校園網(wǎng)絡(luò)安全

校園網(wǎng)絡(luò)安全

PAGE

校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第1頁。網(wǎng)絡(luò)安全項(xiàng)目書校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第1頁。

PAGE

2目錄一、項(xiàng)目背景 1二、需求分析 1三、系統(tǒng)設(shè)計 11、管理 12、服務(wù)器配置 13、網(wǎng)絡(luò)安全產(chǎn)品 1四、總結(jié) 2五、參考文獻(xiàn) 2校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第2頁。校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第2頁。一、項(xiàng)目背景隨著計算機(jī)和網(wǎng)絡(luò)的普及，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這這無疑對加快信息處理，提高工作效率，減輕勞動強(qiáng)度，實(shí)現(xiàn)資源共享都起到無法估量的作用。但在積極發(fā)展辦公自動化、實(shí)現(xiàn)資源共享的同時，人們對校園網(wǎng)絡(luò)的安全也越加重視。尤其最近暴發(fā)的"紅色代碼"、"藍(lán)色代碼"及"尼姆達(dá)“病毒，使人們更加深刻的認(rèn)識到了網(wǎng)絡(luò)安全的重要。正如人們所說的：網(wǎng)絡(luò)的生命在于其安全性。二、需求分析(1)用戶群體的需求。校園網(wǎng)用戶群體以學(xué)生為主。一方面,用戶數(shù)量大、網(wǎng)絡(luò)水平需求較高。隨著學(xué)校的擴(kuò)招,現(xiàn)在學(xué)校的在校學(xué)生規(guī)模越來越大,而且往往比較集中。學(xué)校學(xué)習(xí)以自主性學(xué)習(xí)為主,決定了高校學(xué)生可供自主支配的時間寬裕。這使校園網(wǎng)的使用率大大增加，這就需要校園網(wǎng)的承載和網(wǎng)絡(luò)更為穩(wěn)定，

(2)校園網(wǎng)安全和維護(hù)的需求。一方面用戶網(wǎng)絡(luò)安全意識、版權(quán)意識普遍較為淡薄。學(xué)生往往對網(wǎng)絡(luò)安全問題的嚴(yán)重后果認(rèn)識不足、理解不深,部分學(xué)生甚至還把校園網(wǎng)當(dāng)成自己的“練兵場”,在校園網(wǎng)上嘗試各種攻擊技術(shù)。另外,由于資金不足和缺乏版權(quán)意識等原因,導(dǎo)致高校學(xué)生在校園網(wǎng)上大量使用盜版軟件和盜版資源。攻擊技術(shù)的嘗試和盜版軟件的傳播既占用了大量的網(wǎng)絡(luò)帶寬,又給網(wǎng)絡(luò)安全帶來了極大的隱患。另一方面校園網(wǎng)的建設(shè)需要投入大量的經(jīng)費(fèi),少則幾百萬,多則幾千萬,而學(xué)校的經(jīng)費(fèi)普遍是比較緊張的,經(jīng)不起校園網(wǎng)被破壞癱瘓的后果，這就需要校園網(wǎng)的防火墻配置要縝密。并且對一些教學(xué)部門做好密碼策略，以免使學(xué)校的學(xué)生信息遭到被泄露、串改等后果。三、系統(tǒng)設(shè)計1、管理校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第3頁。根據(jù)校園網(wǎng)設(shè)計方案建設(shè)而成的一個校園網(wǎng)絡(luò)投入運(yùn)行之后，它的穩(wěn)定性及可靠性是很高，也就是說出現(xiàn)問題的機(jī)率是很小的。但不論多么穩(wěn)定和可靠的網(wǎng)絡(luò)系統(tǒng)都會有出現(xiàn)問題的一天，一般情況下出現(xiàn)的問題主要有人為操作失誤（包括計算機(jī)病毒引起的故障）和整個網(wǎng)絡(luò)系統(tǒng)本身不可避免的故障。因此要想使計算機(jī)網(wǎng)絡(luò)的各種故障減少到最低的話，網(wǎng)絡(luò)管理員就要在平時做好網(wǎng)絡(luò)任何提供服務(wù)的網(wǎng)絡(luò)都應(yīng)該擁有備份系統(tǒng)，因?yàn)閭浞莨ぷ魇潜匦璧?。在備份之后還要進(jìn)行測試，以保證備份的系統(tǒng)能夠正常工作。要確保備份系統(tǒng)的完整性，在安裝了服務(wù)器或備份設(shè)備之后，或者對系統(tǒng)進(jìn)行了重大的修改之后（如升級），一定要把整個系統(tǒng)備份下來，再恢復(fù)其中的部分文件進(jìn)行測試。根據(jù)系統(tǒng)中的數(shù)據(jù)

