【《校园网络安全体系设计与实施》7300字（论文）】.docx

《【《校园网络安全体系设计与实施》7300字（论文）】.docx》由会员分享，可在线阅读，更多相关《【《校园网络安全体系设计与实施》7300字（论文）】.docx（9页珍藏版）》请在优知文库上搜索。

1、校园网络安全体系设计与实施目录校园网络安全体系设计与实施1引言13 .校园网络安全体系设计方案23.1 安全管理平台23.2 网络结构33.3 3操作系统节点43.4 应用访问控制系统53.5 安全管理系统54 .校园网络安全体系实施方案61 .1校园校园网络安全的关键问题64 .2提高校园校园网安全性的有关对策7结束语9参考文献9摘要：校园校园网作为Intemet网络最重要的组成部分，承担着新技术的应用和推广职能。随着教育体制的逐步完善，近几年校园得到了空前的发展。校园内各种管理系统、电子数据等都依托于校园校园网。但校园网以往的安全策略是以传统防火墙和防病毒软件构建的二层防护体系，在网络使用

2、之初安全策略基本可以满足需要。但随着网络攻击手段的提高，攻击者角色的不断变化，二层防护体系已经很难适应当前的校园网，网络安全的防护措施应朝着综合、立体、多维的体系发展。因此，在开展网络应用时，加强网络的安全保障显得越来越重要。本文概要地介绍了校园计算机网络安全以及计算机网络面临的主要威胁,，提出了相应的校园计算机网络安全管理措施。关键词：计算机；网络安全；防范；校园引言教育科研主干网CERNET的不断扩建与升级，标志着我国教育信息化建设进入了高速发展的阶段，至今已取得丰硕的成果。在我国东部及中部信息相对发达地区，校园的网络建设覆盖率达到95%以上，很多校园已开始对其校园网络进行改造升级。随着校

3、园网络的不断扩建和升级，网络规模日益庞大，网络管理的难度也越来越大，校园网络中的安全隐患也目前，校园网络存在的问题有：1、未经授权的访问校园网络，直接向计算机和移动设备接入内联网行为。经常使用的IP,IP和MAC映射表不一致。虽然这种现象不是这种入侵的非法暴力事件，但该方式的扩展可能导致内联网，内联网移植木马和机密信息被披露和其他严重后果。存在这种情况的主要原因是内部控制不严、使用措施不利和安全工作人员的认识不足。这种情况很难预防和控制。2、无线网络管理问题。随着无线网络的使用，不同的部门还未建立相应的管理制度，预防和控制技术3、IP地址盗用。主要的非法接入互联网的方式对正常用户的权利网络，网

4、络计费，网络安全和网络运营一个巨大的负面影响，所以要解决IP地址盗用成为一个紧迫的问题。设计并在防止未经授权的访问控制子系统为下一步的行动网络实现更先进的网络是实现一个更先进的网络管理功能提供了理论和实践基础。知识产权盗窃对许多形式的非法访问，主要有以下几种常见的：他们没有自己的配送系统的IP地址配置；修订在为合法用户的IP地址和MAC地址，发送和接收数据包的IP地址修改。3.校园网络安全体系设计方案校园网络安全管理体系是一套由软件和硬件联动的解决方案，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。旨在通过身份验证、主机健康性保障、网络安全性保障等多重角度，对内网用户进

5、行有效的管理。通过这一系列措施，实现内网用户身份的合法化，上网主机安全状况的健康化，网络通信的安全化以及用户网络访问行为的规范化。1 .1安全管理平台安全管理平台以下几个主要部分构成:一套由软件和硬件联动的解决方案。安全策略管理中心安全策略管理中心，是校园网络安全管理方案的可选组件，当校园网络安全管理方案需要采用分布式部署的时候，安全策略管理中心服务器需要部署在总部。通过安全策略管理中心服务器，管理整个集团的用户的身份信息、主机信息、网络信息、软件信息等多种信息，更重要的是，管理员可以通过安全策略管理中心系统，来给整个集团的用户制定个性化的安全策略，来保障整个集团在安全策略方面的高度统一，以实

