第一篇：網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的實(shí)現(xiàn)方法

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的實(shí)現(xiàn)方法

司法信息安全方向王立鵬1 傳統(tǒng)安全審計(jì)系統(tǒng)的歷史

傳統(tǒng)的安全審計(jì)系統(tǒng)早在70年代末、80年代初就已經(jīng)出現(xiàn)在某些UNDO系統(tǒng)當(dāng)中，其審計(jì)的重點(diǎn)也是本主機(jī)的用戶(hù)行為和系統(tǒng)調(diào)用。在隨后的20年間，其他的各個(gè)操作系統(tǒng)也有了自己的安全審計(jì)工具，如符合C2安全級(jí)別的Windows NT, Nnux的syslog機(jī)制以及SUN 13SM等。常用安全措施的不足和基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)的出現(xiàn)

近幾年來(lái)，隨著開(kāi)放系統(tǒng)Internet的飛速發(fā)展和電子商務(wù)的口益普及，網(wǎng)絡(luò)安全和信息安全問(wèn)題日益突出，各類(lèi)黑客攻擊事件更是層出不窮。而相應(yīng)發(fā)展起來(lái)的安全防護(hù)措施也日益增多，特別是防火墻技術(shù)以及IDS(人侵檢測(cè)技術(shù))更是成為大家關(guān)注的焦點(diǎn)。但是這兩者都有自己的局限性。

2.1防火墻技術(shù)的不足

防火墻技術(shù)是發(fā)展時(shí)間最長(zhǎng)，也是當(dāng)今防止網(wǎng)絡(luò)人侵行為的最主要手段之一，主要有包過(guò)濾型防火墻和代理網(wǎng)關(guān)型防火墻兩類(lèi)。其主要思想是在內(nèi)外部網(wǎng)絡(luò)之間建立起一定的隔離，控制外部對(duì)受保護(hù)網(wǎng)絡(luò)的訪問(wèn)，它通過(guò)控制穿越防火墻的數(shù)據(jù)流來(lái)屏蔽內(nèi)部網(wǎng)絡(luò)的敏感信息以及阻擋來(lái)自外部的威脅。雖然防火墻技術(shù)是當(dāng)今公認(rèn)發(fā)展最為成熟的一種技術(shù)，但是由于防火墻技術(shù)自身存在的一些缺陷，使其越來(lái)越難以完全滿(mǎn)足當(dāng)前網(wǎng)絡(luò)安全防護(hù)的要求。包過(guò)濾型防火墻如只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制，一般只是基于IP地址和服務(wù)端口，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包中其他內(nèi)容的檢查極少，再加上其規(guī)則的配置和管理極其復(fù)雜，要求管理員對(duì)網(wǎng)絡(luò)安全攻擊有較深人的了解，因此在黑客猖撅的開(kāi)放Internet系統(tǒng)中顯得越來(lái)越難以使用。而代理網(wǎng)關(guān)防火墻雖然可以將內(nèi)部用戶(hù)和外界隔離開(kāi)來(lái)，從外部只能看到代理服務(wù)器而看不到內(nèi)部任何資源，但它沒(méi)有從根本上改變包過(guò)濾技術(shù)的缺陷，而且在對(duì)應(yīng)用的支持和速度方面也不能令人滿(mǎn)意

2.2入侵檢測(cè)技術(shù)的不足

人侵檢測(cè)技術(shù)是防火墻技術(shù)的合理補(bǔ)充，能夠?qū)Ω鞣N黑客人侵行為進(jìn)行識(shí)別，擴(kuò)展了網(wǎng)絡(luò)管理員的安全管理能力。一般來(lái)說(shuō)，人侵檢測(cè)系統(tǒng)(IDS)是防火墻之后的第二層網(wǎng)絡(luò)安全防護(hù)機(jī)制。

目前較為成熟的IDS系統(tǒng)可分為基十主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS兩種。

基于主機(jī)的IDS來(lái)源于系統(tǒng)的審計(jì)日志，它和傳統(tǒng)基于主機(jī)的審計(jì)系統(tǒng)一樣一 般只能檢測(cè)發(fā)生在本主機(jī)上面的人侵行為。

基于網(wǎng)絡(luò)的IDS系統(tǒng)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，對(duì)一些有人侵嫌疑的包作出報(bào)警。人侵檢測(cè)的最大特色就是它的實(shí)時(shí)性?準(zhǔn)實(shí)時(shí)性)，它能在出現(xiàn)攻擊的時(shí)候發(fā)出警告，讓管理人員在在第一時(shí)間了解到攻擊行為的發(fā)生，并作出相應(yīng)措施，以防止進(jìn)一步的危害產(chǎn)生。實(shí)時(shí)性的要求使得人侵檢測(cè)的速度性能至關(guān)重要，因此決定了其采用的數(shù)據(jù)分析算法不能過(guò)于復(fù)雜，也不可能采用長(zhǎng)時(shí)間窗分析或把歷史數(shù)據(jù)與實(shí)時(shí)數(shù)據(jù)結(jié)合起來(lái)進(jìn)行分析，所以現(xiàn)在大

多數(shù)人侵檢測(cè)系統(tǒng)只是對(duì)單個(gè)數(shù)據(jù)包或者一小段時(shí)間內(nèi)的數(shù)據(jù)包進(jìn)行簡(jiǎn)單分析，從而作出判斷，這樣勢(shì)必會(huì)產(chǎn)生較高的誤報(bào)率和漏報(bào)率，一般只有20%攻擊行為被IDS發(fā)現(xiàn)也就不足為奇了。雖然國(guó)內(nèi)外普遍對(duì)人侵檢測(cè)技術(shù)都有很高的評(píng)價(jià)，但是隨著黑客技術(shù)的發(fā)展，一些人侵檢測(cè)系統(tǒng)本身的缺陷也為人們所了解。一些黑客利用某些分布式技術(shù)，在同一時(shí)刻向某個(gè)人侵檢測(cè)系統(tǒng)發(fā)送大量垃圾數(shù)據(jù)包，使得人侵檢測(cè)系統(tǒng)來(lái)不及處理而過(guò)載，直到發(fā)生丟包現(xiàn)象。黑客在此時(shí)發(fā)動(dòng)攻擊，人侵相關(guān)的網(wǎng)絡(luò)活動(dòng)被淹沒(méi)在大量的嘈聲之中，使得人侵檢測(cè)無(wú)法檢測(cè)出包含人侵模式的網(wǎng)絡(luò)信息，這樣一來(lái)黑客就達(dá)到了逃避人侵檢測(cè)的目的。

2.3基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)

在這種情況下，基于網(wǎng)絡(luò)安全審計(jì)系統(tǒng)孕育而生?；诰W(wǎng)絡(luò)的安全審計(jì)系統(tǒng)在近幾年剛剛起步，尚處在探索階段，其審計(jì)重點(diǎn)也在網(wǎng)絡(luò)的訪問(wèn)行為和網(wǎng)絡(luò)中的各種數(shù)據(jù)。對(duì)此有比較深人研究的也只是少數(shù)幾個(gè)高?；蛘呖蒲袡C(jī)構(gòu)，其中以Purdue大學(xué)的NASHIS系統(tǒng)較為著名。

