【正文】 信息安全服務的技術措施，包括所使用的可能方法，主要是利用密碼算法對重要而敏感的數(shù)據(jù)進行處理。 人為的惡意攻擊這是計算算計網(wǎng)絡所面臨的最大威脅，敵人的攻擊和計算機犯罪就屬于這一類。完整性是一種面向信息安全的安全性，要求保持信息的原樣，即信息正確的生成、存儲和傳輸。凡是涉及網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。要突破這樣的簡單系統(tǒng)，只需要獲得對終端或串行終端口的物理訪問權限即可。因為網(wǎng)絡安全事故可能隨時發(fā)生，并且其災難后果也難以預測，就像我們生活中的交通事故一樣。他們主要通過撥號式掃描方式尋找應答MODEM，從而獲得未授權訪問的機會。 可靠性可靠性是網(wǎng)絡信息系統(tǒng)能夠在規(guī)定條件下、規(guī)定時間內完成規(guī)定功能的特性。 可控性可控性是對網(wǎng)絡信息的傳播及內容具有控制能力的特性，即網(wǎng)絡系統(tǒng)中的任何信息要在一定傳輸范圍和存放空間內可控。被動攻擊是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要的機密信息。 加密機制加密是提供數(shù)據(jù)保密性的基本方法，用加密方法和認證機制相結合，可提供數(shù)據(jù)的保密性和完整性。216。攻擊者使用“最易滲原則”，必然會對系統(tǒng)中最薄弱的地方進行攻擊。其實這一原則與前面的“均衡性原則”類似，但側重點不同，前者側重于同一校園網(wǎng)角度來考慮，而后者是從整個行業(yè)的角度出發(fā)。實際上，保障網(wǎng)絡安全不但需要參考網(wǎng)絡安全的各項標準以形成合理的評估準則，更重要的是必須明確網(wǎng)絡安全的框架體系、安全防范的層級結構和系統(tǒng)設計的基本原則，分析網(wǎng)絡的各個不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢。 操作失誤（如刪除文件，格式化硬盤，線路拆除等），意外疏漏（如系統(tǒng)掉電、死機等系統(tǒng)崩潰）。此外，對移動模式內的某個節(jié)點進行攻擊，讓它不停地提供服務或進行數(shù)據(jù)包轉發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱為能源消耗攻擊。物理層主要是從冗余（設備和線路）方面入手，配置高效穩(wěn)定的局域網(wǎng)運行環(huán)境。216。 在系統(tǒng)芯片組中設置有 “容錯閾值”。在正常情況下，雙線路連接均可以負擔用戶對核心層交換機的連接請求，一旦其中一臺核心交換機出現(xiàn)故障，服務器和下級交換機仍可以通過與另外一臺核心交換機連接，提供完整的網(wǎng)絡線路，為網(wǎng)絡用戶提供服務。限定用戶不得把賬戶信息以明文方式記錄在任何地方。網(wǎng)絡備份能夠實現(xiàn)定時自動備份，大大減輕管理員的壓力。 網(wǎng)絡備份的最終目的是保障網(wǎng)絡系統(tǒng)的順利運行。 重定向恢復 　 重定向恢復是將備份的文件恢復到另一個不同的位置或系統(tǒng)上去，而不是進行備份操作時它們當時所在的位置。 encryption schemes由此可以看出，鏈路加密只是用于保護數(shù)據(jù)在通信機節(jié)點間的傳輸安全，結點中的數(shù)據(jù)并不是加密的。為了防范這種欺騙我們就可以在結點進行MAC地址綁定，但是要注意的是并不是在所有的客戶機上都做IP與MAC地址綁定。首先創(chuàng)建VLAN并命名，然后將端口分派給該VLAN。所謂的代理防火墻，是指代表客戶處理在服務器連接請求的程序。因此有許多的缺點。