【《大数据时代的校园网络安全方案11000字》（论文）】.docx

《【《大数据时代的校园网络安全方案11000字》（论文）】.docx》由会员分享，可在线阅读，更多相关《【《大数据时代的校园网络安全方案11000字》（论文）】.docx（22页珍藏版）》请在第一文库网上搜索。

1、大数据时代的校园网络安全方案设计目录1 绪论21.1 研究背景与意义21.2 本文主要研究内容32校园网络安全方案的关键技术32.1 防火墙技术32.2 入侵检测技术42.3 漏洞扫描技术42.4 网络访问控制技术43校园网络安全需求分析53.1 需求分析53.1.1 网络结构分析53.1.2 安全分析63.2 校园网安全“三元论”理念63.3 校园网络安全模型64校园网络安全方案设计74.1 校园网结构74.2 安全联动系统设计94.2.1 安全联动系统结构94.2.2 安全联动系统配置信息104.3 校园骨干网安全性设计104.3.1 骨干网技术选择104.3.2 骨干网设备选型114.3

2、.3 传输介质选择114.3.4 路由设计策略124.3.5 骨干网冗余设计124.4 校园接入网的安全性设计134.4.1 接入网安全设计概述134.4.2 准入控制系统设计134.4.3 准入控制系统控制流程144.4.4 基于802.Ix的认证计费系统设计164.4.5 入侵检测设备选择164.5 校园网安全出口设计174.5.1 校园网出口技术选择174.5.2 校园网安全出口冗余设计184.5.3 防火墙选型184.5.4 NAT配置194.6 校园网安全防御体系流程195建立校园网络安全管理制度205.1 安全管理制度建设205.2 人员安全管理规范205.2.1 关键岗位人员应定

3、期的考核205.2.2 安全意识教育和培训205.2.3 外部人员访问管理216结论21参考文献221绪论1.1 研究背景与意义当前网络安全环境越来越复杂，安全问题越来越突出，安全事件不断发生，当前我国各行各业的信息安全意识“不容乐观”。在两届会议期间2015年，中国人民政治协商会议委员严望佳就信息安全提出三项建议。在3月8日全国人大常委会工作报告中，国家委员长张德江表示，今年将制定网络安全法。显然，安全问题已成为世界范围内的热门话题，并受到越来越多的关注。然而，与互联网一样，当前的大学校园网络安全形势不容乐观，不可避免地面临各种恶意信息的传播、病毒、各种攻击、病毒入侵等各种威胁。网速、拒绝服

4、务甚至财产损失。网络安全包括一个国家的政府、军事、经济、文化教育等诸多领域，需要完善的网络安全保护机制来保护这些信息。随着我国网络安全漏洞的逐步暴露，建立网络安全迫在眉睫，任重道远。为大学校园网建立合适的安全防护方案对大学的发展至关重要。高校网络安全建设是构建和谐社会、和谐校园的要求，是平安校园。在大学建立网络安全有助于提升学校的形象。该大学的本科生质量评估显着提高。一个“绿色”、安全的校园网络环境将大大提升大学的形象。它可以防止重要数据和信息的破坏与丢失，避免造成经济损失。1.2 本文主要研究内容论文主要内容包括：1.详细介绍校园网特点，校园网面临安全威胁和信息与网络安全关键技术。2.分析校

5、园网需求分析，网络安全“三位一体”的概念和PPDR动态安全模型。3、设计分层网络结构和安全连接体系，进行骨干网安全设计、接入网安全设计、校园网安全出口设计。4、建设和完善校园网络安全管理体系，包括建立安全管理机构，完善安全规章制度，管理网络设备安全，管理人员安全，应对突发事件。2校园网络安全方案的关键技术2.1 防火墙技术防火墙是一种网络互连设备，由计算机硬件和软件组成，用于实施不同网络之间的访问控制。防火墙通过过滤进出Intranet的数据来保护网络，并防止可能存在恶意破坏意图的网络的信息和数据随意进出校园网络。由于防火墙是阻止黑客和病毒发起网络攻击的主要手段，因此了解如何设计和配置防火墙以

