校園網(wǎng)網(wǎng)絡(luò)安全問題及其解決方案

校園網(wǎng)網(wǎng)絡(luò)安全問題及其解決方案校園網(wǎng)網(wǎng)絡(luò)安全問題及其解決方案校園網(wǎng)網(wǎng)絡(luò)安全問題及其解決方案校園網(wǎng)網(wǎng)絡(luò)安全問題及其解決方案編制僅供參考審核批準生效日期地址：電話：傳真:郵編:鄭州鐵路職業(yè)技術(shù)學(xué)院畢業(yè)論文論文題目：校園網(wǎng)網(wǎng)絡(luò)安全問題及其解決方案作者姓名： 班級學(xué)號：系部：軟件學(xué)院/信息工程系專業(yè)：計算機網(wǎng)絡(luò)指導(dǎo)教師：2013年5月20日摘要隨著Internet的飛速發(fā)展，校園網(wǎng)作為高校重要的基礎(chǔ)設(shè)施，擔(dān)當著高校教學(xué)、科研、管理和對外宣傳交流等許多角色。在我們享受著網(wǎng)絡(luò)給教學(xué)管理帶來便捷的同時，網(wǎng)絡(luò)中的種種不安全因素也在無時無刻不在威脅校園網(wǎng)的健康發(fā)展，例如，病毒侵犯、保密資料外泄、黑客的非法入侵，有害信息等等。所以，對于校園網(wǎng)這個特殊而又重要的局域網(wǎng)來說，必須建立完備的校園網(wǎng)安全防護體系，不斷加強校園網(wǎng)絡(luò)的安全管理體制，保證校園網(wǎng)絡(luò)能正常的運行以及校園內(nèi)部的信息資源不受各種網(wǎng)絡(luò)黑客的侵害，確保學(xué)生的身心健康，使學(xué)生盡可能少地接觸網(wǎng)絡(luò)上的不良信息，使他們具備一個積極向上的意識形態(tài)，并確保網(wǎng)絡(luò)教學(xué)等活動得以正常運轉(zhuǎn)。因此，如何在開放網(wǎng)絡(luò)的環(huán)境中保證校園網(wǎng)的安全性已經(jīng)成為一個及其重要并且必須要解決的問題。本文通過分析當今校園網(wǎng)網(wǎng)絡(luò)安全問題的現(xiàn)狀，找出校園網(wǎng)面臨的各種威脅，列出解決校園網(wǎng)安全問題的關(guān)鍵技術(shù)，校園網(wǎng)安全管理和維護的措施與建議。關(guān)鍵詞：校園網(wǎng);網(wǎng)絡(luò)安全;防火墻;入侵檢測目錄摘要 2一、校園網(wǎng)網(wǎng)絡(luò)概述 51.1互聯(lián)網(wǎng)的發(fā)展與安全 51.2國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀 61.3校園網(wǎng)的特點 71．4校園網(wǎng)的網(wǎng)絡(luò)構(gòu)成 81.4.1校園網(wǎng)網(wǎng)絡(luò)體系結(jié)構(gòu)概述 91.4.2校園網(wǎng)系統(tǒng)功能構(gòu)成 101.4.3校園應(yīng)用管理平臺 111.4.4典型校園網(wǎng)拓撲結(jié)構(gòu) 121.4.5校園網(wǎng)的建設(shè)目標 13二、校園網(wǎng)網(wǎng)絡(luò)安全問題現(xiàn)狀 152.1網(wǎng)絡(luò)的開放性帶來的安全問題 152.2校園網(wǎng)網(wǎng)絡(luò)安全的主要威脅因素 162.3校園網(wǎng)安全存在的缺陷 172.3.1網(wǎng)絡(luò)自身的安全缺陷 172.3.2網(wǎng)絡(luò)結(jié)構(gòu)、配置、物理設(shè)備不安全 172.3.3內(nèi)部用戶的安全威脅 182.3.4軟件的漏洞 182.3.5病毒的傳播 182.3.6各種非法入侵和攻擊 19三、校園網(wǎng)網(wǎng)絡(luò)安全問題解決方案 203.1解決校園網(wǎng)安全問題的關(guān)鍵技術(shù) 203.1.1密碼加密解密技術(shù) 203.1.2防火墻技術(shù) 253.1.3防病毒技術(shù) 293.1.4入侵檢測技術(shù) 323.1.5數(shù)據(jù)備份技術(shù) 343.2校園網(wǎng)網(wǎng)絡(luò)安全對策分析 373.2.1校園網(wǎng)絡(luò)安全策略概述 373.2.2網(wǎng)絡(luò)安全系統(tǒng)策略的制定 373.3校園網(wǎng)安全管理和維護的措施與建議 393.3.1配置高性能的防火墻產(chǎn)品 393.3.2網(wǎng)絡(luò)設(shè)計、使用更合理化 393.3.3軟件漏洞修復(fù) 393.3.4防殺毒軟件系統(tǒng) 403.3.5配備入侵檢測系統(tǒng)(IDS)并建立蜜罐陷阱系統(tǒng) 403.3.6系統(tǒng)安全風(fēng)險評估 403.3.7災(zāi)難恢復(fù)計劃 413.3.8加強管理 41四、總結(jié)： 42致謝： 43參考文獻： 43一、校園網(wǎng)網(wǎng)絡(luò)概述1.1互聯(lián)網(wǎng)的發(fā)展與安全計算機與通信技術(shù)推動了因特網(wǎng)的快速發(fā)展。截至2010年1月底，我國網(wǎng)民數(shù)量已躍居世界第一?；ヂ?lián)網(wǎng)的普及為我們的工作和生活帶來了根本性變化，人們可以通過互聯(lián)網(wǎng)來瀏覽新聞、獲取資料、電子郵件、存儲信息、進行實時通訊；可以足不出戶進行網(wǎng)上購物、網(wǎng)上股票交易，利用網(wǎng)上銀行進行轉(zhuǎn)賬業(yè)務(wù)等；電子政務(wù)的推廣也使得政府部門和企業(yè)進行網(wǎng)上辦公成為可能。計算機網(wǎng)絡(luò)已經(jīng)滲透到了教育、文化、經(jīng)濟、政治、軍事等各個方面。可以說，今天的互聯(lián)網(wǎng)已經(jīng)成為了人們生活和工作中必不可少的一部分。但同時近幾年網(wǎng)絡(luò)信息安全問題表現(xiàn)異常突出：網(wǎng)上病毒感染事件逐年增多；網(wǎng)絡(luò)入侵攻擊大幅上升，據(jù)統(tǒng)計表明，平均每20秒就有一個網(wǎng)絡(luò)遭到入侵；網(wǎng)上經(jīng)濟詐騙成倍增長。網(wǎng)絡(luò)安全是一個多層面的安全問題，它不僅涉及到黑客、漏洞、入侵、病毒等外來攻擊安全問題，而且還涉及到保密、授權(quán)、抵賴等內(nèi)部安全問題。目前世界上的各國正在通過采用各種技術(shù)和管理措施來保障互聯(lián)網(wǎng)的安全，保證互聯(lián)網(wǎng)系統(tǒng)的正常運行，確保網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生修改、丟失和泄漏等?；ヂ?lián)網(wǎng)網(wǎng)絡(luò)的安全性同網(wǎng)絡(luò)的性能、可靠性和可用性一起成為組建和運行網(wǎng)絡(luò)不可忽視的問題。1.2國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀計算機網(wǎng)絡(luò)的廣泛應(yīng)用己經(jīng)對經(jīng)濟、文化、教育與科學(xué)的發(fā)展產(chǎn)生了重要的影響，同時也不可避免地帶來了一系列新的社會道德、法律問題。網(wǎng)絡(luò)的快速發(fā)展使得網(wǎng)上資源越來越豐富，諸如電子商務(wù)、電子政務(wù)、電子稅務(wù)、電子海關(guān)、網(wǎng)上銀行、網(wǎng)絡(luò)防偽等許多新興業(yè)務(wù)也迅速興起，因此，加強網(wǎng)絡(luò)信息安全保障已成為當前的迫切任務(wù)。網(wǎng)絡(luò)安全的保障能力是一個國家綜合國力、經(jīng)濟競爭實力和生存能力的重要組成部分。網(wǎng)絡(luò)安全問題解決不好將會全面地危及國家的政治、經(jīng)濟、文化、社會生活的各方面。