校园网网络安全系统问题分析报告及其解决方案设计毕业论文设计doc.docx

1、校园网网络安全系统问题分析报告及其解决方案设计毕业论文设计doc毕业设计论文校园网网络安全问题分析与其解决方案学生专 业计算机网络维护学 号79二零一二年三月摘 要随着互联网的普与和国各高校网络建设的不断开展，目前高校大多建立了校园网，它己经成为高校信息化的重要组成局部。但随着黑客入侵的增多与网络病毒的泛滥，校园网的安全已成为不容无视的问题，如何在开放网络的环境中保证校园网的安全性已经成为十分迫切的问题。本文系统地介绍了网络安全的概念、讨论了校园网目前面临的各种安全威胁。本文针对校园网的建设目标，列出了应对校园网络安全的关键技术，并结合校园网的特点详细论述了校园网安全防御的实现和措施，包括防火

2、墙的设置，身份认证和数据加密，入侵检测，物理专用隔离网等等。最后本文分析了实际相关案例，使技术与实际应用相结合，说明基于校园网网络信息安全的运行模式和过程。关键词：校园网; 网络安全; 防火墙; 入侵检测1 校园网网络概述 随着网络技术的不断开展，网络安全已成为一个不可无视的问题。伴随着高校校园数字化的不断深入校园网安全越来越成为人们关注的焦点之一。本章系统地论述了计算机网络技术的开展以与当前网络安全所面临的主要问题，校园网的开展状况，校园网的拓扑结构，功能结构，校园网的建设目标等容。1.1 计算机网络的开展与安全现状 自1946年第一台计算机以来，计算机技术与网络技术得到飞速开展，计算机网络

3、已成为国民经济的重要支撑，发挥着举足轻重的作用。与此同时，网络安全问题也成为一个不可无视的问题。1.1.1 计算机网络的开展Internet是以TCP/IP协议为核心的一种计算机网络体系结构的统称。在计算机网络技术近40年的开展历史中，曾经涌现出各种各样的计算机网络体系结构和技术，它们努力提供类似于Internet的功能和服务，但是都没有像Internet能够在技术上和实践上适应于各种变化，获得今天这样的巨大成功，并且正在对计算机网络技术的未来开展趋势产生深刻的影响。随着Internet规模的不断扩大，新网络技术的不断出现和网络应用的开展，对Internet技术不断提出新的挑战。目前，负责In

4、ternet技术工作的Internet工程任务组织IETF正在九个领域开展技术研究。由于网络的规模和应用迅速开展，计算机信息网络技术面临的挑战仍然是十分严峻的。主要包括以下几个方面：1)网络的可扩展性原先设计的TCP网络技术不能适应Internet规模的不断扩大，网络的可扩展性问题成为重要的技术挑战。例如:网络的地址空间不够大;网络主干网的速度需要大大提高;采用多个Internet主干网后，网络间的连接和路由选择技术;大型分布式网络目录系统;网络上大量零散信息，包括信息的自动发现和检索技术等等。2)网络的安全性Internet技术的灵活性和开放性使得它在安全方面存在一些安全漏洞。国际标准化组织

5、给网络安全的定义为:“为数据处理系统建立和采用的技术和管理保护计算机硬件软件和数据不因偶然和恶意的原因遭到破坏更改和泄露。网络的安全性问题包括系统安全和网络信息安全两方面的容。这方面的技术挑战包括:网络和计算机系统的技术设计漏洞;网络和计算机系统口令的偷窃;协议出错;认证出错;信息泄漏:防火墙技术;信息传输加密算法和电子签名等等。3)网络服务质量基于分组交换技术的TCP/IP协议不能保证网络用户获得所需的网络服务质量，这对于原先的Internet网络应用无关紧要，但是对于许多新型的网络应用却带来麻烦，例如:像Internet Phone、See you- See me、Video man等实时

