（通信与信息系统专业论文）校园网安全防护系统的设计与实现.pdf

高校数师学f 0 沦文 摘要 校园网的大规模建设和使用是教育信息化的必然趋势，其给学校的教学、科 研、学习和生活带来了前所未有的便利，使学校实现了管理网络化和教学手段的 王见代化。目前国内外很多学校都建设拥有了各自的校园网，且已经基本实现了“千 兆到楼宇，百兆到桌面”的现状。随着许多学校对校园网的进一步依赖和互联网 的更加开放，网络安伞事件开始见诸各所学校。由于校园网安伞事件所带来的损 失往往是难以挽回的，给正常科研、学习生活带来了很大挑战。校园网的稳定性 和效率是学校科研和生活的重要保障，因此，对学校校园网的安伞防护系统进行 设计，具有很重要的现实意义。 本文首先介绍了校园网网络安全的相关概念，并结合同内外网络安全事件的 研究现状，分析讨论了目前校园网巾存在的各类安全隐患，同时对目前网络发展 中所用到的安全防护技术进行了简要介绍。并针对某高校校园网建设及安全方面 的现状进行了分析探讨，提出了校园网安伞防护系统开发的出发点以及系统设计 应遵守的设计原则，对当前热门的校园网安全防护的关键因素与技术进行了简要 说明。最后结合某高校校园网安伞防护系统的建设现状，对某高校校园网的安全 防护系统进行了设计，并提出了一系列解决方案，重点从网关防护、接入管理等 方面进行了探讨，其巾涉及到新型分布式防火墙等新技术的应用等，以此为基础 提出了一个基于统一管理策略的全局安全解决方案( g s n ) ，并对其详细的实现 过程进行了介绍。 关键词：校园网；网络安全：安全防护系统； a b s t r a c t l a r g e s c a l ec o n s t r u c t i o no fc a m p u sn e t w o r ke d u c a t i o n i n f o r m a t i z a t i o na n du s e i s t h ei n e v i t a b l et r e n d ，i tt ot h es c h o o lt e a c h i n g ，s c i e n t i f i cr e s e a r c h ，t h es t u d ya n dt h e1 i f e b r o u g h tt h eu n p r e c e d e n t e dc o n v e n i e n c e ，m a k e s s c h o o l sr e a l i z et h em a n a g 锄e n t n e t w o r ka n dt e a c h i n gm e a n sm o d e r n i z a t i o n a tp r e s e n tm a n yd o m e s t i ca n dt o r e i g n s c h 0 0 1c o n s t r u c f i o n sh a v et h e i rc a m p u sn e t w o r k ，a n dh a sb a s i c a l l ya c h i e v e d ”g i g a b i t t ot h eb u i l d i n g ，m bt ot h ed e s k t o p ”o f t h es t a t u sq u o a sm a n yo ft h es c h o o lc a m p u s n e 觚o r ka n dt h ei n t e m e tt or e l yo nm o r eo p e n ，n e t w o r ks e c u r i t yi n c i d e n tb e g a ni n s c h 0 0 1 s d u et ot h ec a m p u sn e t w o r ks e c u r i t yi n c i d e n tt h ed a m a g e i so f t e ni r r e p a r a b l e ， f o rn o n n a ls c i e n t i f i cr e s e a r c h ，s t u d yt h el i f eb r o u g h tt h eb i gc h a l l e n g e 。t h es t a b i l i t y a n de f f i c i e n c yo fc a m p u sn e t w o r ki sa ni m p o r t a n tr e s e a r c ha n d s c h o o ll i f es a f e g u a r d ， t h e r e f o r e t h es c h o o lc a m p u sn e t w o r ks a f ep r o t e c t i o ns y s t e md e s i g n ，h a sv c r y i m p o r t a n tp r a c t i c a ls i g n i f i c a n c e t h i sp a p e rf i r s ti n t r o d u c