【正文】 能是無法彌補的。216。216。 加密機制加密是提供數(shù)據(jù)保密性的基本方法，用加密方法和認證機制相結(jié)合，可提供數(shù)據(jù)的保密性和完整性。主要包括：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作，合法用戶以未授權(quán)方式進行操作等。被動攻擊是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要的機密信息。影響計算機網(wǎng)絡(luò)安全的因素很多，如有意的或無意的、人為的或非人為的等，外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使用更是影響計算機網(wǎng)絡(luò)安全的重要因素。 可控性可控性是對網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性，即網(wǎng)絡(luò)系統(tǒng)中的任何信息要在一定傳輸范圍和存放空間內(nèi)可控。網(wǎng)絡(luò)信息系統(tǒng)最基本的功能是向用戶提供服務(wù)，而用戶的需求是隨機的、多方面的、有時還有時間的需求。 可靠性可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下、規(guī)定時間內(nèi)完成規(guī)定功能的特性。在利益的驅(qū)動下，入侵與反入侵、攻擊與反攻擊技術(shù)都得到了長足的發(fā)展，攻擊技術(shù)和攻擊方式也變得越來越復(fù)雜，越來越隱蔽。他們主要通過撥號式掃描方式尋找應(yīng)答MODEM，從而獲得未授權(quán)訪問的機會。因此在校園網(wǎng)的建設(shè)工作中必須處理好實用與發(fā)展、建設(shè)與管理、使用與培訓(xùn)等關(guān)系，從而使校園網(wǎng)的建設(shè)工作健康穩(wěn)定地開展。因為網(wǎng)絡(luò)安全事故可能隨時發(fā)生，并且其災(zāi)難后果也難以預(yù)測，就像我們生活中的交通事故一樣。網(wǎng)絡(luò)安全保護的最終目的是預(yù)防各種各樣的非法入侵、網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)攻擊。要突破這樣的簡單系統(tǒng)，只需要獲得對終端或串行終端口的物理訪問權(quán)限即可。但第一代防火墻技術(shù)只是基于兩臺過濾型路由器之間的堡壘主機在TCP/IP的網(wǎng)絡(luò)連接級提供保護。凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。216。完整性是一種面向信息安全的安全性，要求保持信息的原樣，即信息正確的生成、存儲和傳輸。網(wǎng)絡(luò)安全保護的最終目的是預(yù)防各種各樣的非法入侵者、網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)攻擊。 人為的惡意攻擊這是計算算計網(wǎng)絡(luò)所面臨的最大威脅，敵人的攻擊和計算機犯罪就屬于這一類。另外，軟件的隱秘通道都是軟件公司的設(shè)計編程人員為了自己方便而設(shè)置的，一般不為外人所知，但一旦隱秘通道被探知后果將不堪設(shè)想，這樣的軟件不能保證網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)信息安全機制定義了實現(xiàn)網(wǎng)絡(luò)信息安全服務(wù)的技術(shù)措施，包括所使用的可能方法，主要是利用密碼算法對重要而敏感的數(shù)據(jù)進行處理。216。216。216。因為無論是什么安全隱患導(dǎo)致的災(zāi)難，其結(jié)果可能都一樣，要么信息泄露，數(shù)據(jù)丟失、破壞，要么是服務(wù)器或者網(wǎng)絡(luò)癱瘓，無法正常工作。所有信息安全系統(tǒng)應(yīng)該包括3種機制：安全保護機制、安全監(jiān)測機制、安全恢復(fù)機制。216。良好的信息安全系統(tǒng)必然是分為不同等級的，包括對信息保密程度的分級，對用戶操作權(quán)限的分級，對網(wǎng)絡(luò)安全程度的分級（安全子網(wǎng)和安全區(qū)域），對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層）。 易操作性原則首先，安全措施是要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。 統(tǒng)籌規(guī)劃，分步實施原則由于政策規(guī)定、服務(wù)需求的不明郎，以及隨著環(huán)境、條件、時間的變化，黑客所采用的攻擊也在不短更新，我們的安全保護策略不可能一步到位。它們分布在整個校園內(nèi), 管理起來非常困難。對于這種攻擊行為，即使采用了VPN等保護措施也難以避免。