校園網安全設計與實現(xiàn)

STYLEREF"標題1"參考文獻北京工業(yè)職業(yè)技術學院畢業(yè)設計PAGE20PAGE19北京工業(yè)職業(yè)技術學院畢業(yè)設計說明書班級:計算機應用技術0631姓名:郭玉龍設計題目:校園網安全設計與實現(xiàn)設計時間:5月1號至5月14號指導教師:史銀龍

摘要當前,網絡技術飛速發(fā)展，它正以不可替代的趨勢影響著人們的生活和工作，給人類帶來高效和快捷，校園網的建成，使學校實現(xiàn)了管理網絡化和教學手段現(xiàn)代化，這對于提高學校的管理水平和教學質量具有十分重要的意義。但是，由于網絡不安全狀態(tài)的存在，校園網數據丟失、系統(tǒng)被修改或癱瘓的事情仍有發(fā)生，這對于建立一個安全，穩(wěn)定高效的校園系統(tǒng)時，網絡安全成為一個非常重要的環(huán)節(jié)。隨著網絡技術的迅猛發(fā)展，校園網迅速發(fā)展和普及，在學校日常工作學習和管理中發(fā)揮了至關重要的作用。但隨著網絡的普及，其安全問題也日益突出。如何讓校園網正常高效的運行，充分發(fā)揮其教學、管理和服務等功能，已成為不可忽視的一個問題。本文著重分析了如今校園網中存在的安全隱患，從技術、設備、管理等多方面提出了改進和解決的方案，希望能對校園網的安全管理有所幫助，為師生創(chuàng)造一個安全、高效、干凈的上網環(huán)境。關鍵字：校園網攻擊威脅安全防火墻

目錄摘要……………..21.緒論…………21.1研究背景…………21.2課題的提出1.3課題的設計目標與內容1.4課題的研究意義1.4論文結構安排2.互聯(lián)網現(xiàn)狀和安全分析2.1互聯(lián)網現(xiàn)狀2.2互聯(lián)網安全和缺陷分析2.2.1互聯(lián)網的開放性2.2.2自身的脆弱性2.2.3攻擊的普遍性2.2.4管理的困難性3.校園網安全現(xiàn)狀與安全分析3.1校園網網絡結構和應用系統(tǒng)概述3.2校園網網絡特點3.3校園網安全現(xiàn)狀3.4校園網安全威脅分析3.5校園網攻擊常用手段4校園網絡安全策略4.1物理安全策略4.2訪問控制策略4.3防火墻控制策略4.4信息加密策略4.5網絡入侵檢測技術4.6備份和鏡像技術4.7有害信息的過濾4.8網絡安全管理規(guī)范5.校園網安全防御的措施5.1網絡防火墻5.2采用入侵檢測系統(tǒng)5.3漏洞掃描系統(tǒng)5.4網絡病毒的防范5.5利用網絡監(jiān)聽維護子網系統(tǒng)安全5.6安全審計管理結論參考文獻

1.緒論1.1研究背景經過多年的信息化建設之后,國內大多數高校基本上都建成了自己的校園網。但隨著其應用的深入，校園網絡的安全問題也逐漸突出，直接影響著學校的教學、管理、科研活動。因此，在全面了解校園網的安全現(xiàn)狀基礎上，合理構建安全體系結構，改善網絡應用環(huán)境的工作迫在眉睫。1.2課題來源校園網安全事件逐年增多，危害程度有增無減。結合這種情況，撰寫一篇關于校園網安全方面的論文，提高人們對校園網的重視度并且通過設計的實現(xiàn)達到網絡安全性的增強。1.3設計目標與內容本文章系統(tǒng)的整理了關于校園網安全的程度和問題，對于安全的一些根本性建議。文章的目標是讓院校重視校園網安全的重要性，做為未來更高發(fā)展層次的基石。本文的組織結構本論文的主要內容分為五章。第二章詳細的說明了互聯(lián)網的安全狀況和四個其本身的不利性質，由于校園網和互聯(lián)網有著密切的關系，所以起個奠定的作用。第三章結合第二章互聯(lián)網的資料，詳細的說明當前校園網安全的方方面面。第四章整體對于如此多網絡安全的各種對策的設計第五章根據上一章部分對策，實體化的推出各種安全系統(tǒng)增加網絡的安全性。互聯(lián)網安全問題和缺陷分析2.1互聯(lián)網現(xiàn)狀隨著Internet的迅速發(fā)展和應用的普及，計算機網絡已經深入教育、政府、商業(yè)、軍事等各行各業(yè)，象電話、交通、水、電一樣，成為社會重要的基礎設施。