搜索
中小学校园网信息安全及防范伊犁师范学院刘新茂1一、国内外网络安全事件二、中小学校园网现状及建设方案三、网络安全的内容四、校园网安全防范技术目录22013年,斯诺登向媒体提供机密文件致使包括“棱镜”项目在内美国政府多个秘密情报监视项目“曝光”。通过该项目,美政府直接从包括微软、谷歌、雅虎、Facebook、PalTalk、AOL、Skype、YouTube以及苹果在内的这9个公司服务器收集信息。进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节。一、国内外网络安全事件3斯诺登向媒体透露,说美国政府连续几年都在攻击其他国家的网络,其中还监听许多国领导人电话、电子邮件等,包括联合国秘书长潘基文、德国总理默克尔,入侵中国的网络,窃取各种情报。一、国内外网络安全事件4罪行:英国少年贾斯明·辛向体育用品网站发起DoS攻击,并窃取信息。少年承认自己受雇于两家与受害网站竞争,企图彻底弄垮对手的在线销售网点。传播途径:贾斯明·辛利用计算机病毒控制上千台计算机,并组成傀儡网络,向线上销售体育用品的网站发动攻击。造成了两家受害网站约150万美元的损失。判决结果:五年监禁一、国内外网络安全事件5罪行:某国小老师窜改教师介聘系统分发成绩传播途径:窜改两位老师的成绩,变更女友分数,却害他人从第1志愿分发到第10几个志愿。罪行:19岁知名高中毕业生,入侵大考中心、窃取悠游卡系统、百货公司、黑客组织等会员资料。传播途径:从2009年起陆续入侵国中基测与大学入学考试中心计算机系统,窃取逾一百万笔考生的姓名、相片与成绩等相关资料,再卖给补习班。其它还包括台北智能卡公司的悠游卡系统资料、新光三越百货公司会员卡资料,黑客网会员资料与其它电子邮件帐号密码。一、国内外网络安全事件6海康威视安全事件监控设备漏洞或引发敏感信息泄露2015年2月27日江苏省公安厅发布的特急通知称,主营安防产品的海康威视其生产的监控设备被曝严重的安全隐患,部分设备已被境外IP地址控制,要求各地立即进行全面清查,开展安全加固。随后调查显示,事件出于弱口令漏洞,只需通过修改初始密码或简单密码,或者升级设备固件即可解决。作为国内最大的监控设备生产商海康威视,虽然致力于设备功能的完善,但忽略了最基本的信息安全问题,可谓“千里之堤,毁于蚁穴”。一、国内外网络安全事件7超30省市曝管理漏洞:数千万社保用户信息或泄露2015年4月22日从补天漏洞响应平台获得的数据显示,围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。这些信息一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用,例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。一、国内外网络安全事件8优购网交易信息疑泄露超百人被骗上百万2015年5月18日有客户反馈,在购物网站优购时尚商城购物后,个人信息被泄露,银行钱款被盗,受骗网友建立的QQ群中,已有160多个群友,被骗金额总计上百万元。优购网官方回应称,信息泄露是黑客“撞库”所致,已向公安机关报案。一、国内外网络安全事件9央视报道“危险的WiFi”央视《消费主张》报道了人们日常使用的无线网络存在巨大的安全隐患。在节目中,央视和安全工程师在多个场景实际测验显示,火车站、咖啡馆等公共场所的一些免费WIFI热点有可能就是钓鱼陷阱,而家里的路由器也可能被恶意攻击者轻松攻破。一、国内外网络安全事件10二、中小学校园网现状及建设方案资金紧缺网络硬件设备配备不齐全缺乏计算机及网络相关专业技术人员校园网仅提供互联网服务,校内资源匮乏资金的一次性投入,校园网的使用效率低下11网络拓扑中小学校园网设计方案核心层分布层接入层防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性;路由器提供出口路由功能,数据处理能力强,具有强大的NAT功能。12简化方案联电信服务器区办公区SecPathU200-AH3CS5120H3CWX3024H3CMSR30-40WA2620-AGN包括无线覆盖WA2620-AGNWA2620-AGN包括无线覆盖包括无线覆盖13a.防火墙b.路由器c.核心交换机d.分布层交换机e.访问层交换机Si核心层分布层接入层Si二层分级模型核心层接入层网络设备选型三层分级模型14VLAN的优势VLAN划分与IP规划可以减小广播风暴,划分VLAN后,广播只在子网中进行增加网络的安全性,不同的VLAN不能随意通讯提高管理效率,实现虚拟的工作组,减少物理开支VLAN的子网访问,可以在三层交换机上实现,分流核心交换机的三层交换,优化组网15校园网应为学校教学、科研提供先进的信息化教学环境。这就要求校园网是一个交互功能和专业性很强的局域网络。多媒体教学软件开发平台,多媒体演示教室,教师备课系统,电子阅览室以及教学,考试资料库等,都可以通过网络运行工作,包含的基本功能如下:学校网站建设课程管理(精品课程)实验室管理学生成绩与学籍管理图书资料管理德育教育管理档案管理(人事、固定资产)财务管理16资源建设三、网络安全的内容计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。17网络系统的脆弱性数据的安全问题传输线路的安全问题从安全的角度来说,没有绝对安全的通讯线路。数据库存在着许多不安全性。