【高校網(wǎng)絡(luò)安全體系設(shè)計(jì)與實(shí)施15000字（論文）】

PAGEII高校網(wǎng)絡(luò)安全體系設(shè)計(jì)與實(shí)施目錄1網(wǎng)絡(luò)的發(fā)展及網(wǎng)絡(luò)安全現(xiàn)狀 11.1網(wǎng)絡(luò)安全的發(fā)展?fàn)顩r 11.2影響網(wǎng)絡(luò)安全的因素 22、校園網(wǎng)絡(luò)的安全狀況 32.1身份認(rèn)證需求 32.2校園網(wǎng)絡(luò)安全面臨的威脅 52.3存在的主要問(wèn)題 63.高校網(wǎng)絡(luò)安全體系設(shè)計(jì)方案 73.1安全管理平臺(tái) 73.2網(wǎng)絡(luò)結(jié)構(gòu) 83.3操作系統(tǒng)節(jié)點(diǎn) 103.4應(yīng)用訪問(wèn)控制系統(tǒng) 113.5安全管理系統(tǒng) 134.高校網(wǎng)絡(luò)安全實(shí)施方案 144.1高校校園網(wǎng)絡(luò)安全的關(guān)鍵問(wèn)題 144.2提高高校校園網(wǎng)安全性的有關(guān)對(duì)策 15結(jié)束語(yǔ) 16參考文獻(xiàn) 17引言隨著計(jì)算機(jī)應(yīng)用越來(lái)越普遍，越來(lái)越頻繁，計(jì)算機(jī)網(wǎng)絡(luò)的安全與防范成為日常工作中的關(guān)鍵部分。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。教育科研主干網(wǎng)CERNET的不斷擴(kuò)建與升級(jí)，標(biāo)志著我國(guó)教育信息化建設(shè)進(jìn)入了高速發(fā)展的階段，至今已取得豐碩的成果。在我國(guó)東部及中部信息相對(duì)發(fā)達(dá)地區(qū)，高等院校的網(wǎng)絡(luò)建設(shè)覆蓋率達(dá)到95%以上，很多高等院校已開始對(duì)其校園網(wǎng)絡(luò)進(jìn)行改造升級(jí)。隨著校園網(wǎng)絡(luò)的不斷擴(kuò)建和升級(jí)，網(wǎng)絡(luò)規(guī)模日益龐大，網(wǎng)絡(luò)管理的難度也越來(lái)越大，校園網(wǎng)絡(luò)中的安全隱患也越來(lái)越多。1網(wǎng)絡(luò)的發(fā)展及網(wǎng)絡(luò)安全現(xiàn)狀1.1網(wǎng)絡(luò)安全的發(fā)展?fàn)顩r隨著英特爾網(wǎng)的規(guī)模不斷擴(kuò)大，英特爾入網(wǎng)的主機(jī)人數(shù)在飛速增長(zhǎng)，在2009年7月中國(guó)互聯(lián)網(wǎng)絡(luò)中心發(fā)布的第二十四次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中描述，我國(guó)網(wǎng)民規(guī)模、寬帶網(wǎng)民數(shù)、國(guó)家頂級(jí)域名注冊(cè)量（1296萬(wàn)）三項(xiàng)指標(biāo)仍然穩(wěn)居世界第一，互聯(lián)網(wǎng)普及率穩(wěn)步提升。網(wǎng)民達(dá)3.38億，手機(jī)上網(wǎng)用戶達(dá)1.55億。隨著新興網(wǎng)絡(luò)技術(shù)，新型網(wǎng)絡(luò)應(yīng)用推廣，計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展正變得越來(lái)越廣泛，其作用變得越來(lái)越重要。然而，由于計(jì)算機(jī)系統(tǒng)的硬件和軟件，計(jì)算機(jī)網(wǎng)絡(luò)及的位置，自然環(huán)境，自然破壞和人為因素以及地理分布的脆弱性，不僅增加了信息的存儲(chǔ)，處理風(fēng)險(xiǎn)，但也帶來(lái)了新的通訊問(wèn)題。日益嚴(yán)重的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，而造成的損害網(wǎng)絡(luò)的損失越來(lái)越大?；ヂ?lián)網(wǎng)安全已成為一個(gè)亟待解決的問(wèn)題。從目前的情況下，計(jì)算機(jī)網(wǎng)絡(luò)，入侵的威脅和攻擊，基本上可以概括如下：外部的攻擊、黑客入侵、信息泄漏、盜竊和破壞、密碼截取或中繼攻擊、拒絕服務(wù)或?yàn)榉欠ㄐ畔@取、漏洞，人為破壞網(wǎng)絡(luò)設(shè)備使得網(wǎng)絡(luò)癱瘓等。其原因有以下幾點(diǎn)：①Internet缺陷和網(wǎng)絡(luò)的脆弱性；②薄弱環(huán)節(jié)和網(wǎng)絡(luò)身份驗(yàn)證系統(tǒng)都容易受到監(jiān)視；③互聯(lián)網(wǎng)服務(wù)、網(wǎng)絡(luò)軟件缺陷和漏洞；④沒(méi)有正確的安全策略和安全機(jī)制；⑤缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，工具，儀器和產(chǎn)品；⑥缺乏先進(jìn)的系統(tǒng)恢復(fù)，備份技術(shù)和工具；⑦設(shè)置紛繁復(fù)雜的控制主機(jī)；⑧安全策略不正確的安裝；⑨無(wú)適當(dāng)?shù)陌踩珮?biāo)準(zhǔn)，安全法規(guī)，安全政策，無(wú)章可循，無(wú)法可依。目前，網(wǎng)絡(luò)安全問(wèn)題已引起許多國(guó)家，特別是發(fā)達(dá)國(guó)家高度重視，投入大量的人力，物力和財(cái)力，提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。近兩年來(lái)，由于我國(guó)政府對(duì)相關(guān)行業(yè)的有識(shí)之士高度重視及不懈的努力，媒體宣傳以及眾多黑客攻擊事件已經(jīng)暴露，人們對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)有顯著提高。但與世界先進(jìn)國(guó)家相比，網(wǎng)絡(luò)安全狀況仍不容樂(lè)觀，許多企業(yè)網(wǎng)絡(luò)安全和系統(tǒng)的完整性有待建立，特別是在研究和網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)，大部分的大型IT企業(yè)的核心技術(shù)由國(guó)外壟斷，這對(duì)我們政府加強(qiáng)國(guó)家安全，提高網(wǎng)絡(luò)安全環(huán)境，提高網(wǎng)絡(luò)安全技術(shù)水平是非常不利的。近年來(lái)，在各領(lǐng)域的計(jì)算機(jī)犯罪和網(wǎng)絡(luò)侵權(quán)方面，無(wú)論是數(shù)量、手段，還是性質(zhì)、規(guī)模，已經(jīng)到了令人咋舌的地步。CNNIC《報(bào)告》指出，半年內(nèi)有1.95億網(wǎng)民上網(wǎng)時(shí)遇到過(guò)病毒和木馬的攻擊，1.1億網(wǎng)民遇到過(guò)賬號(hào)或密碼被盜的問(wèn)題。