校园网网络安全分析与解决方案.doc

校园网网络安全分析与解决方案 计算机网络所面临的安全威胁有3种：硬件安全、软件安全和数据安全。硬件包括网络中的各种设备及其元配件、接插件及电缆；软件包括网络操作系统、各种驱动程序、通信软件及其他配件；数据包括系统的配置文件、日志文件、用户资料、各种重要的敏感数据库及其网络上两台机器之间的通信内容等机密信息。 一、校园网网络安全的解决方法 1.网络病毒的防范。在网络中，病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染。所以，防止计算机病毒是计算机网络安全工作的重要环节。 2.网络安全隔离。网络和网络之间互联，同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以，网络之间进行有效的安全隔离是必须的。 3.网络监控措施。在不影响网络正常运行的情况下，增加内部网络监控机制可以做到最大限度的网络资源保护。 4.借助软件解决网络安全漏洞。对于非专业人员来说，无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞，因此需要借助第三方软件来解决此安全隐患，并提出相应的安全解决方案。第三方软件要包含以下功能：过滤不当内容网页；IM即时通信使用管理；流媒体下载管理；阻挡P2P点对点档案分享；阻挡Spyware间谍软件封包；防范诈骗网站与恶意程序代码攻击；提供完整的在线的网络活动分析报告；完整记录学生上网行为；提供各种详细的网络应用与潜在网络威胁风险分析报告等。 5.数据备份和恢复。数据一旦被破坏或丢失，其损失是灾难性的。所以，做一套完整的数据备份和恢复措施是校园网迫切需要的。 6.有害信息过滤。对于大中型校园网络，必须采用一套完整的网络管理和信息过滤相结合的系统，实现对整个校园内电脑访问互联网进行有害信息过滤处理。 7.网络安全服务。为确保整个网络的安全有效运行，有必要对整个网络进行全面的安全性分析和研究，制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。 二、网络安全保护 1.网络访问控制 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。 目前进行网络访问控制的方法主要有：MAC地址过滤、VLAN隔离、IEEE802.1Q身份验证、基于IP地址的访问控制列表和防火墙控制等等。 2.物理隔离 首先要明确，物理隔离是网络隔离的早期描述，这里沿用物理隔离，而不用网络隔离这个概念。物理隔离的指导思想与防火墙截然不同，防火墙是在保证互联互通的前提下，尽可能安全；而物理隔离则是保证安全前提下，尽可能互联互通，如果不安全，则断开。 3.逻辑隔离 对大多数机关用户来说，逻辑隔离应该是最为经济实用的方法了。广泛地来看，我们所知的各种安全技术都是在使用逻辑隔离。 也就是说，在保持网络连通（包括直接或者间接）的同时，对网络流量有所取舍。包括VLAN（虚拟局域网）、访问控制、VPN（虚拟专用网）、防火墙、身份识别、端口绑定等等在内的方法都是在某种限定下实现隔离。 在这些手段中，在内网与外网之间设置防火墙（包括分组过滤与应用代理）是保护内部网安全的最常用的措施。 4.防火墙技术概述 为了使网络的机密性、完整性、可用性、真实性、实用性和占有性等方面得到保障，计算机系统的安全，尤其在Internet 环境中，网络安全体系结构的考虑和选择尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。随着安全问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。而防火墙的作用就是防止不希望的、未授权的信息进出被保护的网络。因此，防火墙正在成为控制对网络系统访问的非常流行的方法。 5. 入侵检测技术 入侵检测技术已经过较长时间的发展阶段，自20世纪80年代提出以来得到了很大的发展，国外一些研究机构已经开发出了应用于不同操作系统的几种典型的攻击检测系统。 典型的IDS通常采用静态异常模型和规则误用模型来检测入侵，这些IDS的检测是基于服务器或网络的。早期的IDS模型设计用来监控单一服务器，是基于主机的攻击检测系统；而近期的更多模型则集中用于监控通过网络互连的多个服务器。 6.网络安全漏洞防范 网络安全漏洞所带来的威胁 （1）什么是漏洞？漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以便攻击者能够在未授权的情况下访问或破坏系统。 （2）漏洞分析的目的。漏洞分析的目的是发现目标系统中存在安全隐患，分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。漏洞分析通过对目标进行穿透测试，进而尝试从中获取一些有价值的东西，例如，文本文件、口令文件和机密文档等。穿透测试可以分为两类：无光验知识穿透测试和有光验知识穿透测试。前者通常从外部实施，测试者对被测试网络系统