一般的基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)作為一個(gè)完整安全框架中的一個(gè)必要環(huán)節(jié)，一般處在人侵檢測(cè)系統(tǒng)之后，作為對(duì)防火墻系統(tǒng)和人侵檢測(cè)系統(tǒng)的一個(gè)補(bǔ)充，其功能:首先它能夠檢測(cè)出某些特殊的IDS無(wú)法檢測(cè)的人侵行為(比如時(shí)間跨度很大的長(zhǎng)期的攻擊特征);其次它可以對(duì)人侵行為進(jìn)行記錄并可以在任何時(shí)間對(duì)其進(jìn)行再現(xiàn)以達(dá)到取證的目的;最后它可以用來(lái)提取一些未知的或者未被發(fā)現(xiàn)的人侵行為模式等。

圖1安全審計(jì)在整個(gè)安全體系中的位置

與傳統(tǒng)的人侵檢測(cè)系統(tǒng)相比，安全審計(jì)系統(tǒng)并沒(méi)有實(shí)時(shí)性的要求，因此可以對(duì)海量的歷史數(shù)據(jù)進(jìn)行分析，并且采用的分析方法也可以更加復(fù)雜和精細(xì)。一般來(lái)說(shuō)，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能夠發(fā)現(xiàn)的攻擊種類(lèi)大大高于人侵檢測(cè)系統(tǒng)，而且誤報(bào)率也沒(méi)有人侵檢測(cè)系統(tǒng)那樣的高。3 基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)的常用實(shí)現(xiàn)方法

3.1基于規(guī)則庫(kù)的方法

基于規(guī)則庫(kù)的安全審計(jì)方法就是將已知的攻擊行為進(jìn)行特征提取，把這些特征用腳本語(yǔ)言等方法進(jìn)行描述后放人規(guī)則庫(kù)中，當(dāng)進(jìn)行安全審計(jì)時(shí)，將收集到網(wǎng)絡(luò)數(shù)據(jù)與這些規(guī)則進(jìn)行某種比較和匹配操作(關(guān)鍵字、正則表達(dá)式、模糊近似度等)，從而發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊行為。這種方法和某些防火墻和防病毒軟件的技術(shù)思路類(lèi)似，檢測(cè)的準(zhǔn)確率都相當(dāng)高，可以通過(guò)最簡(jiǎn)單的匹配方法過(guò)濾掉大量的網(wǎng)絡(luò)數(shù)據(jù)信息，對(duì)于使用特定黑客工具進(jìn)行的網(wǎng)絡(luò)攻擊特別有效。比如發(fā)現(xiàn)目的端口為139以及含有DOB標(biāo)志的數(shù)據(jù)包，一般肯定是Winnuke攻擊數(shù)據(jù)包。而且規(guī)則庫(kù)可以從互連網(wǎng)上下載和升級(jí)(如。.cert.org等站點(diǎn)都可以提供各種最新攻擊數(shù)據(jù)庫(kù))，使得系統(tǒng)的可擴(kuò)充性非常好。

但是其不足之處在于這些規(guī)則一般只針對(duì)已知攻擊類(lèi)型或者某類(lèi)特定的攻擊軟件，當(dāng)出現(xiàn)新的攻擊軟件或者攻擊軟件進(jìn)行升級(jí)之后，就容易產(chǎn)生漏報(bào)。

例如，著名的Back Orifice后門(mén)軟件在90年代末非常流行，當(dāng)時(shí)人們會(huì)發(fā)現(xiàn)攻擊的端口

是31337，因此31337這個(gè)古怪的端口便和 Back Orifice聯(lián)系在了一起。但不久之后，聰明的Back Orifice作者把這個(gè)源端口換成了80這個(gè)常用的Web服務(wù)器端口，這樣一來(lái)便逃過(guò)了很多安全系統(tǒng)的檢查。

此外，雖然對(duì)于大多數(shù)黑客來(lái)說(shuō)，一般都只使用網(wǎng)絡(luò)上別人寫(xiě)的攻擊程序，但是越來(lái)越多的黑客已經(jīng)開(kāi)始學(xué)會(huì)分析和修改別人寫(xiě)的一些攻擊程序，這樣一來(lái)，對(duì)同一個(gè)攻擊程序就會(huì)出現(xiàn)很多變種，其簡(jiǎn)單的通用特征就變得不十分明顯，特別規(guī)則庫(kù)的編寫(xiě)變得非常困難。綜上所述，基于規(guī)則庫(kù)的安全審計(jì)方法有其自身的局限性。對(duì)于某些特征十分明顯的網(wǎng)絡(luò)攻擊數(shù)據(jù)包，該技術(shù)的效果非常之好;但是對(duì)于其他一些非常容易產(chǎn)生變種的網(wǎng)絡(luò)攻擊行為(如Backdoo:等)，規(guī)則庫(kù)就很難用完全滿(mǎn)足要求了。

3.2基于數(shù)理統(tǒng)計(jì)的方法

數(shù)理統(tǒng)計(jì)方法就是首先給對(duì)象創(chuàng)建一個(gè)統(tǒng)計(jì)量的描述，比如一個(gè)網(wǎng)絡(luò)流量的平均值、方差等等，統(tǒng)計(jì)出正常情況下這些特征量的數(shù)值，然后用來(lái)對(duì)實(shí)際網(wǎng)絡(luò)數(shù)據(jù)包的情況進(jìn)行比較，當(dāng)發(fā)現(xiàn)實(shí)際值遠(yuǎn)離正常數(shù)值時(shí)，就可以認(rèn)為是潛在的攻擊發(fā)生。

對(duì)于著名syn flooding攻擊來(lái)說(shuō)，攻擊者的目的是不想完成正常的TCP 次握手所建立起來(lái)的連接，從而讓等待建立這一特定服務(wù)的連接數(shù)量超過(guò)系統(tǒng)所限制的數(shù)量，這樣就可以使被攻擊系統(tǒng)無(wú)法建立關(guān)于該服務(wù)的新連接。很顯然，要填滿(mǎn)一個(gè)隊(duì)列，一般要在一段時(shí)間內(nèi)不停地發(fā)送SYN連接請(qǐng)求，根據(jù)各個(gè)系統(tǒng)的不同，一般在每分鐘 10-20，或者更多。顯然，在一分鐘從同一個(gè)源地址發(fā)送來(lái)20個(gè)以上的SYN連接請(qǐng)求是非常不正常的，我們完全可以通過(guò)設(shè)置每分鐘同一源地址的SYN連接數(shù)量這個(gè)統(tǒng)計(jì)量來(lái)判別攻擊行為的發(fā)生。但是，數(shù)理統(tǒng)計(jì)的最大問(wèn)題在于如何設(shè)定統(tǒng)計(jì)量的“閡值”，也就是正常數(shù)值和非正常數(shù)值的分界點(diǎn)，這往往取決于管理員的經(jīng)驗(yàn)，不可避免地容易產(chǎn)生誤報(bào)和漏報(bào)基于網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的新方法:有學(xué)習(xí)能力的數(shù)據(jù)挖掘

