3029信息安全技术作业.docx
《3029信息安全技术作业.docx》由会员分享,可在线阅读,更多相关《3029信息安全技术作业.docx(18页珍藏版)》请在冰点文库上搜索。
3029信息安全技术作业
关于校园网的信息安全报告
---以安徽财经大学为例
学院:
管理科学与工程
专业:
信息管理与信息系统
学号:
20133029
姓名:
潘婷
目录
1、网络安全风险......................................3
1.1整体网络环境的安全..............................3
1.2校园网络环境的安全风险..........................5
2、安财校园网现状....................................6
2.1建设目标........................................6
2.2技术方案........................................6
2.3硬件设备........................................7
2.4软件设备........................................12
2.5安徽财经大学校园网络拓扑图......................13
3、校园网络的安全需求................................14
3.1校园设计的需求..................................14
四、安全管理的建议....................................15
4.1网络安全域划分、策略管控........................15
4.2网络边界实时防护................................15
4.3内部网络入侵检测................................16
4.4数据中心安全防护...............................16
4.5异常流量攻击防范................................17
五、小结..............................................17
在计算机诞生的最初,主要用于解决学术研究等方面出现的问题,只是简单的互发邮件等联通,因此不存在网络安全风险问题。
但随着社会的发展,计算机技术和互联网技术的普及使人们的生活、学习和工作发生了巨大而深刻的变化,人们越来越依赖于计算机网络技术。
然而,基于开放性、共享性和自由行的互联网络的规模的扩大、网络应用的逐渐丰富,在给人们带来便捷的同时,也导致网络运行的环境越来越复杂,计算机网络面临的安全威胁也更具复杂性和多样性。
如何保证计算机网络系统的安全稳定的运行成了最大的课题。
随着互联网的普及,各高等院校为了适应21世纪互联网时代的到来以及学校自身发展的需要,都建立了自己的校园网,高校校园网是互联网络和学校信息化的重要部分,担负着学校办公、教学、科研、管理和对外交流等许多方面的用途。
校园网是否能够安全稳定的运行直接影响着学校的教学活动,由于校园网络自身存在的特殊性,校园网规模的庞大、使用人数众多等,使得校园网络的安全威胁不仅来自于互联网,还来自于校园网络体系的各个层面。
校园网络的安全问题成了网络研究和管理人员们亟待解决的问题。
本文将以安徽财经大学为研究对象,针对现有的网络安全问题给出一个网络安全规划方案。
1、网络安全风险
1.1整体网络环境的安全风险
1.1.1网络硬件设备缺陷
计算网络硬件设备是网络运行的基础部分,但是硬件本身也带有一定的安全隐患。
其中,电子辐射泄漏是不可忽视的,也是最为主要的安全隐患,直观来看就是计算机与网络所含有的电磁信息泄漏,导致失密、窃密、泄密的可能性更高。
另外,安全隐患还体现在信息资源通信部分的脆弱这方面,计算机会不断地进行数据交互与传输,这类活动会通过网络硬件设备。
如电话线、专线、光缆以及微波这四种路线,尤其是电话线、专线与微波更加容易为不法分子窃取。
1.1.2操作系统安全技术存在隐患
本地计算机的安全与网络系统以及操作系统有着密切的关系。
由于在用户连接、上层软件以及计算机硬件设备的搭建过程中,操作系统是主要的影响因素。
在复杂的网络环境中,操作系统想要安全稳定的运行,自然会出现许多安全方面的问题,尤其是系统漏洞与后门是计算机操作系统最为主要的安全隐患因素。
