时间:2022-09-29 22:34:26
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇身份认证技术论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
论文摘要:随着高校信息化建设的发展,统一身份认证平台在数字化校园中发挥越来越重要的作用,改变了高校信息系统各自为政、一个用户N多个帐号或需要重复登录的状况,实现单点登录,有限的提高了整个信息系统的安全性和用户的工作效率。而基于LDAP的统一身份认证让实际开发变的更加轻松、可行性更高。
一、目前高校信息化建设现状
随着信息技术的发展,各个高校都高度重视信息化建设工作,“数字校园”即是将信息技术运用于教育改革过程形成的最新研究成果。在数字校园中,学校针对各种需求建设应用系统,力图通过信息化来整合机构内的各种资源。但在实际信息化建设过程中,由于前期缺少统一规划,并且高校系统软件很少有做的很全或很专业的公司,基本上是学校各个部门各自为政,各自购买建设自己的信息系统。如教务处购买自己的教学管理系统,学生处购买单独的学生综合管理系统,图书馆有自己的借还书管理系统。
在多系统并存的情况下,校园网内每个用户拥有多个密码,用户需要逐一登录自己所要使用的应用系统,这给用户造成了很大的不便,安全性存在严重隐患。同时,用户的信息分散存储于各个应用系统中,这不仅为用户的正常使用也为应用系统的管理和维护增加了很大的麻烦,工作效率重复低下。为了解决这些问题,需要在多应用系统并存的情况下,实现应用系统间的用户统一认证和信息共享。
二、统一身份认证在高校信息化建设中的重要作用
网络信息系统的统一认证技术已经相当成熟,从门户网站(如新浪)到企业内部网(如平安保险公司)都对原有的系统进行改造升级,使得不同历史时期购进的信息系统能够整合起来,进行统一认证,降低了管理成本同时又提高了信息系统的安全性,对用户来说也解决了多账户多密码难于记忆的问题。
目前,各大高校也在整合自己的网上资源,把各个独立信息系统的认证统一起来,实现统一身份认证,通过统一规划整合认证后的校园信息系统最大限度的减少用户的帐号数,简化登录过程,实现一次登录多点使用,实行统一管理,方便用户的同时也极大的提高了信息系统的安全性。校园网内用户只要登录一次就可以访问其它的网络资源。可以说随着高校信息化建设的发展,统一身份认证是重中之重,信息建设部门应做好统一规划,后期的软件开发应用必须和统一身份认证平台对接。
三、基于LDAP的统一身份认证的建设与特点
统一身份认证平台的目的是要解决不同的应用系统用户名和口令不统一的问题,通过提供统一的授权机制及一套方便、安全的口令认证方法,让用户只要一套用户名和口令就可以使用校园网络上有权使用的所有应用系统。保证用户通过网络单点登录或手机登录方式进入系统。目前使用最多的是采用目录访问进行身份认证,此技术基于LDAP(轻量型目录访问协议),具有高效的查询速度。利用LDAP 服务特性及WEB相关技术, 实现了对数字校园中用户及网络应用资源的统一开发管理。
统一身份认证平台的开发功能如下:
1、目录服务:目录服务与现有系统集成在一起,充当一个集中化的身份信息库,用于将学生、教师和其他人员的信息集中存储。
2、统一认证:认证服务提供了平台的核心基础服务,用于对学生、教师和其他人员的数字化身份的认证。 3、身份管理:提供基本的组、用户、用户属性、用户类型、口令的维护功能
4、管理控制台:承担整个统一身份认证平台的身份数据管理、系统服务管理、平台运行管理工作,是整个平台的集中管理控制中心。
基于目录访问协议的身份认证基于Linux系统下OPenLDAP设计,能够批量导入加密后的用户信息,打印明码条发给用户。然后围绕认证数据库进行各种应用程序设计,包括:基于浏览器界面的统一认证Web应用程序、基于窗口界面的登录界面设计(用于桌面应用软件等)、基于浏览器界面的统一认证后台管理Web应用程序等等。
基于目录访问协议的身份认证优点很多,主要有:采用开源解决方案,不需另外购买商业软件,可以在源码的基础上进行二次开发,能够最大程度减少IT信息建设投入;采用OpenLDAP进行系统认证,一定程度上防止SQL注入攻击,有效保护后台数据安全;LDAP具有很高的查询速度,保证认证查询速度;采用Linux作为认证平台,安全、稳定。
四、结束语
当然,统一身份认证在实际的建设过程中可能会遇到各种难点,主要是接口问题,如很多以前实施的应用系统现在开发商都联系不到(这种情况各个高校都有),整合到认证系统中可能花的代价比重新开发或购买的成本还要高。所以在后期规划中,要求系统供应商必须提供或开发和身份认证平台统一的接口。
目前,经过统一规划和投资,身份认证系统在苏州大学已经基本完成,整合集成了教务、学工、人事、行政等各种信息服务,是数字化校园的信息集中展示平台,也是校内重要业务系统的统一入口。经实际使用证明,它不仅提高了数字校园中各种应用系统的安全性、可靠性,也给用户提供了极大的方便,同时方便了数字校园的用户管理,具有很好的社会效益和经济效益。
参考文献
[1]openldap.org openldap官方网站
[2]宫恩辉,朱巧明,李培峰,史鑫.LDAP和Kerberos在统一身份认证中的应用[J].苏州大学学报(自然科学版).2006年02期
[3]张辉,杨岳湘,汪诗林.数字校园中基于LDAP的统一用户身份管理技术研究[J].计算机工程与科学.2005年第27卷第1期
关键词:医学院校,数字化校园,信息平台,整合
现代高校的发展离不开信息技术,特别是随着各高校学生人数急剧增加,新教学楼、新教室的不断扩建,教学方式的多样化等一系列因素使学校对多媒体、网络教学、办公应用系统等信息化技术依赖越来越大,数字化校园建设已经成为各高校信息化建设的重要任务之一。医学院校在发展过程中也面临着同样的问题,需要对学校的教学、科研、管理等信息资源进行全面的整合,以实现统一的管理。
一、数字化校园的涵义及意义
在传统观念中数字化校园一直被认为只是由一个一卡通系统和多个应用系统组成,例如各种办公系统、多媒体教学系统、人事系统和财务系统等。但由于各个系统中的信息,数据保存格式以及操作人员的权限设置都不一致,并且各系统由于开发商的不同很难做到统一的接口,系统间通讯困难,对于整个校园来讲只是一个个“信息孤岛”,造成大量冗余、错误的信息,因此这样的“数字化校园”只是一个狭义的概念,并不能完全发挥信息化的优势。而数字化校园真正的涵义是指以校园网络为基础,利用计算机、各种通讯手段对学校里各种办公系统、多媒体教学系统进行统一的信息化管理,包括统一的身份认证、权限控制、教学资源管理以及对人事、财务、后勤等信息系统的统一管理等。数字化校园在时间和空间上都超越传统意义上的校园,它是一个基于先进的信息化技术的虚拟校园,使现实的校园环境得到延伸[1]。
数字化校园的建设对于高校的管理和发展具有重要意义。首先,数字化校园是一个虚拟化的校园,它超越了时间和空间上的局限,使学校的跨地域业务得到有效开展,对学校建立创新型的教学模式,开放式的教育环境,多层次的管理方法都具有相当重要的意义。其次,数字化校园以网络通讯为基础,通过计算机处理大量的信息,使学校教工把一些查询、统计、计算等工作交给计算机来完成,大大降低了工作量,提高了工作效率。再者,数字化校园成功解决了学校“信息孤岛”的问题。数字化校园的成功实施,能把学校里各个分散的系统整合,实现数据的统一管理,避免出现数据的重复检索、录入。例如图书馆的图书借阅系统,里面的人员信息不需要重新录入,可以直接从人事处数据库中调用,有效解决了数据的不一致问题。
二、国内外相关课题的研究现状
“数字化”这个概念最先是由美国前副总统戈尔于1998年在美国加利福尼亚科学中心发表的题为《数字地球---21世纪认识地球的方式》(The Digital Earth:Understanding in our planet in the 21st Century)的报告中首次提到的,他提出了数字化地球的概念,此后,“数字化”名词在全球流行开来,各行各业如数字化城市、数字化校园、数字化图书馆等名词接二连三被提出。
近年来,校园数字化建设已经成为世界各国高校重点研究的课题之一。
在国外,英国信息教育技术走在前列。1998年1月英国启动了全国学习网,利用网络的高速优势把学校、科研机构、图书馆等网站连为一体,为网络教育开辟了途径。2002年,英国全国学习网的网络连接所有家庭、社区、学校、医院、社会服务以及大众媒体转播系统、单位,基本能满足学校教育、家庭教育、职业教育、终身教育和社会经济发展的需求。
国内大学信息化基础建设方面,在90年代初,建成校园网并通过CERNET建设与国际互联网连接的大学总数不过10所左右。到1999年,已经有500余所大学建设了结构先进、功能完备的校园网络。2002年,北京大学和香港大学共同启动了亚洲地区第一个国际性的高等教育信息化研究项目,对亚洲地区各国高校信息化建设、发展的最新动态和信息,进行研究。
现阶段医学院校信息化建设所面临的主要问题有:一是学校以医学专业为主,信息化意识不强,缺乏专业的信息化建设人才队伍;二是信息化建设各自为政,存在重复建设现象;三是信息化建设进程缓慢,没有建立网上自动办公系统和智能化决策支持系统。
三、数字化校园建设目标
医学院校数字化建设的总体目标是建成一个适合学校校情的数字化校园模型,即“统一平台+统一门户+多应用系统”的建设模式,从而实现校内教学、管理、科研的全面信息化、网络化。免费论文,整合。
1.统一平台是指一个高性能的、负载均衡的、可扩展易维护的、高安全的应用软件、硬件以及数据库平台。其中包括统一信息门户平台、统一身份认证平台和统一公共数据平台三大基础平台。
2.统一门户是指要建成一个统一的、开放的、能提供信息共享并能提供多种应用服务的高效稳定的门户中心。
3.多应用系统指为满足各种教学、管理、科研等日常业务的需要而提供的各种信息化软件、工具等,如教务系统、人事管理系统、财务系统、科研管理系统、学生管理系统等,这些系统从统一的数据库平台调用数据,共享规范标准格式的数据,提供统一的接口程序。
通过数字化校园的标准建设,集成现有的应用系统,在新需求下开发新的应用系统,从而实现校园的信息共享和传递,最终构建一个集教学、科研、管理、活动为一体的信息化环境,实现学校教育过程的全面信息化,从根本上提高教学质量、科研水平和管理水平。免费论文,整合。
四、数字化校园建设内容
数字化校园的建设是在现有网络基础设施的基础上对校内所有信息化资源(包括各种应用系统、数据库资源、认证系统等)进行全面整合的过程。数字化校园建设的各个环节必须互相紧扣,有计划、有步骤地实施,确保各个环节协调发展。医学院校的数字化校园建设可以结合自身特点,发展几项特色项目,如虚拟实验室、虚拟医院、虚拟手术台等。
数字化校园的总体架构设计包括基础设施建设、统一身份认证平台、应用系统建设
1、基础设施建设
基础设施建设包括基础网络平台、弱电系统和IDC数据中心建设,是建设好数字化校园的基本保证,为数字校园提供最底层的网络、硬件支持。
