校园网安全.ppt

1、安全培训之一 -网络安全基础主讲：李敬鹏主讲：李敬鹏10/27/2022大大 纲纲n网络安全背景分析网络安全背景分析n安全基本理论安全基本理论n教育系统拓扑教育系统拓扑n安防体系安防体系10/27/2022校园网特点 现在地域地域：高校合并、新校区扩建应用应用：网上游戏、网上视频、BT/emule、学术研究 QoS：不同应用需要不同的时延、带宽安全安全：病毒频繁爆发、工具软件、学生特点由IPv4向IPv6进行逐步过渡10/27/2022现在需要现在需要现在需要现在需要过去过去过去过去从无到有从无到有从无到有从无到有从无到有从无到有校园办公网校园办公网校园办公网校园办公网宿舍网宿舍网宿舍网宿舍网

2、互联网出口互联网出口互联网出口互联网出口网络业务网络业务网络业务网络业务业务驱动业务驱动业务驱动业务驱动可运营可运营可运营可运营可用可用可用可用可管理可管理可管理可管理安全安全安全安全易维护易维护易维护易维护准确灵活计费准确灵活计费准确灵活计费准确灵活计费有效的业务支撑有效的业务支撑有效的业务支撑有效的业务支撑校园网建设的转变10/27/2022学校网络结构和系统应用n教学局域网：可由计算机中心、多校园网教学局域网：可由计算机中心、多校园网一般由两部分构成。一部分是内部网（称一般由两部分构成。一部分是内部网（称校园网内部网），包含教学局域网、图书校园网内部网），包含教学局域网、图书馆局域网、办

3、公自动化局域网等几个物理馆局域网、办公自动化局域网等几个物理隔离网络；另一部分是外部网（称校园网隔离网络；另一部分是外部网（称校园网外部网），包括一些公开服务器，并负责外部网），包括一些公开服务器，并负责与中国教育和科研网和与中国教育和科研网和INTERNET的连接的连接以及远程移动办公用户等的接入等以及远程移动办公用户等的接入等 10/27/2022n媒体教室、语音教室、各系班计算机房等构成，媒体教室、语音教室、各系班计算机房等构成，保证正常教学和学生上机。使教学人员能够利用保证正常教学和学生上机。使教学人员能够利用计算机备课，制作多媒体课件并开展教学。计算机备课，制作多媒体课件并开展教学。

4、图书馆局域网：一般由服务器和客户机构成，以图书馆局域网：一般由服务器和客户机构成，以实现图书馆自动化管理。保证图书馆内部业务计实现图书馆自动化管理。保证图书馆内部业务计算机网络化管理和在校园网上实现书刊目录及部算机网络化管理和在校园网上实现书刊目录及部分文献参考全文检索及浏览等应用。分文献参考全文检索及浏览等应用。10/27/2022n办公自动化局域网：包括办公自动化和教办公自动化局域网：包括办公自动化和教学管理服务器，客户机。通过办公自动化学管理服务器，客户机。通过办公自动化软件，开展公文管理、会议管理、档案管软件，开展公文管理、会议管理、档案管理和个人办公管理的办公自动化的应用。理和个人办

5、公管理的办公自动化的应用。实现包括教学管理、科研管理、学员管理、实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管资产管理、人事管理、党务管理、财务管理、后勤管理等应用，形成院校的管理信理、后勤管理等应用，形成院校的管理信息系统。息系统。10/27/2022各类应用服务器n域名服务器（域名服务器（DNS）：完成主机名（域名）与）：完成主机名（域名）与P地址相地址相互解析等任务。互解析等任务。代理服务器（代理服务器（Proxy）：其跨越外部网和内部网，为校）：其跨越外部网和内部网，为校园网内用户提供代理服务，并使用缓存（园网内用户提供代理服务，并使用缓存（CACHE）技）

