校园网网络安全问题分析及其项目解决方案毕业论文doc

《校园网网络安全问题分析及其项目解决方案毕业论文doc》由会员分享，可在线阅读，更多相关《校园网网络安全问题分析及其项目解决方案毕业论文doc（22页珍藏版）》请在装配图网上搜索。

1、 毕业设计论文校园网网络平安问题分析与其解决方案学生专 业计算机网络维护学 号79二零一二年三月18 / 22摘 要随着互联网的普与和国各高校网络建立的不断开展，目前高校大多建立了校园网，它己经成为高校信息化的重要组成局部。但随着黑客入侵的增多与网络病毒的泛滥，校园网的平安已成为不容无视的问题，如何在开放网络的环境中保证校园网的平安性已经成为十分迫切的问题。本文系统地介绍了网络平安的概念、讨论了校园网目前面临的各种平安威胁。本文针对校园网的建立目标，列出了应对校园网络平安的关键技术，并结合校园网的特点详细论述了校园网平安防御的实现和措施，包括防火墙的设置，身份认证和数据加密，入侵检测，物理专用

2、隔离网等等。最后本文分析了实际相关案例，使技术与实际应用相结合，说明基于校园网网络信息平安的运行模式和过程。关键词：校园网; 网络平安; 防火墙; 入侵检测摘要I1 校园网网络概述11.1 计算机网络的开展与平安现状1计算机网络的开展1网络平安的现状21.2 校园网简介2校园网概念与其问题2校园网开展趋势313 校园网的网络构成3校园网网络体系结构概述4校园网系统功能构成4图1-1 校园网系统功能结构图5校园应用管理平台5典型校园网拓扑结构6校园网的建立目标62 校园网的平安隐患82.1 威胁校园网平安的部因素8软硬件自身的漏洞8设置上的失误8管理漏洞92.2 威胁校园网平安的外部因素9网络黑

3、客的入侵9计算机病毒的破坏92.3 校园网平安防御与应急关键设备技术103 校园网网络平安对策分析123.1 校园网络平安策略概述12网络平安系统策略的制定12校园平安的设计原那么133.2 校园网络平安体系结构设计13设计校园网络平安体系的原那么13校园网络平安体系的设计容143.3 解决校园网平安问题的关键技术14防火墙部署14虚拟专用网(VPN)15入侵检测(IDS)16计算机病毒防御17漏洞扫描17备份与恢复18网络管理的平安18完毕语20参考文献211 校园网网络概述 随着网络技术的不断开展，网络平安已成为一个不可无视的问题。伴随着高校校园数字化的不断深入校园网平安越来越成为人们关注

4、的焦点之一。本章系统地论述了计算机网络技术的开展以与当前网络平安所面临的主要问题，校园网的开展状况，校园网的拓扑结构，功能结构，校园网的建立目标等容。1.1 计算机网络的开展与平安现状 自1946年第一台计算机以来，计算机技术与网络技术得到飞速开展，计算机网络已成为国民经济的重要支撑，发挥着举足轻重的作用。与此同时，网络平安问题也成为一个不可无视的问题。Internet是以TCP/IP协议为核心的一种计算机网络体系结构的统称。在计算机网络技术近40年的开展历史中，曾经涌现出各种各样的计算机网络体系结构和技术，它们努力提供类似于Internet的功能和效劳，但是都没有像Internet能够在技术

5、上和实践上适应于各种变化，获得今天这样的巨大成功，并且正在对计算机网络技术的未来开展趋势产生深刻的影响。随着Internet规模的不断扩大，新网络技术的不断出现和网络应用的开展，对Internet技术不断提出新的挑战。目前，负责Internet技术工作的Internet工程任务组织IETF正在九个领域开展技术研究。由于网络的规模和应用迅速开展，计算机信息网络技术面临的挑战仍然是十分严峻的。主要包括以下几个方面：1) 网络的可扩展性原先设计的TCP网络技术不能适应Internet规模的不断扩大，网络的可扩展性问题成为重要的技术挑战。例如:网络的地址空间不够大;网络主干网的速度需要大大提高;采用多

6、个Internet主干网后，网络间的连接和路由选择技术;大型分布式网络目录系统;网络上大量零散信息，包括WWW信息的自动发现和检索技术等等。2) 网络的平安性Internet技术的灵活性和开放性使得它在平安方面存在一些平安漏洞。国际标准化组织给网络平安的定义为:“为数据处理系统建立和采用的技术和管理保护计算机硬件软件和数据不因偶然和恶意的原因遭到破坏更改和泄露。网络的平安性问题包括系统平安和网络信息平安两方面的容。这方面的技术挑战包括:网络和计算机系统的技术设计漏洞;网络和计算机系统口令的偷窃;协议出错;认证出错;信息泄漏:防火墙技术;信息传输加密算法和电子签名等等。3) 网络效劳质量基于分组

