校园网络安全防御系统的设计与实现毕业论文设计.docx
《校园网络安全防御系统的设计与实现毕业论文设计.docx》由会员分享,可在线阅读,更多相关《校园网络安全防御系统的设计与实现毕业论文设计.docx(47页珍藏版)》请在冰豆网上搜索。
校园网络安全防御系统的设计与实现毕业论文设计
(此文档为word格式,下载后您可任意编辑修改!
)
毕业设计(论文)
题目(论文)校园网络安全防御系统的设计与实现
选题性质:
设计□报告
毕业设计(论文)原创性声明和使用授权说明
原创性声明
本人郑重承诺:
所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作及取得的成果。
尽我所知,除文中特别加以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得及其它教育机构的学位或学历而使用过的材料。
对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了谢意。
作者签名:
日 期:
指导教师签名:
日 期:
使用授权说明
本人完全了解大学关于收集、保存、使用毕业设计(论文)的规定,即:
按照学校要求提交毕业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分或全部内容。
作者签名:
日 期:
毕业设计(论文)选题审批单
院系:
年级级专业计算机网络技术班级
学生姓名
学号
选题
校园网安全防御系统设计与实现
选题性质
设计□报告
选题论证:
随着时代的发展,校园教学、科研、管理都需要安全的网络系统,校园网的网络安全问题日益突出。
而校园网安全事件不断发生,一些病毒的侵入,导致校园的重要信息的泄密、破坏,正常网络服务无法进行,甚者导致校园网瘫痪,造成严重的损失。
这些安全隐患,给校院网的防御和管理带来严重挑战。
所以本论文以校园网络安全防御系统的设计与实现成为主要论题。
指导教师初审意见:
签名:
年月日
毕业设计(论文)工作领导小组审批意见:
签名:
年月日
毕业设计(论文)开题报告及进度要求
院系:
电子工程学院年级级班级计算机网络技术班
学生姓名
学号
指导教师
选题性质
设计□报告
选题
校园网安全系统防御系统设计与实现
选题的目的和意义:
在Internet迅速发展的时代,计算机网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学。
就计算机系统的应用而言,安全技术涉及计算机技术、通信技术、存取控制技术、检验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄漏技术等等,因此本论文以设计校园网络安全防御系统为目的。
重点以构建网络安全防御系统的方案设计和实现过程,保护网络环境中保证数据和系统的安全性。
选题研究的主要内容和技术方案:
主要内容是以防火墙技术、数据库管理系统、数据备份与恢复系统、身份识别系统、访问控制、入侵检测系统等,来设计校园网络安全防御系统。
通过了解系统的薄弱点并确定了设计原则,有针对性的构建一个网络安全防御系统,网络防御系统主要通过物理防护、网络防护、数据防护三个方面进行阐述。
在用防火墙CiscoPIX技术,JUMP入侵检测系统,移动数据实现防护。
毕业设计工作时间
毕业设计工作日程安排
时间段
工作内容
选题,撰写大纲,开题及下达设计任务
学生收集资料,撰写毕业设计初稿
指导教师集中指导
定稿
评审
答辩
指导教师意见:
成果要求:
签字:
年月日
毕业设计(论文)答辩记录单
专业:
计算机网络技术班级:
学生姓名
设计(论文)题目:
校园网安全防御系统设计与实现
选题性质:
设计□报告
提问及答辩记录:
答辩记录签名:
答辩成员签名:
答辩日期:
年月日
指导教师意见
评定内容
学习态度
任务完成情况
设计完成质量
总分
等级
评分标准
10%
20%
70%
得分
评语:
指导教师签字:
年月日
评审组意见:
评审成绩:
评审组长签字:
终审意见:
院系负责人签章:
终审成绩:
年月日
说明:
1、指导教师认定合格方能填写此表并提交评审,不合格指导教师继续指导。
2、指导教师及评审组成绩按“优秀、良好、合格、不合格”四个等级评阅。
毕业设计(论文)指导教师指导记录表
设计(论文)题目:
校园网络安全防御系统的设计与实现
选题性质:
设计□论文
院(系):
专业:
年级:
班级:
阶段
时间
地点
指导教师指导内容
1
2
3
4
5
6
指导教师(签名)学生(签名)
注:
此表由教师填写,如指导次数多,可另附纸。
摘要
目前,随着网络时代的飞速发展,网络安全问题也日益突出,如何在开放网络环境中保证数据和系统的安全性已经成为从多人关心的问题。
本论文重点以构建网络安全防御系统的方案设计和实现过程,在本文中主要以所设计的网络安全防御系统网络拓扑结构图,及采用的各种安全技术的具体细节。
“安全”从来就是一个相对概念,不存在绝对安全,所以必须未雨绸缪、居安思危;“威胁”一直便是一个动态过程,不可能根除威胁,所以唯有积极防御、有效应对。
根据分析设计了包括物理防护、网络防护和数据防护的防御系统。
设计系统包括物理防护、网络防护和数据防护。
网络防护的主要目的是隔离、检测和认证。
