1、 PAGE50 / NUMPAGES58分類號 密 級U D C 編 號大學(xué)碩士學(xué)位論文基于PPDRR的立體網(wǎng)絡(luò)安全防御體系的研究與應(yīng)用 研 究 生 姓 名： 學(xué) 號： 指導(dǎo)教師、職稱 副教授 學(xué) 科 專 業(yè) 名 稱：計算機(jī)技術(shù) 研 究 方 向：二一三年六月By 2013年6月20日 重 聲 明本人的學(xué)位論文是在導(dǎo)師的指導(dǎo)下獨(dú)立撰寫并完成的，學(xué)位論文沒有剽竊、抄襲、造假等違反學(xué)術(shù)道德、學(xué)術(shù)規(guī)和侵權(quán)行為，否則，本人愿意承擔(dān)由此而產(chǎn)生的法律責(zé)任和法律后果，特此重聲明。學(xué)位論文作者（簽名）：2013年6月20日摘 要信息技術(shù)在給很多領(lǐng)域帶來高效率的同時也引入了信息安全問題，不法份子會利用漏洞來達(dá)到相

2、應(yīng)的目的，如竊取或者篡改信息。除此以外，還會使用病毒以與惡意軟件來攻擊用戶，上述行為都會給被攻擊者帶來不可避免的損失，由此網(wǎng)絡(luò)安全受到越來越多人的重視。事實(shí)上，網(wǎng)絡(luò)安全問題已成為信息技術(shù)領(lǐng)域亟待解決的問題，這其中也包括教育領(lǐng)域，校園網(wǎng)遭受越來越嚴(yán)重的攻擊，但是現(xiàn)有的網(wǎng)絡(luò)安全體系已無法滿足需求，無法抵御各種網(wǎng)絡(luò)攻擊，因此必須構(gòu)建新的網(wǎng)絡(luò)安全防御體系來提高校園網(wǎng)的安全性。論文的研究工作可以歸納為以下三個方面：(1)對當(dāng)前應(yīng)用較多的網(wǎng)絡(luò)安全技術(shù)進(jìn)行了研究，如防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、VPN技術(shù)、入侵檢測技術(shù)以與安全掃描技術(shù)，上述技術(shù)為校園網(wǎng)立體防御體系的構(gòu)建奠定了基礎(chǔ)。(2)分析了校園網(wǎng)的安全需求，

3、并對設(shè)計校園網(wǎng)安全體系需遵循的基本原則進(jìn)行了說明，然后對當(dāng)前應(yīng)用較多的PPDRR模型以與立體PPDRR模型進(jìn)行了介紹，并在此基礎(chǔ)上結(jié)合校園網(wǎng)的需求提出了校園網(wǎng)立體PPDRR模型。 (3)對校園網(wǎng)立體防御體系的實(shí)現(xiàn)進(jìn)行了介紹，首先對校園網(wǎng)立體防御體系的結(jié)構(gòu)進(jìn)行了介紹，其核心思想為安全域劃分， 并構(gòu)建以數(shù)據(jù)中心為核心，并輻射到校園網(wǎng)關(guān)鍵職能部門的網(wǎng)絡(luò)安全體系，然后從數(shù)據(jù)中心以與職能部門的網(wǎng)絡(luò)安全體系的實(shí)現(xiàn)進(jìn)行了介紹，最后對校園網(wǎng)立體防御體系中的VPN技術(shù)的應(yīng)用進(jìn)行了介紹。關(guān)鍵詞：網(wǎng)絡(luò)安全、立體防御體系、PPDRR模型，VPN技術(shù)AbstractInformation technology in m

4、any areas to bring efficient and at the same time introduced the information security problem, the delinquents vulnerability could be used to achieve the purpose of the corresponding, such as steal or tamper with the information. In addition, also use viruses and malicious software to attack the use

5、r, the behavior will be the inevitable loss to be the attacker, the network security is more and more peoples attention. In fact, the network security question has already become an urgent problem in the field of information technology, including education, campus network is more and more serious at

6、tack, but have been unable to meet demand and the existing network security system cannot resist various network attack, so we must build a new network security defense system to improve the security of campus network.Thesis research work can be summarized as the following three aspects:(1) of the c

7、urrent application more network security technology are studied, such as firewall, data encryption technology, VPN, intrusion detection technology and security scanning technology, the technology for the construction of campus network three-dimensional defense system laid a foundation.(2) analysis o

8、f the campus network security requirements, and the design of campus network security system to illustrate the basic principles to be followed, and then to the current application more PPDRR model and three-dimensional PPDRR model are introduced, and in combination with the demand of campus network

9、based on campus network stereo PPDRR model is put forward.(3) on the campus network the implementation of three-dimensional defense system are introduced, the structure of three-dimensional defense system of campus network are introduced, its core idea is security domains, and build data center as t

10、he core, and radiation to the functions of the campus network is the key of network security system, and then from the data center, and the realization of the functions of network security system are introduced, and finally to the application of VPN technology in campus network three-dimensional def

11、ense system are introduced.Keywords: Network security,three-dimensional network security defense system, PPDRR model, VPN technology目錄 TOC o 1-3 h z u HYPERLINK l _Toc362683626 摘要 PAGEREF _Toc362683626 h I HYPERLINK l _Toc362683627 Abstract PAGEREF _Toc362683627 h II HYPERLINK l _Toc362683628 目錄 PAG

12、EREF _Toc362683628 h III HYPERLINK l _Toc362683629 1 緒論 PAGEREF _Toc362683629 h 1 HYPERLINK l _Toc362683630 1.1研究背景 PAGEREF _Toc362683630 h 1 HYPERLINK l _Toc362683631 1.2國外研究現(xiàn)狀 PAGEREF _Toc362683631 h 2 HYPERLINK l _Toc362683632 1.3研究目的 PAGEREF _Toc362683632 h 3 HYPERLINK l _Toc362683633 1.4研究容與組織結(jié)

13、構(gòu) PAGEREF _Toc362683633 h 3 HYPERLINK l _Toc362683634 2 網(wǎng)絡(luò)安全相關(guān)概念 PAGEREF _Toc362683634 h 5 HYPERLINK l _Toc362683635 2.1 網(wǎng)絡(luò)安全定義 PAGEREF _Toc362683635 h 5 HYPERLINK l _Toc362683636 2.2 網(wǎng)絡(luò)安全標(biāo)準(zhǔn) PAGEREF _Toc362683636 h 5 HYPERLINK l _Toc362683637 2.3 網(wǎng)絡(luò)安全問題 PAGEREF _Toc362683637 h 6 HYPERLINK l _Toc3626

14、83638 2.3.1 網(wǎng)絡(luò)面臨的威脅 PAGEREF _Toc362683638 h 6 HYPERLINK l _Toc362683639 2.3.2 網(wǎng)絡(luò)攻擊的特點(diǎn) PAGEREF _Toc362683639 h 7 HYPERLINK l _Toc362683640 2.3.3 網(wǎng)絡(luò)威脅產(chǎn)生的原因 PAGEREF _Toc362683640 h 7 HYPERLINK l _Toc362683641 2.4 網(wǎng)絡(luò)入侵與攻擊 PAGEREF _Toc362683641 h 8 HYPERLINK l _Toc362683642 2.4.1 網(wǎng)絡(luò)入侵的方式 PAGEREF _Toc3626

