马雨洁2274信息安全技术作业.docx
《马雨洁2274信息安全技术作业.docx》由会员分享,可在线阅读,更多相关《马雨洁2274信息安全技术作业.docx(23页珍藏版)》请在冰豆网上搜索。
马雨洁2274信息安全技术作业
信息安全技术
期末作业
题目:
校园网网络安全报告
班级:
管工院13信管1班
姓名:
马雨洁
学号:
20132274
目录
概述………………………………………………………………………………………..2
第一章校园网网络安全整体概述…………………………………………...4
1.1校园网特点…………………………………………………………………………4
1.2校园网安全问题整体现状………………………………………4
第二章安徽财经大学校园网安全分析…………………………………...6
2.1安徽财经大学网络拓扑图概述…………………………………………….6
2.2安徽财经大学校园网硬件设备……………………………………………..7
2.3安徽财经大学校园网软件设施………………………………...15
第三章安徽财经大学校园网需求分析………………………………….18
3.1用户需求……………………………………………………………………………18
3.2学校安全管理功能需求分析………………………………………………19
3.3物理环境安全需求……………………………………………………………..20
3.4资源需求…………………………………………………………………………...21
3.5安全需求…………………………………………………………22
第四章安徽财经大学校园网安全建设意见………………………….22
4.1制定正确的安全管理方向22
4.2 采取有效的安全措施23
参考文献……………………………………………………………………………….........27
概述
随着网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。
但是在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。
随着教育信息化的不断推进,各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。
但必须看到,随着校园网络规模的急剧膨胀,网络用户的快速增长,尤其是校园网络所面对的使用群体的特殊性,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
随着教育信息化的发展,校园网络系统成为学校重要的现代化基础设施,为学校建设提供安全、可靠、快捷的网络环境,学校的学生思想教育、教学、科研、管理等对网络的依赖将越来越紧密。
校园网的安全状况直接影响到这些活动的顺利进行,因此,保障校园网络信息安全已经成为当前各校网络建设中不可忽视的首要问题。
现代社会,计算机已经应用在各个方面,信息的处理,以及在网络中的信息处理和网络的信息安全都成为我们探讨和研究的问题。
本文从对校园网的现状分析了可能面临的威胁,从计算机的安全策略找出解决方案既用校园网络安全管理加防火墙加设计的校园网络安全系统。
第一章校园网网络安全整体概述
校园网是一个集计算机网络技术、信息管理、办公自动化和信息发布等功能于一体的综合信息平台,是一个终端、服务器、网络设备、用户众多的复杂的局域网,通过有线、无线实现互联和数据传输。
校园网的这些特点决定了在网络安全管理方面的复杂性。
1.1校园网特点
1.高速的局域网连接——校园网的核心为面向校园内部师生的网络,因此园区局域网是该系统的建设重点,并且网络信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项基本要求;
2.信息结构多样化——校园网应用分为电子教学(多媒体教室、电子图书馆等)、办公管理和远程通讯(远程教学、互联网接入、FTP服务、联网游戏等)三大部分内容。
数据类型复杂,不同类型数据对网络传输有不同的质量需求;
3.安全可靠——校园网中同样有大量关于教学和档案管理的重要数据,不论是被损坏、丢失还是被窃取,都将带来极大的损失;
4.操作方便,易于管理——校园网面积大、接入复杂,网络维护必须方便快捷,设备网管性强,方便网络故障排除。
5.认证计费——学校对学生上网必须进行有效的控制和计费策略,保证网络的利用率。
1.2校园网安全问题整体现状
1.活跃用户众多,安全意识淡薄
随着经济的快速发展,拥有一台个人计算机对于现在的大学生来说已经不再是一件不能想象的事,计算机技术也成为大学生的必修课。
