《“挑战杯”论文(设计)-基于校园网的网络安全系统研究与设计》由会员分享,可在线阅读,更多相关《“挑战杯”论文(设计)-基于校园网的网络安全系统研究与设计(15页珍藏版)》请在金锄头文库上搜索。
1、甘肃政法学院“挑战杯”论文(设计)题 目 基于校园网的网络安全系统研究与设计计算机科学学院计算机科学与技术专业10级 计本 班学 号: 姓 名: 指导教师: 完成时间: 2011 年 12 月目录引言1第一章 系统安全21.1 反病毒技术21.2入情监测技术21.3审计监控技术2第二章 网络运行安全3第三章 内部网络安全33.1访问控制33.2网络安全检测3第四章 防火墙技术与入侵检测系统的比较4第五章 联动模型的安全策略8第六章 校园网络安全防御系统的实现96.1入侵检测系统控制信息生成模块96.2入侵检测系统和防火墙通讯模块106.3防火墙动态规则处理模块106.4校园网安全防御措施10第
2、七章 小结12参考文献12基于校园网的网络安全系统研究与设计摘 要:传统模式的校园网络安全依靠单一的网络防火墙和防病毒软件构建的二层防护体系来实现。随着网络攻击手段的提高,二层防护体系已经很难适应当前的校园网。本文在比较了防火墙和入侵检测系统各自的区别和联系的基础上,提出一种将入侵检测与防火墙结合起来互动运行的校园网络安全防御系统的解决方案,在不必大幅增加运行成本的基础上大大提高校园网络系统的安全防护水平和网络管理水平。关键词:校园网;入侵检测;防火墙; 网络安全; 系统安全;网络运行安全; 内部网络安全 Research and Design of Campus-Based Network
3、Security System (Computer School of Gansu Institute of Political Science and Law, Lanzhou, 730070)Abstract:The traditional security mode of campus network is realized through the dual system of firewall and anti-virus software. However, with the development of network attack means, it has become bar
4、ely useful to deal with all the problems. The article, made comparison between the firewall and intrusion detection in respect to their respective differences and connections, puts forth with a solution which combines the above ways and enables to improve the security and management of campus networ
5、k without greatly increasing the cost of the operation.Key words: Campus network; Intrusion detection; Firewall; network security13 引言随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也
6、严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。互联网的迅速普及和国内各高校网络建设的不断发展,各大中专院校及中小学相继建成或正在建设校园网。校园网的建成,使学校实现了管理网络化和教学手段现代化,这对于提高学校的管理水平和教学质量具有分重要的意义。但随着黑客的入侵增多及网络病毒的泛滥,校园网的安全已成为不容忽视的问题,数据的安全性和学校自身的利益受到了严重的威胁。因此,能否保证计算机和网络系统的安全和正
7、常运行便成为校园网络管理所面临的一个重要的问题。校园网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一个能够一劳永逸地防范任何攻击的完美系统,这样的系统客观上是不存在的。我们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念1。网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。 第一章 系统安全 系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。 1.1 反病毒技术反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程
8、序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。 1.2入情监测技术入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功
9、能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。 1.3审计监控技术审计监控技术:审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏性行为。因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已
10、较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。 第二章 网络运行安全 网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。 一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。 根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统
11、和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。 第三章 内部网络安全 为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。 3.1访问控制访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最
12、在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。 3.2网络安全检测网络安全检测:保证网络系统安全最有效的办法是定期对网
13、络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。漏洞扫描系统是一种系统安全评估技术,具体包括网络模拟攻击、漏洞测试、报告服务进程、以及评测风险,提供安全建议和改进措施等功能。定期或不定期对一些关键设备和系统(网络、操作系统、主干交换机、路由器、重要服务器、防火墙和应用程序)进行漏洞扫描,对这些设备和系统的安全情况进行评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。漏洞扫描系统性能应具备:扫描项目覆盖网络层、应用层和各种网络服务;扫描对象应覆盖所有的IP设备和服务(包括路由器、NT服务器、U
14、NIX服务器、防火墙等);大容量的漏洞特征库;执行扫描时不会对扫描对象的系统产生影响;对网络的数据包传输不产生明显的延迟;较低的误报率等。第四章 防火墙技术与入侵检测系统的比较防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。防火墙2是实施访问控制策略的系统,对流经网络的流量进行检查并拦截不符
15、合安全策略的数据包。然而,防火墙作为目前保护网络免遭黑客袭击的有效手段,也存在着明显的不足之处:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击等。火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。数据包过滤:数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可