【正文】 參考文獻(xiàn) 20 參考文獻(xiàn) [1] 張國(guó)祥．校園網(wǎng)網(wǎng)絡(luò)層安全技術(shù)研究．湖北師范學(xué)院學(xué)報(bào)，第 21 卷 第 3 期 [2] 校園網(wǎng)設(shè)計(jì)方案 . 杭州應(yīng)用工程技術(shù)學(xué)院 2020 年 [3] 劉建培 .校園網(wǎng)信息安全探討 .網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 .2020， 10 期 [4] 王峰．如何制定網(wǎng)絡(luò)安全策略．網(wǎng)絡(luò)通訊與安全， 2020 年第 9 期 [5] 建榕基．入侵檢測(cè)與漏洞掃描．計(jì)算機(jī)安全， 2020 年第 9 期 [6] Sadat Malik． Network Security Principles and Practices．人民郵電出版社 ,2020 [7] 楊波 .網(wǎng)絡(luò)安全理論與應(yīng)用．北京 :電子工業(yè)出版社， 2020 年 [9] 李頻 ，唐家益 .虛擬專用網(wǎng)分類和比較研究．計(jì)算機(jī)工程， 2020 年 [11] 張堯?qū)W、王曉春、趙艷標(biāo) .《計(jì)算機(jī)網(wǎng)絡(luò)與 Inter 教程》 .清華大學(xué)出版社， 1999 年 [12] 王睿、林海波編著 .《網(wǎng)絡(luò)安全與防火墻技術(shù)》 .清華大學(xué)出版社， 2020 年 [13] John , Digital munications: principles and practice ,McGrawHill’ 2020 [14] David Lee, Campus Network Design 。 本文盡管對(duì)校園網(wǎng)絡(luò)安全進(jìn)行了較深入的研究，也提出了網(wǎng)絡(luò)安全的解決辦法，但是，計(jì)算機(jī)網(wǎng)絡(luò)安全的問題是一個(gè)永久的課題，它將隨著計(jì)算機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)安全取決于安全技 術(shù)與網(wǎng)絡(luò)管理兩大方面。 19 結(jié)束語 校園網(wǎng)面臨著一系列的安全問題受到來自外部和內(nèi)部的攻擊 (如病毒困擾，非授權(quán)訪問等 )。備份系統(tǒng)還應(yīng)考慮網(wǎng)絡(luò)帶寬對(duì)備份性能的 影響，備份服務(wù)器的平臺(tái)選擇及安全性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴(kuò)展性等因素 網(wǎng)絡(luò)管理的安全 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。面對(duì)互聯(lián)網(wǎng)入侵，如果根據(jù)具體的應(yīng)用環(huán)境，盡可能早地通過網(wǎng)絡(luò)掃描來發(fā)現(xiàn)安全漏洞，并及時(shí)采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，就可以有效地阻止入侵事件的發(fā)生。網(wǎng)絡(luò)漏洞掃描在保障網(wǎng)絡(luò)安全方面起到越來越重要的作用。當(dāng)系統(tǒng)的某個(gè)漏洞被入侵者滲透 (exploit)而造成泄密時(shí)，其結(jié)果就稱為一次安全事件(Security Incident)。 漏洞掃描 計(jì)算機(jī)漏洞是系統(tǒng)的一組特性，惡意的主體 (攻擊者或者攻擊程序能夠利用這組特性，通過已授權(quán)的手段和方式獲取對(duì)資源的未授權(quán)訪問，或者對(duì)系統(tǒng)造成損害。多種復(fù)合攻擊技術(shù)的使用已經(jīng)使得安全防護(hù)不僅僅是針對(duì) 互聯(lián)網(wǎng)早期某種病毒防護(hù)那么簡(jiǎn)單。惡意軟件的傳染結(jié)果包括浪費(fèi)資源、破壞系統(tǒng)、破壞一致性，數(shù)據(jù)丟失和被竊并能讓客戶端的用戶失去信心。 從發(fā)展的角度來看，計(jì)算機(jī)病毒屬于惡意代碼的一種，惡意代碼 (malicious code)是 一種程序，它可以表述為人為編制的，干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障，甚至破壞數(shù)據(jù)的計(jì)算機(jī)程序或指令集合都認(rèn)為是惡意代碼。這種方式比較靈活，不影響防 火墻和入侵檢測(cè)系統(tǒng)的性能。第二種方式是通過開放接口來實(shí)現(xiàn)聯(lián)動(dòng)，即防火墻或者入侵檢測(cè)系統(tǒng)開放一個(gè)接口供對(duì)方調(diào)用，按照一定的協(xié)議進(jìn)行通訊、警報(bào)和傳輸。所以，目前還沒有廠商做到這一步，仍處于理論研究階段。所有通過的 數(shù)據(jù) 包不僅要接受防火墻檢測(cè)規(guī)則的驗(yàn)證，還需要經(jīng)過入侵檢測(cè)，判斷 是否具有攻擊性，以達(dá)到真正的實(shí)時(shí)阻斷，這實(shí)際上是把兩個(gè)產(chǎn)品合成一體。 