校园网的用户群体非常庞大,少则数千人、多则数万人。
中国的高校学生一般集中住宿,因而用户非常密集。
正是由于高带宽和大用户量的特点,网络安全问题蔓延快、对网络的影响严重。
除此之外,大学生对新鲜事物的好奇心,驱使他们更愿意去尝试和挑战网络新技术,如果没有意识到后果的严重性,可能对网络造成一定的影响和破坏。
2.盗版资源泛滥
由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。
比如,Microsoft公司对盗版的XP操作系统的更新作了限制,盗版安装的计算机系统今后会留下大量的安全漏洞。
另一方面,从网络上随意下载的软件中很多都隐藏木马、后门等恶意代码,如果不进行检测直接运行安装将很容易被攻击者侵入和利用。
3.应用服务管理不规范
随着互联网应用的增加以及师生对互联网资源需求的快速增长,校内各院系组织都建立起了自己的应用服务器,这些服务部署分散、管理松散,大多数没有做安全防范,因此极容易受到攻击。
这些服务虽然不是学校统一管理,但一旦受到攻击将严重影响学校网络和学校的声誉。
4.密码的安全问题
用密码保护系统和数据的安全是最经常采用的方法之一。
目前很多安全问题是由于密码管理不严而导致的。
因此密码管理是非常基本的也是非常重要的。
首先在密码的设置安全上绝对杜绝不设口令的帐号存在尤其是超级用户帐号。
另外对于系统的一些权限如果设置不当对用户不进行密码验证也可能为“入侵者”留下后门。
其次在密码的设置上要避免使用弱密码适当的交叉使用大小写字母也是增加被破解难度的好办法。
5.系统的安全问题
从目前来看各种系统或多或少都存在着各种的漏洞系统漏洞的存在就成网络安全的首要问题发现并及时修补漏洞是每个网络管理人员主要任务。
当然从系统中找到发现漏洞不是我们一般网络管理人员所能做的但是及早地发现有报告的漏洞并进行升级补丁却是我们应该做的。
对于我们有使用的软件和服务应该密切关注其程序的最新版本和安全信息一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。
6.威胁校园网安全的其他各种因素
威胁校园网安全的因素包括物理因素技术因素管理因素用户因素安全教育等因素。
从物理上讲校园网络的安全是脆弱的就如通讯领域所面临的问题一样校园网络涉及设备分布极为广泛任何个人或部门都不可能时刻对这些设备进行全面监控包括通信光缆、电缆、电话线、局域网、远程网等都有可能遭到破坏从而引起校园网络的瘫痪影响正常教学业务的进行。
目前的校园网络大都是利用Internet技术构造的同时又与Internet相连。
Internet网的共享性和开放性使网上信息安全存在先天不足因为其赖以生存的TCP/IP协议缺乏相应的安全机制因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性系统中的安全漏洞也不可避免地存在。
而且很多学校对校园网的安全保护不够重视舍不得投入必要的人力、财力、物力来加强网络的安全管理。
第二章安徽财经大学校园网安全分析
2.1安徽财经大学网络拓扑图概述
安徽财经大学所使用的出口防火墙使用的是千兆联想网御;教职工宿舍,教学楼,办公楼等通过两个型号为Cisco7609的交换机链接外部网络;而学生宿舍的网络通过链接两个Cisco6509型号交换机,这两个交换机通过链接Cisco7609型号的交换机链接外网;教学服务器采用的是服务器千兆防火墙来实现以下这些功能:
WEB1,DNS1WEB1,DNS1,MATL1,FTP,BDOAS,教学系统,视频点播,网络管理等。
还有很多小型交换机都为Cisco或者华为产品,同时我校还采用了锐捷网络硬件作为无线网的基础设备,用于校园无线的建设。
2.2安徽财经大学校园网硬件设备
2.2.1交换机
我们学校使用的交换机包括核心交换机:
2台Juniper MX960和CISCO6509;以及汇聚交换机:
2台JuniperEX4550。
1.Juniper
Juniper网络公司(中文名:
瞻博网络)致力于实现网络商务模式的转型。
作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注。
公司的客户来自全球各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。
Juniper网络公司推出的一系列联网解决方案,提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络。
JuniperMX960
