浅谈校园网络安全技术
来源:用户上传
作者:
[摘 要] 随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,本文介绍了网络安全的概念并从基础结构安全、管理安全、边界安全三个方面对校园网络进行安全防护。
[关键词] 网络安全, 系统安全 ,内部网络安全 , 防火墙
随着我国经济与科技的不断发展,教育信息化、校园网络化作为网络时代的教育方式和环境,已经成为教育发展的方向。随着各高校网络规模的急剧膨胀,网络用户的快速增长,校园网安全问题已经成为当前各高校网络建设中不可忽视的首要问题。网络安全包括物理安全和逻辑安全。
物理安全指网络系统中各通信计算机设备以及相关设备的物理保护,免予破坏、丢失等; 逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人,完整性是指计算机系统能够防止非法修改和删除数据和程序,可用性是指系统能够防止非法独占计算机资源和数据,合法用户的正常请求能及时、正确、安全的得到服务或回应。
网络计算机中安全威胁主要有:身份窃取,身份假冒、数据窃取、数据篡改,操作否认、非授权访问、病毒等。校园网络都是借助主干通信网,将各地的分部门和总部连接,同时与Internet互联。这就存在着以下几方面的网络安全问题:
1总部局域网和各分、子部门局域网之间,分、子部门与下属机构局域网之间广域网干线上信息传输的安全保密问题。
2总部局域网及各分、子部门局域网自身的安全,要确保这些局域网不受网内用户非法授权访问和破坏。
3来自外部的非授权用户非法攻击和破坏,以及内部用户对外部非法站点的访问。
解决网络安全问题涉及的范围广泛;不安全因素主要集中在网络传播介质及网络协议的缺陷、密码系统的缺陷、主机操作系统的缺陷上,因此在安全策略方面重点考虑:
1 基础结构安全
主要包括:操作系统选择和问题规避;帐号设置、口令强度、网络参数、文件监测保护在现实运作中,密码系统已经非常完善,标准的DES、RSA和其他相关认证体系已经成为公认的具有计算复杂性安全的密码标准协议,这个标准的健壮性也经受了成千上万网络主机的考验,但是在网络协议与操作系统本身上,仍然有很多可被攻击的入口。很多网络安全中的问题集中在操作系统的缺陷上。Unix及类 Unix操作系统是在 Internet中非常普遍的操作系统,主要用于网络服务。它的源代码是公开的,所以在很多场合下使用者可以定制自己的Unix,操作系统,使它更适合网络相关的服务要求。
由于网络协议是独立与操作系统的,它的体系结构与操作系统端是无关的,网络协议所存在的安全隐患也是独立于操作系统来修正的。
2管理安全
安全管理是网络必须考虑的,主要包括:权限管理,单点登录,安全管理中心等。
管理的技术手段很多,通过采用加强身份确认的方法获得网上资源控制权如智能IC身份卡,提供安全的远程接入手段;采用虚拟专网技术如网络保密机解决数据在公网传输的安全性;安全邮件和安全Web服务器也是一类重要的安全产品。然而,对一个具体的网络系统,我们在安全风险评估确定合适的安全需求后,从技术上讲可以架构一个满足基本要求的安全设备平台。但是发生最频繁的安全威胁实际上是非技术因素,安全管理漏洞和疏忽才是最大的安全隐患。只有把安全管理制度与安全管理技术手段结合起来,这个网络信息系统的安全性才有保障。因此,采用集中统一的管理策略,以技术手段实现非技术的安全管理,主要由安全管理中心实现。
3 边界安全
校园网络与外界的边界划分是否科学?IT系统与外界、内部关键部门之间是否安全隔离?这都属于边界安全范围。可以在关心的实体之间安装防火墙产品和攻击检测软件,来加强边界安全,实施攻击防御方案。关于防火墙技术的使用成功与否对网络的安全有决定性作用,对此我们进行主要讨论
(1)防火墙的概念
当一个网络,接入Internet以后,而系统的安全性除了考虑病毒、系统的健壮性之外,更主要的防止非法用户的入侵。而目前防制措施主要是靠防火墙技术完成。
防火墙是指由一个软件和硬件设备组合而成,处于网络群体计算机与外界通道之间,限制外界用户对于内部网络访问以及管理内部用户访问外界网络的权限。
