【導(dǎo)讀】題目校園網(wǎng)網(wǎng)絡(luò)的安全現(xiàn)狀及對(duì)策研究。專業(yè)信息管理與信息系統(tǒng)。完成畢業(yè)設(shè)計(jì)（論文）時(shí)間年月

　　

【正文】 Unix 系統(tǒng)直接使用的防火墻。 根據(jù)防火墻的工作原理，所有的防火墻從體系結(jié)構(gòu)上都可以分為數(shù)據(jù)獲取、應(yīng)用處理和數(shù)據(jù)傳輸三大部分。通常情況下，數(shù)據(jù)獲取和數(shù)據(jù)傳輸是由軟、硬件兩部分共同實(shí)現(xiàn)的 。其中，硬件部分一般是防火墻設(shè)備的網(wǎng)絡(luò)接口設(shè)備；數(shù)據(jù)獲取的軟件部分是負(fù)責(zé)將硬件獲取的網(wǎng)絡(luò)通訊信息從網(wǎng)絡(luò)接口設(shè)備的緩沖區(qū)傳送到操作系統(tǒng)緩沖區(qū)進(jìn)行處理的軟件代碼，數(shù)據(jù)傳輸?shù)能浖糠謩t是執(zhí)行與數(shù)據(jù)獲取相反的工作的軟件代碼，這些代碼主要作用是將防火墻需要發(fā)送的數(shù)據(jù)包從操作系統(tǒng)緩沖區(qū)中傳送到相應(yīng)的網(wǎng)絡(luò)接口設(shè)備并傳送出去。防火墻將接收到的數(shù)據(jù)包傳送給應(yīng)用功能模塊，進(jìn)行相應(yīng)的處理。 備份與恢復(fù) 建立完整的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必須實(shí)現(xiàn)以下內(nèi)容：計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份的自動(dòng)化，以減少系統(tǒng)管理員的工作量，使數(shù)據(jù)備份工作 制度化、科學(xué)化；網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用與研究；對(duì)介質(zhì)管理的有效化，防止讀寫操作的錯(cuò)誤；對(duì)數(shù)據(jù)形成分門別類的介質(zhì)存儲(chǔ)，使數(shù)據(jù)的保存更細(xì)致、科學(xué)；自動(dòng)介質(zhì)的清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命；以備份服務(wù)器形成備份中心，對(duì)各種平臺(tái)的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中的備份，系統(tǒng)管理員可以在任意一臺(tái)工作站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處理，集中管理的特點(diǎn)；維護(hù)人員可以容易地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類數(shù)據(jù)。備份系統(tǒng)還應(yīng)考慮網(wǎng)絡(luò)帶寬對(duì)備份性能的影響，備份服務(wù)器的平臺(tái)選擇及安全性，備份系統(tǒng)容量的適度冗余， 備份系統(tǒng)良好的擴(kuò)展性等因素。 入侵檢測(cè) (IDS) 為進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全性，需應(yīng)用入侵檢測(cè)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行實(shí)時(shí)檢測(cè)，即對(duì)網(wǎng)絡(luò)活動(dòng)和系統(tǒng)事件進(jìn)行實(shí)時(shí)監(jiān)控。實(shí)時(shí)入侵檢測(cè)強(qiáng)調(diào)時(shí)間性，是連續(xù)、不間斷地監(jiān)控、檢測(cè)、響應(yīng)、防護(hù)循環(huán)過程，實(shí)時(shí)入侵檢測(cè)必須實(shí)時(shí)執(zhí)行。 計(jì)算機(jī)信息網(wǎng)絡(luò)設(shè)置了防火墻后可以解決多數(shù)網(wǎng)絡(luò)安全問題，但是防火墻不是萬能的，不能提供實(shí)時(shí)的入侵檢測(cè)能力。有些攻擊行為僅僅依靠防火墻是不能防范的，比如如果攻擊行為從內(nèi)部網(wǎng)絡(luò)上發(fā)起，那么對(duì)主機(jī)的訪問就不需要通過防火墻，防火墻也就不能對(duì)主機(jī)進(jìn)行保 護(hù)了。一個(gè)簡(jiǎn)單的入侵檢測(cè)系統(tǒng)，如圖 32 所示。 