中小學校園網(wǎng)信息安全及防范

2021/6/271一、國內(nèi)外網(wǎng)絡安全事件二、中小學校園網(wǎng)現(xiàn)狀及建設方案三、網(wǎng)絡安全的內(nèi)容四、校園網(wǎng)安全防范技術目錄2021/6/2722013年，斯諾登向媒體提供機密文件致使包括“棱鏡”項目在內(nèi)美國政府多個秘密情報監(jiān)視項目“曝光”。通過該項目，美政府直接從包括微軟、谷歌、雅虎、Facebook、PalTalk、AOL、Skype、YouTube以及蘋果在內(nèi)的這9個公司服務器收集信息。進行數(shù)據(jù)挖掘工作，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯(lián)系方式與行動。監(jiān)控的類型有10類：信息電郵、即時消息、視頻、照片、存儲數(shù)據(jù)、語音聊天、文件傳輸、視頻會議、登錄時間、社交網(wǎng)絡資料的細節(jié)。一、國內(nèi)外網(wǎng)絡安全事件2021/6/273斯諾登向媒體透露，說美國政府連續(xù)幾年都在攻擊其他國家的網(wǎng)絡，其中還監(jiān)聽許多國領導人電話、電子郵件等，包括聯(lián)合國秘書長潘基文、德國總理默克爾，入侵中國的網(wǎng)絡，竊取各種情報。一、國內(nèi)外網(wǎng)絡安全事件2021/6/274罪行：英國少年賈斯明·辛向體育用品網(wǎng)站發(fā)起

DoS攻擊，并竊取信息。少年承認自己受雇于兩家與受害網(wǎng)站競爭，企圖徹底弄垮對手的在線銷售網(wǎng)點。傳播途徑：賈斯明·辛利用計算機病毒控制上千臺計算機，并組成傀儡網(wǎng)絡，向線上銷售體育用品的網(wǎng)站發(fā)動攻擊。造成了兩家受害網(wǎng)站約150萬美元的損失。

判決結果：五年監(jiān)禁

一、國內(nèi)外網(wǎng)絡安全事件2021/6/275罪行：某國小老師竄改教師介聘系統(tǒng)分發(fā)成績傳播途徑：竄改兩位老師的成績，變更女友分數(shù)，卻害他人從第1志愿分發(fā)到第10幾個志愿。罪行：19歲知名高中畢業(yè)生，入侵大考中心、竊取悠游卡系統(tǒng)、百貨公司、黑客組織等會員資料。傳播途徑：從2009年起陸續(xù)入侵國中基測與大學入學考試中心計算機系統(tǒng)，竊取逾一百萬筆考生的姓名、相片與成績等相關資料，再賣給補習班。其它還包括臺北智能卡公司的悠游卡系統(tǒng)資料、新光三越百貨公司會員卡資料，黑客網(wǎng)會員資料與其它電子郵件帳號密碼。

一、國內(nèi)外網(wǎng)絡安全事件2021/6/276?？低暟踩录O(jiān)控設備漏洞或引發(fā)敏感信息泄露2015年2月27日江蘇省公安廳發(fā)布的特急通知稱，主營安防產(chǎn)品的海康威視其生產(chǎn)的監(jiān)控設備被曝嚴重的安全隱患，部分設備已被境外IP地址控制，要求各地立即進行全面清查，開展安全加固。隨后調(diào)查顯示，事件出于弱口令漏洞，只需通過修改初始密碼或簡單密碼，或者升級設備固件即可解決。作為國內(nèi)最大的監(jiān)控設備生產(chǎn)商海康威視，雖然致力于設備功能的完善，但忽略了最基本的信息安全問題，可謂“千里之堤，毀于蟻穴”。一、國內(nèi)外網(wǎng)絡安全事件2021/6/277超30省市曝管理漏洞：數(shù)千萬社保用戶信息或泄露2015年4月22日從補天漏洞響應平臺獲得的數(shù)據(jù)顯示，圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等大量曝出高危漏洞的省市已經(jīng)超過30個，僅社保類信息安全漏洞統(tǒng)計就達到5279.4萬條，涉及人員數(shù)量達數(shù)千萬，其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。這些信息一旦泄露，造成的危害不僅是個人隱私全無，還會被犯罪分子利用，例如復制身份證、盜辦信用卡、盜刷信用卡等一系列刑事犯罪和經(jīng)濟犯罪。一、國內(nèi)外網(wǎng)絡安全事件2021/6/278優(yōu)購網(wǎng)交易信息疑泄露超百人被騙上百萬2015年5月18日有客戶反饋，在購物網(wǎng)站優(yōu)購時尚商城購物后，個人信息被泄露，銀行錢款被盜，受騙網(wǎng)友建立的QQ群中，已有160多個群友，被騙金額總計上百萬元。優(yōu)購網(wǎng)官方回應稱，信息泄露是黑客“撞庫”所致，已向公安機關報案。一、國內(nèi)外網(wǎng)絡安全事件2021/6/279央視報道“危險的WiFi”