实际上防火墙作为一种网络监视和过滤器,它监视每一个通过的数据报文和请求。一方面对可信赖的报文和应用请求允许通过,另一方面对有害的或可疑的报文禁止其通过。防火墙具有使用简便,高速、逻辑漏洞少等特点。
(2)防火墙的分类
1按防火墙在网络中所起的作用,防火墙可以分成两种,一种是与路由设备合二为一,通常为过滤路由器或是网关主机防火墙,另一种叫做堡垒主机式防火墙,它不具有路由功能。过滤路由器、网关主机防火墙是在路由器和网关主机上加上包过滤的功能,是网络中的第一道防线。因为它具有路由的功能,所以它的安全性较差。堡垒主机式防火墙是网络中最为重要的安全设备,通常以桥接的方式安装在路由器和网络之间,它的唯一作用是保证网络的安全使用。
2按照ISO所定义的网络层次,防火墙可分为网络层防火墙和应用层防火墙。包过滤型防火墙是网络层防火墙,它以用户定义的过滤规则对每一个通过它的数据报文进行过滤,一般是检查一个IP报文的五个基本元素:源地址、目的地址、协议、源端口号、目的端口号。如果规则允许报文通过,报文就可以通过防火墙,反之则不能。包过滤不检查连接请求的会话状态,也不会对传输数据进行检查。
(1).支持透明连接
透明性是指对客户的透明和对网络设备的透明。无论安装防火墙还是卸载防火墙,第一不必改变网络的拓扑结构,不需要修改网络设备的参数与设置。第二在用户端亦不必作任何修改和设置就可以实现基于IP协议的各种信息的传输。
(2).带有DMZ区的连接
DMZ原意为停火区,在防火墙的应用中是指防火墙将逻辑上同一网段分成物理上的两个网段,其中一个物理网段为正常的受保护网段,另一个物理网段为DMZ,用来连接要对外开放的主机,防火墙对DMZ区只作少量的保护或不做保护。
(3).包过滤功能
包过滤功能防火墙最主要的功能之一,是防火墙必备的功能模块。包过滤指的是对IP数据包的过滤。对防火墙需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口、目的端口等,然后和设定规则进行比较,根据比较的结果对数据包进行转发或者丢弃。大多数数据包过滤系统在数据本身上不作任何事,不作关于内容的决定。有了数据过滤包,可以不让任何人从外界使用Telent 登录,或者让每个人经SMTP向我们发送电子邮件,或者是某个机器经由NNTP把新闻发给我,而其他机器不能这样做。但是你不能控制这个用户能从外部远程登录而他用户不能这样做,因为“用户”不是数据过滤包系统所能辨认的。同时你也不能做到发送这些文件而不是那些文件,因为“文件”也不是数据包过滤系统所能辨认的。
(4).应用层过滤
应用层的过滤是一种细粒度的过滤,实际上是对报文数据内容的过滤。在应用层可以实现对URL的过滤以及其它网络应用层协议(如FTP)的协议命令的过滤和报文内容的过滤。通过应用层过滤,可以禁止非法站点的连接(这些站点通常是含有反动、黄色信息)达到对非法信息的过滤。
(5).透明代理与控制功能
代理的功能是对来自局域网内的用户的会话请求进行会话规划请求转发。从安全角度讲,这样做可以进行访问控制,隐藏内部网络结构,因为最终请求是由防火墙发出的,外面的主机并不知道与哪个用户通信。
(6).支持远程在线状态管理、配置管理、审记管理
通过安全管理中心和其他管理软件可以对防火墙进行远程在线管理。既可以在远程非常直观的观察到防火墙的运行情况,也可以远程启动关闭防火墙和重新启动防火墙。防火墙系统中运行的代理守护进程,通过守护进程管理程序,可以在远端对防火设备的各个功能模块进行设置和维护,以便于安全管理人员对防火墙的管理。日志能记录完整的网络信息,包括建立的连接时间,双方地址,以及传输信息量。
以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。
参考资料:
1.《通信网的安全----理论与技术》 王育民 刘建伟 西安电子科技大学出版社
2. Andrew S.Tanenbaum Albert S.Woodhull ”Operating Design and implementation”
3.《网络与信息安全》
转载注明来源:https://www.xzbu.com/2/view-577882.htm
