中小学校园网信息安全及防范课件

中小学校园网信息安全及防范中小学校园网信息安全及防范中小学校园网信息安全及防范中小学校园网信息安全及防范中小学校1一、国内外网络安全事件二、中小学校园网现状与建设方案三、网络安全的内容四、校园网安全防范技术目 录2一、国内外网络安全事件目 录22013年，斯诺登向媒体提供机密文件致使包括“棱镜”项目在内美国政府多个秘密情报监视项目“曝光”。通过该项目，美政府直接从包括微软、谷歌、雅虎、Facebook、PalTalk、AOL、Skype、YouTube以与苹果在内的这9个公司服务器收集信息。进行数据挖掘工作，从音频、视频、图片、邮件、文档以与连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节。一、国内外网络安全事件32013年，斯诺登向媒体提供机密文件致使包括“棱镜”项目在内 斯诺登向媒体透露，说美国政府连续几年都在攻击其他国家的网络，其中还监听许多国领导人电话、电子邮件等，包括联合国秘书长潘基文、德国总理默克尔，入侵中国的网络，窃取各种情报。一、国内外网络安全事件4 斯诺登向媒体透露，说美国政府连续几年罪罪行行：英国少年贾斯明辛向体育用品网站发起 DoS攻击，并窃取信息。少年承认自己受雇于两家与受害网站竞争，企图彻底弄垮对手的在线销售网点。传传播播途途径径：贾斯明辛利用计算机病毒控制上千台计算机，并组成傀儡网络，向线上销售体育用品的网站发动攻击。造成了两家受害网站约150万美元的损失。判决结果判决结果：五年监禁 一、国内外网络安全事件5罪行：英国少年贾斯明辛向体育用品网站发起 DoS攻击，并窃罪行罪行：某国小老师窜改教师介聘系统分发成绩 传传播播途途径径：窜改两位老师的成绩，变更女友分数，却害他人从第1志愿分发到第10几个志愿。罪罪行行：19岁知名高中毕业生，入侵大考中心、窃取悠游卡系统、百货公司、黑客组织等会员资料。传传播播途途径径：从2009年起陆续入侵国中基测与大学入学考试中心计算机系统，窃取逾一百万笔考生的姓名、相片与成绩等相关资料，再卖给补习班。其它还包括台北智能卡公司的悠游卡系统资料、新光三越百货公司会员卡资料，黑客网会员资料与其它电子邮件帐号密码。一、国内外网络安全事件6罪行：某国小老师窜改教师介聘系统分发成绩 一、国内外网络安全海康威视安全事件监控设备漏洞或引发敏感信息泄露海康威视安全事件监控设备漏洞或引发敏感信息泄露2015年2月27日江苏省公安厅发布的特急通知称，主营安防产品的海康威视其生产的监控设备被曝严重的安全隐患，部分设备已被境外IP地址控制，要求各地立即进行全面清查，开展安全加固。随后调查显示，事件出于弱口令漏洞，只需通过修改初始密码或简单密码，或者升级设备固件即可解决。作为国内最大的监控设备生产商海康威视，虽然致力于设备功能的完善，但忽略了最基本的信息安全问题，可谓“千里之堤，毁于蚁穴”。一、国内外网络安全事件7海康威视安全事件监控设备漏洞或引发敏感信息泄露一、国内外网络超超30省市曝管理漏洞：数千万社保用户信息或泄露省市曝管理漏洞：数千万社保用户信息或泄露2015年4月22日从补天漏洞响应平台获得的数据显示，围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉与人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。一、国内外网络安全事件8超30省市曝管理漏洞：数千万社保用户信息或泄露一、国内外网络优购网交易信息疑泄露超百人被骗上百万优购网交易信息疑泄露超百人被骗上百万2015年5月18日有客户反馈，在购物网站优购时尚商城购物后，个人信息被泄露，银行钱款被盗，受骗网友建立的QQ群中，已有160多个群友，被骗金额总计上百万元。优购网官方回应称，信息泄露是黑客“撞库”所致，已向公安机关报案。一、国内外网络安全事件9优购网交易信息疑泄露超百人被骗上百万一、国内外网络安全事件9央视报道“危险的WiFi”央视消费主张报道了人们日常使用的无线网络存在巨大的安全隐患。在节目中，央视和安全工程师在多个场景实际测验显示，火车站、咖啡馆等公共场所的一些免费WIFI热点有可能就是钓鱼陷阱，而家里的路由器也可能被恶意攻击者轻松攻破。一、国内外网络安全事件10央视报道“危险的WiFi”央视消费主张报道了人们日二、中小学校园网现状与建设方案 资金紧缺网络硬件设备配备不齐全资金紧缺网络硬件设备配备不齐全缺乏计算机与网络相关专业技术人员缺乏计算机与网络相关专业技术人员校园网仅提供互联网服务，校内资源匮乏校园网仅提供互联网服务，校内资源匮乏资金的一次性投入资金的一次性投入,校园网的使用效率低下校园网的使用效率低下11二、中小学校园网现状与建设方案 资金紧缺网络硬件设备配备不齐网络拓扑中小学校园网设计方案核心层分布层接入层p防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；p路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。