如果計算機網絡的安全可靠運行受到威脅，將會影響人們的工作、學習和生活。然而不幸的是，近年來大規(guī)模的網絡安全事件接連發(fā)生，互聯(lián)網上蠕蟲、拒絕服務攻擊、網絡欺詐等新的攻擊手段層出不窮，導致的泄密、數據破壞、業(yè)務無法正常進行等事件屢屢發(fā)生，甚至導致世界性的互聯(lián)網癱瘓，造成的經濟損失無法估計。網絡安全引起世界各國的關注，政府、企業(yè)和研究機構等各領域的組織都對網絡安全投入了大量的人力物力;但是目前我們面臨的威脅讓人不容樂觀。2.2互聯(lián)網安全和缺陷分析互聯(lián)網安全問題為什么這么嚴重?這些安全問題是怎么產生的呢?綜合技術和管理等多方面因素，我們可以歸納為四個方面:互聯(lián)網的開放性、自身的脆弱性、攻擊的普遍性、管理的困難性。2.2.1互聯(lián)網的開放性互聯(lián)網是一個開放的網絡，TCP/IP是通用的協(xié)議。各種硬件和軟件平臺的計算機系統(tǒng)可以通過各種媒體接入進來，如果不加限制，世界各地均可以訪問。于是各種安全威脅可以不受地理限制、不受平臺約束，可以迅速通過互聯(lián)網影響到世界的每一個角落。2.2.2自身的脆弱性互聯(lián)網的自身的安全缺陷是導致互聯(lián)網脆弱性的根本原因?；ヂ?lián)網的脆弱性體現(xiàn)在設計、實現(xiàn)、維護的各個環(huán)節(jié)。設計階段，互聯(lián)網的設計之初沒有充分考慮安全威脅，因為最初的互聯(lián)網只是用于少數可信的用戶群體。許多的網絡協(xié)議和應用沒有提供必要的安全服務，比如電子郵件使用的協(xié)議SMTP沒有提供認證機制，曾經是導致垃圾郵件泛濫的重要原因，遠程登錄使用的telnet協(xié)議明文傳輸用戶名和口令等，而且IP網絡也不提供任何服務質量控制機制，導致目前在大規(guī)模拒絕服務攻擊面前幾乎無能為力?；ヂ?lián)網和所連接的計算機系統(tǒng)在實現(xiàn)階段也留下了大量安全漏洞。一般認為，軟件中的錯誤數量和軟件的規(guī)模成正比，由于網絡和相關軟件越來越復雜，其中所包含的安全漏洞也越來越多。特別是由于市場競爭，一些廠商為了占領市場會把沒有經過嚴格的質量測試的軟件系統(tǒng)推向市場，留下了大量的安全隱患，如緩沖區(qū)溢出。在互聯(lián)網和系統(tǒng)的維護階段的安全漏洞也是安全攻擊的重要目標。盡管系統(tǒng)提供了某些安全機制，但是由于管理員或者用戶的技術水平限制、維護管理工作量大等因素，這些安全機制并沒有發(fā)揮有效作用。比如，系統(tǒng)的缺省安裝和弱口令是大量攻擊成功的原因之一。2.2.3攻擊的普遍性互聯(lián)網威脅的普遍性是安全問題的另一個方面，而且隨著互聯(lián)網的發(fā)展，對互聯(lián)網攻擊的手段也越來越簡單、越來越普遍。如圖1所示，目前攻擊工具的功能卻越來越強，而對攻擊者的知識水平要求卻越來越低，因此攻擊者也更為普遍。2.2.4管理的困難性管理方面的困難性也是互聯(lián)網安全問題的重要原因。具體到一個企業(yè)內部的安全管理，由于業(yè)務發(fā)展迅速、人員流動頻繁、技術更新快等因素的影響，安全管理也非常復雜，人力投入不足、安全政策不明是常見的現(xiàn)象;擴大到不同國家之間，由于安全事件通常是不分國界的，但是安全管理卻受國家、地理、政治、文化、語言等多種因素的限制，比如跨國界的安全事件的追蹤非常困難。校園網安全狀況與分析3.1校園網網絡結構和應用系統(tǒng)概述校園網信息系統(tǒng)是校園網的數字神經中樞，合理的使用不僅能促進各院校的現(xiàn)代化教學改革、提高教學質量、改善教學環(huán)境，同時通過各院校之間的互聯(lián)互通，將會極大的提高教育行業(yè)整體的工作效率和教育質量。校園網總體上分為校園內網和校園外網。