7、交换技术的TCP/IP协议不能保证网络用户获得所需的网络效劳质量，这对于原先的Internet网络应用无关紧要，但是对于许多新型的网络应用却带来麻烦，例如:像InternetPhone、Seeyou- See me、Videoman等实时的网络应用希望获得固定的网络带宽。这方面的协议己经在研究之中。4) 新的网络应用新的网络应用对Internet/Intranet技术的挑战尤为巨大，由此也带来了网络原始设计与规划所未考虑或考虑不周的问题。近三年，全球信息网络平安呈现出一些新特点，主要表达在如下几个方面：网络威胁形式多样，经济利益成为网络攻击的最大驱动力；网络攻击呈现出组织严密化、行为趋利化、目

8、标直接化的趋势。网络欺骗手段进一步升级，黑客不光利用电子和进展诈骗，具有“网络钓鱼性质的病毒也开场出现，讹诈软件、网络游戏、网络银行盗号木马等被广泛使用，都充分说明了经济利益已经成为网络攻击的最大驱动力。网络黑客逐步形成了较为严密的组织，在组织局部工明确，从恶意代码的制作，恶意代码的散布到敏感信息的窃取都有专人负责;网络攻击从最初的技术炫耀转向获取经济利益，网络攻击的针对性和定向性越来越强;针对特定目标的网络攻击具有更大的威胁和破坏性，信息平安防护形势严峻。网络平安除以上情况外还包括以下几个方面：1) 漏洞数量居高不下，利用漏洞发起攻击仍是互联网最大的平安隐患。平安漏洞是指在网络系统中硬件、软

9、件、协议和系统平安策略等存在的缺陷和错误，攻击者利用这些缺陷和错误可以对网络系统进展非授权的访问或破坏。2) 病毒传播形式多元化。、移动存储设备成为病毒传播的新渠道。黑客们越来越多地通过对用户进展攻击。此外，通过移动存储设备传播病毒使很多电脑用户饱受其害。 3) 信息新技术应用和组网模式带来新的平安问题。无线射频识别(RFID)、IPT的应用、以与传感器网络、ad-hoc等网络通信模式的变化给信息平安带来了一些新挑战。1.2 校园网简介 随着网络技术的开展和网络应用的普与，校园网在国高等学校中已经开场普与。而且随着国高校的教学开展，高校应用水平的提高，高等学校校园网的整体水平和层次有了很大的提

10、高。“校园网的概念是指大、中、小学教育单位的网络，它以应用为目的，基于Internet/Intranet技术的计算机网络和它的使用者以与相关规章制度的集合。一个完整的校园网建立要紧紧围绕“路、车、货、驾驶员培训四大元素来进展。在这四大元素中，“货是重点，它是校园网建立的核心。这里，“路是指物理网络的搭建，包括四个方面：结构化布线、网络连通网络设备的选择、效劳器的选择、终端的选择；“车是指系统平台的建立，如教育行政管理平台、教学管理平台、资源库管理平台和校园网通信平台，其中，行政管理和教学平台主要针对教育工作，资源库平台将为这两个平台提供详尽的资料；“货是指软件具体是指应用系统的建立，它根据学校

11、的需求选择一些应用软件和硬件，一般学校常用的应用系统有多媒体网络教室、多媒体电子阅览室、网络多媒体课件制作系统、校园信息管理系统、视频点播、学校主页等；而“驾驶员培训是指为适应现代网络教学的要求而对相关人员进展的培训。这是一个伸缩性比拟大的工作，从人员角度，培训可分为四级：校长的培训、校园管理员的培训、青年骨干教师的培训、全体教师的培训，这些人员在培训之后能够针对学校的具体、特殊的需求或是未来需求而提出切实可行的建议，以便能够更好地进展系统的二次开发。目前校园网存在的四大问题：l 缺少关于校园网建立的理论与实践的科学认识；l 缺乏系统思考和统一规划，盲目地追求硬件建立与一次到位；l 对教师进展

12、计算机根底应用与网络培训的意义，没有意识或力度不够；l 对校园网的关键局部资源库的建立相对滞后。随着网络技术的开展和网络应用的普与，校园网在国高等学校中已经开场普与。而且随着国高校的教学开展，高校应用水平的提高，高等学校校园网的整体水平和层次有了很大的提高。高等学校校园网开展呈现以下趋势：与校园网相关的网络技术、应用技术开展更新的速度加快；新兴的千兆以太网，甚至万兆以太网络、ATM、网络视频等技术已被广泛使用；校园办公效劳软件的兴起，把学校教学、校务办公、学校效劳等有机地融合进校园网；利用校园网和互联网，开展了远程教育系统，丰富了教学手段，拓展了办学规模；同时Internet应用的开展也拓展了

