校園網絡安全技術分析

陳琳

（廣東交通職業技術學院，廣東　廣州　510650）

校園網絡安全技術分析

陳琳

（廣東交通職業技術學院，廣東廣州510650）

校園網是為學校師生提供教學和科研管理的綜合信息服務平臺，隨著計算機網絡的發展和應用，校園網面臨著一系列安全問題，如何應用各種安全技術和構建高校校園網安全屏障成為校園網絡管理首要面對的基本問題。通過對網絡安全技術進行分析，比較了數字簽名、防火墻和入侵檢測系統各自的優勢以及應用領域，給出了相關技術方法，保證了校園網絡安全、穩定和高效地運行。

校園網安全數字簽名防火墻入侵檢測系統

1　引言

校園網是為學校師生提供教學和科研管理的綜合信息服務平臺，隨著計算機網絡發展和應用，校園網面臨著一系列安全問題，如蠕蟲、病毒、木馬泛濫橫行黑客攻擊、系統癱瘓及信息泄漏風險層出不窮。據統計，校園網中80％的攻擊來自于校園內部。為保證校園網安全，通常采用的技術有數字簽名、防火墻和入侵檢測系統［1］。

2　數字簽名技術

數字簽名（Digital Signature）是對傳統手寫簽名的電字模擬。通過計算機非對稱密鑰生成的一段特殊字符消息，具有與手寫簽名同樣的效果，是可信的、不能偽造、不能重用、不能抵賴和不能修改的，稱為數字簽名［2,3］。數字簽名與手寫簽名類似，應滿足以下3個條件：①簽名者不能否認自己的簽名，其他人不能偽造其簽名，即簽名存在唯一性；②接收者能驗證對方簽名，即真實性；③當雙方就簽名真偽發生爭執時，可以委托第三方機構協調解決，即有效性。

數字簽名由簽名算法和驗證算法兩部分組成。簽名算法密鑰需要保密，由簽名人保管；驗證算法是對所有人公開的。簽名過程類似于加密過程，簽名者利用私鑰對簽名信息進行加密，驗證方利用簽名者公鑰解密。私鑰和公鑰相互匹配，公鑰可以推導出私鑰，私鑰也可以推導出私鑰。簽名與加密不同點在于加密是為了保護信息不被非法訪問和篡改，簽名是為了讓對方確認發送者身份、信息有無篡改以及是否完整。下面給出數字簽名基本流程。

假設A通過數字簽名發送電子合同給B，具體步驟如下：①A使用哈希函數將電子合同生成消息摘要；②A利用私鑰將消息的摘要加密，形成數字簽名；③A把電子合同和數字簽名一起發送給B，如圖1所示。

圖1　數字簽名過程示意圖

B收到A發來的電子合同文件和數字簽名后，需驗證發送者的真實身份是A，具體步驟如下：①B按照A使用的哈希算法對接收到的電子合同文件重新生成消息摘要；②B使用A的公鑰對A發送的消息摘要（密文）解密，恢復成明文；③B將自己重新生成的消息摘要和解密出來的消息摘要進行比較，若二者相同則表明發送者身份是A，若不一致則表明發送者身份不是A或者電子合同文件已被篡改。B驗證A身份的步驟如圖2所示。

圖2　驗證數字簽名過程示意圖

3　防火墻技術

防火墻原本是指古代房屋之間修葺的泥墻，用于防范火災蔓延。在計算機網絡中，網絡防火墻扮演著類似角色，允許內網用戶訪問外網并建立連接，但禁止外網主動的訪問內網，以此來阻擋來自外部網絡的攻擊。目前，防火墻主要采取包過濾、應用網關和狀態檢測3種攔截手段［4］。

⑴包過濾防火墻

包過濾防火墻分為靜態包過濾防火墻和動態包過濾防火墻。靜態包過濾防火墻通過分析數據包收發雙方的IP地址、端口號和協議類型（如TCP包、UDP包和ICMP包等）等控制信息，依照既定規則進行放行。既定規則遵循“最小特權原則”，首先明確允許通過的數據包類型，再限制其他數據包，實現簡單高效，但是不可識別來自外網的欺騙攻擊，如攻擊者可以通關修改端口號及IP地址等繞過防火墻檢測。

動態包過濾防火墻使用動態過濾策略有效避免欺騙攻擊。但是動態規則策略變化很快，并且需要分析大量異常數據包才能形成過濾規則，是一種以犧牲性能的方式換取網絡的安全。包過濾防火墻工作于OSI參考模型的網絡層和傳輸層，只檢查數據報報頭，實現相對簡單，性能較高，但無法檢查數據報內容，對于復雜網絡，配置訪問過濾規則工作量很大，適用于小規模網絡。

