校园网安全防御体系的相关技术及模型.pdf

校园网安全防御体系的相关技术及模型 李春霞， 等 校园网安全防御体系的相关技术及模型校园网安全防御体系的相关技术及模型 李春霞 1，齐菊红2 （ 1兰州文理学院网络中心 甘肃兰州，730000） （ 2兰州文理学院师范学院 甘肃兰州，730000） 摘要：校园网络的安全覆盖了多个学科的内容，包括系统安全、线路安全、传输安全、网络安全等多个方面。本文 将首先介绍校园网安全防御体系的相关安全技术，包括加密技术、认证技术、防火墙技术、入侵检测技术、访问控制技 术，来保证校园网安全、稳定、可靠的运行。同时在前面所介绍的技术基础上，构建一个主动的校园网安全防御体系模 型，保证校园内部用户网络的安全。 关键词：网络安全；安全模型；防御体系 AbstractAbstract：： The content of the campus network security covers multiple disciplines, including system security, circuit safety, trans- mission security, network security, and other aspects. This article will first introduce the campus network security defense system re- lated security technology, including encryption technology, authentication technology, firewall technology, intrusion detection tech- nology, access control technology, to ensure the safety of the campus network, stable and reliable operation. In front at the same time the introduction of technology, on the basis of building a proactive network security defense system model, and ensure the safety of campus internal user network. Key words:Key words: Network security； Security model； Defense system 中图分类号：TP393.08文献标识码：B文章编号：1001-9227（2014）01-0122-03 收稿日期：2013-10-30 作者简介：李春霞（1975-）女，甘肃白银人，讲师，硕 士研究生。 0引言 随着互联网的普及，促使国内越来越多的高校加入中国教 育和科研计算机网(CERNET)。然而高校校园网的安全防御意 识和手段一直不强，使之成为互连网上黑客攻击的重要目标， 因此构建可靠安全的校园网防御体系成为校园网改造的重要目 标之一。 1校园网安全防御体系的相关技术 校园网安全防御体系的相关安全技术，包括加密技术、认 证技术、防火墙技术、入侵检测技术、访问控制等技术，来保 证校园网安全、稳定、可靠的运行。 （1）加密技术 加密技术的关键就是密码技术，一个好的加密算法能够保 证信息安全的传送到对方，从而保证网络信息安全可靠的传 输。 密码技术在校园网中能够广泛的应用，如校园网登录系 统、选课系统、教师平台、计费系统等，这些都利用了加密算 法。加密技术包含两个重要部分：算法和密钥。由前文可知， 算法是将明文与密钥结合，产生密文；而密钥则是对数据进行 编码和解码的一种算法。在网络安全中，可以采用密钥加密技 术和密钥管理来保证网络中数据传输的保密性，进而保证网络 数据的安全性。 当然各种密码技术都有各自的优势，在实际应用中，可以 将数据使用DES算法进行加密，然后将信息摘要采用DES算 法进行加密，这样接受者只需要验证摘要的完整性，防止信息 被篡改。将两种加密算法结合起来使用，可以进一步提升网络 信息传输的保密性。 在校园网中，加密技术的应用是相当广泛的，无论是常用 的服务器登录，还是保密性文档，都需要应用数据加密技术， 保证校园网信息安全可靠的传输，从而保证校园网的安全。 （2）数字认证技术 随着互联网的普及，网络上大部分信息以明码传输，造成 数据包很容易被窃取，给用户账户和密码带来安全隐患。特别 近几年来的电子商务兴起，如支付宝、快钱等电子支付平台， 如果该平台用户账户和密码被窃取了，就很容易给用户造成直 接经济损失，而数字认证技术的推出，能够解决此类问题，从 而保证用户资金的安全。 数字认证技术是一种以数字证书为核心的加密技术，它可 以对信息进行加密和解密，也可以进行数字签名和签名认证， 确保网络中信息传输的安全性。使用了数字认证，即使个人信 息被窃取了，也能保证用户在网络中的虚拟财产的安全。 （3）防火墙技术 对于校园网来说，保证校园网安全最重要的技术就是防火 墙技术。防火墙是目前能够有效抵御黑客进行局域网攻击的手 段之一，而且防御效果明显，能够有效避免很多安全威胁。