面向客户端的高校校园网络安全方案设计.docx

面向客户端的高校校园网络安全方案设计.docx

《面向客户端的高校校园网络安全方案设计.docx》由会员分享，可在线阅读，更多相关《面向客户端的高校校园网络安全方案设计.docx（14页珍藏版）》请在冰豆网上搜索。

面向客户端的高校校园网络安全方案设计

河南师范大学

本科毕业论文

学号：

面向客户端的高校校园网络安全方案设计

学院名称：

计算机与信息工程学院

专业名称：

计算机科学与技术

年级班别：

姓名：

指导教师：

2017年4月

面向客户端的高校校园网络安全方案设计

摘要随着因特网技术的发展，如何确保网络的安全需要每个网络设计者以及管理员来留意。

校园网络是现如今最为活跃的局域网络之一，由于年轻一代的新思想、新观念，校园网的安全事故时有发生。

高校校园网承载着教育、科研以及全体高校师生的网络生活资源，所以，高校校园网络的稳定性和安全性关乎全体师生的权益，一个安全的校园网络尤为重要。

目前，许多校园网管理者都只简单的安装杀软和Firewall，防护措施有局限性，安全保障也不够全面，安全事故也时有发生。

因此，我们需要对校园网进行全面分析，利用前沿的理念和技术产品，来构建一个保障性强、全方位的网络防护体系。

本文结合校园网络的特点，针对校园网络安全问题，通过对用户上网客户端的功能构建，阐述了如何设计出保障校园网络安全的方案。

从客户端的接入模块、通讯模块、外部管理模块、内部监测模块、防火墙模块的划分上，依靠各模块间的联动协作，综合运用入侵检测系统、系统漏洞修复、非法数据采集、入侵防御系统等现有的产品及成果，来建立全面的、系统的校园网络安防措施，从而保障校园网络的稳定、安全运行，给全校师生们营造出一个健康的网络环境。

关键词校园网络；客户端；网络安全；模块化

DesignofNetworkSecuritySchemeforUniversityCampusBasedonClient

AbstractWiththedevelopmentofInternettechnology,howtoensurethesafetyofthenetworkneedseverynetworkdesignerandadministratortopayattention.Campusnetworkisnowoneofthemostactivelocalareanetwork,duetothenewgenerationofnewideas,newideas,campusnetworksecurityincidentshaveoccurred.Therefore,thestabilityandsecurityofthecampusnetworkisrelatedtotherightsandinterestsofallteachersandstudents,andasafecampusnetworkisveryimportant,soitisveryimportantforthecampusnetworktocarrytheeducationandscientificresearchandthenetworkliferesourcesoftheteachersandstudentsofallcollegesanduniversities.Atpresent,manycampusnetworkmanagersaresimplyinstalledtokillsoftandFirewall,protectivemeasureshavelimitations,securityisnotcomprehensive,securityincidentshaveoccurred.Therefore,weneedacomprehensiveanalysisofthecampusnetwork,theuseofcutting-edgeideasandtechnicalproducts,tobuildastrongprotection,afullrangeofnetworkprotectionsystem.Inthispaper,thecharacteristicsofthecampusnetworkforcampusnetworksecurityissuesthroughtheuser'sInternetclientfunctiontoexplainhowtodesignacampusnetworksecurityprogram.Fromtheclientaccessmodule,communicationmodule,externalmanagementmodule,internalmonitoringmodule,thefirewallmoduledivision,relyingonthelinkagebetweenthemodules,theintegrateduseofintrusiondetectionsystem,systemvulnerabilityrepair,illegaldatacollection,intrusionpreventionsystemExistingproductsandachievements,toestablishacomprehensive,systematiccampusnetworksecuritymeasurestoensurethesafetyofthecampusnetworktotheschoolteachersandstudentstocreateaharmoniousnetworkenvironment.

