信息系統(tǒng)及其安全對抗結(jié)課論文-校園網(wǎng)安全解決方案大學(xué)論文

研究生結(jié)課論文論文名稱：校園網(wǎng)安全解決方案課程名稱：信息系統(tǒng)及其安全對抗任課教師：學(xué)生姓名：學(xué)生學(xué)號：學(xué)生學(xué)院：學(xué)生學(xué)科：目錄TOC\o"1-2"\h\z\u1 引言 32 課程核心內(nèi)容 33 系統(tǒng)架構(gòu) 74 系統(tǒng)不安全因素分析 105 信息安全保障體系設(shè)計 126 信息安全與對抗基礎(chǔ)層和系統(tǒng)層原理分析 157 信息安全與對抗原理性技術(shù)性方法分析 168 參考文獻(xiàn) 17

引言校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)。首先，校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境。這就要求校園網(wǎng)是一個寬帶

、具有交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。多媒體教學(xué)軟件開發(fā)平臺、多媒體演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫等，都可以在該網(wǎng)絡(luò)上運(yùn)行。如果一所學(xué)校包括多個專業(yè)學(xué)科，也可以形成多個局域網(wǎng)絡(luò)，并通過有線或無線方式連接起來。其次，校園網(wǎng)應(yīng)具有教務(wù)、行政和總務(wù)管理功能。隨著經(jīng)濟(jì)的發(fā)展和國家科教興國戰(zhàn)略的實施，校園網(wǎng)絡(luò)建設(shè)已逐步成為學(xué)校的基礎(chǔ)建設(shè)項目，更成為衡量一個學(xué)校教育信息化、現(xiàn)代化的重要標(biāo)志。經(jīng)過多年的信息化建設(shè)，國內(nèi)大多數(shù)高?；旧隙冀ǔ闪俗约旱男@網(wǎng)。各高校在建設(shè)校園網(wǎng)時都采用了先進(jìn)的設(shè)備，在主干網(wǎng)類型、路由器、交換機(jī)、服務(wù)器等設(shè)備的選型上下足功夫,建成了結(jié)構(gòu)完善的網(wǎng)絡(luò)體系。這樣的網(wǎng)絡(luò)應(yīng)用起來本該一帆風(fēng)順，然而實際情況并非如此。隨著校園網(wǎng)上的各種數(shù)據(jù)的急劇增加，各種各樣的安全問題接踵而來。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全球平均每20秒就發(fā)生一起Internet計算機(jī)侵入事件。國內(nèi)每年因黑客入侵、計算機(jī)病毒的破壞所造成的損失令人觸目驚心。作為高等院校，網(wǎng)絡(luò)安全現(xiàn)狀也不容樂觀，校園網(wǎng)安全問題已經(jīng)成為保證校園正常教學(xué)、管理的重要課題。課程核心內(nèi)容信息安全與對抗領(lǐng)域自組織耗散理論基礎(chǔ)信息安全與對抗問題是信息系統(tǒng)融入社會共同進(jìn)化事物中矛盾的一部分，具有復(fù)雜的系統(tǒng)特征，總體上可以借助開放耗散自組織理論基礎(chǔ)，在信息安全對抗領(lǐng)域?qū)?yīng)建立分支理論，用以由系統(tǒng)矛盾角度研究信息安全與對抗問題，進(jìn)而對矛盾進(jìn)行導(dǎo)引，推動信息科技和信息系統(tǒng)乃至社會發(fā)展。耗散自組織理論可扼要歸納為以下四點結(jié)論：1、開放的耗散結(jié)構(gòu)（非線性、非平衡態(tài)、耗散內(nèi)部不可逆過程產(chǎn)生的熵）必定自組織地形成宏觀（系統(tǒng)層次）動態(tài)有序（系統(tǒng)層次的運(yùn)動規(guī)律、機(jī)制等）。