e dt h ec a m p u sn e t w o r ks e c u r i t yr e l a t e dc o n c e p t sa n d c o m b i n i n gd o m e s t i ca n df o r e i g nr e s e a r c hs i t u a t i o no f t h en e t w o r ks e c u r i t yi n c i d e n t ， a n a l v z e sa n dd i s c u s s e st h ec u r r e n te x i s t i n gi nt h ec a m p u sn e t w o r ko fa l l k i n d so f p o t e n t i a ls a f e t yp r o b l e m sa n d ，a tt h es a m et i m e ，t h ed e v e l o p m e n to ft h en e t w o r kf o r s a f e t yp r o t e c t i o nt e c h n o l o g y a r eb r i e f l yi n t r o d u c e d a n di n ac a m p u sn e t w o r k c o n s n u c t i o na n ds a f e t yi nt h ea n a l y s i so ft h ec u r r e n ts i t u a t i o n ，t h i sp a p e r d i s c u s s e dt h e c a m p u sn e t w o r ks a f ep r o t e c t i o ns y s t e md e v e l o p m e n ta n dt h e s t a r t i n gp o i n to ft h e s v s t e md e s i g ns h a l lc o m p l yw i t ht h ed e s i g np r i n c i p l eo ft h ec u r r e n tp o p u l a rc a m p u s n e t w o r ks e c u r i t yp r o t e c t i o no fk e yf a c t o r sa n dt e c h n o l o g y i sa l s oe x p o u n d e d f i n a l l y t h ep a p e r ，ac o l l e g ec a m p u sn e t w o r ks a f ep r o t e c t i o ns y s t e mp r e s e n ts i t u a t i o no ft n e c o n s t r u c t i o no fau n i v e r s i t yc a m p u sn e t w o r ks a f ep r o t e c t i o ns y s t e mf o r t h ed e s i g na n d p u t sf o r w a r das e r i e s o fs o l u t i o n s ，w i t he m p h a s i so nt h eg a t e w a yp r o t e c t i o n ， m a n a g e m e n to fa c c e s si s d i s c u s s e di nt h ep a p e r ，w h i c hi n v o l v e sn e wd i s t r i b u t e d f i r e w a l la n dt h ea p p l i c a t i o no fn e wt e c h n o l o g y ，b a s e do nt h i sp r o p o s e dau n i f i e d m a n a g e m e n ts t r a t e g yb a s e do nt h eg l o b a ls e c u r i t ys o l u t i o n ( g s n ) ，a n di t s d e t a i l e d i m p l e m e n t a t i o np r o c e s sa r ei n t r o d u c e di nt h i sp a p e r k e yw o r d s ：c a m p u sn e t w o r k ；n e t w o r ks e c u r i t y ；n e t w o r ks e c u r i t ys y s t e m i l 岛f 之教师。