6、技术，减少信息的重复调用，降低出口流量，提高访问术，减少信息的重复调用，降低出口流量，提高访问速度，也节约了通信资费。速度，也节约了通信资费。WWW服务器（服务器（Web Sever）：提供超文本信息查询和）：提供超文本信息查询和浏览器服务器模式应用服务。浏览器服务器模式应用服务。文件传输服务器（文件传输服务器（FTP Sever）：提供远程文件透明传）：提供远程文件透明传输服务。输服务。电子邮件服务器（电子邮件服务器（Mai1 Sever）：提供电子邮件收、）：提供电子邮件收、发服务。发服务。10/27/2022n外部网一般通过外部网交换机，连接因特网服务外部网一般通过外部网交换机，连接因特

7、网服务器构成一个独立网段。边界路由器通过器构成一个独立网段。边界路由器通过DDN专线专线与中国教育和科研网（或其它网络）连接，实现与中国教育和科研网（或其它网络）连接，实现与因特网互联。与因特网互联。远程访问服务器连入公用电话网（远程访问服务器连入公用电话网（PSNTGSM），使院外授权用户（含院内职工在宿舍或），使院外授权用户（含院内职工在宿舍或出差）用拔号方式访问校园网。出差）用拔号方式访问校园网。10/27/2022安全产品分布图安全产品分布图结论：防火墙、IDS、防病毒是首选的安全产品使用计费系统 过滤王10/27/2022网络安全教育10/27/2022学校安全问题学校安全问题n1.

8、网络安全方面的投入严重不足，没有系统网络安全方面的投入严重不足，没有系统的网络安全设施配备。大多数高校网络建的网络安全设施配备。大多数高校网络建设经费严重不足，有限的经费也主要投在设经费严重不足，有限的经费也主要投在网络设备上，对于网络安全建设一直没有网络设备上，对于网络安全建设一直没有比较系统的投入。校园网还基本处在一个比较系统的投入。校园网还基本处在一个开放的状态，没有任何有效的安全预警手开放的状态，没有任何有效的安全预警手段和防范措施。段和防范措施。10/27/20222.学校的上网场所管理较混乱学校的上网场所管理较混乱.各校园网内有一批直接接入校园网的机房平时提供给学生和各校园网内有一

9、批直接接入校园网的机房平时提供给学生和教职员工上网、学习。但是，由于缺乏统一的管理软件和监教职员工上网、学习。但是，由于缺乏统一的管理软件和监控、日志系统，这些机房的管理基本处在各自为政的状态。控、日志系统，这些机房的管理基本处在各自为政的状态。绝大多数的机房的登记管理制度存在严重漏洞，上网用户的绝大多数的机房的登记管理制度存在严重漏洞，上网用户的身份无法唯一识别；另外，由于机房的计算机为了管理上的身份无法唯一识别；另外，由于机房的计算机为了管理上的方便，基本上都投入了大批资金安装了还原卡，计算机关机方便，基本上都投入了大批资金安装了还原卡，计算机关机后启动即恢复到初始状态，但这在安全管理上就

10、形成了很大后启动即恢复到初始状态，但这在安全管理上就形成了很大的漏洞，无法按照安全部门要求保留至少三个月以上的上机的漏洞，无法按照安全部门要求保留至少三个月以上的上机和上网日志；更有甚者，个别机房甚至私自接入了互联网，和上网日志；更有甚者，个别机房甚至私自接入了互联网，绕开了学校的统一管理和国家相关部门的监管，存在极大的绕开了学校的统一管理和国家相关部门的监管，存在极大的安全隐患。安全隐患。10/27/20223.电子邮件系统极不完善，无任何安全电子邮件系统极不完善，无任何安全管理和监控的手段管理和监控的手段n近些时候，通过电子邮件系统散发反动，色情近些时候，通过电子邮件系统散发反动，色情言论

11、和材料以及散步谣言等情况愈发严重。言论和材料以及散步谣言等情况愈发严重。n但大多数校园网邮件系统依然采用互联网上下但大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，由于是免费的软件，载的免费版本的邮件系统，由于是免费的软件，既不能提供自身完善的安全防护，更没有提供既不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手任何针对用户来往信件过滤、监控和管理的手段，完全不符合公安部门提出的安全邮件系统段，完全不符合公安部门提出的安全邮件系统的要求，出现问题无法及时有效的解决的要求，出现问题无法及时有效的解决10/27/20224.网络病毒泛滥网络病毒泛滥n网络