上述的兩種方法已經(jīng)得到了廣泛的應(yīng)用，而且也獲得了比較大的成功，但是它最大的缺陷在于已知的人侵模式必須被手工編碼，它不能適用于任何未知的人侵模式。因此最近人們開(kāi)始越來(lái)越關(guān)注帶有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法。

4.1數(shù)據(jù)挖掘簡(jiǎn)介及其優(yōu)點(diǎn)

數(shù)據(jù)挖掘是一個(gè)比較完整地分析大量數(shù)據(jù)的過(guò)程，它一般包括數(shù)據(jù)準(zhǔn)各、數(shù)據(jù)預(yù)處理、建立挖掘模型模型評(píng)估和解釋等，它是一個(gè)迭代的過(guò)程，通過(guò)不斷調(diào)整方法和參數(shù)以求得到較好的模型。

數(shù)據(jù)挖掘這個(gè)課題現(xiàn)在有了許多成熟的算法，比如決策樹(shù)、神經(jīng)元網(wǎng)絡(luò)、K個(gè)最近鄰居(K一NN),聚類(lèi)關(guān)聯(lián)規(guī)則和序慣模型、時(shí)間序列分析器、粗糙集等。應(yīng)用這些成熟的算法可以盡量減少手工和經(jīng)驗(yàn)的成分而且通過(guò)學(xué)習(xí)可以檢測(cè)出一些未被手工編碼的特征因此十分適用于網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。

4.2有學(xué)習(xí)能力的數(shù)據(jù)挖掘在基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)中的應(yīng)用

我們采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法，實(shí)現(xiàn)了一般網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的框架原型。該系統(tǒng)的主要思想是從“正?！钡木W(wǎng)絡(luò)通訊數(shù)據(jù)中發(fā)現(xiàn)“正常”的網(wǎng)絡(luò)通訊模式。并和常規(guī)的一些攻擊規(guī)則庫(kù)進(jìn)行關(guān)聯(lián)分析，達(dá)到檢測(cè)網(wǎng)絡(luò)人侵行為的目的。在本系統(tǒng)之巾，主要采用了三種比較成熟的數(shù)據(jù)挖掘算法，這三個(gè)算法和我們的安全審計(jì)系統(tǒng)都有著十分密切的關(guān)系:

分類(lèi)算法 該算法主要將數(shù)據(jù)影射到事先定義的一個(gè)分類(lèi)之中。這個(gè)算法的結(jié)果是產(chǎn)生一個(gè)以決策樹(shù)或者規(guī)則形式存在“判別器”。理想安全審計(jì)系統(tǒng)一般先收集足夠多的“正常”或者“非正?！钡谋皇杏?jì)數(shù)據(jù)，然后用一個(gè)算法去產(chǎn)生一個(gè)“判別器”來(lái)對(duì)將來(lái)的數(shù)據(jù)進(jìn)行判別，決定哪些是正常行為而哪些是可疑或者人侵行為。而這個(gè)“判別器”就是我們系統(tǒng)中“分析引擎”的一個(gè)主要部分。

相關(guān)性分析 主要用來(lái)決定數(shù)據(jù)庫(kù)里的各個(gè)域之間的相互關(guān)系。找出被審計(jì)數(shù)據(jù)間的相互關(guān)聯(lián)將為決定整個(gè)安全審計(jì)系統(tǒng)的特征集提供很重要的依據(jù)。

時(shí)間序列分析 該算法用來(lái)建立本系統(tǒng)的時(shí)間順序標(biāo)準(zhǔn)模型。這個(gè)算法幫助我們理解審計(jì)事件的時(shí)間序列一般是如何產(chǎn)生的，這些所獲得常用時(shí)間標(biāo)準(zhǔn)模型可以用來(lái)定義網(wǎng)絡(luò)事件是否正常。

整個(gè)系統(tǒng)的工作流程如圖2所示

圖2 系統(tǒng)工作流程圖

首先，系統(tǒng)從數(shù)據(jù)的采集點(diǎn)介采集數(shù)據(jù)，將數(shù)據(jù)進(jìn)行處理后放入被審計(jì)數(shù)據(jù)庫(kù)，通過(guò)執(zhí)行安全審計(jì)引擎讀人規(guī)則庫(kù)來(lái)發(fā)現(xiàn)人侵事件，將人侵時(shí)rbi記錄到人侵時(shí)間數(shù)據(jù)庫(kù)，而將正常網(wǎng)絡(luò)數(shù)據(jù)的訪問(wèn)放人正常網(wǎng)絡(luò)數(shù)據(jù)庫(kù)，并通過(guò)數(shù)據(jù)挖掘來(lái)提取正常的訪問(wèn)模式。最后通過(guò)舊的規(guī)則庫(kù)、人侵事件以及正常訪間模式來(lái)獲得最新的規(guī)則庫(kù)?？梢圆煌５刂貜?fù)上述過(guò)程，不斷地進(jìn)行自我學(xué)習(xí)的過(guò)程，同時(shí)不斷更新規(guī)則庫(kù)，直到規(guī)則庫(kù)達(dá)到穩(wěn)定。

我們實(shí)現(xiàn)的原型系統(tǒng)的框圖由圖3所示。

圖3 系統(tǒng)結(jié)構(gòu)框圖

上面我們所見(jiàn)到的系統(tǒng)整體框架圖中，在通過(guò)對(duì)正常網(wǎng)絡(luò)通訊數(shù)據(jù)集的學(xué)習(xí)后，可以獲得正常訪問(wèn)模式，這個(gè)過(guò)程就采用了數(shù)據(jù)挖掘技術(shù)，從海量的正常數(shù)據(jù)中半自動(dòng)地提取正常訪間模式，可以減少人為的知覺(jué)和經(jīng)驗(yàn)的參與，減少了誤報(bào)出現(xiàn)的可能性。此外，使用規(guī)則合并可以不斷更新規(guī)則庫(kù)，對(duì)新出現(xiàn)的攻擊方式也可以在最快的時(shí)間內(nèi)做出反應(yīng)，這也是傳統(tǒng)方法無(wú)法實(shí)現(xiàn)的?？?結(jié)

本文首先簡(jiǎn)單介紹了兩個(gè)常用安全策略:防火墻和人侵檢測(cè)系統(tǒng)，并討論了它們的不足，然后給出了一種比較新的安全策略:基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)，并討論了它的兩個(gè)常用傳統(tǒng)實(shí)現(xiàn)方法:規(guī)則匹配策略和數(shù)理統(tǒng)計(jì)策略。在具體分析這兩類(lèi)方法的應(yīng)用和不足的同時(shí)給出了一種新的實(shí)現(xiàn)方式:使用具有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法。最后給出了使用這個(gè)技術(shù)來(lái)實(shí)現(xiàn)基于網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)的一個(gè)系統(tǒng)原型通過(guò)在某實(shí)際網(wǎng)絡(luò)環(huán)境中的使用測(cè)試表明，本系統(tǒng)達(dá)到了預(yù)期的設(shè)計(jì)功能。