(1)基础网络平台、弱电系统
(2)IDC数据中心
IDC数据中心是由一系列的硬件、软件、相关网络组成的整体,它作为全校数据流转与交换的中心,主要包括主机系统、存储系统、网络系统、安全系统等硬件设备和数据库系统、应用服务器、目录服务器数据汇聚设备。
2、统一身份认证平台
在数字化校园中,各个系统之间经常需要相互协作才能完成一项任务。但对于同一个用户来说,如果不同的系统都要不同的登录信息,并且要重复登录,这就给用户带来极大的不便,也给系统加重了负担。而所谓的统一身份认证就是对校内各个不同的应用系统采用统一的身份认证系统,为各应用系统的集成奠定基础。
目前高校身份认证管理存在以下问题:
(1)由于目前校内各个系统都是分散管理,因此就难以统一管理用户的账号,这就难免会对一些账号信息进行重复管理,增加管理成本。免费论文,整合。
(2)账号的使用没有落实到实名,一个账号存在多人使用的现象,在出现安全事故时难以明确责任,因此在安全管理上存在漏洞。免费论文,整合。
(3)不同应用系统之间的认证模式和规范不同,安全等级划分标准也不同,不便于全校的安全管理。免费论文,整合。
(4)一个用户如要使用多个应用系统,就必须记忆多套账号信息,并需重复登录,给用户的操作带来极大的不变[2]。免费论文,整合。
3、应用系统建设
应用系统主要有一卡通系统、数字图书馆、教学系统、学工系统、人事系统、财务系统、精品课程等。
(1)一卡通系统
一卡通是数字化校园建设的重要内容,是校内各系统连接的枢纽。校园一卡通以校园网为基础,集成各种计算机网络设备、数据终端,以IC卡为载体实现校园管理的信息化。系统建成以后,将取代以前校内的各种卡证(如借书证、饭卡、工作证、学生证等),真正实现校内工作、学习、生活的“一卡通”。
(2)数字图书馆
数字图书馆是数字化校园的重要组成部分,它是指运用数字技术和信息技术把处于不同地理位置的信息资源进行整合存储,并通过网络向广大读者提供多媒体信息资源的虚拟化图书馆。数字图书馆不受地域空间的限制,能最大限度地共享各地信息资源。
(3)教学系统
教学系统主要有教务管理系统,它管理的对象主要有学生信息、教师信息、管理人员信息以及教学资源信息(如教室、多媒体等)。而它主要实现的功能有:排课、选课、考试安排、教学测评等[3]。
五.结束语
数字化校园已经成为建设现代化高校必须面临的课题。数字化校园建成后,将很大程度上改变学校的教学、管理、科研等工作模式,更方便了校内的信息传递、共享。但国内医学院校的数字化校园建设还有很长的一段路要走,必须在初期做好整体规划,以学校的中心工作为出发点有计划地实施。
参考文献
[1]傅霖,张凡,江魁.高校数字校园探索与信息标准化建设[J].中国教育信息化,2007
[2]张应祥,吴健,孟彤.数字校园统一身份认证系统及管理平台设计,2010
[3]胡艳梅,羊牧.医学院校数字化校园系统结构设计[J]. 中国现代教育装备,2007
【关键词】数字化校园 三大平台
高校各个部门相对独立分散的业务系统通过数字化校园三大平台进行统一整合和有效的集成,对集成数据制定统一的标准,实时更新各种数据信息,确保信息的一致性和提高信息的准确性,从而提升领导的决策水平和高校整体管理水平。数字化校园三大平台不仅可以解决高校信息孤岛的问题,规范业务流程,还能为高校师生提供“一站式”服务,提高工作效率。
1 信息化标准建设与公共数据平台建设
现如今,高校各部门各司其职,根据需求建立各自的管理系统,缺乏数据统一标准和资源共享的意识。如果高校没有建立统一的信息化标准,往往会导致数据资源的浪费。建设数字化校园三大平台的主要目的是实现资源和数据共享以及将多个不关联的系统统一成一个系统,实现各部门之间数据交互,方便信息管理,提高工作效率。所谓信息化标准,是指信息在产生、传输、交换和处理时采用统一的概念、传输和表达格式、术语以及规则。
公共数据平台是建设信息门户平台和统一身份认证平台的基础,是数字化校园建设的重要组成部分。通过公共数据平台,可以对学校各个部门的数据信息进行收集、管理和利用,可以有效解决“数据共享难、信息孤岛”问题。公共数据库是统一管理数字化校园中的各种结构化数据的平台,具有建立和划分面向具体业务的数据库功能,可确保数据的一致性、完整性和安全性。通过数据集成平台可以将教务处、财务处、学工处、人事处、科研处、图书馆等应用系统的数据库集中到公共数据库里,并保持所有应用数据的统一。
2 统一身份认证平台建设
随着教育信息化的发展,学校需求的应用系统越来越多,不利于网络管理工作的开展。尤其是不同的应用系统其身份认证方式也不同,用户人员需要掌握大量的登录信息,经常会出现混淆登录信息以及忘记登录密码的问题,降低了用户的工作效率,同时也给网络中心工作人员增加了不少的任务量。高校现有的业务系统大部分都是单独授权、单独认证和单独的账号管理的模式,这种模式已经不能满足信息化快速发展的需求。因此,建设一个统一的、安全可靠的、集中式的身份认证和管理平台是一项相当重要的任务。
统一身份认证平台属于信息门户平台的身份认证方面,可以支持多个业务系统间单点登录(SSO),为各学校各个部门的业务系统提供集中式管理和安全认证机制,使得各种业务系统有效的整合和集成在一起。为了更好的使用系统和降低信息中心运维人员的工作负担,统一身份认证平台提供了自助密码找回功能。
3 信息门户平台建设
信息门户平台是直接展现给用户面前的,不仅可以及时的新闻通知,还可以提供管理、学习、生活等多方面的服务,增强了用户体验感,给全校师生带来了便捷性。
在该平台中,通过微博聚合方式将学校官方微博中的新闻、通知等信息推送到门敉站中。另外,学校目前拥有的业务系统如教务系统、财务系统、人事系统、科研系统、邮件系统、OA系统、校园一卡通、就业系统、迎新系统、离校系统等模块也会集成到门户网站中,并抽取OA待办事项、图书借阅情况、校园卡余额、教师的本月工资和公积金发送情况、站内信息未读提醒等服务模块。信息门户管理平台根据学校领导、普通教师以及学生需求的不同将信息门户页面展现的内容划分成三种,例如,以学生身份作为用户登录进去,页面中会增加成绩查询和已修学分信息,方便学生掌握自己的已修课程成绩和学分情况。此外,用户可以根据本身的爱好需求将一些应用模块添加到首页,对界面进行美化,增强用户体验感。
4 结束语
数字化校园三大平台建设在计算机和网络技术基础之上将高校内部各个相对独立分散的业务系统有效的集成在一起,有效的解决了信息孤岛的问题,实现了数据共享,提高了高校整体管理水平和综合实力,有助于学模式和观念的转变,更好的辅助学校领导决策。
参考文献
[1]张应祥.高校数字校园信息标准设计研究[J].中国教育信息化,2010(05):22-24.
[2]殷娜.数字化校园统一身份认证平台的构建[J].计算机技术与发展,2014(08).
[3]任婕.统一认证在校园门户网站上的应用[J].江苏教育学院学报:自然科学版,2010,26(12):63-67.
[4]刘夏,高荣芳,王学龙,任长林.数字化校园三大平台建设研究[J].软件导刊,2016(05).
关键词: 身份管理; 身份认证; RSA模块; 安全性
中图分类号: TN99?34 文献标识码: A 文章编号: 1004?373X(2016)24?0022?04
Optimization improvement of key technology of cloud electronic identity management and authentication system
WANG Pengcheng, XIE Kunpeng
(Henan Institute of Finance, Zhengzhou 450000, China)
Abstract: There are high risk, low efficiency of database storage, high authentication error rate in the current identity management authentication technology. Therefore, a cloud electronic authentication management system is proposed. This system is mainly composed of authentication server, system server and cloud access server. The control agent module in the authentication server intercepts the data information that the user requests for authentication by resource server, and sends the data information to the certification service module. When the user enters into the information database, the files required by the user are encrypted and decrypted by the RSA system server module. The identity authentication relies on the user′s private key and authentication token. The data information is uploaded to the cloud access server for storage and transmission to complete the entire cloud electronic identity management and authentication. Partial functions, flow charts of file encryption and decryption in RSA module, as well as the power operation process of large numbers multiplication and large mathematical model in the verification process of RSA module are given in this paper. The experimental results shows that proposed identity management and authentication system has low energy consumption, high efficiency and high precision of data processing.
