【正文】 毒運(yùn)行時(shí)直接通過(guò)映像路徑傳染到服務(wù)器中 ； ? 如果 遠(yuǎn)程工作站被病毒侵入，病毒也可以通過(guò)數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中一旦病毒進(jìn)入文件服務(wù)器，就可通過(guò)它迅速傳染到整個(gè)網(wǎng)絡(luò)的每一個(gè)計(jì)算機(jī)上。分為包過(guò)濾防火墻 （檢查每個(gè) IP 包的字段，如源地址、目標(biāo)地址、端口等 ? ） ；狀態(tài)檢測(cè)防火墻 （動(dòng)態(tài)檢查網(wǎng)絡(luò)連接和包） ；應(yīng)用程序代理防火墻 （與特定應(yīng)用程序配合使用） 。 防火墻產(chǎn)品： Juniper 的 Net Screen； Cisco 的 Pix；天融信防火墻；天網(wǎng)防火墻 。入侵檢測(cè)技術(shù) 包括 以下幾種：基于誤用檢測(cè)技術(shù) （檢測(cè)與異常規(guī)則相匹配的網(wǎng)絡(luò)行為 ）；基于異常檢測(cè)技術(shù)（檢測(cè)偏離了正常規(guī)則的網(wǎng)絡(luò)行為） 。防火墻性能：降低誤報(bào)率、漏報(bào)率； 入侵檢測(cè) 產(chǎn)品有： CA 的Intrusion Detection,啟明星辰的天闐 IDS 等 。防病毒 核心技術(shù)有：特征代碼匹配、病毒特征自動(dòng)發(fā)現(xiàn)、啟發(fā)式搜索等，防病毒產(chǎn)品有： Norton、Kaspersky、金山毒霸、瑞星殺毒軟件等 。反垃圾郵件機(jī)理： IP 地址、域名、郵件地址黑白名單方式；基于垃圾郵件行為模式識(shí)別模型 ； Domainkeys 方式 (基于PKI 的方式對(duì)郵件發(fā)送者進(jìn)行驗(yàn)證，對(duì)郵件信息進(jìn)行加密保護(hù)，對(duì)收信人實(shí)現(xiàn)防抵賴機(jī)制 )； 基于信頭、信體、附件的內(nèi)容過(guò)濾方式；反垃圾郵件產(chǎn)品有：防垃圾郵件網(wǎng)關(guān)，如冠群金辰 的 Kill 赤霄郵 件過(guò)濾網(wǎng)關(guān)；防垃圾郵件防 火墻，如：博威特的梭子魚垃圾郵件防火墻。過(guò)濾方法有：基于關(guān)鍵字、權(quán)重關(guān)鍵字、基于 URL 的過(guò)濾； 基于文字內(nèi)容的深度搜索；一般在防病毒網(wǎng)關(guān)、反垃圾郵件系統(tǒng)中集成。 要注意數(shù)據(jù)的完整性與精確性 , 使信息在存儲(chǔ)或傳輸過(guò)程中不被破壞、丟失或不被未經(jīng)授權(quán)的惡意或偶然的修改 。要防止侵襲者通過(guò)非法途徑進(jìn)入計(jì)算機(jī)系統(tǒng) , 偷盜有用的數(shù)據(jù)信息 , 重點(diǎn)保護(hù)系統(tǒng)中容易被攻擊的脆弱點(diǎn)。在校園網(wǎng)安全規(guī)劃時(shí) , 對(duì)于在什么地方應(yīng)采取什么樣的安全措施 , 事先都必須給予充分的考慮 , 以確保校園網(wǎng)的安全，對(duì)于這些問(wèn)題我們將在下一章節(jié)予以研究。本章重點(diǎn)討 論校園網(wǎng)的安全策略，并在此基礎(chǔ)上簡(jiǎn)要地說(shuō)明校園網(wǎng)安全體系結(jié)構(gòu)的構(gòu)建，以及校園網(wǎng)網(wǎng)絡(luò)安全體系的內(nèi)容，校園網(wǎng)安全問(wèn)題對(duì)策所用到的關(guān)鍵技術(shù)。在網(wǎng)絡(luò)安全的實(shí)施中，技術(shù)只是手 段，還應(yīng)該先對(duì)網(wǎng)絡(luò)安全管理有個(gè)清晰的概念，然后制定翔實(shí)的安全策略，最后 才是選擇合適的產(chǎn)品用以具體實(shí)施和構(gòu)建安全系統(tǒng)。 網(wǎng)絡(luò)安全系統(tǒng)策略的制定 物理安全的目的是保護(hù)路由器、交換機(jī)、工作站、各種網(wǎng)絡(luò)服務(wù)器、打印機(jī) 等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽(tīng)攻擊 。妥善保管備份磁帶和文檔資料 。 采用網(wǎng)絡(luò)隔離手段可有效減小信息的傳播面，從而增加信息的安全性。路由器、虛擬局域網(wǎng) (VLAN)、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段手段。