校园网中的网络安全技术研究
校园网中的网络安全技术研究
[摘要]: 信息时代,计算机网络技术的发展和应用对人类生活方式的影响越来越大,Internet/Intranet 技术广泛应用于社会的各个领域,基于计算机网络的安全问题已经成为非常严重的问题。确保网络安全己经是一件刻不容缓的大事,解决网络安全课题具有十分重要的理论意义和现实背景。
[关键词]:网络安全, 安全体系, 技术实现
1网络安全概念
网络安全是一门涉及多种学科的综合性科学,包括了计算机科学、网络技术、通信技术、密码技术、应用数学、信息论等内容。网络安全就是是要保护好网络系统中的软、硬件资源以及存储在系统中的数据,避免因偶然的或者恶意的原因而遭到破坏,确保系统连续、可靠、高效的运行,保障网络服务连续畅通。从狭义的角度来看,网络安全是指防止外在的或者人为的原因破坏网络系统资源:从广义角度来看,计算机网络安全的研究领域囊括了信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论。
2网络安全目标
从系统的观点出发,一个高效、稳定、安全的网络应该实现以下目标:
2.1. 可用性
可用性就是要保证信息和计算机信息网络随时为授权者服务,即保证合法用户有权访问并能够访问网络资源,而不会出现非授权者滥用却对授权者拒绝服务的情况出现。信息网络最基本的功能是向用户提供服务,而用户的需要时随机的,多方面的。
2.2. 完整性
完整性即保证信息从实际的发信者传送到真实的收信者手中,传送过程中避免因在何原因,对传送信息进行删除、修改、伪造、重放、掺入等破坏,影响网络信息完整性的主要因素有设备故障、误码、人为攻击、计算机病毒、信息攻击等。
2.3保密性
保密性即是保证信息为授权者共享而不泄露给为授权者,保密性是在可靠性和可用性基础之上,保证网络信息为安全的重要手段,保密性和完整性不同,保密性是指防止信息的泄漏,而完整性则避免信息的破坏。
2.4. 真实性
真实性也称为不可抵赖性,确信参与者的真实同一性,所有参与者都不能否认或抵赖曾经完成的操作和承诺。
2.5. 可靠性
可靠性即是保证信息系统不停的提供正常服务,使得信息网络系统在规定条件和时间内能够完成指定的功能和任务,它是系统安全的基本要求,是信息网络的建设和运行目标。
2.6可控性
可控性是要有足够的能力控制信息的传播以及传播何种内容,为保证国家和机构的利益,以及满足社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外地侵犯。
3 网络安全体系的建立
网络安全体系的定义:网络安全管理体系是一个在网络系统内结合安全技术与安全管理,以实现系统多层次安全保证的应用体系。
网络系统完整的安全体系如图所示
4校园网络安全技术实现
在进行体系设计时, 要根据学院网络系统的特点,对网络系统的使用实施统一的安全规划。在设计的网络信息系统的安全体系中从安全管理和技术两个方面来共同实现。
4.1 健全校园网络安全管理制度
建立组织的安全管理体系是网络安全的核心。成立专门负责管理信息安全的部门,制定一系列规定。这些规定应包括:计算机网络安全建设规定,计算机网络安全管理规定,安全保密管理规定,机房出入管理制度,数据备份制度等。
4.2 校园网络安全技术实现
4.2.1 划分VLAN
采用交换式局域网技术(ATM 或以太交换)的校园网络,可以运用VLAN 技术来加强内部网络管理。VLAN 技术的核心是网络分段。根据不同
的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。网络分段可分为物理
分段和逻辑分段两种方式。物理分段通常是指将网络从物理层和数据链路层上分
为若干网段,各网段相互之间无法直接通信。逻辑分段则是指
将整个系统在网络层上进行分段。目前新建立的校园网基本上都采用了性能先进的千兆网技术,其核心交换机采用三层交换机,它能很好地支
持虚拟局域网 (VLAN)技术。为保证不同职能院系、部门管理的方便性和安全性以及整个网络运行的稳定性,应采用基于端口的VLAN 技术进行
虚拟网络划分,划分成了办公、实验室、教学、学生宿舍等几个VLAN 。 VLAN 具有以下几个优点[1, 2]:
( 1) 能够实现虚拟网络工作组, 并控制虚网间的互相访问能力;
