序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)����,特別為您篩選了11篇網(wǎng)絡(luò)安全設(shè)計(jì)論文范文。如果您需要更多原創(chuàng)資料�����,歡迎隨時(shí)與我們的客服老師聯(lián)系��,希望您能從中汲取靈感和知識(shí)�����!
篇1
網(wǎng)絡(luò)安全協(xié)議這門課程涉及的重要知識(shí)點(diǎn)包括:網(wǎng)絡(luò)安全協(xié)議的基本概念、TCP/IP協(xié)議簇的安全隱患����、在不同協(xié)議層次上的安全協(xié)議的原理和實(shí)現(xiàn)����、不同層次安全協(xié)議之間的比較����、無線網(wǎng)絡(luò)安全協(xié)議的原理和實(shí)現(xiàn)、安全協(xié)議的形式化分析基本方法等��。網(wǎng)絡(luò)安全協(xié)議無論從教學(xué)設(shè)計(jì)����、驗(yàn)證����,還是如何有效地應(yīng)用來看都非常復(fù)雜��。即使所采用的密碼算法很強(qiáng)大��,協(xié)議依然有可能受到攻擊。網(wǎng)絡(luò)上的重放攻擊����、中間人攻擊能夠繞過對(duì)密碼算法的攻擊����,非常難以防范�,此外����,攻擊者還有可能利用安全協(xié)議的消息格式進(jìn)行“類型缺陷(typeflaw)”攻擊�。由于網(wǎng)絡(luò)安全協(xié)議的復(fù)雜性��,在實(shí)際教學(xué)過程中,若只是由老師空洞的進(jìn)行講解�����,大多數(shù)學(xué)生往往很難跟上講課的進(jìn)度���,進(jìn)而失去對(duì)此門課程的興趣�。目前常用的網(wǎng)絡(luò)安全協(xié)議包括PPTP/L2TP����、IPSec�����、SSL/TSL��、HTTPS�、SSH�����、SNMPv3、S/MIME�、�、PGP���、Kerberos�����、PKI��、無線網(wǎng)安全協(xié)議(IEEE802.11i,WTLS)等�。讓學(xué)生通過實(shí)踐教學(xué)活動(dòng)��,理解并掌握安全協(xié)議的理論及應(yīng)用�����,并在實(shí)踐中增強(qiáng)自身的動(dòng)手能力、創(chuàng)新能力是本課程的主要教學(xué)目標(biāo)��。本課程的實(shí)踐教學(xué)將教學(xué)內(nèi)容劃分為4個(gè)階段,認(rèn)知階段����、體驗(yàn)階段�����、應(yīng)用階段及總結(jié)提高階段�。通過這4個(gè)階段,使學(xué)生由表及里����、由淺入深、由學(xué)到用�����、由用到創(chuàng),全面掌握各主要協(xié)議的原理���、應(yīng)用及教學(xué)設(shè)計(jì)����;同時(shí)�����,通過對(duì)4個(gè)階段的劃分��,更好地滿足不同層次學(xué)生的需求,使學(xué)生學(xué)得更深���、更透,用的更順����、更廣���,其創(chuàng)新思路也更易被激發(fā)和實(shí)現(xiàn)。
2SSL協(xié)議的實(shí)踐教學(xué)實(shí)施
2.1認(rèn)知階段
本階段的實(shí)踐教學(xué)內(nèi)容是通過利用Wireshark抓包分析工具軟件����,獲取SSL/TSL協(xié)議通信流量,直觀地觀看SSL/TSL協(xié)議的結(jié)構(gòu)�、分析SSL/TSL協(xié)議的建立過程��。在訪問222.249.130.131時(shí),采用Wireshark抓取的部分通信流量�,如圖1所示��。第7~9條消息��,完成TCP的連接?����?蛻舳耸紫仍谀扯丝谙蚍?wù)器端的443端口發(fā)出連接請(qǐng)求,完成三次握手����。第10~12條消息,客戶端首先發(fā)送Client-Hello等消息����,請(qǐng)求建立SSL/TSL會(huì)話連接�;然后�����,服務(wù)器端發(fā)送Server-Hello�����、證書等消息���;接著客戶端發(fā)送ClientKeyExchange�、ChangeCipherSpec等消息���。第13~15條消息���,服務(wù)器端發(fā)出的響應(yīng)和ChangeCipherSpec消息��,以及客戶端發(fā)出應(yīng)答響應(yīng)消息。至此表明連接已準(zhǔn)備好�,可以進(jìn)行應(yīng)用數(shù)據(jù)的傳輸����。第16條消息是由客戶端發(fā)出的與另外一個(gè)服務(wù)器端的連接請(qǐng)求消息,與所討論內(nèi)容無關(guān)�。這種情形�,在抓包分析時(shí)����,經(jīng)常會(huì)遇到�,不必受此干擾�����。第17~18條消息,客戶端和服務(wù)器端分別關(guān)閉連接��。以后再進(jìn)行SSL/TSL連接時(shí)���,不必產(chǎn)生新的會(huì)話ID�����,也不必交換證書、預(yù)主密鑰��、密碼規(guī)格(cipher-spec)等會(huì)話參數(shù)����。每一條消息都可以進(jìn)一步打開��,觀看更細(xì)節(jié)的內(nèi)容�����。ClientHello消息的內(nèi)容是對(duì)相應(yīng)的二進(jìn)制的內(nèi)容的一個(gè)分析解釋�����,如圖2所示。其他消息的格式和內(nèi)容也都可以清晰地呈現(xiàn)���,在此不一一列舉。通過對(duì)SSL/TSL流量的抓取分析����,可以很直觀地讓學(xué)生掌握如下知識(shí)點(diǎn):(1)SSL/TLS協(xié)議是建立在TCP連接之上的安全協(xié)議。(2)SSL/TSL連接和會(huì)話的概念����,以及連接和會(huì)話的建立過程�����。(3)握手協(xié)議的執(zhí)行過程����,各消息的先后次序,及消息的格式和內(nèi)容。(4)重要的消息參數(shù)及其作用�����,如sessionID��、數(shù)字證書、加密組件(Ciphersuite)�、加密預(yù)主密鑰(Premaster)等。需要說明的是����,上述內(nèi)容沒有涉及客戶端發(fā)送的證書消息,只能通過證書完成客戶端對(duì)服務(wù)器的認(rèn)證���,沒有服務(wù)器對(duì)客戶端的認(rèn)證。事實(shí)上��,SSL/TSL是可以通過數(shù)字證書進(jìn)行雙向認(rèn)證的��。
2.2體驗(yàn)階段
經(jīng)過認(rèn)知階段的理論與實(shí)踐學(xué)習(xí)后�����,需要讓學(xué)生了解和掌握SSL協(xié)議應(yīng)用在哪里?如何應(yīng)用?可以有效防范哪些安全威脅?本階段的實(shí)踐教學(xué)內(nèi)容通過配置IIS服務(wù)器中的SSL/TSL���,為Web服務(wù)器和瀏覽器之間建立一個(gè)安全的通信通道,使學(xué)生學(xué)習(xí)和掌握SSL在Web的應(yīng)用中的配置和作用��,從而對(duì)SSL協(xié)議的應(yīng)用有一個(gè)直接的感受和體驗(yàn)。學(xué)生完成IIS服務(wù)器中的SSL/TLS配置�,首先需要完成CA的安裝與配置[3],用于數(shù)字證書的生成���、發(fā)放和管理���;然后,分別為IISWeb服務(wù)器和客戶端申請(qǐng)、安裝證書���;最后在服務(wù)器上配置SSL��,使客戶端與服務(wù)器建立SSL/TSL連接���,如圖3所示�。該階段的實(shí)踐教學(xué),除加深學(xué)生對(duì)SSL/TSL的理解����,還使他們學(xué)會(huì)了如何進(jìn)行CA服務(wù)器的圖3建立https協(xié)議的訪問配置����、Web服務(wù)器和客戶端的證書的申請(qǐng)�,以及CA服務(wù)器對(duì)證書的頒發(fā)���、安裝管理等。
2.3應(yīng)用階段
通過前2個(gè)階段的實(shí)驗(yàn)教學(xué)�,很好地配合了SSL的理論教學(xué)�,使學(xué)生對(duì)SSL/TSL協(xié)議有了更深的認(rèn)識(shí)和體驗(yàn)。本階段的實(shí)驗(yàn)教學(xué)內(nèi)容��,將通過利用OpenSSL��,實(shí)現(xiàn)一個(gè)簡(jiǎn)單的SSL服務(wù)器端和客戶端[4]�,使學(xué)生具備利用SSL/TLS協(xié)議進(jìn)行通信的編程能力。OpenSSL是一個(gè)開放源代碼的SSL協(xié)議實(shí)現(xiàn)���,具有一個(gè)強(qiáng)大的支撐函數(shù)庫�����,主要包括三大部分���,密碼算法庫、SSL協(xié)議庫和OpenSSL應(yīng)用程序�。OpenSSL提供了一系列的封裝函數(shù),可以方便實(shí)現(xiàn)服務(wù)器和客戶端的SSL通信��。該階段的工作量較大���,通常在教師指導(dǎo)下���,由學(xué)生分組自行完成��。(1)OpenSSL的編譯安裝��。這一步驟涉及下載和安裝多個(gè)軟件��,版本也各不相同��。包括不同版本的Openssl�、Perl��、VC++等����。一般建議學(xué)生采用自己熟悉的系統(tǒng)和開發(fā)平臺(tái),安裝新版的OpenSSL��。(2)VC++編譯環(huán)境的設(shè)置�����。目前的參考資料大都基于VC++6.0�,我們采用的是VisualC++2010開發(fā)環(huán)境。網(wǎng)上有許多現(xiàn)成的源代碼�,但一般很難編譯、調(diào)試或執(zhí)行通過�����。我們建議學(xué)生可以參考已有的源代碼��,但一定要通過自己的編譯��、調(diào)試����、改正,得到滿意的運(yùn)行結(jié)果����。(3)生成服務(wù)器和客戶端數(shù)字證書。SSL可以通過數(shù)字證書實(shí)現(xiàn)服務(wù)器和客戶端之間的雙向或單向認(rèn)證���。我們建議學(xué)生利用OpenSSL的證書生成命令行工具���,自行完成一遍。這一步驟若出現(xiàn)問題�,將直接影響以后程序的順利執(zhí)行。(4)SSL/TLS編程。首先建議學(xué)生采用OpenSSL的BIO連接庫�,建立一個(gè)簡(jiǎn)單的服務(wù)器和客戶端,僅能完成簡(jiǎn)單的TCP握手連接和通訊�����;然后��,再加入SSL握手功能�����,實(shí)現(xiàn)一個(gè)真正意義上的簡(jiǎn)單的SSL服務(wù)器和客戶端�����。SSL/TLS客戶端和服務(wù)器端程序運(yùn)行結(jié)果�,分別如圖4和圖5所示。通過該階段的實(shí)驗(yàn)教學(xué)���,一方面使學(xué)生熟悉如何利用OpenSSL工具編程�,實(shí)現(xiàn)基于SSL的安全通信�;另一方面使學(xué)生了解和掌握OpenSSL在安全方面的廣泛應(yīng)用,最終使學(xué)生在畢業(yè)設(shè)計(jì)和未來工作中�����,有足夠的能力提出和實(shí)現(xiàn)應(yīng)用安全方面的解決方案�。
2.4總結(jié)
提高階段通過前3個(gè)階段的實(shí)踐教學(xué)內(nèi)容,再結(jié)合課堂上的理論教學(xué)�,學(xué)生對(duì)SSL/TSL協(xié)議的原理、實(shí)現(xiàn)和應(yīng)用都有了較深的認(rèn)識(shí)�����。由于有許多研究和實(shí)踐活動(dòng)受各種條件所限���,不可能全部列入教學(xué)實(shí)踐的內(nèi)容��,這個(gè)階段的主要任務(wù)是讓學(xué)生通過他人對(duì)SSL/TSL協(xié)議的研究和應(yīng)用��,了解SSL/TSL協(xié)議在實(shí)際應(yīng)用中還存在哪些問題�����、如何進(jìn)一步完善��,其目的是訓(xùn)練學(xué)生具備通過別人的研究和實(shí)踐活動(dòng)進(jìn)行高效學(xué)習(xí)的能力�,同時(shí)也讓學(xué)生了解一個(gè)看似成熟的協(xié)議���,還存在一系列的問題���,這些問題有的是協(xié)議本身存在的����,有些是在實(shí)際應(yīng)用中產(chǎn)生的����。我們通過提出3方面問題,讓學(xué)生去通過查閱相關(guān)資料���,自己進(jìn)行總結(jié)�����。①SSL/TSL協(xié)議的存在哪些不足��?②將SSL/TSL協(xié)議與應(yīng)用層和網(wǎng)絡(luò)層的安會(huì)協(xié)議進(jìn)行比較��,有哪些優(yōu)劣�?③通過一個(gè)實(shí)際的SSL/TSL協(xié)議的應(yīng)用案例�����,說明SSL/TSL在實(shí)際應(yīng)用中還存在哪些局限,應(yīng)如何進(jìn)行解決���?教師可向?qū)W生推薦幾篇參考文獻(xiàn)[5-6]同時(shí)鼓勵(lì)學(xué)生自己查詢更多有價(jià)值的文獻(xiàn)。在此階段��,教師和學(xué)生不斷進(jìn)行交流和討論����,對(duì)學(xué)生提出的問題以及業(yè)內(nèi)新出現(xiàn)的熱點(diǎn)問題,教師要通過不斷的學(xué)習(xí)和提高給學(xué)生一個(gè)滿意的答案����。例如2014曝出的Heartbleed漏洞,涉及OpenSSL的開源軟件包���,而該軟件包被網(wǎng)銀�、在線支付����、電商網(wǎng)站、門戶網(wǎng)站���、電子郵件等重要網(wǎng)站廣泛使用���,所以漏洞影響范圍廣大�。學(xué)生們對(duì)此漏洞非常有興趣�����,作為教師要盡快查閱有關(guān)資料�����,了解此漏洞的產(chǎn)生的原因�、有何危害、如何補(bǔ)救等���。此漏洞雖然是OpenSSL的開源軟件包程度存在的問題所導(dǎo)致的���,與SSL/TSL協(xié)議本身無關(guān),但是該漏洞的出現(xiàn)���,提醒我們即使協(xié)議本身是安全的�,在實(shí)現(xiàn)協(xié)議的過程中仍可能出現(xiàn)不安全的因素��,導(dǎo)致安全漏洞的產(chǎn)生�。
3實(shí)踐教學(xué)效果評(píng)價(jià)
實(shí)踐教學(xué)方案的教學(xué)設(shè)計(jì)是否可行和有效�,需要在實(shí)際教學(xué)過程中進(jìn)行檢驗(yàn)����。該實(shí)踐教學(xué)方案是在多年教學(xué)基礎(chǔ)上不斷總結(jié)而教學(xué)設(shè)計(jì)的,并已在2013和2014年度的網(wǎng)絡(luò)安全協(xié)議課程的教學(xué)中進(jìn)行了實(shí)施�。我們根據(jù)學(xué)生的反饋、表現(xiàn)以及實(shí)際教學(xué)效果����,對(duì)方案的內(nèi)容�����、難度以及方法也做了相應(yīng)的調(diào)整�。在方案實(shí)施過程中,教師要多與學(xué)生溝通����,對(duì)所布置的作業(yè)認(rèn)真檢查,關(guān)注并統(tǒng)計(jì)學(xué)生是否有興趣����、是否努力,學(xué)生的技能是否得以改善����,學(xué)生完成的情況��、學(xué)生的滿意度等各項(xiàng)指標(biāo)����。從對(duì)各項(xiàng)指標(biāo)的統(tǒng)計(jì)來看���,大部分學(xué)生對(duì)該實(shí)踐教學(xué)方案比較認(rèn)同����,也取得了很好的效果�,其中有幾位學(xué)生還在畢業(yè)設(shè)計(jì)中選擇了相關(guān)的畢測(cè)試。上述文檔將整個(gè)測(cè)試過程顯性化��,實(shí)現(xiàn)了對(duì)缺陷解決過程的監(jiān)控�,有助于學(xué)生明確缺陷狀態(tài),評(píng)估所報(bào)缺陷的準(zhǔn)確性�����,完善現(xiàn)有圖式��,促成自我反思與實(shí)踐反饋。測(cè)試所涉及的文檔和源碼都將編號(hào)歸檔����,統(tǒng)一存放于配置管理服務(wù)器,歸檔的文檔被凍結(jié)�,不允許修改。這些文件記錄了缺陷的整個(gè)解決過程����,為后期分析問題、完善解決方案�、改進(jìn)工作流程、反思教學(xué)設(shè)計(jì)提供了重要依據(jù)�����。
篇2
目前�����,網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視�����,而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位�、政府機(jī)關(guān)和高等院校的各種計(jì)算機(jī)網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴(kuò)大�,網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展,同時(shí)出現(xiàn)了若干問題���,例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題��、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控問題����、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題���,以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲(chǔ)和使用問題等等�。網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個(gè)關(guān)鍵的組成部分���,從信息安全管理的方向來看��,網(wǎng)絡(luò)安全管理涉及到整個(gè)企業(yè)的策略規(guī)劃和流程�、保護(hù)數(shù)據(jù)需要的密碼加密����、防火墻設(shè)置、授權(quán)訪問�����、系統(tǒng)認(rèn)證、數(shù)據(jù)傳輸安全和外界攻擊保護(hù)等等�����。在實(shí)際應(yīng)用中����,網(wǎng)絡(luò)安全管理并不僅僅是一個(gè)軟件系統(tǒng),它涵蓋了多種內(nèi)容�,包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理��、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控等多個(gè)方面��。
防火墻技術(shù)
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進(jìn)行出入��,是一個(gè)控制經(jīng)過防火墻進(jìn)行網(wǎng)絡(luò)活動(dòng)行為和數(shù)據(jù)信息交換的軟件防護(hù)系統(tǒng)�����,目的是為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯����。防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息,而且其具有一定程度的抗外界攻擊能力�����,所以可以作為企業(yè)不同網(wǎng)絡(luò)之間���,或者多個(gè)局域網(wǎng)之間進(jìn)行數(shù)據(jù)信息交換的出入接口�����。防火墻是保證網(wǎng)絡(luò)信息安全���、提供安全服務(wù)的基礎(chǔ)設(shè)施,它不僅是一個(gè)限制器��,更是一個(gè)分離器和分析器�,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換,從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全��。將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因?yàn)閭鹘y(tǒng)的子網(wǎng)系統(tǒng)并不十分安全��,很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù)���,更容易受到網(wǎng)絡(luò)的攻擊和竊聽�����。目前�����,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議�����,而TCP/IP的制定并沒有考慮到安全因素���,防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題����。