圖 32 簡(jiǎn)單 IDS 系統(tǒng) 入侵監(jiān)測(cè)的功能通過執(zhí)行以下任務(wù)來實(shí)現(xiàn) :監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。 防火墻與入侵檢測(cè)這兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。目前，實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式可以實(shí)現(xiàn)，一種是實(shí)現(xiàn)緊密結(jié)合，即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中。所有通 過的數(shù)據(jù)包不僅要接受防火墻檢測(cè)規(guī)則的驗(yàn)證，還需要經(jīng)過入侵檢測(cè)，判斷是否具有攻擊性，以達(dá)到真正的實(shí)時(shí)阻斷。但是目前還沒有廠商做到這一步，仍處于理論研究階段。但是不容否認(rèn)，各個(gè)安全產(chǎn)品的緊密結(jié)合是一種趨勢(shì)。第二種方式是通過開放接口來實(shí)現(xiàn)聯(lián)動(dòng)，即防火墻或者入侵檢測(cè)系統(tǒng)開放一個(gè)接口供對(duì)方調(diào)用，按照一定的協(xié)議進(jìn)行通訊、警報(bào)和傳輸。這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。 計(jì)算機(jī)病毒防范 計(jì)算機(jī)病毒（ Computer Virus） 是 編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì) 算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。具有破壞性，復(fù)制性和傳染性。 隨著因特網(wǎng)技術(shù)的發(fā)展，計(jì)算機(jī)病毒的定義也在進(jìn)一步擴(kuò)大化，一些帶有惡意性質(zhì)的特洛伊木馬程序，黑客程序和蠕蟲程序等從廣義角度也被歸入計(jì)算機(jī)病毒的范疇。 從發(fā)展的 角度來看，計(jì)算機(jī)病毒屬于惡意代碼的一種，惡意代碼是一種程序，它可以表述為人為編制的，干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障，甚至破壞數(shù)據(jù)的計(jì)算機(jī)程序或指令集合。惡意代碼通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、程序。惡意軟件的傳染結(jié)果包括 浪費(fèi)資源、破壞系統(tǒng)、破壞一致性、數(shù)據(jù)丟失和被竊并能讓客戶端的用戶失去信心。 按傳播方式分類，惡意代碼分成幾類 :病毒、木馬、蠕蟲、間諜軟件及移動(dòng)代碼等。多種復(fù)合攻擊技術(shù)的使用已經(jīng)使安全防護(hù)不僅是針對(duì)互聯(lián)網(wǎng)早期某種病毒防護(hù)那么簡(jiǎn)單，而計(jì)算機(jī)病毒的防御是一個(gè)系統(tǒng)工程，內(nèi)容涉及防病毒軟件、補(bǔ)丁升級(jí)、以及合理的安全管理規(guī)范等方面。 漏洞掃描 計(jì)算機(jī)漏洞是系統(tǒng)的一組特性，惡意的主體 (攻擊者或者攻擊程序 )能夠利用這組特性，通過已授權(quán)的手段和方式獲取對(duì)資源的未授權(quán)訪問，或者對(duì)系統(tǒng)造成損害。漏洞掃描的基本原理是 采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的己知漏洞進(jìn)行逐項(xiàng)檢測(cè)，以便對(duì)工作站、服務(wù)器等各種對(duì)象進(jìn)行安全漏洞檢測(cè)。網(wǎng)絡(luò)漏洞掃描在保障網(wǎng)絡(luò)安全方面起到越來越重要的作用。借助網(wǎng)絡(luò)漏洞掃描，安全管理人員可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)存在的對(duì)外開放的端口、提供的服務(wù)某些系統(tǒng)信息、錯(cuò)誤的配置、已知的安全漏洞等。面對(duì)互聯(lián)網(wǎng)入侵，應(yīng)根據(jù)具體的應(yīng)用環(huán)境，盡可能早地用網(wǎng)絡(luò)掃描來發(fā)現(xiàn)安全漏洞，采取適當(dāng)?shù)奶幚泶胧行У刈柚谷肭质录陌l(fā)生。 