校园网网络安全问题分析及其解决方案(毕业论文doc).doc

精品毕业设计（论文） 校园网网络安全问题分析及其解决方案 学生姓名 专 业 计算机网络维护学 号 1014001455279二零一二年三月摘 要随着互联网的普及和国内各高校网络建设的不断发展，目前高校大多建立了校园网，它己经成为高校信息化的重要组成部分。但随着黑客入侵的增多及网络病毒的泛滥，校园网的安全已成为不容忽视的问题，如何在开放网络的环境中保证校园网的安全性已经成为十分迫切的问题。本文系统地介绍了网络安全的概念、讨论了校园网目前面临的各种安全威胁。本文针对校园网的建设目标，列出了应对校园网络安全的关键技术，并结合校园网的特点详细论述了校园网安全防御的实现和措施，包括防火墙的设置，身份认证和数据加密，入侵检测，物理专用隔离网等等。最后本文分析了实际相关案例，使技术与实际应用相结合，说明基于校园网网络信息安全的运行模式和过程。关键词：校园网; 网络安全; 防火墙; 入侵检测精品摘 要I1 校园网网络概述11.1 计算机网络的发展与安全现状11.1.1 计算机网络的发展11.1.2 网络安全的现状21.2 校园网简介21.2.1 校园网概念及其问题21.2.2 校园网发展趋势313 校园网的网络构成31.3.1校园网网络体系结构概述41.3.2校园网系统功能构成4图1-1 校园网系统功能结构图51.3.3 校园应用管理平台51.3.4 典型校园网拓扑结构61.3.5 校园网的建设目标62 校园网的安全隐患82.1 威胁校园网安全的内部因素82.1.1 软硬件自身的漏洞82.1.2设置上的失误82.1.3 管理漏洞92.2 威胁校园网安全的外部因素92.2.1 网络黑客的入侵92.2.2 计算机病毒的破坏92.3 校园网安全防御与应急关键设备技术103 校园网网络安全对策分析123.1 校园网络安全策略概述123.1.1 网络安全系统策略的制定123.1.2 校园安全的设计原则133.2 校园网络安全体系结构设计133.2.1 设计校园网络安全体系的原则133.2.2 校园网络安全体系的设计内容143.3 解决校园网安全问题的关键技术143.3.1 防火墙部署143.3.2 虚拟专用网(VPN)153.3.3 入侵检测(IDS)163.3.4 计算机病毒防御173.3.5 漏洞扫描173.3.6 备份与恢复183.3.7 网络管理的安全18结束语20参考文献21精品1 校园网网络概述 随着网络技术的不断发展，网络安全已成为一个不可忽视的问题。伴随着高校校园数字化的不断深入校园网安全越来越成为人们关注的焦点之一。本章系统地论述了计算机网络技术的发展以及当前网络安全所面临的主要问题，校园网的发展状况，校园网的拓扑结构，功能结构，校园网的建设目标等内容。1.1 计算机网络的发展与安全现状 自1946年第一台计算机以来，计算机技术及网络技术得到飞速发展，计算机网络已成为国民经济的重要支撑，发挥着举足轻重的作用。与此同时，网络安全问题也成为一个不可忽视的问题。1.1.1 计算机网络的发展Internet是以TCP/IP协议为核心的一种计算机网络体系结构的统称。在计算机网络技术近40年的发展历史中，曾经涌现出各种各样的计算机网络体系结构和技术，它们努力提供类似于Internet的功能和服务，但是都没有像Internet能够在技术上和实践上适应于各种变化，获得今天这样的巨大成功，并且正在对计算机网络技术的未来发展趋势产生深刻的影响。随着Internet规模的不断扩大，新网络技术的不断出现和网络应用的发展，对Internet技术不断提出新的挑战。目前，负责Internet技术工作的Internet工程任务组织（IETF）正在九个领域开展技术研究。由于网络的规模和应用迅速发展，计算机信息网络技术面临的挑战仍然是十分严峻的。主要包括以下几个方面：1) 网络的可扩展性原先设计的TCP网络技术不能适应Internet规模的不断扩大，网络的可扩展性问题成为重要的技术挑战。例如:网络的地址空间不够大;网络主干网的速度需要大大提高;采用多个Internet主干网后，网络间的连接和路由选择技术;大型分布式网络目录系统;网络上大量零散信息，包括WWW信息的自动发现和检索技术等等。2) 网络的安全性Internet技术的灵活性和开放性使得它在安全方面存在一些安全漏洞。