校园网网络安全分析 毕业论文.doc

校园网网络安全分析摘 要随着互联网的普及和国内各高校网络建设的不断发展，大多数高校都建立了自己的校园网，它己经成为高校信息化的重要部分。校园网与互联网一样，存在着各种各样的网络安全问题。在建设初期中，由于安全意识、安全管理等多方面的原因，在网络安全方面没有引起足够的重视，造成网络安全事故不断发生，使校园网的安全面临极大的威胁。随着数学化校园建设的不断推进，如何构建可靠的校园网络安全防范体系成为不可忽视的问题。本文系统地介绍了网络安全的概念，讨论了校园网面临的各种安全威胁，深入研究了校园网络安全相关技术，分析了osi的安全体系结构、常见动态安全模型以及主动防御技术，提出了“基于主动防御的动态校园网络安全模型”。该模型是一个覆盖整个校园网络的全方位、多层次、多种防御手段的主动式动态网络安全模型。在该模型的指导下，利用网络安全防范的相关技术，建立校园网安全防范体系，从根本上解决来自网络内外部对网络安全造成的各种威胁，为校园的教学信息系统、行政管理、信息交流提供一个安全的环境和完整的平台。关健字：网络安全，安全模型，主动防御，防范技术iii目 录摘 要i第1章 绪 论11.1校园网网络安全的意义11.2 校园网网络安全的现状11.3网络安全发展趋势2第2章 校园网网络安全分析32.1 校园网建设概述32.2 校园网安全影响因素32.3校园网网络安全应具备的功能3第3章 网络安全及其主要技术53.1 网络安全概述53.1.1 网络安全的特征53.1.2网络安全体系结构63.2网络安全防范技术73.2.1 防火墙技术防火墙概述 防火墙的体系结构防火墙的主要实现技术103.2.2 入侵检测技术 入侵检测系统概述 入侵检测系统分类123.2.3 病毒防护技术 病毒的机理 病毒防护技术133.2.4 utm技术 utm的功能 utm典型技术15第4章 校园网安全防范解决方案设计174.1校园网络安全需求分析174.2校园网网络安全解决方案184.2.1校园网网络结构184.2.2网络安全防范策略物理安全实现防火墙配置入侵检测解决方案 网络防病毒系统部署数据备份与恢复 安全管理解决方案25总 结26致 谢27参考文献28沈阳工程学院毕业论文 第1章 绪论33沈阳工程学院毕业论文 第1章 绪论第1章 绪 论 1.1网络安全发展历史及现状分析1.1.1因特网的发展及其安全问题1995 年，美国网景公司的成功ipo 成为互联网商业化的标志；也是在1995 年，中国30 个省市共31 个节点的chinanet 全国骨干网建设全面启动，打通了以多条高速数字专线形成的相互联接，推动了网络的商业应用和深层次技术的发展。以此为起始，互联网在中国已有十年。在这十年中，中国跳过了互联网发展的实验室和科研所阶段，直接驶入商业化的快车道，在这个重要的核心技术应用方面与世界保持了同步，这在中国最近几百年历史上是未曾有过的事情。随着计算机网络应用的广泛深入，网络安全问题变得日益复杂和突出。网络的资源共享、信息交换和分布处理提供的良好的环境，使得网络深入到社会生活的各个方面，逐步成为国家和政府机构运转的命脉和社会生活的支柱。这一方面提高了工作效率，另一方面却由于自身的复杂性和脆弱性，使其受到威胁和攻击的可能性大大增加。众所周知，因特网是世界上最大的计算机网络，它连接了全球不计其数的网络与电脑，同时因特网也是世界上最开放的系统，任何地方的电脑，只要遵守共同的协议即可加入其中。因特网的特点就是覆盖的地理范围广，资源共享程度高。由于因特网网络协议的开放性，系统的通用性，无政府的管理状态，使得因特网在极大地传播信息的同时，也面临着不可预测的威胁和攻击。网络技术越发展，对网络进攻的手段就越巧妙，越多样性。一方面由于计算机网络的开放性和信息共享促进了网络的飞速发展，另一方面也正是这种开放性以及计算机本身安全的脆弱性，导致了网络安全方面的诸多漏洞。可以说，网络安全问题将始终伴随着因特网的发展而存在。所以，网络的安全性同网络的性能、可靠性和可用性一起，成为组建、运行网络不可忽视的问题。1.1.2 我国网络安全现状及相关法律 随着网络尤其是因特网在我国的迅速普及，针对我国境内信息系统的攻击正在呈现快速增长的势头。据了解，从1997 年底到现在，我国的政府部门、证券公司、银行、isp、 icp 等机构的计算机网络相继遭到多次攻击。因此，加强网络信息安全保障已成为当前的迫切任务。目前我国网络安全的现状和面临的威胁主要是：1、计算机网络系统使用的软、硬件很大一部分是国外产品，我们对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。2、全社会的信息安全意识虽然有所提高，但将其提到实际日程中来的企业或单位依然很少。 3、目前关于网络犯罪的法律还不健全。因特网毕竟是新生事物，它对传统的法律提出了挑战。 4、中国信息安全人才培养体系虽已初步形成，但随着信息化进程加快和计算机的广泛应用，目前我国信息安全人才培养还远远不能满足需要。 