【正文】 信息安全服務(wù)的技術(shù)措施，包括所使用的可能方法，主要是利用密碼算法對重要而敏感的數(shù)據(jù)進行處理。 人為的惡意攻擊這是計算算計網(wǎng)絡(luò)所面臨的最大威脅，敵人的攻擊和計算機犯罪就屬于這一類。完整性是一種面向信息安全的安全性，要求保持信息的原樣，即信息正確的生成、存儲和傳輸。凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。要突破這樣的簡單系統(tǒng)，只需要獲得對終端或串行終端口的物理訪問權(quán)限即可。因為網(wǎng)絡(luò)安全事故可能隨時發(fā)生，并且其災(zāi)難后果也難以預(yù)測，就像我們生活中的交通事故一樣。他們主要通過撥號式掃描方式尋找應(yīng)答MODEM，從而獲得未授權(quán)訪問的機會。 可靠性可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下、規(guī)定時間內(nèi)完成規(guī)定功能的特性。 可控性可控性是對網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性，即網(wǎng)絡(luò)系統(tǒng)中的任何信息要在一定傳輸范圍和存放空間內(nèi)可控。被動攻擊是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要的機密信息。 加密機制加密是提供數(shù)據(jù)保密性的基本方法，用加密方法和認證機制相結(jié)合，可提供數(shù)據(jù)的保密性和完整性。216。攻擊者使用“最易滲原則”，必然會對系統(tǒng)中最薄弱的地方進行攻擊。其實這一原則與前面的“均衡性原則”類似，但側(cè)重點不同，前者側(cè)重于同一校園網(wǎng)角度來考慮，而后者是從整個行業(yè)的角度出發(fā)。實際上，保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項標準以形成合理的評估準則，更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層級結(jié)構(gòu)和系統(tǒng)設(shè)計的基本原則，分析網(wǎng)絡(luò)的各個不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢。 操作失誤（如刪除文件，格式化硬盤，線路拆除等），意外疏漏（如系統(tǒng)掉電、死機等系統(tǒng)崩潰）。此外，對移動模式內(nèi)的某個節(jié)點進行攻擊，讓它不停地提供服務(wù)或進行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱為能源消耗攻擊。物理層主要是從冗余（設(shè)備和線路）方面入手，配置高效穩(wěn)定的局域網(wǎng)運行環(huán)境。216。 在系統(tǒng)芯片組中設(shè)置有 “容錯閾值”。在正常情況下，雙線路連接均可以負擔(dān)用戶對核心層交換機的連接請求，一旦其中一臺核心交換機出現(xiàn)故障，服務(wù)器和下級交換機仍可以通過與另外一臺核心交換機連接，提供完整的網(wǎng)絡(luò)線路，為網(wǎng)絡(luò)用戶提供服務(wù)。限定用戶不得把賬戶信息以明文方式記錄在任何地方。網(wǎng)絡(luò)備份能夠?qū)崿F(xiàn)定時自動備份，大大減輕管理員的壓力。 網(wǎng)絡(luò)備份的最終目的是保障網(wǎng)絡(luò)系統(tǒng)的順利運行。 重定向恢復(fù) 　 重定向恢復(fù)是將備份的文件恢復(fù)到另一個不同的位置或系統(tǒng)上去，而不是進行備份操作時它們當(dāng)時所在的位置。 encryption schemes由此可以看出，鏈路加密只是用于保護數(shù)據(jù)在通信機節(jié)點間的傳輸安全，結(jié)點中的數(shù)據(jù)并不是加密的。為了防范這種欺騙我們就可以在結(jié)點進行MAC地址綁定，但是要注意的是并不是在所有的客戶機上都做IP與MAC地址綁定。首先創(chuàng)建VLAN并命名，然后將端口分派給該VLAN。所謂的代理防火墻，是指代表客戶處理在服務(wù)器連接請求的程序。因此有許多的缺點。