jī)上實(shí)現(xiàn)，分流核心交換機(jī)的三層交換，優(yōu)化組網(wǎng)15校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境。這就要求校園網(wǎng)是一個(gè)交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。多媒體教學(xué)軟件開發(fā)平臺(tái)，多媒體演示教室，教師備課系統(tǒng)，電子閱覽室以及教學(xué)，考試資料庫等，都可以通過網(wǎng)絡(luò)運(yùn)行工作，包含的基本功能如下：學(xué)校網(wǎng)站建設(shè)課程管理（精品課程）實(shí)驗(yàn)室管理學(xué)生成績與學(xué)籍管理圖書資料管理德育教育管理檔案管理（人事、固定資產(chǎn)）財(cái)務(wù)管理16資源建設(shè)三、網(wǎng)絡(luò)安全的內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機(jī)密性、完整性及可使用性受到保護(hù)。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、不可否認(rèn)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。17網(wǎng)絡(luò)系統(tǒng)的脆弱性

數(shù)據(jù)的安全問題

傳輸線路的安全問題從安全的角度來說，沒有絕對(duì)安全的通訊線路。數(shù)據(jù)庫存在著許多不安全性。網(wǎng)絡(luò)安全管理問題18網(wǎng)絡(luò)安全的基本要素衡量網(wǎng)絡(luò)安全的指標(biāo)主要有機(jī)密性—“進(jìn)不來，看不懂”完整性—“改不了，拿不走”可用性—“能進(jìn)來，能修改，能拿走”可控性—“監(jiān)視、控制”不可否認(rèn)性—“逃不脫，跑不掉”19網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)訪問控制的安全，由以下四方面組成：局域網(wǎng)、子網(wǎng)安全網(wǎng)絡(luò)中數(shù)據(jù)傳輸安全網(wǎng)絡(luò)運(yùn)行安全網(wǎng)絡(luò)協(xié)議安全物理安全

環(huán)境安全.對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)措施，如區(qū)域保護(hù)和災(zāi)難保護(hù)

設(shè)備安全設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)技術(shù)和措施等

媒體安全媒體數(shù)據(jù)的安全及媒體本身的安全技術(shù)和措施20局域網(wǎng)、子網(wǎng)安全內(nèi)外網(wǎng)隔離技術(shù)：采用防火墻技術(shù)可以將內(nèi)部網(wǎng)絡(luò)的與外部網(wǎng)絡(luò)進(jìn)行隔離，對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)網(wǎng)絡(luò)檢測(cè)技術(shù)：網(wǎng)絡(luò)安全檢測(cè)（漏洞檢測(cè)）是對(duì)網(wǎng)絡(luò)的安全性進(jìn)行評(píng)估分析，通過實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查系統(tǒng)存在的弱點(diǎn)和漏洞，提出補(bǔ)求措施和安全策略的建議，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的21網(wǎng)絡(luò)中數(shù)據(jù)傳輸安全數(shù)據(jù)傳輸加密技術(shù)：對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。三個(gè)不同層次來實(shí)現(xiàn)，即鏈路加密、節(jié)點(diǎn)加密、端到端加密數(shù)據(jù)完整性鑒別技術(shù)防抵賴技術(shù)：包括對(duì)源和目的地雙方的證明，常用方法是數(shù)字簽名網(wǎng)絡(luò)運(yùn)行安全備份與恢復(fù)技術(shù)：采用備份技術(shù)可以盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)網(wǎng)絡(luò)，所需的數(shù)據(jù)和系統(tǒng)信息應(yīng)急文檔22數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫安全數(shù)據(jù)庫管理系統(tǒng)安全應(yīng)用安全的組成

.應(yīng)用軟件開發(fā)平臺(tái)安全

各種編程語言平臺(tái)安全程序本身的安全應(yīng)用系統(tǒng)安全

應(yīng)用軟件系統(tǒng)安全23管理安全據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)表明：信息安全大約60%以上的問題是由管理方面原因造成的。網(wǎng)絡(luò)系統(tǒng)的安全管理主要基于三個(gè)原則：多人負(fù)責(zé)原則任期有限原則職責(zé)分離原則“30%的技術(shù)，70%的管理”24網(wǎng)絡(luò)安全的威脅

非授權(quán)訪問：

通過假冒、身份攻擊、系統(tǒng)漏洞等手段，獲取系統(tǒng)訪問權(quán)25網(wǎng)絡(luò)安全的威脅

信息泄漏或丟失

信息在傳輸中泄漏丟失，在存儲(chǔ)介質(zhì)中泄漏丟失，被竊取26網(wǎng)絡(luò)安全的威脅

破壞數(shù)據(jù)完整性

以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入某些重要信息27網(wǎng)絡(luò)安全的威脅