6、提高整个网络的安全级别非常重要。作为网络隔离器、活动限制器和行为分析器，防火墙可以通过监控和记录流经校园网络出口的所有活动来有效地保护内部网。防火墙的主要功能是：（1防火墙是内部网络的集中监控点。可以过滤掉相对不安全的访问行为。它增加了内部网络的安全性，因为只有那些经过精心挑选的协议才能通过网络。（2）保护内网敏感信息防火墙将内外网隔离，保护内网敏感信息，防止内网敏感信息外泄。2.2 入侵检测技术入侵检测技术是动态防御系统的核心技术之一。通过观察动态行为信息、安全系统日志、数据审计，判断某行为是否为入侵行为，实时响应总体安全事件。入侵检测系统按技术可分为：异常检测和误用检测。异常检测模型检测异

7、常行为与正常主体行为之间的偏差，以确定是否存在入侵。首先，我们总结了正常活动的特征，如CPU使用率、内存使用率、文件验证等，为主题的正常活动设置“配置文件”,将当前主题的行为与“活动配置文件”进行比较，然后检查是否违反统计法。分析判断，如果违反了统计法，那么这些数据就会被认定具有侵入性质。误用检测模型是检测用户行为与已知入侵行为的对应程度。当前用户动作与特征库中的记录匹配时，系统将当前动作视为侵入动作，并且每一个能够匹配到入侵者的动作都会引发警报。2.3 漏洞扫描技术安全漏洞是硬件、软件和协议的设计和实现，或计算机网络系统的安全策略中的缺陷和缺陷。一般来说，攻击者在未经管理员许可的情况下利用系

8、统漏洞进行非法行为，非法访问系统的某些资源，或者破坏网络系统的关键资源。一般来说，当软件集成时，程序员会留下后门以方便测试，从而在计算机软件中制造潜在的安全漏洞。漏洞扫描可以主动检测网络和系统漏洞，大大提高校园网的安全等级，与入侵检测系统相比，安全漏洞扫描系统是一个相对主动的检测系统。对系统潜在的安全漏洞进行逐一扫描，对数据进行记录、分析、审计，为管理员提供全面可靠的安全报告，扫描对象为服务器、交换机、数据库、工作站等。2.4 网络访问控制技术网络访问控制系统是一系列硬件和软件技术组合体。当客户端要接入网络实体时，客户端要向网络访问控制系统发出申请，系统要对用户主机系统和用户身份进行审核，当二

9、者都满足安全策略时，该终端才被允许接入网络实体。如果其中任何一个不符合安全策略，则设备发送的申请会被门禁系统拒绝，系统会自动采取相应的解决方案叫身份认证是当计算机网络系统的用户进入系统或访问具有不同保护级别的系统资源时，系统验证用户身份是否真实、合法和唯一的过程。身份认证主要通过身份认证协议和相关的软硬件来完成。自我认证的作用是防止不法分子进入网络系统，防止不法分子通过各种非法操纵获取不正当利益，通过非法访问受控信息恶意破坏系统数据完整性。网络访问控制技术是保证计算机网络系统安全的重要措施之一3校园网络安全需求分析3.1 需求分析3.1.1 网络结构分析现今，国内高校校园网都采用技术成熟的网络

10、分层结构设计思想，如图3-1所示。图3-1网络分层结构图校园网采用核心、汇聚、接入三层整体架构。接入交换机采用二层智能网管交换机，连接IOOM机房，汇聚层交换机实现大楼接入交换机互联，每栋大楼都有汇聚交换机作为大楼的汇聚节点，汇聚层交换机连接到链路核心交换机。核心层和汇聚层使用强大的三层交换机，核心层交换机的先进特性、吞吐量和可靠性是校园网最重要的方面之一。校园网通常是适合分层网络设计的大型计算机网络，整体网络拓扑结构清晰易维护。在层次结构中，每一层都实现了特定的功能，每一层都使用互补的协议来实现全网的高速接入、可靠运行、安全可靠。3.1.2 安全分析相关机构对校园网安全事件进行统计分析发现，

