計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)

1、濰坊工程職業(yè)學(xué)院畢業(yè)論文題目:計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù) 學(xué) 號(hào)： 姓 名： 董建賓 班 級(jí)： 2009級(jí)信息管理班 專 業(yè)： 信息管理 指導(dǎo)教師： 趙培元 目錄摘要：1第一章 網(wǎng)絡(luò)安全的定義1第二章 網(wǎng)絡(luò)安全的威脅12.1內(nèi)部竊密和破壞12.2非法訪問12.3破壞信息的完整性22.4截收22.5冒充22.6破壞系統(tǒng)的可用性22.7重演22.8抵賴22.9其它威脅2第三章 計(jì)算機(jī)安全技術(shù)23.1利用防火墻來阻止網(wǎng)絡(luò)攻擊23.2數(shù)據(jù)加密技術(shù)33.3入侵檢測技術(shù)33.4防病毒技術(shù)33.5IP 盜用問題的解決33.6利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全4第四章 網(wǎng)絡(luò)安全分析44.1物理安全44.2網(wǎng)絡(luò)結(jié)構(gòu)安全44

2、.3系統(tǒng)安全44.4網(wǎng)絡(luò)安全54.5應(yīng)用安全54.6管理安全風(fēng)險(xiǎn)54.7安全管理54.8構(gòu)建CA體系6第五章 計(jì)算機(jī)病毒的特性65.1非授權(quán)可執(zhí)行性65.2隱蔽性75.3傳染性75.4潛伏性75.5表現(xiàn)性或破壞性75.6可觸發(fā)性7第六章 校園網(wǎng)安全設(shè)計(jì)方案86.1校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)概述86.2校園網(wǎng)安全威脅分析86.3校園網(wǎng)安全方案設(shè)計(jì)9參考文獻(xiàn)12致謝12摘要： 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，Internet的全球普及化以及通信網(wǎng)絡(luò)的規(guī)模日益擴(kuò)大，使得計(jì)算機(jī)網(wǎng)絡(luò)安全問題引起了人們的極大重視。該文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題進(jìn)行了深入探討，并提出了對(duì)應(yīng)的改進(jìn)和防范措施。關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)

3、入侵；信息安全；病毒；對(duì)策隨著Internet技術(shù)發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)正在逐步改變?nèi)藗兊纳a(chǎn)、生活及工作方式。在計(jì)算機(jī)網(wǎng)絡(luò)迅速普及的過程中,計(jì)算機(jī)安全隱患日益變得突出。這就要求我們必須采取強(qiáng)有力的措施來保證計(jì)算機(jī)網(wǎng)絡(luò)的安全,本文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)進(jìn)行了初步探討與分析。計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。但是由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、共享性、國際性的特點(diǎn),使其比較脆弱。為了解決這個(gè)問題,現(xiàn)在人們主要針對(duì)數(shù)據(jù)加密技術(shù)、身份認(rèn)證、防火墻、管理等方面進(jìn)行了研究。 第一章 網(wǎng)絡(luò)安全的定義 安全包括五個(gè)基本要素：機(jī)密性、完整性、可用性、

4、可控性與可審查性。機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否可用性?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。第二章 網(wǎng)絡(luò)安全的威脅2.1內(nèi)部竊密和破壞內(nèi)部人員可能對(duì)網(wǎng)絡(luò)系統(tǒng)形成下列威脅：內(nèi)部涉密人員有意或無意泄密、更改記錄信息；內(nèi)部非授權(quán)人員有意無意偷竊機(jī)密信息、更改網(wǎng)絡(luò)配置和記錄信息；內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)。2.2非法訪問非法訪問指的是未經(jīng)授使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源，它包括非法用戶如黑客進(jìn)入網(wǎng)絡(luò)或系統(tǒng)進(jìn)行違法操作，合法用戶以未授權(quán)的方式進(jìn)行操作。 2.3破壞