情況，可能每一項(xiàng)都要進(jìn)行完全備份，也可能只做增量備份就可以滿足需要了，具體需要備份的數(shù)量應(yīng)由系統(tǒng)環(huán)境來決定。為了能夠減少網(wǎng)絡(luò)的癱瘓、堵塞，在服務(wù)器端的配置軟件設(shè)置軟件限制策略。避免學(xué)生下載軟件、電影的大流量占網(wǎng)速的行為。加強(qiáng)使用網(wǎng)絡(luò)的學(xué)生、老師的應(yīng)用技能和道德品質(zhì)、可以減少人員有意無意的對網(wǎng)絡(luò)造成傷害。加強(qiáng)網(wǎng)絡(luò)管理員的技術(shù)培訓(xùn)，避免人為操作造成的故障影響整個網(wǎng)絡(luò)的運(yùn)行情況。校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第3頁。2、校園網(wǎng)絡(luò)配置校園網(wǎng)絡(luò)拓?fù)鋱D校園網(wǎng)絡(luò)具體描述校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第4頁。由于學(xué)校的環(huán)境結(jié)構(gòu)比較復(fù)雜具體思路是，建立一個校園服務(wù)器中心結(jié)構(gòu)和扇熱一定要完善，用大型交換機(jī)與之連接。大型交換機(jī)與路由器連接，其中一個路由器的用途是連接學(xué)校的校園網(wǎng)，方便教師和學(xué)生登錄校園網(wǎng)查詢。另一個路由器連接Internet和無線網(wǎng)，防火墻的配置和連接是非常關(guān)鍵。其他的路由器分別連接圖書館、教學(xué)樓、實(shí)驗(yàn)室、學(xué)生宿舍、白宮等。由于學(xué)校數(shù)據(jù)吞吐量大，又離本部較遠(yuǎn)，所以學(xué)校采用一般的校園雙端口接入方式,用一條光纖連接到沈陽大學(xué)城市學(xué)院本部，另一條用百兆光纖作為福清電信的局域網(wǎng)方式接入internet，實(shí)現(xiàn)網(wǎng)絡(luò)高速運(yùn)行。中心結(jié)構(gòu)主要以交換機(jī)為中心，單點(diǎn)以星形方式連接校園各個地點(diǎn)。各樓房交換機(jī)用光纖連接到中心機(jī)房的三臺普通企業(yè)級路由上，可以實(shí)現(xiàn)子網(wǎng)內(nèi)高速互聯(lián)。樓房內(nèi)部均用5類雙絞線連接樓房交換機(jī)與用戶計算機(jī)。教師可以在學(xué)校的任意的一臺計算機(jī)上方便地瀏覽和查詢網(wǎng)上資源，因?yàn)檫M(jìn)行教學(xué)和科研工作必須可以調(diào)用網(wǎng)上資源，還可以通過網(wǎng)絡(luò)對學(xué)生的學(xué)習(xí)進(jìn)行指導(dǎo)。

學(xué)生可以在實(shí)驗(yàn)室、圖書館、教室、等地方方便地瀏覽和查詢網(wǎng)上資源。

校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第4頁。學(xué)校管理人員可以方便地對教務(wù)、行政事務(wù)等進(jìn)行綜合管理，同時各樓辦公室的計算機(jī)可以進(jìn)行數(shù)據(jù)信息交換，初步實(shí)現(xiàn)辦公自動化。3、網(wǎng)絡(luò)安全產(chǎn)品校園網(wǎng)一般采用防火墻作為網(wǎng)絡(luò)安全的第一道防線。而入侵檢測系統(tǒng)是計算機(jī)網(wǎng)絡(luò)安全的一個重要組成部分，它可以實(shí)現(xiàn)實(shí)時入侵檢測的功能，主動保護(hù)網(wǎng)絡(luò)免受攻擊，是防火墻的合理補(bǔ)充。擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測則屬于動態(tài)安全技術(shù)，它能夠主動檢測網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞，并且通常能夠先于人工探測到危險行為。3.1防火墻防火墻是計算機(jī)網(wǎng)絡(luò)上一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻簡單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的則可以用主機(jī)甚至一個子網(wǎng)來實(shí)現(xiàn)，設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道來自簡化網(wǎng)絡(luò)的安全管理。防火墻的功能主要是過濾掉不安全服務(wù)和非法用戶與控制對特殊站點(diǎn)的訪問以及提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。由于網(wǎng)絡(luò)具有天生的開放性，所以有許多防范功能的防火墻也有一些防范不到的地方，如防火墻不能防范不經(jīng)由防火墻的攻擊。在校園網(wǎng)中大部分的應(yīng)用都是內(nèi)部網(wǎng)絡(luò)用戶，而內(nèi)部用戶通常具有較大的訪問權(quán)限，因此局域網(wǎng)絡(luò)系統(tǒng)的安全是整個網(wǎng)絡(luò)系統(tǒng)安全中最重要的部分。但相對而言，內(nèi)部的安全問題是可以預(yù)測的，并可據(jù)此制定相應(yīng)的防范措施。3.2入侵檢測系統(tǒng)(IDS)校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第5頁。校園網(wǎng)一般采用防火墻作為網(wǎng)絡(luò)安全的第一道防線。而入侵檢測系統(tǒng)是計算機(jī)網(wǎng)絡(luò)安全的一個重要組成部分，它可以實(shí)現(xiàn)實(shí)時入侵檢測的功能，主動保護(hù)網(wǎng)絡(luò)免受攻擊，是防火墻的合理補(bǔ)充。擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測則屬于動態(tài)安全技術(shù)，它能夠主動檢測網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞，并且通常能夠先于人工探測到危險行為。