2、通過“漲落”（矛盾對立斗爭造成的狀態(tài)起伏）開放耗散結(jié)構(gòu)在遠(yuǎn)離平衡態(tài)下達(dá)到新的有序，這條結(jié)論蘊(yùn)涵進(jìn)化概念。3、大小宇宙共同進(jìn)化，意指耗散自組織系統(tǒng)融入環(huán)境（更“大”的系統(tǒng)）中互相作用共同進(jìn)化（淘汰不能共同進(jìn)化者），這樣就發(fā)展了達(dá)爾文的被動選擇淘汰理論，也是耗散自組織理論中說明進(jìn)化過程的重要部分。4、進(jìn)化機(jī)制不斷進(jìn)化（進(jìn)化模式也在進(jìn)化，總的趨勢是使世界進(jìn)化更快）。以上結(jié)論在信息安全對抗領(lǐng)域完全適用，信息安全對抗問題作為一個事物是人類社會進(jìn)化內(nèi)容的重要組成部分，它明顯地具有系統(tǒng)復(fù)雜特征，屬于耗散自組織理論適用范圍。基礎(chǔ)層次對抗原理2.2.1特殊性存在與保持性原理特殊性是與普遍性對立的范疇，兩者具有相互依存的統(tǒng)一性，特殊性是事物存在最基本、最概括的本征屬性，所有事物的存在都是以各種各樣特殊的形式存在，由此將各種各樣的存在形式，如廣義空間、時間維中位置、次序、占位大小、持續(xù)長短等多維度具體表征，都可概括抽象為一種區(qū)分于其他事物的“特殊性”。2.2.2信息存在相對性原理信息是事物運(yùn)動狀態(tài)的表征和描述，有“運(yùn)動”必伴有信息，由此基礎(chǔ)概念而言，“信息”必然存在，不能消失。在具體實際情況下，由于復(fù)雜環(huán)境，“信息”的“存在”呈現(xiàn)相對性?！靶畔ⅰ庇嗅槍\(yùn)動狀態(tài)具體剖面的相對性，不同剖面的“信息”一般不同，“信息”有依靠表征方法（即相對映射和運(yùn)算關(guān)系）的相對性?！靶畔ⅰ痹谛纬珊蛻?yīng)用過程中（如獲取、存儲、交換、傳輸、處理等）會有外部“干擾”介入，使得具體“信息”的真實性、保密性、可用性等發(fā)生問題而影響使用，因此，信息的“存在”是相對的。2.2.3廣義空間維及時間維信息的有限尺度表征原理由表征角度觀察各具體表征運(yùn)動信息的具體形式在廣義空間所占大小，以及時間維中所占長度都是有限的。如果信息在空間維和時間維非有限尺度，占滿了廣義空間和時間維，信息間互相無法區(qū)別，則事物間無法區(qū)別，特殊性無法談起。在信息安全領(lǐng)域的應(yīng)用現(xiàn)實中，在本原理基礎(chǔ)上，可將信息在時間、空間域內(nèi)進(jìn)行變換和處理以滿足對抗需要。2.2.4在共道基礎(chǔ)上反其道而行之（相反相成）原理矛盾對立統(tǒng)一律是一切事物運(yùn)動的基本規(guī)律。人們都承認(rèn)矛盾的對立斗爭是促使事物發(fā)展的根本因素，承認(rèn)矛盾對立斗爭是第一性的同時，不能忽視與對立同時存在“統(tǒng)一”的重要性。一對矛盾是對立的同時又是統(tǒng)一的，并呈現(xiàn)相反相成性質(zhì)。2.2.5共其道而行之（相成相反）原理形式上以對方共道順向為主，實質(zhì)上達(dá)到反向?qū)梗娴溃┬Ч脑?，稱為共其道而行之相成相反原理。共其道而行之達(dá)到相反的效果，有多種原因和方法，概括而言是來源哲學(xué)規(guī)律所規(guī)定的一切機(jī)理所形成的機(jī)能效果都只具有有限性，非絕對的相對性時空域呈相對性）。2.2.6爭斗制對抗信息權(quán)及快速建立系統(tǒng)對策響應(yīng)原理根據(jù)信息的定義和信息存在相對性原理，雙方在對抗過程所采取的任何行動，必定伴隨著產(chǎn)生“信息”，這種“信息”稱為“對抗信息”。它對雙方都很重要，只有通過它才能判斷對方攻擊行動的“道”，進(jìn)而為反應(yīng)對抗進(jìn)行反其道而行之提供基礎(chǔ)，否則無法反其道而行之更不要說相反相成了，“對抗信息”在時空域中包含對立統(tǒng)一性質(zhì)，如雙方對自己行動所形成的“對抗信息”希望對對方進(jìn)行隱藏，對方則希望破除“隱藏”而得到它。