（计算机应用技术专业论文）网络安全管理平台的设计与实现.pdf

哈尔滨1 ：程大学硕十学位论文 摘要 随着信息技术的发展，尤其是网络的普及，网络系统的安全问题开始 引起人们的注意。但是仅仅依靠技术、安全设备远远不能够解决信息安全 中遇到的所有问题。当使用了种类繁多的网络安全产品后，如何有效地对 它们进行统一的管理和配置就成了使用者面临的一个主要问题，于是导致 了网络安全管理平台的产生。网络安全管理平台是一款面向大型企业的安 全综合管理平台软件。它是通过对网络中各种安全设备和安全软件的集中 管理和监控，把一个个原本分离的信息安全孤岛联结成有机协作互动的一 个楚体，对关键的安全数据进行业务关联分析和计算，指导安全的运行和 维护，减少安全运行和维护的工作量，从而有效提升用户网络的可管理性 和安全水平。 本文分析了当前主要网络安全产品的局限性，阐述了建设网络安全管 理平台的必要性，在此基础上着重介绍了一套基于j 2 e e 架构、利用s t r u t s 框架开发，以w e b 形式访问的网络安全管理平台s m p ( s e c u r i t y m a n a g e m e n tp l a t f o r m ，s m p ) 。s m p 是一个集资产信息管理、风险管理、工 单管理、安全策略管理、系统管理和安全知识库管理等于一身的综合性的 管理平台，有效简化网络安全管理工作，提升网络的安全水平和可控制性、 可管理性，降低用户的整体安全管理开销。 本文重点对s m p 的总体架构进行了系统分析和整体设计，阐述了核心 模块风险管理的详细设计，在原来定性的风险计算模型的基础上，提 出了一种基于定量的风险计算模型，并将其应用到网络安全管理平台中， 使网络安全管理过程中进行风险值的计算更加科学、准确。 关键词：网络安全；s m p ；风险；j 2 e e a b s t r a c t a l o n gw i t ht h ei n f o r m a t i o nt e c h n o l o g yd e v e l o p m e n t ，i np a r t i c u l a rt h e n e t w o r kp o p u l a r i z a t i o n ，t h en e t w o r ks y s t e ms e c u r i t yp r o b l e ms t a r t st ob r i n gt o p e o p l e sa n e n t i o n b u to n l yd e p e n d so nt h et e c h n o l o g y ，t h es e c u r i t ye q u i p m e n t b yf a rc a n n o ts o l v ea l lp r o b l e m sw h i c hi nt h ei n f o r m a t i o ns e c u r i t ye n c o u n t e r s a f t e ru s e da l lk i n d so fn e t w o r ks e c u r i t yp r o d u c t s ，h o we f f e c t i v e l yc a r r i e do nt h e u n i f i c a t i o nt ot h e mt h em a n a g e m e n ta n dt h ed i s p o s i t i o nb e c o m e so n em a i n q u e s t i o nw h i c ht h eu s e rf a c e d ，t h e r e u p o nl e a d st ot h ea p p e a r a n c eo fn e t w o r k s e c u r i t ym a n a g e m e n tp l a t f o r m t h en e t w o r ks e c u r i t ym a n a g e m e n tp l a t f o r mi sa s a f es y n t h e s i sm a n a g e sp l a t f o r ms o f t w a r ef a c et h el a r g e s c a l ee n t e r p r i s e i ti s t h r o u g hc o n c e n t r a t e dm a n a g e m e n ta n ds u p e r v i s i o nt of i l es e c u r i t ye q u i p m e n t a n ds o f t w a r eo fn e t w o r k ，t h es e c u r i t yi n f o r m a t i o nt h a to r i g i n a l l ys e p a r a t e sf o r m s o n ew h o l e a n da n a l y s i sa n dc o u n tw i t ht h ek e ys e c u r i t ys t a s i s d i r e c ts e c u r i t y o p e