浅析校园网络安全建设与管理论文.doc

论 文 题 目：浅析校园网络安全建设与管理 姓 名： 计算机资源站 所在单位： 网 址： 目 录摘要 .21 校园网的安全特点 .311开放的网络环境 . 312活跃的用户群 . 313复杂的计算机系统管理 . 32 校园网络安全面临的主要问题421非法入侵威胁 . 422恶意代码威胁 43 校园网络安全问题原因分析431密码的安全 432 系统安全533 目录共享634 木马防范74 校园网络系统安全对策741 防火墙技术 7411 硬件防火墙7412 软件防火墙8413 VPN842 防病毒技术8421 硬件防病毒 8422 软件防病毒 8423 IDS和IPS技术943 入侵检测系统9431 物理结构 9432 逻辑结构 105 加强校园网安全管理措施的建议 106 总结 117 参考资料 11摘 要校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。但随着应用的深入，校园网上的各种数据会急剧增加，各种各样的安全问题开始困扰我们。如各种因素导致的校园网数据丢失，被修改或系统瘫痪屡有所闻。校园网络及其信息系统如何设置自己的安全措施，使它安全、稳定高效的运转，发挥其应有的作用，就成了网络管理人员的一个重要课题。下面就以Windows 2003网络管理的一点经验与体会，从技术方面谈谈自己对校园网安全的一些看法。关键词：网络 安全 管理第12页(共12页)1 校园网的安全特点校园网是覆盖校园范围的计算机网络，主要采用计算机局域网技术、互联网技术及网络接入网技术，其中局域网技术用于校园建筑物内计算机的互联，互联网技术用于校园局域网的互联，接入网技术用于校园网与外部公共网络(Internet)或专用网(教育科研网)的互联。随着无线接入技术的发展，建设无线校园网已经成为一些学校校园网改造和升级的范围内。而建立校园网的目的就是实现资源共享、信息服务、网络教学、远程接入和网上办公等，这就决定了校园网安全方面具有如下特点:1.1 开放的网络环境由于学校具有教学和科研的特点，所以要求校园网络的环境是开放的，而且在管理方面较企业网络来说更宽松一些，这样就会留下一些安全隐患；1.2 活跃的用户群在我们中职学校中，在校学生通常是最活跃的网络用户，而且数量非常庞大，他们对网络新技术充满好奇，敢于尝试。尤其是一些学生会尝试使用从网上学到的或者是自己研究的一些攻击技术，而这些行为可能对校园网络造成一定的影响和破坏；1.3 复杂的计算机系统管理第3页(共12页)学生的电脑是自己花钱购买、自己维护的，学校实验室的电脑是分批统一购买并有专门的技术人员维护，教师手提电脑多数是自主购买、没有专业的维护，如果统一的管理这些电脑需要付出很多的时间。另外，用户基本上使用的是盗版软件或者是在互联网上下载的一些破解软件，这些软件存在很多的问题，例如留有后门、携带病毒等，这些将会影响计算机系统的正常运行。以上这些情况下要求实施统一的安全策略非常困难的，一旦发生某些不可预测的问题，解决起来十分困难。以上这些主要特点是造成校园网成为攻击发源地的主要原因，同时也造成校园网成为最容易攻击的目标。致使学校面临着一些安全性威胁，而解决这些安全问题刻不容缓。2 校园网网络安全面临的主要问题2.1 非法入侵威胁学校校园网提供WWW服务、EMAIL服务、远程教学、视频点播等多项服务，是广大师生进行教学与科研活动的主要平台。但由于校园网的独特要求，使得校园网内的服务器对网内用户的限制较少，再加上操作系统本身存在的安全漏洞，这些都对校园网内的服务器群构成一定安全威胁。2.2 恶意代码威胁恶意代码的威胁包括计算机病毒以及利用系统漏洞的各种恶意攻击。其中，计算机病毒特别是蠕虫病毒是近年来影响计算机网络的主要威胁。病毒主要有两个来源，从外网传入的病毒，以及内网病毒。由于局域网内用户众多，而且缺乏统一的管理，因此很容易造成计算机病毒的传播。近几年，网络蠕虫以及利用RPC 等漏洞进行攻击的冲击波、振荡波等病毒，已经严重威胁了学校网络各项应用的正常使用。例如：由于计算机中毒，造成各项网络服务无法使用；由于局域网内计算机中毒，产生大量数据包，冲击网络出口的硬件网关等网络设备，引起网络阻塞、网关死机甚至交换设备死机，造成网络的瘫痪。3 校园网网络安全问题原因分析校园网络安全主要来自于密码安全、系统安全、目录共享、木马防范等。3.1 密码安全密码的安全众所周知，用密码保护系统和数据的安全是最经常采用也是最初采用的之一。目前发现的大多数安全，是由于密码管理不严，使入侵者得以趁虚而入。因此密码口令的有效管理是非常基本的，也是非常重要的。在密码的设置安全上，首先绝对杜绝不设口令的帐号存在，尤其是超级用户帐号。一些网络管理人员，为了图方便，认为服务服务器只由自己一个人管理使用，常常对系统不设置密码。这样，入侵者就能通过网络轻而易举的进入系统。另外，对于系统的一些权限，如果设置不当，对用户不进行密码验证，也可能为入侵者留下后门。比如，对Web网页的修改权限设置，在Windows 2003+IIS 5.1版系统中，就常常将网站的修改权限设定为任何用户都能修改（有些是IIS默认安装造成的），这样，任何一个用户，通过互联网连上站点后，都可以对主页进行修改删除等操作。其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出字符作为密码。密码的长度也是设置者所要考虑的一个问题。