前言:寻找写作灵感?中文期刊网用心挑选的校园网络安全技术建设(3篇),希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。
一、高校校园卡系统的发展
二十一世纪是一个信息的时代,在信息化浪潮的席卷下,现代社会几乎所有领域都对信息技术进行了应用,自然教育领域也不同例外,数字化、信息化校园建设如火如荼。尤其是欧美发达国家十分重视信息化建设,这些国家早在二十世纪九十年代初就已开始进行校园信息化建设,现如今功能上已经十分完善,基本实现网络化、信息化校园管理。校园信息化建设是当前校园管理发展的主流方向。校园卡系统是信息化校园的重要组成部分,贯穿信息化校园各个环节。通过校园卡系统校园管理更方便,更高效,更为学生提供了一个简单、方便、快捷、统一的服务平台。校园卡系统通过一张卡片就能够在校园内出入、办事、消费、活动。校园卡系统的核心功能主要是身份识别和电子支付。随着近些年校园卡系统研究的不断深入,其功能越来越强大几乎涵盖校园生活所有方面,基本满足校园管理需求,校园卡系统的应用改变了传统校园管理模式。
二、影响校园卡系统网络安全的因素
校园卡系统由于是建立在校园虚拟网的基础上,但网络的开放性和复杂性,使校园卡系统网络安全受到威胁。下面通过几点来分析影响校园卡系统安全的因素:
2.1卡片受到威胁
卡片攻击常见手段有通过复制、模仿卡片的个人化过程来伪造卡片或篡改卡内数据,盗取卡内余额和信息。目前我国校园卡系统中一些子系统建立在非实时网络基础上,例如班车收费系统等,非实时性特点给卡片合法性认证带来了阻碍,所以卡片本身易受到攻击。由于无法实时通过校园网验证卡片合法性和有效性,只单纯根据卡内信息判断合法性识别能力有限。因此,很难确保卡片不被非法复制或篡改。
2.2交易过程受到威胁
校园卡系统电子支付功能涉及到交易和支付等重要环节,交易环节往往最容易受到攻击。校园卡系统中交易过程中,系统需将电子账单传送到结算中心,结算后返回到各子系统。系统与结算中心在交易过程中传输的数据被攻击的可能性较高,一旦数据被截取,必然带来安全威胁。目前交易过程中常见攻击手段有:篡改交易信息、截获交易信息、冒用他人交易进行抵赖。这些攻击手段不仅威胁了网络安全,更给学校造成了巨大经济损失。
三、校园卡系统的网络安全技术
安全是校园卡系统应用的前提条件,离开安全校园卡系统很难大面积推广和应用,提高校园卡系统网络安全势在必行。下面通过几点来分析校园卡系统的网络安全技术:
3.1对称加密技术
通过对称加密技术加密后,解密数据时要求必须提供和加密密钥相同的解密密钥,才能进行解密。该技术的应用能够大大提高数据传输安全性,增加破解难度。对称加密技术的特点是:算法效率高、速度快。但由于对称密钥技术算法安全性对密钥依赖性较大,一旦密钥泄漏任何人都可以解密传输的数据,所以对称加密技术应用中必须加强对密钥的管理,做好密钥保密,避免密钥泄漏。
3.2数字签名技术
数字签名技术能够为卡片赋予一个独有的私有密钥。在对卡片内数据进行数字签名后,数据将具有唯一性和不可复制性。数字签名后的卡片并不是使用函数加密,而是通过CA授权。并且数字签名采用B/S模式认证,卡片使用自动认证,由于非法卡片无法复制数字签名,所以无法通过认证。另一方面,应对数字签名设置使用权限和有效日期,定期更换数字签名,以保障私有密钥安全。
四、结束语