目前我國網(wǎng)絡(luò)安全的現(xiàn)狀和面臨的威脅主要有：1、計算機網(wǎng)絡(luò)系統(tǒng)使用的軟、硬件產(chǎn)品很大一部分依賴于國外產(chǎn)品，引進的信息技術(shù)和設(shè)備對信息安全的保護缺乏有效管理和技術(shù)改造。2、國內(nèi)信息安全人才培養(yǎng)體系雖己初步形成，但隨著信息化進程的加快和計算機的廣泛應(yīng)用，目前我國信息安全人才培養(yǎng)還遠遠不能滿足國內(nèi)需要。3、目前關(guān)于網(wǎng)絡(luò)犯罪的法律還不健全，因特網(wǎng)上的犯罪對傳統(tǒng)的法律提出了挑戰(zhàn)。4、公民對信息安全意識雖然有所提高，但將實際應(yīng)用中依然很少注意防范，計算機病毒、木馬、黑客攻擊泛濫成災(zāi)。1.3校園網(wǎng)的特點近幾年來因CERNET網(wǎng)的發(fā)展，我國校園網(wǎng)的建設(shè)得到了快速的發(fā)展。全國絕大多數(shù)的高校建成了自己的校園網(wǎng)絡(luò)，隨著高校校園網(wǎng)建設(shè)工程的實施，全面提高了校園網(wǎng)網(wǎng)絡(luò)通信的水平和規(guī)模，擴大了校園網(wǎng)的應(yīng)用范圍，為高校教師的教學(xué)和科研以及大學(xué)生對網(wǎng)絡(luò)系統(tǒng)的應(yīng)用提供了基本保障。校園網(wǎng)作為高校重要的基礎(chǔ)設(shè)施，擔(dān)當著高校教學(xué)、科研、管理和對外宣傳交流等許多角色。因此校園網(wǎng)安全狀況直接影響著高校的教學(xué)等活動。隨著網(wǎng)絡(luò)應(yīng)用的深入，校園網(wǎng)上各種傳輸?shù)臄?shù)據(jù)信息量急劇增加，網(wǎng)絡(luò)的攻擊越來越多，各種各樣的安全問題影響校園網(wǎng)的正常運行。同時，隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)復(fù)雜性不斷增加，用戶對網(wǎng)絡(luò)性能要求的不斷提高，網(wǎng)絡(luò)安全正逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個極為關(guān)鍵的任務(wù)，對網(wǎng)絡(luò)的發(fā)展產(chǎn)生了很大的影響，成為現(xiàn)代網(wǎng)絡(luò)應(yīng)用中最重要的問題之一。因此，如何確保校園網(wǎng)正常、安全和高效地運行是所有高校目前面臨的問題。高校校園網(wǎng)建設(shè)中面臨的問題概括起來主要有以下幾個方面：（1）網(wǎng)絡(luò)日常管理維護的困境。隨著課堂教學(xué)逐步走向網(wǎng)絡(luò)化，學(xué)生在線學(xué)習(xí)、娛樂時間的增加必然造成校園網(wǎng)網(wǎng)絡(luò)大、業(yè)務(wù)多、故障產(chǎn)生問題復(fù)雜，網(wǎng)絡(luò)的安全性差、管理難度較大。（2）濫用網(wǎng)絡(luò)資源。在校園網(wǎng)內(nèi)，用戶濫用網(wǎng)絡(luò)資源的情況嚴重，有私自開設(shè)代理服務(wù)器非法獲取網(wǎng)絡(luò)服務(wù)的，也有校園網(wǎng)用戶非法下載或上載的，甚至有的用戶每天都不斷網(wǎng)，其流量每天都達到幾十個G，占用了大量的網(wǎng)絡(luò)帶寬，影響了校園網(wǎng)的其它應(yīng)用[4]。（3）網(wǎng)絡(luò)安全、計費等運營問題。校園網(wǎng)中的計算機系統(tǒng)管理比較復(fù)雜，缺乏用戶認證、授權(quán)、計費體系，安全認證存在有意無意的攻擊。（4）互聯(lián)網(wǎng)上的非法內(nèi)容也形成了對網(wǎng)絡(luò)的另一大威脅。不良信息的傳播對正在形成世界觀和人生觀的大學(xué)生而言，危害是非常大的。要確保高校學(xué)生健康成長、積極向上，就必須采取措施對校園網(wǎng)絡(luò)信息進行過濾和處理，使他們盡可能少地接觸網(wǎng)絡(luò)上的不良信息。對校園網(wǎng)來說，如不具有過濾和識別作用，不但會造成大量非法內(nèi)容及郵件進入，占用大量流量資源，造成網(wǎng)絡(luò)流量堵塞、上網(wǎng)速度變慢等問題。許多校園網(wǎng)是從局域網(wǎng)發(fā)展而來的，由于安全管理意識與資金方面的原因，它們在安全方面往往沒有作太多的設(shè)置，一般往往直接面向互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間，這些安全隱患發(fā)生任何一次，都會對整個網(wǎng)絡(luò)產(chǎn)生致命的危害。因此，校園網(wǎng)的網(wǎng)絡(luò)安全需求是全方位的。1．4校園網(wǎng)的網(wǎng)絡(luò)構(gòu)成校園網(wǎng)的網(wǎng)絡(luò)組成可以按照不同的標準來區(qū)分，通?？梢苑譃榘凑站W(wǎng)絡(luò)的拓撲分為校園網(wǎng)的體系機構(gòu)以及按網(wǎng)絡(luò)的功能分為校園網(wǎng)的功能結(jié)構(gòu)。1.4.1校園網(wǎng)網(wǎng)絡(luò)體系結(jié)構(gòu)概述校園網(wǎng)安全策略的制定和實施是以各高校校園網(wǎng)的基礎(chǔ)體系結(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用具體情況為依據(jù)和實施基礎(chǔ)的。因此在制定各高校的網(wǎng)絡(luò)安全策略和實施具體的安全策略之前，透徹分析本校的校園網(wǎng)體系結(jié)構(gòu),網(wǎng)絡(luò)拓撲結(jié)構(gòu)，網(wǎng)絡(luò)的路由策略，網(wǎng)絡(luò)的區(qū)域劃分，IP及VLAN的規(guī)劃，網(wǎng)絡(luò)訪問策略，各應(yīng)用系統(tǒng)的功能服務(wù)對象，訪問限制等等是非常必要的，其性能直接影響到網(wǎng)絡(luò)安全策略的實施效果。網(wǎng)絡(luò)體系結(jié)構(gòu)是關(guān)于如何構(gòu)建網(wǎng)絡(luò)的技術(shù)，它包括兩個層次的內(nèi)涵。一是要標識出網(wǎng)絡(luò)系統(tǒng)由哪些部分組成，清晰地描述出各個部分的功能、目的和特點。二是要描述網(wǎng)絡(luò)各個組成部分之間的關(guān)系，如何將各個部分有機地結(jié)合在一起，形成完整的網(wǎng)絡(luò)系統(tǒng)，從而保證網(wǎng)絡(luò)有效地運轉(zhuǎn)，也就是將各個部分進行集成的方式或方法。根據(jù)教育部《教育管理信息化標準》的要求，校園網(wǎng)的總體建設(shè)目標包括：校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)是我們數(shù)字化校園的基礎(chǔ)，它的建設(shè)水平和效果直接影響到我們運行在校園網(wǎng)上的服務(wù)，影響到全校的教學(xué)、科研甚至影響到師生的日常生活。校園網(wǎng)的建設(shè)包括根據(jù)自身的應(yīng)用需求和特點進行校園網(wǎng)的體系結(jié)構(gòu)的設(shè)計，相關(guān)技術(shù)設(shè)備的選擇，網(wǎng)絡(luò)出口包括帶寬的選擇，設(shè)備之間拓撲關(guān)系的確定，集成、調(diào)試，應(yīng)用建設(shè)等關(guān)鍵環(huán)節(jié)，在這些環(huán)節(jié)當中也包含著對校園網(wǎng)絡(luò)安全的考慮與設(shè)計。近年的信息化建設(shè)，通過科研需求、教學(xué)應(yīng)用、網(wǎng)絡(luò)辦公、網(wǎng)上娛樂等應(yīng)用建設(shè)和使用，網(wǎng)絡(luò)應(yīng)用逐漸滲透到了校園生活的方方面面。