計算機網絡安全方案設計並實現

論文類別:工商管理論文 > 電子商務論文
上傳時間:2009/1/19 13:07:00

            作者:石重陽 陳穎峰 齐曉旭

 [摘要] 計算機網絡安全建設是涉及我國經濟发展、社會發展和國家安全的重大問題。本文結合網络安全建設的全面信息,在對網络系統詳細的需求分析基礎上,依照计算機網絡安全設計目標和計算機網絡安全系統的總體規劃,設计了一個完整的、立體的、多層次的網絡安全防御體系。
  [關鍵詞] 網絡安全方案設計實現
  
  一、計算機網絡安全方案設计與實現概述
  
  影響網絡安全的因素很多,保護網絡安全的技術、手段也很多。一般來说,保護網絡安全的主要技術有防火墻技術、入侵檢测技術、安全評估技術、防病毒技術、加密技術、身份認证技術,等等。為了保護網絡系統的安全,必須結合網絡的具體需求,將多種安全措施進行整合,建立一個完整的、立體的、多層次的網絡安全防禦體系,這樣一個全面的網络安全解決方案,可以防止安全风險的各個方面的問題。
  
  二、計算機網絡安全方案設計並實現
  
  1.桌面安全系統
  用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發。這樣可以提高办公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對於移動辦公的情況更是如此。因此,需要對移动用戶的文件及文件夾進行本地安全管理,防止文件泄密等安全隱患。
  本設計方案采用清華紫光公司出品的紫光S鎖產品,“紫光S鎖”是清华紫光“桌面計算機信息安全保護系統”的商品名稱。紫光S鎖的內部集成了包括中央處理器(CPU)、加密運算協處理器(CAU)、只讀存储器(ROM),隨機存儲器(RAM)、電可擦除可编程只讀存儲器(E2PROM)等,以及固化在ROM內部的芯片操作系統COS(Chip Operating System)、硬件ID號、各种密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行认證的SmartCOS,其安全模塊可防止非法数據的侵入和數據的篡改,防止非法軟件對S鎖進行操作。
  2.病毒防護系統
  基于單位目前網絡的現狀,在網絡中添加一臺服務器,用於安裝IMSS。
  (1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產品可以和Domino的群件服務器無縫相結合並内嵌到Notes的数據庫中,可防止病毒入侵到LotueNotes的數據庫及電子郵件,实時掃描並清除隱藏於數據庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作,並提供實時監控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
  (2)服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是内含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整个防毒系統對原系統的影響,另一方面使所有服務器的防毒系統可以從單點進行部署,管理和更新。
  (3)客戶端防毒。采用趨勢科技的OfficeScan。該产品作為網絡版的客戶端防毒系統,使管理者通過單點控制所有客戶機上的防毒模塊,並可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
  (4)集中控管TVCS。管理員可以通過此工具在整個企業範圍內进行配置、監視和維護趨勢科技的防病毒軟件,支持跨域和跨網段的管理,並能顯示基於服務器的防病毒產品狀態。無論運行於何種平臺和位置,TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安裝和分發代理部署,網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報,給管理带來極大的便利。
