校园网IPv6技术升级项目实施方案.ppt

1、网络安全与信息安全,2009年12月,第一部分 互联网与网络安全,CERNET主干网,CNGI-CERNET2主干网,CNGI-CERNET2主干网,西南交通大学,电子科技大学,四川大学,西南民族大学,Southwestern University of Finance and Economics,学校简介,都江堰,成都市,西南财经大学 光华校区,西南财经大学 柳林校区,Southwestern University of Finance and Economics,校园网基本情况,我校两校区校园网通过万兆光纤线路直接相连，另有8路光波分链路可以提供校区间专用业务的千兆独立连接。各校区校园网为

2、千兆以太网，采用星形拓扑结构。两校区已经实现千兆到楼宇百兆到桌面，校园网出口由1000M教育网和300M电信出口构成。 在CNGI（中国下一代互联网）子项目“教学科研基础设施IPv6升级和应用示范”项目结束后，校园网将形成万兆环网和IPv6全双栈接入。,Southwestern University of Finance and Economics,校园网IPv6升级后对比,光华 校区,柳林 校区,H3C S7506E,锐捷S7610,光华楼 锐捷 S5750,现教中心 锐捷 S5750,诚园 H3C S5500,榕园 H3C S5500,智园 锐捷 S5750,慧园 锐捷 S5750,松园

3、H3C S5500,服务器群,金沙 锐捷 S5750,华为1800F,CERNET,CERNET2,家属区 H3C S5500,竹园 华为 S5516 不支持 IPv6,梅园 H3C S5500,信园 H3C S5500,敏园 H3C S5500,毅园 锐捷S5750,行政楼 锐捷S5750,学院楼 H3C S5500,新增核心 交换机1,新增核心 交换机1,新增核心 交换机2,升级后的 Cisco6509,博学一舍,教学办公区,教学实验 中心,图书馆,经管实验 中心,竹园,下一代互联网（IPv6）应用示范,西南财经大学IPv6实验电视墙 上海交通大学IPv6电视墙 北京邮电大学IPv6实验电

4、视墙 北京科技大学52V6 远程视频1 远程视频2,我们每天生活、工作在网络世界中，我们每天都面同各种各样的欺骗和干扰,360安全中心 发布日期：2009-07-13 7月12日消息，由微软“MPEG-2视频0Day漏洞”引发的木马疫情，在一度减弱后上周末再度集中爆 发。360安全中心监控数据显示，7月12日，木马产业链针对该漏洞的单日“挂马”攻击量从百万级突 然激增到千万级。而在前200位相继遭“挂马”的正规网站中，分别有36家政府、41个教育网站，说明 政府和高校类网站已成为微软视频漏洞攻击的“重灾区”。,政府、高校网站成微软视频漏洞攻击“重灾区”,一、高校类网站： 复旦大学 挂马网址：H

5、xxp:/ 中国人民大学 挂马网址：hxxp:/ 西南财经大学 挂马网址：hxxp:/ 西安交通大学 挂马网址：hxxp:/ 华东理工大学 挂马网址：hxxp:/ 西安电子科技大学 挂马网址：hxxp:/ 。,校内网站监控情况汇总（2009年10月24日,具体情况： 1.就业处主页 西南财经大学就业中心。 小类：相关讲座 作者:TF 阅读:21次 时间:2009-10-23 13:43:4310.25规划开启人生之门. 。 数据库里数据全部被改写！,后台数据同样被注入修改！,邮件欺骗,发件人：bianhuiming33 发送日期：2009-04-17 16:40:01

6、收件人：主题： 帮忙艾老师： 你好！有件事请你帮忙，我的亲戚因急病住院，向我借5000元救急。 我现在不方便，麻烦你先替我办一下，汇到她的中国工商银行卡里， 卡号9558823301003806721高美兰 周一我就给你。 谢谢！ 边慧敏 2009.04.17,16,安全威胁日益严重,网络越来越不安全，我们被挂马网页骗到允斥着广告和色情的网站，被钓鱼网站骗走帐户密码，我们的电脑不经意地被植入木马成为发起DoS（分布式拒绝服务攻击）攻击的僵户主机，我们的电脑被别人控制成为肉机，校园网内的ARP（地址解析协议 ）病毒让上网越来越慢，而且不断的掉线。,盗号木马传播方式,病毒、木马盗号都是通过入侵帐号

