中小学校园网信息安全及防范课件

中小学校园网信息安全及防范伊犁师范学院刘新茂1网络安全与应用第1章中小学校园网信息安全及防范伊犁师范学院一、国内外网络安全事件二、中小学校园网现状及建设方案三、网络安全的内容四、校园网安全防范技术目录2网络安全与应用第1章一、国内外网络安全事件目录2网络安全与应用第1章2013年，斯诺登向媒体提供机密文件致使包括“棱镜”项目在内美国政府多个秘密情报监视项目“曝光”。通过该项目，美政府直接从包括微软、谷歌、雅虎、Facebook、PalTalk、AOL、Skype、YouTube以及苹果在内的这9个公司服务器收集信息。进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节。一、国内外网络安全事件3网络安全与应用第1章2013年，斯诺登向媒体提供机密文件致使包括“棱镜”项目在内斯诺登向媒体透露，说美国政府连续几年都在攻击其他国家的网络，其中还监听许多国领导人电话、电子邮件等，包括联合国秘书长潘基文、德国总理默克尔，入侵中国的网络，窃取各种情报。一、国内外网络安全事件4网络安全与应用第1章斯诺登向媒体透露，说美国政府连续几年罪行：英国少年贾斯明·辛向体育用品网站发起

DoS攻击，并窃取信息。少年承认自己受雇于两家与受害网站竞争，企图彻底弄垮对手的在线销售网点。传播途径：贾斯明·辛利用计算机病毒控制上千台计算机，并组成傀儡网络，向线上销售体育用品的网站发动攻击。造成了两家受害网站约150万美元的损失。

判决结果：五年监禁

一、国内外网络安全事件5网络安全与应用第1章罪行：英国少年贾斯明·辛向体育用品网站发起DoS攻击，并窃罪行：某国小老师窜改教师介聘系统分发成绩传播途径：窜改两位老师的成绩，变更女友分数，却害他人从第1志愿分发到第10几个志愿。罪行：19岁知名高中毕业生，入侵大考中心、窃取悠游卡系统、百货公司、黑客组织等会员资料。传播途径：从2009年起陆续入侵国中基测与大学入学考试中心计算机系统，窃取逾一百万笔考生的姓名、相片与成绩等相关资料，再卖给补习班。其它还包括台北智能卡公司的悠游卡系统资料、新光三越百货公司会员卡资料，黑客网会员资料与其它电子邮件帐号密码。

一、国内外网络安全事件6网络安全与应用第1章罪行：某国小老师窜改教师介聘系统分发成绩一、国内外网络安全海康威视安全事件监控设备漏洞或引发敏感信息泄露2015年2月27日江苏省公安厅发布的特急通知称，主营安防产品的海康威视其生产的监控设备被曝严重的安全隐患，部分设备已被境外IP地址控制，要求各地立即进行全面清查，开展安全加固。随后调查显示，事件出于弱口令漏洞，只需通过修改初始密码或简单密码，或者升级设备固件即可解决。作为国内最大的监控设备生产商海康威视，虽然致力于设备功能的完善，但忽略了最基本的信息安全问题，可谓“千里之堤，毁于蚁穴”。一、国内外网络安全事件7网络安全与应用第1章海康威视安全事件监控设备漏洞或引发敏感信息泄露一、国内外网络超30省市曝管理漏洞：数千万社保用户信息或泄露2015年4月22日从补天漏洞响应平台获得的数据显示，围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。一、国内外网络安全事件8网络安全与应用第1章超30省市曝管理漏洞：数千万社保用户信息或泄露一、国内外网络优购网交易信息疑泄露超百人被骗上百万2015年5月18日有客户反馈，在购物网站优购时尚商城购物后，个人信息被泄露，银行钱款被盗，受骗网友建立的QQ群中，已有160多个群友，被骗金额总计上百万元。优购网官方回应称，信息泄露是黑客“撞库”所致，已向公安机关报案。一、国内外网络安全事件9网络安全与应用第1章优购网交易信息疑泄露超百人被骗上百万一、国内外网络安全事件9央视报道“危险的WiFi”

