13信管1班江蕊4175信息安全技术作业文档格式.docx
《13信管1班江蕊4175信息安全技术作业文档格式.docx》由会员分享,可在线阅读,更多相关《13信管1班江蕊4175信息安全技术作业文档格式.docx(20页珍藏版)》请在冰豆网上搜索。
2.1校园网络建设·
6
2.2技术方案·
2.3安财校园网络现有安全产品及功能·
8
2.3.1IPS(入侵防御系统)·
2.3.2web应用防火墙·
9
2.3.3内外网防火墙·
14
2.3.4核心交换机与汇聚交换机·
17
2.3.5智能DNS·
18
3安财校园网存在的安全隐患·
19
3.1教学楼的计算机缺少杀毒软件·
3.2使用的操作系统存在安全漏洞·
20
3.3学生研究黑客技术·
3.4校园无线网络覆盖带来的安全隐患·
3.5网络安全意识淡薄·
21
4对校园网安全管理的建议·
4.1做好对病毒的防范·
4.2定期进行漏洞扫描·
4.3加强网络安全管理·
22
4.4对网络用户进行行为操作上的监控·
4.5优化校园网登陆客户端并将账户与手机绑定·
4.6校园无线网络安全防护对策·
23
总结·
24
参考资料·
25
引言
随着教育信息化快速发展,校园网络已经成为学校重要的现代化基础设施,为学校建设提供安全、可靠、快捷的网络环境,学校的学生思想教育、教学、科研、管理等对网络的依赖将越来越紧密。
校园网的安全状况直接影响到这些活动的顺利进行。
安徽财经大学的校园网络为学校的教育和科研提供了方便、快捷的信息检索和国内外信息交流服务。
已经成为全校师生必不可少的教学与科研工具。
实现了办公自动化,高等教育信息化。
但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,出现使自己的信息泄露等一系列问题。
因此,保障校园网络信息安全已经成为当前高校网络建设中不可忽视的首要问题。
1高等院校校园网络信息安全问题及对学生日常生活的影响
1.1校园网的信息安全问题
校园网具有速度快、规模大的特点,计算机系统管理复杂,随着其应用的深入,校园网络信息的安全问题也逐渐突出,直接影响着学校的教学、管理、科研活动。
因此,在全面了解校园网的信息安全现状基础上,合理构建安全体系结构,改善网络应用环境的工作迫在眉睫。
当前,校园网络常见的安全隐患有以下几种。
1.1.1计算机系统漏洞
校园网中被广泛使用的网络操作系统主要是windows,存在各种各样的安全问题,服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。
而且随着时间的推移,将会有更多漏洞被黑客发现并利用。
许多新型计算机病毒程序都是利用操作系统的漏洞进行传染,如不对操作系统进行及时更新和杀毒软件进行查杀和漏洞修复,这些漏洞就是一个个安全隐患。
1.1.2计算机病毒的破坏
计算机病毒影响计算机系统的
常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机操作系统和整个校园网络系统的瘫痪,是影响校园网络信息安全的主要因素。
计算机病毒具有以下特点:
一是攻击隐蔽性强;
二是繁殖能力强;
三是传染途径广;
四是潜伏期长;
五是破坏力大。
1.1.3来自外网的入侵
校园网与Internet相连,在享受Internet方便同时,也面临着遭遇攻击的风险。
黑客也经常利用网络攻击校园网的服务器,以窃取一些学校重要信息。
目前在因特网上,可以自由下载很多攻击工具,例如:
灰鸽子、冰河木马、蠕虫等等。
这类攻击工具设置简单、使用方便,破坏力大,这意味着攻击所需要的技术门槛大大降低。
因此,一个技术平平的普通攻击者很可能就是对网络系统造成巨大危害的黑客。
1.1.4网络硬件设备受损
校园网络涉及硬件的设备分布在整个校园内,管理起来有一定的难度,暴露在外面的设施,都有可能遭到有意或无意地损坏,这样可能会造成校园网络全部或部分瘫痪的严重后果。
