校園網(wǎng)絡(luò)管理與信息安全解決方案

課程設(shè)計報告PAGEPAGE1河北金融學(xué)院校園網(wǎng)絡(luò)管理與信息安全解決方案目錄摘要 1一概述 1二對當(dāng)前校園網(wǎng)絡(luò)現(xiàn)狀的研究分析 1三河北金融學(xué)院網(wǎng)絡(luò)拓撲圖 1四校園網(wǎng)主要面臨的安全威脅 14.1計算機病毒破壞 14.2校園網(wǎng)絡(luò)設(shè)備管理不健全 24.3計算機系統(tǒng)漏洞 24.4用戶對校園網(wǎng)網(wǎng)絡(luò)資源的濫用 34.5校園網(wǎng)安全管理制度缺失 34.6網(wǎng)絡(luò)管理者和使用者的安全技術(shù)能力低 3五網(wǎng)絡(luò)安全解決方案設(shè)計 45.1身份認證 45.2部署網(wǎng)絡(luò)防病毒系統(tǒng) 45.3防止IP地址盜用和ARP攻擊 45.4設(shè)置漏洞管理系統(tǒng) 55.5設(shè)置防火墻保護網(wǎng)絡(luò)安全 55.6設(shè)置WEB應(yīng)用防護系統(tǒng) 65.7定期對服務(wù)器進行備份和維護 65.8加強校園管理 6六結(jié)束語 7參考文獻 7摘要：隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全已成為一個不可忽視的問題。而校園網(wǎng)絡(luò)的安全是一個普遍存在較為復(fù)雜的系統(tǒng)工程，需要引起每個使用校園網(wǎng)的人足夠的重視并全方位地加以防范．本文針對目前校園網(wǎng)面臨的現(xiàn)狀進行了分析。列舉出了影響校園網(wǎng)安全的主要因素，并提出了解決方案。關(guān)鍵詞校園網(wǎng)絡(luò)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全措施解決方案一概述隨著信息化程度的提高，計算機網(wǎng)絡(luò)得到了飛速發(fā)展，校園網(wǎng)絡(luò)信息化也逐步發(fā)展起來了。而高校校園信息化建設(shè)工作的整體推進,應(yīng)用系統(tǒng)的整合、統(tǒng)一門戶平臺的實施、數(shù)據(jù)存儲中心的建立以及各種信息的共享與交流,都需要切實做好校園網(wǎng)絡(luò)安全體系建設(shè),建立事故預(yù)警機制,做好善后處理工作,結(jié)合硬件、軟件,采取各種技術(shù)措施,建立一個基于管理措施和多種技術(shù)的高校校園網(wǎng)絡(luò)安全體系,確保校園信息化各類基礎(chǔ)設(shè)施不受來自網(wǎng)內(nèi)和網(wǎng)外用戶非法訪問和破壞,管理內(nèi)部用戶對外部資源的合法訪問,全面做好校園信息化的安全保衛(wèi)工作。保證校園內(nèi)外信息資料順暢的交流,面對校園網(wǎng)絡(luò)中的種種安全威脅，必須采取及時有效的措施來解決。二對當(dāng)前校園網(wǎng)絡(luò)現(xiàn)狀的研究分析當(dāng)前校園網(wǎng)絡(luò)普遍面臨著網(wǎng)絡(luò)規(guī)模大，設(shè)備多。從網(wǎng)絡(luò)結(jié)構(gòu)上看，可分為核心、匯聚和接入3個層次，包含很多的路由器，交換機等網(wǎng)絡(luò)設(shè)備和服務(wù)器、微機等主機設(shè)備等問題。校園網(wǎng)通常是雙出口結(jié)構(gòu)，分別與Cerner、Internet互聯(lián)。而且用戶種類豐富。不同用戶對網(wǎng)絡(luò)功能的要求不同。教學(xué)區(qū)和辦公區(qū)要求局域網(wǎng)絡(luò)共享，實現(xiàn)基于網(wǎng)絡(luò)的應(yīng)用，并能接入INTERNET。學(xué)生區(qū)主要是接入INTERNET的需求。應(yīng)用系統(tǒng)豐富。校園網(wǎng)單位眾多，有很多基于局域網(wǎng)的應(yīng)用，如多媒體教學(xué)系統(tǒng)，圖書館管理系統(tǒng)，學(xué)生檔案管理系統(tǒng)，財務(wù)處理系統(tǒng)等。