法律是信息网络安全的制度保障.离开了法律这一强制性规范体系，信息网络安全技术和营理人员的行为，都失去了约束.即使有再完善的技术和管理的手段，都是不可靠的。同样没有安全缺陷的网络系统.即使相当完善的安全机制也不可能完全避免非法攻击和网络犯罪行为。信息网络安全法律.告诉人们哪些网络行为不可为，如果实施了违法行为就要承担法律责任，构成犯罪的还承担刑事责任。一方面.它是一种预防手段;另一方面，它也以其强制力为后盾，为信息网络安全构筑起最后一道防线。1994 年，国务院颁布了中华人民共和国计算机信息系统安全保护条例，标志着我国计算机信息系统安全工作步入法制化轨道。1997 年，公安部发布了计算机信息网络国际联网安全保护管理办法，给网络安全树起了一道屏障。2000年10月23日，在九届全国人大常委会第十八次会议上，人大常委们审议了关于维护网络安全和信息安全的决定(草案)，该草案从维护国家安全和社会稳定，保障网络安全，维护社会主义市场经济和社会管理秩序等方面，明确规定构成犯罪的行为要依照刑法有关规定追究刑事责任。 法律也是实施各种信息网络安全措施的基本依据。信息网络安全措施只有在法律的支撑下才能产生约束力，法律对信息网络安全措施的规范主要体现在：对各种计算机网络提出相应的安全要求；对安全技术标准、安全产品的生产和选择作出规定；赋予信息网络安全管理机构一定的权利和义务，规定违反义务的应当承担的责任；将行之有效的信息网络安全技术和安全管理的原则规范化等。 1.2 校园网建设及其安全问题1.2.1校园网概述校园网是一个通俗意义上的概念，目前还没有统一的解释。按字面理解校园网就是校园内部的计算机网络，但是这种说法比较狭溢，不能充分提示校园网的作用、意义和内涵。国际互联网被称为全球的信息高速公路，有人按照这种说法，称校园网是学校内部的信息高速公路，这种说法很简单形象。我们可以认为校园网是利用现代网络技术、多媒体技术及 internet 技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为勾通学校校园内部网络的桥梁。校园网是为学校的教学、管理、办公、消息交流和通讯等服务的。要实现这一点，必须有大量先进实用的应用软件为支撑，软硬件的充分结合是校园网发挥作用的前提。一般认为校园网由硬件和软件两部分组成。校园网带给学校的不单纯是手段上的改变，而是学校的教育观念教育模式等方面的全面变革。有人担心信息技术的发展会削弱教师的作用，我们认为相信技术的采用、校园网的建设丝毫不会削弱教师的作用，而是会大大改变教师的作用和学校的教育模式。随着 21 世纪的来临，人类社会的高度国际化、信息化使现代教育面临一系列的改革。尤其是多媒体计算机在教育教学过程中的应用越来越普遍，使校园网络建设成为教育信息化发展的必然趋势。因此，当前各大、中小学的校园网建设项目便纷纷上马。相比而言，高校校园网的建设走得要更快一些，目前仅中国教育科研网便已连接起了全国800 余所高校。作为龙头，北大、清华的校园网硬件设施已初具规模，实现了“千兆到楼，百兆到桌面”，几乎所有的办公、教学、寝室楼都铺了网线。网络系统成熟稳定，24 小时开通。但是，由于各校实力不一、校园网规模不一，出现了许多问题，其中最主要的是“有硬无软”和“重硬轻软”。这些都对校园网发挥其应有的功能造成了损害。特别是人们的安全意识淡薄，虽然网络的安全硬件都配备齐全，但关于网络的安全事故却不断发生，使校园网的安全面临极大的威胁。因此，随着校园网规模的不断扩大，如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。高校校园网建设中面临的问题有如下几个方面: 1、网络管理维护的困难。课堂教学逐步走向网络化，学生在线学习、娱乐时间增加。校园网网络大、业务多、故障问题定位复杂，网络的安全性差、管理难度大。2、网络业务容量及资源调配的困难。如何有效合理对教育网络带宽的调度和分配，满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议、等应用。3、网络安全、统计等运营问题。缺乏用户认证、授权、计费体系，安全认证以ip 地址为主，存在有意和无意的攻击。 1.2.2校园网面临的安全问题及解决方法校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威胁有：1、非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；2、冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；3、破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；4、干扰系统正常运行，指改变系统的正常运行方法；5、病毒与恶意攻击，即通过网络传播病毒或恶意java, activex 控件，线路窃听等。