羅開(kāi)田

（四川民族學(xué)院 計(jì)算機(jī)科學(xué)系，四川 康定 626001）

民族高校網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

羅開(kāi)田

（四川民族學(xué)院 計(jì)算機(jī)科學(xué)系，四川 康定 626001）

隨著計(jì)算機(jī)網(wǎng)絡(luò)及信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息安全問(wèn)題已日趨嚴(yán)重，建立健全網(wǎng)絡(luò)信息安全系統(tǒng)是確保網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)的必要條件和重要保障.該文通過(guò)四川民族學(xué)院網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，對(duì)如何實(shí)現(xiàn)民族高校的網(wǎng)絡(luò)信息安全進(jìn)行了深入探討.

網(wǎng)絡(luò)安全；計(jì)算機(jī)信息安全；計(jì)算機(jī)網(wǎng)絡(luò)防御；防火墻

在我國(guó)民族高?？焖侔l(fā)展的重要時(shí)期，無(wú)論是國(guó)家還是學(xué)校自身，都在加大對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的投入和建設(shè)，并且在硬件建設(shè)方面取得重大突破.但伴隨著計(jì)算機(jī)網(wǎng)絡(luò)及信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息安全問(wèn)題已越來(lái)越嚴(yán)重，建立健全網(wǎng)絡(luò)信息安全系統(tǒng)已迫在眉睫.本文從當(dāng)前民族高校網(wǎng)絡(luò)信息安全面臨的新問(wèn)題入手，通過(guò)分析當(dāng)前主要的網(wǎng)格信息安全技術(shù)，并結(jié)合四川民族學(xué)院網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，強(qiáng)調(diào)了加強(qiáng)網(wǎng)絡(luò)安全管理的重要性，探討了實(shí)現(xiàn)民族高校網(wǎng)絡(luò)信息安全的主要途徑.

1 民族高校網(wǎng)絡(luò)信息安全面臨更加嚴(yán)俊的新問(wèn)題

1.1 由于民族高校的性質(zhì)和所處地位的特殊性，使其計(jì)算機(jī)信息安全面臨更加嚴(yán)俊的挑戰(zhàn)

隨著現(xiàn)代互聯(lián)網(wǎng)技術(shù)的發(fā)展，大多數(shù)民族高校都實(shí)現(xiàn)了無(wú)紙化辦公，通過(guò)建立學(xué)生信息管理系統(tǒng)、教師工資管理系統(tǒng)、OA系統(tǒng)及學(xué)分制管理系統(tǒng)等，極大的提高了管理效率.因而，在計(jì)算機(jī)中儲(chǔ)存了大量的各種信息，其中自然就包括了大量的機(jī)密信息、隱私信息.但由于在計(jì)算機(jī)網(wǎng)絡(luò)硬件投入方面的欠缺，及相關(guān)專業(yè)管理人員的水平限制，使得信息遭受被竊取、泄露的數(shù)量也隨之增加，同時(shí)其范圍也越來(lái)越廣，其計(jì)算機(jī)信息安全問(wèn)題就越來(lái)越突出.

1.2 計(jì)算機(jī)病毒使網(wǎng)絡(luò)上的計(jì)算機(jī)信息受到了更大的威脅

在網(wǎng)絡(luò)發(fā)展初期，由于計(jì)算機(jī)病毒大多是以單機(jī)為感染目標(biāo)，它的傳播方式也很有限，給計(jì)算機(jī)用戶造成的損失也不太大.但隨著網(wǎng)絡(luò)和計(jì)算機(jī)病毒程序的不斷發(fā)展變化，又加之計(jì)算機(jī)病毒的隱蔽性、傳染性和破壞性，病毒也不斷升級(jí)，最終發(fā)展成為以網(wǎng)絡(luò)方式傳播.這樣就使得計(jì)算機(jī)網(wǎng)絡(luò)或是計(jì)算機(jī)網(wǎng)絡(luò)上的信息成為了攻擊目標(biāo).特別是網(wǎng)絡(luò)病毒的入侵能夠讓網(wǎng)絡(luò)服務(wù)器癱瘓或者竊取服務(wù)器上的重要信息，這些破壞都對(duì)信息系統(tǒng)的穩(wěn)定性和安全性產(chǎn)生了很大的影響.而民族高校網(wǎng)絡(luò)系統(tǒng)自身還存在著硬件和防病毒軟件系統(tǒng)都不太完善的情況，這樣就更加使得其信息安全系統(tǒng)面更大的威脅.