国际标准化组织给网络安全的定义为:“为数据处理系统建立和采用的技术和管理保护计算机硬件软件和数据不因偶然和恶意的原因遭到破坏更改和泄露”。网络的安全性问题包括系统安全和网络信息安全两方面的内容。这方面的技术挑战包括:网络和计算机系统的技术设计漏洞;网络和计算机系统口令的偷窃;协议出错;认证出错;信息泄漏:防火墙技术;信息传输加密算法和电子签名等等。3) 网络服务质量基于分组交换技术的TCP/IP协议不能保证网络用户获得所需的网络服务质量，这对于原先的Internet网络应用无关紧要，但是对于许多新型的网络应用却带来麻烦，例如:像Internet Phone、See you- See me、Video man等实时的网络应用希望获得固定的网络带宽。这方面的协议己经在研究之中。4) 新的网络应用新的网络应用对Internet/Intranet技术的挑战尤为巨大，由此也带来了网络原始设计与规划所未考虑或考虑不周的问题。1.1.2 网络安全的现状近三年，全球信息网络安全呈现出一些新特点，主要体现在如下几个方面：网络威胁形式多样，经济利益成为网络攻击的最大驱动力；网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势。网络欺骗手段进一步升级，黑客不光利用电子邮件和网站进行诈骗，具有“网络钓鱼”性质的病毒也开始出现，勒索软件、网络游戏、网络银行盗号木马等被广泛使用，都充分说明了经济利益已经成为网络攻击的最大驱动力。网络黑客逐步形成了较为严密的组织，在组织内部分工明确，从恶意代码的制作，恶意代码的散布到敏感信息的窃取都有专人负责;网络攻击从最初的技术炫耀转向获取经济利益，网络攻击的针对性和定向性越来越强;针对特定目标的网络攻击具有更大的威胁和破坏性，信息安全防护形势严峻。网络安全除以上情况外还包括以下几个方面：1) 漏洞数量居高不下，利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误，攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。2) 病毒传播形式多元化。网站、移动存储设备成为病毒传播的新渠道。黑客们越来越多地通过网站对用户进行攻击。此外，通过移动存储设备传播病毒使很多电脑用户饱受其害。 3) 信息新技术应用和组网模式带来新的安全问题。无线射频识别(RFID)、IPT的应用、以及传感器网络、ad-hoc等网络通信模式的变化给信息安全带来了一些新挑战。1.2 校园网简介 随着网络技术的发展和网络应用的普及，校园网在国内高等学校中已经开始普及。而且随着国内高校的教学发展，高校应用水平的提高，高等学校校园网的整体水平和层次有了很大的提高。1.2.1 校园网概念及其问题“校园网”的概念是指大、中、小学教育单位的网络，它以应用为目的，基于Internet/Intranet技术的计算机网络和它的使用者以及相关规章制度的集合。一个完整的校园网建设要紧紧围绕“路、车、货、驾驶员培训”四大元素来进行。在这四大元素中，“货”是重点，它是校园网建设的核心。 这里，“路”是指物理网络的搭建，包括四个方面：结构化布线、网络连通（网络设备的选择）、服务器的选择、终端的选择；“车”是指系统平台的建设，如教育行政管理平台、教学管理平台、资源库管理平台和校园网通信平台，其中，行政管理和教学平台主要针对教育工作，资源库平台将为这两个平台提供详尽的资料；“货”是指软件（具体是指应用系统）的建设，它根据学校的需求选择一些应用软件和硬件，一般学校常用的应用系统有多媒体网络教室、多媒体电子阅览室、网络多媒体课件制作系统、校园信息管理系统、视频点播、学校主页等；而“驾驶员培训”是指为适应现代网络教学的要求而对相关人员进行的培训。这是一个伸缩性比较大的工作，从人员角度，培训可分为四级：校长的培训、校园管理员的培训、青年骨干教师的培训、全体教师的培训，这些人员在培训之后能够针对学校的具体、特殊的需求或是未来需求而提出切实可行的建议，以便能够更好地进行系统的二次开发。目前校园网存在的四大问题：l 缺少关于校园网建设的理论与实践的科学认识；l 缺乏系统思考和统一规划，盲目地追求硬件建设与一次到位；l 对教师进行计算机基础应用及网络培训的意义，没有意识或力度不够；l 对校园网的关键部分资源库的建设相对滞后。