第一篇:校园网安全分析及策略计算机原创论文
新 乡 学 院
毕
业
论
文
论文题目 院(系)名称 专业名称 班
级 学生姓名 学
号 指导教师姓名
校园网安全分析及策略 国际教育与交流中心 计算机网络技术 07级 张新 2007123401018 叶涛 2010年4月完成
目录
内容摘要..........................................................1 关键词.............................................................1 Abstract...........................................................1 Key words..........................................................1 1.绪论.............................................................2
1.1课题背景..................................................2 1.2校园网的发展...........................................2 2.校园网发展现状与分析.............................................3 2.1校园网发展现状..............................................3 2.2校园网的安全需求............................................4 2.3校园网安全面临的威胁........................................5 3.校园网可采用的安全技术策略.......................................5 3.1防火墙部署..................................................6 3.2入侵检测系统部署..........................................6 3.3访问控制..................................................7 3.4运用虚拟局域网(VLAN)技术................................8 3.5安装补丁程序和网络版杀毒产品..............................8 4.校园网的安全设计方案.............................................9 5.校园网安全方案实施后的效果......................................11
5.1校园网安全方面..........................................11 5.2网络管理方面............................................12 5.3小结....................................................16 参考文献.........................................................18 致谢.............................................................19
内容摘要:随着网络在世界范围的普及,校园网作为服务于教育、科研和行政管理的计算机网络,实现了校园网内联网、信息共享,并与Internet互联。为教师和学生的工作、学习、生活、娱乐带来了许多便利。但校园网同时也面临着严峻的网络安全形势,本文将围针对校园网安全问题提出解决方法及策略,确保校园网正常、高效、安全的运行。
关键词:校园网 网络安全 设计
Abstract:With the popularity of the network in the world, campus network who supplies service for education, science research and administration, joins the Intranet and the Internet shares the information, It's convenient for teachers and students' work, study,living and entertainments, but also facing serious network security situation.To ensure campus network be operated normally, efficiently and safely is the problem for collages,the paper carried out a new solution.Key words:Campus network Network security Network design
1.绪论
1.1课题背景
随着Internet的迅速发展和应用的普及,计算机网络已经深入教育、政府、商业、军事等各行各业,成为社会重要的基础设施,同时网络安全问题也日益突出。
校园网作为学校信息化建设的基础设施,在教学、科研、管理和对外交流等方面都起着举足轻重的作用。随着高校网络规模的急剧膨胀,网络用户的快速增长,网络数据的急剧增加,校园网的安全问题也不断暴露出来,如病毒侵蚀、恶意软件、黑象攻击等,校园网时刻都会受到来自内部和外部的威胁与危害,针对校园网的安全向题,构建完善的网络安全体系是越来越重要。而且校园网与其它网络比具有以下一些特点:(I)校园网的数据流量大、速度快、规模大
近年来,随着高校扩招和合并,校园网的用户群体一般比较大,少则数千人、多则数万人。许多校园网已经发展为一个跨城域的网络。校园网已发展成为了一个全面信息的化阶段。多媒体教学和网络视频应用的推广对网络交换速度和数据量提出更 2 高的要求,同时也要求网络安全部件要有更快的处理速度和更高的性能。(2)校园网中的设备来源多样化、管理复杂
校园网是一个平台,面向高校的师生,校园网中的设备来源比较复杂。容易出现计算机病毒“交叉感染”,无法分清责任。(3)活跃的用户群体
高校的学生是最活跃的网络用户,对网络新技术充满好奇,面对精力充沛的高校学生,网络安全更为迫切。(4)有限的投入
校园网的后期管理容易被忽视,特别是管理和维护吧人员方面的投入明显不足,无暇顾及、也没有条件管理和维护千台、万台计算机的安全。(5)盗版资源泛滥
从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
1.2校园网的发展
网络技术的发展,尤其是Internet的出现,使我们校园生活、学习、工作和环境发生了巨大的变化。利用学校计算机网络,采用先进的管理软件,可规范学校的管理行为,提高管理水平和工作效率;在减轻工作量的同时,利用计算机存储量大、处理快速准确的特点,为学校的决策提供准确及时的信息。在学校的办公、信息交流和通信方面充分发挥计算机网络的作用,在软件的支持下实现网上协同工作。
计算机网络将使教学模式上有比较大突破,原来的老师、学生和网络三者之间的关系将发生变化,教师不再是知识的惟一拥有者和权威者,把知识传授给学生。学生应是学习的主体,校园网为学生的探索式学习提供情景和资源,老师只作为学习的指导者。在教学过程中将采用网络技术、多媒体技术,利用网络上丰富的教学资源,激发学生的学习兴趣,提高教学质量。多媒体技术将文本、声音、图像、动画和视频技术融为一体,使的教学活动变得生动且形式多变,从而提高学生学习的积极性、效率和效果。
