时间:2023-03-22 17:46:10
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全设计论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
网络安全协议这门课程涉及的重要知识点包括:网络安全协议的基本概念、TCP/IP协议簇的安全隐患、在不同协议层次上的安全协议的原理和实现、不同层次安全协议之间的比较、无线网络安全协议的原理和实现、安全协议的形式化分析基本方法等。网络安全协议无论从教学设计、验证,还是如何有效地应用来看都非常复杂。即使所采用的密码算法很强大,协议依然有可能受到攻击。网络上的重放攻击、中间人攻击能够绕过对密码算法的攻击,非常难以防范,此外,攻击者还有可能利用安全协议的消息格式进行“类型缺陷(typeflaw)”攻击。由于网络安全协议的复杂性,在实际教学过程中,若只是由老师空洞的进行讲解,大多数学生往往很难跟上讲课的进度,进而失去对此门课程的兴趣。目前常用的网络安全协议包括PPTP/L2TP、IPSec、SSL/TSL、HTTPS、SSH、SNMPv3、S/MIME、、PGP、Kerberos、PKI、无线网安全协议(IEEE802.11i,WTLS)等。让学生通过实践教学活动,理解并掌握安全协议的理论及应用,并在实践中增强自身的动手能力、创新能力是本课程的主要教学目标。本课程的实践教学将教学内容划分为4个阶段,认知阶段、体验阶段、应用阶段及总结提高阶段。通过这4个阶段,使学生由表及里、由浅入深、由学到用、由用到创,全面掌握各主要协议的原理、应用及教学设计;同时,通过对4个阶段的划分,更好地满足不同层次学生的需求,使学生学得更深、更透,用的更顺、更广,其创新思路也更易被激发和实现。
2SSL协议的实践教学实施
2.1认知阶段
本阶段的实践教学内容是通过利用Wireshark抓包分析工具软件,获取SSL/TSL协议通信流量,直观地观看SSL/TSL协议的结构、分析SSL/TSL协议的建立过程。在访问222.249.130.131时,采用Wireshark抓取的部分通信流量,如图1所示。第7~9条消息,完成TCP的连接。客户端首先在某端口向服务器端的443端口发出连接请求,完成三次握手。第10~12条消息,客户端首先发送Client-Hello等消息,请求建立SSL/TSL会话连接;然后,服务器端发送Server-Hello、证书等消息;接着客户端发送ClientKeyExchange、ChangeCipherSpec等消息。第13~15条消息,服务器端发出的响应和ChangeCipherSpec消息,以及客户端发出应答响应消息。至此表明连接已准备好,可以进行应用数据的传输。第16条消息是由客户端发出的与另外一个服务器端的连接请求消息,与所讨论内容无关。这种情形,在抓包分析时,经常会遇到,不必受此干扰。第17~18条消息,客户端和服务器端分别关闭连接。以后再进行SSL/TSL连接时,不必产生新的会话ID,也不必交换证书、预主密钥、密码规格(cipher-spec)等会话参数。每一条消息都可以进一步打开,观看更细节的内容。ClientHello消息的内容是对相应的二进制的内容的一个分析解释,如图2所示。其他消息的格式和内容也都可以清晰地呈现,在此不一一列举。通过对SSL/TSL流量的抓取分析,可以很直观地让学生掌握如下知识点:(1)SSL/TLS协议是建立在TCP连接之上的安全协议。(2)SSL/TSL连接和会话的概念,以及连接和会话的建立过程。(3)握手协议的执行过程,各消息的先后次序,及消息的格式和内容。(4)重要的消息参数及其作用,如sessionID、数字证书、加密组件(Ciphersuite)、加密预主密钥(Premaster)等。需要说明的是,上述内容没有涉及客户端发送的证书消息,只能通过证书完成客户端对服务器的认证,没有服务器对客户端的认证。事实上,SSL/TSL是可以通过数字证书进行双向认证的。
2.2体验阶段
经过认知阶段的理论与实践学习后,需要让学生了解和掌握SSL协议应用在哪里?如何应用?可以有效防范哪些安全威胁?本阶段的实践教学内容通过配置IIS服务器中的SSL/TSL,为Web服务器和浏览器之间建立一个安全的通信通道,使学生学习和掌握SSL在Web的应用中的配置和作用,从而对SSL协议的应用有一个直接的感受和体验。学生完成IIS服务器中的SSL/TLS配置,首先需要完成CA的安装与配置[3],用于数字证书的生成、发放和管理;然后,分别为IISWeb服务器和客户端申请、安装证书;最后在服务器上配置SSL,使客户端与服务器建立SSL/TSL连接,如图3所示。该阶段的实践教学,除加深学生对SSL/TSL的理解,还使他们学会了如何进行CA服务器的图3建立https协议的访问配置、Web服务器和客户端的证书的申请,以及CA服务器对证书的颁发、安装管理等。
2.3应用阶段
通过前2个阶段的实验教学,很好地配合了SSL的理论教学,使学生对SSL/TSL协议有了更深的认识和体验。本阶段的实验教学内容,将通过利用OpenSSL,实现一个简单的SSL服务器端和客户端[4],使学生具备利用SSL/TLS协议进行通信的编程能力。OpenSSL是一个开放源代码的SSL协议实现,具有一个强大的支撑函数库,主要包括三大部分,密码算法库、SSL协议库和OpenSSL应用程序。OpenSSL提供了一系列的封装函数,可以方便实现服务器和客户端的SSL通信。该阶段的工作量较大,通常在教师指导下,由学生分组自行完成。(1)OpenSSL的编译安装。这一步骤涉及下载和安装多个软件,版本也各不相同。包括不同版本的Openssl、Perl、VC++等。一般建议学生采用自己熟悉的系统和开发平台,安装新版的OpenSSL。(2)VC++编译环境的设置。目前的参考资料大都基于VC++6.0,我们采用的是VisualC++2010开发环境。网上有许多现成的源代码,但一般很难编译、调试或执行通过。我们建议学生可以参考已有的源代码,但一定要通过自己的编译、调试、改正,得到满意的运行结果。(3)生成服务器和客户端数字证书。SSL可以通过数字证书实现服务器和客户端之间的双向或单向认证。我们建议学生利用OpenSSL的证书生成命令行工具,自行完成一遍。这一步骤若出现问题,将直接影响以后程序的顺利执行。(4)SSL/TLS编程。首先建议学生采用OpenSSL的BIO连接库,建立一个简单的服务器和客户端,仅能完成简单的TCP握手连接和通讯;然后,再加入SSL握手功能,实现一个真正意义上的简单的SSL服务器和客户端。SSL/TLS客户端和服务器端程序运行结果,分别如图4和图5所示。通过该阶段的实验教学,一方面使学生熟悉如何利用OpenSSL工具编程,实现基于SSL的安全通信;另一方面使学生了解和掌握OpenSSL在安全方面的广泛应用,最终使学生在毕业设计和未来工作中,有足够的能力提出和实现应用安全方面的解决方案。
2.4总结
提高阶段通过前3个阶段的实践教学内容,再结合课堂上的理论教学,学生对SSL/TSL协议的原理、实现和应用都有了较深的认识。由于有许多研究和实践活动受各种条件所限,不可能全部列入教学实践的内容,这个阶段的主要任务是让学生通过他人对SSL/TSL协议的研究和应用,了解SSL/TSL协议在实际应用中还存在哪些问题、如何进一步完善,其目的是训练学生具备通过别人的研究和实践活动进行高效学习的能力,同时也让学生了解一个看似成熟的协议,还存在一系列的问题,这些问题有的是协议本身存在的,有些是在实际应用中产生的。我们通过提出3方面问题,让学生去通过查阅相关资料,自己进行总结。①SSL/TSL协议的存在哪些不足?②将SSL/TSL协议与应用层和网络层的安会协议进行比较,有哪些优劣?③通过一个实际的SSL/TSL协议的应用案例,说明SSL/TSL在实际应用中还存在哪些局限,应如何进行解决?教师可向学生推荐几篇参考文献[5-6]同时鼓励学生自己查询更多有价值的文献。在此阶段,教师和学生不断进行交流和讨论,对学生提出的问题以及业内新出现的热点问题,教师要通过不断的学习和提高给学生一个满意的答案。例如2014曝出的Heartbleed漏洞,涉及OpenSSL的开源软件包,而该软件包被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以漏洞影响范围广大。学生们对此漏洞非常有兴趣,作为教师要尽快查阅有关资料,了解此漏洞的产生的原因、有何危害、如何补救等。此漏洞虽然是OpenSSL的开源软件包程度存在的问题所导致的,与SSL/TSL协议本身无关,但是该漏洞的出现,提醒我们即使协议本身是安全的,在实现协议的过程中仍可能出现不安全的因素,导致安全漏洞的产生。
3实践教学效果评价