央視《消費主張》報道了人們?nèi)粘Ｊ褂玫臒o線網(wǎng)絡存在巨大的安全隱患。在節(jié)目中，央視和安全工程師在多個場景實際測驗顯示，火車站、咖啡館等公共場所的一些免費WIFI熱點有可能就是釣魚陷阱，而家里的路由器也可能被惡意攻擊者輕松攻破。一、國內(nèi)外網(wǎng)絡安全事件2021/6/2710二、中小學校園網(wǎng)現(xiàn)狀及建設方案資金緊缺網(wǎng)絡硬件設備配備不齊全缺乏計算機及網(wǎng)絡相關專業(yè)技術人員校園網(wǎng)僅提供互聯(lián)網(wǎng)服務，校內(nèi)資源匱乏資金的一次性投入,校園網(wǎng)的使用效率低下2021/6/2711網(wǎng)絡拓撲中小學校園網(wǎng)設計方案核心層分布層接入層防火墻提供強有力的服務器、內(nèi)網(wǎng)安全保護、提供IDS等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強，具有強大的NAT功能。2021/6/2712簡化方案聯(lián)電信服務器區(qū)辦公區(qū)SecPathU200-AH3CS5120H3CWX3024H3CMSR30-40WA2620-AGN包括無線覆蓋WA2620-AGNWA2620-AGN包括無線覆蓋包括無線覆蓋2021/6/2713a.防火墻b.路由器c.核心交換機d.分布層交換機e.訪問層交換機二層分級模型核心層接入層網(wǎng)絡設備選型三層分級模型2021/6/2714VLAN的優(yōu)勢VLAN劃分與IP規(guī)劃可以減小廣播風暴，劃分VLAN后，廣播只在子網(wǎng)中進行增加網(wǎng)絡的安全性，不同的VLAN不能隨意通訊提高管理效率，實現(xiàn)虛擬的工作組，減少物理開支VLAN的子網(wǎng)訪問，可以在三層交換機上實現(xiàn)，分流核心交換機的三層交換，優(yōu)化組網(wǎng)2021/6/2715校園網(wǎng)應為學校教學、科研提供先進的信息化教學環(huán)境。這就要求校園網(wǎng)是一個交互功能和專業(yè)性很強的局域網(wǎng)絡。多媒體教學軟件開發(fā)平臺，多媒體演示教室，教師備課系統(tǒng)，電子閱覽室以及教學，考試資料庫等，都可以通過網(wǎng)絡運行工作，包含的基本功能如下：學校網(wǎng)站建設課程管理（精品課程）實驗室管理學生成績與學籍管理圖書資料管理德育教育管理檔案管理（人事、固定資產(chǎn)）財務管理資源建設2021/6/2716三、網(wǎng)絡安全的內(nèi)容計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，保證在一個網(wǎng)絡環(huán)境里，信息數(shù)據(jù)的機密性、完整性及可使用性受到保護。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、不可否認性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全的具體含義會隨著“角度”的變化而變化。2021/6/2717網(wǎng)絡系統(tǒng)的脆弱性

數(shù)據(jù)的安全問題

傳輸線路的安全問題從安全的角度來說，沒有絕對安全的通訊線路。數(shù)據(jù)庫存在著許多不安全性。網(wǎng)絡安全管理問題2021/6/2718網(wǎng)絡安全的基本要素衡量網(wǎng)絡安全的指標主要有機密性—“進不來，看不懂”完整性—“改不了，拿不走”可用性—“能進來，能修改，能拿走”可控性—“監(jiān)視、控制”不可否認性—“逃不脫，跑不掉”2021/6/2719網(wǎng)絡運行和網(wǎng)絡訪問控制的安全，由以下四方面組成：局域網(wǎng)、子網(wǎng)安全網(wǎng)絡中數(shù)據(jù)傳輸安全網(wǎng)絡運行安全網(wǎng)絡協(xié)議安全物理安全