上網(wǎng)備課，接收郵件，網(wǎng)絡(luò)聊天，游戲購物，校園用戶聯(lián)網(wǎng)的時間一天天延長。教育部科技發(fā)展中心公布的相關(guān)數(shù)據(jù)顯示，98.4%的高校教學(xué)、科研、行政辦公已經(jīng)全部聯(lián)入校園網(wǎng)，90.5%高校的教室已提供了校園網(wǎng)接入環(huán)境，74.35%的學(xué)校在學(xué)生宿舍已經(jīng)接入網(wǎng)絡(luò)，校園網(wǎng)覆蓋范圍正在逐步地擴大。同時各個高校的網(wǎng)絡(luò)應(yīng)用建設(shè)也是搞得風(fēng)風(fēng)火火，從原來的只提供部分特殊用戶的上網(wǎng)接入，只提供基本的Web和Mail服務(wù)發(fā)展到了增加網(wǎng)絡(luò)出口，增加帶寬，建設(shè)各部門和學(xué)院的二級站點乃至個人站點，Video視頻點播系統(tǒng)、IPTV網(wǎng)絡(luò)電視系統(tǒng)、各學(xué)科知識數(shù)據(jù)庫系統(tǒng)、教學(xué)、人事等業(yè)務(wù)系統(tǒng)，精品課程、網(wǎng)上錄播、監(jiān)控等多種應(yīng)用系統(tǒng)的建設(shè)?，F(xiàn)在各高校正制定各自的數(shù)字化校園的規(guī)劃，新一輪的校園網(wǎng)應(yīng)用建設(shè)和信息系統(tǒng)集成將展開，這對我們的校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。1.4.2校園網(wǎng)系統(tǒng)功能構(gòu)成校園網(wǎng)作為校園網(wǎng)絡(luò)信息平臺應(yīng)該由一個平臺和三個系統(tǒng)構(gòu)成，即系統(tǒng)管理平臺、校園公共信息系統(tǒng)、校園管理信息及辦公自動化系統(tǒng)、校園教-學(xué)資源庫系統(tǒng)。具體系統(tǒng)功能構(gòu)成見下圖1.4.3校園應(yīng)用管理平臺校園應(yīng)用系統(tǒng)管理平臺是一個可靠性高、安全性好、易管理的操作平臺。在此平臺上可輕松的實現(xiàn)用戶注冊、系統(tǒng)的備份和恢復(fù)、用戶權(quán)限的設(shè)置以及資源的調(diào)整、初始化等管理工作。通過使用Intranet/Internet技術(shù)以及先進的XML技術(shù)和B/S結(jié)構(gòu)，實現(xiàn)了與Internet的無縫連接。校園公共信息系統(tǒng)（Internet服務(wù)系統(tǒng)）主要用于校園公共信息的管理，是學(xué)校師生進行交流的場所，老師和學(xué)生通過公共信息系統(tǒng)將大大拓展信息交流的空間。作為大學(xué)的信息門戶，該系統(tǒng)為全校師生提供校園討論區(qū)（BBS）、校園聊天室、校園大事記、通知公告、信息發(fā)布等基礎(chǔ)信息服務(wù)。通過權(quán)限設(shè)置，實現(xiàn)角色化管理，年級、班級、興趣小組等各類角色都可以根據(jù)自己定制的需求去查詢、發(fā)布信息。校園管理信息系統(tǒng)用于支持學(xué)校日常管理的各項工作。用戶通過使用人事管理、教育教學(xué)管理、后勤管理、教學(xué)資源與應(yīng)用平臺、圖書館管理、生活管理、醫(yī)療管理等多個功能子系統(tǒng)可以方便快捷地處理各種復(fù)雜數(shù)據(jù)操作和文字錄入，完成各種校園信息數(shù)據(jù)的有效管理。校園辦公自動化針對校園辦公需求不僅實現(xiàn)了便捷保密的公文管理、檔案管理、信息交流，而且使每位老師、每個學(xué)生都擁有自己的信箱。教學(xué)資源庫系統(tǒng)提供一致的資源管理和使用方式，實現(xiàn)簡便精確的資源獲取與檢索，全面支持教學(xué)應(yīng)用，包括對各類教學(xué)軟件庫、教學(xué)網(wǎng)絡(luò)平臺、電子閱覽室等資源的分類、檢索和管理、多媒體教學(xué)、遠程教育等功能。1.4.4典型校園網(wǎng)拓撲結(jié)構(gòu)校園網(wǎng)的網(wǎng)絡(luò)體系結(jié)構(gòu)包括校園網(wǎng)的網(wǎng)絡(luò)邊界設(shè)備，核心及骨干設(shè)備，網(wǎng)絡(luò)接入層設(shè)備，網(wǎng)絡(luò)服務(wù)提供設(shè)備和這些設(shè)備的連接方式以及該結(jié)構(gòu)采用的協(xié)議及技術(shù)。當前的校園網(wǎng)多采用1000M以太網(wǎng)主干技術(shù)，1000M或100M到樓，100M或10M到桌面，部分區(qū)域采用無線接入技術(shù)（802.11）實現(xiàn)無線接入。校園網(wǎng)絡(luò)一般有邊界路由器，高性能的核心路由交換機，各分布層的三層路由交換機，大量的二層可網(wǎng)管接入交換機，以及防火墻，IDS（或IPS），內(nèi)容過濾系統(tǒng)，流量分析系統(tǒng)，網(wǎng)絡(luò)設(shè)備管理系統(tǒng)等網(wǎng)絡(luò)硬件設(shè)備。校園網(wǎng)多采用星形拓撲結(jié)構(gòu)，常見的校園網(wǎng)拓撲結(jié)構(gòu)如圖1-2圖1-2校園網(wǎng)拓撲結(jié)構(gòu)1.4.5校園網(wǎng)的建設(shè)目標網(wǎng)絡(luò)安全（NetworkSecurity）是抵御內(nèi)部和外部各種形式的威脅，以確保網(wǎng)絡(luò)的安全的過程。為了深入徹底地理解什么是網(wǎng)絡(luò)安全，必須理解網(wǎng)絡(luò)安全旨在保護的網(wǎng)絡(luò)上所面臨的威脅，理解一個能夠用于阻止這些攻擊的主要機制也是非常重要的。通常，在網(wǎng)絡(luò)上實現(xiàn)最終的安全目標可通過下面的一系列步驟完成，每一都是為了澄清攻擊和阻止攻擊的保護方法之間的關(guān)系。下面的步驟是在一個站上建立和實現(xiàn)安全的方法：第1步確定要保護的是什么；第2步?jīng)Q定盡力保護它免于什么威脅；第3步?jīng)Q定威脅的可能性；第4步以一種劃算的方法實現(xiàn)保護資產(chǎn)的目的；第5步不斷地檢查這些步驟，每當發(fā)現(xiàn)一個弱點就進行改進。校園網(wǎng)絡(luò)系統(tǒng)需要實現(xiàn)以下安全目標：保護網(wǎng)絡(luò)系統(tǒng)的可用性；保護網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性；防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問；防范入侵者的惡意攻擊與破壞；保護信息通過網(wǎng)上傳輸過程中的機密性、完整性。二、校園網(wǎng)網(wǎng)絡(luò)安全問題現(xiàn)狀校園網(wǎng)在學(xué)校的日常活動中發(fā)揮著越來越重要的作用，與此同時，校園網(wǎng)的安全問題也越來越突出，網(wǎng)絡(luò)病毒，黑客入侵，管理不善等原因使得校園網(wǎng)絡(luò)面臨著嚴重的威脅。2.1網(wǎng)絡(luò)的開放性帶來的安全問題Internet的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計算機系統(tǒng)存在很多安全問題。為了解決這些安全問題，各種安全機制、策略、管理和技術(shù)被研究和應(yīng)用。然而，即使在使用了現(xiàn)有的安全工具和技術(shù)的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以包括為以下幾點:(1)安全機制在特定環(huán)境下并非萬無一失。比如防火墻，它雖然是一種有效的安全工具，可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往是無能為力的。