( 2) 对广播信息的有效控制, 增加网络安全性;
( 3) 便于管理、更改, 以及对用户增加、用户移动和用户物理位置变更产生的管理工作大为减少;
(4) 可以减少网络广播型数据的带宽浪费和避免广播风暴发生。基于VLAN 技术的优点, 它能有效解决前述的网络安全问题, 在网络规划设计阶段, 在选购交换机时, 要合理确定支持虚网能的交换机及其安放位置, 另外VLAN 的划分是一项复杂细致的工作, 网管员应紧密依据用户应用的实际要求, 结合实际工程经验, 做出详细合理的规划。
4.2.2防火墙技术
防火墙技术作为保护局域子网的一种有效手段, 在校园网络安全建设中倍受青睐。防火墙是位于两个( 或多个) 网络间实施网间访问控制的一组组件的集合, 如图2 为防火墙的一种部署。防火墙有多种形式, 有以软件形式运行在普通计算机上的, 也有以固件形式设计在路由器中的。利用防火墙可以实现内部网( 信任网络) 与外部不可信任网络( 如因特网) 之间或是内部网中不同网络安全域的隔离与访问控制, 保证网络系统及网络服务的可用性。目前, 防火墙主要有三类: 包过滤防火墙、应用代理防火墙和状态监测型防火墙
(1)包过滤防火墙
包过滤防火墙会根据网络管理员设定的过滤规则过滤信息包, 通常是根据IP 数据包的源或目的IP 地址、协议类型、协议端口号等对数据流进行过滤。这类防火墙处理速度快而且易于维护, 比其它类型防火墙具有更高的网络性能和更好的应用程序透明性。
(2) 应用代理防火墙
应用代理防火墙即通常提到的代理服务器, 作用在应用层, 它适用于多种互联网服务, 如超文本(HTTP) , 远程文件传输( FTP) 等。一般可以对多种应用协议进行代理, 并对用户身份进行鉴别, 并提供比较详细的日志和审计信息。其缺点是对每种应用协议都需提供相应的代理程序, 并且基于代理的防火墙会使访
问速度变慢, 对用户不透明, 工作量大, 需要高性能服务器。
(3)状态监测型防火墙
状态监测型防火墙使用了一个在网关上执行网络安全策略的软件模块, 称之为监测引擎。监测引擎在不影响网络正常运行的前提下, 采用抽取有关数据的方法对网络通信的各层实施监测, 并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序, 并可以很容易地实现应用和服务的扩充。这种防火墙无疑是非常坚固的, 但它会降低网络的速度, 而且配置也比较复杂。校园网与普通企业网不同, 因为一般企业网的网络策略主要是“防外”, 即防止互联网上的黑客对内部网络的攻击, 而安装在校园网上的防火墙, 既要有“防外”的功能, 也要有“防内”的功能。所谓“防内”, 是因为学生中有不少网络爱好者, 在好奇心的驱使下或者是为了满足某些单纯的心理需要, 会从互联网上下载黑客工具, 不顾后果地对校园网内部服务器进行攻击, 特别是对学校内部某些可能存放着重要资料( 如学生成绩、财务信息等) 的服务器进行攻击, 使学校的内部资料遭受到不必要的损失。所以设置校园网防火墙一方面要建立合理有效安全过滤规则, 对网络数据包的协议、端口、源/目的地址、流向进行审核, 严格控制外网用户的非法防
问。另一方面对校园网用户进行流量控制, 依据时间安全规则变化策略, 控制内网用户防问外网时间。定期查看防火墙防问日志, 对防火墙的管理员权限进行严格控制, 同时对学生上网进行必要的教育与管理。
4.2.3 VPN的使用
采用VPN 方案,通过一台VPN 服务器既能够实现校园内外的网络连接,又可以保证数据的安全性。校园网络管理人员通过使用VPN 服务器,
制定只有符合特定身份要求的用户才能连接VPN 服务器获得访问敏感信息的权利。在校园网内可以采用一种将SLL 加密隧道与基于USBKey 的双因
素身份认证相结合的SINFOR SSL VPN技术,为远程接入用户提供无需客户端的,纯Web 方式的,适合于所有终端设备的安全手段。
SSL VPN带来的效果:
(1) 用户验证:能够验证用户身份并严格控制只有授权用户才能访问VPN 。
(2) 数据加密:对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。
(3) 密钥管理:能够生成公共互联网络上普遍使用的基本协议。以点对点隧道协议(PPTP)或第二层对刀协议(L2TP)为基础的VPN 方案既能够满足以上所有的基本要求,又能够充分利用Internet 互联网络的优势。
