（通信与信息系统专业论文）统一网络安全管理平台技术研究.pdf

四川大学硕士学位论文统一网络安全管理平台技术研究 统一网络安全管理平台技术研究 通信与信息系统专业 研究生范宝锋指导教师方勇 摘要 在当今这个信息化社会中，在网络应用的深入发展和技术进步的同时，非法 访问、恶意攻击、病毒传播等网络安全威胁也越来越严重。为了保护网络系统安 全，防火墙、i d s 、防病毒、身份鉴别、数据加密、安全审计等安全设备在网络系 统中得到了广泛应用。虽然这些安全设备能够在特定方面发挥一定的作用，但是 大部分功能单一，彼此之间没有有效的统一管理调度机制，不能互相支持、协同 工作，从而使各个安全设备的应用效能无法得到充分的发挥。两现代社会生活对 网络的高度依赖，使得保障网络的通畅、安全、可靠显得尤其重要。这些都使得 网络安全管理技术成为网络技术中人们公认的关键技术。 由于网络中的安全设备、操作系统、应用系统数量众多、构成复杂，异构性、 差异性非常大，而且各自都具有自己的控制管理平台。当前网络系统中的硬件平 台、操作系统、应用软件等r r 系统已变得越来越复杂和难以统一管理。网络安全 管理员需要学习、了解不同平台的使用及管理方法，并应用这些管理控制平台去 管理网络中的对象( 安全设备、系统、用户等) ，工作复杂度非常大。另外，对大 型网络而言，网络安全管理员必须将各个安全设备、系统产生的事件、信息关联 起来进行分析，才能发现新的或更深层次的安全问题。管理与安全相关的事件变 得越来越复杂。 从网络安全管理员的角度来说，最直接的需求就是在一个统一的网络安全管 理平台中监视网络中各种安全设备的运行状态，对安全设备、系统产生的大量日 志信息和报警信息进行统一汇总、分析和审计；同时在一个平台内完成安全设各 的升级、攻击事件报警、响应等功能。 四川大学硕士学位论文统一网络安全管理平台技术研究 本文对当前的网络安全管理技术进行了介绍和分析，研究一种新型的整体网 络安全管理解决方案统一网络安全管理平台技术，来总体配置、调控整个网 络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统一策略 管理、智能审计及多种安全设备之间的互动，从而有效简化网络安全管理工作， 提升网络的安全水平和可控制性、可管理性，降低用户的整体网络安全管理开销。 关键词：网络管理，网络安全管理，网络安全管理平台，s n m p ，x m l - r p c ，s s l 四川大学硕士学位论文统一网络安全管理平台技术研究 s t u d y o fu n i f i e dn e t w o r ks e c u r i t ym a n a g e m e n tp l a t f o r m f i e l d ：c o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m p o s t g r a d u a t e ：f a nb a o f e n g s u p e r v l s o r ：f a n gy o n g a b s t r a c t i nt h ei n f o r m a t i o ns o c i e t y , a sd e v e l o p m e n to fn e t w o r k a p p l i c a t i o na n dt e c h n o l o g y , n e t w o r ks e c u r i t yt h r e a tl i k ei l l e g a la c c e s s ，i i l a l l c e , a t t a c k sa n dv i r u ss p r e a de t c b e c o m e m o r ea n dm o r es e r i o u s i no r d e rt op r o t e c tn e t w o r ks y s t e ms e c u r i t y , s e c u r i t ye q u i p m e n t l i k ef i r e w a l l ，i d s ，a n t i v i r u ss y s t e m ，i da u t h e n t i c a t i o n ，d a t ee n c r y p t i o na n ds e c u r i t y a u d i te t c a p p l i e sw i d e l yi nn e t w o r ks y s t e m t h o u g ht h e s es e e u r i t ye q u i p m e n t sh a v e c e r t a i ne f f e c ti np a r t i c u l a ra s p e c t ，m o s to ft h e mh a v es i n g l ee f f e c ta n dt h e r ei sn ou m f i e d m a n a g i n ga n dc o o r d i n a t i n gs y s t e mw h i c h c a l ll e a dt h e ms u p p o r te a c ho t h e ra n dw o r k h a r m o n i o u s l y , t h e r e f o r e ，t h e yc a nn o tb eu s e ds u f f i c i e n t l y n e v e r t h e l e s s 。