除了在圍繞“對抗信息”隱藏與反隱藏體現(xiàn)在空間的對立斗爭外，在時間域中也存在著“搶先”“盡早”意義上的斗爭，同樣具有重要。時空交織雙方形成了復(fù)雜的“對抗信息”斗爭，成為信息安全對抗雙方斗爭過程第一回合的前沿焦點，并對其勝負(fù)起重要作用。系統(tǒng)層次對抗原理2.3.1攻擊方全局占主動地位，被攻擊方居被動地位及局部爭取主動全局獲勝原理發(fā)動攻擊方全局占主動地位，理論上它可以在任何時間、以任何攻擊方法、對任何信息系統(tǒng)及任何部位進(jìn)行攻擊，攻擊準(zhǔn)備工作可以隱藏進(jìn)行。被攻擊方在這個意義上處于被動狀態(tài)，這是不可變更的，被攻擊方所能做的是在全局被動下爭取局部主動。2.3.2信息安全問題置于信息系統(tǒng)功能頂層綜合運(yùn)籌原理將信息安全這一重要問題融入整個系統(tǒng)，利用系統(tǒng)理論及信息安全對抗原理綜合運(yùn)籌，恰當(dāng)?shù)卦谙到y(tǒng)功能體系中（安全性為其中的一）妥善處理各分項“度”的相互關(guān)系，以使信息系統(tǒng)充分發(fā)揮功能，同時不發(fā)生大的功能失調(diào)。2.3.3技術(shù)核心措施轉(zhuǎn)移構(gòu)成串行鏈結(jié)構(gòu)，從而形成“脆弱性”原理每一種安全措施在面對達(dá)“目的”實施的技術(shù)措施中，即由達(dá)目的的直接措施出發(fā)逐步落實效果過程中，必然遵照從技術(shù)核心環(huán)節(jié)逐次轉(zhuǎn)移直至普通技術(shù)為止這一規(guī)律，從而形成串行結(jié)構(gòu)鏈規(guī)律。2.3.4變換、對稱與不對稱性變換應(yīng)用原理“關(guān)系”是一個非常重要的基礎(chǔ)概念，因為普遍的事物間相互關(guān)聯(lián)、相互影響從而形成“關(guān)系”，“關(guān)系”一定意義上表征事物運(yùn)動，代表事物存在?！白儞Q”可以指相互作用的變換，可以認(rèn)為是事物屬性的“表征”由一種方式向另一種轉(zhuǎn)變，也可認(rèn)為是關(guān)系間的變換，即變換關(guān)系。對稱與不對稱是事物運(yùn)動的一種基本特性，也是作為研究具體事物特殊存在性的重要特征之一。2.3.5對抗過程多層次、多剖面動態(tài)組合對抗特性下間接對抗等價原理對抗一方繞開某層次的直接對抗而選擇更高更核心層進(jìn)行更有效的間接式對抗稱為間接對抗等價原理?！肮驳馈薄澳娴馈睂箼C(jī)理博弈模型信息安全對抗領(lǐng)域包括了無數(shù)具體問題，各不同具體問題，有不同矛盾，也就有不同斗爭機(jī)制，就其共性和基本性而言，建立“共道”—“逆道”對抗機(jī)制的博弈模型是一個基本模型，也可以說是一個表述對抗的框架，它要根據(jù)實際情況充入具體內(nèi)容，也可進(jìn)行剪裁。模型構(gòu)成的根據(jù)是信息安全對抗雙方斗爭過程，必遵守矛盾的對立統(tǒng)一律，將矛盾對立統(tǒng)一斗爭相反相成作用對應(yīng)到“共道”、“逆道”環(huán)節(jié)而構(gòu)建的，模型可以用做過程后的總結(jié)分析，也可在對抗前用于運(yùn)籌決策，制定措施方法。系統(tǒng)架構(gòu)基本功能校園網(wǎng)與校園群應(yīng)具有為學(xué)校和學(xué)校之間的教育提供網(wǎng)絡(luò)環(huán)境，實現(xiàn)資源共享、信息交流、協(xié)同工作等基本功能。1、為教育信息的及時、準(zhǔn)確、可靠地收集、處理、存儲和傳輸?shù)忍峁┕ぞ吆途W(wǎng)絡(luò)環(huán)境。2、為學(xué)校行政管理和決策提供基礎(chǔ)數(shù)據(jù)、手段和網(wǎng)絡(luò)環(huán)境，實現(xiàn)辦公自動化，提高工作效率、管理和決策水平。