信息系统及其安全对抗-结课论文

研究生课程结课论文论文名称：课程名称：信息系统及其安全对抗任课教师：学生姓名：学号：学院：信息与电子学院专业：目录1引言...................................................................................................................................................32课程核心内容....................................................................................................................................33系统架构...........................................................................................................................................44系统不安全因素分析........................................................................................................................45信息安全保障体系设计....................................................................................................................86信息安全与对抗基础层和系统层原理分析......................................................................................87信息安全与对抗原理性技术性方法分析........................................................................................138参考文献.........................................................................................................................................151引言校园网络是实现高校教育信息化的重要设施。一个良好的校园网络不仅成为学校内部管理、培养高素质人才的基础平台，也成为高校提高自身科研效率和创新能力的必备条件。经过多年的建设，国内大多数高校都建成了自己的校园网络，由于高校的环境特别适合以太交换网技术的应用，所以几乎所有高校在网络建设时都采用了高带宽的以太交换机基于二层或三层组网技术来组建自己的园区网络，具有低延时、高带宽的校园网络应用起来本该一帆风顺，然而实际情况并非如此。随着近几年高校扩招，各个高校的学生和师生人数急剧扩张，使得初期相对简单的校园网络架构已无法满足其需求学校内部的网络在某种程度上已经超越了一般意义上的校园内网。随着计算机病毒传播及黑客攻击手段越来越智能，影响范围也越来越广，破坏力也越来越大。计算机病毒和局域网中常见的ARP攻击等破坏，随时都可能导致部分或整个网络中断或瘫痪，严重影响高校网络的有效使用。因此本文详细分析了现在校园网络存在的不安全因素，同时，针对这些不足，结合信息安全与对抗的原理性和技术性方法，本着结合实际、讲求使用，高标准、低投入、易管理和维护的原则，设计了一种信息安全保障体系，该体系同时保持系统的可扩充性，具有实际价值。2课程核心内容信息安全及其安全对抗这门课程从是基于现代系统理论，结合自组织、耗散结构以及从定性到定量综合集成的研讨方法，主要突出了安全与对抗领域的基本概念、基本原理和基本方法，重点构建并讲授了现代系统理论的基本内容、信息及信息系统、信息安全与对抗的系统概述、信息安全与对抗的基本原理、信息安全与对抗的原理与技术性方法等，并多以实例说明这些原理和方法在信息系统安全对抗中的具体体现和应用。而本文正好就以校园建设为例，详细的介绍了信息安全与对抗在改进校园网建设的过程中的重要作用。其中著名的“在共道基础上反其道而行之（相反相成）”原理，也在设计校园网信息安全保障体系中彰显。3系统架构sssssssssSCernetInternet中心机房ssssIDC核心交换机汇聚交换机前置汇聚交换机前置汇聚交换机前置汇聚交换机接入交换机接入交换机接入交换机校园网核心层楼宇汇聚层前置汇聚层接入层聚层终端终端终端PC/终端图1网络拓扑4系统不安全因素分析网络安全不单是单点的安全，而是整个信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。风险分析是网络安全防护的基础，也是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测，对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。4.1物理层安全风险网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断，进而造成网络系统的阻断。包括以下内容：1、设备被盗，被毁坏；2、链路老化或被有意或者无意的破坏;3、因电磁辐射造成信息泄露；4、地震、火灾、水灾等自然灾害。