：f 一沦文 插图索引 图3 1 网络安全管理系统交互示意图1 3 图4 1 某高校校同网安全防护系统1 6 图4 2 网关组成示意图1 7 图4 3 分布式防火墙的体系结构示意图1 9 图4 4t c p i p 协议栈中传输和处理数据包的示意图一2 2 图4 5 主动防御技术示意图2 3 图4 6 第一种配置方式2 4 图4 7 第二种配置方式2 4 图4 8 某高校上网管理系统的配置方式一2 5 图4 9 全局安全网络解决方案的基本原理2 7 图4 10g s n 的实现过程2 8 图4 1 1g s n 配置在汇聚层的示意图3 0 图4 1 2g s n 配置在接入层的示意图3 0 高校牧师。j o f 一沦文 第1 章绪论 1 1 课题的研究背景及意义 1 1 1 研究背景 自二十世纪八十年代以来，国家级的教育和科研计算机网络已相继在世界上几乎所 有的发达国家建成，而随后又互联成覆盖全球性的国际学术计算机网络i n t e r n e t 。 在这利一全新式的计算机网络环境下，为广大科研人员及教师、学生都带来了前所未有的 便利条件。因为计算机网络的诞生使得信息传输速度得到了翻天覆地的变革，而且从根 本上促进并改变了广大科研人员及教师、学生之间的资源共享、信息交流、科研合作和 科学计算等，同时，也极大地促进了这些国家科研和教育事业的飞速发展，从而成为科 研和教育工作巾非常重要的基础设施。 1 9 9 4 年，经原国家计委批复，原围家教委组织国内1 0 所著名高等学府联合建设 “c e r n e t 示范工程”，拉开了我国互联网建设的序幕。c e r n e t 工程的成功实施初步实现 了我国首个伞围性互联网络，对推动我国计算机互联网络及其应用发展起到了重要的示 范作用。随着我同教育信息化的推进，作为c e r n e t 重要组成的高校校园网络在我国各 高校的数字化校园建设巾占据着举足轻重的地位心1 。基于校园网的信息系统得到了广泛 的应用，并逐渐渗透至学校工作的各个方面，对于提高学校教育教学质量和管理水平都 起到了积极的作用。 随着教育信息化进程的快速推进，校园网在我国国内院校的普及和应用管理越来越 体现出它的重要地位，而对于其信息系统安全的考虑现在也逐步在引起学校各方领导和 管理人员的重视。通过对当前一些校园网配置方案的研究，不难发现，多数校园网都将 重点放在功能实现之上，即把校园网的网络架构和硬件配置放在首要地位b 1 。笔者通过 对一些校园网安伞事件的分析发现，忽视校园网网络和信息安全保障极有可能带来信息 泄露、非法访问等一些非常严重的后果。 当然，还有一些学校的校园网也采取了一些安伞解决方案，但是它们只是安装一些 查杀病毒的软件、购买一套防火墙，而没有采取相应的安伞管理措施，也没有采用更健 全的安全防护系统，这样就为未来可能发生的安全事件埋下了非常大的隐患n 1 。 尤其是在当前互联网热潮的背景下，各种非法入侵、病毒、系统漏洞等，甚至有些 不良信息会对校园网及其应用管理系统带来极大的威胁。通过研究分析，对校园网入侵 的对象也不仪仪局限于学校的学生和网络黑客等，甚至还会是一些蓄意破坏者。他们的 入侵可能会带来诸如：窃取数据库信息；用户的l j 令以及校园网内的其他信息；伪造用 户身份；否认自己的签名；篡改数据库内容；释放计算机病毒：摧毁网络节点，以至于 整个校园网络陷入瘫痪，甚至删除数据库的内容等严重的后果旧1 。 针对当前整个网络安全性和稳定性存在巨大挑战的现状，为了增强网络的稳定性和 f 乏i 训t q 奠令防护系统的i 2 计j 宜观 可靠性，我们应该积极采取各种有效的手段米保证网络的安全运行，使得校园网络在传 输时信息的可靠性、完整性以及女l i 何验证网络实体身份的真实性得到切实保证。 1 1 2 研究意义 截止当前，校园网己取得了快速发展，其中大多数国内院校已经连入了互联网 i n t e r n e t ，尤其是随着数字化校园的建设发展，校园网在为合法用户提供方便快捷的服 务同时，也为各种盗取、破坏和攻击等不法行为提供了可乘之机m 1 。如何保护网络、保 证网络资源的真实性，己经成为关系到各人切身利益的实际问题。 目前，解决网络安伞问题的主要技术手段有加解密技术、数据鉴别技术、防火墙技 术、访问控制技术等，它们在防御网络入侵方面均有一定的作用。这些传统的网络安 全技术对于网络攻击，主要采取的是被动防御的手段，面对日益复杂和千变万化的各种 入侵事件来讲，这些技术逐渐变得有些力不从心。如何更好地积极地保护我们的网络， 己经成为当今研究的一个热点。网络的发展是动态的，不断有新的协议、新的操作系统、 新的应用软件发布和应用，伴随出现的有大量新的漏洞、新的病毒、新的攻击程序，相 应的网络安伞技术也应该从被动防御实现质的突破哺1 。校园网作为伞校师生的一个重要 的信息平台，由于其自身的复杂性和脆弱性，使得其受威胁和攻击的可能性远远增加， 从近些年内的一些安全事件可以看到网络安全问题始终伴随着网络的发展而始终存在。 随着网络规模的不断扩大，其复杂性不断增加、异构性不断提高，校园用户对网络性能 的要求也不断提升，这使得网络安全逐渐成为了网络发展中的一个关键要务，网络安全 对网络的发展将产生非常大的影响。因此，校园网络的安全防护将是未来校园网发展中 的重要内容，校园网安伞防护系统的合理设计与实施直接关系着一个校园网络的正常运 行，而一个稳定的校园网络将为学校的数字化建设与发展铺设了平坦之路。 