【正文】 電子工業(yè)出版社，2004[13] ：//[14] [15] ./web//products。計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)的關(guān)系就像是“矛”和“盾”的關(guān)系一樣，沒(méi)有無(wú)堅(jiān)不摧的矛、也沒(méi)有無(wú)法攻破的盾。從技術(shù)角度來(lái)講，計(jì)算機(jī)網(wǎng)絡(luò)安全又取決于網(wǎng)絡(luò)設(shè)備的硬件與軟件兩個(gè)方面，網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合才能較好地實(shí)現(xiàn)網(wǎng)絡(luò)安全。目前國(guó)內(nèi)許多高校存在校區(qū)分散的狀況，各校區(qū)間通信的安全連接還存在問(wèn)題。我建立了一套校園網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施，保證了制度的執(zhí)行。 備份與恢復(fù)建立完整的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必須實(shí)現(xiàn)以下內(nèi)容：計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份的自動(dòng)化，以減少系統(tǒng)管理員的工作量；使數(shù)據(jù)備份工作制度化，科學(xué)化；網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用與研究；對(duì)介質(zhì)管理的有效化，防止讀寫操作的錯(cuò)誤；對(duì)數(shù)據(jù)形成分門別類的介質(zhì)存儲(chǔ)，使數(shù)據(jù)的保存更細(xì)致、科學(xué)；自動(dòng)介質(zhì)的清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命；以備份服務(wù)器形成備份中心，對(duì)各種平臺(tái)的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中的備份，系統(tǒng)管理員可以在任意一臺(tái)工作站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處理，集中管理的特點(diǎn)；維護(hù)人員可以容易地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類數(shù)據(jù)。借助網(wǎng)絡(luò)漏洞掃描，安全管理人員可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)存在的對(duì)外開(kāi)放的端口、提供的服務(wù)某些系統(tǒng)信息、錯(cuò)誤的配置、已知的安全漏洞等。 漏洞掃描其基本原理是采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的己知漏洞進(jìn)行逐項(xiàng)檢測(cè)，以便對(duì)工作站、服務(wù)器等各種對(duì)象進(jìn)行安全漏洞檢測(cè)。這里的漏洞既包括單個(gè)計(jì)算機(jī)系統(tǒng)的脆弱性，也包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞。而計(jì)算機(jī)病毒的防御是一個(gè)系統(tǒng)工程，內(nèi)容涉及防病毒軟件、補(bǔ)丁升級(jí)、以及合理的安全管理規(guī)范等方面。按傳播方式分類，惡意代碼可以分成幾類:病毒，木馬，蠕蟲(chóng)，間諜軟件及移動(dòng)代碼等。惡意代碼通過(guò)把代碼在不被察覺(jué)的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。 計(jì)算機(jī)病毒防御計(jì)算機(jī)病毒是指編制或者在計(jì)算程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能夠自我復(fù)制或者在計(jì)算程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，隨著因特網(wǎng)技術(shù)的發(fā)展，這一計(jì)算機(jī)病毒的定義也在進(jìn)一步擴(kuò)大化，一些帶有惡意性質(zhì)的特洛伊木馬程序，黑客程序和蠕蟲(chóng)程序等從廣義角度也被歸入計(jì)算機(jī)病毒的范疇。目前開(kāi)放協(xié)議的常見(jiàn)形式有:安全廠家提供IDS的開(kāi)放接口，為各個(gè)防火墻廠商使用，以實(shí)現(xiàn)互動(dòng)。