成都信息工程学院校园网安全方案设计.docx
《成都信息工程学院校园网安全方案设计.docx》由会员分享,可在线阅读,更多相关《成都信息工程学院校园网安全方案设计.docx(18页珍藏版)》请在冰豆网上搜索。
成都信息工程学院校园网安全方案设计
平时
报告
答辩
总分
成都信息工程学院
课程设计
题目:
校园网的安全整体解决方案设计
作者姓名:
雷贤银
班级:
信安06级3班
学号:
2006122110
指导教师:
林宏刚
日期:
年月日
某小型企业人事管理系统的设计与实现
摘要
随着计算机网络技术的飞速发展,网络技术越来越受到人们的重视,它已逐渐渗入我们生活各个层面。
现代企业具有一个现代化的人事管理系统,是企业管理的科学化、正规化的重要条件,也在企业的高效运行中扮演了重要的角色。
现代人事管理系统应是一种基于开放式网络环境,能够保证数据输入、输出的准确性、快捷性并且方便用户使用的网络应用系统。
本设计从现代企业管理中的人事管理现状出发,针对小型企业目前人事管理的工作程序,开发出来的一个操作简单、方便实用的基于B/S结构的人事管理系统。
本文首先介绍人事管理系统的开发背景,比较国内外的研究现状;接着介绍了ASP编程技术和SQLServer2000等相关理论知识,并对现代小型企业人事管理系统进行了较详细的需求分析;然后重点讨论该系统的设计与实现,包括数据库设计和系统功能设计;最后,通过测试与分析,说明该系统运行稳定、可靠,具有一定的实用价值。
关键词:
小型企业;人事管理系统;B/S结构;数据库;ASP
目录
1引言1
1.1课题背景1
1.2国内外现状1
1.3本课题研究的迫切性1
1.4本课题的研究作用1
1.5本文的主要工作1
2人事管理系统需求分析及开发工具2
2.1系统目标2
2.2系统应具备的基本功能3
2.3开发环境及工具3
2.3.1运行环境3
2.3.2ASP技术介绍3
2.3.3SQL语句介绍5
2.3.4VBScript介绍5
3系统总体结构设计6
3.1基本简介6
3.2系统功能模块设计6
3.2.1数据库设计6
3.2.2功能模块介绍12
4系统流程与实现14
4.1系统设计流程14
4.2页面详细介绍14
5系统测试与分析25
5.1测试25
5.2调试过程中遇到的主要问题27
结论28
参考文献28
1引言
1.1课题背景
成都信息工程学院源于1951年中国人民解放军西南军区空军司令部在成都建立的气象干部训练大队,1954年改制为中央气象局成都气象干部学校,1956年改建为全日制中等专业学校,更名为中央气象局成都气象学校。
1978年成都气象学校升格为全日制普通本科高等学校,定名为成都气象学院。
1981年学院成为首批学士学位授予权单位。
2000年学院划转到四川省,实行中央与地方共建、以地方管理为主的管理体制,并更名为成都信息工程学院。
2001年原隶属国家统计局的四川统计学校整体并入。
2003年学院成为硕士学位授予权单位。
2007年获得教育部本科教学工作水平评估优秀。
学校举办本科教育30年来,积极适应我国气象事业发展和地方经济建设与社会发展的需要,不断深化教育教学改革,提高人才培养质量和办学水平,已经建设成为一所特色鲜明、优势明显、以工为主的多学科应用型高等学校。
成都信息工程学院校园网络(CUITNET)始建于1997年,经过10年来的建设和升级改造,已经建成覆盖航空港、人南、龙泉三个校区的大规模、高速、先进的计算机网络。
为了加强校园网的建设、管理、运行和安全,学院于2003年组建了由主管教学副院长直接领导的网络中心,专职负责全院校园网的运行管理和IT服务。
网络中心坚持“全天候 服务教学 急师生所需 响应快 保障有力 让师生满意”的服务理念,为学院的本科教学提供全天候、高质量的服务。
1.2国内外现状
校园网网络安全现状分析