虛擬專用網(wǎng) (VPN) 虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的 是依靠 ISP(Inter 服務(wù)提供商 )和其它 NSP(網(wǎng)絡(luò)服務(wù)提供商 )，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。 VPN 分為三種類型 :遠(yuǎn)程訪問虛擬網(wǎng)、企業(yè)內(nèi)部虛擬網(wǎng)和企業(yè)擴(kuò)展虛擬網(wǎng)，這三種類型的 VPN 分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra 以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra 相對(duì)應(yīng)。 其他網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)安全技術(shù)是解決校園網(wǎng)安全問題的基礎(chǔ)，我 們?cè)趯?duì)校園網(wǎng)安全分析時(shí)綜合采用了防火墻、入侵檢測(cè)、內(nèi)容過濾和安全評(píng)價(jià)等技術(shù)，提出了一些安全解決方案，以增強(qiáng)校園網(wǎng)絡(luò)的安全覆蓋范圍和程度。 關(guān)閉不必要的端口 以下是一些可能被攻擊的端口，一般情況下，應(yīng)該要把這些端口屏蔽掉。 （ 1） 23 端口。若這個(gè)端口開著非常的危險(xiǎn)，這個(gè)端口主要用做 TELNET 登錄。Tel 服務(wù)給我們的最直接的感受就是它可以使得我們忘掉電腦與電腦之間的距離。利用 23 端口的 Tel 我們可以象訪問本機(jī)那樣訪問遠(yuǎn)程的計(jì)算機(jī)。 Tel 協(xié)議的初衷是用來幫助我們對(duì)于計(jì)算機(jī)實(shí)現(xiàn)遠(yuǎn)程管理與維 護(hù)，以提高我們的工作效率。但在一定情況下反而成為了一個(gè)黑客攻擊最常利用的一個(gè)端口。若不懷好意的人利用Tel 服務(wù)登陸到 23 端口，就可以任意在對(duì)方電腦上上傳與下載數(shù)據(jù)，包括上傳木馬與病毒等等。 （ 2） 21 端口。這個(gè)端口主要用來運(yùn)行 FTP 服務(wù)。糟糕的是，這個(gè)端口，若管理不善的話，是可以用戶進(jìn)行匿名登陸的。并能夠利用這個(gè)端口遠(yuǎn)程登陸并運(yùn)行遠(yuǎn)程命令，這也就是說，可以在遠(yuǎn)程上傳木馬等工具并在遠(yuǎn)程控制其運(yùn)行。同時(shí)，還可以利用 FTP 服務(wù)了解到攻擊所需要的基本信息，如用的是什么操作系統(tǒng)等等；甚至能夠獲知可用的帳號(hào)，等 等。一般情況下，沒有必要開啟 21 號(hào)端口。 （ 3） 135 端口。通過 135 端口入侵實(shí)際上就是在利用操作系統(tǒng)的 RPC 漏洞。一般情況下， 135 端口主要用來實(shí)現(xiàn)遠(yuǎn)程過程調(diào)用。通過 RPC 可以保證在一臺(tái)計(jì)算機(jī)上運(yùn)行的程序可以順利地執(zhí)行遠(yuǎn)程計(jì)算機(jī)上的代碼。利用這個(gè)漏洞，可以通過這個(gè)端口得到電腦上的 “ 主機(jī) ” 文件。得到這個(gè)文件后，再利用一定的工具便可以知道該電腦上可用的計(jì)算機(jī)用戶名與密碼，甚至是管理員的用戶名與密碼。得到這個(gè)用戶名之后，如可以上傳木馬工具，隨意的查看重要的文件，并對(duì)進(jìn)行破壞和竊取。 鞏固安全策略 (1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、對(duì)外服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信； (2)利用防火墻建立網(wǎng)絡(luò)各主機(jī)和對(duì)外服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全； (3)利用防火墻對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕；利用防火墻加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)； (4)利用防火墻全面監(jiān)視對(duì)公開服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和阻止非法操作； (5)利用防火墻及各服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，在策略之后 