  3.動態口令身份認證系統
  動態口令系統在國際公開的密碼算法基礎上,結合生成動態口令的特點,加以精心修改,通過十次以上的非線性迭代運算,完成時間參数與密鑰充分的混合擴散。在此基礎上,采用先進的身份认證及加解密流程、先進的密鑰管理方式,從整体上保證了系統的安全性。
  4.訪問控制“防火墻”
  單位安全網由多个具有不同安全信任度的網络部分構成,在控制不可信連接、分辨非法訪問、辨別身份偽装等方面存在著很大的缺陷,从而構成了對網絡安全的重要隱患。本設計方案選用四台網禦防火墻,分別配置在高性能服務器和三个重要部門的局域網出入口,實現這些重要部門的訪問控制。
  通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網絡內部不同部門的網絡或關鍵服務器划分為不同的網段,彼此隔离。這樣不僅保護了单位網絡服務器,使其不受來自內部的攻擊,也保護了各部門網絡和數據服務器不受來自單位網內部其他部門的網絡的攻擊。如果有人闖進您的一個部門,或者如果病毒開始蔓延,網段能夠限制造成的損壞進一步擴大。
  5.信息加密、信息完整性校驗
  為有效解決辦公區之間信息的傳輸安全,可以在多個子網之間建立起獨立的安全通道,通過嚴格的加密和認证措施來保證通道中传送的數據的完整性、真實性和私有性。
  SJW-22網絡密碼機系統組成
  網络密碼機(硬件):是一個基於專用内核,具有自主版權的高級通信保護控制系統。
  本地管理器(軟件):是一個安裝於密码機本地管理平臺上的基於網絡或串口方式的网絡密碼機本地管理系统軟件。
  中心管理器(軟件):是一個安裝於中心管理平臺(Windows系統)上的对全網的密碼機設備進行統一管理的系統軟件。
  6.安全審計系統
  根據以上多层次安全防範的策略,安全網的安全建設可采取“加密”、“外防”、“內審”相結合的方法,“內審”是對系統內部進行監視、審查,識別系統是否正在受到攻擊以及內部機密信息是否泄密,以解決內层安全。
  安全審計系統能帮助用戶對安全網的安全進行實時監控,及時發現整個網络上的動態,發現網络入侵和違規行為,忠實记錄網絡上發生的一切,提供取證手段。作為網絡安全十分重要的一種手段,安全審計系統包括识別、記錄、存儲、分析與安全相關行為有關的信息。
  在安全網中使用的安全審計系統應实現如下功能:安全審计自動響應、安全審计數據生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審计事件選擇等。
  本設計方案選用“漢邦軟科”的安全審計系統作為安全審计工具。
  漢邦安全審計系統是針对目前網絡發展現狀及存在的安全問題,面向企事業的網絡管理人員而設計的一套網絡安全產品,是一個分布在整個安全網範圍內的网絡安全監視監測、控制系統。
  (1)安全審计系統由安全監控中心和主機傳感器兩個部分構成。主機傳感器安裝在要監視的目標主机上,其監視目標主機的人機界面操作、監控RAS連接、监控網絡連接情況及共享資源的使用情況。安全監控中心是管理平臺和監控平臺,網絡管理员通過安全監控中心為主機傳感器設定監控規則,同時獲得监控結果、報警信息以及日誌的审計。主要功能有文件保護審計和主機信息審計。
  ①文件保護審計:文件保護安裝在審計中心,可有效的對被審計主机端的文件進行管理規則設置,包括禁止讀、禁止寫、禁止删除、禁止修改屬性、禁止重命名、記錄日誌、提供報警等功能。以及對文件保護進行用戶管理。
  ②主機信息審計:对網絡內公共資源中,所有主機進行審計,可以審計到主機的机器名、當前用戶、操作系統類型、IP地址信息。
  (2)資源監控系統主要有四類功能。①監視屏幕:在用戶指定的時間段內,系統自動每隔數秒或數分截獲一次屏幕;用戶實时控制屏幕截獲的開始和結束。