KeywordsCampusnetwork;client;networksecurity;modular

前言

现如今，网络安全问题变得越来越复杂，也越来越突出。

资源的共享、信息的交流以及分布式处理的理念为网络深入到社会的各个方面提供了良好的网络环境。

也因此，使网络遭到威胁与攻击的可能性大大增多。

因特网连接了全世界的电脑，在不同用户端，尽管相距甚远，但只要使用了相同的网络协议，就可以完美的相连[1]。

由于因特网的开放性，使得因特网在传递信息的同时，也面对着未知的安全威胁。

网络技术愈发展，网络安全方面的漏洞暴露[2]的就越多，遭受的攻击方式也越多，所以说，安全问题将随着计算机网络的进步而一直存在。

因此，网络的安全与否，就是组建网络的时设计者和管理员所关注的重中之重。

目前，多媒体技术在教育教学的过程中应用得越来越广泛，全面建设校园网络是信息化教育的大势所趋。

各高校都开启了网络校园的建设步伐，从近年的调查统计来看，总体规模呈几何倍数增长。

但与此同时，高校发生网络安全事故的报告也逐年增多，高校校园网络依旧面临着极大的安全威胁。

1校园网络

1.1什么是校园网络

校园网络应为学校教学、科研提供完备的、优质的、稳定的网络教学环境。

相较于其他局域网络而言，校园网络是一个全方位的，具备稳定性的，而且还可以轻松实现交互功能的局域网络[3]。

学校的教务系统、备课系统、文献阅览室和教职工、学生信息档案以及教学系统等，都能够该网络上稳定运行。

校园网需要承担教务管理、行政管理以及总务的职责，对于存在多个专业院系的中大型高校，我们利用相应的互连技术，也可以将其院系、校区组建的多个小型局域网络连接起来（如图1.1）。

图1.1校园网拓扑图展示

1.2校园网络的组成

校园网络包含线缆、网络系统、软件设备以及计算机硬件设备等[4]。

其中，线缆是网络组建成功的基石，网络系统则是负责信息传输以及信息处理，在信息的传输和处理的过程中，则需要软件设备和计算机硬件设备的互相配合，软件设备主要包括系统软件和应用软件，计算机硬件设备则是在软件设备的控制下运作的，主要是各种相关的处理、存储器，以及网络运转所必需的其他硬件设备。

1.3校园网络的特点

从与其他局域网络的对比来看，高校校园网络与其他局域网络的差异性很大。

这些差异或是特点使其的安全问题与其他局域网相比也变得尤为复杂。

（1）拥有对计算机较为了解的用户群体。

学校有很多对网络常识十分了解的教师和学生，他们相较于普通用户而言，网络水准高、上网时间也更多、支配也更加自由。

而且，他们对于前沿网络技术拥有极强的探索心理，经常会在校园网络上实践自己所学，或是下载某些冷门技术，在不经意间就会将病毒引入。

另外，很多人对于网络安全事故的严重性缺乏认知，而且学校为了科研的需要，网速提升飞快，这也给网络安全防范带来许多不便。

（2）高校校园网络在安全防护的方面投入较少，学校缺乏对于校园网络安全的重视[5]。

对于网络安全的建设，经费需求极大，一个简单的防范措施，就需要数百万，而且投入很难与收获成正比，往往是建设到一半就因为经费和预估效果的问题就直接搁浅。

1.4校园网络存在的安全威胁

因为高校校园网络与其他局域网络的差异，存在的安全威胁也不同，目前，能够对校园网络的安全产生威胁的主要有以下几种：

（1）病毒入侵：

计算机病毒对校园网络的安全构成了相当大的威胁，它侵占有限的校园网络资源，造成流量拥堵，有时还会引起网络崩溃，影响所有用户正常使用校园网络[6]。

例如日前全世界范围爆发的勒索病毒“永恒之蓝”，导致了英国医疗系统全面瘫痪，同时肆虐在各大高校的校园网络中，通过加密用户文件，删除原文档来达到勒索比特币的目的，致使一大批毕业生面临论文被锁的大难题。

网络管理者防范、控制病毒在校园网络各端口肆虐，通常使用以下几种策略：

a.网关防治，关闭发生或将要发生入侵的端口；

b.在网络内安装专业防毒软件；

c.查找病毒宿主，实施隔离；

d.通过对服务器等设备设定策略，实时监测校园网络的运行状态，从而有效地防范校园网络内部的病毒滋生和恶意的病毒入侵[7]。

（2）外部攻击:

