校園網網絡的安全現狀與對策研究畢業論文

2023年12月14日發(作者：小花折紙)

-

大學

畢業設計（論文）

題目校園網網絡的安全現狀與對策研究

院系

專業信息管理與信息系統

年級

學生

學生學號

指導教師

完成畢業設計（論文）時間年月

1 / 29 目錄

摘要4

1.0 網絡安全發展歷史與現狀分析5

1.1.1因特網的發展與其安全問題5

1.1.2網絡的開放性帶來的安全問題5

1.2網絡安全的防護力脆弱，導致的網絡危機6

1.3網絡安全的主要威脅因素6

1.4我國網絡安全現狀與發展趨勢7

2.0 校園網網絡概述8

2.1.1 校園網的簡介8

2.1.2 校園網概念8

2.1.3校園網有什么作用8

3.0 校園網的網絡構成10

3.1校園網網絡體系結構概述10

3.2校園網系統功能構成11

3.3 校園的應用管理平臺12

3.4 典型校園網拓撲結構12

3.5 校園網的建設目標13

4 網絡安全概述14

4.1網絡安全的含義14

4.2 網絡安全的屬性14

4.3 網絡安全機制15

4.3.1 網絡安全技術機制15

4.3.2 網絡安全管理機制15

5.0 校園網存在的安全隱患16

5.1 危害校園網安全的部因素16

5.1.1 軟硬件自身存在的漏洞16

5.1.2 設置上的失誤16

5.1.3 管理上的漏洞17

5.2 危害校園網安全的外部因素17

5.2.1 網絡黑客的侵入17

5.2.2 計算機病毒的破壞17

6.0 校園網網絡安全對策分析19

6.1網絡攻擊的概念19

6.2 校園網絡安全對策概述19

6.2.1 網絡安全系統對策的制定19

6.2.2 校園網絡安全的設計原則20

6.3 校園網絡安全體系結構設計20

6.3.1 設計校園網絡安全體系的原則21

6.3.2 校園網絡安全體系的設計容21

6.4 解決校園網安全問題的主要方法21

2 / 29 6.4.1 防火墻部署21

6.4.2 備份與恢復22

6.4.3 入侵檢測(IDS)23

6.4.4 計算機病毒防24

6.4.5 漏洞掃描24

7.0 其他網絡安全解決方案26

7.1關閉不必要的端口26

7.2 鞏固安全策略26

結語28

參考文獻29

3 / 29 摘要

隨著計算機和網絡技術的迅猛發展，互聯網成了人們快速獲取，發布，傳遞信息的重要途徑。計算機網絡已滲透到社會的各個領域。各行各業都處在網絡化和信息化的建設過程中。所以計算機網絡在人們的生活，經濟，和政治上發揮著重要的作用。

隨著網絡的逐步普與，校園網絡的建設是學校向信息化發展的必然選擇，校園網網絡系統是一個非常龐大而復雜的系統，它不僅為現代化教學、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺，而且能提供多種應用服務，使信息能與時、準確地傳送給各個系統，但是同時校園網還面臨各種安全威脅

本論文從計算機網絡面臨的各種安全威脅，系統地介紹網絡安全技術。并針對校園網絡的安全問題進行研究，首先分析了高校網絡系統安全的隱患，然后從構建安全防御體系和加強安全管理兩方面設計了校園網絡的安全策略。本次論文研究中，我首先了解了網絡安全問題的主要威脅因素，并利用網絡安全知識對安全問題進行剖析。其次，通過對網絡技術的研究，得出校園網也會面臨著安全上的威脅。最后，確立了用P2DR模型的思想來建立校園網的安全防御體系。并得出了構建一套有效的網絡安全防御體系是解決校園網主要威脅和隱患的必要途徑和措施。

關鍵詞：網絡安全，安全防，校園網，校園網安全

4 / 29 1.0 網絡安全發展歷史與現狀分析

1.1.1因特網的發展與其安全問題

隨著計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、文件處理，基于簡單連結的部網絡的部業務處理、辦公自動化等發展到基于企業復雜的部網、企業外部網、全球互聯網的企業級計算機處理系統和世界圍的信息共享和業務處理。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網絡連接的安全問題也日益突出。主要表現在以下方面：

1.1.2網絡的開放性帶來的安全問題

Internet的開放性以與其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題，各種安全機制、策略、管理和技術被研究和應用。然而，即使在使用了現有的安全工具和技術的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以包括為以下幾點:

(1) 安全機制在特定環境下并非萬無一失。比如防火墻，它雖然是一種有效的安全工具，可以隱蔽部網絡結構，限制外部網絡到部網絡的訪問。但是對于部網絡之間的訪問，防火墻往往是無能為力的。因此，對于部網絡到部網絡之間的入侵行為和外勾結的入侵行為，防火墻是很難發覺和防的。

(2)安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。例如，Windows NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對Windows NT本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態掃描工具來檢測系統是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。

(3)系統的后門是難于考慮到的地方。防火墻很難考慮到這類安全問題，多數情況下，這類入侵行為可以堂而皇之經過防火墻而很難被察覺；比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。對于這類入侵行為，防火墻是無法發覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區別是入侵訪問在請求中多加了一個后綴。

5 / 29 (4) BUG難以防。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據可查。比如說現在很多程序都存在存溢出的BUG，現有的安全工具對于利用這些BUG的攻擊幾乎無法防。

(5)黑客的攻擊手段在不斷地升級。安全工具的更新速度慢，且絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應遲鈍。當安全工具剛發現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

