《2021校园网络安全案例 [校园网络安全] .doc》由会员分享,可在线阅读,更多相关《2021校园网络安全案例 [校园网络安全] .doc(175页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2021校园网络安全案例 校园网络安全 校园网络安全案例 校园网络安全 校园网网络安全:,电脑知识与技术:,:校园网网络安全韩红光(浙江农业商贸职业学院(筹),浙江绍兴)摘要:校园网络是数字化枝园的基础架构,它属于规模较大的园区网络。在网络安全问题日益突出的今天,通过分析校园网络安全的现状、特点与需求,阐述了校园网络安全需要重点关注的安全技术。在此基础上,提出了校园网安全方案。重点介绍了网络访问控制、端点安全保护、协议分析和网络安全监控等相关技术。关键词:网络;安全:系统中图分类号:文献标识码:文章编号:()(,嘲:矛,。,:;校园网的背景校园网的运行为全校的教学、科研工作提供了高效、稳定的网
2、络平台。随着学校网络应用的开展。对网络性能的要求也越来越高。表现出了一下特点:)学校的各种应用都依托与网络,不管是教师还是学生,网络是整个学校联系的中心。)校园网中用户的数量增长迅速,特别是学生用户的比重越来越大。)互联网应用的变化高带宽的应用需求越来越大)收益于出口带宽提高、设备住能的提升,网络的整体性能得到了极大提高。基于以上这种高带宽和大用户量的应用和学校各方面的工作对网络的依赖所以,保障网络安全。提高网络的可靠性显得尤其重要。如何提高网络的可靠性,迅速解决网络安全问题、把对网络的影响减小到最小,成了摆在我们面前的一道难题。校园网面临的各类挑战操作系统和应用软件漏洞利用漏洞的各种病毒也不
3、断被制造出来,对信息安全、系统使用、网络运行构成威胁。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞虽然可能最初就存在于系统当中但一个漏洞并不是自己出现的,必须要有人发现。在实际使用中,用户会发现系统中存在错误,而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具,这时人们会认识到这个错误是一个系统安全漏洞。常见漏洞攻击主要利用在软件编写存在、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面进行。网络攻击网络攻击是目前校园网的面临的重要危险,主要有以下攻击方式和类型。)攻击攻击类型:攻击是一种拒
4、绝服务攻击。攻击特征:用于攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或老循环发送和接收该数据包消耗大量的系统资源,从丽有可能造成系统崩溃或死机等现象。)攻击攻击类型:攻击是一种拒绝服务攻击。攻击特征:它是利用客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源地址向被攻击者发送大量的数据包,当被攻击主机接收到大量的数据包时,需要使用大量的缓存来处理这些连接,并将数据包发送回错收稿日期:作者简介:韩红光(),男,浙江绍兴人,讲师,研究方向为网络技术。本栏目责任编辑:粱书奶电奠知识与技术第卷第期(
5、年月)误的地址,并一直等待数据包的回应,最终导致缓存用完,不能再处理其它合法的连接,即不能对外提供正常服务。)攻击攻击类型:攻击是一种拒绝服务攻击。攻击特征:该攻击数据包大于个字节。由于部分操作系统接收到长度大于字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。)攻击攻击类型:攻击是一种拒绝服务攻击。攻击特征:攻击又称带外传输攻击,它的特征是攻击目标端:,被攻击的目标端口通常是、。而且位设为“”。即紧急模式。)攻击攻击类型:攻击是一种拒绝服务攻击。攻击特征:是基于的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的包(分片数据包中包括该分片数据包
6、属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。病毒电脑病毒随着网络的发展,传播速度越快,影响也越来越大。各类病毒对用户的危害日益严重。而且借着网络的发展。数量日益增多,发作日益频繁。同时,各类病毒结合黑客技术以后,更加防不胜防,一旦某一台主机中毒后,病毒不是影响一个电脑。而是影响整个网络,造成了巨大的隐患。蠕虫病毒网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体。以网络为攻击对象!蠕虫病毒具有:)利用操作系统和应用程序的漏洞主动进行攻击)传播方式多样如
