论文部分内容阅读
[摘要]基于校园网络的MIS的广泛应用,极大改变了传统的信息系统的结构设计、开发环境和应用环境,打破了信息共享的障碍,但同时面临新的安全问题和挑战,主要校园网络的安全隐患及策略。
[关键词]校园网 网络系统 网络安全 TCP/IP 安全机制
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)1010082-01
Internet采用了开放性的体系结构,企事业团体一旦将自己的局域网联入Internet,就使一个封闭的系统变成了开放的系统,校园网就是Internet技术在企业内部网上的实现。因此,信息传输的广域性和网络协议的开放性使其面临比现在任何一种网络都更为严重的不安全问题,校园网的安全问题主要来自三个方面:一是计算机病毒的侵害;二是黑客的访问;三就是网络系统本身的安全漏洞。对于计算机系统本身来讲,从根本上解决自身所存在的隐患是安全问题的重点,因为ARPANET研究人员开发TCP/IP协议的目的是想通过这个协议将各种异种机互联起来以建立一个资源共享的网络,它强调了系统的开放性,但忽略了系统的安全性。
一、TCP/IP协议潜在着严重的安全隐患,包括提供的网络服务,主要有下面几点
(一)IP缺陷导致易被欺骗。IP包中的源地址可以伪造;IP包中“生成”时间可以伪造;认证不可靠。
(二)TCP和UDP端口结构的缺陷。端口是用来分配给专门的internet服务的一个软件结构,而每个服务所对应的端口号一般是分开的,如FTP-21,Telnet-23,HTTP-80等等。
(三)TCP/IP明码传送信息导致易被监视。TCP/IP网络中众多的服务均是在网络中明码传送,尽管使用者觉察不到。
(四)提供的不安全服务。匿名服务FTP:任何人都可以通过它取走服务器上具有读权限的文件;受托访问:在给用户提供方便的同时,也为黑客的进入提供了方便;NFS:错误的NFS服务器非授权存取导致非法用户的进入。另外,网络操作系统是管理网络资源的核心系统,而且每个使用者均是通过一个操作系统进入网络,所以,操作系统的安全性对网络的安全性起着重要的作用。
二、UNIX与Windows NT两种操作系统说明
(一)UNIX操作系统的缺陷。特权用户权力过大;口令与帐号只是简单的存储在一个加密的文件中;登录无次数限制;UNIX的文件系统也存在潜在的隐患:Suid和Guid。
(二)Windows Nt的缺陷
不能限制Administer帐号不成功登录的次数;实体认证和数据加密功能较弱。
应该说,没有绝对安全的网络系统,而且随着校园网络开发的深入,还会出现很多的安全问题,比如网页上大量的ActiveX控件、Java Appelt的使用,也会引起新的安全漏洞。这需要我们在进行信息系统开发时将安全意识放在一个非常重要的地位。校园网络的发展需求,TCP/IP协议潜在的安全漏洞以及安全机制的不健全,就必须采取一系列的安全技术,防止非法用户进入企业内部网,确保信息的真实性和完整性。影响计算机网络安全的因素有很多,所以保护网络的安全也不只一种手段,而且,在绝大多数情况下,必须综合使用这些技术手段,才能达到良好的安全效果。
三、保护网络的安全所采取的技术
(一)防病毒软件。安装功能强大的防病毒软件是预防病毒的有效手段。目前,有许多优秀的病毒防治软件,美国网络联盟((NAI)的TVD病毒防治套件就是其中之一,可以杀灭超过15. 000种病毒,同时还可以有效地阻止黑客利用Java, ActiveX技术编写的恶意程序对上网用户的攻击。
(二)防火墙。目前,防火墙在软、硬件上都有已经有了非常成熟的产品。在软件方面有:Checkpoint的Fire Wall-I,叛国网络联盟(NAI)的GAUNTLET等。这些产品都使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力。在硬件方面有:Cisco的PIX,Netscreen的Netscreen-100等,这些产品都支持包过滤、加解密、VPN控制等安全技术,而且对应用透明,并且安装方便,管理简单。用户可以根据实际需要,选用不同的产品。
(三)身份认证。防火墙只是系统的第一道防线,用以防止非法数据进入。但作为一个安全的系统,仅仅配置防火墙是远远不够的,一旦防火墙被攻破,还需要有其他的手段,阻止黑客对系统数据进行破坏。身份认证是一种辨别对方身份是否合法的一种技术手段。