网络安全管理问题18网络安全的基本要素衡量网络安全的指标主要有机密性—“进不来,看不懂”完整性—“改不了,拿不走”可用性—“能进来,能修改,能拿走”可控性—“监视、控制”不可否认性—“逃不脱,跑不掉”19网络运行和网络访问控制的安全,由以下四方面组成:局域网、子网安全网络中数据传输安全网络运行安全网络协议安全物理安全环境安全.对系统所在环境的安全保护措施,如区域保护和灾难保护设备安全设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护技术和措施等媒体安全媒体数据的安全及媒体本身的安全技术和措施20局域网、子网安全内外网隔离技术:采用防火墙技术可以将内部网络的与外部网络进行隔离,对内部网络进行保护网络检测技术:网络安全检测(漏洞检测)是对网络的安全性进行评估分析,通过实践性的方法扫描分析网络系统,检查系统存在的弱点和漏洞,提出补求措施和安全策略的建议,达到增强网络安全性的目的21网络中数据传输安全数据传输加密技术:对传输中的数据流进行加密,以防止通信线路上的窃听、泄漏、篡改和破坏。三个不同层次来实现,即链路加密、节点加密、端到端加密数据完整性鉴别技术防抵赖技术:包括对源和目的地双方的证明,常用方法是数字签名网络运行安全备份与恢复技术:采用备份技术可以尽可能快地全盘恢复运行计算机网络,所需的数据和系统信息应急文档22数据库系统安全数据库安全数据库管理系统安全应用安全的组成.应用软件开发平台安全各种编程语言平台安全程序本身的安全应用系统安全应用软件系统安全23管理安全据权威机构统计表明:信息安全大约60%以上的问题是由管理方面原因造成的。网络系统的安全管理主要基于三个原则:多人负责原则任期有限原则职责分离原则“30%的技术,70%的管理”24网络安全的威胁非授权访问:通过假冒、身份攻击、系统漏洞等手段,获取系统访问权25网络安全的威胁信息泄漏或丢失信息在传输中泄漏丢失,在存储介质中泄漏丢失,被窃取26网络安全的威胁破坏数据完整性以非法手段窃得对数据的使用权,删除、修改、插入某些重要信息27网络安全的威胁拒绝服务攻击不断执行无关程序使系统响应减慢甚至瘫痪28网络安全的威胁网络传播病毒通过网络传播计算机病毒(蠕虫病毒高居病毒榜首)29访问控制技术--网络权限控制四、校园网安全防范技术30访问控制技术--目录级安全控制四、校园网安全防范技术31访问控制技术-属性安全控制四、校园网安全防范技术321.打开注册表编辑器,修改第一处[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。2.修改第二处[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。3检查是否有开防火墙,如果有开需要吧新端口添加到允许,重启服务器。END访问控制技术-更改远程桌面连接端口33路由器安全功能访问控制链表基于源地址/目标地址/协议端口号端口映射、如3389、80端口Flood管理日志其他抗攻击功能34防火墙的优点与不足可屏蔽内部服务,避免相关安全缺陷被利用2-7层访问控制(集中在3-4层)解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限35入侵检测基本原理:利用sniffer方式获取网络数据,根据已知特征判断是否存在网络攻击优点:能及时获知网络安全状况,借助分析发现安全隐患或攻击信息,便于及时采取措施。不足:准确性:误报率和漏报率有效性:难以及时阻断危险行为36网络防病毒基本功能:串接于网络中,根据网络病毒的特征在网络数据中比对,从而发现并阻断病毒传播优点:能有效阻断已知网络病毒的传播不足:只能检查已经局部发作的病毒对网络有一定影响37蠕虫病毒的特征蠕虫病毒的特征1.利用操作系统和应用程序的漏洞主动进行攻击2.传播方式多样3.病毒制作技术与传统的病毒不同4.与黑客技术相结合38蠕虫病毒与一般病毒的比较普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制寄存在主程序运行主动攻击传染目标本地文件网络计算机39网络环境下计算机病毒的特点在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有一些新的特点:①感染速度快。②扩散面广。③传播的形式复杂多样。④难于彻底清除。⑤破坏性大。40网页攻击网页攻击指一些恶意网页利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。41网页攻击防范防范网页攻击可使用设定安全级别、过滤指定网页、卸载或升级WSH、禁用远程注册表服务等方法。最好的方法还是安装防火墙和杀毒软件,并启动实时监控功能。有些杀毒软件可以对网页浏览时注册表发生的改变提出警告。42删除本机默认共享打开记事本编写如下代码Netshareadmin$/deleteNetshareipc$/deleteNetsharec$/deleteNetshared$/deleteNetsharee$/delete编写完成以后此文本可任意命名,但文件扩展名一定改为.bat,并将此文件添加到开始—启动中下次开机默认共享自动被删除43网络扫描器通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点:有利于及早发现问题,并从根本上解决安全隐患不足:只能针对已知安全问题进行扫描准确性vs指导性44关闭不用的服务在安装windo