实践教学方案的教学设计是否可行和有效,需要在实际教学过程中进行检验。该实践教学方案是在多年教学基础上不断总结而教学设计的,并已在2013和2014年度的网络安全协议课程的教学中进行了实施。我们根据学生的反馈、表现以及实际教学效果,对方案的内容、难度以及方法也做了相应的调整。在方案实施过程中,教师要多与学生沟通,对所布置的作业认真检查,关注并统计学生是否有兴趣、是否努力,学生的技能是否得以改善,学生完成的情况、学生的满意度等各项指标。从对各项指标的统计来看,大部分学生对该实践教学方案比较认同,也取得了很好的效果,其中有几位学生还在毕业设计中选择了相关的毕测试。上述文档将整个测试过程显性化,实现了对缺陷解决过程的监控,有助于学生明确缺陷状态,评估所报缺陷的准确性,完善现有图式,促成自我反思与实践反馈。测试所涉及的文档和源码都将编号归档,统一存放于配置管理服务器,归档的文档被冻结,不允许修改。这些文件记录了缺陷的整个解决过程,为后期分析问题、完善解决方案、改进工作流程、反思教学设计提供了重要依据。
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
1入侵检测技术入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
2系统设计目标该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
系统原理框图
该文设计了一种通用的企业网络安全管理系统。
1系统总体架构网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
2系统网络安全管理中心组件功能系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
系统架构特点
1统一管理,分布部署该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
2模块化开发方式本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
1.2对外部网络攻击的防护因连接到因特网,不可避免地会受到外部网络的攻击,通常的做法是安装部署网络防火墙进行防护。通过设置防护策略防止外部网络的扫描和攻击,通过网络地址转换技术NAT(NetworkAddressTranslation)等方式隐藏内部网络的细节,防止其窥探,从而加强网络的安全性。1.3员工上网行为的管控对于在办公区内的员工,要禁止其在工作期间做无关工作的网络行为,如QQ聊天、论坛发帖子、炒股等,尤其禁止其玩征途等各类网络游戏。常用做法就是安装网络行为管理设备(应用网关),也有些企业会出于成本考虑安装一些网络管理类软件,但若操作不当,很容易会造成网络拥塞,出现莫名其妙的故障。
1.4对不同接入者权限的区分企业网络中的接入者应用目的是不相同的,有些必须接入互联网,而有些设备不能接入互联网;有些是一定时间能接入,一定时间不能接入等等,出于成本等因素考虑,不可能也没必要铺设多套网络。通常的做法是通过3层交换机划分虚拟局域网VLAN(VirtualLocalAreaNetwork)来区分不同的网段,与防火墙等网络控制设备配合来实现有关功能。
1.5安全审计功能通过在网络旁路挂载的方式,对网络进行监听,捕获并分析网络数据包,还原出完整的协议原始信息,并准确记录网络访问的关键信息,从而实现网络访问记录、邮件访问记录、上网时间控制、不良站点访问禁止等功能。审计设备安装后不能影响原有网络,并需具有提供内容安全控制的功能,使网络维护人员能够及时发现系统漏洞和入侵行为等,从而使网络系统性能能够得到有效改善。通常的做法就是安装安全运行维护系统SOC(SecurityOperationsCente)r,网管员定时查看日志来分析网络状况,并制定相应的策略来维护稳定网络的安全运行。
.6外网用户访问内部网络公司会有一些出差在外地的人员以及居家办公人员SOHO(SmallOfficeHomeOffice),因办公需要,会到公司内网获取相关数据资料,出于安全和便捷等因素考虑,需要借助虚拟专用网络技术VPN(VirtualPrivateNetwork)来实现。通常的做法是安装VPN设备(应用网关)来实现。
2网络安全设备的部署与应用
通过企业网络安全分析,结合中小企业网络的实际需求进行设计。该网络中的核心网络设备为UTM综合安全网关。它集成了防病毒、入侵检测和防火墙等多种网络安全防护功能,从而成为统一威胁管理UTM(UnifiedThreatManagement)综合安全网关。它是一种由专用硬件、专用软件和网络技术组成的具有专门用途的设备,通过提供一项或多项安全功能,将多种安全特性集成于一个硬件设备,构成一个标准的统一管理平台[2]。通常,UTM设备应该具备的基本功能有网络防火墙、网络入侵检测(防御)和网关防病毒等功能。为使这些功能能够协同运作,有效降低操作管理难度,研发人员会从易于操作使用的角度对系统进行优化,提升产品的易用性并降低用户误操作的可能性。对于没有专业信息安全知识的人员或者技术力量相对薄弱的中小企业来说,使用UTM产品可以很方便地提高这些企业应用信息安全设施的质量。在本案例中主要使用的功能有防火墙、防病毒、VPN、流量控制、访问控制、入侵检测盒日志审计等。网络接入和路由转发功能也可由UTM设备来实现。因其具有多个接口(即多个网卡),可通过设定接口组把办公区、车间、服务器组等不同区域划分成不同的网段;通过对不同网段设定不同的访问规则,制定不同的访问策略,来实现非军事化区DMZ(demilitarizedzone)、可信任区以及非信任区的划分,从而有效增强网络的安全性和稳定性。对于上网行为的管理,可以通过内置UTM设备的功能来实现管控,并可以实现Web过滤以及安全审计功能。,设定了办公区和车间1可以访问互联网,而车间2不能访问互联网。在办公区和部分车间安装无线AP,可方便人员随时接入网络。通过访问密码和身份认证等手段,可对接入者进行身份识别,对其访问网络的权限进行区分管控。市场上还有一些专用的上网行为管理设备,有条件的单位可进行安装,用以实现对员工上网行为进行更为精准的管控。对于出差在外地的人员和SOHO人员可在任何时间通过VPN客户端,用事先分配好的VPN账户,借助UTM设备的VPN功能,与总部建立VPN隧道,从而保证相互间通信的保密性,安全访问企业内部网络,实现高效安全的网络应用。
计算机网络论文参考文献:
[1]李磊.基于计算机网络病毒的主要特性及功能的分析与研究[J].山东工业技术,2016,(01):157.
[2]丁媛媛.计算机网络病毒防治技术及如何防范黑客攻击探讨[J].赤峰学院学报(自然科学版),2012,(08):41-42.
[3]罗婷婷.网络侵害行为分析[J].湖北民族学院学报(哲学社会科学版).2015(04).
[4]刘海燕,黄睿,黄轩.基于主题爬虫的漏洞库维护系统[J].计算机与现代化.2014(08).
[5] 谭浩强.C程序设计[M].4版.北京:清华大学出版社,2010.
[6] 未来教育.全国计算机等级考试模拟考场二级C[M].成都:电子科技大学出版社,2015.
[7] 教育部考试中心.全国计算机等级考试二级教程-C语言程序设计[M].北京:高等教育出版社,2002.
计算机网络论文参考文献:
[1]姚渝春,李杰,王成红.网络型病毒与计算机网络安全[J].重庆大学学报(自然科学版),2003,26(9).
[2]吉玲峰.网络型病毒与计算机网络安全[J].计算机光盘软件与应用,2013(5).
[3]许江兰.浅谈网络型病毒与计算机网络安全[J].计算机光盘软件与应用,2011(16).
[4]伍毅强医院计算机网络设备管理及维护策略研究[J].无线互联科技,2014,1:199.
[5]汪忠乐医院计算机网络安全管理工作的维护措施[J].无线互联科技,2015,07:55-56.
[6]张波.试论医院计算机网络设备的管理措施和维护策略[J].科技创新导报,2013,24:29.
计算机网络论文参考文献:
[1]李先宗.计算机网络安全防御技术探究[J].电脑知识与技术,2015(21):33-35.
[2]罗恒辉.计算机网络信息与防御技术的应用实践刍议[J].信息与电脑,2016(2):170-171.
[3]李军.基于信息时代的网络技术安全及网络防御分析[J].网络安全技术与应用,2016(1):17-18.
[4]吴晓旭.计算机网络安全的防御技术管窥[J].智能城市,2016(4):120-121.
[5]彭龙.企业计算机网络信息安全体系的构建研究[J].科技广场,2016(5):94-98.
[6]阮彦钧.计算机网络安全隐患及防御策略探讨[J].科技与创新,2016(16):91-92.
