周力紅

江西省新余市第五中學(xué) 江西新余 338029

校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計與實現(xiàn)

周力紅

江西省新余市第五中學(xué) 江西新余 338029

隨著校園網(wǎng)迅速發(fā)展和普及，在學(xué)校日常工作學(xué)習(xí)和管理中發(fā)揮了至關(guān)重要的作用。但隨著網(wǎng)絡(luò)的普及，其安全問題也日益突出。如何讓校園網(wǎng)正常高效地運(yùn)行，充分發(fā)揮其教學(xué)、管理和服務(wù)等功能，已成為不可忽視的一個問題。本文著重分析了校園網(wǎng)絡(luò)安全防御系統(tǒng)使用的鑒別認(rèn)證機(jī)制和操作系統(tǒng)的要求，從網(wǎng)絡(luò)，數(shù)據(jù)，以及系統(tǒng)等多方面提出了解決的方案，希望能對校園網(wǎng)的安全管理有所幫助，為師生創(chuàng)造一個安全、高效、干凈的上網(wǎng)環(huán)境。

校園網(wǎng) 網(wǎng)絡(luò)安全 防御系統(tǒng)

一、網(wǎng)絡(luò)安全防御系統(tǒng)使用的鑒別認(rèn)證機(jī)制

在整個網(wǎng)絡(luò)防御系統(tǒng)中，使用了兩種鑒別認(rèn)證機(jī)制。

1.從網(wǎng)絡(luò)部分而言，通過SSL加密通道以及證書機(jī)關(guān)，對使用本系統(tǒng)提供的Web服務(wù)的用戶進(jìn)行服務(wù)器與外部用戶間的雙向鑒別，其實質(zhì)是利用了公鑰體制的技術(shù)，結(jié)合證書機(jī)關(guān)對服務(wù)器和用戶發(fā)放的證書，實施鑒別。

2.系統(tǒng)鑒別部分則是利用了安全操作系統(tǒng)提供的鑒別機(jī)制，采用了IC卡的方式對所有內(nèi)部用戶進(jìn)行身份鑒別，所有內(nèi)部用戶的IC卡均通過統(tǒng)一的發(fā)卡中心發(fā)放，只有持卡用戶才能夠進(jìn)入服務(wù)器，而網(wǎng)絡(luò)用戶是無法通過普通的遠(yuǎn)程登錄進(jìn)入服務(wù)器的，從而保證了服務(wù)器的登錄安全。

二、網(wǎng)絡(luò)安全防御系統(tǒng)采用安全操作系統(tǒng)的要求

在整個防御系統(tǒng)的所有服務(wù)器中要使用安全操作系統(tǒng)，該系統(tǒng)應(yīng)具有以下多種安全特性。

1.登錄控制

我們將登錄控制分為基于IC卡的本地系統(tǒng)登錄控制和基于安全存儲介質(zhì)的遠(yuǎn)程登錄系統(tǒng)控制。目的都是使不合法用戶不能登錄進(jìn)某一系統(tǒng)，從而避免不合法用戶對系統(tǒng)造成安全事故。

(1)基于IC卡的本地系統(tǒng)登錄控制

整個系統(tǒng)有一個發(fā)卡中心。發(fā)卡中心為用戶生成用戶卡，持有用戶卡的用戶可以在一定范圍(由發(fā)卡中心限制)的計算機(jī)上登錄。持有root身份用戶卡的系統(tǒng)管理員可以在每臺計算機(jī)上動態(tài)的控制每一個用戶在該機(jī)上的登錄訪問。

(2)基于安全存儲介質(zhì)的遠(yuǎn)程登錄系統(tǒng)控制

登錄控制是系統(tǒng)安全中最基本的一個環(huán)節(jié)，它是一個系統(tǒng)的門戶，一個好的登錄控制系統(tǒng)可以有效的阻擊大部分的入侵者的攻擊。Chinissh-0.1是一個基于安全shell（SSH1.0. SSH2.0 )協(xié)議的遠(yuǎn)程登錄軟件，它可以實現(xiàn)在不安全的信道上進(jìn)行安全的通信。主要是通過在網(wǎng)絡(luò)上將信息以密文形式傳送達(dá)到安全目的。

2.進(jìn)程權(quán)限控制

程序權(quán)限控制是系統(tǒng)中防止非法使用的第一道防線，Chini-os特權(quán)控制用戶界面向系統(tǒng)安全員SSO提供操作，維護(hù)系統(tǒng)中文件和用戶特權(quán)的接口。SSO首先要通過身份驗證才能使用此界面。

Chini-os特權(quán)控制用戶界面有如下4個功能：

(1)用戶程序?qū)ο到y(tǒng)調(diào)用的訪問。

(2)為系統(tǒng)中每一個可執(zhí)行的程序分配其系統(tǒng)調(diào)用訪問權(quán)限。

(3)為每一個用戶分配其使用的系統(tǒng)調(diào)用訪問權(quán)限。

(4)兼容現(xiàn)有應(yīng)用程序。

3.系統(tǒng)完整性保護(hù)

