校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

　　由于網(wǎng)絡(luò)環(huán)境中的設(shè)備多種多樣，僅依靠安全操作系統(tǒng)并不能保證所有設(shè)備的安全性，所以需要定期對(duì)網(wǎng)上的各種設(shè)備實(shí)施安全掃描，下面是小編搜集整理的一篇探究校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)的論文范文，供大家閱讀參考。

　　摘 要:隨著校園網(wǎng)迅速發(fā)展和普及,在學(xué)校日常工作學(xué)習(xí)和管理中發(fā)揮了至關(guān)重要的作用。但隨著網(wǎng)絡(luò)的普及,其安全問(wèn)題也日益突出。如何讓校園網(wǎng)正常高效地運(yùn)行,充分發(fā)揮其教學(xué)、管理和服務(wù)等功能,已成為不可忽視的一個(gè)問(wèn)題。本文著重分析了校園網(wǎng)絡(luò)安全防御系統(tǒng)使用的鑒別認(rèn)證機(jī)制和操作系統(tǒng)的要求,從網(wǎng)絡(luò),數(shù)據(jù),以及系統(tǒng)等多方面提出了解決的方案,希望能對(duì)校園網(wǎng)的安全管理有所幫助,為師生創(chuàng)造一個(gè)安全、高效、干凈的上網(wǎng)環(huán)境。

　　關(guān)鍵詞:校園網(wǎng) 網(wǎng)絡(luò)安全 防御系統(tǒng)

　　一、網(wǎng)絡(luò)安全防御系統(tǒng)使用的鑒別認(rèn)證機(jī)制

　　在整個(gè)網(wǎng)絡(luò)防御系統(tǒng)中,使用了兩種鑒別認(rèn)證機(jī)制。

　　1.從網(wǎng)絡(luò)部分而言,通過(guò)SSL加密通道以及證書機(jī)關(guān),對(duì)使用本系統(tǒng)提供的Web服務(wù)的用戶進(jìn)行服務(wù)器與外部用戶間的雙向鑒別,其實(shí)質(zhì)是利用了公鑰體制的技術(shù),結(jié)合證書機(jī)關(guān)對(duì)服務(wù)器和用戶發(fā)放的證書,實(shí)施鑒別。

　　2.系統(tǒng)鑒別部分則是利用了安全操作系統(tǒng)提供的鑒別機(jī)制,采用了IC卡的方式對(duì)所有內(nèi)部用戶進(jìn)行身份鑒別,所有內(nèi)部用戶的IC卡均通過(guò)統(tǒng)一的發(fā)卡中心發(fā)放,只有持卡用戶才能夠進(jìn)入服務(wù)器,而網(wǎng)絡(luò)用戶是無(wú)法通過(guò)普通的遠(yuǎn)程登錄進(jìn)入服務(wù)器的,從而保證了服務(wù)器的登錄安全。

　　二、網(wǎng)絡(luò)安全防御系統(tǒng)采用安全操作系統(tǒng)的要求

　　在整個(gè)防御系統(tǒng)的所有服務(wù)器中要使用安全操作系統(tǒng),該系統(tǒng)應(yīng)具有以下多種安全特性。

　　1.登錄控制

　　我們將登錄控制分為基于IC卡的本地系統(tǒng)登錄控制和基于安全存儲(chǔ)介質(zhì)的遠(yuǎn)程登錄系統(tǒng)控制。目的都是使不合法用戶不能登錄進(jìn)某一系統(tǒng),從而避免不合法用戶對(duì)系統(tǒng)造成安全事故。

　　(1)基于IC卡的本地系統(tǒng)登錄控制

　　整個(gè)系統(tǒng)有一個(gè)發(fā)卡中心。發(fā)卡中心為用戶生成用戶卡,持有用戶卡的用戶可以在一定范圍(由發(fā)卡中心限制)的計(jì)算機(jī)上登錄。持有root身份用戶卡的系統(tǒng)管理員可以在每臺(tái)計(jì)算機(jī)上動(dòng)態(tài)的控制每一個(gè)用戶在該機(jī)上的登錄訪問(wèn)。

