（计算机应用技术专业论文）网络安全技术在校园网中应用研究.pdf

中文摘要 近几年来，校园网的发展可以用突飞猛进来形容。校园网作为开放式网络在 加快校园信息化的同时，也带来了新的挑战，网络安全成为了校园网建设与使用 过程中不可避免的问题。本文就从校园网络安全系统的构建出发，系统的阐述了 该系统构建可能应用到的网络安全技术，同时对这些技术进行系统深入的分析； 指出防火墙技术与入侵检测技术实行联动是校园网络安全系统经常使用技术；同 时本文从基本概念、体系结构等方面对网络安全的协议进行了较深入的分析，详 细地讨论了涉及网络层与传输层的i p s e c 协议和s s l 安全协议。最后简单的介绍 了在电子商务中常用到的s e t 协议。 本文所做的主要工作是综合对各种网络安全技术以及网络安全协议的分析， 以我校网络安全系统的构建为例，按照网络安全系统设计的原则和步骤，把对这 些技术以及协议的分析应用到实际中，提出我校网络安全系统构建的方案，对我 校网络安全系统的具体设计和实现过程进行论述。同时对这些网络安全技术在应 用过程中进行初步的测试，并且对测试结果进行分析和比较，指出在我校的网络 安全系统中应用这些技术的好处和不足，并且针对不足点又提出了一些改进的方 案。 关键词：校园网，网络安全，防火墙，入侵检测，安全协议 a b s t i 淑t i nr e c e n ty e a r s ，t h ee x t e n s i o no ft h ec a m p u sn e t w o r ki ss of a s t i tw o u l db r i n g s o m en e wc h a l l e n g ea st h es a m et i m ea sao p e n i n gn e t w o r kt h a tm a k ec a m p u s s i n f o r m a t i o nd e v e l o p ，t h es e c u r i t yo ft h ep r o b l e mc o u l dn o tb ei g n o r e di nt h ec o u r s eo f b u i l d i n ga n du s i n go f t h ec a m p u sn e t w o r k m yp a p e ri ss e tf r o mt h eb a s i co fc a m p u s n e t w o r k , t h a ti se x p l a i n e dt h es e c u r i t yo ft h en e t w o r k i ti sa b o u tt h ed e e pa n a l y s i so f t h e s et e c h n o l o g y , w h i c he x p l a i nt h ec o m b i n a t i o no ff i r e w a l lt e c h n o l b g ya n di d si s t h er e g u l a rw a yf o rc a m p u sn e t w o r k ；a n da tt h es a m et i m e ，i ti sa b o u tt h ed e e p a n a l y s i so ft h en e t w o r ks e c u r i t yf r o mt h eb a s i ck n o w l e d g ea n dv a r i o u ss y s t e m s ， t h e r e sad e t a i l e ds t u d yo fi p s e ca n ds s la b o u tn e t w o r kl e v e la n dt r a n s p o r tl e v e l , a n d t h er e g u l a rp r o t o c o li ne l e c t r o nc o m m e r c e t h em a i nw o r kf o rt h ep a p e ri st h ea n a l y s i so fv a r i o u st h et e c h n o l o g ya n d p r o t o c o lo fn e t w o r k s e c u r i t y , b a s e d0 1 1t h ev a r i o u sa n a l y s i so nn e t w o r ks e c u r i t y t e c h n o l o g ya n dp r o t o c o l ，m a k i n gt h ee x a m p l eo fm ys c h o o l sn e t w o r ks e c u r i t yo u t ， s u g g e s tt h ep r o g r a mm ys c h o o l sn e t w o r ks e c u r i t ys y s t e ma c c o r d i n gt ot h ep r i n c i p l e a n ds t e po ft h en