3、為備課、課件制作、授課、學(xué)習(xí)、練習(xí)、輔導(dǎo)、交流、考試和統(tǒng)計評價等各個教學(xué)環(huán)節(jié)提供網(wǎng)絡(luò)平臺和環(huán)境。4、為使用網(wǎng)絡(luò)通信、視頻點播和視頻廣播技術(shù)，提供符合素質(zhì)教育要求的新型教育模式。5、為科學(xué)研究的資料檢索、收集和分析；成果的交流、研討；模擬實驗等提供環(huán)境和手段。系統(tǒng)要求1、校園網(wǎng)必須擁有高速的Internet接入出口和教育網(wǎng)接入出口，利用負(fù)載均衡和流量控制技術(shù)，保證校內(nèi)師生穩(wěn)定、快速地運(yùn)用網(wǎng)絡(luò)。2、保證校園網(wǎng)的基本應(yīng)用服務(wù)，如DNS服務(wù)、WWW服務(wù)、FTP服務(wù)、VOD點播服務(wù)、E-mail服務(wù)等。3、建立學(xué)校自己的教育資源數(shù)據(jù)系統(tǒng)和教務(wù)管理系統(tǒng)，為今后的教育學(xué)習(xí)提供支持。4、擴(kuò)大網(wǎng)絡(luò)覆蓋范圍，在建設(shè)有線網(wǎng)的時候規(guī)劃設(shè)計無線網(wǎng)建設(shè)方案，保證全校師生能在校園內(nèi)隨時隨地接入網(wǎng)絡(luò)。5、強(qiáng)化完善用戶訪問校內(nèi)校外資源的訪問權(quán)限和策略管理，進(jìn)行計費(fèi)認(rèn)證，并能夠詳細(xì)地記錄上網(wǎng)訪問日志，提高校園網(wǎng)的可管理性。6、加強(qiáng)校園網(wǎng)的安全可靠性，通過防火墻、IDS、VLAN等技術(shù)阻止惡意攻擊，保護(hù)校園網(wǎng)的正常運(yùn)行和校內(nèi)數(shù)據(jù)資源的安全網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是指用各種傳輸介質(zhì)互相連接各種設(shè)備的物理布局，指構(gòu)成網(wǎng)絡(luò)的成員之間物理的或邏輯的排列方式。簡單說來，網(wǎng)絡(luò)拓?fù)渚褪蔷W(wǎng)絡(luò)的形狀，用來描述網(wǎng)絡(luò)設(shè)備的連通性。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可視化是為了以圖形化的方式，直觀形象地表示出整個網(wǎng)絡(luò)系統(tǒng)的各個子網(wǎng)，以及子網(wǎng)內(nèi)部各種網(wǎng)絡(luò)設(shè)備之間的互連關(guān)系。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)類型主要有總線型（Bus）結(jié)構(gòu)、樹型（Tree）結(jié)構(gòu)、星型（Star）結(jié)構(gòu)、環(huán)型（Ring）結(jié)構(gòu)及網(wǎng)狀結(jié)構(gòu)等。拓?fù)浣Y(jié)構(gòu)的選擇不但與網(wǎng)絡(luò)需求、地理概況相關(guān)，同時也與傳輸媒體及媒體訪問控制方法緊密相連。大型校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)從功能上可分為網(wǎng)絡(luò)中心、教學(xué)子網(wǎng)、辦公子網(wǎng)、宿舍區(qū)子網(wǎng)等；從結(jié)構(gòu)上可以分為接入層、匯聚層、核心層共三層。分層思想使得網(wǎng)絡(luò)有一個系統(tǒng)化、結(jié)構(gòu)化的設(shè)計，可針對不同的層次進(jìn)行模塊化分析，且能夠支持任何拓?fù)浣Y(jié)構(gòu)，極大地減輕核心層交換機(jī)的負(fù)載，保證網(wǎng)絡(luò)的整體性能，對校園網(wǎng)的管理和維護(hù)提供很大的便捷。