民族高校网络信息安全系统的设计与实现

罗开田

（四川民族学院 计算机科学系，四川 康定 626001）

民族高校网络信息安全系统的设计与实现

罗开田

（四川民族学院 计算机科学系，四川 康定 626001）

随着计算机网络及信息技术的快速发展，网络信息安全问题已日趋严重，建立健全网络信息安全系统是确保网络正常运转的必要条件和重要保障.该文通过四川民族学院网络信息安全系统的设计与实现，对如何实现民族高校的网络信息安全进行了深入探讨.

网络安全；计算机信息安全；计算机网络防御；防火墙

在我国民族高校快速发展的重要时期，无论是国家还是学校自身，都在加大对计算机网络系统的投入和建设，并且在硬件建设方面取得重大突破.但伴随着计算机网络及信息技术的快速发展，网络信息安全问题已越来越严重，建立健全网络信息安全系统已迫在眉睫.本文从当前民族高校网络信息安全面临的新问题入手，通过分析当前主要的网格信息安全技术，并结合四川民族学院网络信息安全系统的设计与实现，强调了加强网络安全管理的重要性，探讨了实现民族高校网络信息安全的主要途径.

1 民族高校网络信息安全面临更加严俊的新问题

1.1 由于民族高校的性质和所处地位的特殊性，使其计算机信息安全面临更加严俊的挑战

随着现代互联网技术的发展，大多数民族高校都实现了无纸化办公，通过建立学生信息管理系统、教师工资管理系统、OA系统及学分制管理系统等，极大的提高了管理效率.因而，在计算机中储存了大量的各种信息，其中自然就包括了大量的机密信息、隐私信息.但由于在计算机网络硬件投入方面的欠缺，及相关专业管理人员的水平限制，使得信息遭受被窃取、泄露的数量也随之增加，同时其范围也越来越广，其计算机信息安全问题就越来越突出.

1.2 计算机病毒使网络上的计算机信息受到了更大的威胁

在网络发展初期，由于计算机病毒大多是以单机为感染目标，它的传播方式也很有限，给计算机用户造成的损失也不太大.但随着网络和计算机病毒程序的不断发展变化，又加之计算机病毒的隐蔽性、传染性和破坏性，病毒也不断升级，最终发展成为以网络方式传播.这样就使得计算机网络或是计算机网络上的信息成为了攻击目标.特别是网络病毒的入侵能够让网络服务器瘫痪或者窃取服务器上的重要信息，这些破坏都对信息系统的稳定性和安全性产生了很大的影响.而民族高校网络系统自身还存在着硬件和防病毒软件系统都不太完善的情况，这样就更加使得其信息安全系统面更大的威胁.

1.3 民族高校的网络用户对计算机信息安全的意识不强

随着计算机软硬件技术的发展，如今的病毒、木马、恶意软件之间的界限已十分模糊，而且在有关技术上互相渗透[1].而民族高校的网络用户普遍存在安全意识不强的问题，在其计算机中安装的安全软件大多是盗版软件，其升级、病毒库更新的周期过长，进行不了适时的查毒杀毒，严重影响了用户的信息安全.另外，用户在使用各种应用软件时，也不太具备安全常识和意识，对很多软件的“后门”知之甚少，更不知如何维护，就连如何给系统打补丁、堵漏洞等常规安全措施都未做到.还有就是不少人从不对数据进行备份或疏于备份.以上种种现象无不给民族高校的计算机信息带来了严重的安全隐患.

2 当前网络信息安全的主要技术分析

2.1 网络防火墙技术

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它实际上是一种获取安全性方法的形象说法，保护内部网免受非法用户的侵入.防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成.目前网络上面也提供很多的免费防火墙下载，比较常见的防火墙有ARP防火墙、ddos防火墙、360防火墙等等.防火墙按照特性分为三类：软件防火墙、硬件防火墙、芯片级防火墙.