1入侵檢測(cè)技術(shù)入侵檢測(cè)是一種增強(qiáng)系統(tǒng)安全的有效方法����。其目的就是檢測(cè)出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)。通過對(duì)系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評(píng)估�,并根據(jù)評(píng)價(jià)結(jié)果來判斷行為的正常性��,從而幫助系統(tǒng)管理人員采取相應(yīng)的對(duì)策措施�����。入侵檢測(cè)可分為:異常檢測(cè)、行為檢測(cè)��、分布式免疫檢測(cè)等�。
2系統(tǒng)設(shè)計(jì)目標(biāo)該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足,提出一種通用的�����、可擴(kuò)展的����、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng),以多層網(wǎng)絡(luò)架構(gòu)的安全防護(hù)方式���,將身份認(rèn)證�、入侵檢測(cè)�����、訪問控制等一系列網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中�,使得這些網(wǎng)絡(luò)安全防護(hù)技術(shù)能夠相互彌補(bǔ)、彼此配合�,在統(tǒng)一的控制策略下對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測(cè)和監(jiān)控�����,從而形成一個(gè)分布式網(wǎng)絡(luò)安全防護(hù)體系��,從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性����、實(shí)用性和開放性。
系統(tǒng)原理框圖
該文設(shè)計(jì)了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)。
1系統(tǒng)總體架構(gòu)網(wǎng)絡(luò)安全管理中心作為整個(gè)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分�,能夠在同一時(shí)間與多個(gè)網(wǎng)絡(luò)安全終端連接�����,并通過其對(duì)多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行管理����,還能夠提供處理網(wǎng)絡(luò)安全事件��、提供網(wǎng)絡(luò)配置探測(cè)器���、查詢網(wǎng)絡(luò)安全事件�����,以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能����。網(wǎng)絡(luò)安全是以分布式的方式�����,布置在受保護(hù)和監(jiān)控的企業(yè)網(wǎng)絡(luò)中�,網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集,以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的�����,并且與網(wǎng)絡(luò)安全管理中心相互連接���。網(wǎng)絡(luò)設(shè)備管理包括了對(duì)企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備����、設(shè)施的管理��。網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備����,對(duì)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行有效的安全管理��。
2系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件:包括了網(wǎng)絡(luò)安全事件采集組件����、網(wǎng)絡(luò)安全事件查詢組件�����、網(wǎng)絡(luò)探測(cè)器管理組件和網(wǎng)絡(luò)管理策略生成組件����。網(wǎng)絡(luò)探測(cè)器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實(shí)現(xiàn)對(duì)模塊進(jìn)行添加、刪除的功能�,它是到系統(tǒng)探測(cè)器模塊數(shù)據(jù)庫中進(jìn)行選擇,找出與功能相互匹配的模塊����,將它們添加到網(wǎng)絡(luò)安全探測(cè)器上。網(wǎng)絡(luò)安全事件采集組件是將對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中��。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行一系列操作的主要結(jié)構(gòu)��。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對(duì)輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進(jìn)行自動(dòng)查詢�,并將管理策略發(fā)送給網(wǎng)絡(luò)安全。系統(tǒng)網(wǎng)絡(luò)安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫、網(wǎng)絡(luò)探測(cè)器模塊數(shù)據(jù)庫����,以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫。網(wǎng)絡(luò)探測(cè)器模塊數(shù)據(jù)庫是由核心功能組件進(jìn)行添加和刪除的��,它主要是對(duì)安裝在網(wǎng)絡(luò)探測(cè)器上的功能模塊進(jìn)行存儲(chǔ)��。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對(duì)輸入的網(wǎng)絡(luò)安全事件進(jìn)行分析和統(tǒng)計(jì)�����,主要用于對(duì)各種網(wǎng)絡(luò)安全事件的存儲(chǔ)��。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對(duì)輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略�����,并且對(duì)各種策略進(jìn)行存儲(chǔ)�。
系統(tǒng)架構(gòu)特點(diǎn)
1統(tǒng)一管理�,分布部署該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對(duì)系統(tǒng)進(jìn)行部署和管理,并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求�����,將網(wǎng)絡(luò)安全分布地布置在整個(gè)網(wǎng)絡(luò)系統(tǒng)之中,然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上���,網(wǎng)絡(luò)安全管理中心可以自動(dòng)管理網(wǎng)絡(luò)安全對(duì)各種網(wǎng)絡(luò)安全事件進(jìn)行處理��。
2模塊化開發(fā)方式本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計(jì)方式�,如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時(shí)����,只需要對(duì)相應(yīng)的新模塊和響應(yīng)策略進(jìn)行開發(fā)實(shí)現(xiàn),最后將其加載到網(wǎng)絡(luò)安全中���,而不必對(duì)網(wǎng)絡(luò)安全管理中心�、網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)升級(jí)和更新�。
篇3
1.2對(duì)外部網(wǎng)絡(luò)攻擊的防護(hù)因連接到因特網(wǎng),不可避免地會(huì)受到外部網(wǎng)絡(luò)的攻擊��,通常的做法是安裝部署網(wǎng)絡(luò)防火墻進(jìn)行防護(hù)�。通過設(shè)置防護(hù)策略防止外部網(wǎng)絡(luò)的掃描和攻擊,通過網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT(NetworkAddressTranslation)等方式隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)�,防止其窺探,從而加強(qiáng)網(wǎng)絡(luò)的安全性�����。1.3員工上網(wǎng)行為的管控對(duì)于在辦公區(qū)內(nèi)的員工,要禁止其在工作期間做無關(guān)工作的網(wǎng)絡(luò)行為�����,如QQ聊天��、論壇發(fā)帖子�、炒股等,尤其禁止其玩征途等各類網(wǎng)絡(luò)游戲����。常用做法就是安裝網(wǎng)絡(luò)行為管理設(shè)備(應(yīng)用網(wǎng)關(guān))��,也有些企業(yè)會(huì)出于成本考慮安裝一些網(wǎng)絡(luò)管理類軟件�����,但若操作不當(dāng)���,很容易會(huì)造成網(wǎng)絡(luò)擁塞�,出現(xiàn)莫名其妙的故障�。
1.4對(duì)不同接入者權(quán)限的區(qū)分企業(yè)網(wǎng)絡(luò)中的接入者應(yīng)用目的是不相同的,有些必須接入互聯(lián)網(wǎng)�����,而有些設(shè)備不能接入互聯(lián)網(wǎng);有些是一定時(shí)間能接入�,一定時(shí)間不能接入等等,出于成本等因素考慮�����,不可能也沒必要鋪設(shè)多套網(wǎng)絡(luò)��。通常的做法是通過3層交換機(jī)劃分虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork)來區(qū)分不同的網(wǎng)段�����,與防火墻等網(wǎng)絡(luò)控制設(shè)備配合來實(shí)現(xiàn)有關(guān)功能��。
1.5安全審計(jì)功能通過在網(wǎng)絡(luò)旁路掛載的方式,對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽�,捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包,還原出完整的協(xié)議原始信息���,并準(zhǔn)確記錄網(wǎng)絡(luò)訪問的關(guān)鍵信息�,從而實(shí)現(xiàn)網(wǎng)絡(luò)訪問記錄�、郵件訪問記錄、上網(wǎng)時(shí)間控制���、不良站點(diǎn)訪問禁止等功能�����。審計(jì)設(shè)備安裝后不能影響原有網(wǎng)絡(luò)���,并需具有提供內(nèi)容安全控制的功能��,使網(wǎng)絡(luò)維護(hù)人員能夠及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等����,從而使網(wǎng)絡(luò)系統(tǒng)性能能夠得到有效改善�����。通常的做法就是安裝安全運(yùn)行維護(hù)系統(tǒng)SOC(SecurityOperationsCente)r���,網(wǎng)管員定時(shí)查看日志來分析網(wǎng)絡(luò)狀況,并制定相應(yīng)的策略來維護(hù)穩(wěn)定網(wǎng)絡(luò)的安全運(yùn)行�����。
.6外網(wǎng)用戶訪問內(nèi)部網(wǎng)絡(luò)公司會(huì)有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice)���,因辦公需要���,會(huì)到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料�,出于安全和便捷等因素考慮�����,需要借助虛擬專用網(wǎng)絡(luò)技術(shù)VPN(VirtualPrivateNetwork)來實(shí)現(xiàn)���。通常的做法是安裝VPN設(shè)備(應(yīng)用網(wǎng)關(guān))來實(shí)現(xiàn)�����。
2網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用
通過企業(yè)網(wǎng)絡(luò)安全分析����,結(jié)合中小企業(yè)網(wǎng)絡(luò)的實(shí)際需求進(jìn)行設(shè)計(jì)�����。該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)��。它集成了防病毒��、入侵檢測(cè)和防火墻等多種網(wǎng)絡(luò)安全防護(hù)功能,從而成為統(tǒng)一威脅管理UTM(UnifiedThreatManagement)綜合安全網(wǎng)關(guān)�。它是一種由專用硬件、專用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備�����,通過提供一項(xiàng)或多項(xiàng)安全功能����,將多種安全特性集成于一個(gè)硬件設(shè)備,構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)[2]�。通常,UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻����、網(wǎng)絡(luò)入侵檢測(cè)(防御)和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運(yùn)作���,有效降低操作管理難度,研發(fā)人員會(huì)從易于操作使用的角度對(duì)系統(tǒng)進(jìn)行優(yōu)化�����,提升產(chǎn)品的易用性并降低用戶誤操作的可能性����。對(duì)于沒有專業(yè)信息安全知識(shí)的人員或者技術(shù)力量相對(duì)薄弱的中小企業(yè)來說��,使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量����。在本案例中主要使用的功能有防火墻�����、防病毒�、VPN、流量控制��、訪問控制��、入侵檢測(cè)盒日志審計(jì)等��。網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來實(shí)現(xiàn)���。因其具有多個(gè)接口(即多個(gè)網(wǎng)卡)���,可通過設(shè)定接口組把辦公區(qū)、車間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段����;通過對(duì)不同網(wǎng)段設(shè)定不同的訪問規(guī)則,制定不同的訪問策略�����,來實(shí)現(xiàn)非軍事化區(qū)DMZ(demilitarizedzone)�、可信任區(qū)以及非信任區(qū)的劃分,從而有效增強(qiáng)網(wǎng)絡(luò)的安全性和穩(wěn)定性����。對(duì)于上網(wǎng)行為的管理,可以通過內(nèi)置UTM設(shè)備的功能來實(shí)現(xiàn)管控�����,并可以實(shí)現(xiàn)Web過濾以及安全審計(jì)功能����。,設(shè)定了辦公區(qū)和車間1可以訪問互聯(lián)網(wǎng)����,而車間2不能訪問互聯(lián)網(wǎng)�����。在辦公區(qū)和部分車間安裝無線AP,可方便人員隨時(shí)接入網(wǎng)絡(luò)�����。通過訪問密碼和身份認(rèn)證等手段��,可對(duì)接入者進(jìn)行身份識(shí)別�,對(duì)其訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行區(qū)分管控。市場(chǎng)上還有一些專用的上網(wǎng)行為管理設(shè)備�,有條件的單位可進(jìn)行安裝,用以實(shí)現(xiàn)對(duì)員工上網(wǎng)行為進(jìn)行更為精準(zhǔn)的管控�。對(duì)于出差在外地的人員和SOHO人員可在任何時(shí)間通過VPN客戶端,用事先分配好的VPN賬戶����,借助UTM設(shè)備的VPN功能,與總部建立VPN隧道�����,從而保證相互間通信的保密性���,安全訪問企業(yè)內(nèi)部網(wǎng)絡(luò)���,實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用���。
篇4
計(jì)算機(jī)網(wǎng)絡(luò)論文參考文獻(xiàn):
[1]李磊.基于計(jì)算機(jī)網(wǎng)絡(luò)病毒的主要特性及功能的分析與研究[J].山東工業(yè)技術(shù),2016���,(01):157.
[2]丁媛媛.計(jì)算機(jī)網(wǎng)絡(luò)病毒防治技術(shù)及如何防范黑客攻擊探討[J].赤峰學(xué)院學(xué)報(bào)(自然科學(xué)版)��,2012���,(08):41-42.
[3]羅婷婷.網(wǎng)絡(luò)侵害行為分析[J].湖北民族學(xué)院學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版).2015(04).
[4]劉海燕,黃睿�����,黃軒.基于主題爬蟲的漏洞庫維護(hù)系統(tǒng)[J].計(jì)算機(jī)與現(xiàn)代化.2014(08).
[5] 譚浩強(qiáng).C程序設(shè)計(jì)[M].4版.北京:清華大學(xué)出版社�����,2010.
[6] 未來教育.全國計(jì)算機(jī)等級(jí)考試模擬考場(chǎng)二級(jí)C[M].成都:電子科技大學(xué)出版社��,2015.
[7] 教育部考試中心.全國計(jì)算機(jī)等級(jí)考試二級(jí)教程-C語言程序設(shè)計(jì)[M].北京:高等教育出版社�,2002.
計(jì)算機(jī)網(wǎng)絡(luò)論文參考文獻(xiàn):
[1]姚渝春���,李杰�����,王成紅.網(wǎng)絡(luò)型病毒與計(jì)算機(jī)網(wǎng)絡(luò)安全[J].重慶大學(xué)學(xué)報(bào)(自然科學(xué)版)��,2003��,26(9).
[2]吉玲峰.網(wǎng)絡(luò)型病毒與計(jì)算機(jī)網(wǎng)絡(luò)安全[J].計(jì)算機(jī)光盤軟件與應(yīng)用�,2013(5).
[3]許江蘭.淺談網(wǎng)絡(luò)型病毒與計(jì)算機(jī)網(wǎng)絡(luò)安全[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2011(16).
[4]伍毅強(qiáng)醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備管理及維護(hù)策略研究[J].無線互聯(lián)科技��,2014�,1:199.
[5]汪忠樂醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的維護(hù)措施[J].無線互聯(lián)科技,2015����,07:55-56.
[6]張波.試論醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的管理措施和維護(hù)策略[J].科技創(chuàng)新導(dǎo)報(bào),2013����,24:29.
計(jì)算機(jī)網(wǎng)絡(luò)論文參考文獻(xiàn):
[1]李先宗.計(jì)算機(jī)網(wǎng)絡(luò)安全防御技術(shù)探究[J].電腦知識(shí)與技術(shù),2015(21):33-35.
