校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計與實現(xiàn)

　　由于網(wǎng)絡(luò)環(huán)境中的設(shè)備多種多樣，僅依靠安全操作系統(tǒng)并不能保證所有設(shè)備的安全性，所以需要定期對網(wǎng)上的各種設(shè)備實施安全掃描，下面是小編搜集整理的一篇探究校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計與實現(xiàn)的論文范文，供大家閱讀參考。

　　摘 要:隨著校園網(wǎng)迅速發(fā)展和普及,在學(xué)校日常工作學(xué)習(xí)和管理中發(fā)揮了至關(guān)重要的作用。但隨著網(wǎng)絡(luò)的普及,其安全問題也日益突出。如何讓校園網(wǎng)正常高效地運行,充分發(fā)揮其教學(xué)、管理和服務(wù)等功能,已成為不可忽視的一個問題。本文著重分析了校園網(wǎng)絡(luò)安全防御系統(tǒng)使用的鑒別認(rèn)證機制和操作系統(tǒng)的要求,從網(wǎng)絡(luò),數(shù)據(jù),以及系統(tǒng)等多方面提出了解決的方案,希望能對校園網(wǎng)的安全管理有所幫助,為師生創(chuàng)造一個安全、高效、干凈的上網(wǎng)環(huán)境。

　　關(guān)鍵詞:校園網(wǎng) 網(wǎng)絡(luò)安全 防御系統(tǒng)

　　一、網(wǎng)絡(luò)安全防御系統(tǒng)使用的鑒別認(rèn)證機制

　　在整個網(wǎng)絡(luò)防御系統(tǒng)中,使用了兩種鑒別認(rèn)證機制。

　　1.從網(wǎng)絡(luò)部分而言,通過SSL加密通道以及證書機關(guān),對使用本系統(tǒng)提供的Web服務(wù)的用戶進行服務(wù)器與外部用戶間的雙向鑒別,其實質(zhì)是利用了公鑰體制的技術(shù),結(jié)合證書機關(guān)對服務(wù)器和用戶發(fā)放的證書,實施鑒別。

　　2.系統(tǒng)鑒別部分則是利用了安全操作系統(tǒng)提供的鑒別機制,采用了IC卡的方式對所有內(nèi)部用戶進行身份鑒別,所有內(nèi)部用戶的IC卡均通過統(tǒng)一的發(fā)卡中心發(fā)放,只有持卡用戶才能夠進入服務(wù)器,而網(wǎng)絡(luò)用戶是無法通過普通的遠程登錄進入服務(wù)器的,從而保證了服務(wù)器的登錄安全。

　　二、網(wǎng)絡(luò)安全防御系統(tǒng)采用安全操作系統(tǒng)的要求

　　在整個防御系統(tǒng)的所有服務(wù)器中要使用安全操作系統(tǒng),該系統(tǒng)應(yīng)具有以下多種安全特性。

　　1.登錄控制

　　我們將登錄控制分為基于IC卡的本地系統(tǒng)登錄控制和基于安全存儲介質(zhì)的遠程登錄系統(tǒng)控制。目的都是使不合法用戶不能登錄進某一系統(tǒng),從而避免不合法用戶對系統(tǒng)造成安全事故。

　　(1)基于IC卡的本地系統(tǒng)登錄控制

　　整個系統(tǒng)有一個發(fā)卡中心。發(fā)卡中心為用戶生成用戶卡,持有用戶卡的用戶可以在一定范圍(由發(fā)卡中心限制)的計算機上登錄。持有root身份用戶卡的系統(tǒng)管理員可以在每臺計算機上動態(tài)的控制每一個用戶在該機上的登錄訪問。

　　(2)基于安全存儲介質(zhì)的遠程登錄系統(tǒng)控制

　　登錄控制是系統(tǒng)安全中最基本的一個環(huán)節(jié),它是一個系統(tǒng)的門戶,一個好的登錄控制系統(tǒng)可以有效的阻擊大部分的入侵者的攻擊。Chinissh-0.1是一個基于安全shell(SSH1.0. SSH2.0 )協(xié)議的遠程登錄軟件,它可以實現(xiàn)在不安全的信道上進行安全的通信。主要是通過在網(wǎng)絡(luò)上將信息以密文形式傳送達到安全目的。

　　2.進程權(quán)限控制

　　程序權(quán)限控制是系統(tǒng)中防止非法使用的第一道防線,Chini-os特權(quán)控制用戶界面向系統(tǒng)安全員SSO提供操作,維護系統(tǒng)中文件和用戶特權(quán)的接口。SSO首先要通過身份驗證才能使用此界面。

　　Chini-os特權(quán)控制用戶界面有如下4個功能:

　　(1)用戶程序?qū)ο到y(tǒng)調(diào)用的訪問。

　　(2)為系統(tǒng)中每一個可執(zhí)行的程序分配其系統(tǒng)調(diào)用訪問權(quán)限。

　　(3)為每一個用戶分配其使用的系統(tǒng)調(diào)用訪問權(quán)限。

　　(4)兼容現(xiàn)有應(yīng)用程序。

　　3.系統(tǒng)完整性保護

　　Chini_FID是系統(tǒng)管理員和用戶監(jiān)視被指定保護文件或目錄是否發(fā)生改變的完整性檢測工具,利用這個工具可以檢測系統(tǒng)被保護文件是否遭到惡意的破壞,包括文件的刪除、添加和修改,比如攻擊者是否在某個應(yīng)用程序中駐留了“特洛伊木馬”,是否修改了某個文件的屬性等。管理員可以隨時對系統(tǒng)進行檢測也可以向系統(tǒng)提交定時任務(wù)定時對系統(tǒng)進行檢測,Chini_FID可以將檢測結(jié)果以郵件方式通知管理員哪些文件發(fā)生了改變,以便及時采取控制措施避免損失。