1.2.2 校园网发展趋势随着网络技术的发展和网络应用的普及，校园网在国内高等学校中已经开始普及。而且随着国内高校的教学发展，高校应用水平的提高，高等学校校园网的整体水平和层次有了很大的提高。高等学校校园网发展呈现以下趋势：与校园网相关的网络技术、应用技术发展更新的速度加快；新兴的千兆以太网，甚至万兆以太网络、ATM、网络视频等技术已被广泛使用；校园办公服务软件的兴起，把学校教学、校务办公、学校服务等有机地融合进校园网；利用校园网和互联网，发展了远程教育系统，丰富了教学手段，拓展了办学规模；同时Internet应用的发展也拓展了高等教育的研究领域；新兴的Internet应用学科蓬勃发展，特别是电子商务应用系统的发展越来越受到广大高等院校的重视，已经被部分高校编入了教学范围。13 校园网的网络构成 校园网的网络组成可以按照不同的标准来区分，通常可以分为按照网络的拓扑分为校园网的体系机构以及按网络的功能分为校园网的功能结构。1.3.1校园网网络体系结构概述校园网安全策略的制定和实施是以各高校校园网的基础体系结构和网络应用具体情况为依据和实施基础的。因此在制定各高校的网络安全策略和实施具体的安全策略之前，透彻分析本校的校园网体系结构,网络拓扑结构，网络的路由策略，网络的区域划分，IP及VLAN的规划，网络访问策略，各应用系统的功能服务对象，访问限制等等是非常必要的，其性能直接影响到网络安全策略的实施效果。网络体系结构是关于如何构建网络的技术，它包括两个层次的内涵。一是要标识出网络系统由哪些部分组成，清晰地描述出各个部分的功能、目的和特点。二是要描述网络各个组成部分之间的关系，如何将各个部分有机地结合在一起，形成完整的网络系统，从而保证网络有效地运转，也就是将各个部分进行集成的方式或方法。根据教育部教育管理信息化标准的要求，校园网的总体建设目标包括：校园网基础设施建设是我们数字化校园的基础，它的建设水平和效果直接影响到我们运行在校园网上的服务，影响到全校的教学、科研甚至影响到师生的日常生活。校园网的建设包括根据自身的应用需求和特点进行校园网的体系结构的设计，相关技术设备的选择，网络出口包括带宽的选择，设备之间拓扑关系的确定，集成、调试，应用建设等关键环节，在这些环节当中也包含着对校园网络安全的考虑与设计。近年的信息化建设，通过科研需求、教学应用、网络办公、网上娱乐等应用建设和使用，网络应用逐渐渗透到了校园生活的方方面面。上网备课，接收邮件，网络聊天，游戏购物，校园用户联网的时间一天天延长。教育部科技发展中心公布的相关数据显示，98.4%的高校教学、科研、行政办公已经全部联入校园网，90.5%高校的教室已提供了校园网接入环境，74.35%的学校在学生宿舍已经接入网络，校园网覆盖范围正在逐步地扩大。同时各个高校的网络应用建设也是搞得风风火火，从原来的只提供部分特殊用户的上网接入，只提供基本的Web和Mail服务发展到了增加网络出口，增加带宽，建设各部门和学院的二级站点乃至个人站点，Video视频点播系统、IPTV网络电视系统、各学科知识数据库系统、教学、人事等业务系统，精品课程、网上录播、监控等多种应用系统的建设。现在各高校正制定各自的数字化校园的规划，新一轮的校园网应用建设和信息系统集成将展开，这对我们的校园网基础设施建设和网络安全提出了新的挑战。1.3.2校园网系统功能构成校园网作为校园网络信息平台应该由一个平台和三个系统构成，即系统管理平台、校园公共信息系统、校园管理信息及办公自动化系统、校园教-学资源库系统。具体系统功能构成见图1-1校园公共信息系统校园管理信息系统 办公自动化系统教-学资源库系统校园BBS校园聊天室校园大事记通知公告信息发布资料管理电子图书馆远程教育系统多媒体教学系统管理 权限管理校园系统管理平台教务管理成绩管理学籍管理课程注册管理生活管理就业管理电子邮件公文管理个人信息管理讨论区后勤管理人事管理图1-1 校园网系统功能结构图图1-1 校园网系统功能结构图1.3.3 校园应用管理平台 校园应用系统管理平台是一个可靠性高、安全性好、易管理的操作平台。在此平台上可轻松的实现用户注册、系统的备份和恢复、用户权限的设置以及资源的调整、初始化等管理工作。通过使用Intranet/Internet技术以及先进的XML技术和B/S结构，实现了与Internet的无缝连接。