校园网络安全防御系统的设计与实现.docVIP

校园网络安全防御系统的设计与实现 摘要：随着校园网迅速发展和普及，在学校日常工作学 习和管理中发挥了至关重要的作用。但随着网络的普及，其 安全问题也日益突出。如何让校园网正常高效地运行，充分 发挥其教学、管理和服务等功能，已成为不可忽视的一个问 题。本文着重分析了校园网络安全防御系统使用的鉴别认 证机制和操作系统的要求，从网络,数据，以及系统等多方面 提出了解决的方案，希望能对校园网的安全管理有所帮助, 为师生创造一个安全、高效、干净的上网环境。 关键词:校园网网络安全防御系统 一、网络安全防御系统使用的鉴别认证机制 在整个网络防御系统中,使用了两种鉴别认证机制。 1?从网络部分而言，通过SS L加密通道以及证书机关, 对使用本系统提供的W eb服务的用户进行服务器与外部用 户间的双向鉴别，其实质是利用了公钥体制的技术，结合证 书机关对服务器和用户发放的证书，实施鉴别。 系统鉴别部分则是利用了安全操作系统提供的鉴别 机制,采用了 IC卡的方式对所有内部用户进行身份鉴别，所 有内部用户的IC卡均通过统一的发卡中心发放，只有持卡 用户才能够进入服务器,而网络用户是无法通过普通的远程 登录进入服务器的，从而保证了服务器的登录安全。 二、网络安全防御系统采用安全操作系统的要求 在整个防御系统的所有服务器中要使用安全操作系统， 该系统应具有以下多种安全特性。 登录控制 我们将登录控制分为基于Ic卡的本地系统登录控制和 基于安全存储介质的远程登录系统控制。目的都是使不合 法用户不能登录进某一系统，从而避免不合法用户对系统造 成安全事故。 基于IC卡的本地系统登录控制 整个系统有一个发卡中心。发卡中心为用户生成用户 卡,持有用户卡的用户可以在一定范围(由发卡中心限制)的 计算机上登录。持有root身份用户卡的系统管理员可以在 每台计算机上动态的控制每一个用户在该机上的登录访问0 基于安全存储介质的远程登录系统控制 登录控制是系统安全中最基本的一个环节，它是一个系 统的门户，一个好的登录控制系统可以有效的阻击大部分的 入侵者的攻击。Chini ssh-0. 1是一个基于安全shell (SS Hl. 0. SSH2. 0 )协议的远程登录软件，它可以实现在不安全的 信道上进行安全的通信。主要是通过在网络上将信息以密 文形式传送达到安全目的。 进程权限控制 程序权限控制是系统中防止非法使用的第一道防 线,Chini-os特权控制用户界面向系统安全员SSO提供操 作，维护系统中文件和用户特权的接口。SSO首先要通过身 份验证才能使用此界面。 Chini-os特权控制用户界面有如下4个功能： 用户程序对系统调用的访问。 为系统中每一个可执行的程序分配其系统调用访问 权限。 为每一个用户分配其使用的系统调用访问权限。 兼容现有应用程序。 系统完整性保护 Chini_FI D是系统管理员和用户监视被指定保护文件 或目录是否发生改变的完整性检测工具，利用这个工具可以 检测系统被保护文件是否遭到恶意的破坏，包括文件的删除、 添加和修改，比如攻击者是否在某个应用程序中驻留了 “特 洛伊木马”，是否修改了某个文件的属性等。管理员可以随 时对系统进行检测也可以向系统提交定时任务定时对系统 进行检测，Chini_FID可以将检测结果以邮件方式通知管理 员哪些文件发生了改变，以便及时采取控制措施避免损失。 加密模块 加密模块分为用户空间通用加密接口和核心空间加密 模块。分别用于用户态和核心态模式。 用户空间通用加密接口 ChiniSe clnterface可用于各种计算机安全应用，它介 于各种应用系统和各种算法模块之间，对上层应用简化了各 种安全接口、对下层算法模块做出了相应的规范。利用Ch iniSecInter face,开发应用的软件商可以专注于应用系统 的开发，无须过多地考虑算法，可在不修改应用的情况下方 便地变换算法;生产算法的厂商可专注于算法的软硬件实现, 无须考虑各种应用的实现。 核心空间加密模块 核心模块加解密时调用算法管理模块函数，算法管理模 块再调用各种算法函数，通过这些算法函数完成加解密功能。 网络安全 IP安全由I PSEC实现，己知的I PSEC具体实现有Xk enel 和 Frees/wan 等，目前采用 Fr ees/wan 的 1.5 版。 IPSEC功能如下： 实现IP层的安全，保护IP数据包的安全。 保障主机和主机之间、网络安全网关(如路由器、 防火墙)之间、主机和安全网关之间的数据包安全。 实现对IP数据包的加密保护、鉴别验证、完整性 保护、抗重播等。 加密文件系统 对于安全敏感数据，必须采取安全的存储方法保证数据 的安全。我们的加密文件系统能够对该文件系统中的文件 提供加密保护，不知道口令的人不可能装载该文件系统，主 机或硬