版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、<p> 管理學(xué)學(xué)士學(xué)位論文(設(shè)計(jì))</p><p> 題目:校園局域網(wǎng)安全設(shè)計(jì)</p><p><b> 摘要</b></p><p> 進(jìn)入21世紀(jì),隨著互聯(lián)網(wǎng)的飛速發(fā)展,各大高校也都相繼建立了自己的校內(nèi)和校外網(wǎng)絡(luò),網(wǎng)絡(luò)的普及在給高校提高工作效率的同時(shí),也帶了安全方面的隱患。如何確保校園網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行,是校園網(wǎng)建設(shè)中必
2、須解決的問(wèn)題。校園網(wǎng)作為高校重要的基礎(chǔ)設(shè)施,擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等多重角色。校園網(wǎng)安全狀況直接影響著學(xué)校的教學(xué)活動(dòng)。在網(wǎng)絡(luò)建成的初期,安全問(wèn)題可能還不明顯,但隨著應(yīng)用的深入,校園網(wǎng)上的各種數(shù)據(jù)會(huì)急劇增加,各種各樣的安全問(wèn)題開(kāi)始困擾我們。本文通過(guò)從校園網(wǎng)內(nèi)網(wǎng)安全現(xiàn)狀和外網(wǎng)安全現(xiàn)狀兩個(gè)方面進(jìn)行了網(wǎng)絡(luò)安全方案的分析,從物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、無(wú)線局域網(wǎng)等方面實(shí)現(xiàn)了校園網(wǎng)的安全部署,并對(duì)部分部署用模擬器進(jìn)行模擬實(shí)現(xiàn)。<
3、/p><p> 關(guān)鍵詞:校園網(wǎng) 網(wǎng)絡(luò)安全 設(shè)計(jì) 模擬 </p><p><b> Abstract</b></p><p> Entering 21st century.The spread of the network can improve work
4、 efficiency in universities.At the same time,it also brings potential safety problems.The major problem in campus network construction&
5、#160;is to how to ensure that campus network operates stably and safely.As an important fundamental facility ,campus network plays
6、 multiple roles such as school teaching,scientific researching,management and exchange with foreigners.The safe condition of campus network&
7、#160;directly influences teaching activit</p><p> Keywords: Campus Network Network Security Design Simulate </p><p><b> 目錄</b></p><p><b>
8、摘要I</b></p><p> AbstractII</p><p><b> 第一章 緒論1</b></p><p> 1.1研究背景及意義1</p><p> 1.2網(wǎng)絡(luò)安全設(shè)計(jì)基礎(chǔ)1</p><p> 第二章 校園網(wǎng)安全威脅8</p>&
9、lt;p> 2.1校園內(nèi)網(wǎng)安全分析8</p><p> 2.2校園外網(wǎng)安全分析9</p><p> 第三章 設(shè)計(jì)簡(jiǎn)介及設(shè)計(jì)方案11</p><p> 3.1設(shè)計(jì)簡(jiǎn)介11</p><p> 3.2設(shè)計(jì)方案11</p><p> 第四章 物理層安全設(shè)計(jì)方案13</p><
10、;p> 4.1設(shè)備和線路冗余13</p><p> 4.2網(wǎng)絡(luò)中心機(jī)房與賬戶安全管理15</p><p> 4.3數(shù)據(jù)安全管理16</p><p> 第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案19</p><p> 5.1加密技術(shù)19</p><p> 5.2 MAC地址綁定21</p>
11、<p> 5.3 VLAN網(wǎng)段劃分23</p><p> 第六章 網(wǎng)絡(luò)層安全設(shè)計(jì)方案25</p><p> 6.1防火墻的分類25</p><p> 6.2 網(wǎng)絡(luò)中的三個(gè)安全區(qū)域26</p><p> 6.3典型防火墻系統(tǒng)設(shè)置27</p><p> 第七章 WLAN安全設(shè)計(jì)方案
12、32</p><p> 7.1無(wú)線局域網(wǎng)的特點(diǎn)32</p><p> 7.2無(wú)線局域網(wǎng)的整體安全32</p><p> 7.3無(wú)線網(wǎng)絡(luò)安全措施32</p><p> 第八章 各層次設(shè)計(jì)解決方案配置40</p><p> 8.1 Packet Tracer模擬環(huán)境簡(jiǎn)介40</p>&l
13、t;p> 8.2 鏈路冗余與負(fù)載均衡解決方案模擬42</p><p> 8.3 MAC地址綁定解決方案模擬44</p><p> 8.4 VLAN劃分解決方案模擬47</p><p> 8.5防火墻NAT轉(zhuǎn)換解決方案模擬49</p><p> 8.6 防火墻訪問(wèn)控制列表解決方案模擬52</p><
14、p> 8.7 WLAN配置解決方案模擬56</p><p><b> 總結(jié)59</b></p><p><b> 致謝60</b></p><p><b> 參考文獻(xiàn)61</b></p><p><b> 附錄62</b><
15、/p><p> 附錄A:各解決方案源碼62</p><p> 附錄B:中文原文68</p><p> 附錄C:英文翻譯71</p><p><b> 第一章 緒論</b></p><p> 1.1研究背景及意義</p><p><b> 1.1.1
16、研究背景</b></p><p> 隨著網(wǎng)絡(luò)的全面發(fā)展和普及,網(wǎng)絡(luò)安全已成為當(dāng)今IT領(lǐng)域中最熱門的話題,同樣也是校園網(wǎng)管理最頭疼的一個(gè)領(lǐng)域。因?yàn)榫W(wǎng)絡(luò)安全事故可能隨時(shí)發(fā)生,并且其災(zāi)難后果也難以預(yù)測(cè),就像我們生活中的交通事故一樣?,F(xiàn)在的網(wǎng)絡(luò)安全問(wèn)題不再僅是幾個(gè)計(jì)算機(jī)病毒那么簡(jiǎn)單。以前的計(jì)算機(jī)保護(hù)系統(tǒng)安全策略保護(hù)策略早已不能滿足現(xiàn)在的網(wǎng)絡(luò)安全需求。因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)安全已經(jīng)自成系統(tǒng),不再是網(wǎng)絡(luò)的一個(gè)可有可無(wú)的
17、附屬品,已成為計(jì)算機(jī)網(wǎng)絡(luò)中必不可少的一個(gè)組成部分。為此,本文主要是針對(duì)校園網(wǎng)絡(luò)安全當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀提出多種解決方案,創(chuàng)建一個(gè)穩(wěn)健運(yùn)行的校園安全網(wǎng)絡(luò)。</p><p> 1.1.2目的及意義</p><p> 網(wǎng)絡(luò)安全保護(hù)的最終目的是預(yù)防各種各樣的非法入侵、網(wǎng)絡(luò)訪問(wèn)和網(wǎng)絡(luò)攻擊。但是因?yàn)榉欠ㄈ肭?、訪問(wèn)和攻擊的方式、角度,或者途徑可能各不相同所以才會(huì)有基于各種不同角度和不同層次的安全防火技
18、術(shù)和方案。校園局域網(wǎng)網(wǎng)建設(shè)是一項(xiàng)綜合性非常強(qiáng)的系統(tǒng)工程,它包括了網(wǎng)絡(luò)系統(tǒng)的總體規(guī)劃、硬件的選型配置、系統(tǒng)管理軟件的應(yīng)用以及人員培訓(xùn)等諸多方面。因此在校園網(wǎng)的建設(shè)工作中必須處理好實(shí)用與發(fā)展、建設(shè)與管理、使用與培訓(xùn)等關(guān)系,從而使校園網(wǎng)的建設(shè)工作健康穩(wěn)定地開(kāi)展。本文的主要就是針對(duì)總體建設(shè)中涉及的安全問(wèn)題進(jìn)行分析與規(guī)劃設(shè)計(jì),最后并對(duì)大部分解決方案進(jìn)行模擬實(shí)現(xiàn)。健全的安全體系不僅為校園網(wǎng)今后的維護(hù)減少了不必要的麻煩,而且對(duì)因?yàn)榘踩珕?wèn)題而造成的損失
19、也減少了不必要的開(kāi)支。</p><p> 1.2網(wǎng)絡(luò)安全設(shè)計(jì)基礎(chǔ)</p><p> 1.2.1網(wǎng)絡(luò)安全的發(fā)展</p><p> 網(wǎng)絡(luò)安全的大戰(zhàn)與網(wǎng)絡(luò)技術(shù)的發(fā)展幾乎是同步的。最早的網(wǎng)絡(luò)是由連接啞鈴終端到中央服務(wù)器的串行點(diǎn)到點(diǎn)線路構(gòu)成的。要突破這樣的簡(jiǎn)單系統(tǒng),只需要獲得對(duì)終端或串行終端口的物理訪問(wèn)權(quán)限即可。這時(shí)的網(wǎng)絡(luò)安全主要體現(xiàn)在物理安全機(jī)制上。為了增加用戶訪問(wèn)的
