校園網(wǎng)安全設(shè)計與實現(xiàn)

i北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 北京工業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)安全設(shè)計與實現(xiàn)指導(dǎo)教師：史銀龍2和工作，給人類帶來高效和快捷，校園網(wǎng)的建成，使學(xué)校實現(xiàn)了管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化，這對于提高學(xué)校的管理水平和教學(xué)質(zhì)量具有十分重修改或癱瘓的事情仍有發(fā)生，這對于建立一個安全，穩(wěn)定高效的校園系統(tǒng)時，網(wǎng)絡(luò)安全成為一個非常重要的環(huán)節(jié)。隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，校園網(wǎng)迅速發(fā)展和普及，在學(xué)校日常工作學(xué)習(xí)和管理中發(fā)揮了至關(guān)重要的作用。但隨著網(wǎng)絡(luò)的普及，其安全問題也日益突出。如何讓校園網(wǎng)正常高效的運行，充分發(fā)揮其教學(xué)、管理和服務(wù)等功能，已成為不可忽視的一個問等多方面提出了改進和解決的方案，希望能對校園網(wǎng)的安全管理有所幫3北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計摘要 2 2.互聯(lián)網(wǎng)現(xiàn)狀和安全分析3.校園網(wǎng)安全現(xiàn)狀與安全分析455.校園網(wǎng)安全防御的措施論參考文獻6其應(yīng)用的深入，校園網(wǎng)絡(luò)的安全問題也逐漸突出，直接影響著學(xué)校的教學(xué)、管理、科研活動。因此，在全面了解校園網(wǎng)的安全現(xiàn)狀基礎(chǔ)上，合理構(gòu)建安全體系結(jié)構(gòu)，改善網(wǎng)絡(luò)應(yīng)用環(huán)校園網(wǎng)安全事件逐年增多，危害程度有增無減。結(jié)合這種情況，撰寫一篇關(guān)于校園網(wǎng)安全方面的論文，提高人們對校園網(wǎng)的重視度并且通過設(shè)計的實現(xiàn)達到網(wǎng)絡(luò)安全性的增強。。第二章詳細(xì)的說明了互聯(lián)網(wǎng)的安全狀況和四個其本身的不利性質(zhì)，聯(lián)網(wǎng)的資料，詳細(xì)的說明當(dāng)前校園網(wǎng)安全的方方面面。第四章整體對于如此多網(wǎng)絡(luò)安全的各種對策的設(shè)計第五章根據(jù)上一章部分對策，實體化的推出各種安全系統(tǒng)增加網(wǎng)絡(luò)的安全性。7北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 軍事等各行各業(yè)，象電話、交通、水、電一樣，成為社會重要的基礎(chǔ)設(shè)施。如果計算機網(wǎng)絡(luò)的安全可靠運行受到威脅，將會影響人們的工作、學(xué)習(xí)和生活。然而不幸的是，近年來大規(guī)模的網(wǎng)絡(luò)安全事件接連發(fā)生，互聯(lián)網(wǎng)上蠕蟲、拒絕服務(wù)攻擊、網(wǎng)絡(luò)欺詐等新的攻擊手段層出不窮，導(dǎo)致的泄密、數(shù)據(jù)破壞、業(yè)務(wù)無法正常進行等事件屢屢發(fā)生，甚至導(dǎo)致世界性的互聯(lián)等各領(lǐng)域的組織都對網(wǎng)絡(luò)安全投入了大量的人力物力；但是目前我們面臨的威脅讓人不容樂觀?；ヂ?lián)網(wǎng)安全問題為什么這么嚴(yán)重？這些安全問題是怎么產(chǎn)生的呢？綜合技術(shù)和管理等可以通過各種媒體接入進來，如果不加限制，世界各地均可以訪問。于是各種安全威脅可以不受地理限制、不受平臺約束，可以迅速通過互聯(lián)網(wǎng)影響到世界的每一個角落。8的計算機系統(tǒng)在實現(xiàn)階段也留下了大量安全漏洞。一般認(rèn)為，軟件中的錯誤數(shù)量和軟件的規(guī)模成正比，由于網(wǎng)絡(luò)和相關(guān)軟件越來越復(fù)雜，其中所包含的安全漏洞也越來越多。特別是由于市場競爭，一些廠商為了占領(lǐng)市場會把沒有經(jīng)過嚴(yán)格的質(zhì)量測試的軟件系統(tǒng)推向市場，留下了大量的安全隱患，如緩沖區(qū)溢出。