因此，對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。(2)安全工具的使用受到人為因素的影響。一個安全工具能不能實現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當?shù)脑O(shè)置就會產(chǎn)生不安全因素。例如，WindowsXP在進行合理的設(shè)置后可以達到C級的安全性，但很少有人能夠?qū)indowsXP本身的安全策略進行合理的設(shè)置。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較，針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。(3)系統(tǒng)的后門是難于考慮到的地方。防火墻很難考慮到這類安全問題，多數(shù)情況下，這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺；比如說，眾所周知的ASP源碼問題，這個問題在IIS服務(wù)器4.0以前一直存在，它是IIS服務(wù)的設(shè)計者留下的一個后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進而對系統(tǒng)進行攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。2.2校園網(wǎng)網(wǎng)絡(luò)安全的主要威脅因素(1)軟件漏洞：每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地，一旦連接入網(wǎng)，將成為眾矢之的。(2)配置不當：安全配置不當造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網(wǎng)絡(luò)應(yīng)用程序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會被啟用。除非用戶禁止該程序或?qū)ζ溥M行正確配置，否則，安全隱患始終存在。(3)安全意識不強：用戶口令選擇不慎，或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅(4)病毒：目前數(shù)據(jù)安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機軟件、硬件的正常運行并且能夠自我復(fù)制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。因此，提高對病毒的防范刻不容緩。2.3校園網(wǎng)安全存在的缺陷2.3.1網(wǎng)絡(luò)自身的安全缺陷網(wǎng)絡(luò)是一個開放的環(huán)境,TCP/IP是一個通用的協(xié)議,即通過IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標識,基于IP地址進行多用戶的認證和授權(quán),并根據(jù)IP包中源IP地址判斷數(shù)據(jù)的真實和安全性,但該協(xié)議的最大缺點就是缺乏對IP地址的保護,缺乏對源IP地址真實性的認證機制,這就是TCP/IP協(xié)議不安全的根本所在。通過TCP/IP協(xié)議缺陷進行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協(xié)議攻擊、SYN攻擊等等。2.3.2網(wǎng)絡(luò)結(jié)構(gòu)、配置、物理設(shè)備不安全最初的互聯(lián)網(wǎng)只是用于少數(shù)可信的用戶群體,因此設(shè)計時沒有充分考慮安全威脅,互聯(lián)網(wǎng)和所連接的計算機系統(tǒng)在實現(xiàn)階段也留下了大量的安全漏洞。并且網(wǎng)絡(luò)使用中由于所連接的計算機硬件多,一些廠商可能將未經(jīng)嚴格測試的產(chǎn)品推向市場,留下大量安全隱患。同時,由于操作人員技術(shù)水平有限,所以在網(wǎng)絡(luò)系統(tǒng)維護階段會產(chǎn)生某些安全漏洞,盡管某些系統(tǒng)提供了一些安全機制,但由于種種原因使這些安全機制沒有發(fā)揮其作用。2.3.3內(nèi)部用戶的安全威脅系統(tǒng)內(nèi)部人員存心攻擊、惡作劇或無心之失等原因?qū)W(wǎng)絡(luò)進行破壞或攻擊的行為,將會給網(wǎng)絡(luò)信息系統(tǒng)帶來更加難以預(yù)料的重大損失。U盤、移動硬盤等移動介質(zhì)交叉使用和在聯(lián)接互聯(lián)網(wǎng)的電腦上使用,造成病毒交叉感染等等,都會給校園網(wǎng)絡(luò)帶來較大的安全威脅。特別是近年來利用ARP協(xié)議漏洞進行竊聽、流量分析、DNS劫持、資源非授權(quán)使用、植入木馬病毒不斷增加,嚴重影響了網(wǎng)絡(luò)安全。2.3.4軟件的漏洞一般認為,軟件中的漏洞和軟件的規(guī)模成正比,軟件越復(fù)雜其漏洞也就越多。在網(wǎng)絡(luò)系統(tǒng)運行過程中,由于操作系統(tǒng)自身不夠完善,針對系統(tǒng)漏洞本身的攻擊較多,且影響也較嚴重。目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標。2.3.5病毒的傳播網(wǎng)絡(luò)的發(fā)展使資源的共享更加方便，移動設(shè)備使資源利用顯著提高,但卻帶來病毒泛濫、網(wǎng)絡(luò)性能急劇下降,許多重要的數(shù)據(jù)因此受到破壞或丟失,也就是說,網(wǎng)絡(luò)在提供方便的同時，也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達”、“沖擊波”、“震蕩波”、“歡樂時光”、“熊貓燒香”的爆發(fā)無不使成千上萬的用戶受到影響。幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴峻。2.3.6各種非法入侵和攻擊由于校園網(wǎng)接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護比較薄弱,使得校園網(wǎng)成為易受攻擊的目標。非法入侵者有目的的破壞信息的有效性和完整性,竊取數(shù)據(jù),非法搶占系統(tǒng)控制權(quán)、占用系統(tǒng)資源。比如:漏洞、薄弱點掃描,口令破解;非授權(quán)訪問或在非授權(quán)和不能監(jiān)測的方式下對數(shù)據(jù)進行修改;通過網(wǎng)絡(luò)傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統(tǒng)資源導(dǎo)致授權(quán)的用戶不能獲得應(yīng)有的訪問或操作被延遲產(chǎn)生了拒絕服務(wù)等。三、校園網(wǎng)網(wǎng)絡(luò)安全問題解決方案3.1解決校園網(wǎng)安全問題的關(guān)鍵技術(shù)3.1.1密碼加密解密技術(shù)為了保護所傳輸?shù)臄?shù)據(jù)在傳遞過程中不被別人竊聽或修改，就必須對數(shù)據(jù)進行加密（加密后的數(shù)據(jù)稱為密文），這樣，即使別人竊取了數(shù)據(jù)（密文），由于沒有密鑰而無法將之還原成明文（未經(jīng)加密數(shù)據(jù)）,從而保證了數(shù)據(jù)的安全性，接收方因有正確的密鑰，因此可以將接收到的密文還原成正確的明文。密碼技術(shù)主要有對稱加密和非對稱加密兩種。1.對稱加密算法對稱密碼體制也稱為私鑰加密法。從一定意義上說，密碼學(xué)的基本目的是保護隱私。也就是使通信雙方通過某一不安全的信道傳遞信息時，只有對方才能破譯這一信息。在過去，這一愿望是通過私鑰密碼體制來實現(xiàn)的。私鑰密碼體制是一種傳統(tǒng)密碼體制，在過去，最有代表性的私鑰密碼體制有Caesar、Hill、Vigenere等。