據(jù)有關(guān)方面統(tǒng)計(jì)，美國(guó)每年由于網(wǎng)絡(luò)安全問(wèn)題而遭受的經(jīng)濟(jì)損失超過(guò)170億美元，德國(guó)、英國(guó)也均在數(shù)十億美元以上，法國(guó)為100億法郎，日本、新加坡問(wèn)題也很嚴(yán)重。在國(guó)際刑法界列舉的現(xiàn)代社會(huì)新型犯罪排行榜上，計(jì)算機(jī)犯罪已名列榜首。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測(cè)器、通道控制機(jī)制，但是，無(wú)論在發(fā)達(dá)國(guó)家，還是在發(fā)展中國(guó)家，黑客活動(dòng)越來(lái)越猖狂，他們無(wú)孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害。1.2影響網(wǎng)絡(luò)安全的因素1、物理因素網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故，電源故障，認(rèn)為操作失誤或錯(cuò)誤，設(shè)備被盜、被毀，電磁干擾，線路截獲，以及高可用性的硬件、雙機(jī)多冗余的設(shè)計(jì)、機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等。網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。在校園網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)都是可以避免的。2、技術(shù)因素目前的網(wǎng)絡(luò)基本都是利用網(wǎng)絡(luò)技術(shù)構(gòu)造的，這樣的網(wǎng)絡(luò)在安全方面存在重大隱患，其賴以生存的TCP/IP協(xié)議缺乏相應(yīng)的安全機(jī)制，操作系統(tǒng)中不可避免地存在著“后門”或安全漏洞。同時(shí)眾多的服務(wù)器、瀏覽器和一些桌面軟件等都被發(fā)現(xiàn)過(guò)存在安全隱患。通過(guò)對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問(wèn)權(quán)限進(jìn)行嚴(yán)格控制，可以提高系統(tǒng)安全性。選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，加強(qiáng)登錄過(guò)程的認(rèn)證，確保用戶的合法性；嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。3、病毒因素計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的土要威脅。據(jù)有關(guān)部門統(tǒng)計(jì)數(shù)據(jù)顯示，有60%以上的校園網(wǎng)絡(luò)故障是由計(jì)算機(jī)病毒造成的。隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步，計(jì)算機(jī)病毒的發(fā)展速度也是非常驚人，每天網(wǎng)絡(luò)上都會(huì)出現(xiàn)成千上萬(wàn)種新的病毒，國(guó)際空間每天要處理和查殺的病毒數(shù)量更是大得驚人。各種木馬等惡意程序，已經(jīng)成為影響校園網(wǎng)絡(luò)安全的一個(gè)重大問(wèn)題，根本無(wú)法避免，只能通過(guò)使用各種防病毒軟件抵御病毒入侵，一旦遇到入侵應(yīng)立即查殺或隔離，避免其繼續(xù)感染其他用戶。4、使用者因素校園網(wǎng)絡(luò)用戶多而且不固定。使用者安全意識(shí)淡薄，計(jì)算機(jī)操作水平低，而且操作不規(guī)范是威脅校園網(wǎng)安全的主要因素。5、管理因素網(wǎng)絡(luò)安全管理思想麻痹，不重視網(wǎng)絡(luò)安全保護(hù)，沒(méi)有采取正確的安全機(jī)制和安全策略，并且缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和工具手段，也缺乏先進(jìn)的系統(tǒng)備份、恢復(fù)技術(shù)和工具等，這些都是威脅網(wǎng)絡(luò)安全的重要因素。2、校園網(wǎng)絡(luò)的安全狀況2.1身份認(rèn)證需求身份驗(yàn)證是一個(gè)非常重要的信息內(nèi)容，其中包括兩個(gè)方面：識(shí)別和驗(yàn)證。所謂識(shí)別，是指以確定用戶是誰(shuí)。這就要求每個(gè)人都必須有能力識(shí)別合法用戶。為了確保鑒定的有效性，我們必須確保任何兩個(gè)不同的用戶有不同的標(biāo)識(shí)。所謂認(rèn)證是指用戶聲稱他的身份，還要驗(yàn)證服務(wù)器來(lái)驗(yàn)證其身份，防止假冒。認(rèn)證是最基本的措施，是防止信息泄露的第一道防線，其目的是驗(yàn)證通信雙方的真正的身份，防止未經(jīng)授權(quán)的用戶可以竊取敏感數(shù)據(jù)，假冒合法用戶。在通信安全中，在有關(guān)各方的溝通必須通過(guò)某種機(jī)制的形式的驗(yàn)證，證明身份，驗(yàn)證用戶的身份和要求的一致性，然后才能為不同的用戶訪問(wèn)控制和記錄實(shí)現(xiàn)。認(rèn)證是確定旅客是否有其債權(quán)進(jìn)程的現(xiàn)狀。在這篇文章中涉及的認(rèn)證技術(shù)，包括以下幾個(gè)方面：1、密碼技術(shù)密碼技術(shù)是確保計(jì)算機(jī)系統(tǒng)信息安全的一種最重要的安全技術(shù)。使用加密技術(shù)來(lái)保護(hù)計(jì)算機(jī)和數(shù)據(jù)傳輸通道存儲(chǔ)的數(shù)據(jù)。即使第三方已經(jīng)竊取數(shù)據(jù)，但是第三方如果無(wú)法破譯其內(nèi)容，這只能是一堆垃圾。密碼技術(shù)分為對(duì)稱加密和非對(duì)稱加密兩種。對(duì)稱密碼體制又稱單鑰密碼體制。在對(duì)稱密碼體制中，通信雙方使用同一個(gè)密鑰，密鑰用K表示。在通信之前，通信雙方必須通過(guò)秘密信道協(xié)商一個(gè)密鑰K。使用對(duì)稱密碼體制可以實(shí)現(xiàn)保密通信，假設(shè)用戶A發(fā)送一個(gè)消息M給用戶B，其通信的過(guò)程如圖1。圖1對(duì)稱密碼通信過(guò)程發(fā)送方A用密鑰K和對(duì)稱加密算法對(duì)明文進(jìn)行加密得到密文C，然后發(fā)送方A將密文C通過(guò)傳輸信道發(fā)送給接受方B，接受方收到密文C后，用對(duì)稱解密算法和解密密鑰還原出明文M。A和B的一次通信結(jié)束。對(duì)稱密鑰系統(tǒng)的安全性取決于兩個(gè)因素：第一，加密算法必須足夠強(qiáng)大，在數(shù)學(xué)證明的基礎(chǔ)上，密文解密本身是在實(shí)踐中沒(méi)有可能的；第二，加密的安全取決于密鑰，而不是秘密的算法，所以，我們并不需要確保該算法是保密的，但必須確保鑰匙的秘密。對(duì)稱加密算法非?？?，這是他們廣泛的應(yīng)用優(yōu)勢(shì)。利用對(duì)稱密鑰的最大缺點(diǎn)是：1）用戶之間的通信必須分享密鑰，在一個(gè)通信系統(tǒng)采用對(duì)稱密鑰加密，需要大量的密鑰，增加密鑰管理中的困難；2）通信量在雙方談判處于一個(gè)安全密鑰，密鑰分配問(wèn)題；3）不能達(dá)到不可否認(rèn)的服務(wù)。