题目 校园网网络的安全现状及对策研究
院 系
专 业 信息管理与信息系统 年 级 学生姓名 学生学号 指导教师
完成毕业设计(论文)时间 年 月
目录
摘要 ........................................................................................................................... 4 1.0 网络安全发展历史与现状分析 .................................................................... 5
1.1.1因特网的发展及其安全问题 ............................................................................... 5 1.1.2网络的开放性带来的安全问题 ........................................................................... 5 1.2网络安全的防护力脆弱,导致的网络危机 .......................................................... 6 1.3网络安全的主要威胁因素 ...................................................................................... 6 1.4我国网络安全现状及发展趋势 .............................................................................. 7 2.0 校园网网络概述 .............................................................................................. 8
2.1.1 校园网的简介 .................................................................................................... 8 2.1.2 校园网概念 ........................................................................................................ 8 2.1.3校园网有什么作用 ............................................................................................... 8 3.0 校园网的网络构成 .......................................................................................... 10
3.1校园网网络体系结构概述 .................................................................................... 10 3.2校园网系统功能构成 ............................................................................................ 11 3.3 校园的应用管理平台 ........................................................................................... 12 3.4 典型校园网拓扑结构 ......................................................................................... 12 3.5 校园网的建设目标 ............................................................................................. 13 4 网络安全概述 ..................................................................................................... 14
4.1网络安全的含义 .................................................................................................... 14 4.2 网络安全的属性 ................................................................................................... 14 4.3 网络安全机制 ....................................................................................................... 15 4.3.1 网络安全技术机制 ............................................................................................ 15 4.3.2 网络安全管理机制 ............................................................................................ 15 5.0 校园网存在的安全隐患 .................................................................................. 16
