第18卷第5期V01.18No.5四川文理学院学报(自然科学)SichuanUniversityofArtsandScience2008年9月ScienceJournal(NaturalEdition)Sep.2008网络安全技术与校园网络安全解决方案刍探任戎(达州职业技术学院网络管理中心,四川达州635000)【摘要】网络作为信息化建设的主要栽体,网络安全已经成为当前网络建设中不可忽视的重要问题。网络安全防范在技术层次上主要有防火墙技术、安全审计技术、身份验证技术、数据加密技术、入侵监测技术等手段。分析了校园网的特点和安全隐患,提出了相应的技术解决手段和管理策略。【关键词】校园网;网络安全;安全技术;防火墙;身份验证;安全措施【中图分类号]TP30【文献标识码】A【文章编号】1008-4886(2008)05-0043一03型的攻击。1.2安全审计技术1网络安全技术网络安全是-I'1涉及计算机科学、网络技术、通信技安全审计是一个安全的网络必须支持的功能特性,审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。术、密码技术、信息安全技术、信息论等多种学科的综合性学科。网络安全的防范是指通过各种计算机、网络、密码和信息安全技术,保护在网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容进行控制。1.1防火墙技术防火墙(firewall)是由软件和硬件同时构成的系统,用于两个网络之间实施接入控制策略。它的作用是限制外界用户访问内部网络及管理内部用户访问外界网络的权限,是设置在被保护网络和外部网络之间的一道屏障。根同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据,为网络犯罪行为及泄密行为提供取证基础。网络系统也应具备安全审计措施。并通过多层次的审计手段,形成一个功能较完备的安全审计系统。具体而言,网络的审计系统应该由三个层次组成:1.2.1据防火墙的结构,它可以干预不同网络的任何消息传送。任何关键性的服务器,都建议放在防火墙之后。防火墙由过滤器、安全策略以及必要的网关构成。通过它可以隔离网络的风险区域及安全区域而不妨碍人们对风险区域的网络层层次的安全审计。主要利用防火墙的审计功能、网络监控与入侵检测系统来实现。1.2.2系统的安全审计。主要是利用各种操作系统和应用软件系统的审计功能实现。包括用户访问时间、操作记录、系统运行信息、资源占用等。访问。防火墙可以监控进出网络的通信数据,使安全的信息进入,同时又限制外人进入内部网络,限制一般人员访问内网及特殊站点。防火墙的主要技术包括包过滤及应用级网关两种,包过滤封锁外部网上的用户和内部网上的重要站点的连接或某些端口的连接,也可以对内封锁与外部某些IP地址的连接,以便在网络层中对数据实施有选择的通过。…虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止内部用户带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动1.2.3对信息内容的安全审计,属高层审计。采用各层次的安全审计措施是网络安全系统的重要组成部分,而对审计数据的维护是其重要内容之一。建议网络系统建立安全审计中心或审计小组,对所有各层次的审计数据进行统一处理与管理。1201.3身份验证技术身份验证是所有安全系统不可或缺的一个组件,是区别授权用户和入侵者的惟一方法。认真对待信息资产保护并知道何人试图获取网络访问的任何企业都必须对用户进行身份验证。当使用某些更尖端的通信方式时,身份·[收稿日期】2008—04—22【作者简介】任戎(1969一),男,四川巴中人,讲师,主要从事网络安全管理研究。43万方数据 2008年第5期任戎:网络安全技术与校园网络安全解决方案刍探验证特别重要。除了证明身份之外,验证系统还用于确定计算机病毒指编制或者在计算机程序中插入的破坏请求者能够访问哪些网络资源和信息,即授权。同时,还计算机功能或者破坏数据,影响计算机使用并且能够自我可以进行真正的记帐统计。验证一般包括以下两个或三复制的一组计算机指令或者程序代码,具有不可估量的威个要素:用户拥有什么(智能卡、证书),用户知道什么(密胁性和破坏性。计算机病毒影响计算机系统的正常运行、码),物理属性(指纹或其它生物统计学信息)验证主要通破坏系统软件和文件系统、破坏网络资源、使网络效率急过盘问和回答、数字证书或消息摘要、数字签字等技术来剧下降、甚至造成计算机和网络系统的瘫痪,是影响计算实现。根据对用户不同的安全策略,在网络的不同资源安机网络安全的主要因素。“冲击波”、。振荡波”、。熊猫烧全控制的区域,可采用不同安全技术的组合来实现用户认香”、“磁碟机”病毒给广大的网络用户带来了巨大的损证。