校园网网络安全问题分析及其解决方案毕业论文docWord文档下载推荐.docx

1、Internet是以TCP/IP协议为核心的一种计算机网络体系结构的统称。在计算机网络技术近40年的发展历史中，曾经涌现出各种各样的计算机网络体系结构和技术，它们努力提供类似于Internet的功能和服务，但是都没有像Internet能够在技术上和实践上适应于各种变化，获得今天这样的巨大成功，并且正在对计算机网络技术的未来发展趋势产生深刻的影响。随着Internet规模的不断扩大，新网络技术的不断出现和网络应用的发展，对Internet技术不断提出新的挑战。目前，负责Internet技术工作的Internet工程任务组织（IETF）正在九个领域开展技术研究。由于网络的规模和应用迅速发展，计算机

2、信息网络技术面临的挑战仍然是十分严峻的。主要包括以下几个方面：1）网络的可扩展性原先设计的TCP网络技术不能适应Internet规模的不断扩大，网络的可扩展性问题成为重要的技术挑战。例如:网络的地址空间不够大;网络主干网的速度需要大大提高;采用多个Internet主干网后，网络间的连接和路由选择技术;大型分布式网络目录系统;网络上大量零散信息，包括WWW信息的自动发现和检索技术等等。2）网络的安全性Internet技术的灵活性和开放性使得它在安全方面存在一些安全漏洞。国际标准化组织给网络安全的定义为:“为数据处理系统建立和采用的技术和管理保护计算机硬件软件和数据不因偶然和恶意的原因遭到破坏更改

3、和泄露”。网络的安全性问题包括系统安全和网络信息安全两方面的内容。这方面的技术挑战包括:网络和计算机系统的技术设计漏洞;网络和计算机系统口令的偷窃;协议出错;认证出错;信息泄漏:防火墙技术;信息传输加密算法和电子签名等等。3）网络服务质量基于分组交换技术的TCP/IP协议不能保证网络用户获得所需的网络服务质量，这对于原先的Internet网络应用无关紧要，但是对于许多新型的网络应用却带来麻烦，例如:像Internet Phone、See you- See me、Video man等实时的网络应用希望获得固定的网络带宽。这方面的协议己经在研究之中。4）新的网络应用新的网络应用对Internet/

4、Intranet技术的挑战尤为巨大，由此也带来了网络原始设计与规划所未考虑或考虑不周的问题。1.1.2 网络安全的现状近三年，全球信息网络安全呈现出一些新特点，主要体现在如下几个方面：网络威胁形式多样，经济利益成为网络攻击的最大驱动力；网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势。网络欺骗手段进一步升级，黑客不光利用电子邮件和网站进行诈骗，具有“网络钓鱼”性质的病毒也开始出现，勒索软件、网络游戏、网络银行盗号木马等被广泛使用，都充分说明了经济利益已经成为网络攻击的最大驱动力。网络黑客逐步形成了较为严密的组织，在组织内部分工明确，从恶意代码的制作，恶意代码的散布到敏感信息的窃取都有专人

5、负责;网络攻击从最初的技术炫耀转向获取经济利益，网络攻击的针对性和定向性越来越强;针对特定目标的网络攻击具有更大的威胁和破坏性，信息安全防护形势严峻。网络安全除以上情况外还包括以下几个方面：1）漏洞数量居高不下，利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误，攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。2）病毒传播形式多元化。网站、移动存储设备成为病毒传播的新渠道。黑客们越来越多地通过网站对用户进行攻击。此外，通过移动存储设备传播病毒使很多电脑用户饱受其害。 3） 信息新技术应用和组网模式带来新的安全问题。无

6、线射频识别（RFID）、IPT的应用、以及传感器网络、ad-hoc等网络通信模式的变化给信息安全带来了一些新挑战。1.2 校园网简介 随着网络技术的发展和网络应用的普及，校园网在国内高等学校中已经开始普及。而且随着国内高校的教学发展，高校应用水平的提高，高等学校校园网的整体水平和层次有了很大的提高。1.2.1 校园网概念及其问题“校园网”的概念是指大、中、小学教育单位的网络，它以应用为目的，基于Internet/Intranet技术的计算机网络和它的使用者以及相关规章制度的集合。一个完整的校园网建设要紧紧围绕“路、车、货、驾驶员培训”四大元素来进行。在这四大元素中，“货”是重点，它是校园网建设