Keywords: identity management; identity authentication; RSA module; security
0 引 言
随着电子信息技术的不断发展,公共网络服务、事务查询等功能越来越多地出现在电子信息系统上。它可以为跨互联网的用户们提供安全快速的身份认证服务。电子信息系统给人们的生活带来便捷,但随之也存在电子信息技术安全性方面的问题[1?3]。其中的重要部分便是身份安全问题。构建一个安全性优良的电子身份信息管理和认证系统是目前相关专业人员的重点研究方向[4?6]。
目前的身份验证方法都存在一些不足。如文献[7]提出了OPEN ID身份信息处理系统,具体过程为让用户事先在网站上注册个人信息,并且任何网站都可以使用OPEN ID进行登录,对用户身份进行认证。因为网站质量参差不齐,导致OPEN ID技术不稳定,安全风险也很大。文献[8]提出单点登录法,当用户访问任意的服务器,只要登录过一次,通过其中的安全认证,那么下次用户再访问其他资源的时候则无需再次认证登录。其缺点为安全性能太低,中央数据库的管理代价较高。还会产生第三方服务器跨域问题。文献[9]采用了OITF联合身份管理系统,这种管理系统可以为多个应用系统进行身份认证,实现了跨域的单点登录与身份管理。但由于身份安全级别的不同,安全认证的需求也不同,在多个应用系统中,要想使用统一的认证体系需要大量的开销,极大地提高了成本。为了解决以上方法中存在的问题,本文设计了一种云电子身份管理认证系统。
1 云电子身份管理与认证系统设计
1.1 系统结构
云电子身份管理认证系统主要将数据库中的用户个人信息与各个应用系统的数据通过身份认证系统,来进行统一的管理、认证。首先,认证服务器将会对用户的身份进行确认,认证服务器中的控制模块截取用户对资源服务器请求认证的数据信息,并将数据信息发送到认证服务模块进行用户身份认证。用户进入到信息数据库中后,需要通过系统服务器中的核心模块,也就是RSA模块对用户所需文件进行加密解密处理,最终将数据信息上传到云访问服务器中,以完成整个电子身份认证管理过程。云电子身份管理与认证系统结构如图1所示。
(1) 认证服务器。认证服务器含有控制模块与认证服务模块。其中,控制模块截取用户对资源服务器请求认证的数据信息,并将数据信息发送到认证服务模块进行身份认证。认证服务器为身份认证系统与认证服务模块之间必不可少的一环。为了在服务器交换数据信息时,用户数据和认证服务器保持完全分离,需要使用控制模块,它可以保护用户个人信息的安全。而认证服务器在客户端完成相应的身份信息认证工作。在后台的信息数据库里存储了大量的用户个人信息数据。为了保护用户的个人信息安全,用户与认证服务器各拥有一个RSA密钥,RSA密钥可以实现用户与客户端的互相验证,用户可以根据认证服务器的公钥信息判断验证服务器身份是否合法。
(2) 认证客户端。在每个公共网络与内部网络的未认证的用户主机里都有一个认证客户端,其是身份验证系统的操作界面。
(3) 认证令牌。认证令牌是在进行身份认证时随机生成的动态数字,经过函数计算能够得到动态口令。身份验证系统会将得到的动态口令与用户的ID信息进行对比查询,提交到认证模块的服务器中,以此来验证用户的身份。在身份验证系统中,每一位用户都会得到一个认证令牌。
1.2 系统服务器结构设计
认证模块、系统管理模块、用户模块、RSA管理模块以及数据库管理模块组成了完整的系统服务器。系统服务器依靠模块化的部件,确保身份认证系统更具有扩展性、安全性。系统服务器构造如图2所示。
整个系统服务器的基础模块为RSA模块,其可进行RSA加密或解密,实现大数运算,根据其他模块的需要来进行计划调度。同样可以进行计划调度的还有数据库管理模块,它对用户数据进行处理。用户进入到信息数据库中后,通过系统服务器中的RSA模块,对用户所需文件进行加密解密处理,依靠用户私钥和认证令牌实现身份认证,将数据信息上传到云访问服务器中进行存储和传递。系统管理模块为身份认证系统的核心,可对其他模块进行协调并加载服务。
1.3 云访问服务器
云访问服务器给用户提供存储和共享数据信息,并进行数据传输功能。云访问服务器的工作效率对于身份管理与认证系统有着很大的影响。云访问服务器的结构图如图3所示。
由图3可见,云访问服务器分为用户注册、用户登录、添加删除好友、文件上传、文件下载和文件共享6个模块。依靠云系统的庞大容量来满足身份认证系统的扩展需求。数据库中的数据进行加密后即可储存在云系统中,进行过加密处理的文件除了用户本人以外,无法被读取,从而保证了整个身份认证系统的保密性、安全性。
2 身份管理与认证系统的软件设计
2.1 RSA模块功能设计
RSA模块是云电子身份管理认证系统的核心模块之一,其可以运算RSA算法,还可以对文件进行加密解密处理。RSA的性能影响着系统的性能,因为在身份验证系统中,基本上所有的函数运算都需要RSA模块来完成。下面为RSA模块中的部分功能函数:
Clargent函数的功能为可以将大数进行计算,比如基本的加减乘除、模幂与位移的运算等。内存中大数的构造即为Clargent函数:
enum LIMIT{LENGTH = 0xFF};
unsigned long _len;
unsigned long _data[LENGTH];
其中:len是大数的总长度,大数的最大长度即为len×32=8 192 b,Data为总长度中每一位的具体数值。进行运算设计时,将2×32作为基底,以左边代表低位,右边代表高位。
下列函数都与大素数相关:
InitSmallPrimes代表素数测试模块所用的初始化小素数表;
SmallPrimeTest代表对产生的大数p进行的小素数检验,检验通过后再对大数p进行RabinMiller测试;
RabinMillerTest代表对产生的大数p进行RabinMiller测试,若测试通过则认为大数p为素数;
下列是与密匙相关的一些函数:
GetCommonDivisor代表获取到两个大数的最大公约数;GetE代表生成私匙(n,e);GetD代表生成公匙(n,d);RSAEncrypt代表将数据进行RSA加密处理;RSADecrypt代表将数据进行RSA解密处理。
为了让文件与数据的相互转换变得更加简单,RSA模块在文件加密处理时将文件作为大数来运算。一般文件的大小基本都比理论上大数的总长度大,所以在进行文件转换时需将文件分段处理,对文件进行分段加密处理,最后再连接成一个完整的文件。解密过程同加密过程完全相反。
下面是文件的解密流程,如图4所示。由图4可知,需进行加密解密处理的文件共两个,其中,Encode text代表将对文件进行加密处理;Decode text代表将对文件进行解密处理。
2.2 RSA模块进行大数乘法过程
为了实现大数和unsigned long类型的乘法,RSA模块需要先列出一个函数式,然后依据函数式来反复调用这一模块。设A为位数是m的大数,设B为unsigned long类型数,则最后大数A*B的运算过程为:
(1) 设C0=0,i=0
(2) 则可得Ri=Ai*B+Ci
(3) 如果 Ri>0xFFFFFFFF,Ci+1=Ri/0xFFFFFFFF,Ri=Ri&0xFFFFFFFF
(4) 如果Ri
(5) 如果i≥m,则结束
(6) i=i+1,重复步骤2
2.3 RSA模块进行大数模幂运算过程
在RSA模块进行电子身份认证运算过程中,私钥与公钥的值确定后,若想完成身份验证并签名,无论再进行发送还是接收都只需再运算一次,这种运算的过程称之为模幂运算。构成模幂运算的为模乘运算,因为在RSA模块中,大数位通常大于512 b,大数模幂的运算量则会很大。若想提高运算速度,需要简化模幂算法,如下为简化的大数模幂运算过程:
为了求得D=C15%N,因为a*b%n=(a%n)*(b% n)%n,那么可以得出:
C1=C*C%N=C2%N
C2=C1*C%N=C3%N
C3=C2*C2%N=C6%N
C4=C3*C%N=C7%N
C5=C4*C4%N=C14%N
C6=C5*C%N=C15%N
故可以将模幂运算e=15分解为6个模乘运算。通过分析上述函数式的规律可以得出e为任意值时,使用函数算法计算出D=Ce%N:
D=1
While e≥0
If (e非偶数)
D=D*C%N
D=D*D%N
e=e-1
If (e非奇数)
D=D*D%N
e=e/2
最终回到D
根据结果进行分析得知,D乘C的具体时间通过检验e的二进制各位数得出,并且在检验过程中,由左至右的检测比较简单,如下:
D=1
For i=n to 0
D=D*D%N
If e[i]=1
D=D*C%N
最终回到D
3 实验分析
作为客户端与服务器之间重要的数据传输设备,身份认证系统需要向用户提供访问服务。用户是否能安全地登录客户端,对身份验证系统有很高的要求,实验对本文设计的云电子身份管理认证系统进行测试,验证其性能。
3.1 测试准备
在实验中本文采用了Avalanche 测试工具,其可模拟出大量的用户对本文设计的身份管理与认证系统进行访问,进而得出具体的实验结果。为了避免客户端和身份认证服务器在实验身份认证过程中读取的数据不同,采用Ethereal 抓包工具来抓取动态数据包,再对数据包进行解析。
3.2 测试结果
为了验证本文提出方法的有效性,在各种不同条件下进行了多次测试,测试的结果如表1所示。通过表1可以得知:当最大并发数达到2 000,2 500,3 000时,本文设计的身份管理和认证系统CPU 消耗的最大值并未超过系统合理运行所要求的最大限度,当并发数达到很大的数值时,系统依旧可以正常运作;本文的身份管理和认证系统对于用户要求响应的时间在220 ms左右,具有较高的认证效率;在测试过程中,当并发数值达到很大时,本文身份管理和认证系统对于数据处理的正确率也在99%以上。在身份认证系统中,由于系统软件部分的运算速度有限,所以在对文件进行读取和加密解密的过程中,对于函数式的运算性能要求十分苛刻。下面对本文提出的身份认证系统的文件加密解密运算执行时间进行性能检测,结果如表2所示。
由图5可知,对不同大小的文件分别进行加密和解密测试后的验证结果显示出文件的大小与文件加密解密的时间成正比,并且文件加密解密的所用时间都是ms级,非常微小。故本文提出的身份认证系统可以满足用户进行高效率身份认证的需求。
4 结 论
本文提出一种云电子身份管理认证系统,系统主要由认证服务器、系统服务器与云访问服务器组成。实验结果表明,提出身份管理和认证系统耗能低、认证效率高,具有较高的数据处理精度。
参考文献
[1] 王群,李馥娟,钱焕延.云计算身份认证模型研究[J].电子技术应用,2015,41(2):135?138.