目前，分層式網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)成為一種主流，而新型的網(wǎng)絡(luò)要求實現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)扁平化，這樣既方便建設(shè)和配置，也方便網(wǎng)絡(luò)管理人員今后的維護(hù)。校園網(wǎng)的系統(tǒng)結(jié)構(gòu)如圖3-1。圖3-1校園網(wǎng)系統(tǒng)結(jié)構(gòu)在確定了校園網(wǎng)的整體系統(tǒng)結(jié)構(gòu)后，結(jié)合整個校園網(wǎng)樓宇及信息點的分布，可以規(guī)劃出校園網(wǎng)的詳細(xì)拓?fù)鋱D。圖3-2校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖系統(tǒng)不安全因素分析操作系統(tǒng)與應(yīng)用軟件引發(fā)的安全隱患操作系統(tǒng)與應(yīng)用軟件引發(fā)的高校校園網(wǎng)安全問題不容忽視。目前，有的操作系統(tǒng)或應(yīng)用軟件留有“后門”程序，在系統(tǒng)或軟件的開放過程中，程序員常常會在軟件或系統(tǒng)內(nèi)創(chuàng)建后門程序，其目的是方便后期修改程序設(shè)計與開發(fā)中的缺陷，但同時，如果后門信息被其他人獲取，或是后期仍舊保留有后門程序代碼，安全隱患便產(chǎn)生了，很容易被黑客抓住此漏洞進(jìn)行攻擊，常見的后門有網(wǎng)頁后門、線程插入后門、擴(kuò)展后門、C/S后門；同時，因為各種系統(tǒng)或者軟件功能較多、容量較大，各種安全漏洞便不可避免地出現(xiàn)了，各種應(yīng)用程序更新交替頻繁，各種安全問題層出不窮，因此，黑客可能就此展開入侵行為。還有部分高校的校園網(wǎng)FTP服務(wù)器上擁有大量的信息資源，如各類軟件（可能含非法軟件）、單機(jī)或網(wǎng)絡(luò)游戲、教學(xué)資源。而有些非法軟件在安裝后還會在系統(tǒng)中留下大量的漏洞，給網(wǎng)絡(luò)信息安全帶來極大的隱患，同時大量的軟件和視頻，都有可能被黑客等不法分子種植木馬、植入后門；又如校園網(wǎng)內(nèi)使用頻繁的各種網(wǎng)絡(luò)郵件，也可能被部分不法分子利用，傳遞有病毒的郵件，種種此類對校園網(wǎng)埋下了安全隱患。網(wǎng)內(nèi)配置引發(fā)的安全隱患高校局域網(wǎng)網(wǎng)絡(luò)形成了復(fù)雜的拓?fù)浣Y(jié)構(gòu)，各個院系網(wǎng)站、行政與教輔部門的網(wǎng)站、創(chuàng)先爭優(yōu)網(wǎng)站、廉政風(fēng)險防控網(wǎng)站、質(zhì)量工程網(wǎng)站及各個網(wǎng)站的分支，網(wǎng)關(guān)、路由器、交換機(jī)、防火墻、檢測系統(tǒng)等各類軟硬件參數(shù)配置存在各類隱患。當(dāng)下高校較為重視網(wǎng)絡(luò)邊界安全，在網(wǎng)絡(luò)接口處運(yùn)用檢測軟件或防火墻進(jìn)行安全檢測，防范來自外部的攻擊。但在校園內(nèi)連接外網(wǎng)的計算機(jī)較多，而每一次網(wǎng)絡(luò)信息傳遞都有可能引發(fā)各種隱患。需要對網(wǎng)絡(luò)中的P2P/IM帶寬的濫用、各類游戲、網(wǎng)上炒股、在線視頻、網(wǎng)絡(luò)媒體、非法站點訪問等行為進(jìn)行識別與控制，對網(wǎng)絡(luò)流量、校園網(wǎng)用戶上網(wǎng)行為進(jìn)行深入分析與全面的排除。