防火墻與入侵檢測(cè)這兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性 。識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警 。 圖 32 簡(jiǎn)單 IDS 系統(tǒng) 入侵監(jiān)測(cè)的功能通過執(zhí) 行以下任務(wù)來實(shí)現(xiàn) :監(jiān)視、分析用戶及系統(tǒng)活動(dòng) 。有些攻擊行為僅僅依靠防火墻是不能防范的，比如如果攻擊行為從內(nèi)部網(wǎng)絡(luò)上發(fā)起，那么對(duì)主機(jī)的訪問就不需要通過防火墻，防火墻也就不能對(duì)主機(jī)進(jìn)行保護(hù)了。實(shí)時(shí)入侵檢測(cè)強(qiáng)調(diào)時(shí)間性，是連續(xù)、不間斷地監(jiān)控、檢測(cè)、響應(yīng)、防護(hù)循環(huán)過程，實(shí)時(shí)入侵檢測(cè)必須實(shí)時(shí)執(zhí)行。 VPN 分為三種類型 :遠(yuǎn)程訪問虛擬網(wǎng) (Access VPN)、企業(yè)內(nèi)部虛擬網(wǎng) (Intra VPN)和企業(yè)擴(kuò)展虛擬網(wǎng) (Extra VPN)，這三種類型的 VPN 分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra 以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra相對(duì)應(yīng)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 16 有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。 虛擬專用網(wǎng) (VPN) 虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。防火墻將接收到的數(shù)據(jù)包 傳送給應(yīng)用功能模塊，進(jìn)行相應(yīng)的處理。其中，硬件部分一般是防火墻設(shè)備的網(wǎng)絡(luò)接口設(shè)備 。 根據(jù)防火墻的工作原理所有的防火墻從體系結(jié)構(gòu)上都可以分為數(shù)據(jù)獲取、應(yīng)用處理和數(shù)據(jù)傳輸三大部分。硬件防火墻指的是將防火墻軟件和特定硬件平臺(tái)集成在一起的應(yīng)用。防火墻結(jié)構(gòu)如圖 31 所示 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 15 圖 31 典型防火墻結(jié)構(gòu) 網(wǎng)絡(luò)防火墻用以保護(hù)企業(yè)網(wǎng)絡(luò)等較大的復(fù)雜網(wǎng)絡(luò)，以處理更多的用戶。它對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查，以決定通信是否被允許，對(duì)外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運(yùn)行狀況，并提供單一的安全和審計(jì)的安裝控制點(diǎn)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問和過濾不良信息目的。 解決校園網(wǎng)安全問題的關(guān)鍵技術(shù) 解決校園網(wǎng)安全問題的關(guān)鍵技術(shù)包括防火墻，虛擬專用網(wǎng)，入侵檢測(cè)，病毒防御，備份與恢復(fù)，漏洞掃描等。而系統(tǒng)層側(cè)重與操作系統(tǒng)的防病毒，入侵檢測(cè)，審計(jì)分析。應(yīng)用層的重點(diǎn)是網(wǎng)絡(luò)應(yīng)用中的存取控制和授權(quán)。 校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)內(nèi)容 一個(gè)完整的安全體系應(yīng)該包含五個(gè)安全層面，分別為數(shù)據(jù)保密層 ， 應(yīng)用層，用戶層 ， 系統(tǒng)層 和 網(wǎng)絡(luò)層。 4) 可承擔(dān)性 :網(wǎng)絡(luò)安全體系從設(shè)計(jì)到實(shí)施以及安全系統(tǒng)的后期維護(hù)、安全培訓(xùn) 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 14 等各個(gè)方面的工作都要由學(xué)校來 支持，要為此付出一定的代價(jià)和開銷。網(wǎng)絡(luò)系統(tǒng)的安全體系包含一些軟件和硬件，它們也會(huì)占用網(wǎng)絡(luò)系統(tǒng)的一些資源。設(shè) 計(jì)網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實(shí)施，如果實(shí)施的難度太大以至于無法實(shí)施，那么網(wǎng)絡(luò)安全體系本身也就沒有了實(shí)際價(jià)值。要保證體系的安全性，必須保證體系的完備性和可擴(kuò)展性。 