b e c a u s eo f i n t e n s er e l i a b i l i t yo fn e t w o r ki nm o d e r ns o c i e t y , k e e pc l e a r , $ e c u r ea n dr e l i a b l eo f n e t w o r kb e c o m ep a r t i c u l a r l yi m p o r t a n ta n dt h e ym a k et e c h n o l o g yo fn e t w o r ks e c u r i t y m a n a g e m e n tb e c o m et h ek e yo fn e t w o r kt e c h n o l o g i e s t h e r ea r eal o to fs e c u r i t ye q u i p m e n t s ，o p e r a t i n gs y s t e m ，a p p l i e ds y s t e ma n dt h e y h a v ec o m p l e xc o m p o s i t i o n ，g r e a td i f f e r e n c ea n di n d e p e n d e n tc o n t r o l l i n ga n dm a n a g i n g p l a t f o r m ，s ot h er rs y s t e mw h i c hi n c l u d i n gh a r d w a r ep l a f f o r m ，o p e r a t i n gs y s t e ma n d a p p l i e ds o f t w a r eb e c o m em o r ea n dm o r ec o m p l e xa n dh a r dt om a n a g e m a n a g e r so f n e t w o r ks e c u r i t yn e e dt os t u d ya n du n d e r s t a n du s ea n dm a n a g e m e n tm e t h o do fd i f f e r e n t p l a t f o r ma n da p p l yt h e mt om a n a g eo b j e c t s ( s e e u r i t ye q u i p m e r i t ，s y s t e ma n dc l i e n te t c ) i nn e t w o r k 。w h i c hl e a dt h e i rw o r km o r ea n dm o r ec o m p l e x a d d i t i o n a l l y , f o rl a r g e n e t w o r k ，t h e s em a n a g e r ss h o u l dc o n n e c ta l ls e c u r i t ye q u i p m e n t s ，i n c i d e n tr a i s e db y s y s t e ma n di n f o r m a t i o n t oa n a l y z e ，t h e n ，t h e yc a nf i n dn e wo rd e e p e rs e c u r i t yp r o b l e m s m a n a g i n gi n c i d e n t sr e l a t e dt os e c u r i t yb e c o m e sm o l ea n dm o r ec o m p l e x i i i 四川太学硕士学位论文 统一网络安全管理平台技术研究 w i mt h ep o i n to fm a n a g e ro fn e t w o r ks e c u r i t y ，t h em o s td i r e c td e m a n di sl o o k o u t e x e r t i n gs t a t u so fs e c u r i t ye q u i p m e n ti nn e t w o r kw i t hau n i f i e dm a n a g e m e n tp l a t f o r m a n dg a t h e r , a n a l y z ea n da u d i tm a s s i v ed a f f yr e c o r da n da l a r mi n f o r m a t i o nr a i s e db y s e c u r i t ye q u i p m e n t sa n ds y s t e m s i m u l t a n e o u s l y , t h e yn e e d t o c o m p l e t ee s c a l a t i o n ， a l a r mo fa t t a c ka