企业计算机网络安全系统设计与实现Word格式文档下载.doc
- 文档编号:1497779
- 上传时间:2023-04-30
- 格式:DOC
- 页数:41
- 大小:998.50KB
企业计算机网络安全系统设计与实现Word格式文档下载.doc
《企业计算机网络安全系统设计与实现Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《企业计算机网络安全系统设计与实现Word格式文档下载.doc(41页珍藏版)》请在冰点文库上搜索。
INTRANET不完全是LAN的概念,通过与互联网的连接,企业网络的范围可以跨区域,甚至跨越国界[3]。
现在很多有远见的商界领袖感受到企业信息化的重要性,已经建立了自己的企业网络和内部网,并通过各种广域网和互联网连接。
网络在我国的快速发展只有近几年才出现,企业网络安全事件的出现已经非常多[4]。
因此,我们积极开展企业网络建设,学习吸收国外企业网络建设和管理经验,运用网络安全将一些企业网络风险和漏洞降至最低。
随着威胁的迅速发展,计算机网络的安全目标不断变化。
因此,只有不断更新病毒和其他软件不断升级以确保安全。
对于包含敏感信息资产的业务系统和设备,企业可以统一应用该方法,从而确保病毒签名文件的更新、入侵检测和防火墙配置以及安全系统的其它关键环节。
简单的技术无法解决安全问题。
只有依靠健全的战略和程序,并配合适当的人员和物质安全措施,整合安全解决方案才能发挥最大的作用。
健全的安全政策和标准规定了需要保护的内容,应根据权限和需要划分人员的职能。
公司需要高度支持安全政策,提高员工意识,有助于成功实施战略[5]。
全面的安全策略提高了目标计算机网络的整体安全性,这是通过使用网络安全独立产品无法实现的。
不管内部和外部安全问题如何,确保所有这些功能都得到实施。
维护安全的基本框架非常重要[6]。
1.2企业网络安全系统国内外研究现状
企业网从初始单一数据交换发展到集成智能综合网络,已经经历了十几年的时间。
在此过程中,企业网络人员逐渐实现了网络架构设计多层次,多元素化。
它包括主机系统、应用服务、网络服务、资源、并支持业务的正常运行。
现在企业对网络的需求越来越高,对网络的依赖越来越强,这表明企业管理、生产和销售网络发挥了很强的支撑作用[7]。
1.2.1国内企业网络安全系统现状
随着宽带互联网的快速发展,企业网络安全形势恶化,受访企业中有部分企业发生网络信息安全事件,其中一些企业感染了病毒、蠕虫和木马[8]。
一些公司有网络端口扫描。
在这种情况下,企业网络安全和网络安全管理已成为国内政府、学术界和行业关注的焦点。
从政府的角度来看,企业网络具有重要的战略意义:
企业网络是国家信息化基础设施,肩负着保护网络和信息安全的重要责任,也反映了国家主权。
在学术领域,信息安全是一个综合性学科领域,不仅包括数学、物理,还包括通信、计算机等综合学科。
其研究不仅包括网络安全技术的研究和设计,整体解决方案,还包括网络安全产品的开发等[9]。
在行业中,我们的产品缺乏核心竞争力:
信息安全产品和国外厂商的自主开发,几乎都属于低端产品。
例如,国际先进的网络安全解决方案和产品,是我国禁止的,我们只能学习这些先进的技术和产品。
面对日益严重的网络和信息安全形势,我国政府、学术界、产业界等高度关注,信息安全的重要性已经提升到前所未有的战略高度。
2000年以后,我国制定了一批信息安全法规和部门规章制度,基本形成统一,分工明确的负责任组织,网络安全事故应急响应协调机制初步建立,实施信息安全关键技术研究,启动相应的体系建设,开展计算机信息系统分类安全体系建设监督管理,开发了一批专业信息安全产品,网络信息安全产业开始形成规模。
我国信息网络安全管理与控制系统研究与开发在初期阶段,2006年,古利勇等对网络管理平台架构进行了研究,提出了系统框架。
安全策略管理分析。
安全预警管理、资产风险管理、安全事件集中监控、安全知识管理、安全报告管理等六大核心功能模块[10]。
2008年,孙强等提出了基于消息通信安全管理体系的模型,介绍了安全管理体系的结构和实现机制,并对系统实现中的关键技术和解决方案进行了介绍,包括系统架构、消息通信机制、系统安全机制和安全风险模型及数据一致性维护等[11]。
2010年,史简等研究提出了统一的网络安全管理平台,运用风险评估和事件相关技术,实时分析网络风险情况,减少误报和漏报[11]。
