網(wǎng)絡安全報告

、花 >A前言隨著Internet的普及，校園網(wǎng)已成為每個學校必備的信息基礎(chǔ)設(shè)施，也成了學校提高教學、科研及管理水平的重要途徑和手段，它是以現(xiàn)代化的網(wǎng)絡及計算機技術(shù)為手段，形成將校園內(nèi)所有服務器、工作站、局域網(wǎng)及相關(guān)設(shè)施高速聯(lián)接起來，使各種基于計算機網(wǎng)絡的教學方法、管理方法及文化宣傳得以廣泛應用并能和外部互聯(lián)網(wǎng)溝通的硬件和軟件平臺。隨著網(wǎng)絡的高速發(fā)展，網(wǎng)絡的安全問題日益突出，近兩年間，黑客攻擊、網(wǎng)絡病毒等屢屢曝光，在高校網(wǎng)絡建設(shè)的過程中，隨著網(wǎng)絡規(guī)模的急劇膨脹，網(wǎng)絡用戶的快速增長，關(guān)鍵性應用的普及和深入，校園網(wǎng)從早先教育、科研的試驗網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務并重的帶有運營性質(zhì)的網(wǎng)絡，校園網(wǎng)在學校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個高校不可回避的一個緊迫問題，而如何有效地加以管理和維護，是校園網(wǎng)得以有效、安全運行的關(guān)鍵。校園網(wǎng)網(wǎng)絡的安全十分重要，它承載著學校的教務、行政、后勤、圖書資料、對外聯(lián)絡等方面事務處理。本文從網(wǎng)絡安全的各個方面，詳細分析了威脅校園網(wǎng)網(wǎng)絡安全的各種因素，提出了若干可行的安全管理的策略，從設(shè)備資源和技術(shù)角度上做了深入的探討。關(guān)鍵詞：校園網(wǎng)、網(wǎng)絡安全、管理及維護策略、防火墻。目錄TOC\o"1-5"\h\z\o"CurrentDocument"前言 1\o"CurrentDocument"摘要 3\o"CurrentDocument"一、課程設(shè)計目的意義 5\o"CurrentDocument"二、需求分析 5\o"CurrentDocument"1、虛擬網(wǎng) 5\o"CurrentDocument"2、管理與維護 6\o"CurrentDocument"3、網(wǎng)絡安全 6（1）防火墻技術(shù) 6（2）建立網(wǎng)絡入侵偵測系統(tǒng) 6\o"CurrentDocument"4、反病毒防御 7\o"CurrentDocument"三、方案設(shè)計 7\o"CurrentDocument"1、設(shè)計原則 7\o"CurrentDocument"2、安全策略 8\o"CurrentDocument"3、安全服務 8\o"CurrentDocument"4、拓撲結(jié)構(gòu)圖 9\o"CurrentDocument"四、方案的實施 10\o"CurrentDocument"1、在管理方面 10\o"CurrentDocument"2、在技術(shù)方面 10\o"CurrentDocument"3、定期做好備份工作 10\o"CurrentDocument"4、定期做好網(wǎng)絡殺毒工作 11\o"CurrentDocument"五、結(jié)束語 11\o"CurrentDocument"附錄一：參考文獻 12摘要某校園網(wǎng)由三個物理區(qū)域：教學辦公大樓、圖書館大樓、學生教工宿舍構(gòu)成。在整個網(wǎng)絡中，各信息點按功能又劃分為行政辦公、電子網(wǎng)絡教室、中心管理機房、普通教室等不同區(qū)域，各區(qū)域與互聯(lián)網(wǎng)連接的目的也是不一樣的，對特定區(qū)域，與互聯(lián)網(wǎng)連接將受到一定限制。校園網(wǎng)采用千兆到樓，百兆到桌面的全交換網(wǎng)絡系統(tǒng)，覆蓋東西兩院、藝術(shù)附中以及各個家屬區(qū)，共計光纖鏈路40余條，交換機250余臺，網(wǎng)絡信息點一萬多個。整個系統(tǒng)包括一批高性能網(wǎng)絡交換機、路由器、防火墻、入侵檢測、存儲、備份和安全認證計費管理軟件、網(wǎng)絡版殺毒軟件。核心采用銳捷RG-6810E高性能三層管理交換機，匯聚采用銳捷三層交換機，接入桌面采用銳捷21系列?，F(xiàn)有的WEB服務器，“一卡通”數(shù)字系統(tǒng)，OA辦公管理系統(tǒng)，教務管理系統(tǒng)，圖書管理系統(tǒng)，流媒體服務器，網(wǎng)絡殺毒服務器，為全院教學科研、管理和生活等方面提供了良好的Internet應用服務。