7、的核心。 这里，“路”是指物理网络的搭建，包括四个方面：结构化布线、网络连通（网络设备的选择）、服务器的选择、终端的选择；“车”是指系统平台的建设，如教育行政管理平台、教学管理平台、资源库管理平台和校园网通信平台，其中，行政管理和教学平台主要针对教育工作，资源库平台将为这两个平台提供详尽的资料；“货”是指软件（具体是指应用系统）的建设，它根据学校的需求选择一些应用软件和硬件，一般学校常用的应用系统有多媒体网络教室、多媒体电子阅览室、网络多媒体课件制作系统、校园信息管理系统、视频点播、学校主页等；而“驾驶员培训”是指为适应现代网络教学的要求而对相关人员进行的培训。这是一个伸缩性比较大的工作，从人

8、员角度，培训可分为四级：校长的培训、校园管理员的培训、青年骨干教师的培训、全体教师的培训，这些人员在培训之后能够针对学校的具体、特殊的需求或是未来需求而提出切实可行的建议，以便能够更好地进行系统的二次开发。目前校园网存在的四大问题：缺少关于校园网建设的理论与实践的科学认识；缺乏系统思考和统一规划，盲目地追求硬件建设与一次到位；对教师进行计算机基础应用及网络培训的意义，没有意识或力度不够；对校园网的关键部分资源库的建设相对滞后。1.2.2 校园网发展趋势随着网络技术的发展和网络应用的普及，校园网在国内高等学校中已经开始普及。高等学校校园网发展呈现以下趋势：与校园网相关的网络技术、应用技术发展更新

9、的速度加快；新兴的千兆以太网，甚至万兆以太网络、ATM、网络视频等技术已被广泛使用；校园办公服务软件的兴起，把学校教学、校务办公、学校服务等有机地融合进校园网；利用校园网和互联网，发展了远程教育系统，丰富了教学手段，拓展了办学规模；同时Internet应用的发展也拓展了高等教育的研究领域；新兴的Internet应用学科蓬勃发展，特别是电子商务应用系统的发展越来越受到广大高等院校的重视，已经被部分高校编入了教学范围。13 校园网的网络构成 校园网的网络组成可以按照不同的标准来区分，通常可以分为按照网络的拓扑分为校园网的体系机构以及按网络的功能分为校园网的功能结构。1.3.1校园网网络体系结构概述

10、校园网安全策略的制定和实施是以各高校校园网的基础体系结构和网络应用具体情况为依据和实施基础的。因此在制定各高校的网络安全策略和实施具体的安全策略之前，透彻分析本校的校园网体系结构,网络拓扑结构，网络的路由策略，网络的区域划分，IP及VLAN的规划，网络访问策略，各应用系统的功能服务对象，访问限制等等是非常必要的，其性能直接影响到网络安全策略的实施效果。网络体系结构是关于如何构建网络的技术，它包括两个层次的内涵。一是要标识出网络系统由哪些部分组成，清晰地描述出各个部分的功能、目的和特点。二是要描述网络各个组成部分之间的关系，如何将各个部分有机地结合在一起，形成完整的网络系统，从而保证网络有效地运

11、转，也就是将各个部分进行集成的方式或方法。根据教育部教育管理信息化标准的要求，校园网的总体建设目标包括：校园网基础设施建设是我们数字化校园的基础，它的建设水平和效果直接影响到我们运行在校园网上的服务，影响到全校的教学、科研甚至影响到师生的日常生活。校园网的建设包括根据自身的应用需求和特点进行校园网的体系结构的设计，相关技术设备的选择，网络出口包括带宽的选择，设备之间拓扑关系的确定，集成、调试，应用建设等关键环节，在这些环节当中也包含着对校园网络安全的考虑与设计。近年的信息化建设，通过科研需求、教学应用、网络办公、网上娱乐等应用建设和使用，网络应用逐渐渗透到了校园生活的方方面面。上网备课，接收邮

