校园网络实施方案.docx
- 文档编号:8842385
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:16
- 大小:173.47KB
校园网络实施方案.docx
《校园网络实施方案.docx》由会员分享,可在线阅读,更多相关《校园网络实施方案.docx(16页珍藏版)》请在冰豆网上搜索。
校园网络实施方案
校园网络实施方案
校园网络实施方案
综上所述,校园网络安全的形势非常严峻,为解决以上安全隐患和漏洞,结合校园网特点和现今网络安全的典型解决方案和技术,提出了以下校园网络安全实施方案。
1如何评价网络系统的整体安全性(如何检测出当前系统的漏洞、以及扫描器的使用)
2应用系统如何保证安全性(如何防止黑客对网络、主机、服务器等的入侵、如何防范Windows的漏洞)
3在连接Internet时,如何在网络层实现安全性(防火墙的作用、如何使用)
4如何实现远程访问的安全性(远程控制的要求)
5访问控制如何布置,包括建立证书管理中心、应用系统集成加密等(简要地讲述证书的作用)
二、如何评价网络系统的整体安全性
(一)网络系统设计原则
系统与软件的可靠性
在校园网网络系统设计中,很重要的一点就是网络的可靠性和稳定性。
在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,是某学院校园网网络系统所必须考虑的。
在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。
我们将从网络线路的冗余备份及信息数据的多种备份等方面保证某学院校园网网络系统的可靠性。
先进性与现实性
随着校园网网络系统处理的信息量变的十分庞大,要求计算机网络有很高的工作效率。
而且随着教学科研任务工作的迅速系统面临的任务也愈来愈艰巨,所以,我们设计的网络在技术上必须体现高度的先进性。
技术上的先进性将保证处理数据的高效率,保证系统工作的灵活性,保证网络的可靠性,也使系统的扩展和维护变得简单。
我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现某学院校园网网络系统的先进性。
系统安全性与保密性
随着计算机技术的发展,尤其是网络和网络间互联的规模的扩大,信息和网络的安全性日益受到重视。
面临十分严肃的安全性挑战。
在网络设计时,将从内部访问控制和外部防火墙两方面保证某学院校园网网络系统的安全。
系统还将按照国家相关的规定进行相应的系统保密性建设。
易管理与维护
某学院校园网网络系统的节点数目大,分布范围广,通信介质多种多样,采用的网络技术也较先进,尤其引入交换式网络和虚拟网之后,网络的管理任务加重了,如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。
用图形化的管理界面和简洁的操作方式,可以提供强大的网络管理功能,使网络日常的维护和操作变得直观、简便和高效。
易扩充性
随着教学科研的快速发展,某学院校园网网络系统面临的任务将愈来愈艰巨,愈来愈复杂。
为了适应这个变化和日新月异的计算机技术的发展,我们网络十分注重扩充性。
无论是网络硬件还是系统软件,都可以方便的扩充和升级。
(二)主要网络设备的选择原则
根据已制定的网络系统设计原则,我们所选择的网络设备必须具有以下一些点:
安全、稳定、可靠
作为整个校园网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。
这是网络系统稳定运行的最基本条件。
最好是经过相当长时间,在世界范围内被广泛应用的网络产品。
为此,我们建议选择国际知名厂商的产品。
技术先进
网络设备仅仅具有安全、稳定和可靠的特点是不够的。
作为高科技的产品,还应该具有的特点就是技术的先进性。
我们所选择的网络设备应该采用当今较先进的技术,能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。
同时,在网络规模进一步扩大,该设备不能承担繁重的负荷时,能够降级使用。
便于扩展
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。
最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
管理和维护方便
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。
所以,我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。
(三)如何检测出当前系统的漏洞、以及扫描器的使用
对于检测出系统的漏洞的扫描器,一般使用的是X-Scan
X-Scan是国内最著名的综合扫描器之一,它完全免费,是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和命令行方式。
主要由国内著名的民间黑客组织“安全焦点”完成,从2000年的内部测试版X-ScanV0.2到目前的最新版本X-Scan3.3-cn都凝聚了国内众多黑客的心血。
最值得一提的是,X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。
软件说明
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:
远程操作系统类型及版本,标准端口状态及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息等。
扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。
功能
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。
扫描内容包括:
远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。
所需文件
xscan_gui.exe--X-Scan图形界面主程序
checkhost.dat--插件调度主程序
update.exe--在线升级主程序
*.dll--主程序所需动态链接库
使用说明.txt--X-Scan使用说明
/dat/language.ini--多语言配置文件,可通过设置“LANGUAGE\SELECTED”项进行语言切换
/dat/language.*--多语言数据文件
/dat/config.ini--当前配置文件,用于保存当前使用的所有设置
/dat/*.cfg--用户自定义配置文件
/dat/*.dic--用户名/密码字典文件,用于检测弱口令用户
/plugins--用于存放所有插件(后缀名为.xpn)
/scripts--用于存放所有NASL脚本(后缀名为.nasl)
/scripts/desc--用于存放所有NASL脚本多语言描述(后缀名为.desc)
