校園網絡安全技術建設(3篇)

前言：尋找寫作靈感？中文期刊網用心挑選的校園網絡安全技術建設(3篇)，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

第一篇：校園卡系統網絡安全技術探討

一、高校校園卡系統的發展

二十一世紀是一個信息的時代，在信息化浪潮的席卷下，現代社會幾乎所有領域都對信息技術進行了應用，自然教育領域也不同例外，數字化、信息化校園建設如火如荼。尤其是歐美發達國家十分重視信息化建設，這些國家早在二十世紀九十年代初就已開始進行校園信息化建設，現如今功能上已經十分完善，基本實現網絡化、信息化校園管理。校園信息化建設是當前校園管理發展的主流方向。校園卡系統是信息化校園的重要組成部分，貫穿信息化校園各個環節。通過校園卡系統校園管理更方便，更高效，更為學生提供了一個簡單、方便、快捷、統一的服務平臺。校園卡系統通過一張卡片就能夠在校園內出入、辦事、消費、活動。校園卡系統的核心功能主要是身份識別和電子支付。隨著近些年校園卡系統研究的不斷深入，其功能越來越強大幾乎涵蓋校園生活所有方面，基本滿足校園管理需求，校園卡系統的應用改變了傳統校園管理模式。

二、影響校園卡系統網絡安全的因素

校園卡系統由于是建立在校園虛擬網的基礎上，但網絡的開放性和復雜性，使校園卡系統網絡安全受到威脅。下面通過幾點來分析影響校園卡系統安全的因素：

2.1卡片受到威脅

卡片攻擊常見手段有通過復制、模仿卡片的個人化過程來偽造卡片或篡改卡內數據，盜取卡內余額和信息。目前我國校園卡系統中一些子系統建立在非實時網絡基礎上，例如班車收費系統等，非實時性特點給卡片合法性認證帶來了阻礙，所以卡片本身易受到攻擊。由于無法實時通過校園網驗證卡片合法性和有效性，只單純根據卡內信息判斷合法性識別能力有限。因此，很難確保卡片不被非法復制或篡改。

2.2交易過程受到威脅

校園卡系統電子支付功能涉及到交易和支付等重要環節，交易環節往往最容易受到攻擊。校園卡系統中交易過程中，系統需將電子賬單傳送到結算中心，結算后返回到各子系統。系統與結算中心在交易過程中傳輸的數據被攻擊的可能性較高，一旦數據被截取，必然帶來安全威脅。目前交易過程中常見攻擊手段有：篡改交易信息、截獲交易信息、冒用他人交易進行抵賴。這些攻擊手段不僅威脅了網絡安全，更給學校造成了巨大經濟損失。

三、校園卡系統的網絡安全技術

安全是校園卡系統應用的前提條件，離開安全校園卡系統很難大面積推廣和應用，提高校園卡系統網絡安全勢在必行。下面通過幾點來分析校園卡系統的網絡安全技術：

3.1對稱加密技術

通過對稱加密技術加密后，解密數據時要求必須提供和加密密鑰相同的解密密鑰，才能進行解密。該技術的應用能夠大大提高數據傳輸安全性，增加破解難度。對稱加密技術的特點是：算法效率高、速度快。但由于對稱密鑰技術算法安全性對密鑰依賴性較大，一旦密鑰泄漏任何人都可以解密傳輸的數據，所以對稱加密技術應用中必須加強對密鑰的管理，做好密鑰保密，避免密鑰泄漏。

3.2數字簽名技術

數字簽名技術能夠為卡片賦予一個獨有的私有密鑰。在對卡片內數據進行數字簽名后，數據將具有唯一性和不可復制性。數字簽名后的卡片并不是使用函數加密，而是通過CA授權。并且數字簽名采用B/S模式認證，卡片使用自動認證，由于非法卡片無法復制數字簽名，所以無法通過認證。另一方面，應對數字簽名設置使用權限和有效日期，定期更換數字簽名，以保障私有密鑰安全。

四、結束語

校園卡系統網絡安全問題不容忽視，安全問題不僅會影響系統的正常運行，更會使學校遭受經濟損失。因此，學校應提高對校園卡系統網絡安全的重視，采取相應措施利用安全技術提高校園卡系統網絡安全性。