12、件，网络聊天，游戏购物，校园用户联网的时间一天天延长。教育部科技发展中心公布的相关数据显示，98.4%的高校教学、科研、行政办公已经全部联入校园网，90.5%高校的教室已提供了校园网接入环境，74.35%的学校在学生宿舍已经接入网络，校园网覆盖范围正在逐步地扩大。同时各个高校的网络应用建设也是搞得风风火火，从原来的只提供部分特殊用户的上网接入，只提供基本的Web和Mail服务发展到了增加网络出口，增加带宽，建设各部门和学院的二级站点乃至个人站点，Video视频点播系统、IPTV网络电视系统、各学科知识数据库系统、教学、人事等业务系统，精品课程、网上录播、监控等多种应用系统的建设。现在各高校正制

13、定各自的数字化校园的规划，新一轮的校园网应用建设和信息系统集成将展开，这对我们的校园网基础设施建设和网络安全提出了新的挑战。1.3.2校园网系统功能构成校园网作为校园网络信息平台应该由一个平台和三个系统构成，即系统管理平台、校园公共信息系统、校园管理信息及办公自动化系统、校园教-学资源库系统。具体系统功能构成见图1-1图1-1 校园网系统功能结构图1.3.3 校园应用管理平台 校园应用系统管理平台是一个可靠性高、安全性好、易管理的操作平台。在此平台上可轻松的实现用户注册、系统的备份和恢复、用户权限的设置以及资源的调整、初始化等管理工作。通过使用Intranet/Internet技术以及先进的X

14、ML技术和B/S结构，实现了与Internet的无缝连接。校园公共信息系统（Internet服务系统）主要用于校园公共信息的管理，是学校师生进行交流的场所，老师和学生通过公共信息系统将大大拓展信息交流的空间。作为大学的信息门户，该系统为全校师生提供校园讨论区（BBS）、校园聊天室、校园大事记、通知公告、信息发布等基础信息服务。通过权限设置，实现角色化管理，年级、班级、兴趣小组等各类角色都可以根据自己定制的需求去查询、发布信息。校园管理信息系统用于支持学校日常管理的各项工作。用户通过使用人事管理、教育教学管理、后勤管理、教学资源与应用平台、图书馆管理、生活管理、医疗管理等多个功能子系统可以方便快

15、捷地处理各种复杂数据操作和文字录入，完成各种校园信息数据的有效管理。校园办公自动化针对校园办公需求不仅实现了便捷保密的公文管理、档案管理、信息交流，而且使每位老师、每个学生都拥有自己的信箱。教学资源库系统提供一致的资源管理和使用方式，实现简便精确的资源获取与检索，全面支持教学应用，包括对各类教学软件库、教学网络平台、电子阅览室等资源的分类、检索和管理、多媒体教学、远程教育等功能。1.3.4 典型校园网拓扑结构校园网的网络体系结构包括校园网的网络边界设备，核心及骨干设备，网络接入层设备，网络服务提供设备和这些设备的连接方式以及该结构采用的协议及技术。当前的校园网多采用1000M以太网主干技术，1

16、000M或100M到楼，100M或10M到桌面，部分区域采用无线接入技术（802.11）实现无线接入。校园网络一般有边界路由器，高性能的核心路由交换机，各分布层的三层路由交换机，大量的二层可网管接入交换机，以及防火墙，IDS（或IPS），内容过滤系统，流量分析系统，网络设备管理系统等网络硬件设备。校园网多采用星形拓扑结构，常见的校园网拓扑结构如图1-2 图1-2 校园网拓扑结构 1.3.5 校园网的建设目标网络安全（Network Security）是抵御内部和外部各种形式的威胁，以确保络的安全的过程。为了深入彻底地理解什么是网络安全，必须理解网络安全旨在保护的网络上所面临的威胁，理解一个能够

