資源描述:
《網(wǎng)絡(luò)安全方案設(shè)計(jì)》由會(huì)員上傳分享�����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)���。
1、第一章校園網(wǎng)安全隱患分析1.1校園內(nèi)網(wǎng)安全分析1.1.1BUG影響目前使用的軟件尤其是操作系統(tǒng)或多或少都存在安全漏洞,對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅?,F(xiàn)在網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有UNIX、WindowsNTP2000���、Linux等,這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不同,UNIX因其技術(shù)較復(fù)雜通常會(huì)導(dǎo)致一些高級(jí)黑客對(duì)其進(jìn)行攻擊;而WindowsNTP2000操作系統(tǒng)由于得到了廣泛的普及,加上其自身安全漏洞較多,因此,導(dǎo)致它成為較不安全的操作系統(tǒng)�。在去年一段時(shí)期����、沖擊波病毒比較盛行,沖擊波”這個(gè)利用微軟RPC漏洞進(jìn)行傳播的蠕蟲病毒至少攻擊了全球80%的
2、Windows用戶,使他們的計(jì)算機(jī)無(wú)法工作并反復(fù)重啟,該病毒還引發(fā)了DoS攻擊,使多個(gè)國(guó)家的互聯(lián)網(wǎng)也受到相當(dāng)影響�。1.1.2設(shè)備物理安全設(shè)備物理安全主要是指對(duì)網(wǎng)絡(luò)硬件設(shè)備的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器��、交換機(jī)��、集線器��、路由器����、工作站���、電源等,它們分布在整個(gè)校園內(nèi),管理起來(lái)非常困難。個(gè)別人可能出于各種目的,有意或無(wú)意地?fù)p壞設(shè)備,這樣會(huì)造成校園網(wǎng)絡(luò)全部或部分癱瘓���。1.1.3設(shè)備配置安全設(shè)備配置安全是指在設(shè)備上要進(jìn)行必要的一些設(shè)置(如服務(wù)器���、交換機(jī)、防火墻����、路由器的密碼等),防止黑客取得硬件設(shè)備的控制權(quán)。許多網(wǎng)管往往由于沒有在服務(wù)器�����、路由
3��、器��、防火墻或可網(wǎng)管的交換機(jī)上設(shè)置必要的密碼或密碼設(shè)置得過(guò)于簡(jiǎn)單易猜,導(dǎo)致一些略懂或精通網(wǎng)絡(luò)設(shè)備管理技術(shù)的人員可以通過(guò)網(wǎng)絡(luò)輕易取得對(duì)服務(wù)器��、交換機(jī)����、路由器或防火墻等網(wǎng)絡(luò)設(shè)備的控制權(quán),然后肆意更改這些設(shè)備的配置,嚴(yán)重時(shí)甚至?xí)?dǎo)致整個(gè)校園網(wǎng)絡(luò)癱瘓。1.1.4管理漏洞一個(gè)健全的安全體系,實(shí)際上應(yīng)該體現(xiàn)的是“三分技術(shù)���、七分管理”,網(wǎng)絡(luò)的整體安全不是僅僅依賴使用各種技術(shù)先進(jìn)的安全設(shè)備就可以實(shí)現(xiàn)的,更重要的是體現(xiàn)在對(duì)人�、對(duì)設(shè)備的安全管理以及一套行之有效的安全管理制度,尤其重要的是加強(qiáng)對(duì)內(nèi)部人員的管理和約束,由于內(nèi)部人員對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)����、模式都比較
4、了解,若不加強(qiáng)管理,一但有人出于某種目的破壞網(wǎng)絡(luò),后果將不堪設(shè)想���。IP地址盜用��、濫用是校園網(wǎng)必須加強(qiáng)管理的方面,特別是學(xué)生區(qū)���、機(jī)房等。IP配置不當(dāng)也會(huì)造成部分區(qū)域網(wǎng)絡(luò)不通�����。如在學(xué)生學(xué)習(xí)機(jī)房,有學(xué)生不甚將自己的計(jì)算機(jī)的IP地址設(shè)成本網(wǎng)段的網(wǎng)關(guān)地址,這會(huì)導(dǎo)致整個(gè)學(xué)生機(jī)房無(wú)法正常訪問(wèn)外網(wǎng)��。1.1.5無(wú)線局域網(wǎng)的安全威脅利用WLAN進(jìn)行通信必須具有較高的通信保密能力�����。對(duì)于現(xiàn)有的WLAN產(chǎn)品,它的安全隱患主要有以下幾點(diǎn):l未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)由于無(wú)線局域網(wǎng)的開放式訪問(wèn)方式�,非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源,不僅會(huì)占用寶貴的無(wú)線信道資