除此之外，internet 非法内容也形成了对网络的另一大威胁。对教育网来说，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容，将极大地危害学生的身心健康，导致无法想象的后果。许多校园网是从局域网发展来的，由于意识与资金方面的原因，它们在安全方面往往没有太多的设置，包括一些高校在内，常常只是在内部网与互联网之间放一个防火墙就了事了，甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络都将是致命性的。因此，校园网的网络安全需求是全方位的。下面就上面提出的问题简要地提出相应的解决方法。1、网络病毒的防范。在网络中，病毒已从存储介质的感染发展为网络通信和电子邮件的感染。所以，防止计算机病毒是计算机网络安全工作的重要环节。2、网络安全隔离。网络和网络之间互联，同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以，网络之间进行有效的安全隔离是必须的。3、网络监控措施。在不影响网络正常运行的情况下，增加内部网络监控机制可以做到最大限度的网络资源保护。4、有害信息过滤。对于大中型校园网络，必须采用一套完整的网络管理和信息过滤相结合的系统，实现对整个校园内电脑访问互联网进行有害信息过滤管理。5、网络安全服务。为确保整个网络的安全有效运行，有必要对整个网络进行全面的安全性分析和研究，制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。第2章 校园网网络安全分析2.1 校园网建设概述校园网是利用现代网络技术、多媒体技术等为基础建立起来的主要应用于学校内部的计算机网络，一方面，校园网可以将分散于学校内部的各独立用户联结起来，实现内部的互联互通，另一方面，校园网可以实现校内用户与校外internet网的互通。随着近年来信息技术的迅猛发展，个高速高效、资源丰富、应用广泛的校园网已经成为高校正常教学、科研、管理工作的一个必不可少的组成部分。然而，随着越来越多的校园网投入运行和接入internet，校园网的安全管理问题越来越突出。作为开放网络的组成部分，校园网也面临着病毒泛滥、非法攻击、未授权访问、盗用网络资源、内部信息非法窃取等一系列安全问题。2.2 校园网安全影响因素校园计算机网络系统的安全隐患大多是利用了网络系统本身存在的安全弱点，而系统在使用、管理过程中的失误和疏漏更加剧了问题的严重性。威胁高校网络系统的安全的因素很多，主要表现如下：(1)程序安全漏洞windowslinuxunix操作系统、应用软件和网络设备的漏洞，这些漏洞一旦被黑客和病毒利用，大规模有组织的大肆发起攻击，攻击网络、侵占主机，导致计算机工作效率下降、资源遭到严重破坏，甚至严重占用网络带宽造成网络系统的瘫痪。(2)计算机病毒与木马在网络环境下，病毒与木马的传播途径更加丰富，有时病毒将造成系统的崩溃、网络的阻塞、重要数据遭到破坏和丢失，已经直接威胁到了校园网的正常运行。例如近日流行的机器狗木马、磁碟机病毒等。(3)网络入侵外来的入侵、攻击等恶意破坏行为，这些攻击可能来自校园网的外部，也可能来自校园网的内部。当校内某台计算机被黑客攻破，还可能被用作黑客攻击的工具。(4)p2p下载校园网内部用户对网络资源的滥用，有的校园网用户利用bt、电驴及flashget等软件下载电影，占用了大量的网络带宽，影响了校园网的应用。(5)垃圾邮件校园网建立起自己的电子邮件服务器，但由于缺乏有效的邮件过滤机制和限制邮件转发机制，从而成为大量垃圾邮件的中转站和垃圾邮件的攻击对象，造成邮件服务器阻塞，增大校园网的网络流量，甚至导致邮件服务器崩溃。2.3校园网安全的关键技术校园网络安全的主要问题是如何预防病毒、访问控制、身份验证和加密技术、修补系统安全漏洞等问题。作为一个网络，一方面是网络内部的安全性，一方面是本网络和外部网络互联时的安全性。其中内部的安全性要从网络安全技术、网络设备、网络结构、操作系统和网络应用等多方面考虑。231防火墙技术防火墙是目前最为流行、使用最广泛的一种网络安全技术。防火墙是一种形象的说法，其实它是一种计算机硬件和软件相结合的技术，是在受保护网与外部网之间构造一个保护层，把攻击者挡在受保护网的外面。这种技术强制所有出入内外网的数据流都必须经过此安全系统。它通过监侧、限制或更改跨越防火墙的数据流，尽可能地对外部网络屏蔽有关受保护网络的信息和结构来实现对网络的安全保护。因而防火墙可以被认为是一种访问控制机制，用来在不安全的公共网络环境下实现局部网络的安全性。防火墙主要有三种类型：包过滤型、代理服务器型、全状态包过滤型。防火墙可以允许和禁止特定数据包的通过，并对所有事件进行监控和记录，使内部网络既能对外正常提供web访问，ftp下载等服务，又能保护内部网络不被恶意者攻击。为更好地实现校园网络安全，可以采用双宿主机网关或是屏蔽主机网关或是屏蔽子网的防火墙设置方案。