校园卡系统网络安全问题不容忽视,安全问题不仅会影响系统的正常运行,更会使学校遭受经济损失。因此,学校应提高对校园卡系统网络安全的重视,采取相应措施利用安全技术提高校园卡系统网络安全性。
作者:邓艳波 杨卓 邓振宇 单位:吉林大学珠海学院
第二篇:校园网网络安全技术建设应用
一、校园网络安全体系设计的原则
网络安全对校园网的建设至关重要,技术人员对网络安全性的设计要遵循以下几点原则:第一,安全性。它是保障网络安全的首要目标,对保护信息和网络系统尤为关键,校园网的安全性必须要做好网络体系的完备性和可扩展性。第二,可行性。校园网网络安全体系的设计要把理论与现实情况相结合,降低实施的难度。第三,高效性。网络安全体系主要包括软件和硬件设施,它在运行过程中也会对校园网产生影响,所以在进行网络安全设计时要考虑系统资源的开销,确保整个校园网的正常运转。第四,可承担性。学校承担着网络安全体系各方面工作的代价和开销,校园网的安全系统设计要根据学校的特点和实际承受能力而开展,没有必要按银行级标准来设计。
二、校园网络安全建设的措施
网络安全是社会各界非常关注的问题,学校在建设校园网络时要充分重视和支持,依靠先进的网络安全技术,保障校园网络的安全。目前,校园网络安全建设的主要利用的是以下几个方面的技术:
(一)防火墙技术。
目前防火墙是对网络系统进行安全保护的最常用防护措施,在社会各界的网络和系统中被广泛应用。校园网络管理员可以通过防火墙对网络中的数据进行监控,对于特定数据包可以方便快捷地允许或禁止其通过,同时还能监控和记录网络中的所有事件,保证内部网络不会遭到攻击,还能正常提供网络访问、下载等服务。校园网络安全要做好防火墙设置方案,目前主要应用的是双宿主机网关、屏蔽主网、屏蔽子网三种方式,其中屏蔽子网在保护校园网安全、提高防火墙抗攻击能力方面作用最为显著。校园网防火墙的设置要遵守以下几点原则:一是要根据校园网的用途和特点,正确设置安全过滤规则,防止公网非法访问校园网络;二是要对防火墙访问日志进行定期检测和查看,及时发现网络攻击行为和不良上网记录;三是为提高防火墙管理安全性,还要加强网卡对防火墙的设置。
(二)防病毒技术。
计算机病毒严重威胁着网络安全,防止计算机病毒传播不但要建立完善的管理措施,还要有病毒扫描、病毒查杀、系统恢复等工具和技术。学校领导、教师、学生使用电子邮件的情况比较广泛,这就造成了计算机病毒的迅速传播,学校信息系统因此受到侵害,造成了学校的严重损失。随着互联网的快速发展,计算机病毒的种类和传播途径也日益多样化,校园网的防病毒工作急需建立一个多层次、立体的病毒防护体系,并依靠先进的管理系统防止计算机病毒的侵害。防病毒软件在校园网络安全中得到了最为广泛的应用,学校在对防病毒软件进行选择时,要充分考虑到软件的易用性、系统的兼容性、对资源的占用情况及病毒查杀能力,同时还要综合考虑软件的价格、软件开发商的实力等。除了安装防病毒软件之外,学校还要采用集中式安全管控的防毒策略,它的优点主要体现在:第一,可对校内所有联网计算机进行统一的病毒清除;第二,具有病毒预警机制,可及时更新、升级病毒库;第三,可在线帮助域外计算机查毒、杀毒;第四,可整合电子邮件系统,有效过滤病毒邮件。
(三)访问控制技术。
