校园网系统安全设计与实现Word文档下载推荐.docx
- 文档编号:21288611
- 上传时间:2023-01-29
- 格式:DOCX
- 页数:18
- 大小:35.02KB
校园网系统安全设计与实现Word文档下载推荐.docx
《校园网系统安全设计与实现Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《校园网系统安全设计与实现Word文档下载推荐.docx(18页珍藏版)》请在冰豆网上搜索。
目前国内在这些方面的研究还不能跟上网络技术的发展。
网络上大量存在的计算机病毒、黑客行为、木马等安全威胁,无时无刻不在影响着校园网络的健康发展,利用何种技术措施保证校园网安全、高效地运行,已成为目前许多学校急需解决的研究课题。
目前,常采用的保护网络安全的技术主要有数据加密,防火墙,入侵检测、杀毒、访问控制等。
这些技术分别在一方面或多方面抵御着来自网络的安全威胁。
然而,威胁网络安全的计算机病毒技术、黑客技术、木马技术等却在不断的发展变化之中。
在校园网的建设实践中,追求百分之百的网络安全是办不到的,综合运用多种网络安全技术建成一个相对安全的、符合一定安全需求的校园网才是明智的选择。
在对各种网络安全技术进行深入地探讨后,具体分析了延边大学校园网存在的安全问题,针对校园网在运行中所遇到的实际问题,在信息系统安全理论的指导下,设计了总体网络安全体系方案。
在方案中,特别对防火墙、入侵检测、病毒防治等多方面给出了具体的解决方案。
另外,在安全管理方面,给出了对校园网的管理意见。
关键词:
校园网;
网络安全;
安全需求;
安全策略
Abstract
ThesecurityoftheOpeningNetworkisaproblemconcerningmanyareasandalsoacomplexprojectofsystemengineeringwhichinvolvestechniques,managementandlaws.Domesticstudiescannotyetkeepupwiththerapiddevelopmentofnetworktechniques.Thethreateningofthecomputervirusandhackersareaffectingthehealthdevelopmentofthecampusnetwork.Andhowtoassurethesecurityandtheefficiencyofthecampusnetworkisbecomingtheemergenceresearchtopicinlotsofcolleges.
Recently,thepopulartechnologiesofprotectingnetworkincludedata-encrypting、firewall、IDS、killing-virus、access-controllingandsoon.Thesetechnologiesresistthesecuritythreateningfromnetworkinoneaspectandsomeaspectsrespectively.However,thetechnologiesofcomputervirusandhackerarealsodeveloped.Inthebuildingofthecampusnetwork,itisimpossibletohavethetotallysecurity.Usingalotofnetworksecuritytechnologiestobuildarelativelysafenetworkwhichsatisfiesthesecurityrequesttocertainextentisawiseway.
Afterthediscussingofseveralnetworksecuritytechnologies,thesecurityproblemoftheCampusNetworkofYanbianUniversityisanalysedindetail.AccordingtotherealproblemwhentheCampusNetworkisrunningandbasedonusingtheguidanceofsafetheoryofinformationsystem,aoverallsecuritysolutionisputforwardinthisthesis.Especially,thenecessarysecurityassurancemeasuresaredesignedindetail,includingfirewall,intrusiondetection,anti-virusandsoon.Meanwhile,suggestionforeffectivesecuritymanagementisputforward.