而當代最有代表性的有：DES、AES、IDEA、RC5等，它們的安全性都是基于復(fù)雜的數(shù)學(xué)運算。若以M表示所有的明文信息，C表示密文信息，K是所有的密鑰。則私鑰密碼體制是由這樣一組函數(shù)對構(gòu)成的：Ek:M→CDk:C→M,k∈K在這里，對于所有的m∈M及k∈K，都有Dk(Ek(m))=M。使用這一體制時，通信的雙方A和B需要事先達成某一秘密鑰k∈K，他們可以通過直接會晤或者可以信賴的信使來互相得到對方的秘密鑰。之后，若A想發(fā)送一組明文給B，他傳送的是密文信息C∈Ek(m)。根據(jù)C，B通過解碼函數(shù)Dk復(fù)原信息。顯而易見，解碼系統(tǒng)應(yīng)當具有的特點是：Dk和Ek易于應(yīng)用以及在第三方了解除選用密鑰的方法之外的保密系統(tǒng)的信息之后，仍然不可能根據(jù)C得到M（或k）。這種方法已經(jīng)使用幾個世紀了,收發(fā)加密信息雙方使用同一個私鑰對信息進行加密和解密。在對稱密碼體制中,使用的加密算法比較簡便高效,密鑰簡短,破譯極其困難,因而保密性能良好,如DES。但是密鑰長度不夠,無論如何是對它們構(gòu)成威脅,且密鑰使用一段時間后就要更換,加密方每次啟動新密時,都要經(jīng)過某種秘密渠道把密鑰傳給解密方,而密鑰在傳遞過程中容易泄漏;網(wǎng)絡(luò)通信時,如果網(wǎng)內(nèi)所有用戶都使用同樣的密鑰,那就失去了保密的意義。但如果網(wǎng)內(nèi)任意兩個用戶通信時都使用互不相同的密鑰,n個通信成員就要使用N(N-1)/2個密鑰,因此,密鑰量太大,難以進行管理;無法滿足互不相識的人進行私人談話時的保密性要求,在Internet中,有時素不相識的兩方需要傳送加密信息;難以解決數(shù)字簽名驗證的問題。（1）對稱密鑰算法特性該算法最方便的區(qū)別就是分組密碼和序列密碼,如圖2-1和圖2-2。分組密碼和序列密碼之間的正式區(qū)別在于序列密碼是按其在數(shù)據(jù)序列中的位置加密每個比特;而分組密碼則同等對待每個分組,它不考慮之前出現(xiàn)了什么。這種區(qū)別對實際通信有著重大的影響。如果差錯發(fā)生在傳輸期間,則用二進制序列密碼加密的數(shù)據(jù)會恰好在發(fā)生傳輸差錯的脫密正文中出現(xiàn)差錯。而如果用分組密碼,則傳輸中的一個單獨比特的差錯就會釀成完全隨機的相應(yīng)脫密分組。實際上,一般不采用分組密碼連續(xù)加密分離的數(shù)據(jù)分組,而采用分組密碼作為序列密碼的二進制密鑰序列產(chǎn)生器。最有代表性對稱加密算法是DES(數(shù)據(jù)加密標準),其工作原理為:將明文分割成許多64位大小的塊,每個塊用64位密鑰進行加密,實際上,密鑰由56位數(shù)據(jù)位和8位奇偶校驗位組成,因此只有256個可能的密碼而不是264個。每塊先用初始置換方法進行加密,再連續(xù)進行16次復(fù)雜的替換,最后再對其施用初始置換的逆。第i步的替換并不是直接利用原始的密鑰K,而是由K與i計算出的密鑰Ki。而日本發(fā)明的FEAL算法(快速加密算法)、澳大利亞堪培拉國防學(xué)院首創(chuàng)的LOKI算法和瑞士索洛圖恩實驗室提出的IDEA算法(國際數(shù)據(jù)加密標準算法)三種算法的分組長度都是64比特,這使得他們在很多應(yīng)用場合都能同DES兼容。不過,它們的密鑰長度都比DES長,FEAL和LOKI的密鑰長度64比特,而IDEA的密鑰長度128比特。（2）對稱密碼算法存在的問題像上面介紹的私有密碼體制中指出的那樣，私有密碼體制在實現(xiàn)數(shù)據(jù)加密解密的運算速度上很快，它是基于復(fù)雜的數(shù)學(xué)運算的，在實際應(yīng)用中滿足了許多應(yīng)用要求，但是，私有密碼體制存在以下幾方面存在缺點：①密鑰分布問題。如上所述，傳送信息的雙方在不安全的信道上交流之前，需要預(yù)先選定某一秘密鑰。在某些情況下，選用秘密鑰的秘密信道是不存在的。②密鑰管理問題。對于有n個網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)系統(tǒng)來講，每一對用戶之間存在著一個秘密鑰，總共需要n(n1)/2個秘密鑰。如果系統(tǒng)比較大的話，密鑰則會因為變得太大而不容易管理。③難以實現(xiàn)數(shù)字簽名。數(shù)字簽名是手寫體的電子信號，它可以使信息的收到方向第三者確認該條信息是從發(fā)送者傳送來的。在一個私鑰密碼系統(tǒng)中，A和B雙方具有相同的加密和解密能力，也就是說B無法向第三方證明來自A的信息確實是由A發(fā)出的。④密鑰難以傳輸。私鑰密碼體制的解密密鑰和加密密鑰相同或容易從加密密鑰導(dǎo)出，因而加密密鑰的暴露會使系統(tǒng)變得不安全。私鑰密碼體制的一個嚴重缺陷是在任何密文傳輸之前，發(fā)送者和接收者必須使用一個安全信道預(yù)先傳送密鑰，在實際應(yīng)用中這一點是很難做到的。例如，假定發(fā)送者和接收者之間的距離很遠，他們要使用電子郵件來通信，在這種情況下，通信雙方可能沒有合理的安全信道。2.非對稱加密算法自從1976年公鑰密碼的思想提出以來，國際上已經(jīng)提出了許多種公鑰密碼體制，如基于大整數(shù)因子分解問題的RSA體制和Rabin體制、基于有限域上的離散對數(shù)問題的Diffie-Hellman公鑰體制和ElGamal體制、基于橢圓曲線上的離散對數(shù)問題的Diffie-Hellman公鑰體制和ElGamal體制、基于背包問題的Merkle-Hellman體制和Chor-Rivest體制、基于代數(shù)編碼理論的MeEliece體制、基于有限自動機理論的公鑰體制等等。非對稱算法特性該加密方式在信息的加密與解密中,使用“公開密鑰”與“私有密鑰”對,這個密鑰對由解密者(即信息的接收者)做成,“公開密鑰”作為對信息進行加密的密鑰,對發(fā)送者發(fā)布,同時接收者保管好解密所需要的“私有密鑰”。在這里,利用公開密鑰加密的信息只能通過私有密鑰解密,但不能根據(jù)公開密鑰推測私有密鑰,所以可以在經(jīng)由第三者的環(huán)境中發(fā)布公開密鑰。如果用戶A要給用戶B傳送秘密信息ｍ,則A首先應(yīng)從公開鑰本上查到B的公開鑰,并形成B的加密算法EB,用EB對明文ｍ加密編碼,得到密文:C=EB(m),再將C發(fā)送給B。用戶B在接收到密文C后,就可以用自己的密鑰所確定的解密算法DB來恢復(fù)明文:ｍ＝DB(C)＝DB（EB（ｍ））,這就是一般公開密鑰密碼系統(tǒng)的加密、解密過程。由此可見,一方面,公開密鑰密碼系統(tǒng)使得任何人都可用其他用戶U公開的加密密鑰K給該用戶發(fā)送經(jīng)公開加密算法ＥＫ加密的信息,而不必事先分配和保管傳統(tǒng)密碼系統(tǒng)所需的大量密鑰;另一方面,當加密、解密變換可交換時,即EkDk＝DkEk,由于僅由用戶U自己才具有唯一的一個解密密鑰K,對某一有意義的信息,經(jīng)過用戶U的解密算法Dk變換后的結(jié)果,就可以用用戶U公開的加密算法Ek變換以恢復(fù)原來的信息。而用不同于Dk的解密算法對原信息作變換后的結(jié)果,經(jīng)用戶E的加密算法Ek變換后均不能產(chǎn)生有意義的信息。在此情況下,該公開密碼系統(tǒng)就給用戶用戶U提供了對信息進行簽名和身份驗證的功能。(2)非對稱算法存在的問題公鑰密碼體制采用的加密密鑰（公開鑰）和解密密鑰（秘密鑰）是不同的。由于加密密鑰是公開的，密鑰的分配和管理就很簡單，而且能夠很容易地實現(xiàn)數(shù)字簽名，因此最適合于電子商務(wù)應(yīng)用的需要。但在實際應(yīng)用中，公鑰密碼體制并沒有完全取代私鑰密碼體制，這是因為公鑰密碼體制在應(yīng)用中存在以下幾個缺點：①公鑰密碼是基于尖端的數(shù)學(xué)難題，計算非常復(fù)雜，它的速度遠比不上私鑰密碼體制。②公鑰密碼中要將相當一部分密碼信息予以公布，勢必對系統(tǒng)產(chǎn)生影響。③在公鑰密碼中，若公鑰文件被更改，則公鑰被攻破。