根據(jù)現(xiàn)在防火墻的主流產(chǎn)品我們選用Cisco ASA5510系列的產(chǎn)品進行介紹：根據(jù)上圖配置步驟：一、密碼配置Ciscoasa(config)passwd 123456用于telnet登陸ASA的密碼Ciscoasa(config)enable password 123456 進入enable特權模式的密碼Ciscoasa(config)hostname ASA5510設備命名二、接口配置Ciscoasa(config)interface Ethernet0/1進入e0/1接口配置模式Ciscoasa(configif)nameif outside 將該接口命名為outsideCiscoasa(config)interface Ethernet0/2 進入e0/2接口配置模式Ciscoasa(configif)nameif inside 將該接口命名為insideCiscoasa(config)interface Ethernet0/3 進入e0/3接口配置模式Ciscoasa(configif)nameif dmz 將該接口命名為dmz一般的情況將E0/1命為外網(wǎng)接口，將E0/2命為內網(wǎng)接口，將E0/3命名為DMZ接口。上海絕大部分地方也實現(xiàn)覆蓋。IEEE 標準中主要包含加密技術：TKIP (Temporal Key Integrity Protocol) 和AES(Advanced Encryption Standard)，以及認證協(xié)議： 。 無線客戶端該組件是運行需要訪問網(wǎng)絡資源的應用程序的計算機或設備。遠程訪問策略通過無線AP強制訪問網(wǎng)絡，連接請求策略確定如何處理來自各種配置為Radius客戶端的無線AP的Radius請求。 WLAN安全性必須配置兩個主要的軟件解決方案組件。一面非法諸如的非法接入。 在學校園區(qū)無線網(wǎng)絡環(huán)境中，考慮到網(wǎng)絡覆蓋范圍以及終端用戶數(shù)量，AP和無線網(wǎng)卡的數(shù)量必將大大增加，同時由于使用的用戶較多，安全隱患也相應增加，此時簡單的WPAPSK已經(jīng)不能滿足此類用戶的需求。 配置訪問控制列表216。內部防火墻是內部網(wǎng)絡的第三道安全防線(前面有了外部防火墻和堡壘主機)，當外部防火墻失效的時候，它還可以起到保護內部網(wǎng)絡的功能。防火墻檢查傳入IP數(shù)據(jù)包并且阻止那些它檢測為入侵性質的數(shù)據(jù)包。（NAT）防火墻根據(jù)預先定義好的映射規(guī)則來判斷訪問請求是否安全，當符合規(guī)則時，防火墻認為訪問是安全的、可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。VLAN可以把同一個物理網(wǎng)絡劃分為多個邏輯網(wǎng)段，因此，VLAN可以抑制網(wǎng)絡風暴，增強網(wǎng)絡的安全性。 端到端加密示意圖 encryption schemes MAC地址綁定在數(shù)據(jù)鏈路層中，用來標識結點的就是其MAC地址，它是在局域網(wǎng)中進行網(wǎng)絡通信的基礎。鏈路加密是指傳輸數(shù)據(jù)僅在OSI/RM數(shù)據(jù)鏈路層上進行加密，只對中間的傳輸鏈路進行加密，不考慮信源和信宿（也就是信號發(fā)送結點和接受結點）。216。 (HeartSone Backup)系統(tǒng)是一個合適的在線備份解決方案。 在網(wǎng)絡系統(tǒng)安全建設中必不可少的一個環(huán)節(jié)就是數(shù)據(jù)的常規(guī)備份和歷史保存。賬戶安全管理方面應該主要考慮一下幾個主要因素（其他方面可根據(jù)實際需要進行擴展）。網(wǎng)路線路冗余是通過對關鍵設備提供冗余鏈路來實現(xiàn)的。這個做熱備的內存容量應大于等于所在通道的最大內存條的容量，以滿足內存數(shù)據(jù)遷移的最大容量需求。更好的設備都有可能出現(xiàn)故障，只是不知道具體出現(xiàn)故障的時間，網(wǎng)絡設備一出現(xiàn)故障，就可能導致整個網(wǎng)絡線路出現(xiàn)故障。 