　　(2)基于安全存儲(chǔ)介質(zhì)的遠(yuǎn)程登錄系統(tǒng)控制

　　登錄控制是系統(tǒng)安全中最基本的一個(gè)環(huán)節(jié),它是一個(gè)系統(tǒng)的門戶,一個(gè)好的登錄控制系統(tǒng)可以有效的阻擊大部分的入侵者的攻擊。Chinissh-0.1是一個(gè)基于安全shell(SSH1.0. SSH2.0 )協(xié)議的遠(yuǎn)程登錄軟件,它可以實(shí)現(xiàn)在不安全的信道上進(jìn)行安全的通信。主要是通過(guò)在網(wǎng)絡(luò)上將信息以密文形式傳送達(dá)到安全目的。

　　2.進(jìn)程權(quán)限控制

　　程序權(quán)限控制是系統(tǒng)中防止非法使用的第一道防線,Chini-os特權(quán)控制用戶界面向系統(tǒng)安全員SSO提供操作,維護(hù)系統(tǒng)中文件和用戶特權(quán)的接口。SSO首先要通過(guò)身份驗(yàn)證才能使用此界面。

　　Chini-os特權(quán)控制用戶界面有如下4個(gè)功能:

　　(1)用戶程序?qū)ο到y(tǒng)調(diào)用的訪問(wèn)。

　　(2)為系統(tǒng)中每一個(gè)可執(zhí)行的程序分配其系統(tǒng)調(diào)用訪問(wèn)權(quán)限。

　　(3)為每一個(gè)用戶分配其使用的系統(tǒng)調(diào)用訪問(wèn)權(quán)限。

　　(4)兼容現(xiàn)有應(yīng)用程序。

　　3.系統(tǒng)完整性保護(hù)

　　Chini_FID是系統(tǒng)管理員和用戶監(jiān)視被指定保護(hù)文件或目錄是否發(fā)生改變的完整性檢測(cè)工具,利用這個(gè)工具可以檢測(cè)系統(tǒng)被保護(hù)文件是否遭到惡意的破壞,包括文件的刪除、添加和修改,比如攻擊者是否在某個(gè)應(yīng)用程序中駐留了“特洛伊木馬”,是否修改了某個(gè)文件的屬性等。管理員可以隨時(shí)對(duì)系統(tǒng)進(jìn)行檢測(cè)也可以向系統(tǒng)提交定時(shí)任務(wù)定時(shí)對(duì)系統(tǒng)進(jìn)行檢測(cè),Chini_FID可以將檢測(cè)結(jié)果以郵件方式通知管理員哪些文件發(fā)生了改變,以便及時(shí)采取控制措施避免損失。

　　4.加密模塊

　　加密模塊分為用戶空間通用加密接口和核心空間加密模塊。分別用于用戶態(tài)和核心態(tài)模式。

　　(1)用戶空間通用加密接口

　　Chini Sec Interface可用于各種計(jì)算機(jī)安全應(yīng)用,它介于各種應(yīng)用系統(tǒng)和各種算法模塊之間,對(duì)上層應(yīng)用簡(jiǎn)化了各種安全接口、對(duì)下層算法模塊做出了相應(yīng)的規(guī)范。利用Chini Sec Interface,開(kāi)發(fā)應(yīng)用的軟件商可以專注于應(yīng)用系統(tǒng)的開(kāi)發(fā),無(wú)須過(guò)多地考慮算法,可在不修改應(yīng)用的情況下方便地變換算法;生產(chǎn)算法的廠商可專注于算法的軟硬件實(shí)現(xiàn),無(wú)須考慮各種應(yīng)用的實(shí)現(xiàn)。

　　(2)核心空間加密模塊

　　核心模塊加解密時(shí)調(diào)用算法管理模塊函數(shù),算法管理模塊再調(diào)用各種算法函數(shù),通過(guò)這些算法函數(shù)完成加解密功能。