20、靈活性,后來(lái)在串行端口上增加調(diào)制調(diào)解器(MODEM),這使得用戶和攻擊者都可以從電話線路到達(dá)任何地方進(jìn)行訪問(wèn)。他們主要通過(guò)撥號(hào)式掃描方式尋找應(yīng)答MODEM,從而獲得未授權(quán)訪問(wèn)的機(jī)會(huì)。試試的系統(tǒng)主要通過(guò)回?fù)芗夹g(shù)來(lái)保證的。</p><p> 在計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的初級(jí)階段,資源的共享成為了計(jì)算機(jī)網(wǎng)絡(luò)的主要功能?;ヂ?lián)網(wǎng)誕生后,在計(jì)算機(jī)用戶能夠從單個(gè)系統(tǒng)交換和訪問(wèn)到大量外部網(wǎng)路上的共享信息的同時(shí),也為黑客敞開(kāi)了尋的攻擊機(jī)會(huì)
21、和攻擊方式。因此隨后出現(xiàn)了第一代防火墻技術(shù),用它來(lái)從入口上確保外部網(wǎng)絡(luò)用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)的安全(因?yàn)榉阑饓Φ谋Wo(hù)原理就是“防外不防內(nèi)”)。但第一代防火墻技術(shù)只是基于兩臺(tái)過(guò)濾型路由器之間的堡壘主機(jī)在TCP/IP的網(wǎng)絡(luò)連接級(jí)提供保護(hù)?!氨局鳈C(jī)”就相當(dāng)于通信線路上設(shè)置的第一道關(guān)卡(在此以戰(zhàn)爭(zhēng)年代的“城堡”進(jìn)行類比),經(jīng)過(guò)這些主機(jī)的通信流都需要進(jìn)行各種特定的過(guò)濾,只有符合了相應(yīng)過(guò)濾條件的通信流才允許通過(guò)。</p><p&g
22、t; 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,“網(wǎng)絡(luò)安全防護(hù)”與病毒、攻擊網(wǎng)絡(luò)等似乎成了相輔相成的產(chǎn)業(yè),因?yàn)槠渲卸紶可娴骄薮蟮漠a(chǎn)業(yè)鏈和經(jīng)濟(jì)利益,使得網(wǎng)絡(luò)安全形勢(shì)更加嚴(yán)峻。在利益的驅(qū)動(dòng)下,入侵與反入侵、攻擊與反攻擊技術(shù)都得到了長(zhǎng)足的發(fā)展,攻擊技術(shù)和攻擊方式也變得越來(lái)越復(fù)雜,越來(lái)越隱蔽。因此也催生了以后的多代防火墻技術(shù),同時(shí)也誕生了許多其他網(wǎng)絡(luò)安全技術(shù)和設(shè)備,如入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)、入侵防御系統(tǒng)(
23、Intrusion Prevention System,IPS)和網(wǎng)絡(luò)隔離設(shè)備等。這時(shí)“網(wǎng)絡(luò)安全系統(tǒng)”的概念才逐漸在人們的腦海中形成,就像當(dāng)初由“計(jì)算機(jī)網(wǎng)絡(luò)”產(chǎn)生現(xiàn)在的“計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)”一樣。所以,“網(wǎng)絡(luò)安全系統(tǒng)”是從“網(wǎng)絡(luò)安全”發(fā)展而來(lái)的。</p><p> 1.2.2網(wǎng)絡(luò)安全的屬性</p><p> 從本質(zhì)上講,計(jì)算機(jī)網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)的信息安全。凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、
24、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全具有以下幾個(gè)基本屬性。</p><p><b> 可靠性</b></p><p> 可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下、規(guī)定時(shí)間內(nèi)完成規(guī)定功能的特性??煽啃允窍到y(tǒng)安全的基本要求之一,是所有網(wǎng)絡(luò)信息系統(tǒng)的基本目標(biāo)。</p><p><b> 保密性</b
25、></p><p> 保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)用戶、實(shí)體或供其利用的特性,即當(dāng)信息服務(wù)被使用,而不被泄露給非授權(quán)個(gè)人或?qū)嶓w。保密性是在可靠性和可用性基礎(chǔ)之上,保障網(wǎng)絡(luò)信息安全的重要手段。</p><p><b> 可用性</b></p><p> 可用性是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問(wèn)并按要求使用的特性,即當(dāng)信息服務(wù)被使用時(shí),允許
26、授權(quán)用戶或?qū)嶓w使用的特性,或者是網(wǎng)絡(luò)部分受損需要降級(jí)使用時(shí),仍能為授權(quán)用戶提供可用網(wǎng)絡(luò)服務(wù)的特性??捎眯允蔷W(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能重要體現(xiàn)。網(wǎng)絡(luò)信息系統(tǒng)最基本的功能是向用戶提供服務(wù),而用戶的需求是隨機(jī)的、多方面的、有時(shí)還有時(shí)間的需求。網(wǎng)絡(luò)信息系統(tǒng)的可用性一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來(lái)度量。</p><p> 可用性還應(yīng)該滿足以下要求:身份驗(yàn)證、訪問(wèn)控制、業(yè)務(wù)流控制、路由選擇控制、審計(jì)跟蹤。&l
27、t;/p><p><b> 完整性</b></p><p> 完整性是確保信息在傳輸過(guò)程中不被刪除、修改、偽造、亂序、重放、插入等破壞和丟失。完整性是一種面向信息安全的安全性,要求保持信息的原樣,即信息正確的生成、存儲(chǔ)和傳輸。完整性與保密性不同,保密性要求信息不被泄露給未授權(quán)的人,而完整性則要求信息不致受到各種原因的破壞。</p><p>&l
28、t;b> 可控性</b></p><p> 可控性是對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性,即網(wǎng)絡(luò)系統(tǒng)中的任何信息要在一定傳輸范圍和存放空間內(nèi)可控??煽匦宰钪匾捏w現(xiàn)是全局監(jiān)控、預(yù)警能力和應(yīng)急響應(yīng)處理能力。全局預(yù)警就是要建立全局性安全狀況收集系統(tǒng),對(duì)于新的安全漏洞和攻擊方法能及時(shí)了解,針對(duì)體系內(nèi)局部發(fā)生的安全入侵等事件響應(yīng)。</p><p><b> 不
29、可抵賴性</b></p><p> 不可抵賴性也稱不可否認(rèn)性,是指通信雙方在信息交互過(guò)程中,確保參與者本身以及參與者提供的信息的真實(shí)同一性,即所有參與者都不能否認(rèn)或抵賴本人的真實(shí)身份,以及提供信息的原樣性和完整的操作與承諾。</p><p> 1.2.3網(wǎng)絡(luò)信息安全威脅</p><p> 網(wǎng)絡(luò)安全保護(hù)的最終目的是預(yù)防各種各樣的非法入侵者、網(wǎng)絡(luò)訪問(wèn)和
30、網(wǎng)絡(luò)攻擊。但因?yàn)榉欠ㄈ肭帧⒃L問(wèn)和攻擊的攻擊。網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改,從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被其他人竊聽(tīng)或篡改等。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多,如有意的或無(wú)意的、人為的或非人為的等,外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用更是影響計(jì)算機(jī)網(wǎng)絡(luò)安全的重要因素。具體情況有以下幾種:</p><p><b> 人為的疏忽</b></p><p> 人為的疏忽包括
31、:失誤、失職、誤操作等。例如操作員安全配置不當(dāng)導(dǎo)致的安全漏洞,用戶安全意識(shí)不強(qiáng),用戶密碼選擇不慎,用戶講自己的賬號(hào)隨意轉(zhuǎn)借給他人或其他人共享等,都會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅。</p><p><b> 人為的惡意攻擊</b></p><p> 這是計(jì)算算計(jì)網(wǎng)絡(luò)所面臨的最大威脅,敵人的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊有可以分為主動(dòng)攻擊和被動(dòng)攻擊兩種方式。主動(dòng)攻擊是以
32、各種方式有選擇地破壞信息的有效性和完整性。被動(dòng)攻擊是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要的機(jī)密信息。這兩種攻擊均對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。</p><p><b> 網(wǎng)絡(luò)軟件的漏洞</b></p><p> 網(wǎng)絡(luò)軟件不可能無(wú)缺陷和漏洞,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過(guò)的黑客攻入網(wǎng)絡(luò)內(nèi)部的時(shí)間,大
33、多是由于安全措施不完善導(dǎo)致的。另外,軟件的隱秘通道都是軟件公司的設(shè)計(jì)編程人員為了自己方便而設(shè)置的,一般不為外人所知,但一旦隱秘通道被探知后果將不堪設(shè)想,這樣的軟件不能保證網(wǎng)絡(luò)的安全。</p><p><b> 非授權(quán)訪問(wèn)</b></p><p> 沒(méi)有預(yù)先經(jīng)過(guò)同意,就是用網(wǎng)絡(luò)或計(jì)算機(jī)資源被視為非授權(quán)訪問(wèn),如對(duì)網(wǎng)絡(luò)設(shè)備資源進(jìn)行非正常使用,擅自擴(kuò)大權(quán)限或越權(quán)訪問(wèn)信息等