6、的网络应用希望获得固定的网络带宽。这方面的协议己经在研究之中。4)新的网络应用新的网络应用对Internet/Intranet技术的挑战尤为巨大，由此也带来了网络原始设计与规划所未考虑或考虑不周的问题。1.1.2 网络安全的现状近三年，全球信息网络安全呈现出一些新特点，主要表现在如下几个方面：网络威胁形式多样，经济利益成为网络攻击的最大驱动力；网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势。网络欺骗手段进一步升级，黑客不光利用电子和进展诈骗，具有“网络钓鱼性质的病毒也开始出现，勒索软件、网络游戏、网络银行盗号木马等被广泛使用，都充分说明了经济利益已经成为网络攻击的最大驱动力。网络黑客逐

7、步形成了较为严密的组织，在组织局部工明确，从恶意代码的制作，恶意代码的散布到敏感信息的窃取都有专人负责;网络攻击从最初的技术炫耀转向获取经济利益，网络攻击的针对性和定向性越来越强;针对特定目标的网络攻击具有更大的威胁和破坏性，信息安全防护形势严峻。网络安全除以上情况外还包括以下几个方面：1)漏洞数量居高不下，利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误，攻击者利用这些缺陷和错误可以对网络系统进展非授权的访问或破坏。2)病毒传播形式多元化。、移动存储设备成为病毒传播的新渠道。黑客们越来越多地通过对用户进展攻击。此外，通过移动存

8、储设备传播病毒使很多电脑用户饱受其害。 3) 信息新技术应用和组网模式带来新的安全问题。无线射频识别(RFID)、IPT的应用、以与传感器网络、ad-hoc等网络通信模式的变化给信息安全带来了一些新挑战。1.2 校园网简介 随着网络技术的开展和网络应用的普与，校园网在国高等学校中已经开始普与。而且随着国高校的教学开展，高校应用水平的提高，高等学校校园网的整体水平和层次有了很大的提高。1.2.1 校园网概念与其问题“校园网的概念是指大、中、小学教育单位的网络，它以应用为目的，基于Internet/Intranet技术的计算机网络和它的使用者以与相关规章制度的集合。一个完整的校园网建设要紧紧围绕“

9、路、车、货、驾驶员培训四大元素来进展。在这四大元素中，“货是重点，它是校园网建设的核心。 这里，“路是指物理网络的搭建，包括四个方面：结构化布线、网络连通网络设备的选择、服务器的选择、终端的选择；“车是指系统平台的建设，如教育行政管理平台、教学管理平台、资源库管理平台和校园网通信平台，其中，行政管理和教学平台主要针对教育工作，资源库平台将为这两个平台提供详尽的资料；“货是指软件具体是指应用系统的建设，它根据学校的需求选择一些应用软件和硬件，一般学校常用的应用系统有多媒体网络教室、多媒体电子阅览室、网络多媒体课件制作系统、校园信息管理系统、视频点播、学校主页等；而“驾驶员培训是指为适应现代网络教

10、学的要求而对相关人员进展的培训。这是一个伸缩性比拟大的工作，从人员角度，培训可分为四级：校长的培训、校园管理员的培训、青年骨干教师的培训、全体教师的培训，这些人员在培训之后能够针对学校的具体、特殊的需求或是未来需求而提出切实可行的建议，以便能够更好地进展系统的二次开发。目前校园网存在的四大问题：缺少关于校园网建设的理论与实践的科学认识；缺乏系统思考和统一规划，盲目地追求硬件建设与一次到位；对教师进展计算机根底应用与网络培训的意义，没有意识或力度不够；对校园网的关键局部资源库的建设相对滞后。1.2.2 校园网开展趋势随着网络技术的开展和网络应用的普与，校园网在国高等学校中已经开始普与。而且随着国