5.1 危害校园网安全的内部因素 ............................................................................. 16 5.1.1 软硬件自身存在的漏洞 .................................................................................. 16 5.1.2 设置上的失误 .................................................................................................. 16 5.1.3 管理上的漏洞 .................................................................................................. 17 5.2 危害校园网安全的外部因素 ............................................................................. 17 5.2.1 网络黑客的侵入 .............................................................................................. 17 5.2.2 计算机病毒的破坏 .......................................................................................... 17 6.0 校园网网络安全对策分析 ............................................................................ 19
6.1网络攻击的概念 .................................................................................................... 19 6.2 校园网络安全对策概述 ....................................................................................... 19 6.2.1 网络安全系统对策的制定 .............................................................................. 19 6.2.2 校园网络安全的设计原则 .............................................................................. 20 6.3 校园网络安全体系结构设计 ............................................................................... 20 6.3.1 设计校园网络安全体系的原则 ...................................................................... 21 6.3.2 校园网络安全体系的设计内容 .................................................................... 21 6.4 解决校园网安全问题的主要方法 ....................................................................... 21
6.4.1 防火墙部署 ...................................................................................................... 21 6.4.2 备份与恢复 ...................................................................................................... 22 6.4.3 入侵检测(IDS) ................................................................................................. 23 6.4.4 计算机病毒防范 .............................................................................................. 24 6.4.5 漏洞扫描 .......................................................................................................... 24 7.0 其他网络安全解决方案 .................................................................................. 26
7.1关闭不必要的端口 ................................................................................................ 26 7.2 巩固安全策略 ....................................................................................................... 26 结语 ......................................................................................................................... 28 参考文献 ................................................................................................................. 29
摘要
