校园网络安全分析论文.docVIP

　　校园网络安全分析论文 摘要：本文从网络安全策略的角度对校园网络管理中的安全问题进行了划分，主要部分是：安全概念，安全方案，安全周期。对安全方案进行分类，概括为：基础结构安全；管理安全；边界安全。着重对边界安全中防火 摘要：本文从网络安全策略的角度对校园网络管理中的安全问题进行了划分，主要部分是：安全概念，安全方案，安全周期。对安全方案进行分类，概括为：基础结构安全；管理安全；边界安全。着重对边界安全中防火墙技术中应具有的功能进行了探讨。 关键词：安全策略，边界安全，防火墙，安全管理中心 网络安全的概念 包括物理安全和逻辑安全 物理安全指网络系统中各通信计算机设备以及相关设备的物理保护，免予破坏、丢失等； 逻辑安全包括信息完整性、必威体育官网网址性和可用性。必威体育官网网址性是指信息不泄漏给未经授权的人，完整性是指计算机系统能够防止非法修改和删除数据和程序，可用性是指系统能够防止非法防止非法独占计算机资源和数据，合法用户的正常请求能及时、正确、安全的得到服务或回应。 网络计算机中安全威胁主要有：身份窃取，身份假冒、数据窃取、数据篡改，操作否认、非授权访问、病毒等。 校园网络都是借助主干通信网，将各地的分部门和总部连接，同时与Ｉｎｔｅｒｎｅｔ互联。这就存在着以下几方面的网络安全问题： ●总部局域网和各分、子部门局域网之间，分、子部门与下属机构局域网之间广域网干线上信息传输的安全必威体育官网网址问题。 ●总部局域网及各分、子部门局域网自身的安全，要确保这些局域网不受网内用户非法授权访问和破坏。 ●来自外部的非授权用户非法攻击和破坏，以及内部用户对外部非法站点的访问。 2． 解决方案的分类 解决网络安全问题涉及的范围广泛；不安全因素主要集中在网络传播介质及网络协议的缺陷、密码系统的缺陷、主机操作系统的缺陷上，因此在安全策略方面重点考虑： 2．1 基础结构安全 主要包括：操作系统选择和问题规避；帐号设置、口令强度、网络参数、文件监测保护在现实运作中，密码系统已经非常完善，标准的DES、RSA和其他相关认证体系已经成为公认的具有计算复杂性安全的密码标准协议，这个标准的健壮性也经受了成千上万网络主机的考验,但是在网络协议与操作系统本身上，仍然有很多可被攻击的入口。很多网络安全中的问题集中在操作系统的缺陷上。Unix及类 Unix操作系统是在 Inter中非常普遍的操作系统，主要用于网络服务。它的源代码是公开的，所以在很多场合下使用者可以定制自己的Unix,操作系统，使它更适合网络相关的服务要求。 由于网络协议是独立与操作系统的，它的体系结构与操作系统端是无关的，网络协议所存在的安全隐患也是独立于操作系统来修正的。 2．2 管理安全 安全管理是网络必须考虑的，主要包括：权限管理，单点登录，安全管理中心等。 管理的技术手段很多，通过采用加强身份确认的方法获得网上资源控制权如智能IC身份卡，提供安全的远程接入手段；采用虚拟专网技术如网络必威体育官网网址机解决数据在公网传输的安全性；安全邮件和安全Z区的连接 DMZ原意为停火区，在防火墙的应用中是指防火墙将逻辑上同一网段分成物理上的两个网段，其中一个物理网段为正常的受保护网段，另一个物理网段为DMZ，用来连接要对外开放的主机，防火墙对DMZ区只作少量的保护或不做保护。 2．3．4．3．包过滤功能 包过滤功能防火墙最主要的功能之一，是防火墙必备的功能模块。 包过滤指的是对IP数据包的过滤。对防火墙需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口、目的端口等，然后和设定规则进行比较，根据比较的结果对数据包进行转发或者丢弃。大多数数据包过滤系统在数据本身上不作任何事，不作关于内容的决定。有了数据过滤包，可以不让任何人从外界使用Telent 登录，或者让每个人经SMTP向我们发送电子邮件，或者是某个机器经由NNTP把新闻发给我，而其他机器不能这样做。但是你不能控制这个用户能从外部远程登录而他用户不能这样做，因为“用户”不是数据过滤包系统所能辨认的。同时你也不能做到发送这些文件而不是那些文件，因为“文件”也不是数据包过滤系统所能辨认的。 防火墙包过滤功能应具有的特点：支持对进入报文、转发报文和出去的报文的分别过滤。支持非操作符；支持端口范围的控制；支持ICMP报文类型的控制。 使用包过滤模块会对网络传输速率有影响，但速率的降低不能超过25% 2．3．4．4．应用层过滤 应用层的过滤是一种细粒度的过滤，实际上是对报文数据内容的过滤。在应用层可以实现对URL的过滤以及其它网络应用层协议（如FTP）的协议命令的过滤和报文内容的过滤。通过应用层过滤，可以禁止非法站点的连接（这些站点通常是含有反动、黄色信息）达到对非法信息的过滤。 2．3．4．5．透明