[2] 朱莉蓉,陈宁江,何佩聪,等.基于动态信任管理的云用户行为认证服务系统[J].广西大学学报(自然科学版),2015,40(6):1485?1493.
[3] 王文清,柴丽娜,陈萍,等.Shibboleth与CALIS统一认证云服务中心的跨域认证集成模式[J].国家图书馆学刊,2015,24(4):45?50.
[4] 李丙戌,吴礼发,周振吉,等.基于信任的云计算身份管理模型设计与实现[J].计算机科学,2014,41(10):144?148.
[5] 王雷,王平建,向继.云存储环境中的统一认证技术[J].中国科学院大学学报,2015,32(5):682?688.
[6] 叶丹.云智能生活中的身份安全[J].五金科技,2014,42(5):82?85.
[7] 王崇霞,丁颜,刘倩,等.云计算环境的联盟身份认证方案设计[J].应用科学学报,2015,33(2):215?222.
论文关键词:CA认证体系;信息安全;数字证书;公钥
一、CA概述
CA是CeritficateAuthoirty的缩写,通常翻译成认证权威或者认证中心,是负责发放和管理数字证书的权威机构,并承担电子商务公钥体系中公钥的合法性检验的责任。
CA认证系统是一个大的网络环境,从功能上基本可以划分为CA、RA和WP。核心系统和CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都应有严格的规定,并且系统设计为离线网络。CA的功能是在收到来自RA的证书请求时颁发证书。一般的个人证书发放过程都是自动进行,无须人工干预。
二、对外经济贸易大学CA认证体系的规划和建设
(一)背景
对外经济贸易大学是教育部直属的全国重点大学,国家“211工程”首批重点建设高校,大学校园网始建于1997年,经历了建设、调整和完善的阶段。截止目前为止校内所有建筑物全部光纤接入到网络与教育技术中心,网络设备400余台,信息点数近17000个,实现了所有办公楼及宿舍楼的上网需求。各部门相关业务系统也在逐渐完善,信息系统在日常工作中的使用频率在迅速提升,与此同时,学校全面实施信息化校园(一期)建设,搭建了统一数据库平台、建立统一身份认证系统并建立了统一信息平台门户,基本实现各系统的信息共享。对外经济贸易大学的校园网建设成已基本形成了运行比较稳定、速度比较快捷、应用比较广泛、相对安全可靠的网络,为全校的教学和科研活动提供了坚实的保障。
然而,单纯的用户名/口令身份认证方式已经不足以保证用户登陆系统的身份安全性,在学校信息化建设相对稳定成熟的基础上,我们考虑在校园网中建立一套完整的CA数字证书认证系统,通CA认证,把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名个人信息以及电子邮件地址等,以实现在网络上验证用户的真实身份。在开放网络上实现密钥的自动管理,保证网上数据的安全传输。并制定有针对性的相关运维策略,按照学校实际情况,颁发给校园内用户标识个人身份的数字证书,使用户利用数字证书登录业务系统,替代原有的用户名/口令登录方式。真正做到既简便了用户的登陆操作,又进一步提升了业务系统的安全性。
(二)建设原则
结合学校各业务系统自身应用的现实情况,在相关国际标准的指导下,对外经贸大学CA认证系统建设项目的总体设计和实施都将依据国家有关信息安全政策法规,根据项目的实际需要和高校信息化建设的实际情况,依靠科学技术,依靠科学管理的思想进行设计;将长远规划和当前建设相结合,安全可行和方便适用相结合。因此,项目的研究和实施遵循以下原则:符合国家有关规定的原则、坚持继承、发展、创新的原则、坚持以人为本、方便适用的原则、需求、风险、成本折衷原则、坚持统一标准、规范建设的原则、技术与管理相结合原则和保护已有投资、易于扩展的原则。
(三)建设内容
考虑CA身份认证系统在国内建设的相关情况以及结合对外经贸大学各业务系统的应用现实情况,对外经贸大学CA认证系统建设项目的建设内容如下:
1.制订标准规范
制定符合对外经贸大学自身特色的标准规范,指导对外经贸CA安全认证体系的建设、推广、使用,保证系统的高效管理和使用,保证系统之问的互联互通。
2.建设对外经贸大学的CA安全认证体系
所建立的CA认证系统面向全校8000余名在校学生及1500名教职员工提供全面证书安全认证服务,认证系统将具备万张级别的数字证书签发管理能力,使整个校园信息化体系得到进一步完善,从安全性方面保证数字化校园网络的高效、可靠运行,为对外经贸大学涉及的多套教学及办公业务系统提供完善的数字证书服务。
3.数字证书与业务系统的结合
①与公文系统的结合
建设一套电子签章平台,来管理发放相关人员的电子印章,可以实现在OA审批流转系统中对审批电子文档的盖章确认,包括对签章人的身份确认,对审批文档的防篡改,以及盖章行为的不可抵赖。由于具备了真实性、完整性及可追溯性的安全机制,极大的推动了信息化系统中无纸化办公的可靠性。
②与其他业务系统的结合
另外一种情况是业务系统不是流转公文,而是流转各种业务数据,比如合同、申报数据、审批表格等应用系统。由于业务系统情况千差万别,不能用一个盖章、签字软件与其结合,因此需要具体业务具体分析,学校将对于签章、签名系统提供二次开发接口,系统调用这些接口,实现电子签章、电子签名的应用。
4.其他拓展功能建设
作为安全基础设施的CA认证系统,在建成后其颁发的数字证书不仅使用于对系统的安全登录,同时还包括一系列拓展功能。包括身份认证、数字签名/验签、数据加/解密、安全传输、应用支撑、安全审计等等。随着校园网整个信息化系统的功能完善,信息安全体系建设的跟进就显得尤为必要。
三、结论
关键词:公寓管理,风险分析信息安全
1.概述
高校学生公寓管理是高校后勤管理中的重要组成部分,随着高校办学规模的扩大,学生人数的急剧增长,传统公寓管理方式受到挑战。传统方式完全依靠人工效率低、耗费大量人力、物力与财力。针对上述问题,设计并实现了学生公寓管理系统。分析了系统存在的安全风险,提出了合理的安全方案。解决了传统开发方法中信息安全的疑难问题。
2.学生公寓管理系统的实现
2.1 系统功能分析
高校宿舍管理看似简单的工作实际涉及到的部门和管理内容很多,比如学生、教职工的住宿安排;长期、短期以及临时人员的入住记录;宿舍固定资产的登记;宿舍常规设备的维修;宿舍水、电以及网络费用的管理;学生宿舍的卫生评比等。原始手工记录的方法显然已经不能适用于目前学生人数激增所带来的繁重的工作。因此,进行学生公寓管理信息系统的开发势在必行。
通过调查用户的要求,进行需求分析,确立高校宿舍管理信息系统的部分功能如下:
(1)学生、教职工或外来人员通过公寓系统管理员查询住宿情况,同时可以查询各种住宿标准;
(2)各宿舍固定资产情况及使用信息进行管理;
(3)普通用户通过公寓管理系统向超级用户提出宿舍设备的维修申请,超级用户响应要求,并做好相关维修的信息记录;
(4)建立相关数据库的支持,合理安排住宿人员的住宿。对水、电和网络的费用信息进行管理;
(5)超级用户对各宿舍的卫生状况做好及时的检查和登记,为后续的评比工作打下基础;
(6)各数据库的数据信息允许进行统计汇总、保存和打印。
根据以上分析,设计高校公寓管理信息系统功能结构框图如图所示。
2.2 公寓管理信息系统数据库设计
根据公寓管理信息系统的功能结构特点,本系统的数据库设计采用SQL Server2000作为后台数据库。数据库中包含房间信息、住宿管理信息、费用管理信息、资产登记信息、维修管理信息等多个数据表。根据管理需要公寓管理信息系统设计三种不同权限级别的用户。分别是系统管理员、寝室管理员和普通用户。不同的权限用户对数据库的访问或修改享有不同的权利。
3.学生公寓管理系统的风险性分析
学生公寓管理系统的信息安全涉及数据通信、计算机系统软件、网络物理环境、数据库存储以及系统管理人员安全等多方面的要素。
就目前学校网络现状来看,公寓管理信息系统的应用虽然已经采取了一定的安全措施,但现有的公寓管理系统遇到的安全问题[1]主要有以下几点:
(1)校园网与internet的互联。由于校园网的监控措施有限,各种来自internet的计算机病毒、恶意代码、网络入侵会对校园网内使用的各种管理信息系统造成破坏。
图 系统功能结构图
(2)公寓管理信息系统管理员操作失误或用户权限盗用、转让造成的危害。
(3)目前校园网的访问控制采用的是防火墙与单机版杀毒软件的方式,并没有完善的防毒、杀毒策略。
(4)公寓管理信息系统的身份认证系统存在隐患。同时,校园网应用层提供WWW服务、E-MAIL服务、OA服务等相关管理信息系统的服务。多个信息系统的身份认证[2]给管理上带来了很大的困难,在安全方面也埋下了重大的隐患。
(5)基于B/S架构的公寓管理信息系统,数据信息的发放是按照TCP/IP协议进行传输的。这种发送方式,在数据包的传输过程中存在着被窃听和篡改的安全隐患。
(6)校园网网络物理层相对而言设备比较陈旧,网络设备广泛使用路由器。而路由器自身技术及性能方面的不完善使由其连接的网络安全性较差。存在网络意外故障的安全风险。论文大全。
(7)公寓管理系统网络的安全与系统管理人员的管理水平密不可分。改善公寓管理信息系统的安全现状,有必要从管理角度降低风险。
4.学生公寓管理系统的安全方案设计
4.1网络安全
由于校园网内部的网络基于TCP/IP协议。网络层存在大量的面向IP的安全隐患和危险。论文大全。在公寓管理信息系统中,为维护网络的正常运行,根据访问者 IP控制其访问权限。
(1)物理安全
大量使用的路由器通过合理设计拓扑结构,使用加密模块,恰当配置路由器访问列表的方法适当提高系统运行安全的服务。定时分析网络中的数据包,发现异常及时响应。
(2)网络隔离
为防范由于校园网与Internet互联造成的威胁,采用防火墙子网段进行隔离。这样,可使敏感信息与网络共享资源相互隔离,保证公寓管理信息系统的安全性。既有利有网络功能的后续扩展,也便于进行网络安全管理。
(3)网络入侵检测
网络入侵检测系统通过监视计算机网络或信息系统的运行,一旦发现有违反安全策略的行为和被攻击的迹象,报警并采取相应的处理措施。网络入侵检测系统配置于服务器和网络的中心交换机节点。定义相应的安全保护策略。如果有非法数据包入侵,立即通讯防火墙阻断该IP对网络的访问。
(4)网络评估