如以前惡性黑客攻擊事件、木馬傳播等可能先以控制服務(wù)器為出發(fā)點，然后在此基礎(chǔ)上對其他主機(jī)展開攻擊，便引發(fā)了數(shù)據(jù)外泄、病毒擴(kuò)散，從而導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓。網(wǎng)絡(luò)協(xié)議引發(fā)的安全隱患TCP/IP協(xié)議已經(jīng)成為事實上的國際標(biāo)準(zhǔn)，也是最常用的網(wǎng)絡(luò)通信協(xié)議。但是TCP/IP協(xié)議本身卻可能引發(fā)一些安全問題，這些安全問題將會導(dǎo)致多種類型的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)中關(guān)于TCP/IP協(xié)議簇自身缺陷而引起的安全漏洞很多，例如源地址欺騙或IP欺騙、源路由選擇欺騙、路由選擇協(xié)議攻擊、鑒別攻擊、TCP序列號欺騙、TCPSYN攻擊。用戶設(shè)置引發(fā)的安全隱患很多用戶習(xí)慣在私人電腦上對郵箱、微博等使用登錄賬號的“記住密碼”功能，相當(dāng)于把這些賬號的密碼保護(hù)功能給予排除了，下次再訪問就可以直接登錄。如MHTML0day漏洞會導(dǎo)致網(wǎng)民電腦中的Cookie文件被黑客竊取，造成電子郵件泄露、微博賬號等被黑客利用等狀況；校園網(wǎng)用戶對郵箱、微博、游戲、網(wǎng)購等賬號設(shè)置相同的密碼，容易造成不法分子暴力破解，引發(fā)惡性連鎖反應(yīng)；有的用戶在計算機(jī)安裝好系統(tǒng)后就直接聯(lián)網(wǎng)使用，沒有進(jìn)行相應(yīng)的安全檢查及設(shè)置；校內(nèi)用戶利用P2P應(yīng)用軟件下載，如迅雷等，占用學(xué)校有限帶寬，導(dǎo)致正常的校園應(yīng)用服務(wù)受到影響，網(wǎng)絡(luò)訪問受到嚴(yán)重干擾。人為典型攻擊引發(fā)的安全隱患現(xiàn)在出現(xiàn)了越來越多的初級“黑客”，他們嘗試使用各種掃描器到處掃描入侵，使用IP消息炸彈放置在目的地址或網(wǎng)站，嘗試進(jìn)行攻擊與破壞。比如獲取用戶賬戶信息，截取各類對自身有用的信息，給受害者帶來了嚴(yán)重?fù)p失。高校校園網(wǎng)內(nèi)的部分學(xué)生計算機(jī)操作水平高超，對網(wǎng)絡(luò)新技術(shù)充滿好奇，勇于嘗試。比如從各種黑客培訓(xùn)網(wǎng)站上展開實踐，將學(xué)校網(wǎng)絡(luò)作為練習(xí)網(wǎng)站展開攻擊。所以，不僅要杜絕外圍安全隱患，排除外圍攻擊，還要杜絕內(nèi)網(wǎng)安全隱患，消除內(nèi)網(wǎng)攻擊。比如，初級“黑客”利用P2P終結(jié)者使用局域網(wǎng)中任意一臺電腦便可以控制整個局域網(wǎng)的流量，還可以利用P2P終結(jié)者、網(wǎng)絡(luò)執(zhí)法官、網(wǎng)絡(luò)神警、聚生網(wǎng)管等軟件進(jìn)行WWW訪問限制等。信息安全保障體系設(shè)計物理安全策略物理安全是整個校園網(wǎng)系統(tǒng)安全的前提，它涉及了許多方面的內(nèi)容，主要是用來保證各種計算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)備設(shè)施免遭火災(zāi)、水災(zāi)、地震等環(huán)境事故，做好防塵、防雷、防靜電，防止人為惡意破壞網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線纜，還要對網(wǎng)絡(luò)設(shè)備的工作環(huán)境進(jìn)行控制。一般情況下，可以通過采用各種技術(shù)手段，來保證設(shè)備的運(yùn)行溫度、濕度和電力系統(tǒng)以及通信線路的暢通。