15、83642 h 8 HYPERLINK l _Toc362683643 2.4.2 網(wǎng)絡(luò)入侵的目的 PAGEREF _Toc362683643 h 8 HYPERLINK l _Toc362683644 2.5本章小結(jié) PAGEREF _Toc362683644 h 9 HYPERLINK l _Toc362683645 3 校園網(wǎng)絡(luò)安全問題解析 PAGEREF _Toc362683645 h 10 HYPERLINK l _Toc362683646 3.1 校園網(wǎng)安全風(fēng)險分析 PAGEREF _Toc362683646 h 10 HYPERLINK l _Toc362683647 3.1.1

16、 數(shù)據(jù)中心安全風(fēng)險分析 PAGEREF _Toc362683647 h 11 HYPERLINK l _Toc362683648 3.1.2 區(qū)域安全風(fēng)險分析 PAGEREF _Toc362683648 h 13 HYPERLINK l _Toc362683649 3.1.3 校園安全風(fēng)險主要問題 PAGEREF _Toc362683649 h 13 HYPERLINK l _Toc362683650 3.2 校園網(wǎng)當(dāng)前的安全措施 PAGEREF _Toc362683650 h 14 HYPERLINK l _Toc362683651 3.3 校園網(wǎng)安全關(guān)鍵技術(shù) PAGEREF _Toc362

17、683651 h 15 HYPERLINK l _Toc362683652 3.3.1 防火墻技術(shù) PAGEREF _Toc362683652 h 15 HYPERLINK l _Toc362683653 3.3.2 數(shù)據(jù)加密技術(shù) PAGEREF _Toc362683653 h 16 HYPERLINK l _Toc362683654 3.3.3 入侵檢測技術(shù) PAGEREF _Toc362683654 h 17 HYPERLINK l _Toc362683655 3.3.4 VPN技術(shù) PAGEREF _Toc362683655 h 17 HYPERLINK l _Toc362683656

18、3.3.5 安全掃描技術(shù) PAGEREF _Toc362683656 h 19 HYPERLINK l _Toc362683657 3.4 校園網(wǎng)安全需求 PAGEREF _Toc362683657 h 20 HYPERLINK l _Toc362683658 3.4.1 校園網(wǎng)安全設(shè)計原則 PAGEREF _Toc362683658 h 20 HYPERLINK l _Toc362683659 3.4.2 校園網(wǎng)安全設(shè)計目標(biāo) PAGEREF _Toc362683659 h 21 HYPERLINK l _Toc362683660 3.5 本章小結(jié) PAGEREF _Toc362683660

19、h 21 HYPERLINK l _Toc362683661 4 校園網(wǎng)PPDRR防御體系的設(shè)計 PAGEREF _Toc362683661 h 23 HYPERLINK l _Toc362683662 4.1 傳統(tǒng)校園網(wǎng)安全體系設(shè)計分析 PAGEREF _Toc362683662 h 23 HYPERLINK l _Toc362683663 4.1.1 傳統(tǒng)校園安全體系 PAGEREF _Toc362683663 h 23 HYPERLINK l _Toc362683664 4.1.2 傳統(tǒng)校園安全體系的改進(jìn)思想 PAGEREF _Toc362683664 h 24 HYPERLINK l

20、_Toc362683665 4.2 傳統(tǒng)PPDRR安全體系模型 PAGEREF _Toc362683665 h 25 HYPERLINK l _Toc362683666 4.3 立體PPDRR防御模型 PAGEREF _Toc362683666 h 26 HYPERLINK l _Toc362683667 4.4 校園網(wǎng)立體PPDRR防御模型 PAGEREF _Toc362683667 h 28 HYPERLINK l _Toc362683668 4.4.1 方案的建立與分析 PAGEREF _Toc362683668 h 29 HYPERLINK l _Toc362683669 4.4.2

21、安全技術(shù)的協(xié)作 PAGEREF _Toc362683669 h 29 HYPERLINK l _Toc362683670 4.5 本章小結(jié) PAGEREF _Toc362683670 h 30 HYPERLINK l _Toc362683671 5 校園網(wǎng)PPDRR防御模型的實(shí)現(xiàn) PAGEREF _Toc362683671 h 31 HYPERLINK l _Toc362683672 5.1校園網(wǎng)PPDRR防御構(gòu)建體系 PAGEREF _Toc362683672 h 31 HYPERLINK l _Toc362683673 5.2數(shù)據(jù)中心的安全 PAGEREF _Toc362683673 h

22、33 HYPERLINK l _Toc362683674 5.3職能部門的局域網(wǎng)安全 PAGEREF _Toc362683674 h 36 HYPERLINK l _Toc362683675 5.4網(wǎng)絡(luò)安全設(shè)備配置 PAGEREF _Toc362683675 h 37 HYPERLINK l _Toc362683676 5.5 本章小結(jié) PAGEREF _Toc362683676 h 44 HYPERLINK l _Toc362683677 6 結(jié)論與展望 PAGEREF _Toc362683677 h 45 HYPERLINK l _Toc362683678 6.1 結(jié)論 PAGEREF _

23、Toc362683678 h 45 HYPERLINK l _Toc362683679 6.2 展望 PAGEREF _Toc362683679 h 45 HYPERLINK l _Toc362683680 致 PAGEREF _Toc362683680 h 47 HYPERLINK l _Toc362683681 參考文獻(xiàn) PAGEREF _Toc362683681 h 481 緒論1.1研究背景信息技術(shù)在給各個領(lǐng)域帶來高效率的同時也引入了信息安全問題，不法份子會利用漏洞來達(dá)到相應(yīng)的目的，如竊取或者篡改信息。除此以外，還會使用病毒以與惡意軟件來攻擊用戶，上述行為都會給被攻擊者帶來不可避免的損

24、失，由此網(wǎng)絡(luò)安全受到越來越多人的重視。在信息技術(shù)的應(yīng)用歷程上，發(fā)生過許多損失重大的信息安全案例，2011年Sony公司的PSN平臺遭到攻擊1，導(dǎo)致上億用戶的信息被不法份子竊取，給Sony公司帶來巨大損失。據(jù)最新的調(diào)查結(jié)果，國外因網(wǎng)絡(luò)安全問題造成的損失高達(dá)數(shù)百億美元。在國面臨著同樣的困擾，甚至有越來越多的不法份子通過開設(shè)釣魚來獲得不當(dāng)利益，到2012年底止，國被處理的釣魚高達(dá)五萬多個2，有超過1億用戶受到過釣魚的欺騙，金額高達(dá)200億3。除了電子商務(wù)領(lǐng)域以外，最新發(fā)生的“斯諾登事件”說明國家安全也受到越來越嚴(yán)重的威脅，由此凸顯了網(wǎng)絡(luò)安全的重要性。事實(shí)上，教育領(lǐng)域也遭受到越來越多的攻擊，國教育領(lǐng)域