1.2網絡安全的防護力脆弱，導致的網絡危機

(1)根據Warroon Rearch的調查，1997年世界排名前一千的公司幾乎都曾被黑客闖入。

(2) 據美國FBI統計，美國每年因網絡安全造成的損失高達75億美元。

(3) Ernst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業遭受損失。

(4)最近一次黑客大規模的攻擊行動中，雅虎的網絡停止運行3小時，這令它損失了幾百萬美金的交易。而據統計在這整個行動中美國經濟共損失了十多億美金。由于業界人心惶惶，亞馬遜(Amazon.)、AOL、雅虎(Yahoo!)、eBay的股價均告下挫，以科技股為主的那斯達克指數(Nasdaq)打破過去連續三天創下新高的升勢，下挫了六十三點，杜瓊斯工業平均指數周三收市時也跌了二百五十八點。

1.3網絡安全的主要威脅因素

(1)軟件漏洞：每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地，一旦連接入網，將成為眾矢之的。

(2)配置不當：安全配置不當造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網絡應用程序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置，否則，安全隱患始終存在。

(3)安全意識不強：用戶口令選擇不慎，或將自己的隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

(4)病毒：目前數據安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數據，影響計算機軟件、硬件的正常運行并且能夠自我復制6 / 29 的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。因此，提高對病毒的防刻不容緩。

(5)黑客：對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統，其危害性非常大。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。

1.4我國網絡安全現狀與發展趨勢

因特網在我國的迅速普與，我國境信息系統的攻擊事件也正在呈現快速增長的勢頭。據了解，從1997年底到現在，我國的政府部門、證券公司、銀行、ISP, ICP等機構的計算機網絡相繼遭到多次攻擊。因此，加強網絡信息安全保障已成為當前的迫切任務。

目前我國網絡安全的現狀和面臨的威脅主要有：

(1)計算機網絡系統使用的軟、硬件很大一部分是國外產品，我們對引進的信息技術和設備缺乏保護信息安全所必不可少的有效管理和技術改造。

(2)全社會的信息安全意識雖然有所提高，但將其提到實際日程中來的依然很少。

(3)目前關于網絡犯罪的法律、法規還不健全。

(4)我國信息安全人才培養還不能滿足其需要。

7 / 29 2.0 校園網網絡概述

技術的不斷發展，網絡安全已成為一個不可忽視的問題。伴隨著高校校園數字化的不斷深入，校園網安全越來越成為人們關注的焦點之一。本章系統地論述了計算機網絡技術的發展以與當前網絡安全所面臨的主要問題，校園網的發展狀況，校園網的拓撲結構，功能結構，校園網的建設目標等容。

2.1.1 校園網的簡介

隨著網絡技術的發展和網絡應用的普與，校園網在國高等學校中已經開始普與。并且隨著國高校的教學發展，高校應用水平的提高，高等學校校園網的整體水平和層次有了不小的提高。

2.1.2 校園網概念

校園網是為學校師生提供教學、科研和綜合信息服務的寬帶多媒體網絡。第一，校園網應為學校教學、科研提供先進的信息化教學環境。這就要求：校園網是一個寬帶 、具有交互功能和專業性強的局域網絡。多媒體教學軟件開發平臺、多媒體演示教室、教師備課系統、電子閱覽室以與教學、考試資料庫等，都可以在該網絡上運行。如果一所學校有多個專業學科（或多個系），也可以形成多個局域網絡，并通過有線或無線方式連接起來。第二，校園網應具有教務、行政和總務管理功能。

2.1.3校園網有什么作用

(1) 信息傳遞

這是校園網絡最基本的功能之一，用來實現電腦與電腦之間傳遞各種信息，使分散在校園不同地點的電腦用戶可以進行集中的控制管理。在校務部門建立網絡服務器，可以為整個校園網絡提供各類教學資源

(2) 資源共享

信息資源共享。通過接入DDN或ISDN，很容易將校園網連接到internet,這樣，網絡的各電腦終端不但可以互通信息資源，而且可以享受網絡服務器上的相關數據與internet網上取之不盡，用之不竭的巨大信息資源，校園網在教學活動中的作用也將成倍地增強

(3) 網上資源提高教學質量，方便教學

以往傳統的教學手段已經不能夠滿足時代進步的需要,如何把課本里的東西，8 / 29 變得生動、形象，在以前是很難的，但現在就不算什么，依靠信息技術，從互聯網我們可以找到教學資源，并可應用到教學中。網絡可以進行圖、文、聲并茂的多媒體教學，可以取代語言實驗室進行更生動的語言教學，也可以利用大量現成的教學軟件，提供一個良好的教學環境，這些都是以往任何教學手段所不能達到的。校園網絡不但可以在校進行網絡教學，還很容易同外界大型網絡連結，形成更大圍的網絡交互學習環境。這樣的教學方式，大大提高了學生的學習興趣，教學效果好，老師也就提高了教學的質量，真是一舉二得。

9 / 29 3.0 校園網的網絡構成

校園網的網絡構成可以按照不同的標準來區分，通常可以按照網絡的拓撲和網絡的功能分為校園網的體系機構和校園網的功能結構。

3.1校園網網絡體系結構概述

（1）校園網基礎設施建設是我們數字化校園的基礎，它的建設水平和效果直接影響到我們運行在校園網上的服務，影響到全校的教學、科研甚至影響到師生的日常生活。校園網的建設包括根據自身的應用需求和特點進行校園網的體系結構的設計，相關技術設備的選擇，網絡出口包括設備之間拓撲關系的確定、集成、調試，應用建設等關鍵環節，在這些環節當中也包含著對校園網絡安全的考慮與設計。

（2）網絡體系結構是關于如何構建網絡的技術，它包括兩個層次的涵。一是要標識出網絡系統由哪些部分組成，清晰地描述出各個部分的目的、功能和特點。二是要描述網絡各組成部分之間的關系，如何將各部分有機地結合在一起，形成完整的網絡系統，從而保證網絡有效地運行，也就是將各部分進行集成的方式。