這些應(yīng)用之間互相隔離。還有很多基于INTERTNET的應(yīng)用，如WWW、E-MAIL等，需要和INTERNET的交互。各種應(yīng)用服務(wù)器，如DNS，WWW，洞。連接校園網(wǎng)絡(luò)各基礎(chǔ)設(shè)施的硬件設(shè)備(如交換機、防火墻等),基本工作原理是運行存儲在芯片中的程序,實現(xiàn)一系列功能,這些程序或多或少的都會存在一些漏洞,這些漏洞給入侵者提供了攻擊網(wǎng)絡(luò)的可能。三是校園網(wǎng)站、各單位基于WEB的業(yè)務(wù)管理系統(tǒng)等代碼漏洞。校園網(wǎng)絡(luò)上運行著大量的網(wǎng)站和眾多的業(yè)務(wù)管理系統(tǒng),對校內(nèi)和校外提供豐富多彩的工作、學(xué)習(xí)和娛樂等內(nèi)容,但這些站點的代碼在編寫過程中,存在很多不嚴謹?shù)牡胤?甚至有些程序設(shè)計人員可能會在代碼中留下一些后門程序,這給攻擊者留下了攻擊的途徑。4.4用戶對校園網(wǎng)網(wǎng)絡(luò)資源的濫用實際上有相當(dāng)一部分的因特網(wǎng)訪問是與正常的工作無關(guān)的，有人利用校園網(wǎng)資源從事商業(yè)活動或大量的視頻、軟件資源下載服務(wù)，有人甚至去訪問一些不健康的甚至反動站點，從而導(dǎo)致大量非法內(nèi)容或垃圾郵件甚至一些木馬程序的進入，占用了大量珍貴的網(wǎng)絡(luò)資源，嚴重浪費了校園網(wǎng)資源，造成流量堵寨、子網(wǎng)速度慢等問題。4.5校園網(wǎng)安全管理制度缺失隨著校同內(nèi)對計算機虛用的需求，接入校園網(wǎng)的計算機日益增加，校園網(wǎng)安全管理制度缺失問題也越發(fā)嚴重。校園網(wǎng)經(jīng)常會發(fā)生計算機病毒泛濫、信息丟失數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴重情況。校園網(wǎng)的建設(shè)普遍存在著重運行、輕管理的現(xiàn)象。而且當(dāng)前很多高校校園網(wǎng)絡(luò)建設(shè)存在重硬件、輕軟件及重運行、輕管理的兩種極端現(xiàn)象,網(wǎng)絡(luò)建設(shè)者通常將網(wǎng)絡(luò)系統(tǒng)作為一項純技術(shù)工程來實施,沒有建立一套完善的安全管理方案,網(wǎng)絡(luò)管理員只需將精力集中于日常的簡單事務(wù)管理上,如上網(wǎng)線路的故障維護、賬號的開通和維護、服務(wù)器的日常管理和業(yè)務(wù)應(yīng)用系統(tǒng)的日常維護等,網(wǎng)絡(luò)規(guī)范化、安全化管理嚴重不足,很少關(guān)注和研究網(wǎng)絡(luò)入侵手段、防范措施、安全機制等內(nèi)容。4.6網(wǎng)絡(luò)管理者和使用者的安全技術(shù)能力低雖然高校校園網(wǎng)絡(luò)建設(shè)者和使用者具備足夠的安全意識,但可能會陷于安全技術(shù)能力不足的缺憾。網(wǎng)絡(luò)管理者不具備豐富的安全管理經(jīng)驗和技術(shù)能力,就無從談起對網(wǎng)絡(luò)的安全保障,至多只能防范和處理一些簡單的安全威脅,遇到重大問題,通常只能求助于校外專業(yè)人士。網(wǎng)絡(luò)使用者的安全技術(shù)能力更是嚴重不足,絕大多數(shù)的用戶只是簡單的使用計算機和網(wǎng)絡(luò),安全防范措施一般只是安裝殺毒軟件,期望殺毒軟件能解決所有安全問題,但這往往是不可能的。五網(wǎng)絡(luò)安全解決方案設(shè)計5.1身份認證對于每一個入校園網(wǎng)的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名、密碼、用戶PC機的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號，通過以上的信息的綁定，可以避免了個人信息被盜用，當(dāng)安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息就可以準確定位到該用戶，便于事情的處理。