校園網(wǎng)絡(luò)安全技術(shù)分析

陳琳

（廣東交通職業(yè)技術(shù)學(xué)院，廣東　廣州　510650）

校園網(wǎng)絡(luò)安全技術(shù)分析

陳琳

（廣東交通職業(yè)技術(shù)學(xué)院，廣東廣州510650）

校園網(wǎng)是為學(xué)校師生提供教學(xué)和科研管理的綜合信息服務(wù)平臺(tái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和應(yīng)用，校園網(wǎng)面臨著一系列安全問題，如何應(yīng)用各種安全技術(shù)和構(gòu)建高校校園網(wǎng)安全屏障成為校園網(wǎng)絡(luò)管理首要面對(duì)的基本問題。通過對(duì)網(wǎng)絡(luò)安全技術(shù)進(jìn)行分析，比較了數(shù)字簽名、防火墻和入侵檢測(cè)系統(tǒng)各自的優(yōu)勢(shì)以及應(yīng)用領(lǐng)域，給出了相關(guān)技術(shù)方法，保證了校園網(wǎng)絡(luò)安全、穩(wěn)定和高效地運(yùn)行。

校園網(wǎng)安全數(shù)字簽名防火墻入侵檢測(cè)系統(tǒng)

1　引言

校園網(wǎng)是為學(xué)校師生提供教學(xué)和科研管理的綜合信息服務(wù)平臺(tái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展和應(yīng)用，校園網(wǎng)面臨著一系列安全問題，如蠕蟲、病毒、木馬泛濫橫行黑客攻擊、系統(tǒng)癱瘓及信息泄漏風(fēng)險(xiǎn)層出不窮。據(jù)統(tǒng)計(jì)，校園網(wǎng)中80％的攻擊來自于校園內(nèi)部。為保證校園網(wǎng)安全，通常采用的技術(shù)有數(shù)字簽名、防火墻和入侵檢測(cè)系統(tǒng)［1］。

2　數(shù)字簽名技術(shù)

數(shù)字簽名（Digital Signature）是對(duì)傳統(tǒng)手寫簽名的電字模擬。通過計(jì)算機(jī)非對(duì)稱密鑰生成的一段特殊字符消息，具有與手寫簽名同樣的效果，是可信的、不能偽造、不能重用、不能抵賴和不能修改的，稱為數(shù)字簽名［2,3］。數(shù)字簽名與手寫簽名類似，應(yīng)滿足以下3個(gè)條件：①簽名者不能否認(rèn)自己的簽名，其他人不能偽造其簽名，即簽名存在唯一性；②接收者能驗(yàn)證對(duì)方簽名，即真實(shí)性；③當(dāng)雙方就簽名真?zhèn)伟l(fā)生爭(zhēng)執(zhí)時(shí)，可以委托第三方機(jī)構(gòu)協(xié)調(diào)解決，即有效性。

數(shù)字簽名由簽名算法和驗(yàn)證算法兩部分組成。簽名算法密鑰需要保密，由簽名人保管；驗(yàn)證算法是對(duì)所有人公開的。簽名過程類似于加密過程，簽名者利用私鑰對(duì)簽名信息進(jìn)行加密，驗(yàn)證方利用簽名者公鑰解密。私鑰和公鑰相互匹配，公鑰可以推導(dǎo)出私鑰，私鑰也可以推導(dǎo)出私鑰。簽名與加密不同點(diǎn)在于加密是為了保護(hù)信息不被非法訪問和篡改，簽名是為了讓對(duì)方確認(rèn)發(fā)送者身份、信息有無篡改以及是否完整。下面給出數(shù)字簽名基本流程。

假設(shè)A通過數(shù)字簽名發(fā)送電子合同給B，具體步驟如下：①A使用哈希函數(shù)將電子合同生成消息摘要；②A利用私鑰將消息的摘要加密，形成數(shù)字簽名；③A把電子合同和數(shù)字簽名一起發(fā)送給B，如圖1所示。

圖1　數(shù)字簽名過程示意圖

B收到A發(fā)來的電子合同文件和數(shù)字簽名后，需驗(yàn)證發(fā)送者的真實(shí)身份是A，具體步驟如下：①B按照A使用的哈希算法對(duì)接收到的電子合同文件重新生成消息摘要；②B使用A的公鑰對(duì)A發(fā)送的消息摘要（密文）解密，恢復(fù)成明文；③B將自己重新生成的消息摘要和解密出來的消息摘要進(jìn)行比較，若二者相同則表明發(fā)送者身份是A，若不一致則表明發(fā)送者身份不是A或者電子合同文件已被篡改。B驗(yàn)證A身份的步驟如圖2所示。