校園內網主要包括教學局域網、圖書館局域網、辦公自動化局域網等。校園外網主要指學校提供對外服務的服務器群、與CERNET的接入以及遠程移動辦公用戶的接入等。教學局域網是教學人員利用計算機開展教學和學生通過計算機來學習的網絡平臺；圖書館局域網實現(xiàn)了圖書館的網絡化管理以及圖書的網上檢索或瀏覽；辦公自動化局域網是教職員工自動化辦公的平臺，可以在此平臺上開展公文管理、會議管理、檔案管理以及個人辦公管理等。實現(xiàn)包括教學管理、科研管理、學員管理、資產管理、人事管理、黨務管理、財務管理、后勤管理等應用，形成院校的綜合管理信息系統(tǒng)；校園外網的服務器群構成了校園網的服務系統(tǒng)，一般包括DNS、WEB、FTP、PROXY以及MAIL服務等。外部網實現(xiàn)了校園網與CERNET及INTERNET的基礎接入，使院校教職工和學生能使用電子郵件和瀏覽器等應用方式，在教學、科研和管理工作中利用國內和國際網進行信息交流和共享。3.2校園網網絡特點高等教育和科研機構是互聯(lián)網誕生的搖籃，也是最早的應用環(huán)境。各國的高等教育都是最早建設和應用互聯(lián)網技術的行業(yè)之一，中國的高校校園網一般都最先應用最先進的網絡技術，網絡應用普及，用戶群密集而且活躍。然而校園網由于自身的特點也是安全問題比較突出的地方，安全管理也更為復雜、困難。1.校園網的速度快和規(guī)模大。高校校園網是最早的寬帶網絡，普遍使用的以太網技術決定了校園網最初的帶寬不低于10Mbps，目前普遍使用了百兆到桌面、千兆甚至萬兆實現(xiàn)園區(qū)主干互聯(lián)。校園網的用戶群體一般也比較大，少則數千人、多則數萬人。中國的高校學生一般集中住宿，因而用戶群比較密集。正是由于高帶寬和大用戶量的特點，網絡安全問題一般蔓延快、對網絡的影響比較嚴重。2.校園網中的計算機系統(tǒng)管理比較復雜。校園網中的計算機系統(tǒng)的購置和管理情況非常復雜，比如學生宿舍中的電腦一般是學生自己花錢購買、自己維護的，有的院系是統(tǒng)一采購、有技術人員負責維護的，有些院系則是教師自主購買、沒有專人維護的。這種情況下要求所有的端系統(tǒng)實施統(tǒng)一的安全政策(比如安裝防病毒軟件、設置可靠的口令)是非常困難的。由于沒有統(tǒng)一的資產管理和設備管理，出現(xiàn)安全問題后通常無法分清責任。比較典型的現(xiàn)象是，用戶的計算機接入校園網后感染病毒，反過來這臺感染病毒的計算機又影響了校園網的運行，于是出現(xiàn)端系統(tǒng)用戶和網絡管理員相互指責的現(xiàn)象。更有些計算機甚至服務器系統(tǒng)建設完畢之后無人管理，甚至被攻擊者攻破作為攻擊的跳板、變成攻擊試驗床也無人覺察。3.活躍的用戶群體。高等學校的學生通常是最活躍的網絡用戶，對網絡新技術充滿好奇，勇于嘗試。如果沒有意識到后果的嚴重性，有些學生會嘗試使用網上學到的、甚至自己研究的各種攻擊技術，可能對網絡造成一定的影響和破壞。4.開放的網絡環(huán)境。由于教學和科研的特點決定了校園網絡環(huán)境應該是開放的、管理也是較為寬松的。比如，企業(yè)網可以限制允許Web瀏覽和電子郵件的流量，甚至限制外部發(fā)起的連接不允許進入防火墻，但是在校園網環(huán)境下通常是行不通的，至少在校園網的主干不能實施過多的限制，否則一些新的應用、新的技術很難在校園網內部實施。5.有限的投入。校園網的建設和管理通常都輕視了網絡安全，特別是管理和維護人員方面的投入明顯不足。在中國大多數的校園網中，通常只有網絡中心的少數工作人員，他們只能維護網絡的正常運行，無暇顧及、也沒有條件管理和維護數萬臺計算機的安全，院、系一級的專職的計算機系統(tǒng)管理員對計算機系統(tǒng)的安全是非常重要的。6.盜版資源泛濫。由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這些軟件的傳播一方面占用了大量的網絡帶寬，另一方面也給網絡安全帶來了一定的隱患。