校园网络安全专业技术与策略毕业论文.docx
天津电子信息职业技术学院毕业论文 题目 校园网络安全技术与策略 姓 名 专业班级 指导教师 三完成时间2017年1月天津电子信息职业技术学院 制2017.1摘要:信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处,然而计算机信息技术也和其他技术一样是一把双刃剑。当大部分人们实用信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用信息技术却做着相反得事。他们非法入侵他人的计算机系统窃取机密信息、篡改和破壶数据,给社会造成难以估计的巨大损失。据统计全球约20秒钟就有一次计算机入侵事件发生,Internet上的网络防火墙约1/4被突破,约70%以上的网络信息主管人员报告机密信息泄露而收到了损失。网络安全是一个关系国家安全和主权、社会的稳定、民主文化的继承和发扬的重要问题,网络安全涉及到计算机科学、网络技术通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种科学。关键字: 网络安全,安全防范,校园网,防火墙,入侵检测,Telnet,TCSEC,P2DR目录一 概述1二 网络安全概述22.1 网络安全发展与历史现状分析2 2.1.1 因特网的发展及其安全问题2 2.1.2 校园网络面临的安全问题32.2 网络安全含义42.3 网络安全属性52.4 网络安全机制52.4.1 网络安全技术机制52.4.2 网络安全管理机制52.5 网络安全策略52.5.1 网络安全策略的分类52.5.2网络安全策略的配置6三 网络安全问题解决对策63.1 计算机安全级别划分63.1.1 TCSEC简介63.1.2 GB17859划分的特点63.1.3 安全等级标准模型73.2 防火墙技术73.2.1 防火墙的基本概念和作用73.2.2 防火墙的分类83.2.3 防火墙的工作原理83.3 入侵检测技术83.3.1入侵检测系统83.3.2入侵检测系分类83.3.3入侵检测系83.3.4代理(Agent)技术83.3.5入侵检测与防火墙实现联动83.4 数据加密技术83.4.1数据加密原理83.4.2对称密钥体系93.4.3非对称密钥体系103.4.4数据信封技术11四 网络安全防范114.1Telnet入侵防范114.2防止Administrator账号被破解124.3防止账号被暴力破解134.4“木马” 防范134.4.1“木马”的概述134.4.2“木马”的防范措施144.5网页恶意代码及其防范144.5.1恶意代码的威胁分类144.5.2恶意代码154.5.3恶意代码的防范措施154.6嗅探器(Sineffer)的防范164.6.1嗅探器工作原理164.6.2嗅探器检测与防范164.7 数据密文防范措施174.8 其他网络攻击与防范措施174.8.1源Ip地址欺骗攻击174.8.2源路由欺骗攻击174.8.3拒绝服务器攻击及预防措施18五 校园网络安全体系185.1 校园网络安全规范195.2 校园网络安全建议195.2.1校园网络状况分析195.2.2校园网络安全目标205.3 校园网络信息安全技术应用205.3.1数据备份方法205.3.2防火墙技术205.3.3入侵检测技术205.4 校园网络安全隐患215.5 校园网络主动和防御体系225.5.1P2DR模型225.5.2校园网络安全防范体系245.5.3完善安全制度与管理25六结论26致谢28参考文献29一 概述互联网的各种安全威胁时刻影响着校园网的运行和管理,加强校园网的安全管理是当前重要任务。校园网是学校信息系统的核心,必须建立有效的网络安全防范体系保证网络应用的安全。校园网面临着一系列的安全问题,受到来自外部和内部的攻击(如病毒困扰,非授权访问等)。目前国内许多高校存在校区分散的状况,各校区间通信的安全连接还存在问题。但一般的校园网安全方案存在安全手段单一的问题,大多只是简单地采用防火墙等有限措施来保护网络安全。而这些措施往往存在很大的局限性,它们不能覆盖实现整个校园网安全的各个层次、各个方位,这样的网络系统就存在很多的安全隐患。比如缺乏强健的认证、授权和访问控制等,往往使攻击者有机可乘;管理员无法了解网络的漏洞和可能发生的攻击。传统的被动式抵御方式只能等待入侵者的攻击,而缺乏主动防范的功能:对于已经或正在发生的攻击缺乏有效的追查手段;对从网络进入的病毒等无法控制等,除此以外大多用户安全意识都很淡薄,这些都是我们需要注意和解决的安全问题。本文以“实事求是”的指导思想为原则,从计算机网络面临的各种安全威胁,系统地介绍网络安全技术。