毕业设计（论文）-校园网网络安全及其对策.doc

xx学院计算机系校园网网络安全及其对策姓 名： 学 号： 班 级： 课 程： 网络安全 目 录摘 要- 6 -第一章 系统安全- 7 -1 反病毒技术：- 7 -2 入侵检测 ：- 7 -3 审计监控技术：- 8 -第二章 网络安全四原则- 9 -1需求、风险、代价平衡的原则- 9 -2 综合性、整体性原则- 9 -3可用性原则- 10 -4 分步实施原则- 10 -第三章 影响网络安全的主要因素- 10 -（1）信息泄密。- 11 -（2）信息被篡改。- 11 -（3）传输非法信息流。- 12 -（4）网络资源的错误使用。- 12 -（5）非法使用网络资源。- 12 -（6）环境影响。- 12 -（7）软件漏洞。- 12 -（8）人为安全因素。- 12 -第四章 防范网络安全的做法- 13 -第一、物理安全。- 13 -第二、进行访问控制管理。- 13 -第三、打补丁。- 14 -第四、安装防病毒软件。- 14 -第五、应用程序。- 15 -第六、代理服务器。- 15 -第七、防火墙- 16 -第八、dmz。- 17 -第九、应用入侵检测技术-ids。- 17 -第十、分析时间日志与记录。- 17 -第五章 校园网网络安全解决方案- 18 -1 基本防护体系(包过滤防火墙+nat+计费)- 18 -2 标准防护体系(包过滤防火墙+nat+计费+代理+vpn)- 19 -3 强化防护体系(包过滤+nat+计费+代理+vpn+网络安全检测+ 监控)- 20 -参考文献- 20 -摘 要随着计算机应用范围的扩大和互联网技术的迅速发展，计算机信息技术已经渗透到人们生活的方方面面，网上购物、商业贸易、金融财务等经济行为都已经实现网络运行，“数字化经济”(digitaleconomy)引领世界进入一个全新的发展阶段。然而，越来越开放的信息系统也带来了众多安全隐患，黑客和反黑客、破坏和反破坏的斗争愈演愈烈。在网络安全越来越受到人们重视和关注的今天，网络安全技术作为一个独特的领域越来越受到人们关注。 加强计算机网络安全保护的相关问题研究已经成为当务之急。所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、数据篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。关键字：计算机网络网络安全黑客病毒恶意软件第一章 系统安全系统安全包括主机和服务器的运行安全，主要措施有反病毒。入侵检测、审计分析等技术。1 反病毒技术： 计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控，效果不错。2 入侵检测 ：入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。 从目前来看系统漏洞的存在成为网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够，以至于过了几年，还能扫描到机器存在许多漏洞。在校园网中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供web服务功能，而没有必要向公众提供ftp功能，这样，在服务器的服务配置中，我们只开放web服务，而将ftp服务禁止。如果要开放ftp功能，就一定只能向可能信赖的用户开放，因为通过ftp用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。3 审计监控技术：审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏性行为。 因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。第二章 网络安全四原则1需求、风险、代价平衡的原则 对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 2 综合性、整体性原则 应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。 3可用性原则 安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。 4 分步实施原则：分级管理，分步实施。 由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。第三章 影响网络安全的主要因素计算机网络安全的威胁主要来自外部网络和内部网络两个方面,根据国内相关学者的研究总结,影响因素主要包括以下几点:网络协议存在漏洞(主要指通信协议和通信软件系统不完善,给各种不安全因素的入侵留下了隐患);操作系统本身存在安全漏洞;网络的开放性和广域性设计使得数据的保密难度较大;无线系统中的电磁泄露(无线通信系统中的数据以电磁波的形式在空中进行传播,存在电磁波泄露,且易被截获);计算机病毒入侵(大量涌现的病毒在网上传播极快,给全球范围的网络安全带来了巨大灾难);网络黑客的恶意攻击;网上犯罪人员对网络的非法使用及破坏;信息安全防范技术和管理制度的不健全;自然灾害以及意外事故的损害等。破坏的方法主要有:利用tcp/ip直接破坏;利用操作系统间接登陆入侵;对用户计算机中的系统内置文件进行有目的的更改;利用路径可选实施欺骗;使用窃听装置或监视工具对所传播的信息进行非法检测和监听等,以上是保障计算机网络安全所时常面临的威胁性因素,及进行威胁的一般损害方法。对这些威胁性因素和方法的了解有助于我们做好相关网络安全保障,以便于我们更好地利用网络服务于我们的生产、生活与工作。 具体体现在：（1）信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。（2）信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。（3）传输非法信息流。只允许用户同其它用户进行特定类型的通信,但禁止其它 类型的通信,如允许电子邮件传输而禁止檔传送。（4）网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意 地破坏。（5）非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。（6）环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。（7）软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软 件、tcp/ip协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受计算机病毒攻击,就会带来灾难性的后果。（8）人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。