在互聯(lián)網(wǎng)和系統(tǒng)的維護階段的安全漏洞也是安全攻擊護管理工作量大等因素，這些安全機制并沒有發(fā)揮有效作用。比如，系統(tǒng)的缺省安裝和弱口互聯(lián)網(wǎng)威脅的普遍性是安全問題的另一個方面，而且隨著互聯(lián)網(wǎng)的發(fā)展，對互聯(lián)網(wǎng)攻擊擊者的知識水平要求卻越來越低，因此攻擊者也更為普遍。國界的安全事件的追蹤非常困難。9北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境，同時通過各院校之間的互聯(lián)互通，將會極大的提高教育校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、高等教育和科研機構(gòu)是互聯(lián)網(wǎng)誕生的搖籃，也是最早的應(yīng)用環(huán)境。各國的高等教育都是最的網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)應(yīng)用普及，用戶群密集而且活躍。然而校園網(wǎng)由于自身的特點也是安全問題中住宿，因而用戶群比較密集。正是由于高帶寬和大用戶量的特點，。非常復(fù)雜，比如學(xué)生宿舍中的電腦一般是學(xué)生自己花錢購買、自己維護的，有的院系是統(tǒng)一采購、有技術(shù)人員負(fù)責(zé)維護的，有些院系則是教師自主購買、沒有專人維護的。這種情況下要求所有的端系統(tǒng)實施統(tǒng)一的安全政策(比如安裝防病毒軟件、設(shè)置可靠的口令)是產(chǎn)管理和設(shè)備管理，出現(xiàn)安全問題后通常無法分清責(zé)任。比較典型的現(xiàn)象是，用戶的計算機接入校園網(wǎng)后感染病毒，反過來這臺感染病毒的計算機又影響了校園網(wǎng)的運行，于是出現(xiàn)端系統(tǒng)用戶和網(wǎng)絡(luò)管理員相互指責(zé)的現(xiàn)象。更有些計算機甚至服務(wù)器系統(tǒng)建設(shè)完畢之后無人管理，甚至被攻擊者攻破作為攻擊的跳板、變成攻擊試驗床也無人覺察。奇，勇于嘗試。如果沒有意識到后果的嚴(yán)重性，有些學(xué)生會嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù)，可能對網(wǎng)絡(luò)造成一定的影響和破壞。理們只能維護網(wǎng)絡(luò)的正常運行，無暇顧及、也沒有條件管理和維護數(shù)萬臺計算機的安全，院、系一級的專職的計算機系統(tǒng)管理員對計算機系統(tǒng)的安全是非常重要的。.盜版資源泛濫。由于缺乏版權(quán)意識，盜版軟件、影視資源在校園網(wǎng)中普遍使用，北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計業(yè)，在工作之前沒有受過系統(tǒng)的專業(yè)培訓(xùn)。所以，不能很好地勝任本職工作。如把在計算機中裝上還原卡當(dāng)作是萬能管理方法；不設(shè)置系統(tǒng)管理員密碼；在系統(tǒng)中不安裝防火墻和殺毒軟件等等。另外，有些網(wǎng)絡(luò)管理員敷衍塞責(zé)，對出現(xiàn)的系統(tǒng)故障置之不理。在：密碼設(shè)置過于簡單；不經(jīng)常用殺毒軟件掃描和刪除病毒；不對殺毒軟件和防火墻軟件進行及時更新；不經(jīng)常掃描系統(tǒng)漏洞并打上補??；使用移動存儲介質(zhì)時不事先用殺毒軟件進行掃TCPIP的身份認(rèn)證，無法保證信息的真實性。和木馬攻擊提供了最快捷的途徑。以蠕蟲為代表的病毒肆虐和特洛伊木馬的瘋狂入侵，直接導(dǎo)措施的單一性、獨立性和落后性使得網(wǎng)絡(luò)病毒和木馬入侵屢屢得逞。校園網(wǎng)具有速度快、規(guī)模大，計算機系統(tǒng)管理復(fù)雜，用戶非?；钴S，相對開放的網(wǎng)絡(luò)環(huán)境，有限的資金及人力投入等特點，這些特點使校園網(wǎng)既是大量網(wǎng)絡(luò)攻擊的發(fā)源地，也是網(wǎng)絡(luò)攻擊者最容易攻破的目標(biāo)。當(dāng)前，校園網(wǎng)常見的安全威脅有如下幾種。威脅之一：普遍存在的計算機系統(tǒng)漏洞。安全漏洞是指允許任意用戶未經(jīng)授權(quán)獲得訪問，或提高其訪問權(quán)限的硬件或軟件特征。漏洞也可以理解為某種形式的脆弱性，網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)威脅之二：計算機蠕蟲、病毒泛濫。網(wǎng)絡(luò)蠕蟲病毒的危害日益嚴(yán)重，種類和數(shù)量日益增多，發(fā)作日益頻繁?