并针对校园网络的安全问题进行研究,首先分析了高校网络系统安全的隐患,然后从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略。本次论文研究中,我首先了解了网络安全问题的主要威胁因素,并利用网络安全知识对安全问题进行剖析。其次,通过对网络技术的研究,得出校园网也会面临着安全上的威胁。最后,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。二 网络安全概述2.1 网络安全发展与历史现状分析2.1.1因特网的发展及其安全问题随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。主要表现在以下方面:1网络的开放带来的安全问题Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略、管理和技术被研究和应用。然而,即使在使用了现有的安全工具和技术的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以包括为以下几点:(1)安全机制在特定条件下并非万无一失(2)安全工具的使用受到人为因素的影响(3)系统的后门是难以考虑的地方(4)BUG难以防范(5)黑客的攻击手段在不断升级2网络的安全的防护力脆弱,导致的网络危机(1)Warroon Research调查根据Warroon Research的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入。(2)FBI统计据美国FBI统计,美国每年因网络安全造成的损失高达75亿美元。 (3)Ernst和Young报告Ernst和Young报告,由于信息安全被窃或滥用,几乎80%的大型企业遭受损失。(4)最近一次黑客攻击最近一次黑客大规模的攻击行动中,雅虎网站的网络停止运行3小时,这令它损失了几百万美金的交易。而据统计在这整个行动中美国经济共损失了十多亿美金。由于业界人心惶惶,亚马逊(A)、AOL、雅虎(Yahoo)、Ebay的股价均告下挫,以科技股为主的那斯达克指数(Nasdaq)打破过去连续三天创下新高的升势,下挫了六十三点,杜琼斯工业平均指数周三收市时也跌了二百五十八点。3网络安全的主要威胁因素(1)软件漏洞每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。(2)配置不当安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。(3)安全意识不强用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(4)病毒目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。(5)黑客对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(Backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。2.1.2 校园网络面临的安全问题其它网络一样,校园网也会受到相应的威胁,大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说包括:1非法授权问题即对网络设备及信息资源进行非正常使用或越权使用等。2冒充合法用户即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。3破会数据的完整性即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。4干扰系统运行指改变系统的正常运行方法,减慢系统的响应时间等手段。5病毒与恶意的攻击即通过网络传播病毒或进行恶意攻击。除此之外,校园网还面对形形色色、良莠不分的网络资源,如不进行识别和过滤,那么会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题。许多校园网是从局域网发展来的,由于意识与资金方面的原因,它们在安全方面往往没有太多的设置,这就给病毒和黑客提供了生存的空间。因此,校园网的网络安全需求是全方位的。2.2 网络安全含义网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断1。且在不同环境和应用中又不同的解释。1.运行系统安全即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。