作者：鄧艷波 楊卓 鄧振宇 單位：吉林大學珠海學院

第二篇：校園網網絡安全技術建設應用

一、校園網絡安全體系設計的原則

網絡安全對校園網的建設至關重要，技術人員對網絡安全性的設計要遵循以下幾點原則:第一，安全性。它是保障網絡安全的首要目標，對保護信息和網絡系統尤為關鍵，校園網的安全性必須要做好網絡體系的完備性和可擴展性。第二，可行性。校園網網絡安全體系的設計要把理論與現實情況相結合，降低實施的難度。第三，高效性。網絡安全體系主要包括軟件和硬件設施，它在運行過程中也會對校園網產生影響，所以在進行網絡安全設計時要考慮系統資源的開銷，確保整個校園網的正常運轉。第四，可承擔性。學校承擔著網絡安全體系各方面工作的代價和開銷，校園網的安全系統設計要根據學校的特點和實際承受能力而開展，沒有必要按銀行級標準來設計。

二、校園網絡安全建設的措施

網絡安全是社會各界非常關注的問題，學校在建設校園網絡時要充分重視和支持，依靠先進的網絡安全技術，保障校園網絡的安全。目前，校園網絡安全建設的主要利用的是以下幾個方面的技術:

(一)防火墻技術。

目前防火墻是對網絡系統進行安全保護的最常用防護措施，在社會各界的網絡和系統中被廣泛應用。校園網絡管理員可以通過防火墻對網絡中的數據進行監控，對于特定數據包可以方便快捷地允許或禁止其通過，同時還能監控和記錄網絡中的所有事件，保證內部網絡不會遭到攻擊，還能正常提供網絡訪問、下載等服務。校園網絡安全要做好防火墻設置方案，目前主要應用的是雙宿主機網關、屏蔽主網、屏蔽子網三種方式，其中屏蔽子網在保護校園網安全、提高防火墻抗攻擊能力方面作用最為顯著。校園網防火墻的設置要遵守以下幾點原則:一是要根據校園網的用途和特點，正確設置安全過濾規則，防止公網非法訪問校園網絡;二是要對防火墻訪問日志進行定期檢測和查看，及時發現網絡攻擊行為和不良上網記錄;三是為提高防火墻管理安全性，還要加強網卡對防火墻的設置。

(二)防病毒技術。

計算機病毒嚴重威脅著網絡安全，防止計算機病毒傳播不但要建立完善的管理措施，還要有病毒掃描、病毒查殺、系統恢復等工具和技術。學校領導、教師、學生使用電子郵件的情況比較廣泛，這就造成了計算機病毒的迅速傳播，學校信息系統因此受到侵害，造成了學校的嚴重損失。隨著互聯網的快速發展，計算機病毒的種類和傳播途徑也日益多樣化，校園網的防病毒工作急需建立一個多層次、立體的病毒防護體系，并依靠先進的管理系統防止計算機病毒的侵害。防病毒軟件在校園網絡安全中得到了最為廣泛的應用，學校在對防病毒軟件進行選擇時，要充分考慮到軟件的易用性、系統的兼容性、對資源的占用情況及病毒查殺能力，同時還要綜合考慮軟件的價格、軟件開發商的實力等。除了安裝防病毒軟件之外，學校還要采用集中式安全管控的防毒策略，它的優點主要體現在:第一，可對校內所有聯網計算機進行統一的病毒清除;第二，具有病毒預警機制，可及時更新、升級病毒庫;第三，可在線幫助域外計算機查毒、殺毒;第四，可整合電子郵件系統，有效過濾病毒郵件。

