高校校园网络安全技术分析

摘要：针对高校校园网络安全的三种技术方式进行说明，比较各种方式的特色以及可能带来的安全风险或效能损失，并就网络信息加密技术的分类加以分析，针对PKI技术这一信息安全核心技术，论述了其安全体系的构成。

关键词：网络安全；防火墙；入侵检测技术；PKI技术

中图分类号：TP393.08文献标识码：A文章编号：16727800（2011）012013902

作者简介：宗波(1984-)，男，江西宜春人，硕士，江西宜春学院助教，研究研究方向为网络安全。

0引言

随着高校校园网的普及，尤其是高校校园网上的网络应用变得越来越多，在带来了巨大信息量的同时，网络的不确定性也带来了私有信息和数据被盗取和破坏的可能，校园网络信息的安全性变得日益重要起来。

校园网络安全从技术上来说，主要由防入侵、防火墙等多个安全技术组成，单个技术都无法确保网络信息的全方位的安全。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、入侵检测技术、PKI技术等，以下就此几项技术分别进行分析。

1防火墙技术

防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

2入侵检测技术

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signaturebased），另一种基于异常情况（anomalybased）。

对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。

而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。

3PKI技术

PKI(Publie Key Infrastucture)技术就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分：X.509 格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）；CA 操作协议；CA 管理协议；CA 政策制定。一个典型、完整、有效的PKI 应用系统至少应具有以下5个部分：

（1）认证中心。认证中心CA：CA是PKI 的核心，CA负责管理PKI 结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单，后面有CA的详细描述。

（2）X.500 目录服务器 。X.500 目录服务器用于用户的证书和黑名单信息，用户可通过标准的LDAP 协议查询自己或其他人的证书和下载黑名单信息。

（3）高强度密码算法。具有高强度密码算法(SSL)的安全WWW服务器 Secure socket layer(SSL)协议最初由Netscape 企业发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

（4）Web（安全通信平台）。Web 有Web Client 端和Web Server 端两部分，分别安装在客户端和服务器端，通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。

（5）自开发安全应用系统。自开发安全应用系统是指各行业自开发的各种具体应用系统，例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定（包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等）、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。

4结束语

高校校园网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性，为网络提供强大的安全服务。

参考文献：

[1]张海燕.浅谈校园网安全技术[J].青海社会科学，2008(3).

[2]邹丽英,孙小权.浅谈校园网络规划中的安全设计[J].实验技术与管理,2006(4).

[3]杨竣辉,黄婵.高校校园网络安全建设的思考[J].教育信息化,2006(7).

[4]方胜.防火墙技术在校园网中的应用[J].电脑知识与技术,2005(26).

[5]肖媛娥.校园网中三种常用网络安全技术的应用[J].井冈山学院学报,2007(2).