杨健2629信息安全技术作业.docx
《杨健2629信息安全技术作业.docx》由会员分享,可在线阅读,更多相关《杨健2629信息安全技术作业.docx(15页珍藏版)》请在冰豆网上搜索。
杨健2629信息安全技术作业
调查报告
题目:
安徽财经大学网络安全
姓名:
杨健
学号:
20132629
班级:
信管2班
目录
一.网络现状……………………………………………………2
1.1校园网网络拓扑图………………………………………..2
概况……………………………………………………………3
1.2网络设备……………………………………………………3
核心交换机………………………………………………………3
汇聚交换机………………………………………………………7
二.校园网络存在的问题与解决法案……………………………………..9
三.校园网网络安全问题解决方案 ……………………………………………16
一.网络现状
1.1校园网网络拓扑图
概况:
布设信息点25400个,已开通建筑物80栋,三个校区共铺设光缆63.5公里;已注册用户总数9480户;提供多种网络服务;目前校园网对外出口有三条;一条100兆光纤与安徽省教育科技网互连,另外两条100兆光纤连接到Internet,使本校对外出口的带宽达到300兆,实现了与中国科技教育网,internet的高速互连。
1.2网络设备:
核心交换机:
1.2.1JuniperMx960(2台)
概述:
MX960以太网业务路由器为运营商级以太网的容量、密度和性能制订了新的业界标准。
作为第一款优化用于新兴以太网网络架构和服务的Juniper平台,MX960专门构建用于满足最苛刻的运营商应用需求。
MX960利用JUNOS操作系统,使运营商能够以经济高效地方式无缝部署以太网并加速下一代网络部署。
通过将最佳的硬件平台与JUNOS软件的可靠性及服务灵活性结合在一起,MX960提供的特性和功能都令以往的运营商级以太网部署望尘莫及。
全新的MX960平台是业界容量最大的运营商级以太网平台,提供最大可达960千兆位每秒(Gbps)的交换和路由容量-从而降低每平台的成本并增加收入,产品还能通过扩展来保护客户投资。
MX960有效支持高密度接口和大容量的交换吞吐量,适用于广泛的企业和住宅应用与服务,包括高速传输和VPN服务、下一代宽带多重播放服务以及大容量的互联网数据中心网络互连等。
特点:
(1)二层交换和三层互通;
(2)实现三层精确匹配查询;
(3)专门针对局域网,特别是以太网进行了优化;
(4)引入了一些在二层交换机和三层路由器上都不存在的特性;
(5)实现了初步的BAS功能。
优缺点:
优点:
成本低,适用于小型局域网,为接入层位置的交换机档次。
接入层QoS尚可。
缺点:
QoS一般,在汇聚层、核心层、大中型网络的接入层传统软件实现分配方式已经不能满足大容量数据流的吞吐需要。
第二层交换的优点:
由于第二层交换相对简单,网络管理员可以建立管理简便且能扩展到数百个节点的网络,而不会遇到太多的第二层广播问题。
第二层交换的缺点:
如果第二层交换机不知道将帧发送到何处,它会将该帧广播转发到所有端口,以了解正确的目标地址(此种情况类似于集线器的功能),对于规模较大的网络来说,这种广播转发操作会产生严重的问题,因为所有这些广播的处理会造成性能的大幅度降低,第二层交换机利用这种技术来建立和维护一个跟踪帧目标地址的交换表。
VLAN提供了以下两个主要优点:
①.网络设计人员可以利用VLAN来建造能避免特大第二层广播域问题的大型第二层网络。
②.网络周围的移动、添加和更改更加容易,因为无论物理位置在哪里,用户始终在他们自己的VLAN中。
汇聚交换机:
juniperEX4550(两台)
概述:
可扩展的EX4500系列以太网交换机提供经济、高能效、高性能的平台,适合企业园区和数据中心柜顶部署,同样适合服务提供商环境。
2UEX4500拥有40个线速双GbE/10GbE端口,以及完整的第2层和第3层支持。
可选的高速上行链路模块包含8个额外的10GbE端口。
1UEX4550有32个线速GbE/10GbE端口和2个扩展插槽,可安装可选模块,将端口密度提升到48。
EX4550支持第3层动态路由协议(如RIP和OSPF)、MPLS服务(如第2层和第3层VPN)、所有端口上的MACsec以及综合全面的服务质量(QoS)特性集。
EX4500和EX4550均支持瞻博网络集群交换技术,可与EX4200交换机一同部署在相同的集群交换配置之中,支持同时包含GbE和10GbE服务器的环境。
功能:
经过实践检验的瞻博网络技术:
运营商级架构配合JunosOS,使得EX系列交换机得以为所有应用提供运营商级可靠性。
