网络安全之校园网络规划及安全技术毕业论文.doc

青 岛 酒 店 管 理 职 业 技 术 学 院 毕业设计 论文 设计 论文 题目 网络安全之校园网络规划及安全 技术 学 号 1502100205 姓 名 代秋霞 院 别 信息工程技术学院 专 业 电子商务 指导教师 安述照 青岛酒店管理职业技术学院教务处制 2018 年 5 月 6 日 目 录 摘要 4 关键词 4 第一章 校园网网络概述 5 1 1 计算机网络的发展与安全现状 5 1 1 1 计算机网络的发展 5 1 1 2 计算机网络安全的现状 6 1 2 校园网络安全简介 6 1 2 1 校园网概念及其问题 6 1 2 2 校园网的发展趋势 7 1 3 校园网的网络构成 7 1 3 1 校园网网络体系结构概述 7 1 3 2 校园网系统功能构成 8 1 3 3 校园应用管理平台 8 1 3 4 校园网的建设目标 8 第二章 校园网的安全隐患 9 2 1 威胁校园网安全的内部因素 9 2 1 1 软硬件自身的漏洞 9 2 1 2 设置上的失误 9 2 1 3 管理漏洞 10 2 2 威胁校园网安全的外部因素 10 2 2 1 网络黑客的入侵 10 2 2 2 计算机病毒的破坏 10 2 3 校园网安全防御与应急关键设备技术 11 第三章 校园网络安全对策分析 12 3 1 校园网络安全策略概述 12 3 1 1 网络安全系统策略的制定 12 3 1 2 校园安全的设计原则 13 3 2 校园网络安全体系结构设计 13 3 2 1 设计校园网络安全体系的原则 13 3 2 2 校园网络安全体系的设计内容 13 3 3 校园网建设需求分析 14 3 3 1 需求分析 14 3 3 2 关键设备 15 3 3 3 校园网络拓扑 15 3 4 解决校园网安全问题的关键技术 15 3 4 1 防火墙部署 16 3 4 2 虚拟专用网 VPN 17 3 4 3 入侵检测 IDS 17 3 4 4 计算机病毒防御 18 3 4 5 漏洞扫描 18 3 4 6 备份与恢复 18 3 4 7 网络管理的安全 19 3 4 8 组网技术 19 3 4 9 网络操作系统 20 3 4 10 INTERNET 接入技术 20 3 4 11 建网方案 21 3 5 校园网的运行 23 3 5 1 校园网的应用 24 3 5 2 校园网的管理 24 参考文献 24 致谢 25 摘要 随着互联网的普及和国内各高校网络建设的不断发展 目前高校大多建立了 校园网 它己经成为高校信息化的重要组成部分 但随着黑客入侵的增多及网络 病毒的泛滥 校园网的安全已成为不容忽视的问题 如何在开放网络的环境中保证 校园网的安全性已经成为十分迫切的问题 本文系统地介绍了网络安全的概念 讨论了校园网目前面临的各种安全威胁 本 文针对校园网的建设目标 列出了应对校园网络安全的关键技术 并结合校园网的 特点详 细 论 述 了 校园网安全防御的实现和措施 包括防火墙的设置 身份认证和数 据加密 入侵检测 物理专用隔离网等等 最后本文分析了实际相关案例 使技术 与实际应用相结合 说明基于校园网网络信息安全的运行模式和过程 关键词 校园网 网络安全 防火墙 入侵检测 网络安全之校园网规划及安全技术 第一章 校园网网络概述 随着网络技术的不断发展 网络安全已成为一个不可忽视的问题 伴随着高校 校园数字化的不断深入校园网安全越来越成为人们关注的焦点之一 本章系统地论 述了计算机网络技术的发展以及当前网络安全所面临的主要问题 校园网的发展状 况 校园网的拓扑结构 功能结构 校园网的建设目标等内容 1 1 计算机网络的发展与安全现状 自 1946 年第一台计算机以来 计算机技术及网络技术得到飞速发展 计算机网 络已成为国民经济的重要支撑 发挥着举足轻重的作用 与此同时 网络安全问题 也成为一个不可忽视的问题 1 1 1 计算机网络的发展 Internet 是以 TCP IP 协议为核心的一种计算机网络体系结构的统称 在计算 机网络技术近 40 年的发展历史中 曾经涌现出各种各样的计算机网络体系结构和技 术 它们努力提供类似于 Internet 的功能和服务 但是都没有像 Internet 能够在 技术上和实践上适应于各种变化 获得今天这样的巨大成功 并且正在对计算机网 络技术的未来发展趋势产生深刻的影响 随着 Internet 规模的不断扩大 新网络技 术的不断出现和网络应用的发展 对 Internet 技术不断提出新的挑战 目前 负责 Internet 技术工作的 Internet 工程任务组织 IETF 正在九个领域开展技术研究 由于网络的规模和应用迅速发展 计算机信息网络技术面临的挑战仍然是十分严峻 的 主要包括以下几个方面 1 网络的可扩展性 原先设计的 TCP 网络技术不能适应 Internet 规模的不断扩大 网络的可扩展性 问题成为重要的技术挑战 例如 网络的地址空间不够大 网络主干网的速度需要大 大提高 采用多个 Internet 主干网后 网络间的连接和路由选择技术 大型分布式网 络目录系统 网络上大量零散信息 包括 WWW 信息的自动发现和检索技术等等 2 网络的安全性 Internet 技术的灵活性和开放性使得它在安全方面存在一些安全漏洞 国际标 准化组织给网络安全的定义为 为数据处理系统建立和采用的技术和管理保护计算 机硬件软件和数据不因偶然和恶意的原因遭到破坏更改和泄露 网络的安全性问 题包括系统安全和网络信息安全两方面的内容 这方面的技术挑战包括 网络和计算 机系统的技术设计漏洞 网络和计算机系统口令的偷窃 协议出错 认证出错 信息泄 漏 防火墙技术 信息传输加密算法和电子签名等等 3 网络服务质量 基于分组交换技术的 TCP IP 协议不能保证网络用户获得所需的网络服务质量 这对于原先的 Internet 网络应用无关紧要 但是对于许多新型的网络应用 却带来麻烦 例如 像 Internet Phone See you See me Video man 