校園網(wǎng)信息安全管理中存在的問題及對策研究

第第頁校園網(wǎng)信息安全管理中存在的問題及對策研究摘要：校園網(wǎng)在高校的教學(xué)管理，乃至教學(xué)過程中發(fā)揮著重要作用。網(wǎng)絡(luò)安全問題常常給學(xué)生上課，教師教學(xué)，管理人員的工作帶來麻煩。產(chǎn)生的問題雖然有技術(shù)上的，但在管理上的問題更加突出，信息安全管理問題是每個學(xué)校都要面臨的。以衡水學(xué)院為例，對整個校園體系進行分析，主要通過兩個角度對整個網(wǎng)絡(luò)體系進行分析。第一個方面是從內(nèi)部和外部分析，第二方面是把整個體系細化為四個層次，應(yīng)用表格圖形等工具，使索要研究的安全問題更清晰。本課題的重點在于研究解決對策，提出解決方案，因此以TCP/IP協(xié)議為出發(fā)點依次提出技術(shù)對策和解決方案，并擬定了安全體系評定流程，以此解決實際生活中存在的問題。關(guān)鍵詞:TCP/IP；網(wǎng)絡(luò)技術(shù)；管理方案；流程體系；危機處理ProblemsandsolutionsofcampusnetworkinformationsecuritymanagementAbstract:Thecampusnetworkplaysanimportantroleintheteachingmanagementofcollegesanduniversities,aswellasintheteachingprocess.Networksecurityproblemsoftengivestudentsclasses,teachers,teaching,managementoftheworkoftrouble.Althoughthetechnicalproblems,butinthemanagementoftheproblemismoreprominent,theproblemofinformationsecuritymanagementiseveryschoolmustface.Basedontheanalysisofthecampusnetworksecuritysystem,thispaperfocusesontheanalysisofthewholenetworksystemfromtwoaspects.Firstofall,theinternalfactorsandexternalfactorsareanalyzedtofindoutthefactorswhichmayaffectthewholenetwork.Thenthewholesystemisdividedintofourlevels,theuseofgraphicaltoolsandotherforms,sothatthesecurityissuesformoreclear.Thefocusofthispaperistostudythecountermeasuresandsolutionsareputforward,sotheTCP/IPprotocolasthestartingpointinordertoputforwardtechnicalcountermeasuresandsolutions,andtodevelopsecuritysystemevaluationprocess,inordertosolvetheexistingproblemsinreallife.Keywords:TCP/IP;networktechnology;managementplan;Crisismanagement1緒論1.1選題的背景及意義1.1.1選題背景計算機技術(shù)的發(fā)展日益加快，利用計算機不但能進行數(shù)值的計算和文檔的操作，而且可以完成越來越多的網(wǎng)絡(luò)互連。在校園中更是離不開計算機的使用，教師網(wǎng)絡(luò)教學(xué)、學(xué)生使用網(wǎng)絡(luò)拓寬學(xué)習(xí)思路，完成老師布置的學(xué)習(xí)任務(wù)以及學(xué)生信息的數(shù)據(jù)存儲都需要借助計算機來完成。