校園主接入主干網(wǎng)如下：圖1校園網(wǎng)接入主干圖校園網(wǎng)承載著學校的教務、行政、后勤、圖書資料、對外聯(lián)絡等方面事務處理，它的安全狀況直接影響著學校的教學、科研、行政管理、對外交流等活動。在網(wǎng)絡建成的初期，安全問題可能還不突出.隨著應用的深入.校園網(wǎng)上各種數(shù)據(jù)會急劇增加、訪問增多.潛在的安全缺陷和漏洞、惡意的攻擊等造成的問題開始頻繁出現(xiàn)。校園網(wǎng)受到的攻擊以及安全方面的缺陷主要有：（1）有害信息的傳播校園網(wǎng)與Internet融為一體，師生都可以通過校園網(wǎng)絡在自己的機器上進人Internet。目前Internet上充斥各種海量信據(jù)息，散布違犯四項基本原則、有關(guān)色情、暴力、三俗內(nèi)容的文章、網(wǎng)頁、網(wǎng)站比較多。這些有毒的信息違反人類的道德標準和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的學生來說，危害非常大。（2）病毒破壞通過網(wǎng)絡傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。特別是在學校接人廣域網(wǎng)后。為外面病毒進入學校大開方便之門，下載的程序和電子郵件都可能帶有病毒。而且網(wǎng)絡病毒的變異速度快，攻擊機理復雜，必須不斷更新病毒庫。（3）惡意入侵學校涉及的機密不是很多，來自外部的非法訪問的可能性要少一些．關(guān)鍵是內(nèi)部的非法訪問。一些學生可能會通過非正常的手段獲得習題的答案，使正常的教學練習失去意義。更有甚者．有的學生可能在考前獲得考試內(nèi)容，嚴重地破壞了學校的管理秩序或者破壞教務系統(tǒng)．惡意更改成績，擾亂教學工作程序。（4）惡意破壞對計算機硬件系統(tǒng)和軟件系統(tǒng)的惡意破壞，這包括對網(wǎng)絡設(shè)備和網(wǎng)絡系統(tǒng)兩個方面的破壞。網(wǎng)絡設(shè)備包括服務器、交換機、集線器、路由器、通信媒體、工作站等，它們分布在整個校園內(nèi)，不可能24小時專人看管，以避免故意的或非故意的某些破壞。會造成校園網(wǎng)絡全部或部分癱瘓。另一方面是利用黑客技術(shù)對校園網(wǎng)絡系統(tǒng)進行破壞。表現(xiàn)在以下幾個方面：對學校網(wǎng)站的主頁面進行修改，破壞學校的形象：向服務器發(fā)送大量信息使整個網(wǎng)絡陷于癱瘓；利用學校的郵件服務器轉(zhuǎn)發(fā)各種非法的信息等。（5）口令入侵用戶非法獲得口令入侵，破壞網(wǎng)絡。一、課程設(shè)計目的意義了解計算機網(wǎng)絡工程設(shè)計的一般過程，明確計算機網(wǎng)絡設(shè)計的基本原則；通過網(wǎng)絡設(shè)備的配置，能了解網(wǎng)絡安全管理與維護設(shè)置的功能，掌握網(wǎng)絡設(shè)備的配置方法和配置操作。通過對校園網(wǎng)的調(diào)研，能了解網(wǎng)絡安全管理與維護在校園中的具體應用，并在現(xiàn)有條件下進行簡單的模擬。了解網(wǎng)絡安全管理與維護在校園網(wǎng)中的應用情況，制定一個應用方案，在現(xiàn)有實驗設(shè)備的基礎(chǔ)上來實現(xiàn)這個方案。本次課程設(shè)計讓我們有了一個既動手又動腦，獨立實踐的機會，將理論和實際有機的結(jié)合起來，鍛煉了我們分析、解決實際問題的能力。通過從了解設(shè)備功能、掌握設(shè)計原理到應用原理，利用設(shè)備解決實際問題這樣一個循序漸進的過程，培養(yǎng)自己理論與實踐相結(jié)合的能力。二、需求分析在校園網(wǎng)的網(wǎng)絡安全管理及維護中，設(shè)計方案應從以下幾個方面進行需求分析：1、虛擬網(wǎng)虛擬網(wǎng)主要作用和目的是：解決主干網(wǎng)內(nèi)網(wǎng)絡站點的增加、刪除、移動等操作，方便網(wǎng)絡的維護和管理?？梢越⒉皇艿乩砦恢孟拗频模采w整個校園的相互具有一定獨立性的網(wǎng)絡或者邏輯子網(wǎng)，即虛擬網(wǎng)。利用虛擬網(wǎng)可以有效的管理和限制不同子網(wǎng)之間的訪問，各部門可以各自占用一個獨立的虛擬網(wǎng)，整個虛擬網(wǎng)是可升級的、可擴展的。根據(jù)校園網(wǎng)的實際需求，各類人員可以在相應邏輯子網(wǎng)內(nèi)開展工作。