3.1.2防火墻技術(shù)防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間建起一道屏障，并決定哪些內(nèi)部資源可以被外界訪問，哪些外部服務(wù)可以被內(nèi)部人員訪問的設(shè)備。內(nèi)部網(wǎng)和外部網(wǎng)之間傳輸?shù)乃行畔⒍家?jīng)過防火墻的檢查，只有授權(quán)的數(shù)據(jù)才能通過。防火墻大致可分為兩大體系:包過濾防火墻和代理防火墻。包過濾防火墻是以Checkpoint防火墻和Cisco公司的PIX防火墻為代表，代理防火墻是以NAI公司的Gauntlet防火墻為代表。包過濾防火墻包過濾(PacketFiltering)防火墻技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行過濾，過濾的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制列表(AcessControlTable)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。實現(xiàn)原理如圖2-3所示。①可以實現(xiàn)包過濾防火墻的費用開銷較低，因為一般的路由器都可以提供包過濾功能。②包過濾防火墻在一般情況下僅僅是檢查數(shù)據(jù)包頭，而不是實現(xiàn)對整個數(shù)據(jù)的檢測，所以處理速度上占有一定的優(yōu)勢。包過濾防火墻的缺點：①定義數(shù)據(jù)包過濾器比較復(fù)雜，需網(wǎng)管員對各種Internet服務(wù)、包頭格式以及每種協(xié)議數(shù)據(jù)包中的每個域的意義有深入的理解。②允許數(shù)據(jù)包直接通過防火墻這道屏障，任何直接經(jīng)過防火墻的數(shù)據(jù)包都存在被用做數(shù)據(jù)驅(qū)動式攻擊的潛在危險。數(shù)據(jù)驅(qū)動式攻擊從表面上來看是由路由器轉(zhuǎn)發(fā)到內(nèi)部主機上沒有危害的數(shù)據(jù)組成，實際上該數(shù)據(jù)包括一些隱藏的指令，可以通過修改訪問控制列表和與安全有關(guān)的文件，使得入侵者獲得對系統(tǒng)的訪問權(quán)。③包過濾器無法對網(wǎng)絡(luò)上流動的信息進行全面的控制。包過濾路由器能夠允許或拒絕特定的服務(wù)，但是不能理解特定服務(wù)的上下文環(huán)境。2.代理防火墻代理防火墻采用代理（Proxy）技術(shù)參與TCP連接的全過程，這樣從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過防火墻處理后，就象來自于防火墻外部網(wǎng)卡一樣，從而達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的目的。代理防火墻被公認為是最安全的防火墻，其核心技術(shù)就是代理服務(wù)器技術(shù)。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定服務(wù)編寫的安全化應(yīng)用程序進行處理，然后由防火墻本身提交請求和應(yīng)答，不給內(nèi)外網(wǎng)絡(luò)的計算機任何直接會話的機會，從而避免入侵者采用數(shù)據(jù)驅(qū)動的攻擊方式入侵內(nèi)部網(wǎng)，所以說代理防火墻最突出的優(yōu)點就是安全。實現(xiàn)原理如圖2-4所示。代理防火墻技術(shù)是近年來商業(yè)應(yīng)用中效果最好的防火墻技術(shù)。該技術(shù)結(jié)合了代理類型防火墻安全性好和包過濾防火墻速度高的優(yōu)點，在不損失安全性的基礎(chǔ)上將防火墻的性能提高了10倍以上。包過濾防火墻和代理防火墻代表了當今防火墻產(chǎn)品中的兩種主流類型。它們在性能方面各有所長，但是兩大流派并非勢不兩立。為了提高產(chǎn)品競爭力，各廠商正在相互融合。代理防火墻的優(yōu)點如下：①代理防火墻內(nèi)置了一些為提高安全性而編制的Proxy應(yīng)用程序。這些應(yīng)用程序能夠透徹地理解每一個相關(guān)服務(wù)命令，對來往數(shù)據(jù)包進行安全化處理，第三章網(wǎng)絡(luò)安全技術(shù)研究而不是簡單地中繼數(shù)據(jù)。②代理防火墻不允許數(shù)據(jù)包直接通過防火墻，可以隱藏內(nèi)部服務(wù)器和客戶機的實際IP和身份，避免數(shù)據(jù)驅(qū)動式攻擊的發(fā)生。代理防火墻的缺點如下：①Internet服務(wù)在不斷增加，為了讓這些類型的服務(wù)通過防火墻而又不失代理防火墻的高級別的安全性，代理防火墻廠商必須不斷推出相應(yīng)于每一種新服務(wù)的新的代理應(yīng)用程序。這就要求廠商有足夠的研發(fā)能力和整體實力，以及具有一個代理應(yīng)用程序相當完備的防火墻產(chǎn)品。②代理防火墻中的代理應(yīng)用程序要對來往數(shù)據(jù)進行細的檢查和審計，對計算機的性能上有一定的要求。對于運行ATM或千兆位以太網(wǎng)等高速網(wǎng)絡(luò)的環(huán)境之間架設(shè)防火墻的情況下，則除了提高防火墻機器的配置之外，還要通過防火墻陣列等方式來提高處理速度。3.1.3防病毒技術(shù)1.計算機病毒的機理計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒是人為利用計算機硬件固有的脆弱性，編制的具有某些特殊功能的程序。它目的在于利用各種途徑和方法侵入計算機系統(tǒng)，伺機觸發(fā)運行，實施破壞和傳染。有些病毒所引起的后果僅僅是磁盤空間的損失；有些病毒在其侵入過程中破壞程序，留下一個感染過的無法使用的程序文件；有些病毒則有可能造成整個系統(tǒng)癱瘓。計算機病毒的種類很多，對病毒代碼進行分析、比較可看出，它們的主要結(jié)構(gòu)是類似的，有其共同特點。病毒代碼主要包含三部分:引導(dǎo)部分、傳染部分和表現(xiàn)部分。（1）引導(dǎo)部分引導(dǎo)部分的作用是將病毒主體加載到內(nèi)存，為傳染部分做準備(如駐留內(nèi)存，修改中斷，修改高端內(nèi)存，保存原中斷向量等操作。（2）傳染部分傳染部分的作用是將病毒代碼復(fù)制到傳染目標上去。不同類型的病毒在傳染方式，傳染條件上各有不同。（3）表現(xiàn)部分表現(xiàn)部分是病毒間差異最大的部分，前兩個部分也是為這部分服務(wù)的。病毒一般是在一定條件才會觸發(fā)其表現(xiàn)部分的。如:以時鐘、計數(shù)器作為觸發(fā)條件的或用鍵盤輸入特定字符來觸發(fā)的。這一部分也是最為靈活的部分，這部分根據(jù)編制者的不同目的而千差萬別，或者根本沒有這部分。2.計算機病毒的特點計算機病毒的特點很多，主要由于計算機病毒發(fā)展迅速，種類繁多等因素決定的。計算機病毒具有可執(zhí)行性、傳染迅速性、潛伏性、可觸發(fā)性、破壞性的等。隨著網(wǎng)絡(luò)病毒技術(shù)的不斷提高，有表現(xiàn)出新的特點：（1）技術(shù)更加復(fù)雜化現(xiàn)在很多病毒和其他技術(shù)混合使用。某些病毒及普通病毒、蠕蟲、木馬和黑客等技術(shù)于一身，具有混合型特征，破壞性極強。（2）傳播途徑廣很多傳播途徑多，擴散速度快。很多病毒與Internet和Intranet緊密結(jié)合，通過系統(tǒng)漏洞、局域網(wǎng)、網(wǎng)頁、郵件等方式進行傳播，擴散速度極快。目前此類病毒已有20種之多。（3）欺騙性很多病毒利用人們的好奇心理，往往具有很強的誘惑性和欺騙性，使得它更容易傳染，如“庫爾尼科娃”病毒即是利用網(wǎng)壇美女庫爾尼科娃的魅力。（4）頻繁性很多病毒出現(xiàn)頻度高，病毒生成工具多。早期的計算機病毒都是編程高手制作的，編寫病毒是為了顯示自己的技術(shù)，但庫爾尼科娃病毒的設(shè)計者只是修改了下載的VBS蠕蟲孵化器變生成了該病毒。