校园公共信息系统（Internet服务系统）主要用于校园公共信息的管理，是学校师生进行交流的场所，老师和学生通过公共信息系统将大大拓展信息交流的空间。作为大学的信息门户，该系统为全校师生提供校园讨论区（BBS）、校园聊天室、校园大事记、通知公告、信息发布等基础信息服务。通过权限设置，实现角色化管理，年级、班级、兴趣小组等各类角色都可以根据自己定制的需求去查询、发布信息。校园管理信息系统用于支持学校日常管理的各项工作。用户通过使用人事管理、教育教学管理、后勤管理、教学资源与应用平台、图书馆管理、生活管理、医疗管理等多个功能子系统可以方便快捷地处理各种复杂数据操作和文字录入，完成各种校园信息数据的有效管理。校园办公自动化针对校园办公需求不仅实现了便捷保密的公文管理、档案管理、信息交流，而且使每位老师、每个学生都拥有自己的信箱。教学资源库系统提供一致的资源管理和使用方式，实现简便精确的资源获取与检索，全面支持教学应用，包括对各类教学软件库、教学网络平台、电子阅览室等资源的分类、检索和管理、多媒体教学、远程教育等功能。1.3.4 典型校园网拓扑结构校园网的网络体系结构包括校园网的网络边界设备，核心及骨干设备，网络接入层设备，网络服务提供设备和这些设备的连接方式以及该结构采用的协议及技术。当前的校园网多采用1000M以太网主干技术，1000M或100M到楼，100M或10M到桌面，部分区域采用无线接入技术（802.11）实现无线接入。校园网络一般有边界路由器，高性能的核心路由交换机，各分布层的三层路由交换机，大量的二层可网管接入交换机，以及防火墙，IDS（或IPS），内容过滤系统，流量分析系统，网络设备管理系统等网络硬件设备。校园网多采用星形拓扑结构，常见的校园网拓扑结构如图1-2 图1-2 校园网拓扑结构 1.3.5 校园网的建设目标网络安全（Network Security）是抵御内部和外部各种形式的威胁，以确保络的安全的过程。为了深入彻底地理解什么是网络安全，必须理解网络安全旨在保护的网络上所面临的威胁，理解一个能够用于阻止这些攻击的主要机制也是非常重要的。通常，在网络上实现最终的安全目标可通过下面的一系列步骤完成，每一都是为了澄清攻击和阻止攻击的保护方法之间的关系。下面的步骤是在一个站上建立和实现安全的方法：第1步确定要保护的是什么；第2步决定尽力保护它免于什么威胁；第3步决定威胁的可能性；第4步以一种划算的方法实现保护资产的目的；第5步不断地检查这些步骤，每当发现一个弱点就进行改进。校园网络系统需要实现以下安全目标：l 保护网络系统的可用性；l 保护网络系统服务的连续性；l 防范网络资源的非法访问及非授权访问；l 防范入侵者的恶意攻击与破坏；l 保护信息通过网上传输过程中的机密性、完整性。精品2 校园网的安全隐患 校园网在学校的日常活动中发挥着越来越重要的作用，与此同时，校园网的安全问题也越来越突出，网络病毒，黑客入侵，管理不善等原因使得校园网络面临着严重的威胁。2.1 威胁校园网安全的内部因素 在校园网面临的威胁当中，内部因素是一个重要的方面，这其中既包括软硬件自身的缺陷，也包括管理者的管理水平等主观方面的因素。2.1.1 软硬件自身的漏洞 来自硬件系统的安全威胁。一方面是指物理安全，主要是由于网络硬件设备的放置不合适或者防范措施不得力，使得服务器、工作站、交换机、路由器等网络设备，光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受自然雷电、水、火意外事故或人为破坏等等而造成的校园网不能正常使用。另一方面是指设置安全。主要是在设备上进行必要的设置，防止黑客取得硬件设备的远程控制权等等。硬件系统安全是制订校园网安全整体解决方案时首先应考虑的问题。 系统安全漏洞是指系统在设计时没有考虑到的缺陷，特别是操作系统，因为这些软件一般都比较的复杂、庞大，有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在，使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者对系统漏洞进行攻击，入侵成功后将获得系统的相应权限，进而盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝大多数都是使用Windows2000/XP操作系统，而Windows操作系统是不太安全的。