利用漏洞扫描器对网络设备进行安全漏洞检测、分析和评估,执行预定的或事件驱动的网络探测,检测包括网络通信服务、操作系统、路由器、电子邮件、防火墙和应用程序,扫描各种设备来发现并识别网络的漏洞,防止入侵者的非法进入。
4.2系统安全
(1)系统安全机制
公寓管理信息系统设计了多级用户权限,提供多级密码口令或硬件密钥等保护措施,识别用户权限和访问控制。论文大全。
(2)数据库系统安全
数据库数据的完整性包括数据的正确性和准确性。采取的安全措施主要有定期进行字段检查,实行强身份认证[3],采用PKI技术加强数据库操作的保密性。做好防范的同时,还要进行必要的数据备份和数据恢复。
校园网是纯交换的网络系统,应用服务器和数据库服务器都位于同一网段中。数据库客户端软件是基于B/S,C/S或者中间件结构,用户通过校园网络访问数据库服务器。因此可以配备一台服务器建立数据审计记录库,监视对数据库的各种操作访问,实现数据库审计系统的管理工作。
4.3应用安全
在保证物理安全、网络运行安全的基础上,加强信息安全应用,确保信息在产生、存储、传输和处理过程中的保密、完整和可用性。
校园网各信息管理系统可以通过单点登录SSO(SingleSign On)构筑统一认证管理平台,实现对身份、授权、密钥、证书的统一管理。
4.4安全管理
在信息、系统安全中,除了采用较先进的安全技术措施之外,加强系统的安全管理,制定有关规章制度,对于确保系统安全、可靠地运行,将起到十分有效的作用。
5.小结
基于B/S架构的公寓信息管理系统成功解决了传统方式效率低下的问题。公寓管理系统存在多种安全弱点,会面临多种威胁,必须从管理和技术两个方面出发,涉及网络边界、本地计算环境、网络和主机系统基础设施,SSO支撑的安全保障体系。解决系统安全问题。
今后可以根据信息化建设的实际需求,进一步在统一身份认证特别是单点登录中进一步进行研究和应用。为多信息系统建立信息安全制。
参考文献:
[1]阙喜戎,孙锐,龚向阳,王纯.信息安全原理及应用[M].北京:清华出版社.2003年.
[2]郑少鹏.统一身份认证系统[D]广东工业大学,计算机应用技术专业,2003年.
[3]丁德胜,许建真,沈丽珍等.基于强身份认证的网络应用单点登录系统研究.计算机工程,2006,32(7):163-165.
关键词:VPN,管理,管理技术
一、VPN服务及其应用
VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。
如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。
二、VPN管理
VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。
通过VPN管理系统,可以实现以下目的:
1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。
2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。
3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。
4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。
三、VPN管理技术
1、第二层通道协议
第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。
L2TP提高了VPN的管理性,表现在以下方面:
(1)安全的身份验证
L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。
(2)内部地址分配
用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。
(3)网络计费
L2TP能够进行用户接口处的数据流量统计,方便计费。
(4)统一网络管理
L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。
2、IKE协议
IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。
在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。
IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。
3、配置管理
可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。
(1)WEB方式的管理
利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。
(2)分级统一管理
如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。
4、IPSec策略
IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。
IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。
利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。
参考文献:
[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
[3]潘爱民.计算机网络(第四版)[M].清华大学出版社2004.8
摘要:目前我国国内高职院校的校园网的建设已经基本完成,学生校园管理数字化系统的建设实施也已经逐步展开,校园一卡通电子证件的发放标志着我们高职院校的学生管理正从纸质化向数字化转变,这种变化既方便了学生的学习生活,同时有效地提高了学校学生管理的效率。
关键词:一卡通;校园网;管理数字化;教育信息化
一张张兼具身份识别、校内消费、校务管理等多种功能的电子证件已经陆续出现在高职院校学生的手中,这张IC卡能实现学生证、出入证、医疗证、考试证、借阅证、饭卡、电话卡、上机卡、储蓄卡等多种功能,实现了学生校内生活一卡通,首批使用这种电子证件实现学生校园数字化管理一卡通的高职院校已经出现。
1学生校园管理数字化
高职院校学生校园管理数字化系统是以现代化计算机技术与通信技术为手段,依托于学校校园网为载体进行建设,是集身份识别、校内消费、校务管理、金融服务为一体的新型数字化校园核心应用项目,常称为校园一卡通建设项目,校园一卡通最关键的功能就是可以实现学生的校园管理数字化,包括学籍管理与考勤管理电子化、教学考试及成绩查询网络化等。
2校园一卡通证件的功能和用途
校园一卡通证件正面均印有学生所在学校的名称、学生姓名、学号等信息,内有芯片储存着学生的基本信息、学籍信息、财务信息、奖惩信息等。校园一卡通证件的功能和用途主要体现在校园消费、管理和金融应用等方面。
消费:作为现代化的电子支付工具可直接支付在校内的各种费用,如食堂就餐、校内购物、校车乘坐、上机上网、医院诊疗、资料复印、文件传真、洗衣、洗澡、理发、体育活动等等。
管理:本证件可以作为学生的校内个人身份的证明,可用于身份识别、图书借阅、自行车存放、门禁出入、考勤考绩、教学实习、学籍学分、医疗信息等管理工作。
金融应用:将校园一卡通项目系统与合作银行连通后,实现校园一卡通证件与银行卡在物理上分离,逻辑上一体。校园卡具有校内消费、管理功能,银行卡具有金融应用功能,由合作银行发行的银行卡可在国内该合作银行各营业网点、柜台、ATM机进行存/取款,也可在设有该合作银行POS的商业、饮食、娱乐场所消费、购物。
3校园一卡通项目建设
校园一卡通项目是高职院校数字化校园的基础工程,是高职院校数字化校园系统的重要的有机组成部分。校园一卡通项目的设计要架构在校园网上,不仅具备消费功能,而且还要具备身份识别和校务管理功能。校园一卡通项目的建设必须满足数字化校园的整体规划设计,要考虑与其它数字化校园建设项目如数字图书馆、校园无线网、构建远程教育平台、教育资源库等系统建设的实施关系,要有步骤分阶段的逐步实施建设。
校园一卡通建设应该按以下五个步骤实施:物理网络的搭建;系统平台的建设;基础应用信息系统建设;一卡通系统对接建设;人员培训。物理网络的搭建又包括四个方面:结构化布线、网络连通(网络设备的选择)、服务器的选择、终端的选择。系统平台的建设主要包括:网络操作系统、桌面平台、数据库、防火墙等的选择。基础应用信息系统建设指根据学校的需求购买一些适用于学校日常工作和管理的基础应用软件,或对本学校的具体的特殊的需求自行进行二次软件开发,如学院的数据中心建设和统一身份认证系统建立,即建设一个为全校服务的数据中心,保证数据实时更新和高度一致,建立统一的身份认证中心,集中进行身份认证,保证用户电子身份的唯一性、真实性与权威性,提高数字化校园应用系统的安全性,基础应用信息系统见表1,各高职院校可根据各自的不同条件有选择的分期完成。一卡通系统对接建设是指正确处理一卡通与已有基础应用信息系统,如图书管理系统、财务管理系统、教务管理系统的对接和系统数据共享和应用集成等问题,实现学生一卡在手,走遍校园,一卡通用,一卡多用。如果能够实现各系统的无缝连接,例如一卡通系统与学校课表联动,自动通过课表设置智能IC卡钥匙,能够打开将要使用的多媒体教室的电子锁,并可用于实验实训设备的开启。校园一卡通电子证件可以作为学生证、考试证、借阅证、饭卡、电话卡、上机卡、就餐卡、医疗收费卡、储蓄卡、洗澡卡、购物卡、门禁卡、存车卡、乘车卡等多种功能,要分期完成,逐步扩充各项功能。培训从人员角度,培训可分为四级:院长的培训、校园网管理员与终端操作员的培训、青年骨干教师的培训、全院教工的培训,初期首先进行校园网管理员与终端操作员的培训。
高职院校学生校园管理数字化的一卡通建设不仅是高职院校数字化校园系统的重要的有机组成部分之一,是高职院校数字化校园的基础工程,是教育信息化建设的基础支撑点之一,也是高职院校数字化校园建设的切入点,校园一卡通系统完成后将会使各高职院校形成一个跨平台、跨数据库的可自我发展的数字化校园信息平台,逐步将我国高职院校建设成一个以计算机辅助教学,校园管理信息系统,办公自动化系统为核心,以形成具有鲜明特色的计算机校园文化为目标的数字化校园系统。
参考文献
[1]吴应良.教育信息化与管理信息系统的需求及支持关系[J].管理信息系统,2001,1.
