网络安全硕士论文校园网安全性能的研究与实现

《网络安全硕士论文校园网安全性能的研究与实现》由会员分享，可在线阅读，更多相关《网络安全硕士论文校园网安全性能的研究与实现（49页珍藏版）》请在装配图网上搜索。

1、分 类 号： TP393 论文编号：2008081203014密 级： 贵 州 大 学2011届硕士研究生学位论文校园网安全性能的研究与实现学科专业：计算机应用技术研究方向：网络安全 导 师： 研 究 生： 中国贵州贵阳2010年11月目 录摘 要IABSTRACTII第一章 前 言11.1研究背景11.2研究现状21.3研究的主要内容31.4论文的组织结构3第二章 网络安全技术介绍52.1网络安全的定义52.2网络安全的基本要求及层次体系52.3网络安全技术72.3.1防火墙技术72.3.2入侵检测技术92.3.3身份认证技术122.3.4防病毒技术132.3.5 VPN技术16第三章 凯里

2、学院网络的安全分析183.1凯里学院网络的介绍183.1.1校园网的拓扑结构183.1.2校园网主干设备的选择203.2校园网的安全分析263.2.1校园网面临的安全威胁分析263.2.2校园网实现的安全目标27第四章 凯里学院网络的安全实现294.1校园网络安全实现概述294.2物理安全平台的实现294.3网络安全技术的实现314.3.1防火墙的应用324.3.2入侵检测系统的应用324.3.3防病毒技术的应用344.3.4数据备份和恢复技术的应用344.4安全的管理制度354.5安全实现的模拟分析364.5.1外部攻击行为防护性能分析374.5.2内部攻击行为防护性能分析38第五章 结论与

3、展望405.1 结论405.2 展望40致 谢41主要参考文献42附录 攻读硕士学位期间发表的论文44贵州大学工程硕士论文摘 要计算机科学与技术的不断发展和计算机的广泛应用，促进了社会的进步和繁荣，给人类创造了巨大的财富。尤其是计算机网络的发展，日新月异，使信息共享广泛用于金融、贸易、商业、企业、教育等各个领域。然而由于信息在网络上存储、共享和传输会被他人非法窃听、截取、篡改或破坏而导致不可估量的损失，使网络面临着严重的安全问题。校园网络作为学校的重要基础设施，担负着学校教学、科研、管理和与其它学校进行交流的重要责任，校园网络已成为学校正常运行的基本条件之一。安全问题也成为了校园网络研究的重点

4、。本文以凯里学院网络为研究对象，分析了网络安全管理技术：防火墙技术、入侵检测技术，VPN技术、身份认证技术、病毒防范技术，分析了凯里学院网络的安全现状并指出了网络安全方面存在的隐患。针对凯里学院校园网络的具体情况，提出了对学院校园网络安全实现的探讨，通过在校园网络出口处设置防火墙阻断校园网络与Interner连接产生的威胁，在学校的重要部门设置入侵检测系统来防护外网及内部用户所产生的威胁，对于计算机系统的漏洞威胁，可以安装防病毒软件。通过合理的部署这些安全产品，再加上安全的管理制度，使整个校园网络达到安全的目的。关键词：校园网络；网络安全；安全技术；安全管理AbstractThe develo

5、pment of computer science and technology and a wide range of applications of computers promote social progress and prosperity and create enormous wealth for mankind. In particular, through computer networks, sharing information is widely used in finance, trade, business, education and other fields.

6、However, information stored, shared and sended by the network might be unlawfully eavesdropped, intercepted, tampered, destructed, which causes incalculable losses to the network and makes network face serious security problems.As an important infrastructure in school, campus network makes teaching,

7、 research, management and exchanges with other schools more convenient. Campus network has become a necessary for normal work in school. So security has become a key field of campus network research. Through studying the network of Kaili College, based on the analysis of the technology of network se

8、curity management: firewall technology, intrusion detection, VPN technology, authentication technology, anti-virus technology, we analyze the status of Kaili College network and point out the hidden danger in the network in this paper. According to the specific circumstances of the network security

9、of Kaili College, the paper discusses the ways to achieve security.installing the firewall prevent the threat from connection between the campus network and Internet, installing intrusion detection system in important sectors in school prevent threat from users of internal and external network and i

10、nstalling anti-virus software prevent the vulnerabilities of the computer system. Through the rational application of these safe products above,with the safe management system, the entire campus network will be in security.Keywords: campus network; network security; security technology; security man

11、agement44第一章 前 言1.1研究背景互联网的产生，是人类智慧的结晶，20世纪的重大科技发明，当代社会先进生产力的重要标志。互联网的快速发展和应用深刻影响着世界经济、政治、文化和社会的发展，促进了社会生产生活和信息传播的变革，改变着人们的生活方式。2010年7月15日，中国互联网络信息中心(CNNIC)在京发布了第26次中国互联网络发展状况统计报告(以下简称报告)。报告中显示，截至2010年6月底，我国网民规模达4.2亿人，互联网普及率持续上升增至31.8%。手机网民成为拉动中国总体网民规模攀升的主要动力，半年内新增4334万，达到2.77亿人，增幅为18.6%。值得关注的是，互联网商

