论文部分内容阅读
[摘要]随着互联网技术的不断发展,网络安全技术越来越收到人们的高度重视,本门主要介绍了高校校园网网络安全管理方面的加密技术、防火墙技术、入侵检测技术及计算机病毒的防御等相关技术。
[关键词]校园网 网络安全 管理技术
中图分类号:TP3文献标识码:A文章编号:1671-7597(2008)0420033-01
一、加密技术
数据加密是计算机安全的重要部分。口令加密是防止文件中的密码被人偷看。文件加密主要应用于因特网上的文件传输,防止文件被看到或劫持。电子邮件给人们提供了一种快捷便宜的通信方式,但电子邮件是不安全的,很容易被别人偷看或伪造。为了保证电子邮件的安全,人们采用了数字签名这样的加密技术,并提供了基于加密的身份认证技术,这样就可以保证发信人就是信上声称的人。数据加密也使因特网上的电子商务成为可能。
密码系统可以用来提供以下几个基本的安全服务:数据保密性、数据完整性、认证、授权和不可抵赖性。此外,我们很有可能需要一些额外的服务来支持这些服务,如密钥建立和随机数产生等。数据保密性就是要防止信息泄露给非授权的组织和个人。要达到数据保密性,可以使用密码技术对信息进行加密,使这些信息只有授权方才能读值。数据完整性是要保证数据不受到非授权的改动,这些非授权的改动包括插入额外数据、删除或更改部分数据等等。要想完全防止数据不被篡改是不可能的,但是我们却可以确定我们的数据是否曾经被篡改过。认证是用来确定消息的起源,也就是确定发送消息的系统或用户的身份。授权就是对安全相关的功能或行为给予正式的许可。不可抵赖性是指对数据的来源和完整性可以提供证据,以方便第三方来验证。在网络信息系统的信息交互过程中,不可抵赖性是要确信参与者的真实同一性。所有参与者都不可能否认或抵赖曾经完成的操作和承诺。可以使用数字签名来实现不可抵赖性。
二、防火墙技术
防火墙是内部网络与外部网络之间的一种安全防范措施系统,配置在内部网和外部网之间,通过控制内外网络信息的流动来达到增强内部网络安全性的目的。防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。
一个防火墙系统通常有两种类型:包过滤型防火墙和代理服务器防火墙。包过滤型防火墙定义了一系列包过滤规则。优点是简单和廉价,缺点是包过滤规则的建立相对复杂。代理服务器防火墙是通过执行特殊的TCP/IP协议来为内部网用户提供Internet服务。缺点是必须为每一个应用建立应用层的特殊网关,这在一定程度上限制了新应用的建立。
若校园网不加防范地连入Internet,很容易受到入侵者的攻击,严重时会导致网络的瘫痪。防火墙分离可信任的校园内部网和不可信的公共网,是不同网络之间信息的唯一出入口。能根据学校的安全政策控制(允许、拒绝、监测)出入网络的信息流,具有较强的抗攻击能力。
校园网防火墙系统的设计常使用代理服务器属于应用层防火墙,它连接外部网与内部网充当防火墙,因为校园网内的机器不直接与Internet相连,客户机的内部资源不会受到侵犯,同时,又可在代理服务器上控制内部网客户机对Internet资源和服务的访问。这类防火墙的主要配置包括网络硬件,网络系统软件,代理服务软件等。硬件设置:在代理服务器中使用两块网卡,一块占用真实IP地址,与Internet连接;一块使用虚拟IP地址,与校园网相连,并由它给用户分配虚拟IP地址。同时客户机占用的虚拟地址,在设置时应注意必须是在代理服务指定范围内的。软件设置:网络系统软件主要配置包括Windows NT,Windows 2000
Server。客户机软件为Windows 98/ME/XP,Windows 2000。代理服务软件则包括:Ms Proxy Server,Net Proxy和Wingate等。一般代理软件要求分别在服务器和客户端进行安装。
三、入侵检测技术
任何试图危及资源的完整性、机密性或可用性的活动都是入侵行为,入侵行为不仅可以来自外部,也可以来自内部用户的未授权活动。可以通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为实现入侵检测。入侵检测的内容可分为:试图闯入、成功闯入、冒充其它用户、违反安全策略、合法用户的泄露,独占资源和恶意使用等。
入侵检测的功能有:监视分析用户活动;系统构造变化和弱点的审计;识别反映已知攻的活动模式并向相关人士报警;异常行为模式的统计分析,评估重要系统和数据文件的完整性;操作系统的审计跟踪管理。