1 2 国内外网络发展及安全现状 互联网如今已发展进入了一个崭新的阶段，不断推动着社会信息化的进程，并且逐 步扩大着对我们生活、工作和娱乐的影响。可以发现当今国际网络有以下一些主要特点： 网络的应用日渐丰富多样。目前，博客、e m a i l 、f t p 、w w w 等应用已十分普遍， 近些年更是发展起一些新的应用，如v o d 点播、网上购物、网络游戏、网上求职、网上 交友、网上医疗等，可以说今后的网络应用将是海量的。 规模迅猛扩大，据统计全球有2 0 0 多个国家接入了互联网，主机总数已超过3 亿， 网络用户更是超过了8 亿。信息化是社会、科技与经济发展的必然趋势，毫无疑问，在 未来的信息化社会中，互联网作为重要的社会资源之一，对国家、部门、企业、个人的 重要性将日益凸现。 但是随着计算机网络应用的广泛深入，网络安全问题便显得日益复杂与突出，可以 说自国际互联网诞生以来，网络安全问题就与其如影随行。以美国为例，据2 0 0 9 年美 2 岛f 鼋敷师。j ：斗，i f - , 文 同政府的学校安全指数发现，虽然学校已经努力提高网络的安全性，然而网络攻击事故 的飞速上升使整个校园i t 安全性都在下降。在过去一年中，5 5 的美图校园发生了网 络破坏事故，包括未经授权的用户访问和黑客攻击或者病毒等，6 7 的校园发生了攻击 事件、未经授权访问者或者其他物理破坏。 通过与全美超过4 0 0 名校园i t 和安全负责人的交流，调查发现4 1 的i t 安全攻击 事故是由学生造成的，2 2 是由学校工作人员造成的。大部分物理破坏行为是由身份不 明的攻击者( 4 2 ) 和学生( 3 7 ) 造成的。8 8 的校区都足用无线网络供学生用于访问互 联网和在线学习工具，6 5 的学校没有无线网络，正在考虑在当年内部署无线网络，9 2 的校区使用了数据加密。在以1 0 0 分为满分的评定表r f l ，2 0 0 9 年美国校园网络安伞指数 为2 2 2 。 和我罔国内校园网系统相比，囝外的校园网无论是在基础建设还足安全建设、应用 建设方面都远远比我国的要完善。他们的网络建设包括应用建设都是在一个合理的安伞 构架或者安全规范下进行的，因此他们保证向师生提供安全、稳定、高效的校园网服务。 他们的安全技术标准基本上都是按照国家规定的网络安全标准和信息技术标准设计和 实施的。这些网络安伞标准制定了一个具体的网络安伞架构，建立了网络安全的技术要 求和规范1 9 1 。 我国当前的校园网系统建设已经取得了很大的成就，尤其足自从1 9 9 4 年开始，我 国便启动了中国教育科研计算机网( c e r n e t ，c h i n ae d u c a t i o na n dr e s e a r c hn e t w o r k ) ， 并且在接下来的第四年，也就是1 9 9 8 年的1 0 月，又启动了二期工程。在这种背景下， 短短一年之内，到1 9 9 9 年，我围已经有数百家学校通过中国教育科研计算机网实现了 互联，使得教师、学生和各利，科研人员之间可以更加便利地进行资源共享和信息交流， 同时也实现了科学计算和科研合作的基础条件。截止到2 0 0 0 年，中国教育科研计算机 网成功地完成了二期工程，国内相继有1 0 0 0 多所高校实现了互联，尤其在中国的两个 领头学府，清华大学和北京大学，其校园网的规模已比较完善，“千兆到楼，百兆到桌 面已经在许多学校得到了实现，同时校内所有的建筑物，包括办公、教学、学生宿舍 楼等都已经铺设了网线，实现了共联。随着信息技术的进一步变革，网络系统也变得稳 定和成熟。据统计，截止到2 0 0 7 年底，国内各大高校几乎都己建立校园网，其中拥有 1 0 0 0 m 主干带宽的高校已占高校总数的6 5 以上，一些综合类大学和理工类院校率先 升级到万兆校园网| 1 0 i 。 从上文可以看出，正是由于我国校园网的快速发展，使得部分高校不能对校园网的 网络安全提起重视，甚至有些学校经常发生被黑客入侵以至于时常断网、数据被盗被毁 等现象时有发生，对当前校园网网络安全和稳定性提出了极大的挑战。许多学校在防范 网络攻击的时候仅仅采取安装一套杀毒软件或者防火墙，没有相应的安全管理机构和安 全管理措施，也没有发生故障或灾难时的安全恢复措施，这样的安全方案必将带来巨大 的信息安全隐患。 f 乏i 刊i - j 。奠令防护系统的i 2 引j j j j 她 我圈在防范网络安全方面也做了许多努力，在2 0 世纪8 0 年代，我同就曾制定了许 多国家级的网络安全标准，近年来参照国外特别是美围和i s o 的网络与信息安全标准 制定了一系列的网络安伞安全标准，但是很多高校的校园网都没有按照这些标准来设 计。 1 3 问题的提出与研究目的 数字化校园的建设是一项复杂的系统工程，安伞稳定的校园网络是今后学校数字化 校园建设的根基，由此体现出校园的安全建设显得更是重要，然而在我围大部分高校尤 其是新兴校园的网络建设与发展中存在不少问题： ( 1 ) 缺乏前期总体统筹规划 校园网的自身的安全缺陷是导致校园网脆弱性的根本原因。在前期设计阶段，大多 数校园网的设计之初没有充分考虑到安全威胁，在校园网的总体规划上只以校园网应用 为主而未充分考虑安伞建设，所以导致校园网后期存在安伞隐患及维护困难大。 ( 2 ) 没有基本的基础用户数据库，管理上缺乏统一的操作界面 基础平台是应用系统集成的基础系统，它为各个应用系统的集成提供一系列的基础 服务，使得应用系统之间的数据共享、应用访问以及统一访问接u 等功能得以顺利实现。 数据中心基础数据库建设工程，包括教师、学生、管理人员的基本数据信息，为各种应 用系统提供基本的服务对象。通过统一的使用界面，用户可获得符合其身份的各项服务。 ( 3 ) 相关安伞管理人员信息化技能有待提升 尽管系统提供了某些安全机制，但是由于管理员或者用户的技术水平限制、维护管 理工作量大等因素，这些安全机制并没有发挥有效作用。比如，系统的缺省安装和弱口 令是大量攻击成功的主要原因之一。 ( 4 ) 缺乏较全面的校园网安全防御系统 过去的几年内，防病毒软件、反间谍软件和其他基于特征的防护措施几乎就可以保 护校园网，但是现在校园网需要部署主动的终端安全保障措施，才能防御各种网络攻击 甚至未知威胁。他们需要层次化的终端安全保障方法，实施不仪能够防御各级威胁，而 且可提供互操作性、无缝实施和集中管理的全面解决方案。 校园网管理人员深知终端防护技术的重要性，往往表现为确保在每台终端上安装防 病毒软件、反间谍软件、桌面防火墙、入侵防御设备控制以及应用程序控制技术。在每 个端点上分别部署这些安全产品时，不仅需要很长时间，而且还会增加工作复杂性和时 间成本。然后，校园网需要为各种不同的终端安伞解决方案提供管理、培训和支持，而 这些解决方案通常会争用相同的系统资源。由于资源消耗很高，因此可能会导致系统性 能下降。 以上因素，已严重制约了数字校园网的发展，一个高速的、资源丰富的、应用广泛 的、快捷安全的、运行稳定的校园网络才是大家所期盼的。 4 t 音j f 乏教0 一学位论文 曼! 曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼曼! 曼曼! 曼曼寡曼曼曼! ! ! 曼! 曼笪曼! ! 曼曼! _ iu i i i 曼! 罡曼曼! 曼曼曼曼曼! 曼曼曼曼! 曼曼曼曼曼曼曼曼曼曼! 曼曼曼蔓曼 1 4 论文的主要研究内容和创新点 通过分析某高校现有数字校园网网络安全的需求，本文试图为解决目d 订数字校冈网 建设和网络环境下f i 益复杂的安全问题提供一些有益的探索，为实现安全可靠的全方 位、满足应用需求的数字校园提出了某高校数字校园网网络安全建设目标和设计原则及 规划。 本文主要研究内容包括： ( 1 ) 提出了某高校数字校同网网络安全建设方案( 全局安全解决方案g s n ) ，为了 解决计算机信息与网络将会遇到的安全问题，需要在网络中的各个环节都采取必要的安 全防范措施，通过多种安全防范技术和措施的综合运用，有效地保证学校计算机信息与 网络的安全； ( 2 ) 研究综合各种防御技术的全局安全解决方案，在系统实现上主要应用了以下 几项关键技术：基于包过滤技术的分布式防火墙技术的应用；防火墙与入侵检测系统的 联动构成对网关的防护；有效的身份认证系统等。 ( 3 ) 将全局安全解决方案体系应用到某高校现有的安全管理体系中，并根据其运 行效果对本系统进行调试，并为后期进一步研究提供一些参考依据。 1 5 论文组织结构安排 本论文详细介绍某学校数字校园网安全防护系统的没计与实现，相关论文组织结构 的安排如下： 第一章主要介绍课题的研究背景及意义，以及国内外校园网安全防护系统的研究现 状，问题提出、研究目的和研究内容等内容。 第二章主要阐述了校园网网络安全中的关键技术等相关理论，包括软硬件等方面。 第三章对校园网的安全现状及防护系统设计原则等进行了详细的分析。 第四章对某高校校园网安全防护系统进行了设计与实现，其中包含对网关的防护、 接入管理等，最后提出了一个基于统一管理策略的全局安全解决方案( g s n ) ，并且应 用了诸如分布式防火墙等最新的网络安全技术。本章是本文的重点，同时也体现了本课 题工作的主要特色。 第五章是对本文工作的总结及展望。详细来说，即对本文的一些总结，以及对本文 的一些改进建议和未来展望。 校f 刊i - j 良令防护系统的波汁j 奂观 第2 章校园网安全防护系统关键技术 如前文所论述，随着计算机网络技术的快速发展，许多学校或者教育、科研机构都 架设了自己的网络，而其中尤以校园网为主要部分n 。校园网承载了学校正常教学、办 公和学生同常生活的方方面面，其地位已经无可取代。同时，教育也不再受国家、地区、 学校、学科的限制，但是愈演愈烈的黑客攻击事件及非法信息的蔓延、网络病毒的不断 爆发、邮件蠕虫的扩散，也给网络蒙上了一层阴影。在高速发展的校园网及远程教育网 络系统中也同样存在着威胁网络安全的诸多因素。近些年，也出现了大量的校园网安全 事件，给相关学校带来了巨大损失，因此，很有必要设计出一套行之有效的校园网安全 防护系统，以预防此类事件的经常发生，本章将对设计系统所需要的关键技术等进行阐 述n2 。 2 1 校园网建设概述 进入二十世纪以来，计算机技术取得了非常大的进步，其中尤以多媒体技术因为自 身的优点，使得其在教学中的应用越加广泛，且随着网络设备价格的不断下降，许多学 校j 下是看到了校园网建设的潜在优势，都加大了校园网建设的投入，当然，这些都使得 校园网建设必然成为教育信息化的发展趋势，另一方面，国家政策也一直持支持态度， 逐年加大对这一领域的资金投入。