等实时的网 络应用希望获得固定的网络带宽 这方面的协议己经在研究之中 4 新的网络应用 新的网络应用对 Internet Intranet 技术的挑战尤为巨大 由此也带来了网络 原始设计与规划所未考虑或考虑不周的问题 1 1 2 计算机网络安全的现状 近三年 全球信息网络安全呈现出一些新特点 主要体现在如下几个方面 网络威胁形式多样 经济利益成为网络攻击的最大驱动力 网络攻击呈现出组 织严密化 行为趋利化 目标直接化的趋势 网络欺骗手段进一步升级 黑客不光 利用电子邮件和网站进行诈骗 具有 网络钓鱼 性质的病毒也开始出现 勒索软 件 网络游戏 网络银行盗号木马等被广泛使用 都充分说明了经济利益已经成为 网络攻击的最大驱动力 网络黑客逐步形成了较为严密的组织 在组织内部分工明 确 从恶意代码的制作 恶意代码的散布到敏感信息的窃取都有专人负责 网络攻击 从最初的技术炫耀转向获取经济利益 网络攻击的针对性和定向性越来越强 针对特 定目标的网络攻击具有更大的威胁和破坏性 信息安全防护形势严峻 网络安全除 以上情况外还包括以下几个方面 1 漏洞数量居高不下 利用漏洞发起攻击仍是互联网最大的安全隐患 安全漏 洞是指在网络系统中硬件 软件 协议和系统安全策略等存在的缺陷和错误 攻击 者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏 2 病毒传播形式多元化 网站 移动存储设备成为病毒传播的新渠道 黑客们 越来越多地通过网站对用户进行攻击 此外 通过移动存储设备传播病毒使很多电 脑用户饱受其害 3 信息新技术应用和组网模式带来新的安全问题 无线射频识别 RFID IPT 的应用 以及传感器网络 ad hoc 等网络通信模式的变化给信息安全带来了一些新 挑战 1 2 校园网络安全简介 随着网络技术的发展和网络应用的普及 校园网在国内高等学校中已经开始普 及 而且随着国内高校的教学发展 高校应用水平的提高 高等学校校园网的整体 水平和层次有了很大的提高 1 2 1 校园网概念及其问题 校园网 的概念是指大 中 小学教育单位的网络 它以应用为目的 基于 Internet Intranet 技术的计算机网络和它的使用者以及相关规章制度的集合 一 个完整的校园网建设要紧紧围绕 路 车 货 驾驶员培训 四大元素来进行 在 这四大元素中 货 是重点 它是校园网建设的核心 这里 路 是指物理网络的搭建 包括四个方面 结构化布线 网络连 通 网络设备的选择 服务器的选择 终端的选择 车 是指系统平台的建设 如教育行政管理平台 教学管理平台 资源库管理平台和校园网通信平台 其中 行政管理和教学平台主要针对教育工作 资源库平台将为这两个平台提供详尽的资 料 货 是指软件 具体是指应用系统 的建设 它根据学校的需求选择一些应 用软件和硬件 一般学校常用的应用系统有多媒体网络教室 多媒体电子阅览室 网络多媒体课件制作系统 校园信息管理系统 视频点播 学校主页等 而 驾驶 员培训 是指为适应现代网络教学的要求而对相关人员进行的培训 这是一个伸缩 性比较大的工作 从人员角度 培训可分为四级 校长的培训 校园管理员的培训 青年骨干教师的培训 全体教师的培训 这些人员在培训之后能够针对学校的具体 特殊的需求或是未来需求而提出切实可行的建议 以便能够更好地进行系统的二次 开发 目前校园网存在的四大问题 缺少关于校园网建设的理论与实践的科学认识 缺乏系统思考和统一规划 盲目地追求硬件建设与一次到位 对教师进行计算机基础应用及网络培训的意义 没有意识或力度不够 对校园网的关键部分资源库的建设相对滞后 1 2 2 校园网发展趋势 随着网络技术的发展和网络应用的普及 校园网在国内高等学校中已经开始普 及 而且随着国内高校的教学发展 高校应用水平的提高 高等学校校园网的整体 水平和层次有了很大的提高 高等学校校园网发展呈现以下趋势 与校园网相关的网络技术 应用技术发展更新的速度加快 新兴的千兆以太网 甚至万兆以太网络 ATM 网络视频等技术已被广泛使用 校园办公服务软件的兴起 把学校教学 校务办公 学校服务等有机地融合进校园网 利用校园网和互联网 发展了远程教育系统 丰富了教学手段 拓展了办学规模 同时 Internet 应用的发 展也拓展了高等教育的研究领域 新兴的 Internet 应用学科蓬勃发展 特别是电子 商务应用系统的发展越来越受到广大高等院校的重视 已经被部分高校编入了教学 范围 1 3 校园网的网络构成 校园网的网络组成可以按照不同的标准来区分 通常可以分为按照网络的拓扑 分为校园网的体系机构以及按网络的功能分为校园网的功能结构 1 3 1 校园网网络体系结构概述 校园网安全策略的制定和实施是以各高校校园网的基础体系结构和网络应用具 体情况为依据和实施基础的 因此在制定各高校的网络安全策略和实施具体 的安全策略之前 透彻分析本校的校园网体系结构 网络拓扑结构 网络的路由 策略 网络的区域划分 IP 及 VLAN 的规划 网络访问策略 各应用系统的功能服 务对象 访问限制等等是非常必要的 其性能直接影响到网络安全策略的实施效果 网络体系结构是关于如何构建网络的技术 它包括两个层次的内涵 一是要标 识出网络系统由哪些部分组成 清晰地描述出各个部分的功能 目的和特点 二是 要描述网络各个组成部分之间的关系 如何将各个部分有机地结合在一起 形成完 整的网络系统 从而保证网络有效地运转 也就是将各个部分进行集成的方式或方 法 根据教育部 教育管理信息化标准 的要求 校园网的总体建设目标包括 校园网基础设施建设是我们数字化校园的基础 它的建设水平和效果直接影 响到我们运行在校园网上的服务 影响到全校的教学 科研甚至影响到师生的日 常生活 校园网的建设包括根据自身的应用需求和特点进行校园网的体系结构的 设计 相关技术设备的选择 网络出口包括带宽的选择 设备之间拓扑关系的确 定 集成 调试 应用建设等关键环节 在这些环节当中也包含着对校园网络安 全的考虑与设计 