13、高等教育的研究领域；新兴的Internet应用学科蓬勃开展，特别是电子商务应用系统的开展越来越受到广阔高等院校的重视，已经被局部高校编入了教学围。13 校园网的网络构成 校园网的网络组成可以按照不同的标准来区分，通常可以分为按照网络的拓扑分为校园网的体系机构以与按网络的功能分为校园网的功能结构。校园网平安策略的制定和实施是以各高校校园网的根底体系结构和网络应用具体情况为依据和实施根底的。因此在制定各高校的网络平安策略和实施具体的平安策略之前，透彻分析本校的校园网体系结构,网络拓扑结构，网络的路由策略，网络的区域划分，IP与VLAN的规划，网络访问策略，各应用系统的功能效劳对象，访问限制等等是非

14、常必要的，其性能直接影响到网络平安策略的实施效果。网络体系结构是关于如何构建网络的技术，它包括两个层次的涵。一是要标识出网络系统由哪些局部组成，清晰地描述出各个局部的功能、目的和特点。二是要描述网络各个组成局部之间的关系，如何将各个局部有机地结合在一起，形成完整的网络系统，从而保证网络有效地运转，也就是将各个局部进展集成的方式或方法。根据教育部教育管理信息化标准的要求，校园网的总体建立目标包括：校园网根底设施建立是我们数字化校园的根底，它的建立水平和效果直接影响到我们运行在校园网上的效劳，影响到全校的教学、科研甚至影响到师生的日常生活。校园网的建立包括根据自身的应用需求和特点进展校园网的体系结

15、构的设计，相关技术设备的选择，网络出口包括带宽的选择，设备之间拓扑关系确实定，集成、调试，应用建立等关键环节，在这些环节当中也包含着对校园网络安全的考虑与设计。近年的信息化建立，通过科研需求、教学应用、网络办公、网上娱乐等应用建立和使用，网络应用逐渐渗透到了校园生活的方方面面。上网备课，接收，网络聊天，游戏购物，校园用户联网的时间一天天延长。教育部科技开展中心公布的相关数据显示，98.4%的高校教学、科研、行政办公已经全部联入校园网，90.5%高校的教室已提供了校园网接入环境，74.35%的学校在学生宿舍已经接入网络，校园网覆盖围正在逐步地扩大。同时各个高校的网络应用建立也是搞得风风火火，从原

16、来的只提供局部特殊用户的上网接入，只提供根本的Web和Mail效劳开展到了增加网络出口，增加带宽，建立各部门和学院的二级站点乃至个人站点，Video视频点播系统、IPTV网络电视系统、各学科知识数据库系统、教学、人事等业务系统，精品课程、网上录播、监控等多种应用系统的建立。现在各高校正制定各自的数字化校园的规划，新一轮的校园网应用建立和信息系统集成将展开，这对我们的校园网根底设施建立和网络平安提出了新的挑战。校园网作为校园网络信息平台应该由一个平台和三个系统构成，即系统管理平台、校园公共信息系统、校园管理信息与办公自动化系统、校园教-学资源库系统。具体系统功能构成见图1-1校园公共信息系统校园

17、管理信息系统 办公自动化系统教-学资源库系统校园BBS校园聊天室校园大事记通知公告信息发布资料管理电子图书馆远程教育系统多媒体教学系统管理 权限管理校园系统管理平台教务管理成绩管理学籍管理课程注册管理生活管理就业管理电子邮件公文管理个人信息管理讨论区后勤管理人事管理图1-1 校园网系统功能结构图图1-1 校园网系统功能结构图 校园应用系统管理平台是一个可靠性高、平安性好、易管理的操作平台。在此平台上可轻松的实现用户注册、系统的备份和恢复、用户权限的设置以与资源的调整、初始化等管理工作。通过使用Intranet/Internet技术以与先进的XML技术和B/S结构，实现了与Internet的无缝

18、连接。校园公共信息系统Internet效劳系统主要用于校园公共信息的管理，是学校师生进展交流的场所，教师和学生通过公共信息系统将大大拓展信息交流的空间。作为大学的信息门户，该系统为全校师生提供校园讨论区BBS、校园聊天室、校园大事记、通知公告、信息发布等根底信息效劳。通过权限设置，实现角色化管理，年级、班级、兴趣小组等各类角色都可以根据自己定制的需求去查询、发布信息。校园管理信息系统用于支持学校日常管理的各项工作。用户通过使用人事管理、教育教学管理、后勤管理、教学资源与应用平台、图书馆管理、生活管理、医疗管理等多个功能子系统可以方便快捷地处理各种复杂数据操作和文字录入，完成各种校园信息数据的有