拒絕服務(wù)攻擊

不斷執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓28網(wǎng)絡(luò)安全的威脅

網(wǎng)絡(luò)傳播病毒通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒（蠕蟲病毒高居病毒榜首）29訪問控制技術(shù)--網(wǎng)絡(luò)權(quán)限控制四、校園網(wǎng)安全防范技術(shù)30訪問控制技術(shù)--目錄級(jí)安全控制四、校園網(wǎng)安全防范技術(shù)31訪問控制技術(shù)-屬性安全控制四、校園網(wǎng)安全防范技術(shù)321.打開注冊(cè)表編輯器，修改第一處[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，看到右邊的PortNumber了嗎？在十進(jìn)制狀態(tài)下改成你想要的端口號(hào)吧，比如7126之類的，只要不與其它沖突即可。2.修改第二處[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp，方法同上，記得改的端口號(hào)和上面改的一樣就行了。3檢查是否有開防火墻，如果有開需要吧新端口添加到允許，重啟服務(wù)器。END訪問控制技術(shù)-更改遠(yuǎn)程桌面連接端口33路由器安全功能訪問控制鏈表基于源地址/目標(biāo)地址/協(xié)議端口號(hào)端口映射、如3389、80端口Flood管理日志其他抗攻擊功能34防火墻的優(yōu)點(diǎn)與不足可屏蔽內(nèi)部服務(wù)，避免相關(guān)安全缺陷被利用2－7層訪問控制（集中在3-4層）解決地址不足問題抗網(wǎng)絡(luò)層、傳輸層一般攻擊不足防外不防內(nèi)對(duì)網(wǎng)絡(luò)性能有影響對(duì)應(yīng)用層檢測(cè)能力有限35入侵檢測(cè)基本原理：利用sniffer方式獲取網(wǎng)絡(luò)數(shù)據(jù)，根據(jù)已知特征判斷是否存在網(wǎng)絡(luò)攻擊優(yōu)點(diǎn)：能及時(shí)獲知網(wǎng)絡(luò)安全狀況，借助分析發(fā)現(xiàn)安全隱患或攻擊信息，便于及時(shí)采取措施。不足：準(zhǔn)確性：誤報(bào)率和漏報(bào)率有效性：難以及時(shí)阻斷危險(xiǎn)行為36網(wǎng)絡(luò)防病毒基本功能：串接于網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)病毒的特征在網(wǎng)絡(luò)數(shù)據(jù)中比對(duì)，從而發(fā)現(xiàn)并阻斷病毒傳播優(yōu)點(diǎn)：能有效阻斷已知網(wǎng)絡(luò)病毒的傳播不足：只能檢查已經(jīng)局部發(fā)作的病毒對(duì)網(wǎng)絡(luò)有一定影響37蠕蟲病毒的特征

蠕蟲病毒的特征1.利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊2.傳播方式多樣3.病毒制作技術(shù)與傳統(tǒng)的病毒不同4.與黑客技術(shù)相結(jié)合38蠕蟲病毒與一般病毒的比較

普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制寄存在主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)

39網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的特點(diǎn)在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)：①感染速度快。

②擴(kuò)散面廣。

③傳播的形式復(fù)雜多樣。

④難于徹底清除。

⑤破壞性大。

40網(wǎng)頁攻擊網(wǎng)頁攻擊指一些惡意網(wǎng)頁利用軟件或系統(tǒng)操作平臺(tái)等的安全漏洞，通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標(biāo)記語言內(nèi)的JavaApplet小應(yīng)用程序、javascript腳本語言程序、ActiveX軟件部件交互技術(shù)支持可自動(dòng)執(zhí)行的代碼程序，強(qiáng)行修改用戶操作系統(tǒng)的注冊(cè)表及系統(tǒng)實(shí)用配置程序，從而達(dá)到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤、感染木馬程序的目的。

41網(wǎng)頁攻擊防范防范網(wǎng)頁攻擊可使用設(shè)定安全級(jí)別、過濾指定網(wǎng)頁、卸載或升級(jí)WSH、禁用遠(yuǎn)程注冊(cè)表服務(wù)等方法。最好的方法還是安裝防火墻和殺毒軟件，并啟動(dòng)實(shí)時(shí)監(jiān)控功能。有些殺毒軟件可以對(duì)網(wǎng)頁瀏覽時(shí)注冊(cè)表發(fā)生的改變提出警告。

42刪除本機(jī)默認(rèn)共享打開記事本編寫如下代碼

Netshareadmin$/deleteNetshareipc$/deleteNetsharec$/deleteNetshared$/deleteNetsharee$/delete編寫完成以后此文本可任意命名，但文件擴(kuò)展名一定改為.bat，并將此文件添加到開始—啟動(dòng)中下次開機(jī)默認(rèn)共享自動(dòng)被刪除43網(wǎng)絡(luò)掃描器通過模擬網(wǎng)絡(luò)攻擊檢查目標(biāo)主機(jī)是否存在已知安全漏洞優(yōu)點(diǎn)：有利于及早發(fā)現(xiàn)問題，并從根本上解決安全隱患不足：只能針對(duì)已知安全問題進(jìn)行掃描準(zhǔn)確性vs指導(dǎo)性44關(guān)閉不用的服務(wù)

在安裝windows操作系統(tǒng)時(shí)，大家往往使用的是默認(rèn)安裝，然而有很多服務(wù)在默認(rèn)情況下是打開，我們應(yīng)該關(guān)閉一些從來不用的服務(wù)。我們打開控制面板—管理工具—服務(wù)也可以在我的電腦—右鍵—管理—服務(wù)和應(yīng)用程序—服務(wù)45

一般情況下我們可關(guān)閉telnet服務(wù)SNMPServiceComputerBrowserDHCPClient46網(wǎng)絡(luò)安全防護(hù)建議(1)經(jīng)常關(guān)注安全信息發(fā)布Microsoft、Sun、hp、ibm等公司的安全公告安全焦點(diǎn)綠盟網(wǎng)站47網(wǎng)絡(luò)安全防護(hù)建議(2)經(jīng)常性檢查重要服務(wù)器、