n dr e a c t i o ni nap l a t f o r mt 1 1 ea r t i c l ei n t r o d u c ea n da n a l y z ep r e s e n t t e c h n o l o g yo fi n t e r n e ts e c u r i t ym a n a g e m e n ta n dr e s e a r c ho nf o u n d i n gan e ws o l u t i o n f o rw h o l en e t w o r ks e c u r i t ym a n a g e m e n t - - t e c h n o l o g yo fp l a t f o r mf o ru n i f i e dn e t w o r k s e c u r i t ym a n a g e m e n tt oa l l o c a t ea n da d j u s tm u l t i - l e v e la n dd i s t r i b u t i v es e c u r i t ys y s t e m i nw h o l en e t w o r ka n dr e a l i z ec e n t r a lm o n i t o r , u n i f i e dt a r g e tm a n a g e m e n t ，i n t e l l e c t u a l a u d i to fn e t w o r ks e c u r i t yr c s o u r c e sa n dm u t u a l a c t i o no fa l lk i n d so fs e c u r i t yw h i c hc a n s i m p l i f yn e t w o r ks e c u r i t ym a n a g e m e n tw o r k ，p r o m o t es e c u r i t yl e v e l ，c o n t r o l l a b i l i t ya n d m a n a g e a b i l i t yo fi n t e r a c ta n dd e d u c tc l i e n t s c o s to ns e c u r i t ym a n a g e m e n t k e yw o r d s ：n e t w o r km a n a g e m e n t ，n e t w o r ks e c u r i t ym a n a g e m e n t ，n e t w o r ks e c u r i t y m a n a g e m e n tp l a t f o r m ，s n m p , x l v l l - r p c ，s s l 四川丈学硕士学位论文统网络安全管理平台技术研究 1 绪论 1 1 引言 全球互联网络的飞速发展为网络安全提出了新的挑战：网络规模及其复杂程 度不断扩大；网络攻击技术不断进步和发展；各种系统安全漏洞逐步被发现并且 被利用：高级攻击技术和工具肆意在互联网上流传；有组织的恶意网络攻击群体 迅速壮大；来自网络内部的攻击数量与日俱增等。 面对层出不穷的网络安全问题，很多机构和部门都购置了各种网络安全设备， 如防火墙、入侵检测系统、漏洞扫描器、系统实时监控器、网络防病毒软件等。 毋庸置疑，这些安全设备分别在不同的侧面保护着网络系统的安全。但是，网络 系统的整体安全性并不能得到保证。 根据“木桶原理”，网络系统的安全性由系统安全最薄弱环节决定。从系统整 体安全考虑，这些单一的网络安全设备都存在着不同的安全局限性。并且，随着 网络规模的不断扩大和网络安全设备的臼益丰富，当使用了种类繁多的网络安全 设备后，如何有效地对这些安全设备进行统一的管理和配置，使安全设备之间实 现安全互动而不仅仅是对网络安全设备进行简单堆砌，如何使得构成的网络安全 系统更加安全、高效，就成了目前网络安全管理面临的一个主要问题。而一个规 范的网络安全管理平台可以解决网络安全管理中所面临的这些问题。网络安全管 理平台可以实现对各种安全设备进行集中配置、集中管理、状态报告和策略互动。 1 2 国内外发展现状 1 2 1 网络安全警理技术发展现状 在2 0 世纪9 0 年代后期，随着网络应用的不断深入，防火墙、防病毒、入侵检 测等安全设备与软件逐步应用于网络安全保护，也相继出现了安全管理类的安全 产品。 国外安全管理厂商的产品主要有如下几种类型： 第一类产品可以为企业网络及应用提供统一的用户管理、身份鉴别和权限管 理。该类产品通常是一个用户管理和鉴别中心，并提供应用接口，为网络管理和 应用系统提供服务。这类产品通常基于p l 【i 技术，通常也称为p k c a 产品。典型的 产品有c a 公司的e t r u s t 。 第二类产品可以提供全面的企业管理解决方案，安全管理只是其中的一部分 四川丈学硕士学位论文统一网络安全管理平台技术研究 功能。这类产品基于传统的计算机信息网络管理技术，使用s n m p ( s i m p l en e t w o r k m a n a g e m e n tp r o t o c o l ，简单网络管理协议) 及相应的网络管理架构，或者一些扩展 的网络协议。