12网络拓扑中小学校园网设计方案核心层12简化方案联联电信电信服务器区服务器区办公区SecPath U200-AH3C S5120H3C WX3024H3C MSR 30-40WA2620-AGN包括无线覆盖WA2620-AGNWA2620-AGN包括无线覆盖包括无线覆盖13简化方案联电信服务器区办公区SecPath U200-AH3a.防火墙b.路由器c.核心交换机d.分布层交换机e.访问层交换机二层分级模型核心层接入层网络设备选型三层分级模型14 a.防火墙 b.路由器 c.核心交换机 d.VLAN的优势VLAN划分与IP规划l可以减小广播风暴，划分VLAN后，广播只在子网中进行l增加网络的安全性，不同的VLAN不能随意通讯l提高管理效率，实现虚拟的工作组，减少物理开支lVLAN的子网访问，可以在三层交换机上实现，分流核心交换机的三层交换，优化组网15VLAN的优势VLAN划分与IP规划可以减小广播风暴，划分V校园网应为学校教学、科研提供先进的信息化教学环境。这就要求校园网是一个交互功能和专业性很强的局域网络。多媒体教学软件开发平台，多媒体演示教室，教师备课系统，电子阅览室以与教学，考试资料库等，都可以通过网络运行工作，包含的基本功能如下：学校网站建设课程管理（精品课程）实验室管理学生成绩与学籍管理图书资料管理德育教育管理档案管理（人事、固定资产）财务管理资源建设16校园网应为学校教学、科研提供先进的信息化教学环境。这就要求校三、网络安全的内容计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性与可使用性受到保护。从广义来说，凡是涉与到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。17三、网络安全的内容计算机网络安全是指利用网络管理控制和技术措网络系统的脆弱性 数据的安全问题数据的安全问题n 传输线路的安全问题传输线路的安全问题从安全的角度来说，没有绝对安全的通讯线路。从安全的角度来说，没有绝对安全的通讯线路。数据库存在着许多不安全性。数据库存在着许多不安全性。n网络安全管理问题网络安全管理问题18网络系统的脆弱性 数据的安全问题 传输线路的安全问题从安全网络安全的基本要素衡量网络安全的指标主要有机密性“进不来，看不懂”完整性“改不了，拿不走改不了，拿不走”可用性“能进来，能修改，能拿走能进来，能修改，能拿走”可控性“监视、控制监视、控制”不可否认性“逃不脱，跑不掉逃不脱，跑不掉”19网络安全的基本要素衡量网络安全的指标主要有19网络运行和网络访问控制的安全，由以下四方面组成：局域网、子网安全网络中数据传输安全网络运行安全网络协议安全物理安全 环境安全.对系统所在环境的安全保护措施，如区域保护和灾难保护 设备安全设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰与电源保护技术和措施等 媒体安全媒体数据的安全与媒体本身的安全技术和措施20网络运行和网络访问控制的安全，由以下四方面组成：物理安全 局域网、子网安全内外网隔离技术：采用内外网隔离技术：采用防火墙防火墙技术可以将内部网络的与外部网络进行隔离，对内部网络进行保护技术可以将内部网络的与外部网络进行隔离，对内部网络进行保护网络检测技术：网络检测技术：网络安全检测（漏洞检测）网络安全检测（漏洞检测）是对网络的安全性进行评估分析，通过实践性的方法是对网络的安全性进行评估分析，通过实践性的方法扫描分析网络系统，检查系统存在的弱点和漏洞，提出补求措施和安全策略的建议，达到增强网扫描分析网络系统，检查系统存在的弱点和漏洞，提出补求措施和安全策略的建议，达到增强网络安全性的目的络安全性的目的21局域网、子网安全21网络中数据传输安全数据传输加密技术：对传输中的数据流进行数据传输加密技术：对传输中的数据流进行加密加密，以防止通信线路上的窃听、泄漏、篡改和破坏。，以防止通信线路上的窃听、泄漏、篡改和破坏。