为了提高防火墙安全性能，让其具有很强的抗攻击能力，最好采用的屏蔽子网体系结构配置方案，具体配置方法为：在intranct和internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与intranet和internet分开。两个包过滤路由器放在子网的两端，在子网内构成一个缓冲地带，两个路由器一个控制intranet数据流，另一个控制internet数据流，intranet和internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向intcrnct公开的服务器，像www、ftp、mail等internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。在防火墙设置上可以按照以下原则配置来提高网络安全性：(1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核ip数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止的原则。(2)将防火墙配置成过滤掉以内部网络地址进入路由器的ip包，这样可以防范源地址假冒和源路由类型的攻击，过滤掉以非法ip地址离开内部网络的ip包，防止内部网络发起的对外攻击。(3)定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。(4)允许通过配置网卡对防火墙设置，提高防火墙管理安全性。232入侵检测技术随着信息化建设的发展，传统的防火墙系统已经不能满足关键应用的实际需要，以智能和动态分析为基础的入侵检测系统在当今的网络应用中发挥了日益重要的作用。入侵检测是主机网络安全的一个重要组成部分，它可以实现复杂的信息系统安全管理，从目标信息系统和网络资源中采集信息，分析来自网络外部的和内部的入侵信号，实时地对攻击做出反应垆j。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统通常分为基于主机和基于网络两类。目前，在安全产品的市场中，入侵检测产品的市场份额已经占到了20以上【61。入侵检测不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足【7ji为了更有效地检测校园网的外部攻击和内部攻击，在每个需要受保护的网络内安装相应的ids入侵检测系统【8】。通过专用响应模式与防火墙进行互操作，实现ids与防火墙联动。ids与防火墙联动可以更有效地阻断所发生的攻击事件，从而使网络隐患降至较低限度。在校园网中最好设立两个检测点，可以分别对外网和内网进行检测，外网ids与防火墙联动，当有外部网络攻击时，ids提供实时的入侵检测，将信息交给防火墙，由防火墙对这些攻击进行控制、隔离、断开；当有内部网络攻击时，ids系统向网络管理人员发出报警，让网管人员及时做出反应一j。233数据加密技术加密是通过对信息的重新组合，使得只有收发双方才能解码还原信息。数7据加密技术是为提高网络上的信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。数据加密技术是提供网络系统数据的保密性、防止秘密数据被外部破解所采用的主要技术手段，是许多安全措施的基本保证【l 01。加密后的数据能保证在传输、使用和转换时不被第三方获取数据基于数据加密技术以上特点，在校园网络中传送重要信息时要使用数据加密技术来保证信息的安全。234操作系统身份验证校园网上运行着各种数据库系统，如教学管理系统，财务管理系统，以及各种对外服务如web，ftp服务等。如果安全措施不当，使这些数据库的口令被泄露，数据被非法取出和复制，造成信息的泄露，严重时可导致数据被非法删改。目前校园网络操作系统平台以windows为主，对应的主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面【llj：(1)操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、ip安全策略、用户权利指派等安全选项。(2)安全管理策略是指网络管理员对系统实施安全管理所采取的方法及策略。235防病毒技术为使计算机系统免遭病毒的威胁，除了建立完善的管理措施之外，还要有病毒扫描、检测技术，病毒分析技术，软件自身的防病毒技术，系统防病毒技术，系统遭病毒破坏后的数据恢复技术，以及消除病毒的工具及其技术等【l 21。计算机病毒是信息系统安全的最大隐患之一。特别是在广泛使用电子邮件的情况下，计算机病毒的传播非常迅速。不少学校的信息系统都遭受过计算机病毒的侵害，造成严重的损失。由于计算机病毒形式及传播途径的多样化，学校网络系统的防病毒工作再也不能是简单的、单台计算机病毒的检测及清除，而需要建立多层次的、立体的病毒防护体系，而且要具备完善的管理系统来设置和维护病毒防护策略ll川。