17、用于阻止这些攻击的主要机制也是非常重要的。通常，在网络上实现最终的安全目标可通过下面的一系列步骤完成，每一都是为了澄清攻击和阻止攻击的保护方法之间的关系。下面的步骤是在一个站上建立和实现安全的方法：第1步确定要保护的是什么；第2步决定尽力保护它免于什么威胁；第3步决定威胁的可能性；第4步以一种划算的方法实现保护资产的目的；第5步不断地检查这些步骤，每当发现一个弱点就进行改进。校园网络系统需要实现以下安全目标：保护网络系统的可用性；保护网络系统服务的连续性；防范网络资源的非法访问及非授权访问；防范入侵者的恶意攻击与破坏；保护信息通过网上传输过程中的机密性、完整性。2 校园网的安全隐患 校园网在学

18、校的日常活动中发挥着越来越重要的作用，与此同时，校园网的安全问题也越来越突出，网络病毒，黑客入侵，管理不善等原因使得校园网络面临着严重的威胁。2.1 威胁校园网安全的内部因素 在校园网面临的威胁当中，内部因素是一个重要的方面，这其中既包括软硬件自身的缺陷，也包括管理者的管理水平等主观方面的因素。2.1.1 软硬件自身的漏洞 来自硬件系统的安全威胁。一方面是指物理安全，主要是由于网络硬件设备的放置不合适或者防范措施不得力，使得服务器、工作站、交换机、路由器等网络设备，光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受自然雷电、水、火意外事故或人为破坏等等而造成的校园网不能正常使用。另一方面是

19、指设置安全。主要是在设备上进行必要的设置，防止黑客取得硬件设备的远程控制权等等。硬件系统安全是制订校园网安全整体解决方案时首先应考虑的问题。 系统安全漏洞是指系统在设计时没有考虑到的缺陷，特别是操作系统，因为这些软件一般都比较的复杂、庞大，有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在，使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者对系统漏洞进行攻击，入侵成功后将获得系统的相应权限，进而盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝大多数都是使用Windows2000/XP操作系统，而Windows操作系

20、统是不太安全的。因为Windows操作系统的漏洞比较多，由Windows操作系统漏洞引发的不安全问题时有发生。此外，应用系统也不例外，如IE、Office办公软件、Ms-SQL、Oracal等软件也存在安全漏洞。2.1.2设置上的失误合理规划配置设施是校园网发挥作用的关键。在校园网规划时，应考虑长远，因为一旦综合布线、设备配置完成再进行调整可能需要再重新设计网络结构，很多地方需要重新布线，网络设备也需要重新设置，这样既浪费人力，物力，也会影响到教学。对于一些重要的场所，例如图书馆、电子阅览室、资料室、电脑室、多媒体制作室、教室、办公室等应多设信息点。同时网络集成公司的技术实力、施工质量及其五花

21、八门的解决方案大多是自吹自擂，并没有通过权威部门的评审、鉴定，致使网络市场处于一种比较混乱的局面。2.1.3 管理漏洞 管理是信息网络安全中最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险，主在体现在以下几点:1）内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险；2）机房出入管理不严格，使入侵者能够接近重要设备而带来信息安全风险；3）一些心怀不满的内部员工，由于熟悉服务器、小程序、脚本和系统的弱点，进行如复制、删除数据等非法数据操作，造成极大的安全风险；4）当网络出现攻击行为或网络受到其它一些安全威

22、胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供攻击者攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。2.2 威胁校园网安全的外部因素 虽然内部因素威胁着校园网的安全，但是在绝大多情况下，网络病毒，黑客入侵等外部因素对网络构成很大威胁。2.2.1 网络黑客的入侵 “黑客”一词是由英语Hacker英译出来的，是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生成长。黑客对计算机有着狂热的兴

23、趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。由于校园网规模巨大，各种设备系统差异有很大差异，给管理带来了很大的挑战，同时也成为黑客攻击的对象。黑客攻击已成为校园网安全不可忽视的一个因素。2.2.2 计算机病毒的破坏一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；病毒先

24、传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。2.3 校园网安全防御与应急关键设备技术1）防火墙及技术它为网络通信、数据传输提供更有保障的安全性。分为包过滤防火墙（检查每个IP包的字段，如源地址、目标地址、端口等 ）；状态检测防火墙（动态检查网络连接和包）；应用程序代理防火墙（与特定应用程序配合使用）。防火墙性能：最大带宽、并发连接数、每秒新增连接数、丢包和延迟；