第二篇：畢業(yè)論文--校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

xx大學(xué)

本科畢業(yè)設(shè)計(jì)（論文）

（題

目：校園網(wǎng)絡(luò)安全問(wèn)題及對(duì)策 學(xué)生姓名：xx 系

別：計(jì)算機(jī)系

專(zhuān)

業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)

2011年2月

摘要

網(wǎng)絡(luò)安全的本質(zhì)是網(wǎng)絡(luò)信息的安全性，包括信息的保密性、完整性、可用性、真實(shí)性、可控性等幾個(gè)方面，它通過(guò)網(wǎng)絡(luò)信息的存儲(chǔ)、傳輸和使用過(guò)程體現(xiàn)。校園網(wǎng)絡(luò)安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對(duì)于防止來(lái)自校園網(wǎng)外的攻擊。防火墻，則是內(nèi)外網(wǎng)之間一道牢固的安全屏障。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。學(xué)校建立了一套校園網(wǎng)絡(luò)安全系統(tǒng)是必要的。

本文從對(duì)校園網(wǎng)的現(xiàn)狀分析了可能面臨的威脅，從計(jì)算機(jī)的安全策略找出解決方案既用校園網(wǎng)絡(luò)安全管理加防火墻加設(shè)計(jì)的校園網(wǎng)絡(luò)安全系統(tǒng)。通過(guò)以下三個(gè)步驟來(lái)完成校園網(wǎng)絡(luò)安全系統(tǒng)：

1、建設(shè)規(guī)劃；

2、技術(shù)支持；

3、組建方案。

關(guān)鍵詞：網(wǎng)絡(luò)； 安全； 設(shè)計(jì)

ABSTRACT

Network security is the essence of the safety of network information, including information of confidentiality, integrity, and availability, authenticity and controllable etc, it is through the network information storage, transport and use process.Campus network security management is in anti-virus software, a firewall or intelligence gateway, etc, the defense system to prevent from outside the campus.A firewall is a firm between inner and outer net security barrier.Safety management is the basis of network security and safety technology is the auxiliary measures with safety management.The school has established a set of campus network security system is necessary.Based on the analysis of the status of the network could face threats, from the computer security strategy to find solutions in the campus network security management is designed with the campus network firewall security system.Through three steps to complete the campus network security system: 1, the construction plan.2 and technical support.3 and construction scheme.Keyword: Network, Safe ；Design

目 錄

緒

論.....................................................1 1.校園網(wǎng)絡(luò)安全..............................................2

1.1 校園網(wǎng)概述........................................................2 1.2 校園網(wǎng)絡(luò)安全概述.................................................3 1.3 校園網(wǎng)絡(luò)安全現(xiàn)狀分析.............................................3 1.4 校園網(wǎng)絡(luò)安全威脅................................................5

2.校園網(wǎng)絡(luò)安全策略..........................................8

2.1 校園網(wǎng)絡(luò)安全管理.................................................8 2.2 校園網(wǎng)絡(luò)安全措施.................................................9 3.校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)......................................11

3.1 校園網(wǎng)建設(shè)需求分析..............................................11 3.1.1 需求分析....................................................11 3.1.2 關(guān)鍵設(shè)備....................................................12 3.1.3 校園網(wǎng)絡(luò)拓?fù)?...............................................13 3.2 技術(shù)方案........................................................13 3.2.1 校園網(wǎng)的建設(shè)規(guī)劃............................................13 3.2.2 組網(wǎng)技術(shù)....................................................16 3.2.3 網(wǎng)絡(luò)操作系統(tǒng)................................................18 3.2.4 INTERNET 接入技術(shù)...........................................18 3.2.5 防火墻技術(shù)..................................................19 3.2.6 建網(wǎng)方案....................................................19 3.3 校園網(wǎng)的運(yùn)行....................................................23 3.3.1 校園網(wǎng)的應(yīng)用................................................23 3.3.2 校園網(wǎng)的管理................................................23

總 結(jié)....................................................25 參考文獻(xiàn)....................................................26

緒 論

隨著人們對(duì)于信息資源共享以及信息交流的迫切需求，促使網(wǎng)絡(luò)技術(shù)的產(chǎn)生和快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的產(chǎn)生和使用為人類(lèi)信息文明的發(fā)展帶來(lái)了革命性的變化。主要包括各種局域網(wǎng)的技術(shù)思想，網(wǎng)絡(luò)設(shè)計(jì)方案，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，布線系統(tǒng)，Internetde 應(yīng)用，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)系統(tǒng)的維護(hù)等內(nèi)容。而網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問(wèn)題日益突出，近年來(lái)，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光，國(guó)家相關(guān)部門(mén)也一再三令五申要求切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在高校網(wǎng)絡(luò)建設(shè)的過(guò)程中，由于對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶(hù)的快速增長(zhǎng)，關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)從早先教育、科研的試驗(yàn)網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問(wèn)題。

隨著教育信息化的不斷推進(jìn)，各高等院校都相繼建成了自己的校園網(wǎng)絡(luò)并連入互聯(lián)網(wǎng)，校園網(wǎng)在學(xué)校的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到，隨著校園網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶(hù)的快速增長(zhǎng)，尤其是校園網(wǎng)絡(luò)所面對(duì)的使用群體的特殊性（擁有一定的網(wǎng)絡(luò)知識(shí)、具備強(qiáng)烈的好奇心和求知欲、法律紀(jì)律意識(shí)卻相對(duì)淡漠），如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問(wèn)題，解決網(wǎng)絡(luò)安全問(wèn)題刻不容緩。

計(jì)算機(jī)管理和教育信息服務(wù)的要求越來(lái)越高。

3、我國(guó)各級(jí)教育研究部門(mén)、軟件開(kāi)發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級(jí)學(xué)校不斷開(kāi)發(fā)提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng)，并且越來(lái)越形象化、實(shí)用化，迫切需要網(wǎng)絡(luò)環(huán)境。

4、現(xiàn)代教育改革的需要。

5、計(jì)算機(jī)技術(shù)的飛速發(fā)展，使相應(yīng)產(chǎn)品價(jià)格不斷下降；同時(shí)人們的認(rèn)識(shí)水平和經(jīng)濟(jì)實(shí)力不斷提高。大量計(jì)算機(jī)進(jìn)入學(xué)校和家庭，使得計(jì)算機(jī)用于教育信息管理和信息服務(wù)是完全可行的。[1]

1.2校園網(wǎng)絡(luò)安全概述

自信息系統(tǒng)開(kāi)始運(yùn)行以來(lái)就存在信息系統(tǒng)安全問(wèn)題，通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問(wèn)題。根據(jù)美國(guó)FBI的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)170億美元。