Keywords:
Campusnetwork;
NetworkSecurity;
Securityrequirement;
Securitypolicy
引言.....................................................................................................................................1
第一章系统概述.................................................................................................................2
第二章系统风险分析.........................................................................................................4
2.1物理安全风险分析................................................................................................4
2.2链路层脆弱性分析................................................................................................4
2.3网络层脆弱性分析................................................................................................4
2.4操作系统的脆弱性分析........................................................................................6
2.5应用层安全风险分析............................................................................................6
2.6管理的安全风险分析............................................................................................7
第三章系统安全需求.........................................................................................................8
3.1安全需求说明........................................................................................................8
3.2系统安全目标........................................................................................................9
第四章系统安全设计.......................................................................................................10
4.1安全设计原则......................................................................................................10
4.2安全设计标准......................................................................................................10
4.3安全方案..............................................................................................................10
4.3.1物理安全...................................................................................................11
4.3.2网络安全...................................................................................................12
4.3.3业务应用安全...........................................................................................15
4.3.4安全管理与服务.......................................................................................16
4.4安全方案特点......................................................................................................16
第五章系统安全测试与实现...........................................................................................17
5.1系统安全测试......................................................................................................17
5.2系统安全技术实现..............................................................................................19
第六章总结.......................................................................................................................23
参考文献.............................................................................................................................24
谢辞...................................................................................................................................25
引言
知识经济时代的到来和信息技术的飞速发展,以及全球经济一体化的加剧,信息传输的途径越来越依赖于电信网,尤其是计算机互联网。
近十几年来,信息技术尤其是计算机网络技术得到了飞速发展。
互联网提供的WWW、电子邮件等服务为人们提供了前所未有的交流便利,把“地球村”的居民紧密地联系在一起。
在改变人们日常生活的同时,网络技术对经济发展带来了巨大的冲击。
这种冲击也带动了单位系统的信息化建设向网络化快速的发展,随着这种发展的不断继续和升级,各方面对于信息技术,特别是计算机网络技术依赖越来越大,有越来越多的重要信息通过网络传递。
然而,凡事“有一利必有一弊”。
人们在得益于信息革命带来的巨大机遇的同时,不得不面对信息安全问题的严峻考验。
信息系统安全,是指为信息处理系统建立所采取的技术和管理的安全保护措施,以保护计算机系统中的硬件、软件及数据,防止其因偶然或恶意的原因而使系统或信息遭到破坏、更改或泄露。
信息系统安全的内容包括了计算机安全技术、安全管理、安全评价和安全产品、计算机犯罪与侦察、计算机安全、安全监察,以及计算机安全理论与策略。
信息系统的可靠运转是基于通信子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。
因此,它的风险将来自对网络的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。
相对于过去的局域网、主机环境、单机环境,目前网络的规模庞大,结构复杂,网络上运行着各种各样的主机和应用程序,使用了多种网络设备;
同时,由于多种业务的需要,又和许多其它网络进行连按,使安全问题变得越来越复杂和突出。
延边大学对信息化建设极其重视,先后制定了信息化建设的发展战略、总体规划、实施方案以及有关制度、标准及规范等。
经过多年建设后,已经形成了比较完善的校园网,整体结构是一个通过WAN连接的多级LAN网络,在网络每一级的节点上具有一个局域网。
基于这种情况,考虑到延边大学学生人数较多,应用系统复杂,为保障校园网运行安全,有必要统一规划,设计一个延边大学校园网安全解决方案。
本文拟对校园网的安全威胁进行分析,基于其安全需求,在研究己有安全体系结构的基础上,分析信息系统安全特点,根据延边大学校园网的实际安全要求,提出一个安全解决方案,探讨如何保障大学校园网的应用安全。
第一章系统概述
延边大学成立于1949年3月20日,地处有“教育之乡”美誉的吉林省延边朝鲜族自治州首府延吉市,是一所具有鲜明民族特色的综合性大学,是国家“211工程”重点建设大学、西部开发重点建设院校、吉林省和教育部共同重点支持建设大学。
经过几年的辛苦努力,目前已建成了连接校本部、医学院校区、艺术学院校区、科技学院校区和农学院校区五个校区的校园网基础网络,该网络覆盖了五校区绝大部分的教学、行政办公区域和全部的学生宿舍。
因为两个区域都是为全校的教学、科研、管理和生活服务的,所以合称为校园网。
校园网拓扑如图1所示。
图1延边大学校园网拓扑图
从图1可见,延边大学校园网分为校本部、医学院校区、艺术学院校区、科技学院校区和农学院校区五个大型子网,五个校区通过神州数码DCRS-7608交换机进行连接。
利用千兆网络防火墙DCFW-1800G实现了内、外网隔离,外网可通过VPN访问内
网。
校本部由校部教学办公区、校部图书馆区、校部宿舍区和信息与网络中心组成。
教师/学生通过Cisco7609经由网通或教育网接入Internet,同时,通过校园网路由器,教师/学生也可以直接访问校园网内的资源;
网管中心负责对整个校园网进行监测,及时排除故障,确保校园网健康运行。
在校本部网络中,还包括给公众提供信息服务(WWW服务、FTP服务、E-MAIL服务等)的局域网。
第二章系统风险分析
一般认为,信息系统风险是系统脆弱性和/或漏洞,以及以系统为目标的威胁的总称。
解决信息系统安全,首先需要了解风险来自何处?