2.2 数据加密技术

所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文.加密技术是网络安全技术的基石.数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的密钥.其密钥的值是从大量的随机数中选取的.按加密算法分为专用密钥和公开密钥两种.当前常用的加密技术有对称加密技术和非对称加密技术[2].对称加密技术是指同时运用一个密钥进行加密和解密；非对称加密技术就是加密和解密所用的密钥不一样，它有一对密钥，分别称为“公钥”和“私钥”，用公钥加密的文件必须用相应人的私钥才能解密，反之也是.

2.3 计算机反病毒技术

使用“查杀防合一”的集成化反病毒产品，把各种反病毒技术有机地组合到一起共同对计算机病毒作战已是大势所趋.在病毒的自动检测技术方面，杀毒软件，均采用特征代码检测法，当扫描某程序时，如果发现某种病毒的特征代码，便可发现与该特征码对应的计算机病毒.另一种计算机病毒检测技术是基于特征标记的方式，这种方法就是对磁盘上的可执行部分进行一种或几种特殊的运算得出一个特征标记，存于磁盘上，在适当的时机对这些可执行部分进行校验，若与原先存于磁盘的特征标记不同，一般可认为是染上了病毒，这种方法非常有效，并已发展得很成熟.缺点是无法检测出未知的文件是否染上病毒，而且在实现技术方面仍然有不完善的地方.有时在带毒环境下，这种方法将会失效.

2.4 入侵检测技术

入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图.入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持.入侵检测作为一种主动性地安全防护技术，最大的优点在于提供了对内部攻击、外部攻击和误操作的实时保护，预先对入侵活动进行拦截和响应.在网络信息安全立体纵深、多重防御的发展趋势下，未来的入侵检测系统可以软硬件结合，配合其他网络管理软件，提供更加及时、准确的检测手段[3].

3 民族高校网络信息安全系统的设计与实现

3.1 设计

针对上文有关计算机信息安全面临的新问题和主要技术分析，笔者认为要想将这些系统管理功能变为现实是离不开计算机软硬件系统的共同支持.根据具体环境建立适应民族高校的网络信息安全系统，采取整体的计算机网络防御策略已经成为必然.这样不仅可以实现措施高效、正确、自动化的部署，还可以实现系统的可伸缩性和灵活性，由于系统策略的许多优点，策略已经成为网络防御的核心，所有的保护、检测、响应都是依据策略实施.本文所给出的网络信息安全系统包括安全体制建设、网络的安全接口技术及网络的安全传输系统3个部分.

3.1.1 安全体制建设的主要内容为

通过检验的有效安全的算法库、安全数据信息库、良好的用户界面.其中，主要的安全算法库有：HASH算法（如有SDH、SHA、MD5等）库、公钥算法库、私钥算法库、密钥生成系统及随机函数生成程序等；安全数据信息库的主要内容为用户口令和密钥、用户管理参数和权限、系统运行状态等安全信息；用户界面则主要为安全服操作界面和安全信息管理界面等.

3.1.2 网络的安全接口技术主要包括实现网络安全的基本协议和网络通信接口技术

实现网络安全的协议主要有安全链接协议、用户验证协议、密码分配和管理协议等.而络通信接口技术则可以通过对当前使用的网络通信协议进行一定的改动，从而在网络层和应用层的中间加上一个实现网络安全的小层.

3.1.3 网络安全传输系统包括网络安全管理信息系统和网络安全的必备保障系统

网络数据传输安全的核心是通过对数据发送、网络传输、数据接收各个环节中的数据进行加密处理，以达到实现数据安全的目的.保护在公用网络信息系统中传输、交换和存储的数据的保密性、完整性、真实性、可靠性、可用性和不可抵赖性等.而加密技术则是数据传输安全的核心.它通过加密算法将数据从明文加密为密文并进行通信，密文即使被黑客截取也很难被破译，然后通过对应解码技术解码密文还原明文.而实现网络安全的网络安全管理系统则是安装在用户或各网络节点之上，由大量的可执行程序或软件组成，并且提供可视化、交互化的用户管理界面，由用户可网络安全管理人员管理控制数据信息的安全传输.而网络安全的必备保障系统则主要是整个网络信息安全系统的基础硬件设施和与之配套建立起来的安全保障制度、协议及安全信息的总称.