由于校園網(wǎng)絡(luò)內(nèi)運(yùn)行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專(zhuān)為安全通訊而設(shè)計(jì)。所以，校園網(wǎng)絡(luò)可能存在的安全威脅來(lái)自以下方面：

1.操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC；

2.防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過(guò)檢驗(yàn)； 3.來(lái)自?xún)?nèi)部網(wǎng)用戶(hù)的安全威脅；

4.缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性； 5.采用的TCP/IP協(xié)議族軟件，本身缺乏安全性；

6.應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。

1.3校園網(wǎng)絡(luò)安全現(xiàn)狀分析

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說(shuō)現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這對(duì)加快信息處理、提高工作效率、實(shí)現(xiàn)資源共享都起大了無(wú)法估量的作用，但在積極發(fā)展辦公自動(dòng)化、信息電子化、實(shí)現(xiàn)資源共享的同時(shí)，網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越成為一個(gè)非常嚴(yán)懲的隱患，就好像一顆定時(shí)炸彈一樣，深深的埋在教育現(xiàn)代化的進(jìn)程中，如果這一個(gè)隱患不除，那么也許有一天，學(xué)校信息平臺(tái)服務(wù)器遭到攻擊而停止工作、整個(gè)校園網(wǎng)絡(luò)被迫停止、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦積累的大量教育資源被破壞。比如2003年暴發(fā)的“震蕩波、沖擊波、FORM.A”

綜上所述，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無(wú)論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。[7]

1.4 校園網(wǎng)絡(luò)安全威脅 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是一組通過(guò)復(fù)制自身來(lái)感染其它軟件的程序。當(dāng)程序運(yùn)行時(shí)，嵌入的病毒也隨之運(yùn)行并感染其它程序。計(jì)算機(jī)病毒種類(lèi)繁多，形形色色，但就已經(jīng)發(fā)現(xiàn)的計(jì)算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾大特征。

破壞性是指計(jì)算機(jī)病毒可能會(huì)干擾軟件的運(yùn)行，或者無(wú)限制地侵占系統(tǒng)資源使系統(tǒng)無(wú)法運(yùn)行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無(wú)法恢復(fù)，甚至可以毀壞整個(gè)系統(tǒng)，導(dǎo)致系統(tǒng)崩潰。傳染性則是計(jì)算機(jī)病毒能通過(guò)自我復(fù)制傳染到內(nèi)存、硬盤(pán)甚至文件中。寄生性表現(xiàn)為病毒程序一般不獨(dú)立存在．而是寄生在磁盤(pán)系統(tǒng)區(qū)或文件中。潛伏性則是指計(jì)算機(jī)病毒可以長(zhǎng)時(shí)間地潛伏在文件中，在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并不影響計(jì)算機(jī)，但當(dāng)被觸發(fā)后，則后果嚴(yán)重。激發(fā)性是指病毒程序可以按照沒(méi)計(jì)者的要求，例如指定的日期、時(shí)間或特定的條件出現(xiàn)在某個(gè)點(diǎn)激活并發(fā)起攻擊。

計(jì)算機(jī)病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認(rèn)識(shí)其傳播途徑和傳播機(jī)理。計(jì)算機(jī)病毒最初傳播主要是通過(guò)被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤(pán)的使用等傳播。這時(shí)候的病毒傳播還是線下傳播。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒傳播主要是通過(guò)磁盤(pán)拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式實(shí)現(xiàn)。

病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計(jì)算機(jī)網(wǎng)絡(luò)。在現(xiàn)有的各計(jì)算機(jī)系統(tǒng)中都存在著一定的缺陷，尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。因此．網(wǎng)絡(luò)病毒利用軟件的破綻和研制時(shí)因疏忽而留下的“后門(mén)”大肆發(fā)起攻擊。網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。

廣義的網(wǎng)絡(luò)攻擊包括很多方面。這里結(jié)合校園網(wǎng)絡(luò)安全的特點(diǎn)，重點(diǎn)介紹拒絕服務(wù)(DoS，Daniel of Service)攻擊。之所以介紹拒絕服務(wù)攻擊，因?yàn)榫芙^服務(wù)攻擊在校園網(wǎng)發(fā)牛的更為普遍。這是因?yàn)樾@網(wǎng)用戶(hù)集中度高、密度大．為拒絕服務(wù)攻擊提供了天然條件。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類(lèi)型之一。

洞來(lái)進(jìn)行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計(jì)算機(jī)當(dāng)中，在以后的計(jì)算機(jī)啟動(dòng)后，木馬就在機(jī)器中打開(kāi)一個(gè)服務(wù)，通過(guò)這個(gè)服務(wù)將你計(jì)算機(jī)的信息、資料向外傳遞。

3)目錄共享導(dǎo)致信息的外泄, 在校園網(wǎng)絡(luò)中，利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某個(gè)目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法。但可以說(shuō)幾乎所有的人都沒(méi)有充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶(hù)可以訪問(wèn)到，而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問(wèn)。這也成了數(shù)據(jù)資料安全的一個(gè)隱患。我曾經(jīng)搜索過(guò)外地機(jī)器的一個(gè)C類(lèi)IP網(wǎng)段，發(fā)現(xiàn)共享的機(jī)器就有十幾臺(tái)，而且許多機(jī)器是將整個(gè)C盤(pán)、D盤(pán)進(jìn)行共享，并且在共享時(shí)將屬性設(shè)置為完全共享，且不進(jìn)行密碼保護(hù)，這樣只要將其映射成一個(gè)網(wǎng)絡(luò)硬盤(pán)，就能對(duì)上面的資料、文檔進(jìn)行查看、修改、刪除。因而對(duì)目錄共享安全意識(shí)的單薄，會(huì)導(dǎo)致了信息的外泄。

4)網(wǎng)絡(luò)安全意識(shí)淡薄，校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號(hào)非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過(guò)郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見(jiàn)不鮮，我校應(yīng)用服務(wù)器和普通計(jì)算機(jī)平均一個(gè)星期會(huì)經(jīng)受到數(shù)千次甚至上萬(wàn)次的非常訪問(wèn)嘗試，而其中一大部分的非法訪問(wèn)源自校內(nèi)，說(shuō)明校園網(wǎng)絡(luò)上的用戶(hù)安全意識(shí)淡?。涣硗?，沒(méi)有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒(méi)有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)安全問(wèn)題泛濫的一個(gè)重要原因.由此可見(jiàn)，構(gòu)筑具有必要的信息安全防護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要.4、嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理，集中進(jìn)行監(jiān)控和管理。上網(wǎng)用戶(hù)不但要通過(guò)統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶(hù)上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。

5、根據(jù)相關(guān)部門(mén)的要求，配備專(zhuān)門(mén)的安全管理人員，出臺(tái)網(wǎng)絡(luò)安全管理制度。網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢(xún)檢，保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理。[2]

2.2 校園網(wǎng)絡(luò)安全措施

前述各種網(wǎng)絡(luò)安全威脅，都是通過(guò)網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來(lái)對(duì)網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。

