论文：网络安全技术在校园网中的应用研究

网络安全技术在校园网中的应用研究摘要本文系统地介绍了网络安全的概念、Internet的安全体系结构，并讨论了计算机网络面临的各种安全威胁。其中，内部网络的安全问题是每个建网单位面临的最大问题，防火墙技术是解决网络安全的一个主要手段。关键词网络安全威胁与攻击防火墙校园网随着多媒体在教育教学过程中的应用越来越普遍，校园网络建设成为教育信息化发展的必然趋势。当前各大、中小学的校园网建设项目纷纷上马。但是，由于各校实力不一、校园网规模不一，特别是由于人们的安全意识淡薄，使得有关网络的安全事故不断发生，校园网的安全面临极大的威胁。因此，如何确保校园网正常、高效和安全地运行是高校普遍面临的问题。一、高校校园网面临的问题和威胁1.高校校园网建设中面临的问题。（1）网络管理维护的困难。现在很多课堂教学逐步走向网络化，学生在线学习、娱乐时间增加。校园网网络大、业务多、故障问题定位复杂，管理难度增大。（2）网络业务容量及资源调配的困难。这包括如何有效合理地对教育网络带宽的调度和分配，满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议、ePhone等应用。（3）网络安全、统计等运营问题。这表现在校园网缺乏用户认证、授权、计费体系，安全认证以IP地址为主，存在有意和无意的攻击等。2.危害网络安全的主要威胁。（1）非授权访问。即对网络设备及信息资源进行非正常使用或越权使用等。（2）冒充合法用户。即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。（3）破坏数据的完整性。即使用非法手段删除、修改、重发某些重要信息以干扰用户的正常使用。（4）干扰系统正常运行。指改变系统的正常运行方法，减慢系统的响应时间等手段。（5）病毒与恶意攻击。即通过网络传播病毒或恶意Java、XActive等。（6）线路窃听。即利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。（7）Internet非法内容。某些网站如娱乐、游戏、暴力、色情、反动信息等不良网络内容，对学生的身心健康危害很大。二、校园网网络安全的解决方法1.网络病毒的防范。在网络中，病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染。所以，防止计算机病毒是计算机网络安全工作的重要环节。2.网络安全隔离。网络和网络之间互联，同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以，网络之间进行有效的安全隔离是必须的。3.网络监控措施。在不影响网络正常运行的情况下，增加内部网络监控机制可以做到最大限度的网络资源保护。4.借助软件解决网络安全漏洞。对于非专业人员来说，无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞，因此需要借助第三方软件来解决此安全隐患，并提出相应的安全解决方案。5.数据备份和恢复。数据一旦被破坏或丢失，其损失是灾难性的。所以，做一套完整的数据备份和恢复措施是校园网迫切需要的。6.有害信息过滤。对于大中型校园网络，必须采用一套完整的网络管理和信息过滤相结合的系统，实现对整个校园内电脑访问互联网进行有害信息过滤处理。7.网络安全服务。为确保整个网络的安全有效运行，有必要对整个网络进行全面的安全性分析和研究，制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。三、校园网内部网络系统的安全措施1.用户身份认证。用户身份认证有基于令牌的身份验证和Kerberos等算法。验证令牌的原理是由身份认证服务器AS（Authentication Server）负责管理用户登录，AS根据用户登录时的PIN（Personal Identification Number）查找内部数据库，找出相应令牌的Key，根据两者产生的序列或随机数来判定用户是否合法。Kerberos是一种通过共同的第三方建立信任的，基于保密密钥的身份认证算法，使用DES加密方法。2.访问控制。访问控制是对访问者及访问过程的一种权限授予。访问控制在鉴别机制提供的信息基础上，对内部文件和数据库的安全属性和共享程度进行设置，对用户的使用权限进行划分。对用户的访问控制可在网络层和信息层两个层次进行，即在用户进入网络和访问数据库或服务器时，对用户身份分别进行验证。验证机制为：在网络层采用国际通用的分布式认证协议RADIUS，对用户的授权在接入服务器NAS上完成；在NAS上通过Filter的方式限制访问:在信息层采用Cookie机制，配合数字签名技术，保证系统的安全性。3.代理服务器。代理服务器的使用可以使内部网络成为一个独立的封闭回路，从而使网络更加安全。通过对代理服务器的设置，可以对客户身份进行认证和对各种信息进行过滤，限制有害信息的进入和限制对某些主机或域的访问，网络管理人员也可以通过代理服务器的日志获取更多的网管信息。4.数据的完整性保护。数据的完整性是指数据来自正确的发送方，并送到了正确的接收方。数据的完整性包括数据的安全性和数据的可信性两方面。保护措施是增加敌方所不能控制的冗余信息，同时对数据进行加密。5.数字签名。基于先进密钥技术的数字签名是系统防止数据在产生、存放和运输过程中不被篡改的主要技术手段。数字签名所用的签署信息是签名者所专有的，并且是秘密的和唯一的，签名只能由签名者的专用信息来产生。数字签名实际上是一个收发双方应用密文进行签名和确认的过程，是数据完整性、公证以及认证机制的基础。数字签名不但能使接收方确保发送源的真实性，也能保证发送和接收双方对自己的行为无法否认。6.防火墙技术。防火墙技术作为一种访问控制，是在内外部网络之间建立一个保护层，使外部网络对内部网络的访问受到一定的隔离，而内部网络成员仍能方便地访问外部网络，从而保护内部网络资源免受外部的非法入侵和干扰。在实现防火墙的众多技术中，如下技术是其实现的关键技术：（1）包过滤技术。包过滤技术是在网络中适当的位置上对数据包实施有选择的过滤。包过滤防火墙一般含有一个包检查模块，它可以安装在网关或路由器上，处于系统的TCP层和IP层之间，以便抢在操作系统或路由器的TCP层之前对IP包进行处理。通过检查模块的处理，防火墙可以对进出站的数据进行检查，验证数据包是否符合过滤规则。（2）代理技术。代理技术是针对每一个特定应用服务的控制，它作用于应用层，具有状态性的特点，能提供部分与传输有关的状态，起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求。提供代理服务的可以是一台双宿网关，也可以是一台堡垒主机。（3）状态检查技术。状态检查技术是一种在网络层实现防火墙功能的技术。它采用了一个在网关上执行网络安全策略的软件引擎，即检测模块。模块在不影响网络正常工作的前提下，在网络通信的各层抽取状态信息，实施监测。它支持多种协议和应用程序。并可以很容易地实现应用和服务功能的扩充。它还能监测RPC和UDP之类的端口信息。而包过滤和代理技术都不支持此类端口。（4）地址转换技术。地址转换技术是将一个IP地址用另一个IP地址代替。它主要应用于两个方面，其一是网络管理员希望隐藏内部网的IP地址。其二是内部网的IP地址是无效的。在此情况下，外部网不能访问内部网，而内部网之间主机可以互助访问。（5）内容检查技术。内容检查技术提供对高层服务协议数据的监控，以确保数据流的安全。它是一个利用智能方式来分析数据，使系统免受信息内容安全威胁的软件组。参考文献1华蓓，钱翔，刘永.计算机网络原理与技术M.北京：科学出版社，2001.2