34、。主要包括:假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作,合法用戶以未授權(quán)方式進(jìn)行操作等。</p><p><b> 信息泄露或丟失</b></p><p> 信息泄露或丟失是指敏感數(shù)據(jù)被有意或無(wú)意地泄露或丟失,通常包括:在傳輸中泄露或丟失,例如黑客們利用電磁泄露或搭線竊聽(tīng)等方式截獲機(jī)密信息,或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)分析,進(jìn)而截獲有用的信息
35、。</p><p><b> 破壞數(shù)據(jù)完整性</b></p><p> 破壞數(shù)據(jù)完整性是指以非法手段得到對(duì)數(shù)據(jù)信息的使用權(quán),刪除、修改、插入或重發(fā)某些重要信息,惡意添加、修改數(shù)據(jù),以干擾用戶的正常使用。</p><p> 1.2.4網(wǎng)絡(luò)信息安全機(jī)制</p><p> 網(wǎng)絡(luò)信息安全機(jī)制定義了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全服務(wù)的技
36、術(shù)措施,包括所使用的可能方法,主要是利用密碼算法對(duì)重要而敏感的數(shù)據(jù)進(jìn)行處理。網(wǎng)絡(luò)信息安全機(jī)制,通常包括以下八種。</p><p><b> 加密機(jī)制</b></p><p> 加密是提供數(shù)據(jù)保密性的基本方法,用加密方法和認(rèn)證機(jī)制相結(jié)合,可提供數(shù)據(jù)的保密性和完整性。加密形式可適用于OSI參考模型的不同層(會(huì)話層除外),加密機(jī)制還包括密鑰管理機(jī)制。</p>
37、<p><b> 數(shù)字簽名機(jī)制</b></p><p> 數(shù)字簽名是解決信息安全特殊問(wèn)題的一種方法,適用于通信雙方發(fā)生了下列情況的安全驗(yàn)證。在網(wǎng)絡(luò)通信中,數(shù)字簽名的安全性必須具有可證實(shí)性、不可否認(rèn)性、不可偽造性和不可重用性。</p><p><b> 訪問(wèn)控制機(jī)制</b></p><p> 訪問(wèn)控制是
38、指處理主體對(duì)客體訪問(wèn)的權(quán)限設(shè)置的合法性問(wèn)題,一個(gè)主體只能訪問(wèn)經(jīng)過(guò)授權(quán)使用的給定客體。否則,訪問(wèn)控制機(jī)制的審計(jì)跟蹤系統(tǒng)會(huì)自動(dòng)拒絕訪問(wèn),并給出時(shí)間報(bào)告的跟蹤審計(jì)信息。</p><p><b> 數(shù)據(jù)完整性機(jī)制</b></p><p> 數(shù)據(jù)完整性主要解決數(shù)據(jù)單元的完整性和數(shù)據(jù)單元序列的完整性。</p><p><b> ?、贁?shù)據(jù)安全完
39、整性:</b></p><p> 發(fā)送實(shí)體對(duì)數(shù)據(jù)單元加標(biāo)記識(shí)別,以作為數(shù)據(jù)本身的信息簽名函數(shù)(如Hash函數(shù)等)。接收實(shí)體將預(yù)先給定的驗(yàn)證標(biāo)記進(jìn)行比較,用以辨別接收結(jié)果的數(shù)據(jù)是否真實(shí)。</p><p> ?、跀?shù)據(jù)單元序列完整性:</p><p> 要求所有發(fā)送數(shù)據(jù)單元序列編號(hào)的連續(xù)性和時(shí)間標(biāo)記的正確性,以防止假冒、丟失、換包、重發(fā)、插入或修改數(shù)據(jù)序列
40、。</p><p><b> 鑒別交換機(jī)制</b></p><p> 鑒別交換式在通信進(jìn)程中,以雙方互換約定信息方式確認(rèn)實(shí)體身份機(jī)制。常用的方式有:口令鑒別確認(rèn)、數(shù)據(jù)加密確認(rèn)、通信中的“握手”協(xié)議、數(shù)字簽名和公證機(jī)構(gòu)辨認(rèn),以及利用實(shí)體的特征或所有權(quán)形式辨別(如語(yǔ)言、指紋、身份卡識(shí)別等)。</p><p><b> 通信業(yè)務(wù)填充機(jī)
41、制</b></p><p> 該機(jī)制的目的是對(duì)抗非法攻擊者在傳輸信道上監(jiān)聽(tīng)信息以及非法進(jìn)行流量和流向分析。對(duì)抗手段可以通過(guò)保密裝置,在無(wú)線傳輸時(shí)連續(xù)發(fā)出偽隨機(jī)序列,混淆非法者想要得到的有用信息。</p><p><b> 路由控制機(jī)制</b></p><p> 在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,路由控制機(jī)制在于引導(dǎo)信息發(fā)送者選擇代價(jià)小且安全
42、的特殊路徑,保證數(shù)據(jù)能由源點(diǎn)出發(fā),經(jīng)選擇路由,安全到達(dá)目標(biāo)節(jié)點(diǎn)。</p><p><b> 公證機(jī)制</b></p><p> 公正機(jī)制在于解決通信的矛盾雙方,因事故和信用危機(jī)導(dǎo)致責(zé)任問(wèn)題的公證仲裁,公正機(jī)制要設(shè)立的公證機(jī)構(gòu)是各方都信任的實(shí)體,專門提供第三方的證明手段,可以用于對(duì)信息源的發(fā)送時(shí)間、目的地、信息內(nèi)容和身份依據(jù)等進(jìn)行公證,提供基于可信第三方的不可抵賴服
43、務(wù)。</p><p> 1.2.5設(shè)計(jì)的基本原則</p><p> 任何人都不可能保證設(shè)計(jì)出絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng),即使是最大的軟件開(kāi)發(fā)商Microsoft也一樣,但是如果在設(shè)計(jì)之初就遵循一些原則,那么相應(yīng)網(wǎng)絡(luò)系統(tǒng)安全性就更加有保障了。如果設(shè)計(jì)時(shí)不全面考慮,消極地將安全措施寄托于事后“打補(bǔ)丁”是相當(dāng)?shù)奈kU(xiǎn)的,因?yàn)橐坏┏隽耸鹿?,損失可能是無(wú)法彌補(bǔ)的。根據(jù)防范安全攻擊需求、需要達(dá)到的安全目標(biāo)、
44、對(duì)應(yīng)安全機(jī)制所需的安全服務(wù)等因素,參照SSE-CMM(系統(tǒng)安全工程能力成熟度模型)和ISO17799(信息安全管理標(biāo)準(zhǔn))等國(guó)際標(biāo)準(zhǔn),綜合考慮實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面,網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)過(guò)程中應(yīng)遵循的十大原則。</p><p><b> 木桶原則</b></p><p> 大多數(shù)從事網(wǎng)絡(luò)的人員都知道這個(gè)原則,但是并沒(méi)有很好地去理解和執(zhí)行
45、?!澳就霸瓌t”就是為了保證網(wǎng)絡(luò)安全系統(tǒng)隊(duì)對(duì)所有方面均要求有一個(gè)適當(dāng)?shù)谋Wo(hù),而不是只強(qiáng)調(diào)某一方面的保護(hù)。因?yàn)闊o(wú)論是什么安全隱患導(dǎo)致的災(zāi)難,其結(jié)果可能都一樣,要么信息泄露,數(shù)據(jù)丟失、破壞,要么是服務(wù)器或者網(wǎng)絡(luò)癱瘓,無(wú)法正常工作。</p><p> “木桶原則”理論來(lái)自客觀事實(shí),那就是木桶的最大容積取決于最短的一塊木板。網(wǎng)路系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng),其本身在物理上、操作上、管理上和軟/硬件上都可能存在各種安全漏洞,
46、尤其校園網(wǎng)多用戶網(wǎng)絡(luò)系統(tǒng)本身的復(fù)雜性,資源共享性使單純的技術(shù)保護(hù)防不勝防。攻擊者使用“最易滲原則”,必然會(huì)對(duì)系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此,充分、全面、完整地對(duì)系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析、評(píng)估和檢測(cè)(包括模擬攻擊),是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。</p><p><b> 整體性原則</b></p><p> 整體性原則就是要在安全保護(hù)策略中全面包含安
47、全保護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)方案,而不是僅有預(yù)防,或者僅有監(jiān)測(cè),而沒(méi)有其他保護(hù)措施。網(wǎng)絡(luò)安全防護(hù)是需要一整套安全保護(hù)機(jī)制來(lái)保障的,這套機(jī)制就是:在沒(méi)有出現(xiàn)安全事故前要有預(yù)防和監(jiān)測(cè)機(jī)制,在出現(xiàn)了安全事故后要有補(bǔ)救機(jī)制。所有信息安全系統(tǒng)應(yīng)該包括3種機(jī)制:安全保護(hù)機(jī)制、安全監(jiān)測(cè)機(jī)制、安全恢復(fù)機(jī)制。安全保護(hù)機(jī)制是根據(jù)系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的保護(hù)措施,避免安全風(fēng)險(xiǎn)的發(fā)生;安全監(jiān)測(cè)機(jī)制是監(jiān)測(cè)系統(tǒng)的運(yùn)行情況,以及發(fā)生和制止對(duì)系統(tǒng)進(jìn)行的各種