赵泉2011年指出,加密技术是信息安全网络安全技术的核心[12]。
2013年,阎廷瑞提出了信息传输和存储的安全性,为网络应用系统信息安全模型的基本要素和资源访问的安全控制提供了一种更简单可行的认证和安全管理解决方案[13]。
2015年,刘金华等研究设计了新的监控管理系统,通过数据采集、数据分析、实现网络内主机设备性能数据分析与监控控制策略[14]。
朱周华在2016年提出了一种新的网络和信息安全架构模型[15]。
1.2.2国外企业网络安全系统现状
自20世纪70年代中期以来,英美等西方发达国家已经开始重视网络和信息安全问题。
经过多年的发展,在理论研究、标准制定、产品开发、安全体系建设,人才培养等方面取得了很多成果[16]。
本文回顾了信息安全技术发展的路径,W.Diffie和W.Hellman提出了公钥密码学与David.Bell和LconardLaPadufa提出计算机安全模型,信息安全从初步的单阶段保密到预防和检测、评估、控制等方面提出了计算机安全模型,信息安全处于快速发展阶段“攻、防和测、评、控、管为一体的安全成熟的系统之一[17]。
从目前的市场结构来看,信息安全技术保持领先的是美国、英国、法国和以色列;
研究内容主要针对安全协议和安全架构设计,包括:
安全协议分析方法,安全协议研究与设计的使用;
安全架构设计,包括安全系统模型、研究和建立安全策略和机制,以及系统对安全性的检查和评估[15]。
安全协议研究中最关键的问题之一是安全分析方法的形式分析。
目前,该领域的成果包括电子商务协议、协议、简单网络管理协议和安全操作系统,安全数据库系统[16]。
从当前产品的角度来看,目前主流的安全产品有防火墙、安全服务器、入侵检测系统、安全数据库、认证产品等[16]。
从国外企业信息化建设的角度看,发达国家的许多企业将信息化迈向战略高度,大量信息技术投入和发展(一般信息投入占总资产的10%,加快获取信息技术。
例如,美国所有的大公司都实现了办公自动化,一些跨国公司实现虚拟办公[17];
同时这些大型企业基本上都是通过信息技术实现首席信息官改进这些企业的决策、管理和经营,并获得新的发展机遇[18]。
AntoineJoux(2011)在其《AlgorithmicCrpytanalysis》一书中指出,加密算法和验证技术与网络安全密切相关[19]。
外国学者JosephMiggaKizza(2013)著作《COMPUTERNETWORKSECURITYANDCYBERETHICS,4THED》中针对近年来新型的加密技术进行了阐述[20]。
从国外企业实施信息化的角度来看,一般国际企业随着信息技术的推广,其业务网络延伸到最广泛的地方。
然而,由于新技术的飞速发展,信息安全的一般公司面临着诸多问题和困难,所以他们将如网络防火墙技术、入侵检测技术、数据安全技术、安全技术投资外包给第三方等[21]。
1.3课题主要研究内容
本文的主要工作是分析内部网络安全检测系统的关键技术。
在此基础上,完成了网络安全检测系统的设计与开发,主要包括以下几个方面。
1.本文分析了网络编程技术中的安全检测系统,主机状态监控技术和用户权限管理以及数据安全技术,提出了具体的实现方案。
有关系统信息收集,用户行为数据和网络数据采集的基本概述和相关关键技术,以及对开发环境中使用的系统的简要介绍。
2.分析安全检查系统的具体需求,包括功能和非功能要求,并阐明任务的范围和内容。
简要介绍了网络安全检测系统的要求,详细分析了系统的整体功能和子功能。
最后,介绍了系统的性能、易用性、接口要求和非功能要求。
3.完成安全检测系统的整体框架设计,给出系统功能的具体设计。
本文介绍了网络安全检测系统的设计过程,给出了系统的功能结构和处理逻辑设计,并描述了核心数据结构、用户界面、数据结构和安全设计过程。
4.完成安全检测系统的编码和实现,并对系统进行了测试和分析。
介绍了系统的实现,系统的整体拓扑结构和软件系统的逻辑结构,分别实现了功能模块在核心功能中的关键功能。
介绍了网络安全检测系统的功能和性能测试。
测试结果表明该系统可以满足应用要求。
1.4论文结构安排
第1章对企业计算机网络安全系统的背景和意义进行介绍。
得出本文的研究现状、研究内容和结构。