[2]羅恒輝.計(jì)算機(jī)網(wǎng)絡(luò)信息與防御技術(shù)的應(yīng)用實(shí)踐芻議[J].信息與電腦���,2016(2):170-171.
[3]李軍.基于信息時(shí)代的網(wǎng)絡(luò)技術(shù)安全及網(wǎng)絡(luò)防御分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�����,2016(1):17-18.
[4]吳曉旭.計(jì)算機(jī)網(wǎng)絡(luò)安全的防御技術(shù)管窺[J].智能城市����,2016(4):120-121.
[5]彭龍.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系的構(gòu)建研究[J].科技廣場(chǎng),2016(5):94-98.
[6]阮彥鈞.計(jì)算機(jī)網(wǎng)絡(luò)安全隱患及防御策略探討[J].科技與創(chuàng)新�,2016(16):91-92.
篇5
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]張金輝,王衛(wèi)����,侯磊.信息安全保障體系建設(shè)研究.計(jì)算機(jī)安全,2012�,(8).
[2]肖志宏,楊倩雯.美國聯(lián)邦政府采購的信息安全保障機(jī)制及其啟示.北京電子科技學(xué)院學(xué)報(bào)�,2009,(3).
[3]沈昌祥.構(gòu)建積極防御綜合防范的信息安全保障體系.金融電子化�,2010,(12).
[4]嚴(yán)國戈.中美軍事信息安全法律保障比較.信息安全與通信保密����,2007,(7).
[5]楊紹蘭.信息安全的保障體系.圖書館論壇�����,2005,(2).
[6]侯安才���,徐瑩.建設(shè)網(wǎng)絡(luò)信息安全保障體系的新思路.現(xiàn)代電子技術(shù)����,2004����,(3).
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]王爽.探討如何加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全及防范[J].計(jì)算機(jī)光盤軟件與應(yīng)用���,2012(11).
[2]田文英.淺談?dòng)?jì)算機(jī)操作系統(tǒng)安全問題[J].科技創(chuàng)新與應(yīng)用�,2012(23).
[3]張曉光.試論計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患與解決對(duì)策[J].計(jì)算機(jī)光盤軟件與應(yīng)用����,2012(18).
[4]郭晶晶,牟勝梅����,史蓓蕾.關(guān)于某金融企業(yè)網(wǎng)絡(luò)安全應(yīng)用技術(shù)的探討[J].數(shù)字技術(shù)與應(yīng)用,2013����,12(09):123-125.
[5]王擁軍��,李建清.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)[J].信息安全與通信保密��,2013����,11(07):153-171.
[6]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡(luò)安全管理中的常見問題[J].計(jì)算機(jī)安全�,2013,11(07):152-160.
[7]周連兵��,張萬.淺議企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)[J].中國公共安全:學(xué)術(shù)版�����,2013���,10(02):163-175.
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]古田月.一場(chǎng)在網(wǎng)絡(luò)戰(zhàn)場(chǎng)上的較量與爭(zhēng)奪[N].中國國防報(bào)�����,2013-05-20(6).
[2]蘭亭.美國秘密監(jiān)視全球媒體[N].中國國防報(bào)���,2010-10-24(1).
[3]李志偉.法國網(wǎng)絡(luò)安全戰(zhàn)略正興起[N].人民日?qǐng)?bào)��,2013-01-01(3).
篇6
(保密的學(xué)位論文在解密后適用本授權(quán)書)
論文作者簽名: 導(dǎo)師簽名:
簽字日期: 年 月 日 簽字日期: 年 月 日
內(nèi) 容 摘 要
本文針對(duì)浙江廣播電視集團(tuán)網(wǎng)絡(luò)���,以及集團(tuán)網(wǎng)絡(luò)安全的建設(shè)、改造提出了相應(yīng)的解決方案�����,并且從網(wǎng)絡(luò)和網(wǎng)絡(luò)安全兩個(gè)主要方面進(jìn)行了相關(guān)的闡述����。首先��,對(duì)在本方案中可能使用到的計(jì)算機(jī)網(wǎng)絡(luò)��、及網(wǎng)絡(luò)安全的相關(guān)技術(shù)進(jìn)行了闡述�����、分析和比較����。然后,對(duì)集團(tuán)中的計(jì)算機(jī)網(wǎng)絡(luò)�����、以及網(wǎng)絡(luò)安全的現(xiàn)狀進(jìn)行調(diào)查研究。其次�,針對(duì)浙江廣播電視集團(tuán)的網(wǎng)絡(luò)現(xiàn)狀進(jìn)行了詳細(xì)的需求分析。最后����,提出了一套針對(duì)浙江廣播電視集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)、以及網(wǎng)絡(luò)安全實(shí)際情況的網(wǎng)絡(luò)�����、及網(wǎng)絡(luò)安全的詳細(xì)設(shè)計(jì)方案����。實(shí)施本方案之后,有助于提高其計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性��、以及網(wǎng)絡(luò)的安全性����。
關(guān)鍵詞:網(wǎng)絡(luò)系統(tǒng),數(shù)據(jù)安全�,網(wǎng)絡(luò)安全,局域網(wǎng)
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security�,LAN
目 錄
第一章 引言 1
第一節(jié) 選題背景與意義 1
第二節(jié) 集團(tuán)網(wǎng)絡(luò)安全發(fā)展與現(xiàn)狀 1
第三節(jié) 網(wǎng)絡(luò)安全相關(guān)技術(shù)介紹 2
第二章 集團(tuán)網(wǎng)絡(luò)安全系統(tǒng)概況及風(fēng)險(xiǎn)分析 4
第一節(jié) 集團(tuán)網(wǎng)絡(luò)機(jī)房環(huán)境 4
第二節(jié) 網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)備份 4
第三節(jié) 網(wǎng)絡(luò)安全弱點(diǎn)分析 5
第四節(jié) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 6
第三章 集團(tuán)網(wǎng)絡(luò)安全需求與安全目標(biāo) 7
第一節(jié) 網(wǎng)絡(luò)安全需求分析 7
第二節(jié) 網(wǎng)絡(luò)安全目標(biāo) 7
第四章 集團(tuán)網(wǎng)絡(luò)安全解決方案設(shè)計(jì) 9
第一節(jié) 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng) 9
第二節(jié) 電子郵件安全解決方案 9
第三節(jié) 遠(yuǎn)程數(shù)據(jù)傳輸?shù)募用?nbsp;10
第四節(jié) 服務(wù)器的安全防護(hù) 11
第五節(jié) 計(jì)算機(jī)病毒防護(hù)的加強(qiáng) 14
第六節(jié) 網(wǎng)絡(luò)攻擊及防護(hù)演示效果圖 15
第五章 結(jié)束語 17
參考文獻(xiàn) 18
致 謝 19
第一章 引言
第一節(jié) 選題背景與意義
隨著互聯(lián)網(wǎng)的普及度越來越高,全世界的計(jì)算機(jī)都能通過互聯(lián)網(wǎng)連接到一起�����。各種網(wǎng)上活動(dòng)的日益頻繁���,使得網(wǎng)絡(luò)安全問題日益突出�����,信息安全成為了一個(gè)重要的課題�����。各種各樣的網(wǎng)絡(luò)攻擊層出不窮,如何防止網(wǎng)絡(luò)攻擊��,保障各項(xiàng)業(yè)務(wù)的順利進(jìn)行��,為廣大用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境變得尤為重要�。
本論文針對(duì)浙江廣播電視集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)、以及網(wǎng)絡(luò)安全的實(shí)際解決方案�����。在實(shí)施了本方案之后,有助于提高集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性��、以及網(wǎng)絡(luò)的安全性����。認(rèn)真分析網(wǎng)絡(luò)面臨的威脅,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程��,是一個(gè)安全管理和技術(shù)防范相結(jié)合的工程��。首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視���,加強(qiáng)工作人員的責(zé)任心和防范意識(shí)����,自覺執(zhí)行各項(xiàng)安全制度�,在此基礎(chǔ)之上,再采用先進(jìn)的技術(shù)和產(chǎn)品�,構(gòu)造全方位的防御機(jī)制,使系統(tǒng)在最理想的狀態(tài)下運(yùn)行�����。
第二節(jié) 集團(tuán)網(wǎng)絡(luò)安全發(fā)展與現(xiàn)狀
圖1-1網(wǎng)絡(luò)拓?fù)鋱D
浙江廣播電視集團(tuán)作為省級(jí)廣電傳媒集團(tuán),現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)于2002年10月建成�,在集團(tuán)的運(yùn)作和管理中發(fā)揮著重要的作用。近年來隨著集團(tuán)業(yè)務(wù)的發(fā)展�����,網(wǎng)絡(luò)應(yīng)用的不斷深入�����,應(yīng)用領(lǐng)域較以前傳統(tǒng)的�、小型的業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)方向擴(kuò)展��。大部分子系統(tǒng)已接入網(wǎng)絡(luò)�����,遠(yuǎn)程數(shù)據(jù)傳輸���、集團(tuán)資料共享、動(dòng)態(tài)數(shù)據(jù)查詢���、流媒體數(shù)據(jù)業(yè)務(wù)��、集團(tuán)網(wǎng)站運(yùn)營等都在該網(wǎng)絡(luò)上傳輸�,整個(gè)網(wǎng)絡(luò)的用戶規(guī)模是原計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的數(shù)十倍。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大�、接入點(diǎn)數(shù)量的增多、內(nèi)部網(wǎng)絡(luò)中存在的安全隱患問題就會(huì)愈加突出��,安全日益成為影響網(wǎng)絡(luò)效能的重要問題�����,而互聯(lián)網(wǎng)所具有的開放性��、國際性和自由性在增加應(yīng)用自由度的同時(shí)�,對(duì)自身網(wǎng)絡(luò)的安全性提出了更高的要求。雖然廣電集團(tuán)前期的網(wǎng)絡(luò)建設(shè)有一定的安全措施��,但因?yàn)榫W(wǎng)絡(luò)復(fù)雜性的逐步提高�����,網(wǎng)絡(luò)中存在隱患的可能性以及由此產(chǎn)生的危害性也大大提高��,因此在網(wǎng)絡(luò)系統(tǒng)的進(jìn)一步建設(shè)過程中����,及時(shí)查清網(wǎng)絡(luò)隱患的必要性就體現(xiàn)了出來���。
第三節(jié) 網(wǎng)絡(luò)安全相關(guān)技術(shù)介紹
要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性,還要采用一些先進(jìn)的技術(shù)和產(chǎn)品���。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種��。
一���、防火墻技術(shù)
為保證網(wǎng)絡(luò)安全,防止外部網(wǎng)對(duì)內(nèi)部網(wǎng)的非法入侵�����,在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻����。它是一個(gè)或一組系統(tǒng),該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問�����,外界的哪些人可以訪問內(nèi)部的哪些服務(wù)����,以及哪些外部服務(wù)可以被內(nèi)部人員訪問。它可監(jiān)測(cè)����、限制、更改跨越防火墻的數(shù)據(jù)流���,確認(rèn)其來源及去處��, 檢查數(shù)據(jù)的格式及內(nèi)容���,并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有:數(shù)據(jù)包過濾���、監(jiān)測(cè)型���、服務(wù)器等幾大類型。
二��、數(shù)據(jù)加密技術(shù)
與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)�����,是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性�,防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之 一����。隨著信息技術(shù)的發(fā)展����,網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上����、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外,從技術(shù)上分別在軟件和硬件兩方面采取措施��,推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展��。按作用不同, 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸����、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種��。
三��、認(rèn)證技術(shù)
認(rèn)證技術(shù)是防止主動(dòng)攻擊的重要手段���,它對(duì)于開放環(huán)境中的各種信息的安全有重要作用��。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過程��,即認(rèn)證建立信息的發(fā)送者或接收者的身份���。認(rèn)證的主要目的有兩個(gè):第一,驗(yàn)證信息的發(fā)送者是真正的�,而不是冒充的,這稱為信號(hào)源識(shí)別�;第二,驗(yàn)證信息的完整性���,保證信息在傳送過程中未被竄改或延遲等�。目前使用的認(rèn)證技術(shù)主要有:消息認(rèn)證�����、身份認(rèn)證�、數(shù)字簽名。
四�、虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)
虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶���、公司分支機(jī)構(gòu)�、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來,構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)����。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在,仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中��。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用�,而事實(shí)上并非如此。
VPN技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊�,采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。
VPN技術(shù)的工作原理:VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實(shí)現(xiàn)安全通信�,它采用復(fù)雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會(huì)被竊聽�����。
五�����、計(jì)算機(jī)病毒的防范
首先要加強(qiáng)工作人員防病毒的意識(shí)�,其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件:
(一)較強(qiáng)的查毒��、殺毒能力。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有4萬多種��,在各種操作系統(tǒng)中包括Windows���、 UNIX和Netware系統(tǒng)都有大量能夠造成危害的計(jì)算機(jī)病毒����,這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒��,具有查毒�����、殺毒范圍廣����、能力強(qiáng)的特點(diǎn)���。
(二)完善的升級(jí)服務(wù)��。與其它軟件相比��,防病毒軟件更需要不斷地更新升級(jí)�,以查殺層出不窮的計(jì)算機(jī)病毒。
第二章 集團(tuán)網(wǎng)絡(luò)安全系統(tǒng)概況及風(fēng)險(xiǎn)分析
第一節(jié) 集團(tuán)網(wǎng)絡(luò)機(jī)房環(huán)境
目前�����,浙江廣播電視集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)絕大多數(shù)的設(shè)備都是安放在新大樓13樓機(jī)房?jī)?nèi)的����,只有樓層交換機(jī)是分布在各樓層的設(shè)備機(jī)柜中。根據(jù)本文的現(xiàn)場(chǎng)勘察和了解�����,目前大多數(shù)信息機(jī)房在機(jī)房的裝修�����、溫度和濕度控制����、消防、照明��、防靜電�、防雷等方面已經(jīng)作了很多的考慮,主要有如下方面:
一����、網(wǎng)絡(luò)機(jī)房都作了可靠的防雷措施���,建設(shè)有防雷接地網(wǎng),其接地電阻小于1歐姆;大樓頂部建設(shè)有避雷針�����。
二����、所有從網(wǎng)絡(luò)機(jī)房大樓外接入網(wǎng)絡(luò)機(jī)房的數(shù)據(jù)信號(hào),全部采用光纖接入�����。
三��、網(wǎng)絡(luò)機(jī)房?jī)?nèi)大多配備UPS電源系統(tǒng)�。
四����、機(jī)房?jī)?nèi)鋪設(shè)防靜電地板、吊頂�,對(duì)墻面進(jìn)行了無塵處理。
五、安裝機(jī)房防盜監(jiān)控系統(tǒng)����。
六、配備機(jī)房消防系統(tǒng)和應(yīng)急照明系統(tǒng)�。
七、所有樓層交換機(jī)的供電都是由機(jī)房?jī)?nèi) UPS 通過專用的線路直接供電�,與樓層內(nèi)的其它電源系統(tǒng)沒有任何連接。
第二節(jié) 網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)備份
在廣電集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)中大多己經(jīng)有功能數(shù)據(jù)備份與恢復(fù)系統(tǒng)��,它是一套基于磁帶介質(zhì)的備份與恢復(fù)系統(tǒng)����,有2套文件備份的License和1套Oracle數(shù)據(jù)庫備份的License,進(jìn)行服務(wù)器的文件備份和Oracle數(shù)據(jù)庫的實(shí)時(shí)備份和恢復(fù)��。
浙江廣電集團(tuán)網(wǎng)絡(luò)中已經(jīng)有了以下幾個(gè)網(wǎng)絡(luò)安全方面的考慮:
