【正文】 密時，其結(jié)果就稱為一次安全事件(Security Incident)。 從發(fā)展的角度來看，計算機(jī)病毒屬于惡意代碼的一種，惡意代碼 (malicious code)是 一種程序，它可以表述為人為編制的，干擾計算機(jī)正常運行并造成計算機(jī)軟硬件故障，甚至破壞數(shù)據(jù)的計算機(jī)程序或指令集合都認(rèn)為是惡意代碼。所有通過的 數(shù)據(jù) 包不僅要接受防火墻檢測規(guī)則的驗證，還需要經(jīng)過入侵檢測，判斷 是否具有攻擊性，以達(dá)到真正的實時阻斷，這實際上是把兩個產(chǎn)品合成一體。 圖 32 簡單 IDS 系統(tǒng) 入侵監(jiān)測的功能通過執(zhí) 行以下任務(wù)來實現(xiàn) :監(jiān)視、分析用戶及系統(tǒng)活動 。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒 校園網(wǎng)網(wǎng)絡(luò)安全對策分析 16 有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。 根據(jù)防火墻的工作原理所有的防火墻從體系結(jié)構(gòu)上都可以分為數(shù)據(jù)獲取、應(yīng)用處理和數(shù)據(jù)傳輸三大部分。 解決校園網(wǎng)安全問題的關(guān)鍵技術(shù) 解決校園網(wǎng)安全問題的關(guān)鍵技術(shù)包括防火墻，虛擬專用網(wǎng)，入侵檢測，病毒防御，備份與恢復(fù)，漏洞掃描等。 4) 可承擔(dān)性 :網(wǎng)絡(luò)安全體系從設(shè)計到實施以及安全系統(tǒng)的后期維護(hù)、安全培訓(xùn) 校園網(wǎng)網(wǎng)絡(luò)安全對策分析 14 等各個方面的工作都要由學(xué)校來 支持，要為此付出一定的代價和開銷。 校園網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計 構(gòu)建安全高 效的校園網(wǎng)絡(luò)是校園網(wǎng)建設(shè)的目標(biāo)之一，校園安全體系結(jié)構(gòu)的建設(shè)是其中的重要一環(huán)，安全體系設(shè)計的好壞是校園網(wǎng)成敗的關(guān)鍵。一般來說，安全與方便通常是互相矛盾的。應(yīng)根 據(jù)業(yè)務(wù)劃分、保密要求等因素的差異將網(wǎng)絡(luò)進(jìn)行分段隔離，它可從底層有效地 控制信號傳播途徑及傳播范圍，實現(xiàn)更為細(xì)化的安全控制體系， 將攻擊和入侵造 成的威脅限制在較小的子網(wǎng)內(nèi)，提高網(wǎng)絡(luò)整體的安全水平。 校園網(wǎng)絡(luò)安全策略概述 隨著網(wǎng)絡(luò)應(yīng)用的開展，要建立一個安全的網(wǎng)絡(luò)體系，首先應(yīng)花較大的精力制 定周密的網(wǎng)絡(luò)安全策略，這是最重要的一步。 根據(jù)本章所提出的校園網(wǎng)所面臨的安全威脅，我們除了選取良好的 拓?fù)?結(jié)構(gòu)外 , 一般還要注意安全保密 , 以防止信息的非授權(quán)訪問 。入侵檢測 核心技術(shù)：模式匹配、基于統(tǒng)計方法、預(yù)測模式生成等。具體地說，其傳播方式有以下幾種。 威脅校園網(wǎng)安全的外部因素 雖然內(nèi)部因素威脅著校園網(wǎng)的安全，但是在絕 大多情況下，網(wǎng)絡(luò)病毒，黑客入侵等外部因素對網(wǎng)絡(luò)構(gòu)成很大威脅。 設(shè)置上的失誤 合理規(guī)劃配置設(shè)施是校園網(wǎng)發(fā)揮作用的關(guān)鍵。硬件系統(tǒng)安全是制訂校園網(wǎng)安全整體解決方案時首先應(yīng)考慮的問題。下面的步驟是在一個站上建立 校園網(wǎng)網(wǎng)絡(luò)概述 7 和實現(xiàn)安全的方法： 第 1 步確定要保護(hù)的是什么； 第 2 步?jīng)Q定盡力保護(hù)它免于什么威脅； 第 3 步?jīng)Q定威脅的可能性； 第 4 步以一種劃算的方法實現(xiàn)保護(hù)資產(chǎn)的目的； 第 5 步不斷地檢查這些步驟，每當(dāng)發(fā)現(xiàn)一個弱點就進(jìn)行改進(jìn)。校園辦公自動化針對校園辦公需求不僅實現(xiàn)了便捷保密的公文管理、檔案管理、信息交流，而且使每位老師、每個學(xué)生都擁有自己的信箱。 校園網(wǎng)網(wǎng)絡(luò)概述 5 具體系統(tǒng)功能構(gòu)成見圖 11 圖 11 校園網(wǎng)系統(tǒng)功能結(jié)構(gòu)圖 圖 11 校園網(wǎng)系統(tǒng)功能結(jié)構(gòu)圖 校園應(yīng)用管理平臺 校園應(yīng)用系統(tǒng)管理平臺是一個可靠性高、安全性好、易管理的操作平臺。根據(jù)教育部《教育管理信息化標(biāo)準(zhǔn)》的要求，校園網(wǎng)的總體建設(shè)目標(biāo)包括： 校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)是我們數(shù)字化校園的基礎(chǔ)，它的建設(shè)水平和效果直接影 響到我們運行在校園網(wǎng)上的服務(wù)，影響到全校的教學(xué)、科研甚至影響到師生的日 常生活。