数据防护包括移动数据管理、操作系统安全和传输加密。
关键词:
校园网络、安全、防火墙、防御系统
引言
随着时间的发展,人类步入信息社会,信息产业成为全球经济发展的主导产业,计算机科学与技术在信息产业中占据了重要的地位。
随着互联网技术的普及和推广,网络技术更是信息社会发展的推动力,人们在日常学习、生活和工作中都越来越依赖于网络,因此关于信息技术、信息安全技术、网络安全技术的发展成为越来越重要的学科。
互联网技术的发展改变了人们的生活,信息安全的内涵已发生了根本变化。
安全已从一般性的安全防卫,变成了一种非常普通的安全防范;从一种研究型的学科,变成了无处不在,影响人们学习、生活和工作的安全技术。
技术的普及也推动了社会对人才的需求,因此建立一套完整的网络安全课程教学体系,提供体系化的安全专业人才培养计划,培养一批精通安全技术的专业人才队伍,对目前高校计算机网络安全方向专业人才培养来说,显得尤为重要。
校园网络工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。
校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。
目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
目前,网络安全设施配备不够,学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善。
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。
感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。
校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。
计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。
它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。
《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。
从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题[1]。
综上叙述校园网络安全现状,随着信息时代的急速到来,网络安全威胁已经凸现并日益严峻。
应对这一新的安全威胁,切实提高网络防御能力,确保打赢“网络防御战”,是校园必须担当的职责和使命。
第1章校园网络安全技术概述
目前,计算机网络的广泛应用已经对经济、文化、教育、科技的发展产生了重要影响。
许多重要的信息、资源都与网络相关。
越来越多的政府部门和企业机构开始应用Internet,他们的信息共享程度与网上业务不断增加。
与此同时,网络攻击和犯罪活动也日益猖獗。
如何防止机密信息在网络中被泄露或窜改、如何有效地抵制和打击信息犯罪、保障网络与信息安全等,给人们提出了严峻的挑战。
但在连结信息能力、流通能力提高的同时,基于网络连接的安全向题也目益突出:
不论是外部网还是内部网的网络都会受到安全的问题。
客观上,几乎没有一个网络能够免受安全的困扰。
而安全又是网络发展的根本。
因此。
如何最大限度地减少或避免因信息泄漏、破坏所造成的经济损失。
是摆在我们面前需要解决的一项具有重大战略意义的课题。
1.1校园网络技术发展
简单地说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。
安全的一般性定义也必须解决保护财产的需要,包括信息和物理设备(例如计算机本身)。
计算机网络安全之所以重要,其主要原因在于:
1.随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复杂、系统规模越来越大,特别是Internet的迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损。
2.人们对计算机系统的需求在不断扩大,这类需求在许失多方面都是不可逆转、不可替代的。
3.随着计算机系统的广泛应用,各类应用人员队伍迅速发展壮大,教育和培训却往往跟不上知识更新的需要,操作人员、编程人员和系统分析人员的失误和缺乏经验都会造成系统的安全功能不足。
4.计算机网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学。
就计算机系统的应用而言,安全技术涉及计算机技术、通信技术、存取控制技术、检验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄漏技术等等,因此是一个非常复杂的综合问题,并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。
5.从认识论的高度看,人们往往首先关注对系统的需要、功能,然后才被动地从现象注意系统应用的安全问题。
因此广泛存在着重应用轻安全、质量法律意识淡薄、计算机素质不高的普遍现象。
计算机系统的安全是相对不安全而言的,许多危险、隐患和攻击都是隐藏的、潜在的、难以明确却又广泛存在的。