如因受客觀條件限制，難以對(duì)網(wǎng)絡(luò)操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行選擇，則其他核心軟件，如防火墻、入侵檢測(cè)、網(wǎng)絡(luò)安全漏洞掃描軟件等應(yīng)盡可能地選用經(jīng)國(guó)家網(wǎng)絡(luò)安全權(quán)威機(jī)構(gòu)評(píng)審?fù)ㄟ^(guò)的優(yōu)秀國(guó)產(chǎn)軟件。關(guān)閉網(wǎng) 絡(luò)安全策略中沒(méi)有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時(shí)刪除不必要的 賬號(hào) 等措施可以將系統(tǒng)的危險(xiǎn)性大大降低。規(guī)章制度作為一項(xiàng)核心內(nèi)容，應(yīng)始終 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 13 貫穿于系統(tǒng)的安全生命周期。一旦安 全管理與其它管理服務(wù)存在沖突的時(shí)候，網(wǎng)絡(luò)安全往往會(huì)作出讓步，或許正是由 于一個(gè)細(xì)微的讓步，最終導(dǎo)致了整個(gè)系統(tǒng)的崩潰。 校園安全的設(shè)計(jì)原則 校園網(wǎng)覆蓋整個(gè)校區(qū)，在網(wǎng)絡(luò)性能上應(yīng)該考慮以下幾項(xiàng)要求：數(shù)據(jù)處理、通信處理能力強(qiáng)，響應(yīng)速度快。網(wǎng)絡(luò)能夠容易得進(jìn)行擴(kuò)容、升級(jí)和管理。 此外，在校園網(wǎng)建設(shè)的具體實(shí)施中需要注意的設(shè)計(jì)原則包括： ? 堅(jiān)持開(kāi)放型，采用國(guó)際標(biāo)準(zhǔn)和通用標(biāo)準(zhǔn) ； ? 盡量采用先進(jìn)、成熟的組網(wǎng)技術(shù) ； ? 強(qiáng)調(diào)實(shí)用性、并盡可能達(dá)到性能價(jià)格比最優(yōu) ； ? 統(tǒng)一規(guī)劃、分布實(shí)施。 設(shè)計(jì)校園網(wǎng)絡(luò)安全體系的原則 根據(jù)網(wǎng)絡(luò)安全性設(shè)計(jì)的要求設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)應(yīng)遵循安全性，可行性，高效性，可承擔(dān)性等原則，分別闡述如下： 1) 安全性 :設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是為保護(hù)信息與網(wǎng)絡(luò)系統(tǒng)的安全，所以安全性成為首要目標(biāo)。 2) 可行性 :設(shè)計(jì)網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實(shí)際因素，也只能是一些廢紙。 3) 高效性 :構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運(yùn)行，如果安全影響了系統(tǒng)的運(yùn)行，那么就需要進(jìn)行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點(diǎn)。因此，在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)必須考慮系統(tǒng)資源的開(kāi)銷，要求安全防護(hù)系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果我們付出的代價(jià)比從安全體系中獲得的利益還要多，那么我們就不該采用這個(gè)方案。數(shù)據(jù)保密層重點(diǎn)關(guān)注應(yīng)用層的數(shù)據(jù)安全，因而在數(shù)據(jù)保密層優(yōu)先考慮數(shù)據(jù)加密算法。在用戶層，校園網(wǎng)絡(luò)安全體系的主要內(nèi)容包括用戶的管理，登錄，認(rèn)證。網(wǎng)絡(luò)層針對(duì)網(wǎng)絡(luò)底層數(shù)據(jù)的通訊安全提出解決方案。 防火墻部署 防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道執(zhí)行控制策略的防御系統(tǒng)。 