【文章內容簡介】 Inter 的迅速發(fā)展，存取控制、邏輯連接數(shù)量不斷增加，軟件規(guī)?？涨芭蛎洠魏坞[含的缺陷、失誤都能造成巨大損。 2. 人們對計算機系統(tǒng)的需求在不斷擴大，這類需求在許失多方面都是不可逆轉、不可替代的。 3. 隨著計算機系統(tǒng)的廣泛應用，各類應用人員隊伍迅速發(fā)展壯大，教育和培訓卻往往跟不上知識更新的需要，操作人員、編程人員和系統(tǒng)分析人員的失誤和 缺乏經驗都會造成系統(tǒng)的安全功能不足。 4. 計算機網(wǎng)絡安全問題涉及許多學科領域，既包括自然科學，又包括社會科學。就計算機系統(tǒng)的應用而言，安全技術涉及計算機技術、通信技術、存取控制技術、檢驗認證技術、容錯技術、加密技術、防病毒技術、抗干擾技術、防泄漏技術等等，因此是一個非常復雜的綜合問題，并且其技術、方法和措施都要隨著系統(tǒng)應用環(huán)境的變化而不斷變化。 5. 從認識論的高度看，人們往往首先關注對系統(tǒng)的需要、功能，然后才被動地從現(xiàn)象注意系統(tǒng)應用的安全問題。因此廣泛存在著重應用輕安全、質量法律重慶信息技術職業(yè)學院畢業(yè)設計 第 4 頁 意識淡薄、計算機素質不 高的普遍現(xiàn)象。計算機系統(tǒng)的安全是相對不安全而言的，許多危險、隱患和攻擊都是隱藏的、潛在的、難以明確卻又廣泛存在的 。 校園網(wǎng)絡安全技術介紹 密碼學 密碼學是主要研究通信安全個保密的科學 [2]，他包括兩個分支：密碼編碼學和密碼分析學。密碼編碼學主要研究對信息進行變換，已保護信息在傳遞過程中不被敵方竊取、解讀和利用的方法，而密碼分析學則于密碼編碼學相反，它主要研究如何分析和破譯密碼。這兩者之間既互相對應又互相促進。密碼的基本思想是對機密信息進行偽裝。一個密碼系統(tǒng)完成如下偽裝：加密者對需要進行偽 裝機密信息（明文）進行偽裝進行變換（加密變換），得到另一種看起來似乎與原有信息不相關的表示（密文），如果合法者（接收者）獲得了偽裝后的信息，那么它可以通過事先約定的密鑰，從得到的信息中分析到原有的機信息（解密變換），而如果不合法的用戶（密碼分析者）試圖從這種偽裝后的信息中分析得到原有的機密信息，那么，要么這種分析過程是不可能，要么代價過于巨大，以至于無法進行。 密碼學 不只局限于對數(shù)據(jù)進行簡單的加密處理，而是包括加密、消息摘要、數(shù)字簽名及密鑰管理在內的所有涉及到密碼學知識的技術。網(wǎng)絡安全服務的實現(xiàn)離不開加密技 術的支持，應用加密技術不僅可以提供信息的保密性和數(shù)據(jù)完整性，而且能夠保證通信雙方身份的真實性。 由于網(wǎng)絡的出現(xiàn)以及發(fā)展，未來的密碼學也必定發(fā)展迅速。例如網(wǎng)絡簽名，網(wǎng)上銀行的安全，個人郵件信息的保護，都很需要密碼學的支持，推動密碼學的發(fā)展。 訪問控制 訪問控制是根據(jù)網(wǎng)絡中主體和客體之間的訪問授權關系，對訪問過程做出限制，可分為自主訪問控制和強制訪問控制。自主訪問控制主要基于主體及其身份來控制主體的活動，能夠實施用戶權限管理、訪問屬性（讀、寫、執(zhí)行）管理等。強制訪問控制則強調對每一主、客體進行密級劃 分，并采用敏感標識來標識主、客體的密級。 按用戶身份及其所歸屬的某預定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。訪問控制通常用于系統(tǒng)管理員控制用戶對服務器、目錄、文件等網(wǎng)絡資源的訪問。 訪問控制的功能主要有以下： ● 防止非法的主體進入受保護的網(wǎng)絡資源。 重慶信息技術職業(yè)學院畢業(yè)設計 第 5 頁 ● 允許合法用戶訪問受保護的網(wǎng)絡資源。 ● 防止合法的用戶對受保護的網(wǎng)絡資源進行非授權的訪問 。 訪問控制的類型：訪問控制可分為自主訪問控制和強制訪問控制兩大類。 自主訪問控制，是指由用戶有權對自身所創(chuàng)建的訪問對象 (文件、數(shù)據(jù)表等 )進 行訪問，并可將對這些對象的訪問權授予其他用戶和從授予權限的用戶收回其訪問權限。 身份認證 身份認證主要是通過標識和鑒別用戶的身份，防止攻擊者假冒合法用戶獲取訪問權限。