19、效管理。校园办公自动化针对校园办公需求不仅实现了便捷的公文管理、档案管理、信息交流，而且使每位教师、每个学生都拥有自己的信箱。教学资源库系统提供一致的资源管理和使用方式，实现简便准确的资源获取与检索，全面支持教学应用，包括对各类教学软件库、教学网络平台、电子阅览室等资源的分类、检索和管理、多媒体教学、远程教育等功能。校园网的网络体系结构包括校园网的网络边界设备，核心与骨干设备，网络接入层设备，网络效劳提供设备和这些设备的连接方式以与该结构采用的协议与技术。当前的校园网多采用1000M以太网主干技术，1000M或100M到楼，100M或10M到桌面，局部区域采用无线接入技术802.11实现无线接

20、入。校园网络一般有边界路由器，高性能的核心路由交换机，各分布层的三层路由交换机，大量的二层可网管接入交换机，以与防火墙，IDS或IPS，容过滤系统，流量分析系统，网络设备管理系统等网络硬件设备。校园网多采用星形拓扑结构，常见的校园网拓扑结构如图1-2图1-2 校园网拓扑结构网络平安Network Security是抵御部和外部各种形式的威胁，以确保络的平安的过程。为了深入彻底地理解什么是网络平安，必须理解网络平安旨在保护的网络上所面临的威胁，理解一个能够用于阻止这些攻击的主要机制也是非常重要的。通常，在网络上实现最终的平安目标可通过下面的一系列步骤完成，每一都是为了澄清攻击和阻止攻击的保护方法

21、之间的关系。下面的步骤是在一个站上建立和实现平安的方法：第1步确定要保护的是什么；第2步决定尽力保护它免于什么威胁；第3步决定威胁的可能性；第4步以一种划算的方法实现保护资产的目的；第5步不断地检查这些步骤，每当发现一个弱点就进展改良。校园网络系统需要实现以下平安目标：l 保护网络系统的可用性；l 保护网络系统效劳的连续性；l 防网络资源的非法访问与非授权访问；l 防入侵者的恶意攻击与破坏；l 保护信息通过网上传输过程中的性、完整性。2 校园网的平安隐患校园网在学校的日常活动中发挥着越来越重要的作用，与此同时，校园网的平安问题也越来越突出，网络病毒，黑客入侵，管理不善等原因使得校园网络面临着严

22、重的威胁。2.1 威胁校园网平安的部因素在校园网面临的威胁当中，部因素是一个重要的方面，这其中既包括软硬件自身的缺陷，也包括管理者的管理水平等主观方面的因素。 来自硬件系统的平安威胁。一方面是指物理平安，主要是由于网络硬件设备的放置不适宜或者防措施不得力，使得效劳器、工作站、交换机、路由器等网络设备，光缆和双绞线等网络线路以与UPS和电缆线等电源设备遭受自然雷电、水、火意外事故或人为破坏等等而造成的校园网不能正常使用。另一方面是指设置平安。主要是在设备上进展必要的设置，防止黑客取得硬件设备的远程控制权等等。硬件系统平安是制订校园网平安整体解决方案时首先应考虑的问题。 系统平安漏洞是指系统在设计

23、时没有考虑到的缺陷，特别是操作系统，因为这些软件一般都比拟的复杂、庞大，有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在，使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者对系统漏洞进展攻击，入侵成功后将获得系统的相应权限，进而盗取重要资料或对系统进展破坏活动。目前学校的计算机系统绝大多数都是使用Windows2000/XP操作系统，而Windows操作系统是不太平安的。因为Windows操作系统的漏洞比拟多，由Windows操作系统漏洞引发的不平安问题时有发生。此外，应用系统也不例外，如IE、Office办公软件、Ms

24、-SQL、Oracal等软件也存在平安漏洞。合理规划配置设施是校园网发挥作用的关键。在校园网规划时，应考虑长远，因为一旦综合布线、设备配置完成再进展调整可能需要再重新设计网络结构，很多地方需要重新布线，网络设备也需要重新设置，这样既浪费人力，物力，也会影响到教学。对于一些重要的场所，例如图书馆、电子阅览室、资料室、电脑室、多媒体制作室、教室、办公室等应多设信息点。同时网络集成公司的技术实力、施工质量与其五花八门的解决方案大多是自吹自擂，并没有通过权威部门的评审、鉴定，致使网络市场处于一种比拟混乱的局面。管理是信息网络平安中最重要的局部。责权不明，管理混乱、平安管理制度不健全与缺乏可操作性等都可