7、“尼姆亚”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、服务器、网络共享等等。)病毒制作技术新与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用、等技术,可以潜伏在页面里,在上网浏览时触发。)与黑客技术相结合,潜在的威胁和损失更大以红色代码为例,感染后的机器的目录的下会生成一个,可以远程执行任何命令,从而使黑客能够再次进入。蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞。木马病毒木马病毒,作为我们目前校园网用户比较主要一种病毒,对我们校园网的安全的影响很大,主要造成了如下影响:)网络游
8、戏木马网络游戏木马通常采用记录用户键盘输入、游戏进程函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期比,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。)网银木马网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上同游木马,但它的危害更加直接,受害用户的损失更加惨重。随着我国网上交易的普及,受到外来网
9、银木马威胁的用户也在不断增加。)即时通讯软件木马现在,国内即时通讯软件百花齐放。、新浪、网易泡泡、盛大圈圈网上聊天的用户群十分庞大。常见的即时通讯类木马一般有种:发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗,进而控制该窗自动发送文本内容。(参盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。传播自身型。年初,“性感鸡”等通过传播的蠕虫泛滥了一阵之后,推出新版本,禁止用户传送可执行文件。)网页
10、点击类木马网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送请求。)下载类木马这种木马程序的体积一般很小,其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小,下载类木马更容易传计誓应用技术。本栏目责任编辑:粱书第卷第期(年月)的耐酬叻电脑知识与技术播,传播速度也更快。通常功能强大、体积也很大的后门类瓶毒,如“灰鸽子”、“黑洞”等,传播时都单独编写一个小巧的下载型木马,用户中毒后会把后门主程序下载到本机运行。)代理类木马用户感染代理类木马后,会在本机开启、等代理服务
11、功能。黑客把受感染计算机作为跳板。以被感染用户的身份进行黑客活动。达到隐藏自己的目的。用户对网络资源滥用学生通常是互联网的活跃的用户,对网络的各类需求也非常大,利用校园网络资源进行视频、软件资源下载,不仅占用了大量的网络带宽,而且影响校园网络的应用,特别是各种点对点视频、下载软件的大范围应用,常常导致校园网性能的极具下降。综合上述问题拟办出的解决方案加强校园网安全管理政策首先,加强对校园内计算机使用的安全的制度建设。建设一个好的制度,包括用户的使用制度,校网网用户的准入制度,校园网用户的处罚制度等。制度中可以规定“做什么”而不是“怎么做”,告诉校园网用户哪些行为是允许的、哪些行为是不允许的,违
12、反了这些约定将会受到怎样的处罚。其次是加强教育,提高校园网用户的安全意识。对于校园网用户,通过签署入网协议的形式,教育用户,指导用户学习安全管理政策,起到提高安全意识的作用,同时明确责任和义务,便于对安全事故的处理。另外,需要加强各类校园网用户的培训管理。包括网络管理员的培训与教育,提高处置各类情况的能力。对于新入网的学生,加强安全意识培训和基本技能的培训。解决一些基本的网络使用常识阀胚。排除大量的安全隐患。更新设备提高设备性能与功能)更新设备,采用高性能的防火墙,确保校园网与外界网络的信息交换安全,对数据流进行过滤有效地阻止来自网络的恶意攻击,如端口扫描、非授权访问行为等。优化结构,合理配置