央视《消费主张》报道了人们日常使用的无线网络存在巨大的安全隐患。在节目中，央视和安全工程师在多个场景实际测验显示，火车站、咖啡馆等公共场所的一些免费WIFI热点有可能就是钓鱼陷阱，而家里的路由器也可能被恶意攻击者轻松攻破。一、国内外网络安全事件10网络安全与应用第1章央视报道“危险的WiFi”

央视《消费主张》报道了人们日二、中小学校园网现状及建设方案资金紧缺网络硬件设备配备不齐全缺乏计算机及网络相关专业技术人员校园网仅提供互联网服务，校内资源匮乏资金的一次性投入,校园网的使用效率低下11网络安全与应用第1章二、中小学校园网现状及建设方案资金紧缺网络硬件设备配备不齐网络拓扑中小学校园网设计方案核心层分布层接入层防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。12网络安全与应用第1章网络拓扑中小学校园网设计方案核心层12网络安全与应用第1章简化方案联电信服务器区办公区SecPathU200-AH3CS5120H3CWX3024H3CMSR30-40WA2620-AGN包括无线覆盖WA2620-AGNWA2620-AGN包括无线覆盖包括无线覆盖13网络安全与应用第1章简化方案联电信服务器区办公区SecPathU200-AH3a.防火墙b.路由器c.核心交换机d.分布层交换机e.访问层交换机二层分级模型核心层接入层网络设备选型三层分级模型14网络安全与应用第1章a.防火墙b.路由器c.核心交换机d.VLAN的优势VLAN划分与IP规划可以减小广播风暴，划分VLAN后，广播只在子网中进行增加网络的安全性，不同的VLAN不能随意通讯提高管理效率，实现虚拟的工作组，减少物理开支VLAN的子网访问，可以在三层交换机上实现，分流核心交换机的三层交换，优化组网15网络安全与应用第1章VLAN的优势VLAN划分与IP规划可以减小广播风暴，划分V校园网应为学校教学、科研提供先进的信息化教学环境。这就要求校园网是一个交互功能和专业性很强的局域网络。多媒体教学软件开发平台，多媒体演示教室，教师备课系统，电子阅览室以及教学，考试资料库等，都可以通过网络运行工作，包含的基本功能如下：学校网站建设课程管理（精品课程）实验室管理学生成绩与学籍管理图书资料管理德育教育管理档案管理（人事、固定资产）财务管理16资源建设网络安全与应用第1章校园网应为学校教学、科研提供先进的信息化教学环境。这就要求校三、网络安全的内容计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。17网络安全与应用第1章三、网络安全的内容计算机网络安全是指利用网络管理控制和技术措网络系统的脆弱性

数据的安全问题

传输线路的安全问题从安全的角度来说，没有绝对安全的通讯线路。数据库存在着许多不安全性。网络安全管理问题18网络安全与应用第1章网络系统的脆弱性数据的安全问题传输线路的安全问题从安全网络安全的基本要素衡量网络安全的指标主要有机密性—“进不来，看不懂”完整性—“改不了，拿不走”可用性—“能进来，能修改，能拿走”可控性—“监视、控制”不可否认性—“逃不脱，跑不掉”19网络安全与应用第1章网络安全的基本要素衡量网络安全的指标主要有19网络安全与应用网络运行和网络访问控制的安全，由以下四方面组成：局域网、子网安全网络中数据传输安全网络运行安全网络协议安全物理安全

环境安全.对系统所在环境的安全保护措施，如区域保护和灾难保护

设备安全设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护技术和措施等

媒体安全媒体数据的安全及媒体本身的安全技术和措施20网络安全与应用第1章网络运行和网络访问控制的安全，由以下四方面组成：物理安全局域网、子网安全内外网隔离技术：采用防火墙技术可以将内部网络的与外部网络进行隔离，对内部网络进行保护网络检测技术：网络安全检测（漏洞检测）是对网络的安全性进行评估分析，通过实践性的方法扫描分析网络系统，检查系统存在的弱点和漏洞，提出补求措施和安全策略的建议，达到增强网络安全性的目的21网络安全与应用第1章局域网、子网安全21网络安全与应用第1章网络中数据传输安全数据传输加密技术：对传输中的数据流进行加密，以防止通信线路上的窃听、泄漏、篡改和破坏。三个不同层次来实现，即链路加密、节点加密、端到端加密数据完整性鉴别技术防抵赖技术：包括对源和目的地双方的证明，常用方法是数字签名网络运行安全备份与恢复技术：采用备份技术可以尽可能快地全盘恢复运行计算机网络，所需的数据和系统信息应急文档22网络安全与应用第1章网络中数据传输安全22网络安全与应用第1章数据库系统安全数据库安全数据库管理系统安全应用安全的组成