2.网上信息系统的安全包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。3.网上信息传输的安全即信息传播后果的安全、包括信息过滤、不良信息过滤等。4.网上信息内容的安全即我们讨论的狭义的“信息安全”;侧重于保护信息的机密性、真实性和完整性。本质上是保护用户的利益和隐私。2.3 网络安全属性网络安全具有三个基本的属性:机密性、完整性、可用性。2.4 网络安全机制网络安全机制是保护网络信息安全所采用的措施,所有的安全机制都是针对某些潜在的安全威胁而设计的,可以根据实际情况单独或组合使用。如何在有限的投入下合理地使用安全机制,以便尽可能地降低安全风险,是值得讨论的,网络信息安全机制应包括:技术机制和管理机制两方面的内容。2.5 网络安全策略策略通常是一般性的规范,只提出相应的重点,而不确切地说明如何达到所要的结果,因此策略属于安全技术规范的最高一级。安全策略的实现涉及到以下及个主要方面,如图2-1所示图 2-1 安全策略实现流程三 网络安全问题解决对策3.1 计算机安全级别划分3.1.1 TCSEC简介1999年9月13日国家质量技术监督局公布了我国第一部关于计算机信息系统安全等级划分的标准“计算机信息系统安全保护等级划分准则”(GB17859-1999)。而国外同标准的是美国国防部在1985年12月公布的可信计算机系统评价标准TCSEC(又称桔皮书)。在TCSEC划分了7个安全等级:D级、C1级、C2级、B1级、B2级、B3级和A1级。其中D级是没有安全机制的级别,A1级是难以达到的安全级别,如表3-1所示表3-1网络安全等级及安全级别的性能要求安全级别名 称说明D1酌情安全保护对硬件和操作系统几乎无保护,对信息的访问无控制C1自选安全保护由用户注册名和口令的组合来确定用户对信息的访问权限B1被标签的安全性保护为强制性访问控制,不允许文件的拥有者改变其许可权限B2结构化保护要求对计算机中所有信息加以标签,并且对设备分配单个或多个安全级别B3安全域保护使用安全硬件的方法来加强域的管理终端与系统的连接途径可信任A核实保护系统不同来源必须有安全措施必须在销售过程中实施3.1.2 GB17859划分的特点GB17859把计算机信息安全保护能力划分为5个等级,它们是:系统自我保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这5个级别的安全强度从低到高排列让高一级包括低一级的安全能力,如表3-2所示。表3-2 GB17859的划分标准安全能力一级二级三级四级五级自主访问控制强制访问控制标记身份鉴别客体重用审计数据完整隐蔽信道分析注: “”:新增功能;“”:比上一级功能又所扩展;“”:与上一级功能相同。3.1.3 安全等级标准模型计算机信息系统的安全模型主要又访问监控器模型、军用安全模仿和信息流模型等三类模型,它们是定义计算机信息系统安全等级划分标准的依据。3.2 防火墙技术随着网络安全问题日益严重,网络安全技术和产品也被人们逐渐重视起来,防火墙作为最早出现的网络安全技术和使用量最大的网络安全产品,受到用户和研发机构的亲睐。3.2.1 防火墙的基本概念和作用防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它执行预先制定的访问控制策略,决定了网络外部与网络内部的访问方式。在网络中,防火墙实际是一种隔离技术,它所执行的隔离措施有:1拒绝未经授权的用户访问内部网和存取敏感数据2允许合法用户不受妨碍地访问网络资源(1)作为网络安全的屏障一个防火墙作为阻塞节点和控制节点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险,只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。(2)可以强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有的安全软件配置在防火墙上,体现集中安全管理更经济。(3)对网络存取和访问进行检测审计如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。(4)防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。(5)协议的支持支持具有因特网服务性的企业内部网络技术体系VPN。3.2.2 防火墙的分类防火墙的分类有很多种。