r a t i o na n dm a i n t e n a n c e ，d i s e a s ei t sw o r k l o a d ，c o n s e q u e n t l yi m p r o v et h e l e v e lo f m a n a g e m e n ta n ds e c u r i t yt ot h ec u s t o m e r se f f i c i e n t l y t h i sp a p e ri ne x h a u s t i v e l ya n a l y z e sl i m i t a t i o no ft h ec u r r e n tm a i nn e t w o r k s e c u r i t yp r o d u c t ，p r o p o s e si n t h en e t w o r ks e c u r i t y m a n a g e m e n tp l a t f o r m c o n s t r u c t i o nn e c e s s a r yf o u n d a t i o n ，e m p h a t i c a l l yi n t r o d u c e so n es e tb a s e do nt h e j 2 e ea n dc o n s t r u c t i o n ，u s e dt h es t r u t sf r a m ed e v e l o p m e n t ；b yw e bf o r mv i s i t n e t w o r ks a f e t yc o n t r o lp l a t f o r m s m p ( s e c u r i t ym a n a g e m e n tp l a t f o r m ，s m p ) s o m eb a s i cf u n c t i o n so fn e t w o r ks e c u r i t ym a n a g e m e n ta r ei n t e g r a t e di nt h e s y s t e m t h e s ef u n c t i o n si n c l u d et h er i s km a n a g e m e n t ，t h el a b o rl i s tm a n a g e m e n t ， t h es e c u r i t y s t r a t e g ym a n a g e m e n t ，t h es y s t e mm a n a g e m e n ta n dt h es e c u r i t y k n o w l e d g el i b r a r ym a n a g e m e n t s m pe f f e c t i v e l ys i m p l i f i e st h en e t w o r ks e c u r i t y m a n a g e m e n tw o r k ，t h ep r o m o t i o nn e t w o r ks e c u r i t yh o r i z o n t a la n dc o n t r o l l a b l e ， t h em a n a g e a b i l i t y , r e d u c e su s e rt h eo v e r a l ls e c u r i t ym a n a g e m e n te x p e n s e s t h i sa r t i c l ea n a l y z e st h es m ps y s t e ms k e l e t o na n dt h ew h o l ed e s i g nw i t h e m p h a s i s ，e l a b o r a t e st h ec o r em o d u l e 一一r i s km a n a g e m e n td e t a i l e dd e s i g n ，o n 哈尔滨1 程人学硕士学位论文 t h ef o u n d a t i o no ft h eo r i g i n a lq u a l i t a t i v er i s kc o m p u t a t i o nm o d e l ，p r o p o s e do n e k i n db a s e do nt h eq u o t ar i s kc o m p u t a t i o nm o d e l ，a n da p p l i e di ti nt h en e t w o r k s e c u r i t ym a n a g e m e n tp l a t f o r m ，c a u s e di n t h en e t w o r ks e c u r i t ym a n a g e m e n t p r o c e s st oc a r r yo nt h er i s kv a l u et h ec o m p u t a t i o n i sm o r es c i e n t i f i c ，i sa c c u r a t e k e yw o r d s ：n e t w o r ks e c u r i t y ；s m p ；r i s k ；j 2 e e 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引用已在文中指出，并与参考文献相对应。