【正文】 感謝寢室的每一位兄弟，是你們和我在一起的時間最多，一起去上課，一起玩游戲，一起吃飯，晚上一起講話，一起面對生活中的點(diǎn)點(diǎn)滴滴。 大學(xué)三年過去了，然而它依舊在我心里有著生的氣息。 ‘ 多業(yè)務(wù) ’ 的概念是指利用 ‘ 第三代服務(wù)型高校校園網(wǎng) ’ 良好的開放性和高性能，兼容種類繁多的終端設(shè)備和通信協(xié)議，將校園里的各種數(shù)字化業(yè)務(wù)安全、穩(wěn)定、高速地運(yùn)行在一張網(wǎng)上 ” 。透明的網(wǎng)絡(luò)、全面的服務(wù)機(jī)能滿足了不同人群的需求，使每一個人都享受到因網(wǎng)絡(luò)而帶來的滿意體驗(yàn)。 當(dāng)前，校園網(wǎng)的服務(wù)對象共涉及四類人群， “第三代服務(wù)型高校校園網(wǎng) ”給他們帶來的服務(wù)價值各不相同。 ”這就出現(xiàn)了第三代校園網(wǎng) “第三代高校校園網(wǎng)采用服務(wù)型的基礎(chǔ)架構(gòu)，能保證多業(yè)務(wù)安全、穩(wěn)定、高速的運(yùn)行，我們稱之為服務(wù)型高校校園網(wǎng) ”。 我對校園網(wǎng)發(fā)展的看法 智能融合成下一代校園網(wǎng)發(fā)展新趨勢 “經(jīng)過十年的發(fā)展，隨著校園網(wǎng)的不斷升級改造，其信息化發(fā)展目標(biāo)也逐漸清晰：首先，教育信息化一定是以業(yè)務(wù)為導(dǎo)向的；其次是以服務(wù)師生為目標(biāo)開展管理工作。 （ 5）廣播教學(xué) 在多媒體教室或全校所有工作站以廣播形式進(jìn)行教學(xué)或召開會議。 27 27 （ 2）電子閱覽 師生可以在校園網(wǎng)上調(diào)用自己需要的資料，并能夠?qū)崿F(xiàn)多人同時調(diào)用相同或不同的 資料，達(dá)到資源共享的效果。 注重校園網(wǎng)學(xué)習(xí)功能的開發(fā)應(yīng)用。信息資源庫包括多媒體素材庫、試題庫、學(xué)科資料庫、 VOD 視頻點(diǎn)播系統(tǒng)和多媒體課件庫。它投入少，回報大，充分應(yīng)用了網(wǎng)絡(luò)資源共享的優(yōu)勢。我們稱之為小資源庫。 信息資源庫是校 園網(wǎng)發(fā)揮其教學(xué)功能的基礎(chǔ)。由于校園網(wǎng)的特殊性，學(xué)校網(wǎng)管員要同時具備教育和網(wǎng)絡(luò)管理兩方面的專業(yè)知識。調(diào)查表明，大多數(shù)學(xué)校有 13 名網(wǎng)管人員，但他們除了承擔(dān)學(xué)校校園網(wǎng)的 管理、維護(hù)工作外，還要承擔(dān)相關(guān)學(xué)科的教學(xué)任務(wù)。校園網(wǎng)的管理也是一個薄弱的環(huán)節(jié)。但是，我們卻往往忽略了對他們進(jìn)行信息技術(shù)與課程整合的培訓(xùn)。為此，我們在校園網(wǎng)絡(luò)設(shè) 計上必須采用完善的網(wǎng)絡(luò)安全體系，對每一個進(jìn)入校園網(wǎng)的用戶進(jìn)行身份認(rèn)證，防止非法入侵，同時對校園網(wǎng)絡(luò)中的數(shù)據(jù)均采用先進(jìn)的加密技術(shù)，以確保校園網(wǎng)絡(luò)的安全性。一旦今后網(wǎng)絡(luò)需要擴(kuò)容，只需將百兆模塊替換成千兆模塊，便使網(wǎng)絡(luò)升級成千兆以太網(wǎng)。同時，部分經(jīng)濟(jì)發(fā)達(dá)地區(qū)的學(xué)校又安裝了許多類似Photoshop、 Auto CAD 等在高等校園比較普及但在中小學(xué)生中并不常用的應(yīng)用軟件，我認(rèn)為應(yīng)酌情考慮這是否有需要，以及學(xué)校的經(jīng)費(fèi)是否得到了合理的分配。因此，在中小學(xué)校園網(wǎng)的建設(shè)中應(yīng)避免片面追求網(wǎng)絡(luò)技術(shù)的先進(jìn)性，那將會脫離我們中小學(xué)教育教學(xué)發(fā)展的實(shí)際，結(jié)果只會造成設(shè)備的浪費(fèi)和閑置。 二、遵循建網(wǎng)的原則 當(dāng)今社會，信息產(chǎn)業(yè)技術(shù)更新的速度和價格下降、設(shè)備貶值的速度是同步的，因此我們必須考慮教育技術(shù)設(shè)備的投資效益，尤其是校園網(wǎng)絡(luò)建設(shè)這樣耗資巨大的投資。但由于其功率密度隨頻譜的展寬而降低，甚至可以將通信信號淹沒在自然背景噪聲中，因此其保密性很強(qiáng)。 WPI 采用公開密鑰體制，利用證書來對 WLAN 系統(tǒng)中的無線工作站 STA 和無線訪問點(diǎn) AP 進(jìn)行認(rèn)證。 