（计算机软件与理论专业论文）校园网安全方案设计及实施.pdf

华中科技大学硕士学位论文 摘要 开放式一体化网络的安全问题涉及到很多方面，是一个集技术、管理、法规于 一体的复杂系统工程。目前，国内在这些方面的研究还不能跟上网络技术的发展。 安全法规、安全管理滞后，安全建设“重硬轻软”，人才短缺，安全意识淡薄。因此， 我国网络安全水平迫切需要提高，研究和分析网络系统的安全问题具有重要的现实 意义。武汉职业技术学院校园网要建立的是互联互通、信息共享的网络，要求有完 整的信息安全体系。 主要从技术方面就武汉职业技术学院校园网的网络安全方案进行研究和设计。 首先，给出了武汉职业技术学院校园网广域网的拓扑结构，给出了武汉职业技 术学院网络中心、东区、西区和南区的局域网拓扑结构。 然后，利用目前常采用的几种安全保护技术，根据设计信息安全系统要遵循的 一般原则和步骤，根据该校园网建设的总体规划，对其安全体系进行了研究和设计。 最后，具体分析了武汉职业技术学院校园网存在的安全问题，针对校园网在运 行中所遇到的实际问题，在信息系统安全理论的指导下，设计了总体网络安全体系 方案。在方案中，特别对防火墙、入侵检测、防病毒等多方面给出了具体的解决方 案。另外，在安全管理方面，给出了对校园网的管理意见。 关键词：校园网，网络安全，防火墙，入侵检测，防病毒 华中科技大学硕士学位论文 a b s t r a c t t h e s e c u r i t yo ft h eo p e n i n gn e t w o r k i sap r o b l e mc o n c e r n i n gm a n ya r e a sa n da l s oa c o m p l e xp r o j e c to fs y s t e me n g l n e e r i n gw h i c hi n v o l v e st e c h n i q u e s ，m a n a g e m e n ta n d l a w s d o m e s t i cs t u d i e sc a nn o t y e tk e e pu pw i t ht h er a p i dd e v e l o p m e n to fn e t w o r k t e c h n i q u e s ，l a go ft h el a wa n dm a n a g e m e n tc o n c e r n i n gn e t w o r ks e c u r i t y , o v e r - e m p h a s i z e d h a r d w a r et h a ns o f t w a r ei ns y s t e mc o n s t r u c t i o n ，l a c ko fq u a l i f i e dp e r s o n n e la n dl a c ko f a t t e n t i o no nn e t w o r ks e c u r i t y e s p e c i a l l yt h es e c u r i t y t e c h n i q u ea n dp r o d u c t sl a r g e l y d e p e n do ni m p o r t ，t h i s ，h o w e v e r , h a sb e e ns t r i c t l y l i m i t e db yd e v e l o p e dc o u n t r i e s s ot h e n e t w o r ks e c u r i t yt e c h n i q u e si no u rc o u n t r yr e q u i r ei m p r o v i n ga n dt h es t u d yi nt h i sa r e ai s o fg r e a ti m p o r t a n c e t h ec a m p u sn e t w o r ko fw u h a ni n s t i t u t eo ft e c h n o l o g yi sa i n f o r m a t i o n - s h a r e dn e t w o r k i tn e e d sp e r f e c ti n f o r m a t i o ns e c u r es y s t e m t h ep a p e ri sd e v o t e dt ot h es t u d ya n dd e s i g no ft h en e t w o r ks e c u r i t ys c h e m eo ft h e c a m p u sn e t w o r ko fw u h a ni n s t i t u t eo ft e c h n o l o g y f i r s t t h et o p o l o g ys t r u c t u r eo ft h ew i d ea r e an e t w o r ko ft h ec a m p u sn e t w o r ki s g i v e n t h et o p o l o g ys t m c t u r eo ft h el o c a la r e an e t w o