南阳医专校园网络安全研究论文综述.docx
《南阳医专校园网络安全研究论文综述.docx》由会员分享,可在线阅读,更多相关《南阳医专校园网络安全研究论文综述.docx(17页珍藏版)》请在冰豆网上搜索。
南阳医专校园网络安全研究论文综述
河南农业大学
本科生毕业论文(设计)
题目南阳医专校园网络安全研究
学院信息与管理科学学院
专业班级计算机科学与技术2009级1班
学生姓名
指导教师
撰写日期:
二○一三年五月二十日
南阳医专校园网络安全研究
刘静
信息与管理科学学院计算机科学与技术
摘要:
随着计算机信息技术的迅猛发展,计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。
因此,认清网络的脆弱性和潜在威胁的严重性,采取强有力安全策略势在必行。
文中首先论述了计算机网络安全现状以及前景;阐述了计算机网络安全的基本概念;以南阳医专的校园网络为例,分析当前校园网络安全的现状以及所面临的安全威胁并给出相应的解决技术。
关键词:
网络安全;安全威胁;安全防范;校园网
TheresearchontheNanyangMedicalcollege’scampusnetworksecurity
Abstract:
Withtherapiddevelopmentofcomputerinformationtechnology,computernetworkhasbecomeincreasinglyanimportantinformationmediumofexchangeinagriculture,industry,tertiaryindustryandthedefenseindustry,penetratedintoeverycornerofsociallife.Therefore,recognizethevulnerabilityofthenetworkandtheseverityofthepotentialthreattotakestrongsecuritypolicyimperative.Thispaperfirstdiscussesthecomputernetworksecuritycurrentsituationandprospects;expoundsthebasicconceptsofcomputernetworksecurity;withNanyangMedicalcollegecampusnetworkasanexample,analyzesthesituationofthecurrentcampusnetworksecurityandthesecuritythreatsfacingandgivesthesolutionofthecorrespondingtechnology.
Keywords:
networksecurity;securitythreat;securityprevention;campusnetwork
1引言
1.1网络安全发展现状
以Internet为代表的全球性信息化浪潮高涨,计算机以及信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统发展,典型的有政府部门业务系统、金融业务系统、企业商务系统等。
伴随网络的普及和广泛应用,导致网络安全事件频频出现,计算机网络犯罪也呈现多样化的样式,网络欺诈、黑客入侵、计算机病毒、计算机破坏、信用卡犯罪等新问题层出不穷。
因此,网络安全问题越来越受到各国政府部门和众多计算机专家、学者的广泛重视和研究,越来越多的研究机构开始对网络安全问题展开探讨和研究。
1.2网络安全技术发展趋势
随着社会的发展和技术的进步,网络安全的标准也在不断的提升,因此网络安全问题永远是一个全新的问题。
网络安全技术的发展呈现如下趋势:
(1)网络安全起来越重要。
网络安全系统的保障能力是21世纪综合国力、经济竞争实力和民族生存能力的重要组成部分。
因此必须努力构建一个建立在自主研发基础之上的技术先进、管理高效、安全可靠的国家网络安全体系,有效地保障国家的安全、社会的稳定和经济的发展。
(2)网络安全标准在不断的变化。
应根据技术的发展和实际社会的需要不断更新网络安全标准,科学合理的安全标准来保障网络安全。
(3)网络安全概念在不断扩展。
人类对网络安全的追求过程是一个漫长的深化过程。
网络安全的含义包括了完整性、可用性、机密性、可控性、可靠性和不可否认性[1]。
随着社会信息化步伐的加快,网络安全至少需要“攻、防、测、控、管、评”等多方面的基础理论和实施技术的研究。
(4)网络安全是一个复杂的巨大系统。
网络安全新技术不断的涌现,将来在进一步发展传统方法的同时,研究发展新技术。