这类产品的代表是m m 的t i v o l i 系列产品、c a 的u n i c e n t e rt n g 。 第三类产品是网络安全设备厂商为自己的网络安全设各开发的集中管理软件 系统。这类产品的特点是针对厂商自己的安全设备的功能和技术特点，为安全设 备提供集中的非常贴切的设备配置、安全策略管理、设备状态监测、设备信息存 储和分析等功能，从而提高用户使用安全设备的易用性和效率。这类产品的代表 主要有c i s c o 公司的c s p m 、c p m 和n e t s e r e e n 公司的n e t s c r e e ng l o b a lp r o 。 第四类产品是近年来网络安全厂商为了给用户提供一个完整的网络安全解决 方案，专门开发的集中的综合网络安全管理系统网络安全管理平台。这是较 新的一类产品，也是我们本文要讨论和研究的。 1 2 2 具有联动功能的安全网管技术研究现状 目前，国内外对网络安全管理的需求呈现出多样性，而且已经形成了较大规 模的市场。众多的安全设各厂商和研究机构加入到与网络信息安全管理相关的技 术研究、产品开发和技术服务的行列中，研究和生产了许多不同定位的产品，提 出了一系列安全管理解决方案，这些产品和解决方案拥有网络安全管理平台的部 分或大部分功能。一部分产品逐渐在市场上获得了用户认可。 网络安全管理平台的发展时间并不长，数量大约有十几种，彼此间功能区别 较大，但主要集中在对企业网络安全设施的集中化管理、实时安全管理和安全互 动机制的实现上。 网络安全管理平台的联动响应机制是研究的一个重要方向。它可以发挥各种 不同网络安全技术和安全设备的特点，从而取得更好的网络安全防范效果。目前， 国内外有一些研究机构在进行这方面的研究，但都比较初步，还没有形成成熟的 技术。 国内的有天融信t o p s e c ( t a l e n to p e bp r o t o c o lf o rs e c u r i t y ) ，是类他t o p s e c ( o p e np l a t f o r mf o rs e c u r i t y ，安全开放平台) 的个缩小版，它是中国第一个安全 开放平台，其主要联盟也都是国内的网络安全和信息安全厂商。天融信网络卫士 系列防火墙产品及v p n 产品就是以t o p s e c 协议为基础的开放式框架平台，它的联 动主要还是集中在与国内的入侵检测技术和病毒防治技术上。目前国内很多安全 厂商宣称拥有联动技术，它们大多都是在t o p s e c 思想的影响下，针对自己的产品 提供相应的开放接口，提供给其他厂商与自身产品联动。其中比较有代表性的有： 天融信公司的基于网络卫士的t o p s e c 开放协议和中科网威公司的基于“天眼”网 四川大学硕士学位论文 统一网络安全管理平台技术研究 络入侵检测系统的o p e n i d s 的联动；安氏( 中国) 的l i n k t r u s t c v b e r w a l l 防火墙能 够和i s s 公司的入侵检钡j j r e a l s e c u r e 技术与趋势科技公司的病毒防治网关技术 i n t e r s c a n 实现联动，提供对h t t p 、f t p 、s m t p 服务的反病毒防火墙体系。北京中 科网威公司的长城防火墙通过调用开放的n e t p o w e ro p e n i d s 的a p i 接口，能够实现 与中科网威的“天眼”网络入侵检测系统的联动。另外值得一提的是，“天眼” 网络入侵检测系统还支持o p s e c 和t o p s e c 的联动。 当前，对于网络安全管理平台的联动响应机制国外的一些主要的研究项目如 下： ( 1 ) a i d e “1 ( a u t o m a t e di n t r u s i o nd e t e c t i o ne n v i r o n m e n t ) ，这是一个由美国国 防部资助的研究项目。它主要是在不同的安全产品上收集信息，再将这些信息统 一转换成自己的格式，然后再处理，如统计、分析等，从而取得更好的安全监测 效果。 ( 2 ) i d w g 嘲( i n t r u s i o nd e t e c t i o nw o r kg r o u p ) ，这是t f 下的一个工作组，主 要定义i d s 共享信息的数据格式及交换过程。同时，它还定义了i n t r u s i o nd e t e c t i o n m e s s a g ee x c h a n g ef o r m a t ( i d m e f ) ，即一种基于x m l 的编码格式。 ( 3 ) i o d e f 副( i n c i d e n to b j e c td e s c r i p t l o na n de x c h a n g ef o r m a t ) ，这是一个新 的安全事件分类框架。 ( 4 ) a i r c e r t t 4 1 由c e r t ( 安全应急响应小组) 和s a n s ( 系统管理及网络安全) 研究机构共同承担，可以使得不同的安全管理系统自动而不是人工向c e r t 通报安 全事件。此外，c e r t 和s a n a i a 共同定义了一种计算机安全事件描述语言c l c s i 。 ( 5 ) c i d f 璐1 ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) ，该研究项目主要研究 不同的i d s 系统之间如何通过标准化的格式、协议和体系来彼此协同工作。 1 3 本文研究的目的和意义 网络系统安全管理是一项非常复杂的工作。其一，由于网络中涉及的设备、 操作系统和应用软件构成复杂，且数量多，安全管理员要管理多个平台，各平台 都有独立的管理工具。安全管理员就需要学习使用不同的平台的管理工具。由于 平台不同，就很难做到安全策略的统一配置。这样就加大了安全管理员的工作复 杂度。其二，系统是为业务服务而建设的，安全管理员需要对业务系统中工作岗 位、人员、业务系统使用权限等关系进行处理和安全管理。涉及岗位的定义、岗 位和角色、角色和访问控制策略的配置。安全管理员要在整个系统的多个子系统 都保证角色和安全策略的一致性。其三，当组织的计算机网络扩展到包含了许多 主机、安全设备和应用系统时，网络安全管理就会变得越来越复杂。仅分析单个 的安全设备的安全事件信息是不能了解整个网络系统的安全状况的。必须将各个 四川大学硕士学位论文统一网络安全管理平台技术研究 安全设备产生的事件关联起来分析，才能发现更深层次的安全问题。 要解决以上问题，就首先需要把网络系统中所有安全设备的审计信息进行集 中分析。从接个系统的审计信息中发现安全事件信息，才可能实现整个系统的安 全策略统一配置。 从安全管理员的角度来说，最直接的需求就是在一个统一的界面中实现各安 全设备的安全策略配置；对各个安全设备产生的日志和报警信息进行分析和处理： 从而有效的简化网络安全管理工作，提升网络的安全水平和可控制性、可管理性， 降低用户的整体安全管理开销。 实现这个统一网络安全管理平台并非是一个单纯的技术问题，还涉及到行业 内的标准和联盟。目前，在这方面已经有厂商开始操作一些相关工作。如c h e c k p o i n t 公司提出的o p s e c 开放平台标准，即入侵检测产品发现攻击和c h e c kp o i n t 防火墙之间的协调，现在渐渐流行的i p s ( 入侵防护) 技术，就可自动封锁攻击来 源等，它们在不同安全产品协调互动方面做了较好的尝试。 本文研究一种新型的整体网络安全管理解决方案统一网络安全管理平台 技术，实现各安全设备的安全策略配置；监视网络中各个安全设备的运行状态； 对各个安全设备产生的日志和报警信息进行集中分析和智能审计；在统一的界面 上实现多个安全设备、安全功能模块的协调互动。 1 4 本文的组织结构 本文探讨了当前的网络安全管理现状，对一些常见的网络安全设备的优点和 不足进行了分析，分析了网络安全管理平台的功能以及在网络安全管理中的重要 作用。结合传统网络安全管理平台的不足，给出一种具有联动功能的统一网络安 全管理平台设计。 第一章介绍了目前国内孙对网络安全方面重点是网络安全管理平台的研究情 况，并简单介绍了统一网络安全管理平台在网络安全管理方面的优势，从而说明 本文研究的必要性。 第二章介绍网络安全管理的相关知识和技术，指出了建立统一网络安全管理 平台的必要性。 第三章介绍了统一网络安全管理平台的相关知识，对统一网络安全管理平台 的功能进行了研究。 第四章在研究当前的网络安全管理平台技术的基础上，给出了一种统一网络 安全管理平台设计。 第五章对全文进行总结，总结了统一网络安全管理平台设计方面的技术难点 以及设计原则，对统一网络安全管理平台技术的发展前景做了展望。 四川大学硕士学位论文 统一网络安全管理平台技术研究 2 网络安全相关技术的研究与分析 2 1 网络安全概况分析 计算机的应用和i n t e r n e t 的普及，尤其是近年来网络上各种新业务的兴起，如 电子商务的快速发展，网络的重要性及其对社会的影响也越来越大，网络与人们 的日常生活越来越密不可分。同样，通过网络犯罪对国家、企业和个人造成的损 失也日益严重，网络安全已经成为人们关心的棘手问题。 2 1 1 网络安全威胁 网络安全是指确保以电磁信号为主要形式的，在计算机网络系统中进行获取、 处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输 介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和可抗抵 赖性的与人、网络、环境有关的技术和管理规程的有机集合。网络安全使网络系 统硬件、软件及系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、 更改、泄露，网络系统可靠正常的连续运行，网络服务不被中蝌回1 7 8 1 9 11 1 0 1 1 1 1 1 2 1 。 由于i n t e m e t 是面向公众的，任何一个网络系统一旦接入i n t e r n e t 就要面临很 多安全威胁。网络安全威胁主要是指网络中的主机有可能受到非法入侵者的攻击， 网络中的敏感数据有可能被泄露或修改，在网络中传递的信息有可能被他人窃听 或篡改等。计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁； 二是对网络中设备的威胁。影响计算机网络的因素很多，归结起来针对网络安全 的威胁主要有以下几个方面： ( 1 ) 人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识 不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会 对网络安全带来威胁。 ( 2 ) 人为的恶意攻击：这是计算机网络所面临的最大威胁。敌对的攻击者和计 算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以 各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影 响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种 攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。 ( 3 ) i n 络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏 洞的。然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑 客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的结 四川大学硕士学位论文统一网络安全管理平台技术研究 果。另外，软件的“后门”都是软件公司的设计编程人员为了自己方便程序调试 而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。 ( 4 ) 操作系统存在安全性问题：现今流行的操作系统均存在着安全漏洞。 ( 5 ) 网络安全设备本身的安全性存在问题：网络安全设各本身是否存在安全漏 洞、安全设置是否正确需要通过实际检验。 ( 6 ) 来自网络内部的安全威胁：据统计造成实际损失的安全事件有7 0 是内部人 员所为，所以内部威胁恐怕是网络面临的最严重的问题。 ( 7 ) 缺乏有效手段对网络系统的安全性监控。 ( 8 ) t c p i p 协议簇本身就存在安全性问题。 除了以上的安全威胁外，系统的硬件缺陷、数据弱点、电磁辐射和客观环境也 对信息系统的安全构成了直接的威胁。 应该说，网络安全在我国还处于一个起步阶段，网络安全意识刚剐为人所知， 网络安全问题十分严重，网络安全管理缺乏系统化、标准化。 2 1 2 网络安全特点 总体说来，当今的网络安全状况具有如下六大特点： ( 1 ) 相对性 没有绝对的网络安全，网络安全只能是相对的。网络其安全程度与面临的安 全风险和安全保护的投入密切相关。 ( 2 ) 综合性 网络安全并非一个单纯的技术层面的问题，它还涉及到管理、意识和国家法 律法规等各个层面。因此，网络安全是一个综合性的问题，各个环节密切相关。 ( 3 ) 网络安全产品的单一性 这主要指的是现有的网络安全产品。没有任何一个安全产品能够解决所有的 网络安全问题。们不能依靠某个网络安全产品解决所有的网络安全问题，这是不 现实也是不可能的。 ( 4 ) 动态性 网络安全技术是在不断发展变化中的。在一段时间看来是较为安全的技术， 随着网络攻击技术的发展也会暴露出原有技术的缺陷。所以，网络安全保护技术 上也应该是发展的、动态的。 ( 5 ) 不易管理性 网络的安全性和灵活性是一对矛盾，网络安全是建立在牺牲一定的灵活性的 基础上的。它的一套技术规则和管理办法需要严格遵守，对实际操作人员提出了 四川大学硕士学位论文统一网络安全管理平台技术研究 很高要求。这就为网络安全管理带来了较大难度。 ( 6 ) 黑盒性 网络的不安全性是相对透明的，而网络安全则是有黑盒性的。网络安全工具 和设备在运行时对用户来说是不可见的。 2 2 网络安全技术概述 自网络服务于公众起，网络安全问题就一直如影随形。1 9 8 8 年1 1 月2 0 的蠕 虫病毒，至今仍然让人们心有余悸。正是从那时起，i n t e m e t 逐渐成为病毒肆虐的温 床。滥用网络技术缺陷和漏洞的网络入侵，更让人们防不胜防。相应的网络安全技 术也就出现了，如防火墙、病毒防护软件等。随着网络技术的飞速发展，新的威胁 和脆弱点不断出现，从而对网络安全技术提出了更高的要求。随着互联网的发展以 及信息化程度的逐步提高，网络安全威胁也呈现出多元化、复杂化的趋势。依靠 单一的防火墙已经很难解决现有的网络安全问题，网络安全要靠一个包括防火墙、 防病毒、入侵检测、漏洞扫描器等多项技术和安全设备组成的安全体系来实现。 下面，我们就对部分安全产品重点是网络中应用广泛的防火墙和入侵检测系统等 安全设备和技术进行简述。 2 2 1 防火墙 网络提供了发布信息和检索信息的服务，同时也存在着信息污染和信息破坏 的威胁。为了保护数据和资源的安全。出现了防火墙技术和产品。防火墙技术是一 种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入 内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它 对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检 查，以决定网络之间的通信是否被允许，并监视网络运行状态 1 3 l 1 4 1 。 防火墙具有下面诸多优点： ( 1 ) 防火墙能强化安全策略：它执行站点的安全策略，仅仅容许符合安全策略 的访问请求通过。 ( 2 ) 防火墙能有效地记录i n t e m e t 上的活动：因为所有进出信息都必须通过防火 墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯 一点，防火墙能在被保护的内部网络和外部网络之间进行记录。 ( 3 ) 防火墙限制暴露用户点：防火墙能够用来隔开内部网络和外部网络。这样， 能够防止影响一个外部网络的问题传播到整个内部网络。 ( 4 ) 防火墙是一个安全策略的检查站：所有进出的信息都必须通过防火墙，防 四川大学硕士学位论文统一网络安全管理平台技术研究 火墙便成为安全问题的检查点，使可疑的访问被拒绝于外部网络。 但是，防火墙并非万能，防火墙对于网络的安全控制也有其不足之处【1 5 】 1 “： ( 1 ) 不能防范恶意的知情者：防火墙可以禁止系统用户经过网络连接发送专有 的信息。但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入 侵者已经在内部网络，防火墙是无能为力的。内部用户能够绕过防火墙偷窃数据， 破坏硬件和软件，并且巧妙地修改程序。对于来自知情者的威胁只能要求加强内 部管理，如主机安全和用户教育等。 ( 2 ) 不能防范不通过它的连接：防火墙能够有效地防止通过它进行传输信息， 然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部 系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者通过拨号侵入。 ( 3 ) 不能防备全部的威胁：防火墙被用来防备已知的威胁，如果是一个很好的 防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的 威胁。 ( 4 ) 防火墙不能防范病毒：防火墙不能防范、消除网络上的p c 机的病毒。 2 2 2 入侵检测系统( i d s ) 入侵是指任何试图危害资源的完整性、保密性和可用性的活动集合。入侵检 测就是检测入侵活动，并采取对抗措旌【1 7 l 。设想这样一种情况：网络中有台机器， 被连接到网络上，出于一些原因，需要让些管理或维护人员访问这台机器上的 资源。然而，你并不愿意那些未经授权的人员或者其他来经授权的第三方访问系 统来访问这台机器。入侵检测就是这样一种技术，它会对未经授权的连接企图做 出反应，甚至可以抵御一部分可能的入侵。入侵检测系统按照数据来源可分为基 于主机的i d s ( h o s t - b a s e d i d s ，h i d s ) 和基于网络的i d s ( n e t w o r k - b a s e d i d s ， n d s ) 。 基于主机的i d s 的关键技术是从庞大的主机安全审计数据中抽取有效数据进 行分析，这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进 程是否合法。基于网络的i d s 放置于网络之上，靠近被检测的系统。它们监测网络 流量并判断是否正常，通过监视网络上的流薰来分析攻击者的入侵企图。 基于网络的i d s 是指监测整个网络流量的入侵检测系统。基于网络的入侵检测 一般需要把网卡设置成混杂模式，同时，在交换机内，一个端口所接收的数据并 不是一定会转发到另一个端口。所以，在这种情况下，为了能够达到监听所有通 信信息，有可能需要在网关上设置镜像端口。它存在如下主要缺点【1 ”： ( 1 ) 易受欺骗。n i d s 不能抵御i n s e r t i o n 、e v a s i o n 的欺骗和攻击i l9 】。由于n i d s 四川大学硕士学位论文 统一网络安全管理平台技术研究 与受监视的系统对网络事件的理解不完全一致，因此易受欺骗。 ( 2 ) 易受拒绝服务攻击( d e n i a lo f s e r v i c e ，d o s ) 。n i d s 为了不漏掉对所有攻 击的监测，需要尽可能对每一个包进行检测。这样攻击者向内部网发送大量需要 n i d s 处理的包时，便造成n i d s 拒绝服务。 ( 3 ) 由于n i d s 属于f a l s e o p e n 类型，即当n i d s 失效时也失去了对网络的监视， 因此当它遭到d o s 攻击后，网络也会处于不安全的状态。 ( 4 ) 没有能力控制外部网对内部网的访问。 当数据包抵达目的主机后，防火墙和网络监控已经无能为力了，但是还有一 个办法可以进行一些防护，那就是基于主机的入侵检测。基于主机的入侵检测又 可以分成网络监测和主机监测。网络监测对抵达主机的数据进行分析并试图确认 哪些是潜在的威胁，任何连接都可能是潜在的入侵者所为。请注意，这点与基于 网络的入侵检测不同，因为它仅仅对已经抵达主机的数据进行监测，而后者则是 对网络上的流量进行监控。如此一来就不需要把网卡设置成混杂模式了。主机监 测对任何入侵企图( 或者成功的入侵) 都会在监测文件、文件系统、登录记录或 在其他主机上的文件中留下痕迹，系统管理员们可以从这些文件中找到相关痕迹。 网络入侵检测系统虽然可以检测到非法入侵，但是由于网络中安全产品的各 自为战，在没有协调统一的运行机制的情况下并不能与防火墙等安全设备形成安 全联动机制。 2 2 3 漏洞扫描系统 漏洞扫描系统，顾名思义就是扫描网络系统、程序、软件的漏洞。漏洞扫描 是自动检测远端或本地主机安全脆弱点的技术 2 娜。它查询t c p i p 端口，并记录目 标的响应，收集关于某些特定项目的有用信息，如可用服务、拥有这些服务的用 户、是否支持匿名登录、是否有某些网络服务需要鉴别等。 