于此同時，校園網(wǎng)中信息安全管理問題更應(yīng)受到我們的關(guān)注，校園網(wǎng)中包含的安全問題主要表現(xiàn)在以下方面：(1)安全機制在特定環(huán)境下仍然存在缺陷。對于內(nèi)部網(wǎng)絡(luò)互連和內(nèi)外遠程訪問的非法入侵，防火墻是很難發(fā)覺和防范這些行為的。(2)安全管理受到人的影響。在校學(xué)生以及教師對安全工具不能正確有效的使用，安全管理方式不能達到預(yù)期的效果。使用校園網(wǎng)時設(shè)置的密碼和登錄的口令太簡單，按順序排列的數(shù)字和字母。讓別人知道自己的登錄賬號和密碼，允許別人和自己共用。(3)BUG處處存在。比如360衛(wèi)生、金山毒霸等安全防護工具也會存在漏洞。程序在不斷地更新中，可能往往會顧此失彼，改好了知道的漏洞有出現(xiàn)了新的錯誤。對于廣大學(xué)生來說是不能在使用是正確判斷是否存在BUG，在錯誤的使用情況下對網(wǎng)絡(luò)系統(tǒng)產(chǎn)生的危害十分危險。(4)非法分子的入侵不能得到控制。除了計算機自己的設(shè)備威脅，校園網(wǎng)數(shù)據(jù)安全還會受到一群黑客的威脅。校園網(wǎng)中包含了廣大師生的個人信息，各學(xué)院工作安排和黨建機密，這些讓不法分子有利可圖，黑客利用其自身存在的漏洞入侵竊取信息，對校園網(wǎng)的正常建設(shè)產(chǎn)生威脅。1.1.2選題意義(1)校園網(wǎng)的網(wǎng)絡(luò)安全管理可以促進黨群機密正常工作。加強高校網(wǎng)絡(luò)安全建設(shè)是為了保證校園中的計算機系統(tǒng)滿足師生日常使用要求，整個校區(qū)的系統(tǒng)順利運行，盡量避免某些損壞而對系統(tǒng)數(shù)據(jù)的處理造成破壞和損失。(2)校園網(wǎng)的網(wǎng)絡(luò)安全管理可以提高各部門的管理水平以及工作效率。在校園體系中，對師生登錄進行識別。若有上傳和下載數(shù)據(jù)的情況，要查清權(quán)限使用是否合法。對存在的病毒時刻進行查殺，數(shù)據(jù)密碼的設(shè)置工作別松懈。存在與學(xué)校各方的聯(lián)系和通信才可以準確。(3)校園網(wǎng)的網(wǎng)絡(luò)安全管理有利于提高學(xué)校競爭力?，F(xiàn)在的大學(xué)為了能滿足激烈的商業(yè)競爭，擴大招生，向社會上發(fā)布消息。通過網(wǎng)絡(luò)向?qū)W校高層提供有效的社會消息。1.2校園網(wǎng)的信息安全管理現(xiàn)狀網(wǎng)絡(luò)為校園中教師上課和留作業(yè)、師生科學(xué)研究的創(chuàng)新、領(lǐng)導(dǎo)對整個校園的管控和與外部學(xué)習(xí)等諸多社會活動提供了一個重要的平臺，使得本課題研究內(nèi)容顯得更加重要。若從學(xué)生的角度來說，一方面學(xué)生在寢室和機房內(nèi)連接網(wǎng)絡(luò)查閱學(xué)習(xí)資料，另一方面危險網(wǎng)站會出現(xiàn)直達不良信息的鏈接。從老師的角度來說，那就是教學(xué)資料受到非法共享。在校園中師生人口多，校園網(wǎng)消息相互傳遞量大，僅僅查閱書籍滿足不了需求。稍微有些不當?shù)牟僮?，想要入侵的攻擊者就會以此為侵略目標，校園網(wǎng)信息安全管理成為每天都要考慮去處理的問題。1.3課題擬解決的主要問題本課題旨在研究和解決校園網(wǎng)信息安全管理中如下幾個方面的問題：（1）校園網(wǎng)的網(wǎng)絡(luò)安全運營問題。在校園中對安全的認證不如大型企業(yè)或是公司，IP認證似乎是最有效的方法，認證時是不進行收費的，因此在校園中上網(wǎng)，只要有獲得了登錄賬號和密碼，影響整個內(nèi)網(wǎng)的運營是很方便的。（2）校園網(wǎng)管理維護復(fù)雜。大學(xué)的課堂不同于其他學(xué)習(xí)時期，單單依賴書本和老師，不能滿足學(xué)生的需求。