同 时防火墙也是目前网络安全应用最为广泛的机制，几乎所有的 大型局域网都有相应防火墙机制。而且防火墙的成本相应较 低，抵御效果非常明显，因此也广泛应用在校园网络中。 防火墙是在外部网络和内部网络之间建立起的一种数据过 滤机制，用于隔离不同网络，实现数据分析，可以对不同数据 122 学兔兔 w w w .x u e t u t u .c o m 《自动化与仪器仪表》 2014年第1期 （总第171期） 流进行过滤，如允许或拒绝通过，从而实现对内部网络的保 护。 防火墙对网络的限制，也必然影响到防火墙的布局。针对 不同的网络规模，防火墙的布局也必然不同。小型局域网只需 要在网络路由器进出的地方设置防火墙就可以保证局域网安 全；中型局域网则需要不同的需求，在不同的地方设置防火 墙；大型局域网，如校园网，则需要根据网络拓扑，划分不同 子网，设计不同防火墙。如果局域网中还有对外连接的服务 器，如Web 服务器、Email服务器等，则需要对这些子网进行 专用防火墙设计。 总之，防火墙布局也是一门学问，设计布局要根据不同的 网络情况具体设计，才能更好的对网络黑客做到有效防御。 （4）入侵检测技术 入侵检测系统(IntrusionDetectionSystem,IDS)是对网络 传输进行实时监控，当发现可疑数据传输时，主动向系统管理 员发出警报或者直接组织该可疑数据的传输。与防火墙技术的 最大不同，入侵检测系统是主动防御的，拥有很好的灵活性。 入侵检测系统(IDS)是一种动态灵活的防御体系，它能够 有效对内部误操作和外部攻击进行拦截，在网络系统发生入侵 和攻击之前，能够及时采取相应的措施，弥补防火墙不足。 I n t e r n e t 路由器 交换机 路由器 服务器服务器 I D S 检测系统 用户 用户 I D S 管理员 图1入侵检测系统(IDS)布局图 （5）访问控制技术 访问控制(AccessControl)技术是网络安全资源保护的重 要技术之一，它能对用户所属的身份以及该用户所能访问的数 据资源进行限制，防止文件的泄密。访问控制技术的主要作用 是保护合法用户的权利，防止非法用户的入侵，从而保证网络 系统的完整性、保密性以及可用性。 一个用户要读取服务器或系统中某个资源，访问控制需要 对其进行三步验证。首先，访问控制需要对用户的合法身份进 行验证，如果属于非法用户，就直接拒绝其访问；其次，访问 控制需要对用户的操作采取一定的控制策略，如果用户没有权 限读取某个文件，那么直接提示用户无法操作；最后需要进行 安全监控，如果发现用户超过自己的权限访问某个文件，则记 录下来，进行安全统计工作。 访问控制技术在实际应用中，要满足最小特权原则、最小 泄露原则以及多级安全策略等三原则。 （6）虚拟网络技术 虚拟网络技术(VLAN)是指网络中的站点不拘泥于所处的 物理位置，而可以根据需要灵活地加入不同的逻辑子网中的一 种网络技术。VLAN技术在校园网中的应用，提高了校园网的 可管理性、灵活性、安全性。 我们知道仅仅依靠以上六种防御技术是不能完全的阻挡黑 客的入侵，特别是校园网一直成为黑客的攻击目标，因此构建 一个基于主动防御的动态校园网络安全模型显得十分的必要。 2基于主动防御的动态校园网络安全模型 根据我们的调查研究发现，绝大多数校园网的安全防范工 作一直处于被动状态，表现为网络一直等到受到攻击后，才主 动采取相应的措施去弥补，加上校园网用户自身的防范意识不 够强，这给黑客造成了很大的攻击空间。因此，我们有必要增 加主动防御技术，构建一个适合校园网络的安全模型。 2.1网络安全因素 众所周知，网络安全不仅仅受到技术因素的影响，还受到 管理者、安全策略以及网络管理的影响。在WPDRRC模型 中，构建网络安全模型的思想是以人为本，制定相关策略并配 合相关技术，从而更好的抵御网络黑客的攻击。因此构建主动 防御的动态安全模型，需要综合考虑管理员、用户、安全策 略、网络管理以及技术这五个因素的影响。 （1）管理员。管理员无疑是校园网中权限最高的人员，他 的安全性可谓是整个网络安全的重要因素，一旦管理员密码泄 露，对校园网造成威胁可想而知。而且管理员还需要针对校园 网所有用户设定权限,管理所有校园网用户网络，同时还要监 控网络异常数据,避免黑客入侵。管理员也需要针对当前网络 环境制定相应的安全策略,并及时提高校园网安全等级,因此管 理员的重要性是不言而喻的,管理员的技术水平高低直接影响 到整个网络安全性的高低,一个真正的管理员能够根据当前网 络状态预防网络中可能的安全状况，制定合理的策略去应对可 能发生的情况。管理员可谓是网络安全中最重要的一个因素。 （2）用户。校园用户安全水平参差不齐，安全意识相对也 比较低，因此很容易从互联网上感染病毒，从而给黑客制造从 校园内部发起攻击的机会，势必会对校园网络造成严重的威 胁。因此，我们在制定校园网防御系统的时候，还应对当前校 园网用户进行合理的培训，在校园网内部提供相应的操作系统 漏洞补丁、杀毒软件等必备工具，增加校园网用户的安全性。 （3）安全策略。安全策略对于校园网来说，是防御黑客入 侵的核心，网络安全模型的安全等级是根据安全策略来制定 的，所有的安全预警、防护、检测、响应、恢复以及反击都是 在安全策略的基础上制定的，因此制定一个合理的安全策略显 得非常重要，它能够有效的保证校园网内部的安全。