民族高校網絡信息安全系統的設計與實現

羅開田

（四川民族學院 計算機科學系，四川 康定 626001）

民族高校網絡信息安全系統的設計與實現

羅開田

（四川民族學院 計算機科學系，四川 康定 626001）

隨著計算機網絡及信息技術的快速發展，網絡信息安全問題已日趨嚴重，建立健全網絡信息安全系統是確保網絡正常運轉的必要條件和重要保障.該文通過四川民族學院網絡信息安全系統的設計與實現，對如何實現民族高校的網絡信息安全進行了深入探討.

網絡安全；計算機信息安全；計算機網絡防御；防火墻

在我國民族高?？焖侔l展的重要時期，無論是國家還是學校自身，都在加大對計算機網絡系統的投入和建設，并且在硬件建設方面取得重大突破.但伴隨著計算機網絡及信息技術的快速發展，網絡信息安全問題已越來越嚴重，建立健全網絡信息安全系統已迫在眉睫.本文從當前民族高校網絡信息安全面臨的新問題入手，通過分析當前主要的網格信息安全技術，并結合四川民族學院網絡信息安全系統的設計與實現，強調了加強網絡安全管理的重要性，探討了實現民族高校網絡信息安全的主要途徑.

1 民族高校網絡信息安全面臨更加嚴俊的新問題

1.1 由于民族高校的性質和所處地位的特殊性，使其計算機信息安全面臨更加嚴俊的挑戰

隨著現代互聯網技術的發展，大多數民族高校都實現了無紙化辦公，通過建立學生信息管理系統、教師工資管理系統、OA系統及學分制管理系統等，極大的提高了管理效率.因而，在計算機中儲存了大量的各種信息，其中自然就包括了大量的機密信息、隱私信息.但由于在計算機網絡硬件投入方面的欠缺，及相關專業管理人員的水平限制，使得信息遭受被竊取、泄露的數量也隨之增加，同時其范圍也越來越廣，其計算機信息安全問題就越來越突出.

1.2 計算機病毒使網絡上的計算機信息受到了更大的威脅

在網絡發展初期，由于計算機病毒大多是以單機為感染目標，它的傳播方式也很有限，給計算機用戶造成的損失也不太大.但隨著網絡和計算機病毒程序的不斷發展變化，又加之計算機病毒的隱蔽性、傳染性和破壞性，病毒也不斷升級，最終發展成為以網絡方式傳播.這樣就使得計算機網絡或是計算機網絡上的信息成為了攻擊目標.特別是網絡病毒的入侵能夠讓網絡服務器癱瘓或者竊取服務器上的重要信息，這些破壞都對信息系統的穩定性和安全性產生了很大的影響.而民族高校網絡系統自身還存在著硬件和防病毒軟件系統都不太完善的情況，這樣就更加使得其信息安全系統面更大的威脅.

1.3 民族高校的網絡用戶對計算機信息安全的意識不強

隨著計算機軟硬件技術的發展，如今的病毒、木馬、惡意軟件之間的界限已十分模糊，而且在有關技術上互相滲透[1].而民族高校的網絡用戶普遍存在安全意識不強的問題，在其計算機中安裝的安全軟件大多是盜版軟件，其升級、病毒庫更新的周期過長，進行不了適時的查毒殺毒，嚴重影響了用戶的信息安全.另外，用戶在使用各種應用軟件時，也不太具備安全常識和意識，對很多軟件的“后門”知之甚少，更不知如何維護，就連如何給系統打補丁、堵漏洞等常規安全措施都未做到.還有就是不少人從不對數據進行備份或疏于備份.以上種種現象無不給民族高校的計算機信息帶來了嚴重的安全隱患.

2 當前網絡信息安全的主要技術分析

2.1 網絡防火墻技術

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它實際上是一種獲取安全性方法的形象說法，保護內部網免受非法用戶的侵入.防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成.目前網絡上面也提供很多的免費防火墻下載，比較常見的防火墻有ARP防火墻、ddos防火墻、360防火墻等等.防火墻按照特性分為三類：軟件防火墻、硬件防火墻、芯片級防火墻.