，F(xiàn)在，蠕蟲病毒往往與黑客技術(shù)結(jié)合，計算機中毒發(fā)作后，常導(dǎo)致拒絕服算機系統(tǒng)后，病毒控制者可以從入侵的系統(tǒng)中竊取信息，遠程控制這些系統(tǒng)。工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務(wù)。拒絕服FloodPingFlood這意味著攻擊所需要的技術(shù)門檻大大降低。幾年前僅適用于高智能范圍的工具現(xiàn)在可以通過商tNetBus擊者為了獲得網(wǎng)絡(luò)內(nèi)部和周圍的信息使用這種攻擊嘗試，典型例子包括Satan掃描、端口掃描威脅之五：校園網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)資源的濫用。有人利用校園網(wǎng)資源進行商業(yè)的或北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計：統(tǒng)入侵、攻擊等惡意破壞行為，有些計算機已經(jīng)被攻破，用作黑客攻擊的工具；拒絕服務(wù)攻擊成了不良的影響，損害了學(xué)校的聲譽；用免費的校園網(wǎng)資源提供商業(yè)護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或包括兩個方面：對系統(tǒng)所在環(huán)境的安全保護，確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源；控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。。件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)更進一步的安全性。北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達到端口是虛擬的“門戶”，信息通過它進入和駐留于計算機中，網(wǎng)絡(luò)中服務(wù)器的端口往往呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡(luò)還常對服務(wù)器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發(fā)生器)。在對用戶的身份進行驗證之后，才允許用戶進入防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以統(tǒng)(可能是軟件或硬件或者是兩者并用)，用來限制外部非法(未經(jīng)許可)用戶訪問內(nèi)部網(wǎng)絡(luò)資源，通過絡(luò)資源，通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)網(wǎng)絡(luò)的侵入,防止偷竊或起破壞作用的惡意攻擊。絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端點加密是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密法來具檢測(IntrusionDeteetion)的定義為：識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為，并對此做出反應(yīng)的過程。它不僅檢測來自外部的入侵行為，同時也檢測來自內(nèi)部用戶的未授權(quán)活動。入侵檢測應(yīng)用了以攻為守的策略，它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用用備份和鏡像技術(shù)提高完整性。備份技術(shù)是最常用的提高數(shù)據(jù)完整性的措施，它是指對需要保護的數(shù)據(jù)在另一個地方制作一個備份，一旦失去原件還能使用數(shù)據(jù)備份。對于校園網(wǎng)絡(luò)，由于使用人群的特定性，必須要對網(wǎng)絡(luò)的有害信息加以過濾，防止一些色情、暴力和反動信息危害學(xué)生的身心健康，必須采用一套完整的網(wǎng)絡(luò)管理和信息過濾相結(jié)進行有害信息過濾管理。