5、信息的完整性攻擊可能從三個(gè)方面破壞信息的完整性：改變信息流的次序、時(shí)序，更改信息的內(nèi)容、形式；刪除某個(gè)消息或消息的某些部分；在消息中插入一些信息，讓收方讀不懂或接收錯(cuò)誤的信息。 2.4截收 攻擊者可能通過搭線或在電磁波輻射的范圍內(nèi)安裝截收裝置等方式，截獲機(jī)密信息，或通過對(duì)信息流和流向、通信頻度和長度等參數(shù)的分析，推出有用信息。它不破壞傳輸信息的內(nèi)容，不易被查覺。 2.5冒充攻擊者可能進(jìn)行下列冒充：冒充領(lǐng)導(dǎo)發(fā)布命令、調(diào)閱文件；冒充主機(jī)欺騙合法主機(jī)及合法用戶；冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、口令、密鑰等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源；接管合法用戶、欺騙系統(tǒng)、占用合法用戶的資源。2.6破壞系統(tǒng)的可

6、用性攻擊者可能從下列幾個(gè)方面破壞網(wǎng)絡(luò)系統(tǒng)的可用性：使合法用戶不能正常訪問網(wǎng)絡(luò)資源；使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)；摧毀系統(tǒng)。2.7重演重演指的是攻擊者截獲并錄制信息，然后在必要的時(shí)候重發(fā)或反復(fù)發(fā)送這些信息。2.8抵賴可能出現(xiàn)下列抵賴行為：發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息；發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息的內(nèi)容；發(fā)信者事后否認(rèn)曾經(jīng)接收過某條消息；發(fā)信者事后否認(rèn)曾經(jīng)接收過某條消息的內(nèi)容。2.9其它威脅對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅還包括計(jì)算機(jī)病毒、電磁泄漏、各種災(zāi)害、操作失誤等。第三章 計(jì)算機(jī)安全技術(shù)3.1利用防火墻來阻止網(wǎng)絡(luò)攻擊 防火墻一方面阻止外界對(duì)內(nèi)部網(wǎng)絡(luò)資源的非法訪問,另一方面也可以防止 系統(tǒng)內(nèi)

7、部對(duì)外部系統(tǒng)的不安全訪問.實(shí)現(xiàn)防火墻的主要技術(shù)有:數(shù)據(jù)包過濾,應(yīng)用級(jí)網(wǎng)關(guān), 代理服務(wù)和地址轉(zhuǎn)換.3.2數(shù)據(jù)加密技術(shù) 從密碼體制方面而言,加密技術(shù)可分為對(duì)稱密鑰密碼體制和非對(duì)稱密鑰密碼體制,對(duì)稱 密鑰密碼技術(shù)要求加密,解密雙方擁有相同的密鑰,由于加密和解密使用同樣的密鑰,所以 加密方和解密方需要進(jìn)行會(huì)話密鑰的密鑰交換.會(huì)話密鑰的密鑰交換通常采用數(shù)字信封方 式, 即將會(huì)話密鑰用解密方的公鑰加密傳給解密方, 解密方再用自己的私鑰將會(huì)話密鑰還原. 對(duì)稱密鑰密碼技術(shù)的應(yīng)用在于數(shù)據(jù)加密非對(duì)稱密鑰密碼技術(shù)是加密, 解密雙方擁有不同的密 鑰, 在不知道特定信息的情況下, 加密密鑰和解密密鑰在計(jì)算機(jī)上是不能相互

8、算出的. 加密, 解密雙方各只有一對(duì)私鑰和公鑰. 非對(duì)稱密鑰密碼技術(shù)的應(yīng)用比較廣泛, 可以進(jìn)行數(shù)據(jù)加密, 身份鑒別,訪問控制,數(shù)字簽名,數(shù)據(jù)完整性驗(yàn)證,版權(quán)保護(hù)等. 3.3入侵檢測技術(shù) 入侵檢測系統(tǒng)可以分為兩類,分別基于網(wǎng)絡(luò)和基于主機(jī).基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)主要 采用被動(dòng)方法收集網(wǎng)絡(luò)上的數(shù)據(jù).目前,在實(shí)際環(huán)境中應(yīng)用較多的是基于主機(jī)的入侵檢測系 統(tǒng),它把監(jiān)測器以軟件模塊的形式直接安插在了受管服務(wù)器的內(nèi)部,它除了繼續(xù)保持基于網(wǎng) 絡(luò)的入侵檢測系統(tǒng)的功能和優(yōu)點(diǎn)外,可以不受網(wǎng)絡(luò)協(xié)議,速率和加密的影響,直接針對(duì)主機(jī) 和內(nèi)部的信息系統(tǒng),同時(shí)還具有基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)所不具備的檢查特洛伊木馬,監(jiān)視 特定用戶