多层次病毒防护体系是指在学校的每个台式机上安装台式机的反病毒软件，在服务器上安装基于服务器的反病毒软件，在internet网关上安装基于intemet网关的反病毒软件，同时加强系统使用人员和系统管理人员的防病毒意识。根据校园网络的防病毒要求，建立校园网络防病毒控制系统，分别设置有针对性的防病毒策略。在选择使用防病毒软件时，最重要的在于确定自己的选择标准，即要考虑到：软件易用性、解决方案的整体性、对现有资源的占用情况、系统可管理性、系统兼容性、对新病毒的反应能力和病毒查杀能力等，还需要考虑软件商的企业实力、病毒实时监测能力和价格等因素。要防范网络病8毒的传播，必须采用集中式安全管控的防毒策略，郎在校西网中建立病毒防杀中心。集中式的网络病毒防杀系统不仅可以管理很多的联网计算机，对联网计算机进行统一的病毒清除；同时可以及时公告病毒防杀信息，自动更新和升级病毒库，具有科学的病毒预警机制；还可以为域外联网计算机提供在线杀毒功能；并可以提供电予邮件病毒网关或病毒引擎功能，与电子邮件系统集合，对病毒邮件进行过滤。可以说集中式病毒防杀系统是有效防杀校园网病毒的最有效措施之一。236访问控制技术和内容审计技术访问控制也叫接入控制，阻止非授权用户进入网络，防止任何对计算机资源和通信资源的菲授权访问。访问控制根据用户的身份赋予其相应的权限瓣羽，即按事先确定的规则决定主体对客体的访问是否合法。通过对不同用户授予不同权限，如只读、只写、读写、修改等当用户在进入网络和访问各种资源时，对用户身份分别在网络层和信息层等用不同的认证协议进行验证，确保系统的安全。方法主要通过罄令，用户分组控制、文件权限控制来实现13】。内容审计包括t发邮件的审计，web网页审计，telnet审计，ftp审计和即时聊天工具审计等。237网络安全漏洞扫描技术漏洞扫描是自动检测远端或本地主机安全弱点的技术，它查询tcpip端髓，并记录目标的响应，收集关于某些特定项目的有用信息，如正在进行的服务，拥有这些服务的用户是否支持匿名登录，是否有某些网络服务需要鉴别等。这项技术的具体实现就是安全扫描程序，它可在很短的时间内就能收集安全弱点，并解决这些问题。238 vpn技术vpn(virtual private network)虚拟专用网是指将物理上分布在不同地点的网络通过公共网络连接成逻辑上的虚拟子网，并采用认证、访问控制、机密性、数据完整性等在公用网络上构建专用网络的技术，使得数据通过安全的“加密管道在公用网络中传播。vpn技术实现了内部信息在公众信息网中的传输，就象在茫茫的广域网中为用户拉出一条专线。对于用户来说，公共网络起到了虚拟专用的效果。vpn系统主要要实现以下三个功能，一是利用它对核心业务进行安全加固，二是构建移动办公系统，三是利用隧道技术为管理平台等外联业务的发展提供技术基础【14】。安全远程接入系统主要是通过基于ipsee协议的vpn技术9实现的15】。它主要由vpn网络密码机、密钥管理中心和远程接入终端组成，vpn网络密码机是一种ipsee协议vpn密码机，它在ip层对ip数据包进行加解密和数据鉴别，在路由器和交换机之间，密码机主要用于配合远程接入终端一起解决tcpip网络中用户数据通信的安全传输问题，为远程用户提供端到端的tcpip网络数据安全服务。密钥管理中心管理网络中的远程接入终端、网络密码机，分发网络密码机、远程接入终端的主密钥和工作密钥，对整个网络中的安全起着至关重要的作用。安全系统实现了对企业接入的身份认证，只有通过身份认证并建立安全通道的用户才能对服务器授权访问，保证数据传输时的机密性和完整性，拒绝对服务器的非法攻击，有效保护服务器【16】。以下是vpn系统的具体设计：(1)自主设计的算法系统采用自行设计的、经国家主管部门批准的高强度密码算法。密码算法采用硬件实现，密钥管理采用三层密钥体系，支持在线密钥分发，方便安全。(2)专用安全操作系统系统拥有自己的专用安全操作系统，并和网络密码机的安全功能有机的结合起来，实现了网络密码机整体安全【171。(3)安全隧道技术被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。加、解密工作对用户完全透明。(4)三层密钥管理体系安全远程接入系统的密钥采用三层体系，即主密钥smk、密钥加密密钥kek、数据加密密钥dek，上层密钥保护下一层密钥的分发，最底层密钥用于数据加密imj。(5)分布式密钥管理系统支持分布式密钥管理，具备良好的扩展性，允许用户在不同安全管理中心间进行网络漫游，提供双机备份、身份鉴别、策略下载、实时监控、远程控制等功能，可以用于构建大型网络系统【j剐。(6)资源访问控制用户在通过认证后，只能按照企业的安全策略，允许其访问某些特定资源。本系统也实现了通过用户身份、地址、服务和时间等元素对接入用户进行访问控制。(7)qos技术随着将更多的业务转移到vpn中来，在拥挤的带宽上，关键业务应该优先得到保障，此时vpn网关的qos功能就显得更为重要。