12、务化程度迅速提高，全国网络购物用户达到1.4亿，网上支付、网络购物和网上银行半年用户增长率均在30%左右，远远超过其他类网络应用。但尽管如此，网络应用仍然受到各种安全因素的困扰。CNNIC调查发现，仅2010年上半年，就有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击；30.9%的网民账号或密码被盗过；电子商务网站访问者中89.2%的人担心假冒网站，其中，86.9%的人表示如果无法获得该网站进一步的确认信息，将会选择退出交易。由此可见，网络安全和信任问题已经成为网络商务深层次发展的最大制约因素，互联网向商务交易型应用的发展，急需建立更加可信、可靠的网络环境。提高网民对互联网的信任程度，

13、已经成为当前迫切需要解决的问题，构建“可信”的网络环境是网络发展的基本条件及必然趋势。学校的主要工作就是教书育人，科学研究，而教书育人，科学研究却依赖着校园网才得以实现，这决定了校园网必然是一个开放的网络形态。校园网的安全问题和互联网的安全问题一样，日益突出，受到各种病毒、不健康信息、非法入侵行为和各种各样的不安全因素的危害，导致学校、教师和学生同时受到了危害，影响了学校的教学、科研的进行以及学校自身的健康发展。因此，校园网络的安全问题已成为了制约学校发展的问题之一。保障校园网络环境的安全己经刻不容缓。1.2研究现状网络安全是信息安全的重要分支，是一门涉及计算机科学、网络技术、通信技术、密码技

14、术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。网络安全是信息安全研究体系中一个重要的研究领域，而且随着网络技术的发展，越来越成为信息安全研究体系中的重中之重。6网络安全一直是网络研究领域的核心课题之一，国内外专家纷纷从不同视觉、不同层面，采用不同方法开展网络安全研究，他们从各个侧面研究了不同的网络安全理论与技术。我国从1994年开始启动中国教育科研计算机网(CERNET，China Educationand Research Network)，1998年10月，启动二期工程。到1999年，已经有几百所学校通过CERNET互相连接，从根本上改善了教师、学生、科研人员之间的信息交

15、流、资源共享、科学计算以及科研合作的条件。到2000年第二期工程完成时，已经连接了国内1000余所大学。而作为龙头大学，北大、清华的校园网硬件设施已初具规模，已经实现了“千兆到楼，百兆到桌面”，网络系统成熟稳定，24小时开通。截止到2007年底，我国高校几乎都已建立自己的校园网，其中拥有1000M主干带宽的高校已占高校总数的65%以上，一些综合类大学和理工类院校率先升级到万兆校园网。15但是很多高校在网络安全、稳定方面却考虑比较少。许多学校所谓的安全解决方案只是单单的购买一套防火墙、安装一套杀病毒软件而已，没有相应的安全管理机构和安全管理措施，也没有发生故障或灾难时的安全恢复措施，这样的安全方

16、案必将带来巨大的信息安全隐患，难以保证学校网络正常的运行。目前，国外高校的校园网在基础建设、应用建设和安全建设安全都比我国完善。他们的网络建设包括应用建设都是在一个合理的安全构架或者安全规范下进行的，因此他们能够保证向师生提供安全、稳定、高效的校园网服务。他们的安全技术标准基本上都是按照国家规定的网络安全标准和信息技术标准设计和实施的。这些网络安全标准制定了一个具体的网络安全架构，建立了网络安全的技术要求和规范，对网络信息的安全起到了保障。1.3研究的主要内容校园网络是建设数字化校园的前提，而网络安全则是校园网络正常使用的前提，没有安全的网络环境，校园网则起不到对外交流的目的，发挥不了网络在校

17、园中的作用。因此校园网络安全问题要高度重视。本论文以网络安全管理技术为理论基础，针对凯里学院网络的现状进行了分析，探讨了凯里学院校园网现在存在的安全问题，并针对这些问题如何在以后的校园网络建设中进行完善，并采取了相应的解决措施，以致创建一个和谐安全的校园网络环境，来满足全院师生的网络需求，为学院教学科研的发展提供基本的网络保证。本论文主要研究的内容是：1) 简要介绍网络安全的基本理论知识，对防火墙技术、入侵检测技术、身份认证技术、防病毒技术和VPN技术的概念、功能和应用等进行了阐述。2) 简要介绍凯里学院校园网络的现状及发展，校园网络采用的关键设备，这是网络安全的基本设施。3) 分析校园网络存

18、在的不安全因素，主要有：与因特网连接产生的威胁、校园网内部用户产生的威胁以及计算机漏洞存在的威胁。4) 通过校园网存在的不安全因素，应用了防火墙技术、入侵检测技术、防病毒技术和建立安全的网络管理制度来隔离威胁的存在，并在模拟实验环境中进行了分析。1.4论文的组织结构第一章 前言。介绍了论文研究的背景和现状。第二章 网络安全技术介绍。对防火墙技术、入侵检测技术、身份认证技术、防病毒技术和VPN技术的概念、功能进行了介绍。第三章 凯里学院网络的安全分析。对凯里学院网络安全现状进行分析，得出校园网主要面临的安全威胁。第四章 凯里学院网络的安全实现。通过应用防火墙技术、入侵检测技术、防病毒技术和建立安

19、全的网络管理制度来实现校园网的安全，并通过模拟环境的构建对所采用的措施进行了分析。第五章 结论与展望。对论文研究的内容进行总结及对进一步工作的展望。第二章 网络安全技术介绍2.1网络安全的定义网络安全是信息安全的重要分支，是一门涉及到计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多门学科的综合性科学。网络安全是信息安全研究体系中的一个重要的研究领域，而且随着网络技术的不断发展，越来越成为信息安全研究体系当中的重中之重。那么，网络安全具体的定义是什么？在国际上，将计算机安全定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然

20、和恶意的原因而遭到破坏、更改和泄漏”。从这一定义我们可以看出，计算机安全包含了物理方面的安全和逻辑方面的安全，其中逻辑安全，通常是我们常说的信息安全，指的是信息的保密性、完整性和可用性，而网络安全性的含义是信息安全的引申，即网络安全指的是网络信息的保密性、完整性和可用性。但是随着时代的不断进步，计算机网络安全的具体含义也会随着时代变化而变化，时代不同，对网络安全的认识和要求也就不同。从最初的角度来说，计算机网络安全主要包括隐私或机密信息在网络上传输时受到保护，避免被非法窃听、篡改和伪造；而除此之外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信

21、，保持网络通信的连续性。随着数字网络时代的到来，网络安全不但包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，还包括偶然的或者恶意的攻击遭到的破坏后的应对力，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。2.2网络安全的基本要求及层次体系网络安全的目标是保护网络信息的机密性、完整性和可用性，即CIA（Confidentiality,Integrity,Availability）。也就是，网络安全应具有以下三个方面的基本要求： 1) 保密性（Confidentiality）：指的是保证数据信息不被非授权的用户访问，即使非授权用户通过非法手段得到信息也无法知晓数

22、据信息的内容，因而得到信息却不能使用也是徒然。 2) 完整性（Integrity）：指的是保护数据信息的一致性，即数据信息在生成、传输、存储和使用的过程中不应该发生人为或非人为的非授权篡改。 数据信息的完整性包括两个方面的内容：数据信息的完整性，即数据没有被未授权的用户篡改或者损坏；系统的完整性，即系统没有被用户非法操纵，依然按原来制定的目标运行。3) 可用性（Availability）：指的是保障数据信息资源随时可以提供服务能力的特性，即授权用户根据自己的需要可以随时访问所需要的数据信息。可用性是信息资源服务功能和性能可靠性的度量指标，涉及到网络、数据、应用、系统和用户等多个方面的因素，可用

23、性是衡量一个可靠信息网络的重要标准。从层次体系上来看，网络安全可以分为4个层次上的安全：即物理安全，逻辑安全，操作系统的安全和联网安全。1) 物理安全：主要包括5个方面的安全：防火，防盗，防雷击，防静电和防电磁泄漏。2) 逻辑安全：计算机的逻辑安全可以通过口令、文件许可等方法来实现。可以限制用户登录的次数或者是对用户的试探操作限制时间次数；可以通过软件来保护存储在计算机文件中的信息；限制存取的另一种方式是通过硬件完成的，计算机在接收存取要求后，先询问并且核对其口令，然后再访问目录中被授权的用户标志号。此外，还有一些安全的软件数据包也可以对可疑的、未授权的存取进行跟踪，比如，多次登录的情况或者是

24、对别人的文件进行请求。3) 操作系统安全：操作系统是计算机中最基础、最重要的软件。同一台计算机可以分别安装几种不同的操作系统。对于一台计算机上的系统如果需要提供给许多人使用的话，操作系统必须能够区分使用的用户，以防止各个用户之间进行相互的干扰。对于一些安全性较高、功能较强的操作系统，通常会为计算机的每一位用户分配一个账户。也就是，一个用户一个帐号。操作系统不允许任何一个用户修改由其它账户产生的数据信息。4) 联网安全：联网的安全性可以通过以下两方面的安全服务来达到目标。l 访问控制服务：主要是用来保护计算机和联网资源不会被非授权的用户使用。l 通信安全服务：主要是对数据的机要性与完整性进行认证

25、，以及各个通信的可信赖程度进行认证。2.3网络安全技术2.3.1防火墙技术1.防火墙的定义及其基本功能防火墙原来的意思是指在古代人们为了防止火灾发生时，从一间房屋蔓延到另一间房屋，而在其之间修筑的一道城墙，目的是为了防止火势的蔓延，减少经济损失。但这里所说的防火墙并不是指为了防火而修筑的城墙，而是指在本地网络与外界网络之间的一道隔离的防御系统。在互联网上，防火墙是一种非常有效而且常用的网络安全系统，通过防火墙可以对风险区域（Internet或有一定风险的网络）与安全区域（局域网）连接产生的危害进行隔离，同时也不会妨碍安全区域对风险区域的信息访问，网络防火墙的结构如图2.1所示。图2.1 网络防

26、火墙防火墙可以监控进出网络的数据信息，仅仅让安全、核准后的数据信息进入局域网，抵制对局域网构成威胁的数据信息。根据不同的需要，防火墙的功能有比较大的差异，但是一般都包含有以下3种基本的功能。1) 防火墙可以阻止没有授权的用户进入内部网络，过滤掉不安全的服务和非法的用户。2) 防火墙可以防止黑客接近网络防御设施。3) 防火墙可以限制局域网内部用户对特殊站点的访问。由于防火墙假设了网络边界和服务，因此适合相对独立的网络，例如Internet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是使用某种防火墙进行保护的，任何一个重要的服务器，都应该放置在防火墙之后，以保证服务

27、器的安全。2.防火墙的类型我们常见的防火墙通常有3种类型：分组过滤防火墙、应用代理防火墙和状态检测防火墙。1) 分组过滤(Packet Filtering)防火墙：作用是在协议族的网络层和传输层，根据分组包头的源地址、目的地址和端口号、协议类型等标志来确定能否允许数据包通过，只有满足了过滤逻辑的数据包才能被防火墙转发到相应的目的地的出口端，没有满足过滤逻辑的数据包则从数据流中丢弃掉。2) 应用代理(Application Proxy)防火墙：也叫应用网关(Application Gateway)，它的作用是在应用层，其特点是完全“阻隔”网络的通信流量，通过对每一种应用服务编制专门的代理程序，来

28、实现对应用层通信流量的监视和控制。在实际中的应用网关通常是由专用的工作站来实现。3) 状态检测（Status Detection）防火墙：它直接对分组里的数据包进行检测处理，并且结合前后分组的数据包进行综合的分析判断，然后再决定该数据包是否允许通过。3.防火墙的局限性防火墙是一种对网络安全进行保障的网络安全技术，防火墙主要用于增强内部网络的安全性能，决定外界的哪些用户可以访问内部的哪些服务，以及内部人员可以访问外部的哪些站点。但是世界上没有万能的网络安全技术，防火墙也不例外。因此，防火墙也存在着自身的局限性，主要体现在以下3个方面。1) 防火墙对网络内部之间进行的攻击无能为力，它不能进行防护。

29、比如：防火墙无法禁止授权者或者内部黑客把敏感的数据拷贝到自己的磁盘上。2) 防火墙也不能防范那些伪装成超级用户或者诈称自己是新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予它们临时的一个网络权限。3) 防火墙不能对已感染病毒的软件或者文件进行查杀或者丢弃，防火墙不能对经过的每一个文件进行扫描，查出潜在的病毒进行处理。2.3.2入侵检测技术1.入侵检测的定义James Anderson在1980年完成的技术报告计算机安全威胁的监控(ComputerSecurity Threat Monitoring and Surveillance)中首次提出了入侵检测的概念。他使用了“威胁”这个词，实际

30、上与“入侵”的意思是等同的。入侵是指系统内部发生的任何违反安全策略的事件，具体包括对系统的非授权访问、授权用户超越其权限的访问、合法用户的非法访问、恶意程序的攻击及对系统配置信息和安全漏洞的探测等几种类型。1997年，美国国家安全通信委员会(NSTAC)下属的一个入侵检测小组(IDSG)给出了入侵的定义，即入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行的非法操作。入侵检测简单地说就是检测并响应针对计算机系统或网络的入侵行为的学科。它包括对系统的非法访问和越权访问的检测；包括监视系统的运行状态，以发现各种攻击企图、攻击行为或者攻击结果；还包括针对计算机系统或网络的恶意试探的检测。而

31、上述对各种入侵行为的判定，即检测的操作，是通过在计算机系统或网络的各个关键点上收集数据并进行分析来实现的。1997年，美国国家安全通信委员会(NSTAC)下属的入侵检测小组(1DSG)给出了一个入侵检测的经典定义，即入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵行为进行识别的过程。2.入侵检测系统的分类入侵检测是一种能够增强系统安全的有效方法，能够检测出系统中违背系统安全性规则或者威胁到系统安全的行为活动。检测时，通过对系统中用户的行为的可疑性程度进行评估，然后根据评估出来的结果来鉴别系统中那些行为正常，哪些行为不正常，再把评估结果传送给系统管理员，从而能够帮助系统管理员进行安全的管理

32、，对系统所受到的攻击采取相应有效的措施。根据入侵检测的信息来源不一样，可以把入侵检测系统分为两类：一类是基于主机的入侵检测系统，一类是基于网络的入侵检测系统。1) 基于主机的入侵检测系统：主要是用于保护关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵行为。日志中包含了发生在系统上的不寻常和不期望活动的数据证据，这些数据证据可以指出有人正在入侵或者已经成功入侵系统的行为。通过查看日志文件，能够发现成功的入侵或者有入侵企图的行为，并立即启动相应的应急响应程序给入侵行为予以处理。2) 基于网络的入侵检测系统：主要是用于实时监测网络关键路径的数据信息，它可以监听网络上的所有分组的信

33、息，采集其数据，并对数据进行分析，找出可疑的现象与行为。3.入侵检测的检测方法目前入侵检测常用的方法有3种：异常性检测方法、静态配置分析和基于行为的检测方法。1) 静态配置分析方法：通过检查系统的配置（如系统文件的内容）来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（如系统配置信息）。采用静态分析方法是因为入侵者对系统攻击时可能会留下痕迹，可通过检察系统的状态检测出来。2) 异常性检测方法：它是一种在不需要操作系统及安全性缺陷的专门知识的情况下，就可以对入侵者进行检测的一种方法，同时它也是检测冒充合法用户的入侵者的一种有效方法。3) 基于行为的检测方法:通过检测用户行为中是否

34、有与某些已知的入侵行为模式类似的行为或者那些利用系统中的缺陷或是间接地违反了系统安全规则的行为，来检测系统中的入侵活动。4.入侵检测模型1987年，Denning在论文“入侵检测模型”中提出了一种基于规则的模式匹配的入侵检测模型，它是入侵检测领域早期最具代表性的模型之一。经过20多年的发展，计算机和网络技术密切结合，被保护系统的结构和规模发生了很大变化，攻击者对系统的入侵行为更加隐蔽。在和入侵行为斗争的过程中，入侵检测系统结合相关领域的最先进的技术和思想，其体系结构在Denning模型的基础上不断完善。其中最具有代表性的是通过入侵检测框架（Common Intrusion Detection

35、Framework,CIDF），其基本机构如图2.2所示。该模型主要由四部分组成：1) 事件产生器（enent generator），又称E盒：其作用是从入侵检测系统之外的更大的计算环境中收集事件，并将事件规范化为CIDF中的通用入侵检测对象（General Intrusion Detection Object, GIDO）的格式后送给CIDF中的其他部分。2) 事件分析器(event analyzer)，又称A盒：其作用是接收事件产生器生成的GIDO，并对其进行分析，再将分析结果以GIDO的格式发送给系统其他部分。事件分析器可以对孤立的GIDO进行分析，也可以将多个GIDO关联起来，共同分析

36、。3) 事件数据库(event database)，又称D盒：完成对必要的GIDO的持久化存储，方便将来进一步的使用。4) 响应单元(response unit)：又称R盒：接收从其他部分送来的GIDO，并根据GIDO中的信息产生响应动作，如报警、关闭连接、终止进程、更改文件权限等。5.入侵检测系统的工作流程入侵检测系统的工作流程可以分为：信息收集、信息分析和动作响应三个阶段。在CIDF模型中，这三个阶段所对应的功能单元分别是：事件产生器（E盒）、时间分析器（A盒）和响应单元（R盒）。入侵检测系统一启动便开始在这三个阶段间不断的切换，持续监控系统状态，检测其中可疑的入侵行为。信息收集阶段的主要

37、工作是收集被保护系统的特征信息，可以准确的发现系统中的入侵活动。信息分析阶段的主要工作是利用某种入侵检测技术对收集到的特征信息进行综合分析，发现其中存在的入侵行为事件。信息分析是整个入侵检测过程的核心阶段，信息分析的效率和性能决定着整个入侵检测系统的效率和性能。动作响应阶段的主要工作是根据对信息分析的结构，做出适当的响应动作，消除或者减小入侵行为可能对系统的危害。通常采取的响应动作有：1）向管理员报警；2）将攻击者记入黑名单，停用攻击者帐号；3）断开与攻击者的网络连接，停止对攻击者的服务；4）更新防火墙的策略，屏蔽可疑地址；5）记录入侵事件等。2.3.3身份认证技术1.身份认证的基本概念身份认

38、证是证实对象身份的过程，它是最基本的安全服务，是其他安全服务的基础。用户在使用计算机或者上网时，需要一个唯一的身份标识(ID)，这是用户身份的证明，它决定了用户可以拥有的权限，记录了用户的行为。身份认证（ID Authentication）是对被认证对象证实是否属实及其身份是否有效的一个过程。身份认证有三个基本的要素，分别是：1) 用户已知的事：例如用户知道的知识、口令、密码等。认证时，用户将一个秘密数字传送到系统，该秘密数字仅为用户和系统所知，系统据此可以认证用户。2) 用户拥有的物品：可以借助信用卡、身份证、智能卡、钥匙、令牌等用户拥有的物品来认证用户。3) 用户的个人特征：每个用户都拥有

39、一些可被记录并进行比较的生理或行为特征。例如指纹、笔迹、声音、手型、脸型等，这些特征由系统观察和记录，通过与系统中存储的特征相比较而对用户加以认证。2.身份认证的形式身份认证可以分为单向认证、双向认证、第三方认证和公钥认证等形式，下面以口令认证为例说明这几种形式。单向认证：当客户A需要服务器S的服务时，客户A必须被服务器认证，这就是单向认证。通常是用户将他的ID和口令等身份的证明发送给服务器，服务器对收到的ID和口令进行验证以提供服务。双向认证：双向认证是一种相互认证，其过程是在单向认证的基础上增加反方向的认证，也就是服务器身份被用户认证。在双向认证的情况下，如果有n个用户或服务器，每个用户均

40、可与其他用户通信，则每个用户都应有能力认证其他用户并且被其他用户认证，这时每个用户需要存储n-1个用户的认证数据，用户增加、减少或者更改口令都需要进行大规模调整，因此不被经常使用。第三方认证：第三方认证是更为可靠的认证。在这种形式下，由第三方来存储全部用户的口令，并且第三方只负责存储和验证口令。每个用户或者服务器都可以向可靠的第三方发送ID和口令，以进行认证身份。公钥认证：利用密码技术进行认证是最可靠的认证方法。随着公开密钥密码体质的出现，利用公开密钥密码技术进行用户认证得以实现。由于私钥、公钥成对出现且不可互推，因此私钥的持有者可以证实自己的身份。2.3.4防病毒技术随着计算机技术的发展和普

41、及，计算机病毒像生物病毒侵袭人类社会一样侵袭和威胁着计算机系统，每次计算机病毒的大规模发作后，都会出现大量的存储介质被感染，数据被破坏，甚至计算机系统被摧毁。由于病毒的攻击，每年都会造成惨重的损失。1.计算机病毒介绍计算机病毒实质上就是一个程序，一段可执行的代码。就和生物病毒一样，计算机病毒有着独特的复制能力。计算机病毒可以很快地在计算机上蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当被感染病毒的文件被复制或者是从一个用户传送到另一个用户时，它们就跟随着文件一起传染开来。计算机病毒除了具有复制的能力外，还具有其他一些共同特性：一个被感染病毒的程序能够传送病毒的载体。当你看到病毒载

42、体似乎仅仅表现在某些文字和图像上时，它们就有可能已经毁坏了整个文件、再格式化了你的硬盘或者引发了其他类型的灾害。若是病毒并不寄生于一个感染的程序，他仍然能占据你磁盘的存储空间，使计算机运行速度变慢，降低你计算机的全部性能。计算机病毒和生物病毒一样，在病毒发作时，也会出现一些自己的症状，主要表现有：1) 屏幕出现异常的滚动，却和行同步无关。2) 系统文件长度莫名其妙的发生变化。3) 计算机屏幕上出现了异常信息、异常图形。4) 计算机运行速度明显减慢，系统引导、打印速度也突然变慢。5) 计算机硬盘没有存储多少信息，存储容量就会异常减少。6) 系统不能由硬盘引导启动。7) 计算机系统经常出现异常死机

43、的状态。8) 数据莫名奇妙的丢失。9) 执行异常操作。针对计算机出现的症状，采取一定的防范措施是非常有必要的，也是保证计算机安全的必须措施。2.计算机病毒的预防技术对单台计算机系统的安全使用。如果是在自己的计算机上使用外来的可移动存储设备之前应进行检查，确保在没有病毒的情况下进行使用。如果在别人的计算机上使用了自己的已打开写保护的U盘，再在自己的计算机上使用也不能掉以轻心，也应该进行计算机病毒的检测，发现病毒及时杀毒，确保没有病毒之后再使用。对重点保护的计算机系统应该做到专机、专人、专盘、专用，计算机病毒是需要载体的，封闭的使用环境是不会自然产生计算机病毒的。重要数据文件要有备份。对硬盘分区表

44、、引导扇区等的关键数据应该作数据备份工作，并安全保管。在计算机系统进行维护和修复时可作为参考。三防。防邮件病毒，当用户收到电子邮件时，应该首先要进行病毒扫描，而不是打开邮件，在确保电子邮件安全的情况下再打开；防木马病毒，木马病毒一般是通过一些恶意网站散播的，因此用户在网上下载文件之后，一定要先进行病毒扫描再打开；防恶意“好友”，现在很多木马病毒可以通过MSN、QQ等即时通信软件或电子邮件传播，一旦你的在线好友感染了病毒，那么所有的好友将会遭到病毒的侵害。对在网络中计算机的安全使用。以上列举的这些措施不仅仅可以应用在单机上，也可以应用在作为网络工作站的计算机上。而对于网络计算机系统，除此之外，还

45、应该采取下列针对网络的防杀计算机病毒措施，以保证其安全：1) 在安装网络服务器系统时，应保证没有计算机病毒存在，即安装环境和网络操作系统本身没有感染计算机病毒。2) 在安装网络服务器系统时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。3) 如果系统卷受到了病毒的危害，导致服务器瘫痪，那么可以通过重装系统卷来恢复网络操作系统，服务器又马上可以投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空

46、间拥塞时，系统卷也是不会受到影响的，不会导致网络系统运行失常，并且这种划分十分有利于系统管理员设置网络安全的存取权限，保证网络系统不受计算机病毒的感染和破坏。4) 网络服务器一定要用硬盘启动，否则系统在受到引导型计算机病毒感染和破坏后，会影响到整个网络的中枢。5) 为每个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限，网络用户就只能对系统卷进行读的操作，屏蔽了其它非法的操作，如改名、修改、删除、写文件和创建文件等操作的权限。应用程序卷也同样应该设置成对一般用户是只读权限的，不经过授权、不经过计算机病毒的检测，就绝对不允许在共享的应用程序卷中安装程序。6) 在网络服务器上必须安装真

47、正有效的防杀计算机病毒软件，并经常进行软件升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品，从网络的关键出入口处来保护整个网络不受计算机病毒的威害。在网络工作站上采取必要的防杀计算机病毒措施，可以使用户不必担心来自网络内和网络工作站本身的计算机病毒威害。7) 严格管理系统管理员的口令，不能泄漏，还有不定期地予以更换口令，来保护网络系统不被黑客非法存取，不被感染上计算机病毒或遭受黑客的破坏。8) 在安装应用程序软件时，应由系统管理员进行安装操作，以保护网络用户在使用共享资源时，资源的安全性。9) 计算机系统管理员对网络内的共享电子函件系统、共享存储区域和用户卷应该定期进行计算机病毒

48、的扫描，发现病毒或者异常情况应该及时处理解决。如果有可能的话，在应用程序卷中安装最新版本的防杀计算机病毒软件，以确保对计算机病毒进行有效的查杀。10) 网络系统管理员要准备好应急措施，以防止被感染了计算机病毒。如果出现计算机病毒传播迹象时，应该马上隔离被感染的计算机系统和网络，并进行杀毒处理。不应当携带病毒继续工作，造成更大的危害。及时切断计算机病毒传播的途径，保障网络工作的正常运行。2.3.5 VPN技术虚拟专用网（Virtual Private Network,VPN）是指通过一个公用网络（通常是Internet ）建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道，是对企业

49、内部网络的扩展。1.VPN的功能VPN可以实现不同网络的组建和资源之间的相互连接。VPN能够利用或者其他公共互连网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。VPN至少应能提供3个方面的功能：1) 加密数据，保证通过公共网络传输的数据信息即使被他人截获也不会泄漏数据信息；2) 身份认证和信息认证，保证数据信息的完整性、合法性，并能够鉴别各个用户的身份；3) 提供访问控制，根据不同的用户具有不同的访问权限。VPN技术通过架构安全为专网通信提供具有隔离性和隐藏性的安全需求。目前，VPN主要采用4种技术来保证安全，这4种技术分别是隧道技术、加解密技术、密钥管理技术和身份认证技术

50、。其中隧道技术是VNP的基本技术，类似于点对点连接的技术，它是在公用网建立一条数据通道(也叫隧道)，让数据包通过这条隧道进行传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。在网络层实现数据封装的协议叫第三层隧道协议，IPSec就属于这种协议类型；在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有PPTP(Point-to-Point Tunneling Protocal,点对点隧道协议)和L2TP Layer2 Tunneling Protocal,第二层隧道协议等。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。封装技术是隧道技术的基本技术，根据隧道

51、在OSI的第二层还是第三层中实现的机理，可分为第二层隧道技术与第三层隧道技术。当前网络既采用第二层隧道技术，也有采用第三层隧道技术。目前有多种隧道机制，包括IP/IP、通用路由封装(GRE)隧道、2层隧道协议(L2TP，Layer2 Frrding)，IPsec和多协议标记交换(MPLS)隧道等。这种双层封装方法形成的数据包靠第二层协议进行传输。网络安全技术目的是为了更好的保证网络的安全，使得用户可以放心安全的使用数据信息，然而任何一种网络安全技术都不是万能的，都有各自的优点与缺陷，这就需要我们根据不同的网络环境选择和组件网络安全技术，使之互相补充作用，以致更有效的保护网络的安全，保护数据信息

52、。第三章 凯里学院网络的安全分析3.1凯里学院网络的介绍凯里学院是于2006年2月,经国家教育部批准, 由黔东南民族师范高等专科学校改建的一所以地方管理为主的本科层次的学院。随着办学的发展和需要，我院于2008年7月，整体搬迁到了新校区教学，由于新校区才完成了第一期的建设施工，还没有完全建设好，因此学院网络也是处于刚建立的初级阶段，在各个方面都还很不完善。3.1.1校园网的拓扑结构现在我院建有1号教学楼、2号教学楼、3号教学楼、4号教学楼、艺术教学楼、1号实验楼、图书馆（含行政办公）、食堂和学生宿舍。学院校园网络现在主要分为两个部分，一个部分由电信公司管理，负责图书馆和学生宿舍的上网情况。另一

53、部分由现代教育技术中心管理，负责行政办公及各个教学楼、实验楼的上网情况。学校的中心机房位于3号教学楼，是校园网的出口所在。校园网络承担着学校日常工作的运行，网络发文系统、学生就业系统、教务管理系统以及心理咨询系统等都是依赖于校园网络。凯里学院校园正处于建设阶段，第二期工程才开始动工，据了解新校区的完工将达到在校生人数一万人以上（现在在校生人数八千余人），而且随着学校的发展，人数还将不断上升。网络覆盖区域在现有的情况下增加了5号教学楼、6号教学楼、信息楼、教师宿舍和学生宿舍。为了便于学校的发展及管理，原由电信公司管理的图书馆区域也应该全部纳入学校管理，而学生宿舍区，考虑到学校的具体情况及现代教育

54、技术中心管理人员缺乏等因素，暂时还由电信公司管理。那么校园网络如何为师生进行有效的服务，保证全校师生网络的畅通，是校园网络面临的巨大压力。校园网服务于学校，服务于师生，在学校发展的同时对我院校园网的需求分析如下。1) 高速稳定的校园网络随着信息化的普及与深入，整个系统的应用会越来越高，同时用户也会越来越多。全校师生的日常事务都需要校园网来完成，因此，建设一个高性能、可扩展的网络是学校最重要也是最基础的条件。2) 对用户的有效管理在校园中，学校的每一个师生都应该有一个固定的身份以便于管理，如教师、管理人员、学生等，师生的身份可以通过其工作证/学生证得到确认。师生的身份决定了师生在校园内所享有的权

55、限，如学生可以在学生食堂就餐、教师可以在图书馆借更多的书等。3) 校园一卡通服务“校园一卡通”工程是高校数字化建设的重要项目之一。它不仅方便了广大师生员工的教学、科研和生活，还为学校的各级领导的管理提供了先进、高效的手段。所谓校园一卡通，就是利用IC卡作为用户电子身份的载体，使教师、学生在校园中能够使用IC卡就可以完成一系列与其身份相关的活动，如注册、借/还书、上机、就餐等，给全校师生带来了便捷。4) 网上办公系统随着网络的快速发展，办公自动化系统在校园内以得以实现，给学校的领导以及各职能部门提供了一个基于校园网络的办公环境，使学校的日常办公朝着电子化、无纸化方向迈进。办公自动化系统为学校提供

56、的功能有:日常事务办公、办公邮件、信息发布、公文运转、会议管理、学习讨论园地等。5) 网上教学通过互联网进行教学过程是一种新型的教育手段，它是为适应21世纪社会经济和科技发展对高素质创造型人才的需要，创造了一个通过网络环境在教师指导下的学生自主式学习。网络教学平台将建设成为一个支持网上备课、教学素材建设、课件制作、网上交流、网上自学、网络授课和网络考试等多种服务的综合性的教学平台，全方位的支持教学过程中的各个环节，更好的为全校师生服务。6) 数字图书馆数字图书馆是采用现代高新技术所支持的数字信息资源系统，是因特网上一种新型的信息资源管理模式，它将从根本上改变因特网上存在的信息分散、不便使用的状

57、况。也就是说，数字图书馆是没有时间和空间限制的、便于用户使用的、超大规模的知识仓库。它涉及到数字信息资源的生产、加工、存储、检索、传递、保护、利用、归档、移除等全部过程，是教师进行教学科研、学生进行学习拓宽知识面的最理想的信息资源。校园网络在满足全校师生以上的需求外，还应确保校园网络的安全。校园网覆盖了学校内的各个教学楼、实验楼、信息楼、行政楼和图书馆等区域。校园网的网络拓扑结构图如图3.1所示。1号教学楼2号教学楼5号教学楼4号教学楼3号教学楼6号教学楼艺术楼实验楼图书馆行政楼服务器群Internet路由器防火墙交换机机房信息楼图3.1网络拓扑结构图3.1.2校园网主干设备的选择凯里学院使用

58、的是三层网络拓扑结构接入层，汇聚层，核心层，如图3.2。采用1000兆主干光纤到各主要信息点，100兆交换连接到桌面，逐步形成以网络信息中心所在大楼为中心、辐射到其他楼层的校园网。核心层位于网络的中心，是整个校园网的核心，是所有流量汇聚的地方，从图中可看出，核心层直接关系到网络的整体性能。通常要选择高端的网络设备，因为高端的网络设备的数据处理速度高，具有较高的可靠性与安全性。如果一旦核心层设备出现问题，将会中断整个校园网络的运行。图3.2三层网络结构汇聚层位于网络的中间，是接入层各个设备必须经过的位置，如果某台汇聚层交换机失效，那么它下面连接的接入层设备和用户就无法访问网络，信息传送中断，因此

59、汇聚层设备的可靠性也是很重要的。汇聚层设备主要负责信息的访问控制和处理转发接入层发往外部网络的数据流量。与核心层设备比较，汇聚层通常采用中端网络设备。接入层位于分层模型的最底层，对应于物理网络的边缘，主要是面向用户终端设备。如果接入层交换机出现故障，那么一般只会对该设备所连结的终端用户造成数据信息的中断，影响范围比较小，因此，为了节约成本，通常可以选用低端的网络设备。随着学校的发展，学校师生不断增多，计算机连接点也同时增多，这给学校网络的运行增加了重大的负担。中心机房核心设备的选择是保证校园网络畅通的必要条件，下面对中心机房所采用的主干设备做一简单介绍。1.交换机的选择为了满足学校日常工作的需

60、求，本着提高校园网络服务性能的目标，核心设备的可靠性、可用性就显得尤为重要，结合本学院的实际需求，考虑到学校网络以后升级到万兆网络的情况，决定采用Cisco公司生产的交换机。因为Cisco公司是全球网络和通信领域公认的领跑者，Cisco几乎就是联网的同义词，基本上在联网的所有领域中，Cisco都扮演着关键的角色并发挥着巨大的作用，产品质量可以信赖27。在核心层的交换机设备选用CiscoWS-C3560E-48PD-SF，Cisco Catalyst 3560-E系列的交换机是一个企业级的独立式配线间交换机系列，支持安全融合应用的部署，并且能根据网络和应用需求的发展，最大限度地保护投资。Cisc

61、o Catalyst 3560-E还能够支持IP电话、无线和视频等应用。CiscoWS-C3560E-48PD-SF交换机主要的特性和优势是它的易用性、安全性、可用性和可扩展性：1) 易用性：Cisco Catalyst 3560-E为我们提供了大量易于使用的性能，它配置先进的Cisco Catalyst智能功能。为每种连接的类型提供了一套验证、便于使用的模板，使用户能够以最少的投入，而享有可靠地配置必要的安全、IP电话、可用性、QoS和可管理性的特性。2) 安全性：Cisco Catalyst 3560-E系列交换机支持全面的安全特性集，是使用于连接和访问控制，包括验证、ACL、端口级安全和

62、利用802.1x及其扩展协议实现的基于身份识别的网络服务。这一全面的安全特性集不仅能够防范外部黑客的攻击，还能抵御网络中间人的攻击。3) 可用性和可扩展性：Cisco Catalyst 3560-E系列的交换机配置了一个强大的特性集，利用IP路由能够最大限度地提高第二层网络可用性的全套生成树协议增强特性，实现了网络的可扩展性和更高的可用性。在标准生成树协议的基础上增强了自身的特性，如PVST+、Uplink Fast和Port Fast，以及Flexlink等创新的性能，延长了网络正常运行的时间。Cisco WS-C3560E-48PD-SF交换机具体的主要参数如下：l 交换机类型：以太网交换

63、机l 传输速率：10/100/1000/10000Mbpsl 接口类型：RJ-45, 10/100/1000端口, 万兆以太网端口l 网管功能：SNMP, BRIDGE-MIB, CISCO-CDP-MIB, CISCO-CLUSTER-MIB, CISCO-CONFIG-MAN-MIB, CISCO-ENTITY-FRU-CONTROL-MIB, CISCO-ENVMON-MIB等l 包转发率：101.2 Mppsl MAC地址表：12Kl VLAN功能：支持l 接口数量：50个l 网络标准：IEEE 802.1s, IEEE 802.1w, IEEE 802.1x, IEEE 802.3ad, IEEE 802.3af, IEEE 802.3x, IEEE 802.1D, IEEE 802.1p, IEEE 802.1Q, IEEE 802.3, IEEE 802.3u, IEEE 802.3ab, IEEE 802.3zl 堆叠功能：能堆叠在汇聚层的交换机设备同样选择Cisco公司的交换机WS-C2918-24TC-C类型，它主要负责校园内各栋楼的连接，其主要参数如下：l 交换机类型：千兆以太网交换机l 应用层级：二