张永忠5011信息安全技术作业.docx
《张永忠5011信息安全技术作业.docx》由会员分享,可在线阅读,更多相关《张永忠5011信息安全技术作业.docx(12页珍藏版)》请在冰豆网上搜索。
张永忠5011信息安全技术作业
校园网络安全状况
调
查
报
告
班级:
13信管1班
姓名:
张永忠
学号:
20135011
目录
前言:
2
一、我校校园网现状2
1.1网络中心(NetworkCenter)3
1.2教育技术设施(EducationTechnologyFacilities)4
1.3信息化建设(ConstructionOFInformationization)4
二、设施简介4
2.1安徽财经大学一期校园网建设(2001-2005)5
2.2安徽财经大学二期校园网6
三、存在的问题7
3.1来自硬件系统的安全威胁7
3.2来自Internet的威胁7
3.3来自校园网内部的威胁8
3.4校园网用户对网络资源的滥用8
3.5非正常途径访问或内部破坏8
3.6校园网安全管理有缺陷9
四、造成这些现状的原因9
4.1网络安全维护的投入不足9
4.2网络管理员责任心不强10
4.3师生的网络安全意识和观念淡薄10
4.4盗版资源泛滥10
五、改进措施和方案规划11
5.1领导重视11
5.2加大资金力度11
5.3加强领导,落实责任12
5.4完善制度,规范管理12
5.5强化管理,完善网络安全技术防范措施13
六、总结15
前言:
当今时代是个信息话的时代,信息安全成为信息网络至关重要的一个环节。
大学校园基本上都建成了属于自己的校园网。
各高校在建设校园网时都采用了先进的设备,在主干网类型、路由器、交换机、服务器等设备的选型上下足功夫,建成了结构完善的网络体系。
这样的网络应用起来本该一帆风顺,但是实际情况并非如此。
随着校园网上的各种数据的急剧增加,各种的安全问题接踵而来。
根据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet计算机侵入事件。
国内每年因黑客入侵、计算机病毒的破坏所造成的损失令人触目惊心。
作为高等院校,网络安全现状也不容乐观,校园网安全问题已为保证校园正常教学、管理的重要课题。
一、我校校园网现状
我们学校网络系统一直被我们诟病,特别是每当选课的时候,整个就是一个一场无硝烟的战争,系统崩溃是常有的事。
而校园本来就是用户群密集而且活跃,安全问题自然比较突出,管理起来更为复杂、困难。
现代教育技术中心(信息化建设办公室)是从事现代教育技术研究、开发、培训及提供网络服务的教学辅助单位,同时又是我校信息化建设、管理的职能部门。
中心于2000年成立,现有教职工15人,在读博士1人,在读研究生1人,本科生12人。
分别负责我校的网络建设与管理、教育技术培训、多媒体教室建设和管理、全校大型活动的摄影、摄像,同时承担学校的信息化建设任务。
为适应学校教育现代化和信息化发展的需要,建设了符合21世纪高等教育发展规律的现代化教育基础设施,中心本着“网络建设是基础,资源建设是核心,教学应用是目的”的原则,积极为我校的现代化教学和数字化校园建设服务。
1.1网络中心(NetworkCenter)
校园网一期工程于2001年10月份建成并投入运行。
由于网络需求的不断扩大,原有的设计能力远远不能满足日益增长的教学、科研和管理的需要,2006年6月,对校园网进行升级、改造,并在龙湖东校区的图书馆新建网络中心核心机房,同时购买核心交换机Cisco7609两台,Cisco6509一台,千兆企业级防火墙两台,IBM560Q小型机1台、IBMDS4800光纤存储一台、H3CIP存储一台、各类服务器20多台。
实现了东、西校区双核心交换机万兆高速互连、千兆到楼、百兆到桌面。
目前,已布设信息点25400个;已开通建筑物80栋,三个校区共铺设光缆63.5公里;已注册用户总数9480户;提供了多种网络服务:
目前校园网对外出口有三条:
一条100兆光纤与安徽省教育科研网互联,另外两条100兆光纤连接到Internet,使我校的对外出口带宽达到300兆,实现了与中国教育科研网、Internet的高速互联。
满足了本科教育的网络规模和覆盖范围。
1.2教育技术设施(EducationTechnologyFacilities)
2001年以来,我校陆续建设了演播厅、学术报告厅贺多媒体教师150多间,所有媒体教室都和校园网相连,教师可以使用网络提供的数字图书资源、精品课程资源、多媒体课件资源等从事教育教学活动。
1.3信息化建设(ConstructionOFInformationization)
2007年一期数字化校园的总体建设目标:
建设我校的信息标准,实现信息标准到应用过程的权限管理,制度满足应用变化的信息标准的实施规范。
建设数字化校园公共平台,即综合信息门户,统一身份认证平台和数据交换与共享平台,实现用户整合、应用整合和数据整合。
实现用户权限管理、统一身份认证、应用整合管理、单点登录贺数据共享交换。
实现学校已建业务系统(财务、教务、研究生管理系统、一卡通系统、赛尔毕博网络教学平台、科研管理系统)到数字化校园公共平台的集成;新建学生管理系统、人事管理系统。
构建学校的信息安全体系和运行服务体系,保障数字化校园的健康可持续发展,为数字化校园的稳定高效运行提供强有力的保障。
二、设施简介
核心交换机JuniperMX960,汇聚交换机EX4550Juniper;防火墙采用进口山石网科SG-6000(内用防火墙),SG-6000X7180(外用防火墙);安恒WAF1000AG(web应用防火墙)
图为山石网科X7180
2.1安徽财经大学一期校园网建设(2001-2005)
我校校园网于2001年10月建成并投入运行,一期校园网项目投资800多万元,组建了网络中心,配备了Cisco6509骨干千兆交换机一台,Cisco4507汇聚交换机两台,锐捷RG6506汇聚交换机两台,Cisco3602路由器一台,一台SUN450作为数据库服务器,一台SUN250作为邮件服务器器,另一台SUN250作为DNS服务器、一台HP3000作为www服务器,,在校园的各个楼宇内(如综合楼、实验楼、1、2号办公楼、图书馆等)购买了25台Cisco3550--48、40台锐捷S3750--48交换机作为接入交换机,楼与楼之间全部用千兆光纤互连,百兆到桌面。
一期项目中校园网已经覆盖三个校区,即实现了龙湖东、西校区、交通路校区的千兆互连,校园网接口已经覆盖三个校区的所有办公楼、所有教工宿舍以及东、西校区的研究生宿舍。
2.2安徽财经大学二期校园网
建设于2006年3月份,2004年9月投入使用。
1、网络主干采用双链路万兆互连,即由龙湖西校区一台核心(新)、一台思科6509(原)作为汇聚,龙湖东校区网络中心核心(新)加一台核心(新)备用,通过万兆光纤链路构成骨干网络,由分布在各楼宇的汇聚层路由交换机与相近的核心交换机通过千兆链路连接,形成星型结构。
2、支持校园网出口选用2-3条线路,其中一条至中国教育网。
由于校园网络采用教育网域名,使得一些基本的网络服务如WEB、MAIL、DNS等必须通过教育网线路提供;而教育网与国内公网接口的速度及教育网的国外流量收费策略迫使我们选择另外的ISP(互连网服务供应商)。
因此校园网出口设备必须支持:
1)策略路由;2)NAT转换;3)多个接口;4)接口速度至少100M,支持千兆;5)支持MPLS(多协议标签交换(MPLS--Multi-ProtocolLabelSwitching)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。
更特殊的是,它具有管理各种不同形式通信流的机制。
);6)支持IPV6和双栈协议转换。
又因安全性需求,在校园网出口位置应架设防火墙,出口位置选用:
“路由交换机+外置防火墙”结构。
三、存在的问题
我感觉存在的安全隐患和漏洞有以下几方面:
3.1来自硬件系统的安全威胁
硬件的安全问题可以分为两种,一种是物理安全,一种是设置安全。
网络硬件设备受损。
校园网络涉及硬件的设备分布在整个校园内,管理起来有一定的难度,暴露在外面的设施,都有可能遭到有意或无意地损坏,这样可能会造成校园网络全部或部分瘫痪的严重后果。
也不排除意外事件或人为破坏具体的物理设备,如服务器、路由器、交换机、机柜、线路等。
设置安
全是指在设备上进行必要的设置(如服务器、交换机的密码等),防止黑客取得硬件设备的远程控制权。
3.2来自Internet的威胁
校园网与Internet相连,在享Internet方便快捷的同时,也面临着遭遇攻击的风险。
黑客也经常利用网络攻击校园网的服务器,以窃取一些重要信息。
目前在因特网上,可以自由下载很多攻击工具,这类攻击工具设置简单、使用方便,破坏力大,这意味着攻击所需要的技术门槛大大降低。
因此,一个技术平平的普通攻击者很可能就是对网络系统造成巨大危害的黑客。
3.3来自校园网内部的威胁
校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都很了解,校园网是广大师生进行教学与科研活动的主要平台,由于高校部分学生对网络知识很感兴趣,具有相当高的专业知识水平,对内部网络的结构和应用模式又比较了解,虽然这是犯法的,攻击校园网就成了他们表现自己的能力,实践自己所学知识的首选,经常有意无意的攻击校园网系统,不是也有报道说曾有进入学校的系统修改期末分数嘛!