WPA 是 IEEE 的一個子集，其核心就是 IEEE 和 TKIP。 WEP 24 24 認(rèn)證簡單，易于偽造，安全強(qiáng)度低。而且 MAC 地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。 無線網(wǎng)安全 無線局域網(wǎng)相對于有線局域網(wǎng)而言，其所增加的安全問題主要是由于其采用了電磁波作為載體來傳輸數(shù)據(jù)信號，而其他各方面的安全問題兩者是相同的。 IPSec 有兩種工作方式：即隧道（ Tunneling）模式和傳送（ Transport）模式。 2．?dāng)?shù)據(jù)源認(rèn)證。 5 網(wǎng)際協(xié)議安全 IPSec IPSec 是一套基 于加密技術(shù)的保護(hù)服務(wù)安全協(xié)議族。 3．連接協(xié)議層分配多個加密通道到一些邏輯通道上，它運(yùn)行在用戶認(rèn)證層協(xié)議之上，提供給更高層的應(yīng)用協(xié)議使用。使用 SSH可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密和壓縮，提供一個安全的網(wǎng)絡(luò) “通道 ”，加快傳輸?shù)乃俣?，而且也能夠防?DNS 欺騙和 IP 欺騙。 21 21 2．加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。 網(wǎng)絡(luò)安全服務(wù)協(xié)議 網(wǎng)絡(luò)安全服務(wù)協(xié)議可以在不同層次上提供網(wǎng)絡(luò)安全服務(wù)。 （ 4）通過使用瀏覽器中 “源文件 ”（ View Source）命令，用戶能夠打開當(dāng)前的HTML 源文件。同樣，利用 JavaScript 也可以 隱藏攻擊者頁面的真實(shí)URL。 （ 3）鏈接狀態(tài)欄 鏈接狀態(tài)提示當(dāng)前鏈接的各類信息，如顯示鏈接所指的 URL 地址，所鏈接的服務(wù)器名。 （ 2）誘騙 為了達(dá)到 Web 欺騙的目的，攻擊者必須要以某種方式誘騙用戶瀏覽攻擊者偽造的 Web 站點(diǎn)。 3. DNS 欺騙的防范 直接用 IP 訪問重要的服務(wù)，可以避免 DNS 對域名的解析過程，也就避開了 DNS欺騙攻擊。 DNS 服務(wù)器在收到傳來的網(wǎng)址以后，首先查詢本地的數(shù)據(jù)庫，查看數(shù)據(jù)庫中是否有和該網(wǎng)址對應(yīng)的記錄。 （ 2）路由器隔離 采用路由器隔離的辦法其主要依據(jù)是 MAC 地址作為以太網(wǎng)卡地址全球唯一不能改變原理。如果用戶在配置 TCP/IP 或修改 TCP/IP 配置時，使用的不是授權(quán)機(jī)構(gòu)分配的 IP 地址，就形成了 IP 地址盜用。 1. IP 欺騙原理 IP 欺騙是利用了主機(jī)之間的正常信任關(guān)系來發(fā)動的。 6．使用 DDoS 檢測工具 find_ddos 和反病毒軟件等，定期檢查系統(tǒng)是否有 DDoS攻擊工具軟件。 2．要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。在攻擊機(jī)上，會有一個 DDoS 的發(fā)包程序，黑客就是利用它來向受害目標(biāo)發(fā)送惡意攻擊包的。 2．占領(lǐng)傀儡機(jī) 黑客通過掃描工具等，發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器，隨后就是嘗試攻擊。 2 分布式拒絕服務(wù) DDoS 隨著計算機(jī)的處理能力迅速增長，內(nèi)存大大增加等，單存的 DoS 攻擊很難湊效，這時侯分布式的拒絕服務(wù)攻擊（ DDoS）就應(yīng)運(yùn)而生了。 4．安裝漏洞補(bǔ)丁 安裝操作系統(tǒng)和應(yīng)用程序等最新補(bǔ)丁程序也是解決緩沖溢出問題的最有效辦法。 memset（ str,0,sizeof（ str）） 。 memset（ str,0,sizeof（ str）） 。 3．代碼植入和流程控制 攻擊者定位一個可供溢出的自動變量，然后向程序傳遞一個很大的字符串，再引發(fā)緩沖區(qū)溢出，改變活動記錄的同時植入了代碼。 （ 2）利用已經(jīng) 存在的代碼。 執(zhí)行 ret = buffer + 12 這條語句后， ret 恰好指向 RET(buffer 地址和 RET 地址正好相差 12 個字節(jié) )。 coutxendl。 } void main（ ） { int x。 例如下面程序 ： include include void function（ int a） { char buffer[5]。 