(三)訪問控制技術。

訪問控制技術是針對不同身份的用戶對網絡數據資源進行限制，防止非法用戶的入侵，保護合法用戶的權利，同時保證網絡數據的保密性和網絡系統的完整性。網絡系統的安全防范和保護需要重視訪問控制技術的應用，它的應用類型主要有三種:網絡訪問控制、應用程序訪問控制和主機、操作系統訪問控制。做好校園網的訪問控制的應用要遵循以下三個原則:一是最小特權原則，即最小化分配用戶的所需權限。這樣可以對用戶權限進行最大程度的限制，用戶只能進行權限內的操作，越權的操作一律不被允許，只有把用戶錯誤操作的概率降到最低，才能保證系統最大程度上的安全。二是最小泄密原則。這一原則是在最小特權原則的基礎上進行的，只有分配到用戶身上的權限越小，才能保證用戶信息被竊取的越少，規避重大損失的產生。三是多級安全策略。用戶權限具有安全級別，若用戶強制訪問，則需其權限高于安全級別，訪問控制技術中多級安全策略的應用可保證系統的安全，防止敏感資源的擴散。校園網的安全建設需重視訪問控制技術的應用，保證校園內不同角色登錄校園網權限的級別和差異性，防止機密信息的泄漏與擴散。

(四)網絡數據恢復和備份技術。

計算機病毒、黑客攻擊等都會造成校園網信息數據的泄漏、丟失，應用網絡數據恢復和備份技術可以有效保護校園網的重要數據信息資源。學校運用網絡備份設備可以對網絡信息資源進行集中管理，不僅可以提高網絡管理員的工作效率，還可以對校園網絡中的備份作業進行實時監控。校園網運行過程中結合網絡數據恢復和備份技術，可以根據出現的問題及時對網絡備份策略進行修改，有效提高系統備份的效率。校園網網絡管理的重要環節是定時對網絡數據庫中的數據資源進行備份，校園網要建立在線網絡索引，保證用戶在訪問校園網過程中可以根據需求隨時恢復網絡數據文件。同時校園網的歸檔管理在網絡數據恢復和備份技術上得以實現，校園網絡管理員可以利用統一的數據備份和儲存格式保障網絡信息數據的長期保存。

(五)身份認證和數據加密技術。

身份認證技術是指網絡用戶在使用計算機網絡時身份需要被確認并獲得準入權限的技術。在校園網絡中，每一個校園網絡使用者都需要在網絡管理員處獲得一個身份，憑借這個身份，網絡用戶在登錄校園網絡后需要首先輸入相應的帳號和密碼，通過身份認證后才被準入校園網絡而進行查找、瀏覽、下載等活動，這對網絡黑客的惡意攻擊產生了巨大的抑制作用，從而提高了校園網絡的安全性。但隨著科技的快速發展，一些網絡攻擊者通過特殊手段進入了校園網絡，對用戶信息進行修改、盜竊的違法犯罪活動，這時學校就應當做好數據加密工作。數據加密主要是針對通信數據和路由數據而進行的加密處理，網絡攻擊者竊取數據之后，沒有能力對其解密，從而無法獲得有用的數據信息，這樣就保障了數據的機密性。

三、結語

綜上所述，隨著科技的快速發展，互聯網已被社會各界廣泛應用，但隨之而來的是計算機病毒傳播、黑客攻擊等重大安全問題，他們對校園網的安全建設也帶來了極大威脅。為保障校園網絡的安全建設，學校要主動應用一些成熟的網絡安全技術，如防火墻技術、防病毒技術、訪問控制技術、網絡數據恢復和備份技術、身份認證和數據加密技術等，這樣就提高了網絡的安全性，對校園網絡的健康發展起到了極大促進作用。

作者：何曉麗 侯彥麗 單位：張家口學院

第三篇：校園虛擬網網絡安全

1引言

隨著網絡技術的深入發展,面對層出不窮的網絡攻擊,我院校園網網絡中安全問題也日益突出,越來越多的網絡病毒攻擊校園網絡,網絡信息的安全受到極大的威脅.傳統意義上的信息安全,一般都是防御性質的,比如防火墻、入侵檢測系統、加密等等,但是,與其疲于防范,不如改變防御策略主動出擊.而蜜罐技術作為一種主動防御機制,希望做到的正是改變傳統的信息安全思路,使其更具交互,其主要功能是用來學習了解敵人(入侵者)的思路、工具、目的.