1.2校园网络安全技术介绍
1.2.1密码学
密码学是主要研究通信安全个保密的科学[2],他包括两个分支:
密码编码学和密码分析学。
密码编码学主要研究对信息进行变换,已保护信息在传递过程中不被敌方窃取、解读和利用的方法,而密码分析学则于密码编码学相反,它主要研究如何分析和破译密码。
这两者之间既互相对应又互相促进。
密码的基本思想是对机密信息进行伪装。
一个密码系统完成如下伪装:
加密者对需要进行伪装机密信息(明文)进行伪装进行变换(加密变换),得到另一种看起来似乎与原有信息不相关的表示(密文),如果合法者(接收者)获得了伪装后的信息,那么它可以通过事先约定的密钥,从得到的信息中分析到原有的机信息(解密变换),而如果不合法的用户(密码分析者)试图从这种伪装后的信息中分析得到原有的机密信息,那么,要么这种分析过程是不可能,要么代价过于巨大,以至于无法进行。
密码学不只局限于对数据进行简单的加密处理,而是包括加密、消息摘要、数字签名及密钥管理在内的所有涉及到密码学知识的技术。
网络安全服务的实现离不开加密技术的支持,应用加密技术不仅可以提供信息的保密性和数据完整性,而且能够保证通信双方身份的真实性。
由于网络的出现以及发展,未来的密码学也必定发展迅速。
例如网络签名,网上银行的安全,个人邮件信息的保护,都很需要密码学的支持,推动密码学的发展。
1.2.2访问控制
访问控制是根据网络中主体和客体之间的访问授权关系,对访问过程做出限制,可分为自主访问控制和强制访问控制。
自主访问控制主要基于主体及其身份来控制主体的活动,能够实施用户权限管理、访问属性(读、写、执行)管理等。
强制访问控制则强调对每一主、客体进行密级划分,并采用敏感标识来标识主、客体的密级。
按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。
访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
访问控制的功能主要有以下:
●防止非法的主体进入受保护的网络资源。
●允许合法用户访问受保护的网络资源。
●防止合法的用户对受保护的网络资源进行非授权的访问。
访问控制的类型:
访问控制可分为自主访问控制和强制访问控制两大类。
自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。
1.2.3身份认证
身份认证主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。
对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。
计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
1.2.4安全监控
安全监控技术主要是对入侵行为的及时发现和反应,利用入侵者留下的痕迹(试图登录的失败记录、异常网络流量)来有效地发现来自外部或内部的非法入侵;同时能够对入侵做出及时的响应,包括断开非法连接、报警等措施。
安全监控技术以探测与控制为主,起主动防御的作用。
安全监控通过实时监控网络或主机活动,监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计和跟踪,识别违反安全法规的行为,使用诱骗服务器记录黑客行为等功能,使管理员有效地监视、控制和评估网络或主机系统。
1.2.5安全漏洞检测技术
安全漏洞检测技术是指利用已知的攻击手段对系统进行主动的弱点扫描,以求及时发现系统漏洞,同时给出漏洞报告,指导系统管理员采用系统软件升级或关闭相关服务等手段避免受到这些攻击。
所以在攻击者入侵之前,能够帮助系统管理员主动对网络上的设备进行安全检测。
如我们在一些网站系统的漏洞,通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
网站漏洞检测是对你的网站进行全方位的扫描,检查你当前的网页是否有漏洞,如果有漏洞则需要马上进行修复,否则网页很容易受到网络的伤害甚至被黑客借助于网页的漏洞植入木马,那么后果将不堪设想,一但发现有漏洞就要马上修复,所以漏洞的检测是我们在校园网络安全中重要的技术。
1.2.6防火墙
防火墙(Firewall)是指在本地网络与外界网络之间的一道防御系统,是这一类防范措施总称。
防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许“被同意”的人和数据进入你的网络,同时将“不被同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
互联网上的防火墙是一种非常有效的网络安全模型,通过它可以使企业内部局域网与Internet之间或者与其他外部网络互相隔离、限制网络互访,从而达到保护内部网络目的。
在计算机系统上,防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。
另外在建筑学上,原有的材料和布置的变化,将使防火墙失去作用,随着时间的推移,一些经过阻燃处理的材料,其阻燃性也逐步丧失。
在计算机系统上也是如此,计算机系统网络的变化,系统软硬件环境的变化,也将使防火墙失去作用,而随着时间的推移,防火墙原有的安全防护技术开始落后,防护功能也就慢慢地减弱了。