EX系列交换机融合安全风险管理与统一接入控制,能够动态提供网络保护、访客访问和基于身份的QoS。
超高1GbE、10GbE、40GbE和100GbE端口密度提供线速性能,显著简化网络拓扑结构和操作。
每个交换机端口八个QoS队列可确保正确确定语音、视频和多个数据信息流级别的优先级,并且仍可融合其他网络,如构建自动化和视频安全系统。
经济实惠的创新交换机设计支持的新架构可降低成本和减少复杂性,同时统一管理和自动化工具可整合系统监控。
集群交换技术允许多台互连的EX系列交换机作为单一逻辑设备运行,从而降低运营支出和简化管理。
二校园网络存在的问题与解决法案。
2.1问题概括起来主要有以下几个方面:
1)网络日常管理维护的困境。
随着课堂教学逐步走向网络化,学生在线学习、娱乐时间的增加必然造成校园网网络大、业务多、故障产生问题复杂,网络的安全性差、管理难度较大。
(2)滥用网络资源。
在校园网内,用户滥用网络资源的情况严重,有私自开设代理服务器非法获取网络服务的,也有校园网用户非法下载或上载的,甚至有的用户每天都不断网,其流量每天都达到几十个 G,占用了大量的网络带宽,影响了校园网的其它应用[4]。
(3)网络安全、计费等运营问题。
校园网中的计算机系统管理比较复杂,缺乏用户认证、授权、计费体系,安全认证存在有意无意的攻击。
(4)互联网上的非法内容也形成了对网络的另一大威胁。
不良信息的传播对正在形成世界观和人生观的大学生而言,危害是非常大的。
要确保高校学生健康成长、积极向上,就必须采取措施对校园网络信息进行过滤和处理,使他们尽可能少地接触网络上的不良信息。
对校园网来说,如不具有过滤和识别作用,不但会造成大量非法内容及邮件进入,占用大量流量资源,造成网络流量堵塞、上网速度变慢等问题。
许多校园网是从局域网发展而来的,由于安全管理意识与资金方面的原因,它们在安全方面往往没有作太多的设置,一般往往直接面向互联网,这就给病毒、黑客提供了充分施展身手的空间,这些安全隐患发生任何一次,都会对整个网络产生致命的危害。
因此,校园网的网络安全需求是全方位的。
2.2校园网的网络构成2.2.1校园网系统功能构成
2.2.2校园网拓扑结构
2.3校园网的建设目标
网络安全(Network Security)是抵御内部和外部各种形式的威胁,
以确保网络的安全的过程。
为了深入彻底地理解什么是网络安全,必须理解网络安全旨在保护的网络上所面临的威胁,理解一个能够用于阻止这些攻击的主要机制也是非常重要的。
通常,在网络上实现最终的安全目标可通过下面的一系列步骤完成,每一都是为了澄清攻击和阻止攻击的保护方法之间的关系。
下面的步骤是在一个站上建立和实现安全的方法:
第1步确定要保护的是什么; 第2步决定尽力保护它免于什么威胁; 第3步决定威胁的可能性; 第4步以一种划算的方法实现保护资产的目的; 第5步不断地检查这些步骤,每当发现一个弱点就进行改进。
校园网络系统需要实现以下安全目标:
保护网络系统的可用性; 保护网络系统服务的连续性; 防范网络资源的非法访问及非授权访问; 防范入侵者的恶意攻击与破坏; 保护信息通过网上传输过程中的机密性、完整性。
2.4校园网网络安全问题现状
校园网在学校的日常活动中发挥着越来越重要的作用,与此同时,校园网的安全问题也越来越突出,网络病毒,黑客入侵,管理不善等原因使得校园网络面临着严重的威胁。
2.4.1网络的开放性带来的安全问题 :
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。
为了解决这些安全问题,各种安全机制、策略、管理和技术被研究和应用。
然而,即使在使用了现有的安全工具和技术的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以包括为以下几点:
(1)安全机制在特定环境下并非万无一失。
比如防火墙,它虽然是一种有效的安全工具,可以隐蔽内部网络结构,限制外部网络到内部网络的访问。
但是对于内部网络之间的访问,防火墙往往是无能为力的。
因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(2)安全工具的使用受到人为因素的影响。
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。
例如,WindowsXP在进行合理的设置后可以达到C级的安全性,但很少有人能够对WindowsXP本身的安全策略进行合理的设置。
虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(3)系统的后门是难于考虑到的地方。