经过多年的信息化建设之后,国内大多数高校基本上都建成了自己的校园网。
但随着其应用的深入,校园网络的安全问题也逐渐突出,直接影响着学校的教学、管理、科研活动。
因此,在全面了解校园网的安全现状基础上,合理构建安全体系结构,改善网络应用环境的工作迫在眉睫。
当前,校园网网络普遍存在的安全隐患有以下几种。
校园网安全管理有缺陷
校园网的用户群体一般也比较大,少则数千人、多则数万人,数据量大、速度高。
随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,学生通过网络在线看电影、听音乐,很容易造成网络堵塞和病毒传播。
而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
校园网内部的攻击
由于内部用户对网络的结构和应用模式都比较了解,很多学生,尤其是理工科的男生对网络新技术充满好奇和实践欲望,他们经常有意无意的攻击校园网系统,干扰校园网的安全运行。
校园网与一般企业网不同的是,不仅要注意防止外部网络对校园网的攻击,还要注意防范校园网内部的黑客攻击。
Internet的威胁
校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
各种病毒就是通过Internet传播的,并导致网络性能下降。
而且黑客也经常利用网络攻击校园网的服务器,以窃取一些重要信息。
1.3本课题研究的迫切性
进年来随着校园网的普及,校园网在日常教学工作中的地位日益显现。
一旦校园网瘫痪,学校教学工作无法正常进行,学生无法正常提交作业,无法正常下载教师课件,无法上网查阅资料。
一旦校园网遭到入侵,可能导致大量学生隐私资料被盗甚至非法利用,可能导致学校重要数据库的毁坏,可能导致财务系统被篡改等。
近年来ddos攻击流行,甚至在很多网站上出现了明码标价的肉鸡,然而学校是用户群最集中的地方,多数学校有高性能中型计算机。
然而大多数学生安全意识并不高,系统根本就没有做过安全配置。
因此在校园网内找肉鸡一般可以达到事半功倍的效果。
如果校园网被黑客入侵并利用所造成的社会经济损失和学校名誉的损失是难以估量的。
因此急需要有一套安全方案,加强对校园网的保护。
1.4本课题的研究作用
主要是为校园网提出一些常见的安全隐患及解决方案,以便在校园网部署或者改造时尽量多考虑安全因素,使校园网更好、更安全为师生服务。
1.5本文的主要工作
国内校园网安全现状的分析
校园网安全需求分析
校园网的拓扑方案设计
校园网的安全解决方案
1校园网整体安全需求分析
系统集成需求
在总体需求确定的基础上,提出的系统集成需求如下。
1、采用千兆以太网技术
千兆以太网技术已经成熟,千兆主干、百兆交换到桌面已经成为校园网技术的主流,因此采用1000M以太网光纤作为校园网的主干,100M交换到各教研组、科室、学生机房的计算机,学生寝室以及各学院实验室。
2、采用光纤和双绞线布线
千兆以太网使用光纤和双绞线作为传输介质。
采用光纤到各大楼以及学生宿舍。
大楼到各教室、实验室、办公室、寝室用双绞线。
3、网络交换设备
每栋学生宿舍一台计入交换机
图书馆一台接入交换机
每栋实验大楼一台接入交换机
科教楼一台接入交换机
中心机房一台核心三层交换机(建议用锐捷s86系列10万兆ipv6多业务核心交换机)
每间教学实验室由于pc较多,可用一台交换机
每个学生寝室用五口交换机接入
在校园网出口处用一台路由器
4、服务器
服务器是校园网的数据核心,根据学校的具体情况,需要服务器具有以下几种功能。
(1)VPN服务器:
为保证校园网内网安全,所有教师在校外通过vpn接入方式浏览共享校园网资源。
(2)数据库服务器:
存储和管理学生档案、学生成绩、教务管理档案、文书档案、教务档案、财产档案、会计档案、团委档案等。