課堂教學(xué)逐步趨于互聯(lián)網(wǎng)。不僅如此學(xué)生們的活動也是通過互聯(lián)網(wǎng)。校園網(wǎng)覆蓋的校區(qū)面積大、承受的工作量多、出現(xiàn)問題不能精準定位，校園網(wǎng)的網(wǎng)絡(luò)的安全性能差、管理員的管理難度大。（3）校園中的資源調(diào)配困難。在校園中不只有老師和學(xué)生要用到網(wǎng)絡(luò)，如何分享各個院系之間的信息，獲取來自其他高校的優(yōu)質(zhì)資源，實現(xiàn)更高意義上的資源共享，也值得我們解決。2校園網(wǎng)絡(luò)安全體系2.1網(wǎng)絡(luò)安全的含義網(wǎng)絡(luò)安全通俗來講，就是指互聯(lián)網(wǎng)的信息安全，通信網(wǎng)絡(luò)中存在著變化多樣的安全漏洞、威脅和攻擊，不難得出結(jié)論網(wǎng)絡(luò)安全覆蓋了很多領(lǐng)域。校園網(wǎng)安全管理分為下面幾類：（1）校園網(wǎng)信息安全：保證信息安全，就需要對數(shù)據(jù)進行關(guān)注，如password的確認，病毒的防御，數(shù)據(jù)的授權(quán)。（2）校園網(wǎng)傳輸安全：即網(wǎng)絡(luò)傳播過程的危險、不好信息的篩選等。眾所周知，校園網(wǎng)是個龐大的體系，信息在校園網(wǎng)中的傳輸往往是牽一發(fā)而動全身的，不良信息一旦入侵某臺計算機，很可能影響整個機房系統(tǒng)。網(wǎng)絡(luò)安全技術(shù)機制涵蓋內(nèi)容主要包含：（1）加密和隱藏。（2）認證和授權(quán)。（3）審計和定位。（4）完整性保證。（5）權(quán)限和存取控制。（6）任務(wù)填充。校園網(wǎng)的環(huán)境中，師生的權(quán)利主要受到兩種類型的危險：自己帶來的和外界帶來的。根據(jù)校園網(wǎng)對安全的需求可以提出多種保護措施：（1）身份認證。（2）訪問控制。（3）數(shù)字認證。（4）保密協(xié)議。（5）不可否認性。安全保護措施關(guān)系示意圖，如圖1所示。圖2-1安全保護措施關(guān)系示意圖2.2校園網(wǎng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)大部分的校園網(wǎng)建設(shè)與管理中，安全類的建設(shè)是不全面的[1]。防護的前提當然是對網(wǎng)絡(luò)全方位的了解。按照TCP/IP模型，將校園網(wǎng)劃分為四個層面：應(yīng)用層、傳輸層、網(wǎng)絡(luò)互連層、網(wǎng)絡(luò)接口層。物理層次的安全是基礎(chǔ)的，為其他層提供前提，通過以下分析。1、網(wǎng)絡(luò)接口層分析（1）對外服務(wù)器的安全問題要想利用更多的信息，校園的內(nèi)部網(wǎng)絡(luò)必須與外部試試刻刻連接著。病毒、木馬和黑客的攻擊什么時候都存在。學(xué)校服務(wù)器中由于包括許多重要的信息，黑客攻擊也在所難免。（2）遠程訪問服務(wù)的問題為了方便師生的學(xué)習(xí)和工作，僅僅允許內(nèi)網(wǎng)之間的訪問是遠遠不夠滿足學(xué)習(xí)和工作需求的。互聯(lián)網(wǎng)的相互訪問以及遠程服務(wù)，所帶來的危害則是隱形的。2、網(wǎng)絡(luò)互聯(lián)層安全分析（1）整個高校包括多個校區(qū)，為了分組去進行管理，在設(shè)置時，往往會分為好多個VLAN。由于規(guī)劃方案不夠合理，很可能會導(dǎo)致VLAN之間的訪問能力較差，或者說是訪問本不應(yīng)該相互訪問反而可以進行通信。（2）在校園網(wǎng)中，某個學(xué)生或是機房內(nèi)某臺電腦受到蠕蟲或是病毒的侵害，整個機房乃至整個校園網(wǎng)絡(luò)都會出現(xiàn)癱瘓或堵塞。3、傳輸和應(yīng)用層安全分析傳輸層和應(yīng)用層的環(huán)境相對復(fù)雜，應(yīng)用范圍廣泛，出現(xiàn)問題的情況也相對單一，但出現(xiàn)的問題發(fā)現(xiàn)困難。