9、,監(jiān)視與誤操作相關(guān)的行為變化等功能. 3.4防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,計(jì)算機(jī)病毒變得越來越復(fù)雜和高級(jí),其擴(kuò)散速度也越來越 快,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成極大的威脅.在病毒防范中普遍使用的防病毒軟件,從功能上可 以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類.單機(jī)防病毒軟件一般安裝在單臺(tái) PC 上, 它們主要注重于所謂的 單機(jī)防病毒, 即對(duì)本地和本工作站連接的遠(yuǎn)程資源采用分析掃描的 方式檢測,清除病毒.網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒,一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng) 絡(luò)向其它資源感染,網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測到并加以刪除.3.5IP 盜用問題的解決 在路由器上捆綁 IP 和 MAC 地址.當(dāng)某個(gè)

10、IP 通過路由器訪問 Internet 時(shí),路由器要檢查 發(fā)出這個(gè) IP 廣播包的工作站的 MAC 是否與路由器上的 MAC 地址表相符, 如果相符就放行. 否則不允許通過路由器,同時(shí)給發(fā)出這個(gè) IP 廣播包的工作站返回一個(gè)警告信息. 3.6利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全 對(duì)于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決, 但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力. 在這種情況下,我們可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件,為管理人員分析 自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù).設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽程序.該軟件的主要功能為長期監(jiān) 聽子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份.第四章 網(wǎng)

11、絡(luò)安全分析 網(wǎng)絡(luò)與信息安全指的是按照網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)，通過從不同的網(wǎng)絡(luò)層次、不同的系統(tǒng)應(yīng)用，采取不同的措施，進(jìn)行完善和防御，是一個(gè)立體的體系結(jié)構(gòu)，涉及多個(gè)方面內(nèi)容。通過對(duì)網(wǎng)絡(luò)體系結(jié)構(gòu)的全面了解，按照安全風(fēng)險(xiǎn)、需求分析結(jié)果、安全策略以及網(wǎng)絡(luò)的安全目標(biāo)。具體的安全控制系統(tǒng)從以下幾個(gè)方面分述:物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、安全管理。4.1物理安全網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的保障和前提。由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程,耐壓值很低。因此,在網(wǎng)絡(luò)工程的設(shè)計(jì)中,必須優(yōu)先考慮網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)、雷擊等自然災(zāi)害的侵蝕?？傮w來說物理安全風(fēng)險(xiǎn)主要有地震、水災(zāi)、火災(zāi)、雷電等環(huán)境事故,因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)對(duì)

12、計(jì)算機(jī)造成傷害。4.2網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)是否合理也是影響網(wǎng)絡(luò)系統(tǒng)的安全性的因素。假如進(jìn)行外部和內(nèi)部網(wǎng)絡(luò)通信時(shí),內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)安全就會(huì)受到威脅,同時(shí)對(duì)同一網(wǎng)絡(luò)上的其他系統(tǒng)也有影響。影響所及還可能涉及法律、金融、政府等安全敏感領(lǐng)域。因此,在網(wǎng)絡(luò)設(shè)計(jì)時(shí)有必要將公開服務(wù)器(WEB、DNS、EMAIL等)和外網(wǎng)進(jìn)行必要的隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄。還要對(duì)外網(wǎng)的服務(wù)器加以過濾,只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)。4.3系統(tǒng)安全 系統(tǒng)安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)的構(gòu)建是否可靠且值得信任。然而目前沒有絕對(duì)安全的操作系統(tǒng),無論是WindowsNT、VISTA、XP或者其它任何商用UNIX操作

13、系統(tǒng),用戶在不同的使用途徑下都會(huì)使其產(chǎn)生系統(tǒng)漏洞。因此不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析,在選擇操作系統(tǒng)時(shí)要周密的對(duì)其進(jìn)行安全設(shè)置。不但要選用盡可能可靠的操作系統(tǒng)和硬件,并對(duì)操作系統(tǒng)進(jìn)行安全配置,且必須加強(qiáng)登錄過程的用戶認(rèn)證以確保用戶的合法性。4.4網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全主要指網(wǎng)絡(luò)中通信基礎(chǔ)協(xié)議、操作系統(tǒng)和應(yīng)用系統(tǒng)等可用性以及使用合法性的保證。例如網(wǎng)絡(luò)阻塞防護(hù)、非法入侵防護(hù)、計(jì)算機(jī)病毒防護(hù)等。系統(tǒng)安全保障的核心技術(shù)包括身份認(rèn)證、授權(quán)管理、日志審計(jì)、系統(tǒng)漏洞檢測、防病毒、入侵防護(hù)等一系列技術(shù)，其中完整的入侵防護(hù)技術(shù)主要包括入侵防范、入侵檢測、事件響應(yīng)、系統(tǒng)恢復(fù)等過程。網(wǎng)絡(luò)安全主要指網(wǎng)絡(luò)信息