(3)Web服务器:
能够在校园网上发布学校的主页;所有终端机能顺利上传主页;申请域名后对外发布各种信息
(4)课件服务器:
此服务器须有磁盘阵列,以存储大量的图文声像教学信息。
(5)教学信息存储管理服务器:
我们要求用流技术在校园网上实时、流畅的传播多媒体图文信息;实现视频广播、视频点播功能。
(6)电子邮件服务器:
提供局域网内部和外部邮件服务。
5、防火墙
为了保证校园网局域网的安全,保证学校学生数据信息以及财务系统的安全,因此需要防火墙。
防火墙还可以监控学生上网流量,可以通过分析制定出合理的规则,使校园网在学习办公方面发挥更大的作用。
同时,使用防火墙在各校区之间搭建vpn,使得各校区之间实现零距离通信。
安全需求分析
1、学校网站安全
学校网站,作为一个学校的官方网站必须能够7*24小时为学校提供安全可信的服务,但是一个web服务器可能存在以下安全风险:
1)web服务器本身存在安全漏洞
2)web服务器配置不当(如弱口令等),使服务器容易遭到入侵
3)web服务器有可能遭到DoS、DDoS等攻击
2、校园网物理线路安全
物理层安全是整个网络系统安全的前提,包括环境安全、设备安全和介质安全。
物理安全可能导致整个网络平台或者内部数据的损毁,主要表现在以下几个方面:
1)地震、水灾、火灾等引起物理链路损坏
2)设备或者物理线路被盗
3)物理线路被工程施工或者路面改造挖断
3、链路层安全分析
链路层的安全风险主要表现在三个方面:
(1)局域网内部嗅探,可以通过工具获取在同一个广播域内传送的所有数据,明文数据可以很容易通过工具解析还原,造成用户信息泄露;
(2)ARP攻击。
由于ARP协议本身的漏洞,局域网很难防止arp攻击。
容易导致用户无法正常上网;(3)访问控制安全。
IEEE802LAN中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。
这样,一个XX的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络。
随着局域网技术的广泛应用,特别是在运营网络的出现,对网络的安全认证的需求已经提到了议事日程上。
如何在以太网技术简单、廉价的基础上,提供用户对网络或设备访问合法性认证,已经成为业界关注的焦点。
4、网络层安全分析
现在校园网系统大多是采用TCP/IP,由于协议本身存并未对安全方面作过多考虑,使得整个网络层存在以下安全风险。
(1)数据采用明文传输
数据采用明文传输可能导致ftp、telnet、邮件账号密码等个人信息被截获,然而大多数人会把信用卡、网银密码设置为和上述相同。
如果这些信息被非法盗用者截获后果难以想象。
(2)ip地址欺骗
校内有些资源是通过ip地址认证访问(如图书馆的某些资源),因此攻击者可能冒充某个合法ip地址对未授权的资源进行访问。
(3)端口扫描
在TCP/IP网络中,所有的网络服务都通过一个端口向外提供服务,客户端在连接这些端口是,TCP/IP在网络层和传输层都不对这些连接请求进行身份验证,而且在任何状态下都会返回应答数据报。
因此,攻击者很容易通过连接所有端口的结果获得目标主机上存在哪些服务,然后根据服务本身的漏洞进行进一步的攻击。
5、应用层安全分析
1)邮件服务器有可能本身存在漏洞,或者配置不当,被非法入侵者利用
2)ftp服务器,有肯被非法入侵者利用,或者被挂马后果难以预料
3)数据库服务器,各教学单位重要数据,学生重要数据信息(如成绩,基本信息等)都存放在数据库服务器,如果数据库配置不当,如采用默认用户名空密码等,都可能造成数据库服务器被非法入侵者入侵,修改或者盗取重要数据
网络拓扑图
图1
安全解决方案详细设计
1、web服务器的安全
1)把web服务器放在防火墙的DMZ区,因为web服务器允许外部访问,同时也需要允许校园网内部访问。
