校园网络安全技术的探讨.pdf

校园网络安全技术的探讨 -CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN 2 成人高等教育 2007 届毕业论文 题目:校园网络安全技术的探讨 学 号：2005111016 姓 名：冯昌林 学历层次：本 科 专 业：计算机科学与技术 班 级：05 级职师班 指导老师：朱映红 答辩日期：2007.11 3 校园网络安全技术的探讨 内容摘要 随着我国经济与科技的不断发展，教育信息化、数字化已成为当前学校信息化建设的主要目标，校园网络作为信息化建设的主要载体，网络时代的教育方式和环境，已成为教育发展的方向。随着校园网规模剧胀及用户快长，安全问题也成为校园网络建设不可忽视的问题。本文结合笔者在网络管理的一些经验体会，从密码安全、系统安全、共享目录安全和木马防范等，对校园网的安全谈了自己的见解。关键词 校园网 威胁与攻击 黑客 访问 安全策略 一、校园网络及其安全现状 校园网是学校进行教学、科研、管理工作和各类信息交流沟通的应用平台，是一个集相关软件系统和硬件于一体的具有多媒体教学、办公自动化、图书信息管理、教务学籍管理、视频点播、远程教育等综合功能的计算机校园局域网。随着教育信息化进程的推进，几乎所有学校都建立了校园网络并投入使用，对加快信息处理，提高工作效率，扩大了眼界和改变了工作方式，实现资源共享起到无法估量的作用，作为信息传播的新媒体，已成为广大师生获取知识和各种信息的重要渠道，也可以利用网络进行一些管理和教学工作、对日常学习、生活乃至思想观念发生着广泛和深刻的影响，同时产生了诸如网络信息保密、网络安全、病毒防护等新问题。4 特别是校园网接入互联网后，由于计算机网络具有开放性、互联性和共享性的特点，不可避免地受到病毒、黑客、恶意软件和其他不轨行为的安全威胁和攻击，校园网数据丢失、系统被篡改、网络瘫痪的事情时有发生，校园网的安全问题日益成为了人们关注的焦点。如何实现计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域，必须建立完善的全面的校园网络安全策略，才能确保校园网安全、稳定、高效地运转。在现有的条件下，如何搞好网络的安全，就成了校园网络管理人员的一个重要课题。(一)、当前校园信息网络安全隐患和漏洞 近年来，随着学生宿舍、教职工等接入校园网后，网络规模剧增，校园网普遍面临的安全隐患，主要体现：1、校园网与 Internet 相连，在享受 Internet 方便快捷的同时，也面临着遭遇攻击的风险。2、校园网内部也存在很大的安全隐患。内部用户对网络的结构和应用模式都比较了解，来自内部的安全威胁甚至更大。3、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。网络服务器安装的操作系统常有不同级别安全风险的 Windows NT/2000、UNIX、Linux 等，如 Windows NT/2000 的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS 的漏洞、病毒木马等。5 4、随着校园内计算机应用的大范围普及，接入校园网的节点数日益增多，且没有采取安全防护措施，随时可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等后果。5、内部用户对 Internet 的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起 DoS/DDoS 攻击等导致网络及服务瘫痪。6、可能会因为校园网内管理人员以及师生的安全意识不强、管理制度不健全，带来校园网的威胁。7、网络管理维护的困难。现在很多课堂教学逐步走向网络化，学生在线学习、娱乐时间增加。校园网网络大、业务多、故障问题定位复杂，管理难度增大。8、网络业务容量及资源调配的困难。这包括如何有效合理地对教育网络带宽的调度和分配，满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议等应用。9、网络安全、统计等运营问题。这表现在校园网缺乏用户认证、授权、计费体系，安全认证以 IP 地址为主，存在有意和无意的攻击等。（二）、危害校园网络安全的主要威胁 1、网络系统在稳定性和可扩充性方面存在各种各样的安全问题。计算机病毒利用操作系统的漏洞进行传染，如不对操作系统进行及时更新，弥补各种漏洞，计算机即使安装了防毒软件也会反复感6 染，由于设计的系统不规范、不合理以及缺乏安全性考虑，因而受到影响。、计算机病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，这是影响校园网络安全的主要因素。网络的发展也为计算机病毒的蔓延打开了方便之门，病毒无时无刻不在对网络的安全构成潜在的威胁，可能从任一节点潜入并蔓延至整个网络,尤其是人们频繁使用的电子邮件如今更成为病毒栖身、散播的载体。3、黑客攻击 黑客攻击早期主要进攻手段有：窃取口令、强力闯入、窃取额外特权、植入“特洛伊木马”等等。随着 INTERNET 的发展，黑客的进攻手段从以系统为主的攻击转变到以网络为主的攻击，攻击手法包括：通过网络监听获取网上用户的帐号和密码；监听密钥分配过程；通过隐蔽通道进行非法活动；突破网络防火墙；黑客们灵活运用丰富的现成黑客工具进行攻击，入侵常用手法有端口监听、端口扫描、口令入侵等。4、口令入侵 首先通过网络监听等方式非法获得合法用户的帐号、用户口令，再使用某些合法用户的帐号和口令登陆到目标主机，然后在实施攻击活动。5、非正常途径访问或内部破坏 7 破坏数据的完整性,即使用非法手段删除、修改、重发某些重要信息以干扰用户的正常使用。