3.2 实现

3.2.1 做好民族高校网络信息安全系统的需求分析

由于民族高校的特殊地理位置和网络安全需求是不同的，我们在设计安全系统时首先就是要做好需求分析，而是不能简单的随大流——所有措施和硬件都选配当前最新的，从而避免不必要的资源浪费和人力浪费.

3.2.2 分析并确定面临可能遭受的网络攻击和风险

本文在文首就分析了民族高校面临的网络新问题，在此不再赘述.对于一个有效的网络信息安全系统，做好风险预测、具体的环境考察、评估及必要的检测是必须的.另外，还要有意识的做好本系统的安全分析，尽可能找出有可能存在的漏洞和潜在的安全威胁，这些都是建立网全信息系统的必要保障和基础.

3.2.3 制定和建立安全策略

安全策略是实现网络信息系统的总体目标和根本原则，同时也是对各应用系统具体完备的解决方案.安全策略着重要考虑以下几个方面：系统的整体安全性、相关子系统的安全性、对原来建立的系统的主要影响、要便于专业的网络管理人员进行具体的操作管理和控制、要便于今后系统的升级和换代等.当然，对于系统的建立周期、界面友好性及总体投资规模等也应加以考虑.

3.2.4 比较、选择当前的各种安全模型，建立适合本校的安全模型

通过在实践中建立的各种模型各有特点，由于模型的建立可以使相对较复杂的问题变得简单化或规律化，各校应结合自身实际建立总的安全模型和各子系统的安全模型.信息安全系统的设计和实现可以包括安全体制、网络安全连接、网络安全传输等组织部分.

3.2.5 通过数字签名、数字水印等现代的PKI技术，选择并实现安全服务

现代密码技术的应用已经广泛运用到现代的的网络安全管理之中，特别是用户权限及密钥的管理.我们可以通过软件编程或硬件芯片技术实现各种安全服务，同时，在软件编程中要特别注意解决内在管理、流程优化和系统稳定及运算时间等问题.

3.2.6 在建立安全策略的同时，将安全服务配置到具体的有关协议中

我们知道，仅凭安全体制和现代密码技术本身是难以解决信息的安全管理和传输问题，必须在一个相对系统、完备地、全面的安全协议中才能实现.可以说安全协议是安全策略的最终实现形式.

4 结论

本文通过分析民族高校网络面临的各种新问题及当前的各种有效的网络安全技术手段，结合四川民族学院的网络安全策略，设计、并实现了一种有效的网络安全信息系统.但随着计算机技术和网络网络经济的发展，无论对于网络管理者还是普通的网络用户而言，对网络信息安全的要求都在不断提高.对于民族高校而言，无论是在资金、人员、软件、硬件还是网络信息安全意识等方面都还存在相当的差距.我们只有在高度重视自身面临的环境因素的前提下，充分考虑当前的防火墙技术、杀毒技术、信息加密技术，特别是入侵检测技术等网络安全技术手段，选择并建立适合自身的网络信息安全系统，才能从根本上保障网络的安全运行和信息的安全传输.

〔1〕曹寿慕.计算机信息安全的新特点[J].吉林省教育学院学报，2010（10）：142.

〔2〕刘洋.高等院校网络信息安全系统的设计与实现[J].煤炭技术，2011（3）：226.

〔3〕霍燕斌.浅议计算机信息安全所面临的威胁以及防范技术 [J].计算机光盘软件与应用，2012（1）：48.

TP393.18

A

1673-260X（2012）10-0042-03

四川民族学院科研项目资助（康师专研发2006（10））