受保护的级别较低,需要对外开放某些服务和应用。
同时又和校园内网隔离开来,防止web服务器被入侵,造成整个校园内网暴露在非法入侵者面前。
2)web服务器口令安全解决方案
要求密码长度不小于12位,且必须是“大写字母+小写字母+特殊字符+数字”的组合,密码要求每30天必须更改一次,且不能和上次密码相同。
在web服务器上关闭不必要的服务和端口(如telnet、3389端口),强烈建议web服务器和其它服务器分开(如ftp服务器)
3)做好web服务器的安全备份
进行必要的网站备份,如条件允许可采用镜像服务器,即使一台web服务器受到攻击或者硬件损坏,备份web服务器可以立刻接替当前web服务器对公众提供服务,从而保证了web服务器可以连续对公众提供服务。
做好备份工作同时可以保证硬盘损坏,或者网站被非法入侵者篡改等造成web服务器上的内容无法恢复。
所以除了采用镜像服务器备份保证服务器可以连续对公众提供服务外,还应加强物理隔离备份,即将web服务器的内容定期(根据学校实际情况可以一周备份一次或者一个月备份一次)备份到硬盘上,而且使硬盘不在网络上(如备份硬盘备份完后,从物理上与网络隔离开来),从而保证了备份内容不被篡改。
当校园网站网页内容被大规模篡改时,可以找出web服务器漏洞并弥补后用备份(非镜像备份)内容恢复,从而将损失降到最低。
备份时间应尽量选择凌晨访问用户较少时备份。
4)在web服务器上安装杀毒软件
在web服务器上安装杀毒软件,并保持每天自动更新病毒库、以及每天凌晨自动扫描web服务器是否被病毒入侵或者被挂马。
以防web服务器被入侵并被入侵者作为跳板发起攻击。
同时web服务器被病毒入侵而未及时检查出来后果是非常严重。
所以及时检测及查杀web服务器是否被病毒感染至关重要。
5)经常检查web服务器有关日志记录
在防火墙DMZ区安装入侵检测系统,可及时检查各个服务器是否被入侵,以及记录各个服务器的日志,放在日志服务器。
供安全审查,以及被入侵后的调查取证。
6)防止web服务器被DoS或者DDoS攻击
DoS攻击(DenialofService,简称DOS)即拒绝服务攻击,是指攻击者通过消耗受害网络的带宽,消耗受害主机的系统资源,发掘编程缺陷,提供虚假路由或DNS信息,使被攻击目标不能正常工作。
实施DoS攻击的工具易得易用,而且效果明显。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
单一的DoS攻击一般是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。
随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了
这两种攻击都是通过消耗大量的带宽资源或者服务器资源,而导致服务器无法处理正常的网络服务请求。
对dos攻击可采用发现之后在防火墙上立即禁止该ip主机对服务器的访问。
对ddos攻击目前还没有很好的解决办法,可通过增加带宽资源,web服务器配置,采用服务器集群等方式,让一般攻击者发动攻击时并不能见到明显的效果,知难而退。
可以购买一些专业的硬件防火墙可以防止上述两种攻击。
也可以在服务器上装防范DDOS攻击的工具软件:
如CCv2.0。
物理层线路安全解决方案
1)地震、水灾、火灾等引起物理链路损坏
重点应加强网络中心服务器机房的建设,网络中心服务器机房应达到一定等级的抗震标准,同时机房机架布局等也应考虑抗震因素。
为了防范水灾,应做好机房周围的排水工程,以及机房屋顶不应漏水等。
较好的做法是把机房建设在较高的地方或者楼层的高层。
为防止水灾,应在机房内安装自动火灾报警系统,能做到及时发现火灾,并及时灭火以便把损失降到最低。