25、也發(fā)生了很多的網(wǎng)絡(luò)安全事件，如黑客以清華大學(xué)校長顧秉林的名義在清華大學(xué)上發(fā)表了一篇抨擊中國教育制度的文章4，引起了不良的影響，在高考招生工作中，有許多黑客利用漏洞篡改成績或者招生信息，從而獲取不法之財，這些都對國教育領(lǐng)域產(chǎn)生了較大沖擊。從上述分析可以知道，網(wǎng)絡(luò)所帶來的安全問題已存在于各個領(lǐng)域，甚至滲透到了局域網(wǎng)中，而校園網(wǎng)屬于局域網(wǎng)中的一種，且由于校園網(wǎng)采用的TCP/IP協(xié)議，協(xié)議的開放性注定了校園網(wǎng)會成為黑客攻擊的重心。校園網(wǎng)中存在許多不同的應(yīng)用5, 從教學(xué)、科研到資產(chǎn)管理等各個領(lǐng)域，若校園網(wǎng)絡(luò)的安全無法保證，上述應(yīng)用不僅無法起到相應(yīng)的作用，反而會泄露學(xué)校的私密信息。因此校園網(wǎng)絡(luò)的安全問題必

26、須引起足夠的重視。本課題來源于某高等院校，該校有上萬名在校生，目前學(xué)校各部門都采用信息化系統(tǒng)來進(jìn)行日常辦公，信息資源也大多通過網(wǎng)絡(luò)進(jìn)行傳輸和共享，因此學(xué)校教師的日常工作對網(wǎng)絡(luò)的依賴性越來越高，每天都必須使用信息系統(tǒng)，同時各類應(yīng)用系統(tǒng)中存儲著大量的私密信息，這些信息的丟失會造成不可避免的損失，因此必須根據(jù)需求構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)，本課題引入PPDRR模型來為學(xué)校構(gòu)建立體網(wǎng)絡(luò)安全防御體系，立體PPDRR防御的思想就是將分散系統(tǒng)整合成一個異構(gòu)網(wǎng)絡(luò)系統(tǒng)，基于聯(lián)動聯(lián)防和網(wǎng)絡(luò)集中管理、監(jiān)控，將各部分有機(jī)結(jié)合，聯(lián)動，形成一個立體、動態(tài)、與時適應(yīng)網(wǎng)絡(luò)安全狀態(tài)變化的防御體系,由此可提高校園網(wǎng)絡(luò)的可靠性和安全性。1.

27、2國外研究現(xiàn)狀網(wǎng)絡(luò)安全遵循氣球效應(yīng)，如果某一個環(huán)節(jié)有漏洞，系統(tǒng)的安全就會出現(xiàn)危機(jī)，如此會給系統(tǒng)用戶帶來巨大的損失?；谏鲜鲈?，越來越多的專家學(xué)者開始研究網(wǎng)絡(luò)安全問題，并取得了許多研究成果。下面對各個國家的網(wǎng)絡(luò)安全發(fā)展歷程進(jìn)行介紹。(1)美國。美國對攻擊防御的研究較早，早在上世紀(jì)末，就近10個項(xiàng)目專門研究該問題。早在2000年，南加州大學(xué)研發(fā)的攻擊防御系統(tǒng)DEFCN 6就考慮將安全防御策略加入到入侵檢測與響應(yīng)系統(tǒng)中。由于網(wǎng)絡(luò)攻擊嚴(yán)重?fù)p害到網(wǎng)民的利益，布什總統(tǒng)在2003發(fā)布了相應(yīng)政策，以便保護(hù)網(wǎng)民。然而隨著Internet技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊事件有增無減，并且呈愈演愈烈的狀態(tài)7。針對上述現(xiàn)象，奧

28、巴馬總統(tǒng)發(fā)布命令要求網(wǎng)絡(luò)安全委員會深入調(diào)查研究，并給出相應(yīng)的調(diào)查報告，以此作為政策發(fā)布的依據(jù)。在2009年3月，美國聯(lián)邦審計署提出了許多建議，以便提高網(wǎng)絡(luò)的安全性8。同時隨著信息技術(shù)的不斷發(fā)展，未來的戰(zhàn)爭其實(shí)是信息化戰(zhàn)爭，誰占領(lǐng)了信息制高點(diǎn)就等于贏得了戰(zhàn)斗。基于上述原因，美國組建了網(wǎng)絡(luò)軍隊(duì)，其主要作用在于防止黑客入侵各大軍事服務(wù)器，防止信息被竊取或篡改。在美國的推動下，其他國家也開始重視信息化戰(zhàn)爭9，紛紛將信息安全納入國家安全戰(zhàn)略，并通過頒布法規(guī)政策來維護(hù)國家的信息安全。(2)俄羅斯。俄羅斯在網(wǎng)絡(luò)安全方面理論研究起步相對較晚，但是其早在1995年10，就已經(jīng)明確了保護(hù)信息資源的法律責(zé)任。然后在

29、1997年又通過發(fā)布文章闡述了網(wǎng)絡(luò)安全、經(jīng)濟(jì)安全與國家安全三者之間的關(guān)系，其中明確說明信息安全是基石，需要重點(diǎn)關(guān)注。在2000年的時候，國家信息安全學(xué)說在普京的批準(zhǔn)下得到發(fā)行11，文章中明確了信息安全相關(guān)的知識，并提出了防御網(wǎng)絡(luò)攻擊相關(guān)措施。除此以外，俄羅斯還發(fā)布了相應(yīng)政策來約束黑客的網(wǎng)絡(luò)犯罪。(3)法國。法國很早就察覺到了信息安全的重要性，為此成立國家信息系統(tǒng)安全總署來專門處理網(wǎng)絡(luò)安全涉與的相關(guān)事務(wù)，其主要工作在于保障信息化戰(zhàn)爭時的主動性。在2001年，在法國政府的支持下，開發(fā)了個入侵檢測響應(yīng)系統(tǒng)13，并取得了不錯的效果。然后在2008年，法國參議院重申了網(wǎng)絡(luò)信息安全的重要性，并在專題報告中

30、明確指出網(wǎng)絡(luò)戰(zhàn)爭將成為未來軍事戰(zhàn)爭的第一要素，若在網(wǎng)絡(luò)戰(zhàn)爭中落后，勢必會影響整個國家的生存和發(fā)展，由此成立了國家級的網(wǎng)絡(luò)安全防御中心。 (4)中國。中國在信息化領(lǐng)域的研究遠(yuǎn)遠(yuǎn)落后于其他國家，在網(wǎng)絡(luò)安全犯罪等方面的法規(guī)都不完善，除此以外，在網(wǎng)絡(luò)攻擊防御方面的研究還比較落后，因此在未來還需要投入更多的精力來進(jìn)行相關(guān)的研究。隨著信息技術(shù)應(yīng)用的不斷深入，尤其是斯諾登事件發(fā)生以后，國家意識到了信息安全的重要性，開始采取措施來保障國家私密信息的安全，并提出了“積極防御、綜合防”的安全方針14，要求各級政府做好安全工作。1.3研究目的根據(jù)前文分析可以知道，校園網(wǎng)絡(luò)中各種應(yīng)用系統(tǒng)中存儲著大量的私密信息，必須采

31、取措施提高數(shù)據(jù)安全性和可靠性，防止信息被竊取，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的主要目的體現(xiàn)在如下幾個方面：(1)保證信息傳輸?shù)陌踩院涂煽啃?，在網(wǎng)絡(luò)上進(jìn)行信息的傳輸，容易造成信息的泄露和竊取，上述信息的丟失會給高等院校帶來不可避免的損失。(2)高等院校的老師需要經(jīng)常出差，其也需要通過系統(tǒng)來處理某些業(yè)務(wù)，對于學(xué)校的私密信息，系統(tǒng)需采取各種措施來保證教師的安全訪問，防止不法份子利用漏洞進(jìn)入系統(tǒng)進(jìn)行非法操作。(3)構(gòu)建校園網(wǎng)PPDRR安全防御體系可以使學(xué)校的所有業(yè)務(wù)運(yùn)行在一個安全的環(huán)境中，也可以抵御來自網(wǎng)絡(luò)的無意或有意的攻擊，從而最大化地發(fā)揮其在教育教學(xué)中的作用。除此以外，校園網(wǎng)安全體系的構(gòu)建有助于高校各項(xiàng)工作的