strcpy（ buffer,argv[1]） 。當(dāng)數(shù)據(jù)量超出緩沖區(qū)的長度時，多出來的數(shù)據(jù)就會破壞堆棧中的數(shù)據(jù)，導(dǎo)致應(yīng)用程序或整個系統(tǒng)的崩潰等故障；攻擊者還可以在溢出數(shù)據(jù)中加上精心設(shè)計的機(jī)器代碼，當(dāng)這些代碼溢出到緩沖區(qū)以外時會被執(zhí)行，就能達(dá)到破壞計算機(jī)系統(tǒng)目的，這就是所謂的緩沖區(qū)溢出（ buffer overflow）攻擊。 （ 7）判斷網(wǎng)絡(luò)是否有 Sniffer 的經(jīng)驗(yàn)。 （ 3）在 Windows 系統(tǒng)下，可以按下 Ctrl+Alt+Del 鍵，查看任務(wù)列表。 （ 3）嗅探器可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級別的訪問權(quán)限； （ 4）嗅探器可以分析網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行網(wǎng)絡(luò)滲透。他們可以將嗅探器接在網(wǎng)絡(luò)的某個點(diǎn)上，而這個點(diǎn)通常用肉眼不容易發(fā)現(xiàn)。 （ 3）直接方式，該模式下只有目標(biāo)網(wǎng)卡才能接收數(shù)據(jù)。如果使一臺主機(jī)能夠接收所有數(shù)據(jù)包，而不理會數(shù)據(jù)包頭內(nèi)容，這種方式通常稱為 “混雜 ”（ promiscuous）模式。 黑客要想迅速獲得他感興趣的信息，最為有效的手段之一就是使用 Sniffer 程序。 （ 4）運(yùn)用 VLAN。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。 （ 3）許多的網(wǎng)絡(luò)監(jiān)聽軟件都會嘗試進(jìn)行地址反向解析，在懷疑有網(wǎng)絡(luò)監(jiān)聽發(fā)生時可以在 DNS 系統(tǒng)上看到有沒有明顯增多的解析請求。當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個子網(wǎng)的時候，那么只要是有一臺主機(jī)處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個子網(wǎng)（使用了不同的掩碼、 IP 地址和網(wǎng)關(guān)）的主機(jī)數(shù)據(jù)包，也就是在同一個物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健? 網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽技術(shù)本來是提供給網(wǎng)絡(luò)安全管理人員進(jìn)行網(wǎng)絡(luò)管理的工具，可以用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?，黑客也可以利用網(wǎng)絡(luò)監(jiān)聽來截取主機(jī)口令等。 9 9 （ 4） S 持續(xù)使用 PORT 和 LIST 命令，直到對 T 上所有的選擇端口掃描完畢為止。這種掃描能夠看到運(yùn)行在某個端口上進(jìn)程的用戶名。 FIN 掃描通常適用于 Unix 目標(biāo)主機(jī)，而對 WindowsNT無效，所以這種方法可以用來區(qū)分目標(biāo)主機(jī)使用的操作系統(tǒng)。 當(dāng)接收到一個 RST|ACK 信息時，表示目標(biāo)端口是關(guān)閉的。 2 常用端口掃描技術(shù) 1． TCP connect（） 掃描 這是最基本的 TCP 掃描，操作系統(tǒng)提供的 connect（）系統(tǒng)調(diào)用，用來與每一個目標(biāo)計算機(jī)的端口進(jìn)行連接。用戶通過掃描結(jié)果對系統(tǒng)漏洞進(jìn)行修補(bǔ)，直到掃描報告中不再出現(xiàn)任何警告。 從整個信息安全角度來看的話，可以把掃描器大約分為三類：即： 1．?dāng)?shù)據(jù)庫安全掃描器 數(shù)據(jù)庫安全掃描器是針對數(shù)據(jù)庫管理系統(tǒng)的安全評估工具 ，如 Database Scanner。這些軟件的功能包括：快速分析和辨別Inter 連接的來源，標(biāo)識某個 IP 地址的地理位置，目標(biāo)網(wǎng)絡(luò) Whois 查詢等。 