1.3 民族高校的網(wǎng)絡(luò)用戶對(duì)計(jì)算機(jī)信息安全的意識(shí)不強(qiáng)

隨著計(jì)算機(jī)軟硬件技術(shù)的發(fā)展，如今的病毒、木馬、惡意軟件之間的界限已十分模糊，而且在有關(guān)技術(shù)上互相滲透[1].而民族高校的網(wǎng)絡(luò)用戶普遍存在安全意識(shí)不強(qiáng)的問(wèn)題，在其計(jì)算機(jī)中安裝的安全軟件大多是盜版軟件，其升級(jí)、病毒庫(kù)更新的周期過(guò)長(zhǎng)，進(jìn)行不了適時(shí)的查毒殺毒，嚴(yán)重影響了用戶的信息安全.另外，用戶在使用各種應(yīng)用軟件時(shí)，也不太具備安全常識(shí)和意識(shí)，對(duì)很多軟件的“后門(mén)”知之甚少，更不知如何維護(hù)，就連如何給系統(tǒng)打補(bǔ)丁、堵漏洞等常規(guī)安全措施都未做到.還有就是不少人從不對(duì)數(shù)據(jù)進(jìn)行備份或疏于備份.以上種種現(xiàn)象無(wú)不給民族高校的計(jì)算機(jī)信息帶來(lái)了嚴(yán)重的安全隱患.

2 當(dāng)前網(wǎng)絡(luò)信息安全的主要技術(shù)分析

2.1 網(wǎng)絡(luò)防火墻技術(shù)

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.它實(shí)際上是一種獲取安全性方法的形象說(shuō)法，保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入.防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成.目前網(wǎng)絡(luò)上面也提供很多的免費(fèi)防火墻下載，比較常見(jiàn)的防火墻有ARP防火墻、ddos防火墻、360防火墻等等.防火墻按照特性分為三類(lèi)：軟件防火墻、硬件防火墻、芯片級(jí)防火墻.

2.2 數(shù)據(jù)加密技術(shù)

所謂數(shù)據(jù)加密（Data Encryption）技術(shù)是指將一個(gè)信息（或稱明文，plain text）經(jīng)過(guò)加密鑰匙（Encryption key）及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文（cipher text），而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙（Decryption key）還原成明文.加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石.數(shù)據(jù)加密技術(shù)要求只有在指定的用戶或網(wǎng)絡(luò)下，才能解除密碼而獲得原來(lái)的數(shù)據(jù)，這就需要給數(shù)據(jù)發(fā)送方和接受方以一些特殊的信息用于加解密，這就是所謂的密鑰.其密鑰的值是從大量的隨機(jī)數(shù)中選取的.按加密算法分為專用密鑰和公開(kāi)密鑰兩種.當(dāng)前常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)[2].對(duì)稱加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密；非對(duì)稱加密技術(shù)就是加密和解密所用的密鑰不一樣，它有一對(duì)密鑰，分別稱為“公鑰”和“私鑰”，用公鑰加密的文件必須用相應(yīng)人的私鑰才能解密，反之也是.

2.3 計(jì)算機(jī)反病毒技術(shù)

