【正文】 鑰體系非對(duì)稱加密技術(shù)將加密和解密分開并采用一對(duì)不同的密鑰進(jìn)行。加密算法可以公開，而密鑰只能由通信雙方來(lái)掌握。在公開密鑰加密方法中，密鑰越大密文就越安全。如果加密密鑰和解密密鑰不相同，則稱為非對(duì)稱密碼體制，密鑰可以看作是密碼算法中的可變參數(shù)。解密是指把密文還原成明文的過(guò)程。目前開放協(xié)議的常見(jiàn)形式有:安全廠家提供IDS的開放接口，供各個(gè)防火墻廠商使用，以實(shí)現(xiàn)互動(dòng)。但是，由于入侵檢測(cè)系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng)，所以無(wú)論從實(shí)施難度、合成后的性能等方面都會(huì)因此受到很大影響。多代理系統(tǒng)所具有的這些優(yōu)點(diǎn)使之能較好地解決常規(guī)入侵檢測(cè)系統(tǒng)的缺陷。同時(shí)，代理可以與其它代理和中心服務(wù)器進(jìn)行有限的交互，交換數(shù)據(jù)和控制信息。它具有自適應(yīng)性、智能性和協(xié)作性。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點(diǎn)。從功能實(shí)現(xiàn)的角度可以把這個(gè)系統(tǒng)劃分為三大模塊：信息收集模塊、信息處理與通訊模塊、入侵判斷與反應(yīng)模塊。入侵檢測(cè)就是通過(guò)對(duì)系統(tǒng)數(shù)據(jù)的分析、發(fā)現(xiàn)非授權(quán)的網(wǎng)絡(luò)訪問(wèn)和攻擊行為，然后采取報(bào)警、切斷入侵線路等對(duì)抗措施。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助，而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。常用的具體方法有：基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析、誤用入侵檢測(cè)方法、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。（二）誤用檢測(cè) 又稱為基于知識(shí)的檢測(cè)。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。常用的具體方法有：統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等。異常檢測(cè)又稱為基于行為的檢測(cè)。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。圖33 入侵檢測(cè)系統(tǒng)組成入侵檢測(cè)所利用的信息一般來(lái)自以下四個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。（3）狀態(tài)檢測(cè)技術(shù)此技術(shù)工作在IP/TCP/應(yīng)用層，它結(jié)合了分組過(guò)濾和代理服務(wù)技術(shù)的特點(diǎn)，它同分組過(guò)濾一樣，在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，分析高層的協(xié)議數(shù)據(jù)，查看內(nèi)容是否符合網(wǎng)絡(luò)安全策略。前者的過(guò)濾，即根據(jù)制定的安全規(guī)則，過(guò)濾掉具有特定IP地址的數(shù)據(jù)分組，從而保護(hù)內(nèi)部網(wǎng)絡(luò)；后者則是為分組過(guò)濾提供了更大的靈活性。圖31 防火墻的邏輯示意圖防火墻根據(jù)功能實(shí)現(xiàn)在TCP/IP網(wǎng)絡(luò)模型中的層次，其實(shí)現(xiàn)原理可以分為三類：在網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻功能為分組過(guò)濾技術(shù)；在應(yīng)用層實(shí)現(xiàn)防火墻功能為代理服務(wù)技術(shù)；在網(wǎng)絡(luò)層，IP層，應(yīng)用層三層實(shí)現(xiàn)防火墻為狀態(tài)檢測(cè)技術(shù)。（5）支持具有因特網(wǎng)服務(wù)性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。而它的核心思想是在不安全的因特網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境，其目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受另一個(gè)網(wǎng)絡(luò)的攻擊，所以防火墻又有以下作用：（1）作為網(wǎng)絡(luò)安全的屏障。 防火墻技術(shù)隨著網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重，網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品也被人們逐漸重視起來(lái)，防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)安全技術(shù)和使用量最大的網(wǎng)絡(luò)安全產(chǎn)品，受到用戶和研發(fā)機(jī)構(gòu)的親睞。（1）訪問(wèn)監(jiān)控模型：是按TCB要求設(shè)計(jì)的，受保護(hù)的客體要么允許訪問(wèn)，要么不允許訪問(wèn)。