近年的信息化建设 通过科研需求 教学应用 网络办公 网上娱乐等应用 建设和使用 网络应用逐渐渗透到了校园生活的方方面面 上网备课 接收邮件 网络聊天 游戏购物 校园用户联网的时间一天天延长 教育部科技发展中心公 布的相关数据显示 98 4 的高校教学 科研 行政办公已经全部联入校园网 90 5 高 校的教室已提供了校园网接入环境 74 35 的学校在学生宿舍已经接入网络 校园 网覆盖范围正在逐步地扩大 同时各个高校的网络应用建设也是搞得风风火火 从 原来的只提供部分特殊用户的上网接入 只提供基本的 Web 和 Mail 服务发展到了增 加网络出口 增加带宽 建设各部门和学院的二级站点乃至个人站点 Video 视频 点播系统 IPTV 网络电视系统 各学科知识数据库系统 教学 人事等业务系统 精品课程 网上录播 监控等多种应用系统的建设 现在各高校正制定各自的数字 化校园的规划 新一轮的校园网应用建设和信息系统集成将展开 这对我们的校园 网基础设施建设和网络安全提出了新的挑战 1 3 2 校园网系统功能构成 校园网作为校园网络信息平台应该由一个平台和三个系统构成 即系统管理平 台 校园公共信息系统 校园管理信息及办公自动化系统 校园教 学资源库系统 1 3 3 校园应用管理平台 校园应用系统管理平台是一个可靠性高 安全性好 易管理的操作平台 在此 平台上可轻松的实现用户注册 系统的备份和恢复 用户权限的设置以及资源的调 整 初始化等管理工作 通过使用 Intranet Internet 技术以及先进的 XML 技术和 B S 结构 实现了与 Internet 的无缝连接 校园公共信息系统 Internet 服务系统 主要用于校园公共信息的管理 是学校 师生进行交流的场所 老师和学生通过公共信息系统将大大拓展信息交流的空间 作为大学的信息门户 该系统为全校师生提供校园讨论区 BBS 校园聊天室 校园大事记 通知公告 信息发布等基础信息服务 通过权限设置 实现角色化管 理 年级 班级 兴趣小组等各类角色都可以根据自己定制的需求去查询 发布信 息 校园管理信息系统用于支持学校日常管理的各项工作 用户通过使用人事管理 教育教学管理 后勤管理 教学资源与应用平台 图书馆管理 生活管理 医疗管 理等多个功能子系统可以方便快捷地处理各种复杂数据操作和文字录入 完成各种 校园信息数据的有效管理 校园办公自动化针对校园办公需求不仅实现了便捷保密 的公文管理 档案管理 信息交流 而且使每位老师 每个学生都拥有自己的信箱 教学资源库系统提供一致的资源管理和使用方式 实现简便精确的资源获取与 检索 全面支持教学应用 包括对各类教学软件库 教学网络平台 电子阅览室等 资源的分类 检索和管理 多媒体教学 远程教育等功能 1 3 4 校园网的建设目标 网络安全 Network Security 是抵御内部和外部各种形式的威胁 以确保络的 安全的过程 为了深入彻底地理解什么是网络安全 必须理解网络安全旨在保护的 网络上所面临的威胁 理解一个能够用于阻止这些攻击的主要机制也是非常重要的 通常 在网络上实现最终的安全目标可通过下面的一系列步骤完成 每一都是为了 澄清攻击和阻止攻击的保护方法之间的关系 下面的步骤是在一个站上建立和实现 安全的方法 第 1 步确定要保护的是什么 第 2 步决定尽力保护它免于什么威胁 第 3 步决定威胁的可能性 第 4 步以一种划算的方法实现保护资产的目的 第 5 步不断地检查这些步骤 每当发现一个弱点就进行改进 校园网络系统需要实现以下安全目标 保护网络系统的可用性 保护网络系统服务的连续性 防范网络资源的非法访问及非授权访问 防范入侵者的恶意攻击与破坏 保护信息通过网上传输过程中的机密性 完整性 第 2 章 校园网的安全隐患 校园网在学校的日常活动中发挥着越来越重要的作用 与此同时 校园网的安 全问题也越来越突出 网络病毒 黑客入侵 管理不善等原因使得校园网络面临着 严重的威胁 2 1 威胁校园网安全的内部因素 在校园网面临的威胁当中 内部因素是一个重要的方面 这其中既包括软硬件 自身的缺陷 也包括管理者的管理水平等主观方面的因素 2 1 1 软硬件自身的漏洞 来自硬件系统的安全威胁 一方面是指物理安全 主要是由于网络硬件设备的 放置不合适或者防范措施不得力 使得服务器 工作站 交换机 路由器等网络设 备 光缆和双绞线等网络线路以及 UPS 和电缆线等电源设备遭受自然雷电 水 火 意外事故或人为破坏等等而造成的校园网不能正常使用 另一方面是指设置安全 主要是在设备上进行必要的设置 防止黑客取得硬件设备的远程控制权等等 硬件 系统安全是制订校园网安全整体解决方案时首先应考虑的问题 系统安全漏洞是指系统在设计时没有考虑到的缺陷 特别是操作系统 因为这 些软件一般都比较的复杂 庞大 有时会因为程序员的疏忽或软件设计上的失误而 留下一些漏洞 理论上讲任何一个系统都不同程度地存在着漏洞 因为系统漏洞的 存在 使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷 攻击者对系统漏洞进 行攻击 入侵成功后将获得系统的相应权限 进而盗取重要资料或对系统进行破坏 活动 目前学校的计算机系统绝大多数都是使用 Windows2000 XP 操作系统 而 Windows 操作系统是不太安全的 因为 Windows 操作系统的漏洞比较多 由 Windows 操作系统漏洞引发的不安全问题时有发生 此外 应用系统也不例外 如 IE Office 办公软件 Ms SQL Oracal 等软件也存在安全漏洞 2 1 2 设置上的失误 合理规划配置设施是校园网发挥作用的关键 在校园网规划时 应考虑长远 因为一旦综合布线 设备配置完成再进行调整可能需要再重新设计网络结构 很多 地方需要重新布线 网络设备也需要重新设置 这样既浪费人力 物力 也会影响 到教学 对于一些重要的场所 例如图书馆 电子阅览室 资料室 电脑室 多媒 体制作室 教室 办公室等应多设信息点 