【正文】 從技術(shù)角度來講，計(jì)算機(jī)網(wǎng)絡(luò)安全又取決于網(wǎng)絡(luò)設(shè)備的硬件與軟件兩個(gè)方面，網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合才能較好地實(shí)現(xiàn)網(wǎng)絡(luò)安全。借助網(wǎng)絡(luò)漏洞掃描，安全管理人員可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)存在的對外開放的端口、提供的服務(wù)某些系統(tǒng)信息、錯(cuò)誤的配置、已知的安全漏洞等。 按傳播方式分類，惡意代碼可以分成幾類 :病毒，木馬，蠕蟲，間諜軟件 及 移動(dòng)代碼等。但是不容否認(rèn)，各個(gè)安全產(chǎn)品的緊密結(jié)合是一種趨勢。異常行為模式的統(tǒng)計(jì)分析 。 入侵檢測 (IDS) 為進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全性，需應(yīng)用入侵檢測技術(shù)，對網(wǎng)絡(luò)入侵進(jìn) 行實(shí)時(shí)檢 測，即對網(wǎng)絡(luò)活動(dòng)和系統(tǒng)事件進(jìn)行實(shí)時(shí)監(jiān)控。數(shù)據(jù)獲取的軟件部分是負(fù)責(zé)將硬件獲取的網(wǎng)絡(luò)通訊信息從網(wǎng)絡(luò)接口設(shè)備的緩沖區(qū)傳送到操作系統(tǒng)緩沖區(qū)進(jìn)行處理的軟件代碼，數(shù)據(jù)傳輸?shù)能浖糠謩t是執(zhí)行與數(shù)據(jù)獲取 相反的工作的軟件代碼，這些代碼主要作用是將防火墻需要發(fā)送的數(shù)據(jù)包從操作 系統(tǒng)緩沖區(qū)中傳送到相應(yīng)的網(wǎng)絡(luò)接口設(shè)備并傳送出去。 防火墻根據(jù)功能可以分成個(gè)人防火墻和網(wǎng)絡(luò)防火墻，根據(jù) 實(shí)現(xiàn)方法可以分成 硬件防火墻和軟件防火墻，根據(jù)結(jié)構(gòu)可以分成包過濾 (packet filtering)、狀態(tài)檢測(State inspection)、應(yīng)用層代理 (即 application proxies)、內(nèi)容過濾 /狀態(tài)包過濾(content filtering/state packet filtering)防火墻。數(shù)據(jù)保密層重點(diǎn)關(guān)注應(yīng)用層的數(shù)據(jù)安全，因而在數(shù)據(jù)保密層優(yōu)先考慮數(shù)據(jù)加密算法。 2) 可行性 :設(shè)計(jì)網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實(shí)際因素，也只能是一些廢紙。 校園安全的設(shè)計(jì)原則 校園網(wǎng)覆蓋整個(gè)校區(qū)，在網(wǎng)絡(luò)性能上應(yīng)該考慮以下幾項(xiàng)要求：數(shù)據(jù)處理、通信處理能力強(qiáng)，響應(yīng)速度快。如因受客觀條件限制，難以對網(wǎng)絡(luò)操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)進(jìn)行選擇，則其他核心軟件，如防火墻、入侵檢測、網(wǎng)絡(luò)安全漏洞掃描軟件等應(yīng)盡可能地選用經(jīng)國家網(wǎng)絡(luò)安全權(quán)威機(jī)構(gòu)評審?fù)ㄟ^的優(yōu)秀國產(chǎn)軟件。 網(wǎng)絡(luò)安全系統(tǒng)策略的制定 物理安全的目的是保護(hù)路由器、交換機(jī)、工作站、各種網(wǎng)絡(luò)服務(wù)器、打印機(jī) 等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊 。要防止侵襲者通過非法途徑進(jìn)入計(jì)算機(jī)系統(tǒng) , 偷盜有用的數(shù)據(jù)信息 , 重點(diǎn)保護(hù)系統(tǒng)中容易被攻擊的脆弱點(diǎn)。