同时，校园网也在科研、教学和管理等许多方面发挥 了不可替代的作用，尤其随着数字校园的建设，校园网的网络系统更加成熟和稳定，同 学们通过校园网进行交流和学习，为传统的学习模式带来了巨大改革u3 l 。 近年来，许多学校、科研单位都建设了校园网，同时也都连入了互联网，因此，作 为互联网的一部分，校园网时刻面临着多方面的威胁n 副。因此，一旦校园网出现了较大 影响的网络安全事件，将对学校正常的教学、科研和学习带来很大影响，如果数据库等 敏感信息遭到篡改或者窃取，甚至要蒙受相当严重的损失n 引。 2 2 当前针对校园网的主要安全隐患 如果校园网没有应对安全威胁相关的网络设备等对攻击进行主动预防，那么这个校 园网就很可能遭到致命攻击。来自网络上的攻击是多方面的，且因素复杂，经过对多起 安全事故进行分析，一般攻击的实施人员都具有相当的计算机水平，而且他们实施攻击 后的后果是无法预料的，会对网络造成巨大危害n 引。另外，对攻击源进行分析，有来自 校园外部的攻击也有内部人员的攻击。尤其随着互联网的逐渐开放，各种黑客攻击教程 等充斥着网络，如果在百度搜索引擎中以“黑客教程”为关键词进行搜索，可搜索出两 千五百万多条结果，一旦这些教程被一些别有用心的人掌握，将会产生巨大的威胁。因 此，加大安全防护系统的建设尤为重要。n 刀 6 ，膏i 佼敦4 巾# f ? i 论殳 当前网络中存在的主要安全隐忠大致有如下几种： 2 2 1 木马程序入侵 木马程序攻击是当前攻击较为普遍的一种攻击方式，其全称是特洛伊木马，它是一 种后门程序，基于远程控制技术。这种后门程序的隐秘性非常强，木马程序的仞衷是为 了方便对远程计算机的控制，随着相关技术的公布，它逐渐成为黑客获取信息情报的重 要手段。木马程序常常将自己伪装成合法的程序，一旦用户收到入侵，就很难察觉，在 不知不觉中就受到了躲藏在暗处黑客的侵害。 另外，木马程序入侵相关主机对象后，非常擅于自我保护，如果黑客不予以“操纵”， 它不会主动对其他的目标进行感染。一般，木马程序都具有很强的隐藏能力。 2 2 2 病毒入侵技术 计算机病毒是在计算机程序软件中植入人工编制的恶意的程序或指令，通过这些指 令来破坏计算机运行或破坏、窃取信息数据，影响计算机j 下常工作使用，在一定情况下 还能够实现自我繁殖和复制，有寄生能力，严重时会导致计算机瘫痪。和木马程序相比， 病毒具有更大的破坏能力，一旦病毒入侵了某台计算机，它就会将自己“潜伏”在计算 机的内存里面，一旦受到启动的指令，就会疯狂地对计算机罩面的文件和重要数据进行 感染，甚至彻底销毁这些重要信息。病毒的破坏往往是不可逆的，一旦遭到病毒的破坏， 就难以恢复到常念。而且病毒还具有巨大的感染性，它会将和本台计算机相连的网络设 备和主机等都进行感染。尤其随着现在黑客技术的进步，有些黑客将病毒技术联合了木 马程序来实施攻击，这对相关部分都产生了巨大威胁。 2 2 3 网络入侵攻击 所谓网络入侵，是指具有熟练的编写与调试计算机程序的技巧，通过这些技巧来非 法获得未授权的网络或文件访问，入侵进入它方内部网络的行为。这种入侵会造成很严 重的后果，虽然其目的大多是为了获取目标主机中的访问及写权限，但是如果目标主机 沦为网络入侵者的跳板，其后果将非常严重。比如，网络入侵者可以利用沦为跳板的主 机对其他主机进行病毒感染或者木马入侵。 网络入侵的形式是多种多样的，且对其预防的难度也是非常大的。且入侵者往往具 有难以预料的目标，预防难以找到有效的针对性。 2 2 4 拒绝服务攻击 拒绝服务攻击所带来的危害也是巨大的，严重者甚至会造成整个校园网络瘫痪。例 如当前经常发生的d o s 攻击或者d d o s 攻击。众所周知，校园网一般只有一个外网i p 7 校i 刊h 奠令防护系统的设汁t j 。吠j 见 和外界网络进行连接，几乎所有的内部计算机终端都要经过这个外网i p 与外界进行交 流。如果攻击者制造出大量垃圾数据包与这个i p 进行交流，就会造成网络掉线，甚至 瘫痪刚。 由于这种攻击非常常见，而且操作技术层面要求不高，所以其破坏力是非常大的。 同样，这种攻击的来源不仅有来自外网的攻击，内网的人员也同样有可能实施攻击。 2 3 校园网安全防范关键技术 作为预防校园网络安全的重点部分，对相关的关键技术要予以重视。防范校园网网 络攻击的关键技术，目前主要有对访问者的身份控制和验证，病毒的隔离和检测，数据 加密技术等许多方面。下文将详细介绍几种应用较为广泛的校园网安全方法的关键技 术： 2 3 1 防火墙技术 防火墙技术是目前校园网网络安全中应用最为广泛的一种网络安全技术。当前应用 的防火墙主要有三种类型，即代理服务器型，全状态包过滤型，包过滤型。在下文本系 统中使用的是一种基于包过滤技术的分布式新型防火墙引。 防火墙，顾名思义，它在网络安全中主要起到一个隔离的作用，也即是它具有访问 控制的特性。它在外界和内部网络形成一种安全监测系统，所有内外交流的数据都要经 过防火墙的检测，一旦发现不安全的数据时，即禁止其流入。由于防火墙的这种特性， 且使用简便，因此，对其的应用技术也越来越成熟。 