導(dǎo)致此類安全問題經(jīng)常被忽視，而且攻擊比較容易實施。（1）校園網(wǎng)用戶，眾多校園網(wǎng)的管理者不能對訪問的用戶進行有效的身份認證，另外在出現(xiàn)不正當?shù)脑L問后，沒有及時積極地采取防范措施。（2）校園內(nèi)學(xué)生以及教師的計算機水平高低不齊，比如計算機相關(guān)專業(yè)的學(xué)生和老師水平高，安全意識強，會對系統(tǒng)定期進行升級和維護。但是，畢竟其他很多人水平不高，很可能會出現(xiàn)網(wǎng)絡(luò)攻擊泛濫的現(xiàn)象。4、物理層安全分析(1)機房供電系統(tǒng)不穩(wěn)定。比如在圖書館進行學(xué)習(xí)時，會時不時出現(xiàn)斷電情況，學(xué)生的文件來不及保存，產(chǎn)生很多不便。(2)學(xué)校主機房溫控性能差。機房的電腦臺數(shù)多，在畢業(yè)季或是期末時期，來機房上網(wǎng)的學(xué)生數(shù)劇增，電腦主機散熱多，學(xué)生呼吸產(chǎn)生熱量多，機房內(nèi)的空調(diào)臺數(shù)少，并且在冬季開啟制冷空調(diào)不現(xiàn)實。(3)計算機的設(shè)施慢慢完善。教學(xué)機房的設(shè)備在長期使用過程中，規(guī)劃會逐步完善。如衡水學(xué)院網(wǎng)絡(luò)實驗室，線路損壞，路由器不能正常工作，時有發(fā)生。2.3網(wǎng)絡(luò)安全的發(fā)展趨勢我們已經(jīng)擺脫了書本時代，進入了互聯(lián)網(wǎng)+時期。聰明的人類，已經(jīng)不僅僅局限于對單個方向的問題進行研究了。網(wǎng)絡(luò)安全已經(jīng)不再是一個僅僅是多種學(xué)科技術(shù)的綜合性科學(xué)，還與當今的云計算和大數(shù)據(jù)緊密相關(guān)。隨著科技的進步和發(fā)展，大數(shù)據(jù)時代的到來，網(wǎng)絡(luò)安全還需嚴格的手段，未來發(fā)展的領(lǐng)域也更為寬廣，其一是認證方向朝著更高的級別發(fā)展；其二，目前存儲在師生和機房計算機上的復(fù)雜數(shù)據(jù)將向更高的層次發(fā)展；其三，廣大師生提高自己計算機和機房計算機的攻擊防御的能力。3校園中存在的網(wǎng)絡(luò)安全問題3.1校園安全隱患如今的校園中，校園網(wǎng)絡(luò)安全管理中主要存在的安全隱患和漏洞有[2]：（1）校園網(wǎng)內(nèi)部也存在很大的安全隱患。例如，衡水學(xué)院校園網(wǎng)連接兩個校區(qū)，上網(wǎng)地點分為圖書館機房、13號教學(xué)樓機房、辦公室以及宿舍，不同院系的老師由于工作需要很可能交換密碼或是使用同一IP地址，這樣隱患的潛伏性就很大了。（2）校園網(wǎng)接入用戶的終端主機安全無法進行控制。比如，應(yīng)用個人筆記本登陸學(xué)校校園網(wǎng)時，可能會受到外部攻擊。（3）校園網(wǎng)計算機應(yīng)用普遍，病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等問題發(fā)生的機率增大[3]。內(nèi)部人員行動隱蔽，且很有可能利用便利接觸到關(guān)鍵信息，其入侵行為往往會直接針對系統(tǒng)的核心數(shù)據(jù)、資源。3.2網(wǎng)絡(luò)物理層因素(1)結(jié)構(gòu)因素。紛繁復(fù)雜的網(wǎng)絡(luò)產(chǎn)品相繼出現(xiàn)在各個電子用品商家，安全隱患也在購買與售出的過程中不斷滋生。設(shè)備樣式多，操作系統(tǒng)種類多，拓撲結(jié)構(gòu)奇形怪狀。(2)搭線竊聽。校園網(wǎng)體系中存在著廣大在校學(xué)生以及畢業(yè)學(xué)生的個人信息，家庭信息等。(3)來自互聯(lián)網(wǎng)的風(fēng)險。我們除了進行內(nèi)部網(wǎng)絡(luò)的相互訪問，不可避免的會進行互聯(lián)網(wǎng)的鏈接，從而加劇網(wǎng)絡(luò)使用的風(fēng)險。