e t w o r ks e c u r i t ya n dp u tt h e s et e c h n o l o g ya n dt h ea n a l y s i so fp r o t o c o l i nr e a l i t y t h e r ei ss o m ed i s c u s s i o na b o u tt h ec o n c r e t ed e s i g na n dw o r k i n gp r o c e s so f m ys c h o o l sn e t w o r ks e c u r i t y a n da tt h es a m et i m em a k i n gt h ep r i m a r y t e s t a m e n to f t h en e t w o r ks e c u r i t yt e c h n o l o g yi nw o r k i n gp r o c e s s ，a n a l y z i n ga n dc o m p a r i n gt h e t e s t i n gr e s u l t ，t h e ns h o w i n g t h ea d v a n t a g ea n ds h o r t c o m i n ga n dt h em e n dp r o g r a m k e yw o r d s ：c a m p u sn e t w o r k , n e t w o r ks e c u r i t y , i n t r u s i o nd e t e c t i o n ，f i r e w a l l ，s e c u r i t y p r o t o c o l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得苤鲞盘堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：签字日期： o 年，月f 日 学位论文版权使用授权书 本学位论文作者完全了解鑫盗盘鲎有关保留、使用学位论文的规定。 特授权苤盗苤堂可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 签字日期：j o 年，月of 日 导师躲嘞事 签字醐哆夕钉肜旧 第一章绪论 第一章绪论 1 1 计算机网络的发展及其安全问题 近年来，计算机网络获得飞速的发展，尤其是因特网的迅速发 展正在把一个世界连接成一个整体。网络安全问题向社会的各个领 域扩展，人们需要保护信息，使其在存储、处理或传输过程中不被 非法访问或删改，以确保自己的利益不受损害。网络的安全性和网 络的可用性、可靠性以及网络的性能一样，成为网络建设和使用过 程中不可忽视的问题，构建一个完整的计算机网络安全体系刻不容 缓。 1 2 当前网络安全现状 1 2 1 国外网络安全现状 目前在网络信息安全技术处于领先的国家主要是美国、法国、 以色列、英国、丹麦、瑞士等，一方面这些国家在技术上特别是在 芯片技术上有着一定的历史沉积，另一方面在这些国家的信息安全 技术的应用上起步较早，应用比较广泛。他们的领先优势主要集中 在防火墙、入侵监测、漏洞扫描、防杀毒、身份认证等传统的安全 产品上。“9 1 1 以后国际网络安全学术研究受到国际大气候的影 响，围绕“反恐”的主题展开了太多的工作，但工作的重心是以防 止外部黑客攻击为主。实际上“恐怖分子”大多是在取得合法的身 份以后再实施恶性攻击和破坏的。审计监控体系正是以取得权限进 入网络的人的操作行为都是不可信任的为前提假设，对所有内部入 的操作行为进行记录、挖掘、分析从而获得有价值信息的一套安全 管理体系。目前在国际上具有领先地位。 1 2 2 我国网络安全现状 尽管我国的网络信息安全技术研究与产业规模在过去几年中 获得了飞跃，但由于发展时间短，需求变化大，响应要求快等原因， 致使我国的网络信息安全产业整体布局缺乏顶层设计，没有形成布 第一章绪论 局合理的、体系化的信息安全产业链。目前我国网络安全的现状和 面临的主要威胁是： ( 1 ) 缺乏自主的计算机网络核心技术和软件。 ( 2 ) 信息安全的意识上还很浅薄。 ( 3 ) 不少有网络运行的单位没有建立相应的网络安全防范机 制，关于网络犯罪的法律还不健全。 ( 4 ) 缺乏网络安全管理的人才，无法适应网络的飞速发展。 1 3校园网络建设及其安全问题 1 3 1 校园网络建设概述 随着计算机网络的普及和发展，人类社会对计算机网络的依赖 程度日渐加深。为了改善教育技术和网络教育应用的环境，革新现 有的教学手段、教学方法和教学模式，推动了信息技术和现代远程 教育的发展，校园网络的建设是非常必要的，也是可行的。为此， 世界各国政府都对教育的发展给予前所未有的关注，把信息化教育 放到重要的位置上，纷纷提出了本国的信息化教育规划。19 9 9 年 9 月，我国教育部决定正式启动国家现代远程教育工程，清华大学、 浙江大学、北京邮电大学、湖南大学等高校获准进行试点。到目前 为止，我国的高校几乎全部建立了校园网，在这些校园网已经建立 的高校中，大部分学校的主干带宽已经达到千兆，甚至有的学校达 到了万兆。