13、,加强监管使用硬件放火墙,防火墙可在校园网与外界网络之间建立一道安全屏障,是目前非常有效的网络安全模型,它提供了一整套的安全控制策略,包括访问控制、数据包过滤和应用网关等功能。使用放火墙可以将外晃网络(风险区)与校园网(安全区)的连接进行逻辑隔离,在安全策略的控制下进行内外网的信息交换,有效地限制外网对内网的非法访阉、恶意攻击和入侵。)及时进行系统漏洞的修补。校园网的网络运行环境较为复杂,各种网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞,如果不及时修补这些安全漏洞,就会给病毒、木马和黑客的入侵提供町乘之机。)网络接人控制()和终端安全控制。实际上,今天更多的攻击来自于网络内部,
14、而不是外部,网络规模越大,其发生网络内部攻击事件的比例越大。网络接入控制()已经成为一种对用户加强终端安金和分配合适访问权限的有效方法。网络接人必须更严格地进行控制,以反映用户身份和端点状态,对管理终端加强安全策略。采用了的一种方法。它将每一个用户都视为是潜在不安全和不可信赖的。将根据用户身份验证、终端安全状态和策略的组合给用户授予资源访问权限。在网络连接时或定期重新评估之后,作出访问控制的决定。感染病毒的电脑都将被隔离后进行修复,干净的机器才可以被允许进行访问。网络接入控制()技术的这蝗特性对于用户数量多、应用需求复杂的校园网十分适用,它将在很大程度上抑制校园网内部用户的攻击行为和对网络资源
15、的滥用。另外,我们还要加强对终端的安全控制。随着互联网连接的增长,个人防火墙大受欢迎并被包含到操作系统中,但这些安全措施都还仅仅是开始。要阻止更多样化的敌对威胁,桌面安全厂商已经在终端安全套件上安装了更高级的防护。跟一样,它组合了防火墙、防病毒、反间谍软件、反垃圾邮件以及入侵预防等服务。与不同的是,终端安全套件是在每个主机上运行的程序。能够阻止恶意软件的传播,因此可以减少带宽消耗和清理费用。终端安全套件可以使桌面系统增强抗内部攻击的能力。并能保证移动笔记本电腕安全地连接到公共网络。和终端安全套件的协同工作,更高效地保护了网络。)校园网流控对于校园网中流量的毫无限制的使用。会使校园网压力过大,产
16、生巨大的压力。网络流控设备可对信息内容进行实时性的监控,行为过滤如阻止应用、网络行为分析及带宽管理、可自订管理政策如、时间、协议)、可任意分配个别流量带宽、实时流量检测、分析个人程序流量并制定带宽管理、可依不同应用程序进行双向带宽管理、可提供层级化之带宽管理。通过流控,限制部分软件占用带宽过大。)网络日志记录和监控网络日常事务,完整进行日志记录,可记录和查询服务日志、系统日志、管理员操作日志、用户自助服务日志、账单服务器日志等,实现事后的审计。结束语面对校园网络中的种种安全威胁,必须采取有力的措施来保证安全。校园网络的安全措施,应是能全方位地杜绝各种不同的威胁和脆弱性,防患于未然,一旦出了事,
17、亡羊补牢,恐怕为时已晚。应尽量确保校园网络信息的保密性、完整性和可用性,从多个方面进行防范,把校园网不安全因素降到最少。参考文献:】廖常武校园网组建杨威局域网组建,管理与维护一京:电子工业出版社,方正科技局域网组建与维护北京:机械工业出版社,计算规工翟应用技术本栏目责往编辑:鎏蔷校园网网络安全作者:作者单位:刊名:英文刊名:年,卷(期):韩红光, HAN Hong-guang浙江农业商贸职业学院,筹,浙江,绍兴,312000电脑知识与技术COMPUTER KNOWLEDGE AND TECHNOLOGY2010,06(15)参考文献(3条)1.方正科技 局域网组建与维护 20062.杨威 局域
18、网组建,管理与维护 20043.廖常武 校园网组建 2005 本文链接: 校园网络安全及其对策方面,根据国内相关学者的研究总结,影响因素主要包括以下几点:网络协议存在漏洞(主要指通信协议和通信软件系统不完善,给各种不安全因素的入侵留下了隐患);操作系统本身存在安全漏洞;网络的开放性和广域性设计使得数据的保密难度较大;无线系统中的电磁泄露(无线通信系统中的数据以电磁波的形式在空中进行传播,存在电磁波泄露,且易被截获);计算机病毒入侵(大量涌现的病毒在网上传播极快,给全球范围的网络安全带来了巨大灾难);网络黑客的恶意攻击;网上犯罪人员对网络的非法使用及破坏;信息安全防范技术和管理制度的不健全;自然
19、灾害以及意外事故的损害等。破坏的方法主要有:利用TCP/IP直接破坏;利用操作系统间接登陆入侵;对用户计算机中的系统内置文件进行有目的的更改;利用路径可选实施欺骗;使用窃听装置或监视工具对所传播的信息进行非法检测和监听等,以上是保障计算机网络安全所时常面临的威胁性因素,及进行威胁的一般损害方法。对这些威胁性因素和方法的了解有助于我们做好相关网络安全保障,以便于我们更好地利用网络服务于我们的生产、生活与工作。 具体体现在:(1)信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。(2)信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者