　　4.加密模塊

　　加密模塊分為用戶空間通用加密接口和核心空間加密模塊。分別用于用戶態(tài)和核心態(tài)模式。

　　(1)用戶空間通用加密接口

　　Chini Sec Interface可用于各種計算機安全應(yīng)用,它介于各種應(yīng)用系統(tǒng)和各種算法模塊之間,對上層應(yīng)用簡化了各種安全接口、對下層算法模塊做出了相應(yīng)的規(guī)范。利用Chini Sec Interface,開發(fā)應(yīng)用的軟件商可以專注于應(yīng)用系統(tǒng)的開發(fā),無須過多地考慮算法,可在不修改應(yīng)用的情況下方便地變換算法;生產(chǎn)算法的廠商可專注于算法的軟硬件實現(xiàn),無須考慮各種應(yīng)用的實現(xiàn)。

　　(2)核心空間加密模塊

　　核心模塊加解密時調(diào)用算法管理模塊函數(shù),算法管理模塊再調(diào)用各種算法函數(shù),通過這些算法函數(shù)完成加解密功能。

　　5.網(wǎng)絡(luò)安全

　　IP安全由IPSEC實現(xiàn),己知的IPSEC具體實現(xiàn)有Xkenel和Frees/wan等,目前采用Frees/wan的1.5版。IPSEC功能如下:

　　(1)實現(xiàn)IP層的安全,保護IP數(shù)據(jù)包的安全。

　　(2)保障主機和主機之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)(如路由器、防火墻)之間、主機和安全網(wǎng)關(guān)之間的數(shù)據(jù)包安全。

　　(3)實現(xiàn)對IP數(shù)據(jù)包的加密保護、鑒別驗證、完整性保護、抗重播等。

　　6.加密文件系統(tǒng)

　　對于安全敏感數(shù)據(jù),必須采取安全的存儲方法保證數(shù)據(jù)的安全。我們的加密文件系統(tǒng)能夠?qū)υ撐募�系統(tǒng)中的文件提供加密保護,不知道口令的人不可能裝載該文件系統(tǒng),主機或硬盤丟失后,其他人不能讀取其中的數(shù)據(jù)。

　　7.安全審計

　　在Linux日志系統(tǒng)的基礎(chǔ)上,采用密碼體系中的認(rèn)證技術(shù),在系統(tǒng)產(chǎn)生日志文件的同時產(chǎn)生相應(yīng)的保護文件Mac文件,日志系統(tǒng)每產(chǎn)生一條日志記錄,在相應(yīng)的Mac文件中就有此記錄的Mac項,來對日志文件提供完整性保護。安全審計的功能表現(xiàn)在:

　　(1)產(chǎn)生日志文件。

　　(2)使用完整性驗證程序可以驗證系統(tǒng)日志文件和備份日志的完整性。

　　(3)可以處理和分析系統(tǒng)日志。

　　三、周期性的安全掃描

　　由于網(wǎng)絡(luò)環(huán)境中的設(shè)備多種多樣,僅依靠安全操作系統(tǒng)并不能保證所有設(shè)備的安全性,所以需要定期對網(wǎng)上的各種設(shè)備實施安全掃描,來發(fā)現(xiàn)設(shè)備的軟件實現(xiàn)中存在的可被攻擊者利用的漏洞,以便及時彌補。安全掃描的基本工作原理就是模擬攻擊,一旦攻擊成功,就意味存在漏洞。

　　安全掃描的另一部分就是病毒防治功能。通過定期或是非定期的病毒掃描,防止病毒的進入和漫延。通過實時網(wǎng)上病毒掃描和防病毒軟件的定期升級功能,防止引入新的病毒。

　　通過以上的網(wǎng)絡(luò),數(shù)據(jù),以及系統(tǒng)三方面的種種安全技術(shù)手段,結(jié)合相關(guān)的安全產(chǎn)品,我們?yōu)樾�園網(wǎng)提供了一個完整的網(wǎng)絡(luò)安全防御系統(tǒng)的解決方案,以達到保護自己的網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

　　參考文獻

　　[1]朱銀芳.校園網(wǎng)環(huán)境下的安全與防御系統(tǒng)研究[J].科技信息,2008,36

【校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計與實現(xiàn)】相關(guān)文章：

高校信息查詢系統(tǒng)的設(shè)計與實現(xiàn)09-03

基于PQRM的PACS系統(tǒng)設(shè)計與實現(xiàn)08-02

新聞發(fā)布系統(tǒng)的設(shè)計和實現(xiàn)08-19

學(xué)生成績管理系統(tǒng)的設(shè)計與實現(xiàn)09-15

基于Kinect的自主康復(fù)系統(tǒng)的設(shè)計與實現(xiàn)05-27

旅游云講解系統(tǒng)的設(shè)計和實現(xiàn)09-23

移動網(wǎng)絡(luò)監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)07-19

移動業(yè)務(wù)運營支撐系統(tǒng)的設(shè)計及實現(xiàn)08-04

科研項目管理系統(tǒng)的設(shè)計與實現(xiàn)10-02

基于GPRS用電管理系統(tǒng)的設(shè)計與實現(xiàn)09-08