/scripts/cache--用于缓存所有NASL脚本信息,以便加快扫描速度(该目录可删除)
检测范围
“指定IP范围”-可以输入独立IP地址或域名,也可输入以“-”和“,”分隔的IP范围,如“192.168.0.1-20,192.168.1.10-192.168.1.254”,或类似“192.168.100.1/24”的掩码格式。
“从文件中获取主机列表”-选中该复选框将从文件中读取待检测主机地址,文件格式应为纯文本,每一行可包含独立IP或域名,也可包含以“-”和“,”分隔的IP范围。
全局设置
“扫描模块”项-选择本次扫描需要加载的插件。
“并发扫描”项-设置并发扫描的主机和并发线程数,也可以单独为每个主机的各个插件设置最大线程数。
“网络设置”项-设置适合的网络适配器,若找不到网络适配器,请重新安装WinPCap3.1beta4以上版本驱动。
“扫描报告”项-扫描结束后生成的报告文件名,保存在LOG目录下。
扫描报告目前支持TXT、HTML和XML三种格式。
其他设置
“跳过没有响应的主机”-若目标主机不响应ICMPECHO及TCPSYN报文,X-Scan将跳过对该主机的检测。
“跳过没有检测到开放端口的主机”-若在用户指定的TCP端口范围内没有发现开放端口,将跳过对该主机的后续检测。
“使用NMAP判断远程操作系统”-X-Scan使用SNMP、NETBIOS和NMAP综合判断远程操作系统类型,若NMAP频繁出错,可关闭该选项。
“显示详细信息”-主要用于调试,平时不推荐使用该选项。
“插件设置”模块:
该模块包含针对各个插件的单独设置,如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。
三、应用系统如何保证安全性
(一)防止黑客对网络、主机、服务器等的入侵
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。
防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。
1、控制技术
访问控制是网络安全保护和防范的核心策略之一。
访问控制的主要目的是确保网络资源不被非法访问和非法利用。
访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,服务器安全控制、以及属性安全控制等多种手段。
2、防火墙技术
防火墙技术最初是针对Internet网络不安全因素所采取的一种保护措施。
顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户XX的访问。
它是一种计算机硬
件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。
该计算机流入流出的所有网络通信均要经过此防火墙。
3、入侵检测技术
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。
包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。
Ø入侵检测通过执行以下任务来实现:
Ø监视、分析用户及系统活动;
Ø系统构造和弱点的审计;
Ø识别反映已知进攻的活动模式并向相关人士报警;
Ø异常行为模式的统计分析;
Ø评估重要系统和数据文件的完整性;
Ø操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4、安全扫描
安全扫描技术主要分为两类:
主机安全扫描技术和网络安全扫描技术。
网络安全扫描技术主要针对系统中不合适的设置脆弱的口令,以及针对其它同安全规则抵触的对象进行检查等;而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。
网络安全扫描技术是一类重要的网络安全技术。
安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。
通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。
网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。
如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
5、安全审计
1 安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
2 安全审计涉及四个基本要素:
控制目标、安全漏洞、控制措施和控制测试。
其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。
安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。
控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。
控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。
3 安全审计跟踪的功能是:
帮助安全人员审计系统的可靠性和安全性;对妨碍系统运行的明显企图及时报告给安全控制台,及时采取措施。
一般要在网络系统中建立安全保密检测控制中心,负责对系统安全的监测、控制、处理和审计。
所有的安全保密服务功能、网络中的所有层次都与审计跟踪系统有关。
(二)防范Windows的漏洞
Windows操作系统作为使用最广泛的操作系统,其漏洞和针对它的攻击也是最多的。
根据目前的软件设计水平(微软的几千名软件设计人员应该代表了目前最高的软件设计水准)和开发工具,特别是操作系统这么一个庞大的"代码累积,据了解,WindowsXP的代码有4000万行之多,能让超级黑客攻击的地方太多了,毕竟超复杂的软件设计,就越代表了具有更多的功能,这么多的功能说绝对安全是不可能的,例如UPNP漏洞就可略窥冰山一角。
WindowsXP作为一种具有可扩展性能的系统,这种设计固然有它的优越之处,但恰恰是这种优越也极有可能带来巨大的安全隐患。
特别是在视窗XP为防止侵权盗版的"激活"功能上争议很多,很多人认为这为用户信息安全带来了潜在的威胁,反对大量安装这一系统,这正是所谓"有得必有失"。
(三)账号锁定功能漏洞
WindowsXP设计了账号快速切换功能,可以使用户快速地在不同的账号之间切换,而不需要先退出再登录。
但是快速账号切换功能目前也被证实在设计方面存在严重问题。
当系统在用户利用账号快速切换功能快速地重试登录一个用户名时,系统会认为是一个有暴力猜解的攻击,从而造成全部非管埋员账号的锁定,从而其他用户没有管理员的解禁不能登录主机。
该漏洞在进行如下测试方法后将被证实:
(1)设置最多错误口令尝试为3次。
(2)以一般用户权限创建10个账户(User1-User10).