网络安全论文参考文献:
[1]张金辉,王卫,侯磊.信息安全保障体系建设研究.计算机安全,2012,(8).
[2]肖志宏,杨倩雯.美国联邦政府采购的信息安全保障机制及其启示.北京电子科技学院学报,2009,(3).
[3]沈昌祥.构建积极防御综合防范的信息安全保障体系.金融电子化,2010,(12).
[4]严国戈.中美军事信息安全法律保障比较.信息安全与通信保密,2007,(7).
[5]杨绍兰.信息安全的保障体系.图书馆论坛,2005,(2).
[6]侯安才,徐莹.建设网络信息安全保障体系的新思路.现代电子技术,2004,(3).
网络安全论文参考文献:
[1]王爽.探讨如何加强计算机网络安全及防范[J].计算机光盘软件与应用,2012(11).
[2]田文英.浅谈计算机操作系统安全问题[J].科技创新与应用,2012(23).
[3]张晓光.试论计算机网络的安全隐患与解决对策[J].计算机光盘软件与应用,2012(18).
[4]郭晶晶,牟胜梅,史蓓蕾.关于某金融企业网络安全应用技术的探讨[J].数字技术与应用,2013,12(09):123-125.
[5]王拥军,李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密,2013,11(07):153-171.
[6]胡经珍.深入探讨企业网络安全管理中的常见问题[J].计算机安全,2013,11(07):152-160.
[7]周连兵,张万.浅议企业网络安全方案的设计[J].中国公共安全:学术版,2013,10(02):163-175.
网络安全论文参考文献:
[1]古田月.一场在网络战场上的较量与争夺[N].中国国防报,2013-05-20(6).
[2]兰亭.美国秘密监视全球媒体[N].中国国防报,2010-10-24(1).
[3]李志伟.法国网络安全战略正兴起[N].人民日报,2013-01-01(3).
(保密的学位论文在解密后适用本授权书)
论文作者签名: 导师签名:
签字日期: 年 月 日 签字日期: 年 月 日
内 容 摘 要
本文针对浙江广播电视集团网络,以及集团网络安全的建设、改造提出了相应的解决方案,并且从网络和网络安全两个主要方面进行了相关的阐述。首先,对在本方案中可能使用到的计算机网络、及网络安全的相关技术进行了阐述、分析和比较。然后,对集团中的计算机网络、以及网络安全的现状进行调查研究。其次,针对浙江广播电视集团的网络现状进行了详细的需求分析。最后,提出了一套针对浙江广播电视集团计算机网络、以及网络安全实际情况的网络、及网络安全的详细设计方案。实施本方案之后,有助于提高其计算机网络系统的可靠性、以及网络的安全性。
关键词:网络系统,数据安全,网络安全,局域网
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security,LAN
目 录
第一章 引言 1
第一节 选题背景与意义 1
第二节 集团网络安全发展与现状 1
第三节 网络安全相关技术介绍 2
第二章 集团网络安全系统概况及风险分析 4
第一节 集团网络机房环境 4
第二节 网络应用数据备份 4
第三节 网络安全弱点分析 5
第四节 网络安全风险分析 6
第三章 集团网络安全需求与安全目标 7
第一节 网络安全需求分析 7
第二节 网络安全目标 7
第四章 集团网络安全解决方案设计 9
第一节 网络监控管理系统 9
第二节 电子邮件安全解决方案 9
第三节 远程数据传输的加密 10
第四节 服务器的安全防护 11
第五节 计算机病毒防护的加强 14
第六节 网络攻击及防护演示效果图 15
第五章 结束语 17
参考文献 18
致 谢 19
第一章 引言
第一节 选题背景与意义
随着互联网的普及度越来越高,全世界的计算机都能通过互联网连接到一起。各种网上活动的日益频繁,使得网络安全问题日益突出,信息安全成为了一个重要的课题。各种各样的网络攻击层出不穷,如何防止网络攻击,保障各项业务的顺利进行,为广大用户提供一个安全的网络环境变得尤为重要。
本论文针对浙江广播电视集团的计算机网络、以及网络安全的实际解决方案。在实施了本方案之后,有助于提高集团计算机网络系统的可靠性、以及网络的安全性。认真分析网络面临的威胁,计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础之上,再采用先进的技术和产品,构造全方位的防御机制,使系统在最理想的状态下运行。
第二节 集团网络安全发展与现状
图1-1网络拓扑图
浙江广播电视集团作为省级广电传媒集团,现有计算机网络于2002年10月建成,在集团的运作和管理中发挥着重要的作用。近年来随着集团业务的发展,网络应用的不断深入,应用领域较以前传统的、小型的业务系统逐渐向大型、关键业务系统方向扩展。大部分子系统已接入网络,远程数据传输、集团资料共享、动态数据查询、流媒体数据业务、集团网站运营等都在该网络上传输,整个网络的用户规模是原计算机网络规模的数十倍。随着网络规模的不断扩大、接入点数量的增多、内部网络中存在的安全隐患问题就会愈加突出,安全日益成为影响网络效能的重要问题,而互联网所具有的开放性、国际性和自由性在增加应用自由度的同时,对自身网络的安全性提出了更高的要求。虽然广电集团前期的网络建设有一定的安全措施,但因为网络复杂性的逐步提高,网络中存在隐患的可能性以及由此产生的危害性也大大提高,因此在网络系统的进一步建设过程中,及时查清网络隐患的必要性就体现了出来。
第三节 网络安全相关技术介绍
要保证计算机网络系统的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
一、防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可已被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可监测、限制、更改跨越防火墙的数据流,确认其来源及去处, 检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:数据包过滤、监测型、服务器等几大类型。
二、数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之 一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
三、认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接收者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
四、虚拟专用网络(VPN)技术
虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
五、计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
(一)较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、 UNIX和Netware系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查毒、杀毒范围广、能力强的特点。
(二)完善的升级服务。与其它软件相比,防病毒软件更需要不断地更新升级,以查杀层出不穷的计算机病毒。
第二章 集团网络安全系统概况及风险分析
第一节 集团网络机房环境
目前,浙江广播电视集团计算机网络绝大多数的设备都是安放在新大楼13楼机房内的,只有楼层交换机是分布在各楼层的设备机柜中。根据本文的现场勘察和了解,目前大多数信息机房在机房的装修、温度和湿度控制、消防、照明、防静电、防雷等方面已经作了很多的考虑,主要有如下方面:
一、网络机房都作了可靠的防雷措施,建设有防雷接地网,其接地电阻小于1欧姆;大楼顶部建设有避雷针。
二、所有从网络机房大楼外接入网络机房的数据信号,全部采用光纤接入。
三、网络机房内大多配备UPS电源系统。
四、机房内铺设防静电地板、吊顶,对墙面进行了无尘处理。
五、安装机房防盗监控系统。
六、配备机房消防系统和应急照明系统。
七、所有楼层交换机的供电都是由机房内 UPS 通过专用的线路直接供电,与楼层内的其它电源系统没有任何连接。
第二节 网络应用数据备份
在广电集团的计算机网络中大多己经有功能数据备份与恢复系统,它是一套基于磁带介质的备份与恢复系统,有2套文件备份的License和1套Oracle数据库备份的License,进行服务器的文件备份和Oracle数据库的实时备份和恢复。
浙江广电集团网络中已经有了以下几个网络安全方面的考虑:
一、病毒防护
网络中使用了诺顿病毒防护系统,该病毒防御系统是基于网络的病毒防护系统,在网络内能够远程的安装网络客户端的病毒防护软件,进行病毒特征库的自动更新,集中控制和管理。但是,网络中的病毒防护系统没有集中控制和管理的控制台,不能实时了解网络中防病毒客户端程序的安装情况、病毒感染和爆发的情况。
