【正文】 指導(dǎo)教師簽 字： 年 月 日 評(píng)審組意見(jiàn) ： 評(píng)審成績(jī)： 評(píng)審組長(zhǎng)簽字： 終審意見(jiàn)： 院系負(fù)責(zé)人簽章： 終審成績(jī)： 年 月 日 說(shuō)明： 指導(dǎo)教師認(rèn)定合格方能填寫(xiě)此表 并 提交評(píng)審，不合格指導(dǎo)教師繼續(xù)指導(dǎo)。 通過(guò)了解系統(tǒng)的薄弱點(diǎn)并確定了設(shè)計(jì)原則，有針對(duì)性的構(gòu)建一個(gè)網(wǎng)絡(luò)安全防御系統(tǒng)，網(wǎng)絡(luò)防御系統(tǒng)主要通過(guò)物理防護(hù)、網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)防護(hù)三個(gè)方面進(jìn)行闡述。 重點(diǎn)以構(gòu)建網(wǎng)絡(luò)安全防御系統(tǒng)的方案設(shè)計(jì)和實(shí)現(xiàn)過(guò)程，保護(hù)網(wǎng)絡(luò)環(huán)境中保證數(shù)據(jù)和系統(tǒng)的安全性。 指導(dǎo)教師初審意見(jiàn)： 簽 名： 年 月 日 畢業(yè)設(shè)計(jì)（論文）工作領(lǐng)導(dǎo)小組審批意見(jiàn)： 簽 名： 年 月 日 畢業(yè)設(shè)計(jì)（ 論文）開(kāi)題報(bào)告及進(jìn)度要求 院系： 電子工程學(xué)院 年級(jí) 級(jí) 班級(jí) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班 學(xué)生姓名 學(xué) 號(hào) 指導(dǎo)教師 選題性質(zhì) □√ 設(shè)計(jì) □ 報(bào)告 選題 校園網(wǎng)安全 系統(tǒng)防 御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 選題的目的和意義 : 在 Inter 迅速發(fā)展的時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題涉及許多學(xué)科領(lǐng)域，既包括自然科學(xué)，又包括社會(huì)科學(xué)。這些安全隱患，給校院 網(wǎng)的防御和管理帶來(lái)嚴(yán)重挑戰(zhàn)。 作者簽名： 日 期： 畢業(yè)設(shè)計(jì)（論文）選題審批單 院系： 年級(jí) 級(jí) 專(zhuān)業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班級(jí) 學(xué)生姓名 學(xué) 號(hào) 選題 校園網(wǎng)安全防御系統(tǒng)設(shè) 計(jì)與實(shí)現(xiàn) 選題性質(zhì) □√ 設(shè)計(jì) □ 報(bào)告 選 題論證： 隨著時(shí)代的發(fā)展， 校園 教學(xué)、科研、管理都需要安全的網(wǎng)絡(luò)系統(tǒng)，校園網(wǎng)的網(wǎng)絡(luò)安全問(wèn)題日益突出。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。 畢業(yè)設(shè)計(jì) （論文） 題目 （論文） 校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 選題性質(zhì)： □√ 設(shè)計(jì) □報(bào)告 畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說(shuō)明 原創(chuàng)性聲明 本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加以標(biāo)注和致謝的地方外 ，不包含其他人或組織已經(jīng)發(fā)表或公布過(guò)的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。 作 者 簽 名： 日 期： 指導(dǎo)教師簽名： 日 期： 使用授權(quán)說(shuō)明 本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版本； 學(xué)校有權(quán)保存畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)校可以采用影印、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)校可以公布論文的部分或全部?jī)?nèi)容。 