第四章 防范网络安全的做法网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。其中最重要的是指网络上的信息安全。 现在有很多人认为在网络中只要使用了一层安全就够了,事实并不是这样,一层根本挡不住病毒和黑客的侵袭。接下来我将逐点介绍网络安全的多点做法。 第一、物理安全。除了要保证要有计算机锁之外,更多的要注意防火,要将电线和网络放在比较隐蔽的地方。我们还要准备ups,以确保网络能够以持续的电压运行,在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候可以烧坏电器,迫使网络瘫痪,峰值电压最小的时候,网络根本不能运行。使用ups可以排除这些意外。另外要做好防老鼠咬坏网线。 第二、进行访问控制管理。访问控制是计算机网络保护的一种常见手段和方法,所谓访问控制是指授予不同的主体不同的访问权限。不同主体依据自身获得的相关权限进行相关数据或信息的处理,从而实现数据和相关信息资源的安全。口令是进行访问控制最简单最常见的一种形式。只要很好地对相关口令进行保护,非授权用户就难以越权使用相关信息资源。口令的设置一般应避免使用简单易猜的生日、电话号码等数字,而应应用英文字母、标点符号、汉语拼音、空格等及其组合,以增加口令的复杂性并借此提高口令的安全性,在进行不同的系统登陆时应设置和使用不同的登陆口令,且应对相关口令进行定期更改,以保证口令的安全性。第三、打补丁。要及时的对系统补丁进行更新,大多数病毒和黑客都是通过系统漏洞进来的,例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的sqlserver上的病毒slammer也是通过sql的漏洞进来的。所以要及时对系统和应用程序打上最新的补丁,例如ie、outlook、sql、office等应用程序。另外要把那些不需要的服务关闭,例如telnet,还有关闭guset账号等。第四、安装防病毒软件。 病毒扫描就是对机器中的所有檔和邮件内容以及带有.exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一隔离文件夹里面。要对全网的机器从网站服务器到邮件服务器到檔服务器到客户机都要安装杀毒软件,并保持最新的病毒库。因为病毒一旦进入计算机,它会疯狂的自我复制,遍布全网,造成的危害巨大,甚至可以使得系统崩溃,丢失所有的重要资料。所以至少每周一次对全网的计算机进行集中杀毒,并定期的清除隔离病毒的文件夹。第五、应用程序。 超过一半都是通过电子邮件进来的,所以除了在邮件服务器上安装防病毒软件之外,还要对pc机上的outlook防护,用户要提高警惕性,当收到那些无标题的邮件,或是不认识的人发过来的,或是全是英语例如什么happy99,money,然后又带有一个附件的邮件,建议用户最好直接删除,不要去点击附件,因为百分之九十以上是病毒。除了不去查看这些邮件之外,用户还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。 很多黑客都是通过用户访问网页的时候进来的。用户可能碰到过这种情况,当打开一个网页的时候,会不断的跳出非常多窗口,关都关不掉,这就是黑客已经进入了你的计算机,并试图控制你的计算机。所以用户要将ie的安全性调高一点,经常删除一些cookies和脱机檔,还有就是禁用那些active x的控件。 第六、代理服务器。 代理服务器最先被利用的目的是可以加速访问用户经常看的网站,因为代理服务器都有缓冲的功能,在这里可以保留一些网站与ip地址的对应关系。 代理服务器的优点是可以隐藏内网的机器,这样可以防止黑客的直接攻击,另外可以节省公网ip。缺点就是每次都要经由服务器,这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候,其余计算机将不能访问网络。第七、防火墙 防火墙是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制及更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和internet之间的任何活动,保证了内部网络的安全。 防火墙基本上是一个独立的进程或一组紧密结合的进程,控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如internet)入口处。它的作用是确保一个单位内的网络与internet之间所有的通信均符合该单位的安全策略。防火墙能有效地防止外来的入侵,它在网络系统中的作用是: （1）控制进出网络的信息流向和信息包; （2）提供使用和流量的日志和审计; （3）隐藏内部ip地址及网络结构的细节; （4）提供虚拟专用网(vpn)功能。 防火墙技术的发展方向:目前防火墙在安全性、效率和功能方面还存在一定矛盾。防火墙的技术结构,一般来说安全性高的效率较低,或者效率高的安全性较差。未来的防火墙应该既有高安全性又有高效率。重新设计技术结构架构,比如在包过滤中引用鉴别授权机制、复变包过滤、虚拟专用防火墙、多级防火墙等将是未来可能的发展方向。第八、dmz。dmz是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业web服务器、ftp服务器和论坛等。另一方面,通过这样一个dmz区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。 第九、应用入侵检测技术-ids。 技术又称为ids,是近年出现的新型网络安全技术,目的是提供实时的入侵检测以及采取相应的防护手段。他是基于若干预警信号来检测针对主机和网络入侵事件的技术。一旦检测到网络被入侵之后,立即采取有效措施来阻断攻击,并追踪定位攻击源。入侵检测技术包括基于主机的入侵检测技术和基于网络的入侵检测技术。在使用了防火墙和防病毒软件之后,再使用ids来预防黑客攻击。ids,就是分析攻击事件以及攻击的目标与攻击源,然后利用这些来抵御攻击,将损坏降低到最低限度。目前ids还没有象防火墙那样用的普遍,但是这个也将是未来几年的趋势,现在一些政府已经开始使用。第十、分析时间日志与记录。 要经常的来查看防火墙日志、入侵检测的日志以及查看防病毒软件的更新组件是否最新等。安全管理一直是网络系统的薄弱环节之一,而用户对网络安全的要求往往又相当高,因此安全管理就显得非常重要。网络管理者必须充分意识到潜在的安全性威胁,并采取一定的防范措施,尽可能减少这些威胁带来的恶果,将来自企业或公司网络内部和外部对数据和设备所引起的危险降到最低程度。计算机网络安全是捆扰网络用户的一个难题,也是发展计算机网络技术所必须克服和解决的一道难题。它关系到用户对计算机网络安全的信心,关系到计算机网络技术能否健康持久的发展,关系到相关存储和传输数据的安全,因而应该引起全社会的