1、殺毒軟件。

殺毒產(chǎn)品的部署.在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能.。

（1）在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的Windows2000服務(wù)器安裝一個(gè)殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點(diǎn)的計(jì)算機(jī)。（2）在各辦公室分別安裝殺毒軟件的客戶(hù)端。

（3）安裝完殺毒軟件，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶(hù)端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶(hù)端即使在沒(méi)有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。（4）網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。

2、采用VLAN技術(shù)。

VLAN技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制，可以達(dá)到限制用戶(hù)非法訪問(wèn)的目的。

3、內(nèi)容過(guò)濾器。

加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。首先，加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)和普及；其次，是健全完善管理制度和相應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。[6]

學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項(xiàng)靈魂工程。其設(shè)計(jì)方案應(yīng)注意以下原則：

實(shí)用性校園網(wǎng)設(shè)計(jì)應(yīng)能滿(mǎn)足學(xué)校目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求，充分實(shí)現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握。

可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的MTBF(平均無(wú)故障工作時(shí)間)和極低的MTBR(平均無(wú)故障率)，提高容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)，可管理性強(qiáng)。

統(tǒng)一性在系統(tǒng)的設(shè)計(jì)過(guò)程中，堅(jiān)持“三統(tǒng)一”，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。

先進(jìn)性在系統(tǒng)的開(kāi)發(fā)過(guò)程中，既能滿(mǎn)足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來(lái)需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶(hù)的其他要求。

3.1.2 關(guān)鍵設(shè)備

在產(chǎn)品選購(gòu)之前一定要經(jīng)過(guò)認(rèn)真的分析，這次參與組網(wǎng)的機(jī)構(gòu)選用美國(guó)Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī)，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機(jī)，Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿(mǎn)足網(wǎng)絡(luò)目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機(jī)?？梢酝ㄟ^(guò)千兆的光纖鏈路連接到核心交換機(jī)，而所有的用戶(hù)終端可以通過(guò)10/100M自適應(yīng)通道接入到Cisco Catalyst 3524和Catalyst 3548交換機(jī)上。選擇Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級(jí)匯聚交換機(jī)，為終端用戶(hù)提供10/100M到桌面。選擇Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)DDN、ISDN訪問(wèn)路由器，既可以滿(mǎn)足上級(jí)單位Internet的DDN、ISDN接入的需求，又可以滿(mǎn)足繼續(xù)擴(kuò)展的需求。同時(shí)Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號(hào)服務(wù)器，提供分支機(jī)構(gòu)的撥號(hào)接入。

網(wǎng)絡(luò)核心層：用一臺(tái)Cisco的高端三層交換機(jī)Catalyst 6506作為整個(gè)交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個(gè)具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺(tái)。其中配置兩個(gè)電源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機(jī)的心臟，它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。Catalyst6506交換機(jī)引擎卡上的MSFC2(Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力，2

前都要根據(jù)工程的特點(diǎn)事先進(jìn)行詳細(xì)的工程規(guī)化與技術(shù)需求分析，它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運(yùn)行都有直接的關(guān)系，因此要特別認(rèn)真地進(jìn)行系統(tǒng)規(guī)劃。對(duì)于校園網(wǎng)來(lái)說(shuō)，必須對(duì)技術(shù)和教育的發(fā)展前景有著清醒的認(rèn)識(shí)，只有這樣，才能從很好地為校園網(wǎng)進(jìn)行合理的規(guī)劃。

1． 校園網(wǎng)的應(yīng)用特點(diǎn)

隨著現(xiàn)代化教學(xué)活動(dòng)的開(kāi)展和與國(guó)內(nèi)外教學(xué)機(jī)構(gòu)交往的增多，對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行信息交流的需求越來(lái)越迫切，為促進(jìn)教學(xué)、方便管理和進(jìn)一步發(fā)揮師生的創(chuàng)造力，校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機(jī)構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個(gè)基本的校園網(wǎng)具有以下的特點(diǎn)：

高速的局域網(wǎng)連接--校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點(diǎn)，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項(xiàng)基本要求；

信息結(jié)構(gòu)多樣化--校園網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書(shū)館等）、學(xué)校管理和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息，學(xué)校管理以數(shù)據(jù)庫(kù)為主，遠(yuǎn)程通訊則多為。

第三篇：審計(jì)系統(tǒng)優(yōu)秀演講稿

我到審計(jì)機(jī)關(guān)工作，經(jīng)過(guò)8年的學(xué)習(xí)鍛煉，深深認(rèn)識(shí)到：不經(jīng)歷風(fēng)雨，長(zhǎng)不成大樹(shù)；不經(jīng)受磨礪，難以煉成鋼鐵。青春，應(yīng)該是一篇用激情、用奉獻(xiàn)譜寫(xiě)的樂(lè)章！

在審計(jì)局，我經(jīng)歷了從打字員、財(cái)經(jīng)審計(jì)崗、基建投資崗等多種角色的轉(zhuǎn)變。我深刻體會(huì)到：各個(gè)平凡的崗位，都能干出不平凡的成績(jī)；工作業(yè)務(wù)的需要，就是我的選擇。在辦公室任打字員期間，我從剛開(kāi)始的每分鐘28個(gè)字，在10天內(nèi)練到了每分鐘打75個(gè)字；在財(cái)政金融股期間，我懂得了審計(jì)工作要嚴(yán)肅認(rèn)真，一絲不茍，實(shí)事求是反映問(wèn)題，不擴(kuò)大，不隱瞞，維護(hù)財(cái)務(wù)紀(jì)律的真實(shí)性與嚴(yán)肅性。在基建投資股，我從工程造價(jià)審計(jì)門(mén)外漢，學(xué)懂了預(yù)算定額、建筑識(shí)圖，懂得了要造一座房子，梁柱的重要性。

對(duì)于工作，我始終這么認(rèn)為，越有困難越要勇往直前，才能煉就過(guò)硬的本領(lǐng)。我不會(huì)忘記，領(lǐng)導(dǎo)身先士卒在刺骨的水庫(kù)中測(cè)量的身影；也不曾忘記在寒風(fēng)颼颼、雪花飄飄的冬季，我和同事們徒步二十幾里山路測(cè)量水管的情景；當(dāng)建設(shè)老板不滿(mǎn)尖酸指責(zé)時(shí)，我義正言辭，據(jù)理力爭(zhēng)；更會(huì)記得，深夜打電話請(qǐng)教問(wèn)題時(shí)，師傅熱情解答、淳淳教導(dǎo)的情景。所有的這些，我不認(rèn)為是艱難、委屈、苦悶，更看成是在我成長(zhǎng)路上的一種厲煉和必經(jīng)的挑戰(zhàn)。

一次，在工程項(xiàng)目審計(jì)中，施工單位希望我們不要把工程造價(jià)核減太多，暗示是否可要把工程量擴(kuò)大些，遭到了我們的斷然拒絕。接著，審計(jì)組接到一個(gè)電話，語(yǔ)氣異常的強(qiáng)硬“你們敬酒不吃吃罰酒，不按我們的意思，有你們的好看，這是一個(gè)典型的恐嚇電話，我們坦然一笑。