建立第二條防線； (6)在本校區(qū)和各校區(qū)，利用入侵檢測(cè)系統(tǒng)，監(jiān)測(cè)對(duì)內(nèi)，對(duì)外服務(wù)器的訪問； (7)在本校區(qū)和各校區(qū)，利用入侵檢測(cè)系統(tǒng)，對(duì)服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被阻斷； (8)在 Inter 出口處，使用 NetHawk 網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)進(jìn)行網(wǎng)絡(luò)活動(dòng)實(shí)時(shí)監(jiān)控和內(nèi)容過濾； (9)在 校區(qū)部署 RJiTop 網(wǎng)絡(luò)隱患掃描系統(tǒng)，定期對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估，及時(shí)彌補(bǔ)出現(xiàn)的漏洞； (10)使用安全加固手段對(duì)現(xiàn)有服務(wù)器進(jìn)行安全配置，保障服務(wù)器本身的安全性； (11)加強(qiáng)網(wǎng)絡(luò)安全管理，提高 校園網(wǎng)系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。 結(jié) 語 通過對(duì)這次論文編寫，把平時(shí)學(xué)習(xí)中學(xué)到的知識(shí)運(yùn)用了到其中。同時(shí)也加深了我對(duì)平時(shí)學(xué)習(xí)中所沒有接觸過的知識(shí)的一個(gè)了解。從而提升了自己各方面的能力使我收益非淺，雖然我開始時(shí)遇到了很大困難，但是通過平時(shí)的學(xué)習(xí)和老師，同學(xué)的幫忙，最終都能夠解決。 通過這次的畢業(yè)設(shè)計(jì)讓我明白了自己很多的不足，但是也學(xué)會(huì)了很多。如利用各種方法去解決問題，而且去尋找問題的癥結(jié)才能對(duì)癥下藥。在那個(gè)的來說這次實(shí)踐讓我學(xué)會(huì)了很多要組建一個(gè)完善的校園網(wǎng)絡(luò)我還應(yīng) 該考慮更多，去學(xué)習(xí)更多如校園的先進(jìn)性、可靠性、經(jīng)濟(jì)性、可管理性、可擴(kuò)展性和安全性等需要更深一步去了解。但是我對(duì)于各種網(wǎng)絡(luò)設(shè)備的了解更進(jìn)一步，以及各種設(shè)備的命令的操作更加熟練。 由于自身水平的原因以及時(shí)間的關(guān)系，對(duì)校園網(wǎng)技術(shù)的研究還有不盡完善的地方，以后的工作中將對(duì)存在的問題及有待完善的地方進(jìn)行更深入的研究和分析，本文盡管對(duì)校園網(wǎng)絡(luò)安全進(jìn)行了較深入的研究，也提出了 校園 網(wǎng)絡(luò)安全的解決辦法，但是，計(jì)算機(jī)網(wǎng)絡(luò)安全的問題是一個(gè)永久的課題，它將隨著計(jì)算機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì) 算機(jī)網(wǎng)絡(luò)的安全防護(hù)的關(guān)系就像是“矛”和“盾”的關(guān)系一樣，沒有無堅(jiān)不摧的矛、也沒有無法攻破的盾。 致謝語 感謝 老師給予的指導(dǎo)，在老師的精心指導(dǎo)下我一定會(huì)順利的完成畢業(yè)論文。非常謝謝??！ 參考文獻(xiàn) [1] 校園網(wǎng)設(shè)計(jì)方案 . 杭州應(yīng)用工程技術(shù)學(xué)院 2020年 [2] 劉建培 .校園網(wǎng)信息安全探討 .網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 .2020， 10期 [3] 王峰．如何制定網(wǎng)絡(luò)安全策略．網(wǎng)絡(luò)通訊與安全， 2020年第 9期 [4] 楊波 .網(wǎng)絡(luò)安全理論與應(yīng)用．北京 :電子工業(yè)出版社， 2020年 [5] 王睿、林海波編著 .《網(wǎng)絡(luò)安全與防火墻技術(shù)》 .清華大學(xué)出版社， 2020年 [6] 吳小東 .淺談校園網(wǎng)安全問題及防范策略 [J].福州 :福建電腦 ,2020(2) [7] 李宗峰 .校園網(wǎng)絡(luò)安全問題及對(duì)策研究 [J].北京 :網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 ,2020(11)