二、外网接入安全防护
网络目前大多没有单独的外网接入点,没有自己的外网接入安全防护,使用统一的出口和安全策略。
三、入侵检测系统
在集团总部局域网与其他网络连接处采用的一套入侵检测系统具体部署如图2-1
图2-1 广电集团入侵检测系统示意图
第三节 网络安全弱点分析
浙江广电集团网络系统安全弱点主要包括:
一、硬件弱点: 硬件隐患存在于服务器、终瑞、路由器、交换机和安全设备等设备中,一旦发生硬件的安全问题,将给主机和网络系统的可靠性、可控性、可用性和安全性等造成严重损害。
二、操作系统弱点: 由于操作系统自身的漏洞和缺陷可能构成安全隐患。操作系统是计算机应用程序执行的基本平台,一旦操作系统被渗透,就能够破坏所有安全措施。靠打补丁开发的操作系统不能够从根本上解决安全问题,动态连接给厂商提供开发空间的同时为黑客开启了方便之门。
三、数据库系统弱点: 由于数据库系统本身的漏洞和缺陷可能构成的安全隐患。
四、网络系统弱点: TCP/IP协议本身的开放性导致网络存在安全隐患。如:TCP/IP 数据通信协议集本身就存在着安全缺点,如:大多数底层协议采用广播方式,网上任何设备均可能窃听到情报; 协议规程中缺乏可靠的对通信双方身份认证手段,无法确定信息包地址真伪导致身份“假冒”可能;由于TCP 连接建立时服务器初始序号的可推测性,使得黑客可以由“后门”进入系统漏洞。
五、通用软件系统弱点:如Web服务器等常用应用软件本身可能存在的安全弱点。
六、业务系统弱点: 节目视频业务系统等本身的“Bug”或缺陷可能构成弱点。
七、安全设计的弱点: 安全设计不周全可能构成系统防护的弱点,由于安全漏洞的动态性和安全威胁的增长性要求以及安全需求本身的限制,安全体系设计要求具有良好的可扩展性和动态自适应性。
八、管理弱点: 工具不多,技术水平不高,意识淡薄,人员不到位。
第四节 网络安全风险分析
网络本身所固有的结构复杂、高度开放、边界脆弱和管理困难等特点,增加了广电集团网络系统的安全风险。
由于网络自身的开放性和广电集团网络系统的特殊性使网络系统存在很大的安全风险性,主要有:
一、人为因素:
未经授权访问重要信息
恶意破坏重要数据
数据窃取、数据篡改
利用网络设计和协议漏洞进行网络攻击
假冒、伪造、欺骗、敲诈、勒索
内部人员恶意泄露重要的信息
管理员失职
二、自然因素:
设备的老化
火灾、水灾 (包括供水故障)
爆炸、烟雾、灰尘
通风
供电中断
电磁辐射、静电
以上都可能引起设备的失效、损坏,造成线路拥塞和系统瘫痪等。
第三章 集团网络安全需求与安全目标
第一节 网络安全需求分析
为了确保广电集团网络系统的安全,其安全需求可以从安全管理层面、物理安全层面、系统安全层面、网络安全层面、应用安全层面等方面来分析。
从安全管理要求来分析,要考虑政策、法规、制度、管理权限和级别划分、安全培训等,特别要考虑基层人员计算机水平不高,系统设计和培训等方面要周密考虑,制定切实有效的管理制度和运行维护机制。
从物理安全要求来分析,要根据浙江广电集团实际情况,确定各物理实体的安全级别,建立相应的安全防护机制。
从系统安全需求来分析,需要解决操作系统安全、数据库系统安全、TCP/IP 等协议的安全、系统缺陷、病毒防范等问题。
从网络安全需求来分析,要考虑系统扫描、入侵检测、设备监控和安全审计等,要防范黑客入侵、身份冒充、非法访问。要保证信息在公共传输通道上的机密性,拨号线路的保密性和身份鉴别。
从应用安全和信息安全需求来分析,要解决重要终端用户数据的加密、数据的完整性、数据的访问控制和授权以及数据承载终端设备 (各种计算机、笔记本电脑、无线WAP终端及其它终端设备) 以及其中运行的操作系统的安全可靠。
因此,广电集团网络系统安全要重点做好以下几方面的工作,同时也是本安全方案的设计需要解决的问题:
一、解决内部外部系统间的入侵检测、信息过滤 (防止有害信息的传播)、网络隔离问题;
二、解决内部外部黑客针对网络基础设施、主机系统和应用服务的各种攻击所造成的网络或系统不可用、信息泄密、数据篡改 等所带来的问题;
三、解决重要信息的备份和系统的病毒防范等问题;
四、建立系统安全运行所匹配的管理制度和各种规范条例;
五、建立健全浙江广电集团网络系统安全培训制度及程序等方面的问题;
六、解决浙江广电集团和其它相关单位部门网络信息交流带来的安全问题。
第二节 网络安全目标
计算机网络的安全问题与单台计算机的安全在实际中存在着非常大的差别。网络不是分装在一个机箱内,存在着传输系统的地域分布问题。这些传输通信系统可以是有线的,也可以是无线的。这类传输可以在中途被截获,存在着“中间攻击”的问题。从攻击的手段来看,攻击种类和机制非常多。访问控制和鉴别也比单台计算机困难,网络安全要特别重视防截获,防泄露和信息加密的实施。
目前所采用的网络防护方法也就是在进入计算机操作系统控制中的网络访问和网络协议上实施的。
网络防护的基本服务: 网络访问控制(MAC)、鉴别、数据保密性、数据完整性、行为的完整性、抗抵赖性、可用性等。
网络安全的目的是保护在网络系统中存储、传输和处理的信息的安全,概括为确保信息的完整性、保密性、可用性和不可抵赖性。
信息的保密性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的查看;
信息的完整性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的改变;
信息的可用性和可靠性指的是在计算机网络系统中存储、传输和处理的信息为授权用户提供及时、方便、有效的服务;
信息的不可抵赖性指的是内部人员对信息的操作不可抵赖。
为了更加完整的执行上述网络信息安全的思想,防止来自集团内部局域网上的攻击,又由于浙江广电集团网络连接关系复杂、网络设备多,使用租用的国内的通信线路,存在着传输线搭接窃听或辐射接收窃听等环节。因此要做到以下几个要求:
1) 防止计算机病毒的蔓延
集团网络众多的用户,可能由于内部管理上疏忽,装入未经杀毒处理的软
件或是从因特网上下载了带病毒的文件。还可能来自外部黑客释放病毒、逻辑炸弹的攻击等,这些都对计算机网络系统安全构成严重威胁。病毒广泛地传播,将造成网络软硬件设备的损害以至于整个网络系统瘫痪。
2) 加强网络安全的动态防护
网络黑客攻击手段、计算机病毒等都处于不断的发展和变化中,使用目前的安全保密技术和产品是难以构造一种绝对安全、无缝隙和一劳永逸的网络系统的。因此,安全的网络系统必须具有网络安全漏洞的检测和监控功能。通过安全检测、监控手段,及时发现网络安全漏洞和各种恶意的攻击手段,及时提供修补系统漏洞的建议并阻断来自内外的非法使用和攻击。
3) 保障集团内部业务系统的安全稳定
由于涉及省台与各地方台的视频传输,不可避免的会遇上各种各样的问题,因此,在网络层对业务的安全要保障得力,并且要确认信息传输的安全稳定。
第四章 集团网络安全解决方案设计
第一节 网络监控管理系统
由于浙江广电集团的网络建设已有很多年的时间了,其很多网络设备都自带了监控及管理软件或工具,但是这些工具在问题发生之后很难解决问题。而网络监控管理系统的实时映射、网络瓶颈通知和设备失败通知却可以帮助用户快速隔离问题,并且在员工抱怨之前解决问题。
这里对推荐的美国 CA 公司的网络监控管理系统 (Unicenter Network & System Management)所能够达到的功能简单地说明一下:通过 TCP/IP 协议,不需要专门的培训,用户就可以配置该网络监控管理系统,启动网络监视管理功能后,能够监控的网络设备包括工作站、服务器、主机、网桥、路由器、集线器、打印机等在内的几乎所有网络元件。当用户决定使用该网络监控管理系统软件时,首先可以通过该软件的网络探查功能,能够全面查看用户网络的底层构件,确认整个网络的体系结构,并以一种可描述可管理的模式定位所有的网络设备,并将这些设备存储起来,迅速绘出网络结构图,同时启动设备的监控,而这些过程都是自动生成的,非常简单易用,可操作性强,这对于网络设备非常多、而专业网络管理人员较少的企业来说就显得非常重要。
在这个过程中,首先通过该网络监控管理系统 24X7 的全时设备轮询网络监视功能,迅速识别网络元件的任何问题,当监测到问题时,可以不同的颜色显示出来,并以通过手机、e-mail、声音警报通知管理人员,同时根据各网络元件相互之间的依赖关系,自动关闭与 有问题网络元件之后的所有网络元件的连接,减少冗余数据数量,避免冗余通知。此外,还能对网络元件的潜在问题、网页的正确性、可用性、网络的性能以及系统资源进行有效的监控管理。
当网络监控管理系统识别网络失效时,在向相关人员发送警报及通知时,该软件还可启动一个程序来定位网络失效。因此,当状况被隔离之后,一个特定的应用程序或者脚本程序就会被执行,或许是重启这个服务或许是重启计算机。这个进程是自动的,因此当相关人员收到设备失效的通知时,相应的措施已经采取了,管理人员不用回到办公室,因为当管理人员在收到通知时已经知道问题己经解决了。