　　5.網(wǎng)絡(luò)安全

　　IP安全由IPSEC實(shí)現(xiàn),己知的IPSEC具體實(shí)現(xiàn)有Xkenel和Frees/wan等,目前采用Frees/wan的1.5版。IPSEC功能如下:

　　(1)實(shí)現(xiàn)IP層的安全,保護(hù)IP數(shù)據(jù)包的安全。

　　(2)保障主機(jī)和主機(jī)之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)(如路由器、防火墻)之間、主機(jī)和安全網(wǎng)關(guān)之間的數(shù)據(jù)包安全。

　　(3)實(shí)現(xiàn)對(duì)IP數(shù)據(jù)包的加密保護(hù)、鑒別驗(yàn)證、完整性保護(hù)、抗重播等。

　　6.加密文件系統(tǒng)

　　對(duì)于安全敏感數(shù)據(jù),必須采取安全的存儲(chǔ)方法保證數(shù)據(jù)的安全。我們的加密文件系統(tǒng)能夠?qū)υ撐募�系統(tǒng)中的文件提供加密保護(hù),不知道口令的人不可能裝載該文件系統(tǒng),主機(jī)或硬盤丟失后,其他人不能讀取其中的數(shù)據(jù)。

　　7.安全審計(jì)

　　在Linux日志系統(tǒng)的基礎(chǔ)上,采用密碼體系中的認(rèn)證技術(shù),在系統(tǒng)產(chǎn)生日志文件的同時(shí)產(chǎn)生相應(yīng)的保護(hù)文件Mac文件,日志系統(tǒng)每產(chǎn)生一條日志記錄,在相應(yīng)的Mac文件中就有此記錄的Mac項(xiàng),來(lái)對(duì)日志文件提供完整性保護(hù)。安全審計(jì)的功能表現(xiàn)在:

　　(1)產(chǎn)生日志文件。

　　(2)使用完整性驗(yàn)證程序可以驗(yàn)證系統(tǒng)日志文件和備份日志的完整性。

　　(3)可以處理和分析系統(tǒng)日志。

　　三、周期性的安全掃描

　　由于網(wǎng)絡(luò)環(huán)境中的設(shè)備多種多樣,僅依靠安全操作系統(tǒng)并不能保證所有設(shè)備的安全性,所以需要定期對(duì)網(wǎng)上的各種設(shè)備實(shí)施安全掃描,來(lái)發(fā)現(xiàn)設(shè)備的軟件實(shí)現(xiàn)中存在的可被攻擊者利用的漏洞,以便及時(shí)彌補(bǔ)。安全掃描的基本工作原理就是模擬攻擊,一旦攻擊成功,就意味存在漏洞。

　　安全掃描的另一部分就是病毒防治功能。通過(guò)定期或是非定期的病毒掃描,防止病毒的進(jìn)入和漫延。通過(guò)實(shí)時(shí)網(wǎng)上病毒掃描和防病毒軟件的定期升級(jí)功能,防止引入新的病毒。

　　通過(guò)以上的網(wǎng)絡(luò),數(shù)據(jù),以及系統(tǒng)三方面的種種安全技術(shù)手段,結(jié)合相關(guān)的安全產(chǎn)品,我們?yōu)樾�園網(wǎng)提供了一個(gè)完整的網(wǎng)絡(luò)安全防御系統(tǒng)的解決方案,以達(dá)到保護(hù)自己的網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

　　參考文獻(xiàn)

　　[1]朱銀芳.校園網(wǎng)環(huán)境下的安全與防御系統(tǒng)研究[J].科技信息,2008,36

【校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)】相關(guān)文章：

高校信息查詢系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)09-03

基于PQRM的PACS系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)08-02

新聞發(fā)布系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)08-19

學(xué)生成績(jī)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)09-15

基于Kinect的自主康復(fù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)05-27

旅游云講解系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)09-23

移動(dòng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)07-19

移動(dòng)業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)08-04

科研項(xiàng)目管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)10-02

基于GPRS用電管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)09-08