目前qos手段包括：带宽分配、优先级划分等功能，实现网络资源最大化利用并提供一个良好的网lo络服务【191。239 ip地址绑定技术为了防止mac地址的盗用、ip地址的盗用、端口的不固定性、账号的盗用等安全问题的产生。要利用ip地址自动绑定、释放技术解决这个问题。自动绑定、释放技术主要是为了防止用户在通过认证后，在上网期间随意更改自己的ip地址，同时也可防范dos攻击等多种非法用户的攻击【z。用户在认证通过后在交换机上会产生一条acl策略将该用户的ip，mac，端口进行捆绑，如果此时用户随意更改自己的ip地址，交换机将会强制用户下线。用户下线后，对应端口的acl策略会自动释放、删除本学校使用iprms(ip资源管理系统)来进行ip地址绑定【211。iprms是一个以ip地址及用户名为中心的管理系统，是简化ip地址和服务分配的有力工具。它实现动态分配ip地址与用户注册、检测模块集成，确定ip地址与用户的关系，并将此动态实时的信息通知其它相关服务与应用，以实现计费、防火墙、认证和审计等各种增值服务。iprms支持分布或集中的网络管理结构，核心服务器、地区服务器、服务代理、注册服务器、dns服务器、dhcp服务器、web服务器、数据库既可以分布在不同的机器上，也可以分布在同一台机器上。通过iprms系统友好的操作平台，可简便、有效地管理网络内部dns服务器、dhcp服务器、注册服务器及检测服务器，创建和维护公司整体地址架构和完整的域名体系，进而管理所有ip设备，并监控其对应ip地址的使用状态。2310备份技术备份技术是最常用的提高数据完整性的措施，是指对需要保护的数据在另一个地方制作一个备份，一旦失去原件还能使用数据备份。备份内容包括有：(1)系统备份，对重要的应用服务器，要做双机备份(有条件的话)，必须保证一旦一台服务器出现故障，另一台服务器能在最短的时间内切换使用。主要包括：计费数据，邮件服务、web服务、dns服务、sql服务、oa服务、ftp服务等。(2)数据备份，做好网络内所有系统数据和应用数据的定期自动备份，定期做人工备份，确保数据的安全，可采用多种备份形式。如遇服务器遭受攻击或网络病毒，造成数据丢失或系统崩溃，需要进行数据恢复案中，由网络管理员从备份数据中进行恢复。_ 第3章 网络安全及其主要技术3.1 网络安全概述 国际标准化组织(iso)对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏。由此，可以将网络安全理解为网络系统的硬件、软件及其系统中的数据受到保护，通过建立网络安全保护措施确保通过网络传输、存储的数据不会发生增加、修改、丢失和泄漏等，保证系统连续可靠正常地运行，网络服务不被中断。概括的说，网络安全可以定义为通过各种计算机、网络、密码技术和信息安全技术、网络控制技术，保护网络中传输、交换、处理和存储的信息的保密性、完整性、可用性、真实性、抗否认性和可控性。3.1.1 网络安全的特征 网络安全包括系统安全和信息安全两个部分。系统安全主要指网络设备的硬件、操作系统和应用软件的安全；信息安全主要指各种信息的存储、传输的安全，具体体现在保密性、完整性和不可抵赖性上。网络安全包括五个基本要素：保密性、完整性、可用性、可控性与可审查性。1. 保密性防止信息被非法获得，即防止信息泄露给非授权的用户、实体或过程，或供其利用。机密性可以保证信息不被非授权用户得到，即使得到也无法知晓信息内容，因而不能使用。通常通过访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获知信息内容。2. 完整性完整性是网络信息未经授权不能进行改变的特性。完整性一方面是指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等：另一方面是指信息处理的方法的正确性。不正当的操作，如误删除文件，有可能造成重要文件的丢失。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储及传输。完整性与机密性不同，机密性要求信息不被泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。3. 可用性信息的可用性是指信息及相关的信息资产在授权人需要的时候，可以立即获得。例如通信线路中断故障会造成信息在一段时间内不可用，影响正常的商业运作，这是信息可用性的破坏。4. 可控性可控性是指对网络上的信息及信息系统实施安全监控，做到能够控制授权范围内的信息流向、传播及行为方式，控制网络资源的使用及使用网络资源的人或实体的使用方式。5. 可审查性可审查性定义为对出现的安全问题提供调查的依据和手段，使系统内所有发生的与安全有关的动作均有说明性记录可查。3.1.2网络安全体系结构 网络系统安全体系结构的构成要素有安全特性、系统单元及 osi 参考模型的层次结构。