浅析校园网络安全防护常用技术.docVIP

浅析校园网络安全防护常用技术 　　摘 要:本文讨论了校园网络中安全防护的重要性,以及校园网络安全包含的两方面因素: 系统安全和信息安全。分析了校园网络安全防护的常用技术的原理及各自的优缺点。 　　关键词:防火墙 加密技术 认证技术 入侵检测 　　中图分类号:TP399文献标识码:A 文章编号:1673-1875(2009)24-090-02 　　 　　一、引言 　　 　　近年来,校园网作为高校推进信息化、数字化建设的载体,得到了飞速的发展。在享受网络带来的进步与利益的同时,数据信息被窃取和针对网络设备的攻击等潜伏着的安全威胁也随之而来。根据《2008年全国信息网络安全状况与计算机病毒疫情调查分析报告》统计,2007年5月至2008年5月,我国信息网络安全事件发生比例继前3年连续增长后,今年略有下降,信息网络安全事件发生比例为62.7%,同比下降了3%;计算机病毒感染率为85.5%,同比减少了6%,说明我国互联网安全状况有所好转。但多次发生网络安全事件的比例为50%,多次感染病毒的比例为66.8%,说明我国互联网用户的网络安全意识仍比较薄弱,对发生网络安全事件未给予足够重视。 　　与其它网络一样,校园网同样存在着许多安全问题:非授权访问、冒充合法用户、破坏数据的完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等。互连网中形形色色的网络资源,如果不具有识别和过滤功能,不但会造成大量非法内容的出入,造成流量堵塞、上网速度慢等问题,而且某些暴力、色情、反动等不良网络内容,将极大地危害学生的身心健康,导致无法想象的后果。计算机网络安全建设对高校具有重要的现实价值和具体意义。 　　 　　二、校园网络安全包含的因素 　　 　　校园网络安全因素包括了系统安全和信息安全两个部分。系统安全主要指网络设备的硬件、操作系统和应用软件的安全;信息安全主要指各种信息的存储、传输的安全,具体体现在保密性、完整性和不可抵赖性上。 　　保密性:防止信息泄漏给非授权的用户、实体或过程,或供其利用。常用的保证机密性的技术主要有防辐射、信息加密、访问控制和防止网络监听等。 　　完整性:保证网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、等破坏和丢失。 　　抗否认性:也称为不可抵赖性或不可否认性,是保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,通常是通过数字签名来提供抗否认的服务。 　　 　　三、校园网络安全防护的常用技术 　　 　　1、防火墙技术 　　防火墙是内部网络与外部网络之间的一种安全防范措施系统,通过控制内外网络信息的流动来达到增强内部网络安全性的目的。防火墙作为一种隔离控制技术,成为不同网络或网络安全域之间信息的出入口,且本身具有较强的抗攻击能力。 　　防火墙系统通常有三种类型:包过滤型防火墙和代理服务器防火墙、全状态包过滤型。 　　包过滤型防火墙是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。其最大优点是逻辑简单,价格便宜,对用户透明,传输性能高。缺点是包过滤规则的建立相对复杂。 　　代理服务是运行于内部网络与外部网络之间的主机一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。代理型防火墙完全阻断了内部网络外部网络的直接联系,保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。缺点是必须为每一个应用建立应用层的特殊网关,这在一定程度上限制了新应用的建立。 　　全状态包过滤型防火墙闪是一种更为有效的安全控制方法。对新建的连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态连接表。对该连接的后续数数包,只要符合状态连接表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包通过散列算法,直接进行状态检查,从而使得性能得到了较大提高。 　　2、加密技术 　　数据加密是计算机安全的重要部分。口令加密是防止文件中的密码被人偷看。文件加密主要应用于因特网上的文件传输,防止文件被看到或劫持。加密研究如何利用一些信息变换规则把可懂的信息变成不可懂的信息,防止信息的非授权泄露,有效的对抗截收、非法访问数据库窃取信息等威胁,其中的变换规则我们称之为加密算法。在密码学的领域中,主要有两大类的密码系统:对称密钥和非对称密钥 　　(1)对称密码算法