入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。在構(gòu)建校園網(wǎng)的安全防護(hù)體系中使用防火墻等安全防護(hù)技術(shù)的同時，引入入侵檢測系統(tǒng)，兩者相輔相成，互相補(bǔ)充，劃分防御層，為入侵者設(shè)置層層屏障，就可以最大限度地維護(hù)系統(tǒng)的安全。。入侵檢測手段卻是一種古老的檢測訪問者的有效方法。它之所以重要，是因?yàn)樗梢詮浹a(bǔ)防火墻的不足，它可以幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng))，增強(qiáng)信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

我所采用的入侵檢測系統(tǒng)為RealSecure。RealSecure的網(wǎng)絡(luò)引擎幾乎能夠發(fā)現(xiàn)我們發(fā)起的每一種主流攻擊方式（包括遠(yuǎn)程緩沖區(qū)溢出、拒絕服務(wù)攻擊和已知的CGI漏洞等），但是不能檢測到一些更隱蔽的入侵方式（如利用最近的RDS/ODBC漏洞和一些第三方CGI腳本的攻擊等）。ISS還增加了一個定制選擇功能，用戶可以檢查數(shù)據(jù)包的負(fù)載情況，并且使用規(guī)則的表達(dá)式來搜索這些負(fù)載中的某類數(shù)據(jù)包。

RealSecure提供了簡單而又有效的管理接口，這個接口在總體設(shè)計方面領(lǐng)先于其他競爭者。RealSecure的管理控制臺使用分級樹設(shè)計，因此管理員可以根據(jù)攻擊類型、攻擊者或目標(biāo)主機(jī)等分類查看檢測到的入侵?jǐn)?shù)據(jù)。任何一個做過安全事故響應(yīng)工作的人都會知道擁有這些數(shù)據(jù)是多么重要。有關(guān)接口任何一個部分的信息都可以通過右擊相應(yīng)的條目在另外一個窗口中打開。當(dāng)報警提示彈出到控制臺時，用戶能迅速地查看到所有與之相關(guān)的信息。

RealSecure最大的不足在于它無法重組破碎的封包，這是一個較嚴(yán)重的缺陷。它還缺乏對管理控制臺事件窗口中全部事件的清除功能。

綜合來看，在檢測入侵行為并且成功地阻止這些行為方面，ISS的RealSecure是基于主機(jī)檢測和基于網(wǎng)絡(luò)檢測技術(shù)實(shí)現(xiàn)最佳集成的典范。校園網(wǎng)絡(luò)安全全文共7頁，當(dāng)前為第5頁。四、總結(jié)經(jīng)過了七周的學(xué)習(xí)和實(shí)踐，我終于完成了“校園網(wǎng)絡(luò)安全”的項(xiàng)目，在這半學(xué)期里，我對網(wǎng)絡(luò)安全這門學(xué)科有了更深刻的認(rèn)識與學(xué)習(xí)，接觸到了比較全面地網(wǎng)絡(luò)安全方面的知識，這對于提高我們的網(wǎng)絡(luò)安全管理水平，累計網(wǎng)絡(luò)安全試驗(yàn)經(jīng)驗(yàn)，譬如密碼激素的應(yīng)用、網(wǎng)絡(luò)資源的掃描、網(wǎng)絡(luò)攻擊防御技術(shù)、操作系統(tǒng)安全等有很大的幫助。同時，通過半學(xué)期的學(xué)習(xí)與實(shí)踐，我還掌握了相關(guān)軟件的使用，讓它們成為我日后網(wǎng)絡(luò)安全攻防的力氣。在這些軟件中，不乏有外國公司的大名鼎鼎的產(chǎn)品，我鞏固專業(yè)知識的同時，還拉動了外語的學(xué)習(xí)，當(dāng)然，對于不懂的問題我也是求助于各大搜索引擎，提高了我的自主學(xué)習(xí)能力。感謝姜老師半學(xué)期的諄諄教導(dǎo)，使我對這門科目有了極大的認(rèn)知和興趣，姜老師的教導(dǎo)是我完成這個項(xiàng)目的最大動力，再次感謝姜老師。五、參考文獻(xiàn)[1].作者姓名，題名[]中國水利水電出版社2010年7月[2]網(wǎng)絡(luò)最高安全技術(shù)指南[M].王銳,等.北京:機(jī)械工業(yè)出版社,1998[3]Balasubramaniyan,J.S.etal.Anarchitectureforintrusiondetectionusingautonomousagents[C].ComputerSecurityApplic