比如:针对无线局域网络可设计采用WEP、DSL、802.失。购置网络版杀毒软件,及时升级系统漏洞补丁,策划1X、VPN等不同的安全模式;在以太网络中可以选择802.全面构筑校园网病毒解决方案。1x模式;对类似于运营接人或企业网络边缘外接的网络2环境采用PPP、PPPoE、VPN等。对于用户的认证管理可以校园网络存在的安全问题根据自身的安全策略采用非集中或集中式管理模式。校园网络安全问题主要集中表现在以下几个方面:I.4数据加密技术2.1网络安全方面的投入严重不足.没有系统的网与防火墙配合使用的数据加密技术是为提高信息系络安全设施配备。大多数高校网络建设经费严重不足,有统及数据的安全性和保密性,防止秘密数据被外部破坏所限的经费也主要投在网络设备上,对于网络安全建设一直采用的主要技术手段之一,它的思想核心就是既然网络本没有比较系统的投入。校园网还基本处在一个开放的状身并不安全可靠,那么所有重要信息就全部通过加密处态,没有任何有效的安全预警手段和防范措施。理。网络加密常用的方法有链路加密、端点加密和节点加2.2学校的上网场所管理较混乱。各校园网内有一密三种:批直接接入校园网的机房平时提供给学生和教职员工上1.4.1链路加密网、学习。这在很大程度上缓解了大量学生对网络的渴链路加密对网络中相邻节点之问在线路上传送的数求。但是,由于缺乏统一的管理软件和监控、日志系统,这据进行加密保护。加解密由线路上的密码设备来完成。些机房的管理基本处在失控的状态。密码设备放置在接点与调制解调器之间,并使用相同的密2.3电子邮件系统极不完善。无任何安全管理和监码。控的手段。电子邮件是几乎所有使用互联网的用户都要1.4.2端对端加密使用的而且是最常用到的一个功能,但同时也是有害的思端对端加密对用户问的传送数据提供连续保护。数想和内容最常使用的一种传播手段。通过电子邮件系统据在源端被加密,在中间节点永不以明文形式出现,只在散发反动、色情言论和材料以及散布谣言等情况愈发严目的端才被解密。重。因此,电子邮件系统必须作为网络安全建设的重点突1.4.3节点对节点加密破口。采用链路加密,数据在通过中间节点时是明的形式,2.4网络病毒泛滥。造成网络性能急剧下降。很多重而采用节点对节点加密,数据在通过中间节点时却仍是加要数据丢失.损失不可估量。网络在提供给大家方便的同密的形式。时,也变成了病毒传递最快捷的途径。计算机病毒种类繁1.5入侵检测技术多,影响范围越来越广。随着网络飞速发展、网络病毒编入侵检测(IntrusionDetectionID)是通过对计算机网制者水平的提高以及近几年网络病毒和黑客软件的结合,络或计算机系统中的若干关键点收集信息并对其进行分网络病毒的爆发直接导致用户的隐私和重要数据外泄,对析,从中发现网络或系统中是否有违反安全策略的行为和网络安全构成了极大的威胁。被攻击的迹象。进行入侵检测的软件与硬件的组合便是2.5网络安全意识淡薄。没有制定完善的网络安全入侵检测系统(IntrusionDetectionSystem,IDS)。与其他安管理制度。校园网络上的攻击、侵入他人系统、盗用他人全产品不同的是,入侵检测系统需要更多的智能。必须可帐号非法使用网络、非法获取未授权的文件、通过邮件等以将得到的数据进行分析,并得出有用的结果。入侵检测方式进行骚扰和人身攻击等事件经常发生,另外,没有制技术是网络安全研究的一个热点,是一种积极主动的安全定完善而严格的网络安全制度,各校园网在安全管理上也防范技术,提供了对内部入侵、外部入侵和误操作的实时没有任何标准,这也是网络安全问题泛滥的一个重要原保护,在网络系统受到危害之前拦截相应的入侵。一个合因。【4】格的入侵检测系统能大大地简化网络管理员的工作,保证网络安全地运行。【313校园网络安全解决方案1.6防病毒技术3.1规范网络出口的管理。实施校园网的整体安全44万 方数据任戎:网络安全技术与校园网络安全解决方案刍探2008年第5期架构,必须对原有的网络架构进行改造,首先需要解决的为了校园网络安全管理的主要隐患。从网络安全以及网就是多出口的问题。出口如果不迸行规范管理,校园网络络应用的要求来看,改造校园网络电子邮件系统势在必安全体系就无法得以实施。因此,校园网络管理机构必须行。[‘】将所有的校园网络出口统一管理。3.6加强安全组织建设。配备专门的安全管理人员。3.2配备完整系统的网络安全设备。在局域网和外制定网络安全管理制度。由学校具有决策权的机构和领部网络接口处配置统一的网络安全控制和监管设备即可导组织和协调各部门的管理工作。另外,安全管理各项措将绝大多数外部攻击拒之门外。需要注意的是,配置安全施的实施,单纯依靠网络管理部门的力量是不充分的。设备既要考虑到功能,也必须考虑性能,将配置安全设备院、系、处、宿舍安全管理分级负责的组织体系建设是很有后对网络性能的影响尽可能的降到最低。