图1-1 为网络安全体系结构。图2.1网络安全体系结构其中层次结构按照网络osi 的7 层模型化分，网络安全贯穿于整个7 层模型。表1-1 描述了网络协议和安全协议与网络各层的关系。802.10 协议是为局域网提供的互操作安全规范标准sils，属于数据链路层和物理层安全规范。传输层和网络层可以采用符合传输层和网络层的安全协议，也可以采用与tcp/ip 对应的安全协议，如ipsec 协议。网络层之上的高层安全协议需要根据具体应用而定。应用层安全协议应根据所采用的网络应用软件而定，由应用软件的安全协议组件提供，不存在通用的应用层安全协议，如认证服务可采用私钥认证协议kerberos，或公钥认证协议x.509，安全网络管理服务可采用snmp v3 协议。表1-1 网络协议和安全协议与osi 层次结构示例3.2网络安全防范技术3.2.1 防火墙技术防火墙概述防火墙是指放置在不同网络(如可信任的内部网和不可信的公共网)或者网络安全域之间的系列部件的组合。防火墙的目的就是在不同网络区域之间建立起控制数据交换的唯一通道，通过允许、拒绝或重定向防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制，同时防火墙本身也具有较强的抗攻击能力，从而起到加强不同网络区域之间的访问控制，阻断来自非信任区域网络对受保护网络区域的威胁和入侵的作用，是提供信息安全服务，实现网络和信息安全的基础设旌。刚在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器。它有效地监控了内部网和公共网之间的任何活动，保障了内部网络的安全。总得来说，防火墙的功能主要表现在如下几个方面。1.提高网络的安全性网络管理员可以通过防火墙定义安全控制策略来防止非法用户进入内部网络，禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。因此，防火墙可以极大地提高被保护网络的安全性，并且通过过滤不安全的服务而降低风险。2.强化网络安全策略通过防火墙，网络管理员可以集中地部署和管理整个网络的安全策略，从而提高了管理的效率和维护的成本，便网络安全管理更加经济、有效。3.监控、统计内部存取和访问信息防火墙可以记录下所有外网的访问请求，同时也能够提供网络使用情况的统计数据。当发现可疑行为时，防火墙能及时报警，并报告网络是否受到破坏和攻击的详细情况。另外，防火墙还可以监控内部用户对网络的使用情况，预防内部用户的破坏行为。防火墙对网络使用情况的正确、及时的统计分析对于网络需求分析和威胁等具有重要意义。4.防止内部信息外泄利用防火墙对内部网络的区域划分，可以实现内部网络重点区域的隔离和访问控制，限制了这些区域重点或敏感网络安全问题对整个网络造成的影响，防止受保护信息资源泄漏到公共网。 防火墙的体系结构目前，防火墙的体系结构一般有以下几种，即双重宿主主机结构、被屏蔽主机结构和被屏蔽子网结构。1双重宿主主机结构双重宿主主机结构，又称堡垒主机，是一台配有多个网络接口的主机，它可以用来在内部网络和外部网络之间进行寻径。这种结构一般用一台装有两块网卡的堡垒主机作防火墙。两块网卡各自与内部网络和外部网络相连。如图3.1所示。 图3.1 双重宿主主机结构如果在一台双宿主主机中寻径功能被禁止了，则这个主机可以隔离与它相连的内部网络和外部网络之间的通信。而与它相连的内部网络和外部网络仍可以分别使用由它提供的网络应用，如果这个应用允许的话，它们就可以共享数据，这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息，但内部网络和外部网络却不能传递信息，从而达到保护内部网络的作用。2屏蔽主机结构屏蔽主机结构，又称主机过滤结构。它易于实现也很安全，因此应用广泛。例如，一个单独的屏蔽路由器连接外部网络，同时一个堡垒主机安装在内部网络上，如图3.2所示。 图3.2 屏蔽主机结构通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可以直接到达的主机，确保内部网络不受未授权外部用户的攻击。堡垒主机是外网主机连接到内部网络的桥梁，并且仅有某些确定类型的连接被允许。任何外部网络如果要试图访问内部网络，必须先连接到这台堡垒主机上。因此，堡垒主机需要有高等级的安全。在屏蔽的路由器中数据包过滤可以按下列之一配置：(1)允许其他的内部主机为了某些服务与外网主机连接(即允许那些已经由数据包过滤的服务)(2)不允许来自内部主机的所有连接(强迫内部主机必须经过堡垒主机使用代理服务)3屏蔽子网结构屏蔽子网结构，也称子网过滤结构。它是在屏蔽主机结构的基础上添加额外的安全层，即通过添加周边网络更进一步地把内部网络与互联网隔开。屏蔽子网结构的最简单形式为，两个屏蔽路由器，每一个都连接到周边网，一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。