一����、病毒防護(hù)
網(wǎng)絡(luò)中使用了諾頓病毒防護(hù)系統(tǒng),該病毒防御系統(tǒng)是基于網(wǎng)絡(luò)的病毒防護(hù)系統(tǒng)����,在網(wǎng)絡(luò)內(nèi)能夠遠(yuǎn)程的安裝網(wǎng)絡(luò)客戶端的病毒防護(hù)軟件,進(jìn)行病毒特征庫的自動(dòng)更新�,集中控制和管理����。但是�,網(wǎng)絡(luò)中的病毒防護(hù)系統(tǒng)沒有集中控制和管理的控制臺(tái),不能實(shí)時(shí)了解網(wǎng)絡(luò)中防病毒客戶端程序的安裝情況��、病毒感染和爆發(fā)的情況�。
二、外網(wǎng)接入安全防護(hù)
網(wǎng)絡(luò)目前大多沒有單獨(dú)的外網(wǎng)接入點(diǎn)����,沒有自己的外網(wǎng)接入安全防護(hù),使用統(tǒng)一的出口和安全策略��。
三�����、入侵檢測(cè)系統(tǒng)
在集團(tuán)總部局域網(wǎng)與其他網(wǎng)絡(luò)連接處采用的一套入侵檢測(cè)系統(tǒng)具體部署如圖2-1
圖2-1 廣電集團(tuán)入侵檢測(cè)系統(tǒng)示意圖
第三節(jié) 網(wǎng)絡(luò)安全弱點(diǎn)分析
浙江廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)安全弱點(diǎn)主要包括:
一���、硬件弱點(diǎn): 硬件隱患存在于服務(wù)器、終瑞��、路由器�、交換機(jī)和安全設(shè)備等設(shè)備中���,一旦發(fā)生硬件的安全問題,將給主機(jī)和網(wǎng)絡(luò)系統(tǒng)的可靠性�、可控性、可用性和安全性等造成嚴(yán)重?fù)p害�����。
二����、操作系統(tǒng)弱點(diǎn): 由于操作系統(tǒng)自身的漏洞和缺陷可能構(gòu)成安全隱患。操作系統(tǒng)是計(jì)算機(jī)應(yīng)用程序執(zhí)行的基本平臺(tái)�,一旦操作系統(tǒng)被滲透,就能夠破壞所有安全措施����。靠打補(bǔ)丁開發(fā)的操作系統(tǒng)不能夠從根本上解決安全問題�,動(dòng)態(tài)連接給廠商提供開發(fā)空間的同時(shí)為黑客開啟了方便之門。
三�、數(shù)據(jù)庫系統(tǒng)弱點(diǎn): 由于數(shù)據(jù)庫系統(tǒng)本身的漏洞和缺陷可能構(gòu)成的安全隱患。
四����、網(wǎng)絡(luò)系統(tǒng)弱點(diǎn): TCP/IP協(xié)議本身的開放性導(dǎo)致網(wǎng)絡(luò)存在安全隱患��。如:TCP/IP 數(shù)據(jù)通信協(xié)議集本身就存在著安全缺點(diǎn)���,如:大多數(shù)底層協(xié)議采用廣播方式,網(wǎng)上任何設(shè)備均可能竊聽到情報(bào)����; 協(xié)議規(guī)程中缺乏可靠的對(duì)通信雙方身份認(rèn)證手段,無法確定信息包地址真?zhèn)螌?dǎo)致身份“假冒”可能��;由于TCP 連接建立時(shí)服務(wù)器初始序號(hào)的可推測(cè)性���,使得黑客可以由“后門”進(jìn)入系統(tǒng)漏洞����。
五�、通用軟件系統(tǒng)弱點(diǎn):如Web服務(wù)器等常用應(yīng)用軟件本身可能存在的安全弱點(diǎn)。
六����、業(yè)務(wù)系統(tǒng)弱點(diǎn): 節(jié)目視頻業(yè)務(wù)系統(tǒng)等本身的“Bug”或缺陷可能構(gòu)成弱點(diǎn)����。
七���、安全設(shè)計(jì)的弱點(diǎn): 安全設(shè)計(jì)不周全可能構(gòu)成系統(tǒng)防護(hù)的弱點(diǎn),由于安全漏洞的動(dòng)態(tài)性和安全威脅的增長(zhǎng)性要求以及安全需求本身的限制�����,安全體系設(shè)計(jì)要求具有良好的可擴(kuò)展性和動(dòng)態(tài)自適應(yīng)性���。
八����、管理弱點(diǎn): 工具不多�,技術(shù)水平不高,意識(shí)淡薄��,人員不到位���。
第四節(jié) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)本身所固有的結(jié)構(gòu)復(fù)雜��、高度開放��、邊界脆弱和管理困難等特點(diǎn)���,增加了廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)���。
由于網(wǎng)絡(luò)自身的開放性和廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)的特殊性使網(wǎng)絡(luò)系統(tǒng)存在很大的安全風(fēng)險(xiǎn)性,主要有:
一�����、人為因素:
未經(jīng)授權(quán)訪問重要信息
惡意破壞重要數(shù)據(jù)
數(shù)據(jù)竊取����、數(shù)據(jù)篡改
利用網(wǎng)絡(luò)設(shè)計(jì)和協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)攻擊
假冒、偽造�、欺騙、敲詐��、勒索
內(nèi)部人員惡意泄露重要的信息
管理員失職
二����、自然因素:
設(shè)備的老化
火災(zāi)、水災(zāi) (包括供水故障)
爆炸��、煙霧�����、灰塵
通風(fēng)
供電中斷
電磁輻射、靜電
以上都可能引起設(shè)備的失效�、損壞���,造成線路擁塞和系統(tǒng)癱瘓等����。
第三章 集團(tuán)網(wǎng)絡(luò)安全需求與安全目標(biāo)
第一節(jié) 網(wǎng)絡(luò)安全需求分析
為了確保廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全��,其安全需求可以從安全管理層面���、物理安全層面�����、系統(tǒng)安全層面��、網(wǎng)絡(luò)安全層面��、應(yīng)用安全層面等方面來分析����。
從安全管理要求來分析����,要考慮政策�����、法規(guī)��、制度�����、管理權(quán)限和級(jí)別劃分���、安全培訓(xùn)等,特別要考慮基層人員計(jì)算機(jī)水平不高����,系統(tǒng)設(shè)計(jì)和培訓(xùn)等方面要周密考慮,制定切實(shí)有效的管理制度和運(yùn)行維護(hù)機(jī)制�。
從物理安全要求來分析,要根據(jù)浙江廣電集團(tuán)實(shí)際情況����,確定各物理實(shí)體的安全級(jí)別,建立相應(yīng)的安全防護(hù)機(jī)制�。
從系統(tǒng)安全需求來分析�����,需要解決操作系統(tǒng)安全�、數(shù)據(jù)庫系統(tǒng)安全����、TCP/IP 等協(xié)議的安全�、系統(tǒng)缺陷、病毒防范等問題����。
從網(wǎng)絡(luò)安全需求來分析,要考慮系統(tǒng)掃描���、入侵檢測(cè)����、設(shè)備監(jiān)控和安全審計(jì)等��,要防范黑客入侵��、身份冒充�����、非法訪問。要保證信息在公共傳輸通道上的機(jī)密性����,撥號(hào)線路的保密性和身份鑒別。
從應(yīng)用安全和信息安全需求來分析���,要解決重要終端用戶數(shù)據(jù)的加密�、數(shù)據(jù)的完整性�����、數(shù)據(jù)的訪問控制和授權(quán)以及數(shù)據(jù)承載終端設(shè)備 (各種計(jì)算機(jī)��、筆記本電腦��、無線WAP終端及其它終端設(shè)備) 以及其中運(yùn)行的操作系統(tǒng)的安全可靠�。
因此,廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)安全要重點(diǎn)做好以下幾方面的工作���,同時(shí)也是本安全方案的設(shè)計(jì)需要解決的問題:
一�、解決內(nèi)部外部系統(tǒng)間的入侵檢測(cè)����、信息過濾 (防止有害信息的傳播)���、網(wǎng)絡(luò)隔離問題;
二�����、解決內(nèi)部外部黑客針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施�、主機(jī)系統(tǒng)和應(yīng)用服務(wù)的各種攻擊所造成的網(wǎng)絡(luò)或系統(tǒng)不可用��、信息泄密���、數(shù)據(jù)篡改 等所帶來的問題����;
三��、解決重要信息的備份和系統(tǒng)的病毒防范等問題��;
四��、建立系統(tǒng)安全運(yùn)行所匹配的管理制度和各種規(guī)范條例�;
五��、建立健全浙江廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)安全培訓(xùn)制度及程序等方面的問題���;
六、解決浙江廣電集團(tuán)和其它相關(guān)單位部門網(wǎng)絡(luò)信息交流帶來的安全問題��。
第二節(jié) 網(wǎng)絡(luò)安全目標(biāo)
計(jì)算機(jī)網(wǎng)絡(luò)的安全問題與單臺(tái)計(jì)算機(jī)的安全在實(shí)際中存在著非常大的差別��。網(wǎng)絡(luò)不是分裝在一個(gè)機(jī)箱內(nèi)���,存在著傳輸系統(tǒng)的地域分布問題�。這些傳輸通信系統(tǒng)可以是有線的�����,也可以是無線的���。這類傳輸可以在中途被截獲��,存在著“中間攻擊”的問題��。從攻擊的手段來看�,攻擊種類和機(jī)制非常多��。訪問控制和鑒別也比單臺(tái)計(jì)算機(jī)困難,網(wǎng)絡(luò)安全要特別重視防截獲���,防泄露和信息加密的實(shí)施�。
目前所采用的網(wǎng)絡(luò)防護(hù)方法也就是在進(jìn)入計(jì)算機(jī)操作系統(tǒng)控制中的網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)協(xié)議上實(shí)施的��。
網(wǎng)絡(luò)防護(hù)的基本服務(wù): 網(wǎng)絡(luò)訪問控制(MAC)�、鑒別、數(shù)據(jù)保密性�、數(shù)據(jù)完整性、行為的完整性�����、抗抵賴性���、可用性等。
網(wǎng)絡(luò)安全的目的是保護(hù)在網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)���、傳輸和處理的信息的安全�����,概括為確保信息的完整性�、保密性、可用性和不可抵賴性����。
信息的保密性指的是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息不被非授權(quán)的查看���;
信息的完整性指的是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)��、傳輸和處理的信息不被非授權(quán)的改變��;
信息的可用性和可靠性指的是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)�、傳輸和處理的信息為授權(quán)用戶提供及時(shí)����、方便、有效的服務(wù)�;
信息的不可抵賴性指的是內(nèi)部人員對(duì)信息的操作不可抵賴。
為了更加完整的執(zhí)行上述網(wǎng)絡(luò)信息安全的思想�,防止來自集團(tuán)內(nèi)部局域網(wǎng)上的攻擊,又由于浙江廣電集團(tuán)網(wǎng)絡(luò)連接關(guān)系復(fù)雜����、網(wǎng)絡(luò)設(shè)備多,使用租用的國內(nèi)的通信線路,存在著傳輸線搭接竊聽或輻射接收竊聽等環(huán)節(jié)����。因此要做到以下幾個(gè)要求:
1) 防止計(jì)算機(jī)病毒的蔓延
集團(tuán)網(wǎng)絡(luò)眾多的用戶,可能由于內(nèi)部管理上疏忽����,裝入未經(jīng)殺毒處理的軟
件或是從因特網(wǎng)上下載了帶病毒的文件。還可能來自外部黑客釋放病毒���、邏輯炸彈的攻擊等�,這些都對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全構(gòu)成嚴(yán)重威脅����。病毒廣泛地傳播,將造成網(wǎng)絡(luò)軟硬件設(shè)備的損害以至于整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓�。
2) 加強(qiáng)網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)
網(wǎng)絡(luò)黑客攻擊手段、計(jì)算機(jī)病毒等都處于不斷的發(fā)展和變化中����,使用目前的安全保密技術(shù)和產(chǎn)品是難以構(gòu)造一種絕對(duì)安全�、無縫隙和一勞永逸的網(wǎng)絡(luò)系統(tǒng)的。因此���,安全的網(wǎng)絡(luò)系統(tǒng)必須具有網(wǎng)絡(luò)安全漏洞的檢測(cè)和監(jiān)控功能��。通過安全檢測(cè)����、監(jiān)控手段,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞和各種惡意的攻擊手段�����,及時(shí)提供修補(bǔ)系統(tǒng)漏洞的建議并阻斷來自內(nèi)外的非法使用和攻擊����。
3) 保障集團(tuán)內(nèi)部業(yè)務(wù)系統(tǒng)的安全穩(wěn)定
由于涉及省臺(tái)與各地方臺(tái)的視頻傳輸,不可避免的會(huì)遇上各種各樣的問題�����,因此�,在網(wǎng)絡(luò)層對(duì)業(yè)務(wù)的安全要保障得力,并且要確認(rèn)信息傳輸?shù)陌踩€(wěn)定����。
第四章 集團(tuán)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)
第一節(jié) 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)
由于浙江廣電集團(tuán)的網(wǎng)絡(luò)建設(shè)已有很多年的時(shí)間了,其很多網(wǎng)絡(luò)設(shè)備都自帶了監(jiān)控及管理軟件或工具�����,但是這些工具在問題發(fā)生之后很難解決問題。而網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的實(shí)時(shí)映射��、網(wǎng)絡(luò)瓶頸通知和設(shè)備失敗通知卻可以幫助用戶快速隔離問題����,并且在員工抱怨之前解決問題。
這里對(duì)推薦的美國 CA 公司的網(wǎng)絡(luò)監(jiān)控管理系統(tǒng) (Unicenter Network & System Management)所能夠達(dá)到的功能簡(jiǎn)單地說明一下:通過 TCP/IP 協(xié)議���,不需要專門的培訓(xùn)����,用戶就可以配置該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)�����,啟動(dòng)網(wǎng)絡(luò)監(jiān)視管理功能后����,能夠監(jiān)控的網(wǎng)絡(luò)設(shè)備包括工作站、服務(wù)器�����、主機(jī)����、網(wǎng)橋、路由器���、集線器���、打印機(jī)等在內(nèi)的幾乎所有網(wǎng)絡(luò)元件。當(dāng)用戶決定使用該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)軟件時(shí)�,首先可以通過該軟件的網(wǎng)絡(luò)探查功能,能夠全面查看用戶網(wǎng)絡(luò)的底層構(gòu)件���,確認(rèn)整個(gè)網(wǎng)絡(luò)的體系結(jié)構(gòu)���,并以一種可描述可管理的模式定位所有的網(wǎng)絡(luò)設(shè)備,并將這些設(shè)備存儲(chǔ)起來�,迅速繪出網(wǎng)絡(luò)結(jié)構(gòu)圖,同時(shí)啟動(dòng)設(shè)備的監(jiān)控��,而這些過程都是自動(dòng)生成的����,非常簡(jiǎn)單易用����,可操作性強(qiáng)�����,這對(duì)于網(wǎng)絡(luò)設(shè)備非常多�、而專業(yè)網(wǎng)絡(luò)管理人員較少的企業(yè)來說就顯得非常重要。
在這個(gè)過程中�,首先通過該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng) 24X7 的全時(shí)設(shè)備輪詢網(wǎng)絡(luò)監(jiān)視功能,迅速識(shí)別網(wǎng)絡(luò)元件的任何問題���,當(dāng)監(jiān)測(cè)到問題時(shí)�,可以不同的顏色顯示出來�����,并以通過手機(jī)�����、e-mail��、聲音警報(bào)通知管理人員�����,同時(shí)根據(jù)各網(wǎng)絡(luò)元件相互之間的依賴關(guān)系�����,自動(dòng)關(guān)閉與 有問題網(wǎng)絡(luò)元件之后的所有網(wǎng)絡(luò)元件的連接���,減少冗余數(shù)據(jù)數(shù)量���,避免冗余通知。此外����,還能對(duì)網(wǎng)絡(luò)元件的潛在問題、網(wǎng)頁的正確性��、可用性���、網(wǎng)絡(luò)的性能以及系統(tǒng)資源進(jìn)行有效的監(jiān)控管理���。
當(dāng)網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)識(shí)別網(wǎng)絡(luò)失效時(shí),在向相關(guān)人員發(fā)送警報(bào)及通知時(shí)�����,該軟件還可啟動(dòng)一個(gè)程序來定位網(wǎng)絡(luò)失效。因此��,當(dāng)狀況被隔離之后���,一個(gè)特定的應(yīng)用程序或者腳本程序就會(huì)被執(zhí)行��,或許是重啟這個(gè)服務(wù)或許是重啟計(jì)算機(jī)��。這個(gè)進(jìn)程是自動(dòng)的�����,因此當(dāng)相關(guān)人員收到設(shè)備失效的通知時(shí)��,相應(yīng)的措施已經(jīng)采取了��,管理人員不用回到辦公室��,因?yàn)楫?dāng)管理人員在收到通知時(shí)已經(jīng)知道問題己經(jīng)解決了�。
在這一系列監(jiān)控與管理過程中�,網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)都能自動(dòng)生成監(jiān)控及管理日志,并對(duì)系統(tǒng)的使用情況與趨勢(shì)形成報(bào)告�,以便用戶形成較為完善的系統(tǒng)化管理�����,提升工作效率���。
第二節(jié) 電子郵件安全解決方案
解決電子郵件安全問題�����,我們需要從三個(gè)方面來考慮如何應(yīng)對(duì):
1) 對(duì)帶病毒郵件��、垃圾郵件等惡意郵件的過濾和封堵�����;
2) 對(duì)進(jìn)出郵件系統(tǒng)的所有郵件進(jìn)行備份����,用于監(jiān)控和備查;
3) 對(duì)敏感的郵件內(nèi)容進(jìn)行加密傳輸��,防備在傳遞路徑上的惡意窺伺�。
對(duì)集團(tuán)來講,現(xiàn)實(shí)的方法是結(jié)合現(xiàn)有的成熟技術(shù)�,組合出一個(gè)在經(jīng)濟(jì)上和技術(shù)上合理的解決方案��,同時(shí)要保證長(zhǎng)期的維保成本�����。郵件系統(tǒng)的安全解決方案包括如下三個(gè)部分:
1����、電子郵件安全網(wǎng)關(guān)技術(shù)方案
通過郵件安全網(wǎng)關(guān)的部署���,在病毒程序�、垃圾郵件等不良信息進(jìn)入集團(tuán)郵件系統(tǒng)之前�,便對(duì)其進(jìn)行遏制、阻截,從而保證集團(tuán)電子郵件系統(tǒng)的安全穩(wěn)定運(yùn)行,節(jié)省郵件系統(tǒng)存儲(chǔ)空間��,避免機(jī)密的泄漏。
在郵件網(wǎng)關(guān)硬件系統(tǒng)上整合郵件反病毒引擎,對(duì)進(jìn)入集團(tuán)郵件系統(tǒng)的電子郵件進(jìn)行病毒檢測(cè),采取郵件隔離�����、刪除以及清除病毒等操作����,減少病毒對(duì)郵件服務(wù)器的攻擊。應(yīng)根據(jù)互聯(lián)網(wǎng)最新病毒發(fā)展趨勢(shì)��,定時(shí)升級(jí)郵件網(wǎng)關(guān)病毒庫�����。
2�、郵件備份系統(tǒng)技術(shù)方案
在集團(tuán)現(xiàn)有郵件系統(tǒng)的基礎(chǔ)上,實(shí)現(xiàn)對(duì)指定時(shí)間內(nèi)(如最近一年)所有收發(fā)郵件的備份�,并且管理員根據(jù)郵件信息摘要(例如:發(fā)件人、收件人�����、主題�����、日期�、附件名稱等)進(jìn)行檢索和查看郵件全部?jī)?nèi)容��。