r ko ft h en e t w o r kc e n t e r ，e a s ta r e a ， w e s ta r e aa n ds o u t ha r e ai sg i v e n s e c o n d ，s e v e r a ln e t w o r ks e c u r i t yt e c h n i q u e st ob eu s e da n da c c o r d i n gt ot h eg e n e r a l p r i n c i p l ea n ds o m eg e n e r a ls t e p si nd e s i g no fai n f o r m a t i o ns e c u r es y s t e m ，a c c o r d i n gt ot h e g e n e r a lp l a n n i n go ft h ec a m p u sn e t w o r k ，t h es e c u r es y s t e mi ss t u d i e da n dd e s i g n e d f i n a l l y , t h es e c u r i t yp r o b l e mo f t h ec a m p u sn e t w o r ko fw u h a ni n s t i t u t eo f t e c h n o l o g yi sa n a l y s e di nd e t a i l a c c o r d i n gt o t h er e a lp r o b l e mw h e nt h ec a m p u s n e t w o r ki sr u n n i n ga n db a s e do nu s i n gt h eg u i d a n c eo fs a f et h e o r yo fi n f o r m a t i o ns y s t e m ， ao v e r a l ls e c u r i t ys o l u t i o ni sp u tf o r w a r di nt h i st h e s i s e s p e c i a l l y , t h en e c e s s a r ys e c u r i t y a s s u r a n c em e a s u r e sa r ed e s i g n e di n d e t a i l ，i n c l u d i n gf i r e w a l l ，i n t r u s i o nd e t e c t i o n ， a n t i v i r u sa n ds oo n m e a n w h i l e ，s u g g e s t i o nf o re f f e c t i v es e c u r i t ym a n a g e m e n ti s p u t f o r w a r d k e yw o r d s ：c a m p u sn e t w o r k ，n e t w o r ks e c u r i t y , f i r e w a l l ，i n t r u s i o nd e t e c t i o n ，a n t i v i r u s 独创性声明 v 1 1 0 1 7 6 , ；7 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本人完全意识到，本声明的法律结果由本人承担。 学位论文作者签名：政1 暂李圭鸯 日期：2 妒占年f f 月f 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。 本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本论文属于 保密口，在- 年解密后适用本授权书。 不保密瓯 ( 请在以上方框内打“”) 学位论文作者签名：政木圭务 日期：2 “年jj 月f 日 指导教师签名雀闰竿 日期：如萨f f f 月f 日 华中科技大学硕士学位论文 1 1 课题背景 1 绪论 随着全球信息化的飞速发展，计算机网络安全问题l ：i 益突出。近几年来，校园 网得到了迅速普及，也不可避免地出现了黑客入侵、病毒泛滥和信息泄密等网络安 全问题，而且问题日趋严重。 在各国设法加强网络安全之际，大学却可能是网络安全最弱的一环。目前，越 来越多的学校建立了自己的校园网，但上网的同时，网络管理人员担心“黑客”的 攻击、病毒的侵害，一般用户担心电子邮件被窃取。据统计，以e d u 为入口攻击的 比率较高，说明教育科研机构常是网络危险分子的上网攻击目标。一方面，该类地 址众多，从网络中心到各学院、系、教研室、实验室机房都具备上网条件，用户群 庞大；另一方面，安全措施比较简单，广大网络用户的安全意识淡薄，安全措施薄 弱。因此，经常遭到攻击。中国教育科研网有一段时间曾受到“蠕虫”等病毒的破 坏，影响极大。我们都知道，必须保证校园网每天稳定可靠和高效地运行。校园网 如此高的要求，使其网络的安全问题变得越来越重要。现在国内外许多大学都非常 重视校园网安全方面的问题。