下面是MX960的基本技术规格:
路由引擎
1.3GHz (标配,可升级至2Ghz)
1)1.3GHz 赛扬处理器
2)2GB DDR DRAM
3)1G Flash内部存储器
4)40GB IDE 硬盘驱动器,用于备用存储
5)千兆以太网RJ-45 端口,用于带外管理
6)两个RS-232 (RJ45 连接器) 异步串行端口,用于控制台和远程管理
7)备份引导介质:
U盘
权威机构认证
安全性
1)CAN/CSA-C22.2No.60950-00/UL 60950 - 第三版,信息技术设备安全性
2)EN 60825-1 激光产品安全性- 第一部分:
设备分类,要求和用户指南
3)EN 60825-2 激光产品安全性- 第二部分:
光纤通信系统安全性
4)EN 60950 信息技术设备安全性
EMC(MX960)
1)AS/NZS 3548 Class B(澳大利亚/ 新西兰)
2)BSMI Class B(台湾)
3)EN 55022 Class B Emissions(欧洲)
4)FCC Part 15 Class B(美国)
5)VCCI Class B(日本)
抗干扰性
1)EN 61000-3-2电源线谐波
2)EN 61000-4-2 ESD
3)EN 61000-4-3 辐射抗干扰性
4)61000-4-4 EFT
5)EN 61000-4-5电涌
6)EN 61000-4-6低频公共抗干扰性
7)EN 61000-4-11电压骤升和骤降
ETSI
ETS-300386-2电信网络设备电磁兼容性要求
NEBS
2)GR-63-Core:
NEBS,物理保护
2)GR-1089-Core:
网络电信设备EMC 及电气安全性
2)SR-3580 NEBS 标准级别(符合第3级要求)
环境
温度
32 - 104°F / 0 - 40°C
相对湿度
5-90%, 无冷凝
最高海拔
10000 英尺/ 3048 米高度上无性能下降
抗震
设计满足Telecordia Technologies Zone 4 地震要求
MX960是为大中型网络设计的高以太网密度的业务路由器,它同时提供丰富的路由功能,可以支持各种运营商应用,包括高速的InternetPeering,MPLSVPN或下一代的宽带Multiplay业务。
MX960交换容量为2640Gbps,整体的吞吐能力为1360Gbps,最多可以支持480个全线速千兆以太网端口或132个全线速万兆以太网端口。
MX960高度只有16U,一个标准机架可以放置两台MX960。
MX960的关键组件是路由引擎和数据包转发引擎。
EX4550是一个传统的顶级机架交换机,它具有32个固定的10千兆位以太网(GbE)端口,光纤SFP/SFP+或者铜100M/1GBASE-T/10GBASE-T。
该交换机还具有前置和后置扩展槽,对此Juniper提供了8x10GbE模块,可以将该交换机的密度提高到48个端口。
EX4550上的扩展槽还可以装载虚拟机架模块,它具有两个128Gbps互连端口。
这些模块将启用Juniper的虚拟机架功能,这是替代传统交换机堆叠的更先进且功能更丰富的功能。
Juniper表示,虚拟机架配置中的控制和数据平面比单个交换机堆叠更复杂,可使多个Juniper交换机作为一个模块化交换机一起运行。
在数据中心服务器边缘,虚拟机架功能还可以简化管理。
Juniper顶级机架交换机,前部
EX4550-32F-DC-A
2.CISCO
思科公司是全球领先的网络解决方案供应商。
CISCO的名字取自SanFrancisco(旧金山)。
可以说,依靠自身的技术和对网络经济模式的深刻理解,思科成为了网络应用的成功实践者之一。
与此同时思科正在致力于为无数的企业构筑网络间畅通无阻的“桥梁”,并用自己敏锐的洞察力、丰富的行业经验、先进的技术,帮助企业把网络应用转化为战略性的资产,充分挖掘网络的能量,获得竞争的优势。
CISCO以路由器,交换机,IOS软件为主,还有宽带有线产品、板卡和模块、内容网络、网络管理、光纤平台、网络安全产品与VPN设备、网络存储产品、视频系统、IP通信系统、远程会议系统、无线产品、服务器等。
CISCO6000系列属于CISCO的高端产品,对于企业数据网来说,是最常用的产品,这一系列交换机为园区网提供了高性能、多层交换的解决方案,专门为需要千兆扩展、可用性高、多层交换的应用环境设计,主要面向园区骨干连接等场合。
CiscoCatalyst6500系列机箱
C6000系列是由C6000和C6500两种型号的交换机构成,都包含6个或9个插槽型号,分别为6006、6009、6506和6509,其中,尤以6509使用最为广泛。