所有的安裝操作都必須由系統(tǒng)管理員進(jìn)行；系統(tǒng)管理員進(jìn)行的每一步安裝操作都必須有正式文檔。A1類與B3類相似，對(duì)系統(tǒng)的結(jié)構(gòu)和策略不作特別要求。B3系統(tǒng)必須設(shè)有安全管理員。另外，B2系統(tǒng)的管理員必須使用一個(gè)明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制。B類系統(tǒng)具有強(qiáng)制性保護(hù)功能。C2系統(tǒng)比C1系統(tǒng)加強(qiáng)了可調(diào)的審慎控制。(2)C類安全等級(jí)：該類安全等級(jí)能夠提供審慎的保護(hù)，并為用戶的行動(dòng)和責(zé)任提供審計(jì)能力。其中D級(jí)是沒(méi)有安全機(jī)制的級(jí)別，A1級(jí)是難以達(dá)到的安全級(jí)別，如表31所示：表31網(wǎng)絡(luò)安全等級(jí)及安全級(jí)別的性能要求安全級(jí)別名稱說(shuō)明D1 酌情安全保護(hù) 對(duì)硬件和操作系統(tǒng)幾乎無(wú)保護(hù)，對(duì)信息的訪問(wèn)無(wú)控制C1 自選安全保護(hù) 由用戶注冊(cè)名和口令的組合來(lái)確定用戶對(duì)信息的訪問(wèn)權(quán)限B1 被標(biāo)簽的安全性保護(hù) 為強(qiáng)制性訪問(wèn)控制，不允許文件的擁有者改變其許可權(quán)限B2 結(jié)構(gòu)化保護(hù) 要求對(duì)計(jì)算機(jī)中所有信息加以標(biāo)簽，并且對(duì)設(shè)備分配單個(gè)或多個(gè)安全級(jí)別B3 安全域保護(hù) 使用安全硬件的方法來(lái)加強(qiáng)域的管理終端與系統(tǒng)的連接途徑可信任A 核實(shí)保護(hù) 系統(tǒng)不同來(lái)源必須有安全措施必須在銷售過(guò)程中實(shí)施下面對(duì)下各個(gè)安全級(jí)別進(jìn)行介紹：(1)D類安全等級(jí)：D類安全等級(jí)只包括D1一個(gè)級(jí)別。保證網(wǎng)絡(luò)安全還需嚴(yán)格的手段，未來(lái)網(wǎng)絡(luò)安全領(lǐng)域可能發(fā)生三件事，其一是向更高級(jí)別的認(rèn)證轉(zhuǎn)移；其二，目前存儲(chǔ)在用戶計(jì)算機(jī)上的復(fù)雜數(shù)據(jù)將“向上移動(dòng)”，由與銀行相似的機(jī)構(gòu)確保它們的安全；第三，是在全世界的國(guó)家和地區(qū)建立與駕照相似的制度，它們?cè)谟?jì)算機(jī)銷售時(shí)限制計(jì)算機(jī)的運(yùn)算能力，或要求用戶演示在自己的計(jì)算機(jī)受到攻擊時(shí)抵御攻擊的能力。（4）安全算法實(shí)現(xiàn)：具體算法的實(shí)現(xiàn)，如PES、RSA.（5）安全策略數(shù)據(jù)庫(kù)：保存與具體建立的安全策略有關(guān)的狀態(tài)、變量、指針。（2）密銀管理。（5）不可否認(rèn)性；也稱不可抵賴性，即防止對(duì)數(shù)據(jù)操作的否認(rèn)。根據(jù)用戶對(duì)安全的需求才可以采用以下的保護(hù)：（1）身份認(rèn)證；檢驗(yàn)用戶的身份是否合法、防止身份冒充、及對(duì)用戶實(shí)施訪問(wèn)控制數(shù)據(jù)完整性鑒別、防止數(shù)據(jù)被偽造、修改和刪除。這兩種情況中，數(shù)據(jù)項(xiàng)的大小有很大的變化，數(shù)據(jù)權(quán)力命名也可以帶自己的ACL。 網(wǎng)絡(luò)安全管理機(jī)制網(wǎng)絡(luò)信息安全不僅僅是技術(shù)問(wèn)題，更是一個(gè)管理問(wèn)題，要解決網(wǎng)絡(luò)信息安全問(wèn)題，必須制定正確的目標(biāo)策略，設(shè)計(jì)可行的技術(shù)方案，確定合理的資金技術(shù)，采取相應(yīng)的管理措施和依據(jù)相關(guān)法律制度。 （4）完整性保證。 （2）認(rèn)證和授權(quán)。 以上可以看出：在網(wǎng)絡(luò)中，維護(hù)信息載體和信息自身的安全都包括了機(jī)密性、完整性、可用性這些重要的屬性 網(wǎng)絡(luò)安全機(jī)制 網(wǎng)絡(luò)安全機(jī)制是保護(hù)網(wǎng)絡(luò)信息安全所采用的措施，所有的安全機(jī)制都是針對(duì)某些潛在的安全威脅而設(shè)計(jì)的，可以根據(jù)實(shí)際情況單獨(dú)或組合使用。本質(zhì)上是保護(hù)用戶的利益和隱私。（1）運(yùn)行系統(tǒng)安全：即保證信息處理和傳輸系統(tǒng)的安全，包括計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境和傳輸環(huán)境的法律保護(hù)、計(jì)算機(jī)結(jié)構(gòu)設(shè)計(jì)的安全性考慮、硬件系統(tǒng)的安全運(yùn)行、計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件的安全、數(shù)據(jù)庫(kù)系統(tǒng)的安全、電磁信息泄露的防御等。