机房内应常被灭火装置,同时机房的布线等也应经常检查,定期更换,以免线路老化造成短路引起火灾。
除了在机房内安装火灾报警系统,还应对机房的温度随时监控,当温度达到临界值时,及时向相关负责人员发出警报或者信息。
便于人工查明机房温度异常升高的原因,并及时排除隐患。
2)设备物理线路等安全解决方案
(1)物理线路安全
物理线路安全是整个校园网安全畅通的必要保证,应防止物理线路或者物理设备被盗。
因此学校应组织保安定期对校园网骨干线路的巡逻。
还应对骨干物理线路铺设冗余线路,以防一个节点出现故障整个网络瘫痪的情况发生。
在链路层可启用STP防止环路,启用MSTP实现负载均衡。
(2)硬件设备的安全
应保证核心硬件设备能够提供7*24小时无故障,安全服务。
为此可对核心硬件进行冗余备份。
对各种服务器,采用镜像服务器备份的方式提供冗余,确保在一个服务器硬件出现故障时,备份镜像服务器自动成为主服务器为公众提供服务。
此外,此网络方案中较为核心设备有核心三层交换机、防火墙、路由器等
防火墙的冗余备份
图2两校区之间VPN示意图
由于本校航空港和龙泉校区间相隔几十公里,通过铺设专线连接两个校区,不但铺设成本高昂而且维护成本也非常庞大。
所以本解决方案中的两个校区之间的链接是通过在两个校区之间的防火墙上搭建VPN,让两个校区间的师生在教学、办公、学习像访问内网一样对校内各种资源提供快捷的访问。
图3主动/主动冗余备份防火墙集的应用结构
由于两个校区之间的链接是采用在公网上通过两端的防火墙搭建vpn进行通信。
所以防火墙可靠持续工作在两个校区之间的连通性起着至关重要的作用。
我们可以采用NSRP集群技术来保证防火墙持续高效的为校园网提供服务。
该安全解决方案中采用双主动(A/A模式)
NSRP集群技术优势主要体现于:
1、消除防火墙及前后端设备单点故障,提供网络高可靠性。
即使在骨干网络中两类核心设备同时出现故障,也能够保证业务安全可靠运行。
2、根据客户网络环境和业务可靠性需要,提供灵活多样的可靠组网方式。
NSRP双机集群能够提供1、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式;2、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。
为用户提供灵活的组网选择。
3、NSRP双机结构便于网络维护管理,通过将流量在双机间的灵活切换,在防火墙软件升级、前后端网络结构优化改造及故障排查时,双机结构均能够保证业务的不间断运行。
4、结合Netscreen虚拟系统和虚拟路由器技术,部署一对NSRP集群防火墙,可以为企业更多的应用提供灵活可靠的安全防护,减少企业防火墙部署数量和维护成本。
双主动模式(A/A模式)的优点
在两台设备都没有出现故障时,可以提供负载均衡,增加带宽。
当其中一台设备出现问题时,另一台设备仍然可以正常提供服务,从而达到了冗余备份的目的。
三层交换机、路由器的冗余备份
出口路由器采用vrrp备份
VRRP(VirtualRouterRedundancyProtocol,虚拟路由冗余协议)设计采用主备
模式,以保证当主路由设备发生故障时,备份路由设备可以在不影响内外数据通信的前提下进行功能切换,且不需要再修改内部网络的参数。
VRRP组内多个路由设备都映射为一个虚拟的路由设备。
VRRP保证同时有且只有一个路由设备在代表虚拟路由设备进行包的发送,而主机则是把数据包发向该虚拟路由设备,这个转发数据包的路由设备被选择成为主路由设备。
如果这个主路由设备在某个时候由于某种原因而无法工作的话,则处于备份状态的路由设备将被选择来代替原来的主路由设备。
VRRP使得局域网内的主机看上去只使用了一个路由设备,并且即使在它当前所使用的首跳路由设备失败的情况下仍能够保持路由的连通性。
图4VRRP高级应用
如图4,设置了两个虚拟路由设备。