为了加深对校园网安全问题的认识，解决有关安全问 题，研究更安全的技术措施，更好地保护校园网上的信息资源，本文分析了武汉职 业技术学院校园网的现状和存在的问题，并根据实际情况提出了武汉职业技术学院 校园网安全体系的设计与实现。 1 2 国内外校园网目前发展概况 校园网的发展是从高等学校开始的。在美国，麻省理工学院( m i t ) 是最早建 立校园网的学校之一，它建于8 0 年代初。目前，不仅美国的所有高等学校，而且几 乎所有的中小学校都建立了校园网，并联上了i n t e m e t 。这些校园网为学校师生提供 华中科技大学硕士学位论文 了大量的网络资源，并提供了教学、讨论和交流的平台。 我国的校园网建设起步较晚，清华大学在我国建立了最早的校园网，它建于 1 9 8 7 年。中国教育科研计算机网( c e r n e t ) 1 9 9 4 年正式启动，2 0 0 0 年二期工程完 成，它的目标是连接1 0 0 0 所大学，而且对有条件的中小学也提供接入上网服务。目 前，绝大部分高校都己建立校园网，并接入了教育和科研计算机网。 近年来，随着多媒体教学的推广，上网计算机性能的提高和网络应用软件的迅 速发展，早期建立的校园网带宽越来越不适应多媒体教学的要求，于是有些学校正 在规划第二期或建设新的校园网。 1 3 课题的主要研究工作 本文以校园网为背景，讨论了校园网安全方案的设计与实施。第一章介绍了国 内外校园网发展概况；第二章介绍网络安全技术；第三章对校园网网络安全问题进 行研究；第四章讨论了信息安全系统设计的原则和步骤：第五章重点讨论了武汉职 业技术学院校园网安全方案的设计与实施；第六章为结束语，对全文所做的工作进 行概括和总结。 2 华中科技大学硕士学位论文 2 1 数据加密技术 2 网络安全技术 加密就是把数掘和信息( 称为明文) 转换为不可辩识形式( 称为密文) 的过程， 使不了解该数据和信息的人不能知道和识别。要想知道密文的内容，必须将其转变 为明文，即为解密的过程“1 。加密和解密的过程组成加密系统。加密系统至少包括以 下4 个组成部分： 1 待加密的报文，也称明文。 2 加密后的报文，也称密文。 3 加密、解密装置或算法。 4 用于加密和解密的钥匙，它可以是数字、词汇或者语句。 2 1 。1 数据加密类型 根据密钥类型不同将现代密码技术分为两类：对称加密( 秘密密钥加密) 系统； 公开密钥加密( 非对称加密) 系统。 1 对称加密系统 对称加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得 这把钥匙，并保持钥匙的秘密。对称加密系统最大的问题是密钥的分发和管理非常 复杂、代价高昂。 对称加密系统最著名的是美国数据加密标准d e s 、a e s ( 高级加密标准) 和欧 洲数据加密标准i d e a 。 2 公开密钥加密系统 公开密钥加密系统采用的加密密钥( 公钥) 和解密密钥( 私钥) 是不同的。加 密密钥可对外公开，使任何用户都可将传递给此用户的信息用公开密钥加密发送， 而该用户唯一保存的私人密钥是保密的，也只有它能将密文复原、解密。 3 华中科技大学硕士学位论文 当前最著名、应用最广泛的公开密钥加密系统是r s a 系统，它的安全性是基于 大整数素因子分解的困难性。 2 1 2 数据加密的实现 一般的数据加密可以在通信的三个层次来实现：链路加密、节点加密和端到端 加密。 1 链路加密 对于链路加密，所有消息在被传输之前进行加密，在每一个节点对接收到的消 息进行解密，然后先使用下一个链路的密钥对消息进行加密，再进行传输。在到达 目的地之前，一条消息可能要经过许多通信链路的传输。 2 节点加密 节点加密不允许消息在网络节点以明文形式存在，它先把收到的消息进行解密， 然后采用另一个不同的密钥进行加密。 3 端到端加密 端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用 端到端加密，消息在被传输时到达终点之前不进行解密。 2 2 鉴别技术 2 2 1 认证中心与数字签名 公开密钥基础设施( p k i ，p u b l i ck e yi n f r a s t r u c t u r e ) ，是在公开密钥理论和技术 基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和 数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、 真实、完整和不可抵赖的目的。 在p k i 体系中，c a ( c e r t i f i c a t ea u t h o r i t y ，认证中心) 和数字证书是密不可分 的两个部分。认证中心负责产生、分配并管理数字证书的可信赖的第三方权威机构。 认证中心是p k i 安全体系的核心环节。认证中心通常采用多层次的分级结构，上级 4 华中科技大学硕士学位论文 认证中心负责签发和管理下级认证中心的证书，最下级的认证中心直接面向最终用 户。 数字证书，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者 以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份 1 】 o 数字签名必须具有下列特征： 1 它必须能验证签名者、签名日期和时间。 2 它必须能认证被签的消息内容。 3 签名应能由第三方仲裁，以解决争执。 