2.2 數據加密技術

所謂數據加密（Data Encryption）技術是指將一個信息（或稱明文，plain text）經過加密鑰匙（Encryption key）及加密函數轉換，變成無意義的密文（cipher text），而接收方則將此密文經過解密函數、解密鑰匙（Decryption key）還原成明文.加密技術是網絡安全技術的基石.數據加密技術要求只有在指定的用戶或網絡下，才能解除密碼而獲得原來的數據，這就需要給數據發送方和接受方以一些特殊的信息用于加解密，這就是所謂的密鑰.其密鑰的值是從大量的隨機數中選取的.按加密算法分為專用密鑰和公開密鑰兩種.當前常用的加密技術有對稱加密技術和非對稱加密技術[2].對稱加密技術是指同時運用一個密鑰進行加密和解密；非對稱加密技術就是加密和解密所用的密鑰不一樣，它有一對密鑰，分別稱為“公鑰”和“私鑰”，用公鑰加密的文件必須用相應人的私鑰才能解密，反之也是.

2.3 計算機反病毒技術

使用“查殺防合一”的集成化反病毒產品，把各種反病毒技術有機地組合到一起共同對計算機病毒作戰已是大勢所趨.在病毒的自動檢測技術方面，殺毒軟件，均采用特征代碼檢測法，當掃描某程序時，如果發現某種病毒的特征代碼，便可發現與該特征碼對應的計算機病毒.另一種計算機病毒檢測技術是基于特征標記的方式，這種方法就是對磁盤上的可執行部分進行一種或幾種特殊的運算得出一個特征標記，存于磁盤上，在適當的時機對這些可執行部分進行校驗，若與原先存于磁盤的特征標記不同，一般可認為是染上了病毒，這種方法非常有效，并已發展得很成熟.缺點是無法檢測出未知的文件是否染上病毒，而且在實現技術方面仍然有不完善的地方.有時在帶毒環境下，這種方法將會失效.

2.4 入侵檢測技術

入侵檢測是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖.入侵檢測是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持.入侵檢測作為一種主動性地安全防護技術，最大的優點在于提供了對內部攻擊、外部攻擊和誤操作的實時保護，預先對入侵活動進行攔截和響應.在網絡信息安全立體縱深、多重防御的發展趨勢下，未來的入侵檢測系統可以軟硬件結合，配合其他網絡管理軟件，提供更加及時、準確的檢測手段[3].

3 民族高校網絡信息安全系統的設計與實現

3.1 設計

針對上文有關計算機信息安全面臨的新問題和主要技術分析，筆者認為要想將這些系統管理功能變為現實是離不開計算機軟硬件系統的共同支持.根據具體環境建立適應民族高校的網絡信息安全系統，采取整體的計算機網絡防御策略已經成為必然.這樣不僅可以實現措施高效、正確、自動化的部署，還可以實現系統的可伸縮性和靈活性，由于系統策略的許多優點，策略已經成為網絡防御的核心，所有的保護、檢測、響應都是依據策略實施.本文所給出的網絡信息安全系統包括安全體制建設、網絡的安全接口技術及網絡的安全傳輸系統3個部分.

3.1.1 安全體制建設的主要內容為

通過檢驗的有效安全的算法庫、安全數據信息庫、良好的用戶界面.其中，主要的安全算法庫有：HASH算法（如有SDH、SHA、MD5等）庫、公鑰算法庫、私鑰算法庫、密鑰生成系統及隨機函數生成程序等；安全數據信息庫的主要內容為用戶口令和密鑰、用戶管理參數和權限、系統運行狀態等安全信息；用戶界面則主要為安全服操作界面和安全信息管理界面等.

3.1.2 網絡的安全接口技術主要包括實現網絡安全的基本協議和網絡通信接口技術

實現網絡安全的協議主要有安全鏈接協議、用戶驗證協議、密碼分配和管理協議等.而絡通信接口技術則可以通過對當前使用的網絡通信協議進行一定的改動，從而在網絡層和應用層的中間加上一個實現網絡安全的小層.