11、高校的教学开展，高校应用水平的提高，高等学校校园网的整体水平和层次有了很大的提高。高等学校校园网开展呈现以下趋势：与校园网相关的网络技术、应用技术开展更新的速度加快；新兴的千兆以太网，甚至万兆以太网络、ATM、网络视频等技术已被广泛使用；校园办公服务软件的兴起，把学校教学、校务办公、学校服务等有机地融合进校园网；利用校园网和互联网，开展了远程教育系统，丰富了教学手段，拓展了办学规模；同时Internet应用的开展也拓展了高等教育的研究领域；新兴的Internet应用学科蓬勃开展，特别是电子商务应用系统的开展越来越受到广阔高等院校的重视，已经被局部高校编入了教学围。13 校园网的网络构成 校园网

12、的网络组成可以按照不同的标准来区分，通常可以分为按照网络的拓扑分为校园网的体系机构以与按网络的功能分为校园网的功能结构。1.3.1校园网网络体系结构概述校园网安全策略的制定和实施是以各高校校园网的根底体系结构和网络应用具体情况为依据和实施根底的。因此在制定各高校的网络安全策略和实施具体的安全策略之前，透彻分析本校的校园网体系结构,网络拓扑结构，网络的路由策略，网络的区域划分，IP与VLAN的规划，网络访问策略，各应用系统的功能服务对象，访问限制等等是非常必要的，其性能直接影响到网络安全策略的实施效果。网络体系结构是关于如何构建网络的技术，它包括两个层次的涵。一是要标识出网络系统由哪些局部组成，

13、清晰地描述出各个局部的功能、目的和特点。二是要描述网络各个组成局部之间的关系，如何将各个局部有机地结合在一起，形成完整的网络系统，从而保证网络有效地运转，也就是将各个局部进展集成的方式或方法。根据教育部教育管理信息化标准的要求，校园网的总体建设目标包括：校园网根底设施建设是我们数字化校园的根底，它的建设水平和效果直接影响到我们运行在校园网上的服务，影响到全校的教学、科研甚至影响到师生的日常生活。校园网的建设包括根据自身的应用需求和特点进展校园网的体系结构的设计，相关技术设备的选择，网络出口包括带宽的选择，设备之间拓扑关系确实定，集成、调试，应用建设等关键环节，在这些环节当中也包含着对校园网络安

14、全的考虑与设计。近年的信息化建设，通过科研需求、教学应用、网络办公、网上娱乐等应用建设和使用，网络应用逐渐渗透到了校园生活的方方面面。上网备课，接收，网络聊天，游戏购物，校园用户联网的时间一天天延长。教育部科技开展中心公布的相关数据显示，98.4%的高校教学、科研、行政办公已经全部联入校园网，90.5%高校的教室已提供了校园网接入环境，74.35%的学校在学生宿舍已经接入网络，校园网覆盖围正在逐步地扩大。同时各个高校的网络应用建设也是搞得风风火火，从原来的只提供局部特殊用户的上网接入，只提供根本的Web和Mail服务开展到了增加网络出口，增加带宽，建设各部门和学院的二级站点乃至个人站点，Vid

15、eo视频点播系统、IPTV网络电视系统、各学科知识数据库系统、教学、人事等业务系统，精品课程、网上录播、监控等多种应用系统的建设。现在各高校正制定各自的数字化校园的规划，新一轮的校园网应用建设和信息系统集成将展开，这对我们的校园网根底设施建设和网络安全提出了新的挑战。1.3.2校园网系统功能构成校园网作为校园网络信息平台应该由一个平台和三个系统构成，即系统管理平台、校园公共信息系统、校园管理信息与办公自动化系统、校园教-学资源库系统。具体系统功能构成见图1-1图1-1 校园网系统功能结构图图1-1 校园网系统功能结构图1.3.3 校园应用管理平台 校园应用系统管理平台是一个可靠性高、安全性好、