但是不容否認(rèn)，各個(gè)安全產(chǎn)品的緊密結(jié)合是一種趨勢(shì)。但是，由于入侵檢測(cè)系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng)，所以無(wú)論從實(shí)施難度、合成后的性能等方面都會(huì)因此受到很大影響。目前，實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式可以實(shí)現(xiàn)，一種是實(shí)現(xiàn)緊密結(jié)合，即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中，即入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源不再來(lái)自于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。異常行為模式的統(tǒng)計(jì)分析。系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。一個(gè)簡(jiǎn)單的入侵檢測(cè)系統(tǒng)，如圖32所示。計(jì)算機(jī)信息網(wǎng)絡(luò)設(shè)置了防火墻后可以解決多數(shù)網(wǎng)絡(luò)安全問(wèn)題，但是防火墻不是萬(wàn)能的，不能提供實(shí)時(shí)的入侵檢測(cè)能力。 入侵檢測(cè)(IDS)為進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全性，需應(yīng)用入侵檢測(cè)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行實(shí)時(shí)檢測(cè)，即對(duì)網(wǎng)絡(luò)活動(dòng)和系統(tǒng)事件進(jìn)行實(shí)時(shí)監(jiān)控。而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。虛擬專用網(wǎng)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。不同的防火墻可能具有不同的應(yīng)用功能，這些功能可能是包過(guò)濾、狀態(tài)檢測(cè)、內(nèi)容過(guò)濾、加密、NAT、IDS、VPN、各種代理服務(wù)等等。數(shù)據(jù)獲取的軟件部分是負(fù)責(zé)將硬件獲取的網(wǎng)絡(luò)通訊信息從網(wǎng)絡(luò)接口設(shè)備的緩沖區(qū)傳送到操作系統(tǒng)緩沖區(qū)進(jìn)行處理的軟件代碼，數(shù)據(jù)傳輸?shù)能浖糠謩t是執(zhí)行與數(shù)據(jù)獲取相反的工作的軟件代碼，這些代碼主要作用是將防火墻需要發(fā)送的數(shù)據(jù)包從操作系統(tǒng)緩沖區(qū)中傳送到相應(yīng)的網(wǎng)絡(luò)接口設(shè)備并傳送出去。通常情況下，數(shù)據(jù)獲取和數(shù)據(jù)傳輸是由軟、硬件兩部分共同實(shí)現(xiàn)的。軟件防火墻則是指對(duì)底層硬件沒(méi)有特殊要求，可以安裝在Windows、Unix系統(tǒng)直接使用的防火墻。軟件防火墻和硬件防火墻是個(gè)相對(duì)概念，基本上，所有的防火墻都需要軟件的處理部分。防火墻根據(jù)功能可以分成個(gè)人防火墻和網(wǎng)絡(luò)防火墻，根據(jù)實(shí)現(xiàn)方法可以分成硬件防火墻和軟件防火墻，根據(jù)結(jié)構(gòu)可以分成包過(guò)濾(packet filtering)、狀態(tài)檢測(cè)(State inspection)、應(yīng)用層代理(即application proxies)、內(nèi)容過(guò)濾/狀態(tài)包過(guò)濾(content filtering/state packet filtering)防火墻。 防火墻部署防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道執(zhí)行控制策略的防御系統(tǒng)。網(wǎng)絡(luò)層針對(duì)網(wǎng)絡(luò)底層數(shù)據(jù)的通訊安全提出解決方案。在用戶層，校園網(wǎng)絡(luò)安全體系的主要內(nèi)容包括用戶的管理，登錄，認(rèn)證。數(shù)據(jù)保密層重點(diǎn)關(guān)注應(yīng)用層的數(shù)據(jù)安全，因而在數(shù)據(jù)保密層優(yōu)先考慮數(shù)據(jù)加密算法。如果我們付出的代價(jià)比從安全體系中獲得的利益還要多，那么我們就不該采用這個(gè)方案。