防火墙可以允许和禁止特定数据包的通过，并对所有事件进行监控和记录，使内部 网络既能对外正常提供w e b 访问、v o d 点播服务、f t p 下载等服务，又能保护内部网 络不被恶意者攻击。为了更好地实现其对校园网网络安全的保护，可以对当前应用广泛 的各种防火墙进行研究。 2 3 2 入侵检测技术 防火墙固然应用起来非常方便，但是还是存在很多不足，比如防火墙的动态性能较 差，不能很好地实现对数据的动态监测。因此，一种基于智能和动态分析为基础的入侵 检测技术系统开始崭露头角，且其目前也得到了逐渐广泛的应用。鉴于两者的各自优点， 本文对安全防护系统的设计中，就采用了二者的相互结合来保护网络。 入侵检测系统是一种积极主动的网络安全防护系统，它可以对在内部和外部检测出 来的攻击信息进行主动反应，以实现实时保护啪1 。目前，经过市场的份额调查，入侵检 测产品在市场中已经占有了近3 0 的份额。 正如上述分析，入侵检测系统不仅可以检测来自外界的攻击，对内部的攻击同样可 以进行检测。在本系统中应用i d s 入侵检测系统与防火墙的联动机制，可以有效地防范 r af 2 莩9 f 】亨! 卜r 论乏 量曼曼曼曼曼曼曼曼! ! ! ! ! 曼曼曼曼曼曼曼曼曼曼曼i ii i i 一一 一一i 一一= i i 曼曼曼! ! ! ! 曼 来自互联网的大多数威胁，极大地提高了校园网的安全性能。它在弥补防火墙的静念不 足方面有着无可替代的作用，当外界有攻击时，i d s 入侵检测系统就首先对其进行检测， 并提取检测信息，并将信息交给防火墙，再由防火墙对其做下一步的动作，比如隔离、 断开或者控制。另外，i d s 入侵检测系统还可以有效防范内部攻击，当其检测出内部攻 击时，会马上向网络管理员进行报警，再由相关管理人员进行内部人员的行为进行处理 和责任追究比1 | 。 2 3 3 信息加密技术 信息加密是当前应用比较热门的一种技术，其原理就是对信息的二次加工，使得攻 击者即使窃取到信息也很难破解到信息的真实成分。如果想获取信息的真实成分，就需 要获取解密信息才可以进行，这往往只有收发双方才可以完成，因此，其保密性是无可 替代的心副。 将信息加密技术和相关的防范技术进行有效结合，可以取得良好的效果。虽然防火 墙、入侵检测系统等相关技术的应用十分成熟，仍不可排除信息泄露的可能性，因此， 信息加密还是作为一种基础的保密措施进行应用。尤其当校园中传输比较敏感的数据 时，更需要信息加密技术进行安全的保卫。 2 3 4 预防病毒技术 在上文中已经探讨，病毒对于校园网的安全，有时候甚至是毁灭性的，因此，对病 毒的防护时刻不可以放松。对病毒的预防需从各种终端的系统本身做起，首先是各个服 务器主机的系统安全性能要重点加强心引。当然，预防工作的基础是需要建立和完善相关 的管理措施。 作为计算机信息系统中一个很大的安全隐患，病毒常常给校园网网络带来非常大的 灾难。尤其是现今网络的开放特性，更加强了其传播的活跃程度，比如许多病毒可以通 过电子邮件进行传播，使得广大网民在感受网络便利的同时，也领略到了病毒的杀伤力。 当然，对病毒的预防，也不能仅仅依靠某台终端的系统性能加固，这需要有一个立 体的计划，及时检查和清除存留在各个终端的潜藏病毒，这些可以通过建立校园网络防 控病毒的专门系统来实现比引。 2 3 5 身份认证技术 许多校园网络安全事件都是由于非授权用户的侵入造成的，因此，加强对用户的身 份认证就显得尤为必要。通过身份认证技术，阻止非授权用户的进入和对内部网络相关 资源和信息的访问，这样，可以有效降低网络安全的风险。 目前，身份认证技术主要应用在对用户的用户名和口令的认证，是否有访问文件权 9 拨f 刊m 霞令防护系统的设汁j 实现 限方面米实现的引。另外一个和身份认证技术相对应的就是内容审计技术，这一项主要 是针对合法用户的。如果合法用户在通过认证后，其上网行为产生了不安全的内容，就 要通过内容审计技术对其进行实时监测。 2 3 6 其他技术 以上几种技术是本文设计的某高校校园网安全防护系统中所主要考虑的技术。另外 还有诸如操作系统身份验证、网络安全漏洞扫描技术、v p n 技术和i p 地址绑定技术等相 关的网络安全防范技术心引。例如操作系统身份验证主要是为了防止校园网内各种数据库 系统的泄露等，这些技术在早期基本已投入运用于校园网安全防范方面，此后也可作为 主要的辅助手段加以运用，在此便不再一赘述。 2 4 本章小结 本章主要介绍了校园网建设、当前针对校园网的主要安全威胁、校园网安全防护几 种关键技术。深入探讨了当前校园网所面临的诸如木马入侵、病毒入侵和网络入侵、拒 绝服务等几种安全威胁，并有针对性的介绍了几种关键技术。重点对防火墙技术，入侵 检测技术和信息加密技术等进行了详细分析。本章是校园网安全防护系统设计的基础部 分。 l o 膏，校教! j ! i 。位论艾 第3 章校园网安全现状及防护系统分析 3 1 校园网安全问题分析 3 1 1 校园网现状及特点 随着教育信息化的逐步推进，各所学校都建设了自己的校园网，而且校园网在各所 学校发挥着无可取代的重要作用，成为学校教育和科研的重要基础设施，承担着非常重 要的作用心引。另外，随着国家和学校对数字化校园建设资金投入力度的加大，校园网也 迎来了飞速发展的契机。 