据此要求,校园必要的。同时要加强用户法律意识、安全意识和安全技术网络需要配备以下安全设备:高性能的硬件防火墙;旁路的培训教育工作。网络安全建设是“三分设备,七分管监听型的入侵检测系统;漏洞扫描系统;安全审计系统;旁理”,没有切实可行的安全保障体系和制度,网络安全就变路监听型不良内容过滤系统;网络版防病毒系统;网络故成了空谈。计算机网络的安全问题,光靠设备和技术并不障检测以及网络故障诊断设备。通过配置这些安全产品能完全解决,还需要加强管理才能更好的解决网络安全问可以实现对校园网络进行系统的防护、预警和监控,对大题。解决网络安全的措施也有很多,仅靠其中的某一项或量的非法访问和不健康信息起到有效的阻断作用,对网络几项是很难解决好网络安全问题的,需要根据网络的实际的故障可以迅速定位并解决。”’情况做出细致而全面的多级安全防范措施,以保证计算机3.3解决用户上网身份问题。建立全校统一的身份网络的安全正常运行。认证系统。校园网络基础安全设施配备后,必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体参考文献:系的基础,用户身份如果得不到落实,即便发现了安全问【1]RichardA.DealCisco路由器防火墙安全【M].北题也大多只能不了了之。同时全校的统一身份认证系统,京:人民邮电出版社,2006:78.是学校信息化建设中必须要考虑的一个非常重要的建设[2]刘玉喜.浅谈计算机网络安全[J].教书育人,2007内容。(5):104.3.4严格规范上网场所。集中进行监控和管理。从[3]叶安新,吴建斌.浅析计算机网络的安全[J].实验安全管理的角度来看,对于众多上网场所的管理,只有使技术与仪器,2005(5):44.用统一的机房管理软件、集中身份认证并且进行集中的管[4]石志国,薛为民,尹浩.计算机网络安全教程[M].理和监控。才可以有效的保证网络安全。.北京:清华大学出版社。2007:97—103.3.5改造电子邮件系统。提供多种安全监控和管理[5][6]鲁立.浅谈网络安全技术与校园网络安全功能。大多校园网络使用的免费电子邮件系统,由于功能【J].湖北经济学院学报,2007(3):180.和性能等多方面的差距j已经明显不适应用户使用和网络安全对邮件系统的要求;另外,在安全管理方面,无法提供【责任编辑何霖】及时的监控和日志,对一些有害信息无法进行过滤,也成NetworkSecurityTechnologyandtheSolutiontoCampusNetworkSecurityRENRong.(CenterforNetworkManagement,DazhouVocationalandTechnicalCollege,DazhouSiehuan635000,China)Abstract:Networkisthemaincarrier0finformation—basedbuilding.andnetworksecurityhasbecome船eissuethatnotbeneglected.Networksecurityg删mainlymvdv∞suchtechnologyfireproofing,securityauditing,identification,dataencryptingandinbreaksupervision.Thispaperh鹅analyzedthecharactersofcampusnetworkandlatentdangerandofferedSomecorrespondingtechnologicalsolutionsandmanagementstrategies.Keywords:campusnetwork;networksecurity;securitytechnology;firewall;identification;securitymeasllre45万 方数据网络安全技术与校园网络安全解决方案刍探
作者:作者单位:刊名:英文刊名:年,卷(期):
任戎, REN Rong
达州职业技术学院,网络管理中心,四川,达州,635000四川文理学院学报
SICHUAN UNIVERSITY OF ARTS AND SCIENCE JOURNAL2008,18(5)
1.鲁立 浅谈网络安全技术与校园网络安全 2007(03)2.石志国;薛为民;尹浩 计算机网络安全教程 2007
3.叶安新;吴建斌 浅析计算机网络的安全[期刊论文]-实验教学与仪器 2005(05)4.刘玉喜 浅谈计算机网络安全[期刊论文]-教书育人 2007(05)5.Richard A Deal Cisco路由器防火墙安全 2006
本文链接:http://d.g.wanfangdata.com.cn/Periodical_dxsfgdzkxxxb200805015.aspx