朱淼

摘 要：現(xiàn)如今校園網(wǎng)絡安全存在一定的問題，維護校園網(wǎng)絡安全至關重要?；诿劬W(wǎng)技術進行校園網(wǎng)絡安全系統(tǒng)設計的時候，要注意結合系統(tǒng)的基本需求和相關功能需求，并積極地進行系統(tǒng)實現(xiàn)和測試。即表明，以蜜網(wǎng)技術為依據(jù)，積極地進行校園網(wǎng)絡安全系統(tǒng)設計和實現(xiàn)，可以很好地維護校園網(wǎng)絡安全，為不同學校校園網(wǎng)絡安全系統(tǒng)的具體開發(fā)和實施等提供一定的參考，促進校園網(wǎng)絡安全水平的提高。

關鍵詞：蜜網(wǎng)技術；網(wǎng)絡安全；主動防御

中圖分類號： TP393 文獻標識碼： A 文章編號： 1673-1069（2016）32-163-2

1 基于蜜網(wǎng)技術的校園網(wǎng)絡安全系統(tǒng)設計

1.1 系統(tǒng)基本需求

系統(tǒng)具有不同的需求，其中，在系統(tǒng)基本需求方面，主要涉及性能和安全等方面。①性能需求：受到校園網(wǎng)絡日常實際情況的影響，相應的系統(tǒng)需要滿足一定的需求，具體來看，主要涉及響應時間以及項目規(guī)模兩個方面。②易用性需求：在校園網(wǎng)絡安全系統(tǒng)的運行過程中，涉及多個相關部門和單位的不同系統(tǒng)用戶。但是，所涉及的不同系統(tǒng)用戶在實際信息化水平方面存在較大的差異，易用性在很大程度上決定了校園網(wǎng)絡安全系統(tǒng)運行的效果。在具體的設計過程中，要采用以人為本的設計思想。③安全需求：校園網(wǎng)絡安全系統(tǒng)在安全方面具有較大的需求。首先，在進行系統(tǒng)建設的時候，需要提高安全意識，保證網(wǎng)絡系統(tǒng)具有良好的可用性，并保證網(wǎng)絡系統(tǒng)服務可以維持良好的穩(wěn)定、連續(xù)狀態(tài)，一旦發(fā)生異常，也可以迅速得到恢復。其次，在應用方面，也要滿足一定的安全需求。一方面，要保證接入的安全。另一方面，要保證不同用戶的安全。第三，在數(shù)據(jù)安全方面，校園網(wǎng)絡安全系統(tǒng)中涉及海量數(shù)據(jù)信息，這些數(shù)據(jù)與學校的教育和教學以及發(fā)展等均息息相關。因此，做好對相關數(shù)據(jù)的安全性管理至關重要。④可靠性需求：校園網(wǎng)絡安全系統(tǒng)系統(tǒng)在可靠性方面也有著極高的需求。在信息化建設高速發(fā)展的今天，校園網(wǎng)絡安全系統(tǒng)已成為各學校的必選裝備。通過校園網(wǎng)絡安全系統(tǒng)這個信息化平臺的部署、推廣，能夠幫助學校攻克各種管理等方面難題，構造高效率的環(huán)境和一體化的技術支撐平臺，助力學校突破成長壁壘。

1.2 系統(tǒng)功能需求

在具體的功能方面，系統(tǒng)涉及諸多不同的模塊，具體來看，主要包括數(shù)據(jù)控制模塊和數(shù)據(jù)捕獲模塊、日志模塊以及響應模塊，整個系統(tǒng)的結構見圖1：

2 基于蜜網(wǎng)技術的校園網(wǎng)絡安全系統(tǒng)的實現(xiàn)

在本次系統(tǒng)的設計之中，設計了數(shù)據(jù)捕獲等模塊。在設計的時候，考慮到了系統(tǒng)的簡單性和有效性， 并選用合適的網(wǎng)絡技術來完成相應的功能。在實現(xiàn)整個系統(tǒng)的時候，為了降低系統(tǒng)配置和安裝以及日后維護的難度，選擇借助linux 平臺，并使用虛擬機技術進行系統(tǒng)平臺建立。

2.1 系統(tǒng)實現(xiàn)環(huán)境

2.1.1 網(wǎng)絡環(huán)境

在系統(tǒng)實現(xiàn)的網(wǎng)絡環(huán)境方面，設定的條件為外網(wǎng) 100M，內(nèi)網(wǎng) 1000M 到樓宇，100M 到桌面。在對整個系統(tǒng)予以實現(xiàn)的時候，具體媒介為一臺物理計算機。另外二層網(wǎng)管設置為宿主機。

2.1.2 硬件環(huán)境

考慮到硬件條件的移動性以及各種現(xiàn)實情況的約束，本次系統(tǒng)設計中考慮使用虛擬機技術。在系統(tǒng)的硬件方面，選擇將主動防御系統(tǒng)的平臺設置為1臺性能較高的IBM服務器。該服務器包含2塊100M/1000M 自適應網(wǎng)卡，2塊73G SCSI 硬盤，2個INTEL P4處理器，2G內(nèi)存。

2.2 虛擬網(wǎng)橋機的實現(xiàn)

在主動防御系統(tǒng)中，網(wǎng)橋部分是一個十分關鍵的組成部分。在網(wǎng)橋主機上，對各種信息收集與控制功能進行了聚集，并設置有相應的日志系統(tǒng)。受到實際硬件條件的限制，在系統(tǒng)的實現(xiàn)過程中，選擇利用VMware 軟件進行 Linux 虛擬機系統(tǒng)建立，并進行網(wǎng)橋配置。

2.3 系統(tǒng)模塊實現(xiàn)

2.3.1 數(shù)據(jù)控制模塊

在實現(xiàn)數(shù)據(jù)控制模塊的時候，需要對流經(jīng)系統(tǒng)的相關數(shù)據(jù)進行有效的控制。

2.3.2 數(shù)據(jù)捕獲模塊

系統(tǒng)設計中，在進行數(shù)據(jù)捕獲的時候，需要從3個不同的層次進行捕獲。按照上文的設計，數(shù)據(jù)捕獲用例情況如下所示：

對于利用不同層次的防火墻和蜜罐主機以及嗅探器捕獲得到的數(shù)據(jù)日志，可以對其進行一定的處理，然后將其存放在相應的文件和數(shù)據(jù)庫中，以便日后進行查詢和分析。經(jīng)過防火墻的相關數(shù)據(jù)，可以通過對防火墻日志的查詢和分析得到。

2.3.3 日志模塊

在系統(tǒng)運行中，可能會出現(xiàn)一定的事件，需要對相關情況進行詳細的記錄。而利用日志模塊，則可以很好地對各種網(wǎng)絡事件進行有效記錄。以幫助人們更好地掌握不同網(wǎng)絡事件的細節(jié)，并從中發(fā)現(xiàn)可為所用的依據(jù)等。

2.3.4 響應模塊

我們通過分析了解到，在系統(tǒng)的設計過程中，即便通過數(shù)據(jù)控制等模塊可以實現(xiàn)對各種數(shù)據(jù)的有效控制，但受到復雜網(wǎng)絡環(huán)境以及其他一些復雜情況的影響，仍然存在一定的安全隱患。為此，系統(tǒng)設計了響應模塊，以實現(xiàn)對各種系統(tǒng)異常情況的及時報警。在進行設計的時候，設計可以通過對各種日志的分析，及時響應響應的報警事件，然后，通過電子郵件等方式告知管理員，提醒其注意相應的問題。

3 系統(tǒng)測試

在進行系統(tǒng)測試的時候，所使用的網(wǎng)絡拓撲以及系統(tǒng)軟硬件環(huán)境均與上文保持一致。測試的過程中，選擇以辦校的校園網(wǎng)為依托進行測試。通過系統(tǒng)測試也發(fā)現(xiàn)，不同的系統(tǒng)功能均能夠正常運行。并能夠得到相應的日志，從而為整個系統(tǒng)在日后運行中數(shù)據(jù)控制和捕獲以及報警等提供可靠的參考依據(jù)。這樣一來，可以更好地提高整個校園網(wǎng)的防御能力，維持安全、穩(wěn)定的校園網(wǎng)運行狀態(tài)，更好地為廣大師生提供所需的服務。由于所設計的安全系統(tǒng)中并沒有涉及任何重要性的文件，且對外接連接數(shù)據(jù)進行了限制。因此，在本次攻擊中，攻擊者并沒有能夠通過蜜罐對外部發(fā)起攻擊，也沒有獲取任何重要的信息。

4 結論與展望

通過本次研究，基本上完成了對蜜網(wǎng)技術和校園網(wǎng)絡安全問題的了解，并結合校園實際情況，基于蜜網(wǎng)技術對相關校園網(wǎng)絡安全系統(tǒng)進行設計和測試。在本次研究所設計的系統(tǒng)中，將防火墻網(wǎng)橋功能橋接蜜罐網(wǎng)絡以及外部網(wǎng)絡 ，并利用防火墻以及網(wǎng)絡入侵檢測技術等進行數(shù)據(jù)控制和捕獲，以及時發(fā)現(xiàn)攻擊事件。同時，通過獲得日志等方式，不斷積累安全防護所需的信息，以更好地提高系統(tǒng)安全防護的水平。

參 考 文 獻

[1] 肖艷萍，張舜標，鄭錚華，等.網(wǎng)絡安全態(tài)勢感知在校園網(wǎng)絡安全的研究進展與展望[J].廣東農(nóng)工商職業(yè)技術學院學報，2013（4）：38-41.

[2] 徐曉玲，劉衛(wèi)，崔偉.基于蜜罐技術的校園網(wǎng)安全系統(tǒng)的設計與實現(xiàn)[J].網(wǎng)絡安全技術與應用，2014（6）：71-71.

[3] 賀文娟.蜜罐技術在校園網(wǎng)系統(tǒng)中的應用研究[J].常熟理工學院學報，2012，26（10）：121-124.

[4] 許倫彰.虛擬蜜罐技術在校園網(wǎng)安全中的應用[J].保密科學技術，2012（6）：73-75.

[5] 汪彩梅.基于蜜罐技術的安全校園網(wǎng)的設計與實現(xiàn)[J].微計算機信息，2011，27（7）：189-190.