1.2校园网的快速发展给学生带来的影响
随着科学技术的发展,越来越多的信息系统都应用在学校中,如安财的一卡通系统、教务系统、选课系统、学工系统等等,这些都极大的给学生带来了方便。
如一卡通系统给学生带来的方便主要体现在以下几个方面:
1.2.1一卡多用
校园IC卡作为信息载体将各种原有的学生证、工作证、借书证等合一,减少卡的数量,方便学生携带。
1.2.2圈存消费
依托校园网,将校园卡和银行金融卡相结合,自动、自助地将银行存款圈存到校园卡上,完成校内消费,减少现金收支,统一结算管理,提高资金的安全性。
1.2.3实时管理
各级用户进入学校门户进行身份认证,从而与学校管理信息系统无缝连接,实现学生、教职员工基本信息查询,并且能按用户权限进行各种信息的实时管理。
2安财校园网现状
安徽财经大学校园网络拓扑图
2.1安财校园网络建设
我校校园网于2001年10月建成并投入运行,一期校园网项目投资800多万元,组建了网络中心,配备了Cisco6509骨干千兆交换机一台,Cisco4507汇聚交换机两台,锐捷RG-S6506汇聚交换机两台,Cisco3602路由器一台,一台SUN450作为数据库服务器,一台SUN250作为邮件服务器,另一台SUN250作为DNS服务器,一台HP3000作为www服务器,在校园的各个楼宇内(如综合楼、实验楼、1、2号办公楼、图书馆等)购买了25台Cisco3550-48,40台锐捷S3750-48交换机作为接入交换机,楼与楼之间全部用千兆光纤互连,百兆到桌面。
一期项目中校园网接口已经覆盖三个校区的所有办公楼、所有教职工宿舍以及东西校区的研究生宿舍。
二期校园网改造项目于2006年3月份启动,经过校内外专家的论证,决定建设万兆校园网,以满足日益增长的教学、科研以及管理的需求。
2.2技术方案
为达到上述的建设目标,在研究比较各种网络技术、产品、方案的基础上,结合我校实际情况,提出以下技术方案:
1.网络主干采用双链路万兆互连。
即由龙湖西校区一台核心(新)、一台Cisco6509(原)作为汇聚,龙湖东校区网络中心核心(新)加一台核心(新)备用,通过万兆光纤链路构成骨干网络,由分布在各楼宇的汇聚层路由交换机与相近的核心交换机通过千兆链路链接,形成星形结构。
2.支持校园网出口选用2-3条线路,其中一条至中国教育网。
由于校园网络采用教育网域名,使得一些基本的网络服务如web、mail、DNS等必须通过教育网线路提供;
而教育网与国内公网接口的速度及教育网的国外流量收费策略迫使我们选择另外的ISP(互联网服务供应商)。
因此校园网出口设备必须支持:
(1)策略路由;
(2)NAT转换;
(3)多个接口;
(4)接口速度至少100M,支持千兆;
(5)支持MPLS;
(6)支持IPV6和双栈协议转换。
3.网络安全系统。
网络安全主要通过以下几种技术实现:
防火墙系统。
在校园网出口位置架设防火墙实现校园网与互联网的隔离;
在校园网内部服务器和数据中心之前架设防火墙以防止校园网内部对重要设备和服务的攻击,防火墙系统保证外部和内部网络核心设备都不被攻击。
外部服务器群包括web服务器、mail服务器等,内部服务器包括数据库服务器、内部web服务器、计费服务器、DNS服务器、视频点播服务器和其它各种应用服务器等。
4.IPV6网络。
选用支持双栈结构的核心路由交换机以便将来建设IPV6实验网。
5.服务器项目需求。
学校现有需求有以下几大类:
数据库应用及VOD服务、DNS服务、WEB服务、FTP服务、MAIL服务、电子教务、BBS、电子政务、杀毒应用、计费服务等。
数据库服务器和VOD服务器:
该服务要求是最高的。
数据库服务器是整个IT系统的核心,所以使用企业级服务器,支持4路处理器。