網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略主要體現(xiàn)在網(wǎng)絡(luò)協(xié)議方面和網(wǎng)絡(luò)層的安全性。網(wǎng)絡(luò)協(xié)議的漏洞、網(wǎng)絡(luò)設(shè)備配置的疏忽、網(wǎng)絡(luò)技術(shù)選擇的不當(dāng)，都會造成網(wǎng)絡(luò)安全問題。在這個層面上，采用的安全策略主要有防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、身份認(rèn)證、VLAN、ACL、NAT、IP-MAC綁定等技術(shù)。5.2.1防火墻技術(shù)防火墻是位于兩個或多個網(wǎng)絡(luò)之間，實施網(wǎng)絡(luò)之間訪問控制的一組組件的集合。在實施安全策略之后，防火墻能夠限制被保護(hù)的內(nèi)網(wǎng)與外網(wǎng)之間的信息存取和交換操作，作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間交換信息的出入口，根據(jù)校園內(nèi)部的安全策略控制出入網(wǎng)絡(luò)的信息流。5.2.2入侵檢測系統(tǒng)防火墻的動態(tài)性能較差，不能很好地實現(xiàn)對數(shù)據(jù)的實時監(jiān)控。入侵檢測系統(tǒng)作為動態(tài)安全的核心技術(shù)之一，是防火墻的合理補(bǔ)充，也是安全防御體系的一個重要組成部分。入侵檢測是指通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)工程中若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時做出響應(yīng)的安全技術(shù)。通過入侵檢測系統(tǒng)的部署可以擴(kuò)展系統(tǒng)管理員的安全管理能力，幫助系統(tǒng)檢測和防范網(wǎng)絡(luò)攻擊，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。圖5-1入侵檢測的一般流程5.2.3入侵防御系統(tǒng)入侵防御系統(tǒng)可提供主動防護(hù)，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。入侵防御系統(tǒng)是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在入侵防御系統(tǒng)設(shè)備中被清除掉。5.2.4代理服務(wù)技術(shù)代理服務(wù)器是一個天然的校園網(wǎng)絡(luò)安全隔離屏障。代理服務(wù)技術(shù)是校園網(wǎng)客戶端接入Internet經(jīng)常采用的一種技術(shù)。代理服務(wù)器一端連接Internet，另一端連接學(xué)校內(nèi)部網(wǎng)，這相當(dāng)于在二者之間建立了一道屏障。代理服務(wù)器具有方向性的過濾功能、訪問管理功能、審計功能、安全報警功能和日志功能。當(dāng)校園網(wǎng)受到攻擊時，攻擊的對象僅僅是代理服務(wù)器，學(xué)校內(nèi)部的其他網(wǎng)絡(luò)設(shè)備不會受到攻擊，這樣可以有效地加強(qiáng)校園網(wǎng)的安全性。5.2.5身份認(rèn)證技術(shù)身份認(rèn)證是校園網(wǎng)安全系統(tǒng)中一個非常重要的環(huán)節(jié)，沒有身份認(rèn)證，或是身份認(rèn)證失敗，就無法在網(wǎng)絡(luò)安全系統(tǒng)中進(jìn)行訪問控制和攻擊檢測。常用的認(rèn)證技術(shù)有PPPoE認(rèn)證、Web認(rèn)證、802.1x認(rèn)證等。