20、。 积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。(3)传输非法信息流。只允许用户同其它用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止檔传送。(4)网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。 (5)非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损(6)环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。(7)软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/
21、IP协议、网络软件和服务、密码设置等的安全漏洞。 这些漏洞一旦遭受计算机病毒攻击,就会带来灾难性的后果。(8)人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。 第三章校园网络安全的规范校园网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。其中最重要的是指网络安全
22、。 现在有很多人认为在网络中只要使用了一层安全就够了,事实并不是这样,一层根本挡不住病毒和黑客的侵袭。接下来我将逐点介绍。一、物理安全。校园机房除了要保证要有计算机锁之外,更多的要注意防火,要将电线和网络放在比较隐蔽的地方。我们还要准备UPS,以确保校园网络能够以持续的电压运行,在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候可以烧坏电器,迫使网络瘫痪,峰值电压最小的时候,网络根本不能运行。使用UPS可以排除这些意外。另外要做好防老鼠咬坏网线。第二、进行访问控制管理。校园机房的访问控制,访问控制是计算机网络保护的一种常见手段和方法,所谓访问控制是指授予不同的主体不同的访问权限。不同主
23、体依据自身获得的相关权限进行相关数据或信息的处理,从而实现数据和相关信息资源的安全。口令是进行访问控制最简单最常见的一种形式。只要很好地对相关口令进行保护,非授权用户就难以越权使用相关信息资源。校园机房电脑口令的设置一般应避免使用简单易猜的数字,而应应用英文字母、标点符号、汉语拼音、空格等及其组合,以增加口令的复杂性并借此提高口令的安全性,在进行不同的系统登陆时应设置和使用不同的登陆口令,且应对相关口令进行定期更改,以保证机房口令的安全性。第三、打补丁。为了校园网络安全,要及时的对系统补丁进行更新,大多数病毒和黑客都是通过系统漏洞进来的,例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞
24、ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以要及时对系统和应用程序打上最新的补丁,例如IE、OUTLOOK、SQL、OFFICE等应用程序。另外要把校园网络那些不需要的服务关闭,例如TELNET,还有关闭Gusel账号等。 第四、安装防病毒软件。病毒扫描就是对机器中的所有檔和邮件内容以及带有.exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一隔离文件夹里面。要对全网的机器从网站服务器到邮件服务器到檔服务器到客户机都要安装杀毒软件,并保持最新的病毒库。因为病毒一旦进入计算机,它会疯狂的
25、自我复制,遍布全网,造成的危害巨大,甚至可以使得系统崩溃,丢失所有的重要资料。所以至少每周一次对全网的计算机进行集中杀毒,并定期的清除隔离病毒的文件夹。第五、应用程序。超过一半都是通过电子邮件进来的,所以除了在邮件服务器上安装防病毒软件之外,还要对校园各PC机上的outlook防护,学校要提高警惕或是不认识的人发过来的,或是全是英性,当收到那些无标题的邮件,语例如什么happy99,money,然后又带有一个附件的邮件最好直接删除,不要去点击附件,因为百分之九十以上是病毒。除了不去查看这些邮件之外,学校还要利用一下outlook中带有的黑名单功能和邮件过滤功能。很多黑客都是通过用户访问网页的时