.应用软件开发平台安全

各种编程语言平台安全程序本身的安全应用系统安全

应用软件系统安全23网络安全与应用第1章数据库系统安全23网络安全与应用第1章管理安全据权威机构统计表明：信息安全大约60%以上的问题是由管理方面原因造成的。网络系统的安全管理主要基于三个原则：多人负责原则任期有限原则职责分离原则“30%的技术，70%的管理”24网络安全与应用第1章管理安全据权威机构统计表明：信息安全大约60%以上的问题是由网络安全的威胁

非授权访问：

通过假冒、身份攻击、系统漏洞等手段，获取系统访问权25网络安全与应用第1章网络安全的威胁非授权访问：25网络安全与应用第1章网络安全的威胁

信息泄漏或丢失

信息在传输中泄漏丢失，在存储介质中泄漏丢失，被窃取26网络安全与应用第1章网络安全的威胁信息泄漏或丢失26网络安全与应用第1章网络安全的威胁

破坏数据完整性

以非法手段窃得对数据的使用权，删除、修改、插入某些重要信息27网络安全与应用第1章网络安全的威胁破坏数据完整性27网络安全与应用第1章网络安全的威胁

拒绝服务攻击

不断执行无关程序使系统响应减慢甚至瘫痪28网络安全与应用第1章网络安全的威胁拒绝服务攻击28网络安全与应用第1章网络安全的威胁

网络传播病毒通过网络传播计算机病毒（蠕虫病毒高居病毒榜首）29网络安全与应用第1章网络安全的威胁网络传播病毒29网络安全与应用第1章访问控制技术--网络权限控制四、校园网安全防范技术30网络安全与应用第1章访问控制技术--网络权限控制四、校园网安全防范技术30网络安访问控制技术--目录级安全控制四、校园网安全防范技术31网络安全与应用第1章访问控制技术--目录级安全控制四、校园网安全防范技术31网络访问控制技术-属性安全控制四、校园网安全防范技术32网络安全与应用第1章访问控制技术-属性安全控制四、校园网安全防范技术32网络安全1.打开注册表编辑器，修改第一处[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。2.修改第二处[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。3检查是否有开防火墙，如果有开需要吧新端口添加到允许，重启服务器。END访问控制技术-更改远程桌面连接端口33网络安全与应用第1章1.打开注册表编辑器，修改第一处[HKEY_LOCAL_MA路由器安全功能访问控制链表基于源地址/目标地址/协议端口号端口映射、如3389、80端口Flood管理日志其他抗攻击功能34网络安全与应用第1章路由器安全功能访问控制链表34网络安全与应用第1章防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用2－7层访问控制（集中在3-4层）解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限35网络安全与应用第1章防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用35入侵检测基本原理：利用sniffer方式获取网络数据，根据已知特征判断是否存在网络攻击优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。不足：准确性：误报率和漏报率有效性：难以及时阻断危险行为36网络安全与应用第1章入侵检测基本原理：利用sniffer方式获取网络数据，根据已网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播优点：能有效阻断已知网络病毒的传播不足：只能检查已经局部发作的病毒对网络有一定影响37网络安全与应用第1章网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数蠕虫病毒的特征

蠕虫病毒的特征1.利用操作系统和应用程序的漏洞主动进行攻击2.传播方式多样3.病毒制作技术与传统的病毒不同4.与黑客技术相结合38网络安全与应用第1章蠕虫病毒的特征蠕虫病毒的特征38网络安全与应用第1章蠕虫病毒与一般病毒的比较

普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制寄存在主程序运行主动攻击传染目标本地文件网络计算机

39网络安全与应用第1章蠕虫病毒与一般病毒的比较网络环境下计算机病毒的特点在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点：①感染速度快。

②扩散面广。

③传播的形式复杂多样。

④难于彻底清除。

⑤破坏性大。

40网络安全与应用第1章网络环境下计算机病毒的特点40网络安全与应用第1章网页攻击网页攻击指一些恶意网页利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。