防火墻根據(jù)功能可以分成個(gè)人防火墻和網(wǎng)絡(luò)防火墻，根據(jù) 實(shí)現(xiàn)方法可以分成 硬件防火墻和軟件防火墻，根據(jù)結(jié)構(gòu)可以分成包過(guò)濾 (packet filtering)、狀態(tài)檢測(cè)(State inspection)、應(yīng)用層代理 (即 application proxies)、內(nèi)容過(guò)濾 /狀態(tài)包過(guò)濾(content filtering/state packet filtering)防火墻。軟件防火 墻和硬件防火墻是個(gè)相對(duì)概念，基本上，所有的防火墻都需要軟件的 處理部分。軟件防火墻則是指對(duì)底層硬件沒(méi)有特殊要求，可以安裝在 Windows、 Unix 系統(tǒng)直接使用的防火墻。通常情況下，數(shù)據(jù)獲取和數(shù)據(jù)傳輸是由軟、硬件兩部分共同實(shí)現(xiàn)的。數(shù)據(jù)獲取的軟件部分是負(fù)責(zé)將硬件獲取的網(wǎng)絡(luò)通訊信息從網(wǎng)絡(luò)接口設(shè)備的緩沖區(qū)傳送到操作系統(tǒng)緩沖區(qū)進(jìn)行處理的軟件代碼，數(shù)據(jù)傳輸?shù)能浖糠謩t是執(zhí)行與數(shù)據(jù)獲取 相反的工作的軟件代碼，這些代碼主要作用是將防火墻需要發(fā)送的數(shù)據(jù)包從操作 系統(tǒng)緩沖區(qū)中傳送到相應(yīng)的網(wǎng)絡(luò)接口設(shè)備并傳送出去。不同的防火墻可能具有不同的應(yīng)用功能， 這些功能可能是包過(guò)濾、狀態(tài)檢測(cè)、內(nèi)容過(guò)濾、加密、 NAT、 IDS、 VPN、 各種代理服務(wù)等等。虛擬專用網(wǎng)指的是依靠 ISP(Inter 服務(wù)提供商 )和其它 NSP(網(wǎng)絡(luò)服務(wù)提供商 )，在公用網(wǎng)絡(luò)中建立專用 的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。 入侵檢測(cè) (IDS) 為進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全性，需應(yīng)用入侵檢測(cè)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn) 行實(shí)時(shí)檢 測(cè)，即對(duì)網(wǎng)絡(luò)活動(dòng)和系統(tǒng)事件進(jìn)行實(shí)時(shí)監(jiān)控。 計(jì)算機(jī)信息網(wǎng)絡(luò)設(shè)置了防火墻后可以解決多數(shù)網(wǎng)絡(luò)安全問(wèn)題，但是防火墻不是萬(wàn)能的，不能提供實(shí)時(shí)的入侵檢測(cè)能力。一個(gè)簡(jiǎn)單的入侵檢測(cè)系統(tǒng)，如圖 32 所示。系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì) 。異常行為模式的統(tǒng)計(jì)分析 。操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。目前，實(shí)現(xiàn)入侵檢測(cè)和防 火墻之間的聯(lián)動(dòng)有兩種方式可以實(shí)現(xiàn)，一種是實(shí)現(xiàn)緊密結(jié)合，即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中，即入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源不再來(lái) 自 于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。但是，由于入侵檢測(cè)系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng)，所以無(wú)論從實(shí)施難度、合成后的性能等方面都會(huì)因此受到很大影響。但是不容否認(rèn)，各個(gè)安全產(chǎn)品的緊密結(jié)合是一種趨勢(shì)。目前開(kāi)放協(xié)議的常見(jiàn)形式有 :安全廠 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 17 家提供 IDS 的開(kāi)放接口， 為 各個(gè)防火墻廠商使用，以實(shí)現(xiàn)互動(dòng)。 