32、穩(wěn)定運(yùn)行。由此可知，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)對于校園網(wǎng)絡(luò)而言已經(jīng)迫不與待，必須采取相應(yīng)的措施來提高系統(tǒng)的安全性。1.4研究容與組織結(jié)構(gòu)本課題的主要目的在于深入研究PPDRR安全信息模型，以便結(jié)合高等院校的實(shí)際需求來構(gòu)建相應(yīng)的PPDRR網(wǎng)絡(luò)防御體系，達(dá)到提高校園網(wǎng)絡(luò)安全性的最終目的。針對上述目的，本課題作了如下研究：(1)首先分析了現(xiàn)有校園網(wǎng)絡(luò)面臨的安全問題，并指出了現(xiàn)有安全措施存在的不足。(2)深入研究PPDRR理論網(wǎng)絡(luò)安全模型，并將其高等院校的實(shí)際需求進(jìn)行結(jié)合,為高等院校提出可行的安全解決方案。在了解本文的主要研究容的基礎(chǔ)上，對論文的組織結(jié)構(gòu)進(jìn)行說明，本論文共分六章，各章具體容如下：第一章，緒論。首

33、先分析了網(wǎng)絡(luò)安全的重要性，并對國外在網(wǎng)絡(luò)安全方面取得的成果進(jìn)行了介紹，最后介紹了本文的主要研究容和章節(jié)安排。第二章，網(wǎng)絡(luò)安全問題分析。本節(jié)主要對校園網(wǎng)面臨的安全問題以與當(dāng)前使用的安全解決方案進(jìn)行了介紹，以便找到其中的缺陷。第三章，網(wǎng)絡(luò)安全技術(shù)分析。本節(jié)主要對當(dāng)前應(yīng)用較多的安全技術(shù)進(jìn)行了介紹，具體包括防火墻技術(shù)以與VPN技術(shù)等。第四章，校園網(wǎng)絡(luò)安全體系模型的設(shè)計。本節(jié)在綜合分析現(xiàn)有安全解決方案存在的缺陷的基礎(chǔ)上，提出了構(gòu)建基于PPDRR模型的安全解決方案。第五章，校園網(wǎng)絡(luò)安全體系的實(shí)現(xiàn)。本節(jié)主要介紹網(wǎng)絡(luò)安全方案的部署，具體包括硬件環(huán)境的配置等。第六章，總結(jié)與展望，對本論文進(jìn)行總結(jié)并對網(wǎng)絡(luò)安全技術(shù)

34、的發(fā)展進(jìn)行展望。2 網(wǎng)絡(luò)安全相關(guān)概念2.1 網(wǎng)絡(luò)安全定義國際標(biāo)準(zhǔn)化組織(ISO)給出了“計算機(jī)安全”的基本概念，為信息系統(tǒng)構(gòu)建一個安全環(huán)境15，實(shí)現(xiàn)對系統(tǒng)架構(gòu)的軟硬件設(shè)備的安全管理以與保護(hù)，能全面應(yīng)對各類故障引發(fā)的錯誤。根據(jù)定義可以知道，其包括物理安全和邏輯安全兩個方面，兩者關(guān)注的重點(diǎn)不一樣，邏輯安全即所謂的信息安全，其主要目標(biāo)在于防止信息被竊取或篡改，而物理安全的主要目標(biāo)在于防止設(shè)備被攻擊。而網(wǎng)絡(luò)安全由信息安全發(fā)展而來的，其主要目標(biāo)在于保證網(wǎng)絡(luò)信息的可用性和完整性。美國的計算機(jī)專家提出了一個安全框架，以解釋網(wǎng)絡(luò)中的各種安全問題。這個框架共有六大性能特征，分別是16：(1)性：是指非授權(quán)用戶無

35、法查看相應(yīng)的信息，并無法被使用，防止信息被不法分子使用。(2)完整性：是指信息不會被丟失或篡改。(3)可用性：指網(wǎng)絡(luò)中主機(jī)存放的靜態(tài)信息應(yīng)具有可用性和可操作性。(4)實(shí)用性：指應(yīng)保證信息的實(shí)用性。(5)真實(shí)性：指應(yīng)確保信息的可信度，即信息應(yīng)具有完整、準(zhǔn)確、在傳遞和存儲的過程中不被修改，以與對信息的容具有控制權(quán)等特性。(6)占用性：指 確保用于存儲信息的主機(jī)、磁盤和信息載體等不被盜用，并具有對該信息的占有權(quán)。事實(shí)上，網(wǎng)絡(luò)安全涉與的圍非常廣泛，不單單指傳統(tǒng)意義上的軟件安全，還包括硬件以與在網(wǎng)絡(luò)中傳輸?shù)男畔?，上述任意部分被不法份子攻擊或被破壞，都會造成整個系統(tǒng)的崩潰。當(dāng)然網(wǎng)絡(luò)安全的保證必須調(diào)動各方面

36、的資源，除了技術(shù)保證以外，還必須設(shè)置一定的管理原則，兩者缺一不可。2.2 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布了計算機(jī)安全標(biāo)準(zhǔn)，按標(biāo)準(zhǔn)的不同可劃分為五個不同的等級，下面對各等級進(jìn)行詳細(xì)說明17：(1)第1級為用戶自主保護(hù)級（GB1安全級）：第1級的安全能力是最低的，其要求用戶自身具備一定的安全防御能力，以此來提高系統(tǒng)安全性。(2)第2級為系統(tǒng)審計保護(hù)級（GB2安全級）：第2級所具備的安全能力要高于第一級，其要求創(chuàng)建和維護(hù)訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負(fù)責(zé)。(3)第3級為安全標(biāo)記保護(hù)級（GB3安全級）：第3級除了滿足上一級的要求以外，引入了權(quán)限控制技術(shù)，主要用于保證訪問對象的

37、安全性，防止被篡改。(4)第4級為結(jié)構(gòu)化保護(hù)級（GB4安全級）：第4級除了滿足安全標(biāo)記保護(hù)級的要求以外，還將訪問對象進(jìn)行了嚴(yán)格劃分，即加強(qiáng)對系統(tǒng)關(guān)鍵信息的訪問控制，放寬非關(guān)鍵信息的訪問權(quán)限。(5)第5級為訪問驗(yàn)證保護(hù)級（GB5安全級）：其主要作用在于驗(yàn)證訪問者的合法性，對于不合法用戶不予訪問。上述安全標(biāo)準(zhǔn)是根據(jù)標(biāo)準(zhǔn)化組織的建議制定的，并且相關(guān)工作還在不斷開展。中國在網(wǎng)絡(luò)安全方面的研究起步于上世紀(jì)80年代18，目前取得了很多的研究成果，制定了適用國的安全標(biāo)準(zhǔn)，并且有許多公司開始提供全方位的安全解決方案19。盡管如此，國與國外相比，還存在很大的差距，需要努力研發(fā)適應(yīng)國企業(yè)需求的安全系統(tǒng)。2.3 網(wǎng)