使用“查殺防合一”的集成化反病毒產(chǎn)品，把各種反病毒技術(shù)有機(jī)地組合到一起共同對(duì)計(jì)算機(jī)病毒作戰(zhàn)已是大勢(shì)所趨.在病毒的自動(dòng)檢測(cè)技術(shù)方面，殺毒軟件，均采用特征代碼檢測(cè)法，當(dāng)掃描某程序時(shí)，如果發(fā)現(xiàn)某種病毒的特征代碼，便可發(fā)現(xiàn)與該特征碼對(duì)應(yīng)的計(jì)算機(jī)病毒.另一種計(jì)算機(jī)病毒檢測(cè)技術(shù)是基于特征標(biāo)記的方式，這種方法就是對(duì)磁盤(pán)上的可執(zhí)行部分進(jìn)行一種或幾種特殊的運(yùn)算得出一個(gè)特征標(biāo)記，存于磁盤(pán)上，在適當(dāng)?shù)臅r(shí)機(jī)對(duì)這些可執(zhí)行部分進(jìn)行校驗(yàn)，若與原先存于磁盤(pán)的特征標(biāo)記不同，一般可認(rèn)為是染上了病毒，這種方法非常有效，并已發(fā)展得很成熟.缺點(diǎn)是無(wú)法檢測(cè)出未知的文件是否染上病毒，而且在實(shí)現(xiàn)技術(shù)方面仍然有不完善的地方.有時(shí)在帶毒環(huán)境下，這種方法將會(huì)失效.

2.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)是指通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖.入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持.入侵檢測(cè)作為一種主動(dòng)性地安全防護(hù)技術(shù)，最大的優(yōu)點(diǎn)在于提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，預(yù)先對(duì)入侵活動(dòng)進(jìn)行攔截和響應(yīng).在網(wǎng)絡(luò)信息安全立體縱深、多重防御的發(fā)展趨勢(shì)下，未來(lái)的入侵檢測(cè)系統(tǒng)可以軟硬件結(jié)合，配合其他網(wǎng)絡(luò)管理軟件，提供更加及時(shí)、準(zhǔn)確的檢測(cè)手段[3].

3 民族高校網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

3.1 設(shè)計(jì)

針對(duì)上文有關(guān)計(jì)算機(jī)信息安全面臨的新問(wèn)題和主要技術(shù)分析，筆者認(rèn)為要想將這些系統(tǒng)管理功能變?yōu)楝F(xiàn)實(shí)是離不開(kāi)計(jì)算機(jī)軟硬件系統(tǒng)的共同支持.根據(jù)具體環(huán)境建立適應(yīng)民族高校的網(wǎng)絡(luò)信息安全系統(tǒng)，采取整體的計(jì)算機(jī)網(wǎng)絡(luò)防御策略已經(jīng)成為必然.這樣不僅可以實(shí)現(xiàn)措施高效、正確、自動(dòng)化的部署，還可以實(shí)現(xiàn)系統(tǒng)的可伸縮性和靈活性，由于系統(tǒng)策略的許多優(yōu)點(diǎn)，策略已經(jīng)成為網(wǎng)絡(luò)防御的核心，所有的保護(hù)、檢測(cè)、響應(yīng)都是依據(jù)策略實(shí)施.本文所給出的網(wǎng)絡(luò)信息安全系統(tǒng)包括安全體制建設(shè)、網(wǎng)絡(luò)的安全接口技術(shù)及網(wǎng)絡(luò)的安全傳輸系統(tǒng)3個(gè)部分.

3.1.1 安全體制建設(shè)的主要內(nèi)容為

通過(guò)檢驗(yàn)的有效安全的算法庫(kù)、安全數(shù)據(jù)信息庫(kù)、良好的用戶界面.其中，主要的安全算法庫(kù)有：HASH算法（如有SDH、SHA、MD5等）庫(kù)、公鑰算法庫(kù)、私鑰算法庫(kù)、密鑰生成系統(tǒng)及隨機(jī)函數(shù)生成程序等；安全數(shù)據(jù)信息庫(kù)的主要內(nèi)容為用戶口令和密鑰、用戶管理參數(shù)和權(quán)限、系統(tǒng)運(yùn)行狀態(tài)等安全信息；用戶界面則主要為安全服操作界面和安全信息管理界面等.