2网络安全概述
2.1网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。
例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
计算机网络安全从其本质上讲就是网络上信息安全,它涉及的领域相当广泛。
从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义来说,凡是涉及到计算机网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域[2]。
2.2威胁网络安全的因素
《第30次中国互联网络发展状况统计报告》显示,截至2012年6月底,我国网民数量达到了5.38亿。
与此同时,互联网的开放性和安全漏洞带来的安全风险无时不在,恶意攻击、信息篡改、信息泄密等影响国家政治、经济、军事、文化等各个领域[3]。
公安部2011年全国信息网络安全状况暨计算机病毒疫情调查分析报告显示,我国信息网络安全事件发生比例为68.83%,调查表明,“未修补网络(系统)安全漏洞”(57.26%)、“弱口令或缺少访问控制”(39.62%)仍然是导致发生网络安全事件的主要原因[4]。
威胁网络安全的因素归纳起来有如下几个方面。
(1)自然因素的影响。
地理环境的恶劣、电磁辐射和电磁干扰、网络设备的自然老化等情况,有时会直接威胁到网络的安全,影响存储信息的媒体,对计算机网络安全造成威胁,带来一定的损失。
(2)恶意攻击。
恶意攻击分为主动攻击和被动攻击,它是一种人为的、蓄意的破坏行为,是计算机网络所面临的最大威胁之一。
其中,主动攻击是以破坏对方的网络和信息为主要目的,通常采用修改、删除、伪造、欺骗、病毒、逻辑炸弹等手段,一旦获得成功可破坏对方网络系统的正常运行,甚至导致整个系统的瘫痪。
而被动攻击以获取对方信息为目标,通常在对方不知情的情况下窃取对方的机密信息[5]。
(3)软件漏洞和后门。
软件漏洞分为两种:
一种是蓄意制造的漏洞,是系统设计者为日后控制系统或窃取信息而故意设计的漏洞;另一种是无意制造的漏洞,是系统设计者由于疏忽或其它技术原因而留下的漏洞。
(4)计算机病毒。
目前数据安全的头号大敌是计算机病毒,它是一种特殊编制的计算机程序,这种程序可以通过磁盘、光盘、计算机网络等各种途径进行复制传播[6]。
(5)配置不当。
安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。
(6)安全意识不强。
用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
2.3网络安全技术简介
计算机网络安全的实现有赖于各种网络安全技术。
从技术上来说,网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。
目前成熟的网络安全技术主要有:
防火墙技术、数据加密技术、系统容灾技术、入侵检测技术、漏洞扫描技术等。
(1)防火墙技术。
所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统[7]。
在逻辑上防火墙是一个分离器、限制器、分析器。
有效地监控内部网和外部网的任何活动,保证内部网络的安全,其一般逻辑位置如图2-1所示。
图2-1防火墙的逻辑示意图
防火墙根据功能实现在TCP/IP网络模型中的层次,其实现原理可以分为三类:
在网络层实现防火墙功能为分组过滤技术;在应用层实现防火墙功能为代理服务技术;在网络层,IP层,应用层三层实现防火墙为状态检测技术。
(2)数据加密技术。
加密技术是实现信息保密性的一种重要的手段,目的是为了防止合法接收者之外的人获取信息系统中的机密信息,所谓的信息加密技术,就是采用数学方法对原始信息进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字[8]。
对于合法的接收者,因为其掌握正确的密钥,可以通过解密过程得到原始数据(即明文)。
在加密和解密的过程中,都要涉及信息、密钥和算法这三项内容,一条信息的加密传输过程如图2-2:
图2-2加密传输过程
由此可见,尽管在网上传递的信息有可能被非法接收者捕获,但仍是比较安全的,因为想在没有密钥和解密算法的前提下,恢复明文或读懂密文,是非常困难的。
(3)系统容灾技术。
传统的容灾技术通常指针对生产系统的灾难采用的远程备份系统技术。
但是,随着对容灾技术包括了可能引起生产系统服务停止的所有防范和保护技术。
