校园网网络安全分析与解决方案

1校园网网络安全分析与解决方案计算机网络所面临的安全威胁有3种：硬件安全、软件安全和数据安全。硬件包括网络中的各种设备及其元配件、接插件及电缆；软件包括网络操作系统、各种驱动程序、通信软件及其他配件；数据包括系统的配置文件、日志文件、用户资料、各种重要的敏感数据库及其网络上两台机器之间的通信内容等机密信息。一、校园网网络安全的解决方法1.网络病毒的防范。在网络中，病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染。所以，防止计算机病毒是计算机网络安全工作的重要环节。2.网络安全隔离。网络和网络之间互联，同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以，网络之间进行有效的安全隔离是必须的。3.网络监控措施。在不影响网络正常运行的情况下，增加内部网络监控机制可以做到最大限度的网络资源保护。4.借助软件解决网络安全漏洞。对于非专业人员来说，无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞，因此需要借助第三方软件来解决此安全隐患，并提出相应的安全解决方案。第三方软件要包含以下功能：过滤不当内容网页；IM即时通信使用管理；流媒体下载管理；阻挡P2P点对点档案分享；阻挡Spyware间谍软件封包；防范诈骗网站与恶意程序代码攻击；提供完整的在线的网络活2动分析报告；完整记录学生上网行为；提供各种详细的网络应用与潜在网络威胁风险分析报告等。5.数据备份和恢复。数据一旦被破坏或丢失，其损失是灾难性的。所以，做一套完整的数据备份和恢复措施是校园网迫切需要的。6.有害信息过滤。对于大中型校园网络，必须采用一套完整的网络管理和信息过滤相结合的系统，实现对整个校园内电脑访问互联网进行有害信息过滤处理。7.网络安全服务。为确保整个网络的安全有效运行，有必要对整个网络进行全面的安全性分析和研究，制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。二、网络安全保护1.网络访问控制访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。目前进行网络访问控制的方法主要有：MAC地址过滤、VLAN隔离、IEEE802.1Q身份验证、基于IP地址的访问控制列表和防火墙控制等等。2.物理隔离首先要明确，物理隔离是网络隔离的早期描述，这里沿用物理隔离，而不用网络隔离这个概念。物理隔离的指导思想与防火墙截然不同，防火墙是在保证互联互通的前提下，尽可能安全；而物理隔离则3是保证安全前提下，尽可能互联互通，如果不安全，则断开。3.逻辑隔离对大多数机关用户来说，逻辑隔离应该是最为经济实用的方法了。广泛地来看，我们所知的各种安全技术都是在使用逻辑隔离。也就是说，在保持网络连通（包括直接或者间接）的同时，对网络流量有所取舍。包括VLAN（虚拟局域网）、访问控制、VPN（虚拟专用网）、防火墙、身份识别、端口绑定等等在内的方法都是在某种限定下实现隔离。在这些手段中，在内网与外网之间设置防火墙（包括分组过滤与应用代理）是保护内部网安全的最常用的措施。4.防火墙技术概述为了使网络的机密性、完整性、可用性、真实性、实用性和占有性等方面得到保障，计算机系统的安全，尤其在Internet环境中，网络安全体系结构的考虑和选择尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。随着安全问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。而防火墙的作用就是防止不希望的、未授权的信息进出被保护的网络。因此，防火墙正在成为控制对网络系统访问的非常流行的方法。5.入侵检测技术入侵检测技术已经过较长时间的发展阶段，自20世纪80年代提出以来得到了很大的发展，国外一些研究机构已经开发出了应用于不4同操作系统的几种典型的攻击检测系统。典型的IDS通常采用静态异常模型和规则误用模型来检测入侵，这些IDS的检测是基于服务器或网络的。早期的IDS模型设计用来监控单一服务器，是基于主机的攻击检测系统；而近期的更多模型则集中用于监控通过网络互连的多个服务器。6.网络安全漏洞防范网络安全漏洞所带来的威胁（1）什么是漏洞？漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以便攻击者能够在未授权的情况下访问或破坏系统。（2）漏洞分析的目的。漏洞分析的目的是发现目标系统中存在安全隐患，分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。漏洞分析通过对目标进行穿透测试，进而尝试从中获取一些有价值的东西，例如，文本文件、口令文件和机密文档等。穿透测试可以分为两类：无光验知识穿透测试和有光验知识穿透测试。前者通常从外部实施，测试者对被测试网络系统的拓扑结构等信息一无所知；在有光验知识穿透测试中，测试者通常具有被测试网络系统的基本访问权限，并可以了解网络系统拓扑结构等信息。（3）网络安全漏洞的威胁。对于网络漏洞的威胁可以按照风险等级给予说明。对那些具有低严重度和低影响度的网络安全漏洞可以归纳为低级别的安全漏洞；而那些具有高严重度和高影响度的安全漏洞可以归纳有高级别的安全漏洞。57.防病毒技术计算机病毒直接破坏计算机数据信息、占用磁盘空间和对信息的破坏、抢占系统资源、影响计算机运行速度、给用户造成严重的心理压力等等危害使人们产生很大的不良影响。因此，要了解计算机病毒的特征及其发展趋势，了解网络防病毒的技术，了解网络防病毒的方案。计算机病毒的特征要防治计算机病毒，首先要了解计算机病毒的特征和破坏机理，为防范和消除计算机病毒提供充实可靠的依据。根据计算机病毒的产生、传染和破坏行为的分析，计算机病毒通常具有以下特征：非授权可执行性、隐蔽性、传染性、潜伏性、破坏性和可触发性。计算机病毒的发展趋势现在流行的病毒在很多地方改变了人们对病毒的看法，而且，它还改变了人们对病毒预防的看法。