因为Windows操作系统的漏洞比较多，由Windows操作系统漏洞引发的不安全问题时有发生。此外，应用系统也不例外，如IE、Office办公软件、Ms-SQL、Oracal等软件也存在安全漏洞。2.1.2设置上的失误合理规划配置设施是校园网发挥作用的关键。在校园网规划时，应考虑长远，因为一旦综合布线、设备配置完成再进行调整可能需要再重新设计网络结构，很多地方需要重新布线，网络设备也需要重新设置，这样既浪费人力，物力，也会影响到教学。对于一些重要的场所，例如图书馆、电子阅览室、资料室、电脑室、多媒体制作室、教室、办公室等应多设信息点。同时网络集成公司的技术实力、施工质量及其五花八门的解决方案大多是自吹自擂，并没有通过权威部门的评审、鉴定，致使网络市场处于一种比较混乱的局面。2.1.3 管理漏洞 管理是信息网络安全中最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险，主在体现在以下几点:1) 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险；2) 机房出入管理不严格，使入侵者能够接近重要设备而带来信息安全风险；3) 一些心怀不满的内部员工，由于熟悉服务器、小程序、脚本和系统的弱点，进行如复制、删除数据等非法数据操作，造成极大的安全风险；4) 当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供攻击者攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。2.2 威胁校园网安全的外部因素 虽然内部因素威胁着校园网的安全，但是在绝大多情况下，网络病毒，黑客入侵等外部因素对网络构成很大威胁。2.2.1 网络黑客的入侵 “黑客”一词是由英语Hacker英译出来的，是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生成长。黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。 由于校园网规模巨大，各种设备系统差异有很大差异，给管理带来了很大的挑战，同时也成为黑客攻击的对象。黑客攻击已成为校园网安全不可忽视的一个因素。2.2.2 计算机病毒的破坏一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。l 病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；l 病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；l 病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；l 如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。2.3 校园网安全防御与应急关键设备技术1) 防火墙及技术它为网络通信、数据传输提供更有保障的安全性。分为包过滤防火墙（检查每个IP包的字段，如源地址、目标地址、端口等 ）；状态检测防火墙（动态检查网络连接和包）；应用程序代理防火墙（与特定应用程序配合使用）。防火墙性能：最大带宽、并发连接数、每秒新增连接数、丢包和延迟；自身安全性。防火墙产品：Juniper的Net Screen；Cisco的Pix；天融信防火墙；天网防火墙。2) 入侵检测与防御及技术 它能及时发现网络异常行为，并阻止其进一步发展。入侵检测技术包括以下几种：基于误用检测技术（检测与异常规则相匹配的网络行为）；基于异常检测技术（检测偏离了正常规则的网络行为）。入侵检测核心技术：模式匹配、基于统计方法、预测模式生成等。防火墙性能：降低误报率、漏报率；入侵检测产品有：CA的Intrusion Detection,启明星辰的天阗IDS等。3) 防病毒及技术它能及时发现病毒，并清除，阻止病毒进一步传播、扩散。防病毒核心技术有：特征代码匹配、病毒特征自动发现、启发式搜索等，防病毒产品有：Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。