而且隨著國內(nèi)高校的教學(xué)發(fā)展，高校應(yīng)用水平的提高，高等學(xué)校校園網(wǎng)的整體水平和層次有了很大的提高。而且隨著國內(nèi)高校的教學(xué)發(fā)展，高校應(yīng)用水平的提高，高等學(xué)校校園網(wǎng)的整體水平和層次有了很大的提高。安全漏洞是指在網(wǎng)絡(luò)系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯誤，攻擊者利用這些缺陷和錯誤可以對網(wǎng)絡(luò)系統(tǒng)進(jìn)行非授權(quán)的訪問或破壞 。這方面的協(xié)議己經(jīng)在研究之中。網(wǎng)絡(luò)的安全性問題包括系統(tǒng)安全和網(wǎng)絡(luò)信息安全兩方面的內(nèi)容。主要包括以下幾個方面 ： 1) 網(wǎng)絡(luò)的可擴(kuò)展性 原先設(shè)計的 TCP 網(wǎng)絡(luò)技術(shù)不能適應(yīng) Inter 規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)的可擴(kuò)展性問題成為重要的技術(shù)挑戰(zhàn)。本章系 統(tǒng)地論述了計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展以及當(dāng)前網(wǎng)絡(luò)安全所面臨的主要問題， 校園網(wǎng)的發(fā)展?fàn)顩r，校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)，功能結(jié)構(gòu) ， 校園網(wǎng)的建設(shè)目標(biāo)等內(nèi)容。 最后 本文 分析了實際相關(guān)案例，使技術(shù)與實際應(yīng)用相結(jié)合，說明基于校園網(wǎng)網(wǎng)絡(luò)信息安全的運行模式和過程。本文 針對校園網(wǎng)的 建設(shè)目標(biāo)，列出了應(yīng)對校園網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，并結(jié)合校園網(wǎng)的特點 詳細(xì)論述了 校園網(wǎng)安全防御的實現(xiàn)和措施，包括防火墻的設(shè)置，身份認(rèn)證和數(shù)據(jù)加密，入侵檢測，物理專用隔離網(wǎng)等等 。伴隨著高校校園數(shù)字化的不斷深入校園網(wǎng)安全越來越成為人們關(guān)注的焦點之一。由于網(wǎng)絡(luò)的規(guī)模和應(yīng)用迅速發(fā)展，計算 機(jī)信息網(wǎng)絡(luò)技術(shù)面臨的挑戰(zhàn)仍然是十分嚴(yán)峻的。國際標(biāo)準(zhǔn)化組織給網(wǎng)絡(luò)安全的定義為 :“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理保護(hù)計算機(jī)硬件軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞更改和泄露”。 3) 網(wǎng)絡(luò)服務(wù)質(zhì)量 校園網(wǎng)網(wǎng)絡(luò)概述 2 基于分組交換技術(shù)的 TCP/IP協(xié)議不能保證網(wǎng)絡(luò)用戶獲得所需的網(wǎng)絡(luò)服務(wù)質(zhì)量 ，這對于原先的 Inter 網(wǎng)絡(luò)應(yīng) 用無關(guān)緊要，但是 對于許多新型的網(wǎng)絡(luò)應(yīng)用 卻帶來麻煩，例如 :像 Inter Phone、 See you See me、 Video man 等實時的網(wǎng)絡(luò)應(yīng)用希望獲得固定的網(wǎng)絡(luò)帶寬。 網(wǎng)絡(luò)安 全除以上情況外還 包括以下幾個方面： 1) 漏洞數(shù)量居高不下，利用漏洞發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。 校園網(wǎng)簡介 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，校園網(wǎng)在國內(nèi)高等學(xué)校中已經(jīng)開始普及。 校園網(wǎng)發(fā)展趨勢 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，校園網(wǎng)在國內(nèi)高等學(xué)校中已經(jīng)開始普及。二是要描述網(wǎng)絡(luò)各個組成部分之間的關(guān)系，如何將各個部分有機(jī)地結(jié)合在一起，形成完整的 網(wǎng)絡(luò)系統(tǒng)，從而保證網(wǎng)絡(luò)有效地運轉(zhuǎn)，也就是將各個部分進(jìn)行集成的方式或方法。 校園網(wǎng)系統(tǒng)功能構(gòu)成 校園網(wǎng)作為校園網(wǎng)絡(luò)信息平臺應(yīng)該由一個平臺和三個系統(tǒng)構(gòu)成，即系統(tǒng)管理平臺、校園公共信息系統(tǒng)、校園管理信息及辦公自動化系統(tǒng)、校 園教 學(xué)資源庫系統(tǒng)。