访问控制技术是针对不同身份的用户对网络数据资源进行限制,防止非法用户的入侵,保护合法用户的权利,同时保证网络数据的保密性和网络系统的完整性。网络系统的安全防范和保护需要重视访问控制技术的应用,它的应用类型主要有三种:网络访问控制、应用程序访问控制和主机、操作系统访问控制。做好校园网的访问控制的应用要遵循以下三个原则:一是最小特权原则,即最小化分配用户的所需权限。这样可以对用户权限进行最大程度的限制,用户只能进行权限内的操作,越权的操作一律不被允许,只有把用户错误操作的概率降到最低,才能保证系统最大程度上的安全。二是最小泄密原则。这一原则是在最小特权原则的基础上进行的,只有分配到用户身上的权限越小,才能保证用户信息被窃取的越少,规避重大损失的产生。三是多级安全策略。用户权限具有安全级别,若用户强制访问,则需其权限高于安全级别,访问控制技术中多级安全策略的应用可保证系统的安全,防止敏感资源的扩散。校园网的安全建设需重视访问控制技术的应用,保证校园内不同角色登录校园网权限的级别和差异性,防止机密信息的泄漏与扩散。
(四)网络数据恢复和备份技术。
计算机病毒、黑客攻击等都会造成校园网信息数据的泄漏、丢失,应用网络数据恢复和备份技术可以有效保护校园网的重要数据信息资源。学校运用网络备份设备可以对网络信息资源进行集中管理,不仅可以提高网络管理员的工作效率,还可以对校园网络中的备份作业进行实时监控。校园网运行过程中结合网络数据恢复和备份技术,可以根据出现的问题及时对网络备份策略进行修改,有效提高系统备份的效率。校园网网络管理的重要环节是定时对网络数据库中的数据资源进行备份,校园网要建立在线网络索引,保证用户在访问校园网过程中可以根据需求随时恢复网络数据文件。同时校园网的归档管理在网络数据恢复和备份技术上得以实现,校园网络管理员可以利用统一的数据备份和储存格式保障网络信息数据的长期保存。
(五)身份认证和数据加密技术。
身份认证技术是指网络用户在使用计算机网络时身份需要被确认并获得准入权限的技术。在校园网络中,每一个校园网络使用者都需要在网络管理员处获得一个身份,凭借这个身份,网络用户在登录校园网络后需要首先输入相应的帐号和密码,通过身份认证后才被准入校园网络而进行查找、浏览、下载等活动,这对网络黑客的恶意攻击产生了巨大的抑制作用,从而提高了校园网络的安全性。但随着科技的快速发展,一些网络攻击者通过特殊手段进入了校园网络,对用户信息进行修改、盗窃的违法犯罪活动,这时学校就应当做好数据加密工作。数据加密主要是针对通信数据和路由数据而进行的加密处理,网络攻击者窃取数据之后,没有能力对其解密,从而无法获得有用的数据信息,这样就保障了数据的机密性。
三、结语
综上所述,随着科技的快速发展,互联网已被社会各界广泛应用,但随之而来的是计算机病毒传播、黑客攻击等重大安全问题,他们对校园网的安全建设也带来了极大威胁。为保障校园网络的安全建设,学校要主动应用一些成熟的网络安全技术,如防火墙技术、防病毒技术、访问控制技术、网络数据恢复和备份技术、身份认证和数据加密技术等,这样就提高了网络的安全性,对校园网络的健康发展起到了极大促进作用。
作者:何晓丽 侯彦丽 单位:张家口学院
第三篇:校园虚拟网网络安全
1引言
随着网络技术的深入发展,面对层出不穷的网络攻击,我院校园网网络中安全问题也日益突出,越来越多的网络病毒攻击校园网络,网络信息的安全受到极大的威胁.传统意义上的信息安全,一般都是防御性质的,比如防火墙、入侵检测系统、加密等等,但是,与其疲于防范,不如改变防御策略主动出击.而蜜罐技术作为一种主动防御机制,希望做到的正是改变传统的信息安全思路,使其更具交互,其主要功能是用来学习了解敌人(入侵者)的思路、工具、目的.
