中小学校园网信息安全及防范

15
资源建设
校园网应为学校教学、科研提供先进的信息化教学环境。这就要求 校园网是一个交互功能和专业性很强的局域网络。多媒体教学软件 开发平台，多媒体演示教室，教师备课系统，电子阅览室以及教学， 考试资料库等，都可以通过网络运行工作，包含的基本功能如下： 学校网站建设 课程管理（精品课程） 实验室管理 学生成绩与学籍管理 图书资料管理 德育教育管理 档案管理（人事、固定资产） 财务管理
多人负责原则 任期有限原则 职责分离原则
“30%的技术，70%的管理”
24
网络安全的威胁
非授权访问： 通过假冒、身份攻击、系统漏洞等手段，获取系 统访问权
25
网络安全的威胁
信息泄漏或丢失
信息在传输中泄漏丢失，在存储介质中泄漏丢 失，被窃取
26
网络安全的威胁
破坏数据完整性
中小学校园网信息安全及防范
伊犁师范学院 刘新茂
Baidu Nhomakorabea
1
目 录
一、国内外网络安全事件 二、中小学校园网现状及建设方案 三、网络安全的内容 四、校园网安全防范技术
2
一、国内外网络安全事件
2013年，斯诺登向媒体提供机密文件致 使包括“棱镜”项目在内美国政府多个 秘密情报监视项目“曝光”。通过该项 目，美政府直接从包括微软、谷歌、雅 虎、Facebook、PalTalk、AOL、Skype、 YouTube以及苹果在内的这9个公司服务 器收集信息。进行数据挖掘工作，从音 频、视频、图片、邮件、文档以及连接 信息中分析个人的联系方式与行动。监 控的类型有10类：信息电邮、即时消息、 视频、照片、存储数据、语音聊天、文 件传输、视频会议、登录时间、社交网 络资料的细节。
22
数据库系统安全
数据库安全
数据库管理系统安全
应用安全的组成 .
应用软件开发平台安全 各种编程语言平台安全 程序本身的安全 应用系统安全 应用软件系统安全
23
管理安全
据权威机构统计表明：信息安全大约60%以上
的问题是由管理方面原因造成的。网络系统的 安全管理主要基于三个原则：
21
网络中数据传输安全 数据传输加密技术：对传输中的数据流进行加密，以防 止通信线路上的窃听、泄漏、篡改和破坏。三个不同层 次来实现，即链路加密、节点加密、端到端加密 数据完整性鉴别技术 防抵赖技术：包括对源和目的地双方的证明，常用方法 是数字签名 网络运行安全 备份与恢复技术：采用备份技术可以尽可能快地全盘恢 复运行计算机网络，所需的数据和系统信息 应急文档
接入层
Si
Si
e. 访问层交换 机
核心层
二层分级模型
接入层
14
VLAN划分与IP规划
VLAN的优势 可以减小广播风暴，划分VLAN后，广播只在子网中进行
增加网络的安全性，不同的VLAN不能随意通讯
提高管理效率，实现虚拟的工作组，减少物理开支 VLAN的子网访问，可以在三层交换机上实现，分流核心 交换机的三层交换，优化组网
33
路由器安全功能
访问控制链表
基于源地址/目标地址/协议端口号 端口映射、如3389、80端口
Flood 管理 日志 其他抗攻击功能
34
防火墙的优点与不足

可屏蔽内部服务，避免相关安全缺陷被利用 2－7层访问控制（集中在3-4层） 解决地址不足问题 抗网络层、传输层一般攻击
5
一、国内外网络安全事件
罪行：某国小老师窜改教师介聘系统分发成绩 传播途径：窜改两位老师的成绩，变更女友分 数，却害他人从第 1志愿分发到第 10几个志愿。 罪行： 19 岁知名高中毕业生，入侵大考中心、 窃取悠游卡系统、百货公司、黑客组织等会 员资料。 传播途径：从 2009 年起陆续入侵国中基测与大 学入学考试中心计算机系统，窃取逾一百万 笔考生的姓名、相片与成绩等相关资料，再 卖给补习班。其它还包括台北智能卡公司的 悠游卡系统资料、新光三越百货公司会员卡 资料，黑客网会员资料与其它电子邮件帐号 密码。
36
网络防病毒
基本功能：串接于网络中，根据网络病毒的特征在网络数
据中比对，从而发现并阻断病毒传播
优点：能有效阻断已知网络病毒的传播 不足： 只能检查已经局部发作的病毒 对网络有一定影响