環(huán)境安全.對系統(tǒng)所在環(huán)境的安全保護措施，如區(qū)域保護和災難保護

設備安全設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護技術和措施等

媒體安全媒體數(shù)據(jù)的安全及媒體本身的安全技術和措施2021/6/2720局域網(wǎng)、子網(wǎng)安全內(nèi)外網(wǎng)隔離技術：采用防火墻技術可以將內(nèi)部網(wǎng)絡的與外部網(wǎng)絡進行隔離，對內(nèi)部網(wǎng)絡進行保護網(wǎng)絡檢測技術：網(wǎng)絡安全檢測（漏洞檢測）是對網(wǎng)絡的安全性進行評估分析，通過實踐性的方法掃描分析網(wǎng)絡系統(tǒng)，檢查系統(tǒng)存在的弱點和漏洞，提出補求措施和安全策略的建議，達到增強網(wǎng)絡安全性的目的2021/6/2721網(wǎng)絡中數(shù)據(jù)傳輸安全數(shù)據(jù)傳輸加密技術：對傳輸中的數(shù)據(jù)流進行加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。三個不同層次來實現(xiàn)，即鏈路加密、節(jié)點加密、端到端加密數(shù)據(jù)完整性鑒別技術防抵賴技術：包括對源和目的地雙方的證明，常用方法是數(shù)字簽名網(wǎng)絡運行安全備份與恢復技術：采用備份技術可以盡可能快地全盤恢復運行計算機網(wǎng)絡，所需的數(shù)據(jù)和系統(tǒng)信息應急文檔2021/6/2722數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫安全數(shù)據(jù)庫管理系統(tǒng)安全應用安全的組成.應用軟件開發(fā)平臺安全各種編程語言平臺安全程序本身的安全應用系統(tǒng)安全應用軟件系統(tǒng)安全2021/6/2723管理安全據(jù)權威機構統(tǒng)計表明：信息安全大約60%以上的問題是由管理方面原因造成的。網(wǎng)絡系統(tǒng)的安全管理主要基于三個原則：多人負責原則任期有限原則職責分離原則“30%的技術，70%的管理”2021/6/2724網(wǎng)絡安全的威脅

非授權訪問：

通過假冒、身份攻擊、系統(tǒng)漏洞等手段，獲取系統(tǒng)訪問權2021/6/2725網(wǎng)絡安全的威脅

信息泄漏或丟失

信息在傳輸中泄漏丟失，在存儲介質(zhì)中泄漏丟失，被竊取2021/6/2726網(wǎng)絡安全的威脅

破壞數(shù)據(jù)完整性

以非法手段竊得對數(shù)據(jù)的使用權，刪除、修改、插入某些重要信息2021/6/2727網(wǎng)絡安全的威脅

拒絕服務攻擊

不斷執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓2021/6/2728網(wǎng)絡安全的威脅