一般来讲,一个容灾系统中实现数据容灾和应用容灾采取不同的实现技术,数据容灾技术包括数据备份技术、数据复制技术和数据管理技术等,而应用容灾技术包括灾难检测技术、系统迁移技术和系统恢复技术等。
(4)入侵检测技术。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵侦测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵侦测能力之所以重要,首先在于它能够对付来自内部网络的攻击,其次它能够缩短黑客入侵的时间。
目前常见的划分方法是将入侵侦测系统分为两类,基于网络的入侵检测系统和基于主机的入侵检测系统。
基于网络的入侵检测系统是把入侵侦测产品(由传感器和控制台组成)放在比较重要的网段内,不停地监视网络中的各种数据包[9]。
对每一个数据包或可疑的数据包进行特征分析。
如果数据包与产品内置的某些规则吻合,入侵侦测系统就会发出警报甚至直接切断网络连接。
基于主机的入侵系统是把入侵侦测产品安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。
(5)漏洞扫描技术。
漏洞扫描就是对系统、网络漏洞进行扫描的一种技术,漏洞扫描工具则是那些自动检测远程呀本机主面安全性弱点的程序,通过使用扫描的方式可以发现远程服务器的各种TCP端口的开放程度、所提供的服务等,能够让这些工具的使用者直接地了解到远程目标的安全隐患[10]。
漏洞扫描系统可以分析当前网络和主机的设置和防御,指出潜在的安全漏洞,以改进网络和主机系统对于入侵的防御能力。
漏洞扫描技术主要用来评估计算机网络系统的安全性能,是网络安全防御中的一项重要技术,目标可以是工作站、服务器、交换机、路由器、数据库应用等各种对象,根据扫描结果向系统管理员提供安全性分析报告,为提高网络安全整体水平产生重要依据。
3南阳医专校园网分析
3.1南阳医专校园网拓扑结构图
南阳医专校园网络网络拓扑结构为星型拓扑结构(如图3-1)。
具体分为三级结构:
第一级是网络中心,为中心节点。
网络中心在学校地域的中心建筑,布置了校园网的核心设备,如图中的路由器、交换机、服务器(WWW服务器、电子邮件服务器、文件服务器等)。
第二级是建筑群的主干结点,为二级节点。
校园网按地域设置了几条干线光缆,从网络中心辐射到几个主要建筑群(如图中的主教学楼、学生宿舍、老师宿舍、办公楼、图书馆、实训楼)并在二级主干节点处端接。
在主干网节点上安装的交换机位于网络的第三层,它向上与网络中心的主干交换机相连,向下与各楼层的接入层交换机相连。
学校校园网主干带宽全部为1000Mbps。
第三级是建筑物楼内的接入层交换机,为三级节点,三级节点主要是指直接与工作站连接的局域网设备。
图3-1校园网拓扑结构图
3.2南阳医专校园网的各项组成及其功能
3.2.1网络中心
网络中心形成了主干网,是整个校园网的总节点,并提供连接广域网和拨入服务,在主干网系统采用以太网结构。
在方案中,中心机房放置着中心交换机、服务器群、路由器、机架Modem等网络设备,这些设备以中心交换机作为中心,以星形拓朴结构通过双绞电缆线连接在一起。
网络中心与子网的连接,是通过根据与子网的距离,通过光纤和双绞电缆线将中心交换机和子网的交换机连接起来。
3.2.2图书馆子网
本校图书馆开设面向教师开放的电子备课室和光盘阅览室,开设面向学生开放的电子阅览室。
采购、分类编目、流通、查询、期刊等环节全面实行计算机自动化管理,可以在校园网提供网上在线书目检索服务,读者可以在网上实现检索图书、浏览全文、查阅借阅情况、办理预约及续借手续等。
进而实现图书管理的"电脑化"和资料查询的"网络化"。
图书馆子网主要功能是在图书馆范围内进行计算机文献检索、电子阅读、计算机借还系统以及在校园网上进行文献检索等。
由于图书、文献等多以文本的形式出现,数据量不大,可以采用集线器作为节点。
图书馆子网中需要存储大量数据,所以要设置专用的数据库服务器作为数据存储、管理系统,数据存放在光盘塔、硬盘阵列等系统中,支持图书馆子网和校园网用户的访问和查询。
图书馆子网与网络中心采用1000M带宽的交换机。
3.2.3多媒体教学子网
本校的教学区均安装多媒体,多媒体计算机进一步把电视机所具有的视听合一功能与计算机的交互功能结合在一起,产生出一种新的图文并茂的、丰富多彩的人机交互方式,而且可以立即反馈。
这样一种交互方式对于教学过程具有重要意义,它能够有效地激发学生的学习兴趣,使学生产生强烈的学习欲望,从而形成学习动机。
同时大大的缩减的教师备课的时间,并且课件可以重复使用,另外如果学生在上课时不能完全撑握所学的,可以将课件拷备以便课下自己再学习。
在多媒体教学活动中,需要有大量的视频、音频数据进行传输,而基于共享工作方式的集线器,其有限带宽、广播式工作模式不利于这些信号的传输。