根据这些特征，数字签名应满足下列条件： 1 签名必须是与消息相关的二进制位串。 2 签名必须使用发送方某些独有的信息，以防伪造和否认。 3 产生数字签名比较容易。 4 识别和验证签名比较容易。 5 伪造数字签名在计算机上是不可行的。 6 保存数字签名的拷贝是可行的。 2 2 2 身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。身份认证解决了用户 的物理身份和数字身份相对应的问题，给他们提供了权限管理的依据。身份认证保 证了物理身份和数字身份的统一，是整个信息安全体系最基础的环节。 目前，主要有三种认证机制： 1 基于公开密钥的认证机制。 2 基于d c e k e r b e r o s 的认证机制。 3 基于挑战应答的认证机制。 基于公开密钥的认证机制和基于d c e k e r b e r o s 的认证机制虽然是非常安全的用 户认证机制，但是它们实现起来比较复杂，要求通信的次数多，而且计算量较大。 华中科技大学硕士学位论文 基于挑战应答方式的身份认证机制就是每次认证时认证服务器端都给客户端 发送一个不同的“挑战”字串，客户端程序收到这个“挑战”字串后，做出相应的 “应答”。著名的r a d i u s 认证机制就是采用这种方式。它的设计思路是在客户和服务 器之间采用u d p 进行交互，使之轻型化；采用挑战应答方式进行认证，避免口令在 网络上传输，认证不定期地进行，而且每次认证的报文不同。使用者只需要安装客 户程序，申请成为合法用户，运行客户程序，使用自己的用户名n 令字进行认证， 就可以安全地使用网络了。 2 3 防火墙 所谓“防火墙”，是指一种将内部网和公众访问网( 如i n t e m e t ) 相对分开的方法， 它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制尺度， 它允许用户“同意”的人和数据进入自己的网络，同时将未经认可的访问者和数据 拒之门外，最大限度地阻止网络中的黑客入侵行为，防止自己的信息被更改、拷贝 和毁坏。防火墙原理见图2 1 。 叠黼摩胴舞盘熬麓培由赫 一一 赡辩警 2 3 1 防火墙的实现技术 图2 1 防火墙原理示意图 实现防火墙的技术包括4 大类：网络级防火墙( 也叫包过滤级防火墙) 、应用级 6 华中科技大学硕士学位论文 网关、电路级网关和规则检查防火墙。 1 网络级防火墙 网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个i p 包的端口 来作出通过与否的判断。包过滤防火墙检查每一条规则直至发现包中的信息与某规 则相符。通过定义基于t c p 或u d p 数据包的端口号，防火墙能够判断是否允许建立 特定的联接，如t e l n e t 、f r p 连接。 2 应用级网关 应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服 务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的 协议，能够做复杂一些的访问控制，并做精细的注册和审核。 常用的应用级防火墙已有了相应的代理服务器，例如h ，r r p 、f r p 、t e l n e t 等， 但是对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般 的代理服务。 3 电路级网关 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的t c p 握手信 息，这样来决定该会话( s e s s i o n ) 是否合法，电路级网关是在o s i 模型会话层上来过 滤数据包。 实际上电路级网关与其他的应用级网关结合在一起。另外，电路级网关还提供 一个重要的安全功能：代理服务器( p r o x y s e r v e r ) 。 4 规则检查防火墙 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤 防火墙一样，规则检查防火墙能够在o s i 网络层上通过m 地址和端口号，过滤进出 的数据包。它也像电路级网关一样，能够检查s y n 和a c k 标记和序列数字是否逻辑 有序。当然它也像应用级网关一样，可以在o s i 应用层上检查数据包的内容，查看 这些内容是否能符合公司网络的安全规则。 随着新技术的发展，混合使用包过滤技术、代理服务技术和其他一些新技术的 防火墙正在出现。包过滤系统向着更具柔性和多功能的方向发展，比如动态包过滤 7 华中科技大学硕士学位论文 系统。 2 3 2 防火墙的体系机构及其配置形式 在现有的防火墙应用体系结构中，主要有以下几种形式”。 1 双宿主机防火墙 双宿主机防火墙结构见图2 2 ，这种方式的防火墙使用一台具有代理服务器软 件的主机作为网关，用两个网络接口分别连接内部和外部网络( 如i n t e m e t ) ，并隔开 两个网络之间的直接i p 报文交换。双宿主机有两种访问控制方式，即代理服务和用 户直接登录。 防火墙 旧i 图2 2 双宿主机防火墙 2 主机过滤防火墙 这是一种包过滤路由器加应用层网关的双重安全保障，且具有灵活配置的防火 墙方式，主机过滤防火墙结构见图2 3 。主机过滤方式防火墙中提供安全保护的主机 ( 称为堡垒主机) 仅与内部网络相连，而包过滤路由器连通内部网和外部网。