除文中已 注明引用的内容外，本论文不包含任何其他个人或集体已 经公开发表的作品成果。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 作者( 签字) ：垡 日期：年月6 日 哈尔滨工程大学硕士学位论文 1 1 引言 第1 章绪论 网络技术的发展加速了信息的传输和处理，缩短了人们之问的时空距 离，方便了交流，同时对网络安全提出了薪的挑战。据统计，全球平均2 0 秒就发生一次计算机病毒入侵；互联网上的防火墙大约2 5 被攻破；窃取商 业信息的事件平均每月以2 6 0 的速度增加：约7 0 的网络主管报告因机密 信息泄露而受到损失。虽然有大量的安全设备各自在不同侧面保护着网络 安全，但是如何高效率的管理起这些令人晕眩的产品，是当前的主要问题。 一个网络安全管理平台，可以实现对网络中的安全设备进行集中管理 及安全事件监控，可以及早发现故障，尽量减少网络设备和服务的中断时 间，保障网络及应用不间断稳定运行。通过统一的平台进行安全管理已经 成为当前最为行之有效的安全管理模式。 1 2 课题研究的背景及意义 1 2 1 课题研究的背景 目前，在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻 击等安全威胁也在不断推陈出新，愈演愈烈。防火墙、v p n 、i d s 、防病毒、 身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广 泛应用。随着大规模安全设旋的部署，安全管理成本不断飞速上升，同时 对这些安全基础设施产品和它们产生的信息的管理成为日益突出的问题。 比如，企业中存在的各种i t 设备提供大量的安全信息，这些数量庞大的信 息使得管理员疲于应付，所以海量事件是现代企业安全管理面临的主要挑 战之一；再有，相对独立的i t 设备产生了相对孤立的安全信息，企业缺乏 智能的关联分析方法来分析多个安全信息之间的联系，揭示安全信息的本 质。 总的来看，随着i p 技术的1 5 - 速发展，网络安全逐渐成为影响网络进一 哈尔滨工程大学硕士学位论文 步发展的关键问题。为提升用户业务平台系统的安全性及嗣络安全管理水 平，增强竞争力，建立统一的安全平台进行安全管理是 分有必要的。 对于移动通信运营商来说，安全生产历来是保障网络高效稳定运行的 前提条件，也是切市场经营活动和客户服务的基础。本课题的研究是以 辽宁移动公司安全管理需求为背景展开的。随着公司对信息化的需求不断 提高，辽宁移动信息化程度不断提高，各业务系统间联系越来越密切，数 据交换越来越频繁，一点或一种业务系统出现漏洞、感染病毒或受到攻击， 将迅速波及其它业务系统及网络，甚至导致全网瘫痪。如果既要保障各业 务系统高效互通，又要保证网络的相对安全，就必须要对接口进行有效地 安全管理和控制，否则无法保障各系统的稳定安全运行及公司正常的运营 秩序。由此，辽宁移动公司认识到了建立安全管理平台的必要性和重要意 义。 1 2 2 课题研究的意义 通过建立一个网络安全管理平台，可以实现对网络中的安全设备进行 管理及安全事件监控，可以及早发现故障，从而实现网络安全监控和管理 的及时性、准确性和可预见性。并且通过对安全管理平台的建设，可以规 范企业对安全事件的处理流程，完善管理制度，提高对于从安全事件的发 现到处理的监控力度。 本项目主要实现：对辽宁移动公司一定的安全事件集中收集和处理能 力；基本的资产和风险管理体系；安全策略管理体系；安全知识共享体系； 基本的安全风险响应管理系统。 1 3 国内外研究现状 在2 0 世纪9 0 年代中后期，随着互联网的发展以及社会信息化程度越 来越高，各种安全设备在网络中的应用也越来越多，市场上开始出现独立 的安全管理产品。相对而言，国外计算机网络安全管理的需求多样，起步 较早，已经形成了较大规模的市场。有一部分产品逐渐在市场上获得了用 户的认可。近年来，国内厂商也开始推出网络安全管理产品，但一般受技 术实力限制，大多是针对自己的安全设备丌发的集中管理软件、安全审计 哈尔浜l ：程大学硕士学位论文 系统等。由于各种网络安全产品的作用体现在网络中的不同方面，统的 网络安全管理平台必然要求对网络中部署的安全设备进行协同管理，这是 统一安全管理平台的最高追求目标。但这并非是一个单纯而简单的技术问 题，它涉及到行业标准和联盟。目前，已有部分厂商开始进行一些相关1 作。虽然统一安全管理产品此类技术和产品的应用还远没有达到成熟的地 步，然而可以断言，统一安全管理发展的春天已经来临。 从目前网络安全管理领域的情况看，虽然国外的一些网络安全公司针 对本公司的安全产品开发了一些综合管理平台，但由于商业的原因，这些 平台仅能管理本公司的产品，且大多数的安全管理平台都只是实现了对信 息收集及显示，但并没有很好的实现资产、漏洞、风险、事件之间的关联 及数据汇聚和挖掘分析。对于降低用户的整体安全管理开销作用并不是很 大。 