按照现阶段的需求,VOD和数据库服务器只配两路CPU和4GBDDRECC内存。
DNS服务:
这种功能型服务对服务器的要求并不是很高,一般的一路CPU和2GBDDRECC内存,就可以胜任(支持双路处理器),也可以满足以后扩充性能。
杀毒服务和网关计费也是一种功能型服务,但相对DNS服务,他们的系统占用会高一些,所以对于以上两种应用安装两路CPU和相应的DDRECC内存。
同时两种应用对服务的实时性不是很明显,所以只给每种服务相应配置了一台服务器。
MAIL服务、WEB服务和电子政务。
电子教务、网关计费系统:
这种应用型服务需要配置两路的服务器。
以上所有服务器要求支持双核技术。
目前校园网对外出口有两条,一条155兆光纤与省教育科研网(中国科技大学网络中心)互连,另外一条100兆光纤连接到Internet,使我校的对外出口带宽达到200兆。
以后将随着需求的增加不断增加带宽。
2.3安财校园网络现有安全产品及功能
2.3.1IPS(入侵防御系统)
我校IPS采用的是华为NIP2000D/5000D系列IDS产品,是华为自主研发的新一代入侵检测类产品,其作用是帮助用户定位各种网络威胁,以及违反安全策略的流量,并提供详实、有效的指导措施,进而实现防护-检测-响应一体化的解决方案。
NIP入侵检测系统(IDS)融合了多种新一代的检测技术,坚持“全面检测、准确分析、多面展现”的IDS产品理念,是用户提升安全能力,完善安全保障措施的得力助手。
前瞻性的全面检测技术
NIP系统采用多种先进的检测技术,有效的防御各种已知或者未知的威胁:
采用协议智能识别技术,自动的区分不同应用和协议,无需人工设定协议端口;
基于漏洞的检测技术,以及基于攻击特征的检测技术,实时发现并防御各种已知的攻击:
漏洞利用、蠕虫木马等等;
协议异常检测、流量异常检测以及启发式检测技术,可以有效的发现未知漏洞及恶意软件产生的攻击。
NIP产品荟萃多种入侵检测技术,其中最重要的就是基于漏洞的检测,可有效地阻止因为漏洞而带来的威胁,如:
溢出攻击、蠕虫感染等。
相对传统的攻击特征检测不会产生误报、并且能够更好地对抗使用逃避技术的攻击行为。
全面检测:
覆盖网络、服务器、终端及应用
提供传统IDS的检测能力:
漏洞攻击、Web应用攻击、蠕虫木马等恶意软件、网络层DoS等;
针对日益泛滥的上网客户端攻击(浏览器、媒体文件、各种文档格式等),提供最与业的检测;
应对愈演愈烈的应用层拒绝服务攻击,提供领先的预警能力(HTTP、DNS、SIP等);
强大的应用感知能力,识别应用1200+,帮助用户掌插网络真实状态。
200+安全研究人员凭借全球布点的漏洞跟踪的能力,最早发现攻击,提供及时的签名升级。
易于部署
NIP产品预先配置了成熟的默认安全策略,提供了开箱即用的零配置上线的安全保护。
此默认策略凭借有先进的引擎技术和高质量基于漏洞的签名,提供高精度的威胁检出能力,无需人工逐个优化调整。
多面展现:
易于确定响应方式
详实的报警信息,同时提供针对性的响应指导措施;
可进行攻击录包,帮助用户更清楚的了解黑客行为过程并进行采证。
数十种的各种安全报表,让用户轻松掌插内部安全状态及趋势;
NIPManager具有丰富的日志统计报表功能,从不同粒度和不同维度全面展示网络实时状况、历史信息及检测到的各种攻击排名、流量趋势走向。
方便用户随时了解网络健康状态,对网络加固和IT活动实施予以指导。
2.3.2web应用防火墙
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
一般放在服务器前。
我校现在采用的web应用防火墙主要有两种,一种是上海天存信息的iWall应用防火墙,一种是网康科技的WAF1000。
1.iWall应用防火墙
产品简介:
iWall应用防火墙(Web应用防护系统)是一款保护Web站点和应用免受来自于应用层攻击的Web防护系统。
