1、 研究生结课论文论文名称: 校园网安全解决方案课程名称: 信息系统及其安全对抗任课教师:学生姓名:学生学号:学生学院:学生学科:目 录1 引言 .32 课程核心内容 .33 系统架构 .74 系统不安全因素分析 .105 信息安全保障体系设计 .126 信息安全与对抗基础层和系统层原理分析 .157 信息安全与对抗原理性技术性方法分析 .168 参考文献 .171 引言校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求校园网是一个宽带 、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师
2、备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。如果一所学校包括多个专业学科,也可以形成多个局域网络,并通过有线或无线方式连接起来。其次,校园网应具有教务、行政和总务管理功能。随着经济的发展和国家科教兴国战略的实施,校园网络建设已逐步成为学校的基础建设项目,更成为衡量一个学校教育信息化、现代化的重要标志。经过多年的信息化建设,国内大多数高校基本上都建成了自己的校园网。各高校在建设校园网时都采用了先进的设备,在主干网类型、路由器、交换机、服务器等设备的选型上下足功夫, 建成了结构完善的网络体系。这样的网络应用起来本该一帆风顺,然而实际情况并非如此。随着校园网上的各种数据的急剧增
3、加,各种各样的安全问题接踵而来。据美国 FBI 统计,美国每年因网络安全问题所造成的经济损失高达 75 亿美元,而全球平均每 20 秒就发生一起 Internet 计算机侵入事件。国内每年因黑客入侵、计算机病毒的破坏所造成的损失令人触目惊心。作为高等院校,网络安全现状也不容乐观,校园网安全问题已经成为保证校园正常教学、管理的重要课题。2 课程核心内容2.1 信息安全与对抗领域自组织耗散理论基础信息安全与对抗问题是信息系统融入社会共同进化事物中矛盾的一部分,具有复杂的系统特征,总体上可以借助开放耗散自组织理论基础,在信息安全对抗领域对应建立分支理论,用以由系统矛盾角度研究信息安全与对抗问题,进而
4、对矛盾进行导引,推动信息科技和信息系统乃至社会发展。耗散自组织理论可扼要归纳为以下四点结论:1、开放的耗散结构(非线性、非平衡态、耗散内部不可逆过程产生的熵)必定自组织地形成宏观(系统层次)动态有序(系统层次的运动规律、机制等) 。2、通过“涨落 ”(矛盾对立斗争造成的状态起伏)开放耗散结构在远离平衡态下达到新的有序, 这条结论蕴涵进化概念。3、大小宇宙共同进化,意指耗散自组织系统融入环境(更“大” 的系统)中互相作用共同进化(淘汰不能共同进化者) ,这样就发展了达尔文的被动选择淘汰理论,也是耗散自组织理论中说明进化过程的重要部分。4、进化机制不断进化(进化模式也在进化,总的趋势是使世界进化更
5、快) 。以上结论在信息安全对抗领域完全适用,信息安全对抗问题作为一个事物是人类社会进化内容的重要组成部分,它明显地具有系统复杂特征,属于耗散自组织理论适用范围。2.2 基础层次对抗原理2.2.1 特殊性存在与保持性原理特殊性是与普遍性对立的范畴,两者具有相互依存的统一性,特殊性是事物存在最基本、最概括的本征属性,所有事物的存在都是以各种各样特殊的形式存在,由此将各种各样的存在形式,如广义空间、时间维中位置、次序、占位大小、持续长短等多维度具体表征,都可概括抽象为一种区分于其他事物的“特殊性” 。2.2.2 信息存在相对性原理信息是事物运动状态的表征和描述,有“运动” 必伴有信息,由此基础概念而