48、入侵和攻擊行為;安全恢復(fù)機(jī)制是在安全保護(hù)機(jī)制和安全監(jiān)測(cè)機(jī)制都是失效的情況下。所采取的最后補(bǔ)救措施,以盡可能及時(shí)的恢復(fù)信息,減少以為災(zāi)難所帶來(lái)的損失。</p><p><b> 均衡性原則</b></p><p> 對(duì)于任何網(wǎng)絡(luò)而言,絕對(duì)的安全是不可能的達(dá)到的,所以要建立合理的得使用安全性與用戶需求評(píng)價(jià)、平衡體系。安全體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系,做到安
49、全性與可用性相融,使其更易執(zhí)行。這就要求我們?cè)谠O(shè)計(jì)安全策略時(shí),要全面地評(píng)估校園的實(shí)際安全需求等級(jí)以及學(xué)校的實(shí)際經(jīng)濟(jì)能力,尋找安全風(fēng)險(xiǎn)與實(shí)際需求之間的均衡點(diǎn)。當(dāng)然,我們知道,要真正評(píng)價(jià)評(píng)價(jià)一耳光這么大的網(wǎng)絡(luò)系統(tǒng)的安全性,并做到一個(gè)均衡點(diǎn),確實(shí)很難做到,只能從校園網(wǎng)用戶需求和具體網(wǎng)絡(luò)應(yīng)用環(huán)境出發(fā)進(jìn)行細(xì)致的分析。</p><p><b> 可行性原則</b></p><p&g
50、t; 每個(gè)校園網(wǎng)在網(wǎng)絡(luò)安全需求方面都有它的獨(dú)特性,對(duì)網(wǎng)絡(luò)安全系統(tǒng)的部署成本也有不同的承受能力。我們不能一味要求校園花代價(jià)來(lái)部署高安全性的防護(hù)系統(tǒng),而應(yīng)該結(jié)合該校園網(wǎng)的實(shí)際安全需求進(jìn)行綜合評(píng)價(jià)。其實(shí)這一原則與前面的“均衡性原則”類似,但側(cè)重點(diǎn)不同,前者側(cè)重于同一校園網(wǎng)角度來(lái)考慮,而后者是從整個(gè)行業(yè)的角度出發(fā)。雖然說(shuō)高檔的硬件防火墻產(chǎn)品可以實(shí)現(xiàn)更好的安全保護(hù),但它的價(jià)格往往是很多高校難以承受的。所以,在進(jìn)行網(wǎng)絡(luò)安全策略設(shè)計(jì)時(shí),一定要結(jié)合實(shí)
51、際安全等級(jí)要求和學(xué)校的經(jīng)濟(jì)能力來(lái)進(jìn)行綜合考慮。</p><p><b> 等級(jí)性原則</b></p><p> 這里所說(shuō)的等級(jí)是指安全層次和安全級(jí)別。良好的信息安全系統(tǒng)必然是分為不同等級(jí)的,包括對(duì)信息保密程度的分級(jí),對(duì)用戶操作權(quán)限的分級(jí),對(duì)網(wǎng)絡(luò)安全程度的分級(jí)(安全子網(wǎng)和安全區(qū)域),對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層)。針對(duì)不同級(jí)別的安全對(duì)象,提供全面、可
52、選的安全方法和安全體制,以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。</p><p><b> 一致性原則</b></p><p> 一致性原則主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全保護(hù)系統(tǒng)式一個(gè)龐大的系統(tǒng)工程,其安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn),只有這樣才能確保各個(gè)分系統(tǒng)的一致性,使整個(gè)系統(tǒng)
53、安全地互聯(lián)互通、信息共享。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等,都要有安全的內(nèi)容及措施。實(shí)際上,在網(wǎng)絡(luò)建設(shè)的開(kāi)始就考慮網(wǎng)絡(luò)安全對(duì)策,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,不但容易,且花費(fèi)也少得多。</p><p><b> 易操作性原則</b></p><p> 首先,安全措施是要人去完成,如果措施過(guò)于復(fù)雜,對(duì)人的要求過(guò)高,本身就降
54、低了安全性。其次,措施的采用不能影響系統(tǒng)的正常運(yùn)行。由于互聯(lián)網(wǎng)的開(kāi)放性和通信協(xié)議存在的安全缺陷,以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對(duì)其訪問(wèn)與處理的分布性特點(diǎn),在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞,網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重,因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實(shí)際上,保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項(xiàng)標(biāo)準(zhǔn)以形成合理的評(píng)估準(zhǔn)則,更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層級(jí)結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則,分析網(wǎng)絡(luò)的各個(gè)不安全環(huán)節(jié),
55、找到安全漏洞,做到有的放矢。</p><p> 技術(shù)與管理相結(jié)合原則</p><p> 安全保護(hù)體系是一個(gè)復(fù)雜的系統(tǒng)工程,涉及人力、技術(shù)、操作和管理等方面的因素,單靠技術(shù)和單靠管理都不可能實(shí)現(xiàn)。因此,必須將各種安全技術(shù)與運(yùn)用管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)結(jié)合起來(lái)全盤(pán)考慮。</p><p> 統(tǒng)籌規(guī)劃,分步實(shí)施原則</p>&l
56、t;p> 由于政策規(guī)定、服務(wù)需求的不明郎,以及隨著環(huán)境、條件、時(shí)間的變化,黑客所采用的攻擊也在不短更新,我們的安全保護(hù)策略不可能一步到位。因此要求我們?cè)诓渴鸢踩Wo(hù)策略時(shí)可以考慮先在一個(gè)比較全面的安全規(guī)劃下,根據(jù)網(wǎng)絡(luò)的實(shí)際需要建立基本的安全體系,保證基本的、必需的安全性,然后在隨著網(wǎng)絡(luò)的規(guī)模擴(kuò)大及應(yīng)用的增加,網(wǎng)絡(luò)應(yīng)用的復(fù)雜程度的變化,來(lái)調(diào)整或增強(qiáng)安全保護(hù)力度,以保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。</p><p&g
57、t;<b> 動(dòng)態(tài)發(fā)展原則</b></p><p> 在制定策略時(shí)要明確根據(jù)網(wǎng)絡(luò)的發(fā)展變化和企業(yè)的自身實(shí)力的增加,對(duì)安全系統(tǒng)進(jìn)行不斷地調(diào)整,以適應(yīng)新的網(wǎng)絡(luò)環(huán)境,滿足新的網(wǎng)絡(luò)安全需求。如可以采取更先進(jìn)的檢測(cè)和防御措施,增加安全冗余設(shè)備,提高安全系統(tǒng)的可用性。</p><p> 第二章 校園網(wǎng)安全威脅</p><p> 2.1校園內(nèi)網(wǎng)安全
58、分析</p><p> 2.1.1漏洞帶來(lái)的安全威脅</p><p> 各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件很多都是有缺陷和漏洞的,這些漏洞和缺陷正是黑客進(jìn)行攻擊的首選目標(biāo);現(xiàn)在網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有UNIX、Windows、Linux 等, 這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不同, UNIX因其技術(shù)較復(fù)雜通常可以避免一些簡(jiǎn)單的攻擊, 而Windows操作系統(tǒng)由于得到了廣泛的普及, 加上其自身安全漏
59、洞較多, 因此, 導(dǎo)致它成為較不安全的操作系統(tǒng)。</p><p> 2.1.2內(nèi)部潛在的攻擊</p><p> 互聯(lián)網(wǎng)的廣泛應(yīng)用,網(wǎng)上很多的病毒軟件被共享下載,而在校學(xué)生(特別是理工科的學(xué)生)帶有特定的目的,或者只是興趣和好奇心,去下載安裝 ,這樣就形成了一大批潛在內(nèi)部的攻擊者,對(duì)網(wǎng)絡(luò)進(jìn)行了攻擊。 </p><p> 2.1.3物理安全帶來(lái)的威脅</p&
60、gt;<p> 設(shè)備物理安全主要是指對(duì)網(wǎng)絡(luò)硬件設(shè)備的破壞。它們分布在整個(gè)校園內(nèi), 管理起來(lái)非常困難。。目前常見(jiàn)的不安全因素(安全威脅或安全風(fēng)險(xiǎn))包括三大類: </p><p> 自然災(zāi)害(如雷電、地震、火災(zāi)、水災(zāi)等),物理?yè)p壞(如硬盤(pán)損壞、設(shè)備使用壽命到期、外力破損等),設(shè)備故障(如停電斷電、電磁干擾等),意外事故。 </p><p> 電磁泄漏(如偵聽(tīng)微機(jī)操作過(guò)程)。