1 4 主要的研究工作 随着人们对网络安全认识的加深以及信息技术的发展，人们在探寻网 络安全管理建设的最佳解决方案。本论文结合辽宁移动公司的网络建设的 实际情况，针对辽宁移动公司对网络安全管理的需求，确定网络安全管理 平台采用b s 结构，方便大量用户访问需求。在工作中，学习网络安全基 础知识，学习组件技术、j 2 e e 架构、s t r u t s 构架等，通过阐述、分析基础 技术及其原理，提出基于j 2 e e 架构的网络安全管理平台设计系统与实现方 法，并对网络安全管理中的风险模型进行设计与实现。 论文主要进行了以下工作： 1 _ 通过对建立网络安全管理平台的背景学习及辽宁移动公司对网络 安全管理的需求了解，提出管理平台的基本架构可采用j 2 e e 架构 和s t r u t s 架构结合的方式。 2 网络安全管理系统设计。分别从网络安全管理平台拓扑结构、功能 结构模型以及程序逻辑框架进行设计。 3 网络安全管理平台主要模块风险管理的设计与实现。通过对风险理 论的学习，研究资产、事件、漏洞及威胁的关系，提出了一种基于 哈尔滨j ：程大学硕十学位论文 定量的较合理的风险值计算方法，解决了以往基于定性的计算模型 的数据计算粗略、不准确。 1 5 论文内容的组织与结构 本文是在辽宁移动公司网络安全管理平台项目的背景下，应用j a v a 语 言，j b u i i d e r 9 和w e b l o g i cs e r v e r8 1 开发平台，开发完成的网络安全管 理平台( s e c u r i t ym a n a g e m e n tp l a t f o r m ，s m p ) 系统的基础之上撰写而 成的。论文的主要内容和组织结构如下： 第l 章绪论。俞绍了网络安全管理平台开发的必要性，介绍了课题的背 景意义、论文的主要研究工作和论文结构。 第2 章网络安全及其管理平台概述。主要介绍了网络安全的含义、目标， 影响网络安全的因素，然后说明了风险概念，以及其相关概念之 间的关系，晟后分析了网络安全管理平台提出的背景。 第3 章开发工具及关键j r 发技术。描述了j a v a 语言特点，介绍了 j b u i l d e r 9 和w e b l o g i es e r v e r8 1 ，并对j 2 e e 、j s p 、e j b 等技 术作了简要描述。 第4 章网络管理平台的系统设计。对项目建设过程中的总体设计做了详 细描述。 第5 章详细介绍了核心模块一风险管理。对风险模型的算法及实现和风 险处理流程做了说明。 结束语对本文工作做了总结，并对网络安全管理平台做了简要的展望。 哈尔滨】：程人学硕+ 学位论文 第2 章网络安全及其管理平台概述 2 1 网络安全概述 互联网在软硬件方面存在着“先天”的漏洞，这使得信息所具有的高 无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的 安全隐患，安全成为了网络信息资产的核心属性。 网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护，不 受偶然的或者恶意的原因而遭到破坏、更改、泄漏。系统连续可靠正常地 运行，网络服务不被中断。 从内容上看，网络安全大致包括4 个方面”l ： 网络实体安全：如计算机机房的物理条件、物理环境及设施的安全 标准；计算机硬件、附属设备及网络传输线路的安装及配置等。 软件安全：如保护网络系统不被非法侵入，系统软件与应用软件不 被非法复制、篡改、不受病毒的侵害等。 数据安全：保护数据不被非法存取，确保其完整性、一致性、机密 性等。 安全管理：运行时突发事件的安全处理等，包括采取计算健全技术， 建立安全管理制度，开展安全审计，进行风险分析等。 2 1 1 网络安全的基本要素 网络安全包括血个基本要素：机密性、完整性、可用性、可控性与可 审查性。 1 机密性 防止信息被非法获得，即防止信息泄露给非授权的用户、实体或过程， 或供其利用。机密性可以保证信息不被非授权用户得到，即使得到也无法 知晓信息内容，因而不能使用。通常通过访问控制阻止非授权用户获得机 密信息，通过加密变换阻止非授权用户获知信息内容。 哈尔滨l ：程人学硕十学位论文 2 完整性 完整性是网络信息未经授权不能进行改变的特性。完整性一方面是指 信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等；另一方面是 指信息处理的方法的正确性。不正当的操作，如误删除文件，有可能造成 熏要文件的丢失。完整性是一种面向信息的安令性，它要求保持信息的原 样，即信息的正确生成和正确存储及传输。 完整性与机密性0 i 同，机密性要求信息不被泄露给未授权的人，而完 整性则要求信息不致受到各种原因的破坏。 3 可用性 信息的可用性是指信息及相关的信息资产在授权人需要的时候，可以 立即获得。例如通信线路中断故障会造成信息在一段时间内不可用，影响 m 常的商业运作，这是信息可用性的破坏。 4 可控性 可控性是指对网络上的信息及信息系统实施安全监控，做到能够控制 授权范围内的信息流向、传播及行为方式，控制网络资源的使用及使用网 络资源的人或实体的使用方式。 5 可审查性 可审查性定义为对出现的安全问题提供调查的依据和手段，使系统内 所有发生的与安全有关的动作均有说明性记录可查。 2 1 2 网络安全的目标 网络安全的目标就是保护有可能被侵犯或破坏的机密信息不受外来非 法操作者的控制，也就是实现信息的机密性( c o n f i d e n t i a l ) 、信息的完整 性( i n t e g r i t y ) 、信息的可用性( a v a i l a b i l i t y ) 即c i a 这三个方面的安 全目标。但c i a 本身排除了其他一些重要的方面和需要考虑的地方。例如， 某人从电子商务交易公司订购了大笔的货物，但不久货物到达后他却否认 下过订单，当出现这种情况是也是一种不安全的表现，防止抵赖或者称为 “认可”交易就是网络安全的另一个重要目标。另外，建立用户责任以确 保用户在系统和网络上的行为被很好地记录，这样，不负责、敌意的行为 6 哈尔滨t 程大学硕十学位论文 就会被曝光，这也是网络安全的另一个目标。为达到安全目标要保护的内 容有：信息与数据，信息与数据的处理服务，通信设备和通信设施。 2 2 影响网络安全的因素 2 2 1 网络系统自身的脆弱性 所谓系统的脆弱性是指系统的硬件资源、通信资源、软件及信息资源 等，因可预见或不可预见甚至恶意的原因，可能导致系统受到破坏、更改、 泄漏和功能失效，从而使网络处于异常状态，甚至导致崩溃、瘫痪等的根 源和起因。计算机网络本身由于系统主体和客体的原因可能存在不同程度 的脆弱性，为各种动机的攻击提供了入侵、骚扰或破坏系统的可利用的途 径和方法。 1 硬件系统 网络硬件系统的安全隐患主要来源于设计，主要表现为物理安全方面 的问题。各种计算机或者网络设备( 主机、显示器、电源、交换机、路由 器等) ，除了难以抗拒的自然灾害外，温度、湿度、静电、电磁场等也可能 造成信息的泄漏或失效，甚至危害使用者的健康和生命安全。 2 软件系统 软件系统的安全隐患来源于设计和软件工程中的问题。软件设计中的 疏忽可能留下安全漏洞，比如“冲击波”病毒就是针对操作系统中的漏洞 实施攻击；软件设计中的功能冗余以及程序代码过长、软件过大，不可避 免地存在安全漏洞；软件设计不按信息系统安全等级要求进行模块化设计， 导致软件的安全等级达不到所声称的安全级别：软件工程实现中造成的软 件系统内部逻辑错误，导致垃圾软件等等。软件系统的安全隐患主要表现 在操作系统、数据库系统和应用软件上。 3 网络和通信协议 目前在因特网普遍使用的标准主要基于t c p i p 架构。由于最初t c p i p 是在可信任环境中开发出来的成果，在协议设计的总体构想和设计的时候 基本上未考虑安全问题，不能提供人们所需要的安全性和保密性。 虽然t c p 1 p 经历了一次又一次地改版、升级，但因协议本身的先天不 哈尔滨工程大学硕士学位论文 足以及在修订中考虑到软件可继承性等原因，仍然未能彻底解决滋生的安 全性问题。 2 2 2 网络信息安全威胁 所谓安全威胁是指某个人、物、时间或概念对某一资源的机密性、完 整性、可用性或合法使用所造成的危害。某种攻击就是某种威胁的具体实 现。目前还没有统一的方法来对各种威胁加以区别和进行分类，也难以搞 清各种威胁之间的相互联系。不同威胁的存在及其重要性是随环境的变化 而变化的。以下总结了现代计算机以及通信过程中的基本威胁。 网络安全基本目标是实现信息的机密性、完整性、可用性和资源的合 法使用。基本威胁就是对这4 个基本安全目标的威胁。 1 信息泄漏 信息泄漏是指敏感数据在有意、无意中被泄漏、丢失或透露给某个未 授权的实体。它通常包括：信息在传输中被丢失或泄漏( 如利用电磁泄漏 或搭线窃听等方式截获信息) ；通过网络攻击进入存放敏感信息的主机后非 法复制；通过对信息的流向、流量、通信频度和长度等参数的分析，推测 出有用信息。 2 完整性破坏 以非法手段窃得信息的管理权，通过未授权的创建、修改、删除和重 放等操作而使数据的完整性受到破坏。 3 拒绝服务 拒绝服务是指网络系统的服务能力下降或者丧失。这可以有两个方面 的原因造成：一是受到攻击所致。攻击者通过对系统进行非法的、根本无 法成功的访问尝试而产生过量的系统负载，从而导致系统资源对合法用户 的服务能力下降或者丧失。二是由于系统或组件在物理上或者逻辑上遭到 破坏而中断服务。 4 未授权访问 未授权实体非法访问系统资源，或授权实体超越权限访问系统资源。 例如，有意避丌系统访问控制机制，对信息设备及资源进行非法操作或运 哈尔滨t = 程大学硕士学位论文 行；擅自扩大权限，越权访问系统资源。非法访问主要有假冒和盗用合法 用户身份攻击，非法进入网络系统进行违法操作，合法用户已未授权的方 式进行操作等形式。 网络威胁h 益严重，网络面i 晦的威胁五花八门，概括起来主要有以下 儿类“”： 1 假冒 某个未授权的人或系统假装成另一个彳i 同的可能授权实体，使系统相 信其是一个合法的用户，进而非法获取系统的访问权限或得到额外的特权。 假冒通常与某些别的主动攻击形式一起使用，特别是消息重放与篡改。 攻击者可以进行下列假冒： 假冒管理者发布命令或调阅密件； 假冒主机欺骗合法主机及合法用户； 假冒网络控制程序套取或修改使用权限、口令、密钥等信息，越权 使用网络设备和资源； 接管合法用户欺骗系统，占用或支配合法用户资源。 2 旁路控制 除了给用户提供正常的服务外，还将传输的信息送给其他用户，这就 是旁路，它非常容易造成信息的泄漏。例如，我国曾经进口的一种传真机， 其软件可以通过遥控将加密接口旁路，从而失去加密功能，造成信息泄露。 3 破坏系统的完整性 攻击者可以从3 方面破坏信息的完整性： 篡改：改变信息流的次序、时序、流向、内容和形式： 删除：删除信息全部或者其中的一部分； 插入：在消息中插入一些无意义或者有害的内容。 4 破环系统的可用性 攻击者可以从下列3 方面破坏系统的可用性： 使合法用户不能正常访问网络资源； 使有严格时间要求的服务不能及时得到响应； 摧毁系统，例如，破坏网络系统的设备、切断通信线路或者破坏网 络系统结构等。 9 哈尔滨：i ：程人学硕十学位论文 5 重放 攻击者对截获的某次合法数据进行拷贝，而后出于非法的目的而重新 发送。例如，a 实体可以重放含有b 实体的鉴别信息，以证明它是b 实体， 达到a 假冒b 的目的。 6 陷门 在某个系统或某个文件中设置“机关”，使得当提供特定的输入条件时， 允许违反安全策略而产生非授权的影响。一个典型的例子是口令的有效性 可能被修改，除了正常效力之外，也使攻击者的口令生效。 陷门一般是在程序或系统设计时插入的一段小程序，用来测试这个模 块或者将柬为程序员提供一些方便。通常在程序或系统) 1 ：发后期会去掉这 些陷门，但是由于种种原因，陷门也可能被保留下来。陷门一旦被人利用， 将会带来严重的安全后果。利用陷门可以在程序中建立隐蔽通道，植入一 些隐蔽的病毒程序。利用陷门还可以使原来相互隔离的网络信息形成某种 隐蔽的关联，进而可以非法访问网络，达到窃取、更改、伪造和破坏信息 资料的目的，甚至还可能造成系统大面积瘫痪。 7 特洛伊木马 特洛伊木马是指类恶意的妨害安全的计算机程序或者攻击手段，它 是指一个应用程序表丽上在执行一个任务，而实际上却在执行另外的任务。 同一般应用程序一样，特洛伊木马能实现任何软件的功能，如拷贝、删除 文件，格式化硬盘，发送电子邮件等，而实际上往往会导致意想不到的后 果。例如，它有时在个合法的登录前伪造一个登录现场，提示用户输入 用户名和口令，然后将账户和口令保存至一个文件中，显示登录错误，退 出特洛伊木马程序。用户还以为是自己错了，再试一次时，已经正常登录 了，用户无意之中就将自己的账号和密码泄露给了恶意用户。更为恶性的 特洛伊木马会对系统进行全面的破坏。 8 抵赖 通信的某一方出于某种目的而出现以f = - 抵赖行为： 发信者事后否认曾经发送过某些消息； 收信者事后否认曾经接收过某些消息； 发信者事后否认曾经发送过某些消息的内容； 哈尔滨工程人学硕士学位论文 收信者事后否认曾经接收过某些消息的内容； 2 3 网络安全风险及相关概念 2 3 1 风险 所旧风险是关 二某个已知的、一旺能引发某种成功攻击的脆弱性的代价 的测度。当某个脆弱的资源的价值高，以及成功攻击的概率高时，风险也 就高；反之，当某个脆弱的资源的价值低，以及成功攻击的概率低时，风 险也就低”1 。风险分析能够提供定量的方法来确定防护措施的支出是否应予 以保证。安全风险是一种潜在的、负面的东西，处于未发生的状态。风险 伴随着人类活动的开展而存在，若没有人类的活动，不会有什么预测结果， 也就不会存在风险。只有人们进行某项活动时，才会对该项活动有一个预 期结果，这是风险存在的前提。 风险的构成包括五个方面：起源、方式、途径、受体和后果。它们的 相互关系可表述为：风险的一个或多个起源，采用一种或多种方式，通过 一种或多种途径，侵害个或多个受体，造成不良后果。它们各自的内涵 解释如卜| ： 1 风险的起源是威胁的发起方，即威胁源。威胁源就是风险的起源， 是威胁的发起方。威胁源按其性质一般分为3 种：自然威胁、环境威胁和 人为威胁。自然威胁和环境威胁属于偶然触发，不存在动机因素。人为威 胁按照意识有无又分为无意的和有意的。无意的人为威胁属于疏忽大意， 基本没有动机；有意的人为威胁属于故意的行为，是有动机的。按照威胁 源动机的强弱程度，可分为高、中、低三级。 2 风险的方式是威胁源实施威胁所采取的手段，即威胁行为。威胁行 为是风险的方式，不同的威胁源有各自的威胁行为。如人为威胁的威胁行 为就有假冒、阻断、篡改、伪造、重放、抵赖、拒绝服务、恶意代码等。 3 风险的途径是威胁源实施威胁所利用的薄弱环节，即脆弱性或漏洞。 漏洞的存在使得一个系统更容易被一个威胁攻击，或者使一个攻击更容易 取得成功，造成危害。由于漏洞的存在，一个很小的、原本没有很大危害 眙尔滨工程大学硕+ 学位论文 的威胁会变成个很大的，有较大影n 向力的，或者是会经常发生的威胁。 可以将威胁考虑成成功通过安全措施进入系统的威胁。 4 风险的受体是威胁的承受方，即资产或资源。资产是有价值的东西， 只要价值存在，就具有被攻击的可能性，因此资产是风险存在之根源，是 风险的受体。资产以各种形式存在着。资产的流失会存无形中影响信息安 全的完整性、保密性或可用性，甚至有时会带来经济损失。更严重的情况 是，资产的流失会给整个企业的运作带来不可预估的影响，让企业无法进 行其运作。在网络安全领域方面，资产是企业中重要的或者担负关键任务 的计算机或者系统。资产价值由专门的管理员根据对企业具体情况的了解 来确定，并运用于风险模型的计算。 5 风险的后果是威胁源实施威胁所造成的损失，即影响。也可以说是 安全事件发生后对系统产生的后果。资产受损带来的影响一般与资产的价 值成正比。比如，软件产品源代码是公司关键和最敏感的资产，如果丢失 将给公司带来灾难性的后果，如果失窃也将给公司带来严重的影响。有些 技术可以缓解重要资产损失所带来的严重影响。安全风险的影响可以用完 整性、可用性、和保密性三个安全目标( 其中一个或几个) 的损失或降低 来描述。 风险的概念又可以用图2 1 来描述。 网2 1 风险的概念模型 哈尔滨i 程人学硕士学位论文 2 3 2 安全事件 安全事件是一种现在的、负面的东西，处于己发生的状态，事件是指在 特定的时间间隔内，在特定的地方发生的一个事件或情况。安全事件是指在 客、l 信息系统中出现的、影响、l k 务正常运行的任何异常事件，以及安全咨询， 病毒库升级，产品升级等事件。 事件是在定条件下由风险演变来的，图2 2 给出了风险与事件的关 系： e 至】三圈 潜在现在 ( 未发生状态)( 已发生状态) 图2 2 风险与事件之间的关系 通常，安全事件是很多的，从安全设备和网络设备产品产生的大量安 全事件中，有很多属于噪音事件。噪音事件是指对系统没有危害的，无关 紧要的告警信息，并不是安全威胁事件，例如防火墙闩志中关于a c c e p t 的 安全事件。在网络安全管理过程中，往往需要应用安全事件产品对安全事 件进行筛选，通过分析安全事件的类型和对于资产影响的严重程度，使用 关联技术达到事件过滤，数据整形，安全事件分类处理的目的。 图2 3 给出了事件的概念模型。 哈尔滨j ：程大学硕士。、位论文 如上所述，当风险由未发生状态变成已发生状态时，风险就演变成了 事件。因此，事件与风险具有完全相同的构成和几乎相同的概念模型。比 较图2 1 和图2 3 可以看出，风险概念模型中的虚线在事件概念模型中变 成了实线，表示威胁行为和影响已经发生了。 2 4 网络安全管理平台起因分析 2 4 1 网络安全现状 经过几年的建设，电信、金融等重点行业的网络建设都有了很大的发 展，网络规模不断加大，网络结构同趋复杂。基本可以实现w w w 、d n s 、 w e b m a i l 、f t p 、办公自动化、v o d 视频点播系统、网络在线直播、拨号网络、 网络计费、b b s 、聊天室等网络服务，在现实服务中发挥了积极的作用。但 是，全球互联网络的飞速发展也使得网络安全问题日益严重。 网络安全问题是伴随网络一起出现的，网络安全技术几乎与网络同龄。 首先，恶意代码更多，出现的也更频繁，s l a m m e r 、m s b a s t 等病毒使得2 0 0 3 年成为计算机历史上最惨重的一年，而2 0 0 4 年则令人惊恐，因为这些恶意 代码的编写者变得更卑鄙、更有组织性。其次，传统网络攻击技术不断进 步：各种系统安全漏洞广为传播；高级攻击技术和工具肆意在互联网上流 传；有组织的恶意网络攻击群体迅速壮大；来自网络内部的攻击数量与日 俱增。 2 4 2 网络安全技术的局限性 2 4 2 1 防火墙技术 概括地说，防火墙是位于两个( 或多个) 网络实施网阀访问控制的一组 组件的集合。防火墙技术是保护计算机网络安全的最成熟、最早产品化的技 术措旌。防火墙在被保护的内部网络和外部网( 如因特网) 之间构成了一道 屏障，它监测、限制和更改通过它的数据流，对外屏蔽内部网的信息、结构 和运行状况，以防止发生网络入侵或攻击，实现对内部网的安全保护。防火 墙实质上就是一种隔离控制技术，从逻辑上看它既是个分析器又是一个限 哈尔滨i 程大学硕士学位论文 制器。它要求所有进出的网络数据流都应该通过它，而且所有穿过它的数据 流都必须有安全策略和计划的确认和授权。其工作原理是：按照事先规定好 的配置和规则，龄测并过滤所有通向外部网络或从外部网络传来的信息，只 允许授权的数据通过。防火墙还应该能够记录有关连接的信息、服务器的通 信量以及试图闯入者的任何企图事件，以方便管理员的监测和跟踪。 防火墙能对网络安全威胁进行极好的防范，但是，它不是安全解决方案 的全部。某些威胁是防火墙力所不及的，下面是防火墙的一些不足之处1 ： 1 不能防御内部攻击者 来自内部的攻击者是从网络内部发起攻击的，他们的所有攻击行为都不 通过防火墙。由于防火墙只是隔离内部网与外部网上的主机，监控内部网与 因特网问的通信，而对内部网上的通信情况不做检查，因而对于来自内部的 功击无能为力。 2 不能防御绕过防火墙的攻击 根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它 的数据报进行检查，如果浚数据报由于某种原因没有通过防火墙，则防火墙 就不会采取任何主动的措施。并不是所有通信都从防火墙通过，这有可能是 因为错位的配置或者是人为地在防火墙后设置了“后门”，比如微软的源代 码泄密事件据说就是因为某个员工私下使用了拨号上网而绕过了防火墙所造 成的。 3 不能防御完全新的威胁 防火墙被用来防备已知的威胁。一个好的设置也许可以防备许多潜在的 威胁( 例如，通过禁止除极少数被信任的服务以外的所有服务，来防备这些 服务中可能存在的潜在的安全隐患) ，但是人们周期性地发现以前认为是可 信赖的服务中存在新的侵袭方法，可信赖的服务变成不可信赖的了。 4 不能防御数据驱动的攻击 防火墙不能防御基于数据驱动的攻击。虽然防火墙扫描分析所有通过的 信息，但是这种扫描分析多半是针对i p 地址和端1 3 号或者协议内容的，而非 数据细节。这样基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之 类的东西上面进入到你的系统中并发动攻击。 