對于一般的計算機網(wǎng)絡而言，主要考慮主機和節(jié)點的身份認證，至于用戶的身份認證可以由應用系統(tǒng)來實現(xiàn)。 身份認證技術是在計算機網(wǎng)絡中確認操作者身份的過程而產生的解決方法。 計算機網(wǎng)絡世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權也是針對用戶數(shù)字身份的授權。 如何保證以數(shù)字身份進 行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應，身份認證技術就是為了解決這個問題，作為防護網(wǎng)絡資產的第一道關口，身份認證有著舉足輕重的作用 。 安全監(jiān)控 安全監(jiān)控技術主要是對入侵行為的及時發(fā)現(xiàn)和反應，利用入侵者留下的痕跡（試圖登錄的失敗記錄、異常網(wǎng)絡流量）來有效地發(fā)現(xiàn)來自外部或內部的非法入侵 。 同時能夠對入侵做出及時的響應，包括斷開非法連接、報警等措施。安全監(jiān)控技術以探測與控制為主，起主動防御的作用。 安全監(jiān)控通過實時監(jiān)控網(wǎng)絡或主機活動，監(jiān)視分析用戶和系統(tǒng)的 行為，審計系統(tǒng)配置和漏洞，評估敏感系統(tǒng)和數(shù)據(jù)的完整性，識別攻擊行為，對異常行為進行統(tǒng)計和跟蹤，識別違反安全法規(guī)的行為，使用誘騙服務器記錄黑客行為等功能，使管理員有效地監(jiān)視、控制和評估網(wǎng)絡或主機系統(tǒng) 。 安全漏洞檢測 技術 安全漏洞檢測技術是指利用已知的攻擊手段對系統(tǒng)進行主動的弱點掃描，以求及時發(fā)現(xiàn)系統(tǒng)漏洞，同時給出漏洞報告，指導系統(tǒng)管理員采用系統(tǒng)軟件升級或關閉相關服務等手段避免受到這些攻擊。 所以在攻擊者入侵之前，能夠幫助系統(tǒng)管理員主動對網(wǎng)絡上的設備進行安全檢測。 如我們在一些網(wǎng)站系統(tǒng)的漏洞，通常是指 基于漏洞數(shù)據(jù)庫，通過掃描等手段，對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為 。 重慶信息技術職業(yè)學院畢業(yè)設計 第 6 頁 網(wǎng)站漏洞檢測是對你的網(wǎng)站進行全方位的掃描，檢查你當前的網(wǎng)頁是否有漏洞，如果有漏洞則需要馬上進行修復，否則網(wǎng)頁很容易受到網(wǎng)絡的傷害甚至被黑客借助于網(wǎng)頁的漏洞植入木馬，那么后果將不堪設想，一但發(fā)現(xiàn)有漏洞就要馬上修復，所以漏洞的檢測是我們在校園網(wǎng)絡安全中重要的技術。 防火墻 防火墻（ Firewall）是指在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)，是這一類防范措施總稱。防 火墻是在兩個網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度，它能允許“被同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將“不被同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡?；ヂ?lián)網(wǎng)上的防火墻是一種非常有效的網(wǎng)絡安全模型，通過它可以使企業(yè)內部局域網(wǎng)與 Inter 之間或者與其他外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪，從而達到保護內部網(wǎng)絡目的。 在計算機系統(tǒng)上，防火墻的安全防護性能是由防火墻、用戶設置的規(guī)則和計算機系統(tǒng)本身共同保證的。另外在建筑學上，原有的材料和布置的變化，將使防火墻失去作用，隨著時間的推移，一些經過阻燃處 理的材料，其阻燃性也逐步喪失。在計算機系統(tǒng)上也是如此，計算機系統(tǒng)網(wǎng)絡的變化，系統(tǒng)軟硬件環(huán)境的變化，也將使防火墻失去作用，而隨著時間的推移，防火墻原有的安全防護技術開始落后，防護功能也就慢慢地減弱了。它是根據(jù)訪問安全策略對兩個或者更多網(wǎng)絡之間的通信進行限制的軟件或硬件。 