第2章相关概念和关键技术,详细介绍了企业计算机网络安全相关的技术,如计算机网络入侵和攻击技术,以及在这个阶段针对以上的网络安全问题,如何建立一个安全系统等。
第3章需求分析包括系统功能和非功能需求分析。
第4章企业计算机网络安全管理系统的设计,系统架构设计、系统功能模块设计、数据库设计等。
第5章企业计算机网络安全管理系统的实现。
对各个部分的功能进行实现。
第2章相关概念及关键技术
2.1计算机网络安全的概念
计算机网络安全是指系统软件、应用软件、硬件等媒体在网络中的所有数据信息可以完全防御,不会出现异常或异常变化,可以有效防止这些媒体信息不被篡改,保护网络数据传输稳定,不会泄漏,不间断运行[22]。
网络安全是一个非常复杂和全面的研究课题,不仅涵盖了计算机基础科学、网络通信技术、信息技术和电子通信加密技术,而且还包括一些端口类加密、信息理论和应用数学。
从根本上说,网络安全是运输网络元素的安全运行。
网络安全性按照应用分为两大类,第一类网络安全是指网络信息安全。
第二类是指网络中所有数据可用、可控、保密和完整性相关技术被归类为计算机网络安全分类讨论的完整性的理论[23]。
同时,计算机网络安全也可以根据环境或对象不同而产生理论扩展。
用于维护信息网络管理员。
网络安全是确保网络不受木马和病毒。
攻击外部和内部数据,消除网络应用程序的异常使用,确保资源可以完全控制,以确保网络可以访问数据单元操作。
但是对于最终用户的计算机网络在网络安全方面的个人隐私和商业秘密来说,确保个人信息和个人安全。
与网络传输和存储的单位信息相关的所有数据均为机密、真实、完整。
并确保用户未经授权的身份存储在所有相关数据单元中,信息不能以任何方式进行篡改,确保自身利益和权力[24]。
2.2计算机网络安全的关键技术
网络安全技术牵引涉及很多基础学科,本文列举了网络安全技术在相对普及技术中的发展实现。
防火墙(Firewall)、虚拟专用网(VPN)、入侵检测(IDS)、安全扫描技术(Scanner)和网络访问控制(ACL)如下所述。
2.2.1防火墙技术
所谓的防火墙技术(Firewall)通过互联网(Internet)或外部网络和数据传输网络之间的“最小”内部网络传输门禁,然后完成隐藏的未经授权的用户连接内部网络数据方法[25]。
到目前为止,防火墙技术仍然可以防止未经授权的用户访问网络,也是防止非法用户入侵的最关键手段,以及最广泛使用的网络安全策略部署技术。
结合信息安全技术开发过程的发展,防火墙(Firewall)可分为三类:
1.包过滤防火墙
通常基于路由器建立,在服务器或计算机上也可以安装包过滤防火墙软件。
在网络层包过滤防火墙的基础上,单个IP实现网络控制。
对所接收的IP数据包的源地址、目的地址、TCP数据包或UDP数据报文的源端口和目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,以及网络管理员预先设置的访问控制比较列表以确定它们是否符合预定义的安全策略和决定,释放或丢弃给定的包。
防火墙的优点是简单、方便、快速、透明度好,对网络性能影响不大,可以用来禁止非法外部用户访问企业内部网,也可以用来禁止访问某些类型的服务,但是我们无法识别危险程序包的内容,无法执行应用程序安全性处理。
2.代理服务器型防火墙
通过在计算机或服务器上运行代理服务程序,运行到特定应用层服务,也称为应用层网关级防火墙。
代理服务器型防火墙核心,是代理服务器上运行的防火墙主机进程。
实质上,它是连接企业内部网和互联网网关的特定网络应用[23]。
它是用户完成TCP/IP访问功能,其实是电子邮件、FTP、Telnet、WWW等不同应用程序都提供给相应的代理。
该技术允许通过代理服务器建立外部网络和内部网络之间的连接,实现安全的网络访问,并可实现用户认证,详细日志,审计跟踪和数据加密等功能,实现协议过滤器和会话控制控制,具有良好的灵活性。
代理服务器防火墙有可能影响网络的性能,用户不透明,而对于每个TCP/IP服务应设计一个代理模块,建立相应的网关实现更为复杂。
3.复合型防火墙
由于安全性要求较高,通常基于包过滤方法和基于应用的代理方法,形成复合防火墙,提高防火墙的灵活性和安全性。
这种组合通常有两个选择:
(1)屏蔽主机防火墙架构:
在这种结构中,分组过滤路由器或防火墙和Internet连接,同时将堡垒机安装在内部网络中,通过包过滤路由器或防火墙过滤规则集,使堡垒成为只有互联网上其他节点能够访问的节点,这确保了内部网络不会受到未经授权的外部攻击[24]。