3�����、郵件加密系統(tǒng)技術(shù)方案
保護(hù)重要電子郵件不被泄密,防止內(nèi)部人員未經(jīng)許可將重要電子文檔以郵件的方式泄密���,防止電子郵件被截取而引起的泄密�。保證工作效率�����,在盡量不改變使用者收發(fā)郵件操作習(xí)慣的基礎(chǔ)上��,保證電子郵件正常暢通使用�����。
考慮到文件安全擴(kuò)展的需求��,除電子郵件之外�,信息泄密還有多種途徑。在保護(hù)郵件安全的基礎(chǔ)上���,要考慮到日后系統(tǒng)的擴(kuò)展性����。
郵件安全管理系統(tǒng)綜合動(dòng)態(tài)加解密技術(shù)、訪問權(quán)限控制技術(shù)��、使用權(quán)限控制技術(shù)�����、期限控制技術(shù)���、身份認(rèn)證技術(shù)�、操作日志管理技術(shù)�、硬件綁定技術(shù)等多種技術(shù)對(duì)電子郵件進(jìn)行保護(hù)。
第三節(jié) 遠(yuǎn)程數(shù)據(jù)傳輸?shù)募用?/p>
建立基于SSL VPN技術(shù)加密訪問系統(tǒng)���,使得從Internet到內(nèi)部網(wǎng)絡(luò)的訪問使用SSL VPN數(shù)據(jù)加密通道�����,保證數(shù)據(jù)在傳輸過程中保密性。
目前能夠提供 SSL VPN 加密產(chǎn)品的廠家很多����,但是本文認(rèn)為在SSL VPN技術(shù)的先進(jìn)性、加密傳輸?shù)乃俾?����、以及廠家的技術(shù)服務(wù)等方面,Juniper的Netscreen SA 1000具有相對(duì)的優(yōu)勢(shì)�,是其它廠家無法比的。
Juniper 網(wǎng)絡(luò)公司SSL VPN產(chǎn)品家族的Netscreen-SA 1000系列��,使企業(yè)可以部署經(jīng)濟(jì)高效的遠(yuǎn)程接入����、外聯(lián)網(wǎng)及內(nèi)聯(lián)網(wǎng)安全性。用戶可從任何標(biāo)準(zhǔn) Web瀏覽器接入企業(yè)網(wǎng)絡(luò)和應(yīng)用��。NetScreen-SA 1000系列使用SSL作為安全接入傳輸機(jī)制�,SSL是所有標(biāo)準(zhǔn)Web瀏覽器中使用的安全協(xié)議。使用SSL使客戶無需部署客戶端軟件��、無需更改內(nèi)部服務(wù)器���,也無需進(jìn)行成本高昂的長(zhǎng)期維護(hù)��。NetScreen-SA 1000產(chǎn)品提供先進(jìn)的合作伙伴喀戶外聯(lián)網(wǎng)特性�����,以控制用戶或用戶組的網(wǎng)絡(luò)訪問���,無需更改基礎(chǔ)設(shè)施�����、無需部署DMZ �、也無需軟件��。這項(xiàng)功能還允許公司安全接入企業(yè)內(nèi)聯(lián)網(wǎng)���,使管理員可以根據(jù)不同員工��、承包商和訪問者所需的資源來限制他們的接入權(quán)限����。
NetScreen-SA 1000系列解決方案的主要特性與優(yōu)勢(shì)如下:
一����、端到端分層安全性
端點(diǎn)客戶端、設(shè)備����、數(shù)據(jù)和服務(wù)器的分層安全性控制�����,Juniper網(wǎng)絡(luò)公司 Endpoint Defense Initiative(端點(diǎn)防御計(jì)劃),用于提供最高的端點(diǎn)安全性可以根據(jù)用戶組或角色�、網(wǎng)絡(luò)、設(shè)備及會(huì)話屬性來規(guī)定基于用戶身份的接入降低總擁有成本����。不需要部署客戶端軟件或更改服務(wù)器,幾乎不需要長(zhǎng)期維護(hù)���。從單一平臺(tái)安全地遠(yuǎn)程接入內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)安全的外聯(lián)網(wǎng)接入���,無需構(gòu)建 DMZ、無需加固服務(wù)器����、無需復(fù)制資源、或無需增加部署來添加應(yīng)用或用戶簡(jiǎn)化
二�����、可管理性
(一)集中管理選項(xiàng)提供統(tǒng)一管理
(二)用戶自助服務(wù)功能�,可降低技術(shù)支持服務(wù)窗口的支持成本
(三)細(xì)粒度的審計(jì)和日志記錄
(四)3 種不同的接入方法,允許管理員根據(jù)具體目的來設(shè)置接入權(quán)限
(五)基于角色分配管理任務(wù)
三�、高可用性
群集對(duì)部署選項(xiàng)��,可為整個(gè)LAN和WAN提供高可用性���。
第四節(jié) 服務(wù)器的安全防護(hù)
一��、業(yè)務(wù)服務(wù)器的安全防護(hù)
(一)防火墻的安裝
這里將在Catalyst 4506交換機(jī)與服務(wù)器群的交換機(jī)之間安裝一臺(tái)高性能的防火墻,并根據(jù)服務(wù)器群中的每臺(tái)服務(wù)器的應(yīng)用系統(tǒng)的情況�,在該防火墻上進(jìn)行一對(duì)一的安全策略配置的工作。
(二)入侵檢測(cè)系統(tǒng)的安裝
這里將在服務(wù)器群的交換機(jī)上配置一個(gè)偵聽端口�����,將流經(jīng)該交換機(jī)所有端口的數(shù)據(jù)包都復(fù)制一份傳送到偵聽端口上��;再把入侵檢測(cè)系統(tǒng)連接到該偵聽端口�����,接收該端口輸出的所有數(shù)據(jù)包,并對(duì)這些數(shù)據(jù)包進(jìn)行入侵分析��、判斷和記錄�����。本文將負(fù)責(zé)完成入侵檢測(cè)安裝配置工作����。
二�、涉及到的設(shè)備選擇
(一)防火墻的選擇
防火墻的類型主要有:數(shù)據(jù)包過濾、監(jiān)測(cè)型����、服務(wù)器等幾大類型。
1)包過濾型
包過濾型防火墻是防火墻的較初級(jí)產(chǎn)品����,其技術(shù)基于網(wǎng)絡(luò)中的分包傳輸技術(shù)�����。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?���,?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包���,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址����、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等��。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)����,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外�。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。如圖4-1所示:
圖4-1包過濾型防火 墻的工作原理
包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用���,實(shí)現(xiàn)成本較低�,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下�����,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。
但包過濾技術(shù)的缺陷也是明顯的��。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)只能根據(jù)數(shù)據(jù)包的來源��、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒����。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻��。
2)型
型防火墻也能夠被稱為服務(wù)器�,它的安全性要高過包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展�����。服務(wù)器位于客戶機(jī)與服務(wù)器之間��,完全阻擋了二者間的數(shù)據(jù)交流����。從客戶機(jī)來看,服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看��,服務(wù)器又是一臺(tái)真正的客戶機(jī)����。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器��,服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)��。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道�,外部的惡意侵害也就很難傷害到集團(tuán)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。如圖4-2所示
圖4-2型防火墻的工作原理
型防火墻的優(yōu)點(diǎn)是安全性較高���,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描�����,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。它的缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響�,而且服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性�����。
本文將選用業(yè)界性能較好的����、可靠性較高的Juniper 的NetScreen 5200防火墻,該防火墻的技術(shù)參數(shù)如表4-1
表 4-1 NetScreen 5200 防火墻技術(shù)參數(shù)表
物性/功能 NetScreen-5200
接口數(shù) 2個(gè)XFE 1OGigE�,或8個(gè)Mini-GBIC, 或2個(gè)Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墻
5G 3DES/AFS VPN
最多會(huì)話數(shù) 1,000,000
最多VPN 隧道數(shù) 30,000
最多策略數(shù) 4000,000
最多虛擬系統(tǒng)數(shù) 5
最多虛擬LAN 數(shù) 4000
最多安全區(qū)域數(shù) 默認(rèn)設(shè)置為16個(gè),最多增加1000個(gè)
最多虛擬路由器數(shù) 默認(rèn)設(shè)置為3個(gè)��,最多增加500個(gè)
支持的高可用性模式 主用/備用
支持的路由協(xié)議 OSPF, BGP, RIRV1/V2
深層檢測(cè) 是
集成/重新定向,Web過濾 是/否
(二)入侵檢測(cè)系統(tǒng)的選擇
這里選用國內(nèi)擁有領(lǐng)先安全技術(shù)水平的天融信千兆級(jí)入侵檢測(cè)系統(tǒng)NGIDS-UF���。其主要的技術(shù)指標(biāo)如表4-2
表4-2 NGIDS-UF 入侵檢測(cè)系統(tǒng)技術(shù)指標(biāo)表
型號(hào) NGIDS-UF
類別 千兆IDS
規(guī)格 2U 機(jī)架式
網(wǎng)絡(luò)接口 1個(gè)10/100Base-TX: 2個(gè)千兆光纖
2wh 10/100/1000Base-TX
串口 1個(gè)RS-232C
第五節(jié) 計(jì)算機(jī)病毒防護(hù)的加強(qiáng)
一�、在原有的病毒防護(hù)系統(tǒng)增加集中管理控制臺(tái)
新增一臺(tái)服務(wù)器����,在上面安裝一套諾頓的病毒防護(hù)的集中管理控制臺(tái)。這里將安裝該服務(wù)器系統(tǒng)和諾頓的集中管理控制的軟件系統(tǒng)����。
二、增加網(wǎng)絡(luò)病毒防火墻
在每個(gè)樓層交換機(jī)的上聯(lián)端接入一臺(tái)網(wǎng)絡(luò)病毒防火墻�����,對(duì)局域網(wǎng)內(nèi)的病毒進(jìn)行區(qū)域控制:在二級(jí)單位廣域網(wǎng)入口處安裝一臺(tái)網(wǎng)絡(luò)病毒防火墻�,保障二級(jí)單位的廣域網(wǎng)線路不會(huì)受到病毒數(shù)據(jù)包的影響。
涉及到的設(shè)備選擇:
(一)諾頓的防病毒集中管理控制臺(tái)
只有選用諾頓的集中管理控制軟件才能控制和管理諾頓的網(wǎng)絡(luò)防病毒系統(tǒng)的客戶端軟件����。
(二)網(wǎng)絡(luò)病毒防火墻
目前有趨勢(shì)相關(guān)的硬件產(chǎn)品出售,并且該產(chǎn)品還能夠與諾頓的網(wǎng)絡(luò)防病毒客戶端軟件進(jìn)行聯(lián)動(dòng)�����。所以本文選擇部署趨勢(shì)的NVW1200網(wǎng)路病毒防火墻。該網(wǎng)絡(luò)病毒防火墻的主要功能如下:
1.執(zhí)行免的安全策略
網(wǎng)絡(luò)病毒墻對(duì)非兼容設(shè)備進(jìn)行隔離修正�����,以確保所有設(shè)備在進(jìn)入網(wǎng)絡(luò)前都安裝有最新的防病毒及關(guān)鍵的操作系統(tǒng)補(bǔ)丁�����。執(zhí)行免的安全策略可減少管理負(fù)荷�,并可同時(shí)降低被合作伙伴或VPN用戶的非兼容設(shè)備感染的風(fēng)險(xiǎn)。
2.漏洞隔離
網(wǎng)絡(luò)病毒墻根據(jù)Trend Micro的漏洞評(píng)估功能�,隔離網(wǎng)絡(luò)蠕蟲可利用的潛在環(huán)節(jié),使管理者有選擇地隔離薄弱(未安裝不定程序)的網(wǎng)絡(luò)段或設(shè)施���,避免病毒的爆發(fā)。網(wǎng)絡(luò)病毒墻提供漏洞評(píng)估服務(wù)����,并將該功能作為一個(gè)可選項(xiàng)。
3.靈活的�、集中式管理
網(wǎng)絡(luò)病毒墻包括趨勢(shì)科技企業(yè)安全管控中心、及一個(gè)集中式�����、基于網(wǎng)絡(luò)的管理控制臺(tái),它根據(jù)主機(jī)安裝永久的需要實(shí)施安全更新部署���。該服務(wù)可以自動(dòng)部署���、或點(diǎn)擊管理控制臺(tái)的選項(xiàng)進(jìn)行手工部署。
4.網(wǎng)絡(luò)掃描及偵測(cè)
網(wǎng)絡(luò)病毒墻通過掃描網(wǎng)絡(luò)流量查找蠕蟲及漏洞利用���,并基于趨勢(shì)實(shí)驗(yàn)室提供的最新病毒碼來自動(dòng)清除感染的網(wǎng)絡(luò)數(shù)據(jù)包����。另外���,網(wǎng)絡(luò)病毒墻利用趨勢(shì)科技先進(jìn)的啟發(fā)式技術(shù)對(duì)您的網(wǎng)絡(luò)實(shí)施監(jiān)控����,并提供威脅的早期預(yù)警��。
5.網(wǎng)絡(luò)病毒爆發(fā)監(jiān)控
網(wǎng)絡(luò)病毒墻通過實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量或可疑活動(dòng)來提供早期的威脅預(yù)警��。并在中心控制臺(tái)上發(fā)出病毒爆發(fā)通知�,立即提示管理者蠕蟲攻擊目標(biāo)、受感染的主機(jī)���、或具體的受攻擊的漏洞����。
6.網(wǎng)絡(luò)病毒爆發(fā)防御
網(wǎng)絡(luò)病毒墻部署了Trend Micro病毒爆發(fā)防御服務(wù),通過阻絕任何蠕蟲傳播組合��,包括8地址或地址范圍�����、端口及協(xié)議����、即時(shí)通訊渠道、文件類型擴(kuò)展名��、及文件傳遞�。
7.自動(dòng)清除損害
網(wǎng)絡(luò)病毒墻通過隔離感染的網(wǎng)絡(luò)段����、主機(jī)、或客戶��,進(jìn)行清除及修正�����,阻止了再次感染。憑借自動(dòng)���、免清除蠕蟲(木馬)痕跡�����、及系統(tǒng)文件配置(system.ini)修復(fù)功能�,Trend Micro的清除損害服務(wù)可以防止再次感染�,降低清除成本。
第六節(jié) 網(wǎng)絡(luò)攻擊及防護(hù)演示效果圖
圖4-3網(wǎng)絡(luò)攻擊及防護(hù)演示效果圖
針對(duì)浙江廣電集團(tuán)的網(wǎng)絡(luò)結(jié)構(gòu)����,當(dāng)出現(xiàn)如下各類情況時(shí)解決方案如圖4-3所示:
1、 漏洞掃描-識(shí)別攻擊行為
2�����、 上傳病毒/木馬-修復(fù)系統(tǒng)漏洞
3�����、 啟用后臺(tái)服務(wù)監(jiān)聽-防病毒軟件
4、 遠(yuǎn)程控制服務(wù)器-防火墻入侵檢測(cè)
5���、 攻擊業(yè)務(wù)系統(tǒng)-防火墻�����、雙機(jī)容錯(cuò)
6�����、 破壞系統(tǒng)數(shù)據(jù)-備份�、災(zāi)難恢復(fù)
7���、 客戶端中毒-防病毒軟件
第五章 結(jié)束語
計(jì)算機(jī)網(wǎng)絡(luò)的可靠性和安全性是在不斷地變化的�,不同的時(shí)期或者階段對(duì)網(wǎng)絡(luò)的可靠性和安全性方面的要求是不一樣的�����。在網(wǎng)絡(luò)的建設(shè)之初�,集團(tuán)網(wǎng)絡(luò)關(guān)心最多的是網(wǎng)絡(luò)的連通性,只需要網(wǎng)絡(luò)能夠傳送數(shù)據(jù)即可���,對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的延遲lunwen .1 kejian .com 一以及網(wǎng)絡(luò)短時(shí)間的中斷都沒有過多的要求:當(dāng)網(wǎng)絡(luò)中存在著涉及到集團(tuán)的關(guān)鍵性應(yīng)用系統(tǒng)時(shí),就對(duì)網(wǎng)絡(luò)數(shù)據(jù)的延遲時(shí)間��、以及網(wǎng)絡(luò)的中斷時(shí)間上就有了很高的要求,在一般情況下�,為了保障集團(tuán)應(yīng)用系統(tǒng)的連續(xù)運(yùn)行,集團(tuán)網(wǎng)絡(luò)系統(tǒng)是不允許發(fā)生網(wǎng)絡(luò)中斷的����。因此,本文在方案的設(shè)計(jì)中就已經(jīng)考慮到要符合目前的��、以 及將來的網(wǎng)絡(luò)應(yīng)用系統(tǒng)的需要��,同時(shí)本文設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)的可靠性和安全性可以根據(jù)集團(tuán)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的需要進(jìn)行相關(guān)的調(diào)整�,滿足變化之后的網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的要求。
本方案是一個(gè)針對(duì)浙江廣電集團(tuán)目前計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀的網(wǎng)絡(luò)��、及網(wǎng)絡(luò)安全的解決方案�,在隨后的分期分批的項(xiàng)目實(shí)施過程中,由于集團(tuán)網(wǎng)絡(luò)環(huán)境�����、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化�����,會(huì)在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整,如:安裝設(shè)備數(shù)量���、設(shè)備安裝具體地點(diǎn)等�,只要在總的布局�、要求以及標(biāo)準(zhǔn)上保持不變,實(shí)施之后就能夠達(dá)到本方案的設(shè)計(jì)要求�����。同時(shí)���,本方案在設(shè)計(jì)����、以及設(shè)備的選型上�,己經(jīng)做了今后擴(kuò)展的考慮。
本方案并沒有解決浙江廣電集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)�����、以及網(wǎng)絡(luò)安全方面的所有問題�����,隨著計(jì)算機(jī)網(wǎng)絡(luò)、及網(wǎng)絡(luò)安全的技術(shù)不斷地發(fā)展�,以及集團(tuán)網(wǎng)絡(luò)應(yīng)用系統(tǒng)不斷地新增�����,集團(tuán)業(yè)務(wù)系統(tǒng)也會(huì)對(duì)集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和網(wǎng)絡(luò)安全方面提出更高的要求���,實(shí)現(xiàn)后滿足集團(tuán)實(shí)際的需要���。
【參考文獻(xiàn)】
[1] 張國清.CCNP BSCI詳解.北京:電子工業(yè)出版社,2006.