1.1.3软件漏洞的存在
随着计算机技术的不断发展,人们对计算机系统的软件需求量日益增加,致使软件快速更新,但是软件在开发时存在一定的不足即漏洞,若是不法分子利用了此类漏洞,那么通过漏洞,使用相应软件的用户的信息将会被窃取、破坏等。
计算机中存在的软件漏洞主要有:
协议漏洞,不法分子利用计算机的协议漏洞对系统中的根目录进行破坏和获取;缓冲区溢出,不法分子对缓冲区的工作特点进行利用,使缓冲区进入大量的待处理数据,导致网络的不稳定;口令控制,当计算机的某一个口令被长期使用时,便会增大口令的易攻击性,因为口令对于计算机来说,重要性不言而喻,当口令被攻击后,计算机的完整性、安全性以及保密性都会受到很大的影响甚至是破坏。
1.1.4恶意攻击
计算机技术的快速发展,高等教育的日渐普及,网络资源的共享性以及大容量等特点使越来越多的人们掌握了相当的互联网技术,具备了网络攻击的能力,网络攻击变的非常普遍,同时这种攻击也是网络安全面临的最大威胁。
主动攻击和被动攻击都属于恶意攻击两。
主动攻击是通过各种计算机技术手段和方式有选择性的破坏网络信息,使其丧失完整性和有效性;被动攻击是指在网络正常工作的情况下,使用计算机技术对所需要的重要或是机密等消息进行窃取、截获和破译等。
恶意攻击会对网络安全造成很大的危害,并导致重要数据的泄漏。
当今的软件在设计使存在一定的漏洞,网络黑客们可以采用一定的技术手段非法侵入重要信息系统的,以此来窃听、截取、攻击破坏一些重要的数据和信息或者是修改和破坏信息网络的正常使用状态,造成数据丢失甚至系统瘫痪。
1.1.5计算机病毒
计算机病毒是指隐藏在可执行程序和数据文件中而不会被人们发现的一类病毒,在打开其隐藏的程序或文件后会获取系统控制的一段可执行程序,会触发病毒,当病毒运行后轻则可能降低系统工作效率,重则可能损坏文件,甚至删除文件,使数据丢失,破坏系统硬件,造成各种难以预料的后果。
病毒具有传染性、潜伏性、可触发性和破坏性等特点。
计算机病毒主要是通过复制文件、传送文件、运行程序等操作传播,软盘、硬盘、光盘和网络是传播病毒的主要途径。
近年来出现的多种恶性病毒都是基于网络进行传播的,这些计算机网络病毒破坏性很大,如CIH病毒,熊猫烧香病毒,可谓是人人谈之而色变。
病毒的存在严重威胁了网络的安全。
1.2校园网络环境的安全风险
1.2.1学生的网络安全意识不足
学校对我国关于计算机网络的相关政策的宣传力度不够,学生能够熟练运用计算机和网络,但是仍属于计算机运用的初级水平,在使用时没有较强的网络安全意识和应对网络安全事故的能力。
所以大多数在校学生除了注意防范一些来源不明的网络链接以外,并没有健全而完整的网络安全防范意识。
对于个人的计算机只是简单的安装一个防护软件,多用于清理检查电脑,却不懂得真正的防毒软件和杀毒软件有哪些以及它们的正确使用方法,不关注系统提示的漏洞修复、不及时给系统打补丁,在下载外来资源时也不注重先杀毒再打开。
1.2.2一些学生好奇心太重
在这个自由的时代,面对大量的知识和技术,总有些爱好钻研网络技术的学生,他们具有丰富的网络知识,但是却缺乏对于计算机网络安全方面法律的了解或者是法律意识太过淡薄,致使他会在好奇心的驱使之下运用自己所学习掌握了的黑客技术和自己编写的木马病毒在校园网络上运用并传播,造成校园网络的宽带堵塞,严重的甚至会使整个网络系统陷入瘫痪。
1.2.3网络自身的缺陷
校园网络有一定的特殊性,因此决定了校园网络的开放性以及共享性,正是这两个特点的存在,致使校园网的安全存在一定的缺陷。
TCP/IP协议并没有与之相对应的安全防护机制,此外,互联网本身的设计也并没有考虑安全性的问题,所以,当计算机网络在遇到攻击时显得力不从心。
1.2.4系统存在漏洞,病毒入侵
当今时代,各种计算机系统和网络层出不穷,但是无论是多么先进、多么强大、多么人性化的系统,在开发时都存在其系统自身的安全缺陷和漏洞,这种漏洞是我们不可避免的,而高校为了管理和教学需要,买进了多个不同的办公、学生、教学等系统,那么自身存在的漏洞就成为病毒和黑客入侵的最便捷途径,所以病毒就成为了校园网络安全的最大威胁之一,随着计算机网络技术的发展,各类病毒层出不穷,从简单的窃取个人和组织机构的机密信息到破坏整个网络系统,造成计算机网络瘫痪。
校园计算机网络由于用户太多、组成太过复杂,网络结构简单的特点,使病毒更容易入侵,加大了校园网络的安全风险。
当前各高校防御病毒的技术还较为简单,有时甚至不能覆盖整个校园网络体系。
1.2.5系统情况的复杂性