3.3網(wǎng)絡(luò)外部因素網(wǎng)絡(luò)入侵。非法的網(wǎng)絡(luò)入侵會更容易的取得訪問校園網(wǎng)的各種權(quán)限，校園網(wǎng)絡(luò)系統(tǒng)中包含有大量的學(xué)生信息，為了竊取這些信息，不法分子入侵校園網(wǎng)的目的十分明顯。計算機病毒和蠕蟲。在編寫計算機程序的過程中植入一種能夠損壞計算機功能同時破壞相應(yīng)程序的網(wǎng)絡(luò)處理方式成為計算機病毒。(3)軟件系統(tǒng)的缺陷更容易被入侵者使用，對網(wǎng)絡(luò)實施破壞性的進攻[4]。如軟件安裝功能不完備；必須需要安全防范的軟件沒有明顯的標識說明，核心程序沒有相應(yīng)的保護措施；選擇完全錯誤的路由系統(tǒng)，使用戶與用戶之間的信息溝通方式出現(xiàn)誤差[5]。(4)垃圾郵件。作為學(xué)生我們?nèi)狈ι暇W(wǎng)安全意識，并且在無意識的情況下會點擊一些郵件或是網(wǎng)絡(luò)鏈接。從而進入商家圈套，為非法入侵提供便利。(5)病毒入侵。計算機病毒一旦植入于網(wǎng)絡(luò)之中，便能夠采用各種形式無限繁殖，最終擴展到計算機對系統(tǒng)實施全面的破壞[6]。3.4校園網(wǎng)絡(luò)管理者存在的安全隱患在重技術(shù)輕管理的時代，校園內(nèi)網(wǎng)絡(luò)安全的人員管理的配備是特別薄弱的。比如衡水學(xué)院來說，機房管理人員大多都是數(shù)計學(xué)院的老師。專職的機房管理老師，平時的工作也只有開關(guān)機房的門或是保證用電安全。而且這些專職人員很少，遠遠不能滿足學(xué)校的用人要求。(1)真正的懂得技術(shù)的人員很少。現(xiàn)在我國大多數(shù)高校的網(wǎng)絡(luò)管理人員的網(wǎng)絡(luò)安全知識和安全管理經(jīng)驗不足，對于日趨復(fù)雜多變的網(wǎng)絡(luò)安全形勢難以應(yīng)付。少部分網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)安全的重視程度不夠，不愿花時間去研究網(wǎng)絡(luò)防范技術(shù)，安全管理方法欠缺。(2)機房管理人員沒有保護的意識。校園網(wǎng)中的工作信息，個人檔案信息隨時隨刻都會被不相關(guān)的人盜取。好意幫助需要的同學(xué)打印文檔；學(xué)校中的文檔總有人隨意打印。部分人員意識不強，寧可隨意玩游戲或是閱讀新聞，也不會去處理問題。4網(wǎng)絡(luò)安全問題技術(shù)解決對策4.1防火墻技術(shù)校園網(wǎng)的安全問題一天比一天嚴重，新興的技術(shù)倒不如以往成熟的技術(shù)受到青睞，即防火墻技術(shù)。從更通俗的方面講，防火墻是設(shè)置的一系列部件的組合在不同的網(wǎng)絡(luò)區(qū)間里。在網(wǎng)絡(luò)互連中，防火墻就相當于現(xiàn)實中的一堵防止壞人進入的墻，區(qū)別于實際的是它不是實際存在的。它主要可以阻擋一下兩種情況：（1）拒絕未經(jīng)授權(quán)的校園外部訪問內(nèi)部網(wǎng)和存取重要數(shù)據(jù)。（2）允許師生正確地訪問網(wǎng)絡(luò)資源。對于學(xué)校里的防火墻的用途是防止外部攻擊：安全屏障。在校園網(wǎng)絡(luò)中使用防火墻可以提高安全性，只有安全可靠地信息才可以通過這個屏障，使得校園網(wǎng)的網(wǎng)絡(luò)環(huán)境更加純凈。（2）防止外泄。利用防火墻對網(wǎng)絡(luò)進行VLAN的劃分，實現(xiàn)網(wǎng)段隔離，防止網(wǎng)絡(luò)過于集中，從而保護使用安全。（3）過濾進出校園網(wǎng)的數(shù)據(jù)，不讓出錯或是危險的數(shù)據(jù)包進入內(nèi)網(wǎng)。當有信息進出網(wǎng)絡(luò)時，對信息進行記錄。時時刻刻對攻擊進行偵查，出現(xiàn)攻擊時彈出警告窗口。