[2] 拉斯特.網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:中國郵電出版社�����,2006.
[3] 常曉波.CISCO網(wǎng)絡(luò)安全.北京:清華大學(xué)出版社��,2004.
[4] 王達(dá).網(wǎng)管員必讀——網(wǎng)絡(luò)安全.電子工業(yè)出版社. 2007.
[5] 《非常掌上寶系列》編委會(huì).數(shù)據(jù)備份恢復(fù)與系統(tǒng)重裝一條龍.北京:科學(xué)出版社���,2005.
[6] 張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程北京:電子工業(yè)出版社����,2004.
[7] 飛科研發(fā)中心.電腦防毒防黑急救.北京:電子工業(yè)出版社�,2002
[8] 黃志暉.計(jì)算機(jī)網(wǎng)絡(luò)管理與維護(hù)全攻略.西安:西安電子科技大學(xué)出版社����,2004.
[9] 歐陽江林.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)教程���,北京:電子工業(yè)出版社�����,2004.
[10] 金純.IEEE802.11無線局域網(wǎng)北京:電子工業(yè)出版社���,2004
[11] 施裕琴.網(wǎng)絡(luò)安全的入侵檢測(cè)系統(tǒng)及發(fā)展研究.集團(tuán)經(jīng)濟(jì)研究2006,(27):25-26.
[12] 董凱虹.網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的功能.計(jì)算機(jī)世界周刊.2006.(4):50-51
[13] 胡越明.Internet技術(shù)及其實(shí)現(xiàn).北京:高等教育出版社,2005.
[14] 陳雪著.Windows XP的完善.上海理工大學(xué)出版社�,2005.8
[15] 麥肯蘭勃.網(wǎng)絡(luò)安全評(píng)估.北京:中國電力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice����, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 謝
在論文完成之際,謹(jǐn)向所有給予我指導(dǎo)�����、關(guān)心��、支持和幫助的老師�、領(lǐng)導(dǎo)��、同學(xué)和親人致以崇高的敬意和深深的感謝!
首先感謝導(dǎo)師顧忠偉老師一直以來對(duì)我的學(xué)習(xí)���、工作和生活所給予的無私關(guān)心、悉心指導(dǎo)和嚴(yán)格要求����。尤其在論文的完成階段����,得到顧老師的耐心指導(dǎo)和嚴(yán)格把關(guān)。顧老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度����、求實(shí)的工作作風(fēng)、平易近人的處世風(fēng)范都深深影響了我���。在此謹(jǐn)向顧老師表示最衷心的感謝和最誠摯的敬意���!
感謝浙江廣電集團(tuán)科技管理部計(jì)算機(jī)科的同事,他們結(jié)合自己多年的計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全的相關(guān)經(jīng)驗(yàn)��,給我提出了很多寶貴的建lunwen .1 kejian .com 一和對(duì)我實(shí)習(xí)中的幫助�����。在論文完成之際,在此特向各位同事表示深深的謝意!
在論文的材料收集期間��,得到了負(fù)責(zé)集團(tuán)網(wǎng)絡(luò)工作的蔣老師的大力支持�����,他根據(jù)自己多年實(shí)際工作的經(jīng)驗(yàn)�,為我的論文寫作、改進(jìn)工作提出了許多有價(jià)值的寶貴建議���,在此對(duì)蔣老師表示感謝!
感謝經(jīng)濟(jì)管理學(xué)院的各位老師��、同學(xué)在學(xué)習(xí)工作等諸方面的支持和幫助����,這一切使我在學(xué)習(xí)期間深受教益��。
最后�����,深深地感謝我的家人旦他們?cè)谏詈蛯W(xué)業(yè)上給了我無私的關(guān)懷����,為了支持我的學(xué)業(yè)���,付出了莫大犧牲。惟乞此文能夠回報(bào)這些無比的關(guān)心和厚愛!
篇7
2:吉林省森工集團(tuán)信息化發(fā)展前景與規(guī)劃.
3: 吉林省林業(yè)設(shè)計(jì)院網(wǎng)絡(luò)中心網(wǎng)絡(luò)改造與發(fā)展規(guī)劃.
4: 吉林省林業(yè)系統(tǒng)生態(tài)信息高速公路構(gòu)建課題.
二��、論文撰寫與設(shè)計(jì)研究的目的:
吉林省的林業(yè)分布十分廣泛,以長(zhǎng)白山系為主要脈絡(luò)的山地廣泛分布各種森林資源,而作為林業(yè)及林業(yè)環(huán)境的發(fā)展,林業(yè)生態(tài)信息則是一個(gè)更為龐大的系統(tǒng),快捷,準(zhǔn)確,合理,系統(tǒng)的采集,處理,分析,存儲(chǔ)這些信息是擺在我們面前的十分現(xiàn)實(shí)的問題.在信息交流的這個(gè)世界中,信息好比貨物,我們需要將這些貨物(信息)進(jìn)行合理的處理,其中以硬件為主的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是這些貨物(信息)交流的"公路"和"處理廠",我做這個(gè)題目,就是要為它畫出一條"公路"和若干"處理方法"的藍(lán)圖.
由于森工集團(tuán)這樣的特定企業(yè),其一,它是一個(gè)統(tǒng)一管理的企業(yè),具有集團(tuán)化的特點(diǎn),網(wǎng)絡(luò)的構(gòu)建具有統(tǒng)一性.其二,它又在地理上是一個(gè)分散的企業(yè),網(wǎng)絡(luò)點(diǎn)也具有分散性.然而,分散中還具有集中的特點(diǎn),它的網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)就應(yīng)該是板塊化的.從信息的角度來講,信息的種類多,各種信息的采集傳輸處理角度也不盡相同,我們?cè)谠O(shè)計(jì)的過程中不僅要考慮硬件的地域布局,也要考慮軟件平臺(tái)的配合.
沒有最好,只有更好;更新觀念,大步向前.我相信,在導(dǎo)師的精心指導(dǎo)下,經(jīng)過我的努力,我將為它們創(chuàng)造出一條平坦,寬闊的"高速公路".
1,論文(設(shè)計(jì))研究的對(duì)象:
擬訂以吉林省林業(yè)系統(tǒng)為地理模型,以林業(yè)網(wǎng)絡(luò)綜合服務(wù)為基本需求,以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為設(shè)計(jì)方向,以軟件整合為應(yīng)用方法,開發(fā)設(shè)計(jì)一套完整的基于集散集團(tuán)企業(yè)的企業(yè)網(wǎng)絡(luò)系統(tǒng).
2,論文(設(shè)計(jì))研究預(yù)期達(dá)到目標(biāo):
通過設(shè)計(jì),論文的撰寫,預(yù)期達(dá)到網(wǎng)絡(luò)設(shè)計(jì)全面化,軟件整合合理化,網(wǎng)絡(luò)性能最優(yōu)化,資金應(yīng)用最低化,工程周期最短化的目標(biāo).
3,論文(設(shè)計(jì))研究的內(nèi)容:
一),主要問題:
設(shè)計(jì)解決網(wǎng)絡(luò)地域規(guī)范與現(xiàn)有網(wǎng)絡(luò)資源的利用和開發(fā).
設(shè)計(jì)解決集中單位的網(wǎng)絡(luò)統(tǒng)一部署.
設(shè)計(jì)解決多類型網(wǎng)絡(luò)的接口部署.
設(shè)計(jì)解決分散網(wǎng)絡(luò)用戶的接入問題.
設(shè)計(jì)解決遠(yuǎn)程瘦用戶網(wǎng)絡(luò)分散點(diǎn)的性能價(jià)格合理化問題.
設(shè)計(jì)解決具有針對(duì)性的輸入設(shè)備的自動(dòng)化信息采集問題.
合理部署網(wǎng)絡(luò)服務(wù)中心的網(wǎng)絡(luò)平衡.
優(yōu)化網(wǎng)絡(luò)服務(wù)系統(tǒng),營造合理的網(wǎng)絡(luò)平臺(tái).
網(wǎng)絡(luò)安全問題.
10,基本應(yīng)用軟件整合問題.
[nextpage]
二),論文(設(shè)計(jì))包含的部分:
1,地理模型與網(wǎng)絡(luò)模型的整合.
2,企業(yè)內(nèi)部集中部門網(wǎng)絡(luò)設(shè)計(jì).
3,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計(jì)——總體分散.
4,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計(jì)——遠(yuǎn)程結(jié)點(diǎn).
5,企業(yè)內(nèi)部分散單元網(wǎng)絡(luò)設(shè)計(jì)——移動(dòng)結(jié)點(diǎn).
6,企業(yè)網(wǎng)絡(luò)窗口(企業(yè)外信息交流)設(shè)計(jì).
7,企業(yè)網(wǎng)絡(luò)中心,服務(wù)平臺(tái)的設(shè)計(jì).
8,企業(yè)網(wǎng)絡(luò)基本應(yīng)用軟件結(jié)構(gòu)設(shè)計(jì).
9,企業(yè)網(wǎng)絡(luò)特定終端接點(diǎn)設(shè)計(jì).
10,企業(yè)網(wǎng)絡(luò)整合設(shè)計(jì).
5,論文(設(shè)計(jì))的實(shí)驗(yàn)方法及理由:
由于設(shè)計(jì)的過程并不是工程的施工過程,在設(shè)計(jì)過程中詳盡的去現(xiàn)場(chǎng)建設(shè)肯定有很大的難度,也不是十分可行的,那么我們?cè)谠O(shè)計(jì)的階段就應(yīng)該進(jìn)行仿真試驗(yàn)和科學(xué)計(jì)算.第一步,通過小型網(wǎng)絡(luò)測(cè)試軟件平臺(tái),第二步,構(gòu)建多個(gè)小型網(wǎng)絡(luò)搭建全局網(wǎng)絡(luò)模擬環(huán)境,第三步,構(gòu)建干擾源利用小型網(wǎng)絡(luò)集總仿真測(cè)試.
6,論文(設(shè)計(jì))實(shí)施安排表:
1.論文(設(shè)計(jì))階段第一周次:相關(guān)理論的學(xué)習(xí)研究,閱讀參考文獻(xiàn)資料,制訂課題研究的實(shí)施方案,準(zhǔn)備試驗(yàn)用網(wǎng)絡(luò)硬件和軟件形成試驗(yàn)程序表及試驗(yàn)細(xì)則.
2.論文(設(shè)計(jì))階段第二周次:開始第一輪實(shí)驗(yàn),進(jìn)行小型網(wǎng)絡(luò)構(gòu)建試驗(yàn),模擬網(wǎng)絡(luò)服務(wù)中心,模擬區(qū)域板塊,模擬遠(yuǎn)程及移動(dòng)網(wǎng)絡(luò).
3.論文(設(shè)計(jì))階段第三周次:進(jìn)行接口模擬試驗(yàn),測(cè)試軟件應(yīng)用平臺(tái),完善課題研究方案.
4.論文(設(shè)計(jì))階段第四周次:完成第一輪實(shí)驗(yàn),提交中期成果(實(shí)驗(yàn)報(bào)告1).
5.論文(設(shè)計(jì))階段第五周次:進(jìn)行第二輪實(shí)驗(yàn),模擬環(huán)境(干擾仿真)實(shí)驗(yàn),提交實(shí)驗(yàn)報(bào)告2.
6.論文(設(shè)計(jì))階段第六周次:完成結(jié)題報(bào)告,形成論文.
三,論文(設(shè)計(jì))實(shí)施工具及參考資料:
小型網(wǎng)絡(luò)環(huán)境,模擬干擾環(huán)境,軟件平臺(tái).
吳企淵《計(jì)算機(jī)網(wǎng)絡(luò)》.
鄭紀(jì)蛟《計(jì)算機(jī)網(wǎng)絡(luò)》.
陳濟(jì)彪 丹青 等 《計(jì)算機(jī)局域網(wǎng)與企業(yè)網(wǎng)》.
christian huitema 《因特網(wǎng)路由技術(shù)》.
[美]othmar kyas 《網(wǎng)絡(luò)安全技術(shù)——風(fēng)險(xiǎn)分析,策略與防火墻》.
其他相關(guān)設(shè)備,軟件的說明書.