三个不同层次来实现，即链路加密、节点加密、端到端加密三个不同层次来实现，即链路加密、节点加密、端到端加密数据完整性鉴别技术数据完整性鉴别技术防抵赖技术：包括对源和目的地双方的证明，常用方法是数字签名防抵赖技术：包括对源和目的地双方的证明，常用方法是数字签名网络运行安全备份与恢复技术：采用备份与恢复技术：采用备份技术备份技术可以尽可能快地全盘恢复运行计算机网络，所需的数据和系统信可以尽可能快地全盘恢复运行计算机网络，所需的数据和系统信息息应急文档应急文档22网络中数据传输安全22数据库系统安全数据库安全数据库安全数据库管理系统安全数据库管理系统安全应用安全的组成.应用软件开发平台安全 各种编程语言平台安全程序本身的安全应用系统安全 应用软件系统安全23数据库系统安全23管理安全据权威机构统计表明：信息安全大约据权威机构统计表明：信息安全大约6060%以上的问题是由管理方面原因造成的。网络系统的安全管理以上的问题是由管理方面原因造成的。网络系统的安全管理主要基于三个原则：主要基于三个原则：多人负责原则多人负责原则 任期有限原则任期有限原则 职责分离原则职责分离原则“30%30%的技术，的技术，70%70%的管理的管理”24管理安全据权威机构统计表明：信息安全大约60%以上的问题是由网络安全的威胁 非授权访问：通过假冒、身份攻击、系统漏洞等手段，获取系统访问权25网络安全的威胁 非授权访问：25网络安全的威胁 信息泄漏或丢失 信息在传输中泄漏丢失，在存储介质中泄漏丢失，被窃取26网络安全的威胁 信息泄漏或丢失26网络安全的威胁 破坏数据完整性 以非法手段窃得对数据的使用权，删除、修改、插入某些重要信息27网络安全的威胁 破坏数据完整性27网络安全的威胁 拒绝服务攻击 不断执行无关程序使系统响应减慢甚至瘫痪28网络安全的威胁 拒绝服务攻击28网络安全的威胁 网络传播病毒 通过网络传播计算机病毒（蠕虫病毒高居病毒榜首）29网络安全的威胁 网络传播病毒29访问控制技术-网络权限控制四、校园网安全防范技术30访问控制技术-网络权限控制四、校园网安全防范技术30访问控制技术-目录级安全控制四、校园网安全防范技术31访问控制技术-目录级安全控制四、校园网安全防范技术31访问控制技术-属性安全控制四、校园网安全防范技术32访问控制技术-属性安全控制四、校园网安全防范技术321.打开注册表编辑器，修改第一处HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。2.修改第二处HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。3检查是否有开防火墙，如果有开需要吧新端口添加到允许，重启服务器。END访问控制技术-更改远程桌面连接端口331.打开注册表编辑器，修改第一处HKEY_LOCAL_MA路由器安全功能访问控制链表基于源地址/目标地址/协议端口号端口映射、如3389、80端口Flood 管理日志其他抗攻击功能34路由器安全功能访问控制链表34防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用27层访问控制（集中在3-4层）解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限35防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用35入侵检测基本原理：利用sniffer方式获取网络数据，根据已知特征判断是否存在网络攻击优点：能与时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于与时采取措施。不足：准确性：误报率和漏报率有效性：难以与时阻断危险行为36入侵检测基本原理：利用sniffer方式获取网络数据，根据已网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播优点：能有效阻断已知网络病毒的传播不足：只能检查已经局部发作的病毒对网络有一定影响37网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数蠕虫病毒的特征 蠕虫病毒的特征1.利用操作系统和应用程序的漏洞主动进行攻击2.传播方式多样3.病毒制作技术与传统的病毒不同4.与黑客技术相结合38蠕虫病毒的特征 蠕虫病毒的特征38蠕虫病毒与一般病毒的比较 普通病毒普通病毒 蠕虫病毒蠕虫病毒存在形式存在形式 寄存文件 独立程序传染机制传染机制 寄存在主程序运行 主动攻击传染目标传染目标 本地文件 网络计算机39蠕虫病毒与一般病毒的比较 网络环境下计算机病毒的特点 在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点：有一些新的特点：感染速度快。感染速度快。扩散面广。扩散面广。传播的形式复杂多样。传播的形式复杂多样。难于彻底清除。难于彻底清除。破坏性大。破坏性大。