防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。
对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
2.4.2 校园网网络安全的主要威胁因素
(1)软件漏洞:
每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。
这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。
(2)配置不当:
安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。
对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。
除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
(3)安全意识不强:
用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁 。
(4)病毒:
目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。
计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。
因此,提高对病毒的防范刻不容缓。
2.4.3校园网安全存在的缺陷
网络自身的安全缺陷
网络是一个开放的环境,TCP/IP是一个通用的协议,即通过IP地址作为网络节点的唯一标识,基于IP地址进行多用户的认证和授权,并根据IP包中源IP地址判断数据的真实和安全性,但该协议的最大缺点就是缺乏对IP地址的保护,缺乏对源IP地址真实性的认证机制,这就是TCP/IP协议不安全的根本所在。
通过TCP/IP协议缺陷进行的常见攻击有:
源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。
网络结构、配置、物理设备不安全
最初的互联网只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。
并且网络使用中由于所连接的计算机硬件多,一些厂商可能将未经严格测试的产品推向市场,留下大量安全隐患。
同时,由于操作人员技术水平有限,所以在网络系统维护阶段会产生某些安全漏洞,尽管某些系统提供了一些安全机制,但由于种种原因使这些安全机制没有发挥其作用。
2.4.4各种非法入侵和攻击
由于校园网接入点较多,拥有众多的公共资源,并且使用者安全意识淡薄,安全防护比较薄弱,使得校园网成为易受攻击的目标。
非法入侵者有目的的破坏信息的有效性和完整性,窃取数据,非法抢占系统控制权、占用系统资源。
比如:
漏洞、薄弱点扫描,口令破解;非授权访问或在非授权和不能监测的方式下对数据进行修改;通过网络传播病毒或恶意脚本,干扰用户正常使用或者占用过多的系统资源导致授权的用户不能获得应有的访问或操作被延迟产生了拒绝服务等。
三、校园网网络安全问题解决方案
3.1 解决校园网安全问题的关键技术 3.1.1 密码加密解密技术
为了保护所传输的数据在传递过程中不被别人窃听或修改,就必须对数据进行加密(加密后的数据称为密文),这样,即使别人窃取了数据(密文),由于没有密钥而无法将之还原成明文(未经加密数据),从而保证了数据的安全性,接收方因有正确的密钥,因此可以将接收到的密文还原成正确的明文。
密码技术主要有对称加密和非对称加密两种。
1.对称加密算法
对称密码体制也称为私钥加密法。
从一定意义上说,密码学的基本目的是保护隐私。
也就是使通信双方通过某一不安全的信道传递信息时,只有对方才能破译这一信息。
在过去,这一愿望是通过私钥密码体制来实现的。
私钥密码体制是一种传统密码体制,在过去,最有代表性的私钥密码体制有 Caesar、Hill、Vigenere等。
而当代最有代表性的有:
DES、AES、IDEA、RC5 等,它们的安全性都是基于复杂的数学运算。
若以 M 表示所有的明文信息,C 表示密文信息,K 是所有的密钥。
则私钥密码体制是由这样一组函数对构成的:
Ek:
M→C Dk:
C→M,k∈K
在这里,对于所有的 m∈M 及 k∈K,都有 Dk(Ek(m))=M。
使用这一体制时,通信的双方 A 和 B 需要事先达成某一秘密钥 k∈K,他们可以通过直接会晤或者可以信赖的信使来互相得到对方的秘密钥。
之后,若 A 想发送一组明文给 B,他传送的是密文信息 C∈Ek(m)。
根据 C,B 通过解码函数 Dk 复原信息。
