校園網(wǎng)絡(luò )安全防御系統的設計與實(shí)現

　　由于網(wǎng)絡(luò )環(huán)境中的設備多種多樣，僅依靠安全操作系統并不能保證所有設備的安全性，所以需要定期對網(wǎng)上的各種設備實(shí)施安全掃描，下面是小編搜集整理的一篇探究校園網(wǎng)絡(luò )安全防御系統的設計與實(shí)現的論文范文，供大家閱讀參考。

　　摘 要:隨著(zhù)校園網(wǎng)迅速發(fā)展和普及,在學(xué)校日常工作學(xué)習和管理中發(fā)揮了至關(guān)重要的作用。但隨著(zhù)網(wǎng)絡(luò )的普及,其安全問(wèn)題也日益突出。如何讓校園網(wǎng)正常高效地運行,充分發(fā)揮其教學(xué)、管理和服務(wù)等功能,已成為不可忽視的一個(gè)問(wèn)題。本文著(zhù)重分析了校園網(wǎng)絡(luò )安全防御系統使用的鑒別認證機制和操作系統的要求,從網(wǎng)絡(luò ),數據,以及系統等多方面提出了解決的方案,希望能對校園網(wǎng)的安全管理有所幫助,為師生創(chuàng )造一個(gè)安全、高效、干凈的上網(wǎng)環(huán)境。

　　關(guān)鍵詞:校園網(wǎng) 網(wǎng)絡(luò )安全 防御系統

　　一、網(wǎng)絡(luò )安全防御系統使用的鑒別認證機制

　　在整個(gè)網(wǎng)絡(luò )防御系統中,使用了兩種鑒別認證機制。

　　1.從網(wǎng)絡(luò )部分而言,通過(guò)SSL加密通道以及證書(shū)機關(guān),對使用本系統提供的Web服務(wù)的用戶(hù)進(jìn)行服務(wù)器與外部用戶(hù)間的雙向鑒別,其實(shí)質(zhì)是利用了公鑰體制的技術(shù),結合證書(shū)機關(guān)對服務(wù)器和用戶(hù)發(fā)放的證書(shū),實(shí)施鑒別。

　　2.系統鑒別部分則是利用了安全操作系統提供的鑒別機制,采用了IC卡的方式對所有內部用戶(hù)進(jìn)行身份鑒別,所有內部用戶(hù)的IC卡均通過(guò)統一的發(fā)卡中心發(fā)放,只有持卡用戶(hù)才能夠進(jìn)入服務(wù)器,而網(wǎng)絡(luò )用戶(hù)是無(wú)法通過(guò)普通的遠程登錄進(jìn)入服務(wù)器的,從而保證了服務(wù)器的登錄安全。

　　二、網(wǎng)絡(luò )安全防御系統采用安全操作系統的要求

　　在整個(gè)防御系統的所有服務(wù)器中要使用安全操作系統,該系統應具有以下多種安全特性。

　　1.登錄控制

　　我們將登錄控制分為基于IC卡的本地系統登錄控制和基于安全存儲介質(zhì)的遠程登錄系統控制。目的都是使不合法用戶(hù)不能登錄進(jìn)某一系統,從而避免不合法用戶(hù)對系統造成安全事故。

　　(1)基于IC卡的本地系統登錄控制

　　整個(gè)系統有一個(gè)發(fā)卡中心。發(fā)卡中心為用戶(hù)生成用戶(hù)卡,持有用戶(hù)卡的用戶(hù)可以在一定范圍(由發(fā)卡中心限制)的計算機上登錄。持有root身份用戶(hù)卡的系統管理員可以在每臺計算機上動(dòng)態(tài)的控制每一個(gè)用戶(hù)在該機上的登錄訪(fǎng)問(wèn)。

　　(2)基于安全存儲介質(zhì)的遠程登錄系統控制

　　登錄控制是系統安全中最基本的一個(gè)環(huán)節,它是一個(gè)系統的門(mén)戶(hù),一個(gè)好的登錄控制系統可以有效的阻擊大部分的入侵者的攻擊。Chinissh-0.1是一個(gè)基于安全shell(SSH1.0. SSH2.0 )協(xié)議的遠程登錄軟件,它可以實(shí)現在不安全的信道上進(jìn)行安全的通信。主要是通過(guò)在網(wǎng)絡(luò )上將信息以密文形式傳送達到安全目的。

　　2.進(jìn)程權限控制

　　程序權限控制是系統中防止非法使用的第一道防線(xiàn),Chini-os特權控制用戶(hù)界面向系統安全員SSO提供操作,維護系統中文件和用戶(hù)特權的接口。SSO首先要通過(guò)身份驗證才能使用此界面。

　　Chini-os特權控制用戶(hù)界面有如下4個(gè)功能:

　　(1)用戶(hù)程序對系統調用的訪(fǎng)問(wèn)。

　　(2)為系統中每一個(gè)可執行的程序分配其系統調用訪(fǎng)問(wèn)權限。

　　(3)為每一個(gè)用戶(hù)分配其使用的系統調用訪(fǎng)問(wèn)權限。

　　(4)兼容現有應用程序。

　　3.系統完整性保護

　　Chini_FID是系統管理員和用戶(hù)監視被指定保護文件或目錄是否發(fā)生改變的完整性檢測工具,利用這個(gè)工具可以檢測系統被保護文件是否遭到惡意的破壞,包括文件的刪除、添加和修改,比如攻擊者是否在某個(gè)應用程序中駐留了“特洛伊木馬”,是否修改了某個(gè)文件的屬性等。管理員可以隨時(shí)對系統進(jìn)行檢測也可以向系統提交定時(shí)任務(wù)定時(shí)對系統進(jìn)行檢測,Chini_FID可以將檢測結果以郵件方式通知管理員哪些文件發(fā)生了改變,以便及時(shí)采取控制措施避免損失。

　　4.加密模塊

　　加密模塊分為用戶(hù)空間通用加密接口和核心空間加密模塊。分別用于用戶(hù)態(tài)和核心態(tài)模式。

　　(1)用戶(hù)空間通用加密接口

　　Chini Sec Interface可用于各種計算機安全應用,它介于各種應用系統和各種算法模塊之間,對上層應用簡(jiǎn)化了各種安全接口、對下層算法模塊做出了相應的規范。利用Chini Sec Interface,開(kāi)發(fā)應用的軟件商可以專(zhuān)注于應用系統的開(kāi)發(fā),無(wú)須過(guò)多地考慮算法,可在不修改應用的情況下方便地變換算法;生產(chǎn)算法的廠(chǎng)商可專(zhuān)注于算法的軟硬件實(shí)現,無(wú)須考慮各種應用的實(shí)現。

　　(2)核心空間加密模塊

　　核心模塊加解密時(shí)調用算法管理模塊函數,算法管理模塊再調用各種算法函數,通過(guò)這些算法函數完成加解密功能。

　　5.網(wǎng)絡(luò )安全

　　IP安全由IPSEC實(shí)現,己知的IPSEC具體實(shí)現有Xkenel和Frees/wan等,目前采用Frees/wan的1.5版。IPSEC功能如下:

　　(1)實(shí)現IP層的安全,保護IP數據包的安全。

　　(2)保障主機和主機之間、網(wǎng)絡(luò )安全網(wǎng)關(guān)(如路由器、防火墻)之間、主機和安全網(wǎng)關(guān)之間的數據包安全。

　　(3)實(shí)現對IP數據包的加密保護、鑒別驗證、完整性保護、抗重播等。

　　6.加密文件系統

　　對于安全敏感數據,必須采取安全的存儲方法保證數據的安全。我們的加密文件系統能夠對該文件系統中的文件提供加密保護,不知道口令的人不可能裝載該文件系統,主機或硬盤(pán)丟失后,其他人不能讀取其中的數據。

　　7.安全審計

　　在Linux日志系統的基礎上,采用密碼體系中的認證技術(shù),在系統產(chǎn)生日志文件的同時(shí)產(chǎn)生相應的保護文件Mac文件,日志系統每產(chǎn)生一條日志記錄,在相應的Mac文件中就有此記錄的Mac項,來(lái)對日志文件提供完整性保護。安全審計的功能表現在:

　　(1)產(chǎn)生日志文件。

　　(2)使用完整性驗證程序可以驗證系統日志文件和備份日志的完整性。

　　(3)可以處理和分析系統日志。

　　三、周期性的安全掃描

　　由于網(wǎng)絡(luò )環(huán)境中的設備多種多樣,僅依靠安全操作系統并不能保證所有設備的安全性,所以需要定期對網(wǎng)上的各種設備實(shí)施安全掃描,來(lái)發(fā)現設備的軟件實(shí)現中存在的可被攻擊者利用的漏洞,以便及時(shí)彌補。安全掃描的基本工作原理就是模擬攻擊,一旦攻擊成功,就意味存在漏洞。

　　安全掃描的另一部分就是病毒防治功能。通過(guò)定期或是非定期的病毒掃描,防止病毒的進(jìn)入和漫延。通過(guò)實(shí)時(shí)網(wǎng)上病毒掃描和防病毒軟件的定期升級功能,防止引入新的病毒。

　　通過(guò)以上的網(wǎng)絡(luò ),數據,以及系統三方面的種種安全技術(shù)手段,結合相關(guān)的安全產(chǎn)品,我們?yōu)樾�園網(wǎng)提供了一個(gè)完整的網(wǎng)絡(luò )安全防御系統的解決方案,以達到保護自己的網(wǎng)絡(luò )信息系統安全性的目的。

　　參考文獻

　　[1]朱銀芳.校園網(wǎng)環(huán)境下的安全與防御系統研究[J].科技信息,2008,36

【校園網(wǎng)絡(luò )安全防御系統的設計與實(shí)現】相關(guān)文章：

高校信息查詢(xún)系統的設計與實(shí)現09-03

基于PQRM的PACS系統設計與實(shí)現08-02

新聞發(fā)布系統的設計和實(shí)現08-19

學(xué)生成績(jì)管理系統的設計與實(shí)現09-15

基于Kinect的自主康復系統的設計與實(shí)現05-27

旅游云講解系統的設計和實(shí)現09-23

移動(dòng)網(wǎng)絡(luò )監控系統的設計與實(shí)現07-19

移動(dòng)業(yè)務(wù)運營(yíng)支撐系統的設計及實(shí)現08-04

科研項目管理系統的設計與實(shí)現10-02

基于GPRS用電管理系統的設計與實(shí)現09-08