比如，Microsoft公司對盜版的XP操作系統(tǒng)的更新作了限制，盜版安裝的計算機系統(tǒng)今后會留下大量的安全漏洞。另一方面，從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。3.3校園網安全現(xiàn)狀1.網絡管理員專業(yè)知識和技能不夠、責任心不強大多數網絡管理員都從大中專院校畢業(yè)，在工作之前沒有受過系統(tǒng)的專業(yè)培訓。所以，不能很好地勝任本職工作。如把在計算機中裝上還原卡當作是萬能管理方法；不設置系統(tǒng)管理員密碼；在系統(tǒng)中不安裝防火墻和殺毒軟件等等。另外，有些網絡管理員敷衍塞責，對出現(xiàn)的系統(tǒng)故障置之不理。2.防病毒、木馬和黑客攻擊意識不強大多數校園網用戶的安全意識非常淡薄。具體表現(xiàn)在：密碼設置過于簡單；不經常用殺毒軟件掃描和刪除病毒；不對殺毒軟件和防火墻軟件進行及時更新；不經常掃描系統(tǒng)漏洞并打上補??；使用移動存儲介質時不事先用殺毒軟件進行掃描；運行或打開不明來歷的文件或郵件；經常瀏覽帶有色情的網站或惡意網站等等。3.對外來攻擊防御能力不強雖然操作系統(tǒng)的功能及安全性日趨完善，但仍存在著很多漏洞。其中，有些漏洞允許入侵的黑客遠程執(zhí)行代碼和提升用戶權限。除操作系統(tǒng)外，桌面應用軟件也存在著安全隱患。同時，校園網是基于TCP/IP協(xié)議的網絡，而TCP/IP協(xié)議存在兩大不安全因素：(1)TCP/IP協(xié)議采用明文傳輸數據，無法保證信息的保密性和完整性。(2)TCP/IP協(xié)議以IP地址作為網絡節(jié)點的惟一標識，并不能對節(jié)點上的用戶進行有效的身份認證，無法保證信息的真實性。4．校園網抵制病毒和木馬入侵的能力不強網絡在給人們提供方便的同時，也給病毒傳播和木馬攻擊提供了最快捷的途徑。以蠕蟲為代表的病毒肆虐和特洛伊木馬的瘋狂入侵，直接導致了用戶隱私和重要數據的外泄。同時，極大地消耗了網絡和主機的軟硬件資源，造成了網絡和主機性能的急劇下降，甚至中斷網絡設備和主機的正常運行。而目前校園網使用的安全防護措施的單一性、獨立性和落后性使得網絡病毒和木馬入侵屢屢得逞。3.4校園網安全威脅分析校園網具有速度快、規(guī)模大，計算機系統(tǒng)管理復雜，用戶非常活躍，相對開放的網絡環(huán)境，有限的資金及人力投入等特點，這些特點使校園網既是大量網絡攻擊的發(fā)源地，也是網絡攻擊者最容易攻破的目標。當前，校園網常見的安全威脅有如下幾種。威脅之一：普遍存在的計算機系統(tǒng)漏洞。安全漏洞是指允許任意用戶未經授權獲得訪問，或提高其訪問權限的硬件或軟件特征。漏洞也可以理解為某種形式的脆弱性，網絡結構、服務器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞。目前，有名的安全漏洞或脆弱點就多達140處，而且隨著時間的推移，將會有更多新安全漏洞被人發(fā)現(xiàn)和利用。威脅之二：計算機蠕蟲、病毒泛濫。網絡蠕蟲病毒的危害日益嚴重，種類和數量日益增多，發(fā)作日益頻繁?，F(xiàn)在，蠕蟲病毒往往與黑客技術結合，計算機中毒發(fā)作后，常導致拒絕服務攻擊(DoS)，連累全網服務中斷。過去，病毒最大的“本事”是復制自身到其他程序。現(xiàn)在，它具有了蠕蟲的特點，通過網絡到處亂竄。還有些病毒具有黑客程序的功能，一旦侵入計算機系統(tǒng)后，病毒控制者可以從入侵的系統(tǒng)中竊取信息，遠程控制這些系統(tǒng)。威脅之三：來自網絡外部的入侵、攻擊等惡意破壞行為。有些計算機被攻破后，成為黑客的工具，進行再次攻擊。例如，系統(tǒng)代理攻擊：攻擊針對單個主機，并通過RealSecure系統(tǒng)代理對它進行監(jiān)視；拒絕服務攻擊：一般情況下，拒絕服務攻擊是通過使被攻擊對象(通常是工作站或重要服務器)的系統(tǒng)關鍵資源過載，從而使被攻擊對象停止部分或全部服務。