任何 来自外部网络的连接都限制在堡垒主机上，而且来自外部网络的所有通信先到达包 过滤路由器，过滤路由器根据其配置的规则对通信进行过滤。 一一。、 1 ”1 因特硝、! 过滤 路由器 堡垒主机 - 7 4 子网过滤防火墙 图2 3 主机过滤防火墙 华中科技大学硕士学位论文 在主机过滤结构中再增加一个隔离区，使内部网与外部网之间有两层隔断。用 隔离区来隔离堡垒主机与内部网，能减轻入侵者攻破堡垒主机后给内部网络的冲击 力。典型的子网过滤防火墙结构见图2 。4 ，堡垒主机位于隔离区，使用两台包过滤路 由器，一台位于隔离区与内部网之间，另一台位于隔离区与外部网之间。隔离区又 被称为非军事区d m z ( d e m i l i t a r i z e d ) 。在这种防火墙体系结构中，应用层网关、信 息服务器、邮件服务器可置于隔离区( 即内部包过滤路由器和外部包过滤路由器之 间) 。 外 部 嚣 耳 由 皇 器 堡垒主机 2 3 3 防火墙的局限性 图2 4 子网过滤防火墙 防火墙技术的致命弱点在于数据在防火墙之间的更新，这是一个在技术上难以 克服的难题，如果延迟太大将无法支持实时服务请求。额外的管理负担是另外一个 弱点。防火墙往往不足以保证安全，尤其无法防止防火墙内侧的入侵。因此在大多 数情况下，防火墙技术往往只作为辅助安全策略。 2 4 入侵检测系统 随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说，单纯的 防火墙技术暴露出明显的不足和弱点，入侵就我们面临的最大问题。 “入侵”( i n t r u s i o n ) 是个广义的概念主要是指对系统资源的非授权使用，可以 造成系统数据的丢失和破坏、系统拒绝服务等危害。入侵者不仅来自外部，同时也 指内部用户的未授权活动。外部的入侵包括：局域网外面的入侵者，或者可能攻击 9 华中科技大学硕士学位论文 你的外部存在( 乱改的w e b 服务器，通过e m a i l 服务器转来的垃圾邮件) 。外部的入 侵者可能来自i n t e r n e t ，拨号线等。内部的入侵包括：合法使用你的互连网络的侵入 者。包括滥用权力的人和模仿更改权力的人。据统计，8 0 s 的安全问题同内部人有 关。 入侵检测系统( i d s i n t m s i o nd e t e c t i o ns y s t e m ) 就是用来检测这些入侵的系 统，它可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护 手段，如记录证据、跟踪入侵、恢复或断开网络连接等。 2 4 1 入侵检测系统概述 入侵检测( i n t r u s i o nd e t e c t i o n ) 作为一种积极主动的安全防护技术，提供了对内 部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之l i i 拦截和响应入侵。 入侵检测系统能很好的弥补防火墙的不足，从某种意义上说是防火墙的补充。是继 “防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。入侵检测 系统通过分析、审计记录，识别系统中任何不应该发生的活动，并采取相应的措施 报告与制止入侵活动。 入侵检测系统的主要功能有：监测并分析用户和系统的活动；核查系统配置和 漏洞；评估系统关键资源和数据文件的完整性；识别入侵的活动模式并向网管人员 报警；统计分析异常行为；操作系统审计跟踪管理，识别违反安全策略的用户活动； 评估重要系统和数据文件的完整性“。 2 4 2 入侵检测系统的一般模式 入侵检测系统的发展刚刚起步不久、还没有很成熟的理论和技术。目前入侵检 测系统的基本模式是：网络数据包的被动协议分析器( p a s s i v ep r o t o c o la n a l y z e r ) 将监 视分析结果送给模式匹配( p a t t e r nm a t c h i n gs i g n a t u r ea n a l y s i s ) 部分，并根据需要保 存；根据协议分析器的结果匹配入侵特征，将结果传送给处理策略( c o u n t e r m e a s u r e ) 部分；处理策略部分将结果按规定进行分析，根据预定购策略做出反应动作，并将 华中科技大学硕士学位论文 相关数据传给信息存储部分( s t o r a g e ) ；存储部分则保存最后的分析结果。 入侵检测系统的一般模式见图2 5 。 图2 5 入侵检测系统的一般模式 2 4 3 入侵检测系统的分类 指夸 1 按实现技术上划分 ( 1 ) 模式发现技术，它是假定所有入侵行为和手段( 及其变种) 都能够表达 为一种模式或特征，所有已知的入侵方法都可以用匹配的方法发现。模式发现技术 的关键是如何表达入侵的模式。模式发现的优点是误报少，局限是只能发现己知的 攻击，对未知的攻击无能为力因此漏报较多。 ( 2 ) 异常发现技术，假定所有入侵行为都是与正常行为不同的。它的原理是， 假设可以建立系统正常行为的轨迹，所有与正常轨迹不同的系统状态则视为可疑企 图。异常阀值与特征的选择是其成败的关键。其局限在于，并非所有的入侵都表现 为异常，而且系统的轨迹难于计算和更新，简单说也就是漏报率低，误报率高。 目| ；i ，国际顶尖的入侵检测系统i d s 主要以模式发现技术为主，并结合异常发 现技术。 