孟小冬
(呼伦贝尔学院 计算机科学与技术学院,内蒙古 呼伦贝尔 021000)
基于802.1x的校园网安全设计*
孟小冬
(呼伦贝尔学院 计算机科学与技术学院,内蒙古 呼伦贝尔 021000)
由于大学互联网用户总数大,互联网上网技术各有差异,一些校园网的黑客等电脑高手,常常有破坏校园网络安全的不法行为.鉴于此,采用先进的网络协议技术对校园网进行安全设计非常必要.本文通过对802.1x协议技术的介绍,分析了校园网安全设计存在的问题,最后将802.1x协议技术运用到校园网安全设计中,为校园网安全设计提出了一些建设性的意见.
802.1x协议;校园网;安全设计
近年来,由于大学扩招,我国高校校园网建设发展较快,建设和使用校园网在大学校园已成为一种主流趋势.网络应用的广泛深入,高校数字化建设使得高等院校的教学、科研以及管理部门在传递信息时对校园网的依赖性越来越强.但由于校园网在构建时为了节约成本,只注重校园网的功利性,忽视了对校园网的安全体系建设,使其在受到威胁和攻击时,显得非常脆弱,当不法分子入侵或者病毒横行时,安全问题日益严重,给网络用户造成了巨大损失.如何加强校园网的安全建设已经成为高校网络用户最关心的问题.
由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,导致网络容易受到黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全是一个至关重要的问题.
虽然计算机在向着智能化发展,甚至在某一些方面可以代替人工处理事务,开展工作.因为计算机本身的复杂性,使计算机常常遭受一些安全威胁.计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁.这些有一些是某些用户有意的或是无意操作造成的;有一些是外来黑客对网络系统资源的非法使用引起的.总结起来,这些可能造成网络安全威胁的因素不外乎就这几种.
人为的操作失误.如网络用户使用时由于安全配置不当造成的安全漏洞没有及时修补,用户网络安全保护意识不强,没有对重要文件设置密码保护,或者将自己的密码告诉他人等.
人为的恶意攻击.通常说的计算机犯罪就是指某些用户的恶意攻击.主动性的认为恶意攻击能有选择地破坏信息的有效性和完整性,对用户来说可能会造成无可挽回的损失;而被动的恶意攻击,在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,也是用户深恶疼绝的攻击行为.这两种攻击形式都会使机密文件泄露,危害信息安全.
网络软件的漏洞威胁.网络软件不是完全安全的,有些病毒的程序以软件的形式出现在用户面前,稍不注意,便会危害网络安全.对于这种恶意攻击行为往往是防范心有余而力不足.
校园网运行之所以出现安全威胁,存在一些安全漏洞,除了外在的人为攻击和操作失误造成的数据的损失和文件的泄密外,校园网自身也存在很多安全隐患.
校园网自身网络结构问题.从网络结构上看,校园网的终端用户和服务器处在同一局域网内,没有安全隔离设置,非授权访问很容易.由于资金的缺乏问题在内部网和互联网之间往往只设置了一个防火墙,多数用户甚至没有进行网络安全配置,直接插入互联网,同时,由于校园网用户多、规模大、网络设备多,在管理上也有很大的难度.
网络协议的缺陷.由于TCP/IP协议出现的年代较早,为广大用户所熟知,本身的费用也较低.因此目前,绝大多数的校园网是基于TCP/IP协议的,而 TCP/IP协议在设计之初的网络环境较安全,没有必要考虑影响网络安全等方面的因素.而随着网络环境的变化,TCP/IP协议的弱点和缺陷越来越多,很多人都是利用了TCP/IP协议的缺陷,进行网络攻击.
操作系统的缺陷.在校园网中,计算机配置什么样的操作系统对网络安全和用户非常重要,现在的操作系统如:Linux、Windows、Unix等,都有一定的漏洞或缺陷,很多攻击者就是利用这些漏洞对校园网用户发起攻击.
尽管没有完全安全的校园网络,但为了保障校园网的安全运行,校园网在安全设置时要尊重五个方面的原则.首先是前瞻性.就是说对校园网可能遭受的安全隐患进行预测和评估.网络信息系统具有复杂性,同时又很脆弱.而多用户网络系统本身又有资源共享性,因此充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测是设计网络安全系统的必要前提条件.
实用性.网络安全必须要保证用户的操作活动和系统的运行.网络中的信息安全和信息应用是相对应的.在采取网络安全措施时,不能过于繁琐,同时不能对网络造成影响,要有实用性.
可管理性.就是说网络设备和安全信任体系要有可管理性.网络的安全与保密是一项很重要的工作.对网络进行安全保护时,保证安全策略到设备、安全责任到人、安全机制贯穿整个网络系统,这样就利于安全措施的管理与实施,可以最大程度的保证网络的安全性.