拒絕服務攻擊的典型方法有SYNFlood、PingFlood等。目前在互聯(lián)網上，人們可以自由下載很多攻擊工具。這類攻擊工具設置簡單、使用方便，這意味著攻擊所需要的技術門檻大大降低。幾年前僅適用于高智能范圍的工具現(xiàn)在可以通過商業(yè)途徑購買和使用。使用這些工具不需要很高的技術水平，因此，一個技術平平的普通攻擊者很可能就是對系統(tǒng)造成巨大危害的黑客。威脅之四：內部用戶的攻擊行為。例如，授權訪問嘗試，它指的是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護訪問權限所做的嘗試，典型方法包括FTProot和NetBus等；預攻擊探測，指在連續(xù)的非授權訪問嘗試過程中，攻擊者為了獲得網絡內部和周圍的信息使用這種攻擊嘗試，典型例子包括Satan掃描、端口掃描和IP半途掃描等。這些行為給校園網造成了不良的影響，損害了學校的聲譽。威脅之五：校園網內部用戶對網絡資源的濫用。有人利用校園網資源進行商業(yè)的或免費的視頻、軟件資源下載服務，占用了大量珍貴的網絡帶寬。威脅之六：垃圾郵件、不良信息的傳播。3.5校園網常用攻擊手段以上各種原因導致校園網既是大量攻擊的發(fā)源地，也是攻擊者最容易攻破的目標。因此導致當前校園網常見的風險如下:1.普遍存在的計算機系統(tǒng)的漏洞，對信息安全、系統(tǒng)的使用、網絡的運行構成嚴重的威脅；2.計算機蠕蟲、病毒泛濫，影響用戶的使用、信息安全、網絡運行；3.外來的系統(tǒng)入侵、攻擊等惡意破壞行為，有些計算機已經被攻破，用作黑客攻擊的工具；拒絕服務攻擊目前越來越普遍，不少開始針對重點高校的網站和服務器；4.內部用戶的攻擊行為，這些行為給校園網造成了不良的影響，損害了學校的聲譽；5.校園網內部用戶對網絡資源的濫用，有的校園網用戶利用免費的校園網資源提供商業(yè)的或者免費的視頻、軟件資源下載，占用了大量的網絡帶寬，影響了校園網的應用；6.垃圾郵件、不良信息的傳播，有的利用校園網內無人管理的服務器作為中轉，嚴重影響學校的聲譽。校園網安全策略4.1物理安全策略保證計算機網絡系統(tǒng)各種設備的物理安全是整個網絡安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統(tǒng)、web服務器、打印機等硬件實體和通信鏈路層網絡設備免受自然災害、人為破壞和搭線攻擊等。它主要包括兩個方面:4.1.1環(huán)境安全。對系統(tǒng)所在環(huán)境的安全保護,確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。4.1.2設備安全。包括設備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。4.2訪問控制策略訪問控制的主要任務是保證網絡資源不被非法使用和訪問,它是保證網絡安全最重要的核心策略之一。4.2.1入網訪問控制入網訪問控制為網絡訪問提供了第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源；控制準許用戶入網的時間和準許他們在哪臺工作站入網。4.2.2網絡的權限控制網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源;可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。4.2.3目錄級安全控制網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。4.2.4屬性安全控制當用文件、目錄和網絡設備時,網絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。4.2.5網絡服務器安全控制網絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。