12、在提供给大家的方便的同时，也变成了病毒网络在提供给大家的方便的同时，也变成了病毒传递的最快捷的途径。随着网络飞速发展、网络传递的最快捷的途径。随着网络飞速发展、网络病毒的编制者水平的提高以及近几年网络病毒和病毒的编制者水平的提高以及近几年网络病毒和黑客软件的结合，网络病毒的爆发直接导致用户黑客软件的结合，网络病毒的爆发直接导致用户的隐私和重要数据外泄。同时还极大的消耗了网的隐私和重要数据外泄。同时还极大的消耗了网络资源；造成网络性能急剧下降；从络资源；造成网络性能急剧下降；从“红色代码红色代码”、“尼姆达尼姆达”到到“爱之门爱之门”等网络病毒的爆发等网络病毒的爆发中可以看出，网络病毒的防范任务

13、越来越严峻。中可以看出，网络病毒的防范任务越来越严峻。而病毒防范的措施也不能仅仅靠原来单机的方式，而病毒防范的措施也不能仅仅靠原来单机的方式，必须是一种集中管理，统一升级，统一监控的针必须是一种集中管理，统一升级，统一监控的针对网络的防病毒体系。对网络的防病毒体系。10/27/20225.网络安全意识淡薄，没有指定完善网络安全意识淡薄，没有指定完善的网络安全管理制度的网络安全管理制度n校园网络上的攻击、侵入他人机器，盗用他人帐校园网络上的攻击、侵入他人机器，盗用他人帐号非法使用网络、非法获取未授权的文件、通过号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、

14、邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜，以福建省省网中心之一的屡见不鲜，以福建省省网中心之一的大学网络大学网络中心做过的统计，该校主要的几个应用服务器平中心做过的统计，该校主要的几个应用服务器平均一个星期会经受到数千次甚至上万次的非常访均一个星期会经受到数千次甚至上万次的非常访问尝试，而其中一大部分的非法访问源自校内，问尝试，而其中一大部分的非法访问源自校内，说明校园网络上的用户安全意识淡薄；另外，没说明校园网络上的用户安全意识淡薄；另外，没有制定完善而严格的网络安全制度，各校园网在有制定完善而严格的网络安全制度，各校园网在安全管理上也没有任何标准，这也是网络安全问安全管理上也没

15、有任何标准，这也是网络安全问题泛滥的一个重要原因。题泛滥的一个重要原因。10/27/2022解决网络安全问题涉及的方面解决网络安全问题涉及的方面n法制建设问题：约束黑客行为等法制建设问题：约束黑客行为等n组织建设问题：建立快速响应体系组织建设问题：建立快速响应体系n标准资质认证：产品、服务标准标准资质认证：产品、服务标准n系统评估问题：安全隐患与信息价值系统评估问题：安全隐患与信息价值n平台建设问题：平台建设问题：CERTCERT、反入侵、反病毒等安全中心、反入侵、反病毒等安全中心n科科 研研 支支 撑：专项基金、支持科研及自有力量的科研投入撑：专项基金、支持科研及自有力量的科研投入n人力资源

16、建设：建立专家队伍、开展培训工作人力资源建设：建立专家队伍、开展培训工作10/27/2022网络安全的定义网络安全的定义n网络安全的五要素包括：网络安全的五要素包括：机密性：确保信息不暴露给未授权的实体或进程。机密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能修改数据，并且能够判别出完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。数据是否已被篡改。可用性：得到授权的实体在需要时可访问数据，即攻击者不可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。能占用所有的资源而阻碍授权者的工作。即服务不中断。即服务不中断。可控性：可以控制授权范围内的信息流向及行为方式。可控性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。可审查性：对出现的网络安全问题提供调查的依据和手段。10/27/2022网络安全的分层防护体系10/27/2022我们的方案思路网络系统现状网络系统现状安全风险评估安全风险评估安全需求与目标安全需求与目标安全体系安全体系安全解决方案安全解决方案网络安全的