因此，在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)必須考慮系統(tǒng)資源的開(kāi)銷，要求安全防護(hù)系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。3) 高效性:構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運(yùn)行，如果安全影響了系統(tǒng)的運(yùn)行，那么就需要進(jìn)行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點(diǎn)。2) 可行性:設(shè)計(jì)網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實(shí)際因素，也只能是一些廢紙。 設(shè)計(jì)校園網(wǎng)絡(luò)安全體系的原則根據(jù)網(wǎng)絡(luò)安全性設(shè)計(jì)的要求設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)應(yīng)遵循安全性，可行性，高效性，可承擔(dān)性等原則，分別闡述如下：1) 安全性:設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是為保護(hù)信息與網(wǎng)絡(luò)系統(tǒng)的安全，所以安全性成為首要目標(biāo)。此外，在校園網(wǎng)建設(shè)的具體實(shí)施中需要注意的設(shè)計(jì)原則包括：l 堅(jiān)持開(kāi)放型，采用國(guó)際標(biāo)準(zhǔn)和通用標(biāo)準(zhǔn)；l 盡量采用先進(jìn)、成熟的組網(wǎng)技術(shù)；l 強(qiáng)調(diào)實(shí)用性、并盡可能達(dá)到性能價(jià)格比最優(yōu)；l 統(tǒng)一規(guī)劃、分布實(shí)施。網(wǎng)絡(luò)能夠容易得進(jìn)行擴(kuò)容、升級(jí)和管理?！? 校園安全的設(shè)計(jì)原則校園網(wǎng)覆蓋整個(gè)校區(qū)，在網(wǎng)絡(luò)性能上應(yīng)該考慮以下幾項(xiàng)要求：數(shù)據(jù)處理、通信處理能力強(qiáng)，響應(yīng)速度快。一旦安全管理與其它管理服務(wù)存在沖突的時(shí)候，網(wǎng)絡(luò)安全往往會(huì)作出讓步，或許正是由于一個(gè)細(xì)微的讓步，最終導(dǎo)致了整個(gè)系統(tǒng)的崩潰。規(guī)章制度作為一項(xiàng)核心內(nèi)容，應(yīng)始終貫穿于系統(tǒng)的安全生命周期。關(guān)閉網(wǎng)絡(luò)安全策略中沒(méi)有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時(shí)刪除不必要的賬號(hào)等措施可以將系統(tǒng)的危險(xiǎn)性大大降低。如因受客觀條件限制，難以對(duì)網(wǎng)絡(luò)操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行選擇，則其他核心軟件，如防火墻、入侵檢測(cè)、網(wǎng)絡(luò)安全漏洞掃描軟件等應(yīng)盡可能地選用經(jīng)國(guó)家網(wǎng)絡(luò)安全權(quán)威機(jī)構(gòu)評(píng)審?fù)ㄟ^(guò)的優(yōu)秀國(guó)產(chǎn)軟件。路由器、虛擬局域網(wǎng)(VLAN)、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段手段。采用網(wǎng)絡(luò)隔離手段可有效減小信息的傳播面，從而增加信息的安全性。妥善保管備份磁帶和文檔資料。 網(wǎng)絡(luò)安全系統(tǒng)策略的制定物理安全的目的是保護(hù)路由器、交換機(jī)、工作站、各種網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽(tīng)攻擊。在網(wǎng)絡(luò)安全的實(shí)施中，技術(shù)只是手段，還應(yīng)該先對(duì)網(wǎng)絡(luò)安全管理有個(gè)清晰的概念，然后制定翔實(shí)的安全策略，最后才是選擇合適的產(chǎn)品用以具體實(shí)施和構(gòu)建安全系統(tǒng)。本章重點(diǎn)討論校園網(wǎng)的安全策略，并在此基礎(chǔ)上簡(jiǎn)要地說(shuō)明校園網(wǎng)安全體系結(jié)構(gòu)的構(gòu)建，以及校園網(wǎng)網(wǎng)絡(luò)安全體系的內(nèi)容，校園網(wǎng)安全問(wèn)題對(duì)策所用到的關(guān)鍵技術(shù)。在校園網(wǎng)安全規(guī)劃時(shí), 對(duì)于在什么地方應(yīng)采取什么樣的安全措施, 事先都必須