(4) 无需安装客户端:大大降低了网络管理的成本。
(5) 实时监控,易于维护:通过远程监控平台,管理员可以实时监控SSL VPN的运行情况。使用系统日志,可以及时定位故障,并实施远程维护。通过GUI 界面,管理员还可以随时查看每个在线用户的情况,可以随时中断可以会话,方便快捷。
4.2.4 访问控制
主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户帐户的缺省限制检查等。当用户进入网络后,网络就赋予就一用户一定的访问权限,用户只能在其权限内进行操作,保证网络资源不被非法访问和非法使用。
4.2.5 网络数据备份与恢复
数据备份
校园网可以拥有的比较理想的网络备份系统应该具备以下功能:
集中式管理:网络存储备份管理系统对整个网络的数据进行管理。利用集中式管理工具的帮助,系统管理员可对整个网络的备份策略进行统一管理,备份服务器可以监控所有计算机的备份作业,也可以及时的修改备份策略,而且可即时浏览所有目录。
全自动的备份:自动备份系统可以根据用户的实际需求,合理的定义需要备份的数据,然后以图形界面方式根据需要设置备份时间表,自动备份系统将自动启动备份作业,无需人工干预。
数据库备份和恢复:管理员可以利用数据库管理程序定时对数据库备份,是管理数据的重要环节,在线式的索引:备份系统应为每天的备份在服务器中建立在线式的索引,当用户需要恢复时,只需点取在线式索引中需要恢复的文件或数据,该系统就会自动进行文件的恢复。
归档管理:用户可以按项目、时间定期对所有数据进行有效的归档处理。提供统一的open tape format 数据存储格式从而保证所有的应用数据由一个统一的数据格式来作永久的保存,保证数据的永久可利用性。
HSM 分级存储管理: hsm (hierarchical storage management,分级存储管理) 系统是一个合适的在线备份解决方案。它利用硬盘、可擦写磁光盘、磁带进行三层式存储管理。所谓分级存储管理系统是一套自动化的网络存储管理设备,会自动判断硬盘中资料的使用频率,自动将不常用的资料移至速度较慢的光盘,而最不常用的资料则移到磁带中,这些都由系统管理员自行设定。在线的资料经过一段时间的搬移后,即可达到最佳化。
4.2.6 网络备份存储管理系统
网络数据存储管理系统的工作原理是在网络上选择一台应用服务器作为网络
数据存储管理服务器,安装网络数据存储管理服务器端软件,作为整个网络的备份服务器。网络数据存储管理系统的核心是备份管理软件,目前备份管理的软件产品主要有legato networker、ibmadsm 、veritas netbackup等。
4.2.7 灾难恢复
灾难恢复操作通常可以分为两类。第一类是全盘恢复,第二类是个别文件恢复,还有一种是重定向恢复。全盘恢复一般应用在服务器发生意外灾难导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等,也称为系统恢复。 个别文件恢复是利用网络备份系统的恢复功能,恢复受损的个别文件。浏览备份数据库或目录,找到该文件,触动恢复功能,软件将自动驱动存储设备,加载相应的存储媒体,然后恢复指定文件。重定向恢复是将备份的文件恢复到另一个不同的位置或系统上去。重定向恢复时需要慎重考虑,要确保系统或文件恢复后的可用性。
5结束语
综上所述,校园网网络安全的架构是一个系统化和整体化的工程,通过系统防御能够增强校园网的网络安全性能,形成自我防御能力较强的安全机制,能够对网络安全威胁做出及时的反应,为学校师生提供绿色化的网络环境. 本文也只是在网络安全体系的设计和实现上做了一些肤浅的探索和尝试,还存在着许多的不足和需要在进一步的研究中完善之处。
参考文献:
[1]董南萍, 郭文荣, 周进. 计算机网络与应用教程[M].北京:清华大学出版社; 北京交通大学出版社, 2005, 102
[2] 邹丽英, 孙小权. 浅谈校园网络规划中的安全设计[J].实验技术与管理, 2006, 23( 4) : 60- 62.
[3] 刘化君. 计算机网络原理与技术[M]. 电子工业出版社,2005-07.
[4] 杨文虎, 樊静淳. 网络安全技术与实训[M]. 人民邮电出版社,2007-10.