随着校园网络的规模不断扩大，如何保证校园网正常、 高效而且安全的运行成为所有学校必须面临的问题。 1 3 2 校园网络安全问题 由于校园网络内运行多种网络协议，而这些网络协议并非专为 安全通讯而设计t 。所以，校园网络可能存在的安全威胁主要来自以 下方面： ( 1 )操作系统的安全性，目前流行的许多操作系统均存在网 络安全漏洞，如u n i x 服务器，n t 服务器及w i n d o w s 桌面p c ； ( 2 ) 防火墙的安全性，防火墙产品自身是否安全，是否设置错 误，需要经过检验； ( 3 ) 来自内部网用户的安全威胁： ( 4 ) 缺乏有效的手段监视、评估网络系统的安全性； 第一章绪论 ( 5 ) 采用的t c p i p 协议族软件，本身缺乏安全性； ( 6 ) 未能对来自in te r n e t 中夹带的病毒及w e b 浏览可能存在 的恶意j a v a a c t i v e x 控件进行有效控制。 ( 7 ) 应用服务的安全，许多应用服务系统在访问控制及安全通 讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。 ( 8 ) 黄色、暴力、邪教等不良信息在校园网内时有发现 针对校园网中可能出现的安全问题，建立一个全面、多层次的 网络安全系统是相当重要的。 1 4 论文的主要内容 本文以我校校园网络安全系统的构建为实例，对校园网络可能使 用的网络安全技术进行了深入的分析与探讨。该论文共分为7 个章 节，各章节的主要内容为： 第l 章，阐述了计算机网络安全问题是计算机网络发展过程中 不可避免的问题，同时分析了校园网络可能面临的网络威胁。 第2 章，对网络信息的安全进行了概述。从网络安全的定义引 出网络安全涉及到的五层体系结构，并分析可能影响网络安全的几 种重要因素和面临的攻击方式。同时对网络安全系统设计过程中可 能使用到的几种关键技术和各个层次中的安全协议进行分析。 第3 章，以我校的校园网络的为例，结合所讨论的网络安全系 统构建的方法、步骤和技术，根据我校网络安全的需求分析，对各 种技术进行了分析和比较，提出了我校网络安全系统的设计方案。 第4 章，介绍我校网络安全系统具体实现过程，并对其在运行 过程中进行测试。对测试的结果进行对比分析。 第5 章，对全文进行总结，同时对校园网络安全技术的发展提 出了展望。 1 5 本文所做的工作 本文所做的主要工作是： 1 综合应用对网络安全技术和安全协议的分析结果，针对我校 网络安全系统的需求，提出适合于我校网络安全系统的体系结构， 并且对该系统的具体设计和实现过程进行论述。 2 对这些网络安全技术在应用中进行了初步测试，对测试结果 第一章绪论 进行分析，指出在我校的网络安全系统中应用这些技术的好处和不 足，通过图表的形式将分析和比较的结果进行显示，并且针对不足 点又提出了一些改进的方案。 3 对全文进行了总结，并且提出了展望，在展望中提出了在建 立网络安全系统的过程中，网络安全技术和网络管理二者要并重， 缺一不可。同时介绍了几种新的网络安全接入技术，为今后网络安 全系统的构建提供了更多网络安全技术的选择。 第二章网络信息安全概述 第二章网络信息安全概述 2 1 网络安全概述 网络安全从本质上讲就是网络上的信息安全。网络信息安全发 展的过程，一般分为3 个，阶段，即通信安全、计算机安全和网络安 全。网络信息安全是在分布网络环境中，对信息载体( 处理载体、 存储载体、传输载体) 和信息的处理、传输、存储、访问提供安全 保护，以防止数据、信息内容或能力被非授权使用、篡改和拒绝服 务纠。 2 1 1 网络安全的定义 网络安全是指采取各种措施，保证网络信息的保密性、完整性、 网络服务的可用性、可控性和可审查性。 保密性：保证只有被授权的用户可以访问网络数据，避免网络 数据遭受到非法授权操作的破坏。 完整性：保证只有被授权的用户可以修改网络数据，确保网络 数据的正确性、完整性。 可用性：保证授权用户通过网络能够及时获取所需的可用信 息。 可控性：可以控制授权范围内的信息流向及行为方式。 可审查性：确保网络发生的所有与安全有关的事件都有案可 查。 2 1 2 网络安全的五层体系 国际标准化组织( i s o ) 在开放式系统互连标准( o si ) 中定义 了七个层次的网络参考模型，它们分别是物理层、数据链路层、网 络层、传输层、会话层、表示层和应用层。各个层次之间是相互依 靠，相互服务的，从而网络安全问题也是贯穿于整个七个层次的。 国际著名网络安全研究公司h u r w it zg r o u p 得出以下结论：在 考虑网络安全问题的过程中，应该主要考虑以下5 个方面的问题： 网络层安全、系统层安全、用户安全、应用程序安全、数据链路层 第二章网络信息安全概述 安全引。 网络层安全问题：其核心在于网络是否得到控制，是否任何一 个地址源的用户都能够访问网络。网络层的另一个安全问题是网络 产品自身的安全性。 系统层安全问题：主要是操作系统的防病毒、入侵检测等。 用户层安全问题：主要是来自网络内部用户的安全威胁。包括 用户组和组的管理、认证等。 应用层安全问题：主要是各种应用软件都隐含了很多安全漏 洞，主要通过安装补丁程序或通过端口设置，堵住漏洞。 数据链路层安全问题：主要是解决数据的完整性和可用性。对 应用层的数据进行加密。 