14、的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、域名系統(tǒng)、路由系統(tǒng)的安全，入侵檢測的手段等。4.5應(yīng)用安全 內(nèi)部資源共享安全嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因?yàn)槭韬龆谂c員工間交換信息時(shí)泄漏重要信息。對(duì)有經(jīng)常交換信息需求的用戶，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。信息存儲(chǔ)對(duì)有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份。4.6管理安全風(fēng)險(xiǎn) 管理也是網(wǎng)絡(luò)中安全系統(tǒng)的重要部分。責(zé)權(quán)不明和安全管

15、理制度不健全等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它安全威脅行為時(shí),計(jì)算機(jī)就無法進(jìn)行實(shí)時(shí)檢測、監(jiān)控和保護(hù)。當(dāng)安全事故發(fā)生后,也無法提供黑客攻擊行為的追蹤線索及破案依據(jù),即對(duì)網(wǎng)絡(luò)的可控性出現(xiàn)缺失。這就要求相關(guān)人員必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多次、詳盡的記錄,以及時(shí)發(fā)現(xiàn)威脅行為。4.7安全管理 僅有安全技術(shù)防范，而無嚴(yán)格的安全管理體系相配套，難以保障網(wǎng)絡(luò)系統(tǒng)安全。必須制定一系列安全管理制度，對(duì)安全技術(shù)和安全設(shè)施進(jìn)行管理。實(shí)現(xiàn)安全管理應(yīng)遵循以下幾個(gè)原則：可操作性、全局性、動(dòng)態(tài)性、管理與技術(shù)的有機(jī)結(jié)合、責(zé)權(quán)分明、分權(quán)制約、安全管理的制度化。具體工作是：制定健全的安全管理體制制定健全的安

16、全管理體制將是網(wǎng)絡(luò)安全得以實(shí)現(xiàn)的重要保證，可以根據(jù)自身的實(shí)際情況，制定如安全操作流程、安全事故的獎(jiǎng)罰制度以及對(duì)任命安全管理人員的考查等。制訂和完善安全管理制度根據(jù)從事工作的重要程度，確定安全管理的范圍，制定安全管理制度，對(duì)操作人員進(jìn)行約束和管理。對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理。制訂和完善系統(tǒng)維護(hù)制度對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。維護(hù)時(shí)要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。制訂應(yīng)急措

17、施當(dāng)網(wǎng)絡(luò)安全事故發(fā)生時(shí)，啟動(dòng)應(yīng)急措施，盡快恢復(fù)系統(tǒng)運(yùn)行，使損失減至最小。增強(qiáng)人員的安全防范意識(shí)應(yīng)該經(jīng)常對(duì)單位員工進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)的培訓(xùn)，全面提高員工的整體網(wǎng)絡(luò)安全防范意識(shí)。 4.8構(gòu)建CA體系 針對(duì)信息的安全性、完整性、正確性和不可否認(rèn)性等問題。目前國際上先進(jìn)的方法是采用信息加密技術(shù)、數(shù)字簽名技術(shù)，具體實(shí)現(xiàn)的辦法是使用數(shù)字證書，通過數(shù)字證書把證書持有者的公開密鑰（Public Key）與用戶的身份信息緊密安全地結(jié)合起來，以實(shí)現(xiàn)身份確認(rèn)和不可否認(rèn)性。第五章 計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒一般具有非授權(quán)可執(zhí)行性、隱蔽性、傳染性、潛伏性、表現(xiàn)性或破壞性、可觸發(fā)性等。5.1非授權(quán)可執(zhí)行性用戶通常調(diào)用執(zhí)