根据受保护的对象,可以分为网络防火墙的单机防火墙;根据防火墙主要部分的形态,可以分为软件防火墙和硬件防火墙;根据防火墙使用的对象,可以分外企业防火墙和个人防火墙;根据防火墙检查数据包的位置,可以分外包过滤、防火墙应用代理防火墙和检测防火墙。3.3 数据加密技术数据机密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性,这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护。3.3.1数据加密原理 数据加密是通过某种函数进行变换,把正常数据包文(称为明文或明码)转换为密文(密码)。解密是指把密文还原成明文的过程。密码体制是指一个系统所采用基本工作方式以及它的两个基本构成要素,即加密/解密算法和密钥。密钥是一个数值,它和加密算法一起生成特别的密文。传统密码体制所用的加密密钥和解密密钥相同,称为对称密码体制。如果加密密钥和解密密钥不相同,则称为非对称密码体制,密钥可以看作是密码算法中的可变参数。从数学的角度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系。密码算法是相对稳定的,在这种意义上,可以把密码算法视为常量,而密钥则是一个变量。在设计加密系统中,加密算法是可以公开的,真正需要保密的是密钥,密钥本质是非常大的数,密钥大小用位表示。在公开密钥加密方法中,密钥越大密文就越安全。利用密码技术,在信源和通信信道之间对报文进行加密,经过信道传输,到信宿接收时进行解密,以实现网络通信保密,加密与解密过程如图3-5所示加密过程解密过程明文 密文 密文 明文图3-5加密与解密过程常加密算法为:C=Ek(M)。其中,K为密钥,M为明文,C为密文;E为加密算法,密文C是明文M使用密钥K经过加密算法计算后的结果。加密算法可以公开,而密钥只能由通信双方来掌握。3.3.2对称密钥体系在对称型密钥体系中,加密和解密采用同一密钥,故将这种体系称为对称密钥体系,如图3-6所示图3-6对称密钥体系的加密与解密在对称密码体系中,最为著名的是DES分组算法,DES将二进制序列明文分为每64位一组,使用64位的密钥,对64位二进制数进行分组加密,每轮产生一个48位的“每轮”密钥值,并参与下一轮的加密过程,经过16轮的迭代、乘积变换、压缩等处理后产生64位密文数据,DES加密过程如图3-7所示。64位数据明文加密处理64位数据块密文64位数据块密文加密处理64位数据块密文56位密钥48位每轮密钥48位每轮密钥第一轮加密第十六轮加密图3-7 DES加密过程3.3.3非对称密钥体系非对称加密技术将加密和解密分开并采用一对不同的密钥进行。其工作原理如图3-8所示。图3-8 非对称密钥体系的加密与解密RSA算法的原理是数论的欧拉原理:寻求两个大的素数容易,将它们的乘积分解开及其困难,具体做法是:选择两个100位的十进制大素数p和q,计算出它们的积N=pq,将N公开;再计算出N的欧拉函数,(N)=(p-1)*(q-1),定义(N)为小于等于N且与N互素的数个数;然后,用户从0, (N)-1 中任选一个与(N)互素的数e,同时根据下式计算出另一个数d: ed=1 mod(N)这样就产生了一对密钥:pk=(e,N),sk=(d,N).若用整数X表示明文,Y表示密文,则有,加密:Y= Xe modN;解密:X=Ye modN。3.3.4数据信封技术数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码称之为数字信封。信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,再利用对称密码解密所得到的信息,这样就保证了数据传输的真实性和完整性,如图3-9所示。图3-9 数据信封技术计算机病毒就是能够通过某种途径潜伏在计算机存储介质里,当达到某种条件时,即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。随着计算机技术的发展尤其是网络技术的普及,计算机病毒进入了一个新的阶段-网络四 网络安全防范4.1Telnet入侵防范Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话,必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。telnet可能是黑客常用的攻击方式,我们可以通过修改telnet服务端口,停用telnet服务,甚至把telnet控制台管理工具删除。