本文針對(duì)目前網(wǎng)絡(luò)安全存在的威脅，利用計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)知識(shí)對(duì)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行系統(tǒng)地研究，并在此基礎(chǔ)上總結(jié)校園網(wǎng)存在的安全問(wèn)題，通過(guò)安全系統(tǒng)需求，進(jìn)行深入研究，找出存在的威脅，結(jié)合網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)攻防技術(shù)提出解決方案及措施第二章 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全從其本質(zhì)來(lái)講就是網(wǎng)絡(luò)上信息安全，它涉及的領(lǐng)域相當(dāng)廣泛，這是因?yàn)槟壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各式各樣的安全漏洞和威脅。除此之外，校園網(wǎng)還面對(duì)形形色色、良莠不分的網(wǎng)絡(luò)資源，如不進(jìn)行識(shí)別和過(guò)濾，那么會(huì)造成大量非法內(nèi)容或郵件出入，占用大量流量資源，造成流量堵塞、上網(wǎng)速度慢等問(wèn)題。(2)冒充合法用戶；即利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。(3)目前關(guān)于網(wǎng)絡(luò)犯罪的法律、法規(guī)還不健全。據(jù)了解，從1997年底到現(xiàn)在，我國(guó)的政府部門、證券公司、銀行、ISP, ICP等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。(5)黑客：對(duì)于計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)方面是來(lái)自電腦黑客(backer)。(3)安全意識(shí)不強(qiáng)：用戶口令選擇不慎，或?qū)⒆约旱膸ぬ?hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。這就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地，一旦連接入網(wǎng)，將成為眾矢之的。 (4)最近一次黑客大規(guī)模的攻擊行動(dòng)中，雅虎網(wǎng)站的網(wǎng)絡(luò)停止運(yùn)行3小時(shí)，這令它損失了幾百萬(wàn)美金的交易。因此，黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。比如說(shuō)現(xiàn)在很多程序都存在內(nèi)存溢出的BUG，現(xiàn)有的安全工具對(duì)于利用這些BUG的攻擊幾乎無(wú)法防范。(4) BUG難以防范。雖然在這方面，可以通過(guò)靜態(tài)掃描工具來(lái)檢測(cè)系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對(duì)具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。因此，對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺(jué)和防范的。為了解決這些安全問(wèn)題，各種安全機(jī)制、策略、管理和技術(shù)被研究和應(yīng)用。關(guān)鍵詞：網(wǎng)絡(luò)安全，安全防范，校園網(wǎng) ABSTRACTIn this paper, a variety of puter network security threats faced by the system to introduce the network security technology. And for the safety of the campus network to study, first of all an analysis of the safety of colleges and universities hidden network and then build a security defense system and strengthen the security management of both the design of the campus network security policy. The research paper, I first learned about the major issues of network security threats and take advantage of network security knowledge to analyze the security issues. Secondly, through the network technology, will e to campus network is faced with security threats. Finally, P2DR model established with the idea to create a campus network security defense system.. And e to build an effective network security defense system to address major threats to the campus network and the hidden ways and measures necessary.Key words: Network Security, Safety Precautions, Campus Network 第一章 前言隨著計(jì)算機(jī)技術(shù)的發(fā)展，在計(jì)算機(jī)上處理業(yè)務(wù)已由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡(jiǎn)單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。