(3)用Useri账号登录。
(4)使用快速账号切换登录到User2账号。
(5)用快速账号切换从User1账号登录User2账号连续失败3次。
(6)试着丢登录User3账号。
这时你会发现所有非管理员账号均已经锁定。
解决方法:
目前,微软还没有提供相应的补了程序,用户如果想避免上述的漏洞,必须暂时禁止账户快速切换功能。
(四)WindowsXP远程桌面漏洞
WindowsXP提供了远程桌面功能,目前也被证实存在设计缺陷,可能导致攻击者得到系统远程桌面的账户信息,有助于其进一步攻击。
当连接建立的时候,用WindowsXP远程桌面把账户名以明文发送给连接它的客户端。
发送的账户名不一定是远端主机的用户账号,而是最常被客户端使用的账户名,网络上的嗅探程序可能会捕获到这些账户信息。
解决方法:
到微软主页下载相应的补丁程序,并暂时停止远程桌面的使用
(五)GD1拒绝服务漏洞
GraphicsDeviceInterface(GDI)是一套应用程序接口,用于显示图形输出。
但是它存在一个安全问题,可能导致系统拒绝服务。
这是由于GDI无法正确处理畸形或无效的参数和标志位造成的,系统表现为蓝屏,只有重新启动才能恢复正常功能。
解决方法:
禁止不可信用户登录系统。
四、在连接Internet时,如何在网络层实现安全性
(一)防火墙的定义
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
(二)防火墙的作用
防火墙具有很好的保护作用。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
你可以将防火墙配置成许多不同保护级别。
高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。
例如互联网是不可信任的区域,而内部网络是高度信任的区域。
以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。
它有控制信息基本的任务在不同信任的区域。
典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。
最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
防火墙还可以关闭不使用的端口。
而且它还能禁止特定端口的流出通信,封锁特洛伊木马。
最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
(三)如何使用防火墙
如果是windows操作系统自带的防火墙,默认状态下都会自动开启的(关闭的话系统会报警)。
如果是另外安装的其他防火墙,安装后也会自动开启(即在桌面右下角的任务栏中有防火墙图标显示)。
一般情况下,防火墙最好使用一个就行了,也就是你必须关闭其中之一。
防火墙的主要目的就是保证上网安全,对系统没有什么影响,可以放心使用。
为了便于上网浏览网页,最好把防火墙的安全级别设置为“中级”。
有些防火墙在开启后,对电脑中的某些应用程序的运行、更新、修改甚至卸载等,会弹出是否“允许或同意以及不允许或不同意”的询问框,这时你要根据具体情况进行相应操作,才能保证系统的正常运行,如果是电脑内你所知的应用程序运行而出现的询问框,你都可以选择“允许或同意”,并在询问框下方的“以后都按此方法处理”前面的小方框中打上小勾,这样当下次再运行此程序时,询问框将不会再出现。
注意事项
1.防火墙实现了你的安全政策
2.一个防火墙在许多时候并不是一个单一的设备
3.防火墙并不是现成的随时获得的产品
4.防火墙并不会解决你所有的问题
5.使用默认的策略。
正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。
但是新的漏洞每天都出现,关闭不安全的服务意味着一场持续的战争。
6.有条件的妥协,而不是轻易的。
7.使用分层手段。
并在一个地点以来单一的设备。
使用多个安全层来避免某个失误造成对你关心的问题的侵害。
8.只安装你所需要的。
作为防火墙一部分的机器必须保持最小的安装。