2Honeynet技術

2.1蜜罐技術概述

蜜罐作為一種主動防御網絡安全的技術,具有高交互性的特點.通過部署陷阱,吸引攻擊者,從而降低真實網絡被攻擊的機率,同時對捕獲攻擊者的數據進行深入分析,掌握攻擊者的攻擊方法、策略等,提高防御攻擊的能力.主要有以下幾方面的特征:(1)“一種由被探查攻擊削弱來體現價值的安全設施”;(2)對攻擊者具有欺騙性;(3)沒有業務上的用途,不存在區分正常流量和攻擊的問題;(4)所有流入/流出蜜罐的流量都預示著掃描、攻擊及攻陷;(5)用以監視、檢測和分析攻擊.

2.2Honeywall概況

蜜罐的目的是收集損害或者被攻擊的數據以及行為,因此它們對Internet網絡構成了潛在的嚴重威脅,若要保護受到其他系統進行探測和攻擊而損害的高互動蜜罐,蜜罐被放在一個特殊的實體的后面稱為Honeywall.Honeywall作為一個連接互聯網和陷阱的透明網橋,其目標是用來捕獲網絡空間中各種威脅的具體行為,并能對捕獲的數據加以分析.

2.3Honeynet技術

蜜網(Honeynet)技術是由Honeynet項目組(TheHoneynetProject)提出并倡導的一種對攻擊行為進行捕獲和分析的新技術,但在本質上來講仍然是一種蜜罐技術.要成功地建立一個Honeynet,需要面臨以下三個問題:數據控制、數據捕獲和數據分析.數據控制代表一種規則,你必須能夠確定你的信息包能夠發送到什么地方.數據控制是對攻擊者在Honeynet中對第三方發起的攻擊行為進行限制的機制,用以降低部署Honeynet所帶來的安全風險.數據捕獲,即監控和記錄攻擊者在Honeynet內的所有行為,最大的挑戰在于要搜集盡可能多的數據,而又不被攻擊者所察覺.數據分析則是對捕獲到的攻擊數據進行整理和融合,以輔助安全專家從中分析出這些數據背后蘊涵的攻擊工具、方法、技術和動機.

3蜜罐技術在校園網網絡安全防御的實現

在本文研究中,根據我院校園網絡環境的實際要求,通過使用虛擬軟件(VMWare)和物理計算機建立一個混合虛擬Honeynet,從而減少了物理計算機的需要.VMWare宿主主機(物理計算機)配置Honeywall網關和控制機,在主機中的虛擬機中配置二臺基于Linux和Windows的蜜罐,并使用一臺物理計算機部署為Windows的蜜罐.

3.1數據控制的實現

數據控制的策略主要是對流經系統的數據進行控制.首先,讓攻擊者順利進入并攻擊系統是部署虛擬Honeynet的目的之一,因此對流入的虛擬Honeynet的數據不作任何限制;然而,為了降低虛擬Honeynet的風險,防止攻擊者將虛擬Honeynet作為跳板攻擊其他正常系統,應對虛擬Honeynet外出的連接做流量限制,并且還要分析數據包抑制攻擊數據包的傳播.在部署的Honeynet中,數據控制的第一個策略是將所有流向192.168.x.0/24的數據都導向Honeywall宿主主機上.虛擬Honeynet中的兩個蜜罐對于攻擊者是隱蔽的,攻擊者在攻擊是不知道哪是真實的系統.在防火墻中,所有主機訪問校園內網路由器中192.168.0.x/24字段的數據均通過eth0導向Honeywall宿主主機(192.168.216.5)上,通過設置Iptables模塊完成數據流量導向,設置如下:[root@hnroot]#Iptables–PINPUTDROP[root@hnroot]#Iptables–PFORWARDDROP[root@hnroot]#Iptables–POUTPUTACCEPT[root@hnroot]#Iptables–AFORWARD–Ieth0–d192.168.0.2/24–jACCEPT數據控制的第二個策略是在部署的虛擬Honeynet中對流出的數據流量進行了限制,每分鐘流出的TCP,UDP,ICMP和其他協議數據包不超過20個,同時防火墻是否將包發給snort_inline,snort_inline對已知攻擊包設置方式為Replace.若流出數據流量超過每分鐘20個或發現已知攻擊時,系統將通過Swatch產生Email報警發送給宿主主機(管理機).