防病毒 核心技術(shù)有：特征代碼匹配、病毒特征自動(dòng)發(fā)現(xiàn)、啟發(fā)式搜索等，防病毒產(chǎn)品有： Norton、Kaspersky、金山毒霸、瑞星殺毒軟件等 。分為包過濾防火墻 （檢查每個(gè) IP 包的字段，如源地址、目標(biāo)地址、端口等 ? ） ；狀態(tài)檢測防火墻 （動(dòng)態(tài)檢查網(wǎng)絡(luò)連接和包） ；應(yīng)用程序代理防火墻 （與特定應(yīng)用程序配合使用） 。黑客對計(jì)算機(jī)有著狂熱的興趣和執(zhí)著的追求，他們不斷地研究計(jì)算機(jī)和網(wǎng)絡(luò)知識，發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)中存在的漏洞，喜歡挑戰(zhàn)高難度的網(wǎng)絡(luò)系統(tǒng)并從中找到漏洞，然后向管理員提出解決和修補(bǔ)漏洞的方法。同時(shí)網(wǎng)絡(luò)集成公司的技術(shù)實(shí)力、施工質(zhì)量及其五花八門的 解決方案 大多是自吹自擂，并沒有通過權(quán)威部門的評審、鑒定，致使網(wǎng)絡(luò)市場處于一種比較混亂的局面。因?yàn)橄到y(tǒng)漏洞的存在，使得針對系統(tǒng)漏洞的網(wǎng)絡(luò)攻擊和蠕蟲病毒也層出不窮。 威脅校園網(wǎng)安全的內(nèi)部因素 在校園網(wǎng)面臨的威脅當(dāng)中，內(nèi)部因素是一個(gè)重要的方面，這其中既包括軟硬件自身的缺陷，也包括管理者的管理水平 等 主觀方面的因素。 當(dāng)前的校園網(wǎng)多采用 1000M 以太網(wǎng)主干技術(shù)， 1000M 或 100M 到樓， 100M 或 10M到桌面，部分區(qū)域采用無線接入技術(shù)（ ）實(shí)現(xiàn)無線接入。 校園公共信息系統(tǒng)（ Inter 服務(wù)系統(tǒng)）主要用于校園公共信息 的管理，是學(xué)校師生進(jìn)行交流的場所，老師和學(xué)生通過公共信息系統(tǒng)將大大拓展信息交流的空間。上網(wǎng)備課，接收郵件， 網(wǎng)絡(luò)聊天，游戲購物，校園用戶聯(lián)網(wǎng)的時(shí)間一天天延長。 校園網(wǎng)網(wǎng)絡(luò)體系結(jié)構(gòu)概述 校園網(wǎng)安全策略的制定和實(shí)施是以各高校校園網(wǎng)的基礎(chǔ)體 系 結(jié)構(gòu)和網(wǎng)絡(luò)應(yīng) 用具體情況為依據(jù)和實(shí)施基礎(chǔ)的。在 這四大元素中， “ 貨 ” 是重點(diǎn)，它是校園網(wǎng)建設(shè)的核心 。黑客們越來越多地通過網(wǎng)站對用戶進(jìn)行攻擊。 網(wǎng)絡(luò)欺騙手段進(jìn)一步升級，黑客不光利用電子郵件和網(wǎng)站進(jìn)行詐騙，具有“網(wǎng)絡(luò)釣魚”性質(zhì)的病毒也開始出現(xiàn)，勒索軟件、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)銀行盜號木馬等被廣泛使用，都充分說明了經(jīng)濟(jì)利益已經(jīng)成為網(wǎng)絡(luò)攻擊的最大驅(qū)動(dòng)力。協(xié)議出錯(cuò) 。采用多個(gè) Inter 主干網(wǎng)后，網(wǎng)絡(luò)間的連接和路由選擇技術(shù) 。 計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展 Inter 是以 TCP/IP 協(xié)議為核心的一種計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)的統(tǒng)稱。 防火墻 。 畢業(yè)設(shè)計(jì)（論文 ） 校園網(wǎng)網(wǎng)絡(luò)安全問題分析及其解決方案 學(xué)生姓名 杜宇 專 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)維護(hù) 學(xué) 號 1014001455279 二零 一二 年 三 月II 摘 要 隨著互聯(lián)網(wǎng)的普及和國內(nèi)各高校網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，目前高校大多建立了 校園網(wǎng)，它己經(jīng)成為高校信息化的重要組成部分。 