而 校園網(wǎng)安全 事件不斷發(fā)生， 一些病毒的侵入， 導(dǎo)致校園的重要信息 的泄密、破壞，正常網(wǎng)絡(luò)服務(wù)無(wú) 法進(jìn)行，甚者導(dǎo)致校園網(wǎng)癱瘓，造成嚴(yán)重的損失。所以 本論文以 校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)成為主要論題。就計(jì)算機(jī)系統(tǒng)的應(yīng)用而言，安全技術(shù)涉及計(jì)算機(jī)技術(shù)、通信技術(shù)、存取控制技術(shù)、檢驗(yàn)認(rèn)證技術(shù)、容錯(cuò)技術(shù)、加密技術(shù)、防病毒技術(shù)、抗干擾技術(shù)、防泄漏技術(shù)等等 ，因此本論文以設(shè)計(jì)校園網(wǎng)絡(luò)安全防御系統(tǒng)為目的。 選題研究的主要內(nèi)容和技術(shù)方案 : 主要內(nèi)容是以防火墻技術(shù)、數(shù)據(jù)庫(kù)管理系統(tǒng)、數(shù)據(jù)備份與恢復(fù)系統(tǒng)、身份識(shí)別系統(tǒng)、訪(fǎng)問(wèn)控制、入侵檢測(cè)系統(tǒng)等，來(lái)設(shè)計(jì)校園網(wǎng)絡(luò)安全防御系統(tǒng)。在用防火墻 Cisco PIX 技術(shù)， JUMP 入侵檢測(cè)系統(tǒng) ， 移動(dòng)數(shù)據(jù) 實(shí)現(xiàn)防護(hù) 。 指導(dǎo)教師及評(píng)審組成績(jī) 按 “優(yōu)秀、良好、 合 格、不 合 格” 四 個(gè)等級(jí)評(píng)閱。 重慶信息技術(shù)職業(yè)學(xué)院 I 摘 要 目前，隨著網(wǎng)絡(luò)時(shí)代的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也日益突出，如何在開(kāi)放網(wǎng)絡(luò)環(huán)境中保證數(shù)據(jù)和系統(tǒng)的安全性已經(jīng)成為從多人關(guān)心的問(wèn)題。 “安全”從來(lái)就是一個(gè)相對(duì)概 念，不存在絕對(duì)安全，所以必須未雨綢繆、居安思危；“威脅”一直便是一個(gè)動(dòng)態(tài)過(guò)程，不可能根除威脅，所以唯有積極防御、有效應(yīng)對(duì)。設(shè)計(jì)系統(tǒng)包括物理防護(hù)、網(wǎng)絡(luò)防護(hù)和數(shù)據(jù)防護(hù)。數(shù)據(jù)防護(hù)包括移動(dòng)數(shù)據(jù)管理、操作系統(tǒng)安全和傳輸加密。隨著互聯(lián)網(wǎng)技術(shù)的普及和推廣，網(wǎng)絡(luò)技術(shù)更是信息社會(huì)發(fā)展的推動(dòng)力，人們?cè)谌粘W(xué)習(xí)、生活和工作中都越來(lái)越依賴(lài)于網(wǎng)絡(luò)，因此關(guān)于信息技術(shù)、信息安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)的發(fā)展成為越來(lái)越重要的學(xué)科。安全已從一般性的安全防衛(wèi)，變成了一種非常普通的安全防范；從一種研究型的學(xué)科，變成了無(wú)處不在，影響人們學(xué)習(xí)、生活和工作的安全技術(shù)。 校園網(wǎng)絡(luò)工程的深入實(shí)施，學(xué)校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng) 中的數(shù)據(jù)受到保護(hù)，不因偶然和惡意等因素而遭到破壞、更改、泄密，保障校園網(wǎng)的正常運(yùn)行。 目前，網(wǎng)絡(luò)安全設(shè)施配備不夠，學(xué)校在建立自己的內(nèi)網(wǎng)時(shí)，由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因，比如將原有的單機(jī)互聯(lián)，使用原有的網(wǎng)絡(luò)設(shè)施；校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤(pán)等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷；機(jī)房設(shè)計(jì)不合理，溫度、濕度不適應(yīng)以及無(wú)抗靜電、抗磁干擾等設(shè)施；網(wǎng)絡(luò)安全方面 的投入嚴(yán)重不足，沒(méi)有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等；以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開(kāi)放的狀態(tài)，沒(méi)有有效的安全預(yù)警手段和防范措施。