61、 </p><p> 操作失誤(如刪除文件,格式化硬盤(pán),線路拆除等),意外疏漏(如系統(tǒng)掉電、死機(jī)等系統(tǒng)崩潰)。</p><p> 2.1.4配置及管理漏洞</p><p> 配置漏洞主要是指服務(wù)器、防火墻、路由器、交換機(jī)配置時(shí)考慮不全面而造成一些漏洞(例如密碼太簡(jiǎn)單、ACL規(guī)則不完善等),導(dǎo)致一些略懂或精通網(wǎng)絡(luò)設(shè)備管理技術(shù)的人員可以通過(guò)網(wǎng)絡(luò)容易取得硬件設(shè)備的控
62、制權(quán),然后對(duì)其進(jìn)行適當(dāng)?shù)男薷?,整個(gè)網(wǎng)絡(luò)都在其的控制之下,嚴(yán)重時(shí)甚至?xí)?dǎo)致整個(gè)校園網(wǎng)絡(luò)癱瘓。一個(gè)健全的安全體系, 實(shí)際上應(yīng)該體現(xiàn)的是“三分技術(shù)、七分管理”, 網(wǎng)絡(luò)的整體安全不是僅僅依賴使用各種技術(shù)先進(jìn)的安全設(shè)備就可以實(shí)現(xiàn)的, 更重要的是體現(xiàn)在對(duì)人、對(duì)設(shè)備的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加強(qiáng)對(duì)內(nèi)部人員的管理和約束, </p><p> 2.1.5 無(wú)線局域網(wǎng)的安全威脅</p>
63、<p> 無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比只是在傳輸方式上有所不同,所有常規(guī)有線網(wǎng)絡(luò)存在的安全威脅在無(wú)線網(wǎng)絡(luò)中也存在,更重要的是無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比還存在一些特有的安全威脅,因?yàn)闊o(wú)線網(wǎng)絡(luò)是采用射頻技術(shù)進(jìn)行網(wǎng)絡(luò)連接及傳輸?shù)拈_(kāi)放式物理系統(tǒng)??傮w來(lái)說(shuō),無(wú)線網(wǎng)絡(luò)安全威脅主要表現(xiàn)下在以下幾個(gè)方面。</p><p> 信息重放:在沒(méi)有足夠的安全防范措施的情況下,是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊
64、行為,即使采用了VPN等保護(hù)措施也難以避免。中間人攻擊則對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙,進(jìn)而對(duì)信息進(jìn)行竊取和篡改。</p><p> WEP破解:現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序,能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包,收集到足夠的WEP弱密鑰加密的包,并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽(tīng)無(wú)線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無(wú)線主機(jī)數(shù)量,最快可以在十五分鐘攻破WEP密鑰。</p>&
65、lt;p> 網(wǎng)絡(luò)竊聽(tīng):一般說(shuō)來(lái),大多數(shù)網(wǎng)絡(luò)通信都是以明文(非加密)格式出現(xiàn)的,這就會(huì)使處于無(wú)線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解(讀取)通信。由于入侵者無(wú)需將竊聽(tīng)或分析設(shè)備物理地接入被竊聽(tīng)的網(wǎng)絡(luò),所以,這種無(wú)線網(wǎng)絡(luò)安全威脅已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問(wèn)題之一。</p><p> 假冒攻擊:某個(gè)實(shí)體假裝成另外一個(gè)實(shí)體訪問(wèn)無(wú)線網(wǎng)絡(luò),即所謂的假冒攻擊。這是侵入某個(gè)安全防線的最為通用的方法。在無(wú)線網(wǎng)絡(luò)中
66、,移動(dòng)站與網(wǎng)絡(luò)控制中心及其它移動(dòng)站之間不存在任何固定的物理鏈接,移動(dòng)站必須通過(guò)無(wú)線信道傳輸其身份信息,身份信息在無(wú)線信道中傳輸時(shí)可能被竊聽(tīng),當(dāng)攻擊者截獲一合法用戶的身份信息時(shí),可利用該用戶的身份侵入網(wǎng)絡(luò),這就是所謂的身份假冒攻擊。</p><p> MAC地址欺騙:通過(guò)網(wǎng)絡(luò)竊聽(tīng)工具獲取數(shù)據(jù),從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。</p>&l
67、t;p> 拒絕服務(wù):攻擊者可能對(duì)AP進(jìn)行泛洪攻擊,使AP拒絕服務(wù),這是一種后果最為嚴(yán)重的攻擊方式。此外,對(duì)移動(dòng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊,讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā),使其能源耗盡而不能繼續(xù)工作,通常也稱為能源消耗攻擊。</p><p> 2.2校園外網(wǎng)安全分析</p><p> 2.2.1惡意的網(wǎng)絡(luò)攻擊</p><p> 惡意的網(wǎng)絡(luò)攻擊是指利用黑
68、客技術(shù)對(duì)校園網(wǎng)絡(luò)系統(tǒng)或應(yīng)用服務(wù)器進(jìn)行破壞。主要體現(xiàn)在兩個(gè)方面:一是惡意的攻擊行為,如拒絕服務(wù)攻擊、網(wǎng)絡(luò)病毒等,這些行為旨在消耗服務(wù)器資源,影響服務(wù)器正常工作,甚至導(dǎo)致服務(wù)器所在網(wǎng)絡(luò)的癱瘓;另外一個(gè)就是惡意的入侵行為,如學(xué)校網(wǎng)站的主頁(yè)面進(jìn)行修改,利用學(xué)校的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法的信息,或者服務(wù)器重要信息被惡意破壞。</p><p> 2.2.2不良信息傳播</p><p> 在校園網(wǎng)接入
69、Internet 后, 師生都可以通過(guò)校園網(wǎng)絡(luò)進(jìn)入Internet 。目前Internet 上各種信息良莠不齊, 其中有些不良信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī), 對(duì)人生觀、世界觀正在形成中的學(xué)生危害非常大。特別是中小學(xué)生,由于年齡小, 分辨是非和抵御干擾能力較差, 如果不采取切實(shí)可行安全措施, 勢(shì)必會(huì)導(dǎo)致這些信息在校園內(nèi)傳播,侵蝕學(xué)生的心靈。</p><p><b> 2.2.3病毒危害</
70、b></p><p> 隨著校園內(nèi)計(jì)算機(jī)應(yīng)該的大范圍普及,接入校園網(wǎng)的節(jié)點(diǎn)數(shù)日益增多,而大多數(shù)節(jié)點(diǎn)都并沒(méi)有采取有效的安全防護(hù)措施,隨時(shí)都有可能感染病毒。計(jì)算機(jī)病毒能夠破壞網(wǎng)絡(luò)設(shè)備,破壞計(jì)算機(jī)系統(tǒng)軟件和文件系統(tǒng),木馬程序會(huì)導(dǎo)致信息泄漏,蠕蟲(chóng)類病毒則會(huì)導(dǎo)致網(wǎng)絡(luò)運(yùn)行效率下降甚至癱瘓,最重要的是病毒變種的不斷產(chǎn)生,防范起來(lái)非常困難。</p><p> 第三章 設(shè)計(jì)簡(jiǎn)介及設(shè)計(jì)方案<
71、/p><p><b> 3.1設(shè)計(jì)簡(jiǎn)介</b></p><p> 網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃是一個(gè)系統(tǒng)建立和優(yōu)化的過(guò)程,建設(shè)網(wǎng)絡(luò)的根本目的是在Internet上進(jìn)行資源共享與通信。要充分發(fā)揮投資網(wǎng)絡(luò)的效益,需求設(shè)計(jì)成為網(wǎng)絡(luò)規(guī)劃建設(shè)中的重要內(nèi)容,網(wǎng)絡(luò)平臺(tái)中主要有針對(duì)學(xué)校建筑群而設(shè)計(jì)出的拓?fù)鋱D,有互聯(lián)網(wǎng)設(shè)備(主交換機(jī)、路由器、二級(jí)交換機(jī)、服務(wù)器等)。校園內(nèi)部網(wǎng)絡(luò)采用共享或者交換式以
72、太網(wǎng),選擇中國(guó)科研教育網(wǎng)接入Internet,校際之間通過(guò)國(guó)際互聯(lián)網(wǎng)的方式互相連接。同時(shí)采取相應(yīng)的措施,確保通訊數(shù)據(jù)的安全、保密。</p><p> 圖3.1 總體設(shè)計(jì)概覽圖</p><p> Fig.3.1 An overview of the overall design of a figure</p><p> 另外為了防止這個(gè)校區(qū)內(nèi)病毒的傳播、感染和破
73、壞,我們?cè)谛@網(wǎng)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防毒措施,部署防毒組件,規(guī)劃如下:</p><p> 在校園邊界網(wǎng)絡(luò)安裝包過(guò)濾防火墻;在學(xué)校服務(wù)上安裝服務(wù)器端殺毒軟件;在行政、教學(xué)單位的各個(gè)分支分別安裝客戶端殺毒軟件;學(xué)校的網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作,分發(fā)殺毒軟件的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等)到校內(nèi)所有用機(jī),并對(duì)殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。</p><p>&l