（3）校園網安全策略的制定和實施是以各高校校園網的基礎體系結構和網絡應用具體情況為依據和實施基礎的。因此在制定各高校的網絡安全策略和實施具體的安全策略之前，透徹分析校園網體系結構,網絡拓撲結構，網絡的路由策略，網絡的區域劃分，IP與VLAN的規劃，網絡訪問策略，各應用系統的功能服務對象，訪問限制等等是非常有必要的，其性能直接影響到網絡安全策略的實施效果。

10 / 29 3.2校園網系統功能構成

校園網作為校園網絡信息平臺應該由一個平臺和三個系統構成，即系統管理平臺、校園公共信息系統、校園管理信息與辦公自動化系統、校園教學資源庫系統。見下圖1-1

校園公共信息系統

校園管理信息系統 辦公自動化系統

課程注冊管理學籍管理成就績務活業管管

管管理理理理教學資源庫系統

校校校園園園聊大天事室記

通知公告信息發布

權限管理 系統管理

校園系統管理平臺

后勤管理人事管理

教

生電討公個子論文人郵區管信理息件管理

資料管理

電子圖書館

遠程教育系統

多媒體教學

BBS

圖1-1 校園網系統功能結構圖

11 / 29

3.3 校園的應用管理平臺

（1）校園應用系統管理平臺是一個安全性好、易管理、可靠性高的操作平臺。在此平臺上可輕松的實現系統備份和恢復、用戶權限的設置、用戶注冊以與資源的調整、初始化等管理工作。通過使用Intranet/Internet技術實現了與Internet的無縫連接。

（2）教學資源庫系統提供一致的資源管理和使用方式，實現簡便精確的資源獲取與檢索，全面支持教學應用，包括對各類教學軟件庫、教學網絡平臺、電子閱覽室等資源的分類、檢索和管理、多媒體教學、遠程教育等功能。

（3）校園管理信息系統用于支持學校日常管理的各項工作。用戶通過使用人事管理、教育教學管理、后勤管理、教學資源與應用平臺、圖書館管理、生活管理等多個功能子系統可以方便快捷地處理各種復雜數據操作和文字錄入，完成各種校園信息數據的有效管理。

3.4 典型校園網拓撲結構

校園網的網絡體系結構包括校園網的網絡邊界設備，核心與骨干設備，網絡接入層設備，網絡服務提供設備和這些設備的連接方式以與該結構采用的協議與技術。

當前的校園網多采用1000M以太網主干技術，1000M或100M到樓，100M或10M到桌面，部分區域采用無線接入技術（802.11）實現無線接入。校園網絡一般有邊界路由器，高性能的核心路由交換機，各分布層的三層路由交換機，大量的二層可網管接入交換機，以與防火墻，容過濾系統，流量分析系統，網絡設備管理系統等網絡硬件設備。校園網多采用星形拓撲結構。

常見的校園網拓撲結構如圖1-2

圖1-2 校園網拓撲結構

12 / 29 3.5 校園網的建設目標

網絡安全是抵御外部各種形式的威脅，以保證網絡安全的過程。為了深入理解什么是網絡安全，必須理解網絡安全目的是在保護網絡上所面臨的威脅，理解一個能夠用于阻止這些攻擊的主要機制也是很重要的。通常，在網絡上實現最終的安全目標可通過下面的步驟完成，每一步都是為了澄清攻擊和阻止攻擊的保護方法之間的關系。下面的步驟是在一個站上建立和實現安全的方法：

第1步：確定要保護的是什么；

第2步：決定盡力保護它免于什么威脅；

第3步：確定威脅的可能性；

第4步：以一種劃算的方法實現保護資產的目的；

第5步：不斷地檢查這些步驟，每當發現一個弱點就進行改進。

校園網絡系統需要實現以下安全目標：

（1）防網絡資源的非法訪問與非授權訪問；

（2）保護信息通過網上傳輸過程中的完整性、性。

（3）保護網絡系統的可用性；

（4）防御入侵者的惡意破壞與攻擊；

（5）保護網絡系統服務的連續性；

13 / 29 4網絡安全概述

4.1網絡安全的含義

網絡安全從其本質來講就是網絡上信息安全，它涉與的領域相當廣泛，這是因為目前的公用通信網絡中存在著各式各樣的安全漏洞和威脅。廣義上講，凡是涉與到網絡上信息的性、完整性、可用性和可控性的相關技術和理論，都是網絡安全的研究領域。

網絡安全是指網絡系統的硬件，軟件與數據受到保護，不遭受偶然或惡意的破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。且在不同環境和應用中又不同的解釋。

（1）運行系統安全：即保證信息處理和傳輸系統的安全，包括計算機系統機房環境和傳輸環境的法律保護、計算機結構設計的安全性考慮、硬件系統的安全運行、計算機操作系統和應用軟件的安全、數據庫系統的安全、電磁信息泄露的防御等。

（2）網絡上系統信息的安全：包括用戶口令鑒別、用戶存取權限控制、數據存取權限、方式控制、安全審計、安全問題跟蹤、計算機病毒防治、數據加密等。

（3）網絡上信息傳輸的安全：即信息傳播后果的安全、包括信息過濾、不良信息過濾等。

（4）網絡上信息容的安全：即我們討論的狹義的“信息安全”；側重于保護信息的性、真實性和完整性。本質上是保護用戶的利益和隱私。

4.2 網絡安全的屬性

網絡安全具有三個基本的屬性：性、完整性、可用性。

（1）性：是指保證信息與信息系統不被非授權者所獲取與使用，主要措施是密碼技術。

（2）完整性：是指保證信息與信息系統可被授權人正常使用，主要防措施是確保信息與信息系統處于一個可靠的運行狀態之下。

以上可以看出：在網絡中，維護信息載體和信息自身的安全都包括了性、完整性、可用性這些重要的屬性

14 / 29 4.3 網絡安全機制

網絡安全機制是保護網絡信息安全所采用的措施，所有的安全機制都是針對某些潛在的安全威脅而設計的，可以根據實際情況單獨或組合使用。如何在有限的投入下合理地使用安全機制，以便盡可能地降低安全風險，是值得討論的，網絡信息安全機制應包括:技術機制和管理機制兩方面的容。

