校园网安全设计与实现

i北京工业职业技术学院毕业设计 北京工业职业技术学院校园网安全设计与实现指导教师：史银龙2和工作，给人类带来高效和快捷，校园网的建成，使学校实现了管理网络化和教学手段现代化，这对于提高学校的管理水平和教学质量具有十分重修改或瘫痪的事情仍有发生，这对于建立一个安全，稳定高效的校园系统时，网络安全成为一个非常重要的环节。随着网络技术的迅猛发展，校园网迅速发展和普及，在学校日常工作学习和管理中发挥了至关重要的作用。但随着网络的普及，其安全问题也日益突出。如何让校园网正常高效的运行，充分发挥其教学、管理和服务等功能，已成为不可忽视的一个问等多方面提出了改进和解决的方案，希望能对校园网的安全管理有所帮3北京工业职业技术学院毕业设计摘要 2 2.互联网现状和安全分析3.校园网安全现状与安全分析455.校园网安全防御的措施论参考文献6其应用的深入，校园网络的安全问题也逐渐突出，直接影响着学校的教学、管理、科研活动。因此，在全面了解校园网的安全现状基础上，合理构建安全体系结构，改善网络应用环校园网安全事件逐年增多，危害程度有增无减。结合这种情况，撰写一篇关于校园网安全方面的论文，提高人们对校园网的重视度并且通过设计的实现达到网络安全性的增强。。第二章详细的说明了互联网的安全状况和四个其本身的不利性质，联网的资料，详细的说明当前校园网安全的方方面面。第四章整体对于如此多网络安全的各种对策的设计第五章根据上一章部分对策，实体化的推出各种安全系统增加网络的安全性。7北京工业职业技术学院毕业设计 军事等各行各业，象电话、交通、水、电一样，成为社会重要的基础设施。如果计算机网络的安全可靠运行受到威胁，将会影响人们的工作、学习和生活。然而不幸的是，近年来大规模的网络安全事件接连发生，互联网上蠕虫、拒绝服务攻击、网络欺诈等新的攻击手段层出不穷，导致的泄密、数据破坏、业务无法正常进行等事件屡屡发生，甚至导致世界性的互联等各领域的组织都对网络安全投入了大量的人力物力；但是目前我们面临的威胁让人不容乐观。互联网安全问题为什么这么严重？这些安全问题是怎么产生的呢？综合技术和管理等可以通过各种媒体接入进来，如果不加限制，世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束，可以迅速通过互联网影响到世界的每一个角落。8的计算机系统在实现阶段也留下了大量安全漏洞。一般认为，软件中的错误数量和软件的规模成正比，由于网络和相关软件越来越复杂，其中所包含的安全漏洞也越来越多。特别是由于市场竞争，一些厂商为了占领市场会把没有经过严格的质量测试的软件系统推向市场，留下了大量的安全隐患，如缓冲区溢出。在互联网和系统的维护阶段的安全漏洞也是安全攻击护管理工作量大等因素，这些安全机制并没有发挥有效作用。比如，系统的缺省安装和弱口互联网威胁的普遍性是安全问题的另一个方面，而且随着互联网的发展，对互联网攻击击者的知识水平要求却越来越低，因此攻击者也更为普遍。国界的安全事件的追踪非常困难。9北京工业职业技术学院毕业设计改革、提高教学质量、改善教学环境，同时通过各院校之间的互联互通，将会极大的提高教育校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、高等教育和科研机构是互联网诞生的摇篮，也是最早的应用环境。各国的高等教育都是最的网络技术，网络应用普及，用户群密集而且活跃。然而校园网由于自身的特点也是安全问题中住宿，因而用户群比较密集。正是由于高带宽和大用户量的特点，。非常复杂，比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的，有的院系是统一采购、有技术人员负责维护的，有些院系则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是产管理和设备管理，出现安全问题后通常无法分清责任。比较典型的现象是，用户的计算机接入校园网后感染病毒，反过来这台感染病毒的计算机又影响了校园网的运行，于是出现端系统用户和网络管理员相互指责的现象。更有些计算机甚至服务器系统建设完毕之后无人管理，甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察。奇，勇于尝试。如果没有意识到后果的严重性，有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术，可能对网络造成一定的影响和破坏。理们只能维护网络的正常运行，无暇顾及、也没有条件管理和维护数万台计算机的安全，院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。.盗版资源泛滥。由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，北京工业职业技术学院毕业设计业，在工作之前没有受过系统的专业培训。所以，不能很好地胜任本职工作。如把在计算机中装上还原卡当作是万能管理方法；不设置系统管理员密码；在系统中不安装防火墙和杀毒软件等等。另外，有些网络管理员敷衍塞责，对出现的系统故障置之不理。在：密码设置过于简单；不经常用杀毒软件扫描和删除病毒；不对杀毒软件和防火墙软件进行及时更新；不经常扫描系统漏洞并打上补丁；使用移动存储介质时不事先用杀毒软件进行扫TCPIP的身份认证，无法保证信息的真实性。和木马攻击提供了最快捷的途径。以蠕虫为代表的病毒肆虐和特洛伊木马的疯狂入侵，直接导措施的单一性、独立性和落后性使得网络病毒和木马入侵屡屡得逞。校园网具有速度快、规模大，计算机系统管理复杂，用户非常活跃，相对开放的网络环境，有限的资金及人力投入等特点，这些特点使校园网既是大量网络攻击的发源地，也是网络攻击者最容易攻破的目标。当前，校园网常见的安全威胁有如下几种。威胁之一：普遍存在的计算机系统漏洞。安全漏洞是指允许任意用户未经授权获得访问，或提高其访问权限的硬件或软件特征。漏洞也可以理解为某种形式的脆弱性，网络结构、服务威胁之二：计算机蠕虫、病毒泛滥。网络蠕虫病毒的危害日益严重，种类和数量日益增多，发作日益频繁。