41网络安全与应用第1章网页攻击41网络安全与应用第1章网页攻击防范防范网页攻击可使用设定安全级别、过滤指定网页、卸载或升级WSH、禁用远程注册表服务等方法。最好的方法还是安装防火墙和杀毒软件，并启动实时监控功能。有些杀毒软件可以对网页浏览时注册表发生的改变提出警告。

42网络安全与应用第1章网页攻击防范42网络安全与应用第1章删除本机默认共享打开记事本编写如下代码

Netshareadmin$/deleteNetshareipc$/deleteNetsharec$/deleteNetshared$/deleteNetsharee$/delete编写完成以后此文本可任意命名，但文件扩展名一定改为.bat，并将此文件添加到开始—启动中下次开机默认共享自动被删除43网络安全与应用第1章删除本机默认共享打开记事本编写如下代码43网络安全与应用第1网络扫描器通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点：有利于及早发现问题，并从根本上解决安全隐患不足：只能针对已知安全问题进行扫描准确性vs指导性44网络安全与应用第1章网络扫描器通过模拟网络攻击检查目标主机是否存在已知安全漏洞4关闭不用的服务

在安装windows操作系统时，大家往往使用的是默认安装，然而有很多服务在默认情况下是打开，我们应该关闭一些从来不用的服务。我们打开控制面板—管理工具—服务也可以在我的电脑—右键—管理—服务和应用程序—服务45网络安全与应用第1章关闭不用的服务在安装windows操作系

一般情况下我们可关闭telnet服务SNMPServiceComputerBrowserDHCPClient46网络安全与应用第1章一般情况下我46网络安全与应用第1章网络安全防护建议(1)经常关注安全信息发布Microsoft、Sun、hp、ibm等公司的安全公告安全焦点绿盟网站47网络安全与应用第1章网络安全防护建议(1)经常关注安全信息发布47网络安全与应用网络安全防护建议(2)经常性检查重要服务器、网络设备是否存在安全漏洞微软安全基线检测工具NmapX-scan流光ISS-SCANNER等其他商业安全工具Windows平台利用Msconfig检查启动项目48网络安全与应用第1章网络安全防护建议(2)经常性检查重要服务器、网络设备是否存在网络安全防护建议(3)根据安全公告、扫描结果及时打补丁或升级软件利用签名工具对系统重要文件进行签名，经常检查有无变化，防止木马植入关闭服务器或网络设备上不必要的功能或服务制定切实可行的安全策略，形成制度并强制执行49网络安全与应用第1章网络安全防护建议(3)根据安全公告、扫描结果及时打补丁或升级安全威胁实例用户使用一台计算机D访问位于网络中心服务器S上的webmail邮件服务，存在的安全威胁：U在输入用户名和口令时被录像机器D上有keylogger程序，记录了用户名和口令机器D上存放用户名和密码的内存对其他进程可读，其他进程读取了信息，或这段内存没有被清0就分配给了别的进程，其他进程读取了信息用户名和密码被自动保存了用户名和密码在网络上传输时被监听（共享介质、或arp伪造）机器D上被设置了代理，经过代理被监听50网络安全与应用第1章安全威胁实例用户使用一台计算机D访问位于网络中心服务器S上的安全威胁实例（续）查看邮件时被录像机器D附近的无线电接收装置接收到显示器发射的信号并且重现出来屏幕记录程序保存了屏幕信息浏览邮件时的临时文件被其他用户打开浏览器cache了网页信息临时文件仅仅被简单删除，但是硬盘上还有信息由于DNS攻击，连接到错误的站点，泄漏了用户名和密码由于网络感染了病毒，主干网瘫痪，无法访问服务器服务器被DOS攻击，无法提供服务51网络安全与应用第1章安全威胁实例（续）查看邮件时被录像51网络安全与应用第1章中小学校园网信息安全及防范伊犁师范学院刘新茂52网络安全与应用第1章中小学校园网信息安全及防范伊犁师范学院一、国内外网络安全事件二、中小学校园网现状及建设方案三、网络安全的内容四、校园网安全防范技术目录53网络安全与应用第1章一、国内外网络安全事件目录2网络安全与应用第1章2013年，斯诺登向媒体提供机密文件致使包括“棱镜”项目在内美国政府多个秘密情报监视项目“曝光”。通过该项目，美政府直接从包括微软、谷歌、雅虎、Facebook、PalTalk、AOL、Skype、YouTube以及苹果在内的这9个公司服务器收集信息。进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节。一、国内外网络安全事件54网络安全与应用第1章2013年，斯诺登向媒体提供机密文件致使包括“棱镜”项目在内斯诺登向媒体透露，说美国政府连续几年都在攻击其他国家的网络，其中还监听许多国领导人电话、电子邮件等，包括联合国秘书长潘基文、德国总理默克尔，入侵中国的网络，窃取各种情报。一、国内外网络安全事件55网络安全与应用第1章斯诺登向媒体透露，说美国政府连续几年罪行：英国少年贾斯明·辛向体育用品网站发起