(2)屏蔽子网防火墙架构:
堡垒机放置在子网中,形成非军事区,两个子网过滤器的两端,使子网和互联网和内部网分离。
在屏蔽子网防火墙架构中,堡垒主机和过滤路由器构成了整个安全防火墙的基础。
2.2.2虚拟专用网技术(VPN)
虚拟专用网(VPN)是通过公共网络创建一条穿透公共网络饿逻辑隧道。
这是在公用网络(Internet)上建立一个虚拟通道连接,从技术上讲,虚拟专用网络是局域网(LAN)的扩展[25]。
通过虚拟专网(VPN)技术可实现远程终端连接网络(LAN),这是现代网络发展的重要技术,可以帮助企业分支机构及相关零部件企业建立网络通信,该技术可以保护最终用户和总部之间的安全数据信息传输。
虚拟专网(VPN)部署成本低廉,易于建立VPN网络,既保护安全和数据传输的机密性,又简化了网络架构设计的复杂性[26]。
虚拟专网(VPN)有四大类的关键技术[27]:
1.隧道技术;
2.用户认证技术;
3.加密技术;
4.访问控制技术。
隧道技术是虚拟专用网(VPN)最关键的技术,它是一种基于私有数据网络的安全转发信息的加密隧道机制。
该技术是在转发帧之前封装需要在对应加密协议中发送的帧。
当转发的数据传输到隧道的另一端时,将根据已建立的加密协议进行解封。
从分组到封闭,加密隧道为一个逻辑信道,隧道协议由三部分组成,一个是数据链路层协议,协议标准是L2TP和PPTP;
另一个是网络层协议,主要协议是IPSec和GRE等;
另一个是传输层协议,主要协议是SSL和TSL等。
两种最广泛使用的加密协议是L2TP和IPSec。
虚拟专网(VPN)根据虚拟专网的应用类型可分为三类[28]:
(1)内网(LAN)VPN:
实现从LAN到另一个LAN到网关的链接。
资源通过不同的LAN资源通过目标LAN进行连接。
(2)外联网(Extranet)VPN;
与内部网络(LAN)构成外网;
也与其他网络(LAN)互连。
(3)远程访问(Access)VPN:
实现远程用户上网互联,基于公网实现虚拟专用数据转发。
对于不同的客户可以开发不同的虚拟专用设备,设备可以分为VPN交换机、VPN防火墙和VPN路由器[29]。
(1)VPN交换机:
这些设备用于更远程的接入网架构;
(2)VPN防火墙:
最广泛使用的虚拟专用网建设设备,一般部署在网络出口;
(3)VPN路由器:
最容易部署这样的设备,只需增加路由器配置VPN服务类别即可完成。
2.2.3入侵检测技术基本策略和技术分类
1.入侵检测技术基本策略
虽然防火墙可以有效防止非法入侵,但是防火墙不是灵丹妙药,防火墙周围总是有未知的攻击来攻击网络,导致网络不正常运行,网络入侵检测系统(IDS)采用一个更智能的检测策略,从第二个测试端口检测攻击行为。
入侵检测的基本策略是基于网络的一定算法或访问的关键点进行更科学的分析,以确定是否存在安全策略行为的攻击或违规。
满足算法要求的人作为合法访问,但对于那些不符合算法访问测试结果要求的报告,响应处理和阻塞在检测系统中,核心是基于网络信息监控检测和有效判断数据是否合法,非法数据过滤掉。
入侵检测过程如图2-1所示。
从图中可以看出,入侵检测系统拦截网络信息,然后提取检测数据,根据过滤规则提取数据,通过入侵的分析结果,并截获数据包信息响应处理。
图2-1入侵检测系统流程
2.入侵检测技术分类
根据信息数据包单元的来源差异,入侵检测可以分为以下几类:
(1)基于主机型IDS
可以为网络事件和操作系统环境,日志记录进行有效的检测。
如果文档被修改或更改文档的日志,IDS将匹配新的日志条目和现有的访问攻击事件。
如果比较表示新的日志条目和访问事件具有攻击特征,则IDS匹配系统将根据已建立的规则发送告警信息。
信息安全行业所有IDS产品都有侦听端口,如果检测到异常警报或未经授权的访问特定端口将触发警报机制,则会向网络管理员发送警报消息。
(2)基于网络IDS
该设备将网络信息视为分散的信息源,并使用网络在阅读后收听网络上的信息流。
基于网络的IDS检测模块通常使用统计和匹配模式来识别攻击行为。
IDS只要违反网络检测违规行为,IDS响应模块就会触发报警,网络链路切断。
对于不同的网络响应,IDS将使用不同的触发机制,包括日志的内容通知管理员,管理员将不满足用户网络连接的要求或与非法网络行为日志存储相关联[31]。