圖2　驗(yàn)證數(shù)字簽名過程示意圖

3　防火墻技術(shù)

防火墻原本是指古代房屋之間修葺的泥墻，用于防范火災(zāi)蔓延。在計(jì)算機(jī)網(wǎng)絡(luò)中，網(wǎng)絡(luò)防火墻扮演著類似角色，允許內(nèi)網(wǎng)用戶訪問外網(wǎng)并建立連接，但禁止外網(wǎng)主動(dòng)的訪問內(nèi)網(wǎng)，以此來阻擋來自外部網(wǎng)絡(luò)的攻擊。目前，防火墻主要采取包過濾、應(yīng)用網(wǎng)關(guān)和狀態(tài)檢測(cè)3種攔截手段［4］。

⑴包過濾防火墻

包過濾防火墻分為靜態(tài)包過濾防火墻和動(dòng)態(tài)包過濾防火墻。靜態(tài)包過濾防火墻通過分析數(shù)據(jù)包收發(fā)雙方的IP地址、端口號(hào)和協(xié)議類型（如TCP包、UDP包和ICMP包等）等控制信息，依照既定規(guī)則進(jìn)行放行。既定規(guī)則遵循“最小特權(quán)原則”，首先明確允許通過的數(shù)據(jù)包類型，再限制其他數(shù)據(jù)包，實(shí)現(xiàn)簡(jiǎn)單高效，但是不可識(shí)別來自外網(wǎng)的欺騙攻擊，如攻擊者可以通關(guān)修改端口號(hào)及IP地址等繞過防火墻檢測(cè)。

動(dòng)態(tài)包過濾防火墻使用動(dòng)態(tài)過濾策略有效避免欺騙攻擊。但是動(dòng)態(tài)規(guī)則策略變化很快，并且需要分析大量異常數(shù)據(jù)包才能形成過濾規(guī)則，是一種以犧牲性能的方式換取網(wǎng)絡(luò)的安全。包過濾防火墻工作于OSI參考模型的網(wǎng)絡(luò)層和傳輸層，只檢查數(shù)據(jù)報(bào)報(bào)頭，實(shí)現(xiàn)相對(duì)簡(jiǎn)單，性能較高，但無法檢查數(shù)據(jù)報(bào)內(nèi)容，對(duì)于復(fù)雜網(wǎng)絡(luò)，配置訪問過濾規(guī)則工作量很大，適用于小規(guī)模網(wǎng)絡(luò)。

⑵代理防火墻

代理防火墻也稱為應(yīng)用層網(wǎng)關(guān)防火墻，分為代理防火墻和自適應(yīng)代理防火墻兩類。代理防火墻在內(nèi)外網(wǎng)絡(luò)之間充當(dāng)中介角色，通過代理技術(shù)對(duì)外隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)［5］。當(dāng)代理服務(wù)器接收到外網(wǎng)連接請(qǐng)求時(shí)，替代其將請(qǐng)求轉(zhuǎn)發(fā)至出口網(wǎng)關(guān)，并將外網(wǎng)服務(wù)器的應(yīng)答消息經(jīng)出口網(wǎng)關(guān)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)客戶，從而隱藏內(nèi)外用戶的真實(shí)信息。代理防火墻安全性能很高，但由于每個(gè)內(nèi)外連接都需要代理防火墻的介入和轉(zhuǎn)換，效率低下，容易成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。

自適應(yīng)代理防火墻也稱為動(dòng)態(tài)代理防火墻，它結(jié)合包過濾防火墻和代理防火墻雙方優(yōu)點(diǎn)，既具有代理防火墻的安全性，又具有包過濾防火墻的高效性［6］。自適應(yīng)代理防火墻設(shè)置簡(jiǎn)單靈活，可根據(jù)管理員制定的安全級(jí)別動(dòng)態(tài)生成過濾規(guī)則，減少配置工作量。

⑶狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)防火墻工作于OSI參考模型中的數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層，通過檢測(cè)引擎截獲數(shù)據(jù)包狀態(tài)信息，再根據(jù)安全策略決定拒絕還是接受該連接。狀態(tài)檢測(cè)防火墻安全性較高，具有很好的擴(kuò)展性和適應(yīng)性，并且對(duì)數(shù)據(jù)包的處理通過低層實(shí)現(xiàn)，不涉及協(xié)議棧［7］，執(zhí)行效率較高，適應(yīng)于動(dòng)態(tài)復(fù)雜的大規(guī)模網(wǎng)絡(luò)。