6、言,“信息”必然存在,不能消失。在具体实际情况下,由于复杂环境, “信息”的“ 存在”呈现相对性。 “信息 ” 有针对运动状态具体剖面的相对性,不同剖面的“信息” 一般不同,“信息” 有依靠表征方法(即相对映射和运算关系)的相对性。 “信息” 在形成和应用过程中(如获取、存储、交换、传输、处理等)会有外部“干扰” 介入,使得具体“信息”的 真实性、保密性、可用性等发生问题而影响使用,因此,信息的“存在” 是相对的。2.2.3 广义空间维及时间维信息的有限尺度表征原理由表征角度观察各具体表征运动信息的具体形式在广义空间所占大小,以及时间维中所占长度都是有限的。如果信息在空间维和时间维非有限尺度,
7、占满了广义空间和时间维,信息间互相无法区别,则事物间无法区别,特殊性无法谈起。在信息安全领域的应用现实中,在本原理基础上,可将信息在时间、 空间域内进行变换和处理以满足对抗需要。2.2.4 在共道基础上反其道而行之(相反相成)原理矛盾对立统一律是一切事物运动的基本规律。人们都承认矛盾的对立斗争是促使事物发展的根本因素,承认矛盾对立斗争是第一性的同时,不能忽视与对立同时存在“统一”的重要性。一对矛盾是对立的同时又是统一的,并呈现相反相成性质。2.2.5 共其道而行之(相成相反)原理形式上以对方共道顺向为主,实质上达到反向对抗(逆道)效果的原理,称为共其道而行之相成相反原理。共其道而行之达到相反的
8、效果,有多种原因和方法,概括而言是来源哲学规律所规定的一切机理所形成的机能效果都只具有有限性,非绝对的相对性时空域呈相对性) 。2.2.6 争斗制对抗信息权及快速建立系统对策响应原理根据信息的定义和信息存在相对性原理, 双方在对抗过程所采取的任何行动,必定伴随着产生“ 信息” ,这种 “信息”称为“对抗信息” 。它对双方都很重要,只有通过它才能判断对方攻击行动的“道” , 进而为反应对抗进行反其道而行之提供基础,否则无法反其道而行之更不要说相反相成了, “对抗信息” 在时空域中包含对立统一性质,如双方对自己行动所形成的“对抗信息” 希望对对方进行隐藏,对方则希望破除“隐藏”而得到它。除了在围绕
9、 “对抗信息”隐藏与反隐藏体现在空间的对立斗争外,在时间域中也存在着“ 抢先 ”“尽早”意义上的斗争,同样具有重要。时空交织双方形成了复杂的“ 对抗信息” 斗争,成为信息安全对抗双方斗争过程第一回合的前沿焦点,并对其胜负起重要作用。2.3 系统层次对抗原理2.3.1 攻击方全局占主动地位,被攻击方居被动地位及局部争取主动全局获胜原理发动攻击方全局占主动地位,理论上它可以在任何时间、以任何攻击方法、对任何信息系统及任何部位进行攻击,攻击准备工作可以隐藏进行。被攻击方在这个意义上处于被动状态,这是不可变更 的,被攻击方所能做的是在全局被动下争取局部主动。2.3.2 信息安全问题置于信息系统功能顶层
10、综合运筹原理将信息安全这一重要问题融入整个系统,利用系统理论及信息安全对抗原理综合运筹,恰当地在系统功能体系中(安全性为其中的一)妥善处理各分项“度” 的相互关系,以使信息系统充分发挥功能, 同时不发生大的功能失调。2.3.3 技术核心措施转移构成串行链结构,从而形成“脆弱性”原理每一种安全措施在面对达“目的” 实施的技术措施中,即由达目的的直接措施出发逐步落实效果过程中,必然遵照从技术核心环节逐次转移直至普通技术为止这一规律,从而形成串行结构链规律。2.3.4 变换、对称与不对称性变换应用原理“关系”是一个非常重要的基础概念,因为普遍的事物间相互关联、相互影响从而形成“关系 ”, “关系”一
11、定意义上表征事物运动,代表事物存在。 “变换”可以指相互作用的变换,可以认为是事物属性的“表征” 由一种方式向另一种转变,也可认为是关系间的变换,即变换关系。对称与不对称是事物运动的一种基本特性,也是作为研究具体事物特殊存在性的重要特征之一。2.3.5 对抗过程多层次、多剖面动态组合对抗特性下间接对抗等价原理对抗一方绕开某层次的直接对抗而选择更高更核心层进行更有效的间接式对抗称为间接对抗等价原理。2.4 “共道”“逆道”对抗机理博弈模型信息安全对抗领域包括了无数具体问题,各不同具体问题,有不同矛盾,也就有不同斗争机制,就其共性和基本性而言,建立“ 共道” “逆道” 对抗机制的博弈模型是一个基本