38、絡(luò)安全問題本章將對網(wǎng)絡(luò)面臨的安全問題進(jìn)行說明，具體包括網(wǎng)絡(luò)面臨的威脅、網(wǎng)絡(luò)攻擊特點(diǎn)以與網(wǎng)絡(luò)安全產(chǎn)生的原因。2.3.1網(wǎng)絡(luò)面臨的威脅當(dāng)前存在多種不同類型的網(wǎng)絡(luò)威脅，具體包括如下幾個部分20：(1)黑客的威脅和攻擊。目前計算機(jī)面臨的最大威脅就是黑客，由于計算機(jī)中存在許多的漏洞，而這些漏洞給了黑客機(jī)會，他們可利用這些漏洞入侵用戶的機(jī)器進(jìn)行篡改和讀取操作，由此會給用戶帶來巨大的損失。(2)計算機(jī)病毒。計算機(jī)病毒具有人為主觀意志，其通常為一段可執(zhí)行代碼，只要用戶的操作觸發(fā)了代碼的執(zhí)行，就會給用戶的機(jī)器帶來毀滅性的打擊，可直接破壞用戶的操作系統(tǒng)，使之無常工作21。同時一般計算機(jī)病毒具備較強(qiáng)的傳染性，瞬間會

39、造成網(wǎng)絡(luò)量機(jī)器的損毀，這樣會給整個網(wǎng)絡(luò)帶來巨大的危害。(3)垃圾和間諜軟件。現(xiàn)在有許多的公司和個人利用電子向用戶推送廣告，以達(dá)到某些目的。而這些電子中往往包含某些病毒或者惡意軟件，只要用戶點(diǎn)擊相應(yīng)的地址或者附件22，就有可能給自己的計算機(jī)帶來危害，比如被監(jiān)控或者感染病毒。2.3.2網(wǎng)絡(luò)攻擊的特點(diǎn)網(wǎng)絡(luò)攻擊的危害性比較大，通常具備如下幾個特點(diǎn)：(1)損失巨大。網(wǎng)絡(luò)攻擊的受害主體通常為運(yùn)行在網(wǎng)絡(luò)中的機(jī)器，若機(jī)器被監(jiān)控或者信息被竊取，容易造成用戶巨大的經(jīng)濟(jì)損失。除此以外，由于計算機(jī)病毒的傳染性，容易造成網(wǎng)絡(luò)量機(jī)器的癱瘓，如此帶來的損失不可估量，據(jù)最新的統(tǒng)計，每年因網(wǎng)絡(luò)攻擊帶來的損失高達(dá)數(shù)百億美元23。

40、(2)威脅國家安全。黑客們攻擊的興趣點(diǎn)挑戰(zhàn)高難度，因此每年都會發(fā)生很多起進(jìn)入國家軍事部門的案件，顯然這些信息的丟失會對整個國家的安全帶來威脅。 (3)攻擊方式多樣化。目前存在多種多樣的攻擊方式，目前應(yīng)用較多的有利用間諜軟件監(jiān)控用戶行為，獲取私密數(shù)據(jù)，如賬戶密碼等，除此以外，還有利用系統(tǒng)漏洞攻擊用戶主機(jī)，致使用戶機(jī)器癱瘓等24，并且上述手段越來越隱蔽，追蹤起來也越來越難，這些在一定程度上縱容了網(wǎng)絡(luò)犯罪活動。(4)以軟件攻擊為主。目前絕大多數(shù)網(wǎng)絡(luò)攻擊都通過惡意軟件實(shí)現(xiàn)，要么利用軟件監(jiān)控個人機(jī)器，要么利用軟件摧毀個人機(jī)器25，具體原因在于利用軟件進(jìn)行網(wǎng)絡(luò)攻擊比較簡單，又具備較好的隱蔽性。另一方面利用

41、漏洞攻擊需要黑客具備較大的技術(shù)能力，這需要深厚的技術(shù)功底。2.3.3網(wǎng)絡(luò)威脅產(chǎn)生的原因在了解了網(wǎng)絡(luò)安全的類型以與特點(diǎn)以后，對網(wǎng)絡(luò)安全的產(chǎn)生原因進(jìn)行說明，具體包括如下幾部分：(1)TCP/IP的脆弱性。Internet是在TCP/IP協(xié)議的基礎(chǔ)上進(jìn)行構(gòu)建的，但是由于TCP/IP在設(shè)計之初并為深入考慮安全性問題26，除此以外，TCP/IP協(xié)議不是協(xié)議，黑客可對其進(jìn)行研究找到其中的漏洞，以便進(jìn)行利用相關(guān)漏洞來進(jìn)行攻擊。(2)網(wǎng)絡(luò)結(jié)構(gòu)存在漏洞。因特網(wǎng)是由無數(shù)個不同的局域網(wǎng)搭建而成，因此網(wǎng)絡(luò)中不同網(wǎng)段的機(jī)器在進(jìn)行通信時，需要經(jīng)過重重轉(zhuǎn)發(fā)，在這個轉(zhuǎn)發(fā)過程中，信息容易被不法份子竊取。(3)易被竊聽。由于許多

42、在Internet上傳輸?shù)臄?shù)據(jù)并沒有加密，黑客可輕易利用監(jiān)控軟件獲取上述信息，并以此來進(jìn)行操作。(4)缺乏安全意識。事實(shí)上目前市場上存在大量的安全軟件，可在一定上防簡單的網(wǎng)絡(luò)攻擊，但是由于用戶安全意識淡薄，安全軟件的應(yīng)用往往未起到相應(yīng)的作用。2.4 網(wǎng)絡(luò)入侵與攻擊網(wǎng)絡(luò)入侵是指不法份子利用非正常手段獲得資源的圍權(quán)限，從而利用相應(yīng)的權(quán)限對被攻擊的主機(jī)進(jìn)行非法操作27，以便達(dá)到相應(yīng)的目的。 在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)攻擊無處不在，是不可避免的，但是可采取某些措施來降低遭受網(wǎng)絡(luò)攻擊的幾率，如引入防火墻以與加強(qiáng)漏洞修復(fù)等，避免因入侵和攻擊造成損失。技術(shù)手段一直是保證網(wǎng)絡(luò)安全的非常重要的措施，在計算機(jī)網(wǎng)絡(luò)發(fā)展的早

43、期，技術(shù)手電甚至是唯一措施28。目前計算機(jī)網(wǎng)絡(luò)迅猛發(fā)展，遍布世界各個角落；而且由于在一些對安全要求較高的重要各領(lǐng)域的，那對網(wǎng)絡(luò)安全的要求就更高。解決網(wǎng)絡(luò)安全問題不是一勞永逸的事情，網(wǎng)絡(luò)的攻擊與防是一個動態(tài)平衡的過程，這就告訴我們對網(wǎng)絡(luò)安全措施的研究時刻不能懈怠。在保證網(wǎng)絡(luò)安全的措施中，道德規(guī)和網(wǎng)絡(luò)立法應(yīng)該提到更高的重視程度29。對人們在網(wǎng)絡(luò)中的行為進(jìn)行到道德約束和法律管制是當(dāng)前和未來保障網(wǎng)絡(luò)安全的一個重要因素。而且這一點(diǎn)正被越來越多的國家所認(rèn)識到，網(wǎng)絡(luò)道德規(guī)和法律規(guī)勢必成為一種趨勢。這些措施將在下面兩章具體講到。2.4.1網(wǎng)絡(luò)入侵的方式入侵者的入侵途徑有三種30：(1)物理途徑：入侵者利用管理