入侵檢測 目錄 錯(cuò)誤 !未找到引用源。在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)近 40 年的發(fā)展歷史中，曾經(jīng)涌現(xiàn)出各種各樣的計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)和技術(shù)，它們努力提供類似于 Inter 的功能和服務(wù)，但是都沒有像 Inter 能夠在技術(shù)上和實(shí)踐上適應(yīng)于各種變化，獲得今天這樣的巨大成功，并且正在對計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的未來發(fā)展趨勢產(chǎn)生深刻的影響。大型分布式網(wǎng)絡(luò)目錄系統(tǒng) 。認(rèn)證出錯(cuò) 。網(wǎng)絡(luò)黑客逐步形成了較為嚴(yán)密的組織，在組織內(nèi)部分工明確，從惡意代碼的制作，惡意代碼的散布到敏感信息的竊取都有專人負(fù)責(zé) 。此外，通過移動(dòng)存儲(chǔ)設(shè)備傳播病毒使很多電腦用戶飽受其害。 這里， “ 路 ” 是指物理網(wǎng)絡(luò)的搭建，包括四個(gè)方面：結(jié)構(gòu)化布線、網(wǎng)絡(luò)連通（網(wǎng)絡(luò)設(shè)備的選擇）、服務(wù)器的選擇、終端的選擇； “ 車 ” 是指系統(tǒng)平臺的建設(shè)，如教育行政管理平臺、教學(xué)管理平臺、資源庫管理平臺和校園網(wǎng)通信平臺，其中，行政管理和教學(xué)平臺主要針對教育工作，資源庫平臺將為這兩個(gè)平臺提供詳盡的資料；“ 貨 ” 是指軟件（具體是指應(yīng)用系統(tǒng)）的建設(shè)，它根據(jù)學(xué)校的需求選擇一些應(yīng)用軟件和硬件，一般學(xué)校常用的應(yīng)用系統(tǒng)有多媒體網(wǎng)絡(luò)教室、多媒體電子閱覽室、網(wǎng)絡(luò)多媒體課件制作系統(tǒng)、校 園信息管理系統(tǒng)、視頻點(diǎn)播、學(xué)校主頁等；而 “ 駕駛員培訓(xùn) ” 是指為適應(yīng)現(xiàn)代網(wǎng)絡(luò)教學(xué)的要求而對相關(guān)人員進(jìn)行的培訓(xùn)。因此在制定各高校的網(wǎng)絡(luò)安全策略和實(shí)施具體 的安全策略之前，透徹分析本校的校園網(wǎng)體系結(jié)構(gòu) ,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)的路由 策略，網(wǎng)絡(luò)的區(qū)域劃分， IP 及 VLAN 的規(guī)劃，網(wǎng)絡(luò)訪問策略，各應(yīng)用系統(tǒng)的功能服務(wù)對象， 訪問限制等等是非常必要的， 其性能 直接影響到網(wǎng)絡(luò)安全策略的實(shí)施效果。教育部科技發(fā)展中心公 布的相關(guān)數(shù)據(jù)顯示， %的高校教學(xué)、科研、行政辦公已經(jīng)全部聯(lián)入校園網(wǎng)， %高校的教室已提供了校園網(wǎng)接入環(huán)境， %的學(xué)校在學(xué)生宿舍已經(jīng)接入 網(wǎng)絡(luò)，校園網(wǎng)覆蓋范圍正在 逐步 地?cái)U(kuò)大。作為大學(xué)的信息門戶，該系統(tǒng)為全校師生提供校園討論區(qū)（ BBS）、校園聊天室、校園大事記、通知公告、信息發(fā)布等基礎(chǔ)信息服務(wù)。校園網(wǎng)絡(luò)一般有邊界路由器，高性能的核心路由交換機(jī)，各分布層的三層路由交換機(jī)，大量的二層可網(wǎng)管接入交換機(jī)，以及防火墻， IDS（或 IPS），內(nèi)容過濾系統(tǒng)，流量分析系統(tǒng)，網(wǎng)絡(luò)設(shè)備管理系統(tǒng)等網(wǎng)絡(luò)硬件設(shè)備。 軟硬件自身的漏洞 來自硬件系統(tǒng)的安全威脅。攻擊者對系統(tǒng)漏洞進(jìn)行攻擊，入侵成功后將獲得系統(tǒng)的相應(yīng)權(quán)限，進(jìn)而盜取重要資料或?qū)ο到y(tǒng)進(jìn)行破壞活動(dòng)。 