黑客通常运用外部网络，来攻击高校校园网络的服务器。

现在在因特网上，有许多攻击程序，这些小程序随处可见，而且简单方便，减少了攻击所需的技术要求。

所以，即便是一个普通人，也足以用这些小程序对校园网络安全造成重大损害[8]。

（3）校园网内部的攻击：

校园网络是师生们专用的社交的平台。

部分师生对于网络具备相当高的理论实践基础，他们熟悉校园网络环境，了解网络结构。

所以，他们经常会为了实践所学，故意去攻击校园网络,打破网络运行的稳定状态[9]。

而且很多人对于网络安全事故的严重性并未有清晰的认知。

（4）滥用校园网络资源：

事实上，校园网络上的很多网络访问和教育学习没有任何关系。

除去在网上冲浪的，还有一部分人，他们经常访问非法站点，导致服务器收发大量不良信息，侵占了宝贵的网络资源，不仅会影响网速，甚至还会导致服务器停机，引起校园网全面崩溃。

除此之外，对于学生们的身心健康也有着不小的损害。

2客户端

2.1什么是客户端

客户端在网络中扮演一个主动的角色，它的主动行为通常是按部就班的：

发送请求、等待、直到收到回应。

对于校园网络的使用者，使用的客户端通常是电脑本机或者浏览器。

客户端发送用户的请求指令消息，服务器端接收指令消息，再响应，而后再以文件或是网页的方式进行回应，这样用户就收到了所需的信息，在这整个过程中，就完成了一次客户端与服务器之间的信息交换[10]。

客户端与服务器的整个行为，相对于服务器而言并不是安全的，信息在传递的果种植，其他的服务器端也可以获取用户的信息，这样用户的信息安全就得不到保障，如果被黑客利用就很容易产生安全事故。

2.2什么是客户端模块化

在客户端中，模块是可组合、分割和互换的。

客户端模块化是一种用来解决复杂问题的方式，它将客户端功分解成为多个可管理模块，通过给不同的模块设计出不同的功用，用多个小的独立、互相作用的模块来分别处理复杂问题，再将各模块联动协作，从而构成处理复杂、大型任务的客户端。

2.3客户端模块化的特点

（1）相对独立性。

对不同模块可以进行不同的设定，这便于由不同人才分别完成；

（2）互换性。

各模块结构类似、可以互相转换，从而使客户端满足用户的不同需求，也便于客户端的升级更新；

（3）联动性。

各模块之间相互联动，分别处理不同任务，提升了工作效率，减少了处理问题的反应时间。

3客户端模块图

客户端是以网络传输为基础，通过身份验证模块控制整体运行权限。

利用通讯模块、故障报备模块、安全模块、安全扫描模块、数据缓存模块及子模块（外部管理模块、防火墙模块、内部监控模块、数据分析模块）来达到全面保护高校校园网络安全的目的（如图3）。

图3客户端各模块拓扑图

4各模块的作用

4.1身份验证模块

对于每一个校园网用户，我们都要对其身份进行验证，对其信息进行绑定。

身份验证的信息包括学号、密码、QQ、手机号码、宿舍地址、邮件地址等。

信息绑定包括用户端所在交换机IP地址、用户端MAC地址、用户端所属交换机的端口号等（如图4.1）。

通过以上信息的验证和绑定，能够防止用户信息被盗用，而且，当网络安全事故爆发，只要可以发现一项绑定的信息，就可以精确的定位到该用户，及时的处理事故[11]。

图4.1客户端注册模块效果图

4.2通讯模块

客户端的通讯模块主要任务是为用户分配网络接口、带宽资源。

同时，通讯模块还会保障网络接口的安全，通过对接口的加密，不让其他程序使用。

对于接口产生的收发数据，会对其进行安全性检测，再存储到数据缓存模块。

当收发数据有异常报警，或者数据分析模块检测出非法数据，通讯模块会将这部分数据打包上传至服务器管理中心。

4.3故障报备模块

该模块拥有故障报备功能，并公示管理者邮箱、电话等联系方式。

当发生网络故障时，对于能基本分辨的故障问题，如硬件故障、软件故障等，分别进行报备，若发生故障导致网络中断，通过电话等方式联系管理员报备，若发生故障但网络并未中断，则通过在线故障报备功能进行报备（如图4.3）。