4　入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）是一種主動(dòng)防御體系，從計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中采集和分析數(shù)據(jù)，通過提煉規(guī)則判斷可疑攻擊和異常事件，主動(dòng)攔截攻擊行為，并且當(dāng)網(wǎng)絡(luò)遭受入侵后，IDS還能收集入侵行為并納入特征庫(kù)，從而避免重復(fù)或類似攻擊。IDS主動(dòng)防御模式可以有效彌補(bǔ)防火墻被動(dòng)檢測(cè)的不足，并提供對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)保護(hù)。

IDS根據(jù)檢測(cè)技術(shù)可以為分特征檢測(cè)、異常檢測(cè)和協(xié)議分析3種。

①特征檢測(cè)是根據(jù)外網(wǎng)當(dāng)前連接行為動(dòng)作與攻擊特征行為匹配來檢測(cè)入侵，檢測(cè)精度很高，對(duì)具體攻擊檢測(cè)結(jié)果有明確的處理參照，但是不能檢測(cè)未知攻擊行為；

②異常檢測(cè)先建立正常行為特征庫(kù)，當(dāng)發(fā)現(xiàn)外網(wǎng)連接與正常行為特征庫(kù)發(fā)生顯著偏離時(shí)即判為攻擊。異常檢測(cè)方法可以檢測(cè)未知攻擊，但需要對(duì)正常行為進(jìn)行描述并提取共性特征，處理性能緩慢，漏報(bào)誤報(bào)率較高；

③協(xié)議分析IDS是基于網(wǎng)絡(luò)協(xié)議規(guī)則檢測(cè)攻擊行為，避免異常檢測(cè)的復(fù)雜度。但缺點(diǎn)是不能檢測(cè)未知攻擊，不能彌補(bǔ)本身協(xié)議漏洞，不能抵御非協(xié)議型攻擊手段，加上網(wǎng)絡(luò)協(xié)議與系統(tǒng)環(huán)境相關(guān)，通用性不好。

5　結(jié)束語

校園網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，上述3種安全技術(shù)都有獨(dú)特之處，在實(shí)際應(yīng)用中往往需要多種技術(shù)配合使用，揚(yáng)長(zhǎng)避短，彌補(bǔ)各自不足，建立全網(wǎng)動(dòng)態(tài)安全體系，才能保證校園網(wǎng)絡(luò)的整體安全。

［1］黎明.職業(yè)院校校園網(wǎng)安全體系的構(gòu)建與維護(hù)［J］.長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào)：自然科學(xué)版,2011,32（1）：64-67.

［2］王棟.大學(xué)校園網(wǎng)網(wǎng)絡(luò)安全問題的分析與對(duì)策［J］.甘肅聯(lián)合大學(xué)學(xué)報(bào)：自然科學(xué)版,2010,24（4）：64-67.

［3］劉欽創(chuàng).關(guān)于高校校園網(wǎng)安全若干問題的思考［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006（2）：40-42.

［4］黃春雨,楊嬌寰.校園網(wǎng)網(wǎng)絡(luò)安全及防范技術(shù)［J］.吉林廣播電視大學(xué)學(xué)報(bào),2010（1）：96-98.

［5］沈俊,吳佩達(dá).校園網(wǎng)網(wǎng)絡(luò)安全隱患及其對(duì)策［J］.湖州職業(yè)技術(shù)學(xué)院學(xué)報(bào),2008（3）：15-17.

［6］許愛軍,張?jiān)?支持低延遲通信與容錯(cuò)的計(jì)算資源共享環(huán)境構(gòu)建［J］.計(jì)算機(jī)工程與設(shè)計(jì),2012,33（4）：1352-1356.

［7］許愛軍,張文金,黃正午.單點(diǎn)登錄在數(shù)字化校園中應(yīng)用的研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)與現(xiàn)代化,2010（4）：81-84,90.

Analysis on Campus Network Security Technology

CHEN Lin
（Guangdong Communication Polytechnic,Guangzhou Guangdong 510650,China）

The campus network is a local area network which provides teaching,scientific research and comprehensive information service for school teachers and students.With the development of network and application,the campus network faces a series of security problems.How to use various security technologies to constitute the campus network security barrier is a basic problem of campus network management.By analyzing current network security technologies,this paper compares digital signature,firewall and intrusion detection system's advantages and application,provides associated technical methods to ensure campus network's operation security, stability and efficiency.

campus network security；digital signature；firewall；intrusion detection system

TP393

A

1008-1739（2015）13-43-3

定稿日期：2015-06-12