26、候进来的。碰到过这种情况,当打开一个网页的时候,会不断的跳出非常多窗口,关都关不掉,这就是黑客已经进入了计算机,并试图控制计算机。所以用户要将IE的安全性调高一点,经常删除一些cookies和脱机檔,还有就是禁用那些Active X的控件。第六、代理服务器。代理服务器最先被利用的目的是可以加速访问用户经常看的网站,因为代理服务器都有缓冲的功能,在这里可以保留一些网站与IP地址的对应关系。代理服务器的优点是可以隐藏内网的机器,这样可以防止黑客的直接攻击,另外可以节省公网IP。缺点就是每次都要经由服务器,这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候,其余计算机将不能访问网络。第七、防
27、火墙防火墙是指设置在不同网络(如可信任的校园内部网和不可信或网络安全域之间的一系列部件的组合。它可通过监测、任的公共网)尽可能地对外部屏蔽内部网络的信限制及更改跨越防火墙的数据流,以此来实现网络的安全防护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙基本上是一个独立的进程或一组紧密结合的进程,控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Internet)入口处。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全策略。防火墙能有效地防止外来的入
28、侵,它在网络系统中的作用是: (1)控制进出网络的信息流向和信息包;(2)提供使用和流量的日志和审计;(3)隐藏内部IP地址及网络结构的细节;功能(4)提供虚拟专用网(VPN)防火墙技术的发展方向:目前防火墙在安全性、效率和功能方面还存在一定矛盾。防火墙的技术结构,一般来说安全性高的效率较低,或者效率高的安全性较差。未来的防火墙应该既有高安全性又有高效率。重新设计技术结构架构,比如在包过滤中引用鉴别授权机制、复变包过滤、虚拟专用防火墙、多级防火墙等将是未来可能的发展方向。 第八、DMZ。DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为
29、了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于校园内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如校园Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般对攻击者来说又多了一道关卡的防火墙方案,第九、应用入侵检测技术-IDS。技术又称为IDS,是近年出现的新型网络安全技术,目的是提供实时的入侵检测以及采取相应的防护手段。他是基于若干预警信号来检测针对主机和网络入侵事件的技术。一旦检测到网络被入侵之后,立即采取有效
30、措施来阻断攻击,并追踪定位攻击源。入侵检测技术包括基于主机的入侵检测技术和基于网络的入侵检测技术。在使用了防火墙和防病毒软件之后,再使用IDS来预防黑客攻击。IDS,就是分析攻击事件以及攻击的目标与攻击源,然后利用这些来抵御攻击,将损坏降低到最低限度。目前IDS还没有象防火墙那样用的普遍,但是这个也将是未来几年的趋势,现在一些政府已经开始使用。第十、分析时间日志与记录。学校机房管理者要经常的来查看防火墙日志、入侵检测的日志以及查看防病毒软件的更新组件是否是最新等。安全管理一直是网络系统的薄弱环节之一,而学校对网络安全的要求往往又相当高,因此安全管理就显得非常重要。网络管理者必须充分意识到潜在的
31、安全性威胁,并采取一定的防范措施,尽可能减少这些威胁带来的恶果,将来自学校网络内部和外部对数据和设备所引起的危险降到最低程度。计算机网络安全是困扰校园网络的一个难题,也是发展计算机网络技术所必须克服和解决的一道难题。它关系到学校对计算机网络安全的信心,关系到计算机网络技术能否健康持久的发展,关系到相关存储和传输数据的安全,因而应该引起学校的进一步关注,并切实采取措施保障计算机网络的安全。第四章校园网网络安全总结1 基本防护体系(包过滤防火墙+NAT+计费)用户需求:全部或部分满足以下各项? 解决内外网络边界安全,防止外部攻击,保护内部网络? 解决内部网安全问题,隔离内部不同网段,建立VLAN?
