校園網絡安全防御系統的設計與實現

校園網絡安全防御系統的設計與實現

　　由于網絡環境中的設備多種多樣，僅依靠安全操作系統并不能保證所有設備的安全性，所以需要定期對網上的各種設備實施安全掃描，下面是小編搜集整理的一篇探究校園網絡安全防御系統的設計與實現的論文范文，供大家閱讀參考。

　　摘 要:隨著校園網迅速發展和普及,在學校日常工作學習和管理中發揮了至關重要的作用。但隨著網絡的普及,其安全問題也日益突出。如何讓校園網正常高效地運行,充分發揮其教學、管理和服務等功能,已成為不可忽視的一個問題。本文著重分析了校園網絡安全防御系統使用的鑒別認證機制和操作系統的要求,從網絡,數據,以及系統等多方面提出了解決的方案,希望能對校園網的安全管理有所幫助,為師生創造一個安全、高效、干凈的上網環境。

　　關鍵詞:校園網 網絡安全 防御系統

　　一、網絡安全防御系統使用的鑒別認證機制

　　在整個網絡防御系統中,使用了兩種鑒別認證機制。

　　1.從網絡部分而言,通過SSL加密通道以及證書機關,對使用本系統提供的Web服務的用戶進行服務器與外部用戶間的雙向鑒別,其實質是利用了公鑰體制的技術,結合證書機關對服務器和用戶發放的證書,實施鑒別。

　　2.系統鑒別部分則是利用了安全操作系統提供的鑒別機制,采用了IC卡的方式對所有內部用戶進行身份鑒別,所有內部用戶的IC卡均通過統一的發卡中心發放,只有持卡用戶才能夠進入服務器,而網絡用戶是無法通過普通的遠程登錄進入服務器的,從而保證了服務器的登錄安全。

　　二、網絡安全防御系統采用安全操作系統的要求

　　在整個防御系統的所有服務器中要使用安全操作系統,該系統應具有以下多種安全特性。

　　1.登錄控制

　　我們將登錄控制分為基于IC卡的本地系統登錄控制和基于安全存儲介質的遠程登錄系統控制。目的都是使不合法用戶不能登錄進某一系統,從而避免不合法用戶對系統造成安全事故。

　　(1)基于IC卡的本地系統登錄控制

　　整個系統有一個發卡中心。發卡中心為用戶生成用戶卡,持有用戶卡的用戶可以在一定范圍(由發卡中心限制)的計算機上登錄。持有root身份用戶卡的系統管理員可以在每臺計算機上動態的控制每一個用戶在該機上的登錄訪問。

　　(2)基于安全存儲介質的遠程登錄系統控制

　　登錄控制是系統安全中最基本的一個環節,它是一個系統的門戶,一個好的登錄控制系統可以有效的阻擊大部分的入侵者的攻擊。Chinissh-0.1是一個基于安全shell(SSH1.0. SSH2.0 )協議的遠程登錄軟件,它可以實現在不安全的信道上進行安全的通信。主要是通過在網絡上將信息以密文形式傳送達到安全目的。

　　2.進程權限控制

　　程序權限控制是系統中防止非法使用的第一道防線,Chini-os特權控制用戶界面向系統安全員SSO提供操作,維護系統中文件和用戶特權的接口。SSO首先要通過身份驗證才能使用此界面。

　　Chini-os特權控制用戶界面有如下4個功能:

　　(1)用戶程序對系統調用的訪問。

　　(2)為系統中每一個可執行的程序分配其系統調用訪問權限。

　　(3)為每一個用戶分配其使用的系統調用訪問權限。

　　(4)兼容現有應用程序。

　　3.系統完整性保護

　　Chini_FID是系統管理員和用戶監視被指定保護文件或目錄是否發生改變的完整性檢測工具,利用這個工具可以檢測系統被保護文件是否遭到惡意的破壞,包括文件的刪除、添加和修改,比如攻擊者是否在某個應用程序中駐留了“特洛伊木馬”,是否修改了某個文件的屬性等。管理員可以隨時對系統進行檢測也可以向系統提交定時任務定時對系統進行檢測,Chini_FID可以將檢測結果以郵件方式通知管理員哪些文件發生了改變,以便及時采取控制措施避免損失。