18、行一個(gè)程序時(shí)，把系統(tǒng)控制交給這個(gè)程序，并分配給他相應(yīng)系統(tǒng)資源，如內(nèi)存，從而使之能夠運(yùn)行完成用戶的需求。因此程序執(zhí)行的過程對(duì)用戶時(shí)透明的。而計(jì)算機(jī)病毒是非法程序，正常用戶是不會(huì)你、明知是病毒程序，而故意調(diào)用執(zhí)行。但由于計(jì)算機(jī)病毒具有正常程序的一切特性：可存儲(chǔ)性、可執(zhí)行性。他隱藏在合法的程序或數(shù)據(jù)中，當(dāng)用戶運(yùn)行正常程序時(shí)，病毒伺機(jī)竊取系統(tǒng)的控制權(quán)，得以搶先運(yùn)行，然而此時(shí)用戶還認(rèn)為在執(zhí)行正常程序。5.2隱蔽性計(jì)算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤引導(dǎo)扇區(qū)中，或者磁盤上標(biāo)為壞簇的扇區(qū)中，以及一些空閑概率較大的扇區(qū)中，這是它的非法可存儲(chǔ)性。病毒想方設(shè)法的隱

19、藏自身，就是為了防止用戶察覺。5.3傳染性傳染性是計(jì)算機(jī)病毒最重要的特征，是判斷一段程序代碼是否為計(jì)算機(jī)病毒的依據(jù)。病毒程序一旦入侵計(jì)算機(jī)系統(tǒng)就開始搜索可以傳染的程序或者磁介質(zhì)，然后通過自我復(fù)制迅速傳播。由于目前計(jì)算機(jī)網(wǎng)絡(luò)日益發(fā)達(dá)，計(jì)算機(jī)病毒可以在極短時(shí)間內(nèi)，通過向Internet這樣的網(wǎng)絡(luò)傳遍世界。5.4潛伏性計(jì)算機(jī)病毒具有依附于其他媒體而寄生的能力，這種媒體我們稱之為計(jì)算機(jī)病毒的宿主。依靠病毒的寄生能力，病毒傳染合法的程序和系統(tǒng)后，不立即發(fā)作，而是悄悄隱藏起來，然后在用戶不察覺的情況下進(jìn)行傳染，這樣，病毒的潛伏性越好，他在系統(tǒng)中存在的時(shí)間也就越長，病毒傳染的范圍也越廣，其危害性也越大。5.

20、5表現(xiàn)性或破壞性無論何種病毒程序，一旦入侵系統(tǒng)都會(huì)對(duì)操作系統(tǒng)的運(yùn)行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源（如占用內(nèi)存空間，占用磁盤存儲(chǔ)空間以及系統(tǒng)運(yùn)行時(shí)間等）。而絕大多數(shù)病毒程序要現(xiàn)實(shí)一些文字或圖像，影響系統(tǒng)的正常運(yùn)行，還有一些病毒程序刪除文件，加密磁盤中的數(shù)據(jù)，甚至摧毀整個(gè)個(gè)系統(tǒng)和數(shù)據(jù)。使之無法恢復(fù)，造成無可挽回的損失。因此，病毒程序的副作用輕者降低系統(tǒng)工作效率，重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失。病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計(jì)者的真正意圖。5.6可觸發(fā)性計(jì)算機(jī)病毒一般都有一個(gè)或多個(gè)觸發(fā)條件。滿足其觸發(fā)條件或者激活病毒的傳染機(jī)制，使之進(jìn)行病毒傳染；或者激活病毒的

21、表現(xiàn)部分或破壞部分。出發(fā)的實(shí)質(zhì)是一種條件的控制，病毒程序可以依據(jù)設(shè)計(jì)者的要求，在一定條件下實(shí)施攻擊。這個(gè)條件可以是敲入字符，使用特定文件，某個(gè)特定日期或特定時(shí)刻，或者是病毒內(nèi)置的計(jì)算器達(dá)到一定次數(shù)等。第六章 校園網(wǎng)安全設(shè)計(jì)方案6.1校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)概述 校園網(wǎng)信息系統(tǒng)是校園網(wǎng)的數(shù)字神經(jīng)中樞，合理的使用不僅能促進(jìn)各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境，同時(shí)通過各院校之間的互聯(lián)互通，將會(huì)極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量。 校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對(duì)外服務(wù)的服務(wù)器群、與CER