5��、源�����,增加帶寬費(fèi)用�,還會(huì)降低合法用戶的服務(wù)質(zhì)量。l地址欺騙和會(huì)話攔截目前有很多種無(wú)線局域網(wǎng)的安全技術(shù)�,包括物理地址(MAC)過(guò)濾、服務(wù)集標(biāo)識(shí)符(SSID)匹配���、有線對(duì)等保密(WEP)����、端口訪問(wèn)控制技術(shù)(IEEE802.1x)��、WPA?(Wi-FiProtectedAccess)�、IEEE802.11i等���。面對(duì)如此多的安全技術(shù)����,應(yīng)該選擇哪些技術(shù)來(lái)解決無(wú)線局域網(wǎng)的安全問(wèn)題,才能滿足用戶對(duì)安全性的要求��。在無(wú)線環(huán)境中�����,非法用戶通過(guò)偵聽等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比有線環(huán)境中要容易得多��,這些合法的MAC地址可以被用來(lái)進(jìn)行惡意攻擊����。另
6、外���,由于IEEE802.11沒有對(duì)AP身份進(jìn)行認(rèn)證����,攻擊者很容易裝扮成合法AP進(jìn)入網(wǎng)絡(luò)���,并進(jìn)一步獲取合法用戶的鑒別身份信息�����,通過(guò)會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵���。這些合法的MAC地址可以被用來(lái)進(jìn)行惡意攻擊���。另外,由于IEEE802.11沒有對(duì)AP身份進(jìn)行認(rèn)證�,攻擊者很容易裝扮成合法AP進(jìn)入網(wǎng)絡(luò),并進(jìn)一步獲取合法用戶的鑒別身份信息�����,通過(guò)會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵��。一旦攻擊者侵入無(wú)線網(wǎng)絡(luò)����,它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。多數(shù)學(xué)校部署的WLAN都在防火墻之后�,這樣WLAN的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞,只要攻破無(wú)線網(wǎng)絡(luò)���,整個(gè)網(wǎng)絡(luò)就將暴露在非法用
7���、戶面前。1.2校園外網(wǎng)安全分析1.2.1黑客攻擊有的校園網(wǎng)同時(shí)與CERNET��、Internet相連,有的通過(guò)CERNET與Internet相連,在享受Internet方便快捷的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn)�。黑客攻擊活動(dòng)日益猖獗,成為當(dāng)今社會(huì)關(guān)注的焦點(diǎn)。典型的黑客攻擊有入侵系統(tǒng)攻擊�����、欺騙攻擊�����、拒絕服務(wù)攻擊�、對(duì)防火墻的攻擊、木馬程序攻擊�、后門攻擊等。黑客攻擊不僅來(lái)自校園網(wǎng)外部,還有相當(dāng)一部分來(lái)自校園網(wǎng)內(nèi)部,由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,因此來(lái)自內(nèi)部的安全威脅會(huì)更大一些�����。1.2.2不良信息傳播在校園網(wǎng)接入Interne
8�、t后,師生都可以通過(guò)校園網(wǎng)絡(luò)進(jìn)入Internet。目前Internet上各種信息良莠不齊,其中有些不良信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī),對(duì)人生觀�����、世界觀正在形成中的學(xué)生危害非常大。特別是中小學(xué)生,由于年齡小,分辨是非和抵御干擾能力較差,如果不采取切實(shí)可行安全