4) 反垃圾邮件及技术它能过滤、阻止大量的非正常的电子邮件。反垃圾邮件机理：IP地址、域名、邮件地址黑白名单方式；基于垃圾邮件行为模式识别模型 ；Domainkeys方式(基于PKI的方式对邮件发送者进行验证，对邮件信息进行加密保护，对收信人实现防抵赖机制)；基于信头、信体、附件的内容过滤方式；反垃圾邮件产品有：防垃圾邮件网关，如冠群金辰 的Kill赤霄邮件过滤网关；防垃圾邮件防火墙，如：博威特的梭子鱼垃圾邮件防火墙。5) 内容过滤及技术 它能阻止不健康、反动信息的复制、传播。过滤方法有：基于关键字、权重关键字、基于URL的过滤；基于文字内容的深度搜索；一般在防病毒网关、反垃圾邮件系统中集成。根据本章所提出的校园网所面临的安全威胁，我们除了选取良好的拓扑结构外, 一般还要注意安全保密, 以防止信息的非授权访问; 要注意数据的完整性与精确性, 使信息在存储或传输过程中不被破坏、丢失或不被未经授权的恶意或偶然的修改; 注意其可用性, 使计算机的硬件和软件保持有效的运行, 并且系统在发生灾难时能够快速完全地恢复。要防止侵袭者通过非法途径进入计算机系统, 偷盗有用的数据信息, 重点保护系统中容易被攻击的脆弱点。根据目前的技术水平, 我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等安全措施来加以防范。在校园网安全规划时, 对于在什么地方应采取什么样的安全措施, 事先都必须给予充分的考虑, 以确保校园网的安全，对于这些问题我们将在下一章节予以研究。精品3 校园网网络安全对策分析 校园网安全问题愈来愈突出的同时，校园网安全的对策也越来越引起人们的关注。本章重点讨论校园网的安全策略，并在此基础上简要地说明校园网安全体系结构的构建，以及校园网网络安全体系的内容，校园网安全问题对策所用到的关键技术。3.1 校园网络安全策略概述 随着网络应用的开展，要建立一个安全的网络体系，首先应花较大的精力制定周密的网络安全策略，这是最重要的一步。在网络安全的实施中，技术只是手段，还应该先对网络安全管理有个清晰的概念，然后制定翔实的安全策略，最后才是选择合适的产品用以具体实施和构建安全系统。要建设一个安全的网络安全体系，必须采取相应的策略，根据实际的需求不同，采取的策略可能有一些不同之处，但大都包括下述策略。3.1.1 网络安全系统策略的制定物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备有一个良好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进行破坏活动。采用网络隔离手段可有效减小信息的传播面，从而增加信息的安全性。应根据业务划分、保密要求等因素的差异将网络进行分段隔离，它可从底层有效地控制信号传播途径及传播范围，实现更为细化的安全控制体系，将攻击和入侵造成的威胁限制在较小的子网内，提高网络整体的安全水平。路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。在经费允许范围内，尽可能选用安全级别较高的网络操作系统及数据库系统，以安全套件加固TCP/IP各层。如因受客观条件限制，难以对网络操作系统及数据库系统进行选择，则其他核心软件，如防火墙、入侵检测、网络安全漏洞扫描软件等应尽可能地选用经国家网络安全权威机构评审通过的优秀国产软件。最小授权原则指网络中账号设置服务配置主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。在网络安全中，除了采用技术措施之外，制定有关规章制度，对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容，应始终贯穿于系统的安全生命周期。一般来说，安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候，网络安全往往会作出让步，或许正是由于一个细微的让步，最终导致了整个系统的崩溃。因此，严格执行安全管理制度是网络可靠运行的重要保障。3.1.2 校园安全的设计原则校园网覆盖整个校区，在网络性能上应该考虑以下几项要求：数据处理、通信处理能力强，响应速度快。