收藏
下载资源

校园网络安全设计

上传人:豆浆 文档编号:31237119 上传时间:2018-02-06 格式:DOC 页数:14 大小:258.50KB
返回 下载 相关 举报
校园网络安全设计_第1页
第1页 / 共14页
校园网络安全设计_第2页
第2页 / 共14页
校园网络安全设计_第3页
第3页 / 共14页
校园网络安全设计_第4页
第4页 / 共14页
校园网络安全设计_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《校园网络安全设计》由会员分享,可在线阅读,更多相关《校园网络安全设计(14页珍藏版)》请在金锄头文库上搜索。

1、摘 要本文从计算机网络面临的各种安全威胁,系统地介绍网络安全技术。并针对校园网络的安全问题进行研究,首先分析了高校网络系统安全的隐患,然后从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略。本次论文研究中,我首先了解了网络安全问题的主要威胁因素,并利用网络安全知识对安全问题进行剖析。其次,通过对网络技术的研究,得出校园网也会面临着安全上的威胁。最后,确立了用 P2DR 模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施.关键词: 网络安全,安全防范,校园网, VPN第 1 章 前 言二十一世纪是只是经济时代。随着现

2、代科学技术的飞速发展,全球信息化浪潮势不可挡,已经迅速延伸至国防、科研、教育等各个领域,也不可避免地改变着传统的企业人事的工作模式,利用当前蓬勃发展的一计算机和网络为主导的现代信息技术则是企业实现现代化工作的必不可少的技术基础,我国的信息起步晚,本可以高起点,高标准的建设我国的信息高速公路,但由于我国经济能力和幅员辽阔,建设成本压力很大,因此发展较为缓慢。学校,尤其是各大高校,作为知识基地和人才基地,它理应为代表信息产业技术发展的最前沿,然而现状是工业水平高于学术水平,即使这样,1994 年中国教育科研网正是启动以来,已与国内几百所学校相连,2000 年该网“二期工程”完成时,除达到连接 10

3、00 所大学的目标外,对有条件的中小学也将提供上网接入服务,但实际情况是我国大多数校园网却因应用水平的低下而造成资源的极大浪费,如何利用当前先进的计算机技术与校园网资源,实现学校各项业务系统的集成,提高应用水平成为学校校园网建设的工作重点。校园网在国内发展还不成熟,学校、媒体甚至计算机业界,对校园网都缺乏全面、深入的理解和认识,带有一定的盲目性和偏见。建设校园网要经过周密的论证、谨慎的决策和紧张的施工。米钱存在的一些情况是,网建成了问题也出现了;设计目标无法实现;应用软件缺乏,阻碍了设想实施;维护费用不堪承受等等。这就是需要在网络建设实施前确定明确的设计目标,是技术和成本找到最佳点,并考虑到日

4、后的升级,既可扩展性。第二章 校园网主动防御体系校园网的网络攻击主要来自 internet 中,所以对网络的攻击可以分为两种基本的类型,即服务攻击与非服务攻击。(1)服务攻击指对为网络提供某种服务的服务器发起攻击,遭成该网络的“拒绝服务” ,使网络工作部正常。拒绝服务攻击将会带来消耗带宽、消耗计算资源、使系统和应用崩溃等后果,它是阻止针对某种服务的合法使用者访问他有权的服务。(2)非服务攻击非服务攻击是针对网络层等低层协议进行的,攻击者可能使用各种方法对网络通信设备发起攻击,使得网络通信设备工作严重阻塞或瘫痪,导致一个局域网或更多的网布能正常工作。与服务攻击相比,非服务攻击与特定服务无关,它往

5、往利用协议或操作系统实现协议时的漏洞来达到目的。校园网络主要存在的安全隐患和漏洞有:(1)校园网通过 CERNET 与 Internet 相连,在享受 Internet 方便快捷的同时,也面临着遭遇攻击的风险。(2)校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。而现在,黑客攻击工具在网上十分常见,一般人员并不需要很复杂的知识就能用,所以存在很大的危险。(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。大学的网络服务器安装的操作系统有 WindowsNT/Windows2000、Unix、Linux 等,这些系统安全风险级