在無線網(wǎng)絡(luò)中，移動站與網(wǎng)絡(luò)控制中心及其它移動站之間不存在任何固定的物理鏈接，移動站必須通過無線信道傳輸其身份信息，身份信息在無線信道中傳輸時可能被竊聽，當攻擊者截獲一合法用戶的身份信息時，可利用該用戶的身份侵入網(wǎng)絡(luò)，這就是所謂的身份假冒攻擊。特別是中小學(xué)生,由于年齡小, 分辨是非和抵御干擾能力較差, 如果不采取切實可行安全措施, 勢必會導(dǎo)致這些信息在校園內(nèi)傳播,侵蝕學(xué)生的心靈。根據(jù)校園內(nèi)外網(wǎng)的安全隱患分析，整體安全設(shè)計按照OSI/RM參考模型在各層對校園網(wǎng)進行安全防護措施。物理層是網(wǎng)絡(luò)構(gòu)建的基礎(chǔ)，在許多行業(yè)或者許多具體應(yīng)用中，網(wǎng)絡(luò)物理層的安全保護也是非常必要的，特別是在WLAN網(wǎng)絡(luò)中。這時我們就可以通過簡單的設(shè)備或線路冗余來實現(xiàn)來基于物理層的網(wǎng)絡(luò)安全保護，通俗點說就是提供備用的設(shè)備和線路。網(wǎng)卡一般都是冗余在一些應(yīng)用服務(wù)器上，把服務(wù)器的地址同時綁定在兩塊網(wǎng)卡上，其中只啟動一塊進行工作，另一塊處于待命狀態(tài)，當原來工作的網(wǎng)卡出現(xiàn)故障時，待命的網(wǎng)卡立即接替原來的網(wǎng)卡工作，保持服務(wù)器的網(wǎng)絡(luò)連接不中斷，外部用戶訪問也就不會中斷。 2）內(nèi)存鏡像—Mirroring 內(nèi)存鏡像是將內(nèi)存數(shù)據(jù)做兩個拷貝，分別放在主內(nèi)存和鏡像內(nèi)存中。 磁盤冗余磁盤方面的冗余就是磁盤冗余陣列——RAID（Redundant Array of Inexpensive Disk）。如在核心層和骨干層，甚至在匯聚層的服務(wù)器、交換機和路由器上，采取雙線路，甚至多線路連接。除了以上所說的線路和設(shè)備冗余之外，還要制定嚴格的機房管理制度，以確保機房設(shè)備和線路不遭受破壞，如關(guān)掉設(shè)備電源，拔掉設(shè)備跳線或用戶網(wǎng)線等。采取復(fù)雜性要求限制，防止用戶設(shè)置過于簡單的賬戶密碼。在網(wǎng)絡(luò)安全系統(tǒng)中的數(shù)據(jù)安全管理方面，我們可以通過設(shè)計數(shù)據(jù)容災(zāi)方案來確保數(shù)據(jù)安全。一般在生產(chǎn)本地的備份目的主要有兩個：一是生產(chǎn)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)由于系統(tǒng)或人為誤操作造成損壞或丟失后，可及時在生產(chǎn)本地實現(xiàn)數(shù)據(jù)的恢復(fù)；另一個目的是在發(fā)生地域性災(zāi)難（地震、火災(zāi)、機器毀壞等）時，可及時在本地或異地實現(xiàn)數(shù)據(jù)及整個系統(tǒng)的災(zāi)難恢復(fù)。當然，如果你的數(shù)據(jù)庫系統(tǒng)是基于文件系統(tǒng)的，當然可以用備份文件的方法備份數(shù)據(jù)庫。它利用硬盤、可擦寫磁光盤、磁帶進行三層式存儲管理。自動復(fù)制每日完成后的數(shù)據(jù)，以存放異地作災(zāi)難恢復(fù)。 個別文件恢復(fù)由于操作人員的水平不高，個別文件恢復(fù)可能要比全盤恢復(fù)常見得多，利用網(wǎng)絡(luò)備份系統(tǒng)的恢復(fù)功能，我們很容易恢復(fù)受損的個別文件。數(shù)據(jù)鏈路層的主要特征就是形成MAC地址，并對物理上的比特流進行編碼、成幀、拆幀，以及鏈路控制，為鏈路層提供可靠的數(shù)據(jù)傳輸。鏈路加密過程中，所有新消息在從源節(jié)點流出后，被傳輸之前需要加密設(shè)備（加密機或者集成在網(wǎng)卡的安全模塊）使用下一個鏈路的密鑰對數(shù)據(jù)進行加密，在下一個中間節(jié)點接收消息前再由加密設(shè)備用本鏈路的密鑰進行解密。結(jié)點加密不允許消息在網(wǎng)絡(luò)結(jié)點以明文的形式存在。但是在我們平常的網(wǎng)絡(luò)通信主操作中，都不是以MAC地址來制定目標結(jié)點的，而是以IP地址或者NetBIOS 名稱來指定的。Switchconf t: 進入全局配置模式Switch(config)int interfaceid:進入相應(yīng)的端口配置模式Switch(configif)switchport mode access:設(shè)置以上端口為訪問模式Switch(configif) switchport portsecurity：在端口上啟用端口安全特性Switch(configif) switchport portsecurity macaddress mac（mac地址）把MAC地址綁定在interfaceid端口上。創(chuàng)建VLAN有兩種方法。