所以推荐采用交换机用为主要设备,只有在个别用户数目比较少、对信号质量要求不高时,采用集线器。
多媒体教室与网络中心的数据通信一般不多,但距离比较远,可以根据教室的多少,增加二级交换机,各个教室采用端口数比较多的交换机。
3.2.4办公子网
本校学校管理机构作为学校的中枢管理系统,协调、组织整个学校工作的正常运行,为了能适应管理机构的功能,办公子网需要针对用户的权限,完成数据生成、修改、查询,进行办公自动化、人员资料管理、课程管理等方面的工作。
办公子网与网络中心的信息通信比较多、每天要访问大量的数据,还有音频、视频等方面的需求,可以采用一个千兆光纤模块的交换机,在与网络中心的中心交换机通信时有足够的带宽,足以适应各种场合的应用。
3.2.5实验楼子网
本校的实训楼主要是学生用来做实验的场所。
大学的教学强调理论与实践相结合,在学习了理论知识后,学生要做大量的实验证明理论的正确性。
实验楼在提供了大量仪器的同时也要求配置网络,方便实验课教师给同学们讲解实验过程以及遇到的问题,同时学生可以自己上网查询资料以解决在实验中遇到的问题。
图书馆子网与网络中心采用1000M带宽的交换机。
3.2.6宿舍子网
网络使学生的学习方式发生了很大变化,他们利用网络自主学习,提高自己的学习能力。
他们需要上网查了资料,将完成的作业利用电子邮件发送给了老师。
鼓励学生们建立自己的网页,包括英语角、名站鉴赏、硬件长廊、编程作坊、会员网页、游戏论坛、电脑文化等栏目。
教师可以通过网络在家办公、查阅资料,并能在课余时间与学生沟通交流,帮助学生解决遇到的问题。
学生和教师宿舍子网主要是通过100M接入层交换机实现互联。
3.3南阳医专校园网络安全的现状
由于本校校园网的速度快、规模大,用户群体活跃加之开放的网络环境和有限的投入以及盗版资源泛滥,计算机系统管理复杂等特点。
随着其应用的深入,校园网络的安全问题也逐渐突出,直接影响着学校的教学、管理、科研活动。
因此,在全面了解本校校园网的安全现状基础上,合理构建安全体系结构,改善网络应用环境的工作迫在眉睫。
目前本校校园网络常见的安全隐患有以下几个方面。
(1)网络安全方面的投入严重不足,没有系统的网络安全设施配备。
本校网络建设经费严重不足,所以就将有限的经费投在关键设备上,对于网络安全建设一直没有比较系统的投入,致使校园网处在一个开放的状态,没有任何有效的安全预警手段和防范措施
(2)学校的上网场所管理较混乱。
由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理各自为政,缺乏上网的有效监控和日志,上网用户的身份无法唯一识别,存在极大的安全隐患。
(3)电子邮件系统极不完善,无任何安全管理和监控的手段。
电子邮件既是互联网必不可少的一个应用之一,同时也是病毒和垃圾的重要传播手段。
目前本校园邮件系统依然采用互联网上下载的免费版本的邮件系统,不能提供自身完善的安全防护,更没有提供任何针对用户来往信件过滤、监控和管理的手段,完全不符合国家对安全邮件系统的要求,出现问题时也无法及时有效的解决。
(4)网络病毒泛滥,造成网络性能急剧下降,很多重要数据丢失,损失不可估量。
网络病毒的肆虐传播,极大的消耗了网络资源;造成网络性能下降,单纯单机杀毒软件已经不能满足用户的需求,迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。
(5)网络安全意识淡薄,没有指定完善的网络安全管理制度。
校园网络上的用户安全意识淡薄,大量的非正常访问导致网络资源的浪费,同时也为网络的安全带来了极大的安全隐患。
(6)网络管理员专业知识和技能不够、责任心不强。
一些网络管理员没有受过系统的专业培训,所以不能很好地胜任本职工作。
如把在计算机中装上还原卡当作是万能管理方法;不设置系统管理员密码;在系统中不安装防火墙和杀毒软件等等。
另外,有些网络管理员敷衍塞责,对出现的系统故障置之不理。
3.4南阳医专校园网络安全的威胁因素
(1)计算机系统漏洞。
目前,本校校园网中被广泛使用的网络操作系统主要是WINDOWS,存在各种各样的安全问题,服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量的安全漏洞。
而且随着时间的推移,将会有更多漏洞被人发现并利用。
许多新型计算机病毒都是利用操作系统的漏洞进行传染,如不对操作系统进行及时更新,这些漏洞就是会成为安全隐患。
(2)计算机病毒的破坏。
计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。
计算机病毒具有以下特点:
一是攻击隐蔽性强;二是繁殖能力强;三是传染途径广;四是潜伏期长;五是破坏力大[11]。
如ARP欺骗病毒、熊猫烧香病毒,网络执行官、网络特工、ARPKILLER、灰鸽子等木马病毒,表现为集体掉线、部分掉线、单机掉线、游戏帐号、QQ帐号、网上银行卡等帐号和密码被盗等等,严重威胁了校园网络的正常使用。
(3)来自网络外部的入侵、攻击等恶意破坏行为。
校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
黑客也经常利用网络攻击校园网的服务器,以窃取一些重要信息。
目前在因特网上,可以自由下载很多攻击工具,这类攻击工具设置简单、使用方便,破坏力大,这意味着攻击所需要的技术门槛大大降低。
因此,一个技术平平的普通攻击者很可能就是对网络系统造成巨大危害的黑客。
(4)校园网内部的攻击。
高校校园网是广大师生进行教学与科研活动的主要平台,由于部分学生对网络知识很感兴趣,具有相当高的专业知识水平,对内部网络的结构和应用模式又比较了解,攻击校园网就成了他们表现自己的能力,实践自己所学知识的首选,经常有意无意的攻击校园网系统,干扰校园网的安全运行。
(5)校园网用户对网络资源的滥用。
实际上有相当一部分的Internet访问是与工作无关的,有人利用校园网资源进行商业的或免费的视频、软件资源下载服务,甚至有的是去访问色情、暴力、反动站点,导致大量非法内容或垃圾邮件出入,占用了大量珍贵的网络带宽,Internet资源严重被浪费,造成流量堵塞、上网速度慢等问题,而且不良信息内容也极大地危害学生的身心健康。
(6)网络硬件设备受损。
校园网络涉及硬件的设备分布在整个校园内,管理起来有一定的难度,暴露在外面的设施,都有可能遭到有意或无意地损坏。
(7)校园网安全管理有缺陷。
随着校园内计算机应用的大范围普及,接入校园网的计算机日益增多,如果管理措施不力,随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
校园计算机网络建设普遍存在重视硬件投入,忽视软件投资;重运行,轻管理的现象。
主要表现为对网络安全的认识不足,将网络系统作为一项纯技术工程来实施,没有一套完善的安全管理方案;网络系统管理员只将精力集中于IP的申请分配和开通、帐户的维护、各服务器上应用系统日常维护、系统日志的审查[12]和网络规范的设计及调整上,而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。
4针对南阳医专校园网络安全采取的对策
校园网络安全不仅仅是技术问题,更是一个管理问题,要解决网络安全问题,必须技术与管理同时抓。
本章针对南阳医专网络安全的现状和存在的威胁因素,采取了安全技术和安全管理的措施来保障本校校园网络的安全。
4.1安全技术
图4-1安全技术的应用
4.1.1配置防火墙和入侵检测系统
在校园网的进口处架设了防火墙和网络入侵检测系统(如图4-1)。
防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。
防火墙可以有效地隔离内部网与外部网,保护校园内部网络免遭非法的侵入。
网络安全检测工具是一个网络安全性评估分析软件,不时的扫描分析网络系统,网络管理员根据检测的报告系统分析存在的弱点和漏洞,及时采取补救措施,以达到增强网络安全性的目的。
基于网络的入侵检测系统,对监视网段中的各种数据包进行特征分析,会根据产品中配置规则情况录取是否发出警报或直接切断网络连接。
4.1.2利用网络监听维护子网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。
在这种情况下,可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。
设计一个子网专用的监听程序。
该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
4.1.3采用VLAN技术
按学校各部门拥有不同的应用业务以及不同的安全级别,有限制非法访问可以运用VLAN技术[13],划分子网一般要从安全性角度和地理位置还有主机数量来考虑。
例如,学校的职能部门中,对安全性要求高的有财务处、人事处、总裁办公室,这些地方都需要单独划分一个子网以提高安全性,对于安全性要求较低的部门,可以划分在一个子网内,以利于与其它网段交流。
4.1.4配置代理服务器
在计算机中心学生机房配置访问控制列表,使用二级防火墙,并利用代理软件配置代理服务器[12],在代理服务器上安装双网卡,连接外网的网卡使用公网IP地址,连接内网的网卡使用私有地址,学生客户机IP地址与代理服务器内网IP地址
升级会员 