6、别不同,例如 WINNT/WIN2000 的普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS 的漏洞;Unix 由于其技术的复杂性导致高级黑客对其进行攻击:自身安全漏洞(RIP 路由转移等)、服务安全漏洞、Unix 自身的病毒等等,这些都对原有网络安全构成威胁。(4)随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全体系显得尤其重要。第一节 P2DR 模型美国国际互联网安全系统

7、公司( ISS )提出的 P 2 D R 模型是指:策略 ( P o l i c y )、 防护( P r o t e c t i o n )、 检测( D e t e c t i o n ) 和响应 ( R e s p o n s e )。P 2 D R 模型强调防护、 检测和响应等环节的动态循环过程,通过这种过程达到保持网络系统的相对安全。所以 P 2 D R 模型是“整体的、 动态的”的安全循环,在安全策略整体的控制下指导下保证信息系统的安全。P 2 D R 模型如图 1-1 所示。 图 1-1 P2DR 模型P2DR 模 型 是 美 国 ISS 公 司 提 出 的 动 态 网 络 安

8、全 体 系 的 代 表 模 型 , 也 是 动态 安 全 模 型 的 雏 形 。 P2DR 模 型 包 括 四 个 主 要 部 分 : Policy(安 全 策 略 )、Protection(防 护 )、 Detection(检 测 )和 Response(响 应 )。 P2DR 模 型 是 在整 体 的 安 全 策 略 的 控 制 和 指 导 下 , 在 综 合 运 用 防 护 工 具 (如 防 火 墙 、 操 作 系统 身 份 认 证 、 加 密 等 )的 同 时 , 利 用 检 测 工 具 (如 漏 洞 评 估 、 入 侵 检 测 等 )了 解 和 评 估 系 统 的 安 全 状 态 ,

9、 通 过 适 当 的 反 应 将 系 统 调 整 到 “最 安 全 ”和“风 险 最 低 ”的 状 态 。 防 护 、 检 测 和 响 应 组 成 了 一 个 完 整 的 、 动 态 的 安 全 循环 , 在 安 全 策 略 的 指 导 下 保 证 信 息 系 统 的 安 全 。该 理 论 的 最 基 本 原 理 就 是 认 为 , 信 息 安 全 相 关 的 所 有 活 动 , 不 管 是 攻 击行 为 、 防 护 行 为 、 检 测 行 为 和 响 应 行 为 等 等 都 要 消 耗 时 间 。 因 此 可 以 用 时 间来 衡 量 一 个 体 系 的 安 全 性 和 安 全 能 力 。

10、作 为 一 个 防 护 体 系 , 当 入 侵 者 要 发 起攻 击 时 , 每 一 步 都 需 要 花 费 时 间 。 当 然 攻 击 成 功 花 费 的 时 间 就 是 安 全 体 系 提供 的 防 护 时 间 Pt; 在 入 侵 发 生 的 同 时 , 检 测 系 统 也 在 发 挥 作 用 , 检 测 到 入 侵行 为 也 要 花 费 时 间 检 测 时 间 Dt; 在 检 测 到 入 侵 后 , 系 统 会 做 出 应 有 的 响应 动 作 , 这 也 要 花 费 时 间 响 应 时 间 Rt。P2DR 模 型 就 可 以 用 一 些 典 型 的 数 学 公 式 来 表 达 安 全

11、的 要 求 :( 1) 公 式 1: Pt Dt + Rt 。Pt 代 表 系 统 为 了 保 护 安 全 目 标 设 置 各 种 保 护 后 的 防 护 时 间 ; 或 者 理 解 为在 这 样 的 保 护 方 式 下 , 黑 客 ( 入 侵 者 ) 攻 击 安 全 目 标 所 花 费 的 时 间 。 Dt 代表 从 入 侵 者 开 始 发 动 入 侵 开 始 , 系 统 能 够 检 测 到 入 侵 行 为 所 花 费 的 时 间 。Rt 代 表 从 发 现 入 侵 行 为 开 始 , 系 统 能 够 做 出 足 够 的 响 应 , 将 系 统 调 整 到 正 常状 态 的 时 间 。 那

12、么 , 针 对 于 需 要 保 护 的 安 全 目 标 , 如 果 上 述 数 学 公 式 满 足 防护 时 间 大 于 检 测 时 间 加 上 响 应 时 间 , 也 就 是 在 入 侵 者 危 害 安 全 目 标 之 前 就 能被 检 测 到 并 及 时 处 理 。( 2) 公 式 2: Et = Dt + Rt, 如 果 Pt = 0。公 式 的 前 提 是 假 设 防 护 时 间 为 0。 Dt 代 表 从 入 侵 者 破 坏 了 安 全 目 标 系 统开 始 , 系 统 能 够 检 测 到 破 坏 行 为 所 花 费 的 时 间 。 Rt 代 表 从 发 现 遭 到 破 坏 开始 ,

13、 系 统 能 够 做 出 足 够 的 响 应 , 将 系 统 调 整 到 正 常 状 态 的 时 间 。 比 如 , 对Web Server 被 破 坏 的 页 面 进 行 恢 复 。 那 么 , Dt 与 Rt 的 和 就 是 该 安 全 目 标系 统 的 暴 露 时 间 Et。 针 对 于 需 要 保 护 的 安 全 目 标 , 如 果 Et 越 小 系 统 就 越安 全 。通 过 上 面 两 个 公 式 的 描 述 , 实 际 上 给 出 了 安 全 一 个 全 新 的 定 义 : “及时 的 检 测 和 响 应 就 是 安 全 ”, “及 时 的 检 测 和 恢 复 就 是 安 全 ”

14、。 而 且 , 这样 的 定 义 为 安 全 问 题 的 解 决 给 出 了 明 确 的 方 向 : 提 高 系 统 的 防 护 时 间 Pt, 降 低 检 测 时 间 Dt 和 响 应 时 间 Rt。第二节 校园网络安全防范体系 安全模型中的安全策略、防护、检测、响应始终贯穿着安全技术和安全管理两个方面的重要内容,校园网络安全防范体系构建是以安全策略为核心,防护,检测和响应为实施方法,并通过安全培训加强所有人员的安全意识,完善安全体系安全单元环境。安全体系的示意图如图 1-2 所示。图 1-2 安全防范体系针对以上校园网网络安全体系应用以下安全技术来实现: (1)配置防火墙和入侵检测系统 在

15、校园网的进口处架设了防火墙和网络入侵检测系统。防火墙作为一种将内外网隔离的技术, 普遍运用于校园网安全建设中。防火墙可以有效地隔离内部网与外部网, 保护校园内部网络免遭非法的侵入。网络安全检测工具是一个网络安全性评估分析软件,不时的扫描分析网络系统, 网络管理员根据检测的报告系统分析存在的弱点和漏洞,及时采取补救措施,以达到增强网络安全性的目的。基于网络的入侵检测系统,对监视网段中的各种数据包进行特征分析,会根据产品中配置规则情况录取是否发出警报或直接切断网络连接。 (2)采用 V L A N 技术 按学校各部门拥有不同的应用业务以及不同的安全级别,有限制非法访问可以运用 V L A N 技术

16、。如使用三层交换机基于端口划分技术将网络分段并进行隔离,实现访问控制。 (3)配置代理服务器 在计算机中心学生机房配置访问控制列表,使用二级防火墙,并利用代理软件配置代理服务器,在代理服务器上安装双网卡,连接外网的网卡使用公网 I P 地址,连接内网的网卡使用私有地址,学生客户机 I P 地址与代理服务器内网 I P 地址在同一网段,网关 I P 为代理服务器内网 I P 地址。机房机器通过代理服务器连接互联网,可以控制前往 I n t e me t 的所有用户的流量。 (4)安装杀毒软件 在整个校园网中只要有可能感染和传播病毒的地方都采取相应的防病毒手段,安装相适应的防杀毒软件,有效地防止病毒在校园网上感染、传播和发作。对防病毒软件要有效、快速地升级病毒定义码和扫描引擎。网络的安全管理是一个长期的、动态的过程。本网络系统的安全性还存在不少问题,比如说防止网络攻击方面, 尽管使用了入侵检测系统和防火墙的联动技术,但是,目前的入侵检测系统对未知的攻击检测能力较弱,且存

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号