25、能引起管理平安的风险，主在表达在以下几点:1) 部管理人员或员工把部网络结构、管理员用户名与口令以与系统的一些重要信息传播给外人带来信息泄漏风险；2) 机房出入管理不严格，使入侵者能够接近重要设备而带来信息平安风险；3) 一些心怀不满的部员工，由于熟悉效劳器、小程序、脚本和系统的弱点，进展如复制、删除数据等非法数据操作，造成极大的平安风险；4) 当网络出现攻击行为或网络受到其它一些平安威胁时(如部人员的违规操作等)，无法进展实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供攻击者攻击行为的追踪线索与破案依据，即缺乏对网络的可控性与可审查性。建立全新网络平安机制，必须深刻理解网络并能提

26、供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。2.2 威胁校园网平安的外部因素 虽然部因素威胁着校园网的平安，但是在绝大多情况下，网络病毒，黑客入侵等外部因素对网络构成很大威胁。“黑客一词是由英语Hacker英译出来的，是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的开展而产生成长。黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。 由于校园网规模巨大，各种设备系统差异有很大差异，给管理带来了很大的挑战，同时也成为黑客

27、攻击的对象。黑客攻击已成为校园网平安不可无视的一个因素。一般来说，计算机网络的根本构成包括网络效劳器和网络节点站包括有盘工作站、无盘工作站和远程工作站。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开场在网上的传播。具体地说，其传播方式有以下几种。l 病毒直接从工作站拷贝到效劳器中或通过在网传播；l 病毒先传染工作站，在工作站存驻留，等运行网络盘程序时再传染给效劳器；l 病毒先传染工作站，在工作站存驻留，在病毒运行时直接通过映像路径传染到效劳器中；l 如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络效劳器中一旦病毒进入文件效劳器，就可通过它迅速传染到整个网络的每一个

28、计算机上。2.3 校园网平安防御与应急关键设备技术1) 防火墙与技术它为网络通信、数据传输提供更有保障的平安性。分为包过滤防火墙检查每个IP包的字段，如源地址、目标地址、端口等 ；状态检测防火墙动态检查网络连接和包；应用程序代理防火墙与特定应用程序配合使用。防火墙性能：最大带宽、并发连接数、每秒新增连接数、丢包和延迟；自身平安性。防火墙产品：Juniper的Net Screen；Cisco的Pix；天融信防火墙；天网防火墙。2) 入侵检测与防御与技术 它能与时发现网络异常行为，并阻止其进一步开展。入侵检测技术包括以下几种：基于误用检测技术检测与异常规那么相匹配的网络行为；基于异常检测技术检测偏

29、离了正常规那么的网络行为。入侵检测核心技术：模式匹配、基于统计方法、预测模式生成等。防火墙性能：降低误报率、漏报率；入侵检测产品有：CA的Intrusion Detection,启明星辰的天阗IDS等。3) 防病毒与技术它能与时发现病毒，并去除，阻止病毒进一步传播、扩散。防病毒核心技术有：特征代码匹配、病毒特征自动发现、启发式搜索等，防病毒产品有：Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。4) 反垃圾与技术它能过滤、阻止大量的非正常的电子。反垃圾机理：IP地址、域名、地址黑白方式；基于垃圾行为模式识别模型 ；Domainkeys方式(基于PKI的方式对发送者进展验证，对信息进

30、展加密保护，对收信人实现防抵赖机制)；基于信头、信体、附件的容过滤方式；反垃圾产品有：防垃圾网关，如冠群金辰 的Kill赤霄过滤网关；防垃圾防火墙，如：博威特的梭子鱼垃圾防火墙。5) 容过滤与技术 它能阻止不安康、反动信息的复制、传播。过滤方法有：基于关键字、权重关键字、基于URL的过滤；基于文字容的深度搜索；一般在防病毒网关、反垃圾系统中集成。根据本章所提出的校园网所面临的平安威胁，我们除了选取良好的拓扑结构外, 一般还要注意平安, 以防止信息的非授权访问; 要注意数据的完整性与准确性, 使信息在存储或传输过程中不被破坏、丧失或不被未经授权的恶意或偶然的修改; 注意其可用性, 使计算机的硬件

31、和软件保持有效的运行, 并且系统在发生灾难时能够快速完全地恢复。要防止侵袭者通过非法途径进入计算机系统, 偷盗有用的数据信息, 重点保护系统中容易被攻击的脆弱点。根据目前的技术水平, 我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等平安措施来加以防。在校园网平安规划时, 对于在什么地方应采取什么样的平安措施, 事先都必须给予充分的考虑, 以确保校园网的平安，对于这些问题我们将在下一章节予以研究。3 校园网网络平安对策分析 校园网平安问题愈来愈突出的同时，校园网平安的对策也越来越引起人们的关注。本章重点讨论校园网的平安策略，并在此根底上简要地说明校园网平安体系结构的构建，以与校园网