9.使用可以获得的所有资源
10.只相信你能确定的
11.不断的重新评价决定。
更改你的防火墙,就像搬新家一样,需要明显的努力和仔细的计划。
12.防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行,现在病毒发展迅速,而且品种繁多,防为墙不可能全部都能阻拦,所以要加强自身的安全防护。
五、实现远程访问的安全性
随着信息化办公的普及,远程访问的需求也水涨船高。
越来越多的学校,已经不再只满足于信息化系统只能够在学校内部使用。
由于员工出差、客户要求访问等原因,近几年远程访问的热度不断升高。
一些远程访问工具,也纷纷面世。
如电子邮件、FTP、远程桌面等工具为流离在外的学校员工,提供了访问学校内部网络资源的渠道。
但是,毋庸置疑的,对学校内部网络资源的远程访问增加了学校网络的脆弱性,产生了许多安全隐患。
因为大多数提供远程访问的应用程序本身并不具备内在的安全策略,也没有提供独立的安全鉴别机制。
或者说,需要依靠其他的安全策略,如IPSec技术或者访问控制列表来保障其安全性。
所以,远程访问增加了学校内部网络被攻击的风险。
笔者在这里试图对常见的远程入侵方式进行分析总结,跟大家一起来提高远程访问的安全性。
(一)提高远程访问的安全性
一是只需要知道用户名与口令,就可以开始一个远程控制会话。
也就是说,远程控制软件只会根据用户名与密码来进行身份验证。
所以,如果在一些关键服务器上装有远程控制软件,最好能够采取一些额外的安全措施。
如Windows服务器平台上有一个安全策略,可以设置只允许一些特定的MAC地址的主机可以远程连接到服务器上。
通过这种策略,可以让只有网络管理人员的主机才能够进行远程控制。
无疑这个策略可以大大提高远程控制的安全性。
二是采用一些安全性比较高的远程控制软件。
一些比较成熟的远程控制软件,如PCAnyWhere,其除了远程控制的基本功能之外,还提供了一些身份验证方式以供管理员选择。
管理员可以根据安全性需求的不同,选择合适的身份验证方式。
另外,其还具有加强的审计与日志功能,可以翔实的纪录远程控制所做的一些更改与访问的一些数据。
当我们安全管理人员怀疑远程控制被入侵者利用时,则可以通过这些日志来查询是否有入侵者侵入。
三是除非有特殊的必要,否则不要装或者开启远程控制软件。
即使采取了一些安全措施,其安全隐患仍然存在。
为此,除非特别需要,才开启远程控制软件。
如笔者平时的时候,都会把一些应用服务器的远程控制软件关掉。
而只有在笔者出差或者休假的时候,才会把他们开起来,以备不时之需。
这么处理虽然有点麻烦,但是可以提高关键应用服务器的安全。
这点麻烦还是值得的。
(二)针对特定服务攻击的防范
针对一些特定服务的攻击,如HTTP服务、FTP服务,比较难于防范。
但是,并不是一点对策都没有。
采取一些有效的防治措施,仍然可以在很大程度上避免远程访问的入侵。
如采取如下措施,可以起到一些不错的效果。
1、是采用一些更加安全的服务。
就拿WEB服务器来说吧。
现在支持WEB服务器的协议主要有两种,分别为HTTP与HTTPS。
其中HTTP协议的漏洞很多,很容易被入侵者利用,成为远程入侵学校内部网络的跳板。
而HTTPS则相对来说安全的多。
因为在这个协议中,加入了一些安全措施,如数据加密技术等等。
在一定程度上可以提高WEB服务器的安全性。
所以,网络安全人员在必要的时候,可以采用一些比较安全的协议。
2、是对应用服务器进行升级。
其实,很多远程服务攻击,往往都是因为应用服务器的漏洞所造成的。
如常见的WEB服务攻击,就是HTTP协议与操作系统漏洞一起所产生的后果。
如果能够及时对应用服务器操作系统进行升级,把操作系统的漏洞及时补上去,那么就可以提高这些服务的安全性,防治他们被不法之人所入侵。
3、是可以选择一些有身份鉴别功能的服务。
如TFTP、FTP都是用来进行文件传输的协议。
可以让学校内部用户与外部访问者之间建立一个文件共享的桥梁。
可是这两个服务虽然
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园 网络 实施方案