同时网络集成公司的技术实力 施工质 量及其五花八门的 解决方案 大多是自吹自擂 并没有通过权威部门的评审 鉴定 致使网络市场处于一种比较混乱的局面 2 1 3 管理漏洞 管理是信息网络安全中最重要的部分 责权不明 管理混乱 安全管理制度不 健全及缺乏可操作性等都可能引起管理安全的风险 主在体现在以下几点 1 内部管理人员或员工把内部网络结构 管理员用户名及口令以及系统的一些 重要信息传播给外人带来信息泄漏风险 2 机房出入管理不严格 使入侵者能够接近重要设备而带来信息安全风险 3 一些心怀不满的内部员工 由于熟悉服务器 小程序 脚本和系统的弱点 进行如复制 删除数据等非法数据操作 造成极大的安全风险 4 当网络出现攻击行为或网络受到其它一些安全威胁时 如内部人员的违规操 作等 无法进行实时的检测 监控 报告与预警 同时 当事故发生后 也无法提 供攻击者攻击行为的追踪线索及破案依据 即缺乏对网络的可控性与可审查性 建立全新网络安全机制 必须深刻理解网络并能提供直接的解决方案 因此 最可行的做法是管理制度和管理解决方案的结合 2 2 威胁校园网安全的外部因素 虽然内部因素威胁着校园网的安全 但是在绝大多情况下 网络病毒 黑客 入侵等外部因素对网络构成很大威胁 2 2 1 网络黑客的入侵 黑 客 一 词 是 由 英 语 Hacker 英 译 出 来 的 是 指 专 门 研 究 发 现 计 算 机 和 网 络 漏 洞 的 计 算 机 爱 好 者 他 们 伴 随 着 计 算 机 和 网 络 的 发 展 而 产 生 成 长 黑 客 对 计 算 机 有 着 狂 热 的 兴 趣 和 执 着 的 追 求 他 们 不 断 地 研 究 计 算 机 和 网 络 知 识 发 现 计 算 机 和 网 络 中 存 在 的 漏 洞 喜 欢 挑 战 高 难 度 的 网 络 系 统 并 从 中 找 到 漏 洞 然 后 向 管 理 员 提 出 解 决 和 修 补 漏 洞 的 方 法 由 于 校 园 网 规 模 巨 大 各 种 设 备 系 统 差 异 有 很 大 差 异 给 管 理 带 来 了 很 大 的 挑 战 同 时 也 成 为 黑 客 攻 击 的 对 象 黑 客 攻 击 已 成 为 校 园 网 安 全 不 可 忽 视 的 一 个 因 素 2 2 2 计算机病毒的破坏 一般来说 计算机网络的基本构成包括网络服务器和网络节点站 包括有盘工 作站 无盘工作站和远程工作站 计算机病毒一般首先通过各种途径进入到有盘 工作站 也就进入网络 然后开始在网上的传播 具体地说 其传播方式有以下几 种 病毒直接从工作站拷贝到服务器中或通过邮件在网内传播 病毒先传染工作站 在工作站内存驻留 等运行网络盘内程序时再传染给服 务器 病毒先传染工作站 在工作站内存驻留 在病毒运行时直接通过映像路径传 染到服务器中 如果远程工作站被病毒侵入 病毒也可以通过数据交换进入网络服务器中一 旦病毒进入文件服务器 就可通过它迅速传染到整个网络的每一个计算机上 2 3 校园网安全防御与应急关键设备技术 1 防火墙及技术 它为网络通信 数据传输提供更有保障的安全性 分为包过滤防火墙 检查每 个 IP 包的字段 如源地址 目标地址 端口等 状态检测防火墙 动态检查 网络连接和包 应用程序代理防火墙 与特定应用程序配合使用 防火墙性能 最大带宽 并发连接数 每秒新增连接数 丢包和延迟 自身安 全性 防火墙产品 Juniper 的 Net Screen Cisco 的 Pix 天融信防火墙 天网防火 墙 2 入侵检测与防御及技术 它能及时发现网络异常行为 并阻止其进一步发展 入侵检测技术包括以下几 种 基于误用检测技术 检测与异常规则相匹配的网络行为 基于异常检测技术 检测偏离了正常规则的网络行为 入侵检测核心技术 模式匹配 基于统计方 法 预测模式生成等 防火墙性能 降低误报率 漏报率 入侵检测产品有 CA 的 Intrusion Detection 启明星辰的天阗 IDS 等 3 防病毒及技术 它能及时发现病毒 并清除 阻止病毒进一步传播 扩散 防病毒核心技术有 特征代码匹配 病毒特征自动发现 启发式搜索等 防病毒产品有 Norton Kaspersky 金山毒霸 瑞星杀毒软件等 4 反垃圾邮件及技术 它能过滤 阻止大量的非正常的电子邮件 反垃圾邮件机理 IP 地址 域名 邮件地址黑白名单方式 基于垃圾邮件行为模式识别模型 Domainkeys 方式 基于 PKI 的方式对邮件发送者进行验证 对邮件信息进行加密保护 对收信人实现防抵赖 机制 基于信头 信体 附件的内容过滤方式 反垃圾邮件产品有 防垃圾邮件网 关 如冠群金辰 的 Kill 赤霄邮件过滤网关 防垃圾邮件防火墙 如 博威特的梭子 鱼垃圾邮件防火墙 5 内容过滤及技术 它能阻止不健康 反动信息的复制 传播 过滤方法有 基于关键字 权重关 键字 基于 URL 的过滤 基于文字内容的深度搜索 一般在防病毒网关 反垃圾邮 件系统中集成 根据本章所提出的校园网所面临的安全威胁 我们除了选取良好的拓扑结构外 一般还要注意安全保密 以防止信息的非授权访问 要注意数据的完整性与精确性 使信息在存储或传输过程中不被破坏 丢失或不被未经授权的恶意或偶然的修改 注意其可用性 使计算机的硬件和软件保持有效的运行 并且系统在发生灾难时能 够快速完全地恢复 要防止侵袭者通过非法途径进入计算机系统 偷盗有用的数据 信息 重点保护系统中容易被攻击的脆弱点 根据目前的技术水平 我们可采取身 份验证 访问控制 加密 防火墙技术 记账 双备份等安全措施来加以防范 在 校园网安全规划时 对于在什么地方应采取什么样的安全措施 事先都必须给予充 分的考虑 以确保校园网的安全 对于这些问题我们将在下一章节予以研究 第 3 章 校园网络安全对策分析 3 1 校园网络安全策略概述 随着网络应用的开展 要建立一个安全的网络体系 首先应花较大的精力制 定周密的网络安全策略 这是最重要的一步 在网络安全的实施中 技术只是手 段 