反 病毒技術 從反病毒產品對計算機病毒的作用來講，防毒技術可以直觀地分為：病毒預防技術、病毒檢測技術及病毒清除技術。 計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統(tǒng)的傳染和破壞。實際上這是一種動態(tài)判定技術，即一種行為 規(guī)則判定技術。也就是說，計算機病毒的預防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。具體來說，計算機病毒的預防是通過阻止計算機病毒進入系統(tǒng)內存或阻止計算機病毒對磁盤的操作，尤其是寫操作。 預防病毒技術包括：磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術、系統(tǒng)監(jiān)控技術等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅動器之間產生的信號。以及可能造成危害的寫命令，并且判斷磁盤當前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤 是否處于寫保護等，來確定病毒是否將要發(fā)作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前，對已知病毒的預防可以采用特征判定技術或靜態(tài)判定技術，而對未知病毒的預防則是一種行為規(guī)則的判定技術，即動態(tài)判定技術。 重慶信息技術職業(yè)學院畢業(yè)設計 第 7 頁 第 2 章 校園網(wǎng)絡安全防御系統(tǒng) 在校園網(wǎng)中一般 我們 所應用的 安全系統(tǒng)是非常重要的，包括防火墻系統(tǒng)、數(shù)據(jù)庫的管理系統(tǒng)、數(shù)據(jù)的備份與恢復系統(tǒng)、身份識別系統(tǒng)等等。 防火墻 系統(tǒng) 防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。 它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內部的信息、結構和運行狀況， 以此來實現(xiàn)網(wǎng)絡的安全保護。防火墻總體上分為包過濾、應用級網(wǎng)關和代理服務器等幾大類型。 防火墻及其功能 防火墻 （ Firewall）是在網(wǎng)絡之間執(zhí)行控制策略的系統(tǒng)，它包括硬件和軟件。在設計防火墻時，人們做了一個假設：防火墻保護的內部網(wǎng)絡是 “ 可信賴的網(wǎng)絡 ”（ trusted work）而外部網(wǎng)絡是 ““ 可信賴的網(wǎng)絡 ” （ untrusted work） ” 。設置防火墻的目的是保護內部網(wǎng)絡資源不被外部非授權的用戶使用，防止內部 受到外部非法用戶的攻擊?？偟膩碚f，防火墻的作用何體現(xiàn)在一下幾個方面：過濾出入網(wǎng)絡的數(shù)據(jù)，強化安全策略；對出入網(wǎng)絡的訪問行為進行管理和控制；對不安全的服務進行限制或攔截，盡可能不暴露對不安全的服務進行限制或攔 截，盡可能不暴露內部網(wǎng)絡；有效地記錄通過防火墻的信息內容和活動。 防火墻體系結構與實現(xiàn)模型 從組成結構來看，防火墻可通過一下幾種方式構建： （ 1） 分組過濾路由器。這種結構可以是帶有數(shù)據(jù)包過濾功能的路由器，也可以是基于主機的路由器。 （ 2） 雙宿主主機結構。給結構是圍繞著至少具有兩個網(wǎng)絡接口的雙宿主主機而構成的。這種主機分別連向內外部網(wǎng)絡，并使網(wǎng)絡的 IP 數(shù)據(jù)完全切斷。該主機還可以與本身 相連的若干網(wǎng)絡之間的路由器。 （ 3） 主機過濾結構。在該結構提供安全保護是主機僅僅與內部網(wǎng)連接；另外該結構還有一臺單獨的 過濾路由器，通常由路由器封鎖堡壘主機的特定端口，只允許一定數(shù)量的通信服務。 （ 4） 子網(wǎng)過濾結構。由于主機過濾結構中堡壘主機易受攻擊，所以該結構也就是在主機過濾結構中再加一層參數(shù)網(wǎng)絡的安全機制，使得內部網(wǎng)與外部網(wǎng)之間有兩層隔斷。 防火墻體系結構 圖如 。 重慶信息技術職業(yè)學院畢業(yè)設計 第 8 頁 圖 防火墻 校園網(wǎng) 數(shù)據(jù)庫管理 系統(tǒng) 數(shù)據(jù)庫管理 (Database Manager)是有關建立、存儲、修改和存取數(shù)據(jù)庫中信息的技術 [3]，是指為保證數(shù)據(jù)庫系統(tǒng)的正常運行和服務質量，有關人員須進行的技術管理工作。負責這些技術管理工作的個人或集體稱 為數(shù)據(jù)庫管理員 (DBA)。數(shù)據(jù)庫管理的主要內容有：數(shù)據(jù)庫的調優(yōu)、數(shù)據(jù)庫的重組、數(shù)據(jù)庫的重構、數(shù)據(jù)庫的安全管控、報錯問題的分析和匯總和處理、數(shù)據(jù)庫數(shù)據(jù)的日常備份 . 數(shù)據(jù)庫的建立：數(shù)據(jù)庫的設計只是提供了數(shù)據(jù)的類型、邏輯結構、聯(lián)系、約束和存儲結構等有關數(shù)據(jù)的描述。這些描述稱為數(shù)據(jù)模式 ： 1. 數(shù)據(jù)操作： DBMS 提供數(shù)據(jù)操作語言 DML（ Data Manipulation Language），供用戶實現(xiàn)對數(shù)據(jù)的追加、刪除、更新、查詢等操作。 2. 數(shù)據(jù)庫的運行管理：數(shù)據(jù)庫的運行管理功能是 DBMS 的運行控制、管理功能，包括多用戶環(huán)境下的并發(fā)控制、安全性檢查和存取限制控制、完整性檢查和執(zhí)行、運行日志的組織管理、事務的管理和自動恢復，即保證事務的原子性。這些功能保證了數(shù)據(jù)庫系統(tǒng)的正常運行。 3. 數(shù)據(jù)組織、存儲與管理： DBMS 要分類組織、存儲和管理各種數(shù)據(jù)，包括數(shù)據(jù)字典、用戶數(shù)據(jù)、存取路徑等，需確定以何種文件結構和存取方式在存儲級上組織這些數(shù)據(jù)，如何實現(xiàn)數(shù)據(jù)之間的聯(lián)系。數(shù)據(jù)組織和存儲的基本目標是提高存儲空間利用率，選擇合適的存取方法提高存取效率。 重慶信息技術職業(yè)學院畢業(yè)設計 第 9 頁 4. 數(shù)據(jù)庫的保護：數(shù)據(jù)庫中的數(shù)據(jù)是信息社會的戰(zhàn)略資源，隨數(shù)據(jù)的保 護至關重要。 DBMS 對數(shù)據(jù)庫的保護通過 4 個方面來實現(xiàn)：數(shù)據(jù)庫的恢復、數(shù)據(jù)庫的并發(fā)控制、數(shù)據(jù)庫的完整性控制、數(shù)據(jù)庫安全性控制。 DBMS 的其他 保護功能還有系統(tǒng)緩沖區(qū)的管理以及數(shù)據(jù)存儲的某些自適應調節(jié)機制等 。 5. 數(shù)據(jù)庫的維護：這一部分包括數(shù)據(jù)庫的數(shù)據(jù)載入、轉換、轉儲、數(shù)據(jù)庫的重組合重構以及性能監(jiān)控等功能，這些功能分別由各個使用程序來完成。 6. 通信： DBMS 具有與操作系統(tǒng)的聯(lián)機處理、分時系統(tǒng)及遠程作業(yè)輸入的相關接口，負責處理數(shù)據(jù)的傳送。對網(wǎng)絡環(huán)境下的數(shù)據(jù)庫系統(tǒng)，還應該包括 DBMS與網(wǎng)絡中其他軟件系統(tǒng)的 通信功能以及數(shù)據(jù)庫之間的互操作功能。 數(shù)據(jù)備份與恢復 系統(tǒng) 1. 備份及備份的原因 “備份”是數(shù)據(jù)的副本，用于在系統(tǒng)發(fā)生故障后還原和恢復數(shù)據(jù)。就是為了恢復數(shù)據(jù)而備份。當數(shù)據(jù)庫出現(xiàn)了故障或被破壞時，以后可以利用備份進行數(shù)據(jù)庫恢復。也可以通過備份，將數(shù)據(jù)庫從一臺服務器上復制到另一臺服務器上。通過適當備份，可以從多種故障中恢復，包括：系統(tǒng)故障、用戶錯誤（例如，誤刪除了某個表、某個數(shù)據(jù)）、硬件故障（磁盤驅動器損壞）自然災害。 2. 數(shù)