校園網絡安全協議及產品的比較研究

近幾年來，在我國進行了校園網絡安全操作系統、安全數據庫、多級安全機制的研究，開發的防火墻、安全路由器、安全網關、黑客入侵檢測系統等產品和技術，主要集中在系統應用環境的較高層次上，在完善性、規范性、實用性上還存在許多不足。由于自主安全內核受控于人，難以保證沒有漏洞，特別是在多平臺的兼容性、多協議的適應性、多接口的滿足性方面存在很大距離，其理論基礎和自主的技術手段也有待于發展和強化。確保校園計算機系統的安全已成為業界關注的問題，信息安全已成為信息科學的熱點課題，信息安全專業也受到大家的普遍關注。本文對此校園網絡安全協議與安全產品在技術上給予初步探討。

一、校園安全協議的形式化研究思路

安全協議的研究主要包括兩方面內容，即安全協議的安全性分析方法研究和各種實用安全協議的設計與分析研究。安全協議的安全性分析方法主要有兩類，一類是攻擊檢驗方法，一類是形式化分析方法，其中安全協議的形式化分析方法是安全協議研究中最關鍵的研究問題之一，許多一流大學和公司的介入，使這一領域成為研究熱點。

在協議形式化分析方面目前的研究思路有三種：第一種是基于推理知識和信念的模態邏輯；第二種是基于狀態搜索工具和定理證明技術；第三種是基于新的協議

在第一種思路中，Brackin推廣了GNY邏輯并給出了該邏輯的高階邏輯（HOL）理論，然后利用HOL理論自動證明在該系統內與安全相關的命題；Kindred則提出安全協議的理論生成，解決了更廣的問題：給定一個邏輯和協議，生成協議的整個理論的有限表示。盡管也有人提出不同的認證邏輯來檢查不同的攻擊，但是與前兩項工作相比是不重要的。

第二種思路是近年來研究的重點，顯著的成果有：Lowe使用進程代數CSP發現了Needham-Schroeder公鑰協議的十七年未發現的漏洞；Schneider用進程代數CSP歸范了大量的安全性質；基于進程代數CSP，Lowe和Roscoe分別發展了不同的理論和方法把大系統中協議安全性質的研究約化為小系統中協議安全性質的研究；Abadi及Gordon發展推演密碼協議的Spi演算，J. Mitchell等把Spi演算與他們發展的工具Murφ結合，有可能把MIT群體的基于算法復雜性的協議安全理論與進程代數有機結合；Meadows及Syverson發展協議分析儀的工作是重要的；Bolignano使用Coq來分析大協議取得實效。

第三種思路是推廣或完善協議模型，根據該模型提出有效的分析理論。在這方面Thayer， Herzon及Guttman提出的Strand Space理論是一個相當簡潔、優美的理論，它把以往使用過的許多思想及技術合理融為一體。Paulson的歸納方法也是有力的，而Schneider基于CSP的理論分析體系已引發許多工作。

二、校園網絡安全產品的比較分析

校園網絡中的安全威脅主要有以下幾方面：1）用戶身份在通信時被非法截取；2）非法用戶假冒合法用戶身份獲取敏感信息；3）非法用戶截獲通信網絡的數據；4）通信方事后否認曾經參與某次活動的行為；5）非授權訪問；6）合法用戶的正當申請被拒絕、延遲、更改等；7）錯誤路由等。

要解決校園網絡信息的這些安全問題，可利用密碼技術和網絡訪問控制技術。從而對系統進行安全保護，抵抗各種外來攻擊。目前，在市場上比較流行的安全產品大致有以下幾種：

1.安全路由器：由于WAN連接需要專用的路由器設備，因而可通過路由器來控制網絡傳輸。通常采用訪問控制列表技術來控制網絡信息流。

2.虛擬專用網（VPN）：虛擬專用網（VPN）是在公共數據網絡上，通過采用數據加密技術和訪問控制技術，實現兩個或多個可信內部網之間的互聯。VPN的構筑通常都要求采用具有加密功能的路由器或防火墻，以實現數據在公共信道上的可信傳遞。

3.防火墻：防火墻在某種意義上可以說是一種訪問控制產品。它阻止外界對內部資源的非法訪問，防止內部對外部的不安全訪問，能夠較為有效地防止黑客利用不安全的服務對內部網絡的攻擊，并且能夠實現數據流的監控、過濾、記錄和報告功能，較好地隔斷內部網絡與外部網絡的連接。

4.安全服務器：安全服務器主要針對一個局域網內部信息存儲、傳輸的安全保密問題，其實現功能包括對局域網資源的管理和控制，對局域網內用戶的管理，以及局域網中所有安全相關事件的審計和跟蹤。

5.安全管理中心：由于網上的安全產品較多，且分布在不同的位置，這就需要建立一套集中管理的機制和設備，即安全管理中心。它用來給各網絡安全設備分發密鑰，監控網絡安全設備的運行狀態，負責收集網絡安全設備的審計信息等。

6.入侵檢測系統（IDS）：入侵檢測，作為傳統保護機制（比如訪問控制，身份識別等）的有效補充，形成了信息系統中不可或缺的反饋鏈。

7.電子簽證機構—CA和PKI產品：電子簽證機構（CA）作為通信的第三方，為各種服務提供可信任的認證服務。以可向用戶發行電子簽證證書，為用戶提供成員身份驗證和密鑰管理等功能。

8.用戶認證產品：由于IC卡技術的日益成熟和完善，IC卡被更為廣泛地用于用戶認證產品中，用來存儲用戶的個人私鑰，并與其他技術如動態口令相結合，對用戶身份進行有效的識別。

三、網絡安全產品的發展對策

絕對的網絡安全是沒有的。我們所能做的，就是減少校園網絡所面臨的安全風險，延長安全的穩定周期，網管與安全人員需要解決的是來自內部和外部的混合威脅，是蓄意或無意的攻擊和破壞，是需要提高整體安全防范意識與科學的協調和管理。在經歷了普及終端和網絡互聯的時代后，我們面對的問題還有很多，如客戶端的非法操作，對網絡的不合法的訪問與利用；網絡結構的設計缺陷與混雜的部署環境；網絡邊界與關鍵應用的區域缺乏必要的防御措施和審記系統等等。

校園網絡安全的解決是一個綜合性問題，涉及到諸多因素，包括技術、產品和管理等。當前市場上已有很多的校園網絡安全解決方案和產品，但由于出口政策和自主性等問題，不能直接用于解決我國自己的校園網絡安全，因此我國的校園網絡安全只能借鑒這些先進技術和產品，通過自主創新自行加以解決，才是我們應該關注的方向。