所有型号支持相同的超级引擎、相同的接口模块。
这一系列的特性主要包括:
端口密度大,支持多达384个10/100BaseTx自适应以太网口,192个100BaseFX 光纤快速以太网口,以及130个千兆以太网端口(GBIC插槽);速度快,C6500的交换背板可扩展到256Gbps,多层交换速度可扩展到150Mpps;多层交换,C6000系列的多层交换模块可以进行线速的IP,IPX和IP-multicast 路由;容错性能好,C6000系列带有冗余超级引擎,冗余负载均衡电源,冗余风扇,冗余系统时钟,冗余上连,冗余的交换背板(仅对C6500系列),实现了系统的高可用性;丰富的软件特性。
C6000软件支持丰富的协议,包括NetFlow、VTP(VLAN Trunking Protocol)、VQP(VLAN Query Protocol)、ISL Trunking、HSRP(Hot Standby Router Protocol)、Port Security、TACACS、CGMP(Cisco Group Management Protocol)、IGMP等等。
CISCO6509有两个命令行接口,一个用于二层相关配置(vlan 、端口等相关配置),一个用于三层的相关配置(vlan 的三层接口、路由等相关配置)。
2.2.2防火墙
1.山石网科
山石网科Web应用防火墙是新一代专业Web应用安全防护产品,专注于为网站及Web应用系统提供专业的应用层深度防御。
广泛适用于政府、企业、金融、教育等行业中涉及Web应用安全防护的场景,满足如PCI-DSS、等级保护、行业规范等政策法规的安全建设要求。
山石网科WAF采用双安全引擎等多种先进技术,有效抵御SQL注入、跨站、挂马、恶意扫描等常见Web攻击,支持敏感信息防泄露、网页防篡改、应用层DDOS防护等功能,最大限度的保障网站运行安全;同时,山石网科WAF支持Web应用加速、应用负载均衡、Bypass和HA等功能,为Web应用提供全方位的防护解决方案。
山石网科SG-6000-W系列是深度Web安全防御,保障网站业务安全;有多种应用加速,使业务访问更高效;人性化多维管理,使安全运维更简单;灵活可靠部署,保障Web业务可用性。
它的优势和特性包括:
1)防护30余类Web通用攻击。
系统内置了30余类的通用Web攻击特征有效的防御来自外部的如SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站脚本等,部署WAF后自动障蔽相应的Web攻击行为,对OWASPTOP10有完整的解决方案;
2)协议规范性检查。
通过HTTP协议规范性检查可以实现Web主动防御功能,如请求头长度限制、请求编码类型限制等从而障蔽了大部分非法的未知攻击行为;
3)抗Web扫描器扫描。
WAF能自动识别扫描器的扫描行为,并智能阻断如Nikto、Parosproxy、WebScarab、WebInspect、Whisker、libwhisker、Burpsuite、Wikto、Pangolin、WatchfireAppScan、N-Stealth、AcunetixWebVulnerabilityScanner等多种扫描器的扫描行为。
4)防护敏感信息泄露。
WAF具备双向内容检测的能力,能识别服务器页面内容的敏感信息,防止敏感信息泄露,如服务器出错信息,数据库连接文件信息,Web服务器配置信息,网页中的连续出现的身份证、手机、邮箱等个人信息均可被WAF识别并依据策略采取相应的措施。
5)防止恶意言论提交。
WAF支持中文关键字解析技术,通过对用户提交信息进行过滤,有效的解决了用户提交政冶敏感、违反法规相关的言论信息,从而保障网站的内容健康呈现。
6)CC攻击防护。
可基于请求字段细粒度检测CC攻击,请求速率和请求集中度双重算法检测,有效应对CC慢速攻击,挑战模式识别人机访问减小误判概率,支持流量自学习建模和攻击者区域检测算法,完全隔离海外肉机,同时还能解决密码暴力猜解和商业爬虫行为。
7)防护盗链行为。
WAF支持多种盗链识别算法能有效解决单一来源盗链、分布式盗链、网站数据恶意采集等信息盗取行为,从而确保网站的资源只能通过本站才能访问。
2.华为NIP系列入侵防御系统
入侵防御系统(IPS)是电脑网络安全设施,是对防病毒软件和防火墙的补充。
入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