过去总是说，只要不用盗版软件，不随便使用别人的软盘，不乱运行程序，就不会染毒。而现在呢？有了互联网Internet和操作系统的漏洞，就算你坐着不动，病毒也会找上门来。病毒有下列特性：与互联网和Internet更加紧密地结合，利用一切可以利用的方式，例如通过电子邮件、局域网、远程管理、即时通信工具进行传播。所有的病毒都具有混合型特征，集文件传染、蠕虫、木马、黑客程序特点于一身，破坏性大大增强。因为其扩散极快，不再追求隐藏性，而更加注重欺骗性。6利用系统漏洞将成为病毒有力的传播方式。由于病毒品的迅速发展，势必要求反病毒技术跟上时代发展的步伐，以保证互联网时代的信息系统安全。所以，为了对付新的病毒，必须有新一代反病毒软件的决策。具体有下列几点：全面地与互联网结合，不仅有传染的手动查杀与文件监控，还必须对网络层、邮件客户进行实时监控，防止病毒入侵；快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案；完善的在线升级服务，使用户随时拥有最新的防病毒能力；对病毒经常攻击的应用程序提供重点保护，例如，MSOFFICE、Outlook、IE、ICQ/QQ等，又如，Norton的ScriptBlocking和金山毒霸的“嵌入式”技术；提供完整、即时的反病毒咨询，提高用户的反病毒意识与警惕性，尽快地让用户了解到新病毒的特点和解决方案。三、网络防止病毒的措施1.基于网络安全体系的防病毒策略只有建立一个有层次的、立体的防病毒系统，才能有效地制止病毒在网络上蔓延。下面提供一些网络防病毒的措施。（1）增加安全意识。（2）小心邮件（3）挑选网络版杀毒软件。（4）在计算机网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。（5）在计算机网络中，要保证系统管理员有最高的访问权限，避免7过多地出现超级用户。（6）为工作站上用户帐号设置复杂的密码。（7）工作站采用的防病毒芯片，这样可防止引导型病毒。（8）正确设置文件属性，合理地规范用户的访问权限。（9）建立健全网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。即使有了杀毒软件，也不可掉以轻心，因为没有一个杀毒软件可以完全杀掉所有病毒，所以，仍要定期备份，一旦真的遭到病毒的破坏，只要将受损的数据恢复即可。（10）目前预防病毒入侵的最好办法，就是在计算机中安装具有实时监控功能的防病毒软件，并及时升级。（11）为解决网络防病毒的要求，在网络中使用网络版防病毒软件和网关型防病毒系统。2．服务器的防病毒技术3．终端用户防病毒四、网络防病毒产品的选择1．常用的网络防病毒产品简介网络防病产品实际上就是反病毒软件产品。具体的常用的反病毒软件产品有：金山毒霸、瑞星、KILL、KV3000、VRV。a)金山毒霸（）。金山毒霸是金山软件股份有限公司的产品，是中国领先的应用软件产品和服务供应商。b)瑞星（）。瑞星是北京瑞星科技股份有限公司的产品。该公司以研究开发、生产及销售计算机及病毒产品、网络8安全产品和“黑客”防治产品为主，是中国最早、也是最大的能够提供全系列产品的专业厂商。c)KILL（）。是北京冠群金辰软件有限公司的产品。该公司是一家中外合资企业。KILL在中国安全领域，家喻户晓，深入人心。d）KV3000（）。KV3000是江民科技的产品。是国内最大的信息安全技术开发商与服务提供商，该公司硬性和经营范围涉及单机、网络反病毒软件、单机、网络黑客防火墙、邮件服务器防病毒软件等一系列信息安全产品。e）VRV（）。VRV是北信源公司的产品。是国内最早从事计算安全技术及产品研究、开发的事业厂商之一。很早就研制出国内第一套计算机病毒实时防火墙产品和第一套网络防毒软件。除了上述的常用网络防病毒产品外，还有PC－007、McAfeeVirusScan、NortonAntiVirus2000、AntiViralToolkitpro就不一一介绍了。2．网络防病毒产品选择面对众多的网络防毒杀毒软件，如何选择优秀产品？应该着重考虑以下诸因素：①能查杀病毒的数量要多，安全可靠性要强。②对新病毒的反应能力要强。③要有实时反病毒的“防火墙”技术。9④内存开销要低。⑤要能查杀压缩文件中的病毒为了减少传输的时间，因特网上的文件大都是压缩过的。五、天网防火墙使用(一)防火墙概念防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反，防火墙是一种获取安全性的方法；它有助于实施一个比较广泛的安全性政策，用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替静态口令的先进验证)来说，防火墙是该政策的具体实施。防火墙系统的主要用途就是控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接点通过能得到检查和评估的防火墙。（二）采用防火墙的必要性引入防火墙是因为传统的子网系统会把自身暴露给NFS或NIS等先天不安全的服务，并受到网络上其他地方的主系统的试探和攻击。在没有Firewall的环境中，网络安全性完全依赖主系统安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同安全性水平上的可管理能力就越小。随着安全性的失误和失策越来越普遍，闯入时有发生，这不是因为受到多方的攻击，而仅仅是因为配置错误、口令不适当而造成的。防火墙能提高主机整体的安全性，因而给站点带来了众多的好处。以10下是使用防火墙的好处：1.防止易受攻击的服务:2.控制访问网点系统3.集中安全性4.增强的保密、强化私有权5.有关网络使用、滥用的记录和统计6.政策执行最后，或许最重要的是,防火墙可提供实施和执行网络访问政策的工具。（三）防火墙的构成防火墙的主要组成部分有:1*网络政策；2*先进的验证工具；3*包过滤；4*应用网关；（四）天网防火墙个人版简介天网防火墙个人版SKYNETPersonalFireWall（以下将会简称为天网防火墙）是