(四)加密。防火墙技术只是一种被动的防卫技术,很难挡住黑客访问攻击。在防火墙被突破的情况下,信息的加密就显得尤为重要了。加密是指使用现代密码学通过对信息进行重新组合,使得只有收发双方才能解码还原信息。在实际的网络应用中,采取的加密技术主要有两种:私有秘钥和公开密钥。
(1)私有密钥,又叫对称密钥加密
信息的收发双方通过使用相同的私有密钥,对信息进行加密和解密。DES是最为常见的加密标准之一,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,如果对安全性有特殊要求,还可以采取更长位数的密钥。
(2)公开密钥加密,又叫不对称密钥加密
是在Internet中使用最多的一种加密技术。它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由户主保存。常用的公钥加密算法是RSA算法,加密强度很高。数字签名使用的就是公开密钥加密技术。
加密技术用于网络安全通常有二种形式,即面向网络和面向应用服务。前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。通常面向网络的加密需要遵循固定的标准。
面向应用服务的加密技术主要由专门的软件来实现。例如使用Kerberos服务的登录服务,以及用于电子邮件加密的PEM和PGP技术。
综上所述,校园网络的安全技术主要应从两个方面着手,第一,网络层,采取对用户透明的方式保护网络服务的可靠性;第二,应用层,对用户身份进行合法性检查,并提供受控服务。在网络层重点解决的是系统安全问题,在应用层重点解决的是数据安全问题。仅仅依赖一种手段是远远不够的,只有结合多种网络安全技术,构成一套立体的、多层次的安全防护体系,才能确保网络的“百分之百”的安全。
参考文献:
[1]杨波,网络安全理论与应用.第一版.北京:电子工业出版社,2002.
[2]代情,校园网升级工程的设计与实现.广州大学学报(综合版),2001,第15卷(8):P49-P52.
[3]蒋东兴、罗念龙,校园网络教学系统及其关键技术研究.计算机应用,2001第21卷(9):P23-P25.
[关键词]校园网 网络系统 网络安全 TCP/IP 安全机制
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)1010082-01
Internet采用了开放性的体系结构,企事业团体一旦将自己的局域网联入Internet,就使一个封闭的系统变成了开放的系统,校园网就是Internet技术在企业内部网上的实现。因此,信息传输的广域性和网络协议的开放性使其面临比现在任何一种网络都更为严重的不安全问题,校园网的安全问题主要来自三个方面:一是计算机病毒的侵害;二是黑客的访问;三就是网络系统本身的安全漏洞。对于计算机系统本身来讲,从根本上解决自身所存在的隐患是安全问题的重点,因为ARPANET研究人员开发TCP/IP协议的目的是想通过这个协议将各种异种机互联起来以建立一个资源共享的网络,它强调了系统的开放性,但忽略了系统的安全性。
一、TCP/IP协议潜在着严重的安全隐患,包括提供的网络服务,主要有下面几点
(一)IP缺陷导致易被欺骗。IP包中的源地址可以伪造;IP包中“生成”时间可以伪造;认证不可靠。
(二)TCP和UDP端口结构的缺陷。端口是用来分配给专门的internet服务的一个软件结构,而每个服务所对应的端口号一般是分开的,如FTP-21,Telnet-23,HTTP-80等等。
(三)TCP/IP明码传送信息导致易被监视。TCP/IP网络中众多的服务均是在网络中明码传送,尽管使用者觉察不到。
(四)提供的不安全服务。匿名服务FTP:任何人都可以通过它取走服务器上具有读权限的文件;受托访问:在给用户提供方便的同时,也为黑客的进入提供了方便;NFS:错误的NFS服务器非授权存取导致非法用户的进入。另外,网络操作系统是管理网络资源的核心系统,而且每个使用者均是通过一个操作系统进入网络,所以,操作系统的安全性对网络的安全性起着重要的作用。
二、UNIX与Windows NT两种操作系统说明