根據(jù)現(xiàn)在防火墻的主流產(chǎn)品我們選用Cisco ASA5510系列的產(chǎn)品進行介紹：根據(jù)上圖配置步驟：一、密碼配置Ciscoasa(config)passwd 123456用于telnet登陸ASA的密碼Ciscoasa(config)enable password 123456 進入enable特權(quán)模式的密碼Ciscoasa(config)hostname ASA5510設(shè)備命名二、接口配置Ciscoasa(config)interface Ethernet0/1進入e0/1接口配置模式Ciscoasa(configif)nameif outside 將該接口命名為outsideCiscoasa(config)interface Ethernet0/2 進入e0/2接口配置模式Ciscoasa(configif)nameif inside 將該接口命名為insideCiscoasa(config)interface Ethernet0/3 進入e0/3接口配置模式Ciscoasa(configif)nameif dmz 將該接口命名為dmz一般的情況將E0/1命為外網(wǎng)接口，將E0/2命為內(nèi)網(wǎng)接口，將E0/3命名為DMZ接口。上海絕大部分地方也實現(xiàn)覆蓋。IEEE 標準中主要包含加密技術(shù)：TKIP (Temporal Key Integrity Protocol) 和AES(Advanced Encryption Standard)，以及認證協(xié)議： 。 無線客戶端該組件是運行需要訪問網(wǎng)絡(luò)資源的應(yīng)用程序的計算機或設(shè)備。遠程訪問策略通過無線AP強制訪問網(wǎng)絡(luò)，連接請求策略確定如何處理來自各種配置為Radius客戶端的無線AP的Radius請求。 WLAN安全性必須配置兩個主要的軟件解決方案組件。一面非法諸如的非法接入。 在學(xué)校園區(qū)無線網(wǎng)絡(luò)環(huán)境中，考慮到網(wǎng)絡(luò)覆蓋范圍以及終端用戶數(shù)量，AP和無線網(wǎng)卡的數(shù)量必將大大增加，同時由于使用的用戶較多，安全隱患也相應(yīng)增加，此時簡單的WPAPSK已經(jīng)不能滿足此類用戶的需求。 配置訪問控制列表216。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機)，當(dāng)外部防火墻失效的時候，它還可以起到保護內(nèi)部網(wǎng)絡(luò)的功能。防火墻檢查傳入IP數(shù)據(jù)包并且阻止那些它檢測為入侵性質(zhì)的數(shù)據(jù)包。（NAT）防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷訪問請求是否安全，當(dāng)符合規(guī)則時，防火墻認為訪問是安全的、可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。VLAN可以把同一個物理網(wǎng)絡(luò)劃分為多個邏輯網(wǎng)段，因此，VLAN可以抑制網(wǎng)絡(luò)風(fēng)暴，增強網(wǎng)絡(luò)的安全性。 端到端加密示意圖 encryption schemes MAC地址綁定在數(shù)據(jù)鏈路層中，用來標識結(jié)點的就是其MAC地址，它是在局域網(wǎng)中進行網(wǎng)絡(luò)通信的基礎(chǔ)。鏈路加密是指傳輸數(shù)據(jù)僅在OSI/RM數(shù)據(jù)鏈路層上進行加密，只對中間的傳輸鏈路進行加密，不考慮信源和信宿（也就是信號發(fā)送結(jié)點和接受結(jié)點）。216。 (HeartSone Backup)系統(tǒng)是一個合適的在線備份解決方案。 在網(wǎng)絡(luò)系統(tǒng)安全建設(shè)中必不可少的一個環(huán)節(jié)就是數(shù)據(jù)的常規(guī)備份和歷史保存。賬戶安全管理方面應(yīng)該主要考慮一下幾個主要因素（其他方面可根據(jù)實際需要進行擴展）。網(wǎng)路線路冗余是通過對關(guān)鍵設(shè)備提供冗余鏈路來實現(xiàn)的。這個做熱備的內(nèi)存容量應(yīng)大于等于所在通道的最大內(nèi)存條的容量，以滿足內(nèi)存數(shù)據(jù)遷移的最大容量需求。更好的設(shè)備都有可能出現(xiàn)故障，只是不知道具體出現(xiàn)故障的時間，網(wǎng)絡(luò)設(shè)備一出現(xiàn)故障，就可能導(dǎo)致整個網(wǎng)絡(luò)線路出現(xiàn)故障。 