7、所有者使用的计算机以获得帐号密码信息的。入侵方式主要有以下两种：1.诱骗用户下载木马程序并安装，安装之后木马程序即开始监控用户的输入数据，并通过网络传回盗号者那里。2.在某些正常软件中捆绑木马程序，用户在安装正常软件的同时木马也就进入了用户的计算机中。3.通过电子邮件主要是附件传播，用户在打开附件的同时木马侵入用户计算机。4.通过在不同计算机之间文件复制传播5.通过网页挂载木马，俗称挂马。用户在浏览网页的同时，木马也就侵入了用户的计算机。通过挂马盗取帐号密码占绝大多数。,网页挂马,什么是网页挂马？黑客在网页中嵌入的一段用于自动下载木马程序的恶意代码，从而利用该代码实施木马植入的行为通常就称为“

8、网页挂马”。等用户浏览了被挂马的网页后就会感染木马，从而被黑客控制，被盗取各类帐号密码，如电子银行帐户和密码、游戏帐号和密码、邮箱帐户和密码、QQ/MSN 帐号和密码等；有时还会被强迫安装恶意插件，强迫浏览黑客指定的网站；更有甚者还会使用户电脑成为僵尸主机，被利用攻击其它对象。,僵尸电脑,僵尸电脑是指被黑客程序控制的电脑，接入互联网的计算机被病毒感染后，受控于黑客，可以随时按照黑客的指令展开拒绝服务 （DoS）攻击或发送垃圾信息，而用户却毫不知情，就仿佛是没有自主意识的僵尸一般。 感染上“僵尸病毒”十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击

9、之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。,钓鱼网站,所谓“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址（网页地址）以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。 假银行：如假中国银行域名www.bank-off-，真www.bank-of-；假中国工商银行，真 学历查询假网站 假中华慈善总会骗印度洋海啸捐款 假网上订票 假免费赠送QQ币,校园网内的Arp攻击,在浏览器里面输入

10、网址时，DNS（域名解析服务）服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。 ARP（地址解析协议）就是将IP地址转换为相应物理地址（即MAC地址） 的协议。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故

11、障。,第二部分 数据与信息安全,僵尸电脑是指被黑客程序控制的电脑，接入互联网的计算机被病毒感染后，受控于黑客，可以随时按照黑客的指令展开拒绝服务 （DoS）攻击或发送垃圾信息，而用户却毫不知情，就仿佛是没有自主意识的僵尸一般。 肉鸡（机）电脑，就是拥有管理权限的远程电脑。也就是受别人控制的远程电脑。要登陆肉鸡，必须知道3个参数：远程电脑的IP、用户名、密码。 肉鸡（机）是中了木马，或者留了后门，可以被远程操控的机器，现在许多人把有WEBSHELL 权限的机器也叫肉鸡（机）。,网络管理相关法律法规有：,信息网络传播权保护条例 中国互联网网络版权自律公约 互联网著作权行政保护办法（2005年5月3

12、0日） 互联网信息服务管理办法 互联网电子公告服务管理规定（2000-11-7） 药品电子商务试点监督管理办法（2000-6-26日） 互联网药品信息服务管理暂行规定（2001-2-1） 互联网医疗卫生信息服务管理办法（2001-1-8） 互联网站从事登载新闻业务管理暂行规定（2000-11-7） 互联网上网服务营业场所管理办法（2001-4-3） 教育网站和网校暂行管理办法（2000-6-29） 网上银行业务管理暂行办法（2001-7-9） 证券公司网上委托业务核准程序（2000-4-29） 网上证券委托暂行管理办法（2000-3-30） 关于加强通过信息网络向公众传播广播电影电视类节目管理

13、的通告（1999-10） ；,24,域名管理相关法律法规有：,中国互联网络域名管理办法（2004年12月20日） 中国互联网络域名管理办法(2002年8月1日) 最高人民法院关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释（2001年7月24日） 关于审理因域名注册 使用而引起的知识产权民事纠纷案件的若干指导意见（2000年8月15日） 关于互联网中文域名管理的通告（2000年11月9日） 中文域名争议解决办法(试行)（2000年11月1日） 中文域名注册管理办法（试行）（2000年11月1日） 中国互联网络域名注册实施细则（1997年6月3日） 中国互联网络域名注册暂行管理办法（