4.2入侵檢測技術(shù)入侵檢測系統(tǒng)是對惡意使用行為進行識別的系統(tǒng)[7]。主要的作用是對可能存在的攻擊行為進行檢測、監(jiān)督，檢測的行為主要包括兩個，首先是來自外網(wǎng)的入侵行為，其次就是內(nèi)部的非法授權(quán)，舉例來講就是本院系的內(nèi)部資料，其他院系卻可以查看。入侵檢測技術(shù)的基本功能包括：（1）分析并且監(jiān)督校園網(wǎng)師生上網(wǎng)的行為。（2）定期按時檢查校園網(wǎng)的系統(tǒng)、路由器工作狀況，定期更新配置，修補漏洞。（3）發(fā)現(xiàn)異常數(shù)據(jù)，確定攻擊類型，及時與管理員聯(lián)系。（4）跟蹤入侵信息和非法用戶，對非授權(quán)用戶做出及時正確的判斷。入侵檢測系統(tǒng)功能主要包含4個部分，發(fā)現(xiàn)入侵的事件，對事件進行分析，等待入侵事件做出應(yīng)答，對入侵事件進行管理。入侵檢測信息需要怎樣獲得？通?？梢詮娜齻€方面：正常使用的日志文件、不希望改變的信息、通過物理層進入很難發(fā)現(xiàn)的錯誤信息。誤用檢測的核心又是什么呢？個人認為是了解錯誤信息的表示方法，只有清楚地認識錯誤才方便檢測。誤用檢測是根據(jù)入侵攻擊特有的簽名來進行判斷的，以了解已知的攻擊方法為前提，先對攻擊的語言進行認識，預(yù)測攻擊簽名可能變換的形式，推測簽名出現(xiàn)的變形，值得我們防范的是不要把有用信息誤認為錯誤信息。大多數(shù)的非正常入侵是利用系統(tǒng)出現(xiàn)的漏洞，某些軟件和程序出現(xiàn)的缺陷而進入的。誤用檢測就是根據(jù)這些特征來具體工作，分析不正常攻擊的表現(xiàn)形式，多種攻擊之間存在的聯(lián)系，不同攻擊順序的變化，來具體描述攻擊的行為跡象。只收集相關(guān)入侵信息，不需要進行復(fù)雜的操作，整個網(wǎng)絡(luò)系統(tǒng)的運行受到的負擔(dān)較小，不會超出正常的運轉(zhuǎn)負荷。不難看出，誤用檢測方法和病毒檢測方法相似，準確率也會提高，效率也提高了。4.3數(shù)據(jù)加密技術(shù)為了使校園網(wǎng)中的信息得到更為安全的保護，因此我們利用的技術(shù)在發(fā)現(xiàn)問題的同時，積極主動地設(shè)置防御系統(tǒng)。數(shù)據(jù)的加密技術(shù)在網(wǎng)絡(luò)安全中算是最基本的技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障其安全性，用很小的代價即可為信息提供相當大的安全保護[8]。4.3.1對稱密鑰體系在對稱型密鑰體系中，信息加密和信息解密使用的是相同密鑰，換種通俗的說法就是對一條信息設(shè)置密碼時，利用這個密碼同樣可以解開這條信息[9]。我們對于信息加解密比較了解的就是在諜戰(zhàn)中的電報，從密碼學(xué)角度講，屬于古典加密中的凱撒密碼。在計算機語言中通常都是使用0、1的機器語言，最為著名的是DES分組算法，64位的0、1序列為一組明文對應(yīng)的是64位的密鑰。若是單純的進行一次加密，利用現(xiàn)代解碼技術(shù)是很容易被破解的，所以設(shè)置一組密文是要要經(jīng)過16輪的迭代運算，然后產(chǎn)生的密文才即為所得?？赡芪覀冊谛@中感覺這些算法離我們很遠，其實密鑰的加解密，就相當于設(shè)置安全密碼。如果所有人的密碼在設(shè)置的時候都是123456，類似這種按順序排列成數(shù)字，那么破解是很容易的。所有在設(shè)置個人密碼時，不防增加長度或是多用幾種排列組合。4.3.2非對稱密鑰體系理解了對稱加密，非對稱加密就容易的多了，字面意思上講就是加密密鑰與解密密鑰不同。加密使用一種算法，解密使用另一種[10]。RSA算法在數(shù)學(xué)中是歐拉方法：之所以運用這個方法，好處就是目前還沒有發(fā)現(xiàn)如何將一個數(shù)分解為兩個大質(zhì)數(shù)的乘積。