本次論文研究中，我首先了解了網(wǎng)絡(luò)安全問(wèn)題的主要威脅因素，并利用網(wǎng)絡(luò)安全知識(shí)對(duì)安全問(wèn)題進(jìn)行剖析。3) 要理論聯(lián)系實(shí)際、以實(shí)事求是、勇于探索、不斷創(chuàng)新的科學(xué)態(tài)度對(duì)待畢業(yè)設(shè)計(jì)。最后，確立了用P2DR模型的思想來(lái)建立校園網(wǎng)的安全防御體系。 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院專升本畢業(yè)設(shè)計(jì)(論文) 題目校園網(wǎng)絡(luò)安全問(wèn)題及對(duì)策研究學(xué)生姓名學(xué)號(hào)所學(xué)專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)指導(dǎo)老師 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院專升本畢業(yè)論文（設(shè)計(jì)）任 務(wù) 書論文設(shè)計(jì)題目：　校園網(wǎng)絡(luò)安全問(wèn)題及對(duì)策研究指導(dǎo)教師：職稱：副教授類別：畢業(yè)設(shè)計(jì)學(xué)生： 學(xué)號(hào)：論文(設(shè)計(jì))類型：應(yīng)用型專業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)班級(jí)：2008級(jí)是否隸屬于科研項(xiàng)目：否（設(shè)計(jì)）的主要任務(wù)及目標(biāo)1) 網(wǎng)絡(luò)安全發(fā)展歷史與現(xiàn)狀分析2) 網(wǎng)絡(luò)安全概述3) 網(wǎng)絡(luò)安全問(wèn)題解決對(duì)策4) 網(wǎng)絡(luò)安全防范5) 校園網(wǎng)絡(luò)安全體系（設(shè)計(jì)）的主要內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)面臨的各種安全威脅，系統(tǒng)地介紹網(wǎng)絡(luò)安全技術(shù)。其次，通過(guò)對(duì)網(wǎng)絡(luò)技術(shù)的研究，得出校園網(wǎng)也會(huì)面臨著安全上的威脅。2) 以認(rèn)真負(fù)責(zé)的態(tài)度，嚴(yán)格按照畢業(yè)設(shè)計(jì)的內(nèi)容要求和進(jìn)度安排開展畢業(yè)設(shè)計(jì)工作。并針對(duì)校園網(wǎng)絡(luò)的安全問(wèn)題進(jìn)行研究，首先分析了高校網(wǎng)絡(luò)系統(tǒng)安全的隱患，然后從構(gòu)建安全防御體系和加強(qiáng)安全管理兩方面設(shè)計(jì)了校園網(wǎng)絡(luò)的安全策略。并得出了構(gòu)建一套有效的網(wǎng)絡(luò)安全防御體系是解決校園網(wǎng)主要威脅和隱患的必要途徑和措施。主要表現(xiàn)在以下方面： （一）網(wǎng)絡(luò)的開放性帶來(lái)的安全問(wèn)題Internet的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問(wèn)題。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)，防火墻往往是無(wú)能為力的。例如，Windows NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級(jí)的安全性，但很少有人能夠?qū)indows NT本身的安全策略進(jìn)行合理的設(shè)置。對(duì)于這類入侵行為，防火墻是無(wú)法發(fā)覺(jué)的，因?yàn)閷?duì)于防火墻來(lái)說(shuō)，該入侵行為的訪問(wèn)過(guò)程和正常的WEB訪問(wèn)是相似的，唯一區(qū)別是入侵訪問(wèn)在請(qǐng)求鏈接中多加了一個(gè)后綴。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無(wú)據(jù)可查。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問(wèn)題時(shí)，其他的安全問(wèn)題又出現(xiàn)了。 (3) Ernst和Young報(bào)告，由于信息安全被竊或?yàn)E用，幾乎80%的大型企業(yè)遭受損失。（三）網(wǎng)絡(luò)安全的主要威脅因素(1)軟件漏洞：每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無(wú)缺陷和漏洞的。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。因此，提高對(duì)病毒的防范刻不容緩。因特網(wǎng)在我國(guó)的迅速普及，我國(guó)境內(nèi)信息系統(tǒng)的攻擊事件也正在呈現(xiàn)快速增