4.2.6網絡監(jiān)測和鎖定控制網絡管理員應對網絡實施監(jiān)控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。4.2.7網絡端口和節(jié)點的安全控制端口是虛擬的“門戶”,信息通過它進入和駐留于計算機中,網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護,并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶,靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發(fā)生器)。在對用戶的身份進行驗證之后,才允許用戶進入用戶端。然后,用戶端和服務器端再進行相互驗證。4.3防火墻控制策略防火墻是近期發(fā)展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障。它是位于兩個網絡之間執(zhí)行控制策略的系統(tǒng)(可能是軟件或硬件或者是兩者并用),用來限制外部非法(未經許可)用戶訪問內部網絡資源，通過建立起來的相應網絡通信監(jiān)控系統(tǒng)來隔離內部和外部網絡,以阻擋外部網絡的侵入,防止偷竊或起破壞作用的惡意攻擊。4.4信息加密策略信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密是保護網絡節(jié)點之間的鏈路信息安全;端點加密是對源端用戶到目的端用戶的數據提供保護;節(jié)點加密是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。信息加密過程是由各種加密算法來具體實施。多數情況下,信息加密是保證信息機密性的唯一方法。4.5網絡入侵檢測技術試圖破壞信息系統(tǒng)的完整性、機密性、可信性的任何網絡活動，都稱為網絡入侵。入侵檢測（IntrusionDeteetion）的定義為：識別針對計算機或網絡資源的惡意企圖和行為，并對此做出反應的過程。它不僅檢測來自外部的入侵行為，同時也檢測來自內部用戶的未授權活動。入侵檢測應用了以攻為守的策略，它所提供的數據不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權，還有可能在一定程度上提供追究入侵者法律責任的有效證據。4.6備份和鏡像技術用備份和鏡像技術提高完整性。備份技術是最常用的提高數據完整性的措施，它是指對需要保護的數據在另一個地方制作一個備份，一旦失去原件還能使用數據備份。鏡像技術是指兩個設備執(zhí)行完全相同的工作，若其中一個出現(xiàn)故障，另一個仍可以繼續(xù)工作。4.7有害信息的過濾對于校園網絡，由于使用人群的特定性，必須要對網絡的有害信息加以過濾，防止一些色情、暴力和反動信息危害學生的身心健康，必須采用一套完整的網絡管理和信息過濾相結合的系統(tǒng)。實現(xiàn)對校園內電腦訪問互聯(lián)網進行有害信息過濾管理。4.8網絡安全管理規(guī)范網絡安全技術的解決方案必須依賴安全管理規(guī)范的支持,在網絡安全中,除采用技術措施之外,加強網絡的安全管理,制定有關的規(guī)章制度,對于確保網絡安全、可靠地運行將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規(guī)程和人員出入機房管理制度;制定網絡系統(tǒng)的維護制度和應急措施等。校園網安全防御的措施5.1網絡防火墻防火墻是用來控制信息流的設施，主要利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾，根據在防火墻上配置的安全策略(過濾規(guī)則)來控制(允許、拒絕、監(jiān)測)出入網絡的信息流，同時實現(xiàn)網絡地址轉換(NAT)、審計和實時報警功能。