虽然不多见,但也并不是没有,干扰校园网的安全运行。
也可能来自内部的安全威胁更难应付。
3.4校园网用户对网络资源的滥用
实际上有相当一部分的Internet访问是与工作无关的,有人利用校园网资源进行商业的或免费的视频、软件资源下载服务,甚至有的是去访问色情、暴力、反动站点,导致大量非法内容或垃圾邮件出入,占用了大量珍贵的网络带宽,Internet资源严重被浪费,造成流量堵塞、上网速度慢等问题,而且不良信息内容也极大地危害青少年学生的身心健康。
3.5非正常途径访问或内部破坏
在一些高校中,有人为了报复而销毁或篡改人事档案记录;有人私自改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据;一些学生通过非正常的手段获取习题的答案或者在考试前获得考试内容,使正常的教学练习失去意义。
这些行为都严重地破坏了学校的管理秩序。
3.6校园网安全管理有缺陷
随着校园内计算机应用的大范围普及,接入校园网的计算机日益增多,如果管理措施不力,随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
校园计算机网络建设普遍存在重视硬件投入,忽视软件投资;重运行,轻管理的现象。
主要表现为对网络安全的认识不足,将网络系统作为一项纯技术工程来实施,没有一套完善的安全管理方案;网络系统管理员只将精力集中于IP的申请分配和开通、帐户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上,而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。
四、造成这些现状的原因
4.1网络安全维护的投入不足
网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。
4.2网络管理员责任心不强
很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能由于学校领导对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以也就不会花很多的心思去维护网络、维护硬件。
4.3师生的网络安全意识和观念淡薄
很多学生包括部分教师对网络安全不够重视,法律意识也不是很强。
通过网络,或通过带毒的移动存储介质,经常有意无意的传播病毒,攻击校园网系统,干扰校园网的安全运行。
4.4盗版资源泛滥
由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。
比如,盗版安装的计算机系统今后会留下大量的安全漏洞。
系统自动更新引起的电脑黑屏事件,就是因为Microsoft公司对盗版的XP操作系统的更新作了限制。
另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
五、改进措施和方案规划
5.1领导重视
建好校园网,领导重视是关键校领导非常重视校园网建设,2001年初学院党委把校园网建设列为学校重要基础设施建设项目之一。
我校与兄弟院校相比,校园网建设起步较晚,因此,在准备建设校园网初期,分管院长带队亲自到兄弟院校考察,了解兄弟学校的网络建设情况,充分汲取兄弟院校的好经验、好做法,尤其是得到中国科技大学网络中心领导和同事们的无私相助,使得我校建设校园网少走了许多弯路,减少了许多不必要的浪费。
另外,多次送管理、技术人员到国内、外考察、培训,学习网络的管理、使用经验,培养和提高了网络管理队伍的业务素质,从而为网络建设、使用提供了智力支撑。
5.2加大资金力度
只要资金到位,所有的问题都不是问题。
资金投入到位是保证校园网建设对于一所学校来说是一项大的基础设施建设,要把校园网建设的稳定可靠,使用管理方便,就需要投入巨资,只有校领导一班人认识到位,在资金的投入上才能得到保证。
有些东西进口的就是比国内的好。
几年前,在校园网上使用的核心交换机、路由器等关键设备首选国外的设备,价格确实偏高,但性能稳定、可靠,因此,我校的核心交换机、路由器等基本上购买了电信级的CISCO设备。
几年来的实践证明几年来的实践证明,这种选择是正确的,这些设备随着网络用户的大量增加、、访问流量逐渐增大访问流量逐渐增大,目前仍然运行稳定。
5.3加强领导,落实责任
重视校园网络信息安全管理、上网信息审核等工作,严格制定了学院校园网络系列管理制度,促进了学院网络的建设和信息安全管理,营造了文明、健康的校园网络环境。
为加强校园网管理,确保校园网高效运行、理顺信息安全管理、规范信息化建设,分别成立了以校长李涤新为组长的“校园网信息安全管理领导小组”。
随着学校办学规模逐渐扩大,对信息化投入的不断加大,网络用户的不断增加,学校更加注重加强网络安全管理以及组织机构的完善,做到分工明确,责任具体到人,落实了网络管理相关制度,有专职技术人员实施网络的规划建设、安全管理、维修维护等具体工作,不断加强投入,几年前就购置了防火墙等硬件设置,对网络往来信息进行过滤、筛选,有效杜绝了不良信息的侵入。
5.4完善制度,规范管理