總體設計概覽圖 An overview of the overall design of a figure 另外為了防止這個校區(qū)內病毒的傳播、感染和破壞，我們在校園網(wǎng)內可能感染和傳播病毒的地方采取相應的防毒措施，部署防毒組件，規(guī)劃如下：在校園邊界網(wǎng)絡安裝包過濾防火墻；在學校服務上安裝服務器端殺毒軟件；在行政、教學單位的各個分支分別安裝客戶端殺毒軟件；學校的網(wǎng)絡中心負責整個校園網(wǎng)的升級工作，分發(fā)殺毒軟件的升級文件（包括病毒定義碼、掃描引擎、程序文件等）到校內所有用機，并對殺毒軟件網(wǎng)絡版進行更新。這是侵入某個安全防線的最為通用的方法。 設備物理安全主要是指對網(wǎng)絡硬件設備的破壞。216。當然，我們知道，要真正評價評價一耳光這么大的網(wǎng)絡系統(tǒng)的安全性，并做到一個均衡點，確實很難做到，只能從校園網(wǎng)用戶需求和具體網(wǎng)絡應用環(huán)境出發(fā)進行細致的分析。“木桶原則”就是為了保證網(wǎng)絡安全系統(tǒng)隊對所有方面均要求有一個適當?shù)谋Ｗo，而不是只強調某一方面的保護。②數(shù)據(jù)單元序列完整性：要求所有發(fā)送數(shù)據(jù)單元序列編號的連續(xù)性和時間標記的正確性，以防止假冒、丟失、換包、重發(fā)、插入或修改數(shù)據(jù)序列。 破壞數(shù)據(jù)完整性破壞數(shù)據(jù)完整性是指以非法手段得到對數(shù)據(jù)信息的使用權，刪除、修改、插入或重發(fā)某些重要信息，惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。216。 完整性完整性是確保信息在傳輸過程中不被刪除、修改、偽造、亂序、重放、插入等破壞和丟失。從本質上講，計算機網(wǎng)絡安全就是網(wǎng)絡的信息安全。最早的網(wǎng)絡是由連接啞鈴終端到中央服務器的串行點到點線路構成的?，F(xiàn)在的網(wǎng)絡安全問題不再僅是幾個計算機病毒那么簡單。試試的系統(tǒng)主要通過回撥技術來保證的。可靠性是系統(tǒng)安全的基本要求之一，是所有網(wǎng)絡信息系統(tǒng)的基本目標?？煽匦宰钪匾捏w現(xiàn)是全局監(jiān)控、預警能力和應急響應處理能力。這兩種攻擊均對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄漏。加密形式可適用于OSI參考模型的不同層（會話層除外），加密機制還包括密鑰管理機制。 通信業(yè)務填充機制該機制的目的是對抗非法攻擊者在傳輸信道上監(jiān)聽信息以及非法進行流量和流向分析。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析、評估和檢測（包括模擬攻擊），是設計信息安全系統(tǒng)的必要前提條件。雖然說高檔的硬件防火墻產(chǎn)品可以實現(xiàn)更好的安全保護，但它的價格往往是很多高校難以承受的。216。配置漏洞主要是指服務器、防火墻、路由器、交換機配置時考慮不全面而造成一些漏洞（例如密碼太簡單、ACL規(guī)則不完善等），導致一些略懂或精通網(wǎng)絡設備管理技術的人員可以通過網(wǎng)絡容易取得硬件設備的控制權，然后對其進行適當?shù)男薷?，整個網(wǎng)絡都在其的控制之下，嚴重時甚至會導致整個校園網(wǎng)絡癱瘓。惡意的網(wǎng)絡攻擊是指利用黑客技術對校園網(wǎng)絡系統(tǒng)或應用服務器進行破壞。數(shù)據(jù)鏈路層主要從MAC地址的綁定，數(shù)據(jù)的加密以及VLAN的劃分分別來配置局域網(wǎng)安全。 電源與風扇的冗余在服務器、交換機、路由器和防火墻的這些關鍵的網(wǎng)絡設備中，一般比較高檔的設備都有電源和風扇的冗余，因為這兩個組件比較容易發(fā)生故障。如果任意內存達到了“容錯閾值”，其所在通道就被標示出來，另一個通道單獨工作。 