37
蠕虫病毒的特征
蠕虫病毒的特征 1.利用操作系统和应用程序的漏洞主动进行攻击 2.传播方式多样 3.病毒制作技术与传统的病毒不同 4.与黑客技术相结合
3
一、国内外网络安全事件
斯诺登向媒体透露，说美国政府连续几年都在 攻击其他国家的网络，其中还监听许多国领导人电 话、电子邮件等，包括联合国秘书长潘基文、德国 总理默克尔，入侵中国的网络，窃取各种情报。
4
一、国内外网络安全事件
罪行：英国少年贾斯明 · 辛向体育用
品网站发起 DoS攻击，并窃取信息。 少年承认自己受雇于两家与受害网站 竞争，企图彻底弄垮对手的在线销售 网点。 传播途径：贾斯明 · 辛利用计算机病 毒控制上千台计算机，并组成傀儡网 络，向线上销售体育用品的网站发动 攻击。造成了两家受害网站约 150 万 美元的损失。 判决结果：五年监禁
二、中小学校园网现状及建设方案
资金紧缺网络硬件设备配备不齐全 校园网仅提供互联网服务，校内资源匮乏 缺乏计算机及网络相关专业技术人员 资金的一次性投入,校园网的使用效率低下
11
中小学校园网设计方案
网络拓扑
核心层 分布层 接入层
防火墙提供强有力的服务器、内 网安全保护、提供IDS等安全特性； 路由器提供出口路由功能，数据 处理能力强，具有强大的NAT功能。
9
一、国内外网络安全事件 央视报道“危险的WiFi” 央视《消费主张》报道 了人们日常使用的无线网络 存在巨大的安全隐患。在节 目中，央视和安全工程师在 多个场景实际测验显示，火 车站、咖啡馆等公共场所的 一些免费WIFI热点有可能就 是钓鱼陷阱，而家里的路由 器也可能被恶意攻击者轻松 攻破。
10
以非法手段窃得对数据的使用权，删除、修改、插入 某些重要信息
27
网络安全的威胁
拒绝服务攻击
不断执行无关程序使系统 响应减慢甚至瘫痪
28
网络安全的威胁
网络传播病毒
通过网络传播计算机病毒（蠕虫病毒高居病毒榜首）
29
四、校园网安全防范技术
访问控制技术--网络权限控制
30
四、校园网安全防范技术
17
网络系统的脆弱性
数据的安全问题
数据库存在着许多不安全性。
传输线路的安全问题 网络安全管理问题
从安全的角度来说，没有绝对安全的通讯线路。
18
网络安全的基本要素
衡量网络安全的指标主要有 机密性—“进不来，看不懂” 完整性—“改不了，拿不走” 可用性—“能进来，能修改，能拿走” 可控性—“监视、控制” 不可否认性—“逃不脱，跑不掉”
6
一、国内外网络安全事件
海康威视安全事件监控设备漏洞或引发敏感 信息泄露 2015年2月27日江苏省公安厅发布的特急通 知称，主营安防产品的海康威视其生产的监控 设备被曝严重的安全隐患，部分设备已被境外IP 地址控制，要求各地立即进行全面清查，开展 安全加固。随后调查显示，事件出于弱口令漏 洞，只需通过修改初始密码或简单密码，或者 升级设备固件即可解决。作为国内最大的监控 设备生产商海康威视，虽然致力于设备功能的 完善，但忽略了最基本的信息安全问题，可谓 “千里之堤，毁于蚁穴”。
20
局域网、子网安全 内外网隔离技术：采用防火墙技术可以将内部网络 的与外部网络进行隔离，对内部网络进行保护 网络检测技术：网络安全检测（漏洞检测）是对网 络的安全性进行评估分析，通过实践性的方法扫描 分析网络系统，检查系统存在的弱点和漏洞，提出 补求措施和安全策略的建议，达到增强网络安全性 的目的
8
一、国内外网络安全事件
优购网交易信息疑泄露超百人被骗 上百万 2015年5月18日有客户反馈，在购 物网站优购时尚商城购物后，个人信 息被泄露，银行钱款被盗，受骗网友 建立的QQ群中，已有160多个群友， 被骗金额总计上百万元。优购网官方 回应称，信息泄露是黑客“撞库”所 致，已向公安机关报案。
16
三、网络安全的内容
计算机网络安全是指利用网络 管理控制和技术措施，保证在 一个网络环境里，信息数据的 机密性、完整性及可使用性受 到保护。 从广义来说，凡是涉及到网络 上信息的保密性、完整性、可 用性、不可否认性和可控性的 相关技术和理论都是网络安全 的研究领域。 网络安全的具体含义会随着 “角度”的变化而变化。