校園網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計(jì) 構(gòu)建安全高 效的校園網(wǎng)絡(luò)是校園網(wǎng)建設(shè)的目標(biāo)之一，校園安全體系結(jié)構(gòu)的建設(shè)是其中的重要一環(huán)，安全體系設(shè)計(jì)的好壞是校園網(wǎng)成敗的關(guān)鍵。主干網(wǎng)的帶寬要高，可以支持多媒體等視頻業(yè)務(wù)的開展和滿足數(shù)據(jù)流量不斷增長(zhǎng)的要求。網(wǎng)絡(luò)運(yùn)行的安全性、可靠性高。因此，嚴(yán)格執(zhí)行安全管理制度 是網(wǎng)絡(luò)可靠運(yùn)行的重要保障。一般來說，安全與方便通常是互相矛盾的。 在網(wǎng)絡(luò)安全中，除了采用技術(shù)措施之外，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò) 安全、可靠地運(yùn)行將起到十分有效的作用。 最小授權(quán)原則指網(wǎng)絡(luò)中 賬號(hào) 設(shè)置服務(wù)配置主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。 在經(jīng)費(fèi)允許范圍內(nèi)，盡可能選用安全級(jí)別較高的網(wǎng)絡(luò)操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)，以安全套件加固 TCP/IP 各層。應(yīng)根 據(jù)業(yè)務(wù)劃分、保密要求等因素的差異將網(wǎng)絡(luò)進(jìn)行分段隔離，它可從底層有效地 控制信號(hào)傳播途徑及傳播范圍，實(shí)現(xiàn)更為細(xì)化的安全控制體系， 將攻擊和入侵造 成的威脅限制在較小的子網(wǎng)內(nèi)，提高網(wǎng)絡(luò)整體的安全水平。防止非法人員進(jìn)入機(jī)房進(jìn)行破壞活動(dòng)。確保網(wǎng)絡(luò)設(shè)備 有一個(gè)良好的電磁兼容工作環(huán)境 。 要建設(shè)一個(gè)安全的網(wǎng)絡(luò)安全體系，必須采取相應(yīng)的策略，根據(jù)實(shí)際的需求不 同，采取的 策略可能有一些不同之處，但大都包括下述策略。 校園網(wǎng)絡(luò)安全策略概述 隨著網(wǎng)絡(luò)應(yīng)用的開展，要建立一個(gè)安全的網(wǎng)絡(luò)體系，首先應(yīng)花較大的精力制 定周密的網(wǎng)絡(luò)安全策略，這是最重要的一步。 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 12 3 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 校園網(wǎng)安全問題愈來愈突出的同時(shí)，校園網(wǎng)安全的對(duì)策也越來越引起人們的關(guān)注。根據(jù)目前的技術(shù)水平 , 我們可采取身份驗(yàn)證、訪問控制、加密、防火墻技術(shù)、 記賬 、雙備份等安全措施來加以防范。 注意其可用性 , 使計(jì)算機(jī)的硬件和軟件保持有效的運(yùn)行 , 并且系統(tǒng) 在發(fā)生災(zāi)難時(shí)能夠快速完全地恢復(fù)。 根據(jù)本章所提出的校園網(wǎng)所面臨的安全威脅，我們除了選取良好的 拓?fù)?結(jié)構(gòu)外 , 一般還要注意安全保密 , 以防止信息的非授權(quán)訪問 。 5) 內(nèi)容過濾及技術(shù) 校園網(wǎng)的安全隱患 11 它能阻止不健康、反動(dòng)信息的復(fù)制、傳播。 4) 反垃圾郵件及技術(shù) 它能過濾、阻止大量的非正常的電子郵件。 3) 防病毒及技術(shù) 它能及時(shí)發(fā)現(xiàn)病毒，并清除，阻止病毒進(jìn)一步傳播、擴(kuò)散。入侵檢測(cè) 核心技術(shù)：模式匹配、基于統(tǒng)計(jì)方法、預(yù)測(cè)模式生成等。 2) 入侵檢測(cè)與防御及技術(shù) 它能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為，并阻止其進(jìn)一步發(fā)展。 防火墻性能：最大帶寬、并發(fā)連接數(shù)、每秒新增連接數(shù)、丟包和延遲；自身安全性 。 校園網(wǎng)安全防御與應(yīng)急關(guān)鍵設(shè)備技術(shù) 1) 防火墻及技術(shù) 它為網(wǎng)絡(luò)通信、數(shù)據(jù)傳輸提供更有保障的安全性。具體地說，其傳播方式有以下幾種。 計(jì)算機(jī)病毒的破壞 一般來說，計(jì)算機(jī)網(wǎng)絡(luò)的基本構(gòu)成包括網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)節(jié)點(diǎn)站（包括有盤工作站、無盤工作站和遠(yuǎn)程工作站）。 由于校園網(wǎng)規(guī)模巨大，各種設(shè)備系統(tǒng)差異有很大差異，給管理帶來了很大的挑戰(zhàn)，同時(shí)也成為黑客攻擊的對(duì)象 。他們伴隨著計(jì)算機(jī)和網(wǎng)絡(luò)