2538《信息安全技术》杨文轩.docx

1、2538信息安全技术杨文轩信 息 安 全 技 术 姓名：杨文轩学号：20132538班级：13信管1班目录摘要 1 一.概述 1二.当前校园网络的现状 1三.计算机信息网络面临的威胁 2四.当前的校园网络的问题 7五.保障校园网安全的关键技术 7六.计算机网络安全的对策 10七.结语 13八. 对校园信息安全的建议14摘要：随着信息技术的不断发展，网络安全已成为一个不可忽视的问题。而校园网络的安全是一个普遍存在较为复杂的系统工程，需要引起每个使用校园网的人足够的重视并全方位地加以防范。本文针对目前校园网面临的现状进行了分析。列举出了影响校园网安全的主要因素，并提出了解决方案。一概述计算机网络安

2、全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露。计算机网络安全包括两个方面, 即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护, 免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。建立一个基于管理措施和多种技术的高校校园网络安全体系, 确保校园信息化各类基础设施不受来自网内和网外用户非法访问和破坏, 管理内部用户对外部资源的合法访问, 全面做好校园信息化的安全保卫工作。保证校园内外信息资料顺畅的交流, 面对校园网络中的种种安全威胁，必须采取及时有效的措施来解决。二当前校园网络

3、的现状当前校园网络普遍面临着网络规模大，设备多。从网络结构上看，可分为核心、汇聚和接入3个层次，包含很多的路由器，交换机等网络设备和服务器、微机等主机设备等问题。目前我校的硬件设备如下：服务器出口包括入侵防御系统 （HUAWEI），WEB应用防火墙（M310），30网科防火墙，iwall（WAF 1000）。服务器进口包括外网防火墙（SG-6000两台），内网防火墙（SG-6000两台）。核心交换机 Juniper MX960 两台，CISCO 6509,汇聚交换机 Juniper EX4550两台。智能DNS Unite DNS-3600两台。还拥有750台接入交换机。校园网单位众多，有很多

4、基于局域网的应用，如URP选课系统，OA系统，学工系统，毕业审核系统等，本科生导师学分制系统。这些应用之间互相隔离。 三.计算机信息网络面临的威胁对计算机信息构成不安全的因素很多， 其中包括人为的因素、自然的因素和偶发的因素。其中，人为因素是指，一些不法之徒利用计算机网络存在的漏洞，或者潜入计算机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素，垃圾邮件和间谍软件也都在侵犯着我们的计算机网络。 3.1 计算机网络的脆弱性 互联网是对全世界都开放的网络，任何单位或个人都可以在网上方便地传输和获取各种信息，互联网这种

5、具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。 (1)网络的开放性，网络的技术是全开放的，使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击，或是来自对网络通信协议的攻击，以及对计算机软件、硬件的漏洞实施攻击。 (2)网络的国际性，意味着对网络的攻击不仅是来自于本地网络的用户，还可以是互联网上其他国家的黑客，所以，网络的安全面临着国际化的挑战。 (3)网络的自由性，大多数的网络对用户的使用没有技术上的约束，用户可以自由地上网，发布和获取各类信息。 3.2 操作系统存在的安全问题 操作系统是作为一个支撑软件，使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供

6、了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。 (1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理，每个管理都涉及到一些模块或程序，如果在这些程序里面存在问题，比如内存管理的问题，外部网络的一个连接过来，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。 (2)操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。网络很重要的一个功能就是

7、文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像这些远程调用、文件传输，如果生产厂家或个人在上面安装间谍程序，那么用户的整个传输过程、使用过程都会被别人监视到，所有的这些传输文件、加载的程序、安装的程序、执行文件，都可能给操作系统带来安全的隐患。所以，建议尽量少使用一些来历不明，或者无法证明它的安全性的软件。 (3)操作系统不安全的一个原因在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建的权利，这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打

8、”在一个合法用户上，特别是“打”在一个特权用户上，黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。 (4)操作系统有些守护进程，它是系统的一些进程，总是在等待某些事件的出现。所谓守护进程，比如说用户有没按键盘或鼠标，或者别的一些处理。一些监控病毒的监控软件也是守护进程，这些进程可能是好的，比如防病毒程序，一有病毒出现就会被扑捉到。但是有些进程是一些病毒，一碰到特定的情况，比如碰到5月1日，它就会把用户的硬盘格式化，这些进程就是很危险的守护进程，平时它可能不起作用，可是在某些条件发生，比如5月1日，它才发生作用，如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。(5)操

