校园网络安全设计.docVIP

摘 要 本文从计算机网络面临的各种安全威胁，系统地介绍网络安全技术。并针对校网络安全问题进行研究首先分析了高校网络系统安全的然后从安全和安全两方面了校网络安全策略。 前 言 二十一世纪是只是经济时代。随着现代科学技术的飞速发展，全球信息化浪潮势不可挡，已经迅速延伸至国防、科研、教育等各个领域，也不可避免地改变着传统的企业人事的工作模式，利用当前蓬勃发展的一计算机和网络为主导的现代信息技术则是企业实现现代化工作的必不可少的技术基础， 我国的信息起步晚，本可以高起点，高标准的建设我国的信息高速公路，但由于我国经济能力和幅员辽阔，建设成本压力很大，因此发展较为缓慢。 学校，尤其是各大高校，作为知识基地和人才基地，它理应为代表信息产业技术发展的最前沿，然而现状是工业水平高于学术水平，即使这样，1994年中国教育科研网正是启动以来，已与国内几百所学校相连，2000年该网“二期工程”完成时，除达到连接1000所大学的目标外，对有条件的中小学也将提供上网接入服务，但实际情况是我国大多数校园网却因应用水平的低下而造成资源的极大浪费，如何利用当前先进的计算机技术与校园网资源，实现学校各项业务系统的集成，提高应用水平成为学校校园网建设的工作重点。校园网在国内发展还不成熟，学校、媒体甚至计算机业界，对校园网都缺乏全面、深入的理解和认识，带有一定的盲目性和偏见。建设校园网要经过周密的论证、谨慎的决策和紧张的施工。米钱存在的一些情况是，网建成了问题也出现了；设计目标无法实现；应用软件缺乏，阻碍了设想实施；维护费用不堪承受等等。这就是需要在网络建设实施前确定明确的设计目标，是技术和成本找到最佳点，并考虑到日后的升级，既可扩展性。 第二章 校园网主动防御体系 校园网的网络攻击主要来自internet中,所以对网络的攻击可以分为两种基本的类型，即服务攻击与非服务攻击。 （1）服务攻击 指对为网络提供某种服务的服务器发起攻击，遭成该网络的“拒绝服务”，使网络工作部正常。拒绝服务攻击将会带来消耗带宽、消耗计算资源、使系统和应用崩溃等后果，它是阻止针对某种服务的合法使用者访问他有权的服务。 （2）非服务攻击 非服务攻击是针对网络层等低层协议进行的，攻击者可能使用各种方法对网络通信设备发起攻击，使得网络通信设备工作严重阻塞或瘫痪，导致一个局域网或更多的网布能正常工作。与服务攻击相比，非服务攻击与特定服务无关，它往往利用协议或操作系统实现协议时的漏洞来达到目的。 校园网络存在的安全隐患和漏洞有： 1）校园网通过CERNET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。2）校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上3）目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。大学的网络服务器安装的操作系统有WindowsNT/Windows2000、Unix、Linux等，这些系统安全风险级别不同，例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞；Unix由于其技术的复杂性导致高级黑客对其进行攻击：自身安全漏洞（RIP路由转移等）、服务安全漏洞、Unix自身的病毒等等，这些都对原有网络安全构成威胁。随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全显得尤其重要。、、、、P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型，也是动态安全模型的雏形。P2DR模型包括四个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。P2DR 模型是在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。 该理论的最基本原理就是认为，信息安全相关的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt；在入侵发生的同时，检测系统也在发挥作用，检测到入侵行为也要花费时间―检测时间Dt