32、 根据IP地址、协议类型、端口进行过滤? 内外网络采用两套IP地址,需要网络地址转换NAT功能? 支持安全服务器网络SSN? 通过IP地址与MAC地址对应防止IP欺骗? 基于IP地址计费? 基于IP地址的流量统计与限制? 基于IP地址的黑白名单。? 防火墙运行在安全操作系统之上? 防火墙为独立硬件? 防火墙无IP地址解决方案:采用网络卫士防火墙PL FW10002 标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项? 提供应用代理服务,隔离内外网络? 用户身份鉴别? 权限控制? 基于用户计费? 基于用户的流量统计与控制? 基于
33、WEB的安全管理? 支持VPN及其管理? 支持透明接入? 具有自身保护能力,防范对防火墙的常见攻击 解决方案:(1)选用网络卫士防火墙 PL FW2000(2)防火墙基本配置+网络加密机(IP协议加密机)3 强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+ 监控)用户需求:在标准防护体系配置的基础之上,全部或部分满足以下各项? 网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备)? 操作系统安全性检测? 网络监控与入侵检测解决方案:选用网络卫士防火墙PL FW2000+网络安全分析系统+网络监控器致谢 校园网络安全分析摘要:现如今,随着信息化的不断开展,确保不同
34、的应用系统以及数据安全的顺畅运行,是网络管理方面的重要课题。互联网的技术不断的更新,黑客攻击方式也在不断的改善,然而对于开放性的校园网络,一方面是会为学生和教师开放,另一方面还开放给社会人。利用简单形式的技术不能够确保网络的安全性和可靠性,需要创建硬件与软件的结合,将不同形式下的网络安全技术充分的融合在一起才能够将安全系统完善构成。本文基于APPDRR的校园网络安全对策为基本点,进行详细的分析。中 1 探究网络安全需求1.1 业务安全需求在网络安全和通畅的情况下,才可以对学校中财务系统、办公系统、教务学生管理以及教学活动正常的开展。防止Dos等攻击而造成的性能丧失或者服务瘫痪的现象。1.2 物
35、理安全需求在校园网络中的较多物理设施需要和有关的安全规范相符,例如:中心机房、硬件防火墙、路由器、交换机、服务器等。还需要按照有关的管理范围限制系统管理员、数据库管理员以及机房管理人员的权限。1.3 数据安全需求数据安全需求具体包含:抗抵赖性、数据完整性、数据机密性。其中所涉及到的数据机密性所指的是,不可以被进程、实体或者非授权者加以利用,在机密性中还会存在泄漏的特点。信息数据按照安全级别包含:机密、内部、公开等三个级别。公开性质的信息是Internet用户可以对其访问的,内部的信息只可以被校内学生和教职工进行访问,机密的信息只是小部分的授权用户有使用权限。数据的完整性方面需要将主动威胁有所抵
36、制,从而确保接收者的信息接收和信息发送初期是统一的,保证信息真实有效。抗抵赖性是发送人员不可以在发送之后否认消息的发送内容1。2 APPDRR的校园网络安全对策校园网络安全是动态的系统,新问题会接连出现,解决方案会随着问题的出现而改善。APPDRR这一方案能够完善的解决校园网络安全问题,其主要的构成部分为:故障恢复与事件响应、监控与检测、防御系统、安全策略的制定以及风险的评估与分析。2.1 风险分析想要开展APPDRR,风险分析是第一组成部分,进行风险的分析能够保证其他组成部分的顺畅开展,在校园网络中所存在的风险为几大部分:(1)控制和非法访问。控制是机制和策略的有效融合,可以访问限定的资源。
37、系统若认证非法访问的情况下,会顺利的进入到系统的内部对数据资源随意使用。(2)病毒。校园中拥有着较多的学生和教职工,网络用户十分复杂。在加上对电脑与智能手机应用方面不断增多,更加增添了网络拓扑结构的复杂性。仅仅是一项细节部位受到的病毒的干扰,也会快速、大范围的传播。(3)Dos攻击。Dos主要是通过有效的服务请求去占用较多的服务资源,继而对用户指令不能够应用服务器进行处理,最后会造成服务器的瘫痪现象。2.2 安全策略对安全风险确定之后,就需要按照安全的需要拟定出相应的安全策略。在APPDRR当中安全策略是核心成分,APPDRR具体创建了四大防线,分别为:故障恢复、实时响应、监控与检测、防护。2