4.3.1 網絡安全技術機制

網絡安全技術機制包含以下容：

（1）加密和隱藏。加密使信息改變，攻擊者無法了解信息的容從而達到保護；隱藏則是將有用信息隱藏在其他信息中，使攻擊者無法發現。

（2）認證和授權。網絡設備之間應互認證對方的身份，以保證正確的操作權力賦予和數據的存取控制；同時網絡也必須認證用戶的身份，以授權保證合法的用戶實施正確的操作。

（3）審計和定位。通過對一些重要的事件進行記錄，從而在系統中發現錯誤或受到攻擊時能定位錯誤并找到防失效的原因，作為部犯罪和事故后調查取證的基礎。

（4）完整性保證。利用密碼技術的完整性保護可以很好地對付非法篡改，當信息源的完整性可以被驗證卻無法模仿時，可提供不可抵賴服務。

（5）權限和存取控制：針對網絡系統需要定義的各種不同用戶，根據正確的認證，賦予其適當的操作權力，限制其越級操作。

（6）任務填充：在任務間歇期發送無用的具有良好模擬性能的隨機數據，以增加攻擊者通過分析通信流量和破譯密碼獲得信息難度。

4.3.2 網絡安全管理機制

網絡信息安全不僅僅是技術問題，更是一個管理問題，要解決網絡信息安全問題，必須制定正確的目標策略，設計可行的技術方案，確定合理的資金技術，采取相應的管理措施和依據相關法律制度。

15 / 29 5.0 校園網存在的安全隱患

校園網在學校的日常事務中發揮著重要的作用，與此同時，校園網的安全問題也越來越突出，黑客入侵、網絡病毒、管理不善等原因使得校園網絡面臨著嚴重的威脅。

5.1 危害校園網安全的部因素

在校園網所面臨的威脅當中，部因素是一個重要的方面，這其中既包括軟硬件自身存在的缺陷，也包括管理者的管理水平等主觀方面的因素。

5.1.1 軟硬件自身存在的漏洞

來自硬件系統的安全威脅。一方面是指物理安全，主要是由于網絡硬件設備的放置不合適或者防御措施不得力，使得服務器、工作站、交換機、路由器等網絡設備，光纜和雙絞線等網絡線路以與UPS和電纜線等電源設備遭受雷電、水、火意外事故或人為破壞等等而造成的校園網不能正常使用。另一方面是指設置安全，主要是在設備上進行必要的設置，防止黑客取得硬件設備的遠程控制權等。硬件系統安全是制訂校園網安全整體解決方案時首先應考慮的問題。

系統安全漏洞是指系統在設計時沒有考慮到的缺陷，特別是操作系統，因為這些軟件一般都比較的復雜、龐大，有時會因為程序員的疏忽或軟件設計上的失誤而留下一些漏洞。理論上講任何一個系統都不同程度地存在著漏洞。因為系統漏洞的存在，使得針對系統漏洞的網絡攻擊和蠕蟲病毒也層出不窮。攻擊者對系統漏洞進行攻擊，入侵成功后將獲得系統的相應權限，進而盜取重要資料或對系統進行破壞活動。目前學校的計算機系統絕大多數都是使用Windows2000/XP操作系統，而Windows操作系統是不太安全的。因為Windows操作系統的漏洞比較多，由Windows操作系統漏洞引發的不安全問題時有發生。

5.1.2 設置上的失誤

合理規劃配置設施是校園網發揮作用的關鍵。在校園網規劃時，應考慮長遠，因為一旦綜合布線、設備配置完成后再進行調整就可能需要再重新設計網絡結構，很多地方需要重新布線，網絡設備也需要重新設置，這樣既浪費人力，物力，也會影響到教學。對于一些重要的場所，例如圖書館、電子閱覽室、資料室、電腦室、多媒體制作室、教室、辦公室等應多設信息點。同時網絡集成公司的技術實力、施工質量與其五花八門的解決方案大多是自吹自擂，并沒有通過權威部門的評審、鑒16 / 29 定，致使網絡市場處于一種比較混亂的局面。

5.1.3 管理上的漏洞

管理是信息網絡安全中最重要的部分。管理混亂、責權不明、安全管理制度不健全與缺乏可操作性等都可能引起管理安全的風險，主在體現在以下幾點:

（1）機房出入管理不嚴格，使入侵者能夠接近重要設備而帶來信息安全風險；

（2）一些心懷不滿的部員工，由于熟悉服務器、小程序、腳本和系統的弱點，進行如：復制、刪除數據等非法數據操作，造成極大的安全風險；

（3）部管理人員或員工把部網絡結構、管理員用戶名與口令以與系統的一些重要信息傳播給外人，帶來信息泄漏風險；

（4）當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如部人員的違規操作等)，無法進行實時的報告、監控、檢測與預警。同時，當事故發生后，也無法提供攻擊者攻擊行為的追蹤線索與破案依據，即缺乏對網絡的可控性與可審查性。