32、网络平安体系的容，校园网平安问题对策所用到的关键技术。3.1 校园网络平安策略概述 随着网络应用的开展，要建立一个平安的网络体系，首先应花较大的精力制定周密的网络平安策略，这是最重要的一步。在网络平安的实施中，技术只是手段，还应该先对网络平安管理有个清晰的概念，然后制定翔实的平安策略，最后才是选择适宜的产品用以具体实施和构建平安系统。要建立一个平安的网络平安体系，必须采取相应的策略，根据实际的需求不同，采取的策略可能有一些不同之处，但大都包括下述策略。物理平安的目的是保护路由器、交换机、工作站、各种网络效劳器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备有一个良

33、好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进展破坏活动。采用网络隔离手段可有效减小信息的传播面，从而增加信息的平安性。应根据业务划分、要求等因素的差异将网络进展分段隔离，它可从底层有效地控制信号传播途径与传播围，实现更为细化的平安控制体系，将攻击和入侵造成的威胁限制在较小的子网，提高网络整体的平安水平。路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。在经费允许围，尽可能选用平安级别较高的网络操作系统与数据库系统，以平安套件加固TCP/IP各层。如因受客观条件限制，难以对网络操作系统与数据库系统进展选择，那么其他核心软件，如防火墙、入侵检测、网络平安漏

34、洞扫描软件等应尽可能地选用经国家网络平安权威机构评审通过的优秀国产软件。最小授权原那么指网络中账号设置效劳配置主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络平安策略中没有定义的网络效劳并将用户的权限配置为策略定义的最小限度、与时删除不必要的账号等措施可以将系统的危险性大大降低。在网络平安中，除了采用技术措施之外，制定有关规章制度，对于确保网络平安、可靠地运行将起到十分有效的作用。规章制度作为一项核心容，应始终贯穿于系统的平安生命周期。一般来说，平安与方便通常是互相矛盾的。一旦安全管理与其它管理效劳存在冲突的时候，网络平安往往会作出让步，或许正是由于一个细微的让步，最终导致了整个

35、系统的崩溃。因此，严格执行平安管理制度是网络可靠运行的重要保障。校园网覆盖整个校区，在网络性能上应该考虑以下几项要求：数据处理、通信处理能力强，响应速度快。网络运行的平安性、可靠性高。网络能够容易得进展扩容、升级和管理。主干网的带宽要高，可以支持多媒体等视频业务的开展和满足数据流量不断增长的要求。此外，在校园网建立的具体实施中需要注意的设计原那么包括：l 坚持开放型，采用国际标准和通用标准；l 尽量采用先进、成熟的组网技术；l 强调实用性、并尽可能到达性能价格比最优；l 统一规划、分布实施。3.2 校园网络平安体系结构设计构建平安高效的校园网络是校园网建立的目标之一，校园平安体系结构的建立是其

36、中的重要一环，平安体系设计的好坏是校园网成败的关键。根据网络平安性设计的要求设计网络平安体系时应遵循平安性，可行性，高效性，可承当性等原那么，分别阐述如下：1) 平安性:设计网络平安体系的最终目的是为保护信息与网络系统的平安，所以平安性成为首要目标。要保证体系的平安性，必须保证体系的完备性和可扩展性。2) 可行性:设计网络平安体系不能纯粹地从理论角度考虑，再完美的方案，如果不考虑实际因素，也只能是一些废纸。设计网络平安体系的目的是指导实施，如果实施的难度太大以至于无法实施，那么网络平安体系本身也就没有了实际价值。3) 高效性:构建网络平安体系的目的是能保证系统的正常运行，如果平安影响了系统的运

37、行，那么就需要进展权衡了，必须在平安和性能之间选择适宜的平衡点。网络系统的平安体系包含一些软件和硬件，它们也会占用网络系统的一些资源。因此，在设计网络平安体系时必须考虑系统资源的开销，要求平安防护系统本身不能阻碍网络系统的正常运转。4) 可承当性:网络平安体系从设计到实施以与平安系统的后期维护、平安培训等各个方面的工作都要由学校来支持，要为此付出一定的代价和开销。如果我们付出的代价比从平安体系中获得的利益还要多，那么我们就不该采用这个方案。一个完整的平安体系应该包含五个平安层面，分别为数据层，应用层，用户层，系统层和网络层。数据层重点关注应用层的数据平安，因而在数据层优先考虑数据加密算法。应用