转貼於 免費論文下載中心 http://www.hi138.com ②監视鍵盤:在用戶指定的時間段內,截获Host Sensor Program用戶的所有鍵盤輸入,用戶實時控制鍵盤截獲的開始和結束。
  ③監測監控RAS連接:在用戶指定的時間段內,記錄所有的RAS連接信息。用戶實時控制ass連接信息截獲的開始和結束。當gas連接非法時,系統將自動進行報警或掛斷連接的操作。
  ④监測監控網絡連接:在用戶指定的時間段內,記錄所有的網絡連接信息(包括:TCP, UDP,NetBios)。用戶實時控制網絡連接信息截获的開始和結束。由用戶指定非法的网絡連接列表,當出現非法連接時,系統將自動進行報警或掛斷連接的操作。
  單位內網中安全审計系統采集的數據來源於安全計算機,所以應在安全計算机安裝主機傳感器,保證探頭能夠采集進出網絡的所有數據。安全监控中心安裝在信息中心的一臺主機上,負責為主機傳感器設定監控規則,同時獲得監控結果、報警信息以及日誌的審計。單位內網中的安全計算機為600臺,需要安裝600個傳感器。
  7.入侵檢測系統IDS
  入侵檢測作為一種積極主动的安全防護技術,提供了對內部攻击、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和响應入侵。從網絡安全的立體纵深、多層次防禦的角度出發,入侵檢測理應受到人们的高度重視,這從國际入侵檢測產品市場的蓬勃發展就可以看出。
  根據網絡流量和保護數據的重要程度,選擇IDS探測器(百兆)配置在內部關鍵子網的交換機處放置,核心交換機放置控制臺,監控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。
  在单位安全內網中,入侵檢測系統運行於有敏感數据的幾個要害部門子網和其他部門子網之間,通過實時截取網络上的是數據流,分析網络通訊會話軌跡,尋找網絡攻擊模式和其他網絡違規活動。
  8.漏洞掃描系统
  本內網網絡的安全性決定了整个系統的安全性。在內網高性能服務器處配置一臺網络隱患掃描I型聯動型產品。I型聯動型產品適用於该內網這樣的高端用戶,I型聯動型產品由手持式掃描儀和機架型掃描服務器結合一體,網管人員就可以很方便的實現了集中管理的功能。網絡人員使用I型聯動型產品,就可以很方便的對200信息點以上的多個網絡進行多線程較高的掃描速度的掃描,可以實現和IDS、防火墙聯動,尤其適合於制定全網統一的安全策略。同時移動式掃描儀可以跨越網段、穿透防火墻,實現分布式掃描,服務器和掃描仪都支持定時和多IP地址的自動扫描,網管人員可以很輕松的就可以進行整個網絡的掃描,根據系統提供的掃描报告,配合我們提供的三級服務體系,大大的減輕了工作負担,極大的提高了工作效率。
  聯動掃描系统支持多線程掃描,有較高的掃描速度,支持定時和多IP地址的自動掃描,網管人员可以很輕松的對自己的網絡進行掃描和漏洞的彌補。同時提供了Web方式的遠程管理,網管不需要改變如何的網絡拓扑結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性。另外對于信息點少、網絡環境變化大的內網配置網絡隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活,可以跨越網段、穿透防火墻,對重点的服務器和網絡設備直接掃描防護,這樣保證了網络安全隱患掃描儀和其他網絡安全產品的合作和協調性,最大可能地消除安全隱患。
  在防火墻處部署聯動掃描系統,在部門交換機處部署移動式掃描儀,實現放火墻、聯動掃描系統和移動式掃描儀之間的聯動,保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性,最大可能的消除安全隱患,盡可能早地發現安全漏洞並進行修補,優化資源,提高網絡的運行效率和安全性。
  
  三、結束语
  
  随著網絡應用的深入普及,網絡安全越來越重要,國家和企業都對建立一個安全的網絡有了更高的要求。一個特定系統的網絡安全方案,應建立在對網絡風險分析的基礎上,結合系統的實際应用而做。由於各個系统的應用不同,不能簡單地把信息系统的網絡安全方案固化為一個模式,用這個模子去套所有的信息系統
  本文根據網絡安全系統設計的總體規劃,從桌面系統安全、病毒防護、身份鑒別、訪問控制、信息加密、信息完整性校驗、抗抵賴、安全審計、入侵檢測、漏洞掃描等方面安全技術和管理措施設計出一整套解決方案,目的是建立一個完整的、立體的、多層次的網絡安全防禦體系。
  

參考文獻


  [1]吳若松:新的網络威脅無處不在[J].信息安全與通信保密,2005年12期
  [2]唐朝京張權張森強:有組織的網络攻擊行為結果的建模[J].信息与電子工程,2003年2期
  [3]王秋華:網絡安全體系結構的设計與實現[J].杭州電子科技大學學報,2005年5期
免費論文下載中心 http://www.hi138.com
下载论文

論文《計算機網絡安全方案設計並實現》其它版本

電子商務論文服務

網站聲明 | 聯系我們 | 網站地圖 | 論文下載地址 | 代寫論文 | 作者搜索 | 英文版 | 手機版 CopyRight@2008 - 2017 免費論文下載中心 京ICP备17062730号