校園網(wǎng)的安全隱患 9 管理漏洞 管理是信息網(wǎng)絡(luò)安全 中 最重要的部分。 由于校園網(wǎng)規(guī)模巨大，各種設(shè)備系統(tǒng)差異有很大差異，給管理帶來了很大的挑戰(zhàn)，同時(shí)也成為黑客攻擊的對象 。 防火墻性能：最大帶寬、并發(fā)連接數(shù)、每秒新增連接數(shù)、丟包和延遲；自身安全性 。 4) 反垃圾郵件及技術(shù) 它能過濾、阻止大量的非正常的電子郵件。根據(jù)目前的技術(shù)水平 , 我們可采取身份驗(yàn)證、訪問控制、加密、防火墻技術(shù)、 記賬 、雙備份等安全措施來加以防范。確保網(wǎng)絡(luò)設(shè)備 有一個(gè)良好的電磁兼容工作環(huán)境 。 最小授權(quán)原則指網(wǎng)絡(luò)中 賬號 設(shè)置服務(wù)配置主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。網(wǎng)絡(luò)運(yùn)行的安全性、可靠性高。設(shè) 計(jì)網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實(shí)施，如果實(shí)施的難度太大以至于無法實(shí)施，那么網(wǎng)絡(luò)安全體系本身也就沒有了實(shí)際價(jià)值。應(yīng)用層的重點(diǎn)是網(wǎng)絡(luò)應(yīng)用中的存取控制和授權(quán)。防火墻結(jié)構(gòu)如圖 31 所示 校園網(wǎng)網(wǎng)絡(luò)安全對策分析 15 圖 31 典型防火墻結(jié)構(gòu) 網(wǎng)絡(luò)防火墻用以保護(hù)企業(yè)網(wǎng)絡(luò)等較大的復(fù)雜網(wǎng)絡(luò)，以處理更多的用戶。防火墻將接收到的數(shù)據(jù)包 傳送給應(yīng)用功能模塊，進(jìn)行相應(yīng)的處理。實(shí)時(shí)入侵檢測強(qiáng)調(diào)時(shí)間性，是連續(xù)、不間斷地監(jiān)控、檢測、響應(yīng)、防護(hù)循環(huán)過程，實(shí)時(shí)入侵檢測必須實(shí)時(shí)執(zhí)行。評估重要系統(tǒng)和數(shù)據(jù)文件的完整性 。第二種方式是通過開放接口來實(shí)現(xiàn)聯(lián)動(dòng)，即防火墻或者入侵檢測系統(tǒng)開放一個(gè)接口供對方調(diào)用，按照一定的協(xié)議進(jìn)行通訊、警報(bào)和傳輸。多種復(fù)合攻擊技術(shù)的使用已經(jīng)使得安全防護(hù)不僅僅是針對 互聯(lián)網(wǎng)早期某種病毒防護(hù)那么簡單。面對互聯(lián)網(wǎng)入侵，如果根據(jù)具體的應(yīng)用環(huán)境，盡可能早地通過網(wǎng)絡(luò)掃描來發(fā)現(xiàn)安全漏洞，并及時(shí)采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，就可以有效地阻止入侵事件的發(fā)生。 本文盡管對校園網(wǎng)絡(luò)安全進(jìn)行了較深入的研究，也提出了網(wǎng)絡(luò)安全的解決辦法，但是，計(jì)算機(jī)網(wǎng)絡(luò)安全的問題是一個(gè)永久的課題，它將隨著計(jì)算機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)安全取決于安全技 術(shù)與網(wǎng)絡(luò)管理兩大方面。網(wǎng)絡(luò)漏洞掃描在保障網(wǎng)絡(luò)安全方面起到越來越重要的作用。惡意軟件的傳染結(jié)果包括浪費(fèi)資源、破壞系統(tǒng)、破壞一致性，數(shù)據(jù)丟失和被竊并能讓客戶端的用戶失去信心。所以，目前還沒有廠商做到這一步，仍處于理論研究階段。識別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警 。 VPN 分為三種類型 :遠(yuǎn)程訪問虛擬網(wǎng) (Access VPN)、企業(yè)內(nèi)部虛擬網(wǎng) (Intra VPN)和企業(yè)擴(kuò)展虛擬網(wǎng)