【正文】 保護一個網(wǎng)絡(luò)不受另一個網(wǎng)絡(luò)的攻擊，所以防火墻又有以下作用：（1）作為網(wǎng)絡(luò)安全的屏障。（1）訪問監(jiān)控模型：是按TCB要求設(shè)計的，受保護的客體要么允許訪問，要么不允許訪問。A1類與B3類相似，對系統(tǒng)的結(jié)構(gòu)和策略不作特別要求。另外，B2系統(tǒng)的管理員必須使用一個明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運算基礎(chǔ)體制。C2系統(tǒng)比C1系統(tǒng)加強了可調(diào)的審慎控制。其中D級是沒有安全機制的級別，A1級是難以達到的安全級別，如表31所示：表31網(wǎng)絡(luò)安全等級及安全級別的性能要求安全級別名稱說明D1 酌情安全保護 對硬件和操作系統(tǒng)幾乎無保護，對信息的訪問無控制C1 自選安全保護 由用戶注冊名和口令的組合來確定用戶對信息的訪問權(quán)限B1 被標簽的安全性保護 為強制性訪問控制，不允許文件的擁有者改變其許可權(quán)限B2 結(jié)構(gòu)化保護 要求對計算機中所有信息加以標簽，并且對設(shè)備分配單個或多個安全級別B3 安全域保護 使用安全硬件的方法來加強域的管理終端與系統(tǒng)的連接途徑可信任A 核實保護 系統(tǒng)不同來源必須有安全措施必須在銷售過程中實施下面對下各個安全級別進行介紹：(1)D類安全等級：D類安全等級只包括D1一個級別。（4）安全算法實現(xiàn)：具體算法的實現(xiàn)，如PES、RSA.（5）安全策略數(shù)據(jù)庫：保存與具體建立的安全策略有關(guān)的狀態(tài)、變量、指針。（5）不可否認性；也稱不可抵賴性，即防止對數(shù)據(jù)操作的否認。這兩種情況中，數(shù)據(jù)項的大小有很大的變化，數(shù)據(jù)權(quán)力命名也可以帶自己的ACL。 （4）完整性保證。 以上可以看出：在網(wǎng)絡(luò)中，維護信息載體和信息自身的安全都包括了機密性、完整性、可用性這些重要的屬性 網(wǎng)絡(luò)安全機制 網(wǎng)絡(luò)安全機制是保護網(wǎng)絡(luò)信息安全所采用的措施，所有的安全機制都是針對某些潛在的安全威脅而設(shè)計的，可以根據(jù)實際情況單獨或組合使用。（1）運行系統(tǒng)安全：即保證信息處理和傳輸系統(tǒng)的安全，包括計算機系統(tǒng)機房環(huán)境和傳輸環(huán)境的法律保護、計算機結(jié)構(gòu)設(shè)計的安全性考慮、硬件系統(tǒng)的安全運行、計算機操作系統(tǒng)和應用軟件的安全、數(shù)據(jù)庫系統(tǒng)的安全、電磁信息泄露的防御等。除此之外，校園網(wǎng)還面對形形色色、良莠不分的網(wǎng)絡(luò)資源，如不進行識別和過濾，那么會造成大量非法內(nèi)容或郵件出入，占用大量流量資源，造成流量堵塞、上網(wǎng)速度慢等問題。(3)目前關(guān)于網(wǎng)絡(luò)犯罪的法律、法規(guī)還不健全。(5)黑客：對于計算機數(shù)據(jù)安全構(gòu)成威脅的另一個方面是來自電腦黑客(backer)。這就使我們的計算機處于危險的境地，一旦連接入網(wǎng)，將成為眾矢之的。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。(4) BUG難以防范。因此，對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。關(guān)鍵詞：網(wǎng)絡(luò)安全，安全防范，校園網(wǎng) ABSTRACTIn this paper, a variety of puter network security threats faced by the system to introduce the network security technology. And for the safety of the campus network to study, first of all an analysis of the safety of colleges and universities hidden network and then build a security defense system and strengthen the security management of both the design of the campus network security policy. The research paper, I first learned about the major issues of network security threats and take advantage of network security knowledge to analyze the security issues. Secondly, through the network technology, will e to campus network is faced with security threats. Finally, P2DR model established with the idea to create a campus network security defense system.. And e to build an effective network security defense system to address major threats to the campus network and the hidden ways and measures necessary.Key words: Network Security, Safety Precautions, Campus Network 第一章 前言隨著計算機技術(shù)的發(fā)展，在計算機上處理業(yè)務已由基于單機的數(shù)學運算、文件處理，基于簡單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務處理、辦公自動化等發(fā)展到基于企業(yè)復雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務處理。