如在学校中有人为了报复而销毁或篡改人事档案记录、有学生通过非正常的手段获取习题的答案或在考前获得考试内容等使正常的教学练习失去意义等这些安全隐患都严重地破坏了学校的管理秩序。由于担心重要数据库和文件安全性问题，不得不与校园网络物理隔离，使得应用软件不能发挥真正的作用。6、不良信息的传播 在校园网接入 Internet 后，师生都可以通过校园网络在自己的电脑上进入 Internet。Internet 上如娱乐、游戏、暴力、色情、反动等有毒的信息违反了人类的道德标准和有关法律法规，对学生的身心健康危害非常大。7、访问控制配置的复杂性，容易导致配置错误，从而给他人以可乘之机，管理制度不健全，网络管理、维护任其，缺乏安全策略，许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被其他人员滥用。二、校园网络安全管理 校园网络安全指利用网络管理控制技术措施，保证网络的数据机密性、完整性和可用性。目的是确保经网络传输的信息在传输过程中没有任何增加、改变、丢失或非法读取。但随着黑客攻击手法的改进，进一步暴露了网络的脆弱性。如针对网络服务器的拒绝服务式攻击等。现在网络安全管理范围进一步扩大，安全管理也相应地复杂了很多。不仅仅局限于网络建成后的保护措施，也涉及到了网络的设8 计。较好的网络设计应该保证网络有较好的弹性，能够在数据量很大的时候仍能保证较好的服务质量和稳定性。校园网络安全主要涉及到了以下几个方面：1数据安全：保证重要的数据和信息在传输过程中不丢失、被修改、被窃取。2结构安全：保障网络规划合理性，并随着使用过程中出现的问题不断调整和改进，保证网络有较好的弹性和服务质量。3信息过滤：阻止反动、黄色的信息在网络中传输。4访问安全：保护网络不被非法修改和恶意攻击。5软件系统安全：确保系统软件的安全，应使用防病毒技术、备份和恢复技术。6操作安全：建立规范管理和良好的管理制度，使各工作人员严格遵守规章制度。尽量防止内部工作人员的过失。以上的分类只是从不同角度对网络安全作出说明，实际上它们是有交叉点的。三、校园网络安全策略 安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。1、物理安全策略 9 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:（1）环境安全。对系统所在环境的安全保护,确保计算机系统有一个良好的电磁兼容工作环境。（2）设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。2、访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。（1）入网访问控制。入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源；控制准许用户入网的时间和准许他们在哪台工作站入网。（2）网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源;可以指定用户对这些文件、目录、设备能够执行哪些操作。（3）目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。（4）属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录10 等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。（5）网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。（6）网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。（7）网络端口和节点的安全控制。端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。3、防火墙控制策略 11 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统,用来限制外部非法用户访问内部网络资源，通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。4、信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全;端点加密是对源端用户到目的端用户的数据提供保护;节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。建立信息安全制度,在硬件产品、技术力量、人员培训方面加大投入,实施过程中采用预防控制的原则、全员参与原则、动态管理的原则、可持续性原则,建立起具有自己网络安全特色的体系,确保信息网络的安全。5、网络入侵检测技术 网络入侵是入侵者试图破坏信息系统的完整性、机密性、可信性的任何网络活动，识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程，它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所12 提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。6、备份和镜像技术 用备份和镜像技术提高完整性。采用稳妥的系统保护技术，备份技术是最常用的提高数据完整性的措施，它是指对需要保护的数据在另一个地方制作一个备份，一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作，若其中一个出现故障，另一个仍可以继续工作。