38、.3 安全防护(1)核心层的网络设备中能够应用URPF御DDOS攻击,同时和OTP动态形式下的一次性密码进行结合,验证出用户身份。只要将服务开启,通过安全设计的路由协议,验证协议,利用SSH、SNMP等拥有安全性较强的管理协议,就能够开展端口限速控制接入层的交换机。(2)防火墙在Internet入口处设置。防火墙涉及到的双主动模式具有一定的可靠性,不管是在网络地址的转换模式还是路由模式,都能够配置为主动的备份防火墙和防火墙,能够有效的共享数据流。所体现的双主动模式能够确保两台防火墙可以有50%的分担能力,可以合理的利用资源,能够延续防火墙的使用期限。2.4 安全监控和检测想要将安全策略落实,一
39、定要进行安全检测,检测的具体对象包含两种,其一为系统外部的入侵威胁,其二为系统自身的脆弱性。对系统自身的脆弱性有几种检测措施:(1)入侵检测。在外部中的入侵检测具体是利用计算机系统,以及计算机网络当中的小部分重点开展信息分析和信息收集,在收集的过程中搜寻能否存在不符合安全策略的迹象和行为。分析监视系统活动和用户能否和安全策略分析相符,比较已经知道的活动攻击模式数据库,同时充分的识别异常的情况。严格的监控关键的数据是否完整。还需要审计操作系统的日志,以此来正确的识别异常的行为2。(2)检测系统自身脆弱性:1)漏洞的扫描系统。在漏洞数据库中会产生漏洞扫描,会针对应用终端和服务器开展安全弱脆性的系统
40、检测,对系统漏洞能够及时发现。漏洞具体包含:MAIL类、缓冲区溢出、WEB应用漏洞以及Windows系统漏洞等。后台的管理扫描系统提倡通过管理系统,在漏洞扫描服务器中安装服务器端。2)防病毒的部署。对于防病毒策略的实现,需要将集中安装实现,将策略的管理统一开展。将趋势科技中央控管产品TMCM在后台的管理区防病毒服务器中详细的部署,此管理软件可以将防病毒软件,开展系统化的管理和监控。针对客户监控区的终端系统,以及后台管理层中的监控区域的病毒防护,可以应用OfficeScan方案。其高效和升级的实时防护以及统一管理模式,可以合理的确保应用人员的应用安全3。3)操作系统补丁方面的管理系统。若操作系统
41、存在漏洞,应用极为优质的管理措施和软件都不能够产生效用,基本上在校园网络中所产生的安全隐患,具体的原因都是由于计算机或者业务服务器中缺失系统补丁的及时更新,所以在校园网中需要配置专业的补丁管理系统。SMS系统是提倡应用的系统,该系统可以较好的配置Microsoft的更新,能够让校园网当中所使用的计算机和服务器,都可以在暴露安全弱点之前被发现4。2.5 应急实时的响应应急实时响应是在网络安全隐患发生之后的有效应对方式,能够有效的解决安全性问题,是较为完善的处理手段。若产生安全隐患,需要及时的开展应急的预案,为的是在较短时间内,将危害性降低到最小的程度5。3 总结根据以上的论述,应用APPDRR的
42、前瞻性随着动态校园网络的形成,不断的得以体现。并且,有必要将管理和技术有效的融合在一起,让教师和学生都拥有着一定的网络风险意识,建立健全的“防火墙”,用规范的行为正确的进行电脑的使用以及保证上网的良好习惯。要力求用信息技术维护校园网络安全,让师生能够在一定程度上开展优质的网络体验。 校园网络安全 冀中职业学院毕业论文 题目题目题目题目题目题目题目 系 别专 业班 级学 号姓 名指导教师 _ 年 月 日 摘 要 随着互联网的普及和国内各高校网络建设的不断发展,大多数高校都建立了自己的校园网,它已经成为高校信息化的重要部分,网络安全已成为不容忽视的问题,如何在开放网络环境中保证数据和系统的安全性已
43、经成为众多业内人士关心的问题,并越来越迫切和重要,作为一个面向大众的开放系统,计算机网络面临着来自各方面的威胁和攻击。因此,网络安全系统的构建是一个非常重要的问题,它涉及到从系统硬件到软件,从单机到网络的各个方面。本文系统地介绍了网络安全的概念、讨论了校园网面临的各种安全威胁、OSI的安全体系结构以及动态安全模型P2DR,其中包括网络的安全风险分析、安全需求分析、以及安全目标分析;针对校园网的安全系统的需求,进行了深入的研究与分析,按照“建立的网络安全应该是动态防护体系,是动态加静态的防御;是被动加主动的防御,是管理加技术的完整安全观念”,提出了一个能覆盖整个校园网络的全方位、各个层次、多种防御手段的网络安全实现模型,然后,从物理安全、访问控制、通信保密、安全审计、病毒防护、流量监控和安全管理等方面对校园网络安全解决方案进行了分类研究;最后,结合校园网的实际,根据现有设备条件,运用ULAN技术、NAT技术、路由器访问列表以及流量监控实现了对校园网的基本安全防护。 关键词: 网络安全,P2DR,策略,ULAN 目 录 第一章 绪论 . 31.1 互联网的发展与安全现状 . 31. 校园网建设及目前面临的安全问题. 31.3 研究内容第二章 校园网安全分析 . 4 .1 网络安全通讯的威胁 . 7 .2 安全需求 .