华为NIP系列入侵防御系统,面向大中企业、行业及运营商客户,用来防御网络威胁影响其正常的业务。
NIP产品使用模块化引擎设计,利用多种先进的检测技术,提供虚拟补丁、Web应用防护、客户端应用防护、恶意软件防护、Anti-DDoS及应用感知控制等功能。
帮助组织保障业务的连续性,数据的安全性,提供对相关法律法规的合规性。
它采用电信级的高可靠性设计,提供对MPLS、VLAN等多种特殊协议的支持,可在多种环境灵活的部署。
产品提供零配置上线的部署能力,无需复杂的签名调整,无需人工设定网络参数及阈值基线,即可自动阻截各种业务威胁,显著降低了部署的复杂性,使整体的TCO成本得到有效的控制。
NIP系统采用多种先进的检测技术,有效的防御各种已知或者未知的威胁:
采用协议智能识别技术,自动的区分不同应用和协议,无需人工设定协议端口;基于漏洞的检测技术,以及基于攻击特征的检测技术,实时发现并防御各种已知的攻击:
漏洞利用、蠕虫木马等等;协议异常检测、流量异常检测以及启发式检测技术,可以有效的发现未知漏洞及恶意软件产生的攻击。
NIP产品荟萃多种入侵检测技术,其中最重要的就是基于漏洞的检测,可有效地阻止因为漏洞而带来的威胁,如:
溢出攻击、蠕虫感染等。
相对传统的攻击特征检测不会产生误报、并且能够更好地对抗使用逃避技术的攻击行为。
3.iWall应用防火墙
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。
它集成全新的安全理念与先进的创新架构,保障用户核心应用与业务持续稳定的运行。
iWall应用防火墙是一款保护Web站点和应用免受来自于应用层攻击的Web防护系统。
iWall是上海天存信息技术有限公司开发的web网站和应用防护系统。
它可以有效的保护web网站和应用免受来自于应用的攻击。
iWall应用防火墙使用的Web服务器核心内嵌技术,在请求数据尚未被Web服务器软件处理之前(更在应用系统处理之前)即进行检查,区分正常用户访问Web和攻击者的恶意行为,确保所有攻击行为被拒之门外。
iWall应用防火墙使用先进可靠的web服务器核心内嵌技术,将防护引擎内置于Web服务器软件中,通过分析应用层的用户请求数据(如:
URL、参数、链接、Cookie等),区分正常用户访问Web和攻击者的恶意行为,对攻击行为进行实时阻断和报警。
全面防御WEB应用层攻击:
iWall防范的攻击
危胁
手段
后果
注入式攻击
通过构造SQL语句对数据库进行非法查询
黑客可以访问后端数据库,偷窃和修改数据
跨站脚本攻击
通过受害网站在客户端显不正当的内容和执行非法命令
黑客可以对受害者客户端进行控制,盗窃用户信息
上传假冒文件
绕过管理员的限制上传任意类型的文件
黑客可以篡改网页、图片和下载文件等
不安全本地存储
偷窃cookie和sessiontoken信息
黑客获取用户关键资料,冒充用户身份
非法执行脚本
执行系统默认的脚本或自行上传的WebShell脚本等
黑客完全控制服务器
非法执行系统命令
利用Web服务器漏洞上执行Shell命令Execute等
黑客获得服务器信息
源代码泄漏
利用Web服务器漏洞或应用漏洞获得脚本源代码
黑客分析源代码从而更有针对性的对网站攻击
URL访问限制失效
黑客可以访问非授权的资源连接
黑客可以强行访问一些登陆网页、历史网页
2.3安徽财经大学校园网软件设施
1.服务器安全狗
服务器安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器工具。
支持Windows全系列操作系统(Windows2003/Windows2008/Windows201232位64位)、Linux操作系统的服务器安全防护软件,从驱动层直接屏蔽攻击,保护服务器安全。
服务器安全狗功能涵盖了服务器杀毒、系统优化、服务器漏洞补丁修复、服务器程序守护、远程桌面监控、文件目录守护、系统帐号监控、DDOS防火墙、ARP防火墙、防CC攻击、防入侵防篡改、安全策略设置以及邮件实时告警等多方面模块,为用户的服务器在运营过程中提供完善的保护,使其免受恶意的攻击、破坏。
常见的系统攻击分为两类:
一是利用Web服务器的漏洞进行攻击,如DDOS攻击、病毒木马破坏等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入攻击、跨站脚本攻击等。
常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。
针对于网站面临的安全威胁,安全狗工作室在多年服务器安全工作的成功经验基础上自主研发两套针对
升级会员 