⑵代理防火墻

代理防火墻也稱為應用層網關防火墻，分為代理防火墻和自適應代理防火墻兩類。代理防火墻在內外網絡之間充當中介角色，通過代理技術對外隱藏內網拓撲結構［5］。當代理服務器接收到外網連接請求時，替代其將請求轉發至出口網關，并將外網服務器的應答消息經出口網關轉發給內網客戶，從而隱藏內外用戶的真實信息。代理防火墻安全性能很高，但由于每個內外連接都需要代理防火墻的介入和轉換，效率低下，容易成為內外網絡之間的瓶頸。

自適應代理防火墻也稱為動態代理防火墻，它結合包過濾防火墻和代理防火墻雙方優點，既具有代理防火墻的安全性，又具有包過濾防火墻的高效性［6］。自適應代理防火墻設置簡單靈活，可根據管理員制定的安全級別動態生成過濾規則，減少配置工作量。

⑶狀態檢測防火墻

狀態檢測防火墻工作于OSI參考模型中的數據鏈路層和網絡層，通過檢測引擎截獲數據包狀態信息，再根據安全策略決定拒絕還是接受該連接。狀態檢測防火墻安全性較高，具有很好的擴展性和適應性，并且對數據包的處理通過低層實現，不涉及協議棧［7］，執行效率較高，適應于動態復雜的大規模網絡。

4　入侵檢測系統

入侵檢測系統（Intrusion Detection System，IDS）是一種主動防御體系，從計算機網絡環境中采集和分析數據，通過提煉規則判斷可疑攻擊和異常事件，主動攔截攻擊行為，并且當網絡遭受入侵后，IDS還能收集入侵行為并納入特征庫，從而避免重復或類似攻擊。IDS主動防御模式可以有效彌補防火墻被動檢測的不足，并提供對網絡攻擊的實時保護。

IDS根據檢測技術可以為分特征檢測、異常檢測和協議分析3種。

①特征檢測是根據外網當前連接行為動作與攻擊特征行為匹配來檢測入侵，檢測精度很高，對具體攻擊檢測結果有明確的處理參照，但是不能檢測未知攻擊行為；

②異常檢測先建立正常行為特征庫，當發現外網連接與正常行為特征庫發生顯著偏離時即判為攻擊。異常檢測方法可以檢測未知攻擊，但需要對正常行為進行描述并提取共性特征，處理性能緩慢，漏報誤報率較高；

③協議分析IDS是基于網絡協議規則檢測攻擊行為，避免異常檢測的復雜度。但缺點是不能檢測未知攻擊，不能彌補本身協議漏洞，不能抵御非協議型攻擊手段，加上網絡協議與系統環境相關，通用性不好。

5　結束語

校園網絡安全是一個系統工程，上述3種安全技術都有獨特之處，在實際應用中往往需要多種技術配合使用，揚長避短，彌補各自不足，建立全網動態安全體系，才能保證校園網絡的整體安全。

［1］黎明.職業院校校園網安全體系的構建與維護［J］.長春工業大學學報：自然科學版,2011,32（1）：64-67.

［2］王棟.大學校園網網絡安全問題的分析與對策［J］.甘肅聯合大學學報：自然科學版,2010,24（4）：64-67.

［3］劉欽創.關于高校校園網安全若干問題的思考［J］.網絡安全技術與應用,2006（2）：40-42.

［4］黃春雨,楊嬌寰.校園網網絡安全及防范技術［J］.吉林廣播電視大學學報,2010（1）：96-98.

［5］沈俊,吳佩達.校園網網絡安全隱患及其對策［J］.湖州職業技術學院學報,2008（3）：15-17.

［6］許愛軍,張岳.支持低延遲通信與容錯的計算資源共享環境構建［J］.計算機工程與設計,2012,33（4）：1352-1356.

［7］許愛軍,張文金,黃正午.單點登錄在數字化校園中應用的研究與實現［J］.計算機與現代化,2010（4）：81-84,90.

Analysis on Campus Network Security Technology

CHEN Lin
（Guangdong Communication Polytechnic,Guangzhou Guangdong 510650,China）

The campus network is a local area network which provides teaching,scientific research and comprehensive information service for school teachers and students.With the development of network and application,the campus network faces a series of security problems.How to use various security technologies to constitute the campus network security barrier is a basic problem of campus network management.By analyzing current network security technologies,this paper compares digital signature,firewall and intrusion detection system's advantages and application,provides associated technical methods to ensure campus network's operation security, stability and efficiency.

campus network security；digital signature；firewall；intrusion detection system

TP393

A

1008-1739（2015）13-43-3

定稿日期：2015-06-12