總體設(shè)計概覽圖 An overview of the overall design of a figure 另外為了防止這個校區(qū)內(nèi)病毒的傳播、感染和破壞，我們在校園網(wǎng)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防毒措施，部署防毒組件，規(guī)劃如下：在校園邊界網(wǎng)絡(luò)安裝包過濾防火墻；在學(xué)校服務(wù)上安裝服務(wù)器端殺毒軟件；在行政、教學(xué)單位的各個分支分別安裝客戶端殺毒軟件；學(xué)校的網(wǎng)絡(luò)中心負責(zé)整個校園網(wǎng)的升級工作，分發(fā)殺毒軟件的升級文件（包括病毒定義碼、掃描引擎、程序文件等）到校內(nèi)所有用機，并對殺毒軟件網(wǎng)絡(luò)版進行更新。這是侵入某個安全防線的最為通用的方法。 設(shè)備物理安全主要是指對網(wǎng)絡(luò)硬件設(shè)備的破壞。216。當(dāng)然，我們知道，要真正評價評價一耳光這么大的網(wǎng)絡(luò)系統(tǒng)的安全性，并做到一個均衡點，確實很難做到，只能從校園網(wǎng)用戶需求和具體網(wǎng)絡(luò)應(yīng)用環(huán)境出發(fā)進行細致的分析?！澳就霸瓌t”就是為了保證網(wǎng)絡(luò)安全系統(tǒng)隊對所有方面均要求有一個適當(dāng)?shù)谋Ｗo，而不是只強調(diào)某一方面的保護。②數(shù)據(jù)單元序列完整性：要求所有發(fā)送數(shù)據(jù)單元序列編號的連續(xù)性和時間標記的正確性，以防止假冒、丟失、換包、重發(fā)、插入或修改數(shù)據(jù)序列。 破壞數(shù)據(jù)完整性破壞數(shù)據(jù)完整性是指以非法手段得到對數(shù)據(jù)信息的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。216。 完整性完整性是確保信息在傳輸過程中不被刪除、修改、偽造、亂序、重放、插入等破壞和丟失。從本質(zhì)上講，計算機網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)的信息安全。最早的網(wǎng)絡(luò)是由連接啞鈴終端到中央服務(wù)器的串行點到點線路構(gòu)成的?，F(xiàn)在的網(wǎng)絡(luò)安全問題不再僅是幾個計算機病毒那么簡單。試試的系統(tǒng)主要通過回撥技術(shù)來保證的?？煽啃允窍到y(tǒng)安全的基本要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的基本目標?？煽匦宰钪匾捏w現(xiàn)是全局監(jiān)控、預(yù)警能力和應(yīng)急響應(yīng)處理能力。這兩種攻擊均對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。加密形式可適用于OSI參考模型的不同層（會話層除外），加密機制還包括密鑰管理機制。 通信業(yè)務(wù)填充機制該機制的目的是對抗非法攻擊者在傳輸信道上監(jiān)聽信息以及非法進行流量和流向分析。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析、評估和檢測（包括模擬攻擊），是設(shè)計信息安全系統(tǒng)的必要前提條件。雖然說高檔的硬件防火墻產(chǎn)品可以實現(xiàn)更好的安全保護，但它的價格往往是很多高校難以承受的。216。配置漏洞主要是指服務(wù)器、防火墻、路由器、交換機配置時考慮不全面而造成一些漏洞（例如密碼太簡單、ACL規(guī)則不完善等），導(dǎo)致一些略懂或精通網(wǎng)絡(luò)設(shè)備管理技術(shù)的人員可以通過網(wǎng)絡(luò)容易取得硬件設(shè)備的控制權(quán)，然后對其進行適當(dāng)?shù)男薷模麄€網(wǎng)絡(luò)都在其的控制之下，嚴重時甚至?xí)?dǎo)致整個校園網(wǎng)絡(luò)癱瘓。惡意的網(wǎng)絡(luò)攻擊是指利用黑客技術(shù)對校園網(wǎng)絡(luò)系統(tǒng)或應(yīng)用服務(wù)器進行破壞。數(shù)據(jù)鏈路層主要從MAC地址的綁定，數(shù)據(jù)的加密以及VLAN的劃分分別來配置局域網(wǎng)安全。 電源與風(fēng)扇的冗余在服務(wù)器、交換機、路由器和防火墻的這些關(guān)鍵的網(wǎng)絡(luò)設(shè)備中，一般比較高檔的設(shè)備都有電源和風(fēng)扇的冗余，因為這兩個組件比較容易發(fā)生故障。