众所周知，校园网的安全直接影响到学校正常的教学管理秩序，对其安全防护具有 重要意义。同时，校园网和其他的商业和政府的区域网络安全不同，它具有本身存在的 一些特点： ( 1 ) 人员构成 校园网的主要使用群体是学生，而学生又往往是校园网威胁最大的潜在因素。学生 往往是校园网中最活跃的群体，而且对网络中各种新兴技术充满好奇，接受和学习能力 强，乐于大胆尝试。同时，还有诸如教师、管理人员和校外人员，这些人员的来源复 杂，对其管理有较大难度。 ( 2 ) 网络结构 目前大部分的校园网都采用三层结构建设，分别为汇聚层、核心层和接入层。通过 对当前大部分的校园网进行分析，许多校园网的接入方式复杂，并存有宽带共享、拨号 上网、无线接入等多种上网接入方式，另外校园的出口也呈现复杂化，这种情况使得校 园网管理人员在面对更加复杂的网络环境时显得无从下手啪3 。 ( 3 ) 应用系统 随着校园网的用途越来越广泛，基于其开发出来的应用系统也迅猛增加。而这些增 加的应用系统，由于其安全考虑不完善势必为校园网的安全带来许多隐患，比如电子邮 件系统、网络办公系统、校园一卡通系统和在线教学系统等。 ( 4 ) 资金投入 “重技术、轻安全、轻管理”是当前校园网安全建设和发展的最大弊端。这种对安 全意识的缺少，使得网络安全的投入一直得不到重视。另外。资金的投入还体现在软实 力上，往往一个网络管理人员要负责许多工作，为了维护校园稳定和谐而投入大量精力， 显得越来越力不从心。 ( 5 ) 网络环境开放。 校园网相对来说是一种开放的、宽松的网络环境。企业网管理较为严格，可以对员 工的w e b 浏览和电子邮件等行为进行限制，但是在校园网环境下往往找不到合理有效的 饺旧i - j 。奠令防护系统的设汁j 爻观 途径和办法。 3 1 2 校园网面临的主要攻击形式 t c p i p 网络模型具有五层，分别为：物理层、数据链路层、网络层、传输层、应用 层。校园网作为一个规模较大的区域网络，各个层次都不可避免有相关安全问题的产生。 ( 1 ) 物理层 物理层的安全是非常重要的，一旦攻击者拥有了对设备的控制权力，他们就可以通 过对设备的控制来破坏其他的防范系统。这一部分经常出现的问题有设备、环境和线路 安全，另外还有容灾备份等。物理层是整个校园网的基础，因此要提起重视。 ( 2 ) 数据链路层 数据链路层上最常见的攻击手段是数据监听。校园网一般采用以太网技术进行组 网，在以太网中同一广播域的主机，都可以监听网络上所传输的信息。攻击者可以通过 接入以太网上的任一节点，捕获以太网上传输的数据包，窃取信息。在数据链路层中， 还存在着许多基于协议漏洞的攻击，如a r p 欺骗、m a c 地址泛洪攻击等。这些攻击方 式会对网络安全产生严重的威胁。 ( 3 ) 网络层 网络层是t c p i p 协议模型的核心，在网络层运行着许多协议，由于初期设计时没 有考虑到安全方面的问题，这些协议大都存在着安全隐患和各种漏洞。攻击者利用这些 协议在安全性方面的不足进行攻击，主要的攻击方式有i c m p 重定向攻击、针对b g p 、 o s p f 等路由协议的攻击、i p 欺骗攻击等。 ( 4 ) 传输层 传输层面i 临的问题主要是大量的针对t c p 、u d p 协议的攻击。针对t c p 主要是利 用t c p 的三次握手机制，而针对u d p 的攻击主要是进行流量攻击，利用u d p 通信的 不可靠性以达到拒绝服务的目的。 ( 5 ) 应用层 应用层面临的问题主要是针对应用程序的设计漏洞进行的攻击。如对应用协议漏洞 的攻击、对系统漏洞的攻击、对操作系统平台的攻击等。由t c p i p 各个层次的安全问 题可以看出，校园网络从基础协议到高层应用都存在着大量的安全隐患，攻击者可以利 用这些隐患从网络的各个层次发起攻击，破坏网络的正常运行。面对分布广泛的安全问 题，多层次、全方位、系统化的网络安全保证体系势在必行m 1 。 3 2 校园网安全防护系统分析 因为网络软、硬件都可能存在安全漏洞，不可能十全十美，各种威胁的存在，使得 网络安全事件频繁发生，要想使网络尽可能的安全可靠，损失尽可能小，这就必须利用 其他手段来维护这个网络系统，即依据一定的安全策略建立一个网络安全防护体系。 1 2 l 岛校敦i j i f j j 学f o 沦史 ! i i i i i_ i 曼! 曼曼曼曼! 曼! 曼! 曼! 曼曼曼! ! 曼曼曼曼! 曼曼曼! 曼! 曼曼 3 2 1 系统设计开发的出发点 建立安全网络基础信息库不仅仅为网络管理人员提供网络的完整的可应用的信息， 最终目的还是让校园网网络管理人员方便地管理网络。因此基于网络的基础信息库不能 建设成单一的信息资源存放的空间，必须同时建立数据库资源和使用者之间的时效关 联，即使用者能方便地利用网络资源和管理其资源内容。建立面向网络管理人员的网络 安全管理综合交互系统。川。网络安全管理系统针对不同的网络管理人员提供不同的服务 应用功能，同时让使用者方便使用网络资源库，管理效果真丁f 体现。其关系如图3 1 所 示。 操作 网络管网络安全管理系统 理人员 图3 1 网络安全管理系统交互示意图 虽然已有越来越多的高校开始关注网络的安全管理，但是由于对网络管理意识不 强、自身技术人员对网