具体方法如下:通过修改telnet端口来防止黑客轻易入侵在命令提示符窗口中输入 Tlntadmn config port=168命令,回车后即可将telnet端口修改成168,如图4-1所示图4-1 修改telnet服务端口如果将telnet的最大连接数设为0,这样就可以让一般的黑客豪无办法,设置方法同上。如果根本不需要telnet,完全可以把它删掉,因为该服务实在是太危险了,直接把系统安装目录中的system32中的Tlntadmn.exe删除掉,这样黑客想用telnet入侵就会非常困难了7 。4.2防止Administrator账号被破解Windows 2000/xp/2003系统的Administrator账号是不能被停用的,也不能设置安全策略,这样黑客就可以一遍又一遍地尝试这个账号的密码,直到被破解,为了防止这种侵入,我们可以把Administrator账号更名:在“组策略”窗口中,依次展开“本地计算机策略”/“计算机配置”/“windows设置”/“安全设置”/“本地策略”/“安全选项”功能分支。重命名系统管理员帐户“属性”对话框,在此输入新的管理员名称,尽量把它为普通用户,然后另建一个超过10位的超级复杂密码,并对该账号启用审核,这样即使黑客费力破解到密码也杀一无所获。另外为了防止黑客通过Guest账号登录计算机,可以在“组策略”中删除Guest账号。4.3防止账号被暴力破解黑空攻击入侵大部分利用漏洞,通过提升管力员权限,这一切都跟账号紧密相连。防范方法:通过修改注册表来禁用空用户连接。在注编辑器找HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA,在其窗口新建一个名为RestrictAnonymous的DWORD值将其设为1,如图4-2所示图4-2 禁用空用户连接4.4“木马” 防范4.4.1“木马”的概述特洛伊木马是一种隐藏了具有攻击性的应用程序。与病毒不同,它不具备复制能力,其功能具有破坏性。大部分“木马”采用C/S运行模式,当服务端在目标计算机上被运行后,打开一个特定的端口进行监听,当客户端向服务器发出连接请求时,服务器端相应程序会自动运行来应答客户机的请求,如表4-1所示。表4-1 C/S型木马结构1、端口打开并监听2、受并运行命令3、运行并将信息返回客户端1、首先发起连接2、连接成功后发出命令3、接受返回信息3.4.4数据信封技术4.4.2“木马”的防范措施1检查系统配置应用程序在“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏和任务管理器中隐藏自己,即将程序设为“系统服务”来伪装自己,“木马”会在每次服务端启动时自动装载到系统中,如:启动组,win.ini,system.ini,注册表等。比如在“开始”-“运行”输入msconfig,执行windows自带“系统配置应用程序”。在标签为win.ini文件中,在windows下面“run=”和“ load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有。在system.ini文件中,在BOOT下面有个“shell:文件名”正确的文件名应该是“explorer.exe”如果不是“explorer.exe”,而是“shell: explorer.exe程序名”,那么后面跟着的那个程序就是“木马”了8。2查看注册表regedHKEY_LOCAL_MACHINEsoftwareMicrosoftwindowscurrent versionrun目录下查看键值有设有自己不熟悉的自动启动文件,扩展名为:“.exe”。3查找“木马”的特征文件“木马”的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个文件,“木马”就不起作用了,但是需要注意的是sysexlpr.exe是和文本文件关联的,在删除时,必须先把文本文件跟notepod关联上,否则不能使用文本文件。4.5网页恶意代码及其防范4.5.1恶意代码的威胁分类1消耗系统资源不断地利用CPU的利用率,使计算机不能处理其他的进程,导致系统和网络资源瘫痪。这类病毒大都是利用JavaScrit产生的一个死循环,它可以在有恶意的网站中出现,也可以被当作邮件发给用户,当用户打开html,vbs附件时,屏幕会出现无数个浏览器窗口,最后不得不重启。2非法向用户硬盘写入文件3IE泄露利用IE漏洞,网页可以读取客户机的文件,就可以从中获得用户账号和密码。4利用邮件非法安装木马4.5.2恶意代码在html中利用死循环原理,交叉显示耀眼的光线,如果继续插入编写的一段代码,扩大恶意程度,那么IE将无法使用。4.5.3恶意代码的防范措施1运行IE时点击“工具Internet选项安全 Internet区域的安全级别”,把安全级别由“中”改为“高”。