2Honeynet技术
2.1蜜罐技术概述
蜜罐作为一种主动防御网络安全的技术,具有高交互性的特点.通过部署陷阱,吸引攻击者,从而降低真实网络被攻击的机率,同时对捕获攻击者的数据进行深入分析,掌握攻击者的攻击方法、策略等,提高防御攻击的能力.主要有以下几方面的特征:(1)“一种由被探查攻击削弱来体现价值的安全设施”;(2)对攻击者具有欺骗性;(3)没有业务上的用途,不存在区分正常流量和攻击的问题;(4)所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷;(5)用以监视、检测和分析攻击.
2.2Honeywall概况
蜜罐的目的是收集损害或者被攻击的数据以及行为,因此它们对Internet网络构成了潜在的严重威胁,若要保护受到其他系统进行探测和攻击而损害的高互动蜜罐,蜜罐被放在一个特殊的实体的后面称为Honeywall.Honeywall作为一个连接互联网和陷阱的透明网桥,其目标是用来捕获网络空间中各种威胁的具体行为,并能对捕获的数据加以分析.
2.3Honeynet技术
蜜网(Honeynet)技术是由Honeynet项目组(TheHoneynetProject)提出并倡导的一种对攻击行为进行捕获和分析的新技术,但在本质上来讲仍然是一种蜜罐技术.要成功地建立一个Honeynet,需要面临以下三个问题:数据控制、数据捕获和数据分析.数据控制代表一种规则,你必须能够确定你的信息包能够发送到什么地方.数据控制是对攻击者在Honeynet中对第三方发起的攻击行为进行限制的机制,用以降低部署Honeynet所带来的安全风险.数据捕获,即监控和记录攻击者在Honeynet内的所有行为,最大的挑战在于要搜集尽可能多的数据,而又不被攻击者所察觉.数据分析则是对捕获到的攻击数据进行整理和融合,以辅助安全专家从中分析出这些数据背后蕴涵的攻击工具、方法、技术和动机.
3蜜罐技术在校园网网络安全防御的实现
在本文研究中,根据我院校园网络环境的实际要求,通过使用虚拟软件(VMWare)和物理计算机建立一个混合虚拟Honeynet,从而减少了物理计算机的需要.VMWare宿主主机(物理计算机)配置Honeywall网关和控制机,在主机中的虚拟机中配置二台基于Linux和Windows的蜜罐,并使用一台物理计算机部署为Windows的蜜罐.
3.1数据控制的实现
数据控制的策略主要是对流经系统的数据进行控制.首先,让攻击者顺利进入并攻击系统是部署虚拟Honeynet的目的之一,因此对流入的虚拟Honeynet的数据不作任何限制;然而,为了降低虚拟Honeynet的风险,防止攻击者将虚拟Honeynet作为跳板攻击其他正常系统,应对虚拟Honeynet外出的连接做流量限制,并且还要分析数据包抑制攻击数据包的传播.在部署的Honeynet中,数据控制的第一个策略是将所有流向192.168.x.0/24的数据都导向Honeywall宿主主机上.虚拟Honeynet中的两个蜜罐对于攻击者是隐蔽的,攻击者在攻击是不知道哪是真实的系统.在防火墙中,所有主机访问校园内网路由器中192.168.0.x/24字段的数据均通过eth0导向Honeywall宿主主机(192.168.216.5)上,通过设置Iptables模块完成数据流量导向,设置如下:[root@hnroot]#Iptables–PINPUTDROP[root@hnroot]#Iptables–PFORWARDDROP[root@hnroot]#Iptables–POUTPUTACCEPT[root@hnroot]#Iptables–AFORWARD–Ieth0–d192.168.0.2/24–jACCEPT数据控制的第二个策略是在部署的虚拟Honeynet中对流出的数据流量进行了限制,每分钟流出的TCP,UDP,ICMP和其他协议数据包不超过20个,同时防火墙是否将包发给snort_inline,snort_inline对已知攻击包设置方式为Replace.若流出数据流量超过每分钟20个或发现已知攻击时,系统将通过Swatch产生Email报警发送给宿主主机(管理机).