高校校园网早期应用主要局限于行政办公、后勤、教学与计算中心,分离性较大,大部分采用企业网模式。而现在大部分高校在规划校园网时已计划将网络覆盖至学生宿舍区以及教师家属区,向在校学生及教职工提供园区内部互连以及Internet接入 3 服务。
2.校园网的发展现状与分析
2.1校园网现状
校园网络作为学校重要的基础设施,其安全状况直接影响着学校的教学活动,校园网网络上各种信息数据急剧的增加,校园网络信息安全面临严峻问题。
校园网网络信息十分丰富,网络用户的活动也非常活跃,校园网内部网络数据往往用于满足学校正常的行政办公需要、广大师生的教务教学需要、学生们的课余校园文化生活等等,这些无论是涉及个人隐私或利益的信息,还是学校行政办公的文档信息,以及用于政治宣传和管理的信息都需要进行完整性、真实性保护和控制,这就需要对进出校园网的访问行为进行必要的、有效性的控制,封堵某些禁止的行为和业务,避免损失。
校园网络系统中接入着成百上千台计算机,这些计算机的操作系统各种各样,通常分布在不同的物理位置,由不同的用户操作,用于不同的用途,由于这些差异,使得校园网网络中计算机中的漏洞问题十分严重。因为使用者的安全意识不强,或者采取措施不及时造成的损失在校园网网内时有发生,因此采用安全、及时的漏洞扫描技术对校园网网络中的系统漏洞进行扫描,在攻击发生之前发现网络和系统中的漏洞,并及时采取措施进行修复,可以进一步提高校园网络信息安全保障水平。
校园网接入互联网以后,用户通过校园网进入互联网。网络上的各种信息良荞不齐,色情、暴力、邪教内容的网站泛滥,对正在形成世界观和人生观的学生来说,有可能还不能正确地对待这类内容,这些违反人类道德标准和有关法律法规的有毒信息对他们危害极大,如果信息安全措施不好,不仅会有部分学生进入这些网站,还可能在校园内传播这类不良信息。
校园网网络的方便快捷同时也为病毒的肆意传播留下可能,下载的程序和电子邮件都有可能带有病毒。通过网络传播病毒无论在传播速度,还是破坏性和传播范围等方面都是单机病毒不能比拟的。大量病毒传播不仅占用网络资源,而且破坏服务器或单机,最终影响整个学校网络系统的正常运作,严重的还可能造成校园网网络的瘫痪,因此邮件监控和防病毒工作也是校园网络信息安全的一个重要方面。
教育信息化、校园网络化作为网络时代的教育方式和教育环境,己经成为教育发展的方向。随着各高校网络规模的急剧膨胀、网络用户的快速增长,校园网网络信息 4 安全问题已经成为当前各高校网络建设中不可忽视的首要问题。随着网络技术的发展与普及,校园网早已成为现代化教育建设的基础设施,校园网建设己经不仅仅只是局限于实现网络内部资源共享和外部信息互换。各学校为了能够实现以网养网,对网络设计提出了更高的要求,可运营、更安全、更实用成了今天对校园网络关注的焦点。
2.2校园网安全需求
第一,高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网己意识的淡薄,而另一方面,高校学生—这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。有关数字显示,目前校园网遭受的恶意攻击,70%来自高校网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。
第二,网络安全一定是全方位的安全。首先,网络出口、数据中心、服务器等重点区域要做到安全过滤;其次,不管接入设备,还是骨干设备,设备本身需要具备强大的安全防护,要具备强大的安全防护能力,并且安全策略部署不能影响到网络的性能,不造成网络单点故障;最后,要充分考虑全局统一的安全部署,需要能够从接入控制,到对网络安全事件进行深度探测,到现有安全设备有机的联动,到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施,从而能对网络形成一个由内至外的整体安全架构。
所以,在对出口等重点区域进行安全部署的同时,要更加全面的考虑安全问题,让整个网络从设备级的安全上升一个台阶,摆脱仅仅局部加强某个单点的安全强度的手段。根据校园网的需求和现状,校园网在安全方面要满足以下几点安全需求:(I)校园网禁止外部非校园网用户未经许可访问内部的数据,实现内部网络和重要服务器数据的安全防护。
(2)校园网内部各部门,个人之间网络访问进行控制,各部门,个人之间在未经授权的情况下,不能相互访问,实现网络的隔离。
(3)加强网络监控,实现对涉及重要服务器数据的攻击行为的纪录与分析。
(4)加强网络病毒的防范。
(5)加强安全管理,对校园网内部访问进行规范化。
2.3校园网安全面临的威胁
校园网内的用户数量较大,局域网络数目较多,认真分析可以总结出校园网面 5 临如下的安全威胁:
(I)各种操作系统以及应用系统自身的漏洞带来的安全威胁;(2)Internet网络用户对校园网存在非法访问或恶意入侵的威胁;
(3)来自校园网内外的各种病毒的威胁,外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网;
(4)内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;
(5)内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用;
(6)校园网内的学生群体是主要的OICQ用户,目前针对OICQ的黑客程序随处可见;
(7)可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁;
3.校园网可采用的安全技术策略
3.1防火墙技术
防火墙是网络安全的一种防护手段,它是位于两个信任程度不同的软件或硬件设备之间的组合,对两个网络之间的通信进行控制,通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络,以达到保护系统安全的目的。
防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。防火墙是一种按某种规则对专网和互联网, 或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离), 从而阻断不希望发生的网络间通信的系统。部署防火墙技术, 构筑内外网之间的安全屏障, 可以有效地将内部网与外部网隔离开来, 保护校园网络不受未经授权的第三方侵入。通过Internet 进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS 等), 既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用, 并能够对发生在网络中的安全事件进行跟踪和审计。现在有许多基于硬件或软件的防火墙, 如华为、神州数码、联想、瑞星等厂商的产品。
防火墙技术有一些局限性。防火墙不能防范不经过它的攻击,不能防止来自网络内部的攻击和安全问题,不具备实时监控入侵的能力,不能防止策略配置不当或错误配置引起的安全威胁,不能防止受病毒感染的文件的传输,不能防止利用服务器系统和网络协议漏洞进行的攻击,不能防止数据驱动式的攻击,不能够防止内部合法用户的主动泄密行为,不能防止本身的安全漏洞威胁。
防火墙作为第一道安全防线,部署防火墙无疑可以保护校园网网络系统的安全,但是由于防火墙本身的局限性,仅仅在校园网内部网络入口处部署防火墙系统还不能完全有效的保护整个校园网网络系统的信息安全。3.2入侵检测系统部署
入侵检测系统为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段,入侵检测系统已经成为网络信息安全架构中必要的附加手段。