應(yīng)用安全策略應(yīng)用安全問題是由提供具體應(yīng)用的服務(wù)所引發(fā)的，主要是指應(yīng)用軟件及數(shù)據(jù)的安全性，既包括在網(wǎng)絡(luò)上常用的WWW服務(wù)、電子郵件服務(wù)、DNS系統(tǒng)等，也包括大量的寄于網(wǎng)絡(luò)的其他應(yīng)用系統(tǒng)，如數(shù)據(jù)庫、信息管理系統(tǒng)等。對于此類安全問題，可采用數(shù)據(jù)加密和備份、系統(tǒng)備份、過濾垃圾郵件、安全審計、及時修補(bǔ)安全漏洞、進(jìn)行合理配置、加強(qiáng)安全管理和監(jiān)控、提高校內(nèi)師生應(yīng)用服務(wù)時的安全意識等方法。管理安全策略一個完整的安全體系不僅有技術(shù)和應(yīng)用上的支持，還應(yīng)有管理制度上的支持。管理安全主要包括安全管理制度、部門與人員的組織規(guī)則等，科學(xué)完善的管理是網(wǎng)絡(luò)安全真正得以實施的保證。嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員配置都可以在很大程度上降低其他層次的安全漏洞。信息安全與對抗基礎(chǔ)層和系統(tǒng)層原理分析在信息安全對抗問題的運(yùn)行斗爭中，以及基礎(chǔ)層次和系統(tǒng)層次原理的應(yīng)用中，你中有我，我中有你，往往是交織著相輔相成地起作用，而不是單條孤立地起作用。因此，重要的是利用這些原理觀察和分析掌握問題的本征性質(zhì)，進(jìn)而解決問題。人們稱實現(xiàn)某種目的所遵循的重要路徑和各種辦法為“方法”。“方法”的產(chǎn)生是按照事物機(jī)理、規(guī)律找出具體的一些實現(xiàn)路徑和辦法。因此對應(yīng)產(chǎn)生辦法的“原理”集是“方法”的基礎(chǔ)，在信息安全與對抗領(lǐng)域，重要的問題是按照實際情況運(yùn)用諸原理靈活地創(chuàng)造解決問題的各種方法。1、“反其道而行之相反相成”方法。本方法具有指導(dǎo)思維方式和起核心機(jī)理的作用?！跋喾聪喑伞辈糠滞擅畹乩酶鞣N因素，包括對方“力量”形成有效對抗方法。2、“反其道而行之相反相成”方法與“信息存在相對性原理”、“廣義空間維及時間維信息的有限尺度表征原理”相結(jié)合可以形成在信息進(jìn)行攻擊或反攻擊的方法。3、“反其道而行之相反相成方法”與“爭奪制對抗信息權(quán)及快速建立系統(tǒng)對策響應(yīng)原理”相結(jié)合為對抗雙方提供的一類對抗技術(shù)方案性方法。4、“反其道而行之相反相成方法”與“爭奪制對抗信息權(quán)及快速建立系統(tǒng)對策響應(yīng)原理”、“技術(shù)核心措施轉(zhuǎn)移構(gòu)成串行鏈結(jié)構(gòu)而形成脆弱性原理”相結(jié)合形成的一類對抗技術(shù)方案性方法。5、“反其道而行之相反相成方法”及“變換、對稱與不對稱變換應(yīng)用原理”相結(jié)合指導(dǎo)形成或直接形成的一類對抗技術(shù)方案性方法。6、重視對抗復(fù)合式攻擊方法。復(fù)合攻擊指攻擊方組織多層次、多剖面時間、空間攻擊的一種攻擊模式，其特點是除在每一層次、剖面的攻擊奏效后都產(chǎn)生信息系統(tǒng)安全問題外，還體現(xiàn)在實施中對對方所采取對抗措施再形成新的附加攻擊，這是一種自動形成連環(huán)攻擊的嚴(yán)重攻擊。對抗復(fù)合攻擊可利用對方攻擊次序差異各個擊破，或在對抗攻擊措施中使對方不能提供形成附加攻擊的因素等。7、“共其道而行之相成相反”方法。“相成相反”展開為，某方在某層次某過程對于某事相成；某方在某層次某過程對于某事相反。前后兩個“某方”不一定為同一方。在實際對抗過程中，對抗雙方都會應(yīng)用“共其道而行之相成相反”方法。信息安全與對抗原理性技術(shù)性方法分析“共道”階段：對于攻擊方而言