建立全新網絡安全機制，必須深刻理解網絡并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結合。

5.2 危害校園網安全的外部因素

雖然部因素威脅著校園網的安全，但是在絕大多情況下，黑客入侵，網絡病毒等外部因素對網絡也構成較大威脅。

5.2.1 網絡黑客的侵入

“黑客”一詞是由英語Hacker英譯出來的，是指專門研究、發現計算機和網絡漏洞的計算機愛好者。他們伴隨著計算機和網絡的發展而產生并成長。黑客對計算機有著狂熱的興趣和執著的追求，他們不斷地研究計算機和網絡知識，發現計算機和網絡中存在的漏洞，喜歡挑戰高難度的網絡系統并從中找到漏洞，然后向管理員提出解決和修補漏洞的方法。

由于校園網規模巨大，各種設備系統差異有很大差異，給管理帶來了較大的挑戰，同時也成為黑客攻擊的對象。

5.2.2 計算機病毒的破壞

一般來說，計算機網絡的基本構成包括網絡服務器和網絡節點站（包括有盤工作站、無盤工作站和遠程工作站）。計算機病毒一般首先通過多種途徑入侵到有盤工作站，也就進入網絡，然后開始在網上的傳播。具體地說，其傳播方式有以下幾17 / 29 種。

（1）病毒直接從工作站拷貝到服務器中或通過在網傳播；

（2）病毒先傳染工作站，在工作站存駐留，病毒運行時直接通過映像路徑傳染到服務器中；

（3）病毒先傳染工作站，在工作站存駐留，等運行網絡盤程序時再傳染給服務器；

（4）如果遠程工作站被病毒侵入，病毒也可以通過數據交換進入網絡服務器中一旦病毒進入文件服務器，就可通過它迅速傳染到整個網絡的每一個計算機上。

5.3 校園網安全防御與應急關鍵設備技術

（1）防火墻與技術。它為網絡通信、數據傳輸提供更有保障的安全性。分為包過濾防火墻（檢查每個IP包的字段，如源地址、目標地址、端口等… ）；狀態檢測防火墻（動態檢查網絡連接和包）；應用程序代理防火墻（與特定應用程序配合使用）。

防火墻性能：最大帶寬、并發連接數、每秒新增連接數、丟包和延遲；自身安全性。

（2）入侵檢測與防御與技術。它能與時發現網絡異常行為，并阻止其進一步發展。入侵檢測技術包括以下幾種：基于誤用檢測技術（檢測與異常規則相匹配的網絡行為）；基于異常檢測技術（檢測偏離了正常規則的網絡行為）。入侵檢測核心技術：模式匹配、基于統計方法、預測模式生成等。防火墻性能：降低誤報率、漏報率。

（3）防御病毒與技術。它能與時發現病毒，并清除，阻止病毒進一步傳播、擴散。防病毒核心技術有：特征代碼匹配、病毒特征自動發現、啟發式搜索等，防病毒產品有：Norton、金山毒霸、瑞星殺毒軟件等。

（4）容過濾與技術。它能阻止不健康、反動信息的復制、傳播。過濾方法有：基于關鍵字、權重關鍵字、基于URL的過濾；基于文字容的深度搜索；一般在防病毒網關、反垃圾系統中集成。

（5）反垃圾與技術。它能過濾、阻止大量的非正常的電子。反垃圾機理：IP地址、域名、地址黑白方式；基于垃圾行為模式識別模型；基于信頭、信體、附件的容過濾方式；反垃圾產品有：防垃圾網關；防垃圾防火墻。

根據本章所提出的校園網所面臨的安全威脅，我們除了選取良好的拓撲結構外,

一般還要注意安全, 以防止信息的非授權訪問；注意其可用性, 使計算機的硬件和軟件保持有效的運行, 并且系統在發生災難時能夠快速完全地恢復；要注意數據的完整性與精確性, 使信息在存儲或傳輸過程中不被破壞、丟失或不被未經授權的惡意或偶然的修改。要防止侵襲者通過非法途徑進入計算機系統, 偷盜有用的數據信息, 重點保護系統中容易被攻擊的脆弱點。根據目前的技術水平, 我們可采取身份驗證、訪問控制、加密、防火墻技術、記賬、雙備份等安全措施來加以防。

18 / 29 6.0 校園網網絡安全對策分析

校園網安全問題愈來愈突出的同時，校園網安全的對策也越來越引起人們的注意。本章重點討論校園網的安全對策，并在此基礎上簡要地說明校園網安全體系結構的建

以與校園網網絡安全體系的容，校園網安全問題對策所用到的關鍵技術。

6.1網絡攻擊的概念

校園網的網絡攻擊主要來自internet中,所以對網絡的攻擊可以分為兩種基本的類型，即服務攻擊與非服務攻擊。

（1）服務攻擊

指對為網絡提供某種服的服務器發起攻擊，遭成該網絡的“拒絕服務”，使網絡工作部正常。拒絕服務攻擊將會帶來消耗帶寬、消耗計算資源、使系統和應用崩潰等后果，它是阻止針對某種服務的合法使用者訪問他有權的服務。

（2）非服務攻擊

非服務攻擊是針對網絡層等低層協議進行的，攻擊者可能使用各種方法對網絡通信設備發起攻擊，使得網絡通信設備工作嚴重阻塞或癱瘓，導致一個局域網或更多的網布能正常工作。與服務攻擊相比，非服務攻擊與特定服務無關，它往往利用協議或操作系統實現協議時的漏洞來達到目的。

（3）非授權訪問

非授權訪問是指存儲在聯網計算機中的信息或服務被未授權的網絡用戶非法使用，或者被授權用戶越權濫用。

6.2 校園網絡安全對策概述

隨著網絡應用的開展，要建立一個安全的網絡體系，首先應花較大的精力制定周密的網絡安全策略。在網絡安全的實施中，技術只是手段，還應該先對網絡安全管理有個清晰的概念，然后制定安全策略，最后才是選擇合適的產品用以具體實施和構建安全系統。要建設一個安全的網絡安全體系，必須采取相應的對策，根據實際的需求不同，采取的策略可能有一些不同之處，但大都包括下述策略。

