校园网络安全防御系统的设计与实现

时间:2020-08-06 18:29:07 网络工程毕业论文 我要投稿

校园网络安全防御系统的设计与实现

  由于网络环境中的设备多种多样,仅依靠安全操作系统并不能保证所有设备的安全性,所以需要定期对网上的各种设备实施安全扫描,下面是小编搜集整理的一篇探究校园网络安全防御系统的设计与实现的论文范文,供大家阅读参考。

校园网络安全防御系统的设计与实现

  摘 要:随着校园网迅速发展和普及,在学校日常工作学习和管理中发挥了至关重要的作用。但随着网络的普及,其安全问题也日益突出。如何让校园网正常高效地运行,充分发挥其教学、管理和服务等功能,已成为不可忽视的一个问题。本文着重分析了校园网络安全防御系统使用的鉴别认证机制和操作系统的要求,从网络,数据,以及系统等多方面提出了解决的方案,希望能对校园网的安全管理有所帮助,为师生创造一个安全、高效、干净的上网环境。

  关键词:校园网 网络安全 防御系统

  一、网络安全防御系统使用的鉴别认证机制

  在整个网络防御系统中,使用了两种鉴别认证机制。

  1.从网络部分而言,通过SSL加密通道以及证书机关,对使用本系统提供的Web服务的用户进行服务器与外部用户间的双向鉴别,其实质是利用了公钥体制的技术,结合证书机关对服务器和用户发放的证书,实施鉴别。

  2.系统鉴别部分则是利用了安全操作系统提供的鉴别机制,采用了IC卡的方式对所有内部用户进行身份鉴别,所有内部用户的IC卡均通过统一的发卡中心发放,只有持卡用户才能够进入服务器,而网络用户是无法通过普通的远程登录进入服务器的,从而保证了服务器的登录安全。

  二、网络安全防御系统采用安全操作系统的.要求

  在整个防御系统的所有服务器中要使用安全操作系统,该系统应具有以下多种安全特性。

  1.登录控制

  我们将登录控制分为基于IC卡的本地系统登录控制和基于安全存储介质的远程登录系统控制。目的都是使不合法用户不能登录进某一系统,从而避免不合法用户对系统造成安全事故。

  (1)基于IC卡的本地系统登录控制

  整个系统有一个发卡中心。发卡中心为用户生成用户卡,持有用户卡的用户可以在一定范围(由发卡中心限制)的计算机上登录。持有root身份用户卡的系统管理员可以在每台计算机上动态的控制每一个用户在该机上的登录访问。

  (2)基于安全存储介质的远程登录系统控制

  登录控制是系统安全中最基本的一个环节,它是一个系统的门户,一个好的登录控制系统可以有效的阻击大部分的入侵者的攻击。Chinissh-0.1是一个基于安全shell(SSH1.0. SSH2.0 )协议的远程登录软件,它可以实现在不安全的信道上进行安全的通信。主要是通过在网络上将信息以密文形式传送达到安全目的。

  2.进程权限控制

  程序权限控制是系统中防止非法使用的第一道防线,Chini-os特权控制用户界面向系统安全员SSO提供操作,维护系统中文件和用户特权的接口。SSO首先要通过身份验证才能使用此界面。

  Chini-os特权控制用户界面有如下4个功能:

  (1)用户程序对系统调用的访问。

  (2)为系统中每一个可执行的程序分配其系统调用访问权限。

  (3)为每一个用户分配其使用的系统调用访问权限。

  (4)兼容现有应用程序。

  3.系统完整性保护

  Chini_FID是系统管理员和用户监视被指定保护文件或目录是否发生改变的完整性检测工具,利用这个工具可以检测系统被保护文件是否遭到恶意的破坏,包括文件的删除、添加和修改,比如攻击者是否在某个应用程序中驻留了“特洛伊木马”,是否修改了某个文件的属性等。管理员可以随时对系统进行检测也可以向系统提交定时任务定时对系统进行检测,Chini_FID可以将检测结果以邮件方式通知管理员哪些文件发生了改变,以便及时采取控制措施避免损失。

  4.加密模块

  加密模块分为用户空间通用加密接口和核心空间加密模块。分别用于用户态和核心态模式。

  (1)用户空间通用加密接口

  Chini Sec Interface可用于各种计算机安全应用,它介于各种应用系统和各种算法模块之间,对上层应用简化了各种安全接口、对下层算法模块做出了相应的规范。利用Chini Sec Interface,开发应用的软件商可以专注于应用系统的开发,无须过多地考虑算法,可在不修改应用的情况下方便地变换算法;生产算法的厂商可专注于算法的软硬件实现,无须考虑各种应用的实现。

  (2)核心空间加密模块

  核心模块加解密时调用算法管理模块函数,算法管理模块再调用各种算法函数,通过这些算法函数完成加解密功能。

  5.网络安全

  IP安全由IPSEC实现,己知的IPSEC具体实现有Xkenel和Frees/wan等,目前采用Frees/wan的1.5版。IPSEC功能如下:

  (1)实现IP层的安全,保护IP数据包的安全。

  (2)保障主机和主机之间、网络安全网关(如路由器、防火墙)之间、主机和安全网关之间的数据包安全。

  (3)实现对IP数据包的加密保护、鉴别验证、完整性保护、抗重播等。

  6.加密文件系统

  对于安全敏感数据,必须采取安全的存储方法保证数据的安全。我们的加密文件系统能够对该文件系统中的文件提供加密保护,不知道口令的人不可能装载该文件系统,主机或硬盘丢失后,其他人不能读取其中的数据。

  7.安全审计

  在Linux日志系统的基础上,采用密码体系中的认证技术,在系统产生日志文件的同时产生相应的保护文件Mac文件,日志系统每产生一条日志记录,在相应的Mac文件中就有此记录的Mac项,来对日志文件提供完整性保护。安全审计的功能表现在:

  (1)产生日志文件。

  (2)使用完整性验证程序可以验证系统日志文件和备份日志的完整性。

  (3)可以处理和分析系统日志。

  三、周期性的安全扫描

  由于网络环境中的设备多种多样,仅依靠安全操作系统并不能保证所有设备的安全性,所以需要定期对网上的各种设备实施安全扫描,来发现设备的软件实现中存在的可被攻击者利用的漏洞,以便及时弥补。安全扫描的基本工作原理就是模拟攻击,一旦攻击成功,就意味存在漏洞。

  安全扫描的另一部分就是病毒防治功能。通过定期或是非定期的病毒扫描,防止病毒的进入和漫延。通过实时网上病毒扫描和防病毒软件的定期升级功能,防止引入新的病毒。

  通过以上的网络,数据,以及系统三方面的种种安全技术手段,结合相关的安全产品,我们为校园网提供了一个完整的网络安全防御系统的解决方案,以达到保护自己的网络信息系统安全性的目的。

  参考文献

  [1]朱银芳.校园网环境下的安全与防御系统研究[J].科技信息,2008,36

【校园网络安全防御系统的设计与实现】相关文章:

Java日志系统框架的设计与实现10-24

高校信息查询系统的设计与实现11-11

轴承工装管理系统的设计与实现09-19

探析网络辅助答疑系统的设计与实现10-16

学生成绩管理系统的设计与实现10-07

科研项目管理系统的设计与实现07-28

新闻信息发布系统的设计与实现论文07-14

电力营销管理系统设计与实现论文06-23

校园网络安全管理系统的设计论文10-06