【正文】 uest 。 2. 包的透明轉(zhuǎn)發(fā)。主要作用為： 1. 包過濾。 隔離隔離主要應(yīng)用防火墻技術(shù)。 網(wǎng)絡(luò)防護 主要目的是隔離、檢測和認(rèn)證。 設(shè)計主要思路 物理防護物理措施防護：例如，保護網(wǎng)絡(luò)關(guān)鍵設(shè)備，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。3. 數(shù)據(jù)網(wǎng)絡(luò)傳輸安全分析●傳輸數(shù)據(jù)的保密性：防止非法用戶中途竊聽； ●傳輸數(shù)據(jù)的完整性：防止非授權(quán)修改數(shù)據(jù)。 系統(tǒng)的安全分析 1. 用戶端安全分析●用戶身份的確認(rèn)：防止假冒，非授權(quán)訪問； ●用戶數(shù)據(jù)信息的保密性：防止非授權(quán)讀??； ●用戶數(shù)據(jù)信息的完整性：防止非授權(quán)篡改數(shù)據(jù)； ●用戶數(shù)據(jù)信息的非否認(rèn)性：防止數(shù)據(jù)發(fā)送方或接收方抵賴。因此，構(gòu)建一個高效是校園信息網(wǎng)絡(luò)安全防御系統(tǒng)，保證校園網(wǎng)絡(luò)暢通和網(wǎng)絡(luò)用戶的安全，是校園信息化建設(shè)的關(guān)鍵問題。第3章 校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計校園網(wǎng)絡(luò)信息方便了校園信息的交流，提高了管理、辦公效率。進行入侵檢測的軟件與硬件的組合便是IDS。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。IETF將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器（Event generators）；事件分析器（Event analyzers）；響應(yīng)單元（Response units ）；事件數(shù)據(jù)庫（Event databases ）。在如今的網(wǎng)絡(luò)拓?fù)渲校呀?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，對IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。根據(jù)檢測方法又可分為異常入侵檢測和濫用入侵檢測。3. 上網(wǎng)行為分析隨著互聯(lián)網(wǎng)上的活動愈演愈烈，實時掌握員工互聯(lián)網(wǎng)使用狀況可以避免很多隱藏的風(fēng)險，通過上網(wǎng)行為管理產(chǎn)品，用戶可以實時了解、統(tǒng)計、分析互聯(lián)網(wǎng)使用狀況，并根據(jù)分析結(jié)果對管理策略做調(diào)整和優(yōu)化。2. 網(wǎng)絡(luò)應(yīng)用控制聊天、看電影、玩游戲、炒股票等等，互聯(lián)網(wǎng)上的應(yīng)用可謂五花八門，如果員工長期沉迷于這些應(yīng)用，也將成為企業(yè)生產(chǎn)效率的巨大殺手，并可能造成網(wǎng)速緩慢、信息外泄的可能。1. 網(wǎng)頁訪問過濾互聯(lián)網(wǎng)上的網(wǎng)頁資源非常豐富，如果員工長時間訪問如色情、賭博、病毒等具有高度安全風(fēng)險的網(wǎng)頁，以及購物、招聘、財經(jīng)等與工作無關(guān)的網(wǎng)頁，將極大的降低生產(chǎn)效率?，F(xiàn)在很疑惑，如果開通網(wǎng)絡(luò)，該怎么管理員工呢？嚴(yán)格要求 并不是所有的員工都需要網(wǎng)絡(luò)的，銷售、采購?fù)獠繀f(xié)作、生產(chǎn)管理等部門的員工可能需要上網(wǎng)，但是像人事、工程設(shè)計等部門上班時間用網(wǎng)絡(luò)的很少。為此，公司高層反對開通網(wǎng)絡(luò)。但是問題來了，員工經(jīng)常在上班時間聊，瀏覽與工作無關(guān)的網(wǎng)頁。 上網(wǎng)行為管理上網(wǎng)行為管理指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析。訪問控制的類型：訪問控制可分為自主訪問控制和強制訪問控制兩大類。 　　1. 訪問控制的功能主要有以下： ●防止非法的主體進入受保護的網(wǎng)絡(luò)資源； ●允許合法用戶訪問受保護的網(wǎng)絡(luò)資源； ●防止合法的用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。 訪問控制功能按用戶身份及其所歸屬的某預(yù)定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。5. 支持多應(yīng)用支持多密碼和多個身份鎖的應(yīng)用。3. 雙因子認(rèn)證可安全實現(xiàn)基于沖擊響應(yīng)的雙因子認(rèn)證，硬件受PIN碼保護，使用時提示輸入密碼，安全性得到更高保證。 