這種工具在網(wǎng)絡(luò)上很容易就可以獲得，因此新病毒的出現(xiàn)頻度超出以往的任何時候。3．計算機病毒防治技術(shù)計算機病毒防治技術(shù)很多，常見的技術(shù)有：（1）特征碼掃描技術(shù)特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。（2）虛擬執(zhí)行技術(shù)虛擬執(zhí)行技術(shù)是通過虛擬執(zhí)行方法查殺病毒，可以對付加密、變形、異型及病毒生產(chǎn)機生產(chǎn)的病毒。（3）文件實時監(jiān)控技術(shù)通過利用操作系統(tǒng)底層接口技術(shù)，對系統(tǒng)中的所有類型文件或指定類型的文件進行實時的行為監(jiān)控，一旦有病毒傳染或發(fā)作時就及時報警。（4）防病毒技術(shù)智能引擎技術(shù)口智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。文件實時監(jiān)控、內(nèi)存實時監(jiān)控、腳本實時監(jiān)控、郵件實時監(jiān)控、注冊表實時監(jiān)控。嵌入式殺毒技術(shù)是對病毒經(jīng)常攻擊的應(yīng)用程序或?qū)ο筇峁┲攸c保護的技術(shù)，它利用操作系統(tǒng)或應(yīng)用程序提供的內(nèi)部接口來實現(xiàn)。它對使用頻度高、使用范圍廣的主要的應(yīng)用軟件提供被動式的防護。（5）病毒免疫技術(shù)病毒免疫技術(shù)一直是反病毒專家研究的熱點，它通過加強自主訪問控制和設(shè)置磁盤禁寫保護區(qū)來實現(xiàn)病毒免疫的基本構(gòu)想。3.1.4入侵檢測技術(shù)入侵行為主要是指對系統(tǒng)資源的非授權(quán)使用，它可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞以及系統(tǒng)拒絕合法用戶的服務(wù)請求等。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。違反安全策略的行為有：入侵——非法用戶的違規(guī)行為；濫用——用戶的違規(guī)行為。利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。入侵檢測系統(tǒng)可在系統(tǒng)發(fā)生危害前檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加到知識庫內(nèi)，以增強系統(tǒng)的防范能力。入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測與專家系統(tǒng)。據(jù)公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心的報告，國內(nèi)送檢的入侵檢測產(chǎn)品中95%是屬于使用入侵模板進行模式匹配的特征檢測產(chǎn)品，其他5%是采用概率統(tǒng)計的統(tǒng)計檢測產(chǎn)品與基于日志的專家知識庫系統(tǒng)產(chǎn)品。（1）特征檢測特征檢測對已知的攻擊或入侵的方式做出確定性的描述，形成相應(yīng)的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。該方法預(yù)報檢測的準確率較高，但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。（2）統(tǒng)計檢測統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數(shù)包括:審計事件的數(shù)量、間隔時間、資源消耗情況等。統(tǒng)計方法的最大優(yōu)點是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機會通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。（3）專家系統(tǒng)用專家系統(tǒng)對入侵進行檢測，經(jīng)常是針對有特征入侵行為。所謂的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)〔也可以是復(fù)合結(jié)構(gòu))，條件部分為入侵特征，then部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。3.1.5數(shù)據(jù)備份技術(shù)數(shù)據(jù)是比網(wǎng)絡(luò)本身還寶貴的資源，因此提高數(shù)據(jù)的安全性和可用性是安全技術(shù)需要解決的重要問題之一。數(shù)據(jù)備份和災(zāi)難恢復(fù)都屬于數(shù)據(jù)備份和恢復(fù)范疇，其分界點就是看災(zāi)難的大小。容災(zāi)級別可高可低，系統(tǒng)投資可大可小。一個全面的容災(zāi)解決方案應(yīng)該包括數(shù)據(jù)復(fù)制這個核心產(chǎn)品，還應(yīng)有一個遠離本地的容災(zāi)場地，即數(shù)據(jù)備份中心，在中心內(nèi)有服務(wù)器、磁盤陣列等硬件設(shè)施；軟件方面有數(shù)據(jù)復(fù)制軟件，還應(yīng)有集群架構(gòu)和遠程切換的管理措施，能夠保證突發(fā)事件發(fā)生后，數(shù)據(jù)能夠即時被恢復(fù)，系統(tǒng)在最短的時間內(nèi)恢復(fù)正常運行。數(shù)據(jù)并非備份就可以高枕無憂，應(yīng)定期進行測試、恢復(fù)，保證遇到突發(fā)事件后備份數(shù)據(jù)的可用性，測試是很重要的。數(shù)據(jù)備份目的是為了恢復(fù)。因此，客戶需要對數(shù)據(jù)備份和恢復(fù)系統(tǒng)有一個管理計劃?？偠灾?，應(yīng)當時刻警惕突發(fā)事件的發(fā)生，做好數(shù)據(jù)備份，做到防患于未然，在災(zāi)難發(fā)生時能夠做到即時恢復(fù)，保護好信息數(shù)據(jù)。目前最先進的數(shù)據(jù)備份技術(shù)是基于網(wǎng)絡(luò)的備份系統(tǒng)。理想的備份系統(tǒng)應(yīng)該是全方位、多層次的。網(wǎng)絡(luò)存儲備份管理系統(tǒng)對整個網(wǎng)絡(luò)的數(shù)據(jù)進行管理。利用集中式管理工具的幫助，系統(tǒng)管理員可對全網(wǎng)的備份策略進行統(tǒng)一管理，備份服務(wù)器可以監(jiān)控所有機器的備份作業(yè)，也可以修改備份策略，并可即時瀏覽所有目錄。所有數(shù)據(jù)可以備份到同備份服務(wù)器或應(yīng)用服務(wù)器相連的任意一臺磁帶庫內(nèi)。一個完整的數(shù)據(jù)備份和災(zāi)難恢復(fù)方案，應(yīng)包括備份硬件、備份軟件、備份計劃和災(zāi)難恢復(fù)計劃四個部分。（1）備份硬件丟失數(shù)據(jù)有三種可能：人為的錯誤、漏洞和病毒、設(shè)備失靈。解決數(shù)據(jù)丟失的方法包括硬盤介質(zhì)存儲、光學(xué)介質(zhì)和磁帶／磁帶機存儲技術(shù)。與磁帶／磁帶機存儲技術(shù)和光學(xué)介質(zhì)備份相比，硬盤存儲所需費用是極其昂貴的。磁盤存儲技術(shù)雖然可以提供容錯性解決方案，但容錯卻不能抵御用戶的錯誤和病毒。一旦兩個磁盤在短時間內(nèi)失靈，在一個磁盤重建之前，不論是磁盤鏡像還是磁盤雙工都不能提供數(shù)據(jù)保護。因此，在大容量數(shù)據(jù)備份方面，采用硬盤作為備份介質(zhì)并不是最佳選擇。與硬盤備份相比，雖然光學(xué)介質(zhì)備份提供了比較經(jīng)濟的存儲解決方案，但它們所用的訪問時間要比硬盤長2到6倍，并且容量相對較小。