校园网络安全技术与策略毕业论文

校园网络安全技术与策略毕业论文内容摘要：

者有机可乘；管理员无法了解网络的漏洞和可能发生的攻击。 传统的被动式抵御方式只能等待入侵者的攻击，而缺乏主动防范的功能：对于已经或正在发生的攻击缺乏有效的追查手段；对从网络进入的病毒等无法控制等，除此以外大多用户安全意识都很淡薄，这些都是我们需要注意和解决的安全问题。 本文以“实事求是”的指导思想为原则，从计算机网络面临的各种安全威胁，系统地介绍网络安全技术。 并针对校园网络的安全问题进行研究，首先分析了高校网络系统安全的隐患，然后从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略。 本次论文研究中，我首先了解了网络安全问题的主要威胁因素，并利用网络安全知识对安全问题进行剖析。 其次，通过对网络技术的研究，得出校园网也会面临着安全上的威胁。 最后，确立了用 P2DR 模型的思想来建立校园网的安全防御体系。 并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。 校园网络安全技术与策略62 网络安全概述 网络安全发展与历史现状分析 因特网的发展及其安全问题随着计算机技术的发展，在计算机上处理业务已由基于单机的数学运算、文件处理，基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。 在信息处理能力提高的同时，系统的连结能力也在不断的提高。 但在连结信息能力、流通能力提高的同时，基于网络连接的安全问题也日益突出。 主要表现在以下方面：1．网络的开放带来的安全问题Inter 的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。 为了解决这些安全问题，各种安全机制、策略、管理和技术被研究和应用。 然而，即使在使用了现有的安全工具和技术的情况下，网络的安全仍然存在很大隐患，这些安全隐患主要可以包括为以下几点：（1）安全机制在特定条件下并非万无一失比如防火墙，它虽然是一种有效的安全工具，可以隐蔽内部网络结构，限制外部网络到内部网络的访问。 但是对于内部网络之间的访问，防火墙往往是无能为力的。 因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的。 （2）安全工具的使用受到人为因素的影响一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。 例如，Windows NT在进行合理的设置后可以达到 C2 级的安全性，但很少有人能够对 Windows NT 本身的安全策略进行合理的设置。 虽然在这方面，可以通过静态扫描工具来检测系统网络安全概述7是否进行了合理的设置，但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。 （3）系统的后门是难以考虑的地方防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉；比如说，众所周知的 ASP 源码问题，这个问题在 IIS服务器 以前一直存在，它是 IIS 服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出 ASP 程序的源码，从而可以收集系统信息，进而对系统进行攻击。 对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的 WEB 访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。 （4）BUG 难以防范甚至连安全工具本身也可能存在安全的漏洞。 几乎每天都有新的 BUG 被发现和公布出来，程序设计者在修改已知的 BUG 的同时又可能使它产生了新的BUG。 系统的 BUG 经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。 比如说现在很多程序都存在内存溢出的 BUG，现有的安全工具对于利用这些BUG 的攻击几乎无法防范。 （5）黑客的攻击手段在不断升级安全工具的更新速度慢，且绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应迟钝。 当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。 因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。 2．网络的安全的防护力脆弱，导致的网络危机（1）Warroon Research 调查根据 Warroon Research 的调查，1997 年世界排名前一千的公司几乎都曾被黑客闯入。 （2）FBI 统计据美国 FBI 统计，美国每年因网络安全造成的损失高达 75 亿美元。 （3）Ernst 和 Young 报告Ernst 和 Young 报告，由于信息安全被窃或滥用，几乎 80%的大型企业遭受损校园网络安全技术与策略8失。 （4）最近一次黑客攻击最近一次黑客大规模的攻击行动中，雅虎网站的网络停止运行 3 小时，这令它损失了几百万美金的交易。 而据统计在这整个行动中美国经济共损失了十多亿美金。 由于业界人心惶惶，亚马逊() 、AOL、雅虎(Yahoo)、Ebay 的股价均告下挫，以科技股为主的那斯达克指数(Nasdaq)打破过去连续三天创下新高的升势，下挫了六十三点，杜琼斯工业平均指数周三收市时也跌了二百五十八点。 3．网络安全的主要威胁因素（1）软件漏洞每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。 这就使我们的计算机处于危险的境地，一旦连接入网，将成为众矢之的。 （2）配置不当安全配置不当造成安全漏洞，例如，防火墙软件的配置不正确，那么它根本不起作用。 对特定的网络应用程序，当它启动时，就打开了一系列的安全缺口，许多与该软件捆绑在一起的应用软件也会被启用。 除非用户禁止该程序或对其进行正确配置，否则，安全隐患始终存在。 （3）安全意识不强用户口令选择不慎，或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 （4）病毒目前数据安全的头号大敌是计算机病毒，它是编制者在计算机程序中插入的破坏计算机功能或数据，影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。 计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。 因此，提高对病毒的防范刻不容缓。 （5）黑客对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(Backer)。 电脑黑客利用系统中的安全漏洞非法进入他人计算机系统，其危害性非常大。 从某种意义上讲，黑客对信息安全的危害甚至比一般的电脑病毒更为严重。 网络安全概述9 我国网络安全现状及发展趋势因特网在我国的迅速普及，我国境内信息系统的攻击事件也正在呈现快速增长的势头。 据了解，从 1997 年底到现在，我国的政府部门、证券公司、银行、ISP。 ICP 等机构的计算机网络相继遭到多次攻击。 因此，加强网络信息安全保障已成为当前的迫切任务。 目前我国网络安全的现状和面临的威胁主要有：1．设备与技术的缺乏计算机网络系统使用的软、硬件很大一部分是国外产品，我们对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。 2．实际操作差全社会的信息安全意识虽然有所提高，但将其提到实际日程中来的依然很少。 3．目前关于网络犯罪的法律、法规还不健全4．我国信息安全人才培养还不能满足其需要 校园网络面临的安全问题其它网络一样，校园网也会受到相应的威胁，大体可分为对网络中数据信息的危害和对网络设备的危害。 具体来说包括：1．非法授权问题即对网络设备及信息资源进行非正常使用或越权使用等。 2．冒充合法用户即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。 3．破会数据的完整性即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。 4．干扰系统运行指改变系统的正常运行方法，减慢系统的响应时间等手段。 5．病毒与恶意的攻击校园网络安全技术与策略10即通过网络传播病毒或进行恶意攻击。 除此之外，校园网还面对形形色色、良莠不分的网络资源，如不进行识别和过滤，那么会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题。 许多校园网是从局域网发展来的，由于意识与资金方面的原因，它们在安全方面往往没有太多的设置，这就给病毒和黑客提供了生存的空间。 因此，校园网的网络安全需求是全方位的。 网络安全含义我国网络安全从其本质来讲就是网络上信息安全，它涉及的领域相当广泛，这是因为目前的公用通信网络中存在着各式各样的安全漏洞和威胁。 广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性和可控性的相关技术和理论，都是网络安全的研究领域。 网络安全是指网络系统的硬件，软件及数据受到保护，不遭受偶然或恶意的破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断 [1]。 且在不同环境和应用中又不同的解释。 即保证信息处理和传输系统的安全，包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。 包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 即信息传播后果的安全、包括信息过滤、不良信息过滤等。 即我们讨论的狭义的“信息安全” ；侧重于保护信息的机密性、真实性和完整性。 本质上是保护用户的利益和隐私。 网络安全属性网络安全具有三个基本的属性：机密性、完整性、可用性。 网络安全概述11是指保证信息与信息系统不被非授权者所获取与使用，主要范措施是密码技术。 是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。 是指可以供正常被其他网络使用的相关技术。 以上可以看出：在网络中，维护信息载体和信息自身的安全都包括了机密性、完整性、可用性这些重要的属性。 网络安全机制网络安全机制是保护网络信息安全所采用的措施，所有的安全机制都是针对某些潜在的安全威胁而设计的，可以根据实际情况单独或组合使用。 如何在有限的投入下合理地使用安全机制，以便尽可能地降低安全风险，是值得讨论的，网络信息安全机制应包括：技术机制和管理机制两方面的内容。 网络安全技术机制网络安全技术机制包含以下内容：1．加密和隐藏加密使信息改变，攻击者无法了解信息的内容从而达到保护；隐藏则是将有用信息隐藏在其他信息中，使攻击者无法发现。 2．认证和授权网络设备之间应互认证对方的身份，以保证正确的操作权力赋予和数据的存取控制；同时网络也必须认证用户的身份，以授权保证合法的用户实施正确的操作。 3．审计和定位通过对一些重要的事件进行记录，从而在系统中发现错误或受到攻击时能定位错误并找到防范失效的原因，作为内部犯罪和事故后调查取证的基础。 4．完整性保证利用密码技术的完整性保护可以很好地对付非法篡改，当信息源的完整性可以被验证却无法模仿时，可提供不可抵赖服务。 校园网络安全技术与策略125．权限和存取控制针对网络系统需要定义的各种不同用户，根据正确的认证，赋予其适当的操作权力，限制其越级操作。 6．任务填充在任务间歇期发送无用的具有良好模拟性能的随机数据，以增加攻击者通过分析通信流量和破译密码获得信息难度。 网络安全管理机制网络信息安全不仅仅是技术问题，更是一个管理问题，要解决网络信息安全问题，必须制定正确的目标策略，设计可行的技术方案，确定合理的资金技术，采取相应的管理措施和依据相关法律制度 网络安全策略策略通常是一般性的规范，只提出相应的重点，而不确切地说明如何达到所要的结果，因此策略属于安全技术规范的最高一级。 网络安全策略的分类安全策略分为基于身份的安全策略和基于规则的安全策略种。 基于身份的安全策略是过滤对数据或资源的访问，有两种执行方法：若访问权限为访问者所有，典型的作法为特权标记或特殊授权，即仅为用户及相应活动进程进行授权；若为访问数据所有则可以采用访问控制表（ACL）。 这两种情况中，数据项的大小有很大的变化，数据权力命名也可以带自己的 ACL[2]。 基于规则的安全策略是指建立在特定的，个体化属性之上的授权准则，授权通常依赖于敏感性。 在一个安全系统中，数据或资源应该标注安全标记，而且用户活动应该得到相应的安全标记。 网络安全策略的配置 开放式网络环境下用户的合法权益通常受到两种方式的侵害：主动攻击和被动攻击，主动攻击包括对用户信息的窃取，对信息流量的分析。 根据用户对安全的需求才可以采用以下的保护：1．身份认证检验用户的身份是否合法、防止身份冒充、及对用户实施访问控制数据完整性鉴别、防止数据被伪造、修改和删除。 网络安全概述132．信息保密防止用户数据被泄、窃取、保护用户的隐私。 3．数字签名防止用户否认对数据所做的处理。 4．访问控制对用户的访问权限进行控制。 5．不可否认性也称不可抵赖性，即防止对数据操作的否认。 网络安全策略的实现流程安全策略的实现涉及到以下及个主要方面，如图 21 所示图 21 安全策略实现流程1．证书管理主要是指公开密银证书的产生、分配更新和验证。 2．密银管理包括密银的产生、协商、交换和更新，目的是为了在通信的终端系统之间建立实现安全策略所需的共享密银。 3．安全协作是在不同的终端系统之间协商建立共同采用的安全策略，包括安全策略实施所在层次、具体采用的认证、加密。