6、现统一的管理操作。同时安全策略管理中心系统还可以通过权限下发的方式，将管理权下放给分支机构的安全管理平台服务器，由分支机构自行管理，而在网管中心只通过安全策略管理中心进行信息的同步和收集。安全管理中心安全管理中心是校园网络安全管理解决方案的大脑、司令官，统领着所有校园网络安全管理解决方案的组成部分。在安全管理平台上，保存着用户的身份信息，用户在正式接入网络之前，需要在安全管理平台服务器上通过认证，以保障用户身份的合法性。同时.，安全管理平台跟安全客户端联动来获取入网PC的安全现状，从而制定出对应的安全修补策略并通过安全客户端下发到PC上来完成主机完整性的管理。在网络安全管理方面，安全管理平台跟

7、入侵检测设备（入侵检测设备）进行联动，对发起攻击的攻击源进行有效的处理，并对被攻击的对象进行必要的修复，实现了对网络攻击的有效管理，同时通过与安全网关和安全智能交换机的配合，还能有效的防范目前流行的A即攻击。安全事件解析器安全客户端安全客户端是一个界面友好的PC端客户端，它的作用是跟安全管理平台配合实现用户的身份认证和主机完整性检查、安全策略的下发，并在发生安全事件时接收安全管理平台发来的处理策略，来对主机进行响应的处理。同时.，通过与安全网关和安全管理平台的配合，还是主机端防范A即病毒的利器。如何能够将校园网内所有的网络设备（路由器、交换机、防火墙、工DS等）有效加以整合，实现对各种网络安全

8、资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，提升网络的可控制、可管理性，提高网络安全的水平；如何保证所有接入校园网的网络终端设备（用户PC、服务器等）是安全可信的；只有保证每一台网络终端设备的安全才能确保校园网整体的安全，做到无懈可击；因此，构建一个统一的安全管理平台，用以实现对校园网内所有网络设备的统一管理和调配，确保接入校园网的所有网络终端设备的安全可信，是在现有网络安全防御体系的基础上发展建立的新的网络安全防御体系。3 .2网络结构将校园网络划分成用户区（标记、也可成为资源区）、网络通信区、区域边界、三级安全管理中心和资源服务区5个部分。首先建立模型。以模型为基础

9、为主体和客体做标记，按照主体和客体的访问规则实施操作系统下的强制访问控制，并向边界扩展，增强相应审计能力、数据保密性和数据完整性保密能力。对相似网络有借鉴意义。总体结构流程是通过前面从物理安全、网络安全、主机安全、应用安全及数据安全等方面的分析，得出结论：采用技术手段和安全管理制度措施，能够满足校园网络信息安全的需求，达到等保三级的要求。同时，随着国家标准的变更和安全技术的不断发展,高网络需不断变更完善。（1）操作系统节点系统：此系统对windows操作系统进行安全增强，增加标记、强制访问控制等安全功能。同时可以加强身份鉴别的安全性，实现系统的连接交互结构化。为整体系统的安全提供有效支撑，使其

10、满足GB17859的三级要求。（2）安全区域边界系统：此系统对通过的信息进行安全检查，增强其强制访问控制功能，确保安全保护环境的安全性不会受到破坏。（3）安全通信网络系统：此系统安全系统间的信息流进行封闭保护，使之不被非法窃听和篡改。用 户 硬 U 盘 登 录网络通信 安全可靠传输跨域安全管理图2各系统之间的逻辑关系3.3操作系统节点三级网络体系的安全核心是强制访问控制，TCB实施的访问控制由安全操作系统来实施。安全标记与强制访问控制以安全标记为核心，将自主访问控制与强制访问控制相结合，满足等级保护三级的安全要求。校园网络环境下的操作系统普遍为windows操作系统。安全的操作系统可以认为是网

11、络信息系统的安全的核心。GB17859规范了三级计算机系统应具备的安全功能。本文的操作系统节点系统的具体功能要求如下。（1）强制访问控制：三级windows操作系统需要能够保护信息系统的保密性及完整性。能够控制进程对文件的所有操作，并且此机制永久有效。（2）标记：三级windows操作系统要对系统中的进程及文档进行全程标记，提供实体保密性级别、完整性级别。标记对象还包括用户。（3）身份鉴别：三级windows操作系统应有基于可信硬件的身份鉴别机制，可以通过安全的机制将身份与权限绑定。（4）审计：三级windows操作系统对系统中所有违反安全策略的操作进行审计。记录的事件包括用户登录、客体的创建