3) 要理論聯(lián)系實際、以實事求是、勇于探索、不斷創(chuàng)新的科學態(tài)度對待畢業(yè)設(shè)計。 蘇州大學計算機科學與技術(shù)學院專升本畢業(yè)設(shè)計(論文) 題目校園網(wǎng)絡(luò)安全問題及對策研究學生姓名學號所學專業(yè)計算機科學與技術(shù)指導老師 蘇州大學計算機科學與技術(shù)學院專升本畢業(yè)論文（設(shè)計）任 務 書論文設(shè)計題目：　校園網(wǎng)絡(luò)安全問題及對策研究指導教師：職稱：副教授類別：畢業(yè)設(shè)計學生： 學號：論文(設(shè)計)類型：應用型專業(yè)：計算機科學與技術(shù)班級：2008級是否隸屬于科研項目：否（設(shè)計）的主要任務及目標1) 網(wǎng)絡(luò)安全發(fā)展歷史與現(xiàn)狀分析2) 網(wǎng)絡(luò)安全概述3) 網(wǎng)絡(luò)安全問題解決對策4) 網(wǎng)絡(luò)安全防范5) 校園網(wǎng)絡(luò)安全體系（設(shè)計）的主要內(nèi)容計算機網(wǎng)絡(luò)面臨的各種安全威脅，系統(tǒng)地介紹網(wǎng)絡(luò)安全技術(shù)。2) 以認真負責的態(tài)度，嚴格按照畢業(yè)設(shè)計的內(nèi)容要求和進度安排開展畢業(yè)設(shè)計工作。并得出了構(gòu)建一套有效的網(wǎng)絡(luò)安全防御體系是解決校園網(wǎng)主要威脅和隱患的必要途徑和措施。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往是無能為力的。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。（三）網(wǎng)絡(luò)安全的主要威脅因素(1)軟件漏洞：每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。因此，提高對病毒的防范刻不容緩。(2)全社會的信息安全意識雖然有所提高，但將其提到實際日程中來的依然很少。(5)病毒與惡意的攻擊；即通過網(wǎng)絡(luò)傳播病毒或進行惡意攻擊。且在不同環(huán)境和應用中又不同的解釋。（2）完整性：是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個可靠的運行狀態(tài)之下。通過對一些重要的事件進行記錄，從而在系統(tǒng)中發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤并找到防范失效的原因，作為內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)。基于身份的安全策略是過濾對數(shù)據(jù)或資源的訪問，有兩種執(zhí)行方法：若訪問權(quán)限為訪問者所有，典型的作法為特權(quán)標記或特殊授權(quán)，即僅為用戶及相應活動進程進行授權(quán)；若為訪問數(shù)據(jù)所有則可以采用訪問控制表（ACL）。（4）訪問控制；對用戶的訪問權(quán)限進行控制。是在不同的終端系統(tǒng)之間協(xié)商建立共同采用的安全策略，包括安全策略實施所在層次、具體采用的認證、加密算法和步驟、如何處理差錯。在TCSEC劃分了7個安全等級：D級、C1級、C2級、B1級、B2級、B3級和A1級。在C1系統(tǒng)中，所有的用戶以同樣的靈敏度來處理數(shù)據(jù)，即用戶認為C1系統(tǒng)中的所有文檔都具有相同的機密性。B2系統(tǒng)必須滿足B1系統(tǒng)的所有要求。目前，A類安全等級只包含A1一個安全類別。 計算機信息系統(tǒng)的安全模型主要又訪問監(jiān)控器模型、軍用安全模仿和信息流模型等三類模型，它們是定義計算機信息系統(tǒng)安全等級劃分標準的依據(jù)。（2）允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。表33 分組過濾技術(shù)工作特點應用層TCP層IP層數(shù)據(jù)鏈路層物理層過濾一般基于一個IP分組的以下各域：第一、源/目的IP地址；第二、TCP/UDP源/目的端口。 入侵檢測系統(tǒng)入侵檢測系統(tǒng)功能構(gòu)成，包括事件提取、入侵分析、入侵響應和遠程管理四部分如圖33所示。根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測和誤用人侵檢測。閾值設(shè)定得過大，那漏警率會很高；閾值設(shè)定的過小，則虛警率就會提高。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為，是一種直接的方法。該方法類似于病毒檢測系統(tǒng)，其檢測的準確率和效率都比較高。隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復雜化和大型化，系統(tǒng)的弱點或漏洞將趨向于分布式。代理可以針對特定的應用環(huán)境進行配置和編程，使得代理占用負載最小。所有通過的包不僅要接受防火墻檢測規(guī)則的驗證，還需要經(jīng)過入侵檢測，判斷是否具有攻擊性，以達到真正的實時阻斷，這實際上是把兩個產(chǎn)品合成一體。 