19
物理安全 环境安全.对系统所在环境的安全保护措施，如区域保护 和灾难保护 设备安全设备的防盗、防毁、防电磁信息辐射泄漏、防止 线路截获、抗电磁干扰及电源保护技术和措施等 媒体安全媒体数据的安全及媒体本身的安全技术和措施 网络运行和网络访问控制的安全 ，由以下四方面组成：
局域网、子网安全 网络中数据传输安全 网络运行安全 网络协议安全
7
一、国内外网络安全事件
超30省市曝管理漏洞：数千万社保用户信 息或泄露 2015年4月22日从补天漏洞响应平台获得的 数据显示，围绕社保系统、户籍查询系统、疾 控中心、医院等大量曝出高危漏洞的省市已经 超过30个，仅社保类信息安全漏洞统计就达到 5279.4万条，涉及人员数量达数千万，其中包 括个人身份证、社保参保信息、财务、薪酬、 房屋等敏感信息。这些信息一旦泄露，造成的 危害不仅是个人隐私全无，还会被犯罪分子利 用，例如复制身份证、盗办信用卡、盗刷信用 卡等一系列刑事犯罪和经济犯罪。
40
网页攻击 网页攻击指一些恶意网页利用软件或系统操作平台等 的安全漏洞，通过执行嵌入在网页HTML超文本标记语言 内的Java Applet小应用程序、javascript脚本语言程序、 ActiveX软件部件交互技术支持可自动执行的代码程序， 强行修改用户操作系统的注册表及系统实用配置程序，从 而达到非法控制系统资源、破坏数据、格式化硬盘、感染 木马程序的目的。
41
网页攻击防范 防范网页攻击可使用设定安全级别、过滤指定网页、卸 载或升级WSH 、禁用远程注册表服务等方法。 最好的方法还是安装防火墙和杀毒软件，并启动实时 监控功能。有些杀毒软件可以对网页浏览时注册表发生的 改变提出警告。
12
简化方案
联
H3C MSR 30-40
电信 服务器区
SecPath U200-A
H3C WX3024 H3C S5120
办公区
WA2620-AGN WA2620-AGN WA2620-AGN
包括无线覆盖
包括无线覆盖
包括无线覆盖
13
网络设备选型
核心层
三层分级模型
a. 防火墙
分布层
b. 路由器 c. 核心交换机 d. 分布层交换 机
38
蠕虫病毒与一般病毒的比较
普通病毒 蠕虫病毒 存在形式 寄存文件 独立程序 传染机制 寄存在主程序运行 主动攻击 传染目标 本地文件 网络计算机
39
网络环境下计算机病毒的特点
在网络环境下，网络病毒除了具有可传播性、可执行性、 破坏性、可触发性等计算机病毒的共性外，还具有一些新 的特点： ①感染速度快。 ②扩散面广。 ③传播的形式复杂多样。 ④难于彻底清除。 ⑤破坏性大。
访问控制技术--目录级安全控制
31
四、校园网安全防范技术
访问控制技术-属性安全控制
32
访问控制技术-更改远程桌面连接端口
1.打开注册表编辑器，修改第一处 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\Terminal Server\Wds\rdpwd\Tds\tcp]，看到右边的 PortNumber了吗？在十进制状态下改成你想要的端口号吧， 比如7126之类的，只要不与其它冲突即可。 2.修改第二处 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\Terminal Server\WinStations\RDP-Tcp，方法同上，记得改 的端口号和上面改的一样就行了。 3检查是否有开防火墙，如果有开需要吧新端口添加到允许， 重启服务器。 END
不足 防外不防内 对网络性能有影响 对应用层检测能力有限
35
入侵检测
基本原理：利用sniffer方式获取网络数据，根据已知特征判断是否 存在网络攻击 优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击 信息，便于及时采取措施。 不足： 准确性：误报率和漏报率 有效性：难以及时阻断危险行为