如果任意內(nèi)存達到了“容錯閾值”，其所在通道就被標示出來，另一個通道單獨工作。 線路冗余 Line redundancy在物理層方的安全保護方面，網(wǎng)絡(luò)中心機房和用戶賬戶的安全管理也是一個重要的方面。 限定用戶登入時允許嘗試的最多次數(shù)。備份系統(tǒng)能根據(jù)用戶的實際需求，定義需要備份的數(shù)據(jù)，然后以圖形界面方式根據(jù)需要設(shè)置備份時間表，備份系統(tǒng)將自動啟動備份作業(yè)，無需人工干預(yù)。所以優(yōu)秀的網(wǎng)絡(luò)備份方案應(yīng)能夠備份系統(tǒng)的關(guān)鍵數(shù)據(jù)，在網(wǎng)絡(luò)出現(xiàn)故障甚至損壞時，能夠迅速地恢復(fù)網(wǎng)絡(luò)系統(tǒng)。重定向恢復(fù)可以是整個系統(tǒng)恢復(fù)也可以是個別文件恢復(fù)。在到達目的結(jié)點之前，一條消息可能要經(jīng)過許多條通信鏈路的傳輸，中間還要經(jīng)過許多中間結(jié)點這樣也就需要加、解密多次。因為ARP主要欺騙的是網(wǎng)關(guān)服務(wù)器，所以只需要在交換機、路由器或防火墻內(nèi)進行IP地址與MAC地址綁定。SwitchenableSwitchconfigure terminalEnter configuration mands, one per line. End with CNTL/Z.Switch(config)vlan 10在全局配置模式下創(chuàng)建Switch(configvlan)name MathSwitch(configvlan)exSwitch(config) database下面配置vlan在此模式下創(chuàng)建VLAN看起來比較直觀，但這種方法比較陳舊，一般不常用這樣方法，體方法如下所述。當(dāng)代理服務(wù)器得到一個客戶的連接意圖時，它們將何時客戶請求，并經(jīng)過特定的安全化的Proxy應(yīng)用程序處理連接請求，將處理后的請求傳遞到真是的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。例如，ICMP協(xié)議設(shè)計為TCP/IP內(nèi)的一個信號機制，但是這很容易導(dǎo)致濫用，并且可能導(dǎo)致諸如拒絕服務(wù)攻擊等問題，內(nèi)部防火墻比外圍防火墻具有更嚴格的要求。Ciscoasa(configif)securitylevel 100 (100指權(quán)限，數(shù)字越高權(quán)限越高)一般情況下E0/1的權(quán)限為0，E0/2的權(quán)限是100， E0/3的權(quán)限是50。因為其減少了布線的繁雜性以及移動的方便性，現(xiàn)在校園網(wǎng)也慢慢向無線這一塊轉(zhuǎn)型 。IEEE 。客戶端可加密網(wǎng)絡(luò)通信量、存儲并安全交換憑據(jù)（如密鑰或密碼）?？蛻舳擞嬎銠C的Active Directory 組策略包含所有將部署到基于Windows XP/7的客戶端計算機設(shè)置。 內(nèi)部網(wǎng)絡(luò)該組件是聯(lián)網(wǎng)服務(wù)的安全區(qū)域，無線客戶端應(yīng)用需要獲得對它的訪問權(quán)限。同樣我們可以對每個端口的MAC地址和路由器進行綁定。通常情況下不會配備專用的認證服務(wù)器，這種情況下，可直接采用AP進行認證，WPA2PSK+AP隱藏可以保證基本的安全級別。（ACL）配置配置訪問控制列表的一般步驟216。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問。內(nèi)部網(wǎng)絡(luò)則連接各個內(nèi)部服務(wù)器（如數(shù)據(jù)庫）和內(nèi)部用戶。包過濾的路由器也具有這樣的功能。Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(configif )interface fa0/20 進入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面我們定義的訪問策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪問列表 這種方式只能和上面的基于端口綁定或基于MAC地址訪問與基于IP的訪問控制列表組合來使用才能達到IPMAC 綁定功能，具體解決方案如下：Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch