发布时间 : 星期一 文章校园网网络安全问题分析及其解决方案(毕业论文doc)更新完毕开始阅读348143025022aaea988f0f0a
精品
? 病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给
服务器;
? 病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径
传染到服务器中;
? 如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中
一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。
2.3 校园网安全防御与应急关键设备技术
1) 防火墙及技术
它为网络通信、数据传输提供更有保障的安全性。分为包过滤防火墙(检查每个IP包的字段,如源地址、目标地址、端口等? );状态检测防火墙(动态检查网络连接和包);应用程序代理防火墙(与特定应用程序配合使用)。
防火墙性能:最大带宽、并发连接数、每秒新增连接数、丢包和延迟;自身安全性。
防火墙产品:Juniper的Net Screen;Cisco的Pix;天融信防火墙;天网防火墙。
2) 入侵检测与防御及技术
它能及时发现网络异常行为,并阻止其进一步发展。入侵检测技术包括以下几种:基于误用检测技术(检测与异常规则相匹配的网络行为);基于异常检测技术(检测偏离了正常规则的网络行为)。入侵检测核心技术:模式匹配、基于统计方法、预测模式生成等。防火墙性能:降低误报率、漏报率;入侵检测产品有:CA的Intrusion Detection,启明星辰的天阗IDS等。
3) 防病毒及技术
它能及时发现病毒,并清除,阻止病毒进一步传播、扩散。防病毒核心技术有:特征代码匹配、病毒特征自动发现、启发式搜索等,防病毒产品有:Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。
4) 反垃圾邮件及技术
它能过滤、阻止大量的非正常的电子邮件。反垃圾邮件机理:IP地址、域名、邮件地址黑白名单方式;基于垃圾邮件行为模式识别模型 ;Domainkeys方式(基于PKI的方式对邮件发送者进行验证,对邮件信息进行加密保护,对收信人实现防抵赖机制);基于信头、信体、附件的内容过滤方式;反垃圾邮件产品有:防垃圾邮件网关,如冠群金辰 的Kill赤霄邮件过滤网关;防垃圾邮件防火墙,如:博威特的梭子鱼垃圾邮件防火墙。
5) 内容过滤及技术
精品
它能阻止不健康、反动信息的复制、传播。过滤方法有:基于关键字、权重关键字、基于URL的过滤;基于文字内容的深度搜索;一般在防病毒网关、反垃圾邮件系统中集成。
根据本章所提出的校园网所面临的安全威胁,我们除了选取良好的拓扑结构外, 一般还要注意安全保密, 以防止信息的非授权访问; 要注意数据的完整性与精确性, 使信息在存储或传输过程中不被破坏、丢失或不被未经授权的恶意或偶然的修改; 注意其可用性, 使计算机的硬件和软件保持有效的运行, 并且系统在发生灾难时能够快速完全地恢复。要防止侵袭者通过非法途径进入计算机系统, 偷盗有用的数据信息, 重点保护系统中容易被攻击的脆弱点。根据目前的技术水平, 我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等安全措施来加以防范。在校园网安全规划时, 对于在什么地方应采取什么样的安全措施, 事先都必须给予充分的考虑, 以确保校园网的安全,对于这些问题我们将在下一章节予以研究。
精品
3 校园网网络安全对策分析
校园网安全问题愈来愈突出的同时,校园网安全的对策也越来越引起人们的关注。本章重点讨论校园网的安全策略,并在此基础上简要地说明校园网安全体系结构的构建,以及校园网网络安全体系的内容,校园网安全问题对策所用到的关键技术。
3.1 校园网络安全策略概述
随着网络应用的开展,要建立一个安全的网络体系,首先应花较大的精力制 定周密的网络安全策略,这是最重要的一步。在网络安全的实施中,技术只是手 段,还应该先对网络安全管理有个清晰的概念,然后制定翔实的安全策略,最后 才是选择合适的产品用以具体实施和构建安全系统。
要建设一个安全的网络安全体系,必须采取相应的策略,根据实际的需求不 同,采取的策略可能有一些不同之处,但大都包括下述策略。 3.1.1 网络安全系统策略的制定
物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机 等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备 有一个良好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进行破坏活动。
采用网络隔离手段可有效减小信息的传播面,从而增加信息的安全性。应根 据业务划分、保密要求等因素的差异将网络进行分段隔离,它可从底层有效地 控制信号传播途径及传播范围,实现更为细化的安全控制体系,将攻击和入侵造 成的威胁限制在较小的子网内,提高网络整体的安全水平。路由器、虚拟局域网 (VLAN)、防火墙是当前主要的网络分段手段。
在经费允许范围内,尽可能选用安全级别较高的网络操作系统及数据库系统,以安全套件加固TCP/IP各层。如因受客观条件限制,难以对网络操作系统及数据库系统进行选择,则其他核心软件,如防火墙、入侵检测、网络安全漏洞扫描软件等应尽可能地选用经国家网络安全权威机构评审通过的优秀国产软件。
最小授权原则指网络中账号设置服务配置主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。
在网络安全中,除了采用技术措施之外,制定有关规章制度,对于确保网络 安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容,应始终
精品
贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安 全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由 于一个细微的让步,最终导致了整个系统的崩溃。因此,严格执行安全管理制度 是网络可靠运行的重要保障。 3.1.2 校园安全的设计原则
校园网覆盖整个校区,在网络性能上应该考虑以下几项要求:数据处理、通信处理能力强,响应速度快。网络运行的安全性、可靠性高。网络能够容易得进行扩容、升级和管理。主干网的带宽要高,可以支持多媒体等视频业务的开展和满足数据流量不断增长的要求。
此外,在校园网建设的具体实施中需要注意的设计原则包括: ? 坚持开放型,采用国际标准和通用标准; ? 尽量采用先进、成熟的组网技术;
? 强调实用性、并尽可能达到性能价格比最优; ? 统一规划、分布实施。
3.2 校园网络安全体系结构设计
构建安全高效的校园网络是校园网建设的目标之一,校园安全体系结构的建设是
其中的重要一环,安全体系设计的好坏是校园网成败的关键。 3.2.1 设计校园网络安全体系的原则
根据网络安全性设计的要求设计网络安全体系时应遵循安全性,可行性,高效性,可承担性等原则,分别阐述如下:
1) 安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全,所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。
2) 可行性:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。
3) 高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。
4) 可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训