6.2.1 網絡安全系統對策的制定

物理安全的目的是保護路由器、交換機、工作站、各種網絡服務器、打印機等19 / 29 硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊；確保網絡設備有一個良好的電磁兼容工作環境；妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行破壞活動。

最小授權原則指網絡中賬號設置服務配置主機間信任關系配置等應該為網絡正常運行所需的最小限度。關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、與時刪除不必要的賬號等措施可以將系統的危險性大大降低。

采用網絡隔離手段可有效減小信息的傳播面，從而增加信息的安全性。應根據業務劃分、要求等因素的差異將網絡進行分段隔離，它可從底層有效地控制信號傳播途徑與傳播圍，實現更為細化的安全控制體系，將攻擊和入侵造成的威脅限制在較小的子網，提高網絡整體的安全水平。路由器、虛擬局域網(VLAN)、防火墻是當前主要的網絡分段手段。

在經費允許圍，盡可能選用安全級別較高的網絡操作系統與數據庫系統，以安全套件加固TCP/IP各層。如因受客觀條件限制，難以對網絡操作系統與數據庫系統進行選擇，則其他核心軟件，如防火墻、入侵檢測、網絡安全漏洞掃描軟件等應盡可能地選用經國家網絡安全權威機構評審通過的優秀國產軟件。

在網絡安全中，除了采用技術措施之外，制定有關規章制度，對于確保網絡安全、可靠地運行將起到十分有效的作用。規章制度作為一項核心容，應始終貫穿于系統的安全生命周期。一般來說，安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務存在沖突的時候，網絡安全往往會作出讓步，或許正是由于一個較小的讓步，最后使整個系統的崩潰。因此，嚴格執行安全管理制度是網絡可靠運行的重要保障。

6.2.2 校園網絡安全的設計原則

校園網覆蓋整個校區，在網絡性能上應該考慮以下幾項要求：數據處理、通信處理能力強，響應速度快。網絡運行的安全性、可靠性高。網絡能夠容易得進行擴容、升級和管理。主干網的帶寬要高，可以支持多媒體等視頻業務的開展和滿足數據流量不斷增長的要求。

此外，在校園網建設的具體實施中需要注意的設計原則包括：

（1）強調實用性、并盡可能達到性能價格比最優化；

（2）盡量采用先進、成熟的組網技術；

（3）堅持開放型，采用國際標準和通用標準；

（4）統一規劃、分布實施。

6.3 校園網絡安全體系結構設計

構建安全高效的校園網絡是校園網建設的目標之一，校園安全體系結構的建設20 / 29 是其中的重要一環安全體系設計的好壞是校園網成敗的關鍵。

6.3.1 設計校園網絡安全體系的原則

根據網絡安全性設計的要求設計網絡安全體系時應遵循安全性、可行性、高效性、可承擔性等原則，分別闡述如下：

（1）安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全，所以安全性成為首要目標。要保證體系的安全性，必須保證體系的完備性和可擴展性。

（2）可行性:設計網絡安全體系不能單純地從理論角度考慮，再完美的方案，如果不考慮實際因素，也只是一些廢紙。設計網絡安全體系的目的是指導實施，如果實施的難度太大以至于無法實施，那么網絡安全體系本身也就沒有了實際價值。

（3）高效性:構建網絡安全體系的目的是能保證系統的正常運行，如果安全影響了系統的運行，那么就需要進行權衡了，必須在安全和性能之間選擇合適的平衡點。在設計網絡安全體系時必須考慮系統資源的開銷，要求安全防護系統本身不能妨礙網絡系統的正常運轉。

（4）可承擔性:網絡安全體系從設計到實施以與安全系統的后期維護、安全培訓等各個方面的工作都要由學校來支持，要為此付出一定的代價和開銷。如果我們付出的代價比從安全體系中獲得的利益還要多，那么我們就不該采用這個方案。

6.3.2 校園網絡安全體系的設計容

一個完整的安全體系應該包含五個安全層面，分別為數據層、應用層、用戶層、系統層和網絡層。數據層重點關注應用層的數據安全，因而在數據層優先考慮數據加密算法；應用層的重點是網絡應用中的存取控制和授權；在用戶層，校園網絡安全體系的主要容包括用戶的管理、登錄、認證；而系統層側重與操作系統的防病毒，入侵檢測，審計分析；網絡層針對網絡底層數據的通訊安全提出解決方案。

6.4 解決校園網安全問題的主要方法

解決校園網安全問題的主要方法包括防火墻、備份與恢復、入侵檢測、病毒防御、虛擬專用網、漏洞掃描等。

6.4.1 防火墻部署

防火墻指隔離在本地網絡與外界網絡之間的一道執行控制策略的防御系統。它對網絡之間傳輸的數據包依照一定的安全策略進行檢查，以決定通信是否被允許，對外屏蔽部網的信息、結構和運行狀況，并提供單一的安全和審計的安裝控制點，21 / 29 從而達到保護部網絡的信息不被外部非授權用戶訪問和過濾不良信息目的。

防火墻根據功能可以分成個人防火墻和網絡防火墻，根據實現方法可以分成硬件防火墻和軟件防火墻，根據結構可以分成包過濾、狀態檢測,狀態包過濾防火墻。

圖3-1 典型防火墻結構

網絡防火墻用以保護企業網絡等較大的復雜網絡，以處理更多的用戶。軟件防火墻和硬件防火墻是個相對概念，基本上，所有的防火墻都需要軟件的處理部分。硬件防火墻指的是將防火墻軟件和特定硬件平臺集成在一起的應用。軟件防火墻則是指對底層硬件沒有特殊要求，可以安裝在Windows、Unix系統直接使用的防火墻。

