校园网络安全管理技术的研究.docVIP

校园网络安全管理技术的研究 　　[摘要]随着互联网技术的不断发展，网络安全技术越来越收到人们的高度重视，本门主要介绍了高校校园网网络安全管理方面的加密技术、防火墙技术、入侵检测技术及计算机病毒的防御等相关技术。 　　[关键词]校园网 网络安全 管理技术 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2008）0420033－01 　　 　　一、加密技术 　　 　　数据加密是计算机安全的重要部分。口令加密是防止文件中的密码被人偷看。文件加密主要应用于因特网上的文件传输，防止文件被看到或劫持。电子邮件给人们提供了一种快捷便宜的通信方式，但电子邮件是不安全的，很容易被别人偷看或伪造。为了保证电子邮件的安全，人们采用了数字签名这样的加密技术，并提供了基于加密的身份认证技术，这样就可以保证发信人就是信上声称的人。数据加密也使因特网上的电子商务成为可能。 　　密码系统可以用来提供以下几个基本的安全服务：数据保密性、数据完整性、认证、授权和不可抵赖性。此外，我们很有可能需要一些额外的服务来支持这些服务，如密钥建立和随机数产生等。数据保密性就是要防止信息泄露给非授权的组织和个人。要达到数据保密性，可以使用密码技术对信息进行加密，使这些信息只有授权方才能读值。数据完整性是要保证数据不受到非授权的改动，这些非授权的改动包括插入额外数据、删除或更改部分数据等等。要想完全防止数据不被篡改是不可能的，但是我们却可以确定我们的数据是否曾经被篡改过。认证是用来确定消息的起源，也就是确定发送消息的系统或用户的身份。授权就是对安全相关的功能或行为给予正式的许可。不可抵赖性是指对数据的来源和完整性可以提供证据，以方便第三方来验证。在网络信息系统的信息交互过程中，不可抵赖性是要确信参与者的真实同一性。所有参与者都不可能否认或抵赖曾经完成的操作和承诺。可以使用数字签名来实现不可抵赖性。 　　 　　二、防火墙技术 　　 　　防火墙是内部网络与外部网络之间的一种安全防范措施系统，配置在内部网和外部网之间，通过控制内外网络信息的流动来达到增强内部网络安全性的目的。防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。 　　一个防火墙系统通常有两种类型：包过滤型防火墙和代理服务器防火墙。包过滤型防火墙定义了一系列包过滤规则。优点是简单和廉价，缺点是包过滤规则的建立相对复杂。代理服务器防火墙是通过执行特殊的TCP/IP协议来为内部网用户提供Internet服务。缺点是必须为每一个应用建立应用层的特殊网关，这在一定程度上限制了新应用的建立。 　　若校园网不加防范地连入Internet，很容易受到入侵者的攻击，严重时会导致网络的瘫痪。防火墙分离可信任的校园内部网和不可信的公共网，是不同网络之间信息的唯一出入口。能根据学校的安全政策控制(允许、拒绝、监测)出入网络的信息流，具有较强的抗攻击能力。 　　校园网防火墙系统的设计常使用代理服务器属于应用层防火墙，它连接外部网与内部网充当防火墙，因为校园网内的机器不直接与Internet相连，客户机的内部资源不会受到侵犯，同时，又可在代理服务器上控制内部网客户机对Internet资源和服务的访问。这类防火墙的主要配置包括网络硬件，网络系统软件，代理服务软件等。硬件设置：在代理服务器中使用两块网卡，一块占用真实IP地址，与Internet连接;一块使用虚拟IP地址，与校园网相连，并由它给用户分配虚拟IP地址。同时客户机占用的虚拟地址，在设置时应注意必须是在代理服务指定范围内的。软件设置：网络系统软件主要配置包括Windows NT，Windows 2000 　　Server。客户机软件为Windows 98/ME/XP，Windows 2000。代理服务软件则包括：Ms Proxy Server，Net Proxy和Wingate等。一般代理软件要求分别在服务器和客户端进行安装。 　　 　　三、入侵检测技术 　　 　　任何试图危及资源的完整性、机密性或可用性的活动都是入侵行为，入侵行为不仅可以来自外部，也可以来自内部用户的未授权活动。可以通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为实现入侵检测。入侵检测的内容可分为:试图闯入、成功闯入、冒充其它用户、违反安全策略、合法用户的泄露，独占资源和恶意使用等。 　　入侵检测的功能有：监视分析用户活动;系统构造变化和弱点的审计;识别反映已知攻的活动模式并向相关人士报警;异常行为模式的统计分析，评估重要系统和数据文件的完整性;操作系统的审计跟踪管理。 　　IDS(入侵检测系统)能够实时分析校园网外部及校园网内部的数据通讯信息，分辨入侵企图，在校园网络系统受到危害之前