在这一系列监控与管理过程中,网络监控管理系统都能自动生成监控及管理日志,并对系统的使用情况与趋势形成报告,以便用户形成较为完善的系统化管理,提升工作效率。
第二节 电子邮件安全解决方案
解决电子邮件安全问题,我们需要从三个方面来考虑如何应对:
1) 对带病毒邮件、垃圾邮件等恶意邮件的过滤和封堵;
2) 对进出邮件系统的所有邮件进行备份,用于监控和备查;
3) 对敏感的邮件内容进行加密传输,防备在传递路径上的恶意窥伺。
对集团来讲,现实的方法是结合现有的成熟技术,组合出一个在经济上和技术上合理的解决方案,同时要保证长期的维保成本。邮件系统的安全解决方案包括如下三个部分:
1、电子邮件安全网关技术方案
通过邮件安全网关的部署,在病毒程序、垃圾邮件等不良信息进入集团邮件系统之前,便对其进行遏制、阻截,从而保证集团电子邮件系统的安全稳定运行,节省邮件系统存储空间,避免机密的泄漏。
在邮件网关硬件系统上整合邮件反病毒引擎,对进入集团邮件系统的电子邮件进行病毒检测,采取邮件隔离、删除以及清除病毒等操作,减少病毒对邮件服务器的攻击。应根据互联网最新病毒发展趋势,定时升级邮件网关病毒库。
2、邮件备份系统技术方案
在集团现有邮件系统的基础上,实现对指定时间内(如最近一年)所有收发邮件的备份,并且管理员根据邮件信息摘要(例如:发件人、收件人、主题、日期、附件名称等)进行检索和查看邮件全部内容。
3、邮件加密系统技术方案
保护重要电子邮件不被泄密,防止内部人员未经许可将重要电子文档以邮件的方式泄密,防止电子邮件被截取而引起的泄密。保证工作效率,在尽量不改变使用者收发邮件操作习惯的基础上,保证电子邮件正常畅通使用。
考虑到文件安全扩展的需求,除电子邮件之外,信息泄密还有多种途径。在保护邮件安全的基础上,要考虑到日后系统的扩展性。
邮件安全管理系统综合动态加解密技术、访问权限控制技术、使用权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子邮件进行保护。
第三节 远程数据传输的加密
建立基于SSL VPN技术加密访问系统,使得从Internet到内部网络的访问使用SSL VPN数据加密通道,保证数据在传输过程中保密性。
目前能够提供 SSL VPN 加密产品的厂家很多,但是本文认为在SSL VPN技术的先进性、加密传输的速率、以及厂家的技术服务等方面,Juniper的Netscreen SA 1000具有相对的优势,是其它厂家无法比的。
Juniper 网络公司SSL VPN产品家族的Netscreen-SA 1000系列,使企业可以部署经济高效的远程接入、外联网及内联网安全性。用户可从任何标准 Web浏览器接入企业网络和应用。NetScreen-SA 1000系列使用SSL作为安全接入传输机制,SSL是所有标准Web浏览器中使用的安全协议。使用SSL使客户无需部署客户端软件、无需更改内部服务器,也无需进行成本高昂的长期维护。NetScreen-SA 1000产品提供先进的合作伙伴喀户外联网特性,以控制用户或用户组的网络访问,无需更改基础设施、无需部署DMZ 、也无需软件。这项功能还允许公司安全接入企业内联网,使管理员可以根据不同员工、承包商和访问者所需的资源来限制他们的接入权限。
NetScreen-SA 1000系列解决方案的主要特性与优势如下:
一、端到端分层安全性
端点客户端、设备、数据和服务器的分层安全性控制,Juniper网络公司 Endpoint Defense Initiative(端点防御计划),用于提供最高的端点安全性可以根据用户组或角色、网络、设备及会话属性来规定基于用户身份的接入降低总拥有成本。不需要部署客户端软件或更改服务器,几乎不需要长期维护。从单一平台安全地远程接入内联网和外联网安全的外联网接入,无需构建 DMZ、无需加固服务器、无需复制资源、或无需增加部署来添加应用或用户简化
二、可管理性
(一)集中管理选项提供统一管理
(二)用户自助服务功能,可降低技术支持服务窗口的支持成本
(三)细粒度的审计和日志记录
(四)3 种不同的接入方法,允许管理员根据具体目的来设置接入权限
(五)基于角色分配管理任务
三、高可用性
群集对部署选项,可为整个LAN和WAN提供高可用性。
第四节 服务器的安全防护
一、业务服务器的安全防护
(一)防火墙的安装
这里将在Catalyst 4506交换机与服务器群的交换机之间安装一台高性能的防火墙,并根据服务器群中的每台服务器的应用系统的情况,在该防火墙上进行一对一的安全策略配置的工作。
(二)入侵检测系统的安装
这里将在服务器群的交换机上配置一个侦听端口,将流经该交换机所有端口的数据包都复制一份传送到侦听端口上;再把入侵检测系统连接到该侦听端口,接收该端口输出的所有数据包,并对这些数据包进行入侵分析、判断和记录。本文将负责完成入侵检测安装配置工作。
二、涉及到的设备选择
(一)防火墙的选择
防火墙的类型主要有:数据包过滤、监测型、服务器等几大类型。
1)包过滤型
包过滤型防火墙是防火墙的较初级产品,其技术基于网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。如图4-1所示:
图4-1包过滤型防火 墙的工作原理
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2)型
型防火墙也能够被称为服务器,它的安全性要高过包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到集团内部网络系统。如图4-2所示
图4-2型防火墙的工作原理
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。它的缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
本文将选用业界性能较好的、可靠性较高的Juniper 的NetScreen 5200防火墙,该防火墙的技术参数如表4-1
表 4-1 NetScreen 5200 防火墙技术参数表
物性/功能 NetScreen-5200
接口数 2个XFE 1OGigE,或8个Mini-GBIC, 或2个Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墙
5G 3DES/AFS VPN
最多会话数 1,000,000
最多VPN 隧道数 30,000
最多策略数 4000,000
最多虚拟系统数 5
最多虚拟LAN 数 4000
最多安全区域数 默认设置为16个,最多增加1000个
最多虚拟路由器数 默认设置为3个,最多增加500个
支持的高可用性模式 主用/备用
支持的路由协议 OSPF, BGP, RIRV1/V2
深层检测 是
集成/重新定向,Web过滤 是/否
(二)入侵检测系统的选择
这里选用国内拥有领先安全技术水平的天融信千兆级入侵检测系统NGIDS-UF。其主要的技术指标如表4-2
表4-2 NGIDS-UF 入侵检测系统技术指标表
型号 NGIDS-UF
类别 千兆IDS
规格 2U 机架式
网络接口 1个10/100Base-TX: 2个千兆光纤
2wh 10/100/1000Base-TX
串口 1个RS-232C
第五节 计算机病毒防护的加强
一、在原有的病毒防护系统增加集中管理控制台
新增一台服务器,在上面安装一套诺顿的病毒防护的集中管理控制台。这里将安装该服务器系统和诺顿的集中管理控制的软件系统。
二、增加网络病毒防火墙
在每个楼层交换机的上联端接入一台网络病毒防火墙,对局域网内的病毒进行区域控制:在二级单位广域网入口处安装一台网络病毒防火墙,保障二级单位的广域网线路不会受到病毒数据包的影响。
涉及到的设备选择:
(一)诺顿的防病毒集中管理控制台
只有选用诺顿的集中管理控制软件才能控制和管理诺顿的网络防病毒系统的客户端软件。
(二)网络病毒防火墙
目前有趋势相关的硬件产品出售,并且该产品还能够与诺顿的网络防病毒客户端软件进行联动。所以本文选择部署趋势的NVW1200网路病毒防火墙。该网络病毒防火墙的主要功能如下:
1.执行免的安全策略
网络病毒墙对非兼容设备进行隔离修正,以确保所有设备在进入网络前都安装有最新的防病毒及关键的操作系统补丁。执行免的安全策略可减少管理负荷,并可同时降低被合作伙伴或VPN用户的非兼容设备感染的风险。
2.漏洞隔离
网络病毒墙根据Trend Micro的漏洞评估功能,隔离网络蠕虫可利用的潜在环节,使管理者有选择地隔离薄弱(未安装不定程序)的网络段或设施,避免病毒的爆发。网络病毒墙提供漏洞评估服务,并将该功能作为一个可选项。
3.灵活的、集中式管理
网络病毒墙包括趋势科技企业安全管控中心、及一个集中式、基于网络的管理控制台,它根据主机安装永久的需要实施安全更新部署。该服务可以自动部署、或点击管理控制台的选项进行手工部署。
4.网络扫描及侦测