這種算法首先就是找兩個不一樣的質(zhì)數(shù)，足夠大但是不要超過1024位，這兩個數(shù)要嚴格保密，將乘積公開是沒有影響的。然后按照歐拉公式計算即可。當然，作為一個體系來講，非對稱加密的方法是很多的，RSA最為常見而已。我們在設(shè)置密碼時，尤其是在防火墻或是管理員在整個校園體系中涉密時，最主要的可能不是密碼設(shè)置多么復(fù)雜，主要是即使公布出來，也未必有人看懂。4.3.3數(shù)據(jù)信封技術(shù)數(shù)據(jù)信封很好理解，它是將公鑰和私鑰混合利用的技術(shù)。就如我們郵寄信件時，對封口做兩種密封，首先用公鑰體系加密一次，再用私鑰加密一次。信息接受者就正好相反，先用用公鑰解密，再用私鑰解密。這種方法與我們居住的樓層用戶也很相似，首先在單元門口輸入公用密碼進入居住的單元，再有自家的鑰匙打開家門一樣。4.4反病毒技術(shù)4.4.1計算機病毒的組成計算機病毒簡單講就是具有破壞性的指令。根據(jù)目前人們對病毒的認識，以及對現(xiàn)存病毒的分析，可以將計算機病毒簡單分為3個模塊，即引導(dǎo)模塊、傳染模塊和表現(xiàn)模塊[11]。引導(dǎo)模塊：將病毒存入系統(tǒng)，并對病毒實施保護（2）傳染模塊：是核心部分。將病毒傳播的正常文件和系統(tǒng)。（3）表現(xiàn)模塊：無意識進行某種操作時，病毒就會發(fā)生作用。4.4.2病毒的檢測和清除作為普通高校的師生，我們可能掌握的技術(shù)有限，可能不會使用更為高端的手段與方法來判斷，只能通過簡單的日常生活現(xiàn)象來判斷：在修改或是使用計算機時，在毫無預(yù)兆的情況下出現(xiàn)死機狀況，突然出現(xiàn)藍屏或無端黑屏，有時正在操作的文件來不及保存，造成極大的損失。（2）上網(wǎng)速度變慢或者出現(xiàn)一些廣告或是游戲連接，在我們上網(wǎng)查閱資料時，會出現(xiàn)我們不需要的一些垃圾連接，這很可能就是中病毒的預(yù)兆。（3）文件夾中原本的文件格式變?yōu)?exe格式。如果U盤多次在機房或是計算機閱覽室使用，就會出現(xiàn)原有文件被破壞現(xiàn)象。設(shè)計的本質(zhì)不在于發(fā)現(xiàn)問題，而在于提出清除病毒、防御病毒：對照法：在系統(tǒng)中一定會有原始的數(shù)據(jù)，將被侵害的軟件與原始記錄對照，然后修改現(xiàn)在的代碼，可以實現(xiàn)清除。(2)尋找法：不同的病毒會有其本身特定的字符，利用這種方法可以找到計算機中存在的威脅。(3)分析法：作為校園中的學(xué)生，我們可能掌握不了對病毒的分析方法，只能利用已經(jīng)存在的工具來分析和查殺。5校園網(wǎng)絡(luò)安全管理方案通過以上對網(wǎng)絡(luò)信息安全問題的分析和管理體系的提出，使我們意識到在技術(shù)和管理的基礎(chǔ)上應(yīng)該構(gòu)筑校園網(wǎng)絡(luò)安全體系。5.1校園網(wǎng)絡(luò)安全規(guī)范1、網(wǎng)絡(luò)接口層安全區(qū)是學(xué)校內(nèi)網(wǎng)和外網(wǎng)的邊界處，該區(qū)域的功能有:教育網(wǎng)、電信網(wǎng)和學(xué)校內(nèi)部網(wǎng)絡(luò)出口的接入、實現(xiàn)內(nèi)部網(wǎng)絡(luò)共享上網(wǎng)和提供學(xué)校對外服務(wù)器的發(fā)布、提供遠程訪問服務(wù)[12]。圖5-1網(wǎng)絡(luò)接口層問題網(wǎng)絡(luò)互聯(lián)層安全區(qū)主要功能是實現(xiàn)校園網(wǎng)的骨干網(wǎng)絡(luò)之間高速、穩(wěn)定的傳輸,安全的重點是解決網(wǎng)絡(luò)層和傳輸層的通信安全[13]。傳輸與應(yīng)用層安全區(qū)面臨問題是病毒利用二層協(xié)議的漏洞進行攻擊。傳輸與應(yīng)用層的需求包括:身份認證、主機安全和防利用二層缺陷進行的攻擊[14]。5.2校園網(wǎng)安全管理評估流程校園網(wǎng)的安全管理評估是一項龐大而又繁瑣的工程，可以細化到TCP/IP的各個層次，每一層還可以做到更加細致的分析，擬提出以下步驟：（1）評估價值。