中职校园网络安全管理系统设计
2016-12-08何哲文
何哲文
摘 要: 随着信息技术、网络技术的飞速发展,校园网的应用越来越广。由于校园网的开放性、互连性,使网络面临病毒和来自外部及内部人员的攻击,安全问题越来越成为人们关注的焦点。为了提高校园网的安全性、加强对校园网的管理,迫切需要一个安全、可靠、高效的认证系统。本文通过对校园网认证系统的要求及对认证系统实现功能的分析,设计了一套安全、可靠、高效的校园网认证系统。
关键词: 中职 校园网 通讯 认证
随着计算机和因特网日益普及,许多院校都建立了自己的校园网,并通过因特网实现远距离信息交流和资源共享。由于因特网的开放性、互连性等特征,校园网的安全问题越来越成为人们关注的焦点。
一、中职校园网络安全现状及原因
中职校园网络安全问题主要包括以下几方面,一是校园网络安全软、硬件基础设施投入不足,没有建立一套完善的网络安全系统,大多数学校网络安全建设和管理费用短缺,网络设备更新和维护占据了主要经费支出,而网络安全方面资金投入明显不足。大多数学校校园网络没有建立安全防范系统,安全级别较低。二是学校网络使用环境十分混乱,每个学校都为师生提供了公共上网环境,以方便师生工作和学习。这虽然能够解决广大师生网络使用问题,提高学校信息管理人性化水平,为提高校园信息化水平做出了有益贡献,但是由于缺乏统一管理和监督,学校内部网络机房的管理十分混乱,存在严重的部门条块分割管理问题。许多网络机房管理存在诸多缺陷,计算机用户没有采用实名登记,导致公共网络成为校园网重大安全威胁。影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的,可能是人为的,也可能是非人为的,对于中职校园网络防止内部有意入侵是很关键的。
二、认证系统的目的及意义
随着校园网应用规模和范围的不断拓宽,校园网的用户数量不断增加,因此对校园网的信息安全提出了更高的要求。一方面要保护校园网应用系统的资源不容易受到攻击,另一方面要保证校园网信息只能是校园网合法用户使用,另外还要有效阻止校园网信息不被篡改、滥用,确保信息数据的可用性、完整性、一致性。现实的解决方案是对校园网的应用系统施行用户认证。
身份认证是网络安全的基本问题,它的实施将有效地保障用户的合法权益,大大改善网络安全管理,在校园网高速发展形势下,要满足大规模网络可运营、可管理的要求,身份认证系统日益体现其重要意义。因此,校园网管理者作为一种特殊的网络提供商,无论出于自身还是用户的利益,都面临着身份认证的技术和模式的选择、改进问题。
三、校园网络安全管理系统的实现
本系统是为校园网服务的,它一方面保证了校园网的安全,另一方面用于管理校园网。主要功能包括:防止外部攻击、保护内部网络、解决网络边界的安全问题同时实现流量统计、调控、计费、限制INTERNET访问对象和对网络资料的管理等网络的管理。系统整体结构如图1如示。
系统的工作流程为:
1.认证与管理服务器刚刚启动时读取初始化参数。
2.用户计算机向认证服务器发出认证请求。
3.认证服务器读数据库用户信息,回应用户计算机认证请求。
4.认证服务器将合法用户表发给防火墙。
5.每隔一定的时间管理服务器从防火墙取出计费流量信息,处理后写入数据库。
6.如果有超支用户,管理服务器向防火墙发送用户退出命令。
7.管理服务器任意时刻可以向数据库查询计费系统信息。
8.管理服务器任意时刻可以更改计费系统信息。
9.用户登录后随时可以查询用户费用、修改用户密码。
10.认证服务器回应用户查询用户费用、修改用户密码的请求。
四、校园网安全管理认证系统的实现
用户认证是校园网络安全的第一道防线,是校园网络安全中的关键技术之一。用户认证是指认证客户在进入系统采用或访问不同保护级别的系统资源时,系统采用基于用户名和口令的方式确认该对象身份是否真实、合法和唯一。
校园网统一认证系统要求通过对客户机和用户进行身份认证,控制用户通过哪些客户机,可以对哪些服务器提供的哪些服务进行访问,系统采用安全可靠的手段保证数据传输的安全性(即通过安全加密方式进行认证信息的数据传输)。其主要功能为:身份认证、超时认证、分组管理、退出网络。
1.身份认证
校园网中的有些应用系统需要采取双重身份认证机制,即用户通过指定的客户端向服务器发出请求,只有已注册的用户才能登录成功,只有登录成功的用户才有访问服务器规定权限范围内的服务。用户在登录时需要进行客户机和用户双重身份认证,即只有当此用户和此客户对此服务器都有访问权限时才能进行访问,否则被服务器拒绝。
2.退出网络
用户使用完网络准备退出时,可以主动退出,回到认证页,认证服务器能够识别用户已经通过认证,用户选择退出网络,起始页可以为认证页面。当用户退出网络时,向防火墙发送通讯密码、进网络、用户IP、认证服务器接收并处理用户的退出请求,验证该请求确为用户所发,服务器确认了用户的退出,同时认证服务器将用户登录信息写入数据库并通知防火墙将该用户使用的IP地址与外部网络断开。
3.超时认证
为了防止合法用户在操作过程中临时离开或操作时间过长,防止合法用户的不正常使用或非法用户对应用系统的使用,以应对权用户在认证通过后有超时限制的要求机制,设计用户超时认证,即当授权用户认证通过后,在一定时间范围内(该时间段是可以根据应用系统的安全级别自行定义)未对服务器作任何操作时,超时后系统将用户重新认证。用户计算机如果关机或故障到一定时间(如15分钟)后,认证服务器发现用户不活动,自动处理用户退出。
4.分组管理
本系统要求将用户、客户端和应用系统进行分组管理,即可以对用户、客户端和应用系统进行授权管理。对用户管理包括用户的注册、修改用户属性、删除用户等。认证服务器定期(5~10分钟)查询数据库,看管理端是否修改系统配置参数。认证服务器禁止或允许一个上网账户被多个用户同时用来上网,用户是否与IP地址绑定等。对应用系统的管理包括增加、删除、维护等。
用户认证是校园网络安全的第一道防线,是网络安全中的关键技术之一。认证服务器为校园网络安全体系提供用户认证、用户退出等工作。通过建立公共认证系统,可以实现不分场所和不分时间方便地访问校园网。认证系统多种多样其中不乏比较完善的体系,但是这些方法不是孤立存在的。只有将多种技术结合起来、综合应用,才能找到最安全的网络认证方法。如果能够获取客户端更多的物理特征(如CPU的ID\硬盘序列号等)信息,将会使本系统更为完善,对提高校园网的应用安全效率更高。世界上没有一种技术能真正保证绝对安全,人的安全意识对Internet的安全具有决定性作用。在建立网络认证体系的同时,计算机使用者的安全意识的提高、网络安全制度的建立健全、网络安全组织体系的建立同等重要。
参考文献:
[1]徐珉.认证专家信息教程.电子工业出版社.
[2]于海达.中国学术期刊全文数据库.对校园网络安全管理的认识.
[3]沈祥玖.Visual Basic程序设计.中国水利水电出版社.