iWall应用防火墙使用的Web服务器核心内嵌技术,在请求数据尚未被Web服务器软件处理之前(更在应用系统处理之前)即进行检查,区分正常用户访问Web和攻击者的恶意行为,确保所有攻击行为被拒之门外。
iWall能全面防御WEB应用层攻击:
产品特点:
(1)部署便捷
iWall应用防火墙采用软件方式(核心内嵌技术)实现,而一些应用防火墙采用硬件方式(反向代理技术)实现,它们的部署方式见下图:
(2)性价比高
由于实现机理和部署方式的不同,它们之间的比较如下表:
产品部署:
iWall应用防火墙采用软件方式(核心内嵌技术)实现,部署非常方便。
iWall由以下两个模块组成:
应用防护模块。
iWall的核心防护模块,内嵌于Web系统(Web服务器软件)中,与Web服务器一起运行。
配置管理模块。
iWall的配置生成程序,在独立管理员机器上运行,仅在系统管理员需要改变iWall配置时才使用。
两者之间没有通信连接。
仅通过一个配置文件交换数据,即:
配置管理模块生成一个配置文件,将它复制到Web服务器上供应用防护模块使用。
2.网康WAF
精细化Web安全防护
网康WAF应用防火墙能防护7大类Web攻击威胁。
精细化的规则配置,发挥最大的安全防护功能,有效应对OWASPTop10定义的威胁及其变种。
完整网页防篡改解决方案,支持Linux、BSD,Windows系统
Web防火墙集中管理控制各个网页防篡改端点,并提供监控、同步、发布功能。
基于文件夹驱动级保护技术,事件触发机制,确保系统资源不被浪费。
与WAF联动:
网页防篡改(端点技术)与WAF联动,阻断Web威胁。
采用文件级驱动保护技术后,用户每次访问每个受保护网页时,Web服务器在发送之前都进行完整性检查,保证网页的真实性,可以彻底杜绝篡改后的网页被访问的可能性。
支持Windows2000/xp/2003/2008(64位),Linux/BSD系统的网页防篡改。
专业DDOS防护引擎,让服务器更加安全
网康WAF防火墙的防D.DoS攻击模块采用主动监测加被动跟踪相互结合的防护技术,可辨识多种D.DoS攻击,并启用特有的阻断,能够高效地完成对D.DoS攻击的过滤和防护。
针对互联网中常见的D.DoS攻击手段,提供多种防护手段结合的方式,有效的阻断攻击行为,从而确保服务器可以正常提供服务。
能有效的防止CC和SynFlood攻击。
Web扫描支持
网康WAF提供Web漏洞扫描系统,定期对客户Web资源进行安全体检,从而进行事前防范和处理。
网页挂马主动诊断
网页挂马,可以认为是一种比较隐蔽的网页篡改方式,其最终目的为盗取客户端的敏感信息,如各类帐号密码,甚而可能导致客户端主机沦为攻击者的肉鸡。
Web服务器成为了传播网页木马的“傀儡帮凶”,严重影响到网站的公众信誉度。
网康WAF提供网页挂马检测功能,全面检查网站各级页面中是否被植入恶意代码,并及时提醒客户。
2.3.3内外网防火墙
现在我校内外网防火墙采用的是山石网科的产品。
山石网科Web应用防火墙是新一代专业Web应用安全防护产品,专注于为网站及Web应用系统提供专业的应用层深度防御。
我校外网防火墙由两台山石网科SG-6000-X7180接入,内网防火墙由山石网科SG-6000-M3108接入。
(1)SG-6000-X7180
领先的虚拟防火墙技术
虚拟化技术在数据中心被越来越广泛的应用,尤其是那些为不同租户提供业务服务的数据中心;
同时数据中心的业务种类多种多样,这些都需要防火墙采用不同的安全策略进行独立管理。
X7180针对数据中心的虚拟化需求,可将一台物理防火墙在逻辑上划分成多达1000个虚拟防火墙,为数据中心提供大容量的虚拟防火墙支持能力。
同时,用户可根据实际业务情况,动态设置每个虚拟防火墙的资源配额,例如CPU、会话、策略数、端口等,保障了虚拟化环境中业务流量的弹性变化。