9、作系统会提供一些远程调用功能，所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序，可以提交程序给远程的服务器执行，如telnet。远程调用要经过很多的环节，中间的通讯环节可能会出现被人监控等安全的问题。 (6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。此外，操作系统的无口令的入口，也是信息安全的一大隐患。 (7)尽管操作系统的漏洞可以通过版本的不断升级来克服， 但是系

10、统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间，一个小小的漏洞就足以使你的整个网络瘫痪掉。 3.3 数据库存储的内容存在的安全问题 数据库管理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。 3.4 防火墙的脆弱性

11、防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合，使Internet 与Intranet 之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。但防火墙只能提供网络的安全性，不能保证网络的绝对安全，它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁，但是却不能防止从LAN 内部的攻击，若是内部的人和外部的人联合起来，即使防火墙再强，也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展，还有一些破解的方法也使得防火墙造

12、成一定隐患。这就是防火墙的局限性。 3.5 其他方面的因素 计算机系统硬件和通讯设施极易遭受到自然环境的影响，如：各种自然灾害对计算机网络构成威胁。还有一些偶发性因素，如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等，也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。四. 当前的校园网络的问题目前学校校园网网络面临这网络波动大，网络连接不稳定，不同时间的网速差异较大，例如，清晨网速明显比下午和晚上用网 高峰时段的网速快很多；现在还存在间歇性的断网，在下午时间段内，存在的尤为明显，有时候一下午可能会断上两三次。

13、目前在晚上用网时间断网过早，在我们需要用网的时候用着用着就没了。目前校园网帐号也存在着安全问题，仅仅凭借着帐号和密码就可以登录上网，无论是谁拥有谁的帐号密码就可以连上校园网，并不知道使用者究竟是不是本人。目前学校的各个系统都是独立运行，并没有统一帐号密码，需要多个身份认证系统，造成了资源的浪费，学生本身需要记忆多个密码，也给学生带来了不便，同时增加了系统维持与保护的成本，增加了出现信息安全事故的可能。五.保障校园网安全的关键技术5.1防火墙技术防火墙是网络安全的屏障。一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。在防火墙设置上我们应按照以下配置来提高网络安全性：

14、 根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。在局域网的入口架设千兆防火墙，并实现VPN的功能，在校园网络入口处建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。定期查看防火墙访问日志，及时发现攻

15、击行为和不良上网记录。允许通过配置网卡对防火墙设置，提高防火墙管理安全性。 5.2入侵检测系统入侵检测系统是帮助网络管理者及时、准确地发现网络的各种入侵行为与网络异常现象，并能进行告警、跟踪、定位的实时检测系统；也是通过对网络面临威胁的监控与分析，展示网络总体的安全态势的安全管理工具。入侵检测系统可以弥补防火墙相对静态防御的不足，是防火墙的合理补充。防火墙属于被动的静态安全防御技术，对于网络中日新月异的攻击手段缺乏主动的反应，而入侵检测属于动态的安全技术，能帮助系统主动应对来自网络的各种攻击，扩展了系统管理员的安全管理能力，包括安全审计、监视、攻击识别和响应，提高了校园网信息系统的安全性。入侵

16、检测系统扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警，提高了信息安全基础结构的完整性。5.3漏洞扫描系统采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。要求每台主机系统必须正确配置，为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口，例如：如果主机不提供诸如FTP、HTTP等公共服务，尽量关闭它们。 5.4网络版杀毒软件 为了在整个局域网内杜绝病毒的感染、传播和发作，应该在整个网络内采取相应的防病毒手段。同时为了有效、快

17、捷地实施和管理整个网络的防病毒体系，这种防病毒手段应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。 部署网络版杀毒软件就可以较好的解决这个问题。例如：在学校网络中心配置一台高效的服务器，安装一个网络版杀毒软件系统中心，负责管理校园网内所有主机网点的计算机，在各主机节点分别安装网络版杀毒软件的客户端。安装完后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机查杀毒。网络中心负责整个校园网的升级工作。由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件，然后自动将最新的升级文件分发到其它各个主机网点的客