當然網(wǎng)路邊界防火墻不全只是工作在OSI/RM網(wǎng)絡(luò)層的，還有可以工作在傳輸層，甚至應(yīng)用層的，如基于應(yīng)用網(wǎng)關(guān)的防火墻。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受的，防火墻將屏蔽外部的連接請求。 網(wǎng)絡(luò)中的三個安全區(qū)域?？梢酝ㄟ^在默認情況下將某些數(shù)據(jù)標識為非法的來完成某些阻擋。DMZ通常是一個過濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個安全地帶。而局域網(wǎng)內(nèi)部，對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機控制。Ciscoasa(config)nat (inside) 2 將此地址激活NATCiscoasa(config)global 2 .*.* .*.*PAT：指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換。 接口方向的調(diào)用標準訪問控制列表 語法 綜合成本較低一方面WLAN網(wǎng)絡(luò)減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護已有投資。如表中所示的中級安全方案使用支持IEEE ，并通過后臺的Radius服務(wù)器進行用戶身份驗證，有效地阻止未經(jīng)授權(quán)的用戶接入，并可對用戶權(quán)限進行區(qū)分。第一步：首先我們根據(jù)路由器的說明書：進入無線路由的web頁面。Fig Limit the speed of connection MAC地址過濾配置Fig MAC address filtering configuration第四步：AP隱藏，我們可以對路由的禁用廣播地址，然后再端口上就找不到該路由器的SSID，想接入網(wǎng)就要自己輸入該路由器正確的SSID和密碼才能夠進行上網(wǎng)。最后，它可查詢身份驗證和授權(quán)服務(wù)，然后做出授權(quán)決定。其一是 ISA網(wǎng)絡(luò)訪問策略。表73遠程訪問策略配置文件選。 ISA網(wǎng)絡(luò)訪問策略是網(wǎng)絡(luò)訪問管理解決方案的核心，代表WLAN安全策略的設(shè)置自動部署在沒個基于ISA的Radius服務(wù)器中，該策略主要包括遠程訪問策略和連接請求策略。 身份驗證服務(wù)（AS）該組件存儲和驗證有效用戶的憑據(jù)，并根據(jù)訪問策略做出授權(quán)決定。 X identity solutions network access process該WLAN中四大基本組件分別為216。默認賬戶和密碼是admin。表71安全劃分及技術(shù)方法選擇 Safety division and technical methods selection典型場合使用技術(shù)辦公室局部無線網(wǎng)WPA2PSK＋AP隱藏學(xué)校園區(qū)無線網(wǎng)＋Radius認證為了進一步加強無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容， ，并且致力于從長遠角度考慮解決IEEE 。 擴展能力強WLAN網(wǎng)橋系統(tǒng)支持多種拓撲結(jié)構(gòu)及平滑擴容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)；無線局域網(wǎng)絡(luò)主要服務(wù)于學(xué)校的學(xué)生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)，同時由于學(xué)生出于技術(shù)的研究興趣，會對網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時網(wǎng)絡(luò)安全問題在組網(wǎng)時必須考慮問題，安全方式主要側(cè)重幾個方面：用戶安全、網(wǎng)絡(luò)安全，而在校園網(wǎng)絡(luò)中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號、密碼，而對于學(xué)校學(xué)生用戶來，帳號信息都是一個實名原則，與學(xué)生的學(xué)藉進行關(guān)聯(lián)的，這樣本無線網(wǎng)絡(luò)中著重考慮使用無線網(wǎng)絡(luò)的空口信息的安全機制，同時也要考慮與無線相關(guān)的有線網(wǎng)絡(luò)的安全問題，對于原有有線網(wǎng)絡(luò)的安全問題，我們已經(jīng)在以上詳細配置好。隨著其技術(shù)的快速發(fā)展和不斷成熟，目前在國內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶提供各種業(yè)務(wù)。