網(wǎng)絡傳播病毒通過網(wǎng)絡傳播計算機病毒（蠕蟲病毒高居病毒榜首）2021/6/2729訪問控制技術--網(wǎng)絡權限控制四、校園網(wǎng)安全防范技術2021/6/2730訪問控制技術--目錄級安全控制四、校園網(wǎng)安全防范技術2021/6/2731訪問控制技術-屬性安全控制四、校園網(wǎng)安全防范技術2021/6/27321.打開注冊表編輯器，修改第一處[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，看到右邊的PortNumber了嗎？在十進制狀態(tài)下改成你想要的端口號吧，比如7126之類的，只要不與其它沖突即可。2.修改第二處[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp，方法同上，記得改的端口號和上面改的一樣就行了。3檢查是否有開防火墻，如果有開需要吧新端口添加到允許，重啟服務器。END訪問控制技術-更改遠程桌面連接端口2021/6/2733路由器安全功能訪問控制鏈表基于源地址/目標地址/協(xié)議端口號端口映射、如3389、80端口Flood管理日志其他抗攻擊功能2021/6/2734防火墻的優(yōu)點與不足可屏蔽內(nèi)部服務，避免相關安全缺陷被利用2－7層訪問控制（集中在3-4層）解決地址不足問題抗網(wǎng)絡層、傳輸層一般攻擊不足防外不防內(nèi)對網(wǎng)絡性能有影響對應用層檢測能力有限2021/6/2735入侵檢測基本原理：利用sniffer方式獲取網(wǎng)絡數(shù)據(jù)，根據(jù)已知特征判斷是否存在網(wǎng)絡攻擊優(yōu)點：能及時獲知網(wǎng)絡安全狀況，借助分析發(fā)現(xiàn)安全隱患或攻擊信息，便于及時采取措施。不足：準確性：誤報率和漏報率有效性：難以及時阻斷危險行為2021/6/2736網(wǎng)絡防病毒基本功能：串接于網(wǎng)絡中，根據(jù)網(wǎng)絡病毒的特征在網(wǎng)絡數(shù)據(jù)中比對，從而發(fā)現(xiàn)并阻斷病毒傳播優(yōu)點：能有效阻斷已知網(wǎng)絡病毒的傳播不足：只能檢查已經(jīng)局部發(fā)作的病毒對網(wǎng)絡有一定影響2021/6/2737蠕蟲病毒的特征

蠕蟲病毒的特征1.利用操作系統(tǒng)和應用程序的漏洞主動進行攻擊2.傳播方式多樣3.病毒制作技術與傳統(tǒng)的病毒不同4.與黑客技術相結合2021/6/2738蠕蟲病毒與一般病毒的比較

普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制寄存在主程序運行主動攻擊傳染目標本地文件網(wǎng)絡計算機

2021/6/2739網(wǎng)絡環(huán)境下計算機病毒的特點在網(wǎng)絡環(huán)境下，網(wǎng)絡病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計算機病毒的共性外，還具有一些新的特點：①感染速度快。

②擴散面廣。

③傳播的形式復雜多樣。

④難于徹底清除。

⑤破壞性大。

2021/6/2740網(wǎng)頁攻擊網(wǎng)頁攻擊指一些惡意網(wǎng)頁利用軟件或系統(tǒng)操作平臺等的安全漏洞，通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標記語言內(nèi)的JavaApplet小應用程序、javascript腳本語言程序、ActiveX軟件部件交互技術支持可自動執(zhí)行的代碼程序，強行修改用戶操作系統(tǒng)的注冊表及系統(tǒng)實用配置程序，從而達到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤、感染木馬程序的目的。

2021/6/2741網(wǎng)頁攻擊防范防范網(wǎng)頁攻擊可使用設定安全級別、過濾指定網(wǎng)頁、卸載或升級WSH、禁用遠程注冊表服務等方法。最好的方法還是安裝防火墻和殺毒軟件，并啟動實時監(jiān)控功能。有些殺毒軟件可以對網(wǎng)頁瀏覽時注冊表發(fā)生的改變提出警告。

2021/6/2742刪除本機默認共享打開記事本編寫如下代碼

Netshareadmin$/deleteNetshareipc$/deleteNetsharec$/deleteNetshared$/deleteNetsharee$/delete編寫完成以后此文本可任意命名，但文件擴展名一定改為.bat，并將此文件添加到開始—啟動中下次開機默認共享自動被刪除2021/6/2743網(wǎng)絡掃描器通過模擬網(wǎng)絡攻擊檢查目標主機是否存在已知安全漏洞優(yōu)點：有利于及早發(fā)現(xiàn)問題，并從根本上解決安全隱患不足：只能針對已知安全問題進行掃描準確性vs指導性2021/6/2744關閉不用的服務

在安裝windows操作系統(tǒng)時，大家往往使用的是默認安裝，然而有很多服務在默認情況下是打開，我們應該關閉一些從來不用的服務。我們打開控制面板—管理工具—服務也可以在我的電腦—右鍵—管理—服務和應用程序—服務2021/6/2745

一般情況下我們可關閉telnet服務SNMPServiceComputerBrowserDHCPClient2021/6/2746網(wǎng)絡安全防護建議(1)經(jīng)常關注安全信息發(fā)布Microsoft、Sun、hp、ibm等公司的安全公告安全焦點綠盟網(wǎng)站202