随着计算机和网络技术的迅猛发展,互联网成了人们快速获取,发布,传递信息的重要途径。计算机网络已渗透到社会的各个领域。各行各业都处在网络化和信息化的建设过程中。所以计算机网络在人们的生活,经济,和政治上发挥着重要的作用。 随着网络的逐步普及,校园网络的建设是学校向信息化发展的必然选择,校园网网络系统是一个非常庞大而复杂的系统,它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统,但是同时校园网还面临各种安全威胁
本论文从计算机网络面临的各种安全威胁,系统地介绍网络安全技术。并针对校园网络的安全问题进行研究,首先分析了高校网络系统安全的隐患,然后从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略。本次论文研究中,我首先了解了网络安全问题的主要威胁因素,并利用网络安全知识对安全问题进行剖析。其次,通过对网络技术的研究,得出校园网也会面临着安全上的威胁。最后,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。
关键词:网络安全,安全防范,校园网,校园网安全
1.0 网络安全发展历史与现状分析
1.1.1因特网的发展及其安全问题
随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。主要表现在以下方面:
1.1.2网络的开放性带来的安全问题
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略、管理和技术被研究和应用。然而,即使在使用了现有的安全工具和技术的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以包括为以下几点:
(1) 安全机制在特定环境下并非万无一失。比如防火墙,它虽然是一种有效的安全工具,可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,Windows NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对Windows NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(3)系统的后门是难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别
是入侵访问在请求链接中多加了一个后缀。
(4) BUG难以防范。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(5)黑客的攻击手段在不断地升级。安全工具的更新速度慢,且绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应迟钝。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
1.2网络安全的防护力脆弱,导致的网络危机
(1)根据Warroon Research的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入。
(2) 据美国FBI统计,美国每年因网络安全造成的损失高达75亿美元。 (3) Ernst和Young报告,由于信息安全被窃或滥用,几乎80%的大型企业遭受损失。
(4)最近一次黑客大规模的攻击行动中,雅虎网站的网络停止运行3小时,这令它损失了几百万美金的交易。而据统计在这整个行动中美国经济共损失了十多亿美金。由于业界人心惶惶,亚马逊(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股价均告下挫,以科技股为主的那斯达克指数(Nasdaq)打破过去连续三天创下新高的升势,下挫了六十三点,杜琼斯工业平均指数周三收市时也跌了二百五十八点。
1.3网络安全的主要威胁因素
(1)软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。
(2)配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
(3)安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(4)病毒:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中
插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。
(5)黑客:对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
1.4我国网络安全现状及发展趋势
因特网在我国的迅速普及,我国境内信息系统的攻击事件也正在呈现快速增长的势头。据了解,从1997年底到现在,我国的政府部门、证券公司、银行、ISP, ICP等机构的计算机网络相继遭到多次攻击。因此,加强网络信息安全保障已成为当前的
目前我国网络安全的现状和面临的威胁主要有:
(1)计算机网络系统使用的软、硬件很大一部分是国外产品,我们对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。
(2)全社会的信息安全意识虽然有所提高,但将其提到实际日程中来的依然很少。 (3)目前关于网络犯罪的法律、法规还不健全。 (4)我国信息安全人才培养还不能满足其需要。
迫切任务。
2.0 校园网网络概述
技术的不断发展,网络安全已成为一个不可忽视的问题。伴随着高校校园数字化的不断深入,校园网安全越来越成为人们关注的焦点之一。本章系统地论述了计算机网络技术的发展以及当前网络安全所面临的主要问题,校园网的发展状况,校园网的拓扑结构,功能结构,校园网的建设目标等内容。
2.1.1 校园网的简介
随着网络技术的发展和网络应用的普及,校园网在国内高等学校中已经开始普及。并且随着国内高校的教学发展,高校应用水平的提高,高等学校校园网的整体水平和层次有了不小的提高。
2.1.2 校园网概念
校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。第一,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带 、具有交互功能和专业性强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。如果一所学校有多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。第二,校园网应具有教务、行政和总务管理功能。