2 2 影响网络信息安全的主要因素 随着计算机网络技术的不断发展，网络信息安全问题也就越来 越多样化，要避免网络信息安全问题，首先必须清楚触发这一问题 的因素。影响网络安全的因素很多，既有自然因素，也有人为因素， 归结起来目前对网络系统安全产生威胁的因素主要表现在以下几 个方面。：( 1 ) 自身失误；( 2 ) 恶意访问；( 3 ) 信息泄密；( 4 ) 服务干扰；( 5 ) 病毒传播；( 。6 ) 固有缺陷；( 7 ) 线路质量。 2 3 网络信息安全面临的常见攻击方式 在网络这个不断更新换代的世界里，网络中的安全漏洞无处不 在。即使旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络 攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。 目前常见的网络攻击方法有”。：( 1 ) 扫描攻击( s c a n ) ；( 2 ) 口令 入侵；( 3 ) 放置特洛伊木马程序；( 4 ) w w w 欺骗技术；( 5 ) 电子邮 件攻击；( 6 ) 网络监听( s n i f f e r ) ；( 7 ) 安全漏洞攻击；( 8 ) 拒绝 服务( d o s ) 攻击；( 9 ) 缓冲区溢出；( 10 ) 计算机病毒。 2 4 网络安全技术及安全协议 针对可能影响网络安全的主要因素，与可能面临的网络攻击， 为了维护网络信息的安全，构建一个完整的网络安全系统，会涉及 第二章网络信息安全概述 到各种网络安全技术的应用。这些网络安全技术，主要目标是为维 护两个层面的安全：一个是信息自身安全的信息层面，另一个是信 息载体安全运行的网络层面。此外，为保障网络系统的安全性，几 乎网络中的每个层次都制定安全协议，其中使用比较广泛的协议包 括i p s e c 协议、s s l 协议和s e t 协议等。下面就对几种网络安全技 术和网络安全协议进行介绍。 2 4 1 网络安全技术 2 4 1 1 数据加密技术 数据加密技术实质上是对以符号为基础的数据进行移位和置 换的变换算法，这种变换称为密钥的符号串控制，加密和解密算法 通常是在密钥控制下进行的旧。数据加密技术比较灵活，主要针 对动态信息的保护，适用于开放网络。面对无从知晓的被动攻击， 经常可以采用数据加密技术来避免。 数据加密技术密码体制有对称密钥密码技术和非对称密钥密 码技术。 1 对称密钥密码技术 对称密钥密码技术要求加密解密双方拥有相同的密钥，加密方 和解密方都要掌握密钥才能够完成加、解密过程。在对称密钥密码 技术中，最具代表性的就是美国的d e s ( 数据加密标准) 和i d e a ( 国际数据加密算法) 。 d e s 主要采用替换和移位的方法加密。主要应用在计算机网络 通信、电子资金传输系统、保护用户文件、用户识别等。 国际数据加密算法( i d e a ) 是在d e s 算法的基础上发展出来的， 类似于三重d e s 加密。i d e a 算法即可用于加密，也可用于解密。 2 非对称密钥密码技术 非对称密钥算法也称公钥加密算法，用两对密钥：一个公共密 钥和一个专用密钥。用户要保障专用密钥的安全；公共密钥则可以 发布出去。公共密钥与专用密钥有着紧密的关系，用公共密钥加密 的信息只能用专用密钥解密。除加密功能外，公钥系统还可以提供 数字签名。公共密钥加密算法使用最广泛的是r s a 算法。 r s a 是由麻省理工学院的r iv e s t 、以色列魏茨中心的s h a m i r 和南加州大学的a d el m a n 三人在19 7 8 年提出的一种用数论构造的， 也是迄今为止理论上最为成熟完善的公钥密码技术。 第二章网络信息安全概述 r s a 与d e s ，它们的优缺点正好互补。r s a 的密钥很长，加密 速度慢，而采用d e s ，正好弥补了r s a 的缺点。即d e s 用于明文 加密，r s a 用于d e s 密钥的加密。由于d e s 加密速度快，适合加 密较长的报文；而r s a 可解决d e s 密钥分配的问题。 2 4 1 2 身份认证技术 身份认证是指可靠地验证某个通信参与方的身份是否与他所 声称的分身一致的过程，是建立安全通信的前提条件，只有通信双 方相互确认对方身份后才能通过加密等手段建立安全信道。 1 数字签名 数字签名就是只有信息发送者使用公开密钥算法的主要技术 产生的别人无法伪造的一段数字串。发送者用自己的私有密钥加密 数据传给接收者，接收者用发送者的公钥解开数据后，就可确定消 息来自于谁，同时也是对发送者所发送信息真实性的一个验证。数 字签名技术是实现交易安全的核心技术之一 2 数字证书 数字证书( d ig it a li d ) 又叫“数字身份证一、“网络身份证”， 是由认证中心( c e r ti f ic a tio na u t h o r it y ，c a ) 发放并经认证中 心数字签名的，包含公开密钥拥有者及公开密钥相关信息的一种电 子文件，可以用来证明数字证书持有者的真实身份。数字证书采用 公钥体制，即利用一对相互匹配的密钥进行加密、解密。在电子商 务交易过程中广泛的使用数字证书。 2 4 1 3 防火墙技术 防火墙( f ir e w a l l ) 技术是针对信息载体安全运行的网络层面 的网络安全技术。