显而易见,解码系统应当具有的特点是:
Dk 和 Ek 易于应用以及在第三方了解除选用密钥的方法之外的保密系统的信息之后,仍然不可能根据 C 得到 M(或 k)。
这种方法已经使用几个世纪了,收发加密信息双方使用同一个私钥对信息进行加密和解密。
在对称密码体制中,使用的加密算法比较简便高效,密钥简短,破译极其困难,因而保密性能良好,如 DES。
但是密钥长度不够,无论如何是对它们构成威胁,且密钥使用一段时间后就要更换,加密方每次启动新密时,都要经过某种秘密渠道把密钥传给解密方,而密钥在传递过程中容易泄漏;网络通信时,如果网内所有用户都使用同样的密钥,那就失去了保密的意义。
但如果网内任意两个用户通信时都使用互不相同的密钥,n 个通信成员就要使用 N(N-1)/2 个密钥,因此,密钥量太大,难以进行管理;无法满足互不相识的人进行私人谈话时的保密性要求,在 Internet 中,有时素不相识的两方需要传送加密信息;难以解决数字签名验证的问题。
(1)对称密钥算法特性该算法最方便的区别就是分组密码和序列密码,如图 2-1 和图 2-2。
分组密码和序列密码之间的正式区别在于序列密码是按其在数据序列中的位置加密每个比特;而分组密码则同等对待每个分组,它不考虑之前出现了什么。
这种区别对实际通信有着重大的影响。
如果差错发生在传输期间,则用二进制序列密码加密的数据会恰好在发生传输差错的脱密正文中出现差错。
而如果用分组密码,则传输中的一个单独比特的差错就会酿成完全随机的相应脱密分组。
实际上,一般不采用分组密码连续加密分离的数据分组,而采用分组密码作为序列密码的二进制密钥序列产生器。
最有代表性对称加密算法是 DES(数据加密标准),其工作原理为:
将明文分割成许多 64 位大小的块,每个块用 64 位密钥进行加密,实际上,密钥由 56 位数据位和 8位奇偶校验位组成,因此只有 256 个可能的密码而不是 264 个。
每块先用初始置换方法进行加密,再连续进行 16 次复杂的替换,最后再对其施用初始置换的逆。
第 i步的替换并不是直接利用原始的密钥 K,而是由 K 与 i 计算出的密钥 Ki。
而日本发明的 FEAL 算法(快速加密算法)、澳大利亚堪培拉国防学院首创的 LOKI 算法和瑞士索洛图恩实验室提出的IDEA算法(国际数据加密标准算法)三种算法的分组长度都是 64 比特,这使得他们在很多应用场合都能同 DES 兼容。
不过,它们的密钥长度都比 DES 长,FEAL 和 LOKI 的密钥长度 64 比特,而 IDEA 的密钥长度 128 比特。
2.非对称加密算法
自从 1976 年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制,如基于大整数因子分解问题的 RSA 体制和 Rabin 体制、基于有限域上的离散对数问题的 Diffie-Hellman 公钥体制和 ElGamal 体制、基于椭圆曲线上的离散对数问题的 Diffie-Hellman 公钥体制和 ElGamal 体制、基于背包问题的 Merkle-Hellman体制和 Chor-Rivest 体制、基于代数编码理论的 MeEliece 体制、基于有限自动机理论的公钥体制等等。
(1) 非对称算法特性
该加密方式在信息的加密与解密中,使用“公开密钥”与“私有密钥”对,这个密钥对由解密者(即信息的接收者)做成,“公开密钥”作为对信息进行加密的密钥,对发送者发布,同时接收者保管好解密所需要的“私有密钥”。
在这里,利用公开密钥加密的信息只能通过私有密钥解密,但不能根据公开密钥推测私有密钥,所以可以在经由第三者的环境中发布公开密钥。
如果用户 A 要给用户 B 传送秘密信息m,则 A 首先应从公开钥本上查到 B 的公开钥,并形成 B 的加密算法 EB,用 EB 对明文m加密编码,得到密文:
C=EB(m),再将 C 发送给 B。
用户 B 在接收到密文 C 后,就可以用自己的密钥所确定的解密算法 DB 来恢复明文:
m=DB(C)=DB(EB(m)),这就是一般公开密钥密码系统的加密、解密过程。
由此可见,一方面,公开密钥密码系统使得任何人都可用其他用户 U 公开的加密密钥 K 给该用户发送经公开加密算法EK加密的信息,而不必事先分配和保管传统密码系统所需的大量密钥;另一方面,当加密、解密变换可交换时,即 EkDk=DkEk,由于仅由用户U自己才具有唯一的一个解密密钥K,对某一有意义的信息,经过用户U 的解密算法 Dk 变换后的结果,就可以用用户 U 公开的加密算法 Ek 变换以恢复原来的信息。
而用不同于 Dk 的解密算法对原信息作变换后的结果,经用户 E 的加密算法 Ek 变换后均不能产生有意义的信息。