2.1.3校园网有什么作用
(1) 信息传递
这是校园网络最基本的功能之一,用来实现电脑与电脑之间传递各种信息,使分散在校园内不同地点的电脑用户可以进行集中的控制管理。在校务部门建立网络服务器,可以为整个校园网络提供各类教学资源
(2) 资源共享
信息资源共享。通过接入DDN或ISDN,很容易将校园网连接到internet,这样,网络内的各电脑终端不但可以互通信息资源,而且可以享受网络服务器上的相关数据及internet网上取之不尽,用之不竭的巨大信息资源,校园网在教学活动中的作用也将成倍地增强
(3) 网上资源提高教学质量,方便教学
以往传统的教学手段已经不能够满足时代进步的需要,如何把课本里的东西,
变得生动、形象,在以前是很难的,但现在就不算什么,依靠信息技术,从互联网我们可以找到教学资源,并可应用到教学中。网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的。校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境。这样的教学方式,大大提高了学生的学习兴趣,教学效果好,老师也就提高了教学的质量,真是一举二得。
3.0 校园网的网络构成
校园网的网络构成可以按照不同的标准来区分,通常可以按照网络的拓扑和网络的功能分为校园网的体系机构和校园网的功能结构。
3.1校园网网络体系结构概述
(1)校园网基础设施建设是我们数字化校园的基础,它的建设水平和效果直接影响到我们运行在校园网上的服务,影响到全校的教学、科研甚至影响到师生的日常生活。校园网的建设包括根据自身的应用需求和特点进行校园网的体系结构的设计,相关技术设备的选择,网络出口包括设备之间拓扑关系的确定、集成、调试,应用建设等关键环节,在这些环节当中也包含着对校园网络安全的考虑与设计。 (2)网络体系结构是关于如何构建网络的技术,它包括两个层次的内涵。一是要标识出网络系统由哪些部分组成,清晰地描述出各个部分的目的、功能和特点。二是要描述网络各组成部分之间的关系,如何将各部分有机地结合在一起,形成完整的网络系统,从而保证网络有效地运行,也就是将各部分进行集成的方式。 (3)校园网安全策略的制定和实施是以各高校校园网的基础体系结构和网络应用具体情况为依据和实施基础的。因此在制定各高校的网络安全策略和实施具体的安全策略之前,透彻分析校园网体系结构,网络拓扑结构,网络的路由策略,网络的区域划分,IP及VLAN的规划,网络访问策略,各应用系统的功能服务对象,访问限制等等是非常有必要的,其性能直接影响到网络安全策略的实施效果。
3.2校园网系统功能构成
校园网作为校园网络信息平台应该由一个平台和三个系统构成,即系统管理平台、校园公共信息系统、校园管理信息及办公自动化系统、校园教学资源库系统。见下图1-1
校园公共信息系统 校园管理信息系统 办公自动化系统 课程注册管理学籍管理成就绩务活业管管 管管理理理理教学资源库系统 校校校园园园聊大天事室记 通知公告信息发布 权限管理 系统管理 校园系统管理平台
后勤管理人事管理 教 生电讨公个子论文人邮区管信理息件管理 资料管理 电子图书馆 远程教育系统 多媒体教学 BBS
图1-1 校 园网系统功能结构图
3.3 校园的应用管理平台
(1)校园应用系统管理平台是一个安全性好、易管理、可靠性高的操作平台。在此平台上可轻松的实现系统备份和恢复、用户权限的设置、用户注册以及资源的调整、初始化等管理工作。通过使用Intranet/Internet技术实现了与Internet的无缝连接。
(2)教学资源库系统提供一致的资源管理和使用方式,实现简便精确的资源获取与检索,全面支持教学应用,包括对各类教学软件库、教学网络平台、电子阅览室等资源的分类、检索和管理、多媒体教学、远程教育等功能。
(3)校园管理信息系统用于支持学校日常管理的各项工作。用户通过使用人事管理、教育教学管理、后勤管理、教学资源与应用平台、图书馆管理、生活管理等多个功能子系统可以方便快捷地处理各种复杂数据操作和文字录入,完成各种校园信息数据的有效管理。
3.4 典型校园网拓扑结构
校园网的网络体系结构包括校园网的网络边界设备,核心及骨干设备,网络接入层设备,网络服务提供设备和这些设备的连接方式以及该结构采用的协议及技术。
当前的校园网多采用1000M以太网主干技术,1000M或100M到楼,100M或10M到桌面,部分区域采用无线接入技术(802.11)实现无线接入。校园网络一般有边界路由器,高性能的核心路由交换机,各分布层的三层路由交换机,大量的二层可网管接入交换机,以及防火墙,内容过滤系统,流量分析系统,网络设备管理系统等网络硬件设备。校园网多采用星形拓扑结构。 常见的校园网拓扑结构如图1-2
图1-2 校园网拓扑结构
3.5 校园网的建设目标
网络安全是抵御内外部各种形式的威胁,以保证网络安全的过程。为了深入理解什么是网络安全,必须理解网络安全目的是在保护网络上所面临的威胁,理解一个能够用于阻止这些攻击的主要机制也是很重要的。通常,在网络上实现最终的安全目标可通过下面的步骤完成,每一步都是为了澄清攻击和阻止攻击的保护方法之间的关系。下面的步骤是在一个站上建立和实现安全的方法: 第1步:确定要保护的是什么;
第2步:决定尽力保护它免于什么威胁; 第3步:确定威胁的可能性;
第4步:以一种划算的方法实现保护资产的目的;
第5步:不断地检查这些步骤,每当发现一个弱点就进行改进。 校园网络系统需要实现以下安全目标:
(1)防范网络资源的非法访问及非授权访问;
(2)保护信息通过网上传输过程中的完整性、机密性。 (3)保护网络系统的可用性;
(4)防御入侵者的恶意破坏与攻击; (5)保护网络系统服务的连续性;
4 网络安全概述
4.1网络安全的含义
网络安全从其本质来讲就是网络上信息安全,它涉及的领域相当广泛,这是因为目前的公用通信网络中存在着各式各样的安全漏洞和威胁。广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性和可控性的相关技术和理论,都是网络安全的研究领域。
网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。且在不同环境和应用中又不同的解释。
(1)运行系统安全:即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。
(2)网络上系统信息的安全:包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。