图4.3客户端故障报备模块效果图

4.4安全模块

该模块包含了外部管理模块、防火墙模块、内部监控管理模块三个子模块，通过这三个模块及其子模块的相互协作，在客户端所提供网络安全服务中起关键作用。

4.5外部管理模块

该模块配备入侵防御系统（IPS, Intrusion Prevention System）、入侵检测系统（IDS, Intrusion Detection System）等监测系统[12]。

通过这些监控手段，让客户端能够及时发现网络威胁。

再利用日志、嗅探器和MultiRouterTrafficGrapher等工具，建立一个功能全面、覆盖广泛的外部管理模块[13]。

4.6防火墙模块

防火墙是一种可以将内外部网络隔离开的技术[14]。

合理的使用防火墙技术能够将内部网和外部网进行隔离，增强了校园网络对外部攻击的抵御能力（如图4.6）。

在微软系统中，客户端可以通过指令或者服务来开启自带的FireWall功能，或者提示用户缺少防火墙软件，让其安装专业的防火墙软件，例如赛门铁克、360ARP防火墙、诺顿防火墙和卡巴斯基等。

图4.6客户端防火墙模块工作示意图

4.7内部监控管理模块

内部监控模块会对用户的行为数据进行监控，对网络数据进行连续的采集[15]。

这里采用的是现有的专利产品：

《用户行为数据采集方法及系统》。

这个模块重点分析UDP、TCP等基于报文传输的协议，再将数据发送至数据缓存模块，通过其子模块数据分析模块对采集的数据进行分析，若有非法数据指令返回，则立即锁定用户，上传用户信息，报备管理员，随后对用户发出安全警告，同时切断用户网络接口，取消其带宽资源。

4.8安全扫描模块

更新操作系统版本和安装相应的补丁程序都十分重要。

有很大一部分的计算机病毒是利用系统的漏洞来进行传播的。

例如“Stuxnet病毒”就是利用系统的漏洞来进行入侵，它还曾破坏过伊朗的核设施。

还有“冲击波病毒”，它则是利用WindowsRPC漏洞进行传播的[16]。

当然，也有一些病毒的传播依靠着其它漏洞。

客户端通过系统及安全检测模块对用户电脑系统和漏洞进行检测，将检测结果告知用户[17]。

对于原生系统用户，通知其通过windows自带的update来获取微软的系统更新；对现今大多数电脑使用的盗版阉割的ghost系统的用户，由于update功能被禁用，则通知其利用第三方软件（例如金山、腾讯、360、XX、新毒霸等）的漏洞扫描功能,及时的发现系统漏洞，再安装更新、修复漏洞（如图4.8）。

图4.8客户端安全扫描模块效果图

4.9数据缓存模块

该模块将内部监控模块采集的监控数据缓存在用户端的硬盘、内存等处。

也可以将数据缓存到客户端，当向服务器端提交数据时，再将写入缓存中的数据发送出。

读取采集数据的核心代码如下：

将数据缓存至用户端核心代码如下：

4.10数据分析模块

该模块的主要功能是对数据缓存模块中的缓存数据进行分析，用数据匹配的方法对缓存数据进行检测，从中筛选出有安全威胁的非法数据。

之后，再对找出的非法数据进行处理。

其中，数据匹配的方法主要包括建立非法数据库、选择数据匹配算法，这对整个数据分析起到了非常重要的作用。

我们首先使用信息增益（IG）的方法对数据进行识别。

信息增益（IG）方法，是一种特征选择方法，它在机器学习的过程中使用比较普遍[18]。

特征t的信息增益Gain（T）的计算公式如下：

m：

不同类型的HTML文档数目；

：

某一类HTML的文档集合；

T：

特征T不出现。

使用以上的方法得到的数据特征，再从中识别，得到非法数据的特征集合，然后利用这些特征集合来建立一个非法数据库。

依据客户端建立的非法数据库，再利用字符串的数据匹配算法对缓存数据进行分析识别，在这里，主要使用的是字符串的模式匹配算法，这也是字符串处理的最重要的操作之一[19]。