12、模型,也可以说是一个表述对抗的框架,它要根据实际情况充入具体内容,也可进行剪裁。模型构成的根据是信息安全对抗双方斗争过程,必遵守矛盾的对立统一律,将矛盾对立统一斗争相反相成作用对应到“共道” 、 “逆道”环节而构建的,模型可以用做过程后的总结分析,也可在对抗前用于运筹决策,制定措施方法。3 系统架构3.1 基本功能校园网与校园群应具有为学校和学校之间的教育提供网络环境,实现资源共享、信息交流、协同工作等基本功能。1、为教育信息的及时、准确、可靠地收集、处理、存储和传输等提供工具和网络环境。2、为学校行政管理和决策提供基础数据、手段和网络环境,实现办公自动化,提高工作效率、管理和决策水平。3、为
13、备课、课件制作、授课、学习、练习、辅导、交流、考试和统计评价等各个教学环节提供网络平台和环境。4、为使用网络通信、视频点播和视频广播技术,提供符合素质教育要求的新型教育模式。5、为科学研究的资料检索、收集和分析;成果的交流、研讨;模拟实验等提供环境和手段。3.2 系统要求1、校园网必须拥有高速的 Internet 接入出口和教育网接入出口,利用负载均衡和流量控制技术,保证校内师生稳定、快速地运用网络。2、保证校园网的基本应用服务,如 DNS 服务、WWW 服务、FTP 服务、VOD 点播服务、E-mail 服务等。3、建立学校自己的教育资源数据系统和教务管理系统,为今后的教育学习提供支持。 4
14、、扩大网络覆盖范围,在建设有线网的时候规划设计无线网建设方案,保证全校师生能在校园内随时随地接入网络。5、强化完善用户访问校内校外资源的访问权限和策略管理,进行计费认证,并能够详细地记录上网访问日志,提高校园网的可管理性。6、加强校园网的安全可靠性,通过防火墙、IDS、VLAN 等技术阻止恶意攻击,保护校园网的正常运行和校内数据资源的安全3.3 网络拓扑网络拓扑结构是指用各种传输介质互相连接各种设备的物理布局,指构成网络的成员之间物理的或逻辑的排列方式。简单说来,网络拓扑就是网络的形状,用来描述网络设备的连通性。网络拓扑结构可视化是为了以图形化的方式,直观形象地表示出整个网络系统的各个子网,以
15、及子网内部各种网络设备之间的互连关系。 网络的拓扑结构类型主要有总线型(Bus)结构、树型(Tree)结构、星型(Star)结构、环型(Ring)结构及网状结构等。拓扑结构的选择不但与网络需求、地理概况相关,同时也与传输媒体及媒体访问控制方法紧密相连。大型校园网的网络系统从功能上可分为网络中心、教学子网、办公子网、宿舍区子网等;从结构上可以分为接入层、汇聚层、核心层共三层。分层思想使得网络有一个系统化、结构化的设计,可针对不同的层次进行模块化分析,且能够支持任何拓扑结构,极大地减轻核心层交换机的负载,保证网络的整体性能,对校园网的管理和维护提供很大的便捷。目前,分层式网络结构已经成为一种主流,
16、而新型的网络要求实现网络结构扁平化,这样既方便建设和配置,也方便网络管理人员今后的维护。校园网的系统结构如图 3-1。图 3-1 校园网系统结构在确定了校园网的整体系统结构后,结合整个校园网楼宇及信息点的分布,可以规划出校园网的详细拓扑图。图 3-2 校园网拓扑结构图4 系统不安全因素分析4.1 操作系统与应用软件引发的安全隐患操作系统与应用软件引发的高校校园网安全问题不容忽视。 目前,有的操作系统或应用软件留有“ 后门 ”程序,在系统或软件的开放过程中,程序员常常会在软件或系统内创建后门程序,其目的是方便后期修改程序设计与开发中的缺陷,但同时,如果后门信息被其他人获取,或是后期仍旧保留有后门程序代码,安全隐患便产生了,很容易被黑客抓住此漏洞进行攻击,常见的后门有网页后门、线程插入后门、扩展后门、C/S 后门;同时,因为各种系统或者软件功能较多、容量较大,各种安全漏洞便不可避免地出现了,各种应用程序更新交替频繁,各种安全问题层出不穷,因此,黑客可能就此展开入侵行为。还有部分高校的校园网 FTP 服务器上拥有大量的信息资源,如各类软件(可能含非法软件) 、单机或网络游戏、教学资