防火墙是建立在内外网络边界上的过滤封锁机 制，是目前网络系统实现网络安全策略应用最广泛的工具之一。 i 防火墙种类 根据防火墙所采用的技术，总体上可以分为数据包过滤防火 墙、应用网关防火墙、代理型防火墙三大类型。 ( 1 ) 数据包过滤防火墙 数据包过滤( p a c k e tf i1t e r in g ) 是在网络层中对数据包实施 有选择的通过，依据系统事先设定好的过滤逻辑，检查数据流中的 每个数据包，根据数据包的源地址、目标地址、以及包所使用端口 确定是否允许该类数据包通过。这种防火墙速度快而且易于维护， 第二章网络信息安全概述 通常作为第一道防线。 ( 2 ) 应用网关防火墙 应用级网关( a p p lic a tio i ll e v e lg a t e w a y s ) 是在网络应用层上 建立协议过滤和转发功能。针对特定的网络应用服务协议使用指定 的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登 记和统计，形成报告。实际中的应用网关通常安装在专用工作站上。 ( 3 ) 代理型防火墙 代理服务( p r o x ys e r vic e ) 也称链路级网关或t c p 通道 ( c ir c u itl e v elg a te w a y so rt c pt u n n els ) ，也有人将它归于应 用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而 引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分 为两段。 2 防火墙中关键技术 ( 1 ) 包过滤技术 包过滤技术是防火墙在网络层中根据数据包中包头信息实施 有选择地允许通过或阻断。其核心安全策略是过滤规则的设计。、 ( 2 ) 应用网关技术 应用网关( a p p lic a tio ng a t e w a y ) 技术不使用通用目标机制 来允许各种不同种类的通信，而是针对每个应用使用专用目的的处 理方法。它是建立在应用层上的协议过滤，针对的是特别网络应用 服务协议，能够对数据包分析并形成相关的报告。实际中的应用网 关通常安装在专用工作站上。 ( 3 ) 状态检测技术 状态检测( s t a t e f u lin s p e c tio n ) 是一种在网络层实现防火 墙功能的技术。它采用一个在网关上执行网络安全策略的软件引 擎，即检测模块。模块在不影响网络正常工作的前提下，在网络通 信的各层抽取状态信息，实施监测。状态检测防火墙应用非常广泛。 ( 4 ) 电路级网关技术 电路级网关也被称为线路级网关，它工作在会话层。它在两个 主机首次建立t c p 连接时创立一个电子屏障。它监视两个主机建立 连接时的握手信息，如s y n 、a c k 等标志和序列号等是否合乎逻辑， 判定该会话请求是否合法。电路级网关的防火墙安全性比较高，但 它仍然不能检查应用层的数据包以消除应用层攻击的威胁。 ( 5 ) 代理服务器技术 第二章网络信息安全概述 代理服务器( p r o x ys e r v e r ) 工作在应用层，它用来提供应用 层的服务控制，起到内部网络向外部网络申请服务时中间转接作 用。内部网络只接受代理提出的服务请求，拒绝外部网络其他节点 的直接请求。代理服务器是运行在防火墙主机的专门的应用程序或 者服务器程序。 2 4 1 4 网络入侵检测技术 入侵检测系统( i d s i n t r u s i o nd e t e c t i o ns y s t e m ) 是网络 安全系统中不可缺少的部分，它对防火墙系统中的不足之处的有很 大弥补作用，可以弥补防火墙相对静态防御的不足。 1 入侵检测系统基本结构 通用入侵检测框架( c i d f c o m m o ni n t r u sio nd e te c tio n f r a m e w o r k ) 阐述一个入侵检测系统的通用模型，它将一个完整的 入侵检测系统分为以下组件：事件产生器、事件分析器、响应单元 和事件数据库。入侵检测系统通用模型如图2 1 所示。 图2 1 入侵检测系统通用模型 2 入侵检测系统分类 根据入侵检测系统的检测对象和工作方式不同，入侵检测系统 主要分为两大类：基于主机的入侵检测系统和基于网络的入侵检测 系统。除这两类以外，入侵检测系统还存在基于内核的高性能入侵 检测系统和两大类相结合的入侵检测系统等，这些类别是两个主要 类别的引申和综合。 ( 1 ) 基于主机的入侵检测系统( h i d s ) ：基于主机的入侵检测 系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保 第二章网络信息安全概述 护的主机上。 ( 2 ) 基于网络的入侵检测系统( n i d s ) ：基于网络的入侵检测 系统通常是作为一个独立的个体放置于被保护的网络上，它使用原 始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网 络适配器来实时监视和分析所有通过网络进行传输的通信。 ( 3 ) 基于内核的入侵检测系统：基于内核的入侵检测系统是 一种较新的技术，它经常在li n u x 上使用。