44、缺陷或人們的疏忽大意，乘虛而入，侵入目標(biāo)主機(jī)，或企圖登錄系統(tǒng)，或偷竊重要資源進(jìn)行研究分析。(2)系統(tǒng)途徑：入侵者使用自己所擁有的較低級別的操作權(quán)限進(jìn)入目標(biāo)系統(tǒng)，或安裝“后門”、或復(fù)制信息、或破壞資源、或?qū)ふ蚁到y(tǒng)可能的漏洞以獲取更高級別的操作特權(quán)等，以達(dá)到個人目的。(3)網(wǎng)絡(luò)途徑：入侵者通過網(wǎng)絡(luò)滲透到目標(biāo)系統(tǒng)中，進(jìn)行破壞活動。2.4.2網(wǎng)絡(luò)入侵的目的網(wǎng)絡(luò)入侵和攻擊的目的原因十分復(fù)雜31，其可能的原因如下：(1)竊取情報、獲取文件和傳輸?shù)臄?shù)據(jù)信息；(2)安裝有害程序、病毒或特殊進(jìn)程等；(3)獲得更高的系統(tǒng)使用權(quán)限；(4)搜索系統(tǒng)漏洞、安裝后門等；(5)非法訪問、進(jìn)行非法操作等；(6)干擾網(wǎng)絡(luò)系統(tǒng)工

45、作、拒絕服務(wù)等；(7)其他目的，例如，傳播非法信息、篡改數(shù)據(jù)、欺騙、挑戰(zhàn)、政治企圖、危害國家經(jīng)濟(jì)利益、破壞等；(8)電子信息戰(zhàn)的需要。在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)攻擊無處不在，是不可避免的，但是可采取某些措施來降低遭受網(wǎng)絡(luò)攻擊的幾率，如引入防火墻以與加強(qiáng)漏洞修復(fù)等，避免因入侵和攻擊造成損失。網(wǎng)絡(luò)管理員需根據(jù)當(dāng)前網(wǎng)絡(luò)的情況分析其可能遭受的攻擊，并據(jù)此設(shè)置相應(yīng)的安全策略，可有效降低遭受外部攻擊和部攻擊的幾率，除此以外，需重點(diǎn)防止那些來自具有敵意的國家、企事業(yè)單位、個人和部惡意人員的攻擊。2.5本章小結(jié)本章主要對網(wǎng)絡(luò)安全相關(guān)理論進(jìn)行了介紹和說明，首先對網(wǎng)絡(luò)安全的概念和評價標(biāo)準(zhǔn)進(jìn)行了介紹，然后從網(wǎng)絡(luò)面臨的威脅、

46、網(wǎng)絡(luò)攻擊的特點(diǎn)以與網(wǎng)絡(luò)安全產(chǎn)生的原因?qū)W(wǎng)絡(luò)安全問題進(jìn)行了說明，最后對網(wǎng)絡(luò)入侵與攻擊進(jìn)行了介紹，由此來深入了解網(wǎng)絡(luò)安全的方方面面。3 校園網(wǎng)絡(luò)安全問題解析3.1 校園網(wǎng)安全風(fēng)險分析各大高等院校在國家的支持下，紛紛推進(jìn)信息化建設(shè)，同時由于學(xué)校是網(wǎng)絡(luò)安全技術(shù)的研究中心，因此一些先進(jìn)的技術(shù)都會應(yīng)用到校園網(wǎng)絡(luò)的構(gòu)建上，上述綜合因素有效促進(jìn)了校園網(wǎng)的發(fā)展，但是在發(fā)展過程中也遇到了一些問題，具體表現(xiàn)在如下幾個方面：(1)網(wǎng)絡(luò)建設(shè)缺乏整體規(guī)劃，同時資金投入重硬輕軟。在國家政策的支持下，高等院校紛紛推進(jìn)信息化建設(shè)，但是大部分高校都比較盲目，很少根據(jù)實(shí)際需求來構(gòu)建校園網(wǎng)絡(luò)，由此在實(shí)施過程中，會發(fā)生不斷的更改，導(dǎo)致

47、最終構(gòu)建的校園網(wǎng)與初衷不相符。同時學(xué)校管理層側(cè)重購買各種高性能網(wǎng)絡(luò)硬件產(chǎn)品，卻忽略了引入相應(yīng)的軟件產(chǎn)品，這就導(dǎo)致校園網(wǎng)成為了一個空殼，使得高性能產(chǎn)品無法發(fā)揮相應(yīng)的作用。(2)存在多種不同類型的用戶，并且規(guī)模較大。隨著招生規(guī)模的擴(kuò)大，高等院校的學(xué)生數(shù)量越來越多，通常一個重點(diǎn)院校有將近2萬學(xué)生，同時校園網(wǎng)中包含多種不同類型的用戶，除了教師用戶以外，還包括學(xué)生以與教師家庭用戶等，上述因?yàn)榧哟罅司S護(hù)網(wǎng)絡(luò)安全的難度。(3)校園網(wǎng)涉與的業(yè)務(wù)繁多，需設(shè)置的策略較為復(fù)雜。校園網(wǎng)中包含多種不同類型的用戶，每種用戶具備的操作權(quán)限不同，由此會加大安全策略的設(shè)置難度。除此以外，校園中還存在多種應(yīng)用，如OA系統(tǒng)、績效管

48、理系統(tǒng)以與薪酬管理系統(tǒng)等，上述系統(tǒng)存儲著大量的私密信息，且用戶會在不同場景操作系統(tǒng)，由此會加大網(wǎng)絡(luò)安全的維護(hù)難度。(4)網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜。當(dāng)前很大高等院校在各地開設(shè)分校，使得校園網(wǎng)覆蓋的圍越來越廣，同時各個校區(qū)建網(wǎng)的時間不一樣，使得各個校區(qū)使用的網(wǎng)絡(luò)設(shè)備也不一樣，需要考慮兼容問題，使得校園網(wǎng)的物理結(jié)構(gòu)越來越復(fù)雜。(5)面臨的網(wǎng)絡(luò)威脅眾多。由于校園網(wǎng)存在用戶類型較多、資源豐富以與安全意識薄弱等特點(diǎn)，大量的黑客以此為跳板來達(dá)到非法目的。據(jù)最新的研究表明，國百分之八十的垃圾來源于校園網(wǎng)。除此以外，校園網(wǎng)絡(luò)還面臨著ARP攻擊等，總之，校園網(wǎng)絡(luò)面臨的安全威脅眾多。事實(shí)上，構(gòu)建校園網(wǎng)安全體系的原因在于保護(hù)