[2]李圣良,王成华.建设高职院校数字化校园的探讨[J].教育技术,2005,3.
[3]刘锋,吴华光.数字校园统一身份认证系统的研究[J].南工科技,2005,4.
论文摘要:随着通讯技术、光纤技术的不断发展,计算机网络技术也同时不断进步,计算机网络的安全也成为计算机网络设计师与客户重视的焦点。本文主要对计算机网络安全面临的威胁和安全体系的建立与计算机网络管理进行了探讨。
一.引言
近年来,在计算机网络技术应用的深入发展中,网络安全问题已经逐渐成为网络建设中的核心问题。网络系统是一个由众多计算机和网络设备,以及网络系统软件构成的一个复杂的集成系统。在因特网络上,互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在很短时间内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。因此,计算机网络的安全与管理越来越受到人们的关注,成为一个研究的新课题。
二.计算机网络安全威胁分析
(1)计算机网络面临的安全性威胁
①非法授权访问。威胁源成功地破坏访问控制服务, 如修改访问控制文件的内容, 实现了越权访问。②非法连接。威胁源以非法手段形成合法的身份, 在网络实体与网络源之间建立非法连接。③拒绝服务。阻止合法的网络用户或其他合法权限的执行者使用某项服务。④信息泄露。未经授权的实体获取到传输中或存放着的信息, 造成泄密。⑤无效的信息流。对正确的通信信息序列进行非法修改、删除或重复, 使之变成无效信息。⑥伪装。威胁源泉成功地假扮成另一个实体,随后滥用这个实体的权利。
(2)计算机网络面临的安全攻击
安全攻击的形式: 计算机网络的主要功能之一是通信,信息在网络中的流动过程有可能受到中断、截取、修改或捏造形式的安全攻击。
①中断。中断是指破坏采取物理或逻辑方法中断通信双方的正常通信, 如切断通信线路、禁用文件管理系统等。②截取。截取是指未授权者非法获得访问权,截获通信双方的通信内容。③修改。修改是指未授权者非法截获通信双方的通信内容后, 进行恶意篡改。如病毒可能会感染大量的计算机系统,占用网络带宽,阻塞正常流量,发送垃圾邮件,从而影响计算机网络的正常运行。④捏造。捏造是指未授权者向系统中插入仿造的对象, 传输欺骗性消息。
三. 计算机网络安全体系的建立
建立开放系统互联标准的安全体系结构框架,为网络安全的研究奠定了基础。
(1)身份认证。身份认证是访问控制的基础,是针对主动攻击的重要防御措施。身份认证必须做到准确无误地将对方辨别出来,同时还应该提供双向认证,即互相证明自己的身份。网络环境下的身份认证更加复杂,因为验证身份一般通过网络进行而非直接参交互,常规验证身份的方式(如指纹)在网络上已不适用;再有,大量黑客随时随地都可能尝试向网络渗透,截获合法用户口令,并冒名顶替以合法身份入网,所以需要采用高强度的密码技术来进行身份认证。目前安全性较高的是USBKEY认证方法,这种方法采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾。USBKEY是一种USB接口的硬件设备,用户的密钥或数字证书无需存于内存,也无需通过网络传播。因此,大大增强了用户使用信息的安全性。
(2)访问控制。访问控制的目的是控制不同用户对信息资源的访问权限,是针对越权使用资源的防御措施。访问控制可分为自主访问控制和强制访问控制两类。实现机制可以是基于访问控制的属性的访问控制表(或访问控制矩阵), 也可以是基于安全标签、用户分类及资源分档的多级控制。
(3)数据保密。数据保密是针对信息泄露的防御措施。数据加密是常用的保证通信安全的手段,但由于计算机技术的发展,使得传统的加密算法不断地被破译,不得不研究更高强度的加密算法,如目前的DES算法,公开密钥算法等。
(4)数据完整性。数据完整性是针对非法篡改信息、文件及业务流而设置的防范措施。也就是说网上所传输的数据防止被修改、删除、插入、替换或重发,从而保护合法用户接收和使用该数据的真实性。
(5)加密机机制。加密技术的出现为全球电子商务提供了保证,从而使基于因特上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
(6)路由控制机制。一套完整的防火墙系统通常是由屏蔽路由器和服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个服务器本质上是一个应用层的网关一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同服务器打交道,服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。
(7)入侵检测技术。随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理和检测。
(8)备份系统。备份系统可以全盘恢复运行计算机系统所需的数据和系统信息。对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。
四.计算机网络管理
(1)计算机网络管理概述
计算机网络管理分为两类。第一类是计算机网络应用程序、用户帐号(例如文件的使用)和存取权限(许可)的管理,属于与软件有关的计算机网络管理问题。第二类是对构成计算机网络的硬件管理, 包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。通常情况下这些设备都分散在网络中,当设备有问题发生时网络管理员希望可以自动地被告通知,为了解决这个问题,在一些设备中已经具有网络功能,可以远程地询问它们的状态,使它们在有某种特定类型的事件发生时能够发出警告。这种设备通常被称为“智能”设备。网络管理应遵循以下的原则: 由于管理信息而带来的通信量不应明显的增加网络的通信量。被管理设
备上的协议不应明显的增加系统处理的额外开销,以致于削弱该设备的主要功能。
(2)计算机网络管理的功能
国际标准化组织ISO定义了网络管理的五个功能域,分别是: 故障管理、配置管理、计费管理、性能管理和安全管理。
①故障管理。故障管理是对网络中的问题或故障进行检测、隔离和纠正。使用故障管理技术,网络管理者可以尽快地定位问题或故障点,排除问题故障。故障管理的过程包括3个步骤。a.发现问题;b.分离问题,找出故障的原因;c.如果可能, 尽量排除故障。
②配置管理。配置管理是发现和设置网络设备的过程。配置管理提供的主要功能是通过对设备的配置数据提供快速的访问,增强网络管理人员对网络的控制;可以将正在使用的配置数据与存储在系统中的数据进行比较,而发现问题;可以根据需要方便地修改配置。配置管理主要是包括下面三个方面的内容:a.获得关于当前网络配置的信息;b.提供远程修改设备配置的手段;C.存储数据、维护最新的设备清单并根据数据产生报告。
③安全管理。安全管理是控制对计算机网络中的信息的访问的过程。提供的主要功能是正确操作网络管理和保护管理对象等安全方面的功能。具体包括:
a.支持身份鉴别, 规定身份鉴别过程;b.控制和维护授权设施;c.控制和维护访问权限;d.支持密钥管理;f.维护和检查安全日志。
计算机网络的规模越来越大、复杂程度越来越高,为了保证计算机网络良好的性能,确保向用户提供满意的服务,必须使用计算机网络管理系统对计算机网络进行自动化的管理。计算机网络管理系统的功能是管理、监视和控制计算机网络, 即对计算机网络进行了配置, 获取信息、监视网络性能、管理故障以及进行安全控制。计算机网络管理系统对计算机网络的正常运行起着极其重要的作用。
五.结束语
计算机网络信息安全工作贯穿于计算机网络建设、发展的始终,需要我们时刻重视,不断学习。只有加强网络与信息安全管理,增强安全意识,不断改进和发展网络安全保密技术,才能防范于未然,确保计算机网络的安全、可靠地运行。
参考文献:
关键词: 安全隐患; 全网动态安全体系模型; 信息安全化; 安全防御
中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2016)12-46-03
Abstract: This paper studies the modern campus network information security, the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model (APPDRR), through the research of the mainstream network information security technology of the modern campus network, puts forward the solution of each layer of the modern campus network security, and applies it to all aspects of the modern campus network, to build a modern campus network of the overall security defense system.