为保证校园网络的正常运行与健康发展,加强对校园网的管理,规范网络使用行为,保证网络安全等工作,由分管校长丁校长主抓,定期召开网络安全工作会议,学习贯彻落实中央省市网络安全相关文件。
切实完善管理制度,规范网络管理,学校领导根据省市教育部门关于加强计算机网络管理的相关文件要求,制定和完善了《合肥建设学校网络安全管理制度》、《合肥建设学校校园网信息发布制度》、《校园网安全应急处置工作预案》等一系列网络安全管理相关制度、措施,确保校园网络安全。
5.5强化管理,完善网络安全技术防范措施
实训中心在学校领导的高度重视下,在分管校长的直接领导下,利用现有的软硬件条件,不断建立和完善网络安全技术防范措施。
⒈启用了防火墙设备,对互联网有害信息进行过滤、封堵,长期对防火墙进行检查维护。
防火墙作为一种将内外网隔离的技术,普遍运用
于校园网安全建设中。
防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统。
部署防火墙技术,构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受XX的第三方侵入。
通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。
现在有许多基于硬件或软件的防火墙,如华为、神州数码、联想、瑞星等厂商的产品。
⒉在局域网内安装了安装补丁程序和杀毒软件,网络管理员每周对杀毒软件的病毒库进行升级,及时进行杀毒软件的升级与杀毒,发现问题立即解决。
任何操作系统都有漏洞,作为网络系统管理员就有责任及时地将“补丁”(Patch)打上。
大部分校园网服务器使用的是微软的WindowsNT/2000操作系统,因为使用的人特别多,所以发现的Bug也特别多,同时,蓄意攻击它们的人也特别多。
微软公司为了弥补操作系统的安全漏洞,在其网站上提供了许多补丁,可以到网上下载并安装相关升级包。
计算机病毒的特点是具有非授权的可执行性、隐蔽性好、感染性强、潜伏得深、破坏性广泛、有条件地触发而发作、新病毒层出不穷等。
计算机病毒的危害多种多样。
病毒程序会消耗资源使网络速度变慢;病毒会干扰、改变用户终端的图像或声音,使用户无法正常工作:
有些病毒还会破坏文件、存储器、软件和硬件,使部分网络瘫痪;有些病毒会在硬盘上设置远程共享区,形成后门,为黑客大开方便之门。
目前,大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件;同时,在网络版的杀毒软件使用中,必须要定期或及时升级杀毒软件。
⒊加强用户安全意识和管理员安全技术的培训工作,学校有专人负责校园网信息的发布和网站信息的定期维护和更新。
计算机网络是一种新生事物。
它的一些行为无法可依,无章可循,导致网络上计算机犯罪十分猖獗。
面对日趋严重的网络犯罪,必须逐步建立与网络安全相
关的法律、法规,使非法分子慑于法律的威力,不敢轻举妄动。
在校园中利用新生入学教育和新员工上岗培训的时间,对新用户(特别是学生)进行网络安全及相关法规的教育,引导学生正确学习和运用网络技术,促进校园网的应用。
⒋是建立非常时期二十四小时巡查值班制度,由专职技术人员对网站信息进行监控管理,杜绝反动、邪教、色情、暴力、毒品、赌博等有害信息,至今常未发生有害信息侵入事件,确保校园网络运行稳定安全。
⒌定期对服务器的系统和软件进行更新,对重要文件、信息资源做到及时备份和恢复。
对于计算机而言,最重要的应该是硬盘中存储的数据。
用户数据不要与系统共用一个分区,避免因重装系统造成数据丢失。
重要的数据要及时备份,备份前要进行病毒查杀,数据备份可采取异地备份、光盘备份等多种方式。
对于校园网的管理员来说,要做好各种应急准备工作,必须要有一套应急修复工具,如系统启动盘、DOS版杀毒盘、紧急系统恢复盘、各种操作系统盘、常用应用软件包、最新系统补丁盘等,并且做好分区表、DOS引导扇区、注册表等的备份工作,这样可提高系统维护和修复时的工作效率。
六、总结
建好校园网最终目的是为学校的教学、科研、管理提供服务,如何扩大应用,是学校各级领导须认真考虑的问题,加强管理是保证系统稳定运行的前提在网络中心运行的大量交换机,服务器,都是精密仪器设备,需要精心呵护,认真维护。
校园安全防御网络是一种全新安全架构,其最大特点就是具有自我防御能力、自我愈合能力和集成协同的安全机制,不论是网络系统本身还是网络资源一旦受到诸如网络病毒和网络攻击时,能够快速反应,发现攻击并给以阻止,发现病毒或蠕虫予以删除,大大提高网络安全性能。
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。
校园网同样面临着一系列的安全问题受到来自外部和内部的攻击。
当然,解决网络安全问题不是短期的事情,很可能经历了几代人的努力也无法根除网络中存在的隐患和威胁。
但我们必须为此而努力,即便无法达到网络安全事故零发生,也要以此为追求,努力掌握最核心的网络安全技术,提高我们的网络防护能力。
我们每一个人都应该提高网络安全保护意识,竭力去维护网络环境的稳定和健康。
希望我们从自己做起,文明上网,也遵守互联网的相关制度,共同维护好我们的网络环境!
升级会员 