用戶也不能否認(rèn)，他們進(jìn)行了修改，而其他人或通信系統(tǒng)不能出示證據(jù)，證明該用戶一直在運(yùn)作。對(duì)稱加密技術(shù)分為兩類：流密碼和分組密碼。明文消息只有一個(gè)位逐位加密流密碼。流密碼是簡(jiǎn)單，快速，通信誤碼率等。密碼的明文塊，按組加密。這是很容易構(gòu)造偽隨機(jī)數(shù)，消息認(rèn)證碼和散列函數(shù)，然后可以信息驗(yàn)證，數(shù)據(jù)完整性的組織，實(shí)體認(rèn)證協(xié)議，以及單鍵的數(shù)字簽名系統(tǒng)的核心組成部分。DES是塊的密碼系統(tǒng)，最具代表性、分組密碼理論研究和工程應(yīng)用的最有影響力的。在企業(yè)中，DES也被廣泛使用。非對(duì)稱加密技術(shù)，也稱為公共密鑰加密，公鑰加密眾所周知，也稱為雙密鑰密碼體制。公鑰加密和對(duì)稱密鑰是不同的，它有兩個(gè)密鑰：加密密鑰和解密密鑰。在使用公共密鑰加密通信系統(tǒng)，每個(gè)用戶都有一對(duì)密鑰：加密密鑰和解密密鑰。而開放的公用加密密鑰，所有用戶都可以獲取，它也被稱為公共密鑰加密的關(guān)鍵；解密密鑰由用戶自己保存，并嚴(yán)格保密，所以解密密鑰也稱為私鑰。這兩個(gè)鍵是相應(yīng)的。隨著對(duì)明文行動(dòng)的主要成果之一，只能解決一個(gè)關(guān)鍵。公共密鑰加密體制的建立必須具備兩個(gè)基本條件：1）加密和解密，必須在計(jì)算中容易遇到的轉(zhuǎn)變，即屬于P級(jí)問(wèn)題的解決；2）密碼必須符合計(jì)算機(jī)分析是困難的，它屬于一類NP完全問(wèn)題。可以看出，公鑰密碼學(xué)安全的公共密鑰算法依賴于結(jié)構(gòu)的數(shù)學(xué)問(wèn)題。當(dāng)被問(wèn)及一個(gè)單向加密功能，那就是逆困難。因此，公共密鑰系統(tǒng)設(shè)計(jì)，關(guān)鍵是要找到一個(gè)合適的單向函數(shù)。大多數(shù)公共密鑰加密系統(tǒng)是基于多項(xiàng)式生根，基于離散對(duì)數(shù)，整數(shù)分解問(wèn)題。因?yàn)檫@樣的RSA算法依賴于對(duì)大整數(shù)分解困難的安全。使用公共密鑰加密的最大優(yōu)點(diǎn)是：1）每個(gè)用戶都有一個(gè)對(duì)密鑰，公鑰公開，私人用戶保存自己的，所以關(guān)鍵是少，簡(jiǎn)化密鑰管理和分配；2）沒(méi)有密鑰協(xié)商過(guò)程，只要用戶都可以申請(qǐng)對(duì)密鑰進(jìn)行通信；3）可實(shí)現(xiàn)數(shù)據(jù)的保密性，完整性和不可抵賴性。2、數(shù)字簽名數(shù)字簽名與手寫簽名電子等值，它是基于密碼學(xué)的方法，數(shù)據(jù)文件所產(chǎn)生的一個(gè)集團(tuán)的身份和數(shù)據(jù)的代表簽名數(shù)據(jù)的完整性。數(shù)字簽名，以確保信息傳遞過(guò)程，并提供在發(fā)件人認(rèn)證和不可抵賴性身份的完整信息，以解決偽造、否認(rèn)、提出問(wèn)題。數(shù)字簽名技術(shù)，逐步取代傳統(tǒng)的手寫簽名，開始使用于電子銀行、電子政務(wù)等領(lǐng)域。也是一個(gè)強(qiáng)大的認(rèn)證技術(shù)。2.2校園網(wǎng)絡(luò)安全面臨的威脅1、非破壞性攻擊攻擊者只是觀察某一個(gè)網(wǎng)絡(luò)中的協(xié)議數(shù)據(jù)單元PDU。而不干擾信息流。他通過(guò)觀察PDU的協(xié)議部分，了解正在通信的協(xié)議和計(jì)算機(jī)的地址和身份。研究PDU的長(zhǎng)度和傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的性質(zhì)，這種攻擊也叫被動(dòng)攻擊。2、破壞性攻擊攻擊者通過(guò)對(duì)某個(gè)連接中通過(guò)PDU進(jìn)行各種處理，如有選擇地更改、刪除、延遲這些數(shù)據(jù)包，甚至將合成或偽造的PDU送人一個(gè)連接中去，這種攻擊又叫主動(dòng)攻擊。其中破壞性攻擊又分為三種：(1)拒絕報(bào)文服務(wù)：指攻擊或者刪除通過(guò)某一連接的所有PDU，或者將雙方單元的所有PDU加以延遲；(2)更攻報(bào)文流：包括對(duì)通過(guò)連接的PDU的真實(shí)性，完整性和有序性的攻擊；(3)偽造連接初始化：攻擊者重放以前被記錄次方法連接初始化序列或者偽造身份而企圖建立連接。3、用戶操作失誤用戶安全意識(shí)不強(qiáng)，用戶口令設(shè)置簡(jiǎn)單，用戶將自己的帳號(hào)隨意泄露等，都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。4、惡意程序攻擊這種攻擊主要有以下幾種：（1）計(jì)算機(jī)病毒：一種會(huì)“傳染”其他程序的程序，“傳染”是通過(guò)修改其它程序來(lái)把自身或其變種復(fù)制進(jìn)去完成的；(2)特洛伊木馬：一種執(zhí)行超出程序定義之外的程序。(3)計(jì)算機(jī)蠕蟲：一種通過(guò)網(wǎng)絡(luò)的通信功能將自身從一個(gè)節(jié)點(diǎn)發(fā)送到另一個(gè)節(jié)點(diǎn)并啟動(dòng)之的程序；（4）邏輯炸彈：一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其它特殊功能的程序。5、軟件漏洞和“后門”現(xiàn)在使用的網(wǎng)絡(luò)軟件或多或少存在一定的缺陷和漏洞，而黑客恰恰可以利用這些漏洞和缺陷進(jìn)行攻擊。另外，軟件的“后門”都是軟件設(shè)計(jì)編程人員為了自己方便而設(shè)置的，一般不為外人所知，但是一旦“后門”泄露，攻擊者將會(huì)很容易地利用“后門”進(jìn)入計(jì)算機(jī)。2.3存在的主要問(wèn)題目前，校園網(wǎng)絡(luò)存在的問(wèn)題有：1、未經(jīng)授權(quán)的訪問(wèn)校園網(wǎng)絡(luò)，直接向計(jì)算機(jī)和移動(dòng)設(shè)備接入內(nèi)聯(lián)網(wǎng)行為。經(jīng)常使用的IP，IP和MAC映射表不一致。雖然這種現(xiàn)象不是這種入侵的非法暴力事件，但該方式的擴(kuò)展可能導(dǎo)致內(nèi)聯(lián)網(wǎng)，內(nèi)聯(lián)網(wǎng)移植木馬和機(jī)密信息被披露和其他嚴(yán)重后果。存在這種情況的主要原因是內(nèi)部控制不嚴(yán)、使用措施不利和安全工作人員的認(rèn)識(shí)不足。這種情況很難預(yù)防和控制。2、無(wú)線網(wǎng)絡(luò)管理問(wèn)題。隨著無(wú)線網(wǎng)絡(luò)的使用，不同的部門還未建立相應(yīng)的管理制度，預(yù)防和控制技術(shù)3、IP地址盜用。