(3)网络上信息传输的安全:即信息传播后果的安全、包括信息过滤、不良信息过滤等。
(4)网络上信息内容的安全:即我们讨论的狭义的“信息安全”;侧重于保护信息的机密性、真实性和完整性。本质上是保护用户的利益和隐私。
4.2 网络安全的属性
网络安全具有三个基本的属性:机密性、完整性、可用性。
(1)机密性:是指保证信息与信息系统不被非授权者所获取与使用,主要 范措施是密码技术。
(2)完整性:是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。
以上可以看出:在网络中,维护信息载体和信息自身的安全都包括了机密性、完整性、可用性这些重要的属性
4.3 网络安全机制
网络安全机制是保护网络信息安全所采用的措施,所有的安全机制都是针对某些潜在的安全威胁而设计的,可以根据实际情况单独或组合使用。如何在有限的投入下合理地使用安全机制,以便尽可能地降低安全风险,是值得讨论的,网络信息安全机制应包括:技术机制和管理机制两方面的内容。
4.3.1 网络安全技术机制
网络安全技术机制包含以下内容:
(1)加密和隐藏。加密使信息改变,攻击者无法了解信息的内容从而达到保护;隐藏则是将有用信息隐藏在其他信息中,使攻击者无法发现。
(2)认证和授权。网络设备之间应互认证对方的身份,以保证正确的操作权力赋予和数据的存取控制;同时网络也必须认证用户的身份,以授权保证合法的用户实施正确的操作。
(3)审计和定位。通过对一些重要的事件进行记录,从而在系统中发现错误或受到攻击时能定位错误并找到防范失效的原因,作为内部犯罪和事故后调查取证的基础。
(4)完整性保证。利用密码技术的完整性保护可以很好地对付非法篡改,当信息源的完整性可以被验证却无法模仿时,可提供不可抵赖服务。
(5)权限和存取控制:针对网络系统需要定义的各种不同用户,根据正确的认证,赋予其适当的操作权力,限制其越级操作。
(6)任务填充:在任务间歇期发送无用的具有良好模拟性能的随机数据,以增加攻击者通过分析通信流量和破译密码获得信息难度。
4.3.2 网络安全管理机制
网络信息安全不仅仅是技术问题,更是一个管理问题,要解决网络信息安全问题,必须制定正确的目标策略,设计可行的技术方案,确定合理的资金技术,采取相应的管理措施和依据相关法律制度。
5.0 校园网存在的安全隐患
校园网在学校的日常事务中发挥着重要的作用,与此同时,校园网的安全问题也越来越突出,黑客入侵、网络病毒、管理不善等原因使得校园网络面临着严重的威胁。
5.1 危害校园网安全的内部因素
在校园网所面临的威胁当中,内部因素是一个重要的方面,这其中既包括软硬件自身存在的缺陷,也包括管理者的管理水平等主观方面的因素。
5.1.1 软硬件自身存在的漏洞
来自硬件系统的安全威胁。一方面是指物理安全,主要是由于网络硬件设备的放置不合适或者防御措施不得力,使得服务器、工作站、交换机、路由器等网络设备,光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受雷电、水、火意外事故或人为破坏等等而造成的校园网不能正常使用。另一方面是指设置安全,主要是在设备上进行必要的设置,防止黑客取得硬件设备的远程控制权等。硬件系统安全是制订校园网安全整体解决方案时首先应考虑的问题。
系统安全漏洞是指系统在设计时没有考虑到的缺陷,特别是操作系统,因为这些软件一般都比较的复杂、庞大,有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在,使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者对系统漏洞进行攻击,入侵成功后将获得系统的相应权限,进而盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝大多数都是使用Windows2000/XP操作系统,而Windows操作系统是不太安全的。因为Windows操作系统的漏洞比较多,由Windows操作系统漏洞引发的不安全问题时有发生。
5.1.2 设置上的失误
合理规划配置设施是校园网发挥作用的关键。在校园网规划时,应考虑长远,因为一旦综合布线、设备配置完成后再进行调整就可能需要再重新设计网络结构,很多地方需要重新布线,网络设备也需要重新设置,这样既浪费人力,物力,也会影响到教学。对于一些重要的场所,例如图书馆、电子阅览室、资料室、电脑室、多媒体制作室、教室、办公室等应多设信息点。同时网络集成公司的技术实力、施工质量及其五花八门的解决方案大多是自吹自擂,并没有通过权威部门的评审、鉴
定,致使网络市场处于一种比较混乱的局面。
5.1.3 管理上的漏洞
管理是信息网络安全中最重要的部分。管理混乱、责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险,主在体现在以下几点:
(1)机房出入管理不严格,使入侵者能够接近重要设备而带来信息安全风险; (2)一些心怀不满的内部员工,由于熟悉服务器、小程序、脚本和系统的弱点,进行如:复制、删除数据等非法数据操作,造成极大的安全风险;
(3)内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人,带来信息泄漏风险;
(4)当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的报告、监控、检测与预警。同时,当事故发生后,也无法提供攻击者攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
5.2 危害校园网安全的外部因素
虽然内部因素威胁着校园网的安全,但是在绝大多情况下,黑客入侵,网络病毒等外部因素对网络也构成较大威胁。
5.2.1 网络黑客的侵入
“黑客”一词是由英语Hacker英译出来的,是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生并成长。黑客对计算机有着狂热的兴趣和执着的追求,他们不断地研究计算机和网络知识,发现计算机和网络中存在的漏洞,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。
由于校园网规模巨大,各种设备系统差异有很大差异,给管理带来了较大的挑战,同时也成为黑客攻击的对象。
5.2.2 计算机病毒的破坏
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站)。计算机病毒一般首先通过多种途径入侵到有盘工作站,也就进入网络,然后开始在网上的传播。具体地说,其传播方式有以下几