數(shù)據(jù)加密原理數(shù)據(jù)加密是通過某種函數(shù)進行變換，把正常數(shù)據(jù)包文（稱為明文或明碼）轉(zhuǎn)換為密文（密碼）。在設(shè)計加密系統(tǒng)中，加密算法是可以公開的，真正需要保密的是密鑰，密鑰本質(zhì)是非常大的數(shù)，密鑰大小用位表示。另一個成功的分組加密算法，它的核心是一個乘法/加法非線性構(gòu)件，通過8輪迭代，能使明碼數(shù)據(jù)更好地擴散和混淆[16]。 計算機病毒的組成與分類經(jīng)對目前出現(xiàn)的計算機病毒的分析發(fā)現(xiàn)，所有計算機病毒都是由三部分組成的，即病毒引導模塊、病毒傳染模塊和病毒表現(xiàn)模塊。（3）網(wǎng)絡(luò)速度變慢或者出現(xiàn)一些陌生的網(wǎng)絡(luò)連接。它將所有的計算機病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當?shù)男袨?，系統(tǒng)就會有所警覺，并告知使用者；宏病毒陷阱技術(shù)是結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來偵測已知及未知的宏病毒。Telnet是常用的遠程控制Web服務器的方法。 防止賬號被暴力破解 黑客攻擊入侵，大部分利用漏洞，通過提升權(quán)限成為管理員，這一切都跟用戶賬號緊密相連。比如在“開始”“運行”輸入msconfig,執(zhí)行windows自帶“系統(tǒng)配置應用程序”。這類病毒大都是利用JavaScrit產(chǎn)生的一個死循環(huán)，它可以在有惡意的網(wǎng)站中出現(xiàn)，也可以被當作郵件發(fā)給用戶，當用戶打開html,vbs附件時，屏幕會出現(xiàn)無數(shù)個瀏覽器窗口，最后不得不重啟。For(x=0。(‘’)}/script/headbody onload=“openwindow()”/body/html本段代碼的功能是實現(xiàn)某網(wǎng)站的窗體無限地彈出。 Sniffer的檢測和防范（1）對于可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測；對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址ping，運行監(jiān)聽程序的機器會有響應，這是因為正常的機器不接收錯誤的物理地址，處理監(jiān)聽狀態(tài)的機器能接收，但如果它的Ipstack不再發(fā)反向檢查的話，就會響應。對此，我們必須采用有效的加密解密的程序來防止密文泄露，可以通過c語言來實現(xiàn)的加密和解密。key)。}其實現(xiàn)的功能是：對密碼字符按規(guī)律進行移位：如：明碼“a”若“key=2”的密碼實際上是“c”。key)。}其實現(xiàn)的功能是：對密碼字符按規(guī)律進行移位得到真實密碼：如：明碼“g”，若“key=4”,得到密碼是“c”。 拒絕服務攻擊及預防措施 在拒絕服務攻擊中，攻擊中加載過多的服務將對方資源全部耗盡，使得沒有多余資源供其他用戶使用，SYN Flood攻擊是典型的拒絕服務攻擊。從技術(shù)角度看，目前常用的安全手段有內(nèi)外網(wǎng)隔離技術(shù)、加密技術(shù)、身份認證、訪問控制、安全路由等，這些技術(shù)對防止非法入侵系統(tǒng)起到了一定的防御作用。學校信息系統(tǒng)采用客戶/服務器結(jié)構(gòu)，數(shù)據(jù)由網(wǎng)絡(luò)信息中心及網(wǎng)絡(luò)管理部門進行定期備份，對備份后的數(shù)據(jù)應有專人保管，確保發(fā)生意外情況時能及時恢復系統(tǒng)運行，加強監(jiān)督管理工作，使用過程中的重要信息記錄要保存到事故文件中，以便掌握使用情況，發(fā)生可疑現(xiàn)象，及時追查安全事故責任。（2）服務資源包括：內(nèi)部服務資源、公眾服務資源 內(nèi)部服務資源：面向已知客戶，管理和控制內(nèi)部用戶對信息資源的訪問。網(wǎng)絡(luò)的非法用戶可以通過猜測用戶口令，竊取口令的辦法，或者設(shè)法繞過網(wǎng)絡(luò)安全認證系統(tǒng)來冒充合法用戶，非法查看、下載、修改、刪除未授權(quán)訪問的信息，以及使用未授權(quán)的網(wǎng)絡(luò)服務。第三方的作用是負責向通信雙方秘密信息，并在雙方發(fā)生爭議時進行仲裁。因為備份軟件在執(zhí)行過程中，花費在搜索操作上的開銷很少。（5）差異備份 差異備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。由于不同內(nèi)部網(wǎng)的安全策略與防護目的不同，防火墻系統(tǒng)的配置與實現(xiàn)方式也有很大的區(qū)別。（5）對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權(quán)的用戶活動。（2）校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應用模式都比較了解，因此來自內(nèi)部的安全威脅更大一些。因此網(wǎng)絡(luò)安全防范體系應該是動態(tài)變化的，在完成安全防范體系的設(shè)計后，必須不斷適應安全環(huán)境的變化，以保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，確保它的有效性和先進性。防護、檢測和響應組成了一個完整的、動態(tài)的安全循環(huán)，在安全策略的指導下保證信息系統(tǒng)的安全。Rt代表從發(fā)現(xiàn)入侵行為開始，系統(tǒng)能夠做出足夠的響應，將系統(tǒng)調(diào)整到正常狀態(tài)的時間。針對于需要保護的安全