还应该先对网络安全管理有个清晰的概念 然后制定翔实的安全策略 最后 才是选择合适的产品用以具体实施和构建安全系统 要建设一个安全的网络安全体系 必须采取相应的策略 根据实际的需求不 同 采取的策略可能有一些不同之处 但大都包括下述策略 3 1 1 网络安全系统策略的制定 物理安全的目的是保护路由器 交换机 工作站 各种网络服务器 打印机 等硬件实体和通信链路免受自然灾害 人为破坏和搭线窃听攻击 确保网络设备 有一个良好的电磁兼容工作环境 妥善保管备份磁带和文档资料 防止非法人员进入 机房进行破坏活动 采用网络隔离手段可有效减小信息的传播面 从而增加信息的安全性 应根 据业务划分 保密要求等因素的差异将网络进行分段隔离 它可从底层有效地 控制信号传播途径及传播范围 实现更为细化的安全控制体系 将攻击和入侵造 成的威胁限制在较小的子网内 提高网络整体的安全水平 路由器 虚拟局域网 VLAN 防火墙是当前主要的网络分段手段 在经费允许范围内 尽可能选用安全级别较高的网络操作系统及数据库系统 以安全套件加固 TCP IP 各层 如因受客观条件限制 难以对网络操作系统及数据库 系统进行选择 则其他核心软件 如防火墙 入侵检测 网络安全漏洞扫描软件等 应尽可能地选用经国家网络安全权威机构评审通过的优秀国产软件 最小授权原则指网络中账号设置服务配置主机间信任关系配置等应该为网络正 常运行所需的最小限度 关闭网络安全策略中没有定义的网络服务并将用户的权限 配置为策略定义的最小限度 及时删除不必要的账号等措施可以将系统的危险性大 大降低 在网络安全中 除了采用技术措施之外 制定有关规章制度 对于确保网络 安全 可靠地运行将起到十分有效的作用 规章制度作为一项核心内容 应始终 贯穿于系统的安全生命周期 一般来说 安全与方便通常是互相矛盾的 一旦安 全管理与其它管理服务存在冲突的时候 网络安全往往会作出让步 或许正是由 于一个细微的让步 最终导致了整个系统的崩溃 因此 严格执行安全管理制度 是网络可靠运行的重要保障 3 1 2 校园安全的设计原则 校园网覆盖整个校区 在网络性能上应该考虑以下几项要求 数据处理 通信 处理能力强 响应速度快 网络运行的安全性 可靠性高 网络能够容易得进行扩 容 升级和管理 主干网的带宽要高 可以支持多媒体等视频业务的开展和满足数 据流量不断增长的要求 此外 在校园网建设的具体实施中需要注意的设计原则包括 坚持开放型 采用国际标准和通用标准 尽量采用先进 成熟的组网技术 强调实用性 并尽可能达到性能价格比最优 统一规划 分布实施 3 2 校园网络安全体系结构设计 构建安全高效的校园网络是校园网建设的目标之一 校园安全体系结构的建设 是其中的重要一环 安全体系设计的好坏是校园网成败的关键 3 2 1 设计校园网络安全体系的原则 根据网络安全性设计的要求设计网络安全体系时应遵循安全性 可行性 高效 性 可承担性等原则 分别阐述如下 1 安全性 设计网络安全体系的最终目的是为保护信息与网络系统的安全 所 以安全性成为首要目标 要保证体系的安全性 必须保证体系的完备性和可扩展性 2 可行性 设计网络安全体系不能纯粹地从理论角度考虑 再完美的方案 如 果不考虑实际因素 也只能是一些废纸 设计网络安全体系的目的是指导实施 如 果实施的难度太大以至于无法实施 那么网络安全体系本身也就没有了实际价值 3 高效性 构建网络安全体系的目的是能保证系统的正常运行 如果安全影响 了系统的运行 那么就需要进行权衡了 必须在安全和性能之间选择合适的平衡点 网络系统的安全体系包含一些软件和硬件 它们也会占用网络系统的一些资源 因 此 在设计网络安全体系时必须考虑系统资源的开销 要求安全防护系统本身不能 妨碍网络系统的正常运转 4 可承担性 网络安全体系从设计到实施以及安全系统的后期维护 安全培训 等各个方面的工作都要由学校来支持 要为此付出一定的代价和开销 如果我们付 出的代价比从安全体系中获得的利益还要多 那么我们就不该采用这个方案 3 2 2 校园网络安全体系的设计内容 一个完整的安全体系应该包含五个安全层面 分别为数据保密层 应用层 用 户层 系统层和网络层 数据保密层重点关注应用层的数据安全 因而在数据保密 层优先考虑数据加密算法 应用层的重点是网络应用中的存取控制和授权 在用户 层 校园网络安全体系的主要内容包括用户的管理 登录 认证 而系统层侧重与 操作系统的防病毒 入侵检测 审计分析 网络层针对网络底层数据的通讯安全提 出解决方案 3 3 校园网建设需求分析 3 3 1 需求分析 局域网最大的特点就是可以实现资源的最佳利用 如 共享磁盘设备 打印机等 从而可以在组建的局域网内部互相调用文件 并可在任何一台共享打印机上进行打印 当然也可以借助 Wingate 或 Sygate 等软件多机共享一台 Modem 上网 或者通过代 理服务器连上 Internet 享受非一般的速度 网卡根据传输速率可分为 10Mbps 网 卡 ISA 插口或 PCI 插口 100Mbps PCI 插口网卡 10Mbps 100Mbps 自适应网卡 和千兆网卡 目前 10Mbps ISA 插口的网卡仍以其低廉的价格占有市场的一定份额 但由于 10Mbps ISA 插口网卡的网络传输速率低 且占用大量的 CPU 资源 只适应 于那些对速度要求不高的局域网 因此用 100Mbps PCI 插口的网卡或者 10Mbps 100Mbps 自适应网卡 够适应于用户比较多 网上传输的数据量大和需要进 行多媒体信息传输的应用环境 BNC 口是用细同轴电缆作为传输媒介的一种网卡接口 RJ45 是采用双绞线作 为传输媒介的一种网卡接口 RJ45 的接口酷似电话线的接口 但网络线使用的是 8 芯的接头 使用 RJ45 的缺点是架设成本高 但安装和维护较为方便 因此我们一般 使用 RJ45 接口 集线器 HUB 根据微机的数量 利用 HUB 构成星形结构 在工作 站较多的情况下 会因 HUB 的处理速率远远低于通信线路的传输速度 从而造成瓶 