22、NET的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入等。 教學(xué)局域網(wǎng)是教學(xué)人員利用計(jì)算機(jī)開展教學(xué)和學(xué)生通過計(jì)算機(jī)來學(xué)習(xí)的網(wǎng)絡(luò)平臺(tái)；圖書館局域網(wǎng)實(shí)現(xiàn)了圖書館的網(wǎng)絡(luò)化管理以及圖書的網(wǎng)上檢索或?yàn)g覽；辦公自動(dòng)化局域網(wǎng)是教職員工自動(dòng)化辦公的平臺(tái)，可以在此平臺(tái)上開展公文管理、會(huì)議管理、檔案管理以及個(gè)人辦公管理等。實(shí)現(xiàn)包括教學(xué)管理、科研管理、學(xué)員管理、資產(chǎn)管理、人事管理、黨務(wù)管理、財(cái)務(wù)管理、后勤管理等應(yīng)用，形成院校的綜合管理信息系統(tǒng)； 校園外網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng)，一般包括DNS、WEB、FTP、PROXY以及MAIL服務(wù)等。外部網(wǎng)實(shí)現(xiàn)了校園網(wǎng)與CERNET及INTERNET的基礎(chǔ)接入，使院校教職工和學(xué)生能使

23、用電子郵件和瀏覽器等應(yīng)用方式，在教學(xué)、科研和管理工作中利用國內(nèi)和國際網(wǎng)進(jìn)行信息交流和共享。6.2校園網(wǎng)安全威脅分析 校園網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多，認(rèn)真分析可以總結(jié)出校園網(wǎng)面臨著如下的安全威脅： 1) 各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅； 2) Internet網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)存在非法訪問或惡意入侵的威脅； 3) 來自校園網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng)。內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng)； 4) 內(nèi)部用戶對(duì)Internet的非法訪問威脅，如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病

24、毒等程序帶入校園內(nèi)網(wǎng)； 5) 內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用； 6) 校園網(wǎng)內(nèi)的學(xué)生群體是主要的OICQ用戶，目前針對(duì)OICQ的黑客程序隨處可見； 7) 可能會(huì)因?yàn)樾@網(wǎng)內(nèi)管理人員以及全體師生的安全意識(shí)不強(qiáng)、管理制度不健全，帶來校園網(wǎng)的威脅；6.3校園網(wǎng)安全方案設(shè)計(jì) 上述分析的幾點(diǎn)是當(dāng)今校園網(wǎng)普遍面臨的安全隱患。特別是近年來，隨著學(xué)生宿舍、教職工家屬等接入校園網(wǎng)后，網(wǎng)絡(luò)規(guī)模急劇增大。同時(shí)，校園網(wǎng)絡(luò)的應(yīng)用水平也在不斷提高。規(guī)模的壯大和運(yùn)用水平的提高就決定了校園網(wǎng)面臨的隱患也相應(yīng)加劇。下圖是比較普遍的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)?；诖藞D，我們從物

25、理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個(gè)層次分析和設(shè)計(jì)適合于校園網(wǎng)的安全建議方案。 1) 物理層安全 物理層的安全主要包括環(huán)境、設(shè)備及線路的安全。系統(tǒng)中心或機(jī)房的建設(shè)應(yīng)遵照：GB50173-93電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范、GB2887-89計(jì)算機(jī)站場地安全要求及GB2887-89計(jì)算機(jī)站場地技術(shù)條件的要求。在設(shè)備集中的管理間安裝干擾器防止由于設(shè)備輻射造成的信息泄漏。同時(shí)，要注意保護(hù)線路的安全，防止用戶的搭線竊聽行為。 2) 系統(tǒng)安全 系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。解決的技術(shù)手段主要有以下幾種： 采用主機(jī)加固手段對(duì)主機(jī)加固，如升級(jí)、打補(bǔ)丁、關(guān)閉不需要的端口等