主要的非法接入互聯(lián)網(wǎng)的方式對(duì)正常用戶的權(quán)利網(wǎng)絡(luò)，網(wǎng)絡(luò)計(jì)費(fèi)，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)運(yùn)營(yíng)一個(gè)巨大的負(fù)面影響，所以要解決IP地址盜用成為一個(gè)緊迫的問(wèn)題。設(shè)計(jì)并在防止未經(jīng)授權(quán)的訪問(wèn)控制子系統(tǒng)為下一步的行動(dòng)網(wǎng)絡(luò)實(shí)現(xiàn)更先進(jìn)的網(wǎng)絡(luò)是實(shí)現(xiàn)一個(gè)更先進(jìn)的網(wǎng)絡(luò)管理功能提供了理論和實(shí)踐基礎(chǔ)。知識(shí)產(chǎn)權(quán)盜竊對(duì)許多形式的非法訪問(wèn)，主要有以下幾種常見(jiàn)的：他們沒(méi)有自己的配送系統(tǒng)的IP地址配置；修訂在為合法用戶的IP地址和MAC地址，發(fā)送和接收數(shù)據(jù)包的IP地址修改。（1）為靜態(tài)的TCP/IP實(shí)現(xiàn)任何IP地址發(fā)生變化，其IP地址是用戶需要的配置選項(xiàng)。如果用戶配置TCP/IP或修改TCP/IP配置，而不是使用IP地址分配到的IP地址被濫用的形成。IP地址是一個(gè)邏輯地址是一個(gè)需要用戶設(shè)置的值，因此無(wú)法限制用戶更改靜態(tài)IP地址。但是，這只能是被盜的IP地址在同一子網(wǎng)的IP地址盜用。（2）修改IP-MAC地址對(duì)。修改為靜態(tài)IP地址的問(wèn)題，很多系統(tǒng)使用靜態(tài)路由技術(shù)加以解決。但是，技術(shù)不能防止靜態(tài)路由的IP-MAC對(duì)要修改的技術(shù)被濫用的IP地址。MAC地址是以太網(wǎng)設(shè)備的硬件地址是以太網(wǎng)地址。每一個(gè)網(wǎng)卡的MAC地址是唯一的所有以太網(wǎng)設(shè)備，它由IEEE分配，固化在卡上，一般不能隨意改變，但有些是與網(wǎng)絡(luò)卡的MAC地址可以修改兼容使用配置方案。如果一臺(tái)計(jì)算機(jī)的IP和MAC地址的合法主機(jī)到另一個(gè)IP和MAC地址對(duì)應(yīng)的，則靜態(tài)路由就無(wú)能為力了。此外，對(duì)于那些誰(shuí)不能直接修改的網(wǎng)卡MAC地址，用戶還可以通過(guò)軟件修改MAC地址，即通過(guò)修改底層網(wǎng)絡(luò)的網(wǎng)絡(luò)軟件軟件來(lái)實(shí)現(xiàn)欺騙頂部的目的；動(dòng)態(tài)IP地址的變更。職業(yè)黑客可以寫在互聯(lián)網(wǎng)應(yīng)用，發(fā)送和接收數(shù)據(jù)包，繞過(guò)上層網(wǎng)絡(luò)軟件，動(dòng)態(tài)IP地址或改變他們的IP-MAC地址對(duì)，實(shí)現(xiàn)了IP盜用的目的。3.高校網(wǎng)絡(luò)安全體系設(shè)計(jì)方案高校網(wǎng)絡(luò)安全管理體系是一套由軟件和硬件聯(lián)動(dòng)的解決方案，它由后臺(tái)的管理系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、入侵檢測(cè)設(shè)備以及安全客戶端共同構(gòu)成。旨在通過(guò)身份驗(yàn)證、主機(jī)健康性保障、網(wǎng)絡(luò)安全性保障等多重角度，對(duì)內(nèi)網(wǎng)用戶進(jìn)行有效的管理。通過(guò)這一系列措施，實(shí)現(xiàn)內(nèi)網(wǎng)用戶身份的合法化，上網(wǎng)主機(jī)安全狀況的健康化，網(wǎng)絡(luò)通信的安全化以及用戶網(wǎng)絡(luò)訪問(wèn)行為的規(guī)范化。換言之，即讓正確的人，使用健康的主機(jī)，訪問(wèn)安全的網(wǎng)絡(luò)，做規(guī)范的事。高校網(wǎng)絡(luò)安全管理方案融合軟硬件于一體，通過(guò)軟件與硬件的聯(lián)動(dòng)、計(jì)算機(jī)領(lǐng)域與網(wǎng)絡(luò)領(lǐng)域的結(jié)合，幫助用戶實(shí)現(xiàn)全局安全。我們的主要工作是借鑒訪問(wèn)控制技術(shù)的思路，通過(guò)通用技術(shù)與協(xié)議開發(fā)軟件、硬件之前協(xié)同工作的接口，所有軟件、硬件的相互協(xié)同依靠穩(wěn)定、健壯、可執(zhí)行的聯(lián)動(dòng)機(jī)機(jī)制。3.1安全管理平臺(tái)安全管理平臺(tái)以下幾個(gè)主要部分構(gòu)成:一套由軟件和硬件聯(lián)動(dòng)的解決方案。安全策略管理中心安全策略管理中心，是高校網(wǎng)絡(luò)安全管理方案的可選組件，當(dāng)高校網(wǎng)絡(luò)安全管理方案需要采用分布式部署的時(shí)候，安全策略管理中心服務(wù)器需要部署在總部。通過(guò)安全策略管理中心服務(wù)器，管理整個(gè)集團(tuán)的用戶的身份信息、主機(jī)信息、網(wǎng)絡(luò)信息、軟件信息等多種信息，更重要的是，管理員可以通過(guò)安全策略管理中心系統(tǒng)，來(lái)給整個(gè)集團(tuán)的用戶制定個(gè)性化的安全策略，來(lái)保障整個(gè)集團(tuán)在安全策略方面的高度統(tǒng)一，以實(shí)現(xiàn)統(tǒng)一的管理操作。同時(shí)安全策略管理中心系統(tǒng)還可以通過(guò)權(quán)限下發(fā)的方式，將管理權(quán)下放給分支機(jī)構(gòu)的安全管理平臺(tái)服務(wù)器，由分支機(jī)構(gòu)自行管理，而在網(wǎng)管中心只通過(guò)安全策略管理中心進(jìn)行信息的同步和收集。安全管理中心安全管理中心是高校網(wǎng)絡(luò)安全管理解決方案的大腦、司令官，統(tǒng)領(lǐng)著所有高校網(wǎng)絡(luò)安全管理解決方案的組成部分。在安全管理平臺(tái)上，保存著用戶的身份信息，用戶在正式接入網(wǎng)絡(luò)之前，需要在安全管理平臺(tái)服務(wù)器上通過(guò)認(rèn)證，以保障用戶身份的合法性。同時(shí)，安全管理平臺(tái)跟安全客戶端聯(lián)動(dòng)來(lái)獲取入網(wǎng)PC的安全現(xiàn)狀，從而制定出對(duì)應(yīng)的安全修補(bǔ)策略并通過(guò)安全客戶端下發(fā)到PC上來(lái)完成主機(jī)完整性的管理。在網(wǎng)絡(luò)安全管理方面，安全管理平臺(tái)跟入侵檢測(cè)設(shè)備(入侵檢測(cè)設(shè)備)進(jìn)行聯(lián)動(dòng)，對(duì)發(fā)起攻擊的攻擊源進(jìn)行有效的處理，并對(duì)被攻擊的對(duì)象進(jìn)行必要的修復(fù)，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)攻擊的有效管理，同時(shí)通過(guò)與安全網(wǎng)關(guān)和安全智能交換機(jī)的配合，還能有效的防范目前流行的A即攻擊。安全事件解析器安全事件解析器的作用，是安全事件的收集、分析與上報(bào)。