根據防火墻的工作原理，所有的防火墻從體系結構上都可以分為數據獲取、應用處理和數據傳輸三大部分。通常情況下，數據獲取和數據傳輸是由軟、硬件兩部分共同實現的。其中，硬件部分一般是防火墻設備的網絡接口設備；數據獲取的軟件部分是負責將硬件獲取的網絡通訊信息從網絡接口設備的緩沖區傳送到操作系統緩沖區進行處理的軟件代碼，數據傳輸的軟件部分則是執行與數據獲取相反的工作的軟件代碼，這些代碼主要作用是將防火墻需要發送的數據包從操作系統緩沖區中傳送到相應的網絡接口設備并傳送出去。防火墻將接收到的數據包傳送給應用功能模塊，進行相應的處理。

6.4.2 備份與恢復

建立完整的網絡數據備份系統必須實現以下容：計算機網絡數據備份的自動化，以減少系統管理員的工作量，使數據備份工作制度化、科學化；網絡安全技術22 / 29 與其在校園網中的應用與研究；對介質管理的有效化，防止讀寫操作的錯誤；對數據形成分門別類的介質存儲，使數據的保存更細致、科學；自動介質的清洗輪轉，提高介質的安全性和使用壽命；以備份服務器形成備份中心，對各種平臺的應用系統與其他信息數據進行集中的備份，系統管理員可以在任意一臺工作站上管理、監控、配置備份系統，實現分布處理，集中管理的特點；維護人員可以容易地恢復損壞的整個文件系統和各類數據。備份系統還應考慮網絡帶寬對備份性能的影響，備份服務器的平臺選擇與安全性，備份系統容量的適度冗余，備份系統良好的擴展性等因素。

6.4.3 入侵檢測(IDS)

為進一步保護網絡的安全性，需應用入侵檢測技術，對網絡入侵進行實時檢測，即對網絡活動和系統事件進行實時監控。實時入侵檢測強調時間性，是連續、不間斷地監控、檢測、響應、防護循環過程，實時入侵檢測必須實時執行。

計算機信息網絡設置了防火墻后可以解決多數網絡安全問題，但是防火墻不是萬能的，不能提供實時的入侵檢測能力。有些攻擊行為僅僅依靠防火墻是不能防的，比如如果攻擊行為從部網絡上發起，那么對主機的訪問就不需要通過防火墻，防火墻也就不能對主機進行保護了。一個簡單的入侵檢測系統，如圖3-2所示。

圖3-2 簡單IDS系統

入侵監測的功能通過執行以下任務來實現:監視、分析用戶與系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

防火墻與入侵檢測這兩種技術具有較強的互補性。目前，實現入侵檢測和防火墻之間的聯動有兩種方式可以實現，一種是實現緊密結合，即把入侵檢測系統嵌入到防火墻中。所有通過的數據包不僅要接受防火墻檢測規則的驗證，還需要經過入侵檢測，判斷是否具有攻擊性，以達到真正的實時阻斷。但是目前還沒有廠商做到23 / 29 這一步，仍處于理論研究階段。但是不容否認，各個安全產品的緊密結合是一種趨勢。第二種方式是通過開放接口來實現聯動，即防火墻或者入侵檢測系統開放一個接口供對方調用，按照一定的協議進行通訊、警報和傳輸。這種方式比較靈活，不影響防火墻和入侵檢測系統的性能。

6.4.4 計算機病毒防

計算機病毒（Computer Virus）是編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。具有破壞性，復制性和傳染性。隨著因特網技術的發展，計算機病毒的定義也在進一步擴大化，一些帶有惡意性質的特洛伊木馬程序，黑客程序和蠕蟲程序等從廣義角度也被歸入計算機病毒的疇。

從發展的角度來看，計算機病毒屬于惡意代碼的一種，惡意代碼是一種程序，它可以表述為人為編制的，干擾計算機正常運行并造成計算機軟硬件故障，甚至破壞數據的計算機程序或指令集合。惡意代碼通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、程序。惡意軟件的傳染結果包括浪費資源、破壞系統、破壞一致性、數據丟失和被竊并能讓客戶端的用戶失去信心。

按傳播方式分類，惡意代碼分成幾類:病毒、木馬、蠕蟲、間諜軟件與移動代碼等。多種復合攻擊技術的使用已經使安全防護不僅是針對互聯網早期某種病毒防護那么簡單，而計算機病毒的防御是一個系統工程，容涉與防病毒軟件、補丁升級、以與合理的安全管理規等方面。

6.4.5 漏洞掃描

計算機漏洞是系統的一組特性，惡意的主體(攻擊者或者攻擊程序)能夠利用這組特性，通過已授權的手段和方式獲取對資源的未授權訪問，或者對系統造成損害。漏洞掃描的基本原理是采用模擬黑客攻擊的方式對目標可能存在的己知漏洞進行逐項檢測，以便對工作站、服務器等各種對象進行安全漏洞檢測。網絡漏洞掃描在保障網絡安全方面起到越來越重要的作用。借助網絡漏洞掃描，安全管理人員可以發現網絡和主機存在的對外開放的端口、提供的服務某些系統信息、錯誤的配置、已知的安全漏洞等。面對互聯網入侵，應根據具體的應用環境，盡可能早地用網絡掃描來發現安全漏洞，采取適當的處理措施，有效地阻止入侵事件的發生。

6.4.6 虛擬專用網(VPN)

虛擬專用網不是真的專用網絡，但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商)，在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路。而是利用某種公眾網的資源動態組成的。

24 / 29 VPN分為三種類型:遠程訪問虛擬網、企業部虛擬網和企業擴展虛擬網，這三種類型的VPN分別與傳統的遠程訪問網絡、企業部的Intranet以與企業網和相關合作伙伴的企業網所構成的Extranet相對應。