4.2网络层安全风险网络层中的安全风险，主要指数据传输、网络边界、网络设备等所引发的安全风险。1.数据传输风险分析数据在网络传输过程中，如果不采取保护措施，就有可能被窃听、篡改和破坏，如采用搭线窃听、在交换机或集线器上连接一个窃听设备等。对高校而言，比较多的风险是：1)私自将多个用户通过交换机接入网络，获得上网服务。2)假冒合法的MAC、IP地址获得上网服务。2.网络边界风险分析不同的网络功能区域之间存在网络边界。如果在网络边界上没有强有力的控制，则网络之间的非法访问或者恶意破坏就无法避免。对于高校而言，整个校园网和INTERNET的网络边界存在很大风险。由于学校对INTERNET开放了、EMAIL等服务，如果控制不好，这些服务器有面临黑客攻击的危险。3.网络设备风险分析由于高校校园网络使用大量的网络设备，这些设备自身的安全性也是要考虑的问题之一，它直接关系到各种网络应用能否正常、高效地运转。交换机和路由器设备如果配置不当或者配置信息改动，会引起信息的泄露，网络瘫痪等后果。4.3系统安全风险系统层的安全风险主要指操作系统、数据库系统以及相关商用产品的安全漏洞和病毒威胁。目前，高校网络中操作系统有WINDOWS系列和类UNIX系列，大都没有作过安全漏洞修补，极易遭受黑客攻击和病毒侵袭，对网络安全是一个高风险。4.3.1病毒入侵计算机病毒大多都是利用操作系统本身的漏洞，它的种类繁多，并且传播快，具有破坏性、隐蔽性和传播性等特点。网络病毒的爆发其后果轻则占用计算机硬盘空间。大量占用系统资源；重则既破坏硬盘数据，如擦除主板BIOS芯片内容，使机器不能继续使用；有些还会直接导致校园网重要数据被外泄甚至被改写；病毒在校园网内的大量快速的传播使得校园网的带宽被病毒大量占用，使网络速度骤降。而校园网中，U盘等移动存储设备的使用，共享文件资源，电子邮件传输等都为病毒的传播提供了有利条件。4.3.2软件漏洞服务器程序、客户端软件还是操作系统，只要是用代码编写的东西，都会存在不同程度的缺陷或漏洞，这些漏洞就容易被“黑客”以及木马利用，窃取用户帐号，修改web贞面．发送垃圾邮件等。4.3.3软件系统配置系统配置方面的威胁主要是由于管理员及用户的懒散以及安全意识不强造成的。许多系统安装后都有默认设置，多数用户都直接使用默认配置省事。然而。默认设置大都设计便于初级用户使用。因此安全性不强，也就容易被攻击。虽然系统都有一些用户口令的设置来限制未授权用户的使用，但管理员或一些特权用户为图方便却使用空密码或很简单的口令，甚至将自己的帐户随意转借他人。而又不及时更改口令，因此也给网络带来了安全隐患。另一方面，Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。来自校园网内部的安全隐患比来自校园网外部的各种不安全因素破坏力更强、影响更广、威胁更大。4.4应用层安全风险4.4.1服务本身缺陷高校校园网络中存在大量应用，如服务、邮件服务、数据库服务等。这些服务本身存在安全漏洞，容易遭受黑客攻击。当前，尤其针对WEB应用的攻击成为趋势。Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。来自校园网内部的安全隐患比来自校园网外部的各种不安全因素破坏力更强、影响更广、威胁更大。4.4.2网络安全隔离薄弱，易遭黑客攻击目前，大多数校园网都部署了防火墙来保护校园网不受外部Internet的攻击，然而，防火墙对内部网络的防护却微乎其微。难以应对强大的黑客攻击，不幸的是，很多校园网的攻击不是来自Internet，而是来自局域网内部。一方面，目前用户的内网安全管理系统仍然处于起步阶段，任何计算机都可随意接人局域网，这就给非法用户的入侵提供了方便。另一方面，在校学生中有不少是网络爱好者，年少轻狂的他们对“黑客”总是无比崇拜，在好奇心的驱使下，可能会从互联网上下载黑客工具进行尝试，校园网内部服务器就自然成为他们的首选目标。4.5管理层安全风险责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。5信息安全保障体系设计说明：技术、管理和资源，攻击检测与防御，等级保护等。高校校园网络安全建设是一个复杂、艰巨的系统工程，因此在构建信息安全网络体系时，需要遵循综合整体性，可用性，需求、风险、代价平衡的原则。从系统综合整体的角度分析；减少系统的复杂性，尽量保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；以自己财力所能承担的代价去解决尽可能全面的安全问题，才能收到良好的效果。5.1部署防火墙在需要隔离的网络区域之间部署防火墙。典型地，在Internet与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将、MAIL、FTP、DNS等服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性：1、根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。2、将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。3、在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。4、定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。5.2部署入侵检测系统防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，