16、易管理的操作平台。在此平台上可轻松的实现用户注册、系统的备份和恢复、用户权限的设置以与资源的调整、初始化等管理工作。通过使用Intranet/Internet技术以与先进的XML技术和B/S结构，实现了与Internet的无缝连接。校园公共信息系统Internet服务系统主要用于校园公共信息的管理，是学校师生进展交流的场所，教师和学生通过公共信息系统将大大拓展信息交流的空间。作为大学的信息门户，该系统为全校师生提供校园讨论区BBS、校园聊天室、校园大事记、通知公告、信息发布等根底信息服务。通过权限设置，实现角色化管理，年级、班级、兴趣小组等各类角色都可以根据自己定制的需求去查询、发布信息。校园

17、管理信息系统用于支持学校日常管理的各项工作。用户通过使用人事管理、教育教学管理、后勤管理、教学资源与应用平台、图书馆管理、生活管理、医疗管理等多个功能子系统可以方便快捷地处理各种复杂数据操作和文字录入，完成各种校园信息数据的有效管理。校园办公自动化针对校园办公需求不仅实现了便捷的公文管理、档案管理、信息交流，而且使每位教师、每个学生都拥有自己的信箱。教学资源库系统提供一致的资源管理和使用方式，实现简便准确的资源获取与检索，全面支持教学应用，包括对各类教学软件库、教学网络平台、电子阅览室等资源的分类、检索和管理、多媒体教学、远程教育等功能。1.3.4 典型校园网拓扑结构校园网的网络体系结构包括校

18、园网的网络边界设备，核心与骨干设备，网络接入层设备，网络服务提供设备和这些设备的连接方式以与该结构采用的协议与技术。当前的校园网多采用1000M以太网主干技术，1000M或100M到楼，100M或10M到桌面，局部区域采用无线接入技术802.11实现无线接入。校园网络一般有边界路由器，高性能的核心路由交换机，各分布层的三层路由交换机，大量的二层可网管接入交换机，以与防火墙，IDS或IPS，容过滤系统，流量分析系统，网络设备管理系统等网络硬件设备。校园网多采用星形拓扑结构，常见的校园网拓扑结构如图1-2图1-2 校园网拓扑结构1.3.5 校园网的建设目标网络安全Network Security是

19、抵御部和外部各种形式的威胁，以确保络的安全的过程。为了深入彻底地理解什么是网络安全，必须理解网络安全旨在保护的网络上所面临的威胁，理解一个能够用于阻止这些攻击的主要机制也是非常重要的。通常，在网络上实现最终的安全目标可通过下面的一系列步骤完成，每一都是为了澄清攻击和阻止攻击的保护方法之间的关系。下面的步骤是在一个站上建立和实现安全的方法：第1步确定要保护的是什么；第2步决定尽力保护它免于什么威胁；第3步决定威胁的可能性；第4步以一种划算的方法实现保护资产的目的；第5步不断地检查这些步骤，每当发现一个弱点就进展改良。校园网络系统需要实现以下安全目标：保护网络系统的可用性；保护网络系统服务的连续性

20、；防网络资源的非法访问与非授权访问；防入侵者的恶意攻击与破坏；保护信息通过网上传输过程中的性、完整性。2 校园网的安全隐患校园网在学校的日常活动中发挥着越来越重要的作用，与此同时，校园网的安全问题也越来越突出，网络病毒，黑客入侵，管理不善等原因使得校园网络面临着严重的威胁。2.1 威胁校园网安全的部因素在校园网面临的威胁当中，部因素是一个重要的方面，这其中既包括软硬件自身的缺陷，也包括管理者的管理水平等主观方面的因素。2.1.1 软硬件自身的漏洞 来自硬件系统的安全威胁。一方面是指物理安全，主要是由于网络硬件设备的放置不适宜或者防措施不得力，使得服务器、工作站、交换机、路由器等网络设备，光缆和