颈问题 因此有条件的话可选用交换机 一个 Hub 所组成的域称为冲突域 也就是 说 网络上任何一台计算机在收发数据时 其他所有计算机都能够收到 且这些计算 机不能同时进行数据的收发 否则会发生碰撞 CSMA CD 协议会阻止碰撞 此外 每台接入 Hub 的计算机 都要检测接收到的数据目的地址 以确认是否是收到自己 的通信信息 因此计算机 CPU 占用率高 全网通信效率低 只适用于小型工作组级 别应用 学校校园网是为学校师生提供教学 管理 科研和综合信息服务的宽带多媒体 网络 是学校信息化教学环境的基础设施和实现各项管理的物质基础 是建立远程 教育体系的基本保证 是提高全民素质的重要手段 也是一项灵魂工程 其设计方 案应注意以下原则 实用性校园网设计应能满足学校目前对网络应用的要求 充分实现学校内部管 理 教学和科研的网络化 信息化的要求 使网络的整体性能尽快得到充分的发挥 并且便于掌握 可靠性校园网的系统及网络结构较为复杂 同时在部分子系统中存在较高的技 术性 因此必须保证系统的稳定 可靠和安全运行 具有很高的 MTBF 平均无故障 工作时间 和极低的 MTBR 平均无故障率 提高容错设计 支持故障检测和恢复 可管理性强 统一性在系统的设计过程中 坚持 三统一 即统一规划 统一标准 统一出 口 先进性在系统的开发过程中 既能满足当前院校对网络的应用需求 又可以在 将来需要扩展的时候 能方便地扩展 保护目前的所有投资 设计的配置可以灵活 变通 以便适应客户的其他要求 3 3 2 关键设备 在产品选购之前一定要经过认真的分析 这次参与组网的机构选用美国 Cisco 公司的 Catalyst 6506 作为数据网络系统的内部核心交换机 Catalyst 6506 是大容量 的具有高交换能力的第三层模块化交换机 Catalyst 6506 的交换容量以及端口数量 等技术指标足以满足网络目前的需求 选择 Catalyst 3548 作为外网交换机 可以通 过千兆的光纤链路连接到核心交换机 而所有的用户终端可以通过 10 100M 自适应 通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交换机上 选择 Catalyst 3524 和 Catalyst 3548 作为计算机网络系统的二级汇聚交换机 为终端用户提供 10 100M 到 桌面 选择 Cisco 3662 作为计算机网络系统 DDN ISDN 访问路由器 既可以满足 上级单位 Internet 的 DDN ISDN 接入的需求 又可以满足继续扩展的需求 同时 Cisco 3662 作为计算机网络系统的拨号服务器 提供分支机构的拨号接入 网络核心层 用一台 Cisco 的高端三层交换机 Catalyst 6506 作为整个交换系统 的核心 由网络中心网络管理员统一调度 从而使计算机网络系统成为一个具有整 合的千兆以太网主干并具备第三层交换功能的综合网络通信平台 其中配置两个电 源同时供电 彼此分担负荷并互为备份 一块 WS X6K S1A MSFC2 交换引擎是交 换机的心脏 它控制交换机的寻址 数据转发 模块控制等 Catalyst6506 交换机 引擎卡上的 MSFC2 Multilayer Switching Feature Card 卡具有极强的三层交换能力 利用 Cisco 特有的 Netflow 技术 完全满足核心线性三层交换的能力 另一块 WS X6408 GBIC 的 8 端口千兆以太光纤模块将所有的汇聚层设备 接入层设备 网管 工作站及网络应用服务器都直接连入到核心层设备上去 汇聚层 在分配线间分别设立 Cisco Catalyst 3524 和 Catalyst 3548 作为计算机网 络系统汇聚层设备 汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备 Catalyst 6506 上去 终端用户可以通过超 5 类 UTP 线缆连接到各层交换机中去 可 以实现 10 100M 的自适应通道连接到局域网中去 接入层 在网络接入层中我们选用了一台 Cisco 3660 路由器作为广域互连和外 部用户拨号访问网关 其中主要采用了两种接入方式分别实现各自功能 1 ADSL 接入方式 2 FTTX LAN 接入方式 3 3 3 校园网网络拓扑结构 根据校园网的需求分析及建设目标 设计方案采用交换式千兆以太网作为主干 百兆交换到桌面 网络拓扑采用星型树结构 网络中心的交换机使用堆叠方式连接 3 4 解决校园网安全问题的关键技术 解决校园网安全问题的关键技术包括防火墙 虚拟专用网 入侵检测 病毒防 御 备份与恢复 漏洞扫描等 3 4 1 防火墙部署 防火墙指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统 它 对网络之间传输的数据包依照一定的安全策略进行检查 以决定通信是否被允许 对外屏蔽内部网的信息 结构和运行状况 并提供单一的安全和审计的安装控制点 从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的 防火墙根据功能可以分成个人防火墙和网络防火墙 根据实现方法可以分成 硬件防火墙和软件防火墙 根据结构可以分成包过滤 packet filtering 状态检 测 State inspection 应用层代理 即 application proxies 内容过滤 状态包 过滤 content filtering state packet filtering 防火墙 防火墙结构如图 3 1 所示 图 3 1 典型防火墙结构 网络防火墙用以保护企业网络等较大的复杂网络 以处理更多的用户 软件防 火墙和硬件防火墙是个相对概念 基本上 所有的防火墙都需要软件的处理部分 硬件防火墙指的是将防火墙软件和特定硬件平台集成在一起的应用 软件防火墙则 是指对底层硬件没有特殊要求 可以安装在 