11、校园网面临的安全风险中，校园网内隐藏的网络安全风险占校园网安全风险的60%以上。可见，必须注意维护内网的安全。因此，防御网络内部攻击的方法已成为校园网络安全的研究热点。校园网的安全问题主要包括系统安全和数据安全，一是防止黑客攻击和病毒传播，二是防止未经授权的数据访问。结合校园网大学的实际需求，在保证校园网高速稳定运行的条件下，可以对整个校园网进行网络控制和存储控制，区分不同的安全级别。不同的安全域分级管理,每个安全部门根据不同的安全级别实施不同的安全策略。大学校园网是具有代表性的大型三层交换网络，为了校园网的高速稳定运行，需要对每一层进行技术分析、设备选型和传输介质选型。分层结构对每个子网实施

12、不同的安全策略，提高整个校园网的安全性。针对校园网存在的安全问题，我们根据漏洞的严重程度和敏感信息的安全级别，提供关键的安全防御。3.2 校园网安全“三元论”理念校园网安全“三元论”的理念是做好战略、技术、管理三要素，达到校园网安全的目的。安全策略是构建和运营校园网络安全的基础。全面的安全策略需要一系列准备工作。技术、标准等，最终建立适合学校校园网的安全策略。安全技术是解决校园网络安全挑战的重要保障，安全技术体现在安全产品、安全工具、劳动力素质、应用服务等方面。安全管理是保障校园网络安全的关键问题。学校要特别注意安全组织建设、安全管理人员的培养和专业技术人员的培养，确保安全战略的有效实施。考虑

13、到校园网络环境安全事件多发的问题，“三元论”概念的引入为有效解决校园网络安全问题提供了清晰思路。3.3 校园网络安全模型PPDR动态安全模型由保护、检测、响应和修复四个部分组成。按照安全策略的指引，这四部分构成一个动态的、完整的循环安全系统，及时将相对不安全的系统状态调和到最安全的系统状态，最大限度地保护信息和网络系统安全。安全策略是模型的核心，是成本和效率之间的平衡，是为保护整个网络免受攻击而采取的各种预防措施的总和。保护、检测和响应可以根据安全策略的指导来实施，如图3-2所示。图3-2PDRR安全模型图PPDR安全模型的思想：是按照安全策略的指引，综合运用多种保护工具，通过流量统计、模式匹

14、配、异常分析以及主机和应用进行安全检测和有效评估安全态势一一基于的方法。当系统检测到异常活动时，会根据整体安全策略及时有效的响应，将系统状态调整到最低级别，尽可能保护系统安全。4校园网络安全方案设计4.1校园网结构高校校园网一般属于大型校园网，对于规模大、集中度高的校园网络，采用客户机和服务器(C/S)模式。校园网采用以路由交换技术为主的网络分层结构，每个层次分别实现不同业务功能。如图4-1所示。大中型校区网络大中型校区网络小型校区网络图4T高校校园网总体网络图在网络的层次结构中，每一层都实现了一组特定的特性，虽然每一层的协议选择不同，但每个协议必须是互补的。1、核心层设计由于核心层是由大容量

15、交换机、路由器或路由交换机组成的骨干网，校园网的核心层称为校园骨干网。核心层的主要任务是交换数据包，完成网络聚合节点之间的互连，负责数据的高效传输、交换、转发和路由分发。它的设计要注意两点：第一，它不在核心层实现网络策略，尽量避免在核心层配置路由的复杂性，第二，核心层的所有设备必须有足够的可达性。2.汇聚层的设计汇聚层是核心层和接入层的边界层。汇聚层主要用于集中各种接入服务，除了本地数据的交换和转发外,还可以通过高速接口将数据传输到核心层,进行更广泛的数据路由和处理。汇聚层的主要设计包括隔离拓扑结构的变化改变，通过路由聚合控制路由表的大小，汇聚网络流量。汇聚层从下层汇聚接入层交换机的数据，通过上层高速接口将数据传输到核心交换机，上层和下层相连。3、接入层设计接入层为用户提供对网络本地网络的访问，实现工作组与汇聚层的连接，用户可以通过局域网方式、以太网交换机、拨号方式接入网络。或无线模式。接入层是网络终端设备连接到网络的直接信息点。接入层的基本设计是：将流量带入网络，控制接入，执行网络策略，允许接入层流量入网。4.2 安全联动系统设计4.2.1 安全联动系统结构安全联动系统结构图，如图4-2所示。图4-2安全联动方案拓扑结构图路由和交换部分的集成配置和管理在路由中文WEB界面中