網(wǎng)絡站點的增減，人員的變動，無論從網(wǎng)絡管理，還是用戶的角度來講，都需要虛擬網(wǎng)技術(shù)的支持。2、管理與維護校園主干網(wǎng)是覆蓋整個園區(qū)的網(wǎng)絡，其組成結(jié)構(gòu)相當復雜，而科技的進步和教育形勢的發(fā)展又要求校園網(wǎng)具有延伸性和擴展性。隨著網(wǎng)絡復雜度的增加，給網(wǎng)絡管理帶來成級數(shù)增加的管理工作量。網(wǎng)絡管理要求解決的問題包括：（1）虛擬網(wǎng)管理、分配。目前的虛擬網(wǎng)主要基于局域網(wǎng)交換端口，如果一個部門擴展新的入網(wǎng)地點，新的擴展將改變交換機端口設(shè)置。網(wǎng)絡管理借助相應的管理軟件來解決該問題。（2）對所有網(wǎng)絡設(shè)備端口的監(jiān)視和管理。對所有網(wǎng)絡設(shè)備的遠地配置和控制，包括網(wǎng)絡設(shè)備端口的開放和關(guān)閉，整個網(wǎng)絡的故障檢測，故障自動報警功能，整個網(wǎng)絡性能的統(tǒng)計和分析報告，甚至收費。按照這些網(wǎng)絡管理的需求，應采用基于GUI（圖形用戶界面）的網(wǎng)絡管理軟件來實現(xiàn)。3、網(wǎng)絡安全校園網(wǎng)絡安全主要有以下要求：各個部門訪問網(wǎng)絡的控制，各單位之間在未經(jīng)授權(quán)的情況下，不能相互訪問。內(nèi)部網(wǎng)中要建立防火墻，即禁止外部用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù)，或者內(nèi)部用戶未經(jīng)許可訪問外部數(shù)據(jù)。對安全問題主要有以下考慮：校園網(wǎng)應該是一個開放的系統(tǒng)，它不像政府或商業(yè)公司的網(wǎng)絡一樣具有極高的安全保密性；但校園網(wǎng)應該安全的，它應具備抵御惡意攻擊的能力，一些科研成果也不是對任何人都開放的。利用虛擬網(wǎng)技術(shù)和防火墻技術(shù)可以較為合理地解決安全與開放的問題。在校園網(wǎng)的網(wǎng)絡安全管理及維護中，建立單機版反病毒防御體系，設(shè)立防火墻保護和網(wǎng)絡入侵偵測系統(tǒng)對防止病毒和黑客入侵，提供防范、檢測手段和對攻擊作出反應，采取自動抗擊措施，對保證網(wǎng)絡安全及維護是很有必要的。（1）防火墻技術(shù)為整個網(wǎng)絡筑起一道高墻，將黑客及未授權(quán)的用戶拒于門外。（2）建立網(wǎng)絡入侵偵測系統(tǒng)在MIS系統(tǒng)中防止人為的惡意攻擊或誤操作導致系統(tǒng)的損壞或癱瘓的主要防御方法，是在網(wǎng)絡中安裝網(wǎng)絡入侵偵測系統(tǒng)（IDS）。系統(tǒng)可以實時監(jiān)控網(wǎng)段的流量，發(fā)現(xiàn)有攻擊特征的行為后，立即報警，并且可以阻斷該會話，阻止入侵行為的進一步發(fā)生。局域網(wǎng)劃分虛網(wǎng)（VLAN）后，入侵偵測系統(tǒng)（IDS）應分別檢測各自的應用網(wǎng)段4、反病毒防御由于基層的網(wǎng)絡與局域網(wǎng)通過光纖連接在一起，各個應用系統(tǒng)在它們之間有信息傳遞，為了保證在信息傳遞過程中局域網(wǎng)不被感染病毒，防止病毒蔓延，應在基層網(wǎng)絡和局域網(wǎng)有業(yè)務關(guān)系的單機上安裝反病毒軟件。這樣即使局域網(wǎng)周邊的網(wǎng)絡中有病毒存在，也能夠在進入局域網(wǎng)之前被查殺，要求程序定時進行掃描，既保證了重點網(wǎng)絡的安全，又降低了校園網(wǎng)在防病毒方面的投資。三、方案設(shè)計1、設(shè)計原則針對網(wǎng)絡系統(tǒng)實際情況，解決網(wǎng)絡的安全保密問題是當務之急，考慮技術(shù)難度及經(jīng)費等因素，設(shè)計時應遵循如下思想：（1） 大幅度地提高系統(tǒng)的安全性和保密性；（2） 保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性；（3） 易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；（4） 盡量不影響原網(wǎng)絡拓撲結(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展；（5） 安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；（6） 安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認可或認證；（7） 分步實施原則：分級管理分步實施。