3.2數據捕獲的實現

數據捕獲是蜜網的一個重要目的,如果沒有捕獲到數據,那蜜網只能是一堆浪費網絡帶寬、金錢的廢鐵而已.蜜網通過三個層次來捕獲數據,一是Honeywall的日志記錄;二是snort記錄的網絡流;三是Sebek捕獲的系統活動.把蜜墻、snort及sebek上的收集到的數據捕獲,經過處理后放到數據庫和pcap文件中,為后續進行的數據分析提高資料.

(1)Honeywall的日志記錄

Honeywall的日志可以輕松捕獲經過Honeywall的數據,通過配置rc.honeywall腳本就可以實現,在Honeywall日志記錄中的所有進入和外出的連接均被記錄到/var/log/messages,這樣可以從整體的角度來看系統干了些什么.

(2)網絡原始數據流

Snort進程捕獲所有的網絡活動和內部網絡接口(eth1)的數據包的數據流量信息,包括所有用UDP包來發送的Sebek活動.當snort運行在數據包記錄器模式下時,它會把所有抓取的數據包按IP分類地存放到log_directory中.可用-h指定本地網絡,以使snort記錄與本地網絡相關的數據包.命令如下:snort-vde-llog_directory-h192.168.1.0/24在部署的Honeywall中,通過配置snort_pacp.sh腳本,啟動基于數據包記錄器模式下的snort,編輯/etc/snort/snort.conf文件,找到“varHOME_NETany”行,把any換為宿主主機所在子網地址(192.168.1.2),將該行改為“varHOME_NET192.168.1.2”;另外,找到“varEXTERNAL_NET…”行,將該行改為“varEXTERNAL_NET!2192.168.1.2”(注意感嘆號和后面的地址之間沒有空格),其它的環境變量一般使用默認值即可.接著找到outputlog_tcpdump一行,日志格式的配置為mysql數據庫方式,將這行改為:outputdatabase:log,mysql,dbname=snortdbuser=snorthost=localhost

(3)Sebek捕獲的系統活動

雖然蜜罐對于攻擊者是不可見的,但是產生在蜜罐上的大量數據應被捕獲,Sebek就是一個在數據加密情況下進行數據捕獲的工具.Sebek有兩個組成部分:客戶端和服務端,客戶端安裝在虛擬Honeynet的蜜罐上,蜜罐里攻擊者行為被捕獲后發送到網絡(對攻擊者是不可見的)并且由Honeywall網關被動的收集.在本次研究中,在Honeywall網關上自動配置了Sebek的服務端,在蜜罐192.168.0.4、蜜罐192.168.0.5和蜜罐192.168.0.6中配置了Sebek客戶端.①在windows蜜罐(192.168.0.6)下配置Sebek客戶端:指定eth2為網絡接口;目的MAC:00:0C:29:12:86:6D,這是Honeywall的MAC地址,是配置中的一個重要參數;目標IP:0.0.0.0;目的端口:1101;MAGIC_VALUE:XXXXX.②在windows蜜罐(192.168.0.5)下配置Sebek客戶端:指定eth2為網絡接口;目的MAC:00:0C:29:12:86:6D,這是Honeywall的MAC地址,是配置中的一個重要參數;目標IP:0.0.0.0;目的端口:1101;MAGIC_VALUE:XXXXX.③在linux蜜罐(192.168.0.4)下配置Sebek客戶端,在skb_install.sh腳本中修改配置文件.④在Honeywall網關配置Sebek服務端,在Honeywall建立接收捕獲數據的數據庫sebek后,使用命令:sbk_extract–ieth0–p1101|sbk_upload.pl-uroo–phoney–dSebek,將sbk_extract監聽eth0上UDP端口是1101的Sebek數據包,提取出來的數據發送給sbk_upload.pl,它把這些數據插入到用戶名是”roo”、口令是”honey”、數據庫名字叫”Sebek”的本地主機數據庫.通過在Honeywall網關中使用命令:sbk_extract–ieth0–p1101|sbk_ks_log.pl實現捕獲數據,其中sbk_extract監聽eth0,收集UDP端口1101上的數據,然后把這些記錄傳遞給sbk_ks_log.pl來提取擊鍵活動.