在Windows 2003系统中，有一个sam文件，它是Windows 2003的用户帐户数据库，所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果入侵者通过系统或网络的漏洞得到了这个文件，就能通过一定的程序（如l0phtcrack）对它进行解码。在用l0phtcrack破解时，如果使用暴力破解方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码它也只要用几小时，但是对于7位或以上它至少耗时一天或更长，所以说，在密码设置时一定要有足够的长度。总之在密码设置上，最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外，适当的交叉使用大小写字母也是增加被破解难度的好办法。3.2 系统安全系统的安全曾经流行于网络上的红色代码、蓝色代码及尼姆达病毒都利用系统的漏洞进行传播。从目前来看，各种系统或多或少都存在着各种的漏洞，系统漏洞的存在就成网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起红色代码、蓝色代码及尼姆达病毒的传播流行的Unicode解码漏洞，早在一年前的10月就被发现，且没隔多久就有了解决方案和补丁，但是许多的网络管理员并没有知道及时的发现和补丁，以至于过了将近一年，还能扫描到许多机器存在该漏洞。在校园网服务器中，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供Web服务功能，而没有必要向公众提供Ftp功能，这样，在服务器的服务配置中，我们只开放web服务，而将Ftp服务禁止。如果要开放Ftp功能，就一定只能向可能信赖的用户开放，因为通过Ftp用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。在以前WindowsNT使用的IIS，是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，为了加大安全性，在安装配置时可以注意以下几个方面：首先，不要将IIS安装在默认目录里（默认目录为c:Inetpub），可以在其它逻辑盘中重新建一个目录，并在IIS管理器中将主目录指向新建的目录。 其次，IIS在安装后，会在目录中产生如Scripts等默认虚拟目录，而该目录有执行程序的权限，这对系统的安全较大，许多漏洞的利用都是通过它进行的。因此，在安装后，应将所有不用的虚拟目录都删除掉。第三，在安装IIS后，要对程序进行配置，在IIS管理器中删除必须之外的任何无用映射，只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重，尽量不要给可执行权限。3.3 目录共享目录共享的安全在校园中，利用在对等网中对机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个。但在设置过程中，要充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。在网络管理中也曾搜索过外地机器的一个c类IP网段，发现共享的机器就有十几台，而且许多机器是将整个c盘、d盘进行共享，并且在共享时将属性设置为完全共享，且不进行密码保护，这样只要将其映射成一个网络硬盘，就能对上面的资料、文档进行查看、修改、删除。所以，为了防止资料的外泄，在设置共享时一定要设定访问密码。只有这样，才能保证共享目录资料的安全。3.4 木马防范木马的防范相信木马对于大多数人来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息，中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！木马，应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中，木马都起到了开路先锋的作用。木马感染通常是执行了一些带毒的程序，而驻留在你的计算机当中，在以后的计算机启动后，木马就在机器中打开一个服务，通过这个服务将你计算机的信息、资料向外传递，在各种木马中，较常见的是冰河。发现每个C类IP网段中，偶尔都会发现一、二个感染冰河的机器。由此可见，个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马，危害更是可怕。木马的清除一般可以通过各种杀毒软件来进行查杀。但对于新出现的木马，我们的防治可以通过端口的扫描来进行，端口是计算机和外部网络相连的逻辑接口，我们平时多注意一下服务器中开放的端口，如果有一些新端口的出现，就必须查看一下正在运行的程序，以及注册表中自动加载运行的程序，来监测是否有木马存在。4 校园网络系统安全对策4.1 防火墙技术4.1.1 硬件防火墙硬件防火墙主要用于对网络中的数据访问进行限制，提供对系统的访问控制和集中的安全管理，防止不安全的数据访问和服务。比如：限制外网用户对内网服务器的访问。目前，硬件防火墙按其实现架构可分为三类：基于通用处理器的工控机架构(PC架构)防火墙、基于NP技术的硬件防火墙、基于ASIC芯片的硬件防火墙。工控机架构最大的优点是灵活性好，但在大数据流量的网络环境中处理效率不理想。