74、t;b> 3.2設(shè)計(jì)方案</b></p><p> 根據(jù)校園內(nèi)外網(wǎng)的安全隱患分析,整體安全設(shè)計(jì)按照OSI/RM參考模型在各層對(duì)校園網(wǎng)進(jìn)行安全防護(hù)措施。如圖3.2所示。</p><p> 圖3.2 各層安全保護(hù)方案</p><p> Fig.3.2Each layer of security protection scheme</p&g
75、t;<p> 從上圖我們可以看出整體設(shè)從七層的角度進(jìn)行設(shè)計(jì),針對(duì)校園網(wǎng)的特殊情況,省略了一些沒(méi)有必要的安全設(shè)計(jì),減少成本的前提下同樣對(duì)校園網(wǎng)的安全保護(hù)。安全設(shè)計(jì)方案主要從物理層,數(shù)據(jù)鏈路層,網(wǎng)絡(luò)層和無(wú)線這幾個(gè)方面來(lái)進(jìn)行安全設(shè)計(jì)。</p><p> 物理層主要是從冗余(設(shè)備和線路)方面入手,配置高效穩(wěn)定的局域網(wǎng)運(yùn)行環(huán)境。</p><p> 數(shù)據(jù)鏈路層主要從MAC地址的綁定
76、,數(shù)據(jù)的加密以及VLAN的劃分分別來(lái)配置局域網(wǎng)安全。</p><p> 網(wǎng)絡(luò)層主要設(shè)置邊界防火墻和內(nèi)部防火墻來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。</p><p> 最后針對(duì)無(wú)線越來(lái)越主流,我們也進(jìn)行了無(wú)線網(wǎng)的安全設(shè)計(jì),主要從三種不同的使用狀態(tài)下進(jìn)行對(duì)應(yīng)的安全措施。</p><p> 第四章 物理層安全設(shè)計(jì)方案</p><p> 數(shù)據(jù)的存儲(chǔ)和傳輸,
77、整個(gè)網(wǎng)絡(luò)的連接基礎(chǔ)都是基于物理層的,物理層的安全重要性不言而喻。物理層是網(wǎng)絡(luò)構(gòu)建的基礎(chǔ),在許多行業(yè)或者許多具體應(yīng)用中,網(wǎng)絡(luò)物理層的安全保護(hù)也是非常必要的,特別是在WLAN網(wǎng)絡(luò)中。物理層的安全風(fēng)險(xiǎn)主要是指由于網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備。線路的不可用,或者網(wǎng)絡(luò)通信數(shù)據(jù)泄露,或者遭受非法入侵與攻擊。如設(shè)備被盜/被損。設(shè)備老化、意外故障、搭線竊聽(tīng)、電磁泄漏、賬戶被竊等都是物理層的安全隱患。而且物理層也的確有許多可以考慮和采用的安全保護(hù)
78、技術(shù)和方案,但是,物理層的安全設(shè)計(jì)卻經(jīng)常被忽略。</p><p> 針對(duì)校園局域網(wǎng)的特殊情況,因?yàn)槠浒踩枨罂隙](méi)有一些特殊行業(yè)(如金融、證券、保險(xiǎn)、軍事等)那般重要,但是要使網(wǎng)絡(luò)能夠穩(wěn)定地?zé)o故障地運(yùn)行,還必須從環(huán)境安全、設(shè)備安全和線路安全三方面進(jìn)行物理層的安全設(shè)計(jì)。</p><p> 4.1設(shè)備和線路冗余</p><p> 更好的設(shè)備都有可能出現(xiàn)故障,只是不
79、知道具體出現(xiàn)故障的時(shí)間,網(wǎng)絡(luò)設(shè)備一出現(xiàn)故障,就可能導(dǎo)致整個(gè)網(wǎng)絡(luò)線路出現(xiàn)故障。這時(shí)我們就可以通過(guò)簡(jiǎn)單的設(shè)備或線路冗余來(lái)實(shí)現(xiàn)來(lái)基于物理層的網(wǎng)絡(luò)安全保護(hù),通俗點(diǎn)說(shuō)就是提供備用的設(shè)備和線路。讓網(wǎng)絡(luò)在當(dāng)前運(yùn)行設(shè)備和線路出現(xiàn)故障時(shí),將自動(dòng)切換到備用的設(shè)備和線路上繼續(xù)正常運(yùn)行。</p><p> 4.1.1網(wǎng)絡(luò)設(shè)備部件冗余</p><p> 網(wǎng)絡(luò)設(shè)備冗余有以下幾個(gè)方面。</p><
80、;p><b> 電源與風(fēng)扇的冗余</b></p><p> 在服務(wù)器、交換機(jī)、路由器和防火墻的這些關(guān)鍵的網(wǎng)絡(luò)設(shè)備中,一般比較高檔的設(shè)備都有電源和風(fēng)扇的冗余,因?yàn)檫@兩個(gè)組件比較容易發(fā)生故障。這些冗余的組件時(shí)刻處于待命狀態(tài),一旦發(fā)生當(dāng)前正在和工作的相應(yīng)部件出現(xiàn)故障,則立即接替故障組件的工作繼續(xù)保持設(shè)備的正常運(yùn)行。下圖中圖4.1和4.2就分別是一臺(tái)服務(wù)器的兩個(gè)電源和一臺(tái)交換機(jī)上的兩個(gè)電源
81、。</p><p> 圖4.1電源冗余 圖4.2 冗余風(fēng)扇</p><p> Fig.4.1 Power redundancy Fig.4.2 Fan redundancy</p><p><b> 網(wǎng)卡冗余</b></p><p>
82、; 在服務(wù)器上,除了電源和風(fēng)扇可以冗余外,磁盤(pán)、網(wǎng)卡,甚至是CPU和內(nèi)存都是可以冗余的。網(wǎng)卡一般都是冗余在一些應(yīng)用服務(wù)器上,把服務(wù)器的地址同時(shí)綁定在兩塊網(wǎng)卡上,其中只啟動(dòng)一塊進(jìn)行工作,另一塊處于待命狀態(tài),當(dāng)原來(lái)工作的網(wǎng)卡出現(xiàn)故障時(shí),待命的網(wǎng)卡立即接替原來(lái)的網(wǎng)卡工作,保持服務(wù)器的網(wǎng)絡(luò)連接不中斷,外部用戶訪問(wèn)也就不會(huì)中斷。</p><p><b> 內(nèi)存冗余</b></p>&
83、lt;p> 在內(nèi)存冗余方面,目前主要有內(nèi)存鏡像和內(nèi)存熱備兩種技術(shù)。</p><p> 1)內(nèi)存熱備—Sparing </p><p> 進(jìn)行內(nèi)存熱備時(shí),做熱備份的內(nèi)存在正常情況下是不使用的,也就是說(shuō)系統(tǒng)是看不到這部分內(nèi)存容量的。每個(gè)內(nèi)存通道中有一個(gè)DIMM不被使用,預(yù)留為熱備內(nèi)存。芯片組中設(shè)置有內(nèi)存校驗(yàn)錯(cuò)誤次數(shù)的閾值, 即每單位時(shí)間發(fā)生錯(cuò)誤的次數(shù)。當(dāng)工作內(nèi)存的故障次數(shù)達(dá)到這個(gè)“
84、容錯(cuò)閾值”,系統(tǒng)開(kāi)始進(jìn)行雙重寫(xiě)動(dòng)作,一個(gè)寫(xiě)入主內(nèi)存,一個(gè)寫(xiě)入熱備內(nèi)存,當(dāng)系統(tǒng)檢測(cè)到兩個(gè)內(nèi)存數(shù)據(jù)一致后,熱備內(nèi)存就代替主內(nèi)存工作,故障內(nèi)存被禁用,這樣就完成了熱備內(nèi)存接替故障內(nèi)存工作的任務(wù),有效避免了系統(tǒng)由于內(nèi)存故障而導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)宕機(jī)。這個(gè)做熱備的內(nèi)存容量應(yīng)大于等于所在通道的最大內(nèi)存條的容量,以滿足內(nèi)存數(shù)據(jù)遷移的最大容量需求。 </p><p> 2)內(nèi)存鏡像—Mirroring </p>&
85、lt;p> 內(nèi)存鏡像是將內(nèi)存數(shù)據(jù)做兩個(gè)拷貝,分別放在主內(nèi)存和鏡像內(nèi)存中。系統(tǒng)工作時(shí)會(huì)向兩個(gè)內(nèi)存中同時(shí)寫(xiě)入數(shù)據(jù),因此使得內(nèi)存數(shù)據(jù)有兩套完整的備份。由于采用通道間交叉鏡像的方式,所以每個(gè)通道都有一套完整的內(nèi)存數(shù)據(jù)拷貝。 在系統(tǒng)芯片組中設(shè)置有 “容錯(cuò)閾值”。如果任意內(nèi)存達(dá)到了“容錯(cuò)閾值”,其所在通道就被標(biāo)示出來(lái),另一個(gè)通道單獨(dú)工作。但仍然保持雙通道的內(nèi)存帶寬。內(nèi)存鏡像有效避免了由于內(nèi)存故障而導(dǎo)致數(shù)據(jù)丟失。</p>&l
86、t;p><b> 磁盤(pán)冗余</b></p><p> 磁盤(pán)方面的冗余就是磁盤(pán)冗余陣列——RAID(Redundant Array of Inexpensive Disk)。是一種把多塊獨(dú)立的硬盤(pán)(物理硬盤(pán))按不同的方式組合起來(lái)形成一個(gè)硬盤(pán)組(邏輯硬盤(pán)),從而提供比單個(gè)硬盤(pán)更高的存儲(chǔ)性能與數(shù)據(jù)備份能力的技術(shù)。RAID特色是N塊硬盤(pán)同時(shí)讀取速度加快及提供容錯(cuò)性(Fault Toler
87、ant)。 </p><p> 4.1.2網(wǎng)絡(luò)設(shè)備整機(jī)冗余</p><p> 網(wǎng)絡(luò)設(shè)備整機(jī)的冗余主要體現(xiàn)在服務(wù)器、交換機(jī)和路由器這三種網(wǎng)絡(luò)設(shè)備中,其中服務(wù)器和交換機(jī)的冗余使用比較常見(jiàn)。服務(wù)器冗余就是指服務(wù)器的容錯(cuò),即“容錯(cuò)服務(wù)器”。目前主要有三種方法:服務(wù)器集群技術(shù),雙擊冗余服務(wù)器方案和單機(jī)容錯(cuò)技術(shù)。交換機(jī)的冗余主要是在核心層進(jìn)行雙交換機(jī)工作,避免因一交換機(jī)出現(xiàn)故障而導(dǎo)致網(wǎng)絡(luò)的癱瘓。&