3.2数据捕获的实现
数据捕获是蜜网的一个重要目的,如果没有捕获到数据,那蜜网只能是一堆浪费网络带宽、金钱的废铁而已.蜜网通过三个层次来捕获数据,一是Honeywall的日志记录;二是snort记录的网络流;三是Sebek捕获的系统活动.把蜜墙、snort及sebek上的收集到的数据捕获,经过处理后放到数据库和pcap文件中,为后续进行的数据分析提高资料.
(1)Honeywall的日志记录
Honeywall的日志可以轻松捕获经过Honeywall的数据,通过配置rc.honeywall脚本就可以实现,在Honeywall日志记录中的所有进入和外出的连接均被记录到/var/log/messages,这样可以从整体的角度来看系统干了些什么.
(2)网络原始数据流
Snort进程捕获所有的网络活动和内部网络接口(eth1)的数据包的数据流量信息,包括所有用UDP包来发送的Sebek活动.当snort运行在数据包记录器模式下时,它会把所有抓取的数据包按IP分类地存放到log_directory中.可用-h指定本地网络,以使snort记录与本地网络相关的数据包.命令如下:snort-vde-llog_directory-h192.168.1.0/24在部署的Honeywall中,通过配置snort_pacp.sh脚本,启动基于数据包记录器模式下的snort,编辑/etc/snort/snort.conf文件,找到“varHOME_NETany”行,把any换为宿主主机所在子网地址(192.168.1.2),将该行改为“varHOME_NET192.168.1.2”;另外,找到“varEXTERNAL_NET…”行,将该行改为“varEXTERNAL_NET!2192.168.1.2”(注意感叹号和后面的地址之间没有空格),其它的环境变量一般使用默认值即可.接着找到outputlog_tcpdump一行,日志格式的配置为mysql数据库方式,将这行改为:outputdatabase:log,mysql,dbname=snortdbuser=snorthost=localhost
(3)Sebek捕获的系统活动
虽然蜜罐对于攻击者是不可见的,但是产生在蜜罐上的大量数据应被捕获,Sebek就是一个在数据加密情况下进行数据捕获的工具.Sebek有两个组成部分:客户端和服务端,客户端安装在虚拟Honeynet的蜜罐上,蜜罐里攻击者行为被捕获后发送到网络(对攻击者是不可见的)并且由Honeywall网关被动的收集.在本次研究中,在Honeywall网关上自动配置了Sebek的服务端,在蜜罐192.168.0.4、蜜罐192.168.0.5和蜜罐192.168.0.6中配置了Sebek客户端.①在windows蜜罐(192.168.0.6)下配置Sebek客户端:指定eth2为网络接口;目的MAC:00:0C:29:12:86:6D,这是Honeywall的MAC地址,是配置中的一个重要参数;目标IP:0.0.0.0;目的端口:1101;MAGIC_VALUE:XXXXX.②在windows蜜罐(192.168.0.5)下配置Sebek客户端:指定eth2为网络接口;目的MAC:00:0C:29:12:86:6D,这是Honeywall的MAC地址,是配置中的一个重要参数;目标IP:0.0.0.0;目的端口:1101;MAGIC_VALUE:XXXXX.③在linux蜜罐(192.168.0.4)下配置Sebek客户端,在skb_install.sh脚本中修改配置文件.④在Honeywall网关配置Sebek服务端,在Honeywall建立接收捕获数据的数据库sebek后,使用命令:sbk_extract–ieth0–p1101|sbk_upload.pl-uroo–phoney–dSebek,将sbk_extract监听eth0上UDP端口是1101的Sebek数据包,提取出来的数据发送给sbk_upload.pl,它把这些数据插入到用户名是”roo”、口令是”honey”、数据库名字叫”Sebek”的本地主机数据库.通过在Honeywall网关中使用命令:sbk_extract–ieth0–p1101|sbk_ks_log.pl实现捕获数据,其中sbk_extract监听eth0,收集UDP端口1101上的数据,然后把这些记录传递给sbk_ks_log.pl来提取击键活动.