网页恶意代码主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。如图4-3所示: 图4-3防范网页恶意代码2网页方面 网页恶意代码大多是在访问网站时候误下载和激活的,所以不要进入不信任的陌生网站,对于网页上的各种超级连接不要盲目去点击,若被强制安装恶意代码,一经发现立即删除,或者安装相应的恶意代码清除工具,或本机防火墙软件。4.6嗅探器(Sineffer)的防范Sniffer是一种常用的收集有用数据方法,这些数据可能是用户的帐号和密码,可能是一些商用机密数据,等等。它可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义:Sniffer是利用计算机的网络接口截获其他计算机的数据报文的一种工具。4.6.1嗅探器工作原理Sniffer要捕获的东西必须是要物理信号能收到的报文信息,只要通知网卡接收其收到的所有包,在共享HUB下就能接收到这个网络的所有包,但是交换HUB下就只能是自己的包加上广播包,Sniffer工作在网络环境中的底层,它会拦截所有正在网络上传递的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处理的网络状态和整体布局,值得注意的是,Sniffer是极其安静的,它是一种消极的安全攻击。Sniffer在功能和设计方面有很多不同,有些只能分析一种协议,而另一些可能能够分析几百种协议,一般情况下,大多数的嗅探器至少能够分析以下的协议:标准以太网,TCP/IP,IPX,DECNET。4.6.2嗅探器检测与防范1对于可能存在的网络监听监测对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址ping,运行监听程序的机器会有响应,这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但如果它的Ipstack不再发反向检查的话,就会响应。2向网上发大量不存在的物理地址包由于监听程序要分析和处理大量的数据包会占用很多的资源,会导致系统性能下降,通过比较前后该机器性能加以判断,这种办法难度较大。3使用反监听工具如Antisniffer等进行检测对于网络监听的防范措施有:(1)从逻辑或物理上对网络分段(2)以交换式HUB代替共享式HUB(3)使用加密技术(4)划分VLAN(虚拟局域网)4.7 数据密文防范措施在前面的一章中我们已经介绍了数据加密和隐藏技术,在保密系统中,信道中传播的是加密后的消息,即密文,采用截获密文进行分析的攻击称为被动攻击,采用删除、更改、增添、重放、伪造等手段向系统注入假消息并进行分析的攻击称为主动攻击。对此,我们必须采用有效的加密解密的程序来防止密文泄露,可以通过c语言来实现的加密和解密。4.8 其他网络攻击与防范措施4.8.1源Ip地址欺骗攻击许多应用程序认为如果数据包能使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提。要防止源IP地址的欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:1抛弃基于地址的信任策略2使用加密方法3进行包过滤4.8.2源路由欺骗攻击在通常情况下,信息包从起点到终点走过的路径是由位于此两点间的路由器决定的,数据包本身只知道去行何处,但不知道该如何去源路由可使信息包的发送者将此数据包要经过胡路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。为了防范源路由欺骗攻击,一般采用下面两种措施:1方法一对付这种攻击最好的办法是配置好路由器使它抛弃那些由外部网进来的却声称是内部主机的报文。2方法二在路由器上关闭源路由,用命令 no ip source-route。4.8.3拒绝服务器攻击及预防措施在拒绝服务攻击中,攻击中加载过多的服务将对方资源全部耗尽,使得没有多余资源供其他用户使用,SYN Flood攻击是典型的拒绝服务攻击。为了防止拒绝服务攻击,我们可以采取以下预防措施1对方信息淹没攻击我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP进行带宽限制,控制其在一定的范围内。2防止SYN数据段攻击应对系统设定相应的内核参数,使得系统强制对超时的SYN请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包3配置调整建议在网段的路由器上做起配置的调整,这些调整包括限制SYN半公开数据包的流量和广数。