DoS攻击，并窃取信息。少年承认自己受雇于两家与受害网站竞争，企图彻底弄垮对手的在线销售网点。传播途径：贾斯明·辛利用计算机病毒控制上千台计算机，并组成傀儡网络，向线上销售体育用品的网站发动攻击。造成了两家受害网站约150万美元的损失。

判决结果：五年监禁

一、国内外网络安全事件56网络安全与应用第1章罪行：英国少年贾斯明·辛向体育用品网站发起DoS攻击，并窃罪行：某国小老师窜改教师介聘系统分发成绩传播途径：窜改两位老师的成绩，变更女友分数，却害他人从第1志愿分发到第10几个志愿。罪行：19岁知名高中毕业生，入侵大考中心、窃取悠游卡系统、百货公司、黑客组织等会员资料。传播途径：从2009年起陆续入侵国中基测与大学入学考试中心计算机系统，窃取逾一百万笔考生的姓名、相片与成绩等相关资料，再卖给补习班。其它还包括台北智能卡公司的悠游卡系统资料、新光三越百货公司会员卡资料，黑客网会员资料与其它电子邮件帐号密码。

一、国内外网络安全事件57网络安全与应用第1章罪行：某国小老师窜改教师介聘系统分发成绩一、国内外网络安全海康威视安全事件监控设备漏洞或引发敏感信息泄露2015年2月27日江苏省公安厅发布的特急通知称，主营安防产品的海康威视其生产的监控设备被曝严重的安全隐患，部分设备已被境外IP地址控制，要求各地立即进行全面清查，开展安全加固。随后调查显示，事件出于弱口令漏洞，只需通过修改初始密码或简单密码，或者升级设备固件即可解决。作为国内最大的监控设备生产商海康威视，虽然致力于设备功能的完善，但忽略了最基本的信息安全问题，可谓“千里之堤，毁于蚁穴”。一、国内外网络安全事件58网络安全与应用第1章海康威视安全事件监控设备漏洞或引发敏感信息泄露一、国内外网络超30省市曝管理漏洞：数千万社保用户信息或泄露2015年4月22日从补天漏洞响应平台获得的数据显示，围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。一、国内外网络安全事件59网络安全与应用第1章超30省市曝管理漏洞：数千万社保用户信息或泄露一、国内外网络优购网交易信息疑泄露超百人被骗上百万2015年5月18日有客户反馈，在购物网站优购时尚商城购物后，个人信息被泄露，银行钱款被盗，受骗网友建立的QQ群中，已有160多个群友，被骗金额总计上百万元。优购网官方回应称，信息泄露是黑客“撞库”所致，已向公安机关报案。一、国内外网络安全事件60网络安全与应用第1章优购网交易信息疑泄露超百人被骗上百万一、国内外网络安全事件9央视报道“危险的WiFi”

央视《消费主张》报道了人们日常使用的无线网络存在巨大的安全隐患。在节目中，央视和安全工程师在多个场景实际测验显示，火车站、咖啡馆等公共场所的一些免费WIFI热点有可能就是钓鱼陷阱，而家里的路由器也可能被恶意攻击者轻松攻破。一、国内外网络安全事件61网络安全与应用第1章央视报道“危险的WiFi”