(一)UNIX操作系统的缺陷。特权用户权力过大;口令与帐号只是简单的存储在一个加密的文件中;登录无次数限制;UNIX的文件系统也存在潜在的隐患:Suid和Guid。
(二)Windows Nt的缺陷
不能限制Administer帐号不成功登录的次数;实体认证和数据加密功能较弱。
应该说,没有绝对安全的网络系统,而且随着校园网络开发的深入,还会出现很多的安全问题,比如网页上大量的ActiveX控件、Java Appelt的使用,也会引起新的安全漏洞。这需要我们在进行信息系统开发时将安全意识放在一个非常重要的地位。校园网络的发展需求,TCP/IP协议潜在的安全漏洞以及安全机制的不健全,就必须采取一系列的安全技术,防止非法用户进入企业内部网,确保信息的真实性和完整性。影响计算机网络安全的因素有很多,所以保护网络的安全也不只一种手段,而且,在绝大多数情况下,必须综合使用这些技术手段,才能达到良好的安全效果。
三、保护网络的安全所采取的技术
(一)防病毒软件。安装功能强大的防病毒软件是预防病毒的有效手段。目前,有许多优秀的病毒防治软件,美国网络联盟((NAI)的TVD病毒防治套件就是其中之一,可以杀灭超过15. 000种病毒,同时还可以有效地阻止黑客利用Java, ActiveX技术编写的恶意程序对上网用户的攻击。
(二)防火墙。目前,防火墙在软、硬件上都有已经有了非常成熟的产品。在软件方面有:Checkpoint的Fire Wall-I,叛国网络联盟(NAI)的GAUNTLET等。这些产品都使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力。在硬件方面有:Cisco的PIX,Netscreen的Netscreen-100等,这些产品都支持包过滤、加解密、VPN控制等安全技术,而且对应用透明,并且安装方便,管理简单。用户可以根据实际需要,选用不同的产品。
(三)身份认证。防火墙只是系统的第一道防线,用以防止非法数据进入。但作为一个安全的系统,仅仅配置防火墙是远远不够的,一旦防火墙被攻破,还需要有其他的手段,阻止黑客对系统数据进行破坏。身份认证是一种辨别对方身份是否合法的一种技术手段。
(四)加密。防火墙技术只是一种被动的防卫技术,很难挡住黑客访问攻击。在防火墙被突破的情况下,信息的加密就显得尤为重要了。加密是指使用现代密码学通过对信息进行重新组合,使得只有收发双方才能解码还原信息。在实际的网络应用中,采取的加密技术主要有两种:私有秘钥和公开密钥。
(1)私有密钥,又叫对称密钥加密
信息的收发双方通过使用相同的私有密钥,对信息进行加密和解密。DES是最为常见的加密标准之一,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,如果对安全性有特殊要求,还可以采取更长位数的密钥。
(2)公开密钥加密,又叫不对称密钥加密
是在Internet中使用最多的一种加密技术。它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由户主保存。常用的公钥加密算法是RSA算法,加密强度很高。数字签名使用的就是公开密钥加密技术。
加密技术用于网络安全通常有二种形式,即面向网络和面向应用服务。前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。通常面向网络的加密需要遵循固定的标准。
面向应用服务的加密技术主要由专门的软件来实现。例如使用Kerberos服务的登录服务,以及用于电子邮件加密的PEM和PGP技术。
综上所述,校园网络的安全技术主要应从两个方面着手,第一,网络层,采取对用户透明的方式保护网络服务的可靠性;第二,应用层,对用户身份进行合法性检查,并提供受控服务。在网络层重点解决的是系统安全问题,在应用层重点解决的是数据安全问题。仅仅依赖一种手段是远远不够的,只有结合多种网络安全技术,构成一套立体的、多层次的安全防护体系,才能确保网络的“百分之百”的安全。
参考文献:
[1]杨波,网络安全理论与应用.第一版.北京:电子工业出版社,2002.
[2]代情,校园网升级工程的设计与实现.广州大学学报(综合版),2001,第15卷(8):P49-P52.
[3]蒋东兴、罗念龙,校园网络教学系统及其关键技术研究.计算机应用,2001第21卷(9):P23-P25.