作為與入侵檢測(cè)設(shè)備入侵檢測(cè)設(shè)備直接接口的平臺(tái)，安全事件解析器上預(yù)置了大量的安全事件庫(kù)，從而能夠?qū)θ肭謾z測(cè)設(shè)備反饋回來(lái)的安全事件進(jìn)行準(zhǔn)確的分析，并決定是否需要上報(bào)給安全管理平臺(tái)服務(wù)器，由其進(jìn)行處理。安全客戶端安全客戶端是一個(gè)界面友好的PC端客戶端，它的作用是跟安全管理平臺(tái)配合實(shí)現(xiàn)用戶的身份認(rèn)證和主機(jī)完整性檢查、安全策略的下發(fā)，并在發(fā)生安全事件時(shí)接收安全管理平臺(tái)發(fā)來(lái)的處理策略，來(lái)對(duì)主機(jī)進(jìn)行響應(yīng)的處理。同時(shí)，通過(guò)與安全網(wǎng)關(guān)和安全管理平臺(tái)的配合，還是主機(jī)端防范A即病毒的利器。如何能夠?qū)⑿@網(wǎng)內(nèi)所有的網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)、防火墻、工DS等)有效加以整合，實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計(jì)及多種安全功能模塊之間的互動(dòng)，提升網(wǎng)絡(luò)的可控制、可管理性，提高網(wǎng)絡(luò)安全的水平；如何保證所有接入校園網(wǎng)的網(wǎng)絡(luò)終端設(shè)備(用戶PC、服務(wù)器等)是安全可信的；只有保證每一臺(tái)網(wǎng)絡(luò)終端設(shè)備的安全才能確保校園網(wǎng)整體的安全，做到無(wú)懈可擊；因此，構(gòu)建一個(gè)統(tǒng)一的安全管理平臺(tái)，用以實(shí)現(xiàn)對(duì)校園網(wǎng)內(nèi)所有網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理和調(diào)配，確保接入校園網(wǎng)的所有網(wǎng)絡(luò)終端設(shè)備的安全可信，是在現(xiàn)有網(wǎng)絡(luò)安全防御體系的基礎(chǔ)上發(fā)展建立的新的網(wǎng)絡(luò)安全防御體系。3.2網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)設(shè)備安全管理體系是由物理安全、安全智能交換機(jī)和防火墻及入侵檢測(cè)安全設(shè)備組成。保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程!。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。它主要包括兩個(gè)方面:環(huán)境安全:對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境。設(shè)備安全包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護(hù)等。訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。相對(duì)于影響網(wǎng)絡(luò)安全的因素，保護(hù)網(wǎng)絡(luò)信息安全的技術(shù)、手段主要是從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等幾個(gè)方面進(jìn)行。依靠的技術(shù)手段主要有強(qiáng)制訪問(wèn)控制機(jī)制、安全審計(jì)，還有身份鑒別、入侵檢測(cè)和防火墻技術(shù)等等。等級(jí)保護(hù)制度是指導(dǎo)信息安全保障體系管理制度，它是各項(xiàng)安全技術(shù)和軟硬件設(shè)備的研發(fā)標(biāo)準(zhǔn)。將高校網(wǎng)絡(luò)劃分成用戶區(qū)（標(biāo)記、也可成為資源區(qū)）、網(wǎng)絡(luò)通信區(qū)、區(qū)域邊界、三級(jí)安全管理中心和資源服務(wù)區(qū)5個(gè)部分。首先建立模型。以模型為基礎(chǔ)為主體和客體做標(biāo)記，按照主體和客體的訪問(wèn)規(guī)則實(shí)施操作系統(tǒng)下的強(qiáng)制訪問(wèn)控制，并向邊界擴(kuò)展，增強(qiáng)相應(yīng)審計(jì)能力、數(shù)據(jù)保密性和數(shù)據(jù)完整性保密能力。對(duì)相似網(wǎng)絡(luò)有借鑒意義?？傮w結(jié)構(gòu)流程是通過(guò)前面從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全及數(shù)據(jù)安全等方面的分析，得出結(jié)論：采用技術(shù)手段和安全管理制度措施，能夠滿足高校網(wǎng)絡(luò)信息安全的需求，達(dá)到等保三級(jí)的要求。同時(shí)，隨著國(guó)家標(biāo)準(zhǔn)的變更和安全技術(shù)的不斷發(fā)展，高網(wǎng)絡(luò)需不斷變更完善。（1）操作系統(tǒng)節(jié)點(diǎn)系統(tǒng)：此系統(tǒng)對(duì)windows操作系統(tǒng)進(jìn)行安全增強(qiáng)，增加標(biāo)記、強(qiáng)制訪問(wèn)控制等安全功能。同時(shí)可以加強(qiáng)身份鑒別的安全性，實(shí)現(xiàn)系統(tǒng)的連接交互結(jié)構(gòu)化。為整體系統(tǒng)的安全提供有效支撐，使其滿足GB17859的三級(jí)要求。（2）安全區(qū)域邊界系統(tǒng)：此系統(tǒng)對(duì)通過(guò)的信息進(jìn)行安全檢查，增強(qiáng)其強(qiáng)制訪問(wèn)控制功能，確保安全保護(hù)環(huán)境的安全性不會(huì)受到破壞。（3）安全通信網(wǎng)絡(luò)系統(tǒng)：此系統(tǒng)安全系統(tǒng)間的信息流進(jìn)行封閉保護(hù)，使之不被非法竊聽(tīng)和篡改。圖2各系統(tǒng)之間的邏輯關(guān)系3.3操作系統(tǒng)節(jié)點(diǎn)三級(jí)網(wǎng)絡(luò)體系的安全核心是強(qiáng)制訪問(wèn)控制，TCB實(shí)施的訪問(wèn)控制由安全操作系統(tǒng)來(lái)實(shí)施。安全標(biāo)記與強(qiáng)制訪問(wèn)控制以安全標(biāo)記為核心，將自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制相結(jié)合，滿足等級(jí)保護(hù)三級(jí)的安全要求。高校網(wǎng)絡(luò)環(huán)境下的操作系統(tǒng)普遍為windows操作系統(tǒng)。安全的操作系統(tǒng)可以認(rèn)為是網(wǎng)絡(luò)信息系統(tǒng)的安全的核心。GB17859規(guī)范了三級(jí)計(jì)算機(jī)系統(tǒng)應(yīng)具備的安全功能。本文的操作系統(tǒng)節(jié)點(diǎn)系統(tǒng)的具體功能要求如下。（1）強(qiáng)制訪問(wèn)控制：三級(jí)windows操作系統(tǒng)需要能夠保護(hù)信息系統(tǒng)的保密性及完整性。能夠控制進(jìn)程對(duì)文件的所有操作，并且此機(jī)制永久有效。