通過防火墻的包過濾，可實現(xiàn)基于地址的粗粒度訪問控制(入網訪問控制)。通常情況下，防火墻都被部署在網絡基礎設施的關鍵入口或出口。防火墻主要工作在交換和路由兩種模式。當防火墻工作在交換模式時，防火墻的3個接口構成一個以太網交換器，本身沒有IP地址，在IP層透明。將內網、DMZ區(qū)(非軍事區(qū))和路由器的內部端口連接起來，構成一個統(tǒng)一的交換式物理子網，內網和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網絡拓樸結構和各主機、設備的網絡位置。當防火墻工作在路由模式時，可以作為內網、DMZ區(qū)和外網三個區(qū)之間的路由器，提供內網到外網，DMZ區(qū)到外網的網絡地址轉換。內部網的用戶通過地址轉換可訪問INTERNET，內部網、DMZ區(qū)通過反向地址轉換可向INTERNET提供服務。5.2采用入侵檢測系統(tǒng)入侵檢測系統(tǒng)用于網絡和系統(tǒng)的實時安全監(jiān)控，對來自內部和外部的非法入侵行為做到及時響應、告警和記錄，以彌補防火墻的不足。入侵檢測系統(tǒng)通過實時監(jiān)聽網絡數據流，根據在入侵檢測系統(tǒng)上配置的安全策略(入侵模式)，識別、記錄入侵和破壞性的代碼流，尋找違規(guī)模式和未授權的網絡訪問嘗試。當發(fā)現(xiàn)網絡違規(guī)模式和未授權的網絡訪問嘗試時，網絡安全檢測系統(tǒng)的預警子系統(tǒng)能夠根據系統(tǒng)安全策略作出反映，并通過監(jiān)測報警日志對所有可能造成網絡安全危害的數據流進行報警和響應。入侵檢測系統(tǒng)運行于需要保護的有敏感數據的網絡上，即存貯和處理重要數據的服務器或防火墻附近，以檢測關鍵部位的數據流，防范非法訪問行為，對非法網絡行為的審計、監(jiān)測及安全監(jiān)控，并實現(xiàn)與防火墻的聯(lián)動進行動態(tài)保護。入侵檢測系統(tǒng)由控制中心和探測引擎(網絡的、主機的)組成，控制中心作為系統(tǒng)的管理和配置工具，編輯、修改和分發(fā)各網絡探測引擎、子控制中心的策略定義，更新各探測引擎的入侵模式特證庫，接收所有探測引擎的實時報警信息。控制中心與各探測引擎間的信息交換通過加密方式進行。5.3漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)是一種系統(tǒng)安全評估技術，具體包括網絡模擬攻擊、漏洞測試、報告服務進程、以及評測風險，提供安全建議和改進措施等功能。定期或不定期對一些關鍵設備和系統(tǒng)(網絡、操作系統(tǒng)、主干交換機、路由器、重要服務器、防火墻和應用程序)進行漏洞掃描，對這些設備和系統(tǒng)的安全情況進行評估，發(fā)現(xiàn)并報告系統(tǒng)存在的弱點和漏洞，評估安全風險，建議補救措施。漏洞掃描系統(tǒng)性能應具備：掃描項目覆蓋網絡層、應用層和各種網絡服務;掃描對象應覆蓋所有的IP設備和服務(包括路由器、NT服務器、UNIX服務器、防火墻等);大容量的漏洞特征庫;執(zhí)行掃描時不會對掃描對象的系統(tǒng)產生影響;對網絡的數據包傳輸不產生明顯的延遲;較低的誤報率等。5.4防病毒系統(tǒng)對付病毒最理想的辦法是預防，就是不讓病毒進入系統(tǒng)，但這個目標不可能實現(xiàn)，只能通過加強預防措施來減少病毒攻擊的成功次數。防病毒系統(tǒng)的工作方法如下：檢測：一旦感染就立即察覺，并能夠確定病毒的位置;識別：一旦檢測出病毒，能夠確定已感染病毒類型;去除：一旦識別出特定的病毒，能夠將感染的程序恢復到原來的狀態(tài)，并從系統(tǒng)中去除該病毒，防止該病毒繼續(xù)擴散。防病毒系統(tǒng)的成功與否取決于檢測新的獨特的病毒種系的能力，只有不斷升級病毒特征信息庫，才能防御新型病毒的攻擊。隨著反病毒技術和產品不斷完善，新型的防病毒軟件采用了更