校园中的计算机设备管理千差万别,学生个人电脑由学生个人维护,一些教师的个人电脑由教师自己负责维护,学校的实验室、办公室的电脑由学校统一采购,有技术人员专门负责维护,但是电脑的配备时间不同,所以电脑上的配置也存在较大的差别。
在这种情况下,学校校园网的所有端系统不可能实现统一的安全策略。
然而,校园网中的个人电脑又与外界网络有着密切的联系,因此,经常出现校园网的个人电脑本身携带病毒,或者在接入校园网后感染病毒,然后这台电脑反过来影响校园网的运行,致使整个校园网的安全受到威胁。
1.2.6盗版资源泛滥
现在很多学生缺乏版权意识,目前在校园网中普遍使用的软件、影视资源大多是盗版的。
这些从网络上随意下载的软件、资源除了占用了大量的带宽,还有就是这些资源中可能隐藏着一些木马、后门等恶意代码,另外,这些盗版的网络资源一般不支持更新,如盗版的WindowsXP操作系统就无法通过微软官方更新,导致计算机留有大量的安全漏洞。
2、安财校园网现状
2.1建设目标
在建设安徽财经大学的校园网时,结合学校实际以及校园网应满足的需求提出了几点目标如下:
1.高速,校园网主干核心带宽要达到万兆,网络延时抖动小;
2.整个网络系统具有很好的服务质量和稳定性;
3.网络系统具有较高的安全性能和可靠性;
4.具有很好的可管理性;
5.易扩展,支持网络新技术。
2.2技术方案
为了达到建设时提出的几点目标,比较研究了各种网络技术、产品之后学校给出了以下方案:
1.网络主干采用双链路万兆互连,有分布在各楼宇的汇聚层路由交换机与相近的核心交换机通过千兆链路连接,形成星型结构;
2.支持校园网出口选用2-3条线路,其中一条至中国教育网;
3.网络安全系统主要通过防火墙系统实现;
4.选用支持双栈结构的核心路由交换机以便将来建设IPV6实验网。
2.3硬件设备
2.3.1Web应用防火墙(iwall)
安徽财经大学的此款设备采购于上海天存信息技术有限公司,用于服务器出口处。
()
功能及工作原理:
iWall应用防火墙硬件版采用代理工作机制,具备完整和深层的HTTP协议处理能力,它在阻断各种攻击的同时,也能够对HTTP响应进行监控,防止敏感信息泄露等问题,并提供负载均衡、防应用层Dos攻击等功能。
iWall应用防火墙硬件版的所有配置和日志信息均存于设备本地,同时提供便捷的配置管理和日志统计查询功能。
应用防火墙硬件版是一台包含了天存HTTP安全模型的独立安全设备,该设备部署在网关与Web服务器之间,每一个浏览器的每次访问请求都将先经过iWall应用防火墙硬件版的分析和过滤,然后再被后端的Web服务器接收和处理。
Web应用防火墙工作原理如下图:
使用原因:
开发人员素质一般、需求快速变更导致缺乏严谨的设计和代码编写、系统没有经过严格的测试等,这些特点加上HTTP协议本身的无状态和匿名性,导致Web应用出现了很多的漏洞,如SQL注入漏洞、跨站脚本漏洞等等。
管理员对Web系统的现成软件(包括操作系统、Web服务器软件、中间件、第三方平台、数据库)的配置不当也会造成很多漏洞,最常见的就是网页被篡改。
作为Web应用运行的基础平台,Web服务器(软件)本身只提供对HTTP协议的处理,并不会对协议数据的来源和内容进行安全检查和安全加固,给了黑客攻击的途径,如下图所示:
在出口处加入了Web应用防火墙之后,就能够很好的解决上述Web应用系统自身存在的缺陷以及配置不当引起的各种问题。
使用效果如下:
2.3.2内网防火墙(山石网科SG-6000—M31082台)
安徽财经大学的这两款款设备采购于山石网科,用于服务器进口处。
(
fw.html)
山石下一代防火墙功能:
可精确识别数千种网络应用,并提供详尽的应用风险分析和灵活的策略管控。
结合用户识别、内容识别,山石网科下一代防火墙可为用户提供可视化及精细化的应用安全管理。
同时,山石网科下一代防火墙内置了先进的威胁检测引擎及专业的WEB服务器防护功能,能够抵御包括病毒、木马、SQL注入、XSS跨站脚本、CC攻击在内的各种网络攻击,有效保护用户网络健康及WEB服务器安全。
基于全并行软硬件架构实现的“一次解包、并行检测”,山石网科下一代防火墙在具备全面安全防护的同时,更为用户提供高性能的应用安全防护。
可做到精细化应用管控、全面威胁检测与防护,具有强大的网络适应性,便于统一集中管理,以及灵活便捷的无线安全。
SG-6000—M3108:
其基于角色、深度应用的多核Plus®G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。