1��、論文(設(shè)計(jì))的創(chuàng)新點(diǎn):
努力實(shí)現(xiàn)網(wǎng)絡(luò)資源的全面應(yīng)用,擺脫將單純的網(wǎng)絡(luò)硬件設(shè)計(jì)為企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的模式,大膽實(shí)踐將軟件部署與硬件設(shè)計(jì)階段相整合的網(wǎng)絡(luò)設(shè)計(jì)方法.
題目可行性說明及預(yù)期成果:
篇8
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 09-0000-02
Research&Application of Network Security Management System
Huang Yang
(The 772th Research Institute of China Shipbuilding Industry Corporation,Hubei430064,China)
Abstract:Aiming at the fact that there are lots of potential safety hazard on network,this paper researched and discussed the network security management system.Firstly the current information on network of security management system was analyzed,on the basis of analysis,the design and realization of network information security management system was discussed in details,and the whole structure levels and function models were pointed out;on the other hand,the realization scheme of the network information security management system was analyzed from the client,server and the long-distance communication,the three aspects were also discussed.All this work is significative for enhancing the information security level on network.
Keywords:Network security;Security management;Network management system
一�、引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,信息與網(wǎng)絡(luò)技術(shù)正逐漸改變著人們的政治�、經(jīng)濟(jì)、文化生活的方式�����。同時(shí),隨著人們對(duì)網(wǎng)絡(luò)依賴性的增強(qiáng),網(wǎng)絡(luò)安全問題逐漸暴露,網(wǎng)絡(luò)安全事件層出不窮����。在信息化程度逐步提高的現(xiàn)代社會(huì),信息安全越來越得到關(guān)注。
本論文重點(diǎn)結(jié)合局域網(wǎng)內(nèi)信息安全的要求,對(duì)網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)進(jìn)行開發(fā)設(shè)計(jì)與研究,以期從中找到可靠有效的信息安全管理模式和網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)的開發(fā)管理經(jīng)驗(yàn),并以此和廣大同行分享��。
二�����、網(wǎng)絡(luò)安全監(jiān)管應(yīng)用現(xiàn)狀分析
為了防范安全攻擊,提高網(wǎng)絡(luò)安全性,安全廠商紛紛采用各種安全技術(shù),推出各類安全產(chǎn)品,如防病毒、防火墻��、入侵監(jiān)測(cè)�����、入侵保護(hù)�、VPN等等,并且加強(qiáng)操作系統(tǒng)和應(yīng)用系統(tǒng)自身的安全防護(hù),加強(qiáng)安全審計(jì)。這些措施都在很大程度上提高了網(wǎng)絡(luò)的安全狀況,然而,不同的安全產(chǎn)品都是解決某一方面的安全問題,例如:防火墻用于檢測(cè)和限制外部網(wǎng)絡(luò)對(duì)受保護(hù)網(wǎng)絡(luò)的訪問,對(duì)穿過防火墻的惡意數(shù)據(jù)包卻無能為力,更不能防范內(nèi)部威脅���。
針對(duì)上述情況,需要有相應(yīng)的技術(shù)和產(chǎn)品來整合不同的安全產(chǎn)品,能夠?qū)碜圆煌录吹氖录y(tǒng)一監(jiān)控起來,并對(duì)這些事件進(jìn)行分析,向用戶提供網(wǎng)絡(luò)運(yùn)行的整體安全狀況,有效減少誤報(bào)和漏報(bào),極大提高報(bào)警準(zhǔn)確性,發(fā)現(xiàn)復(fù)雜的攻擊行為,并能根據(jù)保存的歷史事件數(shù)據(jù)對(duì)事件進(jìn)行深入調(diào)查和安全審計(jì)���。
為了解決上述問題,本文提出了統(tǒng)一的網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),該系統(tǒng)從網(wǎng)絡(luò)的整體安全出發(fā),通過對(duì)網(wǎng)絡(luò)中各種安全設(shè)備的集中監(jiān)控,收集各安全設(shè)備產(chǎn)生的安全事件,并通過對(duì)收集到各種安全事件進(jìn)行深層的分析、統(tǒng)計(jì)和關(guān)聯(lián),定位安全風(fēng)險(xiǎn),對(duì)各類安全事件及時(shí)提供處理方法和建議的安全解決方案��。
三���、網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)的設(shè)計(jì)研究
(一)系統(tǒng)總體層次架構(gòu)設(shè)計(jì)
安全監(jiān)測(cè)分析系統(tǒng)的基本功能是采集防火墻�、IDS����、IPS、網(wǎng)站防護(hù)設(shè)備、防病毒網(wǎng)關(guān)等安全設(shè)備安全事件,對(duì)網(wǎng)絡(luò)邊界進(jìn)行全天候?qū)崟r(shí)安全監(jiān)測(cè)及深度分析�。整合各種安全事件并進(jìn)行關(guān)聯(lián)分析,實(shí)時(shí)顯示全網(wǎng)安全態(tài)勢(shì),并形成各類安全監(jiān)測(cè)分析報(bào)告。
根據(jù)功能要求,安全監(jiān)測(cè)分析系統(tǒng)的軟件結(jié)構(gòu)由下至上,由三個(gè)層次組成:采集層����、分析層、展示層����。采集層負(fù)責(zé)從安全設(shè)備中收集這些設(shè)備產(chǎn)生的安全日志,此外還從交換機(jī)鏡像流量中分析收集攻擊事件和敏感信息。采集層收集到的數(shù)據(jù)按照指定的篩選要求進(jìn)行篩選后發(fā)送給分析層進(jìn)行集中的存儲(chǔ)和分析�。由于安全設(shè)備發(fā)送過來的日志采用的協(xié)議不同,報(bào)文內(nèi)部的格式也不同,需要采集端能夠?qū)ζ溥M(jìn)行識(shí)別和預(yù)處理,即對(duì)安全事件進(jìn)行標(biāo)準(zhǔn)化處理。分析層對(duì)采集到的海量數(shù)據(jù)進(jìn)行集中的存儲(chǔ)和分析,以提取出主要關(guān)注的信息����。分析層實(shí)現(xiàn)數(shù)據(jù)接收����、實(shí)時(shí)分析、深度分析的功能�。其中包括事件準(zhǔn)確定位、時(shí)間關(guān)聯(lián)分析�、知識(shí)庫、安全態(tài)勢(shì)分析��、告警生成、存儲(chǔ)索引���、數(shù)據(jù)統(tǒng)計(jì)���、人工分析與報(bào)告等。展示層提供人機(jī)交互接口,將分析結(jié)果以直觀的形式展示給安全管理員,并接受安全管理員的操作指令�����。
(二)系統(tǒng)功能模塊設(shè)計(jì)
本論文所設(shè)計(jì)的網(wǎng)絡(luò)信息安全監(jiān)管系統(tǒng),也采用分散式管理的模式,以客戶端和服務(wù)器構(gòu)成整個(gè)局域網(wǎng)信息的安全監(jiān)管模式��。
以客戶端與服務(wù)器結(jié)構(gòu)的設(shè)計(jì),安全監(jiān)管系統(tǒng)的客戶端,是安裝于遠(yuǎn)端上的監(jiān)控程序,它的主要的功能需求為以下四方面:
1.提供管理對(duì)各組件的安裝����、刪除、及運(yùn)行參數(shù)的設(shè)置與維護(hù);
2.提供所有監(jiān)控內(nèi)容的查看并發(fā)給遠(yuǎn)端監(jiān)控服務(wù)器;
3.提供實(shí)時(shí)信息捕獲;
4.提供對(duì)服務(wù)器監(jiān)控端的自動(dòng)升級(jí),升級(jí)不成功可恢復(fù)最后一次有效版本����。
安全監(jiān)管系統(tǒng)的服務(wù)器端,是安裝于本地的、可對(duì)遠(yuǎn)端監(jiān)控程序進(jìn)行有效管理與信息接收,它的主要功能需求為以下幾方面:
1.提供實(shí)時(shí)顯示服務(wù)器的監(jiān)控內(nèi)容;
2.提供有效的遠(yuǎn)端控制;
3.提供對(duì)遠(yuǎn)端服務(wù)器監(jiān)控端的升級(jí)管理;
4.支持多管理員管理;
5.提供有效的數(shù)據(jù)雙重備份功能��。
(三)系統(tǒng)的具體實(shí)現(xiàn)
1.網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)客戶端設(shè)計(jì)
客戶端的設(shè)計(jì)為三個(gè)部分:狀態(tài)掃描模塊��、信息收發(fā)模塊和參數(shù)管理工具��。
(1)狀態(tài)掃描模塊:是用于狀態(tài)掃描的驅(qū)動(dòng)。它將為整個(gè)系統(tǒng)提供與服務(wù)器進(jìn)行通信的模塊����、信息收發(fā)模塊和參數(shù)管理工具。
(2)信息收發(fā)模塊:它將與狀態(tài)掃描模塊進(jìn)行通信,并將收集和整理好的數(shù)據(jù)發(fā)給遠(yuǎn)端的監(jiān)控管理端��。
(3)參數(shù)管理工具:可以進(jìn)行參數(shù)設(shè)定的工具���。
當(dāng)信息收發(fā)模塊收集到信息時(shí),轉(zhuǎn)發(fā)到遠(yuǎn)程控制程序上,但是有個(gè)問題會(huì)出現(xiàn),當(dāng)一臺(tái)機(jī)器發(fā)送信息時(shí),遠(yuǎn)程服務(wù)端可以正常接收到信息,但當(dāng)同時(shí)有一千個(gè)這樣的信息從不同的服務(wù)器傳來時(shí),控制端程序?qū)?huì)面臨巨大的負(fù)載,最重要的是可能會(huì)丟掉重要的信息,如遠(yuǎn)端的告警信息��。所以對(duì)于要發(fā)送的信息,在發(fā)送和接收時(shí)都需要進(jìn)行一些處理,它們將被分開來發(fā)送,并且發(fā)送到不同的服務(wù)器程序上�。
2.網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)服務(wù)器設(shè)計(jì)
服務(wù)器端設(shè)計(jì)成一個(gè)C/S結(jié)構(gòu),每個(gè)管理員所使用的將是一個(gè)可登錄的管理客戶端程序,但是這里的服務(wù)器將不是一個(gè),而是多個(gè),因?yàn)槎鄠€(gè)服務(wù)器端程序?qū)⒂脕硖幚聿煌男畔?����。服?wù)器端可以處理多種形式的數(shù)據(jù),有效減少單機(jī)的通信負(fù)載���、降低整體結(jié)構(gòu)的處理難度,從而對(duì)于不同權(quán)限的管理員進(jìn)行管理��。管理員將使用管理終端程序進(jìn)行登錄后在不同的服務(wù)器端上進(jìn)行相應(yīng)的數(shù)據(jù)查詢,這樣的結(jié)構(gòu)可以使設(shè)計(jì)與實(shí)現(xiàn)變得容易。
3.網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)通信方式設(shè)計(jì)
為了解決遠(yuǎn)程通信的問題,在發(fā)送端會(huì)將信息分類處理,并發(fā)給不同的接收端,這樣作的最大好處在于,可以減少處理難度和降低通信負(fù)載�����。信息可以分為三大類:
(1)用于管理的狀態(tài)信息;
(2)用于管理區(qū)域的信息;
(3)告警信息。
對(duì)于在多管理員管理時(shí)同樣會(huì)發(fā)揮良好的結(jié)構(gòu)優(yōu)勢(shì)��。當(dāng)有多個(gè)管理員同時(shí)在管理不同的服務(wù)器時(shí),他們只需按其所需與這些服務(wù)器進(jìn)行交互,例如一個(gè)管理員如果想查看局域網(wǎng)在線人數(shù)���、局域網(wǎng)資源占用等等信息時(shí),只需要與服務(wù)器進(jìn)行通信,而維護(hù)人員在檢查服務(wù)器時(shí)它可能只會(huì)在狀態(tài)服務(wù)器進(jìn)行查看,而在告警出現(xiàn)時(shí)告警服務(wù)器會(huì)保存告警信息,并發(fā)出警告等待人員處理�。
四��、結(jié)語
在信息化時(shí)代的今天,網(wǎng)絡(luò)十分容易受到非法攻擊和侵入,為此對(duì)于網(wǎng)絡(luò)安全的監(jiān)管顯得十分重要,本論文對(duì)于網(wǎng)絡(luò)信息安全監(jiān)管系統(tǒng)的設(shè)計(jì)研究,對(duì)于網(wǎng)絡(luò)信息安全監(jiān)理與管理是一次有益的嘗試與探索,當(dāng)然,其中還有很多的技術(shù)問題有待于廣大技術(shù)工作人員的共同努力,才能夠最終實(shí)現(xiàn)我國網(wǎng)絡(luò)信息安全的有效監(jiān)理與管理,進(jìn)而保障信息安全�����。
參考文獻(xiàn):
篇9
2���、計(jì)算機(jī)科學(xué)與技術(shù)的應(yīng)用現(xiàn)狀與未來趨勢(shì)
3����、計(jì)算機(jī)信息處理技術(shù)在大數(shù)據(jù)時(shí)代背景下的滲透
4��、計(jì)算機(jī)基礎(chǔ)課程應(yīng)用教學(xué)思考和感悟
5�����、中職中藥專業(yè)計(jì)算機(jī)應(yīng)用基礎(chǔ)教學(xué)改革實(shí)踐
6���、淺談虛擬現(xiàn)實(shí)技術(shù)在中職計(jì)算機(jī)基礎(chǔ)教學(xué)中應(yīng)用的必要性
7�����、計(jì)算機(jī)圖像處理技術(shù)在UI設(shè)計(jì)中的應(yīng)用
8�、計(jì)算機(jī)生成兵力行為建模發(fā)展現(xiàn)狀
9、智慧檔案館計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)
10�����、淺談如何提高計(jì)算機(jī)網(wǎng)絡(luò)的安全穩(wěn)定性
11��、計(jì)算機(jī)應(yīng)用技術(shù)與信息管理的整合探討
12�、計(jì)算機(jī)科學(xué)技術(shù)小組合作學(xué)習(xí)研究
13、計(jì)算機(jī)科學(xué)與技術(shù)有效教學(xué)策略研究 >>>>>計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)病毒及其防范措施畢業(yè)論文
14��、互聯(lián)網(wǎng)+背景下高校計(jì)算機(jī)教學(xué)改革的認(rèn)識(shí)
15�、藝術(shù)類應(yīng)用型本科高校"計(jì)算機(jī)基礎(chǔ)"課程教學(xué)改革研究
16、計(jì)算機(jī)技術(shù)在石油工業(yè)中應(yīng)用的實(shí)踐與認(rèn)識(shí)
17�����、計(jì)算機(jī)技術(shù)在電力系統(tǒng)自動(dòng)化中的應(yīng)用研究
18���、微課在中職計(jì)算機(jī)基礎(chǔ)教學(xué)中的應(yīng)用探析
19��、課程思政在計(jì)算機(jī)基礎(chǔ)課程中的探索
20�����、計(jì)算機(jī)服務(wù)器虛擬化關(guān)鍵技術(shù)探析
21�����、計(jì)算機(jī)網(wǎng)絡(luò)工程安全存在問題及其對(duì)策研究
22��、人工智能在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的運(yùn)用
23�、慕課在中職計(jì)算機(jī)應(yīng)用基礎(chǔ)教學(xué)中的運(yùn)用
24���、淺析如何提高高校計(jì)算機(jī)課程教學(xué)效率
25���、項(xiàng)目教學(xué)在計(jì)算機(jī)基礎(chǔ)實(shí)訓(xùn)課程中的應(yīng)用分析
26、高職計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)中項(xiàng)目式教學(xué)的應(yīng)用
27��、計(jì)算機(jī)信息安全技術(shù)在校園網(wǎng)絡(luò)的實(shí)踐思考
28��、大數(shù)據(jù)背景下的計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及優(yōu)化策略
篇10
論文關(guān)鍵詞:計(jì)算機(jī)��,網(wǎng)絡(luò)安全����,安全管理��,密鑰安全技術(shù)
當(dāng)今社會(huì).網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞.然而伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升���,原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來越棘手的問題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識(shí)和一些常用的安全防范技術(shù)�。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全����。網(wǎng)絡(luò)信息的傳輸、存儲(chǔ)����、處理和使用都要求處于安全狀態(tài)可見.網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動(dòng)態(tài)安全兩種靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實(shí)性:動(dòng)態(tài)安全是指信息在傳輸過程中不被篡改���、竊取����、遺失和破壞�����。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》。報(bào)告顯示�����,截至2008年底���,中國網(wǎng)民數(shù)達(dá)到2.98億.手機(jī)網(wǎng)民數(shù)超1億達(dá)1.137億。
Research艾瑞市場(chǎng)咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計(jì)數(shù)據(jù)顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項(xiàng).達(dá)20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠(yuǎn)程控制”提及率為6.1%“無影響”的只有4.2%��。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無論從采用的管理模型�����,還是技術(shù)控制���,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理��、人員的管理����、制度的管理�����、機(jī)構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂。
在機(jī)構(gòu)或部門中.各層次人員的責(zé)任感.對(duì)信息安全的認(rèn)識(shí)�、理解和重視程度,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應(yīng)商�����、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮進(jìn)去.則成本會(huì)更低��、效率會(huì)更高那么做好網(wǎng)絡(luò)信息安全管理.至少應(yīng)從下面幾個(gè)方面人手.再結(jié)合本部門的情況制定管理策略和措施:
①樹立正確的安全意識(shí).要求每個(gè)員工都要清楚自己的職責(zé)分工如設(shè)立專職的系統(tǒng)管理員.進(jìn)行定時(shí)強(qiáng)化培訓(xùn).對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行定時(shí)檢測(cè)等��。
2)有了明確的職責(zé)分工.還要保障制度的貫徹落實(shí).要加強(qiáng)監(jiān)督檢查建立嚴(yán)格的考核制度和獎(jiǎng)懲機(jī)制是必要的�����。
③對(duì)網(wǎng)絡(luò)的管理要遵循國家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運(yùn)行�����。
④應(yīng)明確網(wǎng)絡(luò)信息的分類.按等級(jí)采取不同級(jí)別的安全保護(hù)����。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達(dá)到76.5%。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜.易安裝.并可在線升級(jí)等特點(diǎn)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障��,以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入���。它通過監(jiān)測(cè)�、限制�、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息���、結(jié)構(gòu)和運(yùn)行狀況.以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。
4.2認(rèn)證技術(shù)
認(rèn)證是防止主動(dòng)攻擊的重要技術(shù).它對(duì)開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認(rèn)證的主要目的有兩個(gè):
①驗(yàn)證信息的發(fā)送者是真正的主人
2)驗(yàn)證信息的完整性�����,保證信息在傳送過程中未被竄改�、重放或延遲等。
4.3信息加密技術(shù)
加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密.兩種方法各有所長(zhǎng).可以結(jié)合使用.互補(bǔ)長(zhǎng)短����。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機(jī)密信息對(duì)信息隱藏而吉.可能的監(jiān)測(cè)者或非法攔截者則難以從公開信息中判斷機(jī)密信息是否存在.難以截獲機(jī)密信息.從而能保證機(jī)密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景。數(shù)字水印是信息隱藏技術(shù)的一個(gè)重要研究方向.它是通過一定的算法將一些標(biāo)志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價(jià)值和使用.并且不能被人的感覺系統(tǒng)覺察或注意到�����。
4.5入侵檢測(cè)技術(shù)的應(yīng)用
篇11
1 引言
隨著網(wǎng)絡(luò)的廣泛普及和應(yīng)用�����,政府、軍隊(duì)大量的機(jī)密文件和重要數(shù)據(jù)��,企業(yè)的商業(yè)秘密乃至個(gè)人信息都存儲(chǔ)在計(jì)算機(jī)中�,一些不法之徒千方百計(jì)地“闖入”網(wǎng)絡(luò),竊取和破壞機(jī)密材料及個(gè)人信息����。據(jù)專家分析,我國80%的網(wǎng)站是不安全的���,40%以上的網(wǎng)站可以輕易的被入侵��。網(wǎng)絡(luò)給人們生活帶來不愉快和尷尬的事例舉不勝舉:存儲(chǔ)在計(jì)算機(jī)中的信息不知不覺被刪除;在數(shù)據(jù)庫中的記錄不知道何時(shí)被修改;正在使用的計(jì)算機(jī)卻不知道何故突然“死機(jī)”等等諸如此類的安全威脅事件數(shù)不勝數(shù)��。因此��,網(wǎng)絡(luò)信息的安全性具有舉足輕重的作用����。
本論文主要針對(duì)分布式網(wǎng)絡(luò)的信息安全展開分析討論��,通過對(duì)分布式網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)研究��,以期找到可供借鑒的提高分布式網(wǎng)絡(luò)信息安全水平的防范手段或方法,并和廣大同行分享�����。
2 網(wǎng)絡(luò)安全管理技術(shù)概述
在當(dāng)今這個(gè)信息化社會(huì)中����,一方面,硬件平臺(tái)���,操作系統(tǒng)平臺(tái)��,應(yīng)用軟件等IT系統(tǒng)已變得越來越復(fù)雜和難以統(tǒng)一管理;另一方面,現(xiàn)代社會(huì)生活對(duì)網(wǎng)絡(luò)的高度依賴����,使保障網(wǎng)絡(luò)的通暢、可靠就顯得尤其重要����。這些都使得網(wǎng)絡(luò)管理技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中人們公認(rèn)的關(guān)鍵技術(shù)。
網(wǎng)絡(luò)管理從功能上講一般包括配置管理����、性能管理、安全管理、故障管理等���。由于網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)信息系統(tǒng)的性能���、管理的關(guān)聯(lián)及影響趨于更復(fù)雜、更嚴(yán)重����,網(wǎng)絡(luò)安全管理還逐漸成為網(wǎng)絡(luò)管理技術(shù)中的一個(gè)重要分支,正受到業(yè)界及用戶的日益深切的廣泛關(guān)注�����。
目前����,在網(wǎng)絡(luò)應(yīng)用的深入和技術(shù)頻繁升級(jí)的同時(shí),非法訪問����、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈�。防火墻、VPN��、防病毒、身份認(rèn)證����、數(shù)據(jù)加密、安全審計(jì)等安全防護(hù)和管理系統(tǒng)在網(wǎng)絡(luò)中得到了廣泛應(yīng)用���。雖然這些安全產(chǎn)品能夠在特定方面發(fā)揮一定的作用���,但是這些產(chǎn)品大部分功能分散,各自為戰(zhàn)��,形成了相互沒有關(guān)聯(lián)的���、隔離的“安全孤島”�,各種安全產(chǎn)品彼此之間沒有有效的統(tǒng)一管理調(diào)度機(jī)制�����,不能互相支撐�、協(xié)同工作���,從而使安全產(chǎn)品的應(yīng)用效能無法得到充分的發(fā)揮��。
從網(wǎng)絡(luò)安全管理員的角度來說����,最直接的需求就是在一個(gè)統(tǒng)一的界面中監(jiān)視網(wǎng)絡(luò)中各種安全設(shè)備的運(yùn)行狀態(tài),對(duì)產(chǎn)生的大量日志信息和報(bào)警信息進(jìn)行統(tǒng)一匯總��、分析和審計(jì);同時(shí)在一個(gè)界面完成安全產(chǎn)品的升級(jí)����、攻擊事件報(bào)警、響應(yīng)等功能���。但是���,一方面,由于現(xiàn)今網(wǎng)絡(luò)中的設(shè)備���、操作系統(tǒng)�����、應(yīng)用系統(tǒng)數(shù)量眾多�����、構(gòu)成復(fù)雜�����,異構(gòu)性��、差異性非常大�����,而且各自都具有自己的控制管理平臺(tái)�、網(wǎng)絡(luò)管理員需要學(xué)習(xí)、了解不同平臺(tái)的使用及管理方法��,并應(yīng)用這些管理控制平臺(tái)去管理網(wǎng)絡(luò)中的對(duì)象(設(shè)備�、系統(tǒng)、用戶等)���,工作復(fù)雜度非常之大��。另一方面,應(yīng)用系統(tǒng)是為業(yè)務(wù)服務(wù)的;企業(yè)內(nèi)的員工在整個(gè)業(yè)務(wù)處理過程中處于不同的工作崗位�,其對(duì)應(yīng)用系統(tǒng)的使用權(quán)限也不盡相同,網(wǎng)絡(luò)管理員很難在各個(gè)不同的系統(tǒng)中保持用戶權(quán)限和控制策略的全局一致性��。
另外,對(duì)大型網(wǎng)絡(luò)而言���,管理與安全相關(guān)的事件變得越來越復(fù)雜���。網(wǎng)絡(luò)管理員必須將各個(gè)設(shè)備、系統(tǒng)產(chǎn)生的事件�����、信息關(guān)聯(lián)起來進(jìn)行分析��,才能發(fā)現(xiàn)新的或更深層次的安全問題��。因此�,用戶的網(wǎng)絡(luò)管理需要建立一種新型的整體網(wǎng)絡(luò)安全管理解決方案—分布式網(wǎng)絡(luò)安全管理平臺(tái)來總體配置、調(diào)控整個(gè)網(wǎng)絡(luò)多層面����、分布式的安全系統(tǒng),實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控�、統(tǒng)一策略管理、智能審計(jì)及多種安全功能模塊之間的互動(dòng)�����,從而有效簡(jiǎn)化網(wǎng)絡(luò)安全管理工作,提升網(wǎng)絡(luò)的安全水平和可控制性�、可管理性,降低用戶的整體安全管理開銷����。
3 分布式網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)
3.1 分布式網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)分析
隨著Internet技術(shù)的發(fā)展,現(xiàn)在的企業(yè)網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大����,設(shè)備物理分布變得十分復(fù)雜,許多企業(yè)都設(shè)有專門的網(wǎng)絡(luò)管理部門����,來應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)中可能出現(xiàn)的問題,以保證企業(yè)業(yè)務(wù)的正常運(yùn)行���。這些網(wǎng)絡(luò)管理部門的工作人員可能會(huì)根據(jù)需要分布在不同的業(yè)務(wù)部門中��,甚至不同的城市中�����,這就導(dǎo)致原有的集中式網(wǎng)絡(luò)設(shè)備平臺(tái)管理已經(jīng)不能滿足企業(yè)的需求�。復(fù)合式網(wǎng)絡(luò)安全管理平臺(tái)必須能夠?qū)崿F(xiàn)遠(yuǎn)程�����、多用戶�、分級(jí)式管理,同時(shí)要保證整個(gè)平臺(tái)系統(tǒng)的安全性��。
針對(duì)以上需求�,本網(wǎng)絡(luò)安全管理平臺(tái)設(shè)計(jì)為一種網(wǎng)絡(luò)遠(yuǎn)程管理系統(tǒng),采取服務(wù)器和客戶端的模式���。
(1) 分布式網(wǎng)絡(luò)安全管理平臺(tái)服務(wù)器端
分布式網(wǎng)絡(luò)安全管理平臺(tái)的服務(wù)器端是整個(gè)管理系統(tǒng)的核心��,它位于要管理的企業(yè)網(wǎng)絡(luò)內(nèi)部的一臺(tái)服務(wù)器上�����,掌控著所有的網(wǎng)絡(luò)資源���,對(duì)被管網(wǎng)絡(luò)資源的操作都是由平臺(tái)服務(wù)器端直接完成。
分布式網(wǎng)絡(luò)安全管理平臺(tái)的各種管理功能模塊是相對(duì)獨(dú)立存在的�,而服務(wù)器端相當(dāng)于一個(gè)大容器,當(dāng)需要某種管理功能時(shí)���,就可以通過一定的方法���,將管理模塊動(dòng)態(tài)加載到服務(wù)器端上�。管理模塊完成管理的具體功能�,管理模塊既可以單獨(dú)完成某種管理功能,也可以通過服務(wù)器端提供的服務(wù)���,協(xié)作完成特定的管理功能�����。服務(wù)器端還提供了一個(gè)公共的通信接口��,通過這個(gè)通信接口�����,服務(wù)器端上的管理功能模塊就可以實(shí)現(xiàn)與客戶端的交互��。
(2) 分布式網(wǎng)絡(luò)安全管理平臺(tái)客戶端
客戶端相當(dāng)于一個(gè)個(gè)企業(yè)網(wǎng)絡(luò)的管理員,這些管理員己經(jīng)被分配給不同的用戶名和密碼�����,從而對(duì)應(yīng)于不同的平臺(tái)操作權(quán)限。管理員可以通過局域網(wǎng)或者Internet登陸到管理平臺(tái)的服務(wù)器���。_服務(wù)器端實(shí)現(xiàn)網(wǎng)絡(luò)安全管理平臺(tái)的各種管理功能�����。每當(dāng)有用戶登陸到服務(wù)器時(shí)�����,首先服務(wù)器端有一個(gè)用戶鑒別和權(quán)限判斷����,通過后,根據(jù)權(quán)限不同的平臺(tái)管理信息被傳送回客戶端����,客戶端將這些管理信息顯示出來。如果管理員在客戶端進(jìn)行了某些操作���,客戶端會(huì)將這些操作信息發(fā)送到服務(wù)器,服務(wù)器對(duì)用戶和操作進(jìn)行權(quán)限鑒定�����,通過后,服務(wù)器就調(diào)用相應(yīng)的管理功能模塊來實(shí)現(xiàn)操作���,并將結(jié)果返回給客戶端���,客戶端進(jìn)行相應(yīng)的顯示���。
3.2 分布式網(wǎng)絡(luò)的安全策略管理設(shè)計(jì)
策略管理的目標(biāo)是可以通過集中的方式高效處理大量防火墻的策略配 置問題����。隨著網(wǎng)絡(luò)規(guī)模與業(yè)務(wù)模式的不斷增長(zhǎng)變化����,對(duì)IT基礎(chǔ)設(shè)施的全局統(tǒng)一管理越來越成為企業(yè)IT部門的重要職責(zé);策略的集中管理更有效的描述了全網(wǎng)設(shè)備的基本情況,便于設(shè)備間的協(xié)作�����、控制��,能夠提高問題診斷能力����,提高運(yùn)營的可靠性;另一方面�,也極大的減輕了管理員的工作強(qiáng)度����,使其工作效率大幅度提高��。
策略管理并不是系統(tǒng)中孤立的模塊����,它與節(jié)點(diǎn)管理����、權(quán)限管理有著緊密的聯(lián)系。由于節(jié)點(diǎn)管理將全網(wǎng)劃分為若干管理域��,每個(gè)管理域中還有相應(yīng)的下級(jí)組織部門����,因此策略管理首先與節(jié)點(diǎn)信息相聯(lián)系,這也就隱含了策略的層級(jí)配置管理���。
另外���,策略是由某個(gè)具有一定權(quán)限的管理員對(duì)某個(gè)管理域或設(shè)備制訂的,因此策略是否能定制成功需要調(diào)用權(quán)限管理中的功能加以判定�,因此隱含了策略的可行性管理。全網(wǎng)策略被統(tǒng)一存儲(chǔ)����,結(jié)合節(jié)點(diǎn)管理,策略存儲(chǔ)有它自身的結(jié)構(gòu)特點(diǎn)���,這些屬于策略的存儲(chǔ)管理。
策略按照一定的時(shí)間��、順序被部署到具體的設(shè)備上����,無論策略是對(duì)管理域定制的,還是對(duì)設(shè)備制訂的����,所有相關(guān)的策略最終都要被下發(fā)的設(shè)備中去�����,下發(fā)的方式能夠根據(jù)實(shí)際網(wǎng)絡(luò)拓?fù)涞淖兓鲞m應(yīng)性調(diào)整����,這些屬于策略的管理。
3.3 分布式網(wǎng)絡(luò)信息安全構(gòu)建技術(shù)
(1) 構(gòu)筑入侵檢測(cè)系統(tǒng)(IDS)
不同于防火墻�,IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備,沒有跨接在任何鏈路上���,無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此�,對(duì)IDS的部署,唯一的要求是:IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上���。
(2) 構(gòu)筑入侵防御(IPS)
入侵防御是一種主動(dòng)的、積極的入侵防范�、阻止系統(tǒng)�����,它部署在網(wǎng)絡(luò)的進(jìn)出口處�,當(dāng)它檢測(cè)到攻擊企圖后,它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷����。入侵防御系統(tǒng)在網(wǎng)絡(luò)邊界檢查到攻擊包的同時(shí)將其直接拋棄��,則攻擊包將無法到達(dá)目標(biāo),從而可以從根本上避免黑客的攻擊��。
(3) 采用郵件防病毒服務(wù)器
郵件防病毒服務(wù)器安裝位置一般是郵件服務(wù)器與防火墻之間�����。郵件防病毒軟件的作用:對(duì)來自INTERNTE的電子郵件進(jìn)行檢測(cè)�����,根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件��。郵件防病毒軟件的監(jiān)控范圍包括所有來自INTERNET的電子郵件以及所屬附件�。
4 結(jié)語