21、双绞线等网络线路以与UPS和电缆线等电源设备遭受自然雷电、水、火意外事故或人为破坏等等而造成的校园网不能正常使用。另一方面是指设置安全。主要是在设备上进展必要的设置，防止黑客取得硬件设备的远程控制权等等。硬件系统安全是制订校园网安全整体解决方案时首先应考虑的问题。 系统安全漏洞是指系统在设计时没有考虑到的缺陷，特别是操作系统，因为这些软件一般都比拟的复杂、庞大，有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在，使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者对系统漏洞进展攻击，入侵成功后将获得系统的相应权限，进而盗取重

22、要资料或对系统进展破坏活动。目前学校的计算机系统绝大多数都是使用Windows2000/XP操作系统，而Windows操作系统是不太安全的。因为Windows操作系统的漏洞比拟多，由Windows操作系统漏洞引发的不安全问题时有发生。此外，应用系统也不例外，如IE、Office办公软件、Ms-SQL、Oracal等软件也存在安全漏洞。2.1.2设置上的失误合理规划配置设施是校园网发挥作用的关键。在校园网规划时，应考虑长远，因为一旦综合布线、设备配置完成再进展调整可能需要再重新设计网络结构，很多地方需要重新布线，网络设备也需要重新设置，这样既浪费人力，物力，也会影响到教学。对于一些重要的场所，例

23、如图书馆、电子阅览室、资料室、电脑室、多媒体制作室、教室、办公室等应多设信息点。同时网络集成公司的技术实力、施工质量与其五花八门的解决方案大多是自吹自擂，并没有通过权威部门的评审、鉴定，致使网络市场处于一种比拟混乱的局面。2.1.3 管理漏洞 管理是信息网络安全中最重要的局部。责权不明，管理混乱、安全管理制度不健全与缺乏可操作性等都可能引起管理安全的风险，主在表现在以下几点:1)部管理人员或员工把部网络结构、管理员用户名与口令以与系统的一些重要信息传播给外人带来信息泄漏风险；2)机房出入管理不严格，使入侵者能够接近重要设备而带来信息安全风险；3)一些心怀不满的部员工，由于熟悉服务器、小程序、脚

24、本和系统的弱点，进展如复制、删除数据等非法数据操作，造成极大的安全风险；4)当网络出现攻击行为或网络受到其它一些安全威胁时(如部人员的违规操作等)，无法进展实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供攻击者攻击行为的追踪线索与破案依据，即缺乏对网络的可控性与可审查性。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。2.2 威胁校园网安全的外部因素 虽然部因素威胁着校园网的安全，但是在绝大多情况下，网络病毒，黑客入侵等外部因素对网络构成很大威胁。2.2.1 网络黑客的入侵“黑客一词是由英语Hacker英译出来的，是指

25、专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的开展而产生成长。黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。 由于校园网规模巨大，各种设备系统差异有很大差异，给管理带来了很大的挑战，同时也成为黑客攻击的对象。黑客攻击已成为校园网安全不可无视的一个因素。2.2.2 计算机病毒的破坏一般来说，计算机网络的根本构成包括网络服务器和网络节点站包括有盘工作站、无盘工作站和远程工作站。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后

26、开始在网上的传播。具体地说，其传播方式有以下几种。病毒直接从工作站拷贝到服务器中或通过在网传播；病毒先传染工作站，在工作站存驻留，等运行网络盘程序时再传染给服务器；病毒先传染工作站，在工作站存驻留，在病毒运行时直接通过映像路径传染到服务器中；如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。2.3 校园网安全防御与应急关键设备技术1)防火墙与技术它为网络通信、数据传输提供更有保障的安全性。分为包过滤防火墙检查每个IP包的字段，如源地址、目标地址、端口等 ；状态检测防火墙动态检查网络连接和包；应用程序代理防火墙与