IDS(入侵检测系统)能够实时分析校园网外部及校园网内部的数据通讯信息,分辨入侵企图,在校园网络系统受到危害之前以各种方式发出警报,并且及时对网络入侵采取相应措施,最大限度保护校园网系统的安全。通过多级、分布式的网络监督、管理、控制机制,全面体现了管理层对校园网关键资源的全局控制、把握和调度能力。入侵检测技术对于保证信息系统安全的作用是不言而喻的。但是单靠入侵检测系统自身,只能及时发现攻击行为,但却无法阻止和处理。所以,让IDS与防火墙结合起来互动运行,防火墙便可通过IDS及时发现其策略之外的攻击行为,IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性能并解决上述问题。IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系,解决了传统信息安全技术的弊端,解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。
四、计算机病毒的防御
计算机病毒的防御对高校校园网络管理员来说是一个望而生畏的任务。特别是随着病毒的越来越高级,情况就变得更是如此。目前,几千种不同的病毒不时地对计算机和网络的安全构成严重威胁。因此,了解和控制病毒威胁的需要显得格外的重要,任何有关网络数据完整性和安全的讨论都应考虑到病毒。校园网络病毒防御解决方案:
1.校园网络防病毒总体架构
根据具体情况统一制定相应的防病毒策略和实施计划。确定全网的病毒定义码、扫描引擎和软件修正的升级工作,并将升级文件自动逐级分发到各部门的防病毒服务器。根据现有的网络架构和管理体制,实行自上至下的三级管理中心。各级管理中心负责本地病毒防护系统的实施和维护工作,由专人进行集中监督。
2.部署全面的防病毒软件
应在整个网络中只要有可能感染和传播病毒的地方都采取相应的防病毒手段,安装相应的防病毒软件,部署网关级防病毒软件、服务器级防病毒软件和客户端级防病毒软件等。
参考文献:
[1]王曼维,徐立君,新形势下计算机网络安全及策略[J],长春大学学报,2008(2).
[2]钱军,万里勇,网络与信息安全保护的分析和策略[J],电脑知识与技术,2008(1).
[关键词]校园网 网络安全 管理技术
中图分类号:TP3文献标识码:A文章编号:1671-7597(2008)0420033-01
一、加密技术
数据加密是计算机安全的重要部分。口令加密是防止文件中的密码被人偷看。文件加密主要应用于因特网上的文件传输,防止文件被看到或劫持。电子邮件给人们提供了一种快捷便宜的通信方式,但电子邮件是不安全的,很容易被别人偷看或伪造。为了保证电子邮件的安全,人们采用了数字签名这样的加密技术,并提供了基于加密的身份认证技术,这样就可以保证发信人就是信上声称的人。数据加密也使因特网上的电子商务成为可能。
密码系统可以用来提供以下几个基本的安全服务:数据保密性、数据完整性、认证、授权和不可抵赖性。此外,我们很有可能需要一些额外的服务来支持这些服务,如密钥建立和随机数产生等。数据保密性就是要防止信息泄露给非授权的组织和个人。要达到数据保密性,可以使用密码技术对信息进行加密,使这些信息只有授权方才能读值。数据完整性是要保证数据不受到非授权的改动,这些非授权的改动包括插入额外数据、删除或更改部分数据等等。要想完全防止数据不被篡改是不可能的,但是我们却可以确定我们的数据是否曾经被篡改过。认证是用来确定消息的起源,也就是确定发送消息的系统或用户的身份。授权就是对安全相关的功能或行为给予正式的许可。不可抵赖性是指对数据的来源和完整性可以提供证据,以方便第三方来验证。在网络信息系统的信息交互过程中,不可抵赖性是要确信参与者的真实同一性。所有参与者都不可能否认或抵赖曾经完成的操作和承诺。可以使用数字签名来实现不可抵赖性。
二、防火墙技术
防火墙是内部网络与外部网络之间的一种安全防范措施系统,配置在内部网和外部网之间,通过控制内外网络信息的流动来达到增强内部网络安全性的目的。防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。