網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持，在網(wǎng)絡(luò)安全中，除采用技術(shù)措施之外，加強網(wǎng)絡(luò)的安全管理，制定有關(guān)的規(guī)章制度，對于確保網(wǎng)絡(luò)安全、可靠地運行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括：確定安全管理等級和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護制IP測)出入網(wǎng)絡(luò)的信息流，同時實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、審計和實時報警功能。通過防火墻部署在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵入口或出口。防火墻主要工作在交換和路由兩種模式。當(dāng)防火墻工作在交換模式時，防火墻的3區(qū))和路由器的內(nèi)部端口連接起來，構(gòu)成一個統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡(luò)拓樸結(jié)構(gòu)和各主機、設(shè)備北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計做到及時響應(yīng)、告警和記錄，以彌補防火墻的不足。入侵檢測系統(tǒng)通過實時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)在入侵檢測系統(tǒng)上配置的安全策略(入侵模式)，識別、記錄入侵和破壞性的代碼流，尋找違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時，網(wǎng)絡(luò)安全檢測系統(tǒng)的預(yù)警子系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反映，并通過監(jiān)測報警日志行報警和響應(yīng)。務(wù)器或防火墻附近，以檢測關(guān)鍵部位的數(shù)據(jù)流，防范非法訪問行為，對非法網(wǎng)絡(luò)行為的審計、監(jiān)測及安全監(jiān)控，并實現(xiàn)與防火墻的聯(lián)動進行動態(tài)保護。入侵檢測系統(tǒng)由控制中心和探探漏洞掃描系統(tǒng)是一種系統(tǒng)安全評估技術(shù)，具體包括網(wǎng)絡(luò)模擬攻擊、漏洞測試、報告服務(wù)系進行漏洞掃描，對這些設(shè)備和系統(tǒng)的安全情況進行評估，發(fā)現(xiàn)并報告系統(tǒng)存在的弱點和漏洞，評估安全風(fēng)險，建議補救措施。漏洞掃描系統(tǒng)性能應(yīng)具備：掃描項目覆蓋網(wǎng)絡(luò)層、應(yīng)用層和各種網(wǎng)絡(luò)服務(wù)；掃描對的漏洞特征庫；執(zhí)行掃描時不會對掃描對象的系統(tǒng)產(chǎn)生影響；對網(wǎng)絡(luò)的數(shù)據(jù)包傳輸不產(chǎn)生明率等。下：檢測：一旦感染就立即察覺，并能夠確定病毒的位置；識別：一旦檢測出病毒，能夠確定已感染病毒類型；去除：一旦識別出特定的病毒，能夠?qū)⒏腥镜某绦蚧謴?fù)到原來的狀態(tài)，并從系統(tǒng)中去除特征信息庫，才能防御新型病毒的攻擊。隨著反病毒技術(shù)和產(chǎn)品不斷完善，新型的防病毒軟件采用了更加綜合性的防衛(wèi)策略，從而把防衛(wèi)范圍擴大到更廣目標(biāo)的計算機安全措施。計算機病毒的危害多種多樣。病毒程序會消耗資源使網(wǎng)絡(luò)速度變慢；病毒會干擾、和硬件，使部分網(wǎng)絡(luò)癱瘓;有些病毒會在硬盤上設(shè)置遠程共享區(qū)，形成后門，為黑客大開方便員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為北京工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計實現(xiàn)全方位集中的網(wǎng)絡(luò)系統(tǒng)安全審計，會大大地提高安全監(jiān)察效率。綜合審計系統(tǒng)支持分布式的數(shù)據(jù)審計與預(yù)警；能從各種服務(wù)器自動收集系統(tǒng)事件；具備完整的網(wǎng)絡(luò)日志功能，詳細(xì)記載每個用戶的網(wǎng)絡(luò)訪問行為，包括用戶操作的時間、用戶名、操作結(jié)果以及名稱和路徑；完善的自我保護能力，保證審計系統(tǒng)和安全日志文件的完整性；具有智能化的分析能力，向管理的警告信息，幫助系統(tǒng)管理員對系統(tǒng)的安全管理。校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程，從嚴(yán)格的意義上來講，沒有絕對安全的網(wǎng)絡(luò)系