88、lt;/p><p> 4.1.3網(wǎng)絡(luò)線路冗余</p><p> 網(wǎng)路線路冗余是通過(guò)對(duì)關(guān)鍵設(shè)備提供冗余鏈路來(lái)實(shí)現(xiàn)的。如在核心層和骨干層,甚至在匯聚層的服務(wù)器、交換機(jī)和路由器上,采取雙線路,甚至多線路連接。如圖4.3就是服務(wù)器與核心層交換機(jī)時(shí)間,以及下級(jí)交換機(jī)與核心交換機(jī)之間的冗余連接方案。每臺(tái)服務(wù)器、下級(jí)交換機(jī)與兩臺(tái)核心交換機(jī)采取雙線路冗余連接。在正常情況下,雙線路連接均可以負(fù)擔(dān)用戶對(duì)核心層
89、交換機(jī)的連接請(qǐng)求,一旦其中一臺(tái)核心交換機(jī)出現(xiàn)故障,服務(wù)器和下級(jí)交換機(jī)仍可以通過(guò)與另外一臺(tái)核心交換機(jī)連接,提供完整的網(wǎng)絡(luò)線路,為網(wǎng)絡(luò)用戶提供服務(wù)。</p><p><b> 圖4.3 線路冗余</b></p><p> Fig.4.3 Line redundancy</p><p> 4.2網(wǎng)絡(luò)中心機(jī)房與賬戶安全管理</p>
90、<p> 在物理層方的安全保護(hù)方面,網(wǎng)絡(luò)中心機(jī)房和用戶賬戶的安全管理也是一個(gè)重要的方面。中心機(jī)房是校園網(wǎng)絡(luò)的核心和神經(jīng)中樞所在,其中安裝了網(wǎng)絡(luò)中核心層和骨干層,甚至包括匯聚層的網(wǎng)絡(luò)連接設(shè)備和服務(wù)器等。這里面的任何一臺(tái)設(shè)備出現(xiàn)問(wèn)題,都可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)通信的癱瘓。而用戶賬戶有事最重要的用戶信息, 賬戶信息一旦泄露,黑客和其他用戶就可以很容易地入侵到網(wǎng)絡(luò),實(shí)施網(wǎng)絡(luò)攻擊,最后導(dǎo)致整個(gè)網(wǎng)絡(luò)無(wú)法正常工作,或者內(nèi)部數(shù)據(jù)遭到破壞、泄露,其
91、損壞程度比網(wǎng)絡(luò)癱瘓可能還嚴(yán)重。</p><p> 4.2.1機(jī)房安全管理</p><p> 除了以上所說(shuō)的線路和設(shè)備冗余之外,還要制定嚴(yán)格的機(jī)房管理制度,以確保機(jī)房設(shè)備和線路不遭受破壞,如關(guān)掉設(shè)備電源,拔掉設(shè)備跳線或用戶網(wǎng)線等。機(jī)房的管理制度中應(yīng)該包括以下幾方面內(nèi)容(細(xì)節(jié)方面可根據(jù)校園網(wǎng)實(shí)際情況靈活規(guī)定,具體的機(jī)房制度可以自行擴(kuò)展)。</p><p> 機(jī)房電
92、源設(shè)備、插座、線路功率和容量能滿足設(shè)備正常工作需求和消防要求,并配備足夠的消防措施。</p><p> 保持機(jī)房適宜的溫度和濕度,并保持機(jī)房通風(fēng)良好。</p><p> 防止鼠、蟲(chóng)等進(jìn)入機(jī)房,并且保證沒(méi)有雨淋危險(xiǎn)。</p><p> 非機(jī)房設(shè)備管理人員不得隨意進(jìn)入機(jī)房。</p><p> 管理人員離開(kāi)機(jī)房時(shí),要關(guān)好機(jī)房門;遠(yuǎn)距離離開(kāi)機(jī)
93、房時(shí),要給機(jī)房上鎖。</p><p> 4.2.2賬戶安全管理</p><p> 賬戶安全管理方面應(yīng)該主要考慮一下幾個(gè)主要因素(其他方面可根據(jù)實(shí)際需要進(jìn)行擴(kuò)展)。</p><p> 采取復(fù)雜性要求限制,防止用戶設(shè)置過(guò)于簡(jiǎn)單的賬戶密碼。</p><p> 限定最低、最高密碼更改的頻率和期限。</p><p>
94、限定兩個(gè)周期密碼可以禁止想通的最短歷史。</p><p> 限定用戶不得把賬戶信息以明文方式記錄在任何地方。 </p><p> 限定用戶登入時(shí)允許嘗試的最多次數(shù)。</p><p> 不得在有其他人在旁邊時(shí)輸入賬戶信息。</p><p> 以上賬戶策略可以通過(guò)“賬戶策略”中的“密碼策略”(如圖4.4所示)進(jìn)行配置,如果是工作組網(wǎng)絡(luò),則
95、要針對(duì)每臺(tái)機(jī)器的本組策略進(jìn)行一一設(shè)置;如果是域網(wǎng)絡(luò),則只需要對(duì)域組策略進(jìn)行一次性配置即可。</p><p> 圖4.4 密碼策略</p><p> Fig.4.4 Password policies</p><p><b> 4.3數(shù)據(jù)安全管理</b></p><p> 數(shù)據(jù)是校園網(wǎng)中最重要的資源,是學(xué)校運(yùn)營(yíng)和
96、發(fā)展的基礎(chǔ)。在網(wǎng)絡(luò)安全系統(tǒng)中的數(shù)據(jù)安全管理方面,我們可以通過(guò)設(shè)計(jì)數(shù)據(jù)容災(zāi)方案來(lái)確保數(shù)據(jù)安全。其實(shí)主要的工作就是數(shù)據(jù)的備份與恢復(fù)。</p><p> 4.3.1導(dǎo)致數(shù)據(jù)失效的原因</p><p> 故障發(fā)生的損失分析及可行性數(shù)據(jù)保護(hù)模式,現(xiàn)有備份方式的不足,幾年前我們主要采用主機(jī)內(nèi)置或外置的磁帶機(jī)對(duì)數(shù)據(jù)進(jìn)行冷備份,這種方式在數(shù)據(jù)量不大,操作系統(tǒng)種類單一,服務(wù)器數(shù)量有限的情況下,不失為一種
97、既經(jīng)濟(jì)又簡(jiǎn)明的備份手段。但隨著校園網(wǎng)計(jì)算機(jī)規(guī)模的擴(kuò)大,數(shù)據(jù)量幾何級(jí)的增長(zhǎng)以及分布式網(wǎng)絡(luò)環(huán)境的興起,校園網(wǎng)將越來(lái)越多的業(yè)務(wù)分布在不同的機(jī)器、不同的操作平臺(tái)上,這種單機(jī)的人工冷備份方式越來(lái)越不適應(yīng)當(dāng)今分布式網(wǎng)絡(luò)環(huán)境,存在以下種種弊端: </p><p> 數(shù)據(jù)管理工作難以形成制度化,數(shù)據(jù)丟失現(xiàn)象難以避免; 數(shù)據(jù)分散在不同的機(jī)器、不同的應(yīng)用上,管理分散,安全性得不到保障; 難以實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的高效在線備份;</
98、p><p> 運(yùn)行著的系統(tǒng)使得維護(hù)人員寸步難離,業(yè)務(wù)人員工作效率下降;</p><p> 存儲(chǔ)媒體管理困難,如今,用來(lái)存儲(chǔ)數(shù)據(jù)的介質(zhì)越來(lái)越多,各種不同系統(tǒng)下存儲(chǔ)產(chǎn)生的軟盤(pán)、磁帶、光盤(pán)將給管理帶來(lái)很大的困難; 歷史數(shù)據(jù)保留比較困難; </p><p> 來(lái)自非計(jì)算機(jī)系統(tǒng)因素的隱患,如火災(zāi)、地震等災(zāi)難后的系統(tǒng)重建和業(yè)務(wù)數(shù)據(jù)運(yùn)作。</p><p>
99、; 4.3.2網(wǎng)絡(luò)備份系統(tǒng)的目標(biāo) </p><p> 理想的備份系統(tǒng)應(yīng)該是全方位、多層次的。首先,要使用硬件備份來(lái)防止硬件故障;如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞,則使用網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)和硬件容錯(cuò)相結(jié)合的方式。這種結(jié)合方式構(gòu)成了對(duì)系統(tǒng)的多級(jí)防護(hù),不僅能夠有效地防止物理?yè)p壞,還能夠徹底防止邏輯損壞。 </p><p> 在網(wǎng)絡(luò)系統(tǒng)安全建設(shè)中必不可少的一個(gè)環(huán)節(jié)就是數(shù)據(jù)的常規(guī)
100、備份和歷史保存。一般在生產(chǎn)本地的備份目的主要有兩個(gè):一是生產(chǎn)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)由于系統(tǒng)或人為誤操作造成損壞或丟失后,可及時(shí)在生產(chǎn)本地實(shí)現(xiàn)數(shù)據(jù)的恢復(fù);另一個(gè)目的是在發(fā)生地域性災(zāi)難(地震、火災(zāi)、機(jī)器毀壞等)時(shí),可及時(shí)在本地或異地實(shí)現(xiàn)數(shù)據(jù)及整個(gè)系統(tǒng)的災(zāi)難恢復(fù)。</p><p> 4.3.3全自動(dòng)的備份 </p><p> 對(duì)于大多數(shù)機(jī)房管理人員來(lái)說(shuō),備份是一項(xiàng)繁重的任務(wù)。每天都要小心翼翼,不敢有
101、半點(diǎn)閃失,生怕一失足成千古恨。網(wǎng)絡(luò)備份能夠?qū)崿F(xiàn)定時(shí)自動(dòng)備份,大大減輕管理員的壓力。備份系統(tǒng)能根據(jù)用戶的實(shí)際需求,定義需要備份的數(shù)據(jù),然后以圖形界面方式根據(jù)需要設(shè)置備份時(shí)間表,備份系統(tǒng)將自動(dòng)啟動(dòng)備份作業(yè),無(wú)需人工干預(yù)。這個(gè)自動(dòng)備份作業(yè)是可自定的,包括一次備份作業(yè)、每周的某幾日、每月的第幾天等項(xiàng)目。設(shè)定好計(jì)劃后,備份作業(yè)就會(huì)按計(jì)劃自動(dòng)進(jìn)行。</p><p><b> 數(shù)據(jù)庫(kù)備份和恢復(fù) </b>