27、特定应用程序配合使用。防火墙性能：最大带宽、并发连接数、每秒新增连接数、丢包和延迟；自身安全性。防火墙产品：Juniper的Net Screen；Cisco的Pix；天融信防火墙；天网防火墙。2)入侵检测与防御与技术 它能与时发现网络异常行为，并阻止其进一步开展。入侵检测技术包括以下几种：基于误用检测技术检测与异常规如此相匹配的网络行为；基于异常检测技术检测偏离了正常规如此的网络行为。入侵检测核心技术：模式匹配、基于统计方法、预测模式生成等。防火墙性能：降低误报率、漏报率；入侵检测产品有：CA的Intrusion Detection,启明星辰的天阗IDS等。3)防病毒与技术它能与时发现病毒，并

28、去除，阻止病毒进一步传播、扩散。防病毒核心技术有：特征代码匹配、病毒特征自动发现、启发式搜索等，防病毒产品有：Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。4)反垃圾与技术它能过滤、阻止大量的非正常的电子。反垃圾机理：IP地址、域名、地址黑白方式；基于垃圾行为模式识别模型 ；Domainkeys方式(基于PKI的方式对发送者进展验证，对信息进展加密保护，对收信人实现防抵赖机制)；基于信头、信体、附件的容过滤方式；反垃圾产品有：防垃圾网关，如冠群金辰 的Kill赤霄过滤网关；防垃圾防火墙，如：博威特的梭子鱼垃圾防火墙。5)容过滤与技术 它能阻止不健康、反动信息的复制、传播。过滤方法

29、有：基于关键字、权重关键字、基于URL的过滤；基于文字容的深度搜索；一般在防病毒网关、反垃圾系统中集成。根据本章所提出的校园网所面临的安全威胁，我们除了选取良好的拓扑结构外, 一般还要注意安全, 以防止信息的非授权访问; 要注意数据的完整性与准确性, 使信息在存储或传输过程中不被破坏、丢失或不被XX的恶意或偶然的修改; 注意其可用性, 使计算机的硬件和软件保持有效的运行, 并且系统在发生灾难时能够快速完全地恢复。要防止侵袭者通过非法途径进入计算机系统, 偷盗有用的数据信息, 重点保护系统中容易被攻击的脆弱点。根据目前的技术水平, 我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等安

30、全措施来加以防。在校园网安全规划时, 对于在什么地方应采取什么样的安全措施, 事先都必须给予充分的考虑, 以确保校园网的安全，对于这些问题我们将在下一章节予以研究。3 校园网网络安全对策分析 校园网安全问题愈来愈突出的同时，校园网安全的对策也越来越引起人们的关注。本章重点讨论校园网的安全策略，并在此根底上简要地说明校园网安全体系结构的构建，以与校园网网络安全体系的容，校园网安全问题对策所用到的关键技术。3.1 校园网络安全策略概述 随着网络应用的开展，要建立一个安全的网络体系，首先应花较大的精力制定周密的网络安全策略，这是最重要的一步。在网络安全的实施中，技术只是手段，还应该先对网络安全管理有

31、个清晰的概念，然后制定翔实的安全策略，最后才是选择适宜的产品用以具体实施和构建安全系统。要建设一个安全的网络安全体系，必须采取相应的策略，根据实际的需求不同，采取的策略可能有一些不同之处，但大都包括下述策略。3.1.1 网络安全系统策略的制定物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备有一个良好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进展破坏活动。采用网络隔离手段可有效减小信息的传播面，从而增加信息的安全性。应根据业务划分、要求等因素的差异将网络进展分段隔离，它可从底层有效地控制信号传播途径与传播围，实现更为细化的安全控制体系，将攻击和入侵造成的威胁限制在较小的子网，提高网络整体的安全水平。路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。在经费允许围，尽可能选用安全级别较高的网络操作系统与数据库系统，以安全套件加固TCP/IP各层。如因受客观条件限制，难以对网络操作系统与数据库系统进展选择，如此其他核心软件，如防火墙、入侵检测、网络安全漏洞扫描软件等应尽可能地选用经国家网络安全权威机构评审通过的优秀国产软件。最小授权原如此指网络中账号设置服务配置主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用