12、、删除、安全管理员、安全审计员、系统操作员、以及其他用户的与安全密切相关的行为，具体还要满足GB17859中三级系统的审计规范要求O（5）数据完整性：三级windows操作系统通过自主和强制完整性策略阻止非法用户修改或破坏敏感信息。3.4 应用访问控制系统此系统为应用系统提供强制访问控制保护。根据三级标准的要求，需要具有如下功能：（1）安全标记：为主体和客体分配安全标记，包括实体的保密级别和范畴集。标记对象为使用应用系统的所有用户。确保主体客体范畴集统一。（2）强制访问控制：实施符合BLP模型的的安全策略，确保强制访问机制始终有效，不会被旁路。（3）身份鉴别：对等级保护系统中的用户身份使用系统

13、保护机制来鉴别用户，阻止非法用户访问，保护合法用户数据信息。（4）授权访问：参照用户和资源信息，为用户授予访问的权限，形成自主访问控制表，作为访问控制的判断依据。（5）审计：对用户登录、安全标记的分配和修改、系统管理操作、访问控制决策过程和结果等记录、存档。此系统的结构包括：身份鉴别模块、安全标记模块、访问控制模块、审计模块。其中，身份鉴别通过用户信息与统一管理的登录应用系统的用户身份信息对比来鉴别是否合法。访问控制是查询当前主客体的安全标记是否符合BLP模型要求，由应用系统根据其是否具有访问其请求资源的权限而实施操作。3.5 安全管理系统此系统对校园网络信息系统中的终端、边界控制、网络通信安

14、全集中统一管理，包括管理用户、标记对象安全等级和范畴、自主等级访问控制策略、等级改变策略等，为三级信息系统提供基础保障。三级安全管理系统主要由安全标记管理模块、策略管理模块及授权管理组成。图3安全管理系统组成结构首先对接收的安全标记请求，发给授权机构审批，通过后标记管理会对信息进行必要的验证并报告安全管理员，管理员批准后更新策略服务器中的安全标记列表。最后全局更新此标记。策略请求处理接收到用户的授权请求，会发送给授权机构审批，通过后再经策略请求处理将其发送给授权管理模块，此模块验证授权请求信息，保证用户授权符合全局规则，并通知策略服务器更新用户授权列表。最后全局更新此列表。4.校园网络安全体系

15、实施方案4.1 校园校园网络安全的关键问题通过各指标合成权重的排序可以看出，校园校园网安全性的关键问题主要集中于以下几个方面：（1）组织机构的健全以及应急预案的制定严格规范的网络管理是保证校园网络安全、提高网络运行效益的重要手段之一，是防止网络内部入侵的有效措施。校园校园网管理是一项复杂的系统工程，因此，必须成立专门的校园网络管理部门，配备专门的网络安全管理人员，制定完善而实用的紧急情况处理预案。（2）病毒防范措施随着计算机技术和网络技术的发展，计算机病毒的种类越来越多，周期越来越短，威胁也越来越大。近年来，多起恶性病毒的大规模发作对许多校园校园网都造成了极大的危害。因此，不论是对于网络管理人

16、员，还是对于用户来说，计算机病毒的防范都是一项长期而艰巨的任务。（3）用户身份鉴别用户身份鉴别对于校园校园网来说是非常重要的。试想，如果学生通过非法连接或盗取帐号等手段登录了教务管理系统，并擅自篡改了学生的成绩，那将会带来很严重的后果。因此，应对用户的口令进行严格审查并用工具来检查口令是否妥当，以确保只有合法身份的用户才能与之建立连接。（4）信息传输安全校园网的信息传输安全面临着非常严峻的挑战，例如如何保证帐号、密码、个人信息、教学信息等重要数据在信息传输过程中不被非法盗用、篡改和破坏，这些都是校园网信息传输要解决的安全问题。因此，需要对传输的保密信息进行加密和签名，以确保只有合法的用户才能接收，并保证信息传输的保密性、完整性、可