3.1.3 網絡安全傳輸系統包括網絡安全管理信息系統和網絡安全的必備保障系統

網絡數據傳輸安全的核心是通過對數據發送、網絡傳輸、數據接收各個環節中的數據進行加密處理，以達到實現數據安全的目的.保護在公用網絡信息系統中傳輸、交換和存儲的數據的保密性、完整性、真實性、可靠性、可用性和不可抵賴性等.而加密技術則是數據傳輸安全的核心.它通過加密算法將數據從明文加密為密文并進行通信，密文即使被黑客截取也很難被破譯，然后通過對應解碼技術解碼密文還原明文.而實現網絡安全的網絡安全管理系統則是安裝在用戶或各網絡節點之上，由大量的可執行程序或軟件組成，并且提供可視化、交互化的用戶管理界面，由用戶可網絡安全管理人員管理控制數據信息的安全傳輸.而網絡安全的必備保障系統則主要是整個網絡信息安全系統的基礎硬件設施和與之配套建立起來的安全保障制度、協議及安全信息的總稱.

3.2 實現

3.2.1 做好民族高校網絡信息安全系統的需求分析

由于民族高校的特殊地理位置和網絡安全需求是不同的，我們在設計安全系統時首先就是要做好需求分析，而是不能簡單的隨大流——所有措施和硬件都選配當前最新的，從而避免不必要的資源浪費和人力浪費.

3.2.2 分析并確定面臨可能遭受的網絡攻擊和風險

本文在文首就分析了民族高校面臨的網絡新問題，在此不再贅述.對于一個有效的網絡信息安全系統，做好風險預測、具體的環境考察、評估及必要的檢測是必須的.另外，還要有意識的做好本系統的安全分析，盡可能找出有可能存在的漏洞和潛在的安全威脅，這些都是建立網全信息系統的必要保障和基礎.

3.2.3 制定和建立安全策略

安全策略是實現網絡信息系統的總體目標和根本原則，同時也是對各應用系統具體完備的解決方案.安全策略著重要考慮以下幾個方面：系統的整體安全性、相關子系統的安全性、對原來建立的系統的主要影響、要便于專業的網絡管理人員進行具體的操作管理和控制、要便于今后系統的升級和換代等.當然，對于系統的建立周期、界面友好性及總體投資規模等也應加以考慮.

3.2.4 比較、選擇當前的各種安全模型，建立適合本校的安全模型

通過在實踐中建立的各種模型各有特點，由于模型的建立可以使相對較復雜的問題變得簡單化或規律化，各校應結合自身實際建立總的安全模型和各子系統的安全模型.信息安全系統的設計和實現可以包括安全體制、網絡安全連接、網絡安全傳輸等組織部分.

3.2.5 通過數字簽名、數字水印等現代的PKI技術，選擇并實現安全服務

現代密碼技術的應用已經廣泛運用到現代的的網絡安全管理之中，特別是用戶權限及密鑰的管理.我們可以通過軟件編程或硬件芯片技術實現各種安全服務，同時，在軟件編程中要特別注意解決內在管理、流程優化和系統穩定及運算時間等問題.

3.2.6 在建立安全策略的同時，將安全服務配置到具體的有關協議中

我們知道，僅憑安全體制和現代密碼技術本身是難以解決信息的安全管理和傳輸問題，必須在一個相對系統、完備地、全面的安全協議中才能實現.可以說安全協議是安全策略的最終實現形式.

4 結論

本文通過分析民族高校網絡面臨的各種新問題及當前的各種有效的網絡安全技術手段，結合四川民族學院的網絡安全策略，設計、并實現了一種有效的網絡安全信息系統.但隨著計算機技術和網絡網絡經濟的發展，無論對于網絡管理者還是普通的網絡用戶而言，對網絡信息安全的要求都在不斷提高.對于民族高校而言，無論是在資金、人員、軟件、硬件還是網絡信息安全意識等方面都還存在相當的差距.我們只有在高度重視自身面臨的環境因素的前提下，充分考慮當前的防火墻技術、殺毒技術、信息加密技術，特別是入侵檢測技術等網絡安全技術手段，選擇并建立適合自身的網絡信息安全系統，才能從根本上保障網絡的安全運行和信息的安全傳輸.

〔1〕曹壽慕.計算機信息安全的新特點[J].吉林省教育學院學報，2010（10）：142.

〔2〕劉洋.高等院校網絡信息安全系統的設計與實現[J].煤炭技術，2011（3）：226.

〔3〕霍燕斌.淺議計算機信息安全所面臨的威脅以及防范技術 [J].計算機光盤軟件與應用，2012（1）：48.

TP393.18

A

1673-260X（2012）10-0042-03

四川民族學院科研項目資助（康師專研發2006（10））