用戶通過使用人事管理、教育教學(xué)管理、后勤管理、教學(xué)資源與應(yīng)用平臺、圖書館管理、生活管理、醫(yī)療管理等多個功能子系統(tǒng)可以方便快捷地處理各種復(fù)雜數(shù)據(jù)操作和文字錄 入，完成各種校園信息數(shù)據(jù)的有效管理。通常，在網(wǎng)絡(luò)上實現(xiàn)最終的安全目標(biāo)可通過下面的一系列步驟完成，每一都是為了澄清攻擊和阻止攻擊的保護(hù)方法之間的關(guān)系。主要是在設(shè)備上進(jìn)行 必要的設(shè)置，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)等等。此外，應(yīng)用系統(tǒng)也不例外，如 IE、 Office辦公軟件、 MsSQL、 Oracal 等軟件也存在安全漏洞。 建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。計算機(jī)病毒一般首先通過各種途徑進(jìn)入到有盤工作站，也就進(jìn)入網(wǎng)絡(luò)，然后開始在網(wǎng)上的傳播。入侵檢測技術(shù) 包括 以下幾種：基于誤用檢測技術(shù) （檢測與異常規(guī)則相匹配的網(wǎng)絡(luò)行為 ）；基于異常檢測技術(shù)（檢測偏離了正常規(guī)則的網(wǎng)絡(luò)行為） 。過濾方法有：基于關(guān)鍵字、權(quán)重關(guān)鍵字、基于 URL 的過濾； 基于文字內(nèi)容的深度搜索；一般在防病毒網(wǎng)關(guān)、反垃圾郵件系統(tǒng)中集成。本章重點討 論校園網(wǎng)的安全策略，并在此基礎(chǔ)上簡要地說明校園網(wǎng)安全體系結(jié)構(gòu)的構(gòu)建，以及校園網(wǎng)網(wǎng)絡(luò)安全體系的內(nèi)容，校園網(wǎng)安全問題對策所用到的關(guān)鍵技術(shù)。 采用網(wǎng)絡(luò)隔離手段可有效減小信息的傳播面，從而增加信息的安全性。規(guī)章制度作為一項核心內(nèi)容，應(yīng)始終 校園網(wǎng)網(wǎng)絡(luò)安全對策分析 13 貫穿于系統(tǒng)的安全生命周期。 此外，在校園網(wǎng)建設(shè)的具體實施中需要注意的設(shè)計原則包括： ? 堅持開放型，采用國際標(biāo)準(zhǔn)和通用標(biāo)準(zhǔn) ； ? 盡量采用先進(jìn)、成熟的組網(wǎng)技術(shù) ； ? 強(qiáng)調(diào)實用性、并盡可能達(dá)到性能價格比最優(yōu) ； ? 統(tǒng)一規(guī)劃、分布實施。因此，在設(shè)計網(wǎng)絡(luò)安全體系時必須考慮系統(tǒng)資源的開銷，要求安全防護(hù)系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運轉(zhuǎn)。網(wǎng)絡(luò)層針對網(wǎng)絡(luò)底層數(shù)據(jù)的通訊安全提出解決方案。軟件防火墻則是指對底層硬件沒有特殊要求，可以安裝在 Windows、 Unix 系統(tǒng)直接使用的防火墻。虛擬專用網(wǎng)指的是依靠 ISP(Inter 服務(wù)提供商 )和其它 NSP(網(wǎng)絡(luò)服務(wù)提供商 )，在公用網(wǎng)絡(luò)中建立專用 的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。一個簡單的入侵檢測系統(tǒng)，如圖 32 所示。目前，實現(xiàn)入侵檢測和防 火墻之間的聯(lián)動有兩種方式可以實現(xiàn)，一種是實現(xiàn)緊密結(jié)合，即把入侵檢測系統(tǒng)嵌入到防火墻中，即入侵檢測系統(tǒng)的數(shù)據(jù)來源不再來 自 于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。 計算機(jī)病毒防御 計算機(jī)病毒是指編制或者在計算程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能夠自我復(fù)制或者在計算程序中插入的破壞計算機(jī)功能 或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能夠自我復(fù)制的一組計算機(jī)指令或者程序代 碼，隨著因特網(wǎng)技術(shù)的發(fā)展，這一計算機(jī)病毒的定義也在進(jìn)一步擴(kuò)大化，一些帶有惡意性質(zhì)的特洛伊木馬程序，黑客程序和蠕蟲程序等從廣義角度也被歸入計算機(jī)病毒的范疇。這里的漏洞既包括單個計算機(jī)系統(tǒng)的脆弱性，也包括計算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞。我建立了一套校園網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如機(jī)房管理 制度、病毒防范制度等，并采取切實有效的措施，保證了制度的執(zhí)行 。電子工業(yè)出版社， 2020 [13] ： // [14] [15]