線路冗余 Line redundancy在物理層方的安全保護方面，網(wǎng)絡中心機房和用戶賬戶的安全管理也是一個重要的方面。 限定用戶登入時允許嘗試的最多次數(shù)。備份系統(tǒng)能根據(jù)用戶的實際需求，定義需要備份的數(shù)據(jù)，然后以圖形界面方式根據(jù)需要設置備份時間表，備份系統(tǒng)將自動啟動備份作業(yè)，無需人工干預。所以優(yōu)秀的網(wǎng)絡備份方案應能夠備份系統(tǒng)的關鍵數(shù)據(jù)，在網(wǎng)絡出現(xiàn)故障甚至損壞時，能夠迅速地恢復網(wǎng)絡系統(tǒng)。重定向恢復可以是整個系統(tǒng)恢復也可以是個別文件恢復。在到達目的結點之前，一條消息可能要經(jīng)過許多條通信鏈路的傳輸，中間還要經(jīng)過許多中間結點這樣也就需要加、解密多次。因為ARP主要欺騙的是網(wǎng)關服務器，所以只需要在交換機、路由器或防火墻內進行IP地址與MAC地址綁定。SwitchenableSwitchconfigure terminalEnter configuration mands, one per line. End with CNTL/Z.Switch(config)vlan 10在全局配置模式下創(chuàng)建Switch(configvlan)name MathSwitch(configvlan)exSwitch(config) database下面配置vlan在此模式下創(chuàng)建VLAN看起來比較直觀，但這種方法比較陳舊，一般不常用這樣方法，體方法如下所述。當代理服務器得到一個客戶的連接意圖時，它們將何時客戶請求，并經(jīng)過特定的安全化的Proxy應用程序處理連接請求，將處理后的請求傳遞到真是的服務器上，然后接受服務器應答，并做進一步處理后，將答復交給發(fā)出請求的最終客戶。例如，ICMP協(xié)議設計為TCP/IP內的一個信號機制，但是這很容易導致濫用，并且可能導致諸如拒絕服務攻擊等問題，內部防火墻比外圍防火墻具有更嚴格的要求。Ciscoasa(configif)securitylevel 100 (100指權限，數(shù)字越高權限越高)一般情況下E0/1的權限為0，E0/2的權限是100， E0/3的權限是50。因為其減少了布線的繁雜性以及移動的方便性，現(xiàn)在校園網(wǎng)也慢慢向無線這一塊轉型 。IEEE 。客戶端可加密網(wǎng)絡通信量、存儲并安全交換憑據(jù)（如密鑰或密碼）。客戶端計算機的Active Directory 組策略包含所有將部署到基于Windows XP/7的客戶端計算機設置。 內部網(wǎng)絡該組件是聯(lián)網(wǎng)服務的安全區(qū)域，無線客戶端應用需要獲得對它的訪問權限。同樣我們可以對每個端口的MAC地址和路由器進行綁定。通常情況下不會配備專用的認證服務器，這種情況下，可直接采用AP進行認證，WPA2PSK+AP隱藏可以保證基本的安全級別。（ACL）配置配置訪問控制列表的一般步驟216。內部防火墻管理DMZ對于內部網(wǎng)絡的訪問。內部網(wǎng)絡則連接各個內部服務器（如數(shù)據(jù)庫）和內部用戶。包過濾的路由器也具有這樣的功能。Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(configif )interface fa0/20 進入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應用名為MAC10的訪問列表（即前面我們定義的訪問策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪問列表 這種方式只能和上面的基于端口綁定或基于MAC地址訪問與基于IP的訪問控制列表組合來使用才能達到IPMAC 綁定功能，具體解決方案如下：Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch