【文章內(nèi)容簡(jiǎn)介】 問(wèn)并隱藏真實(shí)身份。終端系統(tǒng)漏洞主要有三個(gè)方面：一是普通計(jì)算機(jī)和服務(wù)器操作系統(tǒng)等軟件漏洞。校園網(wǎng)中廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是windows操作系統(tǒng)，也有較少部分的其他類型操作系統(tǒng)，這些系統(tǒng)都存在各種各樣的安全漏洞，許多計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染的。二是校園網(wǎng)絡(luò)硬件設(shè)備漏 課程設(shè)計(jì) 報(bào)告 洞。連接校園網(wǎng)絡(luò)各基礎(chǔ)設(shè)施的硬件設(shè)備（如交換機(jī)、防火墻等），基本工作原理是運(yùn)行存儲(chǔ)在芯片中的程序，實(shí)現(xiàn)一系列功能，這些程序或多或少的都會(huì)存在一些漏洞，這些漏洞給入侵者提供了攻擊網(wǎng)絡(luò)的可能。三是校園網(wǎng)站、各單位基于web的業(yè)務(wù)管理系統(tǒng)等代碼漏洞。校園網(wǎng)絡(luò)上運(yùn)行著大量的網(wǎng)站和眾多的業(yè)務(wù)管理系統(tǒng)，對(duì)校內(nèi)和校外提供豐富多彩的工作、學(xué)習(xí)和娛樂(lè)等內(nèi)容，但這些站點(diǎn)的代碼在編寫(xiě)過(guò)程中，存在很多不嚴(yán)謹(jǐn)?shù)牡胤?，甚至有些程序設(shè)計(jì)人員可能會(huì)在代碼中留下一些后門程序，這給攻擊者留下了攻擊的途徑。 實(shí)際上有相當(dāng)一部分的因特網(wǎng)訪問(wèn)是與正常的工作無(wú)關(guān)的，有人利用校園網(wǎng)資源從事商業(yè)活動(dòng)或大量的視頻、軟件資源下載服務(wù)，有人甚至去訪問(wèn)一些不健康的甚至反動(dòng)站點(diǎn)，從而導(dǎo)致大量非法內(nèi)容或垃圾郵件甚至一些木馬程序的進(jìn)入，占用了大量珍貴的網(wǎng)絡(luò)資源，嚴(yán)重浪費(fèi)了校園網(wǎng)資源，造成流量堵寨、子網(wǎng)速度慢等問(wèn)題。 隨著校同內(nèi)對(duì)計(jì)算機(jī)虛用的需求，接入校園網(wǎng)的計(jì)算機(jī)日益增加，校園網(wǎng)安全管理制度缺失問(wèn)題也越發(fā)嚴(yán)重。校園網(wǎng)經(jīng)常會(huì)發(fā)生計(jì)算機(jī)病毒泛濫、信息丟失數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重情況。校園網(wǎng)的建設(shè)普遍存在著重運(yùn)行、輕管理的現(xiàn)象。而且當(dāng)前很多高校校園網(wǎng)絡(luò)建設(shè)存在重硬件、輕軟件及重運(yùn)行、輕管理的兩種極端現(xiàn)象，網(wǎng)絡(luò)建設(shè)者通常將網(wǎng)絡(luò)系統(tǒng)作為一項(xiàng)純技術(shù)工程來(lái)實(shí)施，沒(méi)有建立一套完善的安全管理方案，網(wǎng)絡(luò)管理員只需將精力集中于日常的簡(jiǎn)單事務(wù)管理上，如上網(wǎng)線路的故障維護(hù)、賬號(hào)的開(kāi)通和維護(hù)、服務(wù)器的日常管理和業(yè)務(wù)應(yīng)用系統(tǒng)的日常維護(hù)等，網(wǎng)絡(luò)規(guī)范化、安全化管理嚴(yán)重不足，很少關(guān)注和研究網(wǎng)絡(luò)入侵手段、防范措施、安全機(jī)制等內(nèi)容。 雖然高校校園網(wǎng)絡(luò)建設(shè)者和使用者具備足夠的安全意識(shí)，但可能會(huì)陷于安全技術(shù)能力不足的缺憾。網(wǎng)絡(luò)管理者不具備豐富的安全管理經(jīng)驗(yàn)和技術(shù)能力，就 課程設(shè)計(jì) 報(bào)告 無(wú)從談起對(duì)網(wǎng)絡(luò)的安全保障，至多只能防范和處理一些簡(jiǎn)單的安全威脅，遇到重大問(wèn)題，通常只能求助于校外專業(yè)人士。網(wǎng)絡(luò)使用者的安全技術(shù)能力更是嚴(yán)重不足，絕大多數(shù)的用戶只是簡(jiǎn)單的使用計(jì)算機(jī)和網(wǎng)絡(luò)，安全防范措施一般只是安裝殺毒軟件，期望殺毒軟件能解決所有安全問(wèn)題，但這往往是不可能的。 五 對(duì)于每一個(gè)入校園網(wǎng)的用戶，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名、密碼、用戶pc機(jī)的mac地址、用戶pc所在交換機(jī)的ip地址、用戶pc所在交換機(jī)的端口號(hào)，通過(guò)以上的信息的綁定，可以避免了個(gè)人信息被盜用，當(dāng)安全事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息就可以準(zhǔn)確定位到該用戶，便于事情的處理。 網(wǎng)絡(luò)管理者一般應(yīng)通過(guò)四種策略來(lái)防范和控制病毒在校園網(wǎng)中的廣泛傳播：一是在網(wǎng)關(guān)處禁止常見(jiàn)病毒的入侵，關(guān)閉校園網(wǎng)絡(luò)對(duì)外的可能產(chǎn)生病毒入侵的端口。二是在校園網(wǎng)內(nèi)安裝具有計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計(jì)算機(jī)病毒防治產(chǎn)品，在整個(gè)校園網(wǎng)內(nèi)采取病毒防范措施。三是查找到病毒宿主機(jī)，對(duì)其實(shí)施隔離措施，將用戶的網(wǎng)絡(luò)訪問(wèn)強(qiáng)行定向到校內(nèi)在線殺毒站點(diǎn)進(jìn)行病毒查殺。四是對(duì)服務(wù)器等重要設(shè)備設(shè)定安全策略（如固定端口開(kāi)放、審核策略、網(wǎng)絡(luò)訪問(wèn)許可策略等），監(jiān)控系統(tǒng)狀態(tài)，有效防范校園網(wǎng)絡(luò)內(nèi)的病毒和惡意入侵。 通過(guò)對(duì)每一個(gè)arp報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)arp報(bào)文中的源ip和源mac是否和端口安全規(guī)則一致，如果不一致，視為更改了ip地址，所以的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的arp欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的ip，造成網(wǎng)絡(luò)通訊的混 課程設(shè)計(jì) 報(bào)告 亂。 設(shè)置漏洞管理系統(tǒng)，能夠有效避免由漏洞攻擊導(dǎo)致的安全問(wèn)題。它從漏洞的整個(gè)生命周期著手，在周期的不同階段采取不同的措施，是一個(gè)循環(huán)、周期執(zhí)行的工作流程。對(duì)用戶網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行自動(dòng)發(fā)現(xiàn)并按照資產(chǎn)重要性進(jìn)行分類；自動(dòng)周期對(duì)網(wǎng)絡(luò)資產(chǎn)的漏洞進(jìn)行評(píng)估并將結(jié)果自動(dòng)發(fā)送和保存；采用業(yè)界權(quán)威的分析模型對(duì)漏洞評(píng)估的結(jié)果進(jìn)行定性和定量的風(fēng)險(xiǎn)分析，并根據(jù)資產(chǎn)重要性給出可操作性強(qiáng)的漏洞修復(fù)方案；根據(jù)漏洞修復(fù)方案，對(duì)網(wǎng)絡(luò)資產(chǎn)中存在的漏洞進(jìn)行合理的修復(fù)或者調(diào)整網(wǎng)絡(luò)的整體安全策略進(jìn)行規(guī)避；對(duì)修復(fù)完畢的漏洞進(jìn)行修復(fù)確認(rèn)：定期重復(fù)上述步驟。 通過(guò)漏洞管理將網(wǎng)絡(luò)資產(chǎn)按照重要性進(jìn)行分類，自動(dòng)周期升級(jí)并對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行評(píng)估，最后自動(dòng)將風(fēng)險(xiǎn)評(píng)估結(jié)果自動(dòng)發(fā)送給相關(guān)責(zé)任人，大大降低人工維護(hù)成本。漏洞管理系統(tǒng)包括硬件平臺(tái)和管理控制臺(tái)，部署在網(wǎng)絡(luò)的核心交換機(jī)處，對(duì)整個(gè)網(wǎng)絡(luò)中的資產(chǎn)提供漏洞管理功能。 防火墻系統(tǒng)是一種建立在現(xiàn)在同學(xué)網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)的應(yīng)用性安全技術(shù)產(chǎn)品，是一種使用較早的，也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品。防火墻通過(guò)控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。在需要隔離的網(wǎng)絡(luò)區(qū)域之間設(shè)置防火墻。典型地，在internet與校園網(wǎng)之間部署一臺(tái)防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。將、mail、ftp、dns等服務(wù)器連接在防火墻的dmz區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與internet連接。那么，通過(guò)internet進(jìn)來(lái)的公眾用戶只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù)（如 課程設(shè)計(jì) 報(bào)告 、mail、ftp、dns等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)