Chini_FID是系統(tǒng)管理員和用戶監(jiān)視被指定保護(hù)文件或目錄是否發(fā)生改變的完整性檢測工具，利用這個工具可以檢測系統(tǒng)被保護(hù)文件是否遭到惡意的破壞，包括文件的刪除、添加和修改，比如攻擊者是否在某個應(yīng)用程序中駐留了“特洛伊木馬”，是否修改了某個文件的屬性等。管理員可以隨時對系統(tǒng)進(jìn)行檢測也可以向系統(tǒng)提交定時任務(wù)定時對系統(tǒng)進(jìn)行檢測，Chini_FID可以將檢測結(jié)果以郵件方式通知管理員哪些文件發(fā)生了改變，以便及時采取控制措施避免損失。

4.加密模塊

加密模塊分為用戶空間通用加密接口和核心空間加密模塊。分別用于用戶態(tài)和核心態(tài)模式。

(1)用戶空間通用加密接口

Chini Sec Interface可用于各種計算機(jī)安全應(yīng)用，它介于各種應(yīng)用系統(tǒng)和各種算法模塊之間，對上層應(yīng)用簡化了各種安全接口、對下層算法模塊做出了相應(yīng)的規(guī)范。利用Chini Sec Interface，開發(fā)應(yīng)用的軟件商可以專注于應(yīng)用系統(tǒng)的開發(fā)，無須過多地考慮算法，可在不修改應(yīng)用的情況下方便地變換算法；生產(chǎn)算法的廠商可專注于算法的軟硬件實現(xiàn)，無須考慮各種應(yīng)用的實現(xiàn)。

(2)核心空間加密模塊

核心模塊加解密時調(diào)用算法管理模塊函數(shù)，算法管理模塊再調(diào)用各種算法函數(shù)，通過這些算法函數(shù)完成加解密功能。

5.網(wǎng)絡(luò)安全

IP安全由IPSEC實現(xiàn)，己知的IPSEC具體實現(xiàn)有Xkenel和Frees/wan等，目前采用Frees/wan的1.5版。IPSEC功能如下：

(1)實現(xiàn)IP層的安全，保護(hù)IP數(shù)據(jù)包的安全。

(2)保障主機(jī)和主機(jī)之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)(如路由器、防火墻)之間、主機(jī)和安全網(wǎng)關(guān)之間的數(shù)據(jù)包安全。

(3)實現(xiàn)對IP數(shù)據(jù)包的加密保護(hù)、鑒別驗證、完整性保護(hù)、抗重播等。

6.加密文件系統(tǒng)

對于安全敏感數(shù)據(jù)，必須采取安全的存儲方法保證數(shù)據(jù)的安全。我們的加密文件系統(tǒng)能夠?qū)υ撐募到y(tǒng)中的文件提供加密保護(hù)，不知道口令的人不可能裝載該文件系統(tǒng)，主機(jī)或硬盤丟失后，其他人不能讀取其中的數(shù)據(jù)。

7.安全審計

在Linux日志系統(tǒng)的基礎(chǔ)上，采用密碼體系中的認(rèn)證技術(shù)，在系統(tǒng)產(chǎn)生日志文件的同時產(chǎn)生相應(yīng)的保護(hù)文件Mac文件，日志系統(tǒng)每產(chǎn)生一條日志記錄，在相應(yīng)的Mac文件中就有此記錄的Mac項，來對日志文件提供完整性保護(hù)。安全審計的功能表現(xiàn)在：

(1)產(chǎn)生日志文件。

(2)使用完整性驗證程序可以驗證系統(tǒng)日志文件和備份日志的完整性。

(3)可以處理和分析系統(tǒng)日志。

三、周期性的安全掃描

由于網(wǎng)絡(luò)環(huán)境中的設(shè)備多種多樣，僅依靠安全操作系統(tǒng)并不能保證所有設(shè)備的安全性，所以需要定期對網(wǎng)上的各種設(shè)備實施安全掃描，來發(fā)現(xiàn)設(shè)備的軟件實現(xiàn)中存在的可被攻擊者利用的漏洞，以便及時彌補(bǔ)。安全掃描的基本工作原理就是模擬攻擊，一旦攻擊成功，就意味存在漏洞。

安全掃描的另一部分就是病毒防治功能。通過定期或是非定期的病毒掃描，防止病毒的進(jìn)入和漫延。通過實時網(wǎng)上病毒掃描和防病毒軟件的定期升級功能，防止引入新的病毒。

通過以上的網(wǎng)絡(luò)，數(shù)據(jù)，以及系統(tǒng)三方面的種種安全技術(shù)手段，結(jié)合相關(guān)的安全產(chǎn)品，我們?yōu)樾@網(wǎng)提供了一個完整的網(wǎng)絡(luò)安全防御系統(tǒng)的解決方案，以達(dá)到保護(hù)自己的網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

[1]朱銀芳.校園網(wǎng)環(huán)境下的安全與防御系統(tǒng)研究[J].科技信息，2008，36

[2]汪軍.校園網(wǎng)防御體系的設(shè)計與實現(xiàn)[J].武漢工業(yè)學(xué)院學(xué)報，2003，3

2009-09-16

周力紅，本科，中教一級。