3.3數據分析的實現

當數據捕獲后,若不對其進行分析,則捕獲的數據沒有任何意義,在本文部署的Honeynet中,采用自動報警機制與輔助分析機制兩種機制.Swatch工具為蜜網中的Snort日志文件與IPTables提供了視功能,同時在被攻擊時能夠發出自動的報警.在蜜網中,主機被攻擊者攻陷然后它會向外部發起連接,Swatch工具根據指定特征的配置文件進行匹配并自動向安全管理人員發出報警郵件。輔助分析采用了強大的基于瀏覽器的數據分析工具Walleye,該工具安裝在蜜網網關上,較多的顯示對進程視圖與網絡連接視圖,而且結合被捕獲數據的多種類型在單一視圖中,從而使安全管理人員能夠迅速了解對蜜網中所發生的所有攻擊事件.在蜜網中,輔助分析機制與自動警報機制的結合,提供了非常方便的攻擊數據分析流程,如圖5,如果蜜罐主機被入侵者攻擊,同時發動外部連接,它將會啟動自動警報機制并通過報警郵件發送給安全管理人員,并提供重要數據連接信息,如外部連接目標IP、發起時間和端口等.安全管理人員收到警報后,就可以將所給出的連接信息進行參考,對發生的攻擊事件通過Walleye輔助分析接口來仔細分析,從而掌握攻擊者攻擊的動機與方法.

3.4對Honeypot的滲透攻擊

Metasploit作為來檢測系統的安全性.在linux平臺上版本比較老的samba服務的smbd守護進程由于對外部輸入缺少正確的邊界緩沖區檢查,遠程攻擊者可以利用這個漏洞以root用戶權限在系統上執行任意指令,本系統利用這個漏洞來進行滲透攻擊.安全漏洞檢測工具選擇開源免費的Metasploit.

(1)在宿主主機上安裝Metasploit.

(2)Metasploit滲透攻擊測試.

將宿主主機的防火墻打開,使得能夠接收4444端口的連入.在Honeypot上開放samba服務,然后運行MSFConsole,輸入滲透攻擊命令,獲得反向shell.攻擊。

(3)對攻擊數據進行分析,驗證蜜網數據捕獲和分析功能.

漏洞滲透攻擊成功,我們通過Walleye分析工具來查看蜜網網關捕獲的數據和分析結果,發現數據記錄.從抓到的數據包,可以看到攻擊主機發包的操作系統是linux,IP地址是192.168.0.2.我們再看一下對攻擊數據包的解碼結果,可以看到有很長一段數據是重復的“A”或“0”,這是典型的緩沖區溢出的包的特征,可以判斷這是一次緩沖區溢出的攻擊.攻擊結果是得到了一個反向的Shell,在這里我輸入了ls和cd命令僅作為測試,可以看到有相應的結果輸出.本節詳細介紹蜜罐技術的三大核心機制(數據控制、數據捕獲及數據分析)的實現,通過在校園內網中的實際攻擊測試,驗證所部署的蜜網對這些攻擊測試的數據捕獲和分析能力,說明本次部署各功能均達到預期效果,只要進行簡單設置調整,可以廣泛應用與實際互聯網中,從而降低網絡被攻擊的概率.

4結語

蜜網技術的提出為解決網絡安全問題提供了一種有效的方法,它作為一種主動防御機制,通過部署“陷阱”使攻擊者對其進行攻擊,從而保護真實的網絡,降低真實網絡被攻擊的概率,并且使用數據捕獲機制將攻擊者訪問蜜網的數據流量和信息捕獲,并通過限制數據流量等措施有效防止攻擊者將蜜網作為跳板而攻擊其他主機.通過使用蜜罐技術,在校園網中部署虛擬Honeynet系統,解決了我院校園網內部對攻擊數據信息的捕獲問題,從而達到了能夠更好地收集攻擊者的工具數據、研究并分析其攻擊戰術、攻擊動機以及相應的攻擊策略等的效果,減少校園網被黑客或木馬攻擊的機率.

作者：李巧君 單位：河南工業職業技術學院計算機工程系