學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少，安全意識(shí)淡薄， U 盤(pán)、移動(dòng)硬盤(pán)、手機(jī)等存貯介質(zhì)隨意使用；學(xué)校師生上網(wǎng)身份無(wú)法唯一識(shí)別，不能有效的規(guī)范和約束師生的非法訪(fǎng)問(wèn)行為；缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，使學(xué)校的網(wǎng)絡(luò)重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 2 頁(yè) 管理混亂；缺乏校園師生上網(wǎng)的有效監(jiān)控和日志；計(jì)算機(jī)安裝還原卡或使用還原軟件，關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài)，這 些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序是最突出的網(wǎng)絡(luò)安全情況，遭到端口掃描、黑客攻擊、網(wǎng)頁(yè)篡改或垃圾郵件次之。計(jì)算機(jī)病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點(diǎn)?！秴⒖枷ⅰ?989 年 8 月 2 日刊登的一則評(píng)論，列出了下個(gè)世紀(jì)的國(guó)際恐怖活動(dòng)將采用五種新式武器和手段，計(jì)算機(jī)病毒名列第二，這給未來(lái)的信息系統(tǒng)投上了一層陰影。 學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻，在這種情況下，學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行，同時(shí)又能提供豐富的網(wǎng)絡(luò)資源，保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題 [1]。應(yīng)對(duì)這一新的安全威脅，切實(shí)提高網(wǎng)絡(luò)防御能力，確保打贏“網(wǎng)絡(luò)防御戰(zhàn)”，是校園必須擔(dān)當(dāng)?shù)穆氊?zé)和使命。許多重要的信息、資源都與網(wǎng)絡(luò)相關(guān)。與此同時(shí)，網(wǎng)絡(luò)攻擊和犯罪活動(dòng)也日益猖獗。但在連結(jié)信息能力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全向題也目益突出：不論是外部網(wǎng)還是內(nèi)部網(wǎng)的網(wǎng)絡(luò)都會(huì)受到安全的問(wèn)題。而安全又是網(wǎng)絡(luò)發(fā)展的根本。如何最大限度地減少或避免因信息泄漏、破壞所造成的經(jīng)濟(jì)損失。 校園網(wǎng)絡(luò)技術(shù)發(fā)展 簡(jiǎn)單地說(shuō)在網(wǎng)絡(luò)環(huán)境里的安全指的是一種能夠識(shí)別和消除不安全因素的能力。 計(jì)算機(jī)網(wǎng)絡(luò)安全之所以重要，其主要原因在于： 1. 隨著計(jì)算機(jī)系統(tǒng)功能的日益完善和速度的不斷提高，系統(tǒng)組成越來(lái)越復(fù)雜、系統(tǒng)規(guī)模越來(lái)越大，特別是 Inter 的迅速發(fā)展，存取控制、邏輯連接數(shù)量不斷增加，軟件規(guī)模空前膨脹，任何隱含的缺陷、失誤都能造成巨大損。 3. 隨著計(jì)算機(jī)系統(tǒng)的廣泛應(yīng)用，各類(lèi)應(yīng)用人員隊(duì)伍迅速發(fā)展壯大，教育和培訓(xùn)卻往往跟不上知識(shí)更新的需要，操作人員、編程人員和系統(tǒng)分析人員的失誤和 缺乏經(jīng)驗(yàn)都會(huì)造成系統(tǒng)的安全功能不足。就計(jì)算機(jī)系統(tǒng)的應(yīng)用而言，安全技術(shù)涉及計(jì)算機(jī)技術(shù)、通信技術(shù)、存取控制技術(shù)、檢驗(yàn)認(rèn)證技術(shù)、容錯(cuò)技術(shù)、加密技術(shù)、防病毒技術(shù)、抗干擾技術(shù)、防泄漏技術(shù)等等，因此是一個(gè)非常復(fù)雜的綜合問(wèn)題，并且其技術(shù)、方法和措施都要隨著系統(tǒng)應(yīng)用環(huán)境的變化而不斷變化。