25 / 29 7.0其他網絡安全解決方案

網絡安全技術是解決校園網安全問題的基礎，我們在對校園網安全分析時綜合采用了防火墻、入侵檢測、容過濾和安全評價等技術，提出了一些安全解決方案，以增強校園網絡的安全覆蓋圍和程度。

7.1關閉不必要的端口

以下是一些可能被攻擊的端口，一般情況下，應該要把這些端口屏蔽掉。

（1）23端口。若這個端口開著非常的危險，這個端口主要用做TELNET登錄。Telnet服務給我們的最直接的感受就是它可以使得我們忘掉電腦與電腦之間的距離。利用23端口的Telnet我們可以象訪問本機那樣訪問遠程的計算機。Telnet協議的初衷是用來幫助我們對于計算機實現遠程管理與維護，以提高我們的工作效率。但在一定情況下反而成為了一個黑客攻擊最常利用的一個端口。若不懷好意的人利用Telnet服務登陸到23端口，就可以任意在對方電腦上上傳與下載數據，包括上傳木馬與病毒等等。

（2）21端口。這個端口主要用來運行FTP服務。糟糕的是，這個端口，若管理不善的話，是可以用戶進行匿名登陸的。并能夠利用這個端口遠程登陸并運行遠程命令，這也就是說，可以在遠程上傳木馬等工具并在遠程控制其運行。同時，還可以利用FTP服務了解到攻擊所需要的基本信息，如用的是什么操作系統等等；甚至能夠獲知可用的，等等。一般情況下，沒有必要開啟21號端口。

（3）135端口。通過135端口入侵實際上就是在利用操作系統的RPC漏洞。一般情況下，135端口主要用來實現遠程過程調用。通過RPC可以保證在一臺計算機上運行的程序可以順利地執行遠程計算機上的代碼。利用這個漏洞，可以通過這個端口得到電腦上的“主機”文件。得到這個文件后，再利用一定的工具便可以知道該電腦上可用的計算機用戶名與密碼，甚至是管理員的用戶名與密碼。得到這個用戶名之后，如可以上傳木馬工具，隨意的查看重要的文件，并對進行破壞和竊取。

7.2 鞏固安全策略

(1)利用防火墻將部網絡、對外服務器網絡和外網進行有效隔離，避免與外部網絡直接通信；

(2)利用防火墻建立網絡各主機和對外服務器的安全保護措施，保證系統安全；

(3)利用防火墻對網上服務請求容進行控制，使非法訪問在到達主機前被拒絕；利用26 / 29 防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度；

(4)利用防火墻全面監視對公開服務器的訪問，與時發現和阻止非法操作；

(5)利用防火墻與各服務器上的審計記錄，形成一個完善的審計體系，在策略之后建立第二條防線；

(6)在本校區和各校區，利用入侵檢測系統，監測對，對外服務器的訪問；

(7)在本校區和各校區，利用入侵檢測系統，對服務請求容進行控制，使非法訪問在到達主機前被阻斷；

(8)在Internet出口處，使用NetHawk網絡行為監控系統進行網絡活動實時監控和容過濾；

(9)在校區部署RJ-iTop網絡隱患掃描系統，定期對整個網絡的安全狀況進行評估，與時彌補出現的漏洞；

(10)使用安全加固手段對現有服務器進行安全配置，保障服務器本身的安全性；

(11)加強網絡安全管理，提高校園網系統全體人員的網絡安全意識和防技術。

27 / 29 結語

通過對這次論文編寫，把平時學習中學到的知識運用了到其中。同時也加深了我對平時學習中所沒有接觸過的知識的一個了解。從而提升了自己各方面的能力使我收益非淺，雖然我開始時遇到了很大困難，但是通過平時的學習和老師，同學的幫忙，最終都能夠解決。

通過這次的畢業設計讓我明白了自己很多的不足，但是也學會了很多。如利用各種方法去解決問題，而且去尋找問題的癥結才能對癥下藥。在那個的來說這次實踐讓我學會了很多要組建一個完善的校園網絡我還應該考慮更多，去學習更多如校園的先進性、可靠性、經濟性、可管理性、可擴展性和安全性等需要更深一步去了解。但是我對于各種網絡設備的了解更進一步，以與各種設備的命令的操作更加熟練。

由于自身水平的原因以與時間的關系，對校園網技術的研究還有不盡完善的地方，以后的工作中將對存在的問題與有待完善的地方進行更深入的研究和分析，本文盡管對校園網絡安全進行了較深入的研究，也提出了校園網絡安全的解決辦法，但是，計算機網絡安全的問題是一個永久的課題，它將隨著計算機技術、計算機網絡的發展而一直存在、一直發展。計算機網絡的威脅與計算機網絡的安全防護的關系就像是“矛”和“盾”的關系一樣，沒有無堅不摧的矛、也沒有無法攻破的盾。

致語

感老師給予的指導，在老師的精心指導下我一定會順利的完成畢業論文。非常！！

28 / 29 參考文獻

[1] 校園網設計方案. 杭應用工程技術學院2001年

[2] 建培.校園網信息安全探討.網絡安全技術與應用.2006，10期

[3] 王峰．如何制定網絡安全策略．網絡通訊與安全，2006年第9期

[4] 波.網絡安全理論與應用．:電子工業，2002年

[5] 王睿、林海波編著.《網絡安全與防火墻技術》.清華大學，2000年

[6] 吳小東.淺談校園網安全問題與防策略[J].福:福建電腦,2007(2)

[7] 宗峰.校園網絡安全問題與對策研究[J].:網絡安全技術與應用,2009(11)

29 / 29

-