Key words: hidden danger; APPDRR; information security; security defense
0 引言
随着现代校园网接入互联网以及各种应用急剧增加,在享受高速互联网带来无限方便的同时,我们也被各种层次的安全问题困扰着。现代校园网络安全是一个整体系统工程,必须要对现代校园网进行全方位多层次安全分析,综合运用先进的安全技术和产品,制定相应的安全策略,建立一套深度防御体系[1],以自动适应现代校园网的动态安全需求。
1 现代校园网络的安全隐患分析
现代校园网作为信息交换平台重要的基础设施,承担着教学、科研、办公等各种应用,信息安全隐患重重,面临的安全威胁可以分为以下几个层面。
⑴ 物理层的安全分析:物理层安全指的是网络设备设施、通信线路等遭受自然灾害、意外或人为破坏,造成现代校园网不能正常运行。在考虑现代校园网安全时,首先要考虑到物理安全风险,它是整个网络系统安全的前提保障。
⑵ 网络层的安全分析:网络层处于网络体系结构中物理层和传输层之间,是网络入侵者进入信息系统的渠道和通路,网络核心协议TCP/IP并非专为安全通信而设计,所以网络系统存在大量安全隐患和威胁。
⑶ 系统层的安全分析:现代校园网中采用的各类操作系统都不可避免地存在着安全脆弱性,并且当今漏洞被发现与漏洞被利用之间的时间差越来越小,这就使得所有操作系统本身的安全性给整个现代校园网系统带来巨大的安全风险。
⑷ 数据层的安全分析:数据审计平台的原始数据来源各种应用系统及设备,采集引擎实现对网络设备、安全设备、操作系统、应用服务等事件收集,采用多种方式和被收集设备进行数据交互,主要面临着基于应用层数据的攻击。
⑸ 应用层的安全分析[2]:为满足学校教学、科研、办公等需要,在现代校园网中提供了各层次的网络应用,用户提交的业务信息被监听或篡改等存在很多的信息安全隐患,主机系统上运行的应用软件系统采购自第三方,直接使用造成诸多安全要素。
⑹ 管理层的安全分析:人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。
⑺ 非法入侵后果风险分析:非法入侵者一旦获得对资源的控制权,就可以随意对数据和文件进行删除和修改,主要有篡改或删除信息、公布信息、盗取信息、盗用服务、拒绝服务等。
2 现代校园网安全APPDRR模型提出
全网动态安全体系模型[3](APPDRR)从建立全网自适应的、动态安全体系的角度出发,充分考虑了涉及网络安全技术的六方面,如风险分析(Analysis)、安全策略(Policy)、安全防护(Protection)、安全检测(Detection)、实时响应(Response)、数据恢复(Recovery)等,并强调各个方面的动态联系与关联程度。现代校园网安全模型如图1所示,该模型紧紧围绕安全策略构建了五道防线:第一道防线是风险分析,这是整体安全的前提和基础;第二道防线是安全防护,阻止对现代校园网的入侵和破坏;第三道防线是安全监测,及时跟踪发现;第四道防线是实时响应,保证现代校园网的可用性和可靠性;第五道防线是数据恢复,保证有用的数据在系统被入侵后能迅速恢复,并把灾难降到最低程度。
3 现代校园网主流网络信息安全化的技术研究
为了保护现代校园网的信息安全,结合福建农业职业技术学院网络的实际需求,现代校园网信息中心将多种安全措施进行整合,建立一个立体的、完善的、多层次的现代校园网安全防御体系,主要技术有加解密技术、防火墙技术、防病毒系统、虚拟专用网、入侵防护技术、身份认证系统、数据备份系统和预警防控系统等,如图2所示。
3.1 加解密技术
现代校园网中将部署各种应用系统,许多重要信息、电子公文涉及公众隐私、特殊敏感信息和非公开信息。为确保特殊信息在各校区和部门之间交换过程中的保密性、完整性、可用性、真实性和可控性,需运用先进的对称密码算法、公钥密码算法、数字签名技术、数字摘要技术和密钥管理分发等加解密技术。
3.2 防火墙技术
防火墙技术是网络基础设施必要的不可分割的组成元素,是构成现代校园网信息安全化不可缺少的关键部分。它按照预先设定的一系列规则,对进出内外网之间的信息数据流进行监测、限制和过滤,只允许匹配规则的数据通过,并能够记录相关的访问连接信息、通信服务量以及试图入侵事件,以便管理员分析检测、迅速响应和反馈调整。
3.3 防病毒系统
抗病毒技术可以及时发现内外网病毒的入侵和破坏,并通过以下两种有效的手段进行相应地控制:一是有效阻止网络病毒的广泛传播,采用蜜罐技术、隔离技术等;二是杀毒技术,使用网络型防病毒系统进行预防、实时检测和杀毒技术,让现代校园网系统免受其危害。
3.4 虚拟专用网
虚拟专用网(全称为Virtual Private NetWork,简称VPN)指的是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对现代校园网内部网的扩展,由若干个不同的站点组成的集合,一个站点可以属于不同的VPN,站点具有IP连通性,VPN间可以实现防问控制[4]。使用VPN的学校不仅提升了效率,而且学校各校区间的连接更加灵活。只要能够上网,各校区均可以安全访问到主校区网。使用VPN数据加密传输,保证信息在公网中传输的私密性和安全性。VPN按OSI参考模型分层来分类有:①数据链路层有PPTP、L2F和L2TP;②网络层有GRE、IPSEC、 MPLS和DMVPN;③应用层有SSL。
3.5 入侵防护技术
入侵防护技术包含入侵检测系统(IDS)和入侵防御系统(IPS)。IDS可以识别针对现代校园网资源或计算机的恶意企图和不良行为,并能对此及时作出防控。IDS不仅能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时能监控授权对象对系统资源的非法操作,提高了现代校园网的动态安全保护。IPS帮助系统应对现代校园网的有效攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和及时响应),提高现代校园网基础结构的完整性。
3.6 身份认证系统
现代校园网殊部门(如档案、财务、招生等)要建设成系统。要采用身份认证系统[5],应建立相应的身份认证基础平台,加强用户的身份认证,防止对网络资源的非授权访问以及越权操作,加强口令的管理。
3.7 数据备份系统
在现代校园网系统中建立安全可靠的数据备份系统是保证现代校园网系统数据安全和整体网络可靠运行的必要手段,可保证在灾难突发时,系统及业务有效恢复。现代校园网的数据备份系统平台能实时对整个校园网的数据及系统进行集中统一备份,备份策略采用完全备份与增量备份相结合的方式。
3.8 预警防控系统
现代校园网络安全管理人员必须对整个校园网体系的安全防御策略及时地进行检测、修复和升级,严格履行国家标准的信息安全管理制度,构建现代校园网统一的安全管理与监控机制,能实行现代校园网统一安全配置,调控多层面分布式的安全问题,提高现代校园网的安全预警能力,加强对现代校园网应急事件的处理能力,切实建立起一个方便快捷、安全高效的现代校园网预警防控系统,实现现代校园网信息安全化的可控性。
4 现代校园网络安全问题的解决方案
通过对现代校园网主流网络信息安全化技术的深入研究,针对现代校园网的安全隐患,提出现代校园网络安全问题的各层解决方案。
⑴ 物理层安全:主要指物理设备的安全,机房的安全等,包括物理层的软硬件设备安全性、设备的备份、防灾害能力、防干扰能力、设备的运行环境和不间断电源保障等。相关环境建设和硬件产品必须按照我国相关国家标准执行。
⑵ 网络层安全:针对现代校园网内部不同的业务部门及应用系统安全需求进行安全域划分,并按照这些安全功能需求设计和实现相应的安全隔离与保护措施[6],采用核心交换机的访问控制列表以及VLAN隔离功能、硬件防火墙等安全防范措施实现信息安全化。
⑶ 系统层安全:现代校园网管理平台的主机选择安全可靠的操作系统,采取以下技术手段进行安全防护:补丁分发技术、系统扫描技术、主机加固技术、网络防病毒系统。
⑷ 数据层安全:主要使用数据库审计系统进行监控管理,对审计记录结果进行保存,检索和查询,按需审计;同时还能够对危险行为进行报警及阻断,并提供对数据库访问的统计和分析,实现分析结果的可视化,能够针对数据库性能进行改进提供参考依据。
⑸ 应用层安全:应用层安全的安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密,并通过审计和记录机制,确保服务请求和资源访问的防抵赖。
⑹ 管理层安全:现代校园网应依法来制订安全管理制度,提供数据审计平台。一方面,对站点的访问活动进行多层次的记录,及时发现非法入侵行为。另一方面,当事故发生后,提供黑客攻击行为的追踪线索及破案依据,实现对网络的可控性与可审查性。
5 构筑现代校园网的整体安全防御体系
现代校园网络安全问题的各层解决方案综合应用到实际工作环境中,在配套安全管理制度规范下[7],现代校园网可实现全方位多层次的信息安全化管理,配有一整套完备的现代校园网安全总需求分析、校园网风险分析、风险控制及安全风险评估、安全策略和布署处置、预警防控系统、安全实时监控系统、数据审计平台、数据存储备份与恢复等动态自适应的防御体系,可有效防范、阻止和切断各种入侵者,构筑现代校园网的整体安全屏障。
6 结束语
信息安全化是现代校园网实施安全的有效举措,并建立一套切实可行的现代校园网络安全保护措施,提高现代校园网信息和应急处置能力,发挥现代校园网服务教学、科研和办公管理的作用。现代网络的高速发展同时伴随着种种不确定的安全因素,时时威胁现代校园网的健康发展,要至始至终保持与时俱进的思想,适时调整相应的网络安全设备。
参考文献(Reference):
[1] [美]Sean Convery著,王迎春,谢琳,江魁译.网络安全体系结
构[M].人民邮电出版社,2005.
[2] Cbris McNab著,王景新译.网络安全评估[M].中国电力出版
社,2006.
[3] 陈杰新.校园网络安全技术研究与应用[J].吉林大学硕士学
位论文,2010.
[4] Teare D.著,袁国忠译.Cisco CCNP Route学习指南[M].北京
人民邮电出版社.2011.
[5] 张彬.高校数字化校园安全防护与管理系统设计与实现[D].
电子科技大学硕士学位论文,2015.5.
[6] 彭胜伟.高校校园计算机网络设计与实现[J].无线互联技术,
2012.11.