(3)基于主机和网络集成的IDS
因为基于主机的IDS和基于Web的IDS都有自己的优势。
这么多IDS供应商将结合这两大类的优势,在网络安全部署方案中,基于主机IDS和基于网络的IDS优势的合并,利用各自的优势。
许多用户在部署基于主机的IDS时部署基于网络的IDS,IDS检测到未经授权的访问,并且在日常工作中、邮件、DNS和Web服务器往往是针对性的。
在电子邮件中,网络中的DNS和Web服务器被部署,它们必须巧妙地与Internet进行数据连接,因此基于主机的IDS部署在服务器的前端,可以完成非常好的安全性防护[32]。
2.2.4网络访问控制技术
网络访问控制,也称为网络接入控制,称为TAC。
TAC技术是保护信息网络终端最有效的方式,它被安装在网络检测终端软件中,实现最有效的方式。
此外,TAC允许其他交换机如交换机SW、路由器SR和防火墙FW一起使用。
使用此应用程序的服务器和最终用户的计算机提供了一个全面的自动化管理流程,以确保数据在端点之前安全地进行交互[33]。
通用网络访问控制分为三个部分,第一部分是降低零日攻击的风险:
网络访问控制技术的关键应用是防止未安装病毒、补丁、入侵防御软件终端接入网络资源。
第二个是增强安全策略:
网络访问控制设备允许管理员设置允许管理员高级访问网络并按照这些规则清除主网络交换设备的规则[34]。
第三是身份和访问管理:
访问控制应用程序打破传统计算机网络TCP/IP协议访问巧妙的策略实现,它是基于用户权限来保护网络的安全性和稳定性。
访问控制可以分为四类:
1.基于代理的TAC;
2.无代理TAC;
内联TAC;
带外TAC[35]。
(1)基于代理的TAC:
这种方法是通过终端添加一个后台软件。
通过专用网关或TAC平台实现安全管理。
基于代理的TAC灵活性不高,对终端设备上安装的特定探测器才可以实现该功能[36]。
(2)非代理TAC:
此方法不在终端上安装后台探测器,无需使用代理,可以简化网络部署的难度,这样的TAC操作简单。
(3)内联TAC:
通过所有终端通信实现及其在三层网关中的运行和部署,可以增强安全策略[37]。
内联TAC方法相对简单,但会导致广播数据在网络中的更多传输。
随着网络正常运行时间的增加,内联TAC将增加TOC,这是由于内部广播流量的增加将增加内联设备的数量。
(4)带外TAC:
该技术是通过现有的网络基础设施应用来增强网络的安全性。
作为终端向数据传输到中央控制设备实现整体战略,这种设备的部署实现复杂。
带外TAC技术实现更复杂,但不会对网络传输的性能产生不利影响。
2.3相关开发环境
2.3.1集成开发环境
MicrosoftVisualC++6.0(简称VC6.0)是微软推出的一款C++编译器,将“高级语言”翻译为“机器语言(低级语言)”程序[38]。
VisualC++是一个强大的可视化软件开发工具。
自1993年以来,微软推出VisualC++1.0,然后版本不断更新,VisualC++已经成为首选专业的程序员软件开发工具。
虽然Microsoft已经引入了VisualC++.NET(VisualC++7.0),但它只适用于Windows2000,WindowsXP和WindowsNT4.0有很多限制。
所以在现实中,更多的是基于VisualC++6.0平台。
VisualC++6.0不仅是C++编译器,而且是基于Windows操作系统的可视化集成开发环境(IDE)[39]。
VisualC++6.0包括许多组件,包括编辑器,调试器和程序向导AppWizard、类向导和其它开发工具。
这些组件通过称为DeveloperStudio的组件集成到和谐的开发环境中。
2.3.2数据库环境
SQL称为结构化查询语言,由圣约瑟实验室为其关系型DBMS最初研究的数据查询语言。
这种查询语言与他的前身相比,结构简单,易于使用,一个能够实现更复杂的功能。
作为IBM在上世纪80年代推出SQL语言后,受到广大用户的推崇[40]。
在当前市场上主流的数据库管理系统中,基本都做了SQL支持,无论是大型数据库如Oracle,还是小型如FoxPro,用户都可以嵌入SQL[19]。
不同的数据库系统需要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 计算机 网络安全 系统 设计 实现