同時，又可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自己internet的攻擊。攻擊難度大大加強，相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強。 防火墻設(shè)計圖 Firewall designDMZ防火墻方案為要保護的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，通常認為是非常安全的。TCP/IP協(xié)議是許多年前設(shè)計的，沒有考慮到任何有關(guān)竊取或者入侵的因素。它通過路由器直接面向Internet，應(yīng)該以基本網(wǎng)絡(luò)通信篩選的形式提供初始層的保護。代理防火墻與包過濾防火墻一樣，到目前為止也經(jīng)過了兩個主要的發(fā)展時期，那就是代理防火墻和自適應(yīng)代理防火墻。根據(jù)防火墻所采用的技術(shù)不同，可以將其分為以下四種基本類型。在全局模式下創(chuàng)建VLAN是最常用的方法。選擇“protect”可選項，則保護端口，當安全地址個數(shù)滿后，安全端口將丟棄來源于非安全地址范圍內(nèi)地址的所有數(shù)據(jù)包；選擇“restrict”可選項，當違例產(chǎn)生時候，將發(fā)送一個警告通知管理員，但非安全地址的通信仍在進行；選擇“shutdown”可選項，當違例產(chǎn)生時，將關(guān)閉端口，并發(fā)送一個警告通知管理員，默認時管理端口。但是只要黑客修改了其中的任何一項，則可能導(dǎo)致找不到真正的目的節(jié)點而導(dǎo)致通信不成功，這就是兩種欺騙：IP地址欺騙和MAC地址欺騙。端到端機密是從數(shù)據(jù)通信中的一端到另一端的全程加密方式，而且加密、解密過程只進行一次，在中間結(jié)點沒有這兩個過程。然后再進行傳輸，直到消息到達目的節(jié)點。數(shù)據(jù)鏈路層還有一個安全風險就是大量的廣播包會導(dǎo)致網(wǎng)絡(luò)鏈路寬帶資源匱乏，從而最終導(dǎo)致網(wǎng)絡(luò)癱瘓。 216。因為它關(guān)系到系統(tǒng)在經(jīng)歷災(zāi)難后能否迅速恢復(fù)。在線的資料經(jīng)過一段時間的搬移后，即可達到最佳化。是否能夠?qū)⑿枰臄?shù)據(jù)從龐大的數(shù)據(jù)庫文件中抽取出來進行備份，是網(wǎng)絡(luò)備份系統(tǒng)是否先進的標志之一。每天都要小心翼翼,不敢有半點閃失,生怕一失足成千古恨。故障發(fā)生的損失分析及可行性數(shù)據(jù)保護模式，現(xiàn)有備份方式的不足，幾年前我們主要采用主機內(nèi)置或外置的磁帶機對數(shù)據(jù)進行冷備份，這種方式在數(shù)據(jù)量不大，操作系統(tǒng)種類單一，服務(wù)器數(shù)量有限的情況下，不失為一種既經(jīng)濟又簡明的備份手段。限定兩個周期密碼可以禁止想通的最短歷史。機房電源設(shè)備、插座、線路功率和容量能滿足設(shè)備正常工作需求和消防要求，并配備足夠的消防措施。每臺服務(wù)器、下級交換機與兩臺核心交換機采取雙線路冗余連接。RAID特色是N塊硬盤同時讀取速度加快及提供容錯性（Fault Tolerant）。由于采用通道間交叉鏡像的方式，所以每個通道都有一套完整的內(nèi)存數(shù)據(jù)拷貝。 內(nèi)存冗余在內(nèi)存冗余方面，目前主要有內(nèi)存鏡像和內(nèi)存熱備兩種技術(shù)。網(wǎng)絡(luò)設(shè)備冗余有以下幾個方面。線路的不可用，或者網(wǎng)絡(luò)通信數(shù)據(jù)泄露，或者遭受非法入侵與攻擊。安全設(shè)計方案主要從物理層，數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層和無線這幾個方面來進行安全設(shè)計。計算機病毒能夠破壞網(wǎng)絡(luò)設(shè)備，破壞計算機系統(tǒng)軟件和文件系統(tǒng)，木馬程序會導(dǎo)致信息泄漏，蠕蟲類病毒則會導(dǎo)致網(wǎng)絡(luò)運行效率下降甚至癱瘓，最重要的是病毒變種的不斷產(chǎn)生，防范起來非常困難。拒絕服務(wù)：攻擊者可能對AP進行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果最為嚴重的攻擊方式。WEP破解：現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序，能夠捕捉位于AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進行分析以恢復(fù)WEP密鑰。 電磁泄漏（如偵聽微機操作過程）。216。由于互聯(lián)網(wǎng)的開放性和通信協(xié)議存在的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存