2 按输入数据来源划分 1 1 华中科技大学硕士学位论文 通常，入侵检测系统按其输入数据的来源分为2 种： ( 1 ) 基于主机的入侵检测系统 系统为主机系统，其检测的目标主要是主机系统和系统本地用户。检测原理是 在每个需要保护的主机( 即端系统) 上运行一个代理程序，根据主机的审计数据和 系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上，从 而实现系统监控，基本过程见图2 6 。 图2 6 基于主机的入侵检测系统 通常，基于主机的入侵检测系统可监测系统、事件和w i n d o wn t 下的安全记录 以及u n i x 环境下的系统记录。当有文件发生变化时，i d s 将新的记录条目与攻击 标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报 告，以采取措施。 基于主机的入侵检测系统的优点有：可以精确地判断入侵事件，并可对入侵事 件立即进行反应；还可针对不同操作系统的特点判断应用层的入侵事件。 基于主机的入侵检测系统的弱点有： 主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用 华中科技大学硕士学位论文 比审计本身更低级的操作束逃避审计。 不能通过分析主机审计记录来检测网络攻击( 域名欺骗、端口扫描等) 入侵检测系统的运行或多或少地影响服务器的性能。 基于主机入侵检测系统只能对服务器的特定用户、应用程序执行动作及日志 进行检测，所能检测到的攻击类型受限。但是当入侵者突破网络中的安全防线，已 经进入主机操作时，那么基于主机的入侵检测系统对于检测重要的服务器的安全状 态，仍然是十分有价值的。 ( 2 ) 基于网络的入侵检测系统 这种检测系统使用原始的网络分组数据包，作为进行攻击分析的数据源。通常 利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到 攻击，入侵检测系统相应模块通过通知、报警以及中断连接等方式束对攻击做出反 应。基本过程见图2 7 。 图2 7 基f 网络的入侵检测系统 基于网络的入侵检测系统的优点是：检测的范围是整个网段；实时检测和应答； 隐蔽性好；只需配置网络接口；操作系统独立。 基于网络的入侵检测系统主要不足在于：只能检测经过本网段的活动，而且精 确度较差，在交换式网络环境下难于配置，防入侵欺骗的能力较差；无法知道主机 内部的安全情况，；如果数据流进行了加密，就不能审查其内容，对主机上执行的命 华中科技大学硕士学位论文 令也就难以检测。因此，基于网络的入侵检测与基于主机的入侵检测在方法上是需 要互补的。 另外，入侵检测系统还有其他一些分类方法。如根据建模方法可分为基于异常 检测的系统、基于行为检测的系统、基于分布式免疫的系统。 2 4 4 入侵检测系统的模型 目前，通用入侵检测架构( c i d f ) 组织和i e t f 都试图对入侵检测系统进行标 准化。其中c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 是一套规范，它定 义了i d s 表达检测信息的标准语言以及i d s 组件之间的通信协议。符合c i d f 规范 的i d s 可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统一 的配置响应和恢复策略。它阐述了一个入侵检测系统( i d s ) 的通用模型。它将一个 入侵检测系统分为以下组件：事件产生器，事件分析器，响应单元，事件数据库。 泰传产生器豢件分析嚣 攀佟数据库晌瘦单元 图2 8c i d f 模型结构图 c i d f 模型结构见图2 8 。e 盒通过传感器收集事件数据，并将信息传送给a 盒， a 盒检测误用模式；d 盒存储来自a 、e 盒的数据，并为额外的分析提供信息；r 盒从 a 、e 盒中提取数据，d 盒启动适当的响应。 2 4 5 入侵检测系统的发展趋势 从总体上讲，目前除了完善常规的、传统的技术( 模式识别和完整性检测) 外， 1 4 华中科技大学硕士学位论文 入侵检测系统应重点加强与统计分析相关技术的研究。许多学者在研究新的检测方 法，如采用自动代理的主动防御方法，将免疫学原理应用到入侵检测的方法等。其 主要发展方向可以概括为： 1 分布式入侵检测 分布式入侵检测是针对分布式网络攻击的检测方法和使用分布式的方法来检测 分布式的攻击，其中的关键技术为检测信息的协同处理与入侵的全局信息的提取。 2 智能的入侵检测 即使用智能化的方法与手段来进行入侵检测。所谓智能化方法，现阶段常用的 有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的 识别与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。 3 应用层入侵检测 许多入侵的语义只有在应用层才能理解，而目i ； 的i d s 仅能检测如w e b 之类 的通用协议，而不能处理如l o t u sn o t e s 、数据库系统等其他的应用系统。 4 全面的安全防御方案 将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、 病毒防护、入侵检测多方位全面对所关注的网络做全面的评估，然后提出可行的全 面解决方案，提供完整的网络安全保障。 