关键词:高校电子阅览室 网络安全 安全威胁 应对措施
中图分类号:TP399 文献标识码:A 文章编号:1007-9416(2012)02-0219-01
高校电子阅览室是高校数字化校园的重要组成部分,我们可以通过电子阅览室便捷地获取到各种期刊学术论文和电子书籍及其他学习资料。一般的高校电子阅览室都是面向学校的全体师生提供超星数据库、中国知网数据库、万方数据库、维普资讯等各类学术期刊论文和学习资料的光盘检索与阅览。由于各高校在电子阅览室建设上的投入不一样,以及建设思路存在差异,因此电子阅览室的安全问题也是不尽相同。
1、高校电子阅览室安全问题的来源
从当前的运用实践来看,电子阅览室常见的网络安全问题包括以下几种:
(1)非法访问:这是典型网络安全威胁来源。它是指非正常使用或越权使用来获取信息资源、网络资源等。通常是借助各种假冒或欺诈的手段以获取到合法用户的使用权限,实现其对合法用户资源的占用。(2)随意安装、使用可移动的存储设备:在电子阅览室中,用户如果通过U盘、移动硬盘等移动存储介质来和外网进行数据交换,那么往往容易给病毒的传入提供了机会,也就给电子阅览室的敏感机密数据的泄密与外流。(3)破坏数据的完整:在电子阅览室中,如果用户使用非法手段,对使用中的一些重要信息资源进行侧除、修改,那么就会给干扰用户的正常使用,给电子阅览室带来威胁。(4)病毒与恶意攻击:当电子阅览室网络受到外来恶意攻击或者感染病毒时,就会容易使网络陷入瘫痪。一般这种病毒是通过客户机传播,或发送大量垃圾数据包等。(5)恶意或非恶意地更改IP地址:在电子阅览室的用户当中,如果某些用户出于一种非法目的而进行非法活动之前,通常会对其机器IP地址或机器名进行更改,以隐蔽其行为。这种非法操作这一方面影响了其它用户的正常使用,同时也导致了网络设备运行异常或一些监控记录不准,给电子阅览室的安全管理带来了威胁与隐患。(6)安装、使用非法软件或黑客软件:主要是指有的教师或学生在电子阅览室的计算机上安装和使用非法、盗版的软件,这既给计算机的正常运行带来了威胁,而且有时用户不知不觉安装了黑客软件,这对电子阅览室而言,无疑是构成了重大的安全威胁。
基于以上归纳与总结,笔者认为,安全威胁是存在的,但只要采取有效的措施,这种威胁也是可以进行防御的。因此,高校电子阅览室对安全威胁可以采取以下几方面的应对措施。
2、高校电子阅览室安全威胁的应对措施
2.1 划分虚拟局域网VLAN
由于VLAN能使二层或者三层交换机上实现有限的广播域,把网络分成一个个独立的区域,因而能实现这些区域是否可以通信进行控制。VLAN与其物理位置无关,可以跨越一个或多个交换机,设备之间就如同在同一个网络间通信(见表1)。因此借助VLAN有助于控制广播风暴的产生,提高整个网络的整体性能,从而为安全威胁的防范提供了保障。
2.2 防火墙
防火墙是一种计算机硬件和软件的结合,是网络安全的屏障,能有效地保护内部网免受非法用户的侵入。从而防止内部信息的泄露。防火墙可以减少外部入侵者突破电子阅览室网络系统的可能性,也能阻止电子阅览室的内部用户发送未加密的数据,从而达到保护网络安全的目的。电子阅览室的防火墙示意图如图1所示。
2.3 进行身份论证技术操作
对图书馆电子阅览室安全管理系统来说,网上身份的识别和相互确认是确保数据信息在网上安全传输最为有效的手段。从某些角度来看,该项技术实际上充当网络系统守门人的角色,它能够在网络和信息资源周围构筑一个安全屏障,确保只有授权用户才能进入。一般的身份认证技术有用户名/口令、模式、指纹识别、数字签名和硬件身份认证令牌等。内置智能卡芯片和USB接口硬件身份认证令牌在我国应用比较多,由于其具有硬件级的安全存贮性能、便于随身携带、与计算机直接相连接口的特点,所以得到了广泛应用。
2.4 加强数据保护
数据是电子阅览室的重要构成部分,是其维持稳定运行的核心要素。因此,网络系统内数据安全对电子阅览室而言有着十分重要的意义。我们可以根据数据量的多少采用软盘、磁带、光盘、硬盘等多种拷贝方式,做好每天服务器中数据的备份。另外,要注意机器和设备的备份。加强了数据的保护与备份,本质上就是防止了电子阅览室的崩溃与瘫痪。因此,无论从服务器的购买,还是平时硬盘数据的保护,都有必要进行备份,以防万一因电源故障或者其他意外因素引起数据丢失。
3、结语
网络安全成为互联网时代的一项值得研究的重要课题。高校电子阅览室作为数字图书馆的一部分,同样面临着安全威胁。如何进行有效地预防与应对,这是一项极其复杂烦琐的工作,需要计算机专业的技术和手段。这就要求我们广大师生在使用电子阅览室资源时提高安全意识,同时要求我们的网络管理者不断提高业务素质,针对电子阅览室安全系统中存在的安全隐患采取有效的安全预防策略、添加相应的网络安全产品,给电子阅览室的网络安全提供强有力的保障,从而更好地为广大师生服务。
参考文献
关键词:电子政务,信息安全,网络安全,安全模型,信息安全体系结构
一、电子政务安全体系概述 网络安全遵循“木桶原理”,即一个木桶的容积决定于它最短的一块木板,一个系统的安全强度等于它最薄弱环节的安全强度。因此,电子政务必须建立在一个完整的多层次的安全体系之上,任何环节的薄弱都将导致整个安全体系的崩溃。 同时,由于电子政务的特殊性,也要求电子政务安全环境中重要的加密/密钥交换算法等安全核心技术必须采用具有自主知识产权或原码开放的产品。
一个完整的电子政务安全体系可由四部分构成,即:基础安全设施、安全技术平台、容灾与恢复系统和安全管理,如图:
基础安全设施是一个为整个安全体系提供安全服务的基础性平台,为应用系统和网络系统提供包括数据完整性、真实性、可用性、不可抵赖性、机密性在内的安全服务。有了这一基础设施,整个电子政务的安全策略便有了实现的保证。这一平台的实现主要包括CA/PKI。
网络系统安全是一个组合现有安全产品和技术实现网络安全策略的平台。网络系统安全的优劣取决与安全策略的合理性,电子政务的网络安全策略是:划分网络安全域建立多层次的动态防御体系。
电子政务系统用户类型复杂,划分网络安全域将具有相似权限的用户划分成独立的管理域,管理域之间通过物理隔离与认证/加密技术实现有限可控的互连互通,有利于降低整个系统访问权限控制的复杂性,降低系统性风险。
基于多层次的防御体系在各个层次上部署相关的网络安全产品以增加攻击都侵入时所需花费的时间、成本和资源,从而有效地降低被攻击的危险,达到安全防护的目标。如访问控制可部署在网络层的接入路由器/VLAN交换机和应用层的身份认证系统两层之上。
网络信息安全具有动态性的特点:网络和应用程序的未知漏洞具有动态产生的特点;电子政务的应用也会动态变化、网络升级优化将导致系统配置动态更新。这些都要求我们的防御系统必须具有动态适应能力,包括建立入侵监测(IDS)系统,漏洞扫描系统和安全配置审计系统,并将它们与防火墙等设备结合成连动系统,以适应网络环境的变化。
灾难恢复系统在发生重大自然及人为灾难时能迅速恢复数据资料,保证系统的正常运行并保护了政务历史资料。电子政务的容灾与恢复系统应该采用磁带静态备份与磁盘同步备份相结合的方式。磁带静态方式用于离线保存历史记录,保证了历史信息的完整,而磁盘同步方式则用于灾难数据恢复,保护了当前系统的所有数据。
安全管理也是电子政务安全体系的重要组成部分。网络安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制定的制度包括:日常系统操作及维护制度、审计制度、文档管理制度、应急响应制度等。
二、电子政务安全体系的设计电子政务系统是一个复杂的多层次应用系统,根据不同的应用环境和安全要求一般可分为三个不同的网段:内网、专网、外网。免费论文。
内网包括内网的数据层、内网的业务层;内网数据层是政府信息的集中存储与处理的域,该域必须具有极其严格的安全控制策略,信息必须通过中间处理才能获得。内网的业务层是政府内部的电子办公环境,该区域内的信息只能在内部流动。
专网连接政府不同的部门和不同部门的上下级部门。它把部分需要各部门交换的信息进行交换。该区域负责将信息从一个内网传送到另一个内网区域,它不与外网域有任何信息交换。免费论文。
外网是政府部门的公共信息的场所,它实现政府与公众的互操作。该 域应与内网和专网隔离。
不同的网络连接示意图如下:
根据不同网络的不同安全需求,设计了如下一个电子政务的安全模型:
三、电子政务安全体系的部署
电子政务安全体系的部署应遵循确定安全需求、安全状态评估、安全策略制定(含管理制度)、安全方案设计、安全方案实施、安全制度培训的顺序进行。免费论文。前期的确定安全需求和安全状态评估是整个安全体系部署中最重要的两个步骤,它们是后续制定安全策略和方案设计的依据,决定了整个安全体系的可靠性。
全面的安全需求调查包括两个方面:系统安全的功能需求和安全置信度需求。系统安全的功能需求包括安全审计需求、安全连接需求、身份认证、信息机密需求、数据保护需求以及安全管理需求。安全置信度需求包括安全保护轮廓评估(PP)、安全目标(ST)评估、系统配置维护管理、用户手册规范、产品生命周期支持以及测试等内容。
安全状态评估通常采用五种方式来了解安全漏洞:1) 对现有安全策略和制度进行分析;2) 参照一些通用的安全基线来考察系统安全状态;3) 利用安全扫描工具来发现一些技术性的常见漏洞;4) 允许一些有经验的人在监管之下对特定的机密信息和区域做模拟入侵系统,以确定特定区域和信息的安全等级;5) 对该系统的安全管理人员和使用者进行访谈,以确定安全管理制度的执行情况和漏洞。
同时应注意的是,安全体系的部署并非一劳永逸的事情,随着系统安全状态的动态变化,应定期对系统进行安全评估和审计,搜寻潜在的安全漏洞并修正错误安全配置。
总之,电子政务的安全系统是个容复杂组织和先进IT技术于一体的复合体,必须从管理和技术两方面来加强安全性,以动态的眼光来管理安全,在严谨的安全需求分析和安全评估的基础上运用合理的安全技术来实现电子政务的整体安全。
·参考文献:
1. 电子政务总体设计与技术实现 《北京:电子工业出版社》 国家信息安全工程技术研究中心 2003
2.《国家信息化领导小组关于推进国家电子政务网络建设的意见》国信办 2006
3.电子政务安全解决方案要解决的主要问题 《信息安全与通信保密》 谭兴烈 2004
4.电子政务安全体系 《信息安全与通信保密》 邬贺铨 2003