种。
(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;
(2)病毒先传染工作站,在工作站内存驻留,病毒运行时直接通过映像路径传染到服务器中;
(3)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。 5.3 校园网安全防御与应急关键设备技术
(1)防火墙及技术。它为网络通信、数据传输提供更有保障的安全性。分为包过滤防火墙(检查每个IP包的字段,如源地址、目标地址、端口等… );状态检测防火墙(动态检查网络连接和包);应用程序代理防火墙(与特定应用程序配合使用)。
防火墙性能:最大带宽、并发连接数、每秒新增连接数、丢包和延迟;自身安全性。
(2)入侵检测与防御及技术。它能及时发现网络异常行为,并阻止其进一步发展。入侵检测技术包括以下几种:基于误用检测技术(检测与异常规则相匹配的网络行为);基于异常检测技术(检测偏离了正常规则的网络行为)。入侵检测核心技术:模式匹配、基于统计方法、预测模式生成等。防火墙性能:降低误报率、漏报率。
(3)防御病毒及技术。它能及时发现病毒,并清除,阻止病毒进一步传播、扩散。防病毒核心技术有:特征代码匹配、病毒特征自动发现、启发式搜索等,防病毒产品有:Norton、金山毒霸、瑞星杀毒软件等。
(4)内容过滤及技术。它能阻止不健康、反动信息的复制、传播。过滤方法有:基于关键字、权重关键字、基于URL的过滤;基于文字内容的深度搜索;一般在防病毒网关、反垃圾邮件系统中集成。
(5)反垃圾邮件及技术。它能过滤、阻止大量的非正常的电子邮件。反垃圾邮件机理:IP地址、域名、邮件地址黑白名单方式;基于垃圾邮件行为模式识别模型;基于信头、信体、附件的内容过滤方式;反垃圾邮件产品有:防垃圾邮件网关;防垃圾邮件防火墙。
根据本章所提出的校园网所面临的安全威胁,我们除了选取良好的拓扑结构外, 一般还要注意安全保密, 以防止信息的非授权访问;注意其可用性, 使计算机的硬件和软件保持有效的运行, 并且系统在发生灾难时能够快速完全地恢复;要注意数据的完整性与精确性, 使信息在存储或传输过程中不被破坏、丢失或不被未经授权的恶意或偶然的修改。要防止侵袭者通过非法途径进入计算机系统, 偷盗有用的数据信息, 重点保护系统中容易被攻击的脆弱点。根据目前的技术水平, 我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等安全措施来加以防范。
6.0 校园网网络安全对策分析
校园网安全问题愈来愈突出的同时,校园网安全的对策也越来越引起人们的注意。本章重点讨论校园网的安全对策,并在此基础上简要地说明校园网安全体系结构的建 以及校园网网络安全体系的内容,校园网安全问题对策所用到的关键技术。
6.1网络攻击的概念
校园网的网络攻击主要来自internet中,所以对网络的攻击可以分为两种基本的类型,即服务攻击与非服务攻击。
(1)服务攻击
指对为网络提供某种服 的服务器发起攻击,遭成该网络的“拒绝服务”,使网络工作部正常。拒绝服务攻击将会带来消耗带宽、消耗计算资源、使系统和应用崩溃等后果,它是阻止针对某种服务的合法使用者访问他有权的服务。
(2)非服务攻击
非服务攻击是针对网络层等低层协议进行的,攻击者可能使用各种方法对网络通信设备发起攻击,使得网络通信设备工作严重阻塞或瘫痪,导致一个局域网或更多的网布能正常工作。与服务攻击相比,非服务攻击与特定服务无关,它往往利用协议或操作系统实现协议时的漏洞来达到目的。
(3)非授权访问
非授权访问是指存储在联网计算机中的信息或服务被未授权的网络用户非法使用,或者被授权用户越权滥用。
6.2 校园网络安全对策概述
随着网络应用的开展,要建立一个安全的网络体系,首先应花较大的精力制定周密的网络安全策略。在网络安全的实施中,技术只是手段,还应该先对网络安全管理有个清晰的概念,然后制定安全策略,最后才是选择合适的产品用以具体实施和构建安全系统。要建设一个安全的网络安全体系,必须采取相应的对策,根据实际的需求不同,采取的策略可能有一些不同之处,但大都包括下述策略。
6.2.1 网络安全系统对策的制定
物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等
硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备有一个良好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进行破坏活动。
最小授权原则指网络中账号设置服务配置主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。
采用网络隔离手段可有效减小信息的传播面,从而增加信息的安全性。应根据业务划分、保密要求等因素的差异将网络进行分段隔离,它可从底层有效地控制信号传播途径及传播范围,实现更为细化的安全控制体系,将攻击和入侵造成的威胁限制在较小的子网内,提高网络整体的安全水平。路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。
在经费允许范围内,尽可能选用安全级别较高的网络操作系统及数据库系统,以安全套件加固TCP/IP各层。如因受客观条件限制,难以对网络操作系统及数据库系统进行选择,则其他核心软件,如防火墙、入侵检测、网络安全漏洞扫描软件等应尽可能地选用经国家网络安全权威机构评审通过的优秀国产软件。
在网络安全中,除了采用技术措施之外,制定有关规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由于一个较小的让步,最后使整个系统的崩溃。因此,严格执行安全管理制度是网络可靠运行的重要保障。
6.2.2 校园网络安全的设计原则
校园网覆盖整个校区,在网络性能上应该考虑以下几项要求:数据处理、通信处理能力强,响应速度快。网络运行的安全性、可靠性高。网络能够容易得进行扩容、升级和管理。主干网的带宽要高,可以支持多媒体等视频业务的开展和满足数据流量不断增长的要求。
此外,在校园网建设的具体实施中需要注意的设计原则包括: (1)强调实用性、并尽可能达到性能价格比最优化; (2)尽量采用先进、成熟的组网技术;
(3)坚持开放型,采用国际标准和通用标准; (4)统一规划、分布实施。
6.3 校园网络安全体系结构设计