2 5 防病毒技术 由于在网络环境下，网络病毒具有更大的破坏力，且恢复非常麻烦或几乎不能 恢复。因此，采用高效的防病毒方法和技术显得尤为重要。目前，网络大都采用 “c l i e n t s e r v e r ”的工作模式，需要从服务器和工作站两个方面解决防范病毒的问 题。 对于网络系统，建立先进的全方位防毒方案是系统安全的重要保证。一个健全、 高效的网络防病毒体系应具备以下因素：多层次、全方位的防病毒保护工作环境； 先进的防病毒技术；简易快速的网络防病毒软件安装和维护；集中和方便地进行病 华中科技大学硕士学位论文 毒特征码和扫描引擎的更新；病毒防护自动化服务机制；客户端防病毒策略的强制 定义和执行。 随着网络技术的发展，网络防病毒技术了将日新月异，将由单一的预防、检测、 清除病毒的功能向集三种功能于一体的集成化方向发展：网络操作系统和应用程序 集成防病毒方法将是保护网络安全的必由之路：开放式网络防病毒技术将成为技术 主流。建立全网病毒防治安全体系，在终端设备中安装防病毒软件是根本之策。 2 6 小结 本章主要介绍了防火墙、入侵检测系统等几种常见的网络安全技术。但随着网 络系统的广泛建立，没有一种网络安全技术是万能的。只有根据多重保护的原则， 综合使用上面所述的多种安全措施，建立多层次的安全防御框架，才能保证系统的 安全性。 1 6 华中科技大学硕士学位论文 3 校园网网络安全性分析 3 1 校园网的拓扑结构 3 1 1 广域网的拓扑结构 根据武汉职业技术学院网络需求和未来的发展，在本设计方案中，要在武汉职 业技术学院东区分别建立汇接中心和信息发布中心，并在汇接中心实现校园网与 i n t e m e t 的互通，为校内提供访问i n t e m e t 的通路，也为校内外及全世界提供各类校 内外信息。在武汉职业技术学院西区、南区共建立两个信息接入和采集节点，为信 息发毒中心提供原始信息数据，同时也可以共享东区的信息和资源。 汇接中心功能描述如下： 汇接中心是整个武汉职业技术学院校园网的中心部分。汇接中心配置有较高性 能的路由器和局域网交换机。武汉职业技术学院东区、西区和南区的局域网就是通 过1 0 0 m 光纤连到汇接中心的局域网交换机上。 汇接中心还担负着武汉职业技术学院校园网与i n t e m e t 互连的重要任务。东区、 西区和南区的局域网通过汇接中心的路由器访阔i n t e m e t 。 网络中心功能描述如下： 对校内外的信息资源以专业化的信息制作和开发技术进行加工，将加工后的信 息以网页的形式表现出来，送至发布中心的数据库服务器中。 整个网络的管理模块设在网络中心，提供对各节点的网络管理。 汇接中心、网络中心、东区、西区和南区各节点的广域网连接示意见图3 1 。 3 1 2 局域网的拓扑结构 武汉职业技术学院校园网按地理位置设计成几种不同类型和规模的局域网，分 别为网络中心、武汉职业技术学院东区、西区和南区。 华中科技大学硕士学位论文 图3 1 汇接中心、网络中心、东区、两区和南区各节点的，“域网连接示意图 1 武汉职业技术学院网络中心的拓扑结构 本节点主要提供信息访问服务和信息存储的功能。 整个局域网包括五个主要模块，划分成七个网段： ( 1 ) v l a n l 为信息发布网段，在该网段配置了w w w 服务器和数据库服务器。 配置一台微机服务器用于对网络访问情况进行检测和分析。由于w w w 服务器对校 外提供信息查询服务，因此被访问的信息量很大。为了减少外界访问w w w 服务器 对校园网速度的影响i 将w g r w 服务器放到防火墙p i x 外，供外界访问，校园网访 问w w w 服务器时在p i x 上进行保留地址和合法地址的转换。 ( 萄v l a n 2 为网络数据库备份网段，对重要的信息进行备份。 ( 3 ) v l a n 3 为开发维护网段，用来进行日常的维护及修复工作。 ( 4 ) v l a n 4 是i n t e m e t 服务网段，该网段配置一台邮件服务和一台文件传输服务 器，提供全校的e m a i l 服务和f t p 服务，此外，还设有t e l n e t 和域名服务器。 ( 5 ) v l a n 5 分配给武汉职业技术学院东区使用。 ( 6 ) v l a n 6 分配给武汉职业技术学院西区使用。 1 8 华中科技大学硕士学位论文 ( 7 ) v l a n 7 分配给武汉职业技术学院南区使用。 整个局域网采用1 台局域网交换机作为数据交换和设备连接的中心，通过路由 器与i n t e m e t 相连。 武汉职业技术学院网络中心的局域网拓扑图见图3 2 。 图3 2 武汉职业技术学院网络中心局域网连接示意图 2 武汉职业技术学院东区的拓扑结构 武汉职业技术学院东区是武汉职业技术学院校部所在地。整个学院的行政管理 中心即座落在此。此外，还有计算中心、图书馆和部分系办公楼。 整个局域网通过局域网交换机连接起来。校部办公楼、图书馆、系办公楼各自 建立本地的局域网，分别配置局域网交换机，本地局域网交换机可以选用1 0 m 1 0 0 m 交换式局域网交换机，配置1 0 m 1 0 0 m 自适应以太网接口，采用i u 4 5 标准。 武汉职业技术学院东区各大楼与网络中心距离在5 0 米到1 5 0 0 米之间。本设计 方案中采用光纤实现各大楼与网络中心和汇接中心的连接。