40网络环境下计算机病毒的特点 40网页攻击 网页攻击指一些恶意网页利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页网页攻击指一些恶意网页利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记超文本标记语言内的语言内的Java Applet小应用程序、小应用程序、javascript脚本语言程序、脚本语言程序、ActiveX软件部件交互技术支持可自动执行的软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表与系统实用配置程序，从而达到非法控制系统资源、破坏数据、代码程序，强行修改用户操作系统的注册表与系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。格式化硬盘、感染木马程序的目的。41网页攻击41网页攻击防范 防范网页攻击可使用设定安全级别、过滤指定网页、卸载或升级防范网页攻击可使用设定安全级别、过滤指定网页、卸载或升级WSH、禁用远程注册表服务等方法。、禁用远程注册表服务等方法。最好的方法还是安装防火墙和杀毒软件，并启动实时监控功能。有些杀毒软件可以对网页浏览时注册表最好的方法还是安装防火墙和杀毒软件，并启动实时监控功能。有些杀毒软件可以对网页浏览时注册表发生的改变提出警告。发生的改变提出警告。42网页攻击防范42删除本机默认共享打开记事本编写如下代码 Net share admin$/delete Net share ipc$/delete Net share c$/delete Net share d$/delete Net share e$/delete编写完成以后此文本可任意命名，但文件扩展名一定改为.bat，并将此文件添加到 开始启动中 下次开机默认共享自动被删除43删除本机默认共享打开记事本编写如下代码43网络扫描器通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点：有利于与早发现问题，并从根本上解决安全隐患不足：只能针对已知安全问题进行扫描准确性 vs 指导性44网络扫描器通过模拟网络攻击检查目标主机是否存在已知安全漏洞4关闭不用的服务 在安装windows操作系统时，大家往 往使用的是默认安装，然而有很多服务在默认情况下是打开，我们应该关闭一些从来不用的服务。我们打开 控制面板管理工具服务 也可以在 我的电脑右键管理服务和应用程序服务45关闭不用的服务 在安装windows操作系 一般情况下我们可关闭telnet 服务SNMP ServiceComputer BrowserDHCP Client46 一般情况下我46网络安全防护建议(1)经常关注安全信息发布Microsoft、Sun、hp、ibm等公司的安全公告安全焦点 绿盟网站 47网络安全防护建议(1)经常关注安全信息发布47网络安全防护建议(2)经常性检查重要服务器、网络设备是否存在安全漏洞微软安全基线检测工具NmapX-scan流光ISS-SCANNER等其他商业安全工具Windows平台利用Msconfig检查启动项目48网络安全防护建议(2)经常性检查重要服务器、网络设备是否存在网络安全防护建议(3)根据安全公告、扫描结果与时打补丁或升级软件利用签名工具对系统重要文件进行签名，经常检查有无变化，防止木马植入关闭服务器或网络设备上不必要的功能或服务制定切实可行的安全策略，形成制度并强制执行49网络安全防护建议(3)根据安全公告、扫描结果与时打补丁或升级安全威胁实例用户使用一台计算机D访问位于网络中心服务器S上的webmail邮件服务，存在的安全威胁：U在输入用户名和口令时被录像机器D上有key logger程序，记录了用户名和口令机器D上存放用户名和密码的内存对其他进程可读，其他进程读取了信息，或这段内存没有被清0就分配给了别的进程，其他进程读取了信息用户名和密码被自动保存了用户名和密码在网络上传输时被监听（共享介质、或arp伪造）机器D上被设置了代理，经过代理被监听50安全威胁实例用户使用一台计算机D访问位于网络中心服务器S上的安全威胁实例（续）查看邮件时被录像机器D附近的无线电接收装置接收到显示器发射的信号并且重现出来屏幕记录程序保存了屏幕信息浏览邮件时的临时文件被其他用户打开浏览器cache了网页信息临时文件仅仅被简单删除，但是硬盘上还有信息由于DNS攻击，连接到错误的站点，泄漏了用户名和密码由于网络感染了病毒，主干网瘫痪，无法访问服务器服务器被DOS攻击，无法提供服务51安全威胁实例（续）查看邮件时被录像51谢谢大家！结结 语语谢谢大家！结 语52