入侵检测系统通常被认为是防火墙之后的第二道安全闸门,部署于防火墙之后,对网络活动进行实时检测,是防火墙的延续和合理补充。入侵监测系统可以记录和禁止网络活动,可以和防火墙、路由器配合工作,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的处理,实现对网络信息的实时保护。入侵检测系统通过帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应等),提高了信息安全基础结构的完整性。入侵检测系统从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统通过扫描当前网络的活动,监视和记录网络的流量,并根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。入侵检测系统可以完成监视、分析用户及系统活动,系统构造和弱点的审计,识别反映已知进攻的活动模式并向相关人士报警,评估重要系统和数据文件的完整性,操作系统的审计跟踪管理,并识别用户违反安全策略的行为等等任务。
在校园网络中部署入侵检测系统,能够有效防御各种攻击,控制网络资源滥用,利用该系统的日志,还可以部分分析出用户的上网行为,可以进一步保证校园网的稳定运行、保障网络系统的信息安全。
根据对校园网网络信息安全的风险分析,入侵防护安全需求的重点是校园网的中心服务器群和网络骨干区域。通过入侵检测设备对核心交换机的流量进行监控,从而实现入侵检测的功能。一般采用具备入侵防护与入侵检测功能相结合的产品就可以满 7 足需求。
入侵防护需求主要防御的方面包括防御来自外部的威胁,阻止蠕虫、网络病毒、间谍软件和黑客攻击对校园网重要网络区域和服务器群造成的安全损失,提高校园网络的整体抗攻击能力;防御来自网络内部的威胁,阻止蠕虫、网络病毒爆发对校园网络重要网络区域和服务器群的破坏,保障校园网络的正常运行;有效控制校园网络资源的滥用情况,阻止用户因使用各种即时通讯软件、P2P下载、网络在线游戏以及在线视频而影响网络的正常运行,通过净化网络流量,实现网络加速;监测和防护校园网络系统中重要区域和服务器群的安全运行,全面把握安全状态,以便于及时发现可能的安全攻击,防止安全事件的发生,保证整个校园网系统的网络信息安全。
3.3访问控制
访问控制的主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户帐户的缺省限制检查等。当用户进入网络后, 网络系统就赋予这一用户一定的访问权限, 用户只能在其权限内进行操作。这样, 就保证网络资源不被非法访问和非法使用。访问控制必须遵从最小特权原则, 即用户在其合法的访问授权之外而无其他的访问特权, 以保证有效防止网络因超权限访问而造成的损失。
账号和密码保护可以说是系统的第一道防线, 目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统, 那么前面的防卫措施几乎就没有作用, 所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
系统管理员密码的位数一定要多, 至少应该在8位以上, 而且不要设置成容易猜测的密码, 如自己的名字、出生日期等。对于普通用户, 设置一定的账号管理策略, 如各种开机口令、登陆口令、共享权限口令等等, 并强制用户每个月更改一次密码。对于一些不常用的账户要关闭, 比如匿名登录账号。
3.4 运用虚拟局域网(VLAN)技术
VLAN(Virtual Local Area Network)即虚拟局域网, 是一种通过将局域网内的设备逻辑地(而不是物理地)划分成一个个网段从而实现虚拟工作组的新兴技术。采用交换式局域网技术(ATM或以太交换)的校园网络, 可以用VLAN 技术来加强内部网络管理。VLAN 技术的核心是网络分段, 根据不同的应用业务以及不同的安全级别, 8 将网络分段并进行隔离, 实现相互间的访问控制, 可以达到限制用户非法访问的目的。
3.5安装补丁程序和网络版杀毒产品
操作系统都有漏洞, 作为网络系统管理员就有责任及时地将“补丁”(Patch)打上。大部分校园网服务器使用的是微软的Windows NT/2000 操作系统, 因为使用的人特别多, 所以发现的Bug 也特别多, 同时,蓄意攻击它们的人也特别多。微软公司为了弥补操作系统的安全漏洞, 在其网站上提供了许多补丁, 可以到网上下载并安装相关升级包。计算机病毒的特点是具有非授权的可执行性、隐蔽性好、感染性强、潜伏得深、破坏性广泛、有条件地触发而发作、新病毒层出不穷等。计算机病毒的危害多种多样。病毒程序会消耗资源使网络速度变慢;病毒会干扰、改变用户终端的图像或声音, 使用户无法正常工作: 有些病毒还会破坏文件、存储器、软件和硬件。使部分网络瘫痪有些病毒会在硬盘上设置远程共享区, 形成后门, 为黑客大开方便之门。目前, 大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件;同时, 在网络版的杀毒软件使用中, 必须要定期或及时升级杀毒软件。
安全防范体系的建立不是一劳永逸的,校园网络自身的情况不断变化,新的安全问题不断涌现,必须根据情况的变化和现有体系中暴露出的一些问题,不断对此体系进行及时的维护和更新,保证网络安全防范体系的良性发展,确保它的有效性和先进性。
4.校园网安全设计方案
针对上述分析当今校园网普遍面临的安全隐患。特别是近年来,随着学生宿舍、教职工家属等接入校园网后,网络规模急剧增大。同时,校园网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。下图是比较普遍的校园网拓扑结构。基于此图,我将从物理、系统、网络、应用及管理五个层次分析和设计适合于校园网的安全建议方案。
1.物理层安全
物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照:GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时,要注意保护线路的安全,防止用户的搭线行为。2.系统安全
系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种:
①用主机加固手段对主机加固,如升级、打补丁、关闭不需要的端口等;
②用主机访问控制手段加强对主机的访问控制; 3.网络层安全
校园网中局域网数目较多,根据需要多个网络可能要互相联接。正是这种多网的互联,使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护:
①划分安全子网。如果同一局域网内有不同等级的安全域,可以通过划分子网及 10 VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制,不允许学生机房的机器访问多媒体机房的机器。
②加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间,利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁
③防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统(IDS),可有效地防止来自网络内外的攻击。
④定期的网络安全性检测实现持续安全。利用漏洞扫描器(Scanner),定期对系统进行安全性评估,及时发现安全隐患并实施修补,可达到网络的相对持续安全。
⑤建立网络防病毒系统。在校园网中安装网络版的防毒系统,集中控制、管理查杀网络中服务器、终端的病毒,保护全网不被病毒侵害。
4.应用层安全
应用层的安全措施主要有以下几点:
①应用系统自身的加固; ②建立身份验证系统; ③建立审计系统; ④建立备份系统; 5. 管理层安全
实现管理层的安全主要注意以下几点:
① 建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析。
② 建立、健全安全管理体制。校园网用户较多,一定要建立一套合理可行的安全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平。③ 提高全员的安全意识。