通常，字符串模式匹配算法有Bruteforce、BoyerMoore、robin-karp、Sunday、以及bitap等[20]。

我们根据客户端缓存数据的特性，选择Bruteforce算法。

当匹配出非法数据，则返回数据至安全模块，由安全模块对用户端执行安全操作。

5结论

怎么来确保高校校园网络的安全性是每个设计者和管理者都应关心的热点问题。

校园网络面临着许多安全问题，时常遭受别有用心之士的攻击和威胁。

但是，从目前而言，国内很多高校校园网络安全方案都存在力度不足、局限性强等问题，很多都只是简单的利用杀软、防火墙等软件来保护校园网络的安全。

但这些措施很难覆盖到整个高校的校园网络，对校园网的保护力度不足。

这是我们亟需解决的校园网络安全问题。

本文从多个角度探究了高校校园网络的特点，从多个方面针对各类不同的威胁和攻击设计出一套行之有效的安全方案。

提出采用客户端的方式，利用客户端的不同模块的作用和联动协作，来对高校校园网络进行安全防护。

利用身份验证模块，绑定用户的信息，防止网络盗用；利用故障报备模块，让故障问题可以及时上报，及时解决；利用安全模块的三个子模块：

外部管理模块、防火墙模块、内部监控模块，对来自校园网络内外的攻击进行全方位的防护，让攻击者无从下手，让病毒无处藏身；利用安全扫描模块，让漏洞可以及时修复；利用数据缓存模块和数据分析模块，实时监控用户的行为数据。

客户端从被动防御到主动防御，给予校园网络最大限度的防护。

尽管对高校校园网络的安全进行了较为深入的探究，也提出了面向客户端的高校校园网络安全的设计方案，但是，高校校园网络安全是一个长期的课题，它会随着计算机网络技术的发展一直存在。

本文所采取的技术也不是完善的，一方面计算机在不断的发展，另一方面设计者的水平也有局限性。

对于高校校园网络安全这一问题，还有进一步研究和改进的必要。

总而言之，高校校园网络安全，是一个永无止境的研究课题。

参考文献

[1]华蓓.计算机网络原理与技术[M].科学出版社，2008.

[2]AndrewS.Tanenbaum著.熊贵喜等译.计算机网络（第3版）.清华大学出版社，1998，298-300

[3]丁晓璐，DingXiao-lu.关于高校校园网络安全问题探究[J].信息安全与技术，2016，7（4）:

15-17.

[4]李邦庆.计算机网络技术在校园网中的应用[J].科技创新与应用，2016（16）:

89-89.

[5]侯艳.校园网络系统的设计及安全性研究[J].信息安全与技术，2012，3（7）:

23-25.

[6]郑志凌.计算机网络安全和计算机病毒的防范措施[J].电子技术与软件工程，2015（6）:

217-218.

[7]刘俊杰.计算机网络病毒对校园网的危害及防治[J].无线互联科技，2014（4）:

41-41..

[8]胡恩泽.高校校园网络安全存在的隐患及对策探析[J].中国新通信，2016（24）:

67-68.

[9]孙力.高校校园网设计与安全分析[J].工业仪表与自动化装置，2014（5）:

14-16.

[10]丁昌荣.浅谈ASP客户端与服务端的数据交换方法[J].华南金融电脑，2004,12（4）:

51-52.

[11]刘晓云.校园网安全访问控制体系的构建[J].现代电子技术，2010，33（17）:

121-124.

[12]洪艺勇，陈未如，赵琳.入侵管理中心实现IDS与IPS的联动[J].微计算机信息，2009，25（12）:

96-97.

[13]季宏志，李毓才.计算机网络的安全防范与监控[J].铁路计算机应用，2005，14（3）:

42-44.

[14]FrattoM.Application-levelfirewalls:

smallernet，tighterfilter[J].NetworkComputing，2003，14（5）:

57-68.

[15]童国俊，汪宁，陈寄文等.用户行为数据采集方法及系统，CN103309884A[P].2013.

[16]SilvaVD，TenenbaumJB.Globalversuslocalmethodsinnonlineardimensionalityreduction[J].ProcNIPS，2003（15）:

721-728.

[17]魏宾，李桂岩.计算机系统漏洞以及防范措施[J].硅谷，2009（18）:

35+81.

[18]ZhangH.TheoptimalityofnaiveBayes[C]//The17thInt’lFLAIRSConference,MiamiBeach，2004.

[19]WuS，ManberU.AFastAlgorithmForMulti-PatternSearching[J].2002.

[20]何畏.快速精确字符串匹配算法研究[D].合肥工业大学，2010.