4TCP拦截建议在路由器的前端做必要胡TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入网段。五 校园网络安全体系通过以上对网络攻击分析和防范的设计,校园网络也会面临同样的威胁,所以我们在知道网络功防基础上应该构筑校园网络安全体系,要从两个方面着手:一是采用一定的技术;二是不断改进管理方法。从技术角度看,目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由等,这些技术对防止非法入侵系统起到了一定的防御作用。防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中9。5.1 校园网络安全规范在校园网的需求来讲,校园的网络安全是指利用各种网络监控和管理技术措施,对网络系统的硬件、软件及系统中的数据资源实施保护,使其不会因为一些不利因素而遭到破坏,从而保证网络系统连续、安全、可靠地运行。校园网分为内部网和互联网两部分,技术上采用虚拟网管理。一般用户不提供与internet直接相连,需要直接连接的用户应向校园网管理委员会提出申请,获准后由网络中心分配IP地址并提供相应的入网软硬件,具有直接连接权限的用户应与校园网管中心签定保密协议书,并自觉接受网络安全员的检查。学校网络中心负责网络设备的运行管理,信息中心负责网络资源,用户帐户肯安全管理,系统管理员口令绝对保密,根据用户需求严格控制,合理分配用户权限。网络用户口令应经常更新,防杀病毒软件本身无毒,向学生开放的教学实验室应禁止使用软驱和光驱,以杜绝病毒的传播。校园网络信息系统以自行开发为主,系统软件应对访问权限严格限制,对不同操作人员,不同信息的内容需按等级分设口令。学校信息系统采用客户/服务器结构,数据由网络信息中心及网络管理部门进行定期备份,对备份后的数据应有专人保管,确保发生意外情况时能及时恢复系统运行,加强监督管理工作,使用过程中的重要信息记录要保存到事故文件中,以便掌握使用情况,发生可疑现象,及时追查安全事故责任。5.2 校园网络安全建议5.2.1校园网络状况分析1资源分布和分布式系统 校园网络可向网络用户提供:域名服务(DNS),电子邮件服务(E-mail),远程登录(telnet),文件传输服务(ftp),电子广告牌,BBS,电子新闻,WWW以及信息收集,存储,交换,检索等服务。2网络结构的划分整个网络是由各网络中心,和园区内部网络通过各种通信方式互联而成的,所有网络可归纳为由连接子网、公共子网、服务子网、内部网四个部分组成。这四部分组成一个独立单位的局域网,然后通过广域连接与其他网络连接。5.2.2校园网络安全目标 为了增加网络安全性,必须地信息资源加以保护,对服务资源加以控制管理。1信息资源(1)公众信息即不需要访问控制。(2)敏感信息即需要验证身份和传输加密。(3)内部信息即需要身份验证以及根据根据身份进行访问控制。2服务资源内部服务资源、公众服务资源内部服务资源:面向已知客户,管理和控制内部用户对信息资源的访问。公众服务资源:面向匿名客户,防止和抵御外来的攻击。5.3 校园网络信息安全技术应用 5.3.1数据备份方法需求分析的基本任务:确定系统的目标和范围,调查用户的需求,分析系统必须做什么,编写需求规格说明书等其它相关文档,以及需求工程审查。同时还包括需求变更的控制。1逻辑备份逻辑备份也可以称作“基于文件的备份”。每个文件都是由不同的逻辑块组成的,每个逻辑块存储在连续的物理磁盘块上,基于文件的备份系统能识别文件结构,并拷贝所有的文件和目录到备份资源上。系统顺序读取每个文件的物理块,然后备份软件连续地将文件写入到备份介质上,从而使得每个单独文件的恢复变得更快。2物理备份物理又称“基于块的备份”或“基于设备的备份”,其在拷贝磁盘块到备份介质上时忽略文件结构,从而提高备份的性能。因为备份软件在执行过程中,花费在搜索操作上的开销很少。3完全备份完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份,这是一种最基本,也是最简单的备份方式。这种备份方式的好处就是很直观,容易理解。如果在备份间隔期间出现数据丢失等问题,可以只使用一份备份文件快速地恢复所丢失的数据。4增量备份为了解决上述完全备份的两个缺点,出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作以来新创建或者更新过的数据。因为在特定的时间段内只有少量的文件发生改变,没有重复的备份数据,因此既节省空间,又缩短了备份的时间。因而这种备份方法