3.3数据分析的实现
当数据捕获后,若不对其进行分析,则捕获的数据没有任何意义,在本文部署的Honeynet中,采用自动报警机制与辅助分析机制两种机制.Swatch工具为蜜网中的Snort日志文件与IPTables提供了视功能,同时在被攻击时能够发出自动的报警.在蜜网中,主机被攻击者攻陷然后它会向外部发起连接,Swatch工具根据指定特征的配置文件进行匹配并自动向安全管理人员发出报警邮件。辅助分析采用了强大的基于浏览器的数据分析工具Walleye,该工具安装在蜜网网关上,较多的显示对进程视图与网络连接视图,而且结合被捕获数据的多种类型在单一视图中,从而使安全管理人员能够迅速了解对蜜网中所发生的所有攻击事件.在蜜网中,辅助分析机制与自动警报机制的结合,提供了非常方便的攻击数据分析流程,如图5,如果蜜罐主机被入侵者攻击,同时发动外部连接,它将会启动自动警报机制并通过报警邮件发送给安全管理人员,并提供重要数据连接信息,如外部连接目标IP、发起时间和端口等.安全管理人员收到警报后,就可以将所给出的连接信息进行参考,对发生的攻击事件通过Walleye辅助分析接口来仔细分析,从而掌握攻击者攻击的动机与方法.
3.4对Honeypot的渗透攻击
Metasploit作为来检测系统的安全性.在linux平台上版本比较老的samba服务的smbd守护进程由于对外部输入缺少正确的边界缓冲区检查,远程攻击者可以利用这个漏洞以root用户权限在系统上执行任意指令,本系统利用这个漏洞来进行渗透攻击.安全漏洞检测工具选择开源免费的Metasploit.
(1)在宿主主机上安装Metasploit.
(2)Metasploit渗透攻击测试.
将宿主主机的防火墙打开,使得能够接收4444端口的连入.在Honeypot上开放samba服务,然后运行MSFConsole,输入渗透攻击命令,获得反向shell.攻击。
(3)对攻击数据进行分析,验证蜜网数据捕获和分析功能.
漏洞渗透攻击成功,我们通过Walleye分析工具来查看蜜网网关捕获的数据和分析结果,发现数据记录.从抓到的数据包,可以看到攻击主机发包的操作系统是linux,IP地址是192.168.0.2.我们再看一下对攻击数据包的解码结果,可以看到有很长一段数据是重复的“A”或“0”,这是典型的缓冲区溢出的包的特征,可以判断这是一次缓冲区溢出的攻击.攻击结果是得到了一个反向的Shell,在这里我输入了ls和cd命令仅作为测试,可以看到有相应的结果输出.本节详细介绍蜜罐技术的三大核心机制(数据控制、数据捕获及数据分析)的实现,通过在校园内网中的实际攻击测试,验证所部署的蜜网对这些攻击测试的数据捕获和分析能力,说明本次部署各功能均达到预期效果,只要进行简单设置调整,可以广泛应用与实际互联网中,从而降低网络被攻击的概率.
4结语
蜜网技术的提出为解决网络安全问题提供了一种有效的方法,它作为一种主动防御机制,通过部署“陷阱”使攻击者对其进行攻击,从而保护真实的网络,降低真实网络被攻击的概率,并且使用数据捕获机制将攻击者访问蜜网的数据流量和信息捕获,并通过限制数据流量等措施有效防止攻击者将蜜网作为跳板而攻击其他主机.通过使用蜜罐技术,在校园网中部署虚拟Honeynet系统,解决了我院校园网内部对攻击数据信息的捕获问题,从而达到了能够更好地收集攻击者的工具数据、研究并分析其攻击战术、攻击动机以及相应的攻击策略等的效果,减少校园网被黑客或木马攻击的机率.
作者:李巧君 单位:河南工业职业技术学院计算机工程系