身份識別系統(tǒng)優(yōu)點 1. 易用性采用的EPASSND是國內(nèi)第一款無驅(qū)型USBKEY產(chǎn)品，使用方便，操作簡單，便于攜帶，滿足異地使用和網(wǎng)絡(luò)使用功能。根據(jù)精算身份識別系統(tǒng)擁有的權(quán)限級別的不同，可分為管理鎖和普通鎖2類：管理鎖：擁有所有權(quán)限，并且可以對用戶進行普通鎖的綁定操作，為管理員或企業(yè)老板擁有。在傳統(tǒng)的密碼保護（軟加密）基礎(chǔ)上，為企業(yè)用戶提供了比密碼保護更方便、安全性更高的加密技術(shù)，與登錄密碼結(jié)合使用，起到雙層保護的功能。精算身份識別系統(tǒng)主要是通過控制軟件登錄，來實現(xiàn)對數(shù)據(jù)安全性的保護。 身份識別系統(tǒng)身份識別系統(tǒng)正是根據(jù)用戶迫切的需求，推出的一款比傳統(tǒng)的用戶名+密碼模式安全性更高的用戶身份識別技術(shù)產(chǎn)品。使用文件備份用戶還原損壞的文件。只有在完整恢復(fù)模式和大容易日志恢復(fù)下才有事務(wù)日志備份。差異備份僅記錄自基準(zhǔn)備份后更改過的數(shù)據(jù)。完整差異備份比完整備份更小、更快，可以簡化頻繁的備份操作，減少數(shù)據(jù)丟失的風(fēng)險。當(dāng)數(shù)據(jù)庫較小、數(shù)據(jù)不很重要或數(shù)據(jù)操作頻率較低時，可采用完全備份的策略進行數(shù)據(jù)備份和恢復(fù)。其最大的優(yōu)點是恢復(fù)數(shù)據(jù)庫的操作簡便，他只需要最近一次的備份恢復(fù)。（1）完整備份將備份整個數(shù)據(jù)庫，包括事物日志部分（以便可以恢復(fù)這個備份）。這方便了我們在校園網(wǎng)絡(luò)中數(shù)據(jù)的管理。明確了系統(tǒng)操作要求之間的權(quán)衡。（2）恢復(fù)模式的優(yōu)點簡化了恢復(fù)計劃。3. 恢復(fù)模式（1）備份和還原操作是在“恢復(fù)模式”下進行的。（2）日志文件能夠用來進行事務(wù)故障恢復(fù)、系統(tǒng)故障恢復(fù)，并能夠協(xié)助后備副本進行介質(zhì)故障恢復(fù)，當(dāng)數(shù)據(jù)庫文件毀壞后，可重新裝入后備副本把數(shù)據(jù)庫恢復(fù)到轉(zhuǎn)儲結(jié)束時刻的正確狀態(tài)，再利用建立的日志文件，可以把已完成的事務(wù)進行重做處理。這些備用的數(shù)據(jù)庫文件稱為后備副本。（1）數(shù)據(jù)轉(zhuǎn)儲是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)。2. 數(shù)據(jù)的恢復(fù)數(shù)據(jù)恢復(fù)涉及兩個關(guān)鍵問題：建立備份數(shù)據(jù)、利用這些備份數(shù)據(jù)實施數(shù)據(jù)庫恢復(fù)。也可以通過備份，將數(shù)據(jù)庫從一臺服務(wù)器上復(fù)制到另一臺服務(wù)器上。就是為了恢復(fù)數(shù)據(jù)而備份。對網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)庫系統(tǒng)，還應(yīng)該包括DBMS與網(wǎng)絡(luò)中其他軟件系統(tǒng)的通信功能以及數(shù)據(jù)庫之間的互操作功能。5. 數(shù)據(jù)庫的維護：這一部分包括數(shù)據(jù)庫的數(shù)據(jù)載入、轉(zhuǎn)換、轉(zhuǎn)儲、數(shù)據(jù)庫的重組合重構(gòu)以及性能監(jiān)控等功能，這些功能分別由各個使用程序來完成。DBMS對數(shù)據(jù)庫的保護通過4個方面來實現(xiàn)：數(shù)據(jù)庫的恢復(fù)、數(shù)據(jù)庫的并發(fā)控制、數(shù)據(jù)庫的完整性控制、數(shù)據(jù)庫安全性控制。數(shù)據(jù)組織和存儲的基本目標(biāo)是提高存儲空間利用率，選擇合適的存取方法提高存取效率。這些功能保證了數(shù)據(jù)庫系統(tǒng)的正常運行。這些描述稱為數(shù)據(jù)模式：1. 數(shù)據(jù)操作：DBMS提供數(shù)據(jù)操作語言DML（Data Manipulation Language），供用戶實現(xiàn)對數(shù)據(jù)的追加、刪除、更新、查詢等操作。負(fù)責(zé)這些技術(shù)管理工作的個人或集體稱為數(shù)據(jù)庫管理員(DBA)。由于主機過濾結(jié)構(gòu)中堡壘主機易受攻擊，所以該結(jié)構(gòu)也就是在主機過濾結(jié)構(gòu)中再加一層參數(shù)網(wǎng)絡(luò)的安全機制，使得內(nèi)部網(wǎng)與外部網(wǎng)之間有兩層隔斷。在該結(jié)構(gòu)提供安全保護是主機僅僅與內(nèi)部網(wǎng)連接；另外該結(jié)構(gòu)還有一臺單獨的過濾路由器，通常由路由器封鎖堡壘主機的特定端口，只允許一定數(shù)量的通信服務(wù)。