网络运行的安全性、可靠性高。网络能够容易得进行扩容、升级和管理。主干网的带宽要高，可以支持多媒体等视频业务的开展和满足数据流量不断增长的要求。此外，在校园网建设的具体实施中需要注意的设计原则包括：l 坚持开放型，采用国际标准和通用标准；l 尽量采用先进、成熟的组网技术；l 强调实用性、并尽可能达到性能价格比最优；l 统一规划、分布实施。3.2 校园网络安全体系结构设计 构建安全高效的校园网络是校园网建设的目标之一，校园安全体系结构的建设是其中的重要一环，安全体系设计的好坏是校园网成败的关键。3.2.1 设计校园网络安全体系的原则根据网络安全性设计的要求设计网络安全体系时应遵循安全性，可行性，高效性，可承担性等原则，分别阐述如下：1) 安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全，所以安全性成为首要目标。要保证体系的安全性，必须保证体系的完备性和可扩展性。2) 可行性:设计网络安全体系不能纯粹地从理论角度考虑，再完美的方案，如果不考虑实际因素，也只能是一些废纸。设计网络安全体系的目的是指导实施，如果实施的难度太大以至于无法实施，那么网络安全体系本身也就没有了实际价值。3) 高效性:构建网络安全体系的目的是能保证系统的正常运行，如果安全影响了系统的运行，那么就需要进行权衡了，必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件，它们也会占用网络系统的一些资源。因此，在设计网络安全体系时必须考虑系统资源的开销，要求安全防护系统本身不能妨碍网络系统的正常运转。4) 可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由学校来支持，要为此付出一定的代价和开销。如果我们付出的代价比从安全体系中获得的利益还要多，那么我们就不该采用这个方案。3.2.2 校园网络安全体系的设计内容一个完整的安全体系应该包含五个安全层面，分别为数据保密层，应用层，用户层，系统层和网络层。数据保密层重点关注应用层的数据安全，因而在数据保密层优先考虑数据加密算法。应用层的重点是网络应用中的存取控制和授权。在用户层，校园网络安全体系的主要内容包括用户的管理，登录，认证。而系统层侧重与操作系统的防病毒，入侵检测，审计分析。网络层针对网络底层数据的通讯安全提出解决方案。3.3 解决校园网安全问题的关键技术解决校园网安全问题的关键技术包括防火墙，虚拟专用网，入侵检测，病毒防御，备份与恢复，漏洞扫描等。3.3.1 防火墙部署防火墙指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网的信息、结构和运行状况，并提供单一的安全和审计的安装控制点，从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。防火墙根据功能可以分成个人防火墙和网络防火墙，根据实现方法可以分成硬件防火墙和软件防火墙，根据结构可以分成包过滤(packet filtering)、状态检测(State inspection)、应用层代理(即application proxies)、内容过滤/状态包过滤(content filtering/state packet filtering)防火墙。防火墙结构如图3-1所示图3-1 典型防火墙结构 网络防火墙用以保护企业网络等较大的复杂网络，以处理更多的用户。软件防火墙和硬件防火墙是个相对概念，基本上，所有的防火墙都需要软件的处理部分。硬件防火墙指的是将防火墙软件和特定硬件平台集成在一起的应用。软件防火墙则是指对底层硬件没有特殊要求，可以安装在Windows、Unix系统直接使用的防火墙。根据防火墙的工作原理所有的防火墙从体系结构上都可以分为数据获取、应用处理和数据传输三大部分。通常情况下，数据获取和数据传输是由软、硬件两部分共同实现的。其中，硬件部分一般是防火墙设备的网络接口设备;数据获取的软件部分是负责将硬件获取的网络通讯信息从网络接口设备的缓冲区传送到操作系统缓冲区进行处理的软件代码，数据传输的软件部分则是执行与数据获取相反的工作的软件代码，这些代码主要作用是将防火墙需要发送的数据包从操作系统缓冲区中传送到相应的网络接口设备并传送出去。