现在，蠕虫病毒往往与黑客技术结合，计算机中毒发作后，常导致拒绝服算机系统后，病毒控制者可以从入侵的系统中窃取信息，远程控制这些系统。工作站或重要服务器)的系统关键资源过载，从而使被攻击对象停止部分或全部服务。拒绝服FloodPingFlood这意味着攻击所需要的技术门槛大大降低。几年前仅适用于高智能范围的工具现在可以通过商tNetBus击者为了获得网络内部和周围的信息使用这种攻击尝试，典型例子包括Satan扫描、端口扫描威胁之五：校园网内部用户对网络资源的滥用。有人利用校园网资源进行商业的或北京工业职业技术学院毕业设计：统入侵、攻击等恶意破坏行为，有些计算机已经被攻破，用作黑客攻击的工具；拒绝服务攻击成了不良的影响，损害了学校的声誉；用免费的校园网资源提供商业护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或包括两个方面：对系统所在环境的安全保护，确保计算机系统有一个良好的电磁兼容工作环境。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。访问控制的主要任务是保证网络资源不被非法使用和访问入网访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源；控制准许用户入网的时间和准许他们在哪台工作站入网。。件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权更进一步的安全性。北京工业职业技术学院毕业设计安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到端口是虚拟的“门户”，信息通过它进入和驻留于计算机中，网络中服务器的端口往往呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后，才允许用户进入防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以统(可能是软件或硬件或者是两者并用)，用来限制外部非法(未经许可)用户访问内部网络资源，通过络资源，通过建立起来的相应网络通信监控系统来隔离内部和外部网络网络的侵入,防止偷窃或起破坏作用的恶意攻击。络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全；端点加密是对源端用户到目的端用户的数据提供保护；节点加密法来具检测(IntrusionDeteetion)的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用用备份和镜像技术提高完整性。备份技术是最常用的提高数据完整性的措施，它是指对需要保护的数据在另一个地方制作一个备份，一旦失去原件还能使用数据备份。对于校园网络，由于使用人群的特定性，必须要对网络的有害信息加以过滤，防止一些色情、暴力和反动信息危害学生的身心健康，必须采用一套完整的网络管理和信息过滤相结进行有害信息过滤管理。网络安全技术的解决方案必须依赖安全管理规范的支持，在网络安全中，除采用技术措施之外，加强网络的安全管理，制定有关的规章制度，对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制IP测)出入网络的信息流，同时实现网络地址转换(NAT)、审计和实时报警功能。通过防火墙部署在网络基础设施的关键入口或出口。防火墙主要工作在交换和路由两种模式。当防火墙工作在交换模式时，防火墙的3区)和路由器的内部端口连接起来，构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓朴结构和各主机、设备北京工业职业技术学院毕业设计做到及时响应、告警和记录，以弥补防火墙的不足。入侵检测系统通过实时监听网络数据流，根据在入侵检测系统上配置的安全策略(入侵模式)，识别、记录入侵和破坏性的代码流，寻找违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络安全检测系统的预警子系统能够根据系统安全策略作出反映，并通过监测报警日志行报警和响应。务器或防火墙附近，以检测关键部位的数据流，防范非法访问行为，对非法网络行为的审计、监测及安全监控，并实现与防火墙的联动进行动态保护。入侵检测系统由控制中心和探探漏洞扫描系统是一种系统安全评估技术，具体包括网络模拟攻击、漏洞测试、报告服务系进行漏洞扫描，对这些设备和系统的安全情况进行评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。漏洞扫描系统性能应具备：扫描项目覆盖网络层、应用层和各种网络服务；扫描对的漏洞特征库；执行扫描时不会对扫描对象的系统产生影响；对网络的数据包传输不产生明率等。下：检测：一旦感染就立即察觉，并能够确定病毒的位置；识别：一旦检测出病毒，能够确定已感染病毒类型；去除：一旦识别出特定的病毒，能够将感染的程序恢复到原来的状态，并从系统中去除特征信息库，才能防御新型病毒的攻击。随着反病毒技术和产品不断完善，新型的防病毒软件采用了更加综合性的防卫策略，从而把防卫范围扩大到更广目标的计算机安全措施。计算机病毒的危害多种多样。病毒程序会消耗资源使网络速度变慢；病毒会干扰、和硬件，使部分网络瘫痪;有些病毒会在硬盘上设置远程共享区，形成后门，为黑客大开方便员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为北京工业职业技术学院毕业设计实现全方位集中的网络系统安全审计，会大大地提高安全监察效率。综合审计系统支持分布式的数据审计与预警；能从各种服务器自动收集系统事件；具备完整的网络日志功能，详细记载每个用户的网络访问行为，包括用户操作的时间、用户名、操作结果以及名称和路径；完善的自我保护能力，保证审计系统和安全日志文件的完整性；具有智能化的分析能力，向管理的警告信息，帮助系统管理员对系统的安全管理。校园网的安全问题是一个较为复杂的系统工程，从严格的意义上来讲，没有绝对安全的网络系