該主機還可以與本身相連的若干網(wǎng)絡(luò)之間的路由器。給結(jié)構(gòu)是圍繞著至少具有兩個網(wǎng)絡(luò)接口的雙宿主主機而構(gòu)成的。這種結(jié)構(gòu)可以是帶有數(shù)據(jù)包過濾功能的路由器，也可以是基于主機的路由器?？偟膩碚f，防火墻的作用何體現(xiàn)在一下幾個方面：過濾出入網(wǎng)絡(luò)的數(shù)據(jù)，強化安全策略；對出入網(wǎng)絡(luò)的訪問行為進行管理和控制；對不安全的服務(wù)進行限制或攔截，盡可能不暴露對不安全的服務(wù)進行限制或攔截，盡可能不暴露內(nèi)部網(wǎng)絡(luò)；有效地記錄通過防火墻的信息內(nèi)容和活動。在設(shè)計防火墻時，人們做了一個假設(shè)：防火墻保護的內(nèi)部網(wǎng)絡(luò)是“可信賴的網(wǎng)絡(luò)”（trusted network）而外部網(wǎng)絡(luò)是““可信賴的網(wǎng)絡(luò)”（untrusted network）”。防火墻總體上分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。以及可能造成危害的寫命令，并且判斷磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。 　　預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。也就是說，計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計算機病毒。計算機病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)的傳染和破壞。它是根據(jù)訪問安全策略對兩個或者更多網(wǎng)絡(luò)之間的通信進行限制的軟件或硬件。另外在建筑學(xué)上，原有的材料和布置的變化，將使防火墻失去作用，隨著時間的推移，一些經(jīng)過阻燃處理的材料，其阻燃性也逐步喪失?；ヂ?lián)網(wǎng)上的防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以使企業(yè)內(nèi)部局域網(wǎng)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，從而達(dá)到保護內(nèi)部網(wǎng)絡(luò)目的。防火墻（Firewall）是指在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施總稱。如我們在一些網(wǎng)站系統(tǒng)的漏洞，通常是指基于漏洞數(shù)據(jù)庫，通過掃描等手段，對指定的遠(yuǎn)程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。 安全漏洞檢測技術(shù)安全漏洞檢測技術(shù)是指利用已知的攻擊手段對系統(tǒng)進行主動的弱點掃描，以求及時發(fā)現(xiàn)系統(tǒng)漏洞，同時給出漏洞報告，指導(dǎo)系統(tǒng)管理員采用系統(tǒng)軟件升級或關(guān)閉相關(guān)服務(wù)等手段避免受到這些攻擊。安全監(jiān)控技術(shù)以探測與控制為主，起主動防御的作用。 安全監(jiān)控安全監(jiān)控技術(shù)主要是對入侵行為的及時發(fā)現(xiàn)和反應(yīng)，利用入侵者留下的痕跡（試圖登錄的失敗記錄、異常網(wǎng)絡(luò)流量）來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵。 計算機網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。對于一般的計算機網(wǎng)絡(luò)而言，主要考慮主機和節(jié)點的身份認(rèn)證，至于用戶的身份認(rèn)證可以由應(yīng)用系統(tǒng)來實現(xiàn)。 　自主訪問控制，是指由用戶有權(quán)對自身所創(chuàng)建的訪問對象(文件、數(shù)據(jù)表等)進行訪問，并可將對這些對象的訪問權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問權(quán)限。 ● 防止合法的用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。訪問控制的功能主要有以下：● 防止非法的主體進入受保護的網(wǎng)絡(luò)資源。按用戶身份及其所歸屬的某預(yù)定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。自主訪問控制主要基于主體及其身份來控制主體的活動，能夠?qū)嵤┯脩魴?quán)限管理、訪問屬性（讀、寫、執(zhí)行）管理等。例如網(wǎng)絡(luò)簽名，網(wǎng)上銀行的安全，個人郵件信息的保護，都很需要密碼學(xué)的支持，推動密碼學(xué)的發(fā)展。