中小学校园网信息安全及防范

2021/6/271一、国内外网络安全事件二、中小学校园网现状及建设方案三、网络安全的内容四、校园网安全防范技术目录2021/6/2722013年，斯诺登向媒体提供机密文件致使包括“棱镜”项目在内美国政府多个秘密情报监视项目“曝光”。通过该项目，美政府直接从包括微软、谷歌、雅虎、Facebook、PalTalk、AOL、Skype、YouTube以及苹果在内的这9个公司服务器收集信息。进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节。一、国内外网络安全事件2021/6/273斯诺登向媒体透露，说美国政府连续几年都在攻击其他国家的网络，其中还监听许多国领导人电话、电子邮件等，包括联合国秘书长潘基文、德国总理默克尔，入侵中国的网络，窃取各种情报。一、国内外网络安全事件2021/6/274罪行：英国少年贾斯明·辛向体育用品网站发起

DoS攻击，并窃取信息。少年承认自己受雇于两家与受害网站竞争，企图彻底弄垮对手的在线销售网点。传播途径：贾斯明·辛利用计算机病毒控制上千台计算机，并组成傀儡网络，向线上销售体育用品的网站发动攻击。造成了两家受害网站约150万美元的损失。

判决结果：五年监禁

一、国内外网络安全事件2021/6/275罪行：某国小老师窜改教师介聘系统分发成绩传播途径：窜改两位老师的成绩，变更女友分数，却害他人从第1志愿分发到第10几个志愿。罪行：19岁知名高中毕业生，入侵大考中心、窃取悠游卡系统、百货公司、黑客组织等会员资料。传播途径：从2009年起陆续入侵国中基测与大学入学考试中心计算机系统，窃取逾一百万笔考生的姓名、相片与成绩等相关资料，再卖给补习班。其它还包括台北智能卡公司的悠游卡系统资料、新光三越百货公司会员卡资料，黑客网会员资料与其它电子邮件帐号密码。

一、国内外网络安全事件2021/6/276海康威视安全事件监控设备漏洞或引发敏感信息泄露2015年2月27日江苏省公安厅发布的特急通知称，主营安防产品的海康威视其生产的监控设备被曝严重的安全隐患，部分设备已被境外IP地址控制，要求各地立即进行全面清查，开展安全加固。随后调查显示，事件出于弱口令漏洞，只需通过修改初始密码或简单密码，或者升级设备固件即可解决。作为国内最大的监控设备生产商海康威视，虽然致力于设备功能的完善，但忽略了最基本的信息安全问题，可谓“千里之堤，毁于蚁穴”。一、国内外网络安全事件2021/6/277超30省市曝管理漏洞：数千万社保用户信息或泄露2015年4月22日从补天漏洞响应平台获得的数据显示，围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。一、国内外网络安全事件2021/6/278优购网交易信息疑泄露超百人被骗上百万2015年5月18日有客户反馈，在购物网站优购时尚商城购物后，个人信息被泄露，银行钱款被盗，受骗网友建立的QQ群中，已有160多个群友，被骗金额总计上百万元。优购网官方回应称，信息泄露是黑客“撞库”所致，已向公安机关报案。一、国内外网络安全事件2021/6/279央视报道“危险的WiFi”

央视《消费主张》报道了人们日常使用的无线网络存在巨大的安全隐患。在节目中，央视和安全工程师在多个场景实际测验显示，火车站、咖啡馆等公共场所的一些免费WIFI热点有可能就是钓鱼陷阱，而家里的路由器也可能被恶意攻击者轻松攻破。一、国内外网络安全事件2021/6/2710二、中小学校园网现状及建设方案资金紧缺网络硬件设备配备不齐全缺乏计算机及网络相关专业技术人员校园网仅提供互联网服务，校内资源匮乏资金的一次性投入,校园网的使用效率低下2021/6/2711网络拓扑中小学校园网设计方案核心层分布层接入层防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。2021/6/2712简化方案联电信服务器区办公区SecPathU200-AH3CS5120H3CWX3024H3CMSR30-40WA2620-AGN包括无线覆盖WA2620-AGNWA2620-AGN包括无线覆盖包括无线覆盖2021/6/2713a.防火墙b.路由器c.核心交换机d.分布层交换机e.访问层交换机二层分级模型核心层接入层网络设备选型三层分级模型2021/6/2714VLAN的优势VLAN划分与IP规划可以减小广播风暴，划分VLAN后，广播只在子网中进行增加网络的安全性，不同的VLAN不能随意通讯提高管理效率，实现虚拟的工作组，减少物理开支VLAN的子网访问，可以在三层交换机上实现，分流核心交换机的三层交换，优化组网2021/6/2715校园网应为学校教学、科研提供先进的信息化教学环境。这就要求校园网是一个交互功能和专业性很强的局域网络。多媒体教学软件开发平台，多媒体演示教室，教师备课系统，电子阅览室以及教学，考试资料库等，都可以通过网络运行工作，包含的基本功能如下：学校网站建设课程管理（精品课程）实验室管理学生成绩与学籍管理图书资料管理德育教育管理档案管理（人事、固定资产）财务管理资源建设2021/6/2716三、网络安全的内容计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。2021/6/2717网络系统的脆弱性