此外,对校园网进行安全设计时,还要遵循系统性和拓展性等设计原则,与时俱进,不断适应网络发展的需要.对校园网的长期发展做好规划,注意网络功能的升级和扩展.
802.1 x协议,一种基于端口的网络访问控制,以其在认证方面的独特优势,近年来备受网络用户推崇,很多网络用户相继开始实施802.1x接入方式.与传统的TCP/IP协议相比,802.1x协议有一些明显的优势.
所谓的802.1x是IEEE(国际电子电器工程师协会)制定的基于端口的网络接入控制(Port-Based Access Control)标准.虽然它起源于无线局域网标准IEEE 802.11的安全需求,现在经常用于有线局域网.基于802.1x的认证系统一般包括三个实体:申请者(Supplicant)、验证者(Authenticator)、认证服务器(Authentication).与传统的TCP/IP协议相比,802.1x更能适应现代网络技术发展的需要,对网络安全设计也有很多优点.
802.1 x协议在以太网中的引入,解决了传统的认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本.IEEE 802.1x有以下五大优点.首先它纯化了太网技术内核,使IP网络具有无连接的特性,去除冗余昂贵的多业务网关设备,消除网络认证计费瓶颈和单点故障,易于使业务支持更加简洁高效.同时造价低也容易实现,在二层网络上实现用户认证,绑定技术很强大,更加安全可靠.此外,IEEE标准是微软操作系统内置支持的行业标准.最后,这种协议能使控制流和业务流完全分离,易于实现多业务运营.
802.1 x与传统的网络协议相比,人机交互性更强.用户有上网需求时打开802.1x客户端程序,通过输入已经申请、登记过的用户名和口令,发起连接请求.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机.最后环节,需要使认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,通过计算机鉴别真伪,有效地防止了非网络注销用户本人的非法操作.
更强的人机交互性,更强的智能化措施,更强的安全设置装备,保证了网络用户在使用校园网时对安全进行自我设置,降低了被黑客攻击的风险,低价保障了在电脑使用过程中的恶意攻击.当然,对于一些由人为地操作失误造成的安全威胁也大大降低,因为802.1x协议技术在用户登录时设置了一个用户确认环节,非经授权的使用网络行为也受到了限制.
对校园网进行安全设计,首先对校园网进行安全域划分,根据不同的局域网的安全隐患不同,同时引起校园网安全威胁的因素也不同,具体问题要具体分析.因此,在相同的网络安全域可以共享一样的安全策略,这样可以节约部分安全设计资金;而在不同的安全域之间需要设置防火墙,把不同的安全域隔离开来,防止网络病毒的相互传播,以进行安全保护.
进行网络安全设计首先要对网络和系统进行安全检查和评估,而安全域则是检查和评估的基础.划分安全域,有利于具体解决问题,也是防止网络病毒渗透的有效防护方式,建立以安全域为中心的安全防护策略,有利于对网络和系统进行安全建设的部署.通常在边界问题较容易发生,因此安全域边界是灾难发生时的抑制点,而安全域边界的安全隐患主要来自互联网上的攻击.网络边界防范(例如边界防火墙系统等)可以大大减小攻击者通过互联网访问校园网的几率,有效地把安全威胁排除在安全域之外.
同时还要注意内网安全威胁,这是一种主要源于校园内部的网络安全威胁.对校园网用户来说,先控制局域网络内部的一台服务器,然后以此为地,对内网中的其他主机发起恶性攻击行为是比较常见的校园网恶性攻击事件.因此,为了保护校园网的安全,减少由校园网安全事故造成的损失,应在边界展开黑客防护措施,例如加密技术、客户端的安全防范、用户的身份验证、权限控制等措施,同时建立并加强内网防范策略.此外,根据不同的安全域和子网的安全要求,还可以由路由交换设备安全配置等在网络接口实行防范措施.
结语:保证信息流通,同时保障信息流通的安全性,尽量减少在计算机使用过程中存在的安全风险.校园网的普及,为充分利用教育资源提供了可能,方便了现代高等院校的教学,也有利于使广大学生在课堂学习之余开阔视野,进行交友和娱乐.在信息时代,便于信息的及时公开和公开意见的表达.但也应注意与此同时,网络犯罪也非常多见,校园网的安全问题关系到高等院校的信息安全和学生的切身利益.校园网设施密集,用户及访问流量极大,特别是经常有些网络爱好者和黑客“光临”校园网,这些校园网本身的漏洞和不断恶化的网络环境给校园网的安全造成了极大的隐患.运用新的思路和方法,改进网络安全设计,确实提高校园网的安全性.
TP393.18
A
1006-5342(2012)06-0024-02
2012-03-20