5.安全方案实施后的效果
校园网在实施全局安全方案后,校园网在安全方面和管理方面都有大的改善。5.1校园网安全方面
校园网在实施了全局安全防御系统后实现了校园网全局的安全部署,包括:全部学 生宿舍、教师宿舍、机房和办公区域。
全局安全防御系统可以对所有安全事件、网络病毒攻击行为、用户行为和用户主 11 机安全信息进行深入分析和全局监控。通过这种实时全网侦测,可以在第一时间内将网络异常现象通过接入层隔离出网络,使得网络异常现象完全不影响核心网络:在发现安全问题后能自动对用户进行安全事件告警,并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流该系统部署完成后,对网络内的安全事件和网络病毒进行了有效抑止。
另外,通过校园网全局安全防御系统的主机信息获取和完整性(HostIntegrity)检测,能够清楚网络中的应用情况,并约定用户主机的准入标准,比如:校园网用户可以安装什么软件,禁止安装何种软件。这一方面,获取的主机信息可以为校园网管理的决策提供判断依据。另一方面,从侧面体现了学院网络中心的职责转变,从单一的维护向对网络平台的可靠运行负责的转变,其中就涉及对网络相应规则、制度的制定。
此外,通过校园网全局安全防御系统先进的“免疫型”防ARP欺骗改击手段,能够彻底解决ARP攻击带来的安全漏洞和断网事件的发生。过去,我们只有在某个区域发生断网之后,才去判断是否是ARP欺骗,并进行手工处理。若用户未能完全杀毒,极可能又会引起该区域的网络中断。由于校园网全局安全防御系统自动的ARP防范,网络中心的老师再也不用为了一个小小的欺骗犯愁了,而是可以将大量的时间和精力投入到更有意义的事情中去。
5.1.1完善的主机完整性检测
校园网全局安全防御系统通过获取接入网络的主机信息(软件安装情况、硬件配置、网络信息)来了解主机的情况,管理员通过对主机的安全状态进行判断后,即可制定出对应的主机完整性即HI(Host Integrity)规则,来保障主机必须/禁止安装哪些软件、必须/禁止开启嘟些服务、必须/禁止运行哪些进程以及管理注册表中对应键值的数值,通过这些检测,对主机的安全情况有了一个细致的检测,同时,在检测失败后,给出用户如何修复不安全因素的解决方法,同时,对用户的上网行为进行限制,例如只允许访问修复服务器去下载补丁或这相关软件。通过主机完整性检测的启用,保障了用户安装并开启必须的防范软件和服务,同时对病毒所引起的注册表修改等行为也可以有效的恢复,最重要的是,通过这些行为与网络控制的结合,使得用户必须通过主机完整性检测才能入网,否则就是无法上网办公,保障了安全手段的强制 12 性,也将不安全因素排除在了网外。如图5-1
图5-1 SMP的主机完整性(HI)检测
5.1.2安全的联动防范网络攻击
在校园网的全局安全解决方案中,除了传统的入侵检测设备IDS的加入外,还加入了IDS跟安全管理平台SMP的联动,在发现安全事件之后,可以及时准 确的定位到攻击的发起者,并通过下发安全策略、警告消息和修复程序来制止攻击者保护被攻击者,必要时可以通过定位攻击者采取行政手段。在ARP病毒防 范方面,全局安全防御通过安全网关、安全智能交换机、SMP和SU之间的联动,实现了网关的绑定,ARP表的静态维护,客户端IP-MAC的绑定,通过多重工 事的立体防御。
第一重:网关防御,如图5-2 13
网关防御的实现过程如下:(1)SMP通过SAM学习已通过认证的合法用户的IP-MAC对应关系.(2)SMP将用户的ARP信息通知相应网关。(3)网关生成对应用户的可信任ARP表项。通过网关防御可以实现以下效果:(1)攻击者冒充用户IP对网关进行欺骗。
(2)真正的用户已经在网关的可信任ARP表项中,欺骗行为失败。
可信任ARP是全局安全防御系统功能专署的表项。通过联动SMP,动态学习己通过认证的用户ARP,保障合法用户的上网质量。可信任ARP是一种介于 静态和动态ARP之间的地址表项。与静态ARP不同,可信任ARP也有老化机 制,过期自动删除;可信任ARP有专门预留的地址空间,不会被动态ARP所修 改。可信任ARP能够自动检测用户是否在线。可信任ARP老化时,会自动检侧用户在线情况,如果用户在线,会自动恢复生存周期。
第二重:用户端防御,如图5-3 14
用户端防御的实现方法如下:(1)在SMP上设置网关的正确IP-MAC对应信息。(2)用户认证通过,SMP将网关的ARP信息下传至SUo(3)SU静态绑定网关的ARP o 通过用户端防御,可以实现以下效果:(1)攻击者冒充网关欺骗合法用户。
(2)用户已经静态绑定网关地址,欺骗攻击无效。
第三重:交换机非法报文过滤,如图5-4
交换机非法报文过滤,是通过S21和29系列交换机的安全功能来实现的,具体实现方法如下:(1)用户认证通过后,21交换机会在接入端口上绑定用户的IP-MAC对应信 息。
15(2)21交换机对报文的源地址进行检查,对非法的攻击报文一律丢弃处理。(3)该操作不占用交换机CPU资源,直接由端口芯片处理。图S-4 ARP防御的第三重—交换机非法报文过滤 交换机非法报文过滤可以实现以下的效果:(1)攻击者伪造源IP和MAC地址发起攻击。(2)报文不符合绑定规则,被交换机丢弃。
通过以上的三重立体ARP防护方法,解决了ARP欺骗中的网关型欺骗,中间人欺骗以及ARP泛洪攻击,给我们的局域网带来更加干净的网络环境。
5.2网络管理方面
5.2.1入网身份验证
作为全局安全的身份基础平台,SAM系统实现了苏州托普信息职业技术学 院全体学生宿舍、教师宿舍、办公和公共机房身份认证。该系统基于802.1 x技 术,实现了对用户的身份和IP, MAC、交换机端口、交换机IP等信息严格绑定,一旦出现安全事件,可迅速追查到人。SAM系统提供的完善的计费运营功能,为校园网运营提供了足够的数据支撑。通过该系统的部署,有效的防止了IP地 址盗用,极大的减轻了校园网管理的运营负担,并为全局网络安全提供了基础身 份平台。如下图5-5,5-5份认证
而入网身份验证的多元素绑定,也有效的杜绝了IP地址冲突现象的发生,只有用自己的IP才能登陆上网,而通过用户漫游功能,也实现了用户在不同地 区认证上网的需求。如图5-6 16
5-6网身份验证多元素绑定
5.2.2防非法外联
通过SAM的防非法外联功能,可以限制接入主机的拨号、架设代理的功能,防止不受控的上网行为发生,将危险置之网外,如图5-3
图
5-7加接入控制组
5.3小结
随着网络的普及,校园网给教师和老师的学习、生活、工作和院校的管理带来了很大的便利,但随之而来,也产生了许多问题。校园网系统庞大,设备来源多,管理复杂,师生的安全意识不强,管理层资金短缺,各种操作系统以及应用系统自身的漏洞等诸多因素导致了校园网的不安全,如信息的泄露,非法用户入侵,黑客攻击等。17 因此,校园网的安全问题越来越受关注。本文分析了校园网的现状及对校园网安全造成威胁的诸多因素,从而提出了校园网安全设计方案,解决了校园网的安全问题。
参考文献
[1]刘永华,解圣庆,张凤云。局域网组建、管理与维护[M]北京:清华大学出版社。
[2]刘钦创。网络安全技术与应用[J]2006.2.1期
[3]贾铁军,王坚,沈学东。网络安全技术及应用实践教程[M]北京:机械工业出版社,2009.2 [4]赵安军,徐邦海。网络安全及应用[M]北京:北京人民出版社。[5]田宝玉。计算机网络与信息安全[M] 北京:北京邮电大学出版社。[6]刘钦创。现代计算机。[J]2006.3.25 期
致谢
首先感谢叶涛老师在我论文的选题、写作过程中给予的细致关心和指导。在论文的选题和研究方面,叶老师提出了很多指导性的意见,很受启发。
感谢学院三年来的授业解惑,使我在专业技术方面得到了很大的提高,开阔了视野,为今后的工作打下了良好的基础。
感谢新乡学院的同学们,大家一起学习,一起探讨,互相帮助合作,度过了充实快乐的时光。
最后,再次向所有帮助和关心过我的人们表示由衷的感谢!
张新
2010年4月12日
第二篇:计算机校园网安全管理制度
计算机校园网安全管理制度
一、各办公室计算机实行办公室主任负责制,全权负责本办公室计算机的管理、维护和使用。
二、要严格按照计算机操作规程进行操作,不得非法操作。
三、未经许可,不准外来人员操作计算机,登录学校局域网。
四、不准随意将学校主控室服务器上的资料复制给他人使用。
五、对于来历不明的软盘不能上机使用,确属教学需要,必须先杀毒后使用。
六、不准在计算机上安装带有病毒的软件。
七、不准在计算机上安装带有色情的游戏软件。
八、不准在学校计算机上浏览不健康的网页。
九、严禁故意制作、传播计算机病毒等破坏性程序。
十、不准利用互联网侮辱他人或者捏造事实诽谤他人。
十一、不准非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密。
十二、不准利用互联网进行盗窃、诈骗、敲诈。
十三、不准随意拆卸主机箱,更换鼠标、键盘、音箱、显示器
十四、计算机长时间不用时,要关闭计算机,并切断电源。
岞山第二小学
第三篇:校园网论文需求分析论文:浅析我国校园网建设
校园网论文需求分析论文:浅析我国校园网建设 [摘要]校园网建设是我国教育系统信息化建设的关键,分析校园网建设的背景及面临的问题,从建设目标、建设任务以及业务分析三方面提出校园网整体建网原则。
[关键词]校园网 需求分析 建设原则
一、校园网建设背景
同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。在信息化的建设过程中,它的作用体现在如下几个方面:
(一)校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。
(二)校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。
(三)校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。
(四)校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这
一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。
二、校园网建网的需求分析
目前高校大部分都采用采用千兆光纤链路建立骨干,分别连接办公室、教学楼和宿舍楼等。校园网建成后,网上应用日趋丰富和完普,网络规模也逐渐扩大,总计连接学院各种计算机达数千台以上。校园网的建立为全院提供了先进、快速、方便的信息交流、资深的共享、科学计算和科研的合作环境。对提高人才的培养质量,探索新的教育体制和教学模式,实现基于internet的教育革新,促进学院教学、科研及军事训练管理工作的全面发展起到了积极的推动作用。
三、校园网整体建网原则
(一)建设目标
建设相对稳定可靠,具有一定安全性,开放性,适度超前的校因网络系统,整个系统易于扩充(要适应校区分期逐步建设的需要),智能安全、便于管理、方便用户接入,能够满足未来3到5年内的网络发展和应用要求。
(二)建设任务
校园网建设是一个全新的网络系统,可以借鉴的成功校园网经验很多。所以需要全面规划、综合考虑,避免重复投资、不断升级,力求达到一个起点高、高性能、高安全,易
管理理、智能化、易扩充的全新、稳健的校园网,为今后的各项校园网应用和教学研究打下一个良好的基础。
(三)业务需求分析
校园网的建设从网络流量模型上看有如下特点: 1.多出口的需求
典型的组网有中国教育和科研网(cernet)出口和电信、网通出口。多出口带来了以下两个需求:
1)多权限isp需求.用户可通过不同的账号名或采用相同的账号。不同的域名认证,获得不同的上网权限。
2)多isp分别计费的需求,对应不同的isp,计费策略不一致。
2.用户管理的需求
1)使用方便,存在web认证需求。2)需要解决账户和端口绑定问题。3)对用户带宽进行控制的需求。3.流媒体业务的需求
随着校园网的信息化发展,越来越多的教学方式依托于校园网络给学生提供多种特色教学模式。为了更好地为学生提供全方面的教学资料,越来越多的学校在自己的校园网上为学生提供多种多媒体教学课件、考试资料等,供学生下载使用。通过建立vod视频服务器平台,利用交换机提供的组
播功能,为用户提供优质的视频效果,同时节省带宽。
4.安全管理的需求
校园网用户接受新事物的能力非常强,因此校园网也成为黑客最多的场合之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要的攻击手段有dos、ddos、arp等
5.ipv6的需求
2004年12月我国第一个ipv6全国骨干网cernet(china education and research network)试验网正式开通,第二代中国教育和科研计算机网cernet2作为下一代互联网示范工程(cngi)最大的核心网与唯一的全国性学术网,是目前世界上规模最大的纯ipv6骨干网,它以2.5gbps-10gbps传输速率连接全国20各主要城市的cernet2核心节点,为全国200余所高校提供下一代互联网高速接入服务,并通过中国下一代互联网交换中心高速连接国内外下一代互联网,从而形成我国开展下一代互联网及其应用研究的重要实验环境。随着ipv6技术的日益成熟以及各所高校都向着世界一流研究型大学迈进,因此组建校园网必须考虑今后ipv6的规划、设备的ipv6 ready、ipv6驻地网的建设,以及网络从ipv4平滑升级到ipv6的问题。
6.wlan的需求
随着wlan技术的成熟,在校园网内部署wlan也日益成为热点。因此在规划中需要考虑wlan的规划。
7.视频会议、远程教学的需求
随着不同高校新校区的投入使用,校园网整体落成后,将成为一个多用户高带宽的ip网络,能够提供多种业务应用平台与满足众多节点的接入。由于新旧校区之间有一定的距离,通过人员迁移的讲座学习会浪费师生大量宝贵的时间,基于此,需要在不同校区之间开展网上远程教学以及视频会议系统。
四、结束语
教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。高校计算机网络的建设对于加快本体区教育信息化的步伐,以信息化带动教育的现代化,全面提高教育管理水平和教学水平,推动以学生为中心的教学改革实践和信息化平台上的基础教育实验,更好的培养适应信息社会生存和发展需要的合格公民,从而达到“教会一个学生、带动一个家庭、推动整个社会”的目的。高校网络建设在本
城市中将整个学校各个院系、各个分部互连成一个桌面到桌面的城域网络体系,并向上连接到国家骨干网的高速链路,使整个国家的教育网络成为一个有机整体。
通过全面、集中的安全管理,智能、综合的事件分析,动态、广泛的协同响应,将不同领域的安全部件融合成一个无缝的安全体系将是我们今后急需解决的问题。
参考文献:
[1]党光.变革中的高校校园网建设[j].信息系统工程,2009.12.[2]姜微.规划校园网建设[j].中国西部科技,2009.34.[3]蒋玲玲.高校校园网的本质与现状剖析[j].河北广播电视大学学报,2009.06.[4]梁义,努尔布力,张斌.谈数字化校园建设[j].伊犁师范学院学报, 2004.03.[5]黄少兵.走进数字化校园——建设“数字校园”提升办学水平[j].科学咨询, 2006.06.
第四篇:计算机安全防护策略
一、杀(防)毒软件不可少
病毒的发作给全球计算机系统造成巨大损失,令人们谈“毒”色变。上网的人中,很少有谁没被病毒侵害过。对于一般用户而言,首先要做的就是为电脑安装一套正版的杀毒软件。
现在不少人对防病毒有个误区,就是对待电脑病毒的关键是“杀”,其实对待电脑病毒应当是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛亮”的角色,即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病毒于计算机门外。因此应当安装杀毒软件的实时监控程序,应该定期升级所安装的杀毒软件(如果安装的是网络版,在安装时可先将其设定为自动升级),给操作系统打相应补丁、升级引擎和病毒定义码。由于新病毒的出现层出不穷,现在各杀毒软件厂商的病毒库更新十分频繁,应当设置每天定时更新杀毒实时监控程序的病毒库,以保证其能够抵御最新出现的病毒的攻击。
每周要对电脑进行一次全面的杀毒、扫描工作,以便发现并清除隐藏在系统中的病毒。当用户不慎感染上病毒时,应该立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描操作,清除一切可以查杀的病毒。如果病毒无法清除,或者杀毒软件不能做到对病毒体进行清晰的辨认,那么应该将病毒提交给杀毒软件公司,杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时,我们的第一反应应该是拔掉网络连接端口,或按下杀毒软件上的断开网络连接钮。
二、个人防火墙不可替代
如果有条件,安装个人防火墙(Fire Wall)以抵御黑客的袭击。所谓“防火墙”,是指一种将内部网和公众访问网(Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch)产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙进行更新。在理想情况下,一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情况看,这还是个遥远的梦想。目前各家杀毒软件的厂商都会提供个人版防火墙软件,防病毒软件中都含有个人防火墙,所以可用同一张光盘运行个人防火墙安装,重点提示防火墙在安装后一定要根据需求进行详细配置。合理设置防火墙后应能防范大部分的蠕虫入侵。
三、分类设置密码并使密码设置尽可能复杂
在不同的场合使用不同的密码。网上需要设置密码的地方很多,如网上银行、上网账
户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码,以免因一个密码泄露导致所有资料外泄。对于重要的密码(如网上银行的密码)一定要单独设置,并且不要与其他密码相同。
设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码,最好采用字符与数字混合的密码。
不要贪图方便在拨号连接的时候选择“保存密码”选项;如果您是使用Email客户端软件(Outlook Express、Foxmail、The bat等)来收发重要的电子邮箱,如ISP信箱中的电子邮件,在设置账户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的,但是这样的加密往往并不保险,一些初级的黑客即可轻易地破译你的密码。
定期地修改自己的上网密码,至少一个月更改一次,这样可以确保即使原密码泄露,也能将损失减小到最少。
四、不下载来路不明的软件及程序,不打开来历不明的邮件及附件
不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件(尤其是可执行文件),在给你带来方便和快乐的同时,也会悄悄地把一些你不欢迎的东西带到你的机器中,比如病毒。因此应选择信誉较好的下载网站下载软件,将下载的软件及程序集中放在非引导分区的某个目录,在使用前最好用杀毒软件查杀病毒。有条件的话,可以安装一个实时监控病毒的软件,随时监控网上传递的信息。
不要打开来历不明的电子邮件及其附件,以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行,有些病毒就是通过电子邮件来传播的,这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件,如果您抵挡不住它的诱惑,而下载或运行了它的附件,就会受到感染,所以对于来历不明的邮件应当将其拒之门外。
五、警惕“网络钓鱼”
目前,网上一些黑客利用“网络钓鱼”手法进行诈骗,如建立假冒网站或发送含有欺诈信息的电子邮件,盗取网上银行、网上证券或其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多。公安机关和银行、证券等有关部门提醒网上银行、网上证券和电子商务用户对此提高警惕,防止上当受骗。
目前“网络钓鱼”的主要手法有以下几种方式:
(1)发送电子邮件,以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
(2)建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。
(3)利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。
(4)利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。
(5)利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。
实际上,不法分子在实施网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。反网络钓鱼组织APWG(Anti-Phishing Working Group)最新统计指出,约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备,但今年国内的众多银行已经多次被Phishing过了。可以下载一些工具来防范Phishing活动,如Netcraft Toolbar,该软件是IE上的Toolbar,当用户开启IE里的网址时,就会检查是否属于被拦截的危险或嫌疑网站,若属此范围就会停止连接到该网站并显示提示。
六、防范间谍软件
最近公布的一份家用电脑调查结果显示,大约80%的用户对间谍软件入侵他们的电脑毫无知晓。间谍软件(Spyware)是一种能够在用户不知情的情况下偷偷进行安装(安装后很难找到其踪影),并悄悄把截获的信息发送给第三者的软件。它的历史不长,可到目前为止,间谍软件数量已有几万种。间谍软件的一个共同特点是,能够附着在共享文件、可执行图像以及各种免费软件当中,并趁机潜入用户的系统,而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯,有些间谍软件还可以记录用户的键盘操作,捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起,用户很难发现它们是什么时候被安装的。一旦间谍软件进入计算机系统,要想彻底清除它们就会十分困难,而且间谍软件往往成为不法分子手中的危险工具。
从一般用户能做到的方法来讲,要避免间谍软件的侵入,可以从下面三个途径入手:
(1)把浏览器调到较高的安全等级——Internet Explorer预设为提供基本的安全防护,但您可以自行调整其等级设定。将Internet Explorer的安全等级调到“高”或“中”可有助于防止下载。
(2)在计算机上安装防止间谍软件的应用程序,时常监察及清除电脑的间谍软件,以阻止软件对外进行未经许可的通讯。
(3)对将要在计算机上安装的共享软件进行甄别选择,尤其是那些你并不熟悉的,可以登录其官方网站了解详情;在安装共享软件时,不要总是心不在焉地一路单击“OK”按钮,而应仔细阅读各个步骤出现的协议条款,特别留意那些有关间谍软件行为的语句。
七、只在必要时共享文件夹
不要以为你在内部网上共享的文件是安全的,其实你在共享文件的同时就会有软件漏洞呈现在互联网的不速之客面前,公众可以自由地访问您的那些文件,并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码,一旦不需要共享时立即关闭。
一般情况下不要设置文件夹共享,以免成为居心叵测的人进入你的计算机的跳板。
如果确实需要共享文件夹,一定要将文件夹设为只读。通常共享设定“访问类型”不要选择“完全”选项,因为这一选项将导致只要能访问这一共享文件夹的人员都可以将所有内容进行修改或者删除。Windows98/ME的共享默认是“只读”的,其他机器不能写入;Windows2000的共享默认是“可写”的,其他机器可以删除和写入文件,对用户安全构成威胁。
不要将整个硬盘设定为共享。例如,某一个访问者将系统文件删除,会导致计算机系统全面崩溃,无法启动。
八、不要随意浏览黑客网站、色情网站
这点勿庸多说,不仅是道德层面,而且时下许多病毒、木马和间谍软件都来自于黑客网站和色情网站,如果你上了这些网站,而你的个人电脑恰巧又没有缜密的防范措施,哈哈,那么你十有八九会中招,接下来的事情可想而知。
九、定期备份重要数据
数据备份的重要性毋庸讳言,无论你的防范措施做得多么严密,也无法完全防止“道高一尺,魔高一丈”的情况出现。如果遭到致命的攻击,操作系统和应用软件可以重装,而重要的数据就只能靠你日常的备份了。所以,无论你采取了多么严密的防范措施,也不要忘了随时备份你的重要数据,做到有备无患!
第五篇:计算机安全论文
XXXXX学院 成人高等教育
毕
业
论
文
论文题目: 计算机网络安全技术研究
姓
名
XXXXXX 院(系):
XXXXXX院
专业班级
(113474016)计算机科学与技术 学
号
2XXXXXX 指导教师
XXXX
XXXXX院继续教育学院制
学生承诺书
本人承诺在毕业论文(设计)活动中遵守学校有关规定、恪守学术规范,在本人毕业论文(设计)内容除特别注明和引用外,均为本人观点,不存在剽窃、抄袭他人的学术观点、思想和成果,不存在伪造、篡改实验数据。如有违规行为发生,我愿承担一切责任,接受学校的处理,并承担相应的法律责任。
承诺人(签名):
摘 要
21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击,因此,网络信息资源的安全及管理维护成为当今信息话时代的一个重要话题。
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络面临的安全性威胁(黑客入侵)及管理维护(防火墙安全技术)。进一步阐述了网络拓扑结构的安全设计,包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法做了简要的分析,论述了其安全体系的构成。