各大楼的本地局域网交 华中科技大学硕士学位论文 换机通过光纤与网络中心的局域网交换机互连，再通过网络中心的局域网交换机与 汇接中心互连。 武汉职业技术学院东区的局域网拓扑图见图3 3 。 图3 3 武汉联业技术学院东区局域网连接示意图 3 武汉职业技术学院西区的拓扑结构 武汉职业技术学院西区与东区网络中心相距约1 0 0 0 米，架设一根多芯多模光纤。 武汉职业技术学院西区的局域网结构与东区类似，配置1 0 m 1 0 0 m 的局域网交换机， 各类服务器配置1 0 0 m 网络适配器，以1 0 0 m 速率传输数据；部分工作站配置1 0 0 m 网卡，以满足其高速率要求；其他普通工作站配置1 0 m 网卡，直接连到局域网交换 机，或集中连接到h u b 上再连局域网交换机。武汉职业技术学院西区的局域网交换 机通过光纤，上连到武汉职业技术学院东区网络中心的局域网交换机上，整个武汉 职业技术学院西区分配在v l a n 6 。 武汉职业技术学院西区的局域网拓扑图见图3 4 。 华中科技大学硕士学位论文 簟 薯 图3 4 武汉职业技术学院两区局域网连接示意图 4 武汉职业技术学院南区的拓扑结构 武汉职业技术学院南区与东区网络中心相距约2 0 0 0 米，架设一根多芯多模光纤。 武汉职业技术学院南区的局域网结构与西区类似，配置l o m 1 0 0 m 的局域网交 换机，各类服务器配置l o o m 网络适配器，以1 0 0 m 速率传输数据；部分工作站配置 l o o m 网卡，以满足其高速率要求：其他普通工作站配置i o m 网卡，直接连到局域 华中科技大学硕士学位论文 网交换机，或集中连接到h u b 上再连局域网交换机。武汉职业技术学院西区的局域 网交换机通过光纤，上连到武汉职业技术学院东区网络中心的局域网交换机上，整 个武汉职业技术学院西区分配在v l a n 7 。 武汉职业技术学院南区的局域网拓扑图见图3 4 。 3 2 网络安全 随着计算机技术飞速发展和网络系统的迅速普及，我们在工作生活上对网络系 统的依赖也越来越大。但由于国际互联网所具有跨国界性、无主管性、开放性等特 点，使其带来巨大的安全风险。随之而来的网络安全问题也变得日益突出。 一般认为，目前网络存在的威胁主要表现在： 1 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访 问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩 大权限，越权访问信息。它主要有以下几种形式：假冒身份攻击、非法用户进入网 络系统进行违法操作、合法用户以未授权方式进行操作等。 2 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包 括，信息在传输中丢失或泄漏( 如攻击者利用电磁泄漏或搭线窃听等方式可截获机 密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息， 如用户口令、帐号等重要信息。) ，信息在存储介质中丢失或泄漏，通过建立隐蔽隧 道等窃取敏感信息等。 3 破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重 发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户 的正常使用。 4 拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程， 执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被 排斥而不能进入计算机网络系统或不能得到相应的服务。由于入侵检测系统中的网 络引擎、主机代理和存储系统都对网络通信非常敏感，所以最容易受到攻击。 华中科技大学硕士学位论文 5 破坏系统可用性。 6 抵赖。可能出现的抵赖行为有：发送信息后，发送方否认曾经发送过该信息； 接收信息后，接收方否认接收过该信息。 7 计算机病毒、蠕虫、木马等。 2 0 0 3 年5 月至2 0 0 4 年5 月，在7 0 7 2 家被调查单位中有4 0 5 7 家单位发生过信 息网络安全事件，占被调查总数的5 8 。其中，发生过1 次的占总数的2 2 ，2 次的 占1 3 ，3 次以上的占2 3 。从发生安全事件的类型分析，遭受计算机病毒、蠕虫和 木马程序破坏的情况最为突出，占安全事件总数的7 9 ，其次是垃圾邮件，占3 6 ， 拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出，共占到总数的4 3 。 调查结果表明，造成网络安全事件发生的主要原因是安全管理制度不落实和安 全防范意识薄弱。其中，由于未修补或防范软件漏洞导致发生安全事件的占安全事 件总数的6 6 ，登录密码过于简单或未修改密码导致发生安全事件的占1 9 。 3 3 校园网的安全需求 校园网的安全策略是根掘各自学校网络的具体的要求来制定的。校园网的服务 类型有以下几种： 1 公共服务。校园网对整个i n t e r n e t 用户提供的服务。包括w _ | v l v 服务、f t p 服务、e - m a i l 服务、拨号服务等等。对校内外用户完全开放，但是要根据帐号拥有 不同的权限。 2 对内公共服务。对学校用户提供的校内公共服务，例如，