（通信与信息系统专业论文）网络安全准入及应急响应系统的设计与实现.pdf

摘要 随着i n t e r n e t 的飞速发展，网络安全日益成为一个重大问 题。而随着越来越多的公司将其核心业务在i n t r a n e v l a n 上运行的 时候，内网安全及端点安全的要求也与日俱增，计算机终端对网络 的安全访问作为一个无法回避的问题呈现在人们面前。 本文首先分析了端点安全技术的原理及研究现状、总结了当前 端点安全系统在易用性、适应性等方面存在的不足。接着在探讨端 点安全系统所实现的功能基础上，提出了一种基于现有网络设备和 t c p d 协议的系统模型。该模型充分利用路由器处理能力的同时很 好地体现了t c p i p 协议通用性的特点，它区别于已有的端点安全系 统的地方在于它不要求在客户端安装软件或进行复杂的配置。 其次，本文对模型系统进行了总体设计和具体实现，重点放在 屏蔽用户及通知用户功能上。在此模型的基础上论文实现了一个安 全准入及应急响应系统( n a s r s ，n e t w o r ka c c e s ss e c u r i t ya n d r e s p o n s es y s t e m ) ，n a s r s 主要包括屏蔽用户和应急响应两个子模 块。在实现屏蔽用户时，通过一个在后台周期运行的与第三方安全 系统的信息共享程序，得到欲屏蔽的用户信息，然后再调用屏蔽用 户的程序模块，对用户施行d n s 重定向和策略路由，完成对用户的 屏蔽功能。文中在阐述了系统读取屏蔽用户信息的基本思路后，给 出了进行屏蔽的步骤和具体实现技术。在其后的应急响应中，通过 设计一个自动发送电子邮件和s m s 短信的模块，实现了对用户的实 时屏蔽通知。 最后，在实验室搭建了应用的模拟环境并进行相应配置，对系 统的各项功能进行了测试实验。n a s r s 系统使用了标准协议，提高 了网络管理系统的灵活性、可扩展性和适用性。 关键词网络安全，内网，端点，响应 a b s l 融c t 嘞t h er a p i dd e v e l o p m e n to fi n t c r n e t n c t w o r ks e c u r i t yi n v o l e s m u c hm o r ef o c u s a n dw h e nm o r ea n dm o r ec o m p a n i e sp r o v i d et h e i r c o r es e r v i c et h r o u g hi n t r a n e t l a n ，i ti sap r o m i n e n tp r o b l e mh o wt o e n s u r et h es e c u r i t yo fi n t r a n e ta n dt e r m i n a l s h o wt oa c c e s sn e t w o r kw i t h s e c u r i t yt e r m i n a li sah o ts p o t t h i sd i s s e r t a t i o nf i r s t l ya n a l y z e st h er e s e a r c hs t a t eo ft h ee n d p o i n t s e c u r i t yt e c h n o l o g y , a n dt h ed e f i c i e n c yo fc u r r e n te n d p o i n tm a n a g e m e n t s y s t e mi nu s a b i l i t ya n da d a p t a b i l i t y t h e n , b a s e do nd i s c u s s i n g t h e a d v a n t a g e so fe n d p o i n ts e c u r i t y , t h i sd i s s e r t a t i o nb r i n g sf o r w a r daa c c c s s s e c u r i t ys y s t e mm o d e lb a s e do ne x i s t e n tn e t w o r kd e v i c e sa n dt c p 口 p r o t o c o l s t h em o d e lt a k e sa d v a n t a g eo ft h ec a p a b i l i t yo ft h ed e v i c e sa n d t h es t a n d a r dp r o t o c o l s b e i n gd i f f e rf r o mo t h e re n d p o i n ts e c u r i t ys y s t e m s ， i ti se a s yt ou s ea n dl e s sc o n f i g u r a t i o nt h a t1 1 0t e r m i n a li sn e e d e d t h e nt h i sd i s s e r t a t i o nd e s i g n sc o l l e c t i v i t ya n dr e a l i z e s d e t a i l so f m o d e l ，t h ee m p h a s i si st h em e a n st ob l o c ku s e ra n di n f 0 1 1 1 1u s e r r c l y i n g o nt h i sm o d e l t h i sd i s s e r t a t i o nr e a l i z e sn a s r s ( t h ea b b r e