49、校園的信息資產(chǎn)，在介紹校園網(wǎng)面臨的安全風(fēng)險之前，先對校園的關(guān)鍵信息資產(chǎn)進(jìn)行介紹，具體如表3.1所示。表3.1 關(guān)鍵信息資產(chǎn)分部關(guān)鍵資產(chǎn)分布區(qū)域固定資產(chǎn)、財務(wù)數(shù)據(jù)以與教職工信息數(shù)據(jù)中心日常辦公業(yè)務(wù)職能部門教學(xué)信息教學(xué)樓電子閱覽室圖書館學(xué)生個人信息宿舍區(qū)在了解了校園關(guān)鍵信息資產(chǎn)的分布之后，對校園信息流進(jìn)行介紹，具體如圖3.1所示。圖3.1 校園數(shù)據(jù)流分析下面將按分布區(qū)域來對各區(qū)域面臨的安全風(fēng)險進(jìn)行說明，以便采取措施來提高校園網(wǎng)的安全性。3.1.1數(shù)據(jù)中心安全風(fēng)險分析數(shù)據(jù)中心存儲著整個校園最核心的資產(chǎn)和信息，也是整個校園網(wǎng)的核心，其包含數(shù)據(jù)服務(wù)器、操作系統(tǒng)以與應(yīng)用程序等軟硬件資源，因此數(shù)據(jù)中心面臨多

50、層面的風(fēng)險，下面進(jìn)行具體分析：(1)物理層安全風(fēng)險。物理層是整個校園網(wǎng)正常運(yùn)行的基礎(chǔ)，軟硬件資源的損壞都會給校園網(wǎng)帶來風(fēng)險，物理層面臨的風(fēng)險主要包括如下幾方面：第一、自然因素或人為因素造成物理層設(shè)備的損壞。第二、數(shù)據(jù)庫損壞造成數(shù)據(jù)信息的丟失。(2)網(wǎng)絡(luò)層安全風(fēng)險。網(wǎng)絡(luò)層負(fù)責(zé)網(wǎng)絡(luò)通信，校園數(shù)據(jù)流都通過網(wǎng)絡(luò)層進(jìn)行傳輸，其面臨的安全風(fēng)險主要包括如下幾個方面：第一、未采取有效措施來保障數(shù)據(jù)中心的安全，使其容易受到外部網(wǎng)絡(luò)的入侵和攻擊。第二、網(wǎng)絡(luò)鏈路安全風(fēng)險，未實(shí)現(xiàn)對校園關(guān)鍵信息流的加密，由此信息流在網(wǎng)絡(luò)中進(jìn)行傳輸時，容易被篡改或竊取。第三、病毒風(fēng)險，校園網(wǎng)中存在上萬用戶，不同用戶的計算機(jī)水平不一樣，用

51、戶容易引入病毒到校園網(wǎng)中，而病毒具備較強(qiáng)的傳染性，容易感染數(shù)據(jù)中心網(wǎng)絡(luò)，目前病毒已成為校園網(wǎng)中較大的風(fēng)險。第四、網(wǎng)絡(luò)設(shè)備的自身安全性也是網(wǎng)絡(luò)安全的重要組成部分，大量路由器和交換機(jī)自身就有著眾多安全漏洞。(3)系統(tǒng)層安全風(fēng)險。系統(tǒng)層安全風(fēng)險來源于校園中各個應(yīng)用，目前在高校部分教職工都采用盜版的操作系統(tǒng)以與應(yīng)用軟件，盜版軟件存在的漏洞較多，且不具備修復(fù)的條件，如此容易成為不法份子的攻擊源。(4)應(yīng)用層安全風(fēng)險。數(shù)據(jù)中心是校園網(wǎng)各項(xiàng)應(yīng)用程序和業(yè)務(wù)正常運(yùn)營的基石，當(dāng)前校園中的絕大部分應(yīng)用都基于B/S模式進(jìn)行實(shí)現(xiàn)，其與C/S模式相比最大的優(yōu)勢在于不受到地域的限制，只要在有網(wǎng)絡(luò)的地方就可以操作系統(tǒng)。但是其

52、最大的缺陷在于安全性較低，存在很多的安全風(fēng)險，具體表現(xiàn)在如下幾個方面：第一、未驗(yàn)證輸入?；贐/S模式的應(yīng)用程序都必須采取相應(yīng)的措施來處理未驗(yàn)證輸入的情況，若處理不當(dāng)則會帶來巨大的安全隱患，如非法用戶可通過修改URL傳遞參數(shù)來進(jìn)入系統(tǒng)篡改或竊取私密信息。第二、不完善的訪問控制。若校園網(wǎng)中的web程序權(quán)限控制不當(dāng)或者權(quán)限混亂，則容易造成關(guān)鍵信息泄露，并且不法份子可通過提高權(quán)限來獲取更多關(guān)鍵信息。第三、不完善的認(rèn)證和會話管理。會話令牌和用戶信任狀，比如密碼、鑰匙和會話cookies 需要得到保護(hù)，否則認(rèn)證機(jī)制形同虛設(shè)。在更改密碼、獲取遺忘的密碼和更新信息的過程中，信任狀和令牌未能正確的處理，認(rèn)證系

53、統(tǒng)就存在很大的被攻擊危險。會話令牌需要在會話的整個周期受到保護(hù)，SSL 可以確保這點(diǎn)。但是SSL 經(jīng)常不能正確的實(shí)現(xiàn)，而且即使正確使用，攻擊者仍然可以通過跨站點(diǎn)腳本攻擊非法獲取令牌。第四、跨站點(diǎn)腳本攻擊（XSS）。瀏覽器執(zhí)行來自站點(diǎn)的代碼，比如javascript、flash 等。攻擊者將可執(zhí)行的惡意代碼腳本作為輸入的一部分傳給的web 應(yīng)用，這些腳本然后在其他用戶的瀏覽器中運(yùn)行，從而對使用它的其他用戶造成損害。造成的結(jié)果是盜取會話令牌，攻擊機(jī)器或者哄騙用戶。第五、緩沖區(qū)溢出。web 應(yīng)用從用戶獲得各種各樣的輸入。如果沒有恰當(dāng)?shù)膰鷻z查，輸入在緩沖區(qū)溢出，覆蓋堆棧，可以用來執(zhí)行任意代碼。比如c和

54、c+中，此類錯誤往往是致命的。(5)數(shù)據(jù)層安全風(fēng)險數(shù)據(jù)中心中最核心的數(shù)據(jù)都存在數(shù)據(jù)庫或者文件中,數(shù)據(jù)層面臨的安全風(fēng)險主要包括如下幾個方面：第一、校園網(wǎng)中存在各種不同類型的數(shù)據(jù)庫管理系統(tǒng)，必須設(shè)置相應(yīng)的安全策略來提高安全性，同時還需與時修復(fù)數(shù)據(jù)庫的漏洞。但是目前絕大部分高校沒有專門的系統(tǒng)管理員或者安全管理員，因此在這方面處理不夠與時、理想。第二、未采取加密算法對關(guān)鍵數(shù)據(jù)進(jìn)行加密，導(dǎo)致數(shù)據(jù)容易被篡改。第三、缺乏統(tǒng)一的數(shù)據(jù)備份與容災(zāi)策略。絕大部分高校在這方面考慮較少，大多只是利用數(shù)據(jù)庫的備份恢復(fù)功能，對容災(zāi)方面考慮較少。3.1.2區(qū)域安全風(fēng)險分析校園網(wǎng)處理數(shù)據(jù)中心以外，還存在職能部門、院系以與宿舍等