（2）標(biāo)記：三級(jí)windows操作系統(tǒng)要對(duì)系統(tǒng)中的進(jìn)程及文檔進(jìn)行全程標(biāo)記，提供實(shí)體保密性級(jí)別、完整性級(jí)別。標(biāo)記對(duì)象還包括用戶。（3）身份鑒別：三級(jí)windows操作系統(tǒng)應(yīng)有基于可信硬件的身份鑒別機(jī)制，可以通過(guò)安全的機(jī)制將身份與權(quán)限綁定。（4）審計(jì)：三級(jí)windows操作系統(tǒng)對(duì)系統(tǒng)中所有違反安全策略的操作進(jìn)行審計(jì)。記錄的事件包括用戶登錄、客體的創(chuàng)建、刪除、安全管理員、安全審計(jì)員、系統(tǒng)操作員、以及其他用戶的與安全密切相關(guān)的行為，具體還要滿足GB17859中三級(jí)系統(tǒng)的審計(jì)規(guī)范要求。（5）數(shù)據(jù)完整性：三級(jí)windows操作系統(tǒng)通過(guò)自主和強(qiáng)制完整性策略阻止非法用戶修改或破壞敏感信息。3.4應(yīng)用訪問(wèn)控制系統(tǒng)此系統(tǒng)為應(yīng)用系統(tǒng)提供強(qiáng)制訪問(wèn)控制保護(hù)。根據(jù)三級(jí)標(biāo)準(zhǔn)的要求，需要具有如下功能：（1）安全標(biāo)記：為主體和客體分配安全標(biāo)記，包括實(shí)體的保密級(jí)別和范疇集。標(biāo)記對(duì)象為使用應(yīng)用系統(tǒng)的所有用戶。確保主體客體范疇集統(tǒng)一。（2）強(qiáng)制訪問(wèn)控制：實(shí)施符合BLP模型的的安全策略，確保強(qiáng)制訪問(wèn)機(jī)制始終有效，不會(huì)被旁路。（3）身份鑒別：對(duì)等級(jí)保護(hù)系統(tǒng)中的用戶身份使用系統(tǒng)保護(hù)機(jī)制來(lái)鑒別用戶，阻止非法用戶訪問(wèn)，保護(hù)合法用戶數(shù)據(jù)信息。（4）授權(quán)訪問(wèn)：參照用戶和資源信息，為用戶授予訪問(wèn)的權(quán)限，形成自主訪問(wèn)控制表，作為訪問(wèn)控制的判斷依據(jù)。（5）審計(jì)：對(duì)用戶登錄、安全標(biāo)記的分配和修改、系統(tǒng)管理操作、訪問(wèn)控制決策過(guò)程和結(jié)果等記錄、存檔。此系統(tǒng)的結(jié)構(gòu)包括：身份鑒別模塊、安全標(biāo)記模塊、訪問(wèn)控制模塊、審計(jì)模塊。其中，身份鑒別通過(guò)用戶信息與統(tǒng)一管理的登錄應(yīng)用系統(tǒng)的用戶身份信息對(duì)比來(lái)鑒別是否合法。訪問(wèn)控制是查詢當(dāng)前主客體的安全標(biāo)記是否符合BLP模型要求，由應(yīng)用系統(tǒng)根據(jù)其是否具有訪問(wèn)其請(qǐng)求資源的權(quán)限而實(shí)施操作。1、嚴(yán)格黑白名單管理計(jì)算機(jī)軟件給我們的工作和生活帶來(lái)了極大的便利，我們可以基于先進(jìn)的電子流完成以前復(fù)雜的工作流程，我們可以在家里通過(guò)互聯(lián)網(wǎng)足不出戶的與遠(yuǎn)方的朋友聊天、上網(wǎng)炒股、看電影……但是，在帶來(lái)便利的同時(shí)，也帶來(lái)了煩惱，一切都變得如此便利，那么在工作場(chǎng)所接入互聯(lián)網(wǎng)之后，如何能保障員工的工作效率呢?如何能保障日益緊缺的網(wǎng)絡(luò)資源都能被重要的工作數(shù)據(jù)使用呢？如何能保障在接入互聯(lián)網(wǎng)之后企業(yè)、單位的重要信息不被泄露呢?這些都困擾著管理者。同時(shí)，一些病毒、木馬也是通過(guò)運(yùn)行某些指定的進(jìn)程或程序來(lái)實(shí)現(xiàn)對(duì)用戶主機(jī)的控制，如何幫助用戶將這些進(jìn)程中止掉，將程序刪除掉，也是網(wǎng)絡(luò)管理需要做的事情。軟件黑白名單控制，指的是針對(duì)工作和網(wǎng)絡(luò)安全、性能的需要，對(duì)內(nèi)網(wǎng)用戶使用的軟件進(jìn)行限制，禁止使用某些軟件(黑名單)，必須使用某些軟件(白名單)。舉例來(lái)說(shuō)，為提升工作效率、防止信息泄露、保障網(wǎng)絡(luò)性能，在公司禁止使用炒股軟件、聊天軟件和P2P下載軟件，而為了做好公司的資產(chǎn)管理和監(jiān)控，必須安裝資產(chǎn)管理軟件的客戶端(白名單)等等。然而，即便公司在規(guī)章制度上制定的再嚴(yán)格、再完善，員工的執(zhí)行才是最終效果的體現(xiàn)，對(duì)于人數(shù)眾多的大型企事業(yè)機(jī)構(gòu)，如果沒(méi)有完善的監(jiān)控機(jī)制，依靠管理人員人工監(jiān)控，恐怕是無(wú)濟(jì)于事的;如果為了杜絕員工對(duì)于網(wǎng)絡(luò)軟件的濫用而切斷互聯(lián)網(wǎng)接入，又會(huì)得不償失，畢竟諸多業(yè)務(wù)應(yīng)用都要依托于互聯(lián)網(wǎng)的訪問(wèn)。所以，自動(dòng)的、有效的、方便的的軟件使用控制，是信息化建設(shè)中重要的一環(huán)，接下來(lái)我們將詳細(xì)闡釋，在網(wǎng)絡(luò)的高校網(wǎng)絡(luò)安全管理方案中，是如何進(jìn)行軟件黑白名單控制的對(duì)于軟件的控制，要基于多個(gè)層面，以Windows系統(tǒng)為例，從軟件的安裝，到軟件的使用，再到軟件的注冊(cè)表植入以及后臺(tái)服務(wù)的情況，各個(gè)環(huán)節(jié)均應(yīng)進(jìn)行監(jiān)控和管理。對(duì)于軟件的使用，也是高校網(wǎng)絡(luò)安全的重要功能之一。通過(guò)對(duì)于軟件的安裝、進(jìn)程的管理、后臺(tái)服務(wù)以及注冊(cè)表項(xiàng)的管理，高校網(wǎng)絡(luò)安全方便的實(shí)現(xiàn)了對(duì)于必備軟件的強(qiáng)制安裝、使用，違禁軟件的禁用等功能，有效的保障了辦公效率、網(wǎng)絡(luò)帶寬以及信息的安全。高校網(wǎng)絡(luò)安全管理解決方案中，對(duì)于軟件黑白名單的控制，采用了軟硬件聯(lián)動(dòng)、計(jì)算機(jī)與網(wǎng)絡(luò)聯(lián)動(dòng)的解決思路，通過(guò)安全管理平臺(tái)安全管理平臺(tái)系統(tǒng)、安全客戶端安全智能客戶端與安全智能接入設(shè)備的配合，實(shí)現(xiàn)了對(duì)用戶入網(wǎng)前主機(jī)完整性的嚴(yán)格檢測(cè)，保障了入網(wǎng)主機(jī)的健康性，提升了整個(gè)網(wǎng)絡(luò)的安全性，提升了員工的工作效率，降低了網(wǎng)絡(luò)帶寬的無(wú)謂損耗，加強(qiáng)了內(nèi)網(wǎng)信息的保護(hù)，為建設(shè)更安全更高效的內(nèi)網(wǎng)提供了完善的解決方案。2、基于CA證書的身份認(rèn)證管理CA認(rèn)證體系是比較常見(jiàn)的身份管理體系，廣泛應(yīng)用于政府、醫(yī)療、大型企業(yè)、軍事單位等行業(yè)中，通過(guò)USB-Key加CA證書的方式，用戶可以比較安全的進(jìn)行人員身份管理，“人走Key拔”的方式，更是有效的避免了身份被偽造的風(fēng)險(xiǎn)。