校园网络安全防御系统的设计与实现
校园网络安全防御系统的设计与实现
随着网络时代的飞速发展,网络安全问题日益突出。本文详细介绍了校园网络安全防御系统的设计与实现方案,涵盖了防火墙、入侵检测、数据备份与恢复等多个方面,为校园网络安全管理提供了全面的技术参考。
校园网络安全技术概述
1.1 校园网络技术发展
计算机网络的广泛应用对经济、文化、教育、科技产生了重要影响。随着Internet的迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损失。人们对计算机系统的需求不断扩大,各类应用人员队伍迅速发展壮大,教育和培训却往往跟不上知识更新的需要,操作人员、编程人员和系统分析人员的失误和缺乏经验都会造成系统的安全功能不足。
1.2 校园网络安全技术介绍
密码学:密码学是主要研究通信安全和保密的科学,包括密码编码学和密码分析学两个分支。密码的基本思想是对机密信息进行伪装,通过加密变换得到密文,合法用户可以通过密钥解密得到原始信息。
访问控制:访问控制是根据网络中主体和客体之间的访问授权关系,对访问过程做出限制。访问控制的功能主要有防止非法的主体进入受保护的网络资源、允许合法用户访问受保护的网络资源、防止合法的用户对受保护的网络资源进行非授权的访问。
身份认证:身份认证主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。
安全监控:安全监控技术主要是对入侵行为的及时发现和反应,利用入侵者留下的痕迹(试图登录的失败记录、异常网络流量)来有效地发现来自外部或内部的非法入侵;同时能够对入侵做出及时的响应,包括断开非法连接、报警等措施。
安全漏洞检测技术:安全漏洞检测技术是指利用已知的攻击手段对系统进行主动的弱点扫描,以求及时发现系统漏洞,同时给出漏洞报告,指导系统管理员采用系统软件升级或关闭相关服务等手段避免受到这些攻击。
防火墙:防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许“被同意”的人和数据进入你的网络,同时将“不被同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
反病毒技术:从反病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为:病毒预防技术、病毒检测技术及病毒清除技术。
校园网络安全防御系统
在校园网中一般我们所应用的安全系统是非常重要的,包括防火墙系统、数据库的管理系统、数据的备份与恢复系统、身份识别系统等等。
2.1 防火墙系统
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
2.2 校园网数据库管理系统
数据库管理(Database Manager)是有关建立、存储、修改和存取数据库中信息的技术,是指为保证数据库系统的正常运行和服务质量,有关人员须进行的技术管理工作。负责这些技术管理工作的个人或集体称为数据库管理员(DBA)。数据库管理的主要内容有:数据库的调优、数据库的重组、数据库的重构、数据库的安全管控、报错问题的分析和汇总和处理、数据库数据的日常备份。
2.3 数据备份与恢复系统
数据备份与恢复系统的主要目的是在系统发生故障后还原和恢复数据。当数据库出现了故障或被破坏时,以后可以利用备份进行数据库恢复。也可以通过备份,将数据库从一台服务器上复制到另一台服务器上。通过适当备份,可以从多种故障中恢复,包括系统故障、用户错误(例如,误删除了某个表、某个数据)、硬件故障(磁盘驱动器损坏)自然灾害。
2.4 身份识别系统
身份识别系统正是根据用户迫切的需求,推出的一款比传统的用户名+密码模式安全性更高的用户身份识别技术产品。精算身份识别系统是一款针对个人身份识别的硬件设备,外型美观大方,型如普通U盘大小,使用方式简单,不用安装任何驱动,直接支持USB的热插拔使用。
2.5 访问控制功能
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用,它是保证网络安全最重要的核心策略之一。访问控制的功能主要有以下:防止非法的主体进入受保护的网络资源;允许合法用户访问受保护的网络资源;防止合法的用户对受保护的网络资源进行非授权的访问。
2.6 上网行为管理
上网行为管理指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。每个公司都会因为工作的需要,公司开通了网络。但是问题来了,员工经常在上班时间聊QQ,浏览与工作无关的网页。有些公司曾经实施过惩罚制度,但效果不理想。为此,公司高层反对开通网络。这样一来,员工也有意见,认为如果不开通网络工作起来不方便。现在很疑惑,如果开通网络,该怎么管理员工呢?严格要求 并不是所有的员工都需要网络的,销售、采购外部协作、生产管理等部门的员工可能需要上网,但是像人事、工程设计等部门上班时间用网络的很少。
2.7 入侵检测系统
IDS是一种比较新的软件系统,可以发现正在进行的攻击,实施报警,并通过自动修改路由或防火墙的配置抵制攻击;将复杂的日志文件以简明的图形报表表示,并对其进行分析,得到有效的结果。进行入侵检测的软件与硬件的组合便是IDS。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
校园网络安全防御系统的设计
校园网络信息方便了校园信息的交流,提高了管理、办公效率。但由于系统内部设计大量重要文件和材料等,一旦校园信息网络被侵入或攻击,整个系统的安全将受到严重威胁,后果不堪设想。因此,构建一个高效是校园信息网络安全防御系统,保证校园网络畅通和网络用户的安全,是校园信息化建设的关键问题。本文所设计的网络安全防御系统的拓扑图如图3.1。