校園內(nèi)的信息、設(shè)施都是有價值的，價值是根據(jù)信息在整個網(wǎng)絡(luò)中的，可根據(jù)價值的大小確定安全等級。（2）制定切合實際的安全解決方案。分析出威脅后，雖然不可能完全消除但是減輕、轉(zhuǎn)移危險風(fēng)險的方案還是可以實現(xiàn)的。（3）決策。評估威脅產(chǎn)生的影響，排列風(fēng)險的等級大小，制定適當?shù)臎Q策。（4）溝通與交流。決策制定后，與各方負責(zé)人以及相關(guān)人員就決策結(jié)論進行溝通。（5）監(jiān)督實施。監(jiān)督實施這項工作應(yīng)貫穿于整個流程之中。在實施的同時，不斷對已經(jīng)發(fā)現(xiàn)的風(fēng)險進行修改和分析。5.3校園網(wǎng)絡(luò)安全管理預(yù)案5.3.1建立網(wǎng)絡(luò)安全模型在信息在網(wǎng)絡(luò)中傳輸時，首先應(yīng)在接受和發(fā)送方建立邏輯通路，如圖3所示。圖5-3網(wǎng)絡(luò)安全模型（1）對發(fā)送的信息進行安全轉(zhuǎn)換，實現(xiàn)信息的保密性?；蛘吒郊右恍┨卣餍畔?，以便進行發(fā)送方身份驗證[15]。（2）發(fā)送和接收雙方共享的某些信息，這些信息除了對可信任的第三方外，對于其他用戶是保密的[16]。為了信息傳輸安全進行，通常尋找一個第三方。第三方的職責(zé)是向正在通信的兩方保守秘密，當雙方產(chǎn)生歧義時進行公平合理的判斷。在設(shè)計有效的方案時，需要完成一下條件：（1）設(shè)計安全轉(zhuǎn)換算法；（2）生成密鑰；（3）設(shè)計私密信息分享和發(fā)布方案；（4）設(shè)定協(xié)議。5.3.2人員管理方案除了對各種技術(shù)的使用之外還需對相關(guān)工作人員進行合理的分工和安排，當校園網(wǎng)的工作狀態(tài)和正常運行出現(xiàn)問題或是癱瘓時，做到有據(jù)可查有人可管。建議可將人員分為以下工種：（1）維護員。這些人員還可以細分為服務(wù)器的維護、網(wǎng)站維護專職工作者。（2）設(shè)備員。這些人員主要就是負責(zé)各教學(xué)樓的機柜、路由器、交換機等，這些設(shè)備往往都是會影響整個教學(xué)樓或是宿舍樓的。（3）服務(wù)人員。這些人員可以安排能夠熟練掌握網(wǎng)絡(luò)應(yīng)用的學(xué)生，主要是幫助師生開通賬戶，修改使用的密碼。（4）安全員。保證這些人員進行24小時的工作，對錯誤操作進行監(jiān)控，準確定位非法訪問位置。5.3.3校園網(wǎng)信息安全物理層管理方案防火方案。計算機的硬件產(chǎn)品以及設(shè)備的價格很高，一旦由于操作不當引起火災(zāi)，不但會產(chǎn)生巨大的經(jīng)濟損失，數(shù)據(jù)的損失也是不可估量的。防火可采取以下措施：第一，滅火器等防火工具要時不時的檢查，看到老化的設(shè)備要換，壞了的系統(tǒng)也要修理。第二，網(wǎng)絡(luò)機房的空調(diào)要和防火報警系統(tǒng)連接，風(fēng)管等要采取不易燃燒的材料，同時設(shè)置防火閥，并將溫度控制在25攝氏度以下，通風(fēng)機與電加熱器要綁定在一起[17]。第三，安裝火災(zāi)報警與滅火系統(tǒng)，避開電磁設(shè)備干擾，設(shè)立防火控制室。設(shè)立防火專用電源設(shè)備，配備手動開關(guān)，保證在突發(fā)火災(zāi)時供電不間斷[17]。第四，電纜管道要分層設(shè)置電源、信號等不同線路，并同時采取防鼠、防潮措施。各種線路的連接處要結(jié)實牢固[17]。電氣設(shè)施的線路要符合防火條件，同時定期檢修，排查隱患。所有設(shè)施應(yīng)加強通風(fēng)，防潮防爆。結(jié)束語從畢業(yè)論文題目的選定，開題報告的論述和答辯，最后到完成論文差不多有7、8個月的時間。在這個過程中遇到過許多困難，尤其是在開題后