網(wǎng)絡(luò)安全服務(wù)的實現(xiàn)離不開加密技術(shù)的支持，應(yīng)用加密技術(shù)不僅可以提供信息的保密性和數(shù)據(jù)完整性，而且能夠保證通信雙方身份的真實性。一個密碼系統(tǒng)完成如下偽裝：加密者對需要進行偽裝機密信息（明文）進行偽裝進行變換（加密變換），得到另一種看起來似乎與原有信息不相關(guān)的表示（密文），如果合法者（接收者）獲得了偽裝后的信息，那么它可以通過事先約定的密鑰，從得到的信息中分析到原有的機信息（解密變換），而如果不合法的用戶（密碼分析者）試圖從這種偽裝后的信息中分析得到原有的機密信息，那么，要么這種分析過程是不可能，要么代價過于巨大，以至于無法進行。這兩者之間既互相對應(yīng)又互相促進。 校園網(wǎng)絡(luò)安全技術(shù)介紹密碼學(xué)是主要研究通信安全個保密的科學(xué)[2]，他包括兩個分支：密碼編碼學(xué)和密碼分析學(xué)。因此廣泛存在著重應(yīng)用輕安全、質(zhì)量法律意識淡薄、計算機素質(zhì)不高的普遍現(xiàn)象。就計算機系統(tǒng)的應(yīng)用而言，安全技術(shù)涉及計算機技術(shù)、通信技術(shù)、存取控制技術(shù)、檢驗認(rèn)證技術(shù)、容錯技術(shù)、加密技術(shù)、防病毒技術(shù)、抗干擾技術(shù)、防泄漏技術(shù)等等，因此是一個非常復(fù)雜的綜合問題，并且其技術(shù)、方法和措施都要隨著系統(tǒng)應(yīng)用環(huán)境的變化而不斷變化。 3. 隨著計算機系統(tǒng)的廣泛應(yīng)用，各類應(yīng)用人員隊伍迅速發(fā)展壯大，教育和培訓(xùn)卻往往跟不上知識更新的需要，操作人員、編程人員和系統(tǒng)分析人員的失誤和缺乏經(jīng)驗都會造成系統(tǒng)的安全功能不足。 計算機網(wǎng)絡(luò)安全之所以重要，其主要原因在于： 1. 隨著計算機系統(tǒng)功能的日益完善和速度的不斷提高，系統(tǒng)組成越來越復(fù)雜、系統(tǒng)規(guī)模越來越大，特別是Internet的迅速發(fā)展，存取控制、邏輯連接數(shù)量不斷增加，軟件規(guī)?？涨芭蛎?，任何隱含的缺陷、失誤都能造成巨大損。簡單地說在網(wǎng)絡(luò)環(huán)境里的安全指的是一種能夠識別和消除不安全因素的能力。如何最大限度地減少或避免因信息泄漏、破壞所造成的經(jīng)濟損失。而安全又是網(wǎng)絡(luò)發(fā)展的根本。但在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全向題也目益突出：不論是外部網(wǎng)還是內(nèi)部網(wǎng)的網(wǎng)絡(luò)都會受到安全的問題。與此同時，網(wǎng)絡(luò)攻擊和犯罪活動也日益猖獗。許多重要的信息、資源都與網(wǎng)絡(luò)相關(guān)。應(yīng)對這一新的安全威脅，切實提高網(wǎng)絡(luò)防御能力，確保打贏“網(wǎng)絡(luò)防御戰(zhàn)”，是校園必須擔(dān)當(dāng)?shù)穆氊?zé)和使命。學(xué)校校園網(wǎng)絡(luò)的安全形勢非常嚴(yán)峻，在這種情況下，學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運行，同時又能提供豐富的網(wǎng)絡(luò)資源，保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個難題[1]?！秴⒖枷ⅰ?989年8月2日刊登的一則評論，列出了下個世紀(jì)的國際恐怖活動將采用五種新式武器和手段，計算機病毒名列第二，這給未來的信息系統(tǒng)投上了一層陰影。計算機病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點。感染計算機病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況，遭到端口掃描、黑客攻擊、網(wǎng)頁篡改或垃圾郵件次之。學(xué)校師生對網(wǎng)絡(luò)安全知識甚少，安全意識淡薄，U盤、移動硬盤、手機等存貯介質(zhì)隨意使用；學(xué)校師生上網(wǎng)身份無法唯一識別，不能有效的規(guī)范和約束師生的非法訪問行為；缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，使學(xué)校的網(wǎng)絡(luò)管理混亂；缺乏校園師生上網(wǎng)的有效監(jiān)控和日志；計算機安裝還原卡或使用還原軟件，關(guān)機后啟動即恢復(fù)到初始狀態(tài)，這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。目前，網(wǎng)絡(luò)安全設(shè)施配備不夠，學(xué)校在建立自己的內(nèi)網(wǎng)時，由于意識薄弱與經(jīng)費投入不足等方面的原因，比如將原有的單機互聯(lián)，使用原有的網(wǎng)絡(luò)設(shè)施；校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷；