（计算机科学与技术专业论文）企业数据网安全防护体系的研究与实现.pdf

内蒙古大学工程硕士学位论文 企业数据网安全防护体系的研究与实现 摘要 在当今信息时代，网络安全问题已成为人类共同面临的挑战。国内，网络安全问题也受 到越来越多的关注，具体表现为：计算机系统受病毒感染和破坏的情况极其严重：电脑黑客 活动的严重的威胁到了网络安全；网络基础设施面临多重互联网网络攻击的挑战；网络安全 防御系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。因此如果不很好地解决这 个问题，必将影响企业的信息化发展，甚至阻碍我国信息化发展的进程。 鉴于网络安全与网络攻击之间存在着不可分割的因果关系，如果在网络世界中不存在攻 击行为，似乎没有太多的必要在这里讨论安全。所以在本文中，把网络攻击放在前面，首先 对目前典型的网络攻击行为技术特点进行了分析，主要包括：拒绝服务d o s 、恶意软件、利 用脆弱、操纵p 包、内部攻击和c g i 攻击，并针对它们的特点提出了相关的应对方法。通过 网络攻击行为技术特点进行了分析，结合企业第一期安全防御系统建设，针对企业现状本文 对二期安全防御系统的建设提出了一些建设性分析。 通过对上述问题的研究，本文针对企业数据网的安全现状，并结合企业第一期建设成果 的分析，研究如何巩固第一期的成果，进一步完善企业数据网的安全系统。通过对企业的网 络和数据安全策略的种种安全技术手段的分析，结合安全产品，为企业提供了一个完整的网 络安全防御系统的解决方案，协助企业达到保护内部数据网的安全防御目的。 关键词：计算机网络网络攻击安全防御 企业数据网安全防护体系的研究与实现 t h er e s e a r c ha n di m p l e m e n t a t i o no fs e c u r i t y o fc o r p o r a t i o nd a t an e t w o r k a b s t r a c t t h ep r o b l e mo fn e t w o r ks e c u r i t yb e c o m et h ec h a l l e n g e sw h i c hw eh a v et of a c ei nt h e i n f o r m a t i o na g e ，t h ed o m e s t i cp r o b l e m so fn e t w o r ks e c u r i t yh a v eb e c o m ei n c r e a s i n g l yp r o m i n e n t s p e c i f i cp e r f o r m a n c e ：c o m p u t e rs y s t e mb yv i r u si n f e c t i o na n dd e s t r u c t i o ni sv e r ys e r i o u s ；h a c k e r h a sb e c o m eam a j o rt h r e a t ；t h ei n f r a s t r u c t u r eo fn e t w o r ki sd a n g e r o u s ；t h es y s t e md e f e n s eo f n e t w o r ks e c u r i t yi sw e a ki nt h ep r e d i c t i o n ，r e s p o n s e ，a n dr e c o v e r yc a p a b i l i t i e s s oi fw ed on o t s o l v et h i sp r o b l e mv e r yw e l l ，i tw o u l db ea f f e c t e dt h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y e n t e r p r i s e s ，a n d & v e nh i n d e r e dt h ed e v e l o p m e n to fc h i n a si n f o r m a t i o np r o c e s s i nv i e wo ft h ec a u s a la n di n t e g r a la b o u tt h en e t w o r ks e c u r i t ya n dt h en e t w o r ka t t a c k s ，i ft h e r e i sn o n en e t w o r ka t t a c k si nt h en e t w o r kw o r l d i ts e e m sn o tn e c e s s a r yt od i s c u s st h em a t t e rh e r e s o ， i nt h i sa r t i c l e ，w ef i r s tt a l ka b o u tt h en e t w o r ka t t a c k s ，f i r s to fa l l ，at y p i c a ln e t w o r ko ft h ec u r r e n t t e c h n i c a lc h a r a c t e r i s t i c so fa g g r e s s i v eb e h a v i o rw e r ea n a l y z e d ，i n c l u d i n g ：d e n i a lo fs e r v i c ed o s ， m a l i c i o u ss o f t w a r e ，t h eu s eo ff r a g i l ea n dm a n i p u l a t ei pp a c k e t s ，i n t e r n a la t t a c k sa n dc g ia t t a c k s ， a n df o rt h ec h a r a c t e r i s t i c so ft h e i rr e l a t e dr e s p o n s e s a tt h es a m et i m e ，c o n t i n u o u s l yu p d a t e di n r e s p o n s et on e t w o r ka t t a c k s ，n e t w o r ks e c u r i t yt e c h n o l o g yh a su n d e r g o n ef r o mt h ep a s s i v e t oa c t i v e p r o t e c t i o no ft h ed e v e l o p m e n tp r o c e s so fd e t e c t i o n t h e r e f o r e ，t h i sa r t i c l eo ft h ec u r r e n tn e t w o r k d e f e n s ea t t a c k st e c h n o l o g yt or e s e a r c h ，i n c l u d i n g ：f i r e w a l lt e c h n o l o g y , v p n ，v i r u s - w a l lt e c h n o l o g y , i n t r u s i o np r e v e n t i o n ，i n t r u s i o nd e t e c t i o na n dv u l n e r a b i l i t ys c a n n i n g t h r o u g ht h er e s e a r c ho fi s s u e sa b o v ea l l ，p o i n ta tt h es e c u r i t ys t a t u so fe n t e r p r i s en e t w o r k , a n d c o m b i n ew i t ht h ef i r s tp h a s eo fc o n s t r u c t i o no ft h eo u t c o m eo fb u s i n e s sa n a l y s i s ，r e s e a r c hh o wt o c o n s o l i d a t et h er e s u l t so ft h ef i r s tp h a s e ，a n df u r t h e ri m p r o v et h ec o r p o r a t ed a t an e t w o r ks e c u r i t y s y s t e m t h r o u g ht h ee n t e r p r i s en e t w o r ka n dd a t as e c u r i t yo ft h es e c o n da s p e c to ft h ev a r i o u s a n a l y s i st e c h n i q u e s ， c o m b i n e dw i t hs e c u r i t yp r o d u c t s ，p r o v i d eac o m p l e t en e t w o r ks e c u r i t y s o l u t i o n sf o rd e f e n s es y s t e m ，a n dh e l pe n t e r p r i s e st op r o t e c tt h es e c u r i t yo fi n t e r n a ld a t an e t w o r kf o r d e f e n s i v ep u r p o s e s k e yw o r d s ：c o m p u t e r - n e t w o r k n e t w o r k - a r a e k s e c u r i t ya n dd e f e n s e i i 原创性声明 本人声明：所呈交的学位论文是本人在导师的指导下进行的研究工作及取得的研究成果。除本文已 经注明引用的内容外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得凼墓直太堂及 其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示谢意。 学位论文作者签名： 日期： 在学期间研究成果使用承诺书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：内蒙古大学有权将学位论文的全 部内容或部分保留并向国家有关机构、部门送交学位论文的复印件和磁盘，允许编入有关数据库进行检索， 也可以采用影印、缩印或其他复制手段保存、汇编学位论文。为保护学院和导师的知识产权，作者在学期 间取得的研究成果属于内蒙古大学。作者今后使用涉及在学期间主要研究内容或研究成果，须征得内蒙古 大学就读期间导师的同意：若用于发表论文，版权单位必须署名为内蒙古大学方可投稿或公开发表。 学位论文作者签名： 日期： 甲 指导教师签名： 日期： 产 内蒙古大学工程硕士学位论文 第一章绪论 1 1 计算机网络系统的定义 计算机网络，是指将地理位置不同的具有独立功能的多台计算机及其外部设 备，通过通信线路连接起来，在网络操作系统，网络管理软件及网络通信协议的 管理和协调下，实现资源共享和信息传递的计算机系统【9 】。 1 2 目前计算机网络安全的现状 随着计算机与通信的结合地发展，计算机网络攻击事件也不断增加，“黑客 也随之诞生。“黑客”是指专门研究、发现计算机系统和网络漏洞的计算机爱好者， 他们一般非常精通计算机硬件和软件知识，并有极强能力通过创新的方法剖析系 统，并通过计算机系统的漏洞进行修改网页恶作剧，窃取网上信息兴风作浪，非 法进入主机破坏程序、阻塞用户、窃取密码等活动。另外，有些“黑客”进入银行 网络，窃取账户信息，达到获取金钱的目的。在近十年的互联网发展过程中，黑 客攻击网络事件频繁发生，导致网络设备瘫痪，对互联网的发展制造了极大的威 胁。目前由于计算机系统客观存在脆弱性的，操作系统、应用软件及硬件设备都 存在一些安全漏洞，网络协议本身的设计也有一些安全隐患，这些都为攻击者采 用非正常手段入侵系统提供了可乘之机。 综上所述，网络安全已成为互联网发展的一个极其重要的问题，也是当今炙 手可热的话题。人们从来没有像今天这样来关心自己的网络安全问题，近年来， “黑客”活动日益猖獗，导致网络上个人隐私被窃取的现象严重、互联网病毒泛滥、 w i n d o w s 系统漏洞百出，使得人们越来越重视网络的安全防范。计算机网络安全 防范的主要有以下两个方面：一是计算机病毒，二是黑客入侵。对于一个计算机 网络的安全应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机 网络安全防御系统不仅要保护计算机自身网络设备安全和系统安全，更重要的是 保护网络内部的数据安全。但在目前的技术发展中，严重制约我国提高企业网络 安全防御能力的因素主要有以下几方面： l 、缺乏自主的计算机网络和软件核心技术 我国企业在进行信息化建设过程中，无法进行技术选择，只能依靠进口设备 和技术。就目前计算机安全存在三大黑洞：c p u 芯片、操作系统和数据库，而 且网关软件大多依赖进口。我国企业计算机网络所使用的网管设备和软件基本上 企业数据网安全防护体系的研究与实现 是国外产品，这些因素使我国企业计算机网络的安全性能大大降低，网络安全处 于极脆弱的状态。 2 、安全意识淡薄是网络安全的瓶颈 目前，人们在利用网络方面还存在不少认知盲区和制约因素。对于网络的安 全意识相当淡薄，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的 安全性无暇顾及，对网络信息不安全的事实置之不理。 3 、运行管理机制的缺陷和不足制约了安全防范的力度 运行管理是对网络运行过程进行监督管理，是实现对计算机网络的安全攻击 事件进行有效防范的关键。有关计算机网络信息安全的方方面面最终都会在运行 管理机制上体现出来。就目前的我国大部分企业的运行管理机制来看，有以下几 方面的缺陷和不足。 a ) 网络安全管理方面人才不足：互联网通信成本极低，分布式客户服务器 和不同种类配置不断出新和发展，但从事系统管理的人员却往往无法进行有效地 培训，不能充分了解一些计算机网络技术，所以不能有效的利用计算机网络设备 进行安全管理。 b ) 安全措施不完善：互联网越来越成为人们生活的必需品，而互联网上的 内容也越来越复杂，这同时也是互联网不安全因素的越来越多。然而，网络用户 对此缺乏认识，为做好安全防范就就急于操作，结果导致计算机系统数据暴露， 自身信息得不到保障。 c ) 没有应对网络攻击的综合解决方案：面对复杂的不断变化的互联网世界， 大多数用户没有综合性的安全管理解决方案，稍有安全意识的用户越来越依赖 “银弹 方案( 如防火墙和加密技术) ，但这些用户也就此产生了虚假的安全感， 逐渐丧失了警惕。 4 、缺乏制度化的防范机制 大部分单位没有从内部管理制度上建立相应的安全防范机制，在整个运行过 程中，缺乏行之有效的安全检查和应对保护制度。这使得网络管理者和内部人士 自身的违法行为无法得到有效的防范，而且许多网络犯罪行为都是因为内部联网 电脑和系统管理制度疏于管理而得逞的。另外，政策法规难以适应网络发展的需 要，信息立法还存在相当多的空白。 5 、涉密信息在计算机网络中传输的安全可靠性低 2 内蒙古大学工程硕士学位论文 如果计算机网络安全得不到保障，企业的一些涉密信息存储在网络系统内， 很容易被搜集而造成泄密。同时，这些涉密资料在传输过程中，由于要经过许多 外节点，且难以查证，在任何中介节点均可能被读取或恶意修改，包括数据修改、 重发和假冒。 6 、存在来自网络外部、内部攻击的潜在威胁 网络中的每台电脑都面临局域网外部的入侵攻击，一旦攻击成功，电脑将被 修改硬盘数据，种下木马等破坏。入侵者往往选择地破坏网络信息的有效性和完 整性，甚至伪装为合法用户进入企业内部网络占用大量系统资源，修改网络数据， 窃取、破译机密信息，在中间站点拦截和读取绝密信息等等。另外，在网络内部， 也会有些非法用户冒用合法用户的口令登录系统，窃取机密信息，修改内部信息 等等。还有些非法用户会修改自己的m 和m a c 地址，使其和合法用户m 和 m a c 地址一样，绕过网络管理员的安全设置【9 】。 现实中还存在着多种多样网络安全问题，我们一定要充分重视，提高警惕性， 制定完整、细致、可行的计算机网络安全策略以应对不断出现的各种各样的网络 安全问题，才能保障企业内部网络的安全、保证内部数据网的安全。 1 3 计算机网络安全的重要性 随着计算机互联网络全面进入千家万户，人们越来越离不开互联网，互联网 也承载着越来越多人们的日常生活。同时随着信息共享应用的日益深入，人类开 始从主要依赖物质和能源的社会步入物质、能源和信息三位一体的社会，信息成 为人类社会必须的重要资源，世界的生产力也得到了飞速的发展。但同时网络的 安全问题也日益突出，同时网络面对的威胁也越来越负责。因此计算机网络安全 也越来越重要，从大的方面来说，网络信息安全问题威胁到国家的政治、经济、 军事、文化、意识形态等领域；从小的方面来说，网络信息安全是人们能否保护 自己个人隐私的关键。所以，网络与计算机系统安全必将成为科学研究的一个重 大课题。 计算机网络的发展一日千里，全球信息化也成为人类发展的大趋势。人们的 生活已经无法脱离对互联网的依赖，但是互联网络是开放的、共享的，使得网络 非常容易受到黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和 保密是一个至关重要的问题。而对于企业的内部数据网，涵盖了企业内部的所有 数据，关系到企业的正常运转，所以其网络的安全和保密性更为重要。因此企业 3 企业数据网安全防护体系的研究与实现 应该建立一个数据网网络安全防御体系，建立足够强的安全防护措施，保证企业 内部数据网络的安全以及企业整体网络系统的正常运行。 1 4 本文研究内容 本文首先对计算机网络主要攻击方式进行了分析研究，对目前典型的网络攻 击行为技术特点进行了分析，主要包括：拒绝服务d o s 、恶意软件、利用脆弱、 操纵p 包、内部攻击和c g i 攻击，并针对它们的特点提出了相关的应对方法。 然后结合企业实际情况，针对企业安全防御系统建设需求，分析研究企业所需的 安全防御策略；最后结合企业实际情况，利用研究成果为企业设计了完成了对内 部数据网安全系统的建设。 4 内蒙古大学工程硕士学位论文 第二章计算机网络攻击方式的分析和研究 近年来随着互联网的不断发展，网络攻击技术和攻击工具也日益成熟，同时 使得一般的计算机爱好者要想成为一名准黑客，通过互联网的共享资源非常容， 易。这就使得各个单位的网络信息安全面临越来越大的风险，所以只有加深对网 络攻击技术发展趋势的了解，才能够尽早采取相应的防护措施。现阶段我们应该 特别注意以下几个方面的网络攻击手段发展方向： ( 1 ) 攻击技术手段在快速改变 ( 2 ) 安全漏洞的被利用的速度越来越快 ( 3 ) 有组织的攻击越来越多 ( 4 ) 攻击的目的和目标在改变 ( 5 ) 攻击行为越来越来越隐蔽 ( 6 ) 攻击者的数量不断增加，破坏效果越来越大 现阶段企业都在实行信息化发展，企业的大部分工作都在计算机网络中进 行，如果企业的计算机网络遭到攻击，出现瘫痪的话，后果将极其严重，而网络 安全与网络攻击之间存在着不可分割的因果关系，如果在网络世界中不存在攻击 行为，似乎没有太多的必要在这里讨论安全。 所以在本文中，把网络攻击放在前面。在讨论企业数据网安全防御系统方案 之前，先分析一下目前因特网上各种黑客攻击方法的技术特点，本章将对每种攻 击方法的技术原理作以简单的分析，并提出相应的应对措施。 2 1 安装恶意软件 1 、逻辑炸弹 它是一种程序，在特定的条件下( 通常是由于漏洞) 会对目标系统产生破坏作 网络安全系统的设计与实现。 2 、后门 它是一种程序，允许黑客远程执行任意命令。一般情况下，黑客攻破某个系 统后，即使系统管理员发现了黑客行为并堵住了系统的漏洞，为了能够再次访问 该系统，黑客往往在系统中安放这样的程序。 3 、蠕虫 它是一种独立的程序，能够繁殖并从一个系统到另一个系统传播其自身的拷 企业数据网安全防护体系的研究与实现 贝，通常在整个网络上。像病毒一样，蠕虫可以直接破坏数据，或者因消耗系统 资源而减低系统性能，甚至使整个网络瘫痪。最著名的就是1 9 8 8 年m o r r i s 因特 网蠕虫事件。 4 、病毒 它是一种程序或代码( 但并不是独立的程序) ，能够在当前的应用中自我复 制，并且可以附着在其他程序上。病毒也能够通过过度占用系统资源而降低系统 性能，使得其他合法的授权用户也不能够正常使用系统资源。 5 、特洛伊木马 一种独立的、能够执行任意命令的程序。特洛伊木马往往能够执行某种有用 的功能，而这种看似有用的功能却能够隐藏在其中的非法程序。当合法用户使用 这样合法的功能时，特洛伊木马也同时执行了非授权的功能，而且通常篡夺了用 户权限。 6 、恶意软件攻击方法小结 恶意软件通常能够造成严重的安全威胁，秘密的信息可以被截获和发送到敌 手处，关键的信息可以被修改，计算机的软件配置可以被改动以允许黑客进行连 续的入侵。排除恶意软件的威胁代价是高昂的。采取预防措施和教育用户所花费 的代价，要比被攻击后恢复的代价要低的多。所以我们要从四个方面进行防范： 1 、制定一个保护计算机防止被病毒等恶意软件威胁的计划；2 、安装有效的反病 毒等工具；3 、教育用户预防和识别病毒等恶意软件的技术；4 、及时更新清除恶 意软件的工具。 2 2 利用计算机网络的脆弱性 l 、访问权限 黑客利用系统文件的读写等访问控制权限配置不当造成的弱点，获取系统 的访问权。 2 、蛮力攻击 黑客通过多次尝试主机上默认或安全性极弱的登录口令，试登录到某个帐 号。还有一种形式是采用口令破解程序，对用户加密后的口令文件进行破解，如 使用c r a k e r 、n t c m c k 等破解软件。 3 、缓冲区溢出 一种形式的缓冲区溢出攻击是黑客本人编写并存放在缓冲区后任意的代码， 6 内蒙古大学工程硕士学位论文 然后执行这些代码。这对黑客的技术水平要求很高，一般的黑客少有此举；另一 种形式的缓冲区溢出攻击是程序代码编写时欠考虑。典型的一种形式是对用户输 入的边界检查问题。例如，c 语言中，函数地e t o 不对用户输入的数量进行检查， 如果程序员不考虑这个情况就会出问题。 4 、信息流泄露 黑客利用在某个程序执行时所产生的某些暂时的不安全条件，例如在执行 s u i d 时执行用户具有同被执行程序的属主同等权限，这样执行用户就可以获得 对某些敏感数据的访问权。 5 、利用脆弱性小结 计算机和计算机网络构成了一个复杂的大系统，这个大系统内部又有各种型 号和计算机、各种版本的服务和各种类型的协议构成，不可能保证计算机系统的 硬件、软件( 操作系统和应用软件) 、网络协议、系统配置等各方面都完美无缺， 黑客就能够发现并利用这些缺陷来进行攻击。解决这方面的问题，一是教育，教 育用户树立安全意识，如注意口令的设置、正确配置设备和服务等；二是不断地 升级系统软件和应用软件的版本，及时安装“补丁 软件。 2 3 利用伪装发动攻击 l 、端口欺骗 利用常用服务的端口，如2 0 5 3 8 0 1 0 2 4 等，避开包过滤防火墙的过滤规则。 2 、化整为零 黑客将正常长度的数据包分解为若干小字节的数据包，从而避开防火墙过 滤规则，如对f l a g p o r t s i z e 等的检测规则等。 3 、盲1 p 欺骗 改变源口地址进行欺骗。这种口欺骗称为“盲欺骗，是因为黑客修改 其发送数据包的源地址后，不能与目标主机进行连接并收到来自目标主机的响 应。但是，这种“盲口欺骗往往是黑客能够事先预计到目标主机可能会做出 的响应，从而构成其他攻击的组成部分。对i p 欺骗攻击的防范中，路由器的正 确设置最为关键和重要。如果路由器没有正确设置，对声称源地址是本网络的进 网数据包不进行过滤，则容易使m 欺骗攻击得逞。 4 、序列号预测 某些主机产生的随机序列号不够随机，这也就意味着不安全。黑客通过分析 7 企业数据网安全防护体系的研究与实现 和发现随机序列的产生规律，计算出该主机与服务器连接时的t c ps e q a c k 序 列号，即可欺骗服务器并与之建立“合法 的连接，如微软的w i n d o w s 系列中即 有这样的问题，其t c p 序列号是根据本机系统时间产生的。 2 4 拒绝服务d o s ( d o s 是d e n i a io fs e r v i o e 的简称，即拒绝服务) 1 、淹没 是指黑客向目标主机发送大量的垃圾数据或者无效的请求，阻碍服务器的为 合法用户提供正常服务【l i 】。 2 、s m u t t i n g 拒绝服务攻击 s m u r f i n g 拒绝服务攻击的主要原理黑客使用口广播和m 欺骗使f l o o d i n g 攻 击的效果倍增，使用伪造的i c m p e c h o r e q u e s t 包发往目标网络的口广播地 址。s m u r f i n g 攻击的原理如图2 1 所示。 图2 1s m u r f m g 攻击图示 3 、分片攻击 这种攻击方法利用了t c p i p 协议的弱点，第一种形式的分片攻击是，有一 些t c p i p 协议实现中，对m 分段出现重叠时并不能正确地处理。例如，当黑客 远程向目标主机发送p 的片段，然后在目标主机上重新构造成一个无效的u d p 包，这个无效的u d p 包使得目标主机处于不稳定状态。一旦处于不稳定状态， 被攻击的目标主机要么处于蓝屏幕的停机状态，要么死机或重新启动。类似这样 的黑客攻击工具有：t e a r d r o pn e w t e a rb o n k 和b o i n k 等。 内蒙古大学工程硕士学位论文 第二种形式的分片攻击是，一些t c p i p 的实现对出现一些特定的数据包会 呈现出脆弱性。例如，当黑客远程向目标主机发出的s y n 包，其源地址和端口 与目标主机的地址和端口一致时，目标主机就可能死机或挂起。典型这样的黑客 工具是：l a n d 。 4 、带外数据包攻击 向一个用户w i n d o w s 系统的1 3 9 口( n c t b i o s 的端口) ，发送带外数据包。 o o b ( 垃圾数据) ，w i n d o w s 不知如何处理这些o o b ，可以远程造成该用户系统 运行异常。对方用户只有重新启动才能正常工作。 5 、分布式拒绝服务攻击d d o s 传统d o s 攻击的缺点是： 1 ) 受网络资源的限制。黑客所能够发出的无效请求数据包的数量要受到其 主机出口带宽的限制； 2 ) 隐蔽性差。如果从黑客本人的主机上发出拒绝服务攻击，即使他采用伪 造m 地址等手段加以隐蔽，从网络流量异常这一点就可以大致判断其位置，与 i s p 合作还是较容易定位和缉拿到黑客的。 而d d o s 却克服了以上两个致命弱点。 1 ) 隐蔽性强。通过间接操纵因特网上“无辜 的计算机实施攻击，突破了 传统攻击方式从本地攻击的局限性和不安全性。 2 ) 网络资源不受限制。攻击的规模可以根据情况做得很大，使目标系统完 全失去提供服务的功能。 所以，分布式网络攻击体现了对黑客本人能力的急剧放大和对因特网上广阔 资源的充分利用。由于攻击点众多，被攻击方要进行防范就更加不易。对y a h o o 等世界上最著名站点的成功攻击证明了这一点。 6 、拒绝服务攻击小结 分布式网络攻击d n a ( d i s t r i b u t c dn e t w o r ka t t a c k s ) 成为黑客的主要攻击手 段，这也是未来连接在因特网上机构所面临的严重威胁之一。d n a 攻击形式是 随着因特网快速发展的必然结果。现在是d d o s 攻击，那么下一次攻击也许就是 分布式欺骗( d i s t r i b u t e ds p o o f i n g ) 、分布式监听( d i s t i b u t c ds n i f f i n g ) 、或者 是分布式分段攻击( d i s t r i b u t e df r a g m e n t a t i o na t t a c k ) 从根本上还是要维护好上网 主机的安全性。i s p 与i s p 之间、i s p 与网络管理员管理员之间相互协调合作， 9 企业数据网安全防护体系的研究与实现 共同对付d o s 。 2 5 内部攻击 所谓的“f r o mt h ei n s i d e 有两方面的含义：一方面可以指是内部人员；另一 面是指网络黑客控制了远程网络上某台主机后的所做所为。 1 、“后门守护程序 黑客成功入侵了远程网络上某台计算机后( 一般指的是拥有管理员权限，或 r o o t 权限) ，为了达到其进一步访问或进行其他攻击的目的，往往在该主机上安 装某些特定的软件，例如守护程序d a e m o n 。同c s 服务模式一样，守护程序开 放该主机上的某个端口，并随时监听发送到该端口的来自黑客的命令，允许黑客 更进一步的远程访问或进行其他的攻击。 2 、日志修改 在被攻击的计算机日志等事件记录装置上修改黑客非法入侵访问和攻击的 踪迹，修改日志文件是黑客学习的第一件事情，其道理是显然的。因为，计算机 操作系统中的事件记录功能，如日志文件等，能够记录了黑客的“指纹”。黑客 攻击发生后，日志中的信息就成为缉拿黑客的最主要的线索之一，并且也是将黑 客定罪的重要证据。因此，黑客甚至在攻击发生之前就应该预计到如何更改日志 文件。 现在，有许多修改日志的黑客工具，如u t c l e a n 是可以消除黑客留在w t m p ， w t m p x ，u t m p ，u t m p x 和l a s t l o g 中黑客“痕迹 的工具。类似的还有r e m o v e ， m a r r y 等工具。 3 、隐蔽 如果黑客在被其入侵的计算机上安装了诸如后门守护程序等为其服务的特 殊软件，往往是该主机一开机后就运行着一个或多个进程。主机的系统管理员使 用通用的工具，例如p s ，就可以显示出当前主机上运行着的所有进程，从而暴 露了主机遭到黑客入侵这一事实。这是黑客不愿意看到的。因此，黑客要使用特 洛伊化的文件替代系统文件，不显示在正常情况下应该显示的信息，监听网络数 据，过滤和记录敏感信息，如口令和帐号等。黑客必须能够在某个网络上成功地 控制一台主机，并在该主机上安装嗅探器( s n i f f e r ) ，然后在合适的时间取回嗅探 器的记录信息。 4 、非盲欺骗 1 0 内蒙古大学工程硕士学位论文 这同“盲 欺骗有根本的区别。因为“盲 欺骗不能够获得从被欺骗的目标 发送回来的响应，即黑客不可能与被欺骗目标主机建立真正的连接。而在“非盲 欺骗 中黑客使用数据监听等技术获得一些重要的信息，比如当前客户与服务器 之间t c p 包的序列号，而后或通过拒绝服务攻击切断合法客户端与服务器的连 接，或在合法客户端关机时，利用地址伪装，序列号预测等方法巧妙的构造 数据包接管当前活跃的连接或者建立伪造的连接，以获取服务器中的敏感信息， 或以合法用户权限远程执行命令。 2 6c g i 攻击 从c e r t 等安全组织的安全报告分析，近期对c g i 的黑客攻击发生的较为 频繁。针对c g i 的攻击，从攻击所利用的脆弱性、攻击的目标和所造成的破坏 等各方面都有所不同。具体来说大致有，以下两种类型的c g i 攻击： l 、低级c g i 攻击 黑客可以获得系统信息或者口令文件、非法获得服务、获得服务器资源， 有时甚至获得r o o t 权限。这种情况的c g i 攻击发生的一个重要原因是：服务器 上运行着不安全的c g i 脚本。如果是这样，则可能给黑客查询本服务器信息提 供了方便，例如，可以根据黑客的提交，查询某个文件是否存在：可以给黑客发 送本机的口令文件等；第二个重要原因是：h t t p d 以r o o t 方式运行。如果是这样， 那么一旦h t t p d 出现任何形式的漏洞都将是致命的。因为任何漏洞都可使黑客拥 有r o o t 的权限。第三个重要原因是：使用了安全性脆弱的口令。应该采取的措施 包括：更新软件：定期进行w w v 4 安全检查。 2 、高级c g i 攻击 黑客可以获得数据库访问权( 获得用户的资料) 、获得r o o t 权限，还可以修改 页面。这种情况的c g i 攻击发生的原因：一是服务器的c g i 脚本太过陈i f l ；- - 是 c g i 脚本编写不规范，或者是管理员自己编写的c g i 脚本。这样的攻击所造成 的损害会很严重，因为黑客有权篡改用户信息，进行非法交易等。另外，黑客能 够修改所造成的影响也比较广泛。所以，这样的c g i 攻击对电子商务服务器、 域名w e b 服务器、搜索引擎、以及政府站点等影响最大。应该采取的措施包括： 使用防火墙；定期进行w w w c g i 安全检查。 企业数据网安全防护体系的研究与实现 2 7 小结 本章对目前典型的网络攻击行为技术特点进行了分析，主要包括：拒绝服务 d o s 、恶意软件、利用脆弱、操纵包、内部攻击和c g i 攻击，并针对它们的 特点提出了相关的应对方法。从技术上讲，攻击行为检测系统存在一些亟待解决 的问题，主要表现在以下几个方面： l 、目前，没有较好的方法解决识别“大规模的组合式、分布式的入侵攻击 问题的方案。另外，从y a h o o 等著名i c p 的攻击事件中，发现目前互联网的安全 问题非常严重，网络攻击者的水平在不断地提高，而且现在的网络攻击日趋成熟 且多样化，加上越来越复杂的攻击手法，使得计算机网络入侵检测系统必须不断 跟踪最新的安全防护技术。 2 、现阶段网络入侵检测系统的检测方法有待提高，往往入侵者通过对信息 的改变或重新编码就可以骗过入侵检测系统的检测，同时字符串匹配的方法对于 加密过的数据包无从下手。 3 、现在的网络设备越来越复杂、越来越多样化，这就要求入侵检测系统能 紧跟目前新技术的步伐，以适应更多的环境的要求。 4 、入侵检测系统是一项新兴技术，我们对入侵检测系统的评价还没有客观 的标准，这就使得入侵检测系统之间不易互联。而随着技术的发展和对新攻击识 别的增加，入侵检测系统需要不断的升级才能保证对网络进行有效地防御。 5 、不恰当的自动反应会给入侵检测系统造成风险，以至于无法发挥其应有 的作用。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现 攻击行为时，就会过滤掉所有来自网络攻击者的p 数据包，而如果当一个攻击 者假冒大量不同的p 进行模拟攻击时，入侵检测系统自动配置防火墙会将这些 实际上没有进行任何攻击的地址都过滤掉，这就又造成新的拒绝服务访问。 6 、对i d s 自身的攻击，与其他系统一样，i d s 本身也存在安全漏洞，若对 i d s 攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求 系统应该采取多种安全产品共同做成的联合防御系统。 7 、随着网络的带宽的不断增加，如何开发基于高速网络的检测器( 事件分析 器) 仍然存在很多技术上的困难。 1 2 内蒙古大学工程硕士学位论文 第三章网络安全防御系统的实现策略 为实现建立一个安全的网络体系的总体目标，我对某电信运营企业有计划地 进行各项网络安全检测工作。前期对网管中心、运维中心和数据业务中心的各个 应用系统进行了全面的安全评估，了解了企业内部网络安全现状和存在的安全风 险，发现了与现有安全策略中所要求的安全目标之间的差距。 根据网络安全评估的结果，企业对网管及数据安全进行了一期项目的建设， 建立了比较完善的安全基础防护体系，包括防火墙、入侵检测、防病毒、集中认 证、终端管理、安全信息库等。 随着企业网络安全建设的逐步开展，安全建设需求已不再停留在安全基础层 面，更好地发挥已有安全设备的应用效果，使安全管理和安全技术更紧密地结合， 及时发现和处理系统中的安全隐患，是今后安全建设中需要解决的问题。 根据以上需求，启动移动数据网络的安全综合管理系统二期工程建设。通过 二期建设，对一期建设内容进行完善和优化，进一步巩固一期建设的成果，同时 通过部署相应的安全监控及审计产品，对纳入s o x 法案系统的安全状况进行全 面的监控及审计，进一步完善安全技术防护体系的建设工作。 3 1 企业目前背景 在一期的安全建设中，对网管网络进行了安全域的划分。网管网络的私网划 分为核心交换区、核心生产区、管理服务区和日程操作区，其中管理服务区中又 进一步划分为网络管理服务区，安全管理服务区。如图3 1 所示： 1 3 企业数据网安全防护体系的研究与实现 i ：i = 了 l a ；* t l l 攀i 1 垩：鲰鼍：l l 二墨n 一= 芦k 高等 f i 。甜4 四哑憋l 、一量副 3 - 1 阿管中心安牟艟射j 廿圈( f i 9 3 l n m c 鳓蚵q d 砌a i n 整个网管系统的拓扑结构如图3 - 2 所示： 圈3 + 2 日管系统拓扑结构图( f i 9 3 - 2 t o p o i 叩d 咖c t i mc h u r l o f n m s ) 两台c i s c o6 5 0 9 共同组成网管网络的核心交换区；厂商专业网管、话务网 内蒙古大学工程硕士学位论文 管、自动拨测系统、信令检测系统、软交换等组成核心生产区；p c 维护终端、 远程e m o s 终端等组成日常维护终端；i t 网管系统、防病毒管理系统、安全运 行管理系统、4 a 管理系统组成管理服务区。 建立了统一的v p n 接入区域，部署了防火墙，统一进行安全访问控制；与 e o m s 等系统的连接也通过防火墙进行安全边界防护；在互联网接口方面，建立 了清晰的互联网接口区域，部署了双层异构的防火墙。 3 2 网络防御实现策略分析 通过对企业目前网络的了解，分析研究在现有网络中已经采用的和应该采 用的网络安全和数据安全的策略。 3 2 1 网络安全策略 3 2 1 1 安全网络拓扑 由上面的网络拓扑结构图，可以看出整个网络拓扑划分为若干区域，核心交 换区的所有主机对其他区域都有不同的连接，特别是对于对外的服务器的访问， 是通过两条不同的信道进行，其安全性体现在两个方面： ( 1 ) 将内外信息传送信道加以区分，以保证网络不同敏感区域的信息隔离， 防止内部敏感信息进入外部公共访问区域。 ( 2 ) 由于外网为公共访问区域，从安全风险的角度来讲远远大于内网，采用 双网结构保证了在外网出现问题时内网仍然能够正常工作，从而确保整个系统的 迅速恢复。 3 2 1 2 防火墙 目前，企业已在系统中建立了多台防火墙，包括边缘防火墙、网络防火墙等 等，下面我们分析一下防火墙所起的安全防护作用： 1 ) 防火墙的体系结构 防火墙用于限制被保护局域网内部网络与外部网络( 通常是互联网) 之间相 互进行信息存取、传递操作，它所处的位置在内部网络与外部网络之间。防火墙 把内部网络一端的用户看成是可信任的，而外部网络一端的用户则都被作为潜在 的攻击者来对待1 2 7 1 。 边缘防火墙只对局域网络的周边提供保护。这些边缘防火墙会在从外部网络 进入内部局域网的流量进行过滤和审查，但是，它并不能确保局域网内部网络内 部用户之间的安全访问。针对传统边界防火墙的缺欠，在企业内部网中应采用“分 l s 企业数据网安全防护体系的研究与实现 布式防火墙”( d i s t r i b u t e df i r e w a l l s ) 【2 7 】。它负责对网络边界、各子网和网络内 部各节点之间的安全防护。“分布式防火墙是一个完整的系统，而不是单一的 产品。新的防火墙体系结构包含如下部分： 网络防火墙( n e t w o r kf i r e w a l l ) ：它是用于内部网与外部网之间，以及内部 网各子网之间的防护。与传统边界式防火墙相比，它多了一种用于对内部子网之 间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不 过在功能上与传统的边界式防火墙类似k 2 1 。 主机防火墙( h o s tf i r e w a l l ) ：通常采用的是纯软件产品，用于对网络中的服 务器和桌面机进行防护。这也是传统边界式防火墙所不具有的，也算是对传统边 界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站 与服务器之间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内 部与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与 服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底t 2 1 1 。 中心管理( c e n t r a lm a n a g e m e n t ) - 这是一个服务器软件，负责总体安全策略 的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统 边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防 护灵活，具备可管理性。 防火墙的主要技术包括：安全规则模块、n e t 转换模块、v p n 模块、重定 向模块、信息安全监控模块、百万级并发数。 2 ) 防火墙网络性能 企业内部网安全系统在防御网络攻击的同时，也需要保障网络延迟，吞吐量 等网络性能。即使是在企业内部网络遭受攻击( d o s 、d d o s ) 等攻击时，应仍然 能保证用户的网络延迟，以及网络整体的吞吐量。在这里主要考虑防火墙设备的 网络性能。 对于一个没有设置规则的防火墙设备，我们可以近似的当作一个普通的网络 互联设备来进行性能测试。r f c 2 5 4 4 则是对于测试方法的定义。性能测试应当 包括下列指标： 吞吐量( t h r o u g h p u t ) 测试在不丢包条件下每秒转发包的极限。 时延( l a t e n c y ) ：测试在吞吐量范围内从收到包到转发该包的时间间隔，时延 测试应当重复2 0 次然后去其平均值。 1 6 内蒙古大学工程硕士学位论文 丢包率( p a c k e t l0 5 5 r a t e ) ：测试从吞吐量速率到线路最高传输速率情况下