我感到了平凡的審計(jì)而不平凡的事業(yè)，我們的腳下沒(méi)有坦途，前方的道路上遍布荊棘。但我們不會(huì)退縮，堅(jiān)持與時(shí)俱進(jìn)，奮勇向前，百折不回，在成功中收獲喜悅，在付出中體會(huì)豐饒。

第四篇：網(wǎng)絡(luò)安全管理系統(tǒng)

廣州迅天軟件有限公司是一家集科學(xué)研究、產(chǎn)品開(kāi)發(fā)、項(xiàng)目實(shí)施、技術(shù)服務(wù)為一體的綜合型、創(chuàng)新型軟件企業(yè)，全國(guó)煤炭行業(yè)軟件研發(fā)基地。

公司業(yè)務(wù)范圍涉及各個(gè)行業(yè)，在煤炭、冶金礦山和地質(zhì)行業(yè)軟件開(kāi)發(fā)方面處于國(guó)內(nèi)領(lǐng)先地位，是國(guó)內(nèi)上述行業(yè)最早的、產(chǎn)品鏈最全的軟件公司，擁有一系列成熟的、高品質(zhì)的軟件產(chǎn)品，其中部分產(chǎn)品屬于國(guó)內(nèi)獨(dú)家。

公司設(shè)有軟件科學(xué)研究所，擁有一支技術(shù)精湛、經(jīng)驗(yàn)豐富、德才兼?zhèn)?、結(jié)構(gòu)合理的科研技術(shù)隊(duì)伍，聘有一批行業(yè)知名專(zhuān)家顧問(wèn)，具有極強(qiáng)的自主創(chuàng)新能力、高端產(chǎn)品研發(fā)能力和超大型項(xiàng)目實(shí)施能力。

公司綜合實(shí)力雄厚，通過(guò)了軟件企業(yè)成熟度CMMI ML3國(guó)際標(biāo)準(zhǔn)認(rèn)證。

公司管理規(guī)范，建有一整套科學(xué)的管理制度、規(guī)程、標(biāo)準(zhǔn)和嚴(yán)格的質(zhì)量監(jiān)管體系，實(shí)現(xiàn)了標(biāo)準(zhǔn)化開(kāi)發(fā)，可有效防范開(kāi)發(fā)風(fēng)險(xiǎn)，確保開(kāi)發(fā)進(jìn)度和產(chǎn)品質(zhì)量。

公司投資五千萬(wàn)元，自主設(shè)計(jì)建設(shè)了“全國(guó)煤礦安全監(jiān)控聯(lián)網(wǎng)平臺(tái)”，為全國(guó)各地煤礦監(jiān)管機(jī)關(guān)、煤炭企業(yè)提供全天候、高質(zhì)量的實(shí)時(shí)遠(yuǎn)程監(jiān)控、多級(jí)聯(lián)網(wǎng)、綜合監(jiān)管托管服務(wù)。

產(chǎn)品系列

煤礦安全監(jiān)控聯(lián)網(wǎng)系統(tǒng)（XTCSS）煤炭(礦產(chǎn)品)稅費(fèi)征管系統(tǒng)（XTCTL）礦山安全生產(chǎn)調(diào)度系統(tǒng)（XTSPS）礦山企業(yè)資源計(jì)劃系統(tǒng)（XTERP）協(xié)同辦公管理系統(tǒng)（XTCOM）地質(zhì)資源管理系統(tǒng)（XTGRM）

煤炭(礦產(chǎn)品)質(zhì)量檢測(cè)分析系統(tǒng)（XTCQA）煤炭(礦產(chǎn)品)運(yùn)銷(xiāo)管理系統(tǒng)（XTCDM）

煤炭（礦產(chǎn)品）采購(gòu)供應(yīng)管理系統(tǒng)（XTCPS）礦山物資采購(gòu)供應(yīng)管理系統(tǒng)（XTMPS）礦山設(shè)備管理系統(tǒng)（XTMEM）人力資源管理系統(tǒng)（XTHRM）

礦山綜合信息管理系統(tǒng)（XTMIM）

聯(lián)系信息

公司名稱(chēng)：廣州迅天軟件有限公司

公司地址：廣州市天河區(qū)天河軟件園建工路13-15號(hào)606室 公司網(wǎng)址：http://004km.cn 公司傳真：020-85546007-608 銷(xiāo)售電話：020-33553866 020-85546993 銷(xiāo)售郵箱：xtsoft666@126.com 銷(xiāo)售QQ：810820992 651322149 592135739 客服電話：020-85546007-605 客服郵箱：xtsoft855@126.com 客服QQ：876339918 505015978 984293970 聯(lián)網(wǎng)平臺(tái)：http://004km.cn:8006

第五篇：審計(jì)方法（定稿）

第五章審計(jì)方法

第一節(jié)審計(jì)方法的意義及選用的原則

一、審計(jì)方法的意義

審計(jì)方法是指審計(jì)人員在審計(jì)過(guò)程中，搜集審計(jì)證據(jù)采用的技術(shù)和手段的總稱(chēng)。

二、審計(jì)方法的選用原則

（一）應(yīng)與審計(jì)的特定目的相適應(yīng)

（二）應(yīng)與被審計(jì)單位的具體條件和實(shí)際需要相適應(yīng)

（三）應(yīng)與審計(jì)主體的性質(zhì)和任務(wù)相適應(yīng)

（四）應(yīng)與審計(jì)方式或?qū)徲?jì)工作的地點(diǎn)相適應(yīng)

第二節(jié)審計(jì)的一般方法

一、順查法與逆查法

（一）順查法。又叫正查法，它是按照會(huì)計(jì)業(yè)務(wù)處理程序進(jìn)行審查的一種方法。對(duì)于內(nèi)部控制制度不夠健全，賬目比較混亂，存在問(wèn)題較多的被審計(jì)單位，采用順查法較為宜。其缺點(diǎn)是工作量大，費(fèi)時(shí)費(fèi)力，不利于提高審計(jì)工作效率，降低審計(jì)成本。

（二）逆查法。又叫倒查法，它是按照會(huì)計(jì)業(yè)務(wù)處理的相反程序進(jìn)行審查的一種方法。優(yōu)點(diǎn)是可以節(jié)省審計(jì)的時(shí)間和人力，有利于提高審計(jì)工作效率和降低審計(jì)成本。其缺點(diǎn)是采用此法要求審計(jì)工作人員必須具有一定的分析判斷能力和實(shí)踐工作經(jīng)驗(yàn)，才能勝任審計(jì)工作。