关键词:信息安全 网络 防火墙 数据加密
目 录
摘要...................................................................3 目录...................................................................4 第一章 引言
1.1 概述..............................................................6 1.2 网络安全技术的研究目的 意义和背景................................6 1.3 计算机网络安全的含义..............................................7 第二章 网络安全初步分析
2.1 网络安全的必要性..................................................8 2.2 网络的安全管理....................................................8 2.2.1安全管理原则...................................................8 2.2.2安全管理的实现...................................................8 2.3 采用先进的技术和产品
2.3.1 防火墙技术.....................................................9 2.3.2 数据加密技术...................................................10 2.3.3 认证技术.......................................................10 2.3.4 计算机病毒的防范...............................................10 2.4 常见的网络攻击及防范对策.......................................11 2.4.1 特洛伊木马.....................................................11 2.4.2 邮件炸弹.......................................................11 2.4.3 过载攻击........................................................12
2.4.4 淹没攻击.......................................................12 第三章
网络攻击分析................................................13 第四章
网络安全技术................................................15 4.1 防火墙的定义和选择...............................................15 4.2 加密技术.........................................................16 4.2.1 对称加密技术...................................................16 4.2.2 非对称加密/公开密钥加密........................................16 4.2.3 RSA算法.......................................................16
4.3注册与认证管理..................................................17 4.3.1 认证机构....................................................17 4.3.2 注册机构....................................................18 4.3.3 密钥备份和恢复..............................................18 4.3.4 证书管理与撤销系统...........................................18
第五章 安全技术的研究
5.1 安全技术的研究现状和方向....................................19 5.2 包过滤型....................................................19 5.3 代理型......................................................19
结束语.............................................................21 参 考 文 献
第一章 引言
1.1 概述
我们知道, 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。
随着计算机网络的发展,网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国特色的网络安全体系。
一个国家的安全体系实际上包括国家的法律和政策,以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几个特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断的变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合开发。安全与反安全就像矛盾的两个方面,总是不断的向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。
1.2 网络安全技术的研究目的、意义和背景
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给
社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。
随着计算机络的不断发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言,其网上信息的安全性和保密性尤为重要。因此,上述的网络必须要有足够强的安全措施,否则该网络将是个无用、甚至会危机国家安全的网络。无论是在局域网中还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性,故此,网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。
认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用现金的技术和产品,构造全防卫的防御机制,使系统在理想的状态下运行。
1.3 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
第二章 网络安全初步分析
2.1 网络安全的必要性
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征。人们称它为信息高速公路。网络是计算机技术和通信技术的产物,适应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的。
2.2 网络的安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。
2.2.1安全管理原则
网络信息系统的安全管理主要基于3个原则:
多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作以得到保障。与安全有关的活动有:访问控制使用证件的发放与回收,信息处理系统使用的媒介发放与回收,处理保密信息,硬件与软件的维护,系统软件的设计、实现和修改,重要数据的删除和销毁等。
任期有限原则
一般来讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期的循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
除非经系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。
2.2.2 安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作是:
根据工作的重要程度,确定该系统的安全等级。
根据确定的安全等级,确定安全管理范围。
制定相应的机房出入管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统,采用此卡、身份卡等手段,对人员进行识别,登记管理。
2.3 采用先进的技术和产品
要保证计算机网络安全的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
2.3.1 防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可以监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:应用层网关、数据包过滤、代理服务器等几大类型。
2.3.2 数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为了提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用的不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
2.3.3 认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接受者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被篡改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