在l i n u x 上目前可用的 基于内核的入侵检测系统主要有两种：它们是o p e n w a ll 和l i d s 。 这些系统采取措施防止缓冲区溢出，增加文件系统的保护，封闭系 统，从而使得入侵者破坏系统更加困难。 ( 4 ) 分布式的入侵检测系统：目前入侵检测系统一般采用集 中式模式，在被保护网络的各个网段中分别放置检测器进行数据包 收集和分析，各个检测器将检测信息传送给中央控制台进行统一处 理，中央控制台还会向各个检测器发送命令。这种模式的缺点是对 于在复杂网络上发起的分布式攻击不仅难以及时进行数据分析以 至于无法完成检测任务，入侵检测系统本身所在的主机还可能面临 因为负荷过重而崩溃的危险。对于这种情况，分布式入侵检测系统 需要采用分布式智能代理的结构，由一个或者多个中央智能代理和 大量分布在网络各处的本地代理组成，检测工作通过全部代理相互 协作共同完成。 入侵检测从攻击者的攻击行为模式上可分为误用检测( m is u se d e te c tio n ) 和异常检测( a n o m a l yd e te c tio n ) 叫 3 入侵检测与防火墙实现联动 入侵检测系统( id s ) 与防火墙有很强的互补性，所以在网络 安全系统的设计过程中，入侵检测系统经常与防火墙实现联动。目 前实现入侵检测系统与防火墙之间的互动有两种方式，一种是把入 侵检测系统嵌入到防火墙中，即入侵检测系统的数据不再来源于所 抓的包，而是流经防火墙的数据流。所有通过的数据包不仅要接受 防火墙规则的判断，还要检测是否具有攻击行为。第二种方式是通 过开放接口来实现与防火墙的互动，但由于技术上仍有许多难点没 有突破，因此，与实际应用仍有一定的距离。 在入侵检测系统与防火墙实现联动具体实现中，联动控制客户 机服务器模式通过扩展防火墙功能和i d s 的功能在防火墙中驻留 一个服务器端的程序，在i d s 中驻留一个客户端程序。客户端在发 第二章网络信息安全概述 现攻击行为后产生控制信息。信息一般包括攻击者的i p 地址、端 口、控制类型和时间，以及被攻击主机i p 地址或端口等信息，并 将控制信息传递给服务器端( 防火墙端) ，服务器端接收来自客户 机端( i d s 端) 的控制信息，然后在动态生成防火墙的过滤规则， 最终实现联动。拦截攻击停止后，添加的动态规则超时自动删除。 i d s 与防火墙联动如图2 - 2 所示t i d s 阻止入侵 i 客户机添加规则 服务器 图2 2i d s 与防火墙的联动 防火墙和i d s 的联动主要有两种形式：( 1 ) i d s 管理中心与单 个防火墙间的联动。( 2 ) 单个i d s 主机与单个防火墙之间的联动。 在校园网络安全系统的构建过程中，防火墙技术与i d s 进行联 动，是维护网络安全的一种比较有效的技术。 2 4 1 5 虚拟专用网技术 虚拟专用网技术( v p n - v ir t u a lp r iv a ten e t w o r k ) ，就是借助 于公用网的物理线路，在局域网和局域网之间或者是远程客户与局 域网之间创建数据传输的网络隧道，将传输的数据经过加密封装 后，透过虚拟的公网隧道进行传输。， 1 v p n 的组成 使用各种不同的组件都可以组合v p n 。但是，v p n 都包含有一组 必须的元素，它们可以使数据安全地从一个点传输到另一个点。这 些元素一般包括如下图2 - 3 所示“： 公共网络 图2 - 3v p n 组成图 2 v p n 类型 v p n 连接适用于任何点到点的安全连接需求。典型的v p n 有三 第二章网络信息安全概述 种类型：a c c essv p n ( 远程访问v p n ) 、in t r a n e tv p n ( 企业外部 v p n ) 和e x t r a n e tv p n ( 企业扩展v p n ) 。 ( 1 ) a c c es sv p n a c ce ssv p n 的含义就是移动v p n ，适用于企业内部人员流动频 繁或远程办公情况。 ( 2 ) i n t r a n e tv p n 在进行企业内部异地分支机构的互联，使用i n t r a n e tv p n 是 好的方式，这就是所谓的网关对网关v p n ，它对应于传统的 in t r a n e t 解决方案。 针对某些学校存在多个校区的情况，就可以在多个校区的校园 网之间通过建立i n t r a n e tv p n 实现网络安全通信。 ( 3 ) e x t r a n e tv p n e x t r a n e tv p n 其实也是一种网关对网关的v p n ，与i n t r a n e t 不 同的是它需要在不同的企业内部网络之间组建，需要有不同协议和 设备之间的配合，需要不同的配置。 3 v p n 安全技术 v p n 主要采用四项技术来保证安全，包括密码技术、身份认证 技术( a u t h e n tic a tio n ) 、隧道技术( t u n n e li n g ) 和密钥管理技术 ( k e y m a n a g e m e n t ) 。 在这四项技术中，密码技术是实现v p n 的关键核心技术之一。 身份认证技术是v p n 的功能实现的保证。隧道技术是v p n 的基本技 术，是通过对数据的封装，在公共网络上建立一条数据通道( 隧道) ， 让数据包在这条隧道上传输。隧道是由隧道协议形成的。密钥管理 技术是v p n 的重点技术n3 1 1 钊。 2 4 1 6 访问控制技术 访问控制是网络安全防范和和保护的主要核心策略，它的主要 任务是保证网络资源不被非法使用和访问。访问控制规定了主体对 客体访问的限制，并在身份识别的基础上，根据身份对提出资源访 问的请求加以控制。它是对信息系统资源进行保护的重要措施，也 是计算机系统最重要和最基础的安全机制副。 1 访问控制的概念 访问控制是指确定可给与哪些主体访问的权利，确定以及实施 访问权限的过程。访问控制是基于身份认证，通过限制访问主体对 访问客体的访问权限，从而使计算机系统在合法范围内使用：访问 第二章网络信息安全概述 控制机制决定用户及代表一定用户利益的程序能做什么，以及做到 什么程度引。 2 访问控制的类型 访问控制主要有两种类型：网络访问控制和系统访问控制。网 络访问控制限制外部对主机网络服务的访问和系统内部用户对外 部的访问，通常由防火墙实现。系统访问控制为不同的用户赋予不 同的主机资源访问权限，操作系统提供一定的功能实现系统访问控 制。 3 访问控制的技术 实现网络访问控制的技术是机制流( s t r e a m s ) 是a t & tb e1 1 实验室的d e n n ism r it c h ie 于19 8 4 年设计的，现在几乎所有的 u n ix 操作系统都支持机制流。流是一组通用的、灵活的用于开发 u n ix 系统通信服务的工具。流是内核空间中的流驱动程序与用户 空间中的进程之间的一种全双工的处理和数据传输通路。 实现系统访问控制的技术是系统调用捕获和控制。系统调用是 应用程序和操作系统内核之间的功能接口。通过截获和控制系统调 用实现系统的访问控制。 2 4 2 网络安全协议 在网络的安全协议中，使用比较广泛的包括i p s e c ( i p s e c u r it y ) 、s s l ( s e c u r e 。s o c k e tl a y e r 一安全套接层协议) 和s e t ( s e c u r ee le c t t o n ict r a n s a c tio n 一安全电子交易协议) 三个协 议。 i p s e c 是随着i p v 6 的制定而产生的，是i p v 6 的一个组成部分， 也是i p v 4 的一个可选择的扩展协议。i p s e c 协议已经成为工业 标准的网络安全协议。 s s l 是使用公钥和私钥技术组合的安全网络通信协议，它是由 n e ts c a p e 公司推出的基于w e b 应用的安全协议。s s l 最常用来保护 w e b 的安全1 引。 s e t 是由美国v is a 和m a s t e r c a r d 两大信用卡组织提出的应用 于in te r n e t 上的以信用卡为基础的电子支付系统协议。它采用公 钥密码体制和x 5 0 9 数字证书标准，主要应用于bt oc 模式中保 障支付信息的安全性。 第三章校园网络安全系统的设计 第三章校园网络安全系统的设计 我校在经过了和其他两个学校合并以后，从地理位置来看，现 在可以分为四个校区：新校区( 主校区) 、南开校区、华苑校区和 真理道校区。由于学校规模的扩大和学校学生数量的增加，学校希 望利用现代化技术手段实现信息化办校、信息化管校的决心越来越 大。学校一旦建立数字化校园网，就可以实现信息的共享，利用 0 a ( 办公自动化) 系统进行无纸化办公，提高工作效率，从而大大提 高学校的办学实力。所以在新校区的建立过程中，数字化校园网络 的构建工作就已经随之进行筹备，在土建工作完成后马上开始进 行。 在数字化校园网络系统建立的过程中，校园网络的安全系统的 构建是绝对不可缺少的部分。作为开放式的网络，校园网络随时可 能面临各种网络黑客与病毒的攻击，在没有任何安全保护的情况 下，利用该网络进行重要信息的交流是不可想象的。因此，为了我 校校园网络的安全，根据学校校园网络的实际情况进行需求分析， 然后进行了校园网络安全系统的设计。 3 1 校园网安全需求分析 3 1 1 校园网络基本情况 我校校园网网络控制中心建立在新校区教学楼，该中心覆盖了 学校的教学楼、机房、3 栋宿舍楼( a 座、b 座、c 座) 、体育馆和 食堂。在网络控制中心采用华为公司o u id w a ys e c p a t h10 0 0 f 作为 网络硬件防火墙，采用华为公司的q u id w a y $ 6 5 0 6 r 第三层交换机 作为学校校园网的核心交换机。教学楼的每一层，以及3 栋宿舍楼， 机房，体育馆和食堂都架设的是华为公司的o u id w a ye 0 2 6 - s i 交换 机。从网控中心到除9 台服务器、机房以外的其他覆盖区都是通过 的多模光纤连接到核心交换机的。另外9 台ib mx s e r ies3 4 6 服务 器、7 个机房都直接连接到核心交换机上。 学校校园网络基本情况： ( 1 ) 出口：学校与电信的网络接口带宽为1o m ，与教育网的 第三章校园网络安全系统的设计 接口正在洽谈，预计年底完成接入； ( 2 ) 硬件防火墙：q u id w a ys e c p a t h10 0 0 f ； ( 3 ) 核心交换机：o u id w a y $ 6 5 0 6 r ； ( 4 ) 其他交换机：o u id w a ye 0 2 6 一s i 。 