如何产生?
导致什么样的危害?
根据脆弱性分析和威胁分析的结果,分析利用这些薄弱环节进行攻击的可能性,评估如果攻击成功所带来的后果,根据涉密信息系统所能承受风险确定涉密信息系统的防护重点。
延边大学校园网是一套以TCP/IP协议为架构的大型局域网,TCP/IP系统实际上由物理层、链路层、网络层、传输层和应用层构成,每一层既为通信服务,同时也是风险点。
其次,应用层软件在操作系统之上运行,作为整个计算机系统的基础,操作系统与风险的发生密切相关。
最后,安全管理机制和对网络安全政策及防护意识的认识不足所带来的风险也不容忽视。
下面从物理层安全、链路层安全、网络层安全、操作系统安全、应用层安全及管理安全进行分类描述:
[2]
2.1物理安全风险分析
网络物理安全是整个网络系统安全的前提,包括环境安全、设备安全和介质安全。
对于延边大学校园网而言,物理安全风险可能导致网络平台或网络内数据资源的损毁,主要表现在如下几个方面:
●地震、水灾、火灾等环境事故造成整个系统毁灭;
●电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;
●设备被盗、被毁造成数据丢失或信息泄漏;
●电磁辐射可能造成数据信息被窃取或偷阅;
●报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
2.2链路层脆弱性分析
链路层的脆弱性主要体现在两个方面:
(1)LAN内部的嗅探。
通过嗅探,攻击者可以通过网卡获取所在LAN内传输的明文数据,再通过数据解析/还原,可以窃取LAN内的通信信息;
(2)基于ARP协议的欺骗。
通过伪造ARP数据包,可以干扰LAN的正常通信,影响或破坏LAN的使用。
2.3网络层脆弱性分析
延边大学校园网是基于TCP/IP协议的网络,由于TCP/IP协议最初并非基于安全系统而设计,在安全上有先天不足,使整个计算机网络在网络层可能受到以下几方面的安全威胁。
(1)明文传输所面临的威胁
当在一个以太网上传输数据时,同一个子网的每个网络设备都会收到这个包,因此数据信息很容易被在线窃听。
最关键的是TCP/IP网络上的数据传输都是采用明文的方式进行传输,特别是在使用FTP、Telnet或电子邮件时,用户的帐号和口令都没有加密,攻击者很容易从截取的数据包中获得用户帐号和口令,达到非法访问的目的。
如果,获得其它一些关键帐号和口令,对系统造成更大的危害。
(2)IP地址欺骗/假冒
TCP/IP协议是采用IP地址来作为网络节点的唯一标识,但是节点的IP地址又是不固定的,是一个公共数据,因此攻击者可以直接修改节点的IP地址,冒充某个可信节点的IP地址,进行攻击。
IP地址欺骗/假冒在校园网中更为突出,因为使用校园网的主要生力军是大学生,学生数量多,冒险意识强,IP地址欺骗/假冒的现象出现的比较多,对校园网正常的通信秩序构成威胁。
(3)源地址路由欺骗
TCP/IP协议中,IP数据包设置了一个选项—IPSourceRouting,该选项可以由发送方直接指明达到节点的路由。
攻击者可以冒充某个可信节点的IP地址,构造一个通往某个服务的直接路径和返回的路径,利用可信用户作为通往服务器的路由中的最后一站,就可以非法和服务器建立连接,对其进行攻击。
(4)端口扫描威胁
在TCP/IP网络中,所有的网络服务都通过一个端口向外提供服务,客户端在连接这些端口时,TCP/IP在网络层和传输层都不对这些连接请求进行身份验证,而且在任何状态下都会返回应答数据包。