3.1.2 網(wǎng)絡(luò)的安全接口技術(shù)主要包括實(shí)現(xiàn)網(wǎng)絡(luò)安全的基本協(xié)議和網(wǎng)絡(luò)通信接口技術(shù)

實(shí)現(xiàn)網(wǎng)絡(luò)安全的協(xié)議主要有安全鏈接協(xié)議、用戶驗(yàn)證協(xié)議、密碼分配和管理協(xié)議等.而絡(luò)通信接口技術(shù)則可以通過(guò)對(duì)當(dāng)前使用的網(wǎng)絡(luò)通信協(xié)議進(jìn)行一定的改動(dòng)，從而在網(wǎng)絡(luò)層和應(yīng)用層的中間加上一個(gè)實(shí)現(xiàn)網(wǎng)絡(luò)安全的小層.

3.1.3 網(wǎng)絡(luò)安全傳輸系統(tǒng)包括網(wǎng)絡(luò)安全管理信息系統(tǒng)和網(wǎng)絡(luò)安全的必備保障系統(tǒng)

網(wǎng)絡(luò)數(shù)據(jù)傳輸安全的核心是通過(guò)對(duì)數(shù)據(jù)發(fā)送、網(wǎng)絡(luò)傳輸、數(shù)據(jù)接收各個(gè)環(huán)節(jié)中的數(shù)據(jù)進(jìn)行加密處理，以達(dá)到實(shí)現(xiàn)數(shù)據(jù)安全的目的.保護(hù)在公用網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲(chǔ)的數(shù)據(jù)的保密性、完整性、真實(shí)性、可靠性、可用性和不可抵賴性等.而加密技術(shù)則是數(shù)據(jù)傳輸安全的核心.它通過(guò)加密算法將數(shù)據(jù)從明文加密為密文并進(jìn)行通信，密文即使被黑客截取也很難被破譯，然后通過(guò)對(duì)應(yīng)解碼技術(shù)解碼密文還原明文.而實(shí)現(xiàn)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)安全管理系統(tǒng)則是安裝在用戶或各網(wǎng)絡(luò)節(jié)點(diǎn)之上，由大量的可執(zhí)行程序或軟件組成，并且提供可視化、交互化的用戶管理界面，由用戶可網(wǎng)絡(luò)安全管理人員管理控制數(shù)據(jù)信息的安全傳輸.而網(wǎng)絡(luò)安全的必備保障系統(tǒng)則主要是整個(gè)網(wǎng)絡(luò)信息安全系統(tǒng)的基礎(chǔ)硬件設(shè)施和與之配套建立起來(lái)的安全保障制度、協(xié)議及安全信息的總稱.

3.2 實(shí)現(xiàn)

3.2.1 做好民族高校網(wǎng)絡(luò)信息安全系統(tǒng)的需求分析

由于民族高校的特殊地理位置和網(wǎng)絡(luò)安全需求是不同的，我們?cè)谠O(shè)計(jì)安全系統(tǒng)時(shí)首先就是要做好需求分析，而是不能簡(jiǎn)單的隨大流——所有措施和硬件都選配當(dāng)前最新的，從而避免不必要的資源浪費(fèi)和人力浪費(fèi).

3.2.2 分析并確定面臨可能遭受的網(wǎng)絡(luò)攻擊和風(fēng)險(xiǎn)

本文在文首就分析了民族高校面臨的網(wǎng)絡(luò)新問(wèn)題，在此不再贅述.對(duì)于一個(gè)有效的網(wǎng)絡(luò)信息安全系統(tǒng)，做好風(fēng)險(xiǎn)預(yù)測(cè)、具體的環(huán)境考察、評(píng)估及必要的檢測(cè)是必須的.另外，還要有意識(shí)的做好本系統(tǒng)的安全分析，盡可能找出有可能存在的漏洞和潛在的安全威脅，這些都是建立網(wǎng)全信息系統(tǒng)的必要保障和基礎(chǔ).

3.2.3 制定和建立安全策略

安全策略是實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的總體目標(biāo)和根本原則，同時(shí)也是對(duì)各應(yīng)用系統(tǒng)具體完備的解決方案.安全策略著重要考慮以下幾個(gè)方面：系統(tǒng)的整體安全性、相關(guān)子系統(tǒng)的安全性、對(duì)原來(lái)建立的系統(tǒng)的主要影響、要便于專業(yè)的網(wǎng)絡(luò)管理人員進(jìn)行具體的操作管理和控制、要便于今后系統(tǒng)的升級(jí)和換代等.當(dāng)然，對(duì)于系統(tǒng)的建立周期、界面友好性及總體投資規(guī)模等也應(yīng)加以考慮.