而且安全 策略同时也能方便管理员进行管理,及时的调整网络安全等级。 （4）网络管理。网络管理可以说是网络安全的一个重要手 段，它能够有效的建立校园网络责任制，明确校园网的每一个 子网的责任人，而且发生相关的安全事件，有关部门也能及时 采取措施，从而有效避免了部门间的相互推诿。可以说，网络 的管理比技术更重要，合理的网络管理，能够保证网络实时处 于监控状态，从而有效的保证网络的安全。 123 学兔兔 w w w .x u e t u t u .c o m 校园网安全防御体系的相关技术及模型 李春霞， 等 （5）技术。技术可以说是网络安全中的另外一个核心，它 可以弥补管理上的漏洞，提高管理效率。技术是实现校园安全 的重要手段，它提供各种安全机制，来构建一个合理的网络安 全防御体系。这里的技术不仅仅指技术本身，它相当于一个技 术的合集，是动态安全防御体系的核心。 3校园网动态安全体系的构建 我们已经了解到了相关的网络安全模型以及主动防御技 术，下面我们就根据相关的技术，制定一个符合校园网络的动 态安全体系，防御校园网黑客的入侵。根据校园网的网络安 全，我们设计了校园网动态安全防御系统，其系统框架图如下 图2所示。 管理员控制平台在线控制平台 网络引擎 配置管理系统监控日志管理 规 则 管 理 用 户 管 理 事 件 管 理 升 级 管 理 状 态 监 控 事 件 监 控 流 量 监 控 协 议 回 放 日 志 分 析 日 志 归 并 日 志 备 份 日 志 恢 复 管理员 配 置 管 理 系 统 监 控 日 志 管 理 策 略 管 理 S S L 传输 S S L 传输 入侵保护 协议分析 防火墙 协议识别 数据捕获 入侵检测 丢弃包丢弃会话T C P K i l l e r 防火墙联动 控制台显示日志数据库邮件报警S N MP T R A P 特征检测协议异常检测拒绝服务检测关联分析 I P 碎片重组T C P 状态跟踪T C P 流汇聚 系统报警路由转发日志记录 图2校园网动态安全防御系统框架图 从图2我们可以看出，将校园网安全防御体系分为了管理 员控制平台、在线控制平台以及网络引擎三大部分，方便校园 管理和部署。而这之间的数据通信采用 SSL协议加密通信。 SSL(SecureSocketLayer)是使用数据加密技术，确保网络数 据通信不被窃取和监听，SSL协议应用于TCP/IP协议与其它 协议之间，为数据通信提供安全保障。 （1）管理员控制平台。管理员控制平台主要进行配置管 理、系统监控和日志管理三部分。管理员会根据当前网络安全 状态，进行系统配置，必要时会升级安全等级，使得系统能够 很好的抵御黑客攻击。 （2）在线控制平台。为了方便管理员能及时调整动态防御 体系的策略，因此同步实现了在线安全控制平台，用于实现部 分策略调整功能，即使管理员不在网络管理中心，也能及时应 对突发情况。 （3）网络引擎。网络引擎即为当前校园网中的保护体系核 心板块，用户对当前网络的数据流进行监控，避免异常发生， 保证校园网用户安全的进行网络通信。 另外，该系统结合了入侵保护系统(IPS)、入侵检测系统 (IDS)以及防火墙技术为一体，实现了包过滤、包检测、协议 检测等功能，并能对异常数据进行拦截，配合WPDRRC模 型，能够很好的预防网络黑客的攻击。 总之，校园网动态安全模型是以WPDRRC模型为基础， 加上主动防御技术，在校园网动态安全防御系统框架的基础上 实施，最终达到一个基于主动防御的动态校园网络安全体系， 全方位的抵制黑客的入侵。 4小结 本文主要介绍了校园网安全防御体系中的主要应用技术以 及安全模型，这些技术都是校园网安全体系中的重要核心。在 校园网中，往往将这些技术配合使用，构建一个安全防御体 系，从而更加有效抵御网络中黑客的侵袭。 常见的防火墙技术有很多漏洞，黑客可以通过这些防火墙 漏洞对系统发起攻击，而入侵检测技术能够有效弥补防火墙的 不足，起到阻止黑客入侵的作用。加上相应的密码技术、认证 技术和访问控制技术，这些技术相互弥补各自的不足，从而能 够有效保证网络信息的安全性。 参考文献 [1] 周晓娟.校园网信息化升级的样板工程[J]. 计算机网络, 2010: 18-19. [2] 胡任远. 关于数字化校园网建设的探讨[J]. 电子世界, 2013:158-158 [3] 李锁刚. CERNET主干网稳步运行[J]. 中国教育网络,2013:47-47 [4]段秀红. 浅谈CERNET网络发展的竞争优劣势[J]. 科技创新导报, 2012:51-51. [5] 许美玉. 校园网安全建设的研究[J]. 中国电子商务,2013:52-52. [6] 代云韬. 计算机网络安全的影响因素与对策分析[J]. 电子测试,2013: 163-164. [7] 王洪礼. 计算机网络安全的现状和防范[J]. 信息安全与技术,2012: 13-14. [8] 董 阔. 慢速拒绝服务攻击防御方法研究[博士论文]. 中国科学技术 大学,2009. [9] 徐 敏. IPv6网络的滥用入侵检测与实现[硕士论文]. 东南大学,2006. 124 学兔兔 w w w .x u e t u t u .c o m