3.1 安全分析
校园网对网络安全的需求主要包括系统安全需求和内部工作网络系统平台安全需求。
3.2 设计主要思路
物理防护的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害和人为破坏;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
3.3 设计方案
校园需求牵引和技术推动,是校园信息网络安全防御系统发展的不竭动力。而成本有效和可持续发展又是任何事物得以存在和不断进步的重要条件。因此,在设计校园信息网络安全防御系统的体系结构时,应遵循以下基本原则:
- 满足校园信息安全需要。这是对校园信息网络安全系统的基本要求,也是构筑新时期校园信息网络安全体系结构的出发点和最终目标。
- 能够引入最新安全技术成果。即采用最新信息网络安全技术是校园信息网络安全系统不断进步和提升的前提,也是赋予新时期校园信息网络安全体系结构生命力的保证。
- 可充分利用现有安全资源。即利用现有信息网络安全体系继承发展,不仅可降低开发成本,而且可为创新校园信息网络安全体系提供条件。
- 具有良好的兼容性。新时期校园信息网络安全体系不仅应能够满足有线、无线、移动等各种网络对信息安全的需求,而且还应能够涵盖和兼容各种安全技术体制,实现信息安全的网系融合、灵活配置、智能组网等。
- 信息网络安全系统作为校园安全基础设施,建设周期长,耗资巨大,因此构建新的网络体系结构必须做到继往开来,具备可待续发展的空间。
网络安全防御系统的实现
了解校园信息网络面对的威胁,制定了安全策略,设计了方案的理论模型并了解了相关技术后,在构建防御系统过程中,还要实际考虑现有网络中的设备现状、线路布置、管理制度、人员专业水平等因素,并在加装安全设备和软件系统时,充分考虑具体校园的人力、物力、财力,这样才能在构建符合实际的网络安全防御系统。校园物理防御系统结构图如图4.1。
4.1 物理防护的实现
物理防护的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害和人为破坏;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
4.2 网络防护的实现
网络防护的实现主要包括隔离、检测和认证三个方面。隔离主要应用防火墙技术,检测主要通过入侵检测系统实现,认证则通过身份认证系统完成。
4.3 数据防护的实现
数据防护主要包括移动数据管理、操作系统安全和传输加密三个方面。移动数据管理主要是通过建立严格的管理制度和使用专门的移动存储设备来保护数据的安全;操作系统安全则通过合理的配置和定期的安全更新来实现;传输加密则是通过加密算法来保护数据在传输过程中的安全。
网络安全防御系统的测试
为了系统的性能,我们将利用方式检测系统保护网络,作为一中被动防御机制与主动防御机制融合在一起的立体防御机制,它既能对来自网络外部的攻击进行有效的监控和拦截,又能对校园网络内部的攻击进行防御。
5.1 测试
5.1.1 测试环境
为了测试网络安全防御系统性能,配置的测试环境如下:用网络1(192.168.2.0)模拟外围,用网络2(192.168.20.0)模拟校园网。网络安全防御系统安装在网络1与网络2之间。网络1中主机H1(192.168.2.10)对网络2中的服务器S1的访问就相对于网外用户对校园网的访问:网络2中主机H2 (192.168.20.10) 对网络2中服务器S1的(192.168.2.1)的访问就相对于网内用户对校园完的访问。
在网络1中主机H1(192.168.2.10)上配置一些后门程序对网络2中的服务器S1(192.168.20.0)进行恶意访问,模拟外网用户对校园网的攻击情形。在网络2中主机H2(192.168.20.10)进行恶意访问,模拟内网用户对校园网的攻击情形。
5.1.2 测试系统防御外部攻击能力
对木马进行截获
目前,许多木马不是以单一进程的形式访问网络,而是插入到正常的进程中将自己隐藏起来,然后开启一个后门或不断扫描远程计算机。监视蠕虫病毒对远程端口的扫描
目前。很多蠕虫病毒都带有黑客性质,当他们以很隐藏的方式进入用户的计算机后,它们就会不断扫描远程网络计算机中某些端口来寻求某些漏洞并进行攻击。
5.1.2 测试系统防御内部攻击能力
主机H2(192.168.20.10)用扫描工具Ipexplorer对网络服务器S1(192.168.2.1)的端口进行扫描。测试系统防御内部攻击能力。
5.2 小结
本章主要介绍了一个简化的原型系统,接着探讨了系统中防火墙系统及入侵检测系统的实现技术,最后叙述了对系统的测试情况。
总 结
在计算机信息化的不断发展,针对网络的新的攻击行为也不断涌出,其针对的目的也将是全方位的,所以那种希望依靠一种安全技术的不断深入研究解决所有安全问题的想法是幼稚的,当我们需要不断的研究和发展各种安全技术,包括本文提到的防火墙,入侵技术,身份认证,数据备份和恢复等等,但这些远远不够的只有当我们将所有的技术通过一个完整的网络安全防御系统整合为一体,它们在这个系统中能够彼此协作,才能发挥它们的最大威力,从全方位阻止攻击的入侵。
校园安全防御网络是一种全新安全架构,其最大特点就是具有自我防御能力、自我愈合能力和集成协同的安全机制,不论是网络系统本身还是网络资源一旦受到诸如网络病毒和网络攻击时,能够快速反应,发现攻击并给以阻止,发现病毒或蠕虫予以删除,大大提高网络安全性能。
本文也只是在网络安全防御系统的设计和实现上做了一些肤浅的探索,还存在许多的不足,需要在进一步的研究中完善。相信随着安全技术的进一步,一定会出现更好的安全技术。