　　4.加密模塊

　　加密模塊分為用戶空間通用加密接口和核心空間加密模塊。分別用于用戶態和核心態模式。

　　(1)用戶空間通用加密接口

　　Chini Sec Interface可用于各種計算機安全應用,它介于各種應用系統和各種算法模塊之間,對上層應用簡化了各種安全接口、對下層算法模塊做出了相應的規范。利用Chini Sec Interface,開發應用的軟件商可以專注于應用系統的開發,無須過多地考慮算法,可在不修改應用的情況下方便地變換算法;生產算法的廠商可專注于算法的軟硬件實現,無須考慮各種應用的實現。

　　(2)核心空間加密模塊

　　核心模塊加解密時調用算法管理模塊函數,算法管理模塊再調用各種算法函數,通過這些算法函數完成加解密功能。

　　5.網絡安全

　　IP安全由IPSEC實現,己知的IPSEC具體實現有Xkenel和Frees/wan等,目前采用Frees/wan的1.5版。IPSEC功能如下:

　　(1)實現IP層的安全,保護IP數據包的安全。

　　(2)保障主機和主機之間、網絡安全網關(如路由器、防火墻)之間、主機和安全網關之間的數據包安全。

　　(3)實現對IP數據包的加密保護、鑒別驗證、完整性保護、抗重播等。

　　6.加密文件系統

　　對于安全敏感數據,必須采取安全的存儲方法保證數據的安全。我們的加密文件系統能夠對該文件系統中的文件提供加密保護,不知道口令的人不可能裝載該文件系統,主機或硬盤丟失后,其他人不能讀取其中的數據。

　　7.安全審計

　　在Linux日志系統的基礎上,采用密碼體系中的認證技術,在系統產生日志文件的同時產生相應的保護文件Mac文件,日志系統每產生一條日志記錄,在相應的Mac文件中就有此記錄的Mac項,來對日志文件提供完整性保護。安全審計的功能表現在:

　　(1)產生日志文件。

　　(2)使用完整性驗證程序可以驗證系統日志文件和備份日志的完整性。

　　(3)可以處理和分析系統日志。

　　三、周期性的安全掃描

　　由于網絡環境中的設備多種多樣,僅依靠安全操作系統并不能保證所有設備的安全性,所以需要定期對網上的各種設備實施安全掃描,來發現設備的軟件實現中存在的可被攻擊者利用的漏洞,以便及時彌補。安全掃描的基本工作原理就是模擬攻擊,一旦攻擊成功,就意味存在漏洞。

　　安全掃描的另一部分就是病毒防治功能。通過定期或是非定期的病毒掃描,防止病毒的進入和漫延。通過實時網上病毒掃描和防病毒軟件的定期升級功能,防止引入新的病毒。

　　通過以上的網絡,數據,以及系統三方面的種種安全技術手段,結合相關的安全產品,我們為校園網提供了一個完整的網絡安全防御系統的解決方案,以達到保護自己的網絡信息系統安全性的目的。

　　參考文獻

　　[1]朱銀芳.校園網環境下的安全與防御系統研究[J].科技信息,2008,36

【校園網絡安全防御系統的設計與實現】相關文章：

高校信息查詢系統的設計與實現09-03

基于PQRM的PACS系統設計與實現08-02

新聞發布系統的設計和實現08-19

學生成績管理系統的設計與實現09-15

基于Kinect的自主康復系統的設計與實現05-27

旅游云講解系統的設計和實現09-23

移動網絡監控系統的設計與實現07-19

移動業務運營支撐系統的設計及實現08-04

科研項目管理系統的設計與實現10-02

基于GPRS用電管理系統的設計與實現09-08