25、自身安全性。防火墙产品：Juniper的Net Screen；Cisco的Pix；天融信防火墙；天网防火墙。2）入侵检测与防御及技术 它能及时发现网络异常行为，并阻止其进一步发展。入侵检测技术包括以下几种：基于误用检测技术（检测与异常规则相匹配的网络行为）；基于异常检测技术（检测偏离了正常规则的网络行为）。入侵检测核心技术：模式匹配、基于统计方法、预测模式生成等。降低误报率、漏报率；入侵检测产品有：CA的Intrusion Detection,启明星辰的天阗IDS等。3）防病毒及技术它能及时发现病毒，并清除，阻止病毒进一步传播、扩散。防病毒核心技术有：特征代码匹配、病毒特征自动发现、启发式搜索

26、等，防病毒产品有：Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。4）反垃圾邮件及技术它能过滤、阻止大量的非正常的电子邮件。反垃圾邮件机理：IP地址、域名、邮件地址黑白名单方式；基于垃圾邮件行为模式识别模型 ；Domainkeys方式（基于PKI的方式对邮件发送者进行验证，对邮件信息进行加密保护，对收信人实现防抵赖机制）；基于信头、信体、附件的内容过滤方式；反垃圾邮件产品有：防垃圾邮件网关，如冠群金辰 的Kill赤霄邮件过滤网关；防垃圾邮件防火墙，如：博威特的梭子鱼垃圾邮件防火墙。5）内容过滤及技术 它能阻止不健康、反动信息的复制、传播。过滤方法有：基于关键字、权重关键字、基于UR

27、L的过滤；基于文字内容的深度搜索；一般在防病毒网关、反垃圾邮件系统中集成。根据本章所提出的校园网所面临的安全威胁，我们除了选取良好的拓扑结构外, 一般还要注意安全保密, 以防止信息的非授权访问; 要注意数据的完整性与精确性, 使信息在存储或传输过程中不被破坏、丢失或不被XX的恶意或偶然的修改; 注意其可用性, 使计算机的硬件和软件保持有效的运行, 并且系统在发生灾难时能够快速完全地恢复。要防止侵袭者通过非法途径进入计算机系统, 偷盗有用的数据信息, 重点保护系统中容易被攻击的脆弱点。根据目前的技术水平, 我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等安全措施来加以防范。在校园网

28、安全规划时, 对于在什么地方应采取什么样的安全措施, 事先都必须给予充分的考虑, 以确保校园网的安全，对于这些问题我们将在下一章节予以研究。3 校园网网络安全对策分析 校园网安全问题愈来愈突出的同时，校园网安全的对策也越来越引起人们的关注。本章重点讨论校园网的安全策略，并在此基础上简要地说明校园网安全体系结构的构建，以及校园网网络安全体系的内容，校园网安全问题对策所用到的关键技术。3.1 校园网络安全策略概述 随着网络应用的开展，要建立一个安全的网络体系，首先应花较大的精力制定周密的网络安全策略，这是最重要的一步。在网络安全的实施中，技术只是手段，还应该先对网络安全管理有个清晰的概念，然后制定

29、翔实的安全策略，最后才是选择合适的产品用以具体实施和构建安全系统。要建设一个安全的网络安全体系，必须采取相应的策略，根据实际的需求不同，采取的策略可能有一些不同之处，但大都包括下述策略。3.1.1 网络安全系统策略的制定物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备有一个良好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进行破坏活动。采用网络隔离手段可有效减小信息的传播面，从而增加信息的安全性。应根据业务划分、保密要求等因素的差异将网络进行分段隔离，它可从底层有效地控制信号传播途径及传播范围，实现更为细化的安全控制体系，将攻击和入侵造成的威胁限制在较小的子网内，提高网络整体的安全水平。路由器、虚拟局域网（VLAN）、防火墙是当前主要的网络分段手段。在经费允许范围内，尽可能选用安全级别较高的网络操作系统及数据库系统，以安全套件加固TCP/IP各层。如因受客观条件限制，难以对网络操作系统及数据库系统进行选择，则其他核心软件，如防火墙、入侵检测