如图3.3所示。图3.3 屏蔽子网结构堡垒主机是内部网络上最容易受侵袭的机器，通过在周边网络上隔离堡垒主机，能减少堡垒主机的被侵入的危害程度。为了侵入使用这种防火墙的内部网络，侵袭者必须要通过两个屏蔽路由器。即使侵袭者能够进入堡垒主机，内部路由器也会阻止它侵入内部网络。防火墙的主要实现技术目前在实际应用中所使用的防火墙产品有很多，但从其采用的技术来看主要包括两类，包过滤技术和应用代理技术，实际的防火墙产品往往由这两种技术的演变扩充或复合而形成的，具体来说主要包括，包过滤型、代理服务型和状态包过滤型复合型。1.包过滤型防火墙包过滤通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。数据包是通过互联网络中的路由器，从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处，然后路由器查询自身的路由表，若有去往目的的路由，则将该包发送到下一个路由器或直接发往下一个网段；否则，将该包丢掉。包过滤防火墙，除了判断是否有到达目的网段的路由之外，还要根据一组包过滤规则决定是否将包转发出去。一般地，在进行包过滤判断时不关心包的具体内容。由于包过滤系统处于网络的ip层和tcp层，而不是应用层，所以它无法在应用层的具体操作进行任何过滤。2.代理服务型防火墙代理服务系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机，与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同，就逻辑拓扑而言，代理服务型防火墙要比包过滤型更安全。由于内部网络和外部网络在网络层是断开的，所以要实现内外网络之间的应用通讯就必须在网络层之上。代理系统是工作在应用层，代理系统是客户机和真实服务器之间的中介，代理系统完全控制客户机和真实服务器之间的流量，并对流量情况加以记录。目前，代理服务型防火墙产品一般还都包括有包过滤功能。3.状态包过滤型防火墙为了克服包过滤模式明显的安全性不足的问题, 一些包过滤型防火墙厂商推出了状态包过滤的概念。在包过滤技术的基础上，通过基于上下文的动态包过滤模块检查，增强了安全性检查。它不再只是分别对每个进来的包简单地就地址进行检查，动态包过滤型防火墙在网络层截获进来的包，直到足够的数量，以便能够确定此试图连接的有关“状态”。然后用防火墙系统内核中“专用的检查模块”对这些包进行检查。安全决策所需的相关状态信息经过这个“专用的检查模块”检查之后，记录在动态状态表中，以便对其后的数据包通讯进行安全评估。经过检查的包穿过防火墙，在内部与外部系统之间建立直接的联系。由于防火墙的访问控制系统属于静态防护安全体系，对于一些允许通过防火墙的访问而导致的攻击行为和内部网的攻击行为，防火墙是无能为力的。因此，认为在互联网入口处部署防火墙系统就足够安全的想法是不切实际的。能否成功阻止网络黑客的入侵，保证计算机和网络系统的安全和正常运行，还要依赖于其他的安全技术。3.2.2 入侵检测技术 入侵检测系统概述随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充，ids (入侵检测系统)能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。入侵检测的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程。ids则是完成如上功能的独立系统。ids能够检测未授权对象(人或程序)针对系统的入侵企图或行为(intrusion)，同时监控授权对象对系统资源的非法操作(misuse)。入侵检测系统可以看作是防火墙后边的第二道安全保障，它的主要职责是：监视、分析用户及系统活动：系统构造和弱点的审计；识别反映已知进攻的活动模式并向网络管理员报警：异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，识别用户违反安全策略的行为。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足，从某种意义上说是防火墙的补充。 入侵检测系统分类按照数据来源的不同，可以将入侵检测系统分为如下三类：基于主机的入侵检测系统基于主机的1ds可监测系统、事件和windows nt下的安全记录以及unix环境下的系统记录。当有文件被修改时，ids将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。基于网络的入侵检测系统基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，ids的响应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据