处理器模块化设计可以提升整体处理能力,突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。
SG-6000-M3108处理能力高达1/2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防御、网页访问控制等安全服务。
特点:
安全可视化、全面的VPN解决方案、内容安全(UTMPlus®)、模块化、全并行处理的安全架构(多核Plus®G2)。
2.3.3外网防火墙(山石网科SG-6000X71802台)
(
功能:
HillstoneX7180数据中心防火墙针对数据中心网络安全对高性能、可扩展性、高可靠性以及虚拟化等要求而设计,可广泛部署于运营商、大型企业和政府机构的高速互联网出口及数据中心场景,帮助用户应对最新安全挑战。
该产品基于创新的全分布式架构全面实现防火墙超高的吞吐量、并发连接数量和新建连接速率。
特点:
基于全分布式架构的高性能优势、电信级可靠性保障、领先的虚拟化防火墙技术、完善的NAT和IPv6的过渡技术、绿色节能、丰富的安全功能。
2.3.4IPS(入侵防御系统华为)
功能及原理:
异常侦查,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。
比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象;在遇到动态代码(ActiveX,JavaApplet,各种指令语言scriptlanguages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析;有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止;核心基础上的防护机制,用户程序通过系统指令享用资源(如存储区、输入输出设备、中央处理器等),入侵预防系统可以截获有害的系统请求;对Library、Registry、重要文件和重要的文件夹进行防守和保护。
而且,入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应用入侵防御统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。
是作为防火墙技术和IDS技术的补充协助。
使用原因:
串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力;旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断;IDS和防火墙联动:
通过IDS来发现,通过防火墙来阻断。
但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。
2.3.5核心交换机(CISCO65092台)
安徽财经大学的此款设备采购于思科。
(
功能:
思科的交换机能够为学校网络提供多种高度可用的、安全的融合式网络服务。
它的设计宗旨是在骨干网、分布层、配线间拓扑和数据中心环境中,满足客户对于千兆可扩展性、高可用性、多样化服务和多层交换的不断提高的需求。
交换器的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
交换器除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。
如今许多交换器都能够提供支持快速以太网或FDDI等的高速连接端口,用于连接网络中的其它交换器或者为带宽占用量大的关键服务器提供附加带宽。
学习功能,以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换器缓存中的MAC地址表中;转发过滤,当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口);消除回路,当交换器包括一个冗余回路时,以太网交换器通过生成树协议避免回路的产生,同时允许存在后备路径。
2.3.6汇聚交换机(JuniperEx45502台)
安徽财经大学的此款设备采购于瞻博网络技术(
功能:
运营商级架构配合JunosOS,使得EX系列交换机得以为所有应用提供运营商级可靠性;EX系列交换机融合安全风险管理与统一接入控制,能够动态提供网络保护、访客访问和基于身份的QoS;超高1GbE、10GbE、40GbE和100GbE端口密度提供线速性能,显著简化网络拓扑结构和操作;每个交换机端口八个QoS队列可确保正确确定语音、视频和多个数据信息流级别的优先级,并且仍可融合其他网络,如构建自动化和视频安全系统;经济实惠的创新交换机设计支持的新架构可降低成本和减少复杂性,同时统一管理和自动化工具可整合系统监控;集群交换技术允许多台互连的EX系列交换机作为单一逻辑设备运行,从而降低运营支出和简化管理。
使用环境:
可扩展的EX4500系列以太网交换机提供经济、高能效、高性能的平台,适合高密度10Gbps园区和数据中心柜顶部署,同样适合服务提供商环境。
EX4550拥有40个线速双GbE/10GbE端口,以及完整的第2层和第3层支持。
可选的高速上行链路模块包含8个额外的10GbE端口。
EX4550有32个线速GbE/10GbE端口和2个扩展插槽,可安装可选模块,将端口密度提升到48。
EX4550支持第3层动态路由协议(如RIP和OSPF)、MPLS服务(如第2层和第3层VPN)、所有端口上的MACsec以及综合全面的服务质量(QoS)特性集。
EX4550还支持瞻博网络集群交换技术。
2.3.7路由交换机(CISCO76092台)
安徽财经大学的此款设备采购于思科(
oducts/7600/7609_s_data_1.html)
功能及系统特点:
Cisco7609路由器是一款高性能路由器,部署在对性能、IP服务、冗余性和永续性要求很高的电信运营商网络边缘或大型企业网骨干。
使运营商以太网电信运营商能部署高级的网络基础架构以支持公众和商业用户服务的各种IP视频和三网合一(语音、视频和数据)系统应用。
Cisco7609支持企业部署先进的广域网和城域网(MAN)联网解决方案以满足大流量环境顺利运行的要求。
总吞吐率为720Gbps,最高400-Mpps的分布式转发速率(要求配备分布式转发卡[DFC])。
使用环境:
高端客户端设备(CPE)、租用专线、IP/MPLSPE、城域以太网接入、企业广域网汇聚、移动无线接入网络(RAN)汇聚、公众用户汇聚。
2.3.8智能DNS(UniteDNS-36002台)
(
XB5U63Szu6dd2jBxKLLWTf4QledrxFKUYYzkqCNRzNAI04euZ2O43P7IHVGrTLCUe
QFre-T1vUUa#1)
功能:
通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。
在解析域名时,可以首先采用静态域名解析的方法,如果静态域名解析不成功,再采用动态域名解析的方法。
可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。
每个IP地址都可以有一个主机名,主机名由一个或多个字符串组成,字符串之间用小数点隔开。
有了主机名,就不用死记硬背每台IP设备的IP地址,只要记住相对直观有意义的主机名就行了。
主机名到IP地址的映射有两种方式:
静态映射,每台设备上都配置主机到IP地址的映射,各设备独立维护自己的映射表,而且只供本设备使用;动态映射,建立一套域名解析系统(DNS),只在专门的DNS服务器上配置主机到IP地址的映射,网络上需要使用主机名通信的设备,首先需要到DNS服务器查询主机所对应的IP地址。
2.4软件设备
2.4.1服务器安全狗
安徽财经大学的此款软件来自于安全狗。
(
功能:
多引擎,精准查杀网页木马和各类病毒,独有的安全狗云查杀引擎、网马引擎与专业的小红伞引擎结合,精确查杀各类网页木马和主流病毒。
多引擎智能查杀病毒,全面保障服务器安全;三层网络防护实时保护网络安全,强有力的网络防护,实时监测IP和端口访问的合法性,石狮拦截ARP攻击、Web攻击(抗CC)、DDOS攻击、暴力破解;全面的文件/注册表保护,杜绝非法篡改,全面开放保护规则,同时支持监控网站目录,有效保护重要文件、目录与注册表不被篡改与删除,实时防止网站被上传网页木马。
系统默认规则与用户自定义规则全支持,灵活定制,全面保护;底层驱动防护,屏蔽入侵提权,驱动级保护,拦截更快速,有效防止未授权的非法用户登录服务器,实时阻止非法创建和修改系统账号;服务器安全加固,避免配置风险,全面的服务器体检,暴露安全隐患,当前系统健康情况了然于心,同时提供贴心的优化建议措施,加固服务器更简单,系统运行更快速,更安全。
2.5安徽财经大学校园网络拓扑图
基于上述的建设目标、技术方案以及采用的各种网络建设设备,安徽财经大学目前已经实现校区之间采用万兆互连,各骨干网络为千兆互连,
升级会员 