55、區(qū)域，上述區(qū)域都必須采取相應(yīng)的措施來保證網(wǎng)絡(luò)安全，下面從區(qū)域角度進(jìn)行詳細(xì)分析。(1)職能部門的安全風(fēng)險分析。職能部門通過沒有專門的服務(wù)器，其工作主要在數(shù)據(jù)中心的服務(wù)器上進(jìn)行或者保存在本地辦公機(jī)上，因此其安全風(fēng)險主要集中在黑客入侵以與病毒破壞等幾個方面。(2)院系的安全風(fēng)險分析。院系一般沒有服務(wù)器，主要的信息資產(chǎn)存放在老師的科研用計算機(jī)上，主要面臨的安全風(fēng)險是因?yàn)楹诳腿肭?、病毒破壞而造成的信息泄漏和丟失。(3)宿舍區(qū)的安全風(fēng)險分析。教學(xué)區(qū)和宿舍區(qū)以學(xué)生的個人PC 為主，主要的安全風(fēng)險是因?yàn)椴《痉簽E而造成的網(wǎng)絡(luò)故障。3.1.3校園安全風(fēng)險主要問題據(jù)上一節(jié)分析可知，校園網(wǎng)有許多自己的特點(diǎn)，如物理網(wǎng)絡(luò)

56、結(jié)構(gòu)復(fù)雜以與用戶類型較多等，并且對各區(qū)域的安全風(fēng)險進(jìn)行了分析，下面對校園面臨的安全問題進(jìn)行總結(jié)， (1)校園網(wǎng)缺乏完善的安全體系設(shè)計。校園網(wǎng)經(jīng)歷了不同的發(fā)展階段，最開始在構(gòu)建校園網(wǎng)時，其提供的應(yīng)用較為簡單，大多為信息發(fā)布以與互聯(lián)網(wǎng)接入等，為此較少考慮設(shè)計完整的安全體系。隨著計算機(jī)技術(shù)應(yīng)用圍的不斷擴(kuò)大，目前校園日常辦公業(yè)務(wù)均已實(shí)現(xiàn)信息化建設(shè)，而現(xiàn)有安全體系已無法滿足需求，導(dǎo)致出現(xiàn)各種安全問題。(2)TCP/IP協(xié)議的開放性。校園網(wǎng)是基于TCP/IP協(xié)議進(jìn)行構(gòu)建的，由于TCP/IP協(xié)議是開放的，因此其實(shí)現(xiàn)方式、優(yōu)點(diǎn)以與缺陷都已被研究透徹，許多不法份子會利用其存在的漏洞來實(shí)現(xiàn)入侵攻擊的目的，由此可知

57、TCP/IP協(xié)議的開放性會引發(fā)校園網(wǎng)產(chǎn)生許多不可預(yù)知的安全問題。(3)操作系統(tǒng)與應(yīng)用軟件漏洞。校園網(wǎng)中的服務(wù)器以與客戶機(jī)大多安裝盜版操作系統(tǒng)，其存在大量的安全漏洞，這些漏洞會給黑客和病毒帶來機(jī)會，使得服務(wù)器和客戶機(jī)處于危險狀態(tài)。除此以外，當(dāng)前許多應(yīng)用軟件都有后門，容易被開發(fā)者利用，成為校園網(wǎng)的攻擊源和病毒源。(4)病毒泛濫嚴(yán)重。當(dāng)前校園網(wǎng)中病毒泛濫的原因主要包括如下三個方面：第一，校園網(wǎng)存在不同的應(yīng)用需求，各應(yīng)用之間存在較大差異，如此較難制定統(tǒng)一的安全防御策略，如由于學(xué)校機(jī)房安裝有還原卡，使得學(xué)校機(jī)房的安全性大大提高，很難感染病毒，但是在其他應(yīng)用場景卻不能安裝還原卡。第二，許多機(jī)器安裝有還原卡

58、，因此病毒入侵對本機(jī)的危害較少，但是若病毒感染教學(xué)區(qū)或生活區(qū)，則易引發(fā)網(wǎng)絡(luò)安全問題。第三，校園網(wǎng)中包含多種不同類型的用戶，各用戶的計算機(jī)水平參差不齊，許多用戶機(jī)器處于裸奔狀態(tài)，非常容易感染病毒，從而會成為校園網(wǎng)的病毒源。(5)網(wǎng)絡(luò)攻擊方面。網(wǎng)絡(luò)攻擊分為部攻擊和外部攻擊兩部分，通過部署防火墻可抵御絕大部分外部攻擊，但是部攻擊卻較難抵御。部攻擊大部分來源于木馬以與惡意程序，由于網(wǎng)機(jī)器擁有一定的網(wǎng)絡(luò)權(quán)限，使得其更易攻擊網(wǎng)絡(luò)服務(wù)器。除此以外，某些學(xué)生會模仿黑客攻擊學(xué)校服務(wù)器。正由于存在上述安全威脅，校園網(wǎng)更易受到攻擊。3.2校園網(wǎng)當(dāng)前的安全措施由于校園網(wǎng)存在許多的安全問題，其采用了許多措施來提高校園網(wǎng)

59、的安全，具體包括如下幾個方面：(1)在物理層面上，采取措施確保網(wǎng)絡(luò)連接設(shè)備、線路的安全和穩(wěn)定，并根據(jù)不同的安全需求來劃分不同的安全等級，并利用VLAN技術(shù)進(jìn)行隔離，防止病毒或攻擊的傳染和擴(kuò)散。(2)在網(wǎng)絡(luò)層面上，利用防火墻來實(shí)現(xiàn)數(shù)據(jù)包過濾，保證網(wǎng)絡(luò)訪問的安全性。(3)在應(yīng)用層面上，通過部署上網(wǎng)行為管理軟件以與防病毒軟件來實(shí)現(xiàn)業(yè)務(wù)分類，對可能存在的病毒和攻擊進(jìn)行防御。上述措施需要能達(dá)到提高校園網(wǎng)絡(luò)安全性的目的，但是都是各自為戰(zhàn)，并未從整體考慮，形成統(tǒng)一的防御體系。因此必須構(gòu)建一個整體的安全解決方案，發(fā)揮各種產(chǎn)品的優(yōu)勢來形成完整的防御體系。3.3 校園網(wǎng)安全關(guān)鍵技術(shù)本節(jié)主要介紹校園網(wǎng)中可采取的安全

60、技術(shù)，具體包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、認(rèn)證技術(shù)以與安全掃描技術(shù)。3.3.1防火墻技術(shù)防火墻技術(shù)的主要作用在于通過設(shè)置各種策略來限制用戶訪問32，其通常被部署在網(wǎng)絡(luò)邊界，所有的訪問通道必須經(jīng)過防火墻，能起到提高網(wǎng)絡(luò)安全性的目的。正由于其具備較高的安全性，因此被廣泛應(yīng)用在各種網(wǎng)絡(luò)中。下面對防火墻技術(shù)進(jìn)行介紹。(1)防火墻特性。防火墻的特性主要包括如下幾個部分：第一，防火墻部署在網(wǎng)絡(luò)邊界，其是所有網(wǎng)絡(luò)數(shù)據(jù)流的必經(jīng)之道，只有滿足這一基本條件時，防火墻才能發(fā)揮相應(yīng)的作用，保證部網(wǎng)絡(luò)的安全。第二，防火墻中可配置安全訪問策略，對于不滿足安全策略的網(wǎng)絡(luò)數(shù)據(jù)流會被阻擋，不讓進(jìn)入部網(wǎng)絡(luò)。只有滿足要