在千兆数据流量的网络中，NP和ASIC芯片架构将成为硬件防火墙的发展方向；4.1.2 软件防火墙软件防火墙成本较低，安装方便，使用简单，能够满足个人用户单机防护的基本需求。包括防止黑客攻击、保证信息安全、监测计算机运行状况等功能；4.1.3 VPNVPN(Virtual Private Network)将物理分布在不同地点的网络通过公用骨干网，尤其是Internet连接形成一个虚拟子网。根据其功能的不同，VPN又 可分为用于实现单位内部异地分支机构安全互联的Intranet VPN，以及与其他合作伙伴安全互联的Extranet VPN。4.2 防病毒技术4.2.1 硬件防病毒硬件防病毒产品主要有硬件防病毒网关、带病毒过滤功能的防火墙等，主要用于网络的入口处，采用内嵌的内容过滤、病毒过滤技术，对经过该设备的多种协议的数据进行扫描，并提供强大的审计与监控功能。能有效的防止从外网流入的病毒、蠕虫的攻击。由于硬件设备具有高速、稳定、不易受攻击等优点，硬件防病毒技术正逐渐成为一种趋势，被集成到交换机等常用网络设备中；4.2.2 软件防病毒针对网络病毒的泛滥，合理的部署网络版杀毒软件，从源头控制病毒的扩散，能够有效的降低蠕虫等病毒的危害程度，降低病毒造成的损失。在选择网络版杀毒软件时，病毒库的升级速度、客户端的资源占用情况、软件的易操作性以及是否有强大的管理功能都是我们需要考虑的因素；4.2.3 IDS和IPS技术入侵检测系统(IDS)是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测系统只对网络上不安全的操作进行报警，与路由器或防火墙联动后，也可以进行数据的阻断。但是，由于IDS系统的被动性以及识别的准确性不高，因此在使用中仍存在很多问题。入侵防护系统(IPS)采用行为规则技术，在发现攻击事件时，立即进行阻断。而且，它能够执行一些应用层的访问策略，对来自正常端口的攻击进行有效防护。4.3 入侵检测系统4.3.1 物理结构入侵检测系统在物理上由三种主机组成，分别为监测代理(Monitor Agent，简称MA)、统计服务器(Statistic Server，简称SS)和管理服务器(Management Server，简称MS)。MS控制并监测所有MA和SS的运行状态。被监测的子网网关通过端口映射的方法将子网的出入流量转发给MA，同时校园网的边界处也通过分光器将整个校园网的出入流量转发给一台MA。监测的日志在MA处定期归并后上传至SS中的数据库。MS再从SS处取得日志数据，经过分析和统计，得到入侵检测结果。管理员使用控制台同MS交互，获得需要的信息。每种主机的详细职能如下：(1) MS：管理服务器，完成对系统的配置功能，与SS通信，获取统计分析结果，以图形方式显示。监测各MA工作状况、负载信息。提供用户管理、MA管理功能；(2) SS：统计服务器，保存、整理从网络中获取的数据，按照一定的算法，对已有的数据进行统计分析，给出报告结果，为网络管理、维护提供依据；(3) MA：监测代理，采用被动监听的方式获取网络中传送的数据，统计流量信息，利用攻击检测规则检测网络中存在的攻击活动。4.3.2 逻辑结构从功能上分，系统主要由三个互相独立的子系统构成，它们分别是误用检测子系统、异常检测子系统和攻击源追踪子系统。所有子系统的检测数据都由分散在网络各个节点处的MA收集和统计；然后定时归并后提交给同一台SS；最后，管理服务器从SS中读取需要的数据进行分析，做出检测结果供管理员查询。除误用检测、异常检测和攻击源定位三个主要的子系统以外，系统还包括一个管理和显示子系统，管理和监控所有服务器的运行状态，为管理员提供显示和交互的服务。(1)误用检测子系统：基于误用检测的分布式入侵检测系统，包含误用检测代理、攻击特征库、误用日志库、误用检测统计、ISEP 接口等模块；(2)异常检测子系统：基于统计分析的异常检测系统，包含异常检测代理、异常日志库、异常检测统计等模块；(3)攻击源定位子系统：基于流量分析的攻击源定位系统，包含攻击追踪代理、攻击源信息库、追踪统计等模块；(4)管理和监控子系统：为整个系统提供统一的管理和界面交互，包含MA和MS的管理界面模块、系统管理模块、系统信息库模块、公钥证书签发与管理模块等。系统的管理模块还有监测MA运行状态的功能，MA定期将自身的状态信息提交到SS中，MS的管理模块实时的从SS中提取各MA的信息，内容包括CPU利用率、磁盘利用率、MA物理位置、MA误用检测代理的特征版本等信息。MS得到这些信息后使用图形化进行显示，供管理员进行查询。 5 加强校园网安全管理措施的建议。 学校机构设置和技术能力各学校不同，相应的实施安全管理方案也有所区别，在多年的网络管理经验得知，校园网安全主要两个方面：第一，网络安全设备方面：第二，网络用户和管理员，即人员的方面。首先，配备完整系统的网络安全设备。在网内和网外接口处配置一定的统一网络安全控制和监管设备，加强网络的访问控制能力，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。对邮件系统建立统一服务器系统，方便垃圾邮件的检测和拦截。统一桌面防毒系统，使其能够自动升级，实时具备最新的防护能力。通过配置安全设备可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。其次，要加强对使用人员的管理，这里的使用人员包括用户和管理员。对于用户，尤其是新生，应该进行网络安全教育，提高遵守相关的安全制度的自觉性，增强整体安全防范能力。对于管