5.2部署網(wǎng)絡(luò)防病毒系統(tǒng)網(wǎng)絡(luò)管理者一般應(yīng)通過四種策略來防范和控制病毒在校園網(wǎng)中的廣泛傳播:一是在網(wǎng)關(guān)處禁止常見病毒的入侵,關(guān)閉校園網(wǎng)絡(luò)對外的可能產(chǎn)生病毒入侵的端口;二是在校園網(wǎng)內(nèi)安裝具有計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品,在整個校園網(wǎng)內(nèi)采取病毒防范措施;三是查找到病毒宿主機,對其實施隔離措施,將用戶的網(wǎng)絡(luò)訪問強行定向到校內(nèi)在線殺毒站點進行病毒查殺;四是對服務(wù)器等重要設(shè)備設(shè)定安全策略(如固定端口開放、審核策略、網(wǎng)絡(luò)訪問許可策略等),監(jiān)控系統(tǒng)狀態(tài),有效防范校園網(wǎng)絡(luò)內(nèi)的病毒和惡意入侵。5.3防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所以的數(shù)據(jù)包都不能進入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP，造成網(wǎng)絡(luò)通訊的混亂。5.4設(shè)置漏洞管理系統(tǒng)設(shè)置漏洞管理系統(tǒng)，能夠有效避免由漏洞攻擊導(dǎo)致的安全問題。它從漏洞的整個生命周期著手，在周期的不同階段采取不同的措施，是一個循環(huán)、周期執(zhí)行的工作流程。對用戶網(wǎng)絡(luò)中的資產(chǎn)進行自動發(fā)現(xiàn)并按照資產(chǎn)重要性進行分類；自動周期對網(wǎng)絡(luò)資產(chǎn)的漏洞進行評估并將結(jié)果自動發(fā)送和保存；采用業(yè)界權(quán)威的分析模型對漏洞評估的結(jié)果進行定性和定量的風(fēng)險分析，并根據(jù)資產(chǎn)重要性給出可操作性強的漏洞修復(fù)方案；根據(jù)漏洞修復(fù)方案，對網(wǎng)絡(luò)資產(chǎn)中存在的漏洞進行合理的修復(fù)或者調(diào)整網(wǎng)絡(luò)的整體安全策略進行規(guī)避；對修復(fù)完畢的漏洞進行修復(fù)確認：定期重復(fù)上述步驟。通過漏洞管理將網(wǎng)絡(luò)資產(chǎn)按照重要性進行分類，自動周期升級并對網(wǎng)絡(luò)資產(chǎn)進行評估，最后自動將風(fēng)險評估結(jié)果自動發(fā)送給相關(guān)責(zé)任人，大大降低人工維護成本。漏洞管理系統(tǒng)包括硬件平臺和管理控制臺，部署在網(wǎng)絡(luò)的核心交換機處，對整個網(wǎng)絡(luò)中的資產(chǎn)提供漏洞管理功能。5.5設(shè)置防火墻保護網(wǎng)絡(luò)安全防火墻系統(tǒng)是一種建立在現(xiàn)在同學(xué)網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)的應(yīng)用性安全技術(shù)產(chǎn)品，是一種使用較早的，也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品。防火墻通過控制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。在需要隔離的網(wǎng)絡(luò)區(qū)域之間設(shè)置防火墻。典型地，在Internet與校園網(wǎng)之間部署一臺防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。將WWW、MAIL、FTP、DNS等服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與Internet連接。