哈尔滨工程大学硕士学位论文 2 4 2 2 入侵检测系统 入侵检测是能够检测到网络上不正常、不合法活动的网络技术，简单来 说就是对入侵行为的发觉。入侵检测通过对计算机网络或计算机系统中的若 干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全 策略的行为或被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检 测系统( i n t r u s j o nd e t e c t i o ns y s t e m ，i d s ) 。与其他安全产品不同的是， 入侵检测系统需要更多的智能，必须可以将得到的数据进行分析，并得出有 用的结果。入侵检测系统的主要功能有：检测并分析用户和系统的活动，查 找非法用户和合法用户的越权操作；核查系统配鼍和漏洞，并提示管理员修 补漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统 计分析异常行为；操作系统r 志管理，并识别违反安全策略的用户活动等。 按照数据来源可分为基于主机的i d s 和基于网络的i d s 。基于主机的 i d s ( h o s tb a s e di d s ) 的关键技术是从庞大的主机安全审计数据中抽取有效 数据进行分析。基于网络的i d s ( n et w o r kb a s e di d sn i d s ) 则一般通过监 视网络上的流量来分析攻击者的入侵企图，它主要存在如下缺点”i ： 1 易受欺骗 不能抵御i n s e r t i o n 、e v a s i o n 的欺骗和攻击，n i d s = _ | 于与受监视的 系统对网络事件的理解不完全一致，因此n i d s 易受欺骗； 2 易受拒绝服务攻击( d e n i a lo fs e r v i c ed o s ) n i d s 为了刁i 漏掉攻击，需要尽可能对每一个包进行检测，这样攻击者 向内部网发送大量需要处理的包时，便造成n i d s 拒绝服务； 3 只能髓视本网段的活动，没有能力控制外部网对内部网的访问。 在本质上，入侵检测系统是一个典型的“窥探设备”，它是被动的，不 能主动发现系统潜在的威胁，这也是入侵检测系统的一大弊病。 2 4 2 3 其他 1 安全扫描技术 安全扫描也称为脆弱性评估，其基本原理是采用模拟和可攻击的方式 对某目标可能存在的已知安全漏洞进行逐项检测，以便对工作站、服务器、 交换机、数据库等各种对象进行安全漏洞检测1 。到目前为止，安全扫描 哈尔滨l 。程人学硕十学位论文 技术已经发展到很成熟的地步。安全扫描技术主要分为两类：基于主机的 和基于网络的安全扫描技术。安全扫描技术在保障网络安全方面起到越来 越重要的作用。借助于扫描技术，人们可以发现网络和主机存在的对外的 端l _ ：】、提供的服务、某些系统信息、错误的配置、已知的安全漏洞等。安 全扫描技术存在以下几点缺点： 安全扫描主要是基于特征的。它搜索已知的威胁的系统配置，并以 “食谱式”方法报告既定的为降低某种特定威胁而应采取的措施。 而安全是一个动态的概念，随着新的攻击手段的出现，原来认为安 全的某个选项就可能成为一个新的安全脆弱点。如果不能对扫描系 统进行及时的升级，就无法报告这种新的脆弱点。特征表述得不准 确、不全面也将造成误报或漏报。 安全扫描系统可能对所保护系统或网络的正常运行带来一定的影 响。扫描和分析工作必然带来一定的系统开销。 安全扫描系统本身的安全也是安全管理的任务之一。高明的攻击者 可能会发现安全扫描系统的存在并对其作某种修改，使它不报告攻 击者希望利用的脆弱性。 2 密码技术 密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防 止非授权用户的搭线窃听和入网。如果用硬件设备来完成加密过程，则该 设备通常称作加密机；如果采用软件来完成加密过程，则通常称作加密软 件1 ”i 。一般的数据加密可以在通信的三个层次来实现：链路加密、节点加 密和端到端加密。每个层次的加密都可以完成一定的任务，同时也都存在 一定的不足。但就对加密技术来说它最大的麻烦就是密钥的管理，加密信 息的安全可靠依赖于密钥系统，密钥是控制加密算法和解密算法以及身份 验证的关键信息。一旦忘记或者丢失密钥，则用户就会无法解密那些已加 密的数据，或者丢失一些重要数据，或者会有人利用盗得的密钥进行冒充 签名。 3 病毒防护技术 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或 者数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代 哈尔滨上程人学硕士学位论文 码。一般来说，计算机病毒通常具有主动传染性、破坏性、寄生性、隐蔽 性和不可预见性等特性。当计算机系统或文件染有计算机病毒时，需要检 测和消除。但是，计算机病毒一旦破坏了没有副本的文件，便无法医治。 计算机病毒防护，是指通过建立合理的计算机病毒防护体系和制度，及时 发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏， 恢复受影响的计算机系统和数据。虽然对于单机环境中病毒的防护已经