一个防火墙系统通常有两种类型:包过滤型防火墙和代理服务器防火墙。包过滤型防火墙定义了一系列包过滤规则。优点是简单和廉价,缺点是包过滤规则的建立相对复杂。代理服务器防火墙是通过执行特殊的TCP/IP协议来为内部网用户提供Internet服务。缺点是必须为每一个应用建立应用层的特殊网关,这在一定程度上限制了新应用的建立。
若校园网不加防范地连入Internet,很容易受到入侵者的攻击,严重时会导致网络的瘫痪。防火墙分离可信任的校园内部网和不可信的公共网,是不同网络之间信息的唯一出入口。能根据学校的安全政策控制(允许、拒绝、监测)出入网络的信息流,具有较强的抗攻击能力。
校园网防火墙系统的设计常使用代理服务器属于应用层防火墙,它连接外部网与内部网充当防火墙,因为校园网内的机器不直接与Internet相连,客户机的内部资源不会受到侵犯,同时,又可在代理服务器上控制内部网客户机对Internet资源和服务的访问。这类防火墙的主要配置包括网络硬件,网络系统软件,代理服务软件等。硬件设置:在代理服务器中使用两块网卡,一块占用真实IP地址,与Internet连接;一块使用虚拟IP地址,与校园网相连,并由它给用户分配虚拟IP地址。同时客户机占用的虚拟地址,在设置时应注意必须是在代理服务指定范围内的。软件设置:网络系统软件主要配置包括Windows NT,Windows 2000
Server。客户机软件为Windows 98/ME/XP,Windows 2000。代理服务软件则包括:Ms Proxy Server,Net Proxy和Wingate等。一般代理软件要求分别在服务器和客户端进行安装。
三、入侵检测技术
任何试图危及资源的完整性、机密性或可用性的活动都是入侵行为,入侵行为不仅可以来自外部,也可以来自内部用户的未授权活动。可以通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为实现入侵检测。入侵检测的内容可分为:试图闯入、成功闯入、冒充其它用户、违反安全策略、合法用户的泄露,独占资源和恶意使用等。
入侵检测的功能有:监视分析用户活动;系统构造变化和弱点的审计;识别反映已知攻的活动模式并向相关人士报警;异常行为模式的统计分析,评估重要系统和数据文件的完整性;操作系统的审计跟踪管理。
IDS(入侵检测系统)能够实时分析校园网外部及校园网内部的数据通讯信息,分辨入侵企图,在校园网络系统受到危害之前以各种方式发出警报,并且及时对网络入侵采取相应措施,最大限度保护校园网系统的安全。通过多级、分布式的网络监督、管理、控制机制,全面体现了管理层对校园网关键资源的全局控制、把握和调度能力。入侵检测技术对于保证信息系统安全的作用是不言而喻的。但是单靠入侵检测系统自身,只能及时发现攻击行为,但却无法阻止和处理。所以,让IDS与防火墙结合起来互动运行,防火墙便可通过IDS及时发现其策略之外的攻击行为,IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性能并解决上述问题。IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系,解决了传统信息安全技术的弊端,解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。
四、计算机病毒的防御
计算机病毒的防御对高校校园网络管理员来说是一个望而生畏的任务。特别是随着病毒的越来越高级,情况就变得更是如此。目前,几千种不同的病毒不时地对计算机和网络的安全构成严重威胁。因此,了解和控制病毒威胁的需要显得格外的重要,任何有关网络数据完整性和安全的讨论都应考虑到病毒。校园网络病毒防御解决方案:
1.校园网络防病毒总体架构
根据具体情况统一制定相应的防病毒策略和实施计划。确定全网的病毒定义码、扫描引擎和软件修正的升级工作,并将升级文件自动逐级分发到各部门的防病毒服务器。根据现有的网络架构和管理体制,实行自上至下的三级管理中心。各级管理中心负责本地病毒防护系统的实施和维护工作,由专人进行集中监督。
2.部署全面的防病毒软件
应在整个网络中只要有可能感染和传播病毒的地方都采取相应的防病毒手段,安装相应的防病毒软件,部署网关级防病毒软件、服务器级防病毒软件和客户端级防病毒软件等。
参考文献:
[1]王曼维,徐立君,新形势下计算机网络安全及策略[J],长春大学学报,2008(2).
[2]钱军,万里勇,网络与信息安全保护的分析和策略[J],电脑知识与技术,2008(1).