因此廣泛存在著重應(yīng)用輕安全、質(zhì)量法律重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 4 頁(yè) 意識(shí)淡薄、計(jì)算機(jī)素質(zhì)不 高的普遍現(xiàn)象。 校園網(wǎng)絡(luò)安全技術(shù)介紹 密碼學(xué) 密碼學(xué)是主要研究通信安全個(gè)保密的科學(xué) [2]，他包括兩個(gè)分支：密碼編碼學(xué)和密碼分析學(xué)。這兩者之間既互相對(duì)應(yīng)又互相促進(jìn)。一個(gè)密碼系統(tǒng)完成如下偽裝：加密者對(duì)需要進(jìn)行偽 裝機(jī)密信息（明文）進(jìn)行偽裝進(jìn)行變換（加密變換），得到另一種看起來(lái)似乎與原有信息不相關(guān)的表示（密文），如果合法者（接收者）獲得了偽裝后的信息，那么它可以通過(guò)事先約定的密鑰，從得到的信息中分析到原有的機(jī)信息（解密變換），而如果不合法的用戶(hù)（密碼分析者）試圖從這種偽裝后的信息中分析得到原有的機(jī)密信息，那么，要么這種分析過(guò)程是不可能，要么代價(jià)過(guò)于巨大，以至于無(wú)法進(jìn)行。網(wǎng)絡(luò)安全服務(wù)的實(shí)現(xiàn)離不開(kāi)加密技 術(shù)的支持，應(yīng)用加密技術(shù)不僅可以提供信息的保密性和數(shù)據(jù)完整性，而且能夠保證通信雙方身份的真實(shí)性。例如網(wǎng)絡(luò)簽名，網(wǎng)上銀行的安全，個(gè)人郵件信息的保護(hù)，都很需要密碼學(xué)的支持，推動(dòng)密碼學(xué)的發(fā)展。自主訪(fǎng)問(wèn)控制主要基于主體及其身份來(lái)控制主體的活動(dòng)，能夠?qū)嵤┯脩?hù)權(quán)限管理、訪(fǎng)問(wèn)屬性（讀、寫(xiě)、執(zhí)行）管理等。 按用戶(hù)身份及其所歸屬的某預(yù)定義組來(lái)限制用戶(hù)對(duì)某些信息項(xiàng)的訪(fǎng)問(wèn)，或限制對(duì)某些控制功能的使用。 訪(fǎng)問(wèn)控制的功能主要有以下： ● 防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源。 ● 防止合法的用戶(hù)對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪(fǎng)問(wèn) 。 自主訪(fǎng)問(wèn)控制，是指由用戶(hù)有權(quán)對(duì)自身所創(chuàng)建的訪(fǎng)問(wèn)對(duì)象 (文件、數(shù)據(jù)表等 )進(jìn) 行訪(fǎng)問(wèn)，并可將對(duì)這些對(duì)象的訪(fǎng)問(wèn)權(quán)授予其他用戶(hù)和從授予權(quán)限的用戶(hù)收回其訪(fǎng)問(wèn)權(quán)限。對(duì)于一般的計(jì)算機(jī)網(wǎng)絡(luò)而言，主要考慮主機(jī)和節(jié)點(diǎn)的身份認(rèn)證，至于用戶(hù)的身份認(rèn)證可以由應(yīng)用系統(tǒng)來(lái)實(shí)現(xiàn)。 計(jì)算機(jī)網(wǎng)絡(luò)世界中一切信息包括用戶(hù)的身份信息都是用一組特定的數(shù)據(jù)來(lái)表示的，計(jì)算機(jī)只能識(shí)別用戶(hù)的數(shù)字身份，所有對(duì)用戶(hù)的授權(quán)也是針對(duì)用戶(hù)數(shù)字身份的授權(quán)。 安全監(jiān)控 安全監(jiān)控技術(shù)主要是對(duì)入侵行為的及時(shí)發(fā)現(xiàn)和反應(yīng)，利用入侵者留下的痕跡（試圖登錄的失敗記錄、異常網(wǎng)絡(luò)流量）來(lái)有效地發(fā)現(xiàn)來(lái)自外部或內(nèi)部的非法入侵 。安全監(jiān)控技術(shù)以探測(cè)與控制為主，起主動(dòng)防御的作用。 安全漏洞檢測(cè) 技術(shù) 安全漏洞檢測(cè)技術(shù)是指利用已知的攻擊手段對(duì)系統(tǒng)進(jìn)行主動(dòng)的弱點(diǎn)掃描，以求及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞，同時(shí)給出漏洞報(bào)告，指導(dǎo)系統(tǒng)管理員采用系統(tǒng)軟件升級(jí)或關(guān)閉相關(guān)服務(wù)等手段避免受到這些攻擊。 