3.2.4 比較、選擇當(dāng)前的各種安全模型，建立適合本校的安全模型

通過(guò)在實(shí)踐中建立的各種模型各有特點(diǎn)，由于模型的建立可以使相對(duì)較復(fù)雜的問(wèn)題變得簡(jiǎn)單化或規(guī)律化，各校應(yīng)結(jié)合自身實(shí)際建立總的安全模型和各子系統(tǒng)的安全模型.信息安全系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)可以包括安全體制、網(wǎng)絡(luò)安全連接、網(wǎng)絡(luò)安全傳輸?shù)冉M織部分.

3.2.5 通過(guò)數(shù)字簽名、數(shù)字水印等現(xiàn)代的PKI技術(shù)，選擇并實(shí)現(xiàn)安全服務(wù)

現(xiàn)代密碼技術(shù)的應(yīng)用已經(jīng)廣泛運(yùn)用到現(xiàn)代的的網(wǎng)絡(luò)安全管理之中，特別是用戶權(quán)限及密鑰的管理.我們可以通過(guò)軟件編程或硬件芯片技術(shù)實(shí)現(xiàn)各種安全服務(wù)，同時(shí)，在軟件編程中要特別注意解決內(nèi)在管理、流程優(yōu)化和系統(tǒng)穩(wěn)定及運(yùn)算時(shí)間等問(wèn)題.

3.2.6 在建立安全策略的同時(shí)，將安全服務(wù)配置到具體的有關(guān)協(xié)議中

我們知道，僅憑安全體制和現(xiàn)代密碼技術(shù)本身是難以解決信息的安全管理和傳輸問(wèn)題，必須在一個(gè)相對(duì)系統(tǒng)、完備地、全面的安全協(xié)議中才能實(shí)現(xiàn).可以說(shuō)安全協(xié)議是安全策略的最終實(shí)現(xiàn)形式.

4 結(jié)論

本文通過(guò)分析民族高校網(wǎng)絡(luò)面臨的各種新問(wèn)題及當(dāng)前的各種有效的網(wǎng)絡(luò)安全技術(shù)手段，結(jié)合四川民族學(xué)院的網(wǎng)絡(luò)安全策略，設(shè)計(jì)、并實(shí)現(xiàn)了一種有效的網(wǎng)絡(luò)安全信息系統(tǒng).但隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，無(wú)論對(duì)于網(wǎng)絡(luò)管理者還是普通的網(wǎng)絡(luò)用戶而言，對(duì)網(wǎng)絡(luò)信息安全的要求都在不斷提高.對(duì)于民族高校而言，無(wú)論是在資金、人員、軟件、硬件還是網(wǎng)絡(luò)信息安全意識(shí)等方面都還存在相當(dāng)?shù)牟罹?我們只有在高度重視自身面臨的環(huán)境因素的前提下，充分考慮當(dāng)前的防火墻技術(shù)、殺毒技術(shù)、信息加密技術(shù)，特別是入侵檢測(cè)技術(shù)等網(wǎng)絡(luò)安全技術(shù)手段，選擇并建立適合自身的網(wǎng)絡(luò)信息安全系統(tǒng)，才能從根本上保障網(wǎng)絡(luò)的安全運(yùn)行和信息的安全傳輸.

〔1〕曹壽慕.計(jì)算機(jī)信息安全的新特點(diǎn)[J].吉林省教育學(xué)院學(xué)報(bào)，2010（10）：142.

〔2〕劉洋.高等院校網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].煤炭技術(shù)，2011（3）：226.

〔3〕霍燕斌.淺議計(jì)算機(jī)信息安全所面臨的威脅以及防范技術(shù) [J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012（1）：48.

TP393.18

A

1673-260X（2012）10-0042-03

四川民族學(xué)院科研項(xiàng)目資助（康師專研發(fā)2006（10））