它是根据访问安全策略对两个或者更多网络之间的通信进行限制的软件或硬件。
1.2.7反病毒技术
从反病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为:
病毒预防技术、病毒检测技术及病毒清除技术。
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。
实际上这是一种动态判定技术,即一种行为规则判定技术。
也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。
具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。
预防病毒技术包括:
磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。
以及可能造成危害的写命令,并且判断磁盘当前所处的状态:
哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。
计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。
目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。
第2章校园网络安全防御系统
在校园网中一般我们所应用的安全系统是非常重要的,包括防火墙系统、数据库的管理系统、数据的备份与恢复系统、身份识别系统等等。
2.1防火墙系统
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
2.1.1防火墙及其功能
防火墙(Firewall)是在网络之间执行控制策略的系统,它包括硬件和软件。
在设计防火墙时,人们做了一个假设:
防火墙保护的内部网络是“可信赖的网络”(trustednetwork)而外部网络是““可信赖的网络”(untrustednetwork)”。
设置防火墙的目的是保护内部网络资源不被外部非授权的用户使用,防止内部受到外部非法用户的攻击。
总的来说,防火墙的作用何体现在一下几个方面:
过滤出入网络的数据,强化安全策略;对出入网络的访问行为进行管理和控制;对不安全的服务进行限制或拦截,尽可能不暴露对不安全的服务进行限制或拦截,尽可能不暴露内部网络;有效地记录通过防火墙的信息内容和活动。
2.1.2防火墙体系结构与实现模型
从组成结构来看,防火墙可通过一下几种方式构建:
(1)分组过滤路由器。
这种结构可以是带有数据包过滤功能的路由器,也可以是基于主机的路由器。
(2)双宿主主机结构。
给结构是围绕着至少具有两个网络接口的双宿主主机而构成的。
这种主机分别连向内外部网络,并使网络的IP数据完全切断。
该主机还可以与本身相连的若干网络之间的路由器。
(3)主机过滤结构。
在该结构提供安全保护是主机仅仅与内部网连接;另外该结构还有一台单独的过滤路由器,通常由路由器封锁堡垒主机的特定端口,只允许一定数量的通信服务。
(4)子网过滤结构。
由于主机过滤结构中堡垒主机易受攻击,所以该结构也就是在主机过滤结构中再加一层参数网络的安全机制,使得内部网与外部网之间有两层隔断。
防火墙体系结构图如2.1。
图2.1防火墙
2.2校园网数据库管理系统
数据库管理(DatabaseManager)是有关建立、存储、修改和存取数据库中信息的技术[3],是指为保证数据库系统的正常运行和服务质量,有关人员须进行的技术管理工作。
负责这些技术管理工作的个人或集体称为数据库管理员(DBA)。
数据库管理的主要内容有:
数据库的调优、数据库的重组、数据库的重构、数据库的安全管控、报错问题的分析和汇总和处理、数据库数据的日常备份.数据库的建立:
数据库的设计只是提供了数据的类型、逻辑结构、联系、约束和存储结构等有关数据的描述。
这些描述称为数据模式:
1.数据操作:
DBMS提供数据操作语言DML(DataManipulationLanguage),供用户实现对数据的追加、删除、更新、查询等操作。
2.数据库的运行管理:
数据库的运行管理功能是DBMS的运行控制、管理功能,包括多用户环境下的并发控制、安全性检查和存取限制控制、完整性检查和执行、运行日志的组织管理、事务的管理和自动恢复,即保证事务的原子性。
这些功能保证了数据库系统的正常运行。
3.数据组织、存储与管理:
DBMS要分类组织、存储和管理各种数据,包括数据字典、用户数据、存取路径等,需确定以何种文件结构和存取方式在存储级上组织这些数据,如何实现数据之间的联系。
数据组织和存储的基本目标是提高存储空间利用率,选择合适的存取方法提高存取效率。
4.数据库的保护:
数据库中的数据是信息社会的战略资源,随数据的保护至关重要。
DBMS对数据库的保护通过4个方面来实现:
数据库的恢复、数据库的并发控制、数据库的完整性控制、数据库安全性控制。
DBMS的其他保护功能还有系统缓冲区的管理以及数据存储的某些自适应调节机制等。
5.数据库的维护:
这一部分包括数据库的数据载入、转换、转储、数据库的重组合重构以及性能监控等功能,这些功能分别由各个使用程序来完成。
6.通信:
DBMS具有与操作系统的联机处理、分时系统及远程作业输入的相