計(jì)算機(jī)病毒防御 計(jì)算機(jī)病毒是指編制或者在計(jì)算程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能夠自我復(fù)制或者在計(jì)算程序中插入的破壞計(jì)算機(jī)功能 或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代 碼，隨著因特網(wǎng)技術(shù)的發(fā)展，這一計(jì)算機(jī)病毒的定義也在進(jìn)一步擴(kuò)大化，一些帶有惡意性質(zhì)的特洛伊木馬程序，黑客程序和蠕蟲程序等從廣義角度也被歸入計(jì)算機(jī)病毒的范疇。惡意代碼通過(guò)把代碼在不被察覺(jué)的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。 按傳播方式分類，惡意代碼可以分成幾類 :病毒，木馬，蠕蟲，間諜軟件 及 移動(dòng)代碼等。而計(jì)算機(jī)病毒的防御是一個(gè)系統(tǒng)工程，內(nèi)容涉及防病毒軟件、補(bǔ)丁升級(jí)、以及合理的安全管理規(guī)范等方面。這里的漏洞既包括單個(gè)計(jì)算機(jī)系統(tǒng)的脆弱性，也包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞。 漏洞掃描其基本原 理是采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的己知漏洞進(jìn)行逐項(xiàng)檢測(cè)，以便對(duì)工作站、服務(wù)器等各種對(duì)象進(jìn)行安全漏洞檢測(cè)。借助網(wǎng)絡(luò)漏洞掃描，安全管理人員可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)存在的對(duì)外開(kāi)放的端口、提供的服務(wù)某些系統(tǒng)信息、錯(cuò)誤的配置、已知的安全漏洞等。 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析 18 備份與恢復(fù) 建立完整的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必須實(shí)現(xiàn)以下內(nèi)容：計(jì)算機(jī)網(wǎng) 絡(luò)數(shù)據(jù)備份的自動(dòng)化，以減少系統(tǒng)管理員的工作量；使數(shù)據(jù)備份工作制度化，科學(xué)化；網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用與研究；對(duì)介質(zhì)管理的有效化，防止讀寫操作的錯(cuò)誤；對(duì)數(shù)據(jù)形成分門別類的介質(zhì)存儲(chǔ)，使數(shù)據(jù)的保存更細(xì)致、科學(xué)；自動(dòng)介質(zhì)的清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命；以備份服務(wù)器形成備份中心，對(duì)各種平臺(tái)的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中的備份，系統(tǒng)管理員可以在任意一臺(tái)工作站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處理，集中管理的特點(diǎn)；維護(hù)人員可以容易地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類數(shù)據(jù)。我建立了一套校園網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如機(jī)房管理 制度、病毒防范制度等，并采取切實(shí)有效的措施，保證了制度的執(zhí)行 。目前國(guó)內(nèi)許多高校存在校區(qū)分散的狀況，各校區(qū)間通信的安全連接還存在問(wèn)題。從技術(shù)角度來(lái)講，計(jì)算機(jī)網(wǎng)絡(luò)安全又取決于網(wǎng)絡(luò)設(shè)備的硬件與軟件兩個(gè)方面，網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合才能較好地實(shí)現(xiàn)網(wǎng)絡(luò)安全。計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)的關(guān)系就像是“矛”和“盾”的關(guān)系一樣，沒(méi)有無(wú)堅(jiān)不摧的矛、也沒(méi)有無(wú)法攻破的盾。電子工業(yè)出版社， 2020 [13] ： // [14] [15]