Windows Unix 系统直接使用的防火墙 根据防火墙的工作原理所有的防火墙从体系结构上都可以分为数据获取 应用 处理和数据传输三大部分 通常情况下 数据获取和数据传输是由软 硬件两部分 共同实现的 其中 硬件部分一般是防火墙设备的网络接口设备 数据获取的软件部 分是负责将硬件获取的网络通讯信息从网络接口设备的缓冲区传送到操作系统缓冲 区进行处理的软件代码 数据传输的软件部分则是执行与数据获取相反的工作的软 件代码 这些代码主要作用是将防火墙需要发送的数据包从操作系统缓冲区中传送 到相应的网络接口设备并传送出去 防火墙将接收到的数据包传送给应用功能模块 进行相应的处理 不同的防火墙可能具有不同的应用功能 这些功能可能是包过滤 状态检测 内容过滤 加密 NAT IDS VPN 各种代理服务等等 3 3 2 虚拟专用网 VPN 虚拟专用网不是真的专用网络 但却能够实现专用网络的功能 虚拟专用网指 的是依靠 ISP Internet 服务提供商 和其它 NSP 网络服务提供商 在公用网络中 建立专用的数据通信网络的技术 在虚拟专用网中 任意两个节点之间的连接并没 有传统专网所需的端到端的物理链路 而是利用某种公众网的资源动态组成的 VPN 分为三种类型 远程访问虚拟网 Access VPN 企业内部虚拟网 Intranet VPN 和企业扩展虚拟网 Extranet VPN 这三种类型的 VPN 分别与传统的远程访问 网络 企业内部的 Intranet 以及企业网和相关合作伙伴的企业网所构成的 Extranet 相对应 3 3 3 入侵检测 IDS 为进一步保护网络的安全性 需应用入侵检测技术 对网络入侵进行实时检 测 即对网络活动和系统事件进行实时监控 实时入侵检测强调时间性 是连续 不间断地监控 检测 响应 防护循环过程 实时入侵检测必须实时执行 计算机信息网络设置了防火墙后可以解决多数网络安全问题 但是防火墙不是 万能的 不能提供实时的入侵检测能力 有些攻击行为仅仅依靠防火墙是不能防范 的 比如如果攻击行为从内部网络上发起 那么对主机的访问就不需要通过防火墙 防火墙也就不能对主机进行保护了 一个简单的入侵检测系统 如图 3 2 所示 图 3 2 简单 IDS 系统 入侵监测的功能通过执行以下任务来实现 监视 分析用户及系统活动 系统构 造和弱点的审计 识别反映已知进攻的活动模式并向相关人士报警 异常行为模式的 统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理 并识别用 户违反安全策略的行为 防火墙与入侵检测这两种技术具有较强的互补性 目前 实现入侵检测和防 火墙之间的联动有两种方式可以实现 一种是实现紧密结合 即把入侵检测系统嵌 入到防火墙中 即入侵检测系统的数据来源不再来自于抓包 而是流经防火墙的数 据流 所有通过的数据包不仅要接受防火墙检测规则的验证 还需要经过入侵检测 判断是否具有攻击性 以达到真正的实时阻断 这实际上是把两个产品合成一体 但是 由于入侵检测系统本身也是一个很庞大的系统 所以无论从实施难度 合成 后的性能等方面都会因此受到很大影响 所以 目前还没有厂商做到这一步 仍处 于理论研究阶段 但是不容否认 各个安全产品的紧密结合是一种趋势 第二种方 式是通过开放接口来实现联动 即防火墙或者入侵检测系统开放一个接口供对方调 用 按照一定的协议进行通讯 警报和传输 目前开放协议的常见形式有 安全厂家 提供 IDS 的开放接口 为各个防火墙厂商使用 以实现互动 这种方式比较灵活 不影响防火墙和入侵检测系统的性能 3 3 4 计算机病毒防御 计算机病毒是指编制或者在计算程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能够自我复制或者在计算程序中插入的破坏计算机功能 或者毁坏数据 影响计算机使用 并能够自我复制的一组计算机指令或者程序代 码 随着因特网技术的发展 这一计算机病毒的定义也在进一步扩大化 一些带有 恶意性质的特洛伊木马程序 黑客程序和蠕虫程序等从广义角度也被归入计算机病 毒的范畴 从发展的角度来看 计算机病毒属于恶意代码的一种 恶意代码 malicious code 是一种程序 它可以表述为人为编制的 干扰计算机正常运行并造成计算机软 硬件故障 甚至破坏数据的计算机程序或指令集合都认为是恶意代码 恶意代码通 过把代码在不被察觉的情况下镶嵌到另一段程序中 从而达到破坏被感染电脑数据 运行具有入侵性或破坏性的程序 破坏被感染电脑数据的安全性和完整性的目的 恶意软件的传染结果包括浪费资源 破坏系统 破坏一致性 数据丢失和被窃并能 让客户端的用户失去信心 按传播方式分类 恶意代码可以分成几类 病毒 木马 蠕虫 间谍软件及 移动代码等 多种复合攻击技术的使用已经使得安全防护不仅仅是针对互联网早期 某种病毒防护那么简单 而计算机病毒的防御是一个系统工程 内容涉及防病毒软 件 补丁升级 以及合理的安全管理规范等方面 3 3 5 漏洞扫描 计算机漏洞是系统的一组特性 恶意的主体 攻击者或者攻击程序能够利用这组 特性 通过已授权的手段和方式获取对资源的未授权访问 或者对系统造成损害 这里的漏洞既包括单个计算机系统的脆弱性 也包括计算机网络系统的漏洞 当系 统的某个漏洞被入侵者渗透 exploit 而造成泄密时 其结果就称为一次安全事件 Security Incident 漏洞扫描其基本原理是采用模拟黑客攻击的方式对目标可能存在的己知漏洞进 行逐项检测 以便对工作站 服务器等各种对象进行安全漏洞检测 网络漏洞扫描 在保障网络安全方面起到越来越重要的作用 借助网络漏洞扫描 安全管理人员可 以发现网络和主机存在的对外开放的端口 提供的服务某些系统信息 错误的配置 已知的安全漏洞等 面对互联网入侵 如果根据具体的应用环境 尽可能早地通过 网络扫描来发现安全漏洞 并及时采取适当的处理措施进行修补 就可以有效地阻 止入侵事件的发生 3 3 6 备份与恢复 