X7180的每个虚拟防火墙系统不但拥有独立的系统资源,还可独立精细化管理,为不同的业务或用户提供可视化的独立安全管理平面,满足不同数据中心用户/租户对独立安全业务平面的防护需求。
完善的NAT和IPv6过渡技术
随着IPv4地址的枯竭,网络向下一代互联网转换成为必然。
但是由于下一代互联网部署成本高,并且对用户现有的应用会造成较大影响,因此NAT444、NAT64、DS-Lite等下一代互联网过渡技术以其技术成熟、部署简便和演进平滑的特点,在目前运营商的城域网中得到广泛应用。
X7180完全支持下一代互联网部署技术(包括双栈、隧道、DNS64/NAT64等多种过渡技术),同时具备成熟的NAT444功能支持外网地址固定端口块向内网地址的静态映射,能够基于Session生成日志,并可基于用户生成日志,方便溯源。
同时增强的NAT功能(Full-coneNAT和端口复用等),能够充分适应目前运营商网络的特点,降低用户网络建设成本。
丰富的安全功能
X7180采用先进的深度应用识别技术,可根据应用的内容特征、行为规律、历史记录关联信息等对1200多种网络应用以及加密的P2P应用进行深度识别,并可对用户的网络流量进行更细粒度的访问控制。
X7180提供完全兼容标准的IPSecVPN和L2TPVPN功能,集成第三代SSLVPN,并结合硬件加速和多核平台的处理能力,为用户提供高性能、高容量的全面VPN解决方案。
同时,其独特的即插即用VPN,大大简化了配置和维护难度,为用户提供方便快捷的远程安全接入服务。
X7180的智能带宽管理基于深度应用识别和用户识别,结合业务应用优先级,可根据策略对流量进行细粒度划分控制,并提供弹性QoS功能,动态调整特定用户的带宽;
与会话限制、策略路由、链路负载均衡等功能配合使用,可以为用户提供更为灵活的流量管理解决方案。
(2)SG-6000-M3108
内容安全(UTM
Plus)
SG-6000可选UTMPlus软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。
关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。
病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。
模块化、全并行处理的安全架构(多核Plus
G2)
Hillstone山石网科自主开发的64位实时安全操作系统StoneOS采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;
StoneOS实现了从网络层到应用层的多核全并行处理。
因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。
SG-6000-M3108支持SD卡扩展。
通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。
2.3.4核心交换机与汇聚交换机
我校校园网络的核心交换机由两台JuniperMX960和Cisco6509组成,汇聚交换机由两台JuniperEX4550组成。
(1)JuniperMX960
MX960是经过专门优化的以太网业务路由器,能够提供交换和运营商级以太网路由功能,以确保实现最低的每端口成本,同时不降低性能、可靠性、可扩展性和功能。
特性:
采用JunosOS和JunosSpace的广泛通用边缘产品组合可向企业和所有类型的电信运营商提供资本效率和无与伦比的操作卓越性。
采用3D模型的规模和性能可提供从20Gbps到80Tbps的长期投资保护,从而满足所有业务和技术要求。
SDN就绪提供与JuniperNetworksContrail等SDN控制器的无缝集成,并且支持灵活的服务交付和定制,从而实现简
升级会员 