C:\WINDOWSping Pinging [] with 32 bytes of data: Reply from : bytes=32 time=641ms TTL=42 還可以利用 Whois 查詢得到目標(biāo)主機(jī)的 IP 地址分配、機(jī)構(gòu)地址位置和接入服務(wù)商等重要信息。 4．基于網(wǎng)絡(luò)的檢測技術(shù)。 2．基于主機(jī)的檢測技術(shù)。 了解信息從一臺計算機(jī)到達(dá)互聯(lián)網(wǎng)另一端的另一臺計算機(jī)傳 播路徑是非常重要的，目前最常見的檢測工具為 Traceroute，它是集成在 CyberKit 軟件包中。 Whois 查詢就是查詢域名和 IP 地址的注冊信息。 5 5 4．基于網(wǎng)絡(luò)的檢測技術(shù)。 2．基于主機(jī)的檢測技術(shù)。包括內(nèi)部網(wǎng)絡(luò)協(xié)議、拓?fù)浣Y(jié)構(gòu)、系統(tǒng)體系結(jié)構(gòu)和安全配置等。 目標(biāo)探測 一方面，目標(biāo)探測是防范不法黑客攻擊行為的手段之一，另一方面也是黑客進(jìn)行攻擊的第一步。 第八，可能會因?yàn)樾@網(wǎng)內(nèi)治理人員以及全體師生的安全意識不強(qiáng)、治理制度不 健全，帶來校園網(wǎng)的威脅。如瀏覽黃色、暴力、反動等網(wǎng)站，以及 由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)；內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起 DoS/DDoS 攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；校園網(wǎng)內(nèi)針對 的黑客程序隨處可見。由于沒有統(tǒng)一的資產(chǎn)治理和設(shè)備治理，出現(xiàn)安全問題后通常無法分清責(zé)任。 第四，目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。比如，企業(yè)網(wǎng)可以限制答應(yīng) Web 瀏覽和電子郵件的流量，甚至限制外部發(fā)起的連接不答應(yīng)進(jìn)入防火墻，但是在校園網(wǎng)環(huán)境下，至少在校園網(wǎng)的主干不能實(shí)施過多的限制，否則一些新應(yīng)用、新技術(shù)很難在校園網(wǎng)內(nèi) 部實(shí)施。中國的高校學(xué)生一般集中住宿，因而用戶群比較密集。 校園網(wǎng)各部分之間的協(xié)調(diào) ? 校園網(wǎng)中的每一部分都是必不可少的，而個部分之間的協(xié) 調(diào)工作保證了校園網(wǎng)的安全運(yùn)行， 服務(wù)器 是整個校園網(wǎng)的神經(jīng)中樞，是各個網(wǎng)點(diǎn)的信息保障，防火墻保證了校園網(wǎng)的安全，有效的防止病毒的入侵，保證了信息的安全和計算機(jī)的正常工作， 路由器 ，交換機(jī)的加入不但保證了網(wǎng)絡(luò)的正常 運(yùn)行，對其進(jìn)行設(shè)置后還有效的保證了網(wǎng)絡(luò)的高效性 和安全性 ， 光纖是連接各個設(shè)備的簡單而重要的物件 。它由纖維芯、包層和保護(hù)套組成。 ? 常見的網(wǎng)絡(luò)傳輸媒質(zhì) （ 1） 雙絞線（ Twisted Pair）：是由兩根相互絕緣的銅導(dǎo)線按照一定的規(guī)格互相纏繞在一起而成的網(wǎng)絡(luò)傳輸介質(zhì)。通常路由器有兩大典型功能，即數(shù)據(jù)通道功能和控制功能，數(shù)據(jù)通道功能一般由硬件來完成，控制功能一般用軟件來實(shí)現(xiàn)。 ? 網(wǎng)絡(luò)互聯(lián)設(shè)備 （ 1） 集線器（ HUB）：集線器是計算機(jī)網(wǎng)絡(luò)中連接多個計算機(jī)或其他設(shè)備的 2 2 連接設(shè)備。對于小型的 校園網(wǎng)絡(luò)，往往把 Web 服務(wù)、 FTP 服務(wù)、數(shù)據(jù)庫服務(wù)等集于一臺服務(wù)器上。 計算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)； 圖書館訪問系統(tǒng)，用于計算機(jī)查詢、計算機(jī)檢索、計算機(jī)閱讀等； 其他應(yīng)用，如大型分布式數(shù)據(jù)庫系統(tǒng)、超性能計算資源共享、管理系統(tǒng)、視頻會議等。一般來說 ,本地資源潛在的威脅有病毒、木馬、 Java 小程序及一些可以破壞本地系統(tǒng)的活動；網(wǎng)絡(luò)資源潛在的威脅有 IP 欺騙、系統(tǒng)探測、未經(jīng)