建立完整的网络数据备份系统必须实现以下内容 计算机网络数据备份的自动 化 以减少系统管理员的工作量 使数据备份工作制度化 科学化 网络安全技术 及其在校园网中的应用与研究 对介质管理的有效化 防止读写操作的错误 对数 据形成分门别类的介质存储 使数据的保存更细致 科学 自动介质的清洗轮转 提高介质的安全性和使用寿命 以备份服务器形成备份中心 对各种平台的应用系 统及其他信息数据进行集中的备份 系统管理员可以在任意一台工作站上管理 监 控 配置备份系统 实现分布处理 集中管理的特点 维护人员可以容易地恢复损 坏的整个文件系统和各类数据 备份系统还应考虑网络带宽对备份性能的影响 备 份服务器的平台选择及安全性 备份系统容量的适度冗余 备份系统良好的扩展性 等因素 3 3 7 网络管理的安全 安全管理是保证网络安全的基础 安全技术是配合安全管理的辅助措施 我建 立了一套校园网络安全管理模式 制定了详细的安全管理制度 如机房管理制度 病毒防范制度等 并采取切实有效的措施 保证了制度的执行 3 3 8 组网技术 组网技术就是在有了网络的设计方案和各种网络设备之后 怎样把不同的网络 设备按设计方案的要求连接起来所用到的各种技术 组网络技术在整个网络的建设 过程中是最重要的阶段之一 它直接关系到建设出来的网络系统能否达到设计要求 能不能投入使用这样严重的问题 如在组网中有不按规范和标准来施工的话 建出 的网络系统的质量是达不到设计要求 是不能满足用户需求的 组网技术主要包括 布线系统 Internet 接入技术 防火墙等 1 布线系统设计 结构化布线系统的组成 网络系统的正常运行主要取决于网络设备和网络线路 对于网络系统来说 采用结构化布线系统能够很好地满足需求 特别是从计算机网 络系统可靠运行的角度来说 布线系统的可靠性决定了网络系统通信信道的可靠性 它是计算机网络系统可靠运行的前提 整个布线系统主要包含光纤布线和室内综合 布线系统 布线系统的主要是依据建筑物的分布图 国际商务建筑线缆标准 TIA ELA 586A 和 建筑与建筑物综合布线系统工程设计规范 来设计的 使用结构化布线 工程设计的布线系统具有实用性 灵活性 可扩充性以及真正的开放性 一次性布 线 可保证在十五到二十年之内 其系统性能不会下降 功能也不会落后 真正达 到一次投资 长期受益 建成后的结构化布线系统将具有满足多种计算机网络系统 10 100 1000M Switch FDDI ATM 对线路的要求 不仅能实现计算机端口的灵 活配置 而且方便计算机网络的平滑升级和扩充 光纤布线主要是用在建筑物之间或楼层之间 这些建筑的距离一般都比较远 超出了双绞线的连接距离 具体情况要看信息点的分布和数量以及对网络带宽的要 求来决定 室内布线采用 5 类 超 5 类 非屏蔽双绞线进行布线 整个布线工程分 为工作区子系统 水平子系统 垂直子系统 建筑子系统和管理子系统来施工的 工作区子系统由终端设备连接到信息插座的连线和信息插座所组成 通过插座 即可以引出电话也可以连接数据终端 在 RJ 45 插座内不仅可以插入数据通信通用 的 RJ 45 接头 也可以插入电话机专用的 RJ 45 插头 水平子系统是将楼层配线间路延伸到用户工作区 并连向各个信息插座 线缆 由配线间进入房间后 可走天花板或桥架 以走暗线的原则走线 电缆桥架应高出地 面 2 2 米以上 桥架顶部距顶棚或其他障碍物不应小于 0 3m 桥架宽度不宜小于 0 10m 桥架内横断面的填充率应小于 50 结构化系统的布线是放射型的 线缆量 较大 所以线槽量的计算是很重要的 按照标准的线槽设计方法 应根据水平线的 外径来确定线槽的容量 即 线槽的横截面积 水平线截面积之和 3 垂直主干子系统用于连接楼层配线室 垂直干缆系统的安装主要是由一连串通 过地板对准配线间的垂直竖井组成的 可以连接搂层间的配线室 垂直子系统的连 接可用多根双绞线形成集束穿过竖井进入水平子系统 外用线槽以保护和固定 建筑子系统是在各栋建筑物之间的相互连接 组成一个较大的建筑群综合布线 系统 这一部分布线系统可以采用架空电缆 直埋电缆或地下管道内穿电缆 或者 是这三者的任何组合 具体使用看施工现场而定 建筑子系统一般都采用光纤进行 连接 管理子系统设置在配线设备和机房内 管理子系统由配线间 输入 输出 I O 设备等组成 管理子系统提供了与其他子系统连接手段 整个综合布线系统 及其连接的设备 器件等构成一个有机的整体 管理子系统内有部分主干布线和部 分水平线的机械终端 为无源或有源或用于两个系统连接的设备提供设施 2 布线系统的测试 在结构化布线完工后 必须对整个系统进行测试后才能投入使用 以保证系统 能达到设计要求 测试主要依据 TIA EIA 568A 以及 建筑及建筑群结构化布线系统 工程验收规范 来进行 测试内空包括线缆的长度 接线图 信号衰减 近端串扰 信噪比等 其中最重要的技术指标是衰减端串扰 它直接影响着双绞线的传输性能 3 4 9 网络操作系统 网络操作系统 NOS Network Operating System 是在计算机操作系统的基础 上 加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议 是使 网络上各计算机能够方便有效地共享网络资源 为网络用户提供所需的各种服务软 件和规程的集合 目前主要的网络操作系统有 NetWare Unix Linix 和 Windows NT 2003 在校园网中一般情况下都用 Windows NT 2003 网络操作系统 因为它是图 形化的操作界面 使用简单 安全可靠 以及和普及率很高 Windows 系列单机操作 系统的兼容性很好 3 4 10 Internet 接入技术 如果校园网不能和 Internet 连接的话 就不能是一个完整的网络 也不能充分 利用 Internet 网上的大量信息资源 因此校园网和 Internet 的连接技术就显得十 分重要了 它关系到校园网与外部网络能能否进行可靠