构建安全高效的校园网络是校园网建设的目标之一,校园安全体系结构的建设
是其中的重要一环安全体系设计的好坏是校园网成败的关键。
6.3.1 设计校园网络安全体系的原则
根据网络安全性设计的要求设计网络安全体系时应遵循安全性、可行性、高效性、可承担性等原则,分别阐述如下:
(1)安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全,所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。 (2)可行性:设计网络安全体系不能单纯地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。 (3)高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。
(4)可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由学校来支持,要为此付出一定的代价和开销。如果我们付出的代价比从安全体系中获得的利益还要多,那么我们就不该采用这个方案。
6.3.2 校园网络安全体系的设计内容
一个完整的安全体系应该包含五个安全层面,分别为数据保密层、应用层、用户层、系统层和网络层。数据保密层重点关注应用层的数据安全,因而在数据保密层优先考虑数据加密算法;应用层的重点是网络应用中的存取控制和授权;在用户层,校园网络安全体系的主要内容包括用户的管理、登录、认证;而系统层侧重与操作系统的防病毒,入侵检测,审计分析;网络层针对网络底层数据的通讯安全提出解决方案。
6.4 解决校园网安全问题的主要方法
解决校园网安全问题的主要方法包括防火墙、备份与恢复、入侵检测、病毒防御、虚拟专用网、漏洞扫描等。
6.4.1 防火墙部署
防火墙指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,
对外屏蔽内部网的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。 防火墙根据功能可以分成个人防火墙和网络防火墙,根据实现方法可以分成硬件防火墙和软件防火墙,根据结构可以分成包过滤、状态检测,状态包过滤防火墙。
图3-1 典型防火墙结构
网络防火墙用以保护企业网络等较大的复杂网络,以处理更多的用户。软件防火墙和硬件防火墙是个相对概念,基本上,所有的防火墙都需要软件的处理部分。硬件防火墙指的是将防火墙软件和特定硬件平台集成在一起的应用。软件防火墙则是指对底层硬件没有特殊要求,可以安装在Windows、Unix系统直接使用的防火墙。
根据防火墙的工作原理,所有的防火墙从体系结构上都可以分为数据获取、应用处理和数据传输三大部分。通常情况下,数据获取和数据传输是由软、硬件两部分共同实现的。其中,硬件部分一般是防火墙设备的网络接口设备;数据获取的软件部分是负责将硬件获取的网络通讯信息从网络接口设备的缓冲区传送到操作系统缓冲区进行处理的软件代码,数据传输的软件部分则是执行与数据获取相反的工作的软件代码,这些代码主要作用是将防火墙需要发送的数据包从操作系统缓冲区中传送到相应的网络接口设备并传送出去。防火墙将接收到的数据包传送给应用功能模块,进行相应的处理。
6.4.2 备份与恢复
建立完整的网络数据备份系统必须实现以下内容:计算机网络数据备份的自动
化,以减少系统管理员的工作量,使数据备份工作制度化、科学化;网络安全技术及其在校园网中的应用与研究;对介质管理的有效化,防止读写操作的错误;对数据形成分门别类的介质存储,使数据的保存更细致、科学;自动介质的清洗轮转,提高介质的安全性和使用寿命;以备份服务器形成备份中心,对各种平台的应用系统及其他信息数据进行集中的备份,系统管理员可以在任意一台工作站上管理、监控、配置备份系统,实现分布处理,集中管理的特点;维护人员可以容易地恢复损坏的整个文件系统和各类数据。备份系统还应考虑网络带宽对备份性能的影响,备份服务器的平台选择及安全性,备份系统容量的适度冗余,备份系统良好的扩展性等因素。
6.4.3 入侵检测(IDS)
为进一步保护网络的安全性,需应用入侵检测技术,对网络入侵进行实时检测,即对网络活动和系统事件进行实时监控。实时入侵检测强调时间性,是连续、不间断地监控、检测、响应、防护循环过程,实时入侵检测必须实时执行。
计算机信息网络设置了防火墙后可以解决多数网络安全问题,但是防火墙不是万能的,不能提供实时的入侵检测能力。有些攻击行为仅仅依靠防火墙是不能防范的,比如如果攻击行为从内部网络上发起,那么对主机的访问就不需要通过防火墙,防火墙也就不能对主机进行保护了。一个简单的入侵检测系统,如图3-2所示。
图3-2 简单IDS系统
入侵监测的功能通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
防火墙与入侵检测这两种技术具有较强的互补性。目前,实现入侵检测和防火墙之间的联动有两种方式可以实现,一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中。所有通过的数据包不仅要接受防火墙检测规则的验证,还需要经过入
侵检测,判断是否具有攻击性,以达到真正的实时阻断。但是目前还没有厂商做到这一步,仍处于理论研究阶段。但是不容否认,各个安全产品的紧密结合是一种趋势。第二种方式是通过开放接口来实现联动,即防火墙或者入侵检测系统开放一个接口供对方调用,按照一定的协议进行通讯、警报和传输。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
6.4.4 计算机病毒防范
计算机病毒(Computer Virus)是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有破坏性,复制性和传染性。随着因特网技术的发展,计算机病毒的定义也在进一步扩大化,一些带有恶意性质的特洛伊木马程序,黑客程序和蠕虫程序等从广义角度也被归入计算机病毒的范畴。
从发展的角度来看,计算机病毒属于恶意代码的一种,恶意代码是一种程序,它可以表述为人为编制的,干扰计算机正常运行并造成计算机软硬件故障,甚至破坏数据的计算机程序或指令集合。恶意代码通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、程序。恶意软件的传染结果包括浪费资源、破坏系统、破坏一致性、数据丢失和被窃并能让客户端的用户失去信心。 按传播方式分类,恶意代码分成几类:病毒、木马、蠕虫、间谍软件及移动代码等。多种复合攻击技术的使用已经使安全防护不仅是针对互联网早期某种病毒防护那么简单,而计算机病毒的防御是一个系统工程,内容涉及防病毒软件、补丁升级、以及合理的安全管理规范等方面。