由于CA認(rèn)證體系是一種應(yīng)用層授權(quán)的技術(shù)，而其本身的認(rèn)證授權(quán)過(guò)程需要網(wǎng)絡(luò)的支持，就使得原有的高校網(wǎng)絡(luò)安全認(rèn)證方式(基于用戶名和密碼的802.IX)無(wú)法提供很好的支持，因?yàn)樵谡J(rèn)證之前網(wǎng)絡(luò)不通，用戶只能采用兩套身份管理體系，即先使用用戶名和密碼進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證，連通網(wǎng)絡(luò)，再利用以體系完成應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)，非常麻煩。為了解決上述問(wèn)題，高校網(wǎng)絡(luò)安全管理方案特開發(fā)了基于以體系的認(rèn)證功能，通過(guò)該功能，用戶可以實(shí)現(xiàn)統(tǒng)一身份信息，只需要一套身份管理體系，就可以實(shí)現(xiàn)網(wǎng)絡(luò)層和應(yīng)用層的雙重授權(quán)。同時(shí)，以以體系的人員管理作為根基，用戶可以只在以系統(tǒng)中維護(hù)用戶，其權(quán)限即可同步執(zhí)行到高校網(wǎng)絡(luò)安全系統(tǒng)中，給用戶的管理帶來(lái)了極大的便利。在介紹高校網(wǎng)絡(luò)安全的CA聯(lián)動(dòng)解決方案之前，我們有必要先了解一下數(shù)字證書、CA證書的相關(guān)知識(shí)，這有利于我們更好的理解聯(lián)動(dòng)方案。原有的單密鑰加密技術(shù)采用特定加密密鑰加密數(shù)據(jù)，而解密時(shí)用于解密的密鑰與加密密鑰相同，這稱之為對(duì)稱型加密算法。采用此加密技術(shù)的理論基礎(chǔ)的加密方法如果用于網(wǎng)絡(luò)傳輸數(shù)據(jù)加密，則不可避免地出現(xiàn)安全漏洞。因?yàn)樵诎l(fā)送加密數(shù)據(jù)的同時(shí)，也需要將密鑰通過(guò)網(wǎng)絡(luò)傳輸通知接收者，第三方在截獲加密數(shù)據(jù)的同時(shí)，只需再截取相應(yīng)密鑰即可將數(shù)據(jù)解密使用或進(jìn)行非法篡改。3.5安全管理系統(tǒng)此系統(tǒng)對(duì)高校網(wǎng)絡(luò)信息系統(tǒng)中的終端、邊界控制、網(wǎng)絡(luò)通信安全集中統(tǒng)一管理，包括管理用戶、標(biāo)記對(duì)象安全等級(jí)和范疇、自主等級(jí)訪問(wèn)控制策略、等級(jí)改變策略等，為三級(jí)信息系統(tǒng)提供基礎(chǔ)保障。三級(jí)安全管理系統(tǒng)主要由安全標(biāo)記管理模塊、策略管理模塊及授權(quán)管理組成。圖3安全管理系統(tǒng)組成結(jié)構(gòu)首先對(duì)接收的安全標(biāo)記請(qǐng)求，發(fā)給授權(quán)機(jī)構(gòu)審批，通過(guò)后標(biāo)記管理會(huì)對(duì)信息進(jìn)行必要的驗(yàn)證并報(bào)告安全管理員，管理員批準(zhǔn)后更新策略服務(wù)器中的安全標(biāo)記列表。最后全局更新此標(biāo)記。策略請(qǐng)求處理接收到用戶的授權(quán)請(qǐng)求，會(huì)發(fā)送給授權(quán)機(jī)構(gòu)審批，通過(guò)后再經(jīng)策略請(qǐng)求處理將其發(fā)送給授權(quán)管理模塊，此模塊驗(yàn)證授權(quán)請(qǐng)求信息，保證用戶授權(quán)符合全局規(guī)則，并通知策略服務(wù)器更新用戶授權(quán)列表。最后全局更新此列表。4.高校網(wǎng)絡(luò)安全體系實(shí)施方案4.1高校校園網(wǎng)絡(luò)安全的關(guān)鍵問(wèn)題通過(guò)各指標(biāo)合成權(quán)重的排序可以看出，高校校園網(wǎng)安全性的關(guān)鍵問(wèn)題主要集中于以下幾個(gè)方面：（1）組織機(jī)構(gòu)的健全以及應(yīng)急預(yù)案的制定嚴(yán)格規(guī)范的網(wǎng)絡(luò)管理是保證校園網(wǎng)絡(luò)安全、提高網(wǎng)絡(luò)運(yùn)行效益的重要手段之一，是防止網(wǎng)絡(luò)內(nèi)部入侵的有效措施。高校校園網(wǎng)管理是一項(xiàng)復(fù)雜的系統(tǒng)工程，因此，必須成立專門的校園網(wǎng)絡(luò)管理部門，配備專門的網(wǎng)絡(luò)安全管理人員，制定完善而實(shí)用的緊急情況處理預(yù)案。（2）病毒防范措施隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)病毒的種類越來(lái)越多，周期越來(lái)越短，威脅也越來(lái)越大。近年來(lái)，多起惡性病毒的大規(guī)模發(fā)作對(duì)許多高校校園網(wǎng)都造成了極大的危害。因此，不論是對(duì)于網(wǎng)絡(luò)管理人員，還是對(duì)于用戶來(lái)說(shuō)，計(jì)算機(jī)病毒的防范都是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)。（3）用戶身份鑒別用戶身份鑒別對(duì)于高校校園網(wǎng)來(lái)說(shuō)是非常重要的。試想，如果學(xué)生通過(guò)非法連接或盜取帳號(hào)等手段登錄了教務(wù)管理系統(tǒng)，并擅自篡改了學(xué)生的成績(jī)，那將會(huì)帶來(lái)很嚴(yán)重的后果。因此，應(yīng)對(duì)用戶的口令進(jìn)行嚴(yán)格審查并用工具來(lái)檢查口令是否妥當(dāng)，以確保只有合法身份的用戶才能與之建立連接。（4）信息傳輸安全校園網(wǎng)的信息傳輸安全面臨著非常嚴(yán)峻的挑戰(zhàn)，例如如何保證帳號(hào)、密碼、個(gè)人信息、教學(xué)信息等重要數(shù)據(jù)在信息傳輸過(guò)程中不被非法盜用、篡改和破壞，這些都是校園網(wǎng)信息傳輸要解決的安全問(wèn)題。因此，需要對(duì)傳輸?shù)谋Ｃ苄畔⑦M(jìn)行加密和簽名，以確保只有合法的用戶才能接收，并保證信息傳輸?shù)谋Ｃ苄?、完整性、可用性、可控性、非否認(rèn)性和發(fā)送者的可鑒別性。（5）媒體安全如果高校能夠重視媒體數(shù)據(jù)安全以及媒體自身的安全，并給予足夠的資金、人力以及政策上的支持，那么校園網(wǎng)的安全性才能有保障。（6）防黑客入侵措施校園網(wǎng)的各種安全漏洞為黑客入侵并實(shí)施攻擊創(chuàng)造了機(jī)會(huì)。利用安全漏洞，黑客可以獲得不該獲得的訪問(wèn)權(quán)限，可以修改系統(tǒng)資源的配置和篡改重要的數(shù)據(jù)，可以獲取帳號(hào)密碼、個(gè)人資料、技術(shù)成果、系統(tǒng)信息等重要信息，可以利用本地資源攻擊遠(yuǎn)程用戶，還可以占用存儲(chǔ)空間，增加校園網(wǎng)負(fù)荷等等，因此，要將防黑當(dāng)成日常例行工作，避免出現(xiàn)以上的種種情況。