在此情况下,该公开密码系统就给用户用户 U 提供了对信息进行签名和身份验证的功能。
(2)非对称算法存在的问题公钥密码体制采用的加密密钥(公开钥)和解密密钥(秘密钥)是不同的。
由于加密密钥是公开的,密钥的分配和管理就很简单,而且能够很容易地实现数字签名,因此最适合于电子商务应用的需要。
但在实际应用中,公钥密码体制并没有完全取代私钥密码体制,这是因为公钥密码体制在应用中存在以下几个缺点:
①公钥密码是基于尖端的数学难题,计算非常复杂,它的速度远比不上私钥密码体制。
②公钥密码中要将相当一部分密码信息予以公布,势必对系统产生影响。
③在公钥密码中,若公钥文件被更改,则公钥被攻破。
防火墙技术 :
防火墙是在内部网和外部网之间建起一道屏障,并决定哪些内部资源可以被外界访问,哪些外部服务可以被内部人员访问的设备。
内部网和外部网之间传输的所有信息都要经过防火墙的检查才能通过。
防火墙大致可分为两大体系:
包过滤防火墙和代理防火墙。
包过滤防火墙是以Checkpoint 防火墙和 Cisco 公司的 PIX 防火墙为代表,代理防火墙是以 NAI 公司的 Gauntlet 防火墙为代表。
数据备份技术:
数据是比网络本身还宝贵的资源,因此提高数据的安全性和可用性是安全技术需要解决的重要问题之一。
数据备份和灾难恢复都属于数据备份和恢复范畴,其分界点就是看灾难的大小。
容灾级别可高可低,系统投资可大可小。
一个全面的容灾解决方案应该包括数据复制这个核心产品,还应有一个远离本地的容灾场地,即数据备份中心,在中心内有服务器、磁盘阵列等硬件设施;软件方面有数据复制软件,还应有集群架构和远程切换的管理措施,能够保证突发事件发生后,数据能够即时被恢复,系统在最短的时间内恢复正常运行。
数据并非备份就可以高枕无忧,应定期进行测试、恢复,保证遇到突发事件后备份数据的可用性,测试是很重要的。
数据备份目的是为了恢复。
因此,客户需要对数据备份和恢复系统有一个管理计划。
总而言之,应当时刻警惕突发事件的发生,做好数据备份,做到防患于未然,在灾难发生时能够做到即时恢复,保护好信息数据。
目前最先进的数据备份技术是基于网络的备份系统。
理想的备份系统应该是全方位、多层次的。
网络存储备份管理系统对整个网络的数据进行管理。
利用集中式管理工具的帮助,系统管理员可对全网的备份策略进行统一管理,备份服务器可以监控所有机器的备份作业,也可以修改备份策略,并可即时浏览所有目录。
所有数据可以备份到同备份服务器或应用服务器相连的任意一台磁带库内。
一个完整的数据备份和灾难恢复方案,应包括备份硬件、备份软件、备份计划和灾难恢复计划四个部分。
(1)备份硬件
丢失数据有三种可能:
人为的错误、漏洞和病毒、设备失灵。
解决数据丢失的方法包括硬盘介质存储、光学介质和磁带/磁带机存储技术。
与磁带/磁带机存储技术和光学介质备份相比,硬盘存储所需费用是极其昂贵的。
磁盘存储技术虽然可以提供容错性解决方案,但容错却不能抵御用户的错误和病毒。
一旦两个磁盘在短时间内失灵,在一个磁盘重建之前,不论是磁盘镜像还是磁盘双工都不能提供数据保护。
因此,在大容量数据备份方面,采用硬盘作为备份介质并不是最佳选择。
与硬盘备份相比,虽然光学介质备份提供了比较经济的存储解决方案,但它们所用的访问时间要比硬盘长 2 到 6 倍,并且容量相对较小。
当备份大容量数据时,所需光盘数量大:
虽保存的持久性较长,但整体可靠性较低。
所以光学介质也不是大容量数据备份的最佳选择。
在大容量备份方面,磁带机所具有的优势是:
容量大并可灵活配置、速度相对适中、介质保存长久,存储时间超过 30 年、成本较低、数据安全性高、可实现无人操作的自动备份等。
所以一般来说,磁带设备是大容量网络备份用户的主要选择。
(2)备份软件
虽然己有用户在网络中运用到大容量备份设备,但大多数用户还没有意识到备份软件的重要性。
重要原因是许多人对备份知识和备份手段缺乏了解。
他们所知道的备份软件无非是网络操作系统附带提供的备份功能,但对如何正确使用专业的备份软件却知之甚少。
备份软件主要分两大类:
一是各个操作系统厂商在软件内附带的,如 NetWare操作系统的“Backup”功能、NT 操作系统的“NTBackup”等;二是各个专业厂商提供的全面的专业备份软件。
对于备份软件的选择,不仅要注重使用方便、自动化程度高,还要有好的扩展性和灵活性。
同时,跨平台的网络数据备份软件能满足用户在数据保护、系统恢复和病毒防护方面的支持。
(3)备份计划
灾难恢复的先决条件,是要做好备份策略及恢复计划。
日常备份计划描述每天的备份以什么方式进行、使用什么介质、什么时间进行以及系统
升级会员 