数据的安全问题

传输线路的安全问题从安全的角度来说，没有绝对安全的通讯线路。数据库存在着许多不安全性。网络安全管理问题2021/6/2718网络安全的基本要素衡量网络安全的指标主要有机密性—“进不来，看不懂”完整性—“改不了，拿不走”可用性—“能进来，能修改，能拿走”可控性—“监视、控制”不可否认性—“逃不脱，跑不掉”2021/6/2719网络运行和网络访问控制的安全，由以下四方面组成：局域网、子网安全网络中数据传输安全网络运行安全网络协议安全物理安全

环境安全.对系统所在环境的安全保护措施，如区域保护和灾难保护

设备安全设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护技术和措施等

媒体安全媒体数据的安全及媒体本身的安全技术和措施2021/6/2720局域网、子网安全内外网隔离技术：采用防火墙技术可以将内部网络的与外部网络进行隔离，对内部网络进行保护网络检测技术：网络安全检测（漏洞检测）是对网络的安全性进行评估分析，通过实践性的方法扫描分析网络系统，检查系统存在的弱点和漏洞，提出补求措施和安全策略的建议，达到增强网络安全性的目的2021/6/2721网络中数据传输安全数据传输加密技术：对传输中的数据流进行加密，以防止通信线路上的窃听、泄漏、篡改和破坏。三个不同层次来实现，即链路加密、节点加密、端到端加密数据完整性鉴别技术防抵赖技术：包括对源和目的地双方的证明，常用方法是数字签名网络运行安全备份与恢复技术：采用备份技术可以尽可能快地全盘恢复运行计算机网络，所需的数据和系统信息应急文档2021/6/2722数据库系统安全数据库安全数据库管理系统安全应用安全的组成.应用软件开发平台安全各种编程语言平台安全程序本身的安全应用系统安全应用软件系统安全2021/6/2723管理安全据权威机构统计表明：信息安全大约60%以上的问题是由管理方面原因造成的。网络系统的安全管理主要基于三个原则：多人负责原则任期有限原则职责分离原则“30%的技术，70%的管理”2021/6/2724网络安全的威胁

非授权访问：

通过假冒、身份攻击、系统漏洞等手段，获取系统访问权2021/6/2725网络安全的威胁

信息泄漏或丢失

信息在传输中泄漏丢失，在存储介质中泄漏丢失，被窃取2021/6/2726网络安全的威胁

破坏数据完整性

以非法手段窃得对数据的使用权，删除、修改、插入某些重要信息2021/6/2727网络安全的威胁

拒绝服务攻击

不断执行无关程序使系统响应减慢甚至瘫痪2021/6/2728网络安全的威胁

网络传播病毒通过网络传播计算机病毒（蠕虫病毒高居病毒榜首）2021/6/2729访问控制技术--网络权限控制四、校园网安全防范技术2021/6/2730访问控制技术--目录级安全控制四、校园网安全防范技术2021/6/2731访问控制技术-属性安全控制四、校园网安全防范技术2021/6/27321.打开注册表编辑器，修改第一处[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。2.修改第二处[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。3检查是否有开防火墙，如果有开需要吧新端口添加到允许，重启服务器。END访问控制技术-更改远程桌面连接端口2021/6/2733路由器安全功能访问控制链表基于源地址/目标地址/协议端口号端口映射、如3389、80端口Flood管理日志其他抗攻击功能2021/6/2734防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用2－7层访问控制（集中在3-4层）解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限2021/6/2735入侵检测基本原理：利用sniffer方式获取网络数据，根据已知特征判断是否存在网络攻击优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。不足：准确性：误报率和漏报率有效性：难以及时阻断危险行为2021/6/2736网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播优点：能有效阻断已知网络病毒的传播不足：只能检查已经局部发作的病毒对网络有一定影响2021/6/2737蠕虫病毒的特征

蠕虫病毒的特征1.利用操作系统和应用程序的漏洞主动进行攻击2.传播方式多样3.病毒制作技术与传统的病毒不同4.与黑客技术相结合2021/6/2738蠕虫病毒与一般病毒的比较

普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制寄存在主程序运行主动攻击传染目标本地文件网络计算机

2021/6/2739网络环境下计算机病毒的特点在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点：①感染速度快。

②扩散面广。

③传播的形式复杂多样。

④难于彻底清除。

⑤破坏性大。

2021/6/2740网页攻击网页攻击指一些恶意网页利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。

2021/6/2741网页攻击防范防范网页攻击可使用设定安全级别、过滤指定网页、卸载或升级WSH、禁用远程注册表服务等方法。最好的方法还是安装防火墙和杀毒软件，并启动实时监控功能。有些杀毒软件可以对网页浏览时注册表发生的改变提出警告。

2021/6/2742删除本机默认共享打开记事本编写如下代码

Netshareadmin$/deleteNetshareipc$/deleteNetsharec$/deleteNetshared$/deleteNetsharee$/delete编写完成以后此文本可任意命名，但文件扩展名一定改为.bat，并将此文件添加到开始—启动中下次开机默认共享自动被删除2021/6/2743网络扫描器通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点：有利于及早发现问题，并从根本上解决安全隐患不足：只能针对已知安全问题进行扫描准确性vs指导性2021/6/2744关闭不用的服务

在安装windows操作系统时，大家往往使用的是默认安装，然而有很多服务在默认情况下是打开，我们应该关闭一些从来不用的服务。我们打开控制面板—管理工具—服务也可以在我的电脑—右键—管理—服务和应用程序—服务2021/6/2745

一般情况下我们可关闭telnet服务SNMPServiceComputerBrowserDHCPClient2021/6/2746网络安全防护建议(1)经常关注安全信息发布Microsoft、Sun、hp、ibm等公司的安全公告安全焦点绿盟网站202