14、1997年6月3日）,第二部分 数据安全与信息安全,文件、数据、信息,文件的概念：电脑里所有数据、程序都是以文件形式存放在存贮设备里的，像硬盘、光盘、U盘等。 数据的概念：数字、文字、图画、声音和视频等信息的载体。 信息的概念：信息是对人有用的数据。 数据与信息的区别： 数据包含信息，数据处理之后产生结果为信息，信息具有相对性，时效性。,电子政务信息安全等级保护实施指南发布,发布时间：2005.09.30 12:14 来源：中国计算机安全 为贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）精神，在电子政务领域通过开展信息安全等级保护来推进电子政务信息安全保障工作

15、，国务院信息化工作办公室组织编写的电子政务信息安全等级保护实施指南（试行），于2005年9月15日正式发布（国信办200525号），供各级党政机关在新建电子政务系统和已建电子政务系统中开展信息安全等级保护工作参考。 指南着重阐述了电子政务信息安全等级保护的基本概念、工作方法和实施过程，内容主要包括：第1章：引言，介绍指南的编写目的、适用范围和文档结构；第2章：基本原理，描述等级保护的概念、原理、实施过程、角色与职责，以及系统间互联互通的等级保护要求；第3章：描述电子政务等级保护的定级，包括定级过程、系统识别和描述、等级确定；第4章：描述电子政务等级保护的安全规划与设计，包括电子政务系统分域保护

16、框架的建立，选择和调整安全措施，以及安全规划与方案设计；第5章：描述安全措施的实施、等级评估，以及等级保护的运行改进。,电子政务信息安全等级保护实施指南,3.网络安全相关法律法规有：,电子政务信息安全等级保护实施指南（2005年） 电子认证服务管理办法（2005年4月1日） 计算机信息网络国际联网保密管理规定（2000年） 计算机信息网络国际联网安全保护管理办法 （1997年12月30日） 中华人民共和国计算机信息系统安全保护条例 （1994年2月18日） 维护互联网安全的决定（2000年12月28日）,30,信息系统安全有关法规,网络信息安全知识结构图,第三部分 安全意识与素养,电脑入侵预防

17、,1）管理好个人电脑上的数据,33,建议采用分类的方法，例如：C盘专门放系统程序；D盘专门放各种常用工具；E盘放多媒体资料；F盘放个人的文件资料等等。 合理使用移动硬盘和网络存储备份数据。,2） 封堵系统漏洞 通过“Windows Update”修补系统漏洞。（适合于正版操作系统用户） 通过360安全卫士第三方升级。（适用于不能确定操作系统版权的情况）,34,电脑入侵预防,电脑安全防护推荐,1.360安全卫士（） 2.norton杀毒软件（信息办主页上即可下载） 3.开启WINDOWS自带防火墙 4.开启自动更新,开启防火墙,”开始“菜单-“设置”-“控制面板”-“防火墙”,开启自动更新（正版

18、）,”开始“菜单-“设置”-“控制面板”-“自动更新”,养成备份数据的良好习惯,38,“我的文档”“My Documents”、“收藏夹”、“模板”、“输入法词库”、“E-mail数据”、“QQ信息”、“ICQ信息” 、“MSN信息”、OUTLOOK/FOXMAIL通讯簿、邮件收/发件箱等重要文档等等，都需要经常备份，做到“有备无患”！,清除使用痕迹,在公共场所使用公共电脑上网后，要清除使用痕迹。包括COOKIES、登录帐户密码、网页浏览历史记录等。 Cookies是当你浏览某网站时，由Web服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息

19、。当你再次来到该网站时，网站通过读取Cookies，得知你的相关信息，就可以做出相应的动作，如在页面显示欢迎你的标语，或者让你不用输入ID、密码就直接登录等等。 从本质上讲，它可以看作是你的身份证。但Cookies不能作为代码执行，也不会传送病毒，且为你所专有，并只能由提供它的服务器来读取。,病毒防范与清除,遵守国家的有关法律、法规，依法办事，对于信息等重要的信息资源要依法保护； 个人电脑、服务器、网络等重要通讯设备要有专人管理、安装并及时更新防火墙等安全保障措施； 不用软盘、U盘、移动硬盘启动系统； 外来文件/软件要先进行病毒检测； 不随意下载未知安全性的网站的文件； 重要数据定期备份。,40,病毒防范与清除,2病毒的清除 （1）使用杀毒软件 使用杀毒软件是最常用、