央视《消费主张》报道了人们日二、中小学校园网现状及建设方案资金紧缺网络硬件设备配备不齐全缺乏计算机及网络相关专业技术人员校园网仅提供互联网服务，校内资源匮乏资金的一次性投入,校园网的使用效率低下62网络安全与应用第1章二、中小学校园网现状及建设方案资金紧缺网络硬件设备配备不齐网络拓扑中小学校园网设计方案核心层分布层接入层防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。63网络安全与应用第1章网络拓扑中小学校园网设计方案核心层12网络安全与应用第1章简化方案联电信服务器区办公区SecPathU200-AH3CS5120H3CWX3024H3CMSR30-40WA2620-AGN包括无线覆盖WA2620-AGNWA2620-AGN包括无线覆盖包括无线覆盖64网络安全与应用第1章简化方案联电信服务器区办公区SecPathU200-AH3a.防火墙b.路由器c.核心交换机d.分布层交换机e.访问层交换机二层分级模型核心层接入层网络设备选型三层分级模型65网络安全与应用第1章a.防火墙b.路由器c.核心交换机d.VLAN的优势VLAN划分与IP规划可以减小广播风暴，划分VLAN后，广播只在子网中进行增加网络的安全性，不同的VLAN不能随意通讯提高管理效率，实现虚拟的工作组，减少物理开支VLAN的子网访问，可以在三层交换机上实现，分流核心交换机的三层交换，优化组网66网络安全与应用第1章VLAN的优势VLAN划分与IP规划可以减小广播风暴，划分V校园网应为学校教学、科研提供先进的信息化教学环境。这就要求校园网是一个交互功能和专业性很强的局域网络。多媒体教学软件开发平台，多媒体演示教室，教师备课系统，电子阅览室以及教学，考试资料库等，都可以通过网络运行工作，包含的基本功能如下：学校网站建设课程管理（精品课程）实验室管理学生成绩与学籍管理图书资料管理德育教育管理档案管理（人事、固定资产）财务管理67资源建设网络安全与应用第1章校园网应为学校教学、科研提供先进的信息化教学环境。这就要求校三、网络安全的内容计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。68网络安全与应用第1章三、网络安全的内容计算机网络安全是指利用网络管理控制和技术措网络系统的脆弱性

数据的安全问题

传输线路的安全问题从安全的角度来说，没有绝对安全的通讯线路。数据库存在着许多不安全性。网络安全管理问题69网络安全与应用第1章网络系统的脆弱性数据的安全问题传输线路的安全问题从安全网络安全的基本要素衡量网络安全的指标主要有机密性—“进不来，看不懂”完整性—“改不了，拿不走”可用性—“能进来，能修改，能拿走”可控性—“监视、控制”不可否认性—“逃不脱，跑不掉”70网络安全与应用第1章网络安全的基本要素衡量网络安全的指标主要有19网络安全与应用网络运行和网络访问控制的安全，由以下四方面组成：局域网、子网安全网络中数据传输安全网络运行安全网络协议安全物理安全

环境安全.对系统所在环境的安全保护措施，如区域保护和灾难保护

设备安全设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护技术和措施等

媒体安全媒体数据的安全及媒体本身的安全技术和措施71网络安全与应用第1章网络运行和网络访问控制的安全，由以下四方面组成：物理安全局域网、子网安全内外网隔离技术：采用防火墙技术可以将内部网络的与外部网络进行隔离，对内部网络进行保护网络检测技术：网络安全检测（漏洞检测）是对网络的安全性进行评估分析，通过实践性的方法扫描分析网络系统，检查系统存在的弱点和漏洞，提出补求措施和安全策略的建议，达到增强网络安全性的目的72网络安全与应用第1章局域网、子网安全21网络安全与应用第1章网络中数据传输安全数据传输加密技术：对传输中的数据流进行加密，以防止通信线路上的窃听、泄漏、篡改和破坏。三个不同层次来实现，即链路加密、节点加密、端到端加密数据完整性鉴别技术防抵赖技术：包括对源和目的地双方的证明，常用方法是数字签名网络运行安全备份与恢复技术：采用备份技术可以尽可能快地全盘恢复运行计算机网络，所需的数据和系统信息应急文档73网络安全与应用第1章网络中数据传输安全22网络安全与应用第1章数据库系统安全数据库安全数据库管理系统安全应用安全的组成