二、詳查法與抽樣法

（一）詳查法。又稱(chēng)詳細(xì)審計(jì)，是指對(duì)被審計(jì)單位一定時(shí)期內(nèi)的全部會(huì)計(jì)資料（包括憑證、賬簿和報(bào)表）進(jìn)行詳細(xì)的審核檢查，以判斷評(píng)價(jià)被審計(jì)單位經(jīng)濟(jì)活動(dòng)的合法性、真實(shí)性和效益性的一種審計(jì)方法。此法的優(yōu)點(diǎn)是容易查出問(wèn)題，審計(jì)風(fēng)險(xiǎn)較小，審計(jì)結(jié)果比較正確。缺點(diǎn)是工作量較大，審計(jì)成本較高。

（二）抽樣法。又稱(chēng)抽樣審計(jì)，是指從被審計(jì)單位一定時(shí)期內(nèi)的會(huì)計(jì)資料（包括憑證、賬簿和報(bào)表）按照一定的方法抽出其中的一部分進(jìn)行審查，借以推斷總體有無(wú)錯(cuò)誤和弊端的一種方法，進(jìn)而判斷評(píng)價(jià)被審計(jì)單位經(jīng)濟(jì)活動(dòng)的合法性、真實(shí)性和效益性的一種審計(jì)方法。此法的優(yōu)點(diǎn)是可以減少審計(jì)的工作量，降低審計(jì)成本。缺點(diǎn)是有較大的局限性，如果樣本選擇不當(dāng)，就會(huì)使審計(jì)人員作出錯(cuò)誤的結(jié)論，審計(jì)風(fēng)險(xiǎn)較大。

常用的樣本選取方法有任意選樣、判斷選樣和隨機(jī)選樣等方法。

隨機(jī)選樣的方法又可具體劃分為簡(jiǎn)單隨機(jī)選樣、系統(tǒng)隨機(jī)選樣、分組隨機(jī)選樣和整群隨機(jī)選樣。

（1）簡(jiǎn)單隨機(jī)選樣包括編號(hào)選樣法和隨機(jī)數(shù)表法。

（2）系統(tǒng)隨機(jī)選樣也稱(chēng)等距隨機(jī)選樣。

（3）分組隨機(jī)選樣也稱(chēng)分層隨機(jī)選樣。

（4）整群隨機(jī)選樣也稱(chēng)整體隨機(jī)選樣。此方法先將總體項(xiàng)目按照一定的標(biāo)準(zhǔn)分成若干群，而后運(yùn)用等距隨機(jī)選樣等方法，按群抽取樣本項(xiàng)目。

第三節(jié)審計(jì)的技術(shù)方法

一、檢查。檢查是審計(jì)人員對(duì)會(huì)計(jì)記錄和其他書(shū)面文件可靠程度的審閱與核對(duì)。

（一）會(huì)計(jì)記錄和書(shū)面文件的審閱

1、會(huì)計(jì)憑證的審閱。會(huì)計(jì)憑證包括原始憑證和記賬憑證，其中以審閱原始憑證為重點(diǎn)。

2、賬簿的審閱。賬簿包括總賬、明細(xì)賬、日記賬和各種輔助賬簿。其中以審閱明細(xì)賬和日記賬為重點(diǎn)。

3、報(bào)表的審閱。審閱報(bào)表應(yīng)以審閱資產(chǎn)負(fù)債表、損益表、現(xiàn)金流量表等為重點(diǎn)。

4、其他記錄的審閱。例如：產(chǎn)品出廠證、質(zhì)量檢驗(yàn)記錄，以及合同協(xié)議等。

（二）會(huì)計(jì)記錄的核對(duì)。

1、賬表核對(duì)。是指以報(bào)表項(xiàng)目與有關(guān)賬簿記錄進(jìn)行核對(duì)，以查證報(bào)表指標(biāo)的真實(shí)性和正確性。核對(duì)時(shí)，一般以賬簿記錄核對(duì)報(bào)表項(xiàng)目。

2、賬賬核對(duì)。是指以各種有關(guān)的賬簿記錄進(jìn)行相互核對(duì)。

3、賬證核對(duì)。是指以明細(xì)賬和日記賬的記錄同記賬憑證相核對(duì)。一般說(shuō)來(lái)，賬賬核對(duì)結(jié)果如屬正常，可以不再進(jìn)行賬證核對(duì)。

4、賬實(shí)核對(duì)。是指以明細(xì)賬記錄與實(shí)物相核對(duì)，以查明賬存數(shù)與實(shí)存數(shù)是否相符。

二、監(jiān)盤(pán)。監(jiān)盤(pán)是審計(jì)人員現(xiàn)場(chǎng)監(jiān)督被審計(jì)單位各種實(shí)物資產(chǎn)及現(xiàn)金、有價(jià)證券等的盤(pán)點(diǎn)，并進(jìn)行適當(dāng)?shù)某椴?。盤(pán)點(diǎn)的方式有突擊盤(pán)點(diǎn)和通知盤(pán)點(diǎn)。突擊盤(pán)點(diǎn)適用于現(xiàn)金、有價(jià)證券和貴重物品等的盤(pán)點(diǎn)。通知盤(pán)點(diǎn)適用于固定資產(chǎn)、在產(chǎn)品、產(chǎn)成品和其他財(cái)產(chǎn)物資等的盤(pán)點(diǎn)。

三、觀察。觀察是審計(jì)人員對(duì)被審計(jì)單位的經(jīng)營(yíng)場(chǎng)所、實(shí)物資產(chǎn)和相關(guān)業(yè)務(wù)活動(dòng)及其內(nèi)部控制的執(zhí)行情況等所進(jìn)行的實(shí)地察看。

四、查詢(xún)及函證。

查詢(xún)是審計(jì)人員對(duì)有關(guān)人員進(jìn)行的書(shū)面或口頭詢(xún)問(wèn)。

函證是審計(jì)人員為印證被審計(jì)單位會(huì)計(jì)記錄所載事項(xiàng)而向第三者發(fā)函詢(xún)問(wèn)。

五、計(jì)算。計(jì)算的內(nèi)容包括憑證中的小計(jì)和合計(jì)數(shù)、賬簿中小計(jì)、合計(jì)和余額數(shù)，報(bào)表中的合計(jì)、總計(jì)和比率數(shù)，以及相關(guān)計(jì)算公式的運(yùn)用結(jié)果等。特別是對(duì)賬簿中的承前和續(xù)后的合計(jì)數(shù)，必須重算，以防記賬人員假造數(shù)字進(jìn)行舞弊。

六、分析性復(fù)核。分析性復(fù)核是審計(jì)人員對(duì)被審計(jì)單位重要的比率或趨勢(shì)進(jìn)行的分析，包括調(diào)查異常變動(dòng)以及這些重要比率或趨勢(shì)與預(yù)期數(shù)額和相關(guān)信息的差異。一般而言，在整個(gè)審計(jì)過(guò)程中，審計(jì)人員都將運(yùn)用分析性復(fù)核的方法。

分析性復(fù)核常用的方法有絕對(duì)數(shù)的比較分析和相對(duì)數(shù)的比較分析。

第四節(jié)各種審計(jì)方法之間及其與審計(jì)分類(lèi)之間的相互關(guān)系