那么，通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(wù)（如WWW、MAIL、FTP、DNS等），既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進行跟蹤和審計。5.6設(shè)置WEB應(yīng)用防護系統(tǒng)高校網(wǎng)絡(luò)安全體系中，需要新型的技術(shù)和設(shè)備來應(yīng)對WEB攻擊，保證網(wǎng)站安全，維護高校聲譽；為廣大師生等用戶提供持續(xù)優(yōu)質(zhì)服務(wù)。這種新型的技術(shù)就是WEB防火墻。傳統(tǒng)的邊界安全設(shè)備，如防火墻，局限于自身的產(chǎn)品定位和防護深度，不能有效地提供針對Web應(yīng)用攻擊完善的防御能力。Web應(yīng)用防火墻（WebApplicationFirewall,簡稱：WAF）代表了一類新興的信息安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對Web應(yīng)用防護具有先天的技術(shù)優(yōu)勢。基于對Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自Web應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網(wǎng)站站點進行有效防護。5.7定期對服務(wù)器進行備份和維護為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作，系統(tǒng)管理管理員需要定期備份服務(wù)器上的重要系統(tǒng)文件。比如用戶賬戶。文件資料可以用RAID方式進行每周備份，重要的資料還應(yīng)用保存在另外的服務(wù)器上或者備份在光盤中。監(jiān)視服務(wù)器上資源的使用情況，刪除過期和無用的文件，確保服務(wù)器高效運行。5.8加強校園管理校園網(wǎng)絡(luò)安全保障是一個硬件、軟件和人力資源有機結(jié)合的整體,三方面相輔相成,缺一不可。因此,在有足夠可靠的安全軟硬件的前提下,必須加強校園網(wǎng)絡(luò)管理人員安全技術(shù)能力和安全管理能力的培養(yǎng),鼓勵其參加相關(guān)的技術(shù)培訓(xùn),拓展專業(yè)能力,建立一支職責(zé)明確、技術(shù)全面、知識豐富的網(wǎng)絡(luò)管理人才隊伍,全力保障校園網(wǎng)絡(luò)安全。另一方面，應(yīng)制定有關(guān)規(guī)章制度，確定安全管理等級和安全管理范圍，制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)章制度，制定網(wǎng)絡(luò)系統(tǒng)的維護制定和應(yīng)急措施，構(gòu)建安全管理平臺，組成安全管理子網(wǎng)，安裝統(tǒng)一的安安全管理軟件，如網(wǎng)絡(luò)設(shè)備管理系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備管理軟件，實現(xiàn)校園網(wǎng)的安全管理。六結(jié)束語校園網(wǎng)面臨著一系列的安全問題受到來自外部和內(nèi)部的攻擊。目前國內(nèi)許多高校存在校區(qū)分散的狀況，各校區(qū)間通信的安全連接還存在問題。計算機網(wǎng)絡(luò)安全取決于安全技術(shù)與網(wǎng)絡(luò)管理兩大方面。同時校園網(wǎng)絡(luò)安全問題是一個較為復(fù)雜的系統(tǒng)工程,需要在充分了解現(xiàn)有網(wǎng)絡(luò)安全狀況的前提下,通過管理和技術(shù)兩個策略層次全方位進行防范,設(shè)計合理的安全規(guī)劃方案,有效防止有害信息的流入、防止非法攻擊和未經(jīng)授權(quán)訪問、防止竊取內(nèi)部信息和對網(wǎng)絡(luò)資源的盜用、濫用等,充