38、层的重点是网络应用中的存取控制和授权。在用户层，校园网络平安体系的主要容包括用户的管理，登录，认证。而系统层侧重与操作系统的防病毒，入侵检测，审计分析。网络层针对网络底层数据的通讯平安提出解决方案。3.3 解决校园网平安问题的关键技术解决校园网平安问题的关键技术包括防火墙，虚拟专用网，入侵检测，病毒防御，备份与恢复，漏洞扫描等。防火墙指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的平安策略进展检查，以决定通信是否被允许，对外屏蔽部网的信息、结构和运行状况，并提供单一的平安和审计的安装控制点，从而到达保护部网络的信息不被外部非授权用户访问和过滤不良信

39、息目的。防火墙根据功能可以分成个人防火墙和网络防火墙，根据实现方法可以分成硬件防火墙和软件防火墙，根据结构可以分成包过滤(packetfiltering)、状态检测(State inspection)、应用层代理(即application proxies)、容过滤/状态包过滤(contentfiltering/statepacket filtering)防火墙。防火墙结构如图3-1所示图3-1 典型防火墙结构网络防火墙用以保护企业网络等较大的复杂网络，以处理更多的用户。软件防火墙和硬件防火墙是个相对概念，根本上，所有的防火墙都需要软件的处理局部。硬件防火墙指的是将防火墙软件和特定硬件平台集成在

40、一起的应用。软件防火墙那么是指对底层硬件没有特殊要求，可以安装在Windows、Unix系统直接使用的防火墙。根据防火墙的工作原理所有的防火墙从体系结构上都可以分为数据获取、应用处理和数据传输三大局部。通常情况下，数据获取和数据传输是由软、硬件两局部共同实现的。其中，硬件局部一般是防火墙设备的网络接口设备;数据获取的软件局部是负责将硬件获取的网络通讯信息从网络接口设备的缓冲区传送到操作系统缓冲区进展处理的软件代码，数据传输的软件局部那么是执行与数据获取相反的工作的软件代码，这些代码主要作用是将防火墙需要发送的数据包从操作系统缓冲区中传送到相应的网络接口设备并传送出去。防火墙将接收到的数据包传送

41、给应用功能模块，进展相应的处理。不同的防火墙可能具有不同的应用功能，这些功能可能是包过滤、状态检测、容过滤、加密、NAT、IDS、VPN、各种代理效劳等等。虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet效劳提供商)和其它NSP(网络效劳提供商)，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路。而是利用某种公众网的资源动态组成的。VPN分为三种类型:远程访问虚拟网(AccessVPN)、企业部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN)，这三种

42、类型的VPN分别与传统的远程访问网络、企业部的Intranet以与企业网和相关合作伙伴的企业网所构成的Extranet相对应。为进一步保护网络的平安性，需应用入侵检测技术，对网络入侵进展实时检测，即对网络活动和系统事件进展实时监控。实时入侵检测强调时间性，是连续、不连续地监控、检测、响应、防护循环过程，实时入侵检测必须实时执行。计算机信息网络设置了防火墙后可以解决多数网络平安问题，但是防火墙不是万能的，不能提供实时的入侵检测能力。有些攻击行为仅仅依靠防火墙是不能防的，比方如果攻击行为从部网络上发起，那么对主机的访问就不需要通过防火墙，防火墙也就不能对主机进展保护了。一个简单的入侵检测系统，如图

43、3-2所示。图3-2 简单IDS系统 入侵监测的功能通过执行以下任务来实现:监视、分析用户与系统活动;系统构造和弱点的审计;识别反映进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理，并识别用户违反平安策略的行为。防火墙与入侵检测这两种技术具有较强的互补性。目前，实现入侵检测和防火墙之间的联动有两种方式可以实现，一种是实现严密结合，即把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据来源不再来自于抓包，而是流经防火墙的数据流。所有通过的数据包不仅要承受防火墙检测规那么的验证，还需要经过入侵检测，判断是否具有攻击性，以到达真正的实时阻断

44、，这实际上是把两个产品合成一体。但是，由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度、合成后的性能等方面都会因此受到很大影响。所以，目前还没有厂商做到这一步，仍处于理论研究阶段。但是不容否认，各个平安产品的严密结合是一种趋势。第二种方式是通过开放接口来实现联动，即防火墙或者入侵检测系统开放一个接口供对方调用，按照一定的协议进展通讯、警报和传输。目前开放协议的常见形式有:平安厂家提供IDS的开放接口，为各个防火墙厂商使用，以实现互动。这种方式比拟灵活，不影响防火墙和入侵检测系统的性能。3.3.4 计算机病毒防御计算机病毒是指编制或者在计算程序中插入的破坏计算机功能或者毁坏数据，影响