2.3.4 计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
① 较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、UNIX 和 Netware 系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查杀、杀毒范围广、能力强的特点。
② 完善的升级服务。与其他软件相比,防病毒软件更需要不断的更新升级,以查杀层出不穷的计算机病毒。
2.4 常见的网络攻击和防范对策
2.4.1 特洛伊木马
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马的程序包括两部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的过程中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
2.4.2 邮件炸弹
邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同以地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,妨碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复消息,也可以使自己的SMTP连接只能
达成指定的服务器,从而免受外界邮件的侵袭。
2.4.3 过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用的最多的一种方法是进程攻击,它是通过大量地进行人为的增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在着一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。另外,还可以让系统自动检查是否过载或者重新启动系统。
2.4.4 淹没攻击
正常情况下,TCP连接建立要经过3次握手的过程,即客户机向客户机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断的向被攻击的主机发送SYN请求,被攻击主机就一直处于等待状态,从而无法响应其他用户请求。
对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
第三章 网络攻击分析
攻击是指非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。
在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击:Does是Denial of Service的简称,即拒绝服务,造成Does的攻击行为被称为Does攻击,其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。而分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在 Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻击。
因为此攻击基于TCP/IP 协议的漏洞,要想避免除非不使用此协议,显然这是很难做到的那我们要如何放置呢?
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么? 谁在使用主机? 哪些人可以访问主机? 不然,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统—甚至是受防火墙保护的系统。
4.确保运行在 Unix上的所有服务都有TCP封装程序,限制对主机的访问权。5.禁止内部网通过Modem连接至PSTN 系统。否则,黑客能通过电话线发现未受保
护的主机,即刻就能访问极为机密的数据。
6.禁止使用网络访问程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传递口令,而Telnet和 Rlogin 则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost 和 hosts.equiv 文件删除,因为不用猜口令,这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换他,文件传输功能无异将陷入瘫痪。
8.确保手头上有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
9.在防火墙上运行端口映射程序或端口扫描程序。大多数时间是由于防火墙配置不当造成的,使DoS/ DDoS攻击成功率很高,所以一定要认真检查特权端口和非特权端口。
10.检查所有网络设备和主机/服务器系统的日志。只要日志出现纰漏或时间出现变更,几乎可以坑定:相关的主机安全收到了威胁。
第四章 网络安全技术
4.1 防火墙的定义和选择
4.1.1防火墙的定义
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。
4.1.2 防火墙的选择
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也不应该考虑在内。如果仅作粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论选择防火墙的标准有很多,但最重要的是以下两条:
(1)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。
如果像玛奇诺防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙十分不熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(2)可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提供,用户仍然有进一步增加选择的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大产品的覆盖面。
4.2 加密技术
信息交换加密技术分为两类:即对称加密和非对称加密.4.2.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56位密钥对信息进行3次加密,从而使有效密钥长度达到112位。
4.2.2 非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛分布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制。其安全性是基于分散大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分散两大素数之积。RSA算法的描述如下:
公开密钥: n=pq(p、q 分别为两个互异的大素数,p、q 必须保密)e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 为明文,c为密文。解密:m=cd(mod n)利用目前已经掌握的只是和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.3 注册与认证管理
4.3.1 认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是频发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且还与整个PKI系统的构架和模型有关。
4.3.2 注册机构
RA(Registration Authority)是用户和CA的借口,它所获得的用户标识的准确性是CA发给证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.3 密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.3.4 证书管理与撤销系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤销,证书撤销的理由是各种各样的。可能包括工作变动到对密钥怀疑等一系列原因。证书撤销系统实现是利用周期性的发布机制撤销证书或采用在线查询机制,随时查询被撤销的证书。
第五章 安全技术的研究
5.1 安全技术的研究现状和方向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。根据防火墙所采用的技术不同,将它分为4个基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。
5.2 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会含一些特定信息,防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一单发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
5.3 代理型
代理型的安全性能要高过包过滤型,并已经开始向应用层发展。代理服务器位于客户
机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
结束语
互联网现在已经成为了人们不可缺少的通信工具,其发展速度也快的惊人,以此而来的攻击破坏层出不穷,为了有效的防止入侵把损失降到最低,我们必须适合注意安全问题,使用尽量多而可靠的安全工具经常维护,让我们的网络体系完善可靠。在英特网为我们提供了大量的机会和便利的同时,也在安全性方面给我们带来了巨大的挑战,我们不能因为害怕挑战而拒绝它,否则就会得不偿失,信心安全是当今社会乃至整个国家发展所面临的一个只管重要的问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要的组成部分,甚至应该看到它对我国未来电子化、信息化的发展讲起到非常重要的作用。网络安全是一项动态的、整体的系统工程,我们应该结合现在网络发展的特点,制定妥善的网络安全策略,将英特网的不安全性降至到现有条件下的最低点,让它为我们的工作和现代化建设做出更好的服务。
参 考 文 献
[1] 谢希仁.计算机网络 电子工业出版社
[2]汤小丹、梁红兵.计算机操作系统 西安电子科技大学出版社 [3] 李伟.网络安全实用技术标准教程 清华大学出版社 [4] Andrew S.Tanenbaum.计算机网络 清华大学出版社
点击咨询 