校园网络安全及其对策.docx

1、校园网络安全及其对策网络安全的规范第一章 网络安全概述1 反病毒技术2 入侵检测 3 审计监控技术4网络安全四原则 (1)需求、风险、代价平衡的原则 (2) 综合性、整体性原则 (3) 可用性原则 (4) 分步实施原则 第二章 影响网络安全的主要因素 (1)信息泄密。 (2)信息被篡改。 (3)传输非法信息流。 (4)网络资源的错误使用 (5)非法使用网络资源。 (6)环境影响。 (7)软件漏洞。 (8)人为安全因素。第三章 校园网络安全的规范 第一、物理安全。 第二、进行访问控制管理。 第三、打补丁。 第四、安装防病毒软件。 第五、应用程序。 第六、代理服务器。 第七、防火墙 第八、DMZ。

2、 第九、应用入侵检测技术-IDS。 第十、分析时间日志与记录。第四章 校园网网络安全总结 1 基本防护体系(包过滤防火墙+NAT+计费) 2 标准防护体系(包过滤防火墙+NAT+计费+代理+VPN) 3强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+ 监控) 摘要 随着计算机应用范围的扩大和互联网技术的迅速发展，计算机信息技术已经渗透到人们生活的方方面面，网上购物、商业贸易、金融财务等经济行为都已经实现网络运行，“数字化经济” 然而，越来越开放的信息系统也带来了众多安全隐患，黑客和反黑客、破坏和反破坏的斗争愈演愈烈。在网络安全越来越受到人们重视和关注的今天，网络安全技术作为一个

3、独特的领域越来越受到人们的关注。加强计算机网络安全保护的相关问题研究已经成为当务之急。 所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、数据篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。关键字:计算机网络 网络安全 黑客 病毒 恶意软件第一章 网络安全概述 系统安全包括主机和服务器的运行安全，主要措施有反病毒。入侵检测、审计分析等技术。1 反病毒技术: 计算机病毒是引起计算机故障、破坏计算机数据的程

4、序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控，效果不错。2 入侵检测 : 入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件

5、，主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。从目前来看系统漏洞的存在成为网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够，以至于过了几年，还能扫描到机器存在许多漏洞。在校园网

6、中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。 3 审计监控技术: 审

7、计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏性行为。 因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。4 网络安全

8、四原则(1) 需求、风险、代价平衡的原则 对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 (2) 综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数

9、据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。(3) 可用性原则 安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。(4) 分步实施原则: 分级管理，分步实施。由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的

10、费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。第二章 影响网络安全的主要因素 计算机网络安全的威胁主要来自外部网络和内部网络两个方面,根据国内相关学者的研究总结,影响因素主要包括以下几点:网络协议存在漏洞(主要指通信协议和通信软件系统不完善,给各种不安全因素的入侵留下了隐患);操作系统本身存在安全漏洞;网络的开放性和广域性设计使得数据的保密难度较大;无线系统中的电磁泄露(无线通信系统中的数据以电磁波的形式在空中进行传播,存在电磁波泄露,且易被截获);计算机病毒入侵(大量涌现的病毒在网上传播极快,给全球范围的网络安全带来了巨大灾难);网络黑客的恶意攻击;网上犯罪

11、人员对网络的非法使用及破坏;信息安全防范技术和管理制度的不健全;自然灾害以及意外事故的损害等。破坏的方法主要有:利用TCP/IP直接破坏;利用操作系统间接登陆入侵;对用户计算机中的系统内置文件进行有目的的更改;利用路径可选实施欺骗;使用窃听装置或监视工具对所传播的信息进行非法检测和监听等,以上是保障计算机网络安全所时常面临的威胁性因素,及进行威胁的一般损害方法。对这些威胁性因素和方法的了解有助于我们做好相关网络安全保障,以便于我们更好地利用网络服务于我们的生产、生活与工作。 具体体现在:(1)信息泄密。 主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者

12、。 (2)信息被篡改。 这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。(3)传输非法信息流。 只允许用户同其它用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止檔传送。(4)网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。(5)非法使用网络资源。 非法用户登录进入系统使用网络资源,造成资源的消耗,损(6)环境影响。 自然环境和社会环境对计算机网络都会产生极大的不良影 响。如恶劣的天气、灾害、事故会对网络造成损害和影响。

13、 (7)软件漏洞。 软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受计算机病毒攻击,就会带来灾难性的后果。 (8)人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。第三章校园网络安全的规范 校园网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改

14、、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。其中最重要的是指网络安全。 现在有很多人认为在网络中只要使用了一层安全就够了,事实并不是这样,一层根本挡不住病毒和黑客的侵袭。接下来我将逐点介绍。 一、物理安全。 校园机房除了要保证要有计算机锁之外,更多的要注意防火,要将电线和网络放在比较隐蔽的地方。我们还要准备UPS,以确保校园网络能够以持续的电压运行,在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候可以烧坏电器,迫使网络瘫痪,峰值电压最小的时候,网络根本不能运行。使用UPS可以排除这些意外。另外要做好防老鼠咬坏网线。第二、进行访问控制管理。 校园机房的访问控制，访问控制是

15、计算机网络保护的一种常见手段和方法,所谓访问控制是指授予不同的主体不同的访问权限。不同主体依据自身获得的相关权限进行相关数据或信息的处理,从而实现数据和相关信息资源的安全。口令是进行访问控制最简单最常见的一种形式。只要很好地对相关口令进行保护,非授权用户就难以越权使用相关信息资源。校园机房电脑口令的设置一般应避免使用简单易猜的数字,而应应用英文字母、标点符号、汉语拼音、空格等及其组合,以增加口令的复杂性并借此提高口令的安全性,在进行不同的系统登陆时应设置和使用不同的登陆口令,且应对相关口令进行定期更改,以保证机房口令的安全性。第三、打补丁。为了校园网络安全，要及时的对系统补丁进行更新,大多数病毒和黑客都是通过系统漏洞进来的,例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以要及时对系统和应用程序打上最新的补丁,例如IE、OUTLOOK、SQL、OFFICE等应用程序。另外要把校园网络那些不需要的服务关闭,例如TELNET,还有关闭Gusel账号等。 第四、安装防病毒软件。 病毒扫描就是对机器中的所有檔和邮件内容以及带有.exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一隔离文件夹里面。要对全