4.2提高高校校園網(wǎng)安全性的有關(guān)對(duì)策針對(duì)以上分析得出的六大關(guān)鍵問(wèn)題，本文提出如下幾點(diǎn)具有針對(duì)性的高校校園網(wǎng)絡(luò)安全策略。（1）科學(xué)合理地制定網(wǎng)絡(luò)安全規(guī)劃目前的校園網(wǎng)在系統(tǒng)性、科學(xué)性和覆蓋面等方面都缺乏戰(zhàn)略層面的統(tǒng)籌，導(dǎo)致了一方面是漸趨性、塊狀、獨(dú)立投入，另一方面是資源長(zhǎng)期短缺的矛盾比較突出，應(yīng)用平臺(tái)建設(shè)滯后，網(wǎng)絡(luò)系統(tǒng)控制能力差，內(nèi)外信息傳輸渠道不暢。因此，要十分重視網(wǎng)絡(luò)安全規(guī)劃，最好是與學(xué)校的信息化建設(shè)規(guī)劃同步進(jìn)行，設(shè)計(jì)好校園網(wǎng)的安全方案。（2）健全網(wǎng)絡(luò)管理機(jī)構(gòu)高校要積極轉(zhuǎn)變觀念，認(rèn)識(shí)到網(wǎng)絡(luò)安全對(duì)于學(xué)校安全和穩(wěn)定的重要性以及校園網(wǎng)在教學(xué)、科研、管理、服務(wù)等各個(gè)方面所起的積極作用，建立專門的網(wǎng)絡(luò)管理部門，配備專業(yè)的網(wǎng)絡(luò)安全管理人員，健全工作制度，并制定完善而實(shí)用的安全事故處理程序、緊急情況處理預(yù)案。（3）建立多層次、集中式的病毒防范體系由于計(jì)算機(jī)病毒種類及傳播途徑的多樣化，校園網(wǎng)的病毒防范工作通過(guò)簡(jiǎn)單的、單臺(tái)計(jì)算機(jī)病毒的檢測(cè)及清除已經(jīng)無(wú)法滿足需求，而需要建立多層次的、集中式的病毒防范體系。多層次是指在學(xué)校的每個(gè)臺(tái)式機(jī)上安裝臺(tái)式機(jī)的反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件，在Internet網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的反病毒軟件；集中式是指可以管理很多的聯(lián)網(wǎng)計(jì)算機(jī)，對(duì)聯(lián)網(wǎng)的計(jì)算機(jī)可以進(jìn)行統(tǒng)一的病毒查殺和病毒庫(kù)的更新和升級(jí)。（4）建立內(nèi)網(wǎng)統(tǒng)一的身份認(rèn)證系統(tǒng)校園網(wǎng)必須要解決用戶上網(wǎng)身份鑒別的問(wèn)題，而對(duì)于運(yùn)行內(nèi)部管理信息系統(tǒng)的內(nèi)網(wǎng)來(lái)說(shuō)，建立其統(tǒng)一的身份認(rèn)證系統(tǒng)是非常必要的，以便對(duì)數(shù)字證書的生成、審批、發(fā)放、查詢等進(jìn)行統(tǒng)一管理。同時(shí)也為校園信息化建設(shè)的其他應(yīng)用系統(tǒng)提供了安全可靠的保證。（5）使用VPN技術(shù)VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）是現(xiàn)在廣泛應(yīng)用的加密傳輸手段，它是讓用戶在互聯(lián)網(wǎng)上建立自己的專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò)中傳輸。對(duì)于校區(qū)分布比較分散的高校，可使用該技術(shù)延伸校園網(wǎng)的使用范圍，并有效保護(hù)了數(shù)據(jù)傳輸?shù)陌踩?。?）使用漏洞掃描工具漏洞掃描是自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全弱點(diǎn)的技術(shù)，它在保障網(wǎng)絡(luò)安全方面起到越來(lái)越重要的作用。借助于漏洞掃描工具，系統(tǒng)管理員可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)中可能會(huì)被黑客利用的漏洞，從而可以對(duì)這些漏洞及時(shí)進(jìn)行修復(fù)，不給黑客有可乘之機(jī)，有效加強(qiáng)網(wǎng)絡(luò)和主機(jī)安全性。（7）安裝防火墻防火墻是抵御黑客程序入侵的非常有效的手段，它通過(guò)在網(wǎng)絡(luò)邊界上建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，可阻擋外部網(wǎng)絡(luò)的入侵和攻擊，是目前網(wǎng)絡(luò)安全的一個(gè)最常用的防護(hù)措施，也廣泛應(yīng)用于校園網(wǎng)的保護(hù)。網(wǎng)絡(luò)管理員不僅可以監(jiān)控通過(guò)防火墻的數(shù)據(jù)，允許和禁止特定數(shù)據(jù)包的通過(guò)，還可以對(duì)所有事件進(jìn)行監(jiān)控和記錄，使內(nèi)部網(wǎng)絡(luò)既能對(duì)外正常提供服務(wù)，又能保護(hù)內(nèi)部網(wǎng)絡(luò)不被惡意者攻擊。同時(shí)很多硬件防火墻還提供了很多其它服務(wù)，如電子郵件防病毒、反垃圾郵件過(guò)濾、內(nèi)容過(guò)濾等。（8）及時(shí)安裝補(bǔ)丁和更新要及時(shí)到微軟或其他軟件廠商的站點(diǎn)下載并安裝操作系統(tǒng)或其他軟件對(duì)應(yīng)的補(bǔ)丁程序，并且要形成定期檢查更新軟件系統(tǒng)的習(xí)慣。（9）加強(qiáng)學(xué)校全體員工的安全意識(shí)教育維護(hù)校園網(wǎng)絡(luò)安全不僅僅是網(wǎng)絡(luò)管理部門的職責(zé)，更是學(xué)校每一位員工的責(zé)任。因此，高校要加強(qiáng)學(xué)校全體員工的網(wǎng)絡(luò)安全教育和培訓(xùn)，使每個(gè)人都能自覺(jué)遵守和執(zhí)行國(guó)家有關(guān)安全保密的各種政策、法規(guī)，遵守本學(xué)校安全保密以及網(wǎng)絡(luò)運(yùn)行、使用的有關(guān)安全制度，從而養(yǎng)成良好的網(wǎng)絡(luò)行為規(guī)范，提高網(wǎng)絡(luò)安全防范意識(shí)。校園網(wǎng)絡(luò)安全，大家共同維護(hù)。只有在思想上充分認(rèn)識(shí)到校園網(wǎng)絡(luò)安全的重要性，把校園網(wǎng)安全防范作為一個(gè)系統(tǒng)工程來(lái)抓，采取切實(shí)有效的安全策略，校園網(wǎng)絡(luò)安全才能很好地得到控制，從而使校園信息化建設(shè)更好的為學(xué)校服務(wù)，為師生服務(wù)。結(jié)束語(yǔ)高校網(wǎng)絡(luò)安全是信息安全領(lǐng)域里一個(gè)非常重要的部分，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，使高校辦公效率大大提升。等級(jí)保護(hù)是信息安全的工作中的重點(diǎn)內(nèi)容，是建設(shè)信息安全保障體系的重要手段。信息安全等級(jí)保