漏洞扫描系统可预知主体受攻击的可能性和具体的指证将要发生的行为和产 生的后果；可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数： 了解支撑系统本身的脆弱性，评估所有存在的或潜在的安全风险。漏洞扫描系统 实现了对网络上的计算机系统进行扫描，检查系统的潜在问题，发现由于安全管 理配置不当、疏忽或操作系统本身存在的漏洞( 这些漏洞会使系统中的资料容易 被网络上怀有恶意的人窃取，甚至造成系统本身的崩溃) ，向安全管理员按照漏 洞对系统的危险级别报告检查出的漏洞名称及其详细描述，并同时对发现的漏洞 给出了解决办法。 由于缺乏协同机制，各种安全设各各自为战，不能统一互动，网络安全管理 四川大学硕士学位论文统一网络安全管理平台技术研究 员可能会不能及时的解决发现的系统安全漏洞和安全脆弱点，使网络系统存在或 潜在安全风险。 2 2 4 防病毒系统 计算机病毒一词是指编制或者在计算机程序中插入的破坏计算机功能或者毁 坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。随着 网络的发展和普及，计算机病毒的泛滥和危害十分严重，病毒的传播方式和破坏 方式也越来越网络化。网络病毒实际上是一个笼统的概念。一种情况是专指利用 网络进行传播并对网络进行破坏的一类病毒的总称；另一种情况是，网络病毒是 指删病毒、e m a i l 病毒、j a v a 病毒等- 与i n t e r n e t 有关的病毒【6 1 0 3 1 网络防病毒系统是目前各网络系统中得到了广泛使用的网络安全设备之一， 但没有达到统一规划，统一配置，统一管理。各种防病毒系统不能相互协作工作， 并不能形成规模效应。 2 2 5 用户鉴是l j 系统 用户鉴别系统帮助网络系统确定用户的合法身份，是进入网络和系统的第一 道安全关口，是用户获取一定权限的关键。用户鉴别提供了对实体声称的身份的 确认，实现对用户的身份鉴别，实现信息的保密性、完整性、真实性和抗抵赖性 等保护 6 1 2 1 1 。 用户鉴别系统是实现网络安全的重要机制之一。在安全的网络通信中，涉及 到的通信各方必须通过某种形式的身份鉴别机制来证明他们的身份，验证用户的 身份与所宣称的是否一致，然后才能实现对于不同用户的访问控制和记录。 2 3 网络管理技术概述 网络管理技术就是监督、组织和控制网络通信服务以及信意处理所必需的各 种技术手段和措施的总称。其目标是确保计算机网络的持续正常运行，并在计算 机网络运行出现异常时能及时响应和排除故障。 网络管理是控制一个复杂计算机网络使得它具有最高的效率和能够可靠的工 作，就是对主要的网络功能进行远程配置、监控和修改。这一过程通常包括数据 收集、数据处理、数据分析和网管动作等。主要网络功能是指直接为用户需求提 供支持的功能。网络管理系统在运行过程中，要配置各种网络系统，监控各种网 络设备。 四川大学硕士学位论文 统一网络安全管理平台技术研究 网络管理对于网络资源的最优化、监控和有效利用是至关重要的。目前，网络 管理系统一般采用简单网络管理协议( s n m p ) 对网络设备如路由器、交换机等进 行故障管理( f a u l t m a n a g e m e n t ) 、配置管理( c o n f i g u r a t i o nm a n a g e m e n t ) 、计费 管理( a c c o u n t i n gm a n a g e m e n t ) 、性能管理( p e r f o r m a n c em a n a g e m e n t ) 和安全管 理( s e c u r i t ym a n a g e m e n t ) 2 2 j ： ( 1 ) 故障管理就是对网络中的故障进行检测、诊断和恢复或排除，保证网络能 够提供连续、可靠的服务。 ( 2 ) 性能管理是以网络性能为准则，收集、分析和调整管理对象的状态。其目 的是保证在使用最少的网络资源和最小延迟的前提下，使网络可以提供可靠、连 续的通讯能力。 ( 3 ) 配置管理是用来监控网络运行的环境和状态，改变和协调网络设备的配置， 确保网络有效和可靠地运行。 ( 4 ) 计费管理主要包括统计网络资源和信息资源的使用情况，分析和预测网络 的业务量，根据计费标准计算出网络的使用费用。 ( 5 ) 安全管理是对网络资源的访问提供保护，包括授权机制、存取控制、加密、 密钥管理以及有关安全访问日志的维护。 随着全球网络的开放，不同的管理者和主机之间的共享管理数据逐渐增多， 通信更加频繁，随之安全问题也越来越突出和复杂。这一切对随络管理中敏感资 源和功能的安全性提出了新的要求。网络的安全主要是依赖于网络管理系统的安 全。最明显的就是允许管理功能访问并操作整个网络中的重要、敏感数据和参数。 以往，网络管理被看成是对资源安全的管理。现在，普通网络管理过程中的各方 面的安全也受到了重要的关注，它包括了管理过程中的安全策略、功能区分和在 不同层上被管数据的保护。安全的网络管理可提供多层次的安全防护策略，在统 一的管理和控制下，对网络行为进行监测和控制，达到对网络进行安全保护和管 理的目的。 2 4 网络安全管理的必要性 自从信息技术诞生以来，大量的统计数据表明，i t 行业用户对信息安全的看 法正在发生如下几个阶段的转变： 第一个阶段是受主流网络安全产品厂商宣传的左右，坚信单一安全设备能够 很好地保护自己的业务应用，典型思想表