网络病毒墙通过扫描网络流量查找蠕虫及漏洞利用,并基于趋势实验室提供的最新病毒码来自动清除感染的网络数据包。另外,网络病毒墙利用趋势科技先进的启发式技术对您的网络实施监控,并提供威胁的早期预警。
5.网络病毒爆发监控
网络病毒墙通过实时监控网络流量或可疑活动来提供早期的威胁预警。并在中心控制台上发出病毒爆发通知,立即提示管理者蠕虫攻击目标、受感染的主机、或具体的受攻击的漏洞。
6.网络病毒爆发防御
网络病毒墙部署了Trend Micro病毒爆发防御服务,通过阻绝任何蠕虫传播组合,包括8地址或地址范围、端口及协议、即时通讯渠道、文件类型扩展名、及文件传递。
7.自动清除损害
网络病毒墙通过隔离感染的网络段、主机、或客户,进行清除及修正,阻止了再次感染。凭借自动、免清除蠕虫(木马)痕迹、及系统文件配置(system.ini)修复功能,Trend Micro的清除损害服务可以防止再次感染,降低清除成本。
第六节 网络攻击及防护演示效果图
图4-3网络攻击及防护演示效果图
针对浙江广电集团的网络结构,当出现如下各类情况时解决方案如图4-3所示:
1、 漏洞扫描-识别攻击行为
2、 上传病毒/木马-修复系统漏洞
3、 启用后台服务监听-防病毒软件
4、 远程控制服务器-防火墙入侵检测
5、 攻击业务系统-防火墙、双机容错
6、 破坏系统数据-备份、灾难恢复
7、 客户端中毒-防病毒软件
第五章 结束语
计算机网络的可靠性和安全性是在不断地变化的,不同的时期或者阶段对网络的可靠性和安全性方面的要求是不一样的。在网络的建设之初,集团网络关心最多的是网络的连通性,只需要网络能够传送数据即可,对于网络数据的延迟lunwen .1 kejian .com 一以及网络短时间的中断都没有过多的要求:当网络中存在着涉及到集团的关键性应用系统时,就对网络数据的延迟时间、以及网络的中断时间上就有了很高的要求,在一般情况下,为了保障集团应用系统的连续运行,集团网络系统是不允许发生网络中断的。因此,本文在方案的设计中就已经考虑到要符合目前的、以 及将来的网络应用系统的需要,同时本文设计的网络系统的可靠性和安全性可以根据集团网络业务系统的需要进行相关的调整,满足变化之后的网络业务系统的要求。
本方案是一个针对浙江广电集团目前计算机网络现状的网络、及网络安全的解决方案,在随后的分期分批的项目实施过程中,由于集团网络环境、以及网络应用系统的变化,会在细节上根据实际情况进行相应的调整,如:安装设备数量、设备安装具体地点等,只要在总的布局、要求以及标准上保持不变,实施之后就能够达到本方案的设计要求。同时,本方案在设计、以及设备的选型上,己经做了今后扩展的考虑。
本方案并没有解决浙江广电集团计算机网络、以及网络安全方面的所有问题,随着计算机网络、及网络安全的技术不断地发展,以及集团网络应用系统不断地新增,集团业务系统也会对集团的计算机网络系统的结构和网络安全方面提出更高的要求,实现后满足集团实际的需要。
【参考文献】
[1] 张国清.CCNP BSCI详解.北京:电子工业出版社,2006.
[2] 拉斯特.网络安全基础[M].北京:中国邮电出版社,2006.
[3] 常晓波.CISCO网络安全.北京:清华大学出版社,2004.
[4] 王达.网管员必读——网络安全.电子工业出版社. 2007.
[5] 《非常掌上宝系列》编委会.数据备份恢复与系统重装一条龙.北京:科学出版社,2005.
[6] 张公忠.现代网络技术教程北京:电子工业出版社,2004.
[7] 飞科研发中心.电脑防毒防黑急救.北京:电子工业出版社,2002
[8] 黄志晖.计算机网络管理与维护全攻略.西安:西安电子科技大学出版社,2004.
[9] 欧阳江林.计算机网络实训教程,北京:电子工业出版社,2004.
[10] 金纯.IEEE802.11无线局域网北京:电子工业出版社,2004
[11] 施裕琴.网络安全的入侵检测系统及发展研究.集团经济研究2006,(27):25-26.
[12] 董凯虹.网络监控管理系统的功能.计算机世界周刊.2006.(4):50-51
[13] 胡越明.Internet技术及其实现.北京:高等教育出版社,2005.
[14] 陈雪著.Windows XP的完善.上海理工大学出版社,2005.8
[15] 麦肯兰勃.网络安全评估.北京:中国电力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 谢
在论文完成之际,谨向所有给予我指导、关心、支持和帮助的老师、领导、同学和亲人致以崇高的敬意和深深的感谢!
首先感谢导师顾忠伟老师一直以来对我的学习、工作和生活所给予的无私关心、悉心指导和严格要求。尤其在论文的完成阶段,得到顾老师的耐心指导和严格把关。顾老师严谨的治学态度、求实的工作作风、平易近人的处世风范都深深影响了我。在此谨向顾老师表示最衷心的感谢和最诚挚的敬意!
感谢浙江广电集团科技管理部计算机科的同事,他们结合自己多年的计算机系统与网络安全的相关经验,给我提出了很多宝贵的建lunwen .1 kejian .com 一和对我实习中的帮助。在论文完成之际,在此特向各位同事表示深深的谢意!
在论文的材料收集期间,得到了负责集团网络工作的蒋老师的大力支持,他根据自己多年实际工作的经验,为我的论文写作、改进工作提出了许多有价值的宝贵建议,在此对蒋老师表示感谢!
感谢经济管理学院的各位老师、同学在学习工作等诸方面的支持和帮助,这一切使我在学习期间深受教益。
最后,深深地感谢我的家人旦他们在生活和学业上给了我无私的关怀,为了支持我的学业,付出了莫大牺牲。惟乞此文能够回报这些无比的关心和厚爱!
2:吉林省森工集团信息化发展前景与规划.
3: 吉林省林业设计院网络中心网络改造与发展规划.
4: 吉林省林业系统生态信息高速公路构建课题.
二、论文撰写与设计研究的目的:
吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.
由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.
没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".
1,论文(设计)研究的对象:
拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.
2,论文(设计)研究预期达到目标:
通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.
3,论文(设计)研究的内容:
一),主要问题:
设计解决网络地域规范与现有网络资源的利用和开发.
设计解决集中单位的网络统一部署.
设计解决多类型网络的接口部署.
设计解决分散网络用户的接入问题.
设计解决远程瘦用户网络分散点的性能价格合理化问题.
设计解决具有针对性的输入设备的自动化信息采集问题.
合理部署网络服务中心的网络平衡.
优化网络服务系统,营造合理的网络平台.
网络安全问题.
10,基本应用软件整合问题.
[nextpage]
二),论文(设计)包含的部分:
1,地理模型与网络模型的整合.
2,企业内部集中部门网络设计.
3,企业内部分散单元网络设计——总体分散.
4,企业内部分散单元网络设计——远程结点.
5,企业内部分散单元网络设计——移动结点.
6,企业网络窗口(企业外信息交流)设计.
7,企业网络中心,服务平台的设计.
8,企业网络基本应用软件结构设计.
9,企业网络特定终端接点设计.
10,企业网络整合设计.
5,论文(设计)的实验方法及理由:
由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.
6,论文(设计)实施安排表:
1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.
2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.
3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.
4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).
5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.
6.论文(设计)阶段第六周次:完成结题报告,形成论文.
三,论文(设计)实施工具及参考资料:
小型网络环境,模拟干扰环境,软件平台.
吴企渊《计算机网络》.
郑纪蛟《计算机网络》.
陈济彪 丹青 等 《计算机局域网与企业网》.
christian huitema 《因特网路由技术》.
[美]othmar kyas 《网络安全技术——风险分析,策略与防火墙》.
其他相关设备,软件的说明书.
1、论文(设计)的创新点:
努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.
题目可行性说明及预期成果:
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-02
Research&Application of Network Security Management System
Huang Yang
(The 772th Research Institute of China Shipbuilding Industry Corporation,Hubei430064,China)
Abstract:Aiming at the fact that there are lots of potential safety hazard on network,this paper researched and discussed the network security management system.Firstly the current information on network of security management system was analyzed,on the basis of analysis,the design and realization of network information security management system was discussed in details,and the whole structure levels and function models were pointed out;on the other hand,the realization scheme of the network information security management system was analyzed from the client,server and the long-distance communication,the three aspects were also discussed.All this work is significative for enhancing the information security level on network.
Keywords:Network security;Security management;Network management system
一、引言
随着计算机网络的发展,信息与网络技术正逐渐改变着人们的政治、经济、文化生活的方式。同时,随着人们对网络依赖性的增强,网络安全问题逐渐暴露,网络安全事件层出不穷。在信息化程度逐步提高的现代社会,信息安全越来越得到关注。
本论文重点结合局域网内信息安全的要求,对网络安全监管系统进行开发设计与研究,以期从中找到可靠有效的信息安全管理模式和网络安全监管系统的开发管理经验,并以此和广大同行分享。
二、网络安全监管应用现状分析
为了防范安全攻击,提高网络安全性,安全厂商纷纷采用各种安全技术,推出各类安全产品,如防病毒、防火墙、入侵监测、入侵保护、VPN等等,并且加强操作系统和应用系统自身的安全防护,加强安全审计。这些措施都在很大程度上提高了网络的安全状况,然而,不同的安全产品都是解决某一方面的安全问题,例如:防火墙用于检测和限制外部网络对受保护网络的访问,对穿过防火墙的恶意数据包却无能为力,更不能防范内部威胁。
针对上述情况,需要有相应的技术和产品来整合不同的安全产品,能够将来自不同事件源的事件统一监控起来,并对这些事件进行分析,向用户提供网络运行的整体安全状况,有效减少误报和漏报,极大提高报警准确性,发现复杂的攻击行为,并能根据保存的历史事件数据对事件进行深入调查和安全审计。
为了解决上述问题,本文提出了统一的网络安全监测系统,该系统从网络的整体安全出发,通过对网络中各种安全设备的集中监控,收集各安全设备产生的安全事件,并通过对收集到各种安全事件进行深层的分析、统计和关联,定位安全风险,对各类安全事件及时提供处理方法和建议的安全解决方案。
三、网络安全监管系统的设计研究
(一)系统总体层次架构设计
安全监测分析系统的基本功能是采集防火墙、IDS、IPS、网站防护设备、防病毒网关等安全设备安全事件,对网络边界进行全天候实时安全监测及深度分析。整合各种安全事件并进行关联分析,实时显示全网安全态势,并形成各类安全监测分析报告。
根据功能要求,安全监测分析系统的软件结构由下至上,由三个层次组成:采集层、分析层、展示层。采集层负责从安全设备中收集这些设备产生的安全日志,此外还从交换机镜像流量中分析收集攻击事件和敏感信息。采集层收集到的数据按照指定的筛选要求进行筛选后发送给分析层进行集中的存储和分析。由于安全设备发送过来的日志采用的协议不同,报文内部的格式也不同,需要采集端能够对其进行识别和预处理,即对安全事件进行标准化处理。分析层对采集到的海量数据进行集中的存储和分析,以提取出主要关注的信息。分析层实现数据接收、实时分析、深度分析的功能。其中包括事件准确定位、时间关联分析、知识库、安全态势分析、告警生成、存储索引、数据统计、人工分析与报告等。展示层提供人机交互接口,将分析结果以直观的形式展示给安全管理员,并接受安全管理员的操作指令。
(二)系统功能模块设计
本论文所设计的网络信息安全监管系统,也采用分散式管理的模式,以客户端和服务器构成整个局域网信息的安全监管模式。
以客户端与服务器结构的设计,安全监管系统的客户端,是安装于远端上的监控程序,它的主要的功能需求为以下四方面:
1.提供管理对各组件的安装、删除、及运行参数的设置与维护;
2.提供所有监控内容的查看并发给远端监控服务器;
3.提供实时信息捕获;
4.提供对服务器监控端的自动升级,升级不成功可恢复最后一次有效版本。
安全监管系统的服务器端,是安装于本地的、可对远端监控程序进行有效管理与信息接收,它的主要功能需求为以下几方面:
1.提供实时显示服务器的监控内容;
2.提供有效的远端控制;
3.提供对远端服务器监控端的升级管理;
4.支持多管理员管理;
5.提供有效的数据双重备份功能。
(三)系统的具体实现
1.网络安全监管系统客户端设计
客户端的设计为三个部分:状态扫描模块、信息收发模块和参数管理工具。
(1)状态扫描模块:是用于状态扫描的驱动。它将为整个系统提供与服务器进行通信的模块、信息收发模块和参数管理工具。
(2)信息收发模块:它将与状态扫描模块进行通信,并将收集和整理好的数据发给远端的监控管理端。
(3)参数管理工具:可以进行参数设定的工具。
当信息收发模块收集到信息时,转发到远程控制程序上,但是有个问题会出现,当一台机器发送信息时,远程服务端可以正常接收到信息,但当同时有一千个这样的信息从不同的服务器传来时,控制端程序将会面临巨大的负载,最重要的是可能会丢掉重要的信息,如远端的告警信息。所以对于要发送的信息,在发送和接收时都需要进行一些处理,它们将被分开来发送,并且发送到不同的服务器程序上。
2.网络安全监管系统服务器设计
服务器端设计成一个C/S结构,每个管理员所使用的将是一个可登录的管理客户端程序,但是这里的服务器将不是一个,而是多个,因为多个服务器端程序将用来处理不同的信息。服务器端可以处理多种形式的数据,有效减少单机的通信负载、降低整体结构的处理难度,从而对于不同权限的管理员进行管理。管理员将使用管理终端程序进行登录后在不同的服务器端上进行相应的数据查询,这样的结构可以使设计与实现变得容易。
3.网络安全监管系统通信方式设计
为了解决远程通信的问题,在发送端会将信息分类处理,并发给不同的接收端,这样作的最大好处在于,可以减少处理难度和降低通信负载。信息可以分为三大类:
(1)用于管理的状态信息;
(2)用于管理区域的信息;
(3)告警信息。
对于在多管理员管理时同样会发挥良好的结构优势。当有多个管理员同时在管理不同的服务器时,他们只需按其所需与这些服务器进行交互,例如一个管理员如果想查看局域网在线人数、局域网资源占用等等信息时,只需要与服务器进行通信,而维护人员在检查服务器时它可能只会在状态服务器进行查看,而在告警出现时告警服务器会保存告警信息,并发出警告等待人员处理。
四、结语
在信息化时代的今天,网络十分容易受到非法攻击和侵入,为此对于网络安全的监管显得十分重要,本论文对于网络信息安全监管系统的设计研究,对于网络信息安全监理与管理是一次有益的尝试与探索,当然,其中还有很多的技术问题有待于广大技术工作人员的共同努力,才能够最终实现我国网络信息安全的有效监理与管理,进而保障信息安全。
参考文献:
2、计算机科学与技术的应用现状与未来趋势
3、计算机信息处理技术在大数据时代背景下的渗透
4、计算机基础课程应用教学思考和感悟
5、中职中药专业计算机应用基础教学改革实践
6、浅谈虚拟现实技术在中职计算机基础教学中应用的必要性
7、计算机图像处理技术在UI设计中的应用
8、计算机生成兵力行为建模发展现状
9、智慧档案馆计算机网络系统方案设计
10、浅谈如何提高计算机网络的安全稳定性
11、计算机应用技术与信息管理的整合探讨
12、计算机科学技术小组合作学习研究
13、计算机科学与技术有效教学策略研究 >>>>>计算机网络和系统病毒及其防范措施毕业论文
14、互联网+背景下高校计算机教学改革的认识
15、艺术类应用型本科高校"计算机基础"课程教学改革研究
16、计算机技术在石油工业中应用的实践与认识
17、计算机技术在电力系统自动化中的应用研究
18、微课在中职计算机基础教学中的应用探析
19、课程思政在计算机基础课程中的探索
20、计算机服务器虚拟化关键技术探析
21、计算机网络工程安全存在问题及其对策研究
22、人工智能在计算机网络技术中的运用
23、慕课在中职计算机应用基础教学中的运用
24、浅析如何提高高校计算机课程教学效率
25、项目教学在计算机基础实训课程中的应用分析
26、高职计算机网络教学中项目式教学的应用
27、计算机信息安全技术在校园网络的实践思考
28、大数据背景下的计算机网络安全现状及优化策略
论文关键词:计算机,网络安全,安全管理,密钥安全技术
当今社会.网络已经成为信息交流便利和开放的代名词.然而伴随计算机与通信技术的迅猛发展.网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁.网络安全已变成越来越棘手的问题在此.笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
1网络信息安全的内涵
网络安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见.网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性:动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
2网络信息安全的现状
中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,中国网民数达到2.98亿.手机网民数超1亿达1.137亿。
Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示.2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项.达20.9%.其次病毒造成的影响还表现为“数据受损或丢失”18%.“系统使用受限”16.1%.“密码被盗”13.1%.另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%。
3安全防范重在管理
在网络安全中.无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理管理是多方面的.有信息的管理、人员的管理、制度的管理、机构的管理等.它的作用也是最关键的.是网络安全防范中的灵魂。
在机构或部门中.各层次人员的责任感.对信息安全的认识、理解和重视程度,都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与.此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去.则成本会更低、效率会更高那么做好网络信息安全管理.至少应从下面几个方面人手.再结合本部门的情况制定管理策略和措施:
①树立正确的安全意识.要求每个员工都要清楚自己的职责分工如设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
2)有了明确的职责分工.还要保障制度的贯彻落实.要加强监督检查建立严格的考核制度和奖惩机制是必要的。
③对网络的管理要遵循国家的规章制度.维持网络有条不紊地运行。
④应明确网络信息的分类.按等级采取不同级别的安全保护。
4网络信息系统的安全防御
4.1防火墙技术
根据CNCERT/CC调查显示.在各类网络安全技术使用中.防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜.易安装.并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况.以此来实现网络的安全保护。
4.2认证技术
认证是防止主动攻击的重要技术.它对开放环境中的各种消息系统的安全有重要作用.认证的主要目的有两个:
①验证信息的发送者是真正的主人
2)验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。
4.3信息加密技术
加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密.两种方法各有所长.可以结合使用.互补长短。
4.4数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中.然后通过公开信息的传输来传递机密信息对信息隐藏而吉.可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在.难以截获机密信息.从而能保证机密信息的安全随着网络技术和信息技术的广泛应用.信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向.它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中.但不影响原内容的价值和使用.并且不能被人的感觉系统觉察或注意到。
4.5入侵检测技术的应用
1 引言
随着网络的广泛普及和应用,政府、军队大量的机密文件和重要数据,企业的商业秘密乃至个人信息都存储在计算机中,一些不法之徒千方百计地“闯入”网络,窃取和破坏机密材料及个人信息。据专家分析,我国80%的网站是不安全的,40%以上的网站可以轻易的被入侵。网络给人们生活带来不愉快和尴尬的事例举不胜举:存储在计算机中的信息不知不觉被删除;在数据库中的记录不知道何时被修改;正在使用的计算机却不知道何故突然“死机”等等诸如此类的安全威胁事件数不胜数。因此,网络信息的安全性具有举足轻重的作用。
本论文主要针对分布式网络的信息安全展开分析讨论,通过对分布式网络安全管理系统的设计研究,以期找到可供借鉴的提高分布式网络信息安全水平的防范手段或方法,并和广大同行分享。
2 网络安全管理技术概述
在当今这个信息化社会中,一方面,硬件平台,操作系统平台,应用软件等IT系统已变得越来越复杂和难以统一管理;另一方面,现代社会生活对网络的高度依赖,使保障网络的通畅、可靠就显得尤其重要。这些都使得网络管理技术成为网络安全技术中人们公认的关键技术。
网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重,网络安全管理还逐渐成为网络管理技术中的一个重要分支,正受到业界及用户的日益深切的广泛关注。
目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用,但是这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的“安全孤岛”,各种安全产品彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥。
从网络安全管理员的角度来说,最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态,对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。但是,一方面,由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂,异构性、差异性非常大,而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法,并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等),工作复杂度非常之大。另一方面,应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位,其对应用系统的使用权限也不尽相同,网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。
另外,对大型网络而言,管理与安全相关的事件变得越来越复杂。网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析,才能发现新的或更深层次的安全问题。因此,用户的网络管理需要建立一种新型的整体网络安全管理解决方案—分布式网络安全管理平台来总体配置、调控整个网络多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,从而有效简化网络安全管理工作,提升网络的安全水平和可控制性、可管理性,降低用户的整体安全管理开销。
3 分布式网络安全管理系统的设计
3.1 分布式网络安全管理系统架构分析
随着Internet技术的发展,现在的企业网络规模在不断扩大,设备物理分布变得十分复杂,许多企业都设有专门的网络管理部门,来应对企业网络中可能出现的问题,以保证企业业务的正常运行。这些网络管理部门的工作人员可能会根据需要分布在不同的业务部门中,甚至不同的城市中,这就导致原有的集中式网络设备平台管理已经不能满足企业的需求。复合式网络安全管理平台必须能够实现远程、多用户、分级式管理,同时要保证整个平台系统的安全性。
针对以上需求,本网络安全管理平台设计为一种网络远程管理系统,采取服务器和客户端的模式。
(1) 分布式网络安全管理平台服务器端
分布式网络安全管理平台的服务器端是整个管理系统的核心,它位于要管理的企业网络内部的一台服务器上,掌控着所有的网络资源,对被管网络资源的操作都是由平台服务器端直接完成。
分布式网络安全管理平台的各种管理功能模块是相对独立存在的,而服务器端相当于一个大容器,当需要某种管理功能时,就可以通过一定的方法,将管理模块动态加载到服务器端上。管理模块完成管理的具体功能,管理模块既可以单独完成某种管理功能,也可以通过服务器端提供的服务,协作完成特定的管理功能。服务器端还提供了一个公共的通信接口,通过这个通信接口,服务器端上的管理功能模块就可以实现与客户端的交互。
(2) 分布式网络安全管理平台客户端
客户端相当于一个个企业网络的管理员,这些管理员己经被分配给不同的用户名和密码,从而对应于不同的平台操作权限。管理员可以通过局域网或者Internet登陆到管理平台的服务器。_服务器端实现网络安全管理平台的各种管理功能。每当有用户登陆到服务器时,首先服务器端有一个用户鉴别和权限判断,通过后,根据权限不同的平台管理信息被传送回客户端,客户端将这些管理信息显示出来。如果管理员在客户端进行了某些操作,客户端会将这些操作信息发送到服务器,服务器对用户和操作进行权限鉴定,通过后,服务器就调用相应的管理功能模块来实现操作,并将结果返回给客户端,客户端进行相应的显示。
3.2 分布式网络的安全策略管理设计
策略管理的目标是可以通过集中的方式高效处理大量防火墙的策略配 置问题。随着网络规模与业务模式的不断增长变化,对IT基础设施的全局统一管理越来越成为企业IT部门的重要职责;策略的集中管理更有效的描述了全网设备的基本情况,便于设备间的协作、控制,能够提高问题诊断能力,提高运营的可靠性;另一方面,也极大的减轻了管理员的工作强度,使其工作效率大幅度提高。
策略管理并不是系统中孤立的模块,它与节点管理、权限管理有着紧密的联系。由于节点管理将全网划分为若干管理域,每个管理域中还有相应的下级组织部门,因此策略管理首先与节点信息相联系,这也就隐含了策略的层级配置管理。
另外,策略是由某个具有一定权限的管理员对某个管理域或设备制订的,因此策略是否能定制成功需要调用权限管理中的功能加以判定,因此隐含了策略的可行性管理。全网策略被统一存储,结合节点管理,策略存储有它自身的结构特点,这些属于策略的存储管理。
策略按照一定的时间、顺序被部署到具体的设备上,无论策略是对管理域定制的,还是对设备制订的,所有相关的策略最终都要被下发的设备中去,下发的方式能够根据实际网络拓扑的变化而做适应性调整,这些属于策略的管理。
3.3 分布式网络信息安全构建技术
(1) 构筑入侵检测系统(IDS)
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
(2) 构筑入侵防御(IPS)
入侵防御是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御系统在网络边界检查到攻击包的同时将其直接抛弃,则攻击包将无法到达目标,从而可以从根本上避免黑客的攻击。
(3) 采用邮件防病毒服务器
邮件防病毒服务器安装位置一般是邮件服务器与防火墙之间。邮件防病毒软件的作用:对来自INTERNTE的电子邮件进行检测,根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件。
4 结语