45、计算机使用，并能够自我复制或者在计算程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码，随着因特网技术的开展，这一计算机病毒的定义也在进一步扩大化，一些带有恶意性质的特洛伊木马程序，黑客程序和蠕虫程序等从广义角度也被归入计算机病毒的畴。从开展的角度来看，计算机病毒属于恶意代码的一种，恶意代码(maliciouscode)是一种程序，它可以表述为人为编制的，干扰计算机正常运行并造成计算机软硬件故障，甚至破坏数据的计算机程序或指令集合都认为是恶意代码。恶意代码通过把代码在不被发觉的情况下镶嵌到另一段程序中，从而到达破坏被感染电脑数据、运行具有入侵性或

46、破坏性的程序、破坏被感染电脑数据的平安性和完整性的目的。恶意软件的传染结果包括浪费资源、破坏系统、破坏一致性，数据丧失和被窃并能让客户端的用户失去信心。按传播方式分类，恶意代码可以分成几类:病毒，木马，蠕虫，间谍软件与移动代码等。多种复合攻击技术的使用已经使得平安防护不仅仅是针对互联网早期某种病毒防护那么简单。而计算机病毒的防御是一个系统工程，容涉与防病毒软件、补丁升级、以与合理的平安管理规等方面。计算机漏洞是系统的一组特性，恶意的主体(攻击者或者攻击程序能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。这里的漏洞既包括单个计算机系统的脆弱性，也包括计算机网络

47、系统的漏洞。当系统的某个漏洞被入侵者渗透(exploit)而造成泄密时，其结果就称为一次平安事件(SecurityIncident)。 漏洞扫描其根本原理是采用模拟黑客攻击的方式对目标可能存在的己知漏洞进展逐项检测，以便对工作站、效劳器等各种对象进展平安漏洞检测。网络漏洞扫描在保障网络平安方面起到越来越重要的作用。借助网络漏洞扫描，平安管理人员可以发现网络和主机存在的对外开放的端口、提供的效劳某些系统信息、错误的配置、的平安漏洞等。面对互联网入侵，如果根据具体的应用环境，尽可能早地通过网络扫描来发现平安漏洞，并与时采取适当的处理措施进展修补，就可以有效地阻止入侵事件的发生。建立完整的网络数据备

48、份系统必须实现以下容：计算机网络数据备份的自动化，以减少系统管理员的工作量；使数据备份工作制度化，科学化；网络平安技术与其在校园网中的应用与研究；对介质管理的有效化，防止读写操作的错误；对数据形成分门别类的介质存储，使数据的保存更细致、科学；自动介质的清洗轮转，提高介质的平安性和使用寿命；以备份效劳器形成备份中心，对各种平台的应用系统与其他信息数据进展集中的备份，系统管理员可以在任意一台工作站上管理、监控、配置备份系统，实现分布处理，集中管理的特点；维护人员可以容易地恢复损坏的整个文件系统和各类数据。备份系统还应考虑网络带宽对备份性能的影响，备份效劳器的平台选择与平安性，备份系统容量的适度冗余

49、，备份系统良好的扩展性等因素平安管理是保证网络平安的根底，平安技术是配合平安管理的辅助措施。我建立了一套校园网络平安管理模式，制定了详细的平安管理制度，如机房管理制度、病毒防制度等，并采取切实有效的措施，保证了制度的执行。完毕语校园网面临着一系列的平安问题受到来自外部和部的攻击(如病毒困扰，非授权访问等)。目前国许多高校存在校区分散的状况，各校区间通信的平安连接还存在问题。计算机网络平安取决于平安技术与网络管理两大方面。从技术角度来讲，计算机网络平安又取决于网络设备的硬件与软件两个方面，网络设备的软件和硬件互相配合才能较好地实现网络平安。本文尽管对校园网络平安进展了较深入的研究，也提出了网络平

50、安的解决方法，但是，计算机网络平安的问题是一个永久的课题，它将随着计算机技术、计算机网络的开展而一直存在、一直开展。计算机网络的威胁与计算机网络的平安防护的关系就像是“矛和“盾的关系一样，没有无坚不摧的矛、也没有无法攻破的盾。参考文献1 国祥校园网网络层平安技术研究师学院学报，第21卷第3期2 校园网设计方案. 应用工程技术学院2001年4 王峰如何制定网络平安策略网络通讯与平安，2006年第9期5 建榕基入侵检测与漏洞扫描计算机平安，2003年第9期6 Sadat MalikNetwork Security Principles and Practices人民邮电,20037 波.网络平安理论与应用:电子工业，2002年9 频，唐家益.虚拟专用网分类和比拟研究计算机工程，2006年11 尧学、王晓春、艳标.计算机网络与Internet教程.清华大学，1999年12 王睿、林海波编著.网络平安与防火墙技术.清华大学，2000年13 John G.proakis, Digital communications: principles and practice ,McGraw-Hill200114 David Lee, Campus Network Design ;电子工业，200413 ：/.answers.14 15 .cisco./web/cn/products