2、安全策略采用漏洞掃描技術(shù)，對重要網(wǎng)絡設(shè)備進行風險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：防火墻技術(shù)：在網(wǎng)絡的對外接口，采用防火墻技術(shù)，在網(wǎng)絡層進行訪問控制。2NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡信息。VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸,通過一個私有的信道在公共網(wǎng)絡上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)信道將遠程用戶、公司分支機構(gòu)、公司業(yè)務伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在，仿佛所有的機器都處于一個網(wǎng)絡之中。公共網(wǎng)絡似乎只由本網(wǎng)絡在獨占使用，而事實上并非如此。網(wǎng)絡加密技術(shù)(Ipsec):采用網(wǎng)絡加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。認證：提供基于身份的認證，并在各種認證機制中可選擇使用。多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護。網(wǎng)絡的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡進行監(jiān)測和預警，進一步提高網(wǎng)絡防御外來攻擊的能力。實時響應與恢復：制定和完善安全管理制度，提高對網(wǎng)絡攻擊等實時響應與恢復能力。建立分層管理和各級安全管理中心。3、安全服務網(wǎng)絡是個動態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡設(shè)備的調(diào)整，網(wǎng)絡配置的變化，各種操作系統(tǒng)、應用程序的變化，管理人員的變化。即使最初制定的安全策略十分

可，但是隨著網(wǎng)絡結(jié)構(gòu)和應用的不斷變化，安全策略可能失效，必須及時進行相應的調(diào)整。4、拓撲結(jié)構(gòu)圖中伽史JH”

卻-_Lr.二1一 ASWE主服務裁主用賤甩丹裁工妣交細I工什髓 ；中伽史JH”

卻-_Lr.二1一 ASWE主服務裁主用賤甩丹裁工妣交細I工什髓 ；■ 工卡申藁 [| 礎(chǔ)繚獣i土刪骯5?便枷交樓削交艘機工惟貼雖理圖2校園網(wǎng)網(wǎng)絡拓撲結(jié)構(gòu)圖四、方案的實施1、在管理方面網(wǎng)絡中的關(guān)鍵設(shè)備應放置于可靠的機房，并有健全的管理制度和措施；加強安全檢查，定期對網(wǎng)絡和系統(tǒng)進行掃描、檢查和巡視；培養(yǎng)師生的安全意識，加強口令管理，限制用戶采用容易破懌的口令；保持對國際上先進安全技術(shù)的跟蹤。學習和研究，及時進行技術(shù)升級。2、在技術(shù)方面(1)通過VLAN技術(shù)，控制網(wǎng)絡流量，提供網(wǎng)絡效率，防止網(wǎng)絡偵聽(sniffer)；不同的VLAN,可以根據(jù)功能區(qū)域的不同，設(shè)定不同的安全級別；對于重要網(wǎng)絡設(shè)備和管理系統(tǒng)，應設(shè)置最高的安全級別；對于向外提供信息服務的重要服務器，關(guān)閉不需要開放的服務端口，限制用戶的操作權(quán)限，防止非法操作；采用訪問控制表進行訪問限制，過濾不正當?shù)脑L問和惡意攻擊；通過防病毒軟件和適當?shù)膫€人電腦網(wǎng)絡設(shè)置，建立桌面級的系統(tǒng)安全；校園網(wǎng)可以通過DHCP服務器，實現(xiàn)動態(tài)地址分配與認證，實現(xiàn)對內(nèi)信息內(nèi)容的訪問控制。3、定期做好備份工作系統(tǒng)管理員需要定期備份服務器上的重要系統(tǒng)文件。比如操作系統(tǒng)盤,做備份存檔。文件資料等可以用RAID方式進行每周備份。這樣一旦服務器出現(xiàn)故障，可以損失降的很小。