防火墙将接收到的数据包传送给应用功能模块，进行相应的处理。不同的防火墙可能具有不同的应用功能，这些功能可能是包过滤、状态检测、内容过滤、加密、NAT、IDS、VPN、各种代理服务等等。3.3.2 虚拟专用网(VPN)虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路。而是利用某种公众网的资源动态组成的。VPN分为三种类型:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)，这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。3.3.3 入侵检测(IDS)为进一步保护网络的安全性，需应用入侵检测技术，对网络入侵进行实时检测，即对网络活动和系统事件进行实时监控。实时入侵检测强调时间性，是连续、不间断地监控、检测、响应、防护循环过程，实时入侵检测必须实时执行。计算机信息网络设置了防火墙后可以解决多数网络安全问题，但是防火墙不是万能的，不能提供实时的入侵检测能力。有些攻击行为仅仅依靠防火墙是不能防范的，比如如果攻击行为从内部网络上发起，那么对主机的访问就不需要通过防火墙，防火墙也就不能对主机进行保护了。一个简单的入侵检测系统，如图3-2所示。图3-2 简单IDS系统 入侵监测的功能通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理，并识别用户违反安全策略的行为。防火墙与入侵检测这两种技术具有较强的互补性。目前，实现入侵检测和防火墙之间的联动有两种方式可以实现，一种是实现紧密结合，即把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据来源不再来自于抓包，而是流经防火墙的数据流。所有通过的数据包不仅要接受防火墙检测规则的验证，还需要经过入侵检测，判断是否具有攻击性，以达到真正的实时阻断，这实际上是把两个产品合成一体。但是，由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度、合成后的性能等方面都会因此受到很大影响。所以，目前还没有厂商做到这一步，仍处于理论研究阶段。但是不容否认，各个安全产品的紧密结合是一种趋势。第二种方式是通过开放接口来实现联动，即防火墙或者入侵检测系统开放一个接口供对方调用，按照一定的协议进行通讯、警报和传输。目前开放协议的常见形式有:安全厂家提供IDS的开放接口，为各个防火墙厂商使用，以实现互动。这种方式比较灵活，不影响防火墙和入侵检测系统的性能。3.3.4 计算机病毒防御计算机病毒是指编制或者在计算程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制或者在计算程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码，随着因特网技术的发展，这一计算机病毒的定义也在进一步扩大化，一些带有恶意性质的特洛伊木马程序，黑客程序和蠕虫程序等从广义角度也被归入计算机病毒的范畴。从发展的角度来看，计算机病毒属于恶意代码的一种，恶意代码(maliciouscode)是一种程序，它可以表述为人为编制的，干扰计算机正常运行并造成计算机软硬件故障，甚至破坏数据的计算机程序或指令集合都认为是恶意代码。恶意代码通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。恶意软件的传染结果包括浪费资源、破坏系统、破坏一致性，数据丢失和被窃并能让客户端的用户失去信心。按传播方式分类，恶意代码可以分成几类:病毒，木马，蠕虫，间谍软件及移动代码等。多种复合攻击技术的使用已经使得安全防护不仅仅是针对互联网早期某种病毒防护那么简单。而计算机病毒的防御是一个系统工程，内容涉及防病毒软件、补丁升级、以及合理的安全管理规范等方面。3.3.5 漏洞扫描计算机漏洞是系统的一组特性，恶意的主体(攻击者或者攻击程序能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。这里的漏洞既包括单个计算机系统的脆弱性，也包括计算机网络系统的漏洞。当系统的某个漏洞被入侵者渗透(exploit)而造成泄密