6.4.5 漏洞扫描
计算机漏洞是系统的一组特性,恶意的主体(攻击者或者攻击程序)能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。漏洞扫描的基本原理是采用模拟黑客攻击的方式对目标可能存在的己知漏洞进行逐项检测,以便对工作站、服务器等各种对象进行安全漏洞检测。网络漏洞扫描在保障网络安全方面起到越来越重要的作用。借助网络漏洞扫描,安全管理人员可以发现网络和主机存在的对外开放的端口、提供的服务某些系统信息、错误的配置、已知的安全漏洞等。面对互联网入侵,应根据具体的应用环境,尽可能早地用网络扫描来发现安全漏洞,采取适当的处理措施,有效地阻止入侵事件的发生。
6.4.6 虚拟专用网(VPN)
虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没
有传统专网所需的端到端的物理链路。而是利用某种公众网的资源动态组成的。
VPN分为三种类型:远程访问虚拟网、企业内部虚拟网和企业扩展虚拟网,这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
7.0 其他网络安全解决方案
网络安全技术是解决校园网安全问题的基础,我们在对校园网安全分析时综合采用了防火墙、入侵检测、内容过滤和安全评价等技术,提出了一些安全解决方案,以增强校园网络的安全覆盖范围和程度。
7.1关闭不必要的端口
以下是一些可能被攻击的端口,一般情况下,应该要把这些端口屏蔽掉。 (1)23端口。若这个端口开着非常的危险,这个端口主要用做TELNET登录。Telnet服务给我们的最直接的感受就是它可以使得我们忘掉电脑与电脑之间的距离。利用23端口的Telnet我们可以象访问本机那样访问远程的计算机。Telnet协议的初衷是用来帮助我们对于计算机实现远程管理与维护,以提高我们的工作效率。但在一定情况下反而成为了一个黑客攻击最常利用的一个端口。若不怀好意的人利用Telnet服务登陆到23端口,就可以任意在对方电脑上上传与下载数据,包括上传木马与病毒等等。
(2)21端口。这个端口主要用来运行FTP服务。糟糕的是,这个端口,若管理不善的话,是可以用户进行匿名登陆的。并能够利用这个端口远程登陆并运行远程命令,这也就是说,可以在远程上传木马等工具并在远程控制其运行。同时,还可以利用FTP服务了解到攻击所需要的基本信息,如用的是什么操作系统等等;甚至能够获知可用的帐号,等等。一般情况下,没有必要开启21号端口。
(3)135端口。通过135端口入侵实际上就是在利用操作系统的RPC漏洞。一般情况下,135端口主要用来实现远程过程调用。通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码。利用这个漏洞,可以通过这个端口得到电脑上的“主机”文件。得到这个文件后,再利用一定的工具便可以知道该电脑上可用的计算机用户名与密码,甚至是管理员的用户名与密码。得到这个用户名之后,如可以上传木马工具,随意的查看重要的文件,并对进行破坏和窃取。
7.2 巩固安全策略
(1)利用防火墙将内部网络、对外服务器网络和外网进行有效隔离,避免与外部网络直接通信;
(2)利用防火墙建立网络各主机和对外服务器的安全保护措施,保证系统安全; (3)利用防火墙对网上服务请求内容进行控制,使非法访问在到达主机前被拒
绝;利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
(4)利用防火墙全面监视对公开服务器的访问,及时发现和阻止非法操作; (5)利用防火墙及各服务器上的审计记录,形成一个完善的审计体系,在策略之后建立第二条防线;
(6)在本校区和各校区,利用入侵检测系统,监测对内,对外服务器的访问; (7)在本校区和各校区,利用入侵检测系统,对服务请求内容进行控制,使非法访问在到达主机前被阻断;
(8)在Internet出口处,使用NetHawk网络行为监控系统进行网络活动实时监控和内容过滤;
(9)在校区部署RJ-iTop网络隐患扫描系统,定期对整个网络的安全状况进行评估,及时弥补出现的漏洞;
(10)使用安全加固手段对现有服务器进行安全配置,保障服务器本身的安全性; (11)加强网络安全管理,提高校园网系统全体人员的网络安全意识和防范技术。
结语
通过对这次论文编写,把平时学习中学到的知识运用了到其中。同时也加深了我对平时学习中所没有接触过的知识的一个了解。从而提升了自己各方面的能力使我收益非浅,虽然我开始时遇到了很大困难,但是通过平时的学习和老师,同学的帮忙,最终都能够解决。
通过这次的毕业设计让我明白了自己很多的不足,但是也学会了很多。如利用各种方法去解决问题,而且去寻找问题的症结才能对症下药。在那个的来说这次实践让我学会了很多要组建一个完善的校园网络我还应该考虑更多,去学习更多如校园的先进性、可靠性、经济性、可管理性、可扩展性和安全性等需要更深一步去了解。但是我对于各种网络设备的了解更进一步,以及各种设备的命令的操作更加熟练。
由于自身水平的原因以及时间的关系,对校园网技术的研究还有不尽完善的地方,以后的工作中将对存在的问题及有待完善的地方进行更深入的研究和分析,本文尽管对校园网络安全进行了较深入的研究,也提出了校园网络安全的解决办法,但是,计算机网络安全的问题是一个永久的课题,它将随着计算机技术、计算机网络的发展而一直存在、一直发展。计算机网络的威胁与计算机网络的安全防护的关系就像是“矛”和“盾”的关系一样,没有无坚不摧的矛、也没有无法攻破的盾。
致谢语 感谢老师给予的指导,在老师的精心指导下我一定会顺利的完成毕业论文。非常谢谢!!
参考文献
[1] 校园网设计方案. 杭州应用工程技术学院2001年
[2] 刘建培.校园网信息安全探讨.网络安全技术与应用.2006,10期 [3] 王峰.如何制定网络安全策略.网络通讯与安全,2006年第9期 [4] 杨波.网络安全理论与应用.北京:电子工业出版社,2002年
[5] 王睿、林海波编著.《网络安全与防火墙技术》.清华大学出版社,2000年 [6] 吴小东.浅谈校园网安全问题及防范策略[J].福州:福建电脑,2007(2)
[7] 李宗峰.校园网络安全问题及对策研究[J].北京:网络安全技术与应用,2009(11)
因篇幅问题不能全部显示,请点此查看更多更全内容