26、； 采用主機(jī)訪問控制手段加強(qiáng)對(duì)主機(jī)的訪問控制；3) 網(wǎng)絡(luò)層安全 校園網(wǎng)中局域網(wǎng)數(shù)目較多，根據(jù)需要多個(gè)網(wǎng)絡(luò)可能要互相聯(lián)接。正是這種多網(wǎng)的互聯(lián)，使我們對(duì)網(wǎng)絡(luò)層的安全要極度重視。定義一個(gè)網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級(jí)的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò)邊界。下面主要討論以下幾方面的網(wǎng)絡(luò)層安全防護(hù)： 1 劃分安全子網(wǎng)。如果同一局域網(wǎng)內(nèi)有不同等級(jí)的安全域，可以通過劃分子網(wǎng)及VLAN的方法加以訪問控制。如在教學(xué)局域網(wǎng)中學(xué)生機(jī)房和多媒體機(jī)房之間可以通過劃分子網(wǎng)來控制，不允許學(xué)生機(jī)房的機(jī)器訪問多媒體機(jī)房的機(jī)器。2 加強(qiáng)網(wǎng)絡(luò)邊界的訪問控制。安全等級(jí)差別較大的邊界需要采用防火墻來控制。如校園內(nèi)網(wǎng)、校園外網(wǎng)和

27、Internet之間，利用防火墻進(jìn)行訪問控制和內(nèi)容過濾。可有效地解決需求中提到的多種威脅。3 防止內(nèi)外的攻擊威脅。在每個(gè)安全域內(nèi)或多個(gè)安全域之間安裝入侵檢測系統(tǒng)（IDS）,可有效地防止來自網(wǎng)絡(luò)內(nèi)外的攻擊。4 定期的網(wǎng)絡(luò)安全性檢測實(shí)現(xiàn)持續(xù)安全。利用漏洞掃描器（Scanner）,定期對(duì)系統(tǒng)進(jìn)行安全性評(píng)估，及時(shí)發(fā)現(xiàn)安全隱患并實(shí)施修補(bǔ)，可達(dá)到網(wǎng)絡(luò)的相對(duì)持續(xù)安全。5 建立網(wǎng)絡(luò)防病毒系統(tǒng)。在校園網(wǎng)中安裝網(wǎng)絡(luò)版的防毒系統(tǒng)，集中控制、管理查殺網(wǎng)絡(luò)中服務(wù)器、終端的病毒，保護(hù)全網(wǎng)不被病毒侵害。4) 應(yīng)用層安全 應(yīng)用層的安全措施主要有以下幾點(diǎn)： 各應(yīng)用系統(tǒng)自身的加固； 建立身份認(rèn)證系統(tǒng)； 建立安全審計(jì)系統(tǒng)； 建立備

28、份系統(tǒng)；5) 管理層安全 實(shí)現(xiàn)管理層的安全主要注意以下幾點(diǎn)： 建立安全管理平臺(tái)。主要是指將各種安全系統(tǒng)或設(shè)備集中控管、綜合分析。 建立、健全安全管理體制。校園網(wǎng)用戶較多，一定要建立一套合理可行的安全管理制度。只有制度和設(shè)備的完美結(jié)合才能真正提高校園網(wǎng)的安全水平。 提高全員的安全意識(shí)。參考文獻(xiàn)1 張千里 .網(wǎng)絡(luò)安全新技術(shù)M .北京:人民郵電出版社,20032楊義先 .網(wǎng)絡(luò)安全理論與技術(shù)M .北京：人民郵電出版社，2003.76-893李學(xué)詩.計(jì)算機(jī)系統(tǒng)安全技術(shù)M.武漢：華中理工大學(xué)出版社，2003.73-794馮苗苗.網(wǎng)絡(luò)安全技術(shù)的探討.科技信息，2008致謝感謝我的導(dǎo)師趙培元老師，嚴(yán)謹(jǐn)細(xì)致、一絲不茍的作風(fēng)一直是我工作、學(xué)習(xí)中的榜樣；他循循善誘的教導(dǎo)和不拘一格的思路給予我無盡的啟迪感謝趙培元老師，這片論文的每個(gè)實(shí)驗(yàn)細(xì)節(jié)和每個(gè)數(shù)據(jù)，都離不開你的細(xì)心指導(dǎo)。而你開朗的個(gè)性和寬容的態(tài)度，幫助我能夠很快的融入我們這個(gè)。 在論文即將完成之際，我的心情無法平靜，從開始進(jìn)入課題到論文的順利完成，老師、同學(xué)、朋友給了我無言的幫助，在這里請接受我誠摯的謝意。tgKQcWA3PtGZ7R4I30kA1DkaGhn3XtKknBYCUDxqA7FHYi2CHhI92tgKQcWA3PtGshLs50cLmTWN60eo8Wgqv7X