对于虚拟路由设备1,路由设备A使用以太网
口Fa0/0的IP地址192.168.12.1作为虚拟路由设备的IP地址,这样路由设备A
就成为主路由设备,而路由设备B成为备份路由设备。
对于虚拟路由设备2,路
由设备B使用以太网口Fa0/0的IP地址192.168.12.2作为虚拟路由设备的IP地
址,这样路由设备B就成为主路由设备,而路由设备A成为备份路由设备。
在局
域网内,主机1和主机2使用虚拟路由设备1的IP地址192.168.12.1作为默认网
关,主机3和主机4使用虚拟路由设备2的IP地址192.168.12.2作为默认网关。
在VRRP这个应用中,路由设备A和路由设备B实现了路由冗余,并同时分担了
来自局域网的流量即实现了负载平衡。
(3)供电安全方案
由于学校处在郊区,不排除可能临时停电,因此学校中心机房应该有蓄电池组,可保证在停电后的短时间供电,同时还应有发电机组设备。
有自动检测装置能检测到中心机房断电同时启动发电机组,以确保在停电后的长时间像中心机房供电,从而保证中心机房设备及服务器无间断运行。
在检测到外部供电恢复正常以后,应该能做到自动停止发电机组,同时想蓄电池组充电。
3)防止物理线路被非有意损毁
在网络规划初期就应该做出网络物理详细布线图,并保留备案。
并且应在布线初期就在线路相关位置留下标示,以防止后续施工无意损毁。
当校园施工或者改造时,涉及物理线路相关地段,学校应向施工单位提供该地段的详细布线图纸,防止施工时伤及干线。
3、链路层安全解决方案
1)防止局域网内部嗅探解决方案
利用IEEE802.1QTunneling(隧道)功能,服务商可以用一个VLAN(服务商VLAN)来支持拥有多个VLAN的用户。
用户自身的VLAN被保留起来,这样即使进入网络服务商的不同用户流的VLAN相同,也会在服务商的内部网络中被分开传输。
隧道通过双Tag来扩展VLAN的范围,一个支持IEEE802.1QTunneling(隧道)的端口称为隧道端口(TunnelPort)。
配置隧道的时候,可以给隧道端口赋一个VLAN作为隧道的专用VLAN。
这样,每个用户仅需要用一个服务商的VLAN,用户流在服务商网络中传输时被服务商VLAN包装成双Tag帧,以服务商VLAN在网络中传输。
图5802.1QTunneling
要进行局域网内部的二层嗅探扫描,必须是所有被扫描设备在同一个广播域。
可采用划分vlan的方法隔离广播域,传统802.1q划分vlan由于协议中VID为12位,所以支持4096个vlan。
但是如此庞大数量的vlan难于管理。
我们可以采用802.1Qtunneling(隧道)的解决方案,对于学生宿舍大楼所在交换机,为每个接入到学生宿舍的端口划分一个vlan,可按房间顺序排序,便于管理。
同时不同大楼的学生宿舍可以有相同的vlanid,这样每栋大楼按相同规律编号,管理方便。
如果局域网内有学生想通过二层扫描获取内网传输数据,那么他只能获取他自己所在vlan的信息(也就是他所在寝室),危害已大大减小。
不至于整个局域网都在他的掌控之中。
整个宿舍区又可以划分到一个vlan。
对于其它区域(如教学区,办公区),可采用同样的方式处理。
2)防ARP欺骗安全解决方案
第一种ARP欺骗的原理是——截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。
它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
在PC看来,就是上不了网了,“网络掉线了”。
对于这两种都可采用MAC绑定的方案解决。
仅在PC上绑定安全网关的IP和MAC地址或者做一个批处理文件来进行绑定,当病毒机器伪造IP/MAC,使错误的数据包充斥与网络中会造成大面积的掉线等情
升级会员 