如我們?cè)谝恍┚W(wǎng)站系統(tǒng)的漏洞，通常是指 基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段，對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為 。 防火墻 防火墻（ Firewall）是指在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類(lèi)防范措施總稱(chēng)。互聯(lián)網(wǎng)上的防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以使企業(yè)內(nèi)部局域網(wǎng)與 Inter 之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪(fǎng)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)目的。另外在建筑學(xué)上，原有的材料和布置的變化，將使防火墻失去作用，隨著時(shí)間的推移，一些經(jīng)過(guò)阻燃處 理的材料，其阻燃性也逐步喪失。它是根據(jù)訪(fǎng)問(wèn)安全策略對(duì)兩個(gè)或者更多網(wǎng)絡(luò)之間的通信進(jìn)行限制的軟件或硬件。 計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過(guò)一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的傳染和破壞。也就是說(shuō)，計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類(lèi)處理，而后在程序運(yùn)作中凡有類(lèi)似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。 預(yù)防病毒技術(shù)包括：磁盤(pán)引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫(xiě)控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。以及可能造成危害的寫(xiě)命令，并且判斷磁盤(pán)當(dāng)前所處的狀態(tài)：哪一個(gè)磁盤(pán)將要進(jìn)行寫(xiě)操作，是否正在進(jìn)行寫(xiě)操作，磁盤(pán) 是否處于寫(xiě)保護(hù)等，來(lái)確定病毒是否將要發(fā)作。目前，對(duì)已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對(duì)未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動(dòng)態(tài)判定技術(shù)。 防火墻 系統(tǒng) 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。防火墻總體上分為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類(lèi)型。在設(shè)計(jì)防火墻時(shí)，人們做了一個(gè)假設(shè)：防火墻保護(hù)的內(nèi)部網(wǎng)絡(luò)是 “ 可信賴(lài)的網(wǎng)絡(luò) ”（ trusted work）而外部網(wǎng)絡(luò)是 ““ 可信賴(lài)的網(wǎng)絡(luò) ” （ untrusted work） ” 。總的來(lái)說(shuō)，防火墻的作用何體現(xiàn)在一下幾個(gè)方面：過(guò)濾出入網(wǎng)絡(luò)的數(shù)據(jù)，強(qiáng)化安全策略；對(duì)出入網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為進(jìn)行管理和控制；對(duì)不安全的服務(wù)進(jìn)行限制或攔截，盡可能不暴露對(duì)不安全的服務(wù)進(jìn)行限制或攔 截，盡可能不暴露內(nèi)部網(wǎng)絡(luò)；有效地記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)。這種結(jié)構(gòu)可以是帶有數(shù)據(jù)包過(guò)濾功能的路由器，也可以是基于主機(jī)的路