因此,攻击者很容易通过连接所有端口的结果获得目标主机上存在那些服务,然后在根据服务本身的漏洞进行进一步的攻击。
(5)TCP序列号欺骗
由于TCP序列号可以预测,因此攻击者可以构造一个TCP包序列,这种方式可以用于扰乱正常的通信,也可以用于伪造、篡改通信的数据,甚至可以用于接管一个己经通过身份认证的会话连接,以对某个目标进行攻击。
(6)TCP同步轰炸
TCP是一个面向连接、可靠的传输层协议,通信双方必须通过一个三次握手方式建立一条连接,即SYN,SYN+ACK和ACK三个协议数据包。
如果连接请求方伪造一个不存在的IP源地址发送SYN数据包请求连接,目标主机将无法将SYN+ACK包回送到
[3]
这个实际上不存在的IP地址,最终只能等待超时,而这会长时间占用系统的资源。
如果攻击者连续地发送这种数据包,目标主机最终将资源耗尽,导致死机。
2.4操作系统的脆弱性分析
操作系统安全是指网络操作系统及其提供服务的安全。
目前的操作系统无论是Windows、Linux还是其它商用UNIX操作系统,由于整体设计的缺陷和其软件代码的巨大开发规模,系统本身存在安全漏洞也在所难免。
这些安全漏洞都将存在重大安全隐患。
WindowsNT/2000和Unix虽都属于C2级安全操作系统[4],拥有用户标识、身份认证、存储控制和审计跟踪等功能,但是,即使在不考虑产品代码本身存在漏洞的情况下,这些安全体系仍然漏洞百出,非常容易被攻击。
(1)配置不当
系统的安全程度与系统配置有很大关系,用户如果没有采用适当的系统配置将产生很大的安全隐患。
例如,没有设置用户口令或者口令强度不够;
重要文件的权限限制过宽;
有意、无意把硬盘中重要信息目录共享,长期暴露在网络上。
(2)系统服务
操作系统对外提供的一些网络服务,如RPC服务、Daemon进程,为入侵者的攻击提供了一些有用的系统信息,入侵者也可能通过这些服务存在的漏洞获得系统的访问权限,甚至是超级用户的控制权,从而进一步实现攻击目的。
(3)病毒
病毒是针对操作系统在体系结构的一些特点而设计的可执行程序,存在于Windows,Unix,Netware等各种平台之上,具有隐蔽性、传播快、可复制、破坏力强等特点。
病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。
病毒的危害不容忽视,网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,造成信息泄漏、文件丢失、机器死机等不安全因素。
2.5应用层安全风险分析
延边大学校园网校本部网络内有提供公众信息服务的服务器,如WWW服务、FTP服务、E-MAlL服务等。
和操作系统提供的系统服务一样,这些应用服务如果存在漏洞也会给系统的安全带来极大的隐患。
(1)WWW服务
作为延边大学宣传的重要窗口,WWW服务扮演了重要的角色。
如果WWW服务器存在漏洞,可能造成的危害有:
(a)攻击者非法篡改延边大学WWW页面;
(b)攻击者通过DoS技术攻击WWW服务器,干扰其正常运行。
(2)电子邮件服务
电子邮件服务给人们提供了一种便宜、方便和快捷的服务,如果E-MAIL服务器存在漏洞,攻击者可以利用这些漏洞控制E-MIAL服务器,这将给使用E-MAIL服务器的用户构成极大的威胁。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园网 系统安全 设计 实现