.应用软件开发平台安全

各种编程语言平台安全程序本身的安全应用系统安全

应用软件系统安全74网络安全与应用第1章数据库系统安全23网络安全与应用第1章管理安全据权威机构统计表明：信息安全大约60%以上的问题是由管理方面原因造成的。网络系统的安全管理主要基于三个原则：多人负责原则任期有限原则职责分离原则“30%的技术，70%的管理”75网络安全与应用第1章管理安全据权威机构统计表明：信息安全大约60%以上的问题是由网络安全的威胁

非授权访问：

通过假冒、身份攻击、系统漏洞等手段，获取系统访问权76网络安全与应用第1章网络安全的威胁非授权访问：25网络安全与应用第1章网络安全的威胁

信息泄漏或丢失

信息在传输中泄漏丢失，在存储介质中泄漏丢失，被窃取77网络安全与应用第1章网络安全的威胁信息泄漏或丢失26网络安全与应用第1章网络安全的威胁

破坏数据完整性

以非法手段窃得对数据的使用权，删除、修改、插入某些重要信息78网络安全与应用第1章网络安全的威胁破坏数据完整性27网络安全与应用第1章网络安全的威胁

拒绝服务攻击

不断执行无关程序使系统响应减慢甚至瘫痪79网络安全与应用第1章网络安全的威胁拒绝服务攻击28网络安全与应用第1章网络安全的威胁

网络传播病毒通过网络传播计算机病毒（蠕虫病毒高居病毒榜首）80网络安全与应用第1章网络安全的威胁网络传播病毒29网络安全与应用第1章访问控制技术--网络权限控制四、校园网安全防范技术81网络安全与应用第1章访问控制技术--网络权限控制四、校园网安全防范技术30网络安访问控制技术--目录级安全控制四、校园网安全防范技术82网络安全与应用第1章访问控制技术--目录级安全控制四、校园网安全防范技术31网络访问控制技术-属性安全控制四、校园网安全防范技术83网络安全与应用第1章访问控制技术-属性安全控制四、校园网安全防范技术32网络安全1.打开注册表编辑器，修改第一处[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。2.修改第二处[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。3检查是否有开防火墙，如果有开需要吧新端口添加到允许，重启服务器。END访问控制技术-更改远程桌面连接端口84网络安全与应用第1章1.打开注册表编辑器，修改第一处[HKEY_LOCAL_MA路由器安全功能访问控制链表基于源地址/目标地址/协议端口号端口映射、如3389、80端口Flood管理日志其他抗攻击功能85网络安全与应用第1章路由器安全功能访问控制链表34网络安全与应用第1章防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用2－7层访问控制（集中在3-4层）解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限86网络安全与应用第1章防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用35入侵检测基本原理：利用sniffer方式获取网络数据，根据已知特征判断是否存在网络攻击优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。不足：准确性：误报率和漏报率有效性：难以及时阻断危险行为87网络安全与应用第1章入侵检测基本原理：利用sniffer方式获取网络数据，根据已网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播优点：能有效阻断已知网络病毒的传播不足：只能检查已经局部发作的病毒对网络有一定影响88网络安全与应用第1章网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数蠕虫病毒的特征

蠕虫病毒的特征1.利用操作系统和应用程序的漏洞主动进行攻击2.传播方式多样3.病毒制作技术与传统的病毒不同4.与黑客技术相结合89网络安全与应用第1章蠕虫病毒的特征蠕虫病毒的特征38网络安全与应用第1章蠕虫病毒与一般病毒的比较

普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制寄存在主程序运行主动攻击传染目标本地文件网络计算机

90网络安全与应用第1章蠕虫病毒与一般病毒的比较网络环境下计算机病毒的特点在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点：①感染速度快。

②扩散面广。

③传播的形式复杂多样。

④难于彻底清除。

⑤破坏性大。

91网络安全与应用第1章网络环境下计算机病毒的特点40网络安全与应用第1章网页攻击网页攻击指一些恶意网页利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。

92网络安全与应用第1章网页攻击41网络安全与应用第1章网页攻击防范防范网页攻击可使用设定安全级别、过滤指定网页、卸载或升级WSH、禁用远程注册表服务等方法。最好的方法还是安装防火墙和杀毒软件，并启动实时监控功能。