當備份大容量數(shù)據(jù)時，所需光盤數(shù)量大：雖保存的持久性較長，但整體可靠性較低。所以光學(xué)介質(zhì)也不是大容量數(shù)據(jù)備份的最佳選擇。在大容量備份方面，磁帶機所具有的優(yōu)勢是：容量大并可靈活配置、速度相對適中、介質(zhì)保存長久，存儲時間超過30年、成本較低、數(shù)據(jù)安全性高、可實現(xiàn)無人操作的自動備份等。所以一般來說，磁帶設(shè)備是大容量網(wǎng)絡(luò)備份用戶的主要選擇。（2）備份軟件雖然己有用戶在網(wǎng)絡(luò)中運用到大容量備份設(shè)備，但大多數(shù)用戶還沒有意識到備份軟件的重要性。重要原因是許多人對備份知識和備份手段缺乏了解。他們所知道的備份軟件無非是網(wǎng)絡(luò)操作系統(tǒng)附帶提供的備份功能，但對如何正確使用專業(yè)的備份軟件卻知之甚少。備份軟件主要分兩大類：一是各個操作系統(tǒng)廠商在軟件內(nèi)附帶的，如NetWare操作系統(tǒng)的“Backup”功能、NT操作系統(tǒng)的“NTBackup”等；二是各個專業(yè)廠商提供的全面的專業(yè)備份軟件。對于備份軟件的選擇，不僅要注重使用方便、自動化程度高，還要有好的擴展性和靈活性。同時，跨平臺的網(wǎng)絡(luò)數(shù)據(jù)備份軟件能滿足用戶在數(shù)據(jù)保護、系統(tǒng)恢復(fù)和病毒防護方面的支持。（3）備份計劃災(zāi)難恢復(fù)的先決條件，是要做好備份策略及恢復(fù)計劃。日常備份計劃描述每天的備份以什么方式進行、使用什么介質(zhì)、什么時間進行以及系統(tǒng)備份方案的具體實施細則。在計劃制訂完畢后，應(yīng)嚴格按照程序進行日常備份，否則將無法達到備份的目的。在備份計劃中，數(shù)據(jù)備份方式的選擇是主要的。目前的備份方式主要有全備份、增量備份和差分備份。全備份所需時間最長，但恢復(fù)時間最短，操作最方便，當系統(tǒng)中數(shù)據(jù)量不大時，采用全備份最可靠。增量備份和差分備份所需的備份介質(zhì)和備份時間都會少一些，但是恢復(fù)起來要比全備份麻煩一些。用戶根據(jù)自身業(yè)務(wù)對備份窗口和災(zāi)難恢復(fù)的要求，應(yīng)該進行不同的選擇，這幾種備份方式進行組合應(yīng)用，以得到更好的效果。（4）災(zāi)難恢復(fù)災(zāi)難恢復(fù)措施在整個備份中占有相當重要的地位。因為它關(guān)系到系統(tǒng)、軟件與數(shù)據(jù)在經(jīng)歷災(zāi)難后能否快速、準確地恢復(fù)。全盤恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難，導(dǎo)致數(shù)據(jù)全部丟失、系統(tǒng)崩潰或是有計劃的系統(tǒng)升級、系統(tǒng)重組等情況，也稱為系統(tǒng)恢復(fù)。3.2校園網(wǎng)網(wǎng)絡(luò)安全對策分析校園網(wǎng)安全問題愈來愈突出的同時，校園網(wǎng)安全的對策也越來越引起人們的關(guān)注。本章重點討論校園網(wǎng)的安全策略，并在此基礎(chǔ)上簡要地說明校園網(wǎng)安全體系結(jié)構(gòu)的構(gòu)建，以及校園網(wǎng)網(wǎng)絡(luò)安全體系的內(nèi)容，校園網(wǎng)安全問題對策所用到的關(guān)鍵技術(shù)。3.2.1校園網(wǎng)絡(luò)安全策略概述隨著網(wǎng)絡(luò)應(yīng)用的開展，要建立一個安全的網(wǎng)絡(luò)體系，首先應(yīng)花較大的精力制定周密的網(wǎng)絡(luò)安全策略，這是最重要的一步。在網(wǎng)絡(luò)安全的實施中，技術(shù)只是手段，還應(yīng)該先對網(wǎng)絡(luò)安全管理有個清晰的概念，然后制定翔實的安全策略，最后才是選擇合適的產(chǎn)品用以具體實施和構(gòu)建安全系統(tǒng)。要建設(shè)一個安全的網(wǎng)絡(luò)安全體系，必須采取相應(yīng)的策略，根據(jù)實際的需求不同，采取的策略可能有一些不同之處，但大都包括下述策略。3.2.2網(wǎng)絡(luò)安全系統(tǒng)策略的制定物理安全的目的是保護路由器、交換機、工作站、各種網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊;確保網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容工作環(huán)境;妥善保管備份磁帶和文檔資料;防止非法人員進入機房進行破壞活動。采用網(wǎng)絡(luò)隔離手段可有效減小信息的傳播面，從而增加信息的安全性。應(yīng)根據(jù)業(yè)務(wù)劃分、保密要求等因素的差異將網(wǎng)絡(luò)進行分段隔離，它可從底層有效地控制信號傳播途徑及傳播范圍，實現(xiàn)更為細化的安全控制體系，將攻擊和入侵造成的威脅限制在較小的子網(wǎng)內(nèi)，提高網(wǎng)絡(luò)整體的安全水平。路由器、虛擬局域網(wǎng)(VLAN)、防火墻是當前主要的網(wǎng)絡(luò)分段手段。在經(jīng)費允許范圍內(nèi)，盡可能選用安全級別較高的網(wǎng)絡(luò)操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)，以安全套件加固TCP/IP各層。如因受客觀條件限制，難以對網(wǎng)絡(luò)操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)進行選擇，則其他核心軟件，如防火墻、入侵檢測、網(wǎng)絡(luò)安全漏洞掃描軟件等應(yīng)盡可能地選用經(jīng)國家網(wǎng)絡(luò)安全權(quán)威機構(gòu)評審?fù)ㄟ^的優(yōu)秀國產(chǎn)軟件。最小授權(quán)原則指網(wǎng)絡(luò)中賬號設(shè)置服務(wù)配置主機間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運行所需的最小限度。關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時刪除不必要的賬號等措施可以將系統(tǒng)的危險性大大降低。在網(wǎng)絡(luò)安全中，除了采用技術(shù)措施之外，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)安全、可靠地運行將起到十分有效的作用。規(guī)章制度作為一項核心內(nèi)容，應(yīng)始終貫穿于系統(tǒng)的安全生命周期。一般來說，安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務(wù)存在沖突的時候，網(wǎng)絡(luò)安全往往會作出讓步，或許正是由于一個細微的讓步，最終導(dǎo)致了整個系統(tǒng)的崩潰。因此，嚴格執(zhí)行安全管理制度是網(wǎng)絡(luò)可靠運行的重要保障。3.3校園網(wǎng)安全管理和維護的措施與建議3.3.1配置高性能的防火墻產(chǎn)品防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般來說,防火墻設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間。防火墻相當于分析器,可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù),防火墻也可以在網(wǎng)絡(luò)層和傳輸層運行,根據(jù)預(yù)先設(shè)計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。所以對防火墻作好安全設(shè)置,設(shè)定恰當?shù)脑L問控制策略,保障網(wǎng)絡(luò)資源不被非法使