102、</p><p> 在許多人的觀念里,數(shù)據(jù)庫(kù)和文件還是一個(gè)概念。當(dāng)然,如果你的數(shù)據(jù)庫(kù)系統(tǒng)是基于文件系統(tǒng)的,當(dāng)然可以用備份文件的方法備份數(shù)據(jù)庫(kù)。但發(fā)展至今,數(shù)據(jù)庫(kù)系統(tǒng)已經(jīng)相當(dāng)復(fù)雜和龐大,再用文件的備份方式來(lái)備份數(shù)據(jù)庫(kù)已不適用。是否能夠?qū)⑿枰臄?shù)據(jù)從龐大的數(shù)據(jù)庫(kù)文件中抽取出來(lái)進(jìn)行備份,是網(wǎng)絡(luò)備份系統(tǒng)是否先進(jìn)的標(biāo)志之一。 </p><p><b> 在線式的索引 </b>
103、;</p><p> 備份系統(tǒng)應(yīng)為每天的備份在服務(wù)器中建立在線式的索引,當(dāng)用戶需要恢復(fù)時(shí),只需點(diǎn)取在線式索引中需要恢復(fù)的文件或數(shù)據(jù),該系統(tǒng)就會(huì)自動(dòng)進(jìn)行文件的恢復(fù)。</p><p><b> 歸檔管理 </b></p><p> 用戶可以按項(xiàng)目、時(shí)間定期對(duì)所有數(shù)據(jù)進(jìn)行有效的歸檔處理。提供統(tǒng)一的數(shù)據(jù)存儲(chǔ)格式從而保證所有的應(yīng)用數(shù)據(jù)由一個(gè)統(tǒng)一的數(shù)
104、據(jù)格式來(lái)做永久的保存,保證數(shù)據(jù)的永久可利用性。 有效的媒體管理備份系統(tǒng)對(duì)每一個(gè)用于作備份的磁帶自動(dòng)加入一個(gè)電子標(biāo)簽,同時(shí)在軟件中提供了識(shí)別標(biāo)簽的功能,如果磁帶外面的標(biāo)簽脫落,只需執(zhí)行這一功能,就會(huì)迅速知道該磁帶的內(nèi)容。 (HeartSone Backup)系統(tǒng)是一個(gè)合適的在線備份解決方案。它利用硬盤(pán)、可擦寫(xiě)磁光盤(pán)、磁帶進(jìn)行三層式存儲(chǔ)管理。所謂分級(jí)存儲(chǔ)管理系統(tǒng)是一套自動(dòng)化的網(wǎng)絡(luò)存儲(chǔ)管理設(shè)備,會(huì)自動(dòng)判斷硬盤(pán)中資料的使用頻率,自動(dòng)將不常用的資
105、料移至速度較慢的光盤(pán),而最不常用的資料則移到磁帶中,這些都由系統(tǒng)管理員自行設(shè)定。在線的資料經(jīng)過(guò)一段時(shí)間的搬移后,即可達(dá)到最佳化。</p><p> 4.3.4系統(tǒng)災(zāi)難恢復(fù) </p><p> 網(wǎng)絡(luò)備份的最終目的是保障網(wǎng)絡(luò)系統(tǒng)的順利運(yùn)行。所以優(yōu)秀的網(wǎng)絡(luò)備份方案應(yīng)能夠備份系統(tǒng)的關(guān)鍵數(shù)據(jù),在網(wǎng)絡(luò)出現(xiàn)故障甚至損壞時(shí),能夠迅速地恢復(fù)網(wǎng)絡(luò)系統(tǒng)。從發(fā)現(xiàn)故障到完全恢復(fù)系統(tǒng),理想的備份方案耗時(shí)不應(yīng)超過(guò)半
106、個(gè)工作日。 </p><p> 滿足系統(tǒng)不斷增加的需求 備份軟件必須能支持多平臺(tái)系統(tǒng),當(dāng)網(wǎng)絡(luò)上連接上其它的應(yīng)用服務(wù)器時(shí),對(duì)于網(wǎng)絡(luò)存儲(chǔ)管理系統(tǒng)來(lái)說(shuō),只需在其上安裝支持這種服務(wù)器的客戶端軟件即可將數(shù)據(jù)備份到磁帶庫(kù)或光盤(pán)庫(kù)中。</p><p> 災(zāi)難備份異地存放介質(zhì)的備份。自動(dòng)復(fù)制每日完成后的數(shù)據(jù),以存放異地作災(zāi)難恢復(fù)。災(zāi)難恢復(fù)措施在整個(gè)備份制度中占有相當(dāng)重要的地位。因?yàn)樗P(guān)系到系統(tǒng)在經(jīng)歷災(zāi)
107、難后能否迅速恢復(fù)。災(zāi)難恢復(fù)操作通??梢苑譃閮深?。第一類是全盤(pán)恢復(fù),第二類是個(gè)別文件恢復(fù),還有一種值得一提的是重定向恢復(fù)。</p><p><b> 全盤(pán)恢復(fù) </b></p><p> 全盤(pán)恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難導(dǎo)致數(shù)據(jù)全部丟失、系統(tǒng)崩潰或是有計(jì)劃的系統(tǒng)升級(jí)、系統(tǒng)重組等,也稱為系統(tǒng)恢復(fù)。</p><p><b> 個(gè)別
108、文件恢復(fù)</b></p><p> 由于操作人員的水平不高,個(gè)別文件恢復(fù)可能要比全盤(pán)恢復(fù)常見(jiàn)得多,利用網(wǎng)絡(luò)備份系統(tǒng)的恢復(fù)功能,我們很容易恢復(fù)受損的個(gè)別文件。只需瀏覽備份數(shù)據(jù)庫(kù)或目錄,找到該文件,觸動(dòng)恢復(fù)功能,軟件將自動(dòng)驅(qū)動(dòng)存儲(chǔ)設(shè)備,加載相應(yīng)的存儲(chǔ)媒體,然后恢復(fù)指定文件。 </p><p><b> 重定向恢復(fù) </b></p><p
109、> 重定向恢復(fù)是將備份的文件恢復(fù)到另一個(gè)不同的位置或系統(tǒng)上去,而不是進(jìn)行備份操作時(shí)它們當(dāng)時(shí)所在的位置。重定向恢復(fù)可以是整個(gè)系統(tǒng)恢復(fù)也可以是個(gè)別文件恢復(fù)。重定向恢復(fù)時(shí)需要慎重考慮,要確保系統(tǒng)或文件恢復(fù)后的可用性。</p><p> 第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案</p><p> 數(shù)據(jù)鏈路層是OSI/RM的7層結(jié)構(gòu)中非常重要的一層,也是安全保護(hù)比較脆弱的一層,尤其是在校園局域網(wǎng)
110、中,因?yàn)榫钟蚓W(wǎng)中只有OSI/RM的最低兩層——物理層和數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層的功能是為網(wǎng)絡(luò)通信提供數(shù)據(jù)傳輸鏈路,并把在物理上傳輸?shù)谋忍亓鞔虬蓭?、編碼,并識(shí)別數(shù)據(jù)源MAC地址,尋找目的MAC地址,對(duì)數(shù)據(jù)在鏈路上的傳輸提供差錯(cuò)和流量控制。</p><p> 數(shù)據(jù)鏈路層的主要特征就是形成MAC地址,并對(duì)物理上的比特流進(jìn)行編碼、成幀、拆幀,以及鏈路控制,為鏈路層提供可靠的數(shù)據(jù)傳輸。這樣一來(lái)我們就清楚黑客基于數(shù)據(jù)鏈路層
111、的攻擊行為了,一是進(jìn)行MAC地址欺騙(如ARP病毒),再就是對(duì)數(shù)據(jù)編碼、成幀機(jī)制進(jìn)行干擾,致使形成錯(cuò)誤的數(shù)據(jù)幀,也可以導(dǎo)致數(shù)據(jù)在數(shù)據(jù)鏈路上的傳輸錯(cuò)誤,甚至數(shù)據(jù)丟失。數(shù)據(jù)鏈路層還有一個(gè)安全風(fēng)險(xiǎn)就是大量的廣播包會(huì)導(dǎo)致網(wǎng)絡(luò)鏈路寬帶資源匱乏,從而最終導(dǎo)致網(wǎng)絡(luò)癱瘓。黑客還可能直接針對(duì)數(shù)據(jù)鏈路層設(shè)備進(jìn)行攻擊,如向交換機(jī)中的內(nèi)容可尋址存儲(chǔ)器(Content-Addressable Memory,CAM)中存入大量的無(wú)效源MAC地址,致使交換機(jī)無(wú)法存入
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 校園局域網(wǎng)規(guī)劃設(shè)計(jì)_畢業(yè)設(shè)計(jì)
- 校園局域網(wǎng)安全設(shè)計(jì)
- 校園局域網(wǎng)的組建畢業(yè)設(shè)計(jì)
- 畢業(yè)設(shè)計(jì)---校園局域網(wǎng)的組建
- 校園局域網(wǎng)的應(yīng)用與設(shè)計(jì)畢業(yè)設(shè)計(jì)
- 校園局域網(wǎng)的應(yīng)用與設(shè)計(jì)畢業(yè)設(shè)計(jì)
- 局域網(wǎng)設(shè)計(jì)畢業(yè)設(shè)計(jì)
- 畢業(yè)設(shè)計(jì)--局域網(wǎng)(校園網(wǎng))的設(shè)計(jì)規(guī)劃
- 校園局域網(wǎng)設(shè)計(jì)畢業(yè)論文
- 校園網(wǎng)畢業(yè)設(shè)計(jì)---校園局域網(wǎng)的組建和配置
- cisco局域網(wǎng)設(shè)計(jì)畢業(yè)設(shè)計(jì)
- 局域網(wǎng)畢業(yè)設(shè)計(jì)2
- 局域網(wǎng)畢業(yè)設(shè)計(jì)論文
- 畢業(yè)設(shè)計(jì)---無(wú)線局域網(wǎng)設(shè)計(jì)
- 校園局域網(wǎng)設(shè)計(jì)畢業(yè)論文
- 基于cs模式的局域網(wǎng)桌面共享軟件設(shè)計(jì)畢業(yè)設(shè)計(jì)(含外文翻譯)
- 校園局域網(wǎng)規(guī)劃設(shè)計(jì)畢業(yè)論文
- 畢業(yè)設(shè)計(jì)---企業(yè)局域網(wǎng)設(shè)計(jì)
- 畢業(yè)設(shè)計(jì)-小型網(wǎng)吧局域網(wǎng)設(shè)計(jì)
- 畢業(yè)設(shè)計(jì)---局域網(wǎng)規(guī)劃與設(shè)計(jì)
評(píng)論
0/150
提交評(píng)論