目前校园内已经完成的建筑基本都已经接入校园网络，包括： 教学楼、3 栋宿舍楼、体育馆和食堂。在核心交换机上，还有预留 口，准备为学校的二期、三期建筑接入。 学校的9 台i b m 服务器已经有7 台开始使用，其中两台服务器 加一个3 块7 3 4 g 的磁盘阵列作为一卡通服务器使用，一台作为 w e b 服务器，一台作为电子邮件服务器使用，一台充当防火墙中的 堡垒主机，一台作为i d s 中心服务器使用，一台用来作为瑞星网络 版杀毒软件的系统中心服务器使用。 学校的机房共有7 个，全校使用的计算机约有3 3 0 台。 3 1 2 校园网络安全需求分析 在校园网络的基本建设完毕后，如何保护这些网络设备，以及 学校内部网络用户和网络信息的安全就成为一个必须解决的问题。 根据以上的要求，可以把我校网络的安全可以分为3 个层次，第一 层是那些网络内部的重要的网络设备( 如核心交换机等) 和那些具 有重要应用的服务器( 如一卡通服务器) ，另外还有重要的网络用 户( 如财务部门) ，这个层次可以称为核心区域；第二层是那些校 园网络的普通设备和普通用户，该层次为普通网络区域；第三层则 是那些直接与外部网络的相连接的网络设备。 为使我校的校园网络能够处于个安全级别较高的环境，就必 须结合以下几个方面来考虑校园网络安全的需求： ( 1 ) 禁止外部网络非法用户访问校园网络内部数据； ( 2 ) 进行访问网络的控制，各部门之间在未经授权的情况下， 不能相互访问，实施内部网络与外部网络隔离和内部网络阆的部分 隔离； ( 3 ) 加强对网络的监控，对可能面临的攻击要进行实时的监 控，并且要进行记录和分析； ( 4 ) 对病毒的防范； ( 5 ) 加强安全管理，对内部网络访问行为进行规范化。 第三章校园网络安全系统的设计 3 2 校园网络安全解决方案 根据我校网络实际情况和需求分析，要想构建一项动态的、整 体的网络安全系统，从技术上来讲，应该包括安全的操作系统和应 用系统、防病毒、防火墙、入侵监测、网络监控、信息审计、通信 加密、灾难恢复、安全扫描、网络管理等多个安全组件，一个单独 的组件是无法确保信息网络的安全性的。 3 2 1 构建网络安全系统策略 构建一个完整的网络安全系统，采用相应的网络安全策略是相 当重要的，网络的安全策略一般包括： 1 物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机 等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证 用户的身份和使用权限、防止用户越权操作；确保计算机系统有一 个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法 进入计算机控制室和各种偷窃、破坏活动的发生。 2 网络隔离策略 网络隔离策略主要是采用一些网络隔离的手段，将信息传播的 范围减小，从而增加信息的安全性。一般经常采用的方法就是路由 器、虚拟局域网( v l a n ) 和防火墙。 3 访问控制策略 访问控制是网络安全防范和保护的主要策略，它的主要任务是 保证网络资源不被非法使用和非常访问。它也是维护网络系统安 全、保护网络资源的重要手段，可以说是保证网络安全最重要的核 心策略之一。 4 网络安全管理策略 在网络安全中，除采用上述技术措施之外，加强网络的安全管 理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起 到十分有效的作用。 3 2 2 网络信息安全系统设计原则 在我校网络安全系统的设计过程中，应该遵循以下的设计思想 l z u j ：( 1 ) 大幅度地提高系统的安全性和保密性；( 2 ) 保持网络原有 第三章校园网络安全系统的设计 的性能特点，即对网络的协议和传输具有很好的透明性；( 3 ) 易于 操作、维护，并便于自动化管理，而不增加或少增加附加操作；( 4 ) 尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；( 5 ) 安 全保密系统具有较好的性能价格比，一次性投资，可以长期使用； ( 6 ) 安全与密码产品具有合法性，并便于安全管理单位与密码管理 单位的检查与监督。 基于上述思想，网络信息安全系统应遵循如下设计原则： 1 满足因特网的分级管理需求；根据i n t e r n e t 网络规模大、 用户众多的特点，对i n t e r n e t i n t r a n e t 信息安全实施分级管理的 解决方案，将对它的控制点分为三级实施安全管理。 第一级：中心级网络，主要实现内外网隔离；内外网用户的访 问控制；内部网的监控；内部网传输数据的备份与稽查。 第二级：部门级，主要实现内部网与外部网用户的访问控制； 同级部门间的访问控制；部门网内部的安全审计。 第三级：终端个人用户级，实现部门网内部主机的访问控制； 数据库及终端信息资源的安全保护。 2 需求、风险、代价平衡的原则；对任一个网络，绝对安全难 以达到，也不一定是必要的。对一个网络进行实际的研究( 包括任 务、性能、结构、可靠性、可维护性等) ，并对网络面临的威胁及 ，