7、有害信息的过滤 对于校园网络，由于使用人群的特定性，必须要对网络的有害信息加以过滤，防止一些色情、暴力和反动信息危害学生的身心健康，必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。8、网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,建立严格的信息安全保障制度，制定完备的机房安全管理规章，定期监督检查校园网安全制度的落实情况。对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。四、网络安全体系的探讨 13 我校现阶段为了保证网络工作顺通，从以下几个方面来实现网路安全管理，如增强网络安全意识、执行安全管理制度、公布网络安全信息、周期性网络维护，同时利用现有比较成熟的技术，如访问控制技术、密钥安全技术、数字签名及身份认证技术、病毒防范技术、防火墙技术、包过滤路由技术、动态口令技术、链路加密技术、数据备份及恢复技术、网络入侵检测技术等综合使用，进一步增强网络安全。1、网络病毒的防范。在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网，就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，就需要网关的防病毒软件，加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件，识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的专业防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。2、配置防火墙。防火墙是网络安全的屏障，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上14 的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止 Internet 上的不安全因素蔓延到局域网内部，是网络安全的重要一环。在防火墙设置上比如我们学校按照以下原则配置来提高网络安全性:（1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括:协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。（2）将防火墙配置成过滤掉以内部网络地址进入路由器的IP 包，防范源地址假冒和源路由类型的攻击;过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击。（3）在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址被盗用。（4）在局域网的入口架设防火墙，并实现VPN 的功能，在校园网络入口处建立第一层的安全屏障，VPN 保证了管理员在家里或出差时能够安全接入数据中心。（5）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。（6）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。3、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基15 于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。4、Web，Email，BBS 的安全监测系统。在服务器中使用网络安全监测系统，实时跟踪、监视网络，截获 Internet 网上传输的内容，并将其还原成完整的 www、Email、FTP 应用等内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网管中心报告，采取相应措施。5、漏洞扫描系统。了解网络中存在哪些安全隐患、脆弱点。对网络的复杂性，寻求能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。6、IP 盗用问题的解决。在路由器上捆绑 IP 和 MAC 地址。当某个 IP 通过路由器访问 Internet 时，路由器要检查发出这个 IP 广播包的工作站的 MAC 是否与路由器上的 MAC 地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个 IP 广播包的工作站返回一个警告信息。7、利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，我们可以采用对各个子网做一个具有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。16 总之，每一种安全机制都有一定的应用范围和应用环境。校园网络的安全问题，不仅是设备，技术的问题，更是管理的问题。对于校园网络的管理人员，一定要提高网络安全意识，加强网络安全技术的掌握，注重对学生教工的网络安全知识培训，而且更需要制定一套完整的规章制度来规范上网人员的行为。参考文献 1戴宗坤：信息安全实用技术 （重庆大学出版社 2004 8）2余建斌：黑客的攻击手段及用户对策（北京人民邮电出版社 1998）3周学广：信息安全学（机械工业出版社 200）4张世永：网络安全原理与应用（科学出版社 2003）5冯登国：计算机通信网络安全（清华大学出版社，2001）6祁明：网络安全与保密(高等教育出版社，2001）7陈浩：Internet 上的网络攻击与防范(电信技术1998）8林海：计算机网络安全（高等教育出版社 2003.7）