18、户端与服务器端，并自动对网络版杀毒软件进行更新。 采取这种升级方式，一方面确保校园网内的杀毒软件的更新保持同步，使整个校园网都具有最强的防病毒能力；另一方面，由于整个网络的升级、更新都是由程序来自动、智能完成，就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。六. 计算机网络安全的对策 6.1 技术层面对策 对于技术方面，计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来，技术层面可以采取以下对策： (1)建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质

19、和职业道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据，这是一种简单有效的方法。 (2)网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 (3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略：只备份数据库、备份数据库和事务日志、增量备份。 (4)应用密码技术

20、。应用密码技术是信息安全核心技术，密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一，密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。 (5)切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理，不使用来历不明的U 盘和程序，不随意下载网络可疑信息。 (6)提高网络反病毒技术能力。通过安装病毒防火墙，进行实时过滤。对网络服务器中的文件进行频繁扫描和监测，在工作站上采用防病毒卡，加强网络目录和文件访问权限的设置。在网络中，限制只能由服务器才允许执行的文件。 (7)研发并完善高安全的操作系统。研发具有高安全的操作系统，

21、不给病毒得以滋生的温床才能更安全。 6.2 管理层面对策 计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。 计算机网络的安全管理，包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰，是十分重要的措施。 这就要对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密

22、法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及网络系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。 6.3 物理安全层面对策 要保证计算机网络系统的安全、可靠，必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施，主要包括以下内

23、容： (1)计算机系统的环境条件。计算机系统的安全环境条件，包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面，都要有具体的要求和严格的标准。 (2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。 (3)机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全，首先，应考虑物理访

24、问控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须限定其活动范围；第三，要在计算机系统中心设备外设多层安全防护圈，以防止非法暴力入侵；第四设备所在的建筑物应具有抵御各种自然灾害的设施。七.结语学校除了在硬件、软件上的升级外，管理意识也需进行升级。建立安全预警系统，同时通过定期的安全培训、安全讲座等，使管理员及校园网用户提高安全意识水平构建全面的信息安全防护平台注重“三分技术七分管理”，现代教育技术中心主要的服务对象是广大师生，而学生最为活跃的网络群体，因此在现代教育技术中心中，安全管理作用应该更为突出。 要实现校园网络信息系统的安全，要重视技术措施与手段和管理制度建设与完善。

25、信息网络安全是一项系统性很强的工作，“三分技术七分管理”是信息网络安全业界人士的共识。只有把安全管理和网络安全技术同步运用于信息网络安全建设中，才可以构筑完善的信息网络安全保障体系。所谓安全的网络是相对的，随着校园网络拓扑的改变和黑客攻击手段的变化，原来安全的网络也会变得不安全，网络安全建设是一个长期投入的过程，是一个不断完善各种规章制度和加强管理的过程。因此，根据校园现在的实际需要和安全级别，来规划校园网络安全措施和方法，采取循序渐进的态度是可取的。所以前期可以考虑采取防火墙、防病毒、漏洞扫描和入侵检测四种方法，来提高校园网络的安全水平，其他方法随着以后发展灵活采用，也就是说：总体规划、分布

26、实施。 校园安全水平的提高，首先是在校相关人员安全防护意识的提高，因此，加强管理老师和同学的网络安全的知识水平和提供必要的培训是尤为重要的，在这方面的投入是值得的。 安全工作是一项任重而道远的工作。校园网系统整体安全的实现，并不是通过安装一些产品就可以简单实现，事实上再好的安全产品，如果没有良好的安全策略和管理手段做基础，安全同样是难以实现的。八.对校园信息安全的建议 稳固校园网的环境，减少网络波动，减少网络传输速度不稳定的问题，适当延长网络的使用时间，增加校园网套餐的种类，目前限定的两种套餐可能会不够使用，统一学校内各个系统，希望可以将各个系统整合到一起，减少管理成本，多个身份认证系统造成了不必要的资源浪费，但是需要更好的服务器支持，需要更好的维护网络信息安全，增加学校选课系统服务器的数量与质量。