v i a t i o no f n e t w o r ka c c e s ss e c u r i t ya n dr e s p o n s es y s t e m ) n a s r sm a i n l y i n c l u d e st w os u b - m o d u l e s ，n a m e l yt h eb l o c km o d u l ea n dr e s p o n s e m o d u l e b yu s i n gab l o c kp r o c e s sw h i c hi sp e r i o d i c a l l yr e - e x e c u t e di n b a c k g r o u n d , t h eu s e r si n f o r m a t i o ni sr e c o r d e d , t h e nn a s r sw i l lb l o c k u s e rb yd n sr e d i r e c t i o na n dr o u t i n g b a s e dp o l i c y a f t e rd e s c r i b i n gt h e p r i n c i p l eo ft h eb l o c kp r o c e s s ，t h i sd i s s e r t a t i o ni n t r o d u c e st h ep r o f i c i e n t t e c h n i q u e sa n dp r o c e s si nd e t a i l i nt h er e s p o n s em o d u l e ，n a s r s p e r f o r ma u t o m a i la n dt r a n s f e rs m s t ot h eu s e r i nt h ee n d n a s r si sd e p l o y e da n dc o n f i g u r e di nl a b i tp a s s t h r o w 【g ha l lp = f o r m a n c ct e s t s n a s r sm a k eu pt h ed e f i c i e n c yo f e n d p o i n ts e c u r i t ys y s t e m si ne f f i c i e n c y , a n da d v a n c et h eu s a b i l i t ya n d e x t e n dc a p a b i l i t yo f e n d p o i n tm a n a g e m e n ts y s t e m k e yw o r d sn e t w o r k s e c u r i t y ，i n t e r n a ln e t ，e n d p o i n t ，r e s p o n s e 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致 谢的地方外，论文中不包含其它人已经发表或撰写过的研究成果， 也不包含为获得中南大学或其它单位的学位或证书而使用过的材 料。与我共同工作的同志对本研究所作的贡献均已在在论文中作了 明确的说明。 作者签名：垄垦量! 垫 日期j 班上月上日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学 位论文的全部或部分内容，可以采用复印、缩印或其它手段保存学 位论文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名：出鳢! 坠师签擞日期：迦立年生月立日 硕士学位论文第一章绪论 1 1 研究背景和意义 第一章绪论 随着网络应用的不断普及，i n t r a n e t i , a n 的规模也不断增大，这也从总体上 增加了计算机网络体系的漏洞及脆弱性。现在对于网络安全的解决方案，比如 防火墙、病毒防御、入侵检测等等，已不能满足日趋复杂的主机间信任关系， 而且对于网络安全缺乏必要的主动防御措施。 网络安全问题的解决，要有技术，也要有管理。集中并且严格的管理是企 业、机构及用户免受网络安全问题威胁的重要措施。事实上，多数企业、机构 都缺乏有效的制度和手段管理网络安全。网络终端用户不及时升级系统补丁、 更新病毒库的现象普遍存在；不符合企业安全策略要求的服务器和台式机比比 皆是，而且难以检测、牵制和清除。查找并且隔离这些系统是费时费力的工 作，而当前网络化环境的复杂性又加剧了解决问题的难度，包括： ( 1 ) 网络端点用户类型繁多一员工、合作伙伴等； ( 2 ) 网络端点系统种类繁多一桌面系统、移动设备和服务器等； ( 3 ) 网络端点访问种类繁多一有线、无线、虚拟专网( ，n ) 和拨号等； 这也导致了网络的日常维护工作不断增多。如果采用传统的被动防御方 式，发现一个问题解决一个问题，不仅网络管理员浪费了大量时间在重复的工 作上，人力成本高，而且故障处理的周期长。最重要的是，在对问题机器( 客 户机服务器) 进行处理维护的时间里，要么没有对网络进行处理维护，从而 问题机器面临第二次故障的可能：要么在对网络进行维护的过程中，其它不需 要进行维护的用户不能使用网络，这严重影响了用户的工作效率【l l 【2 3 】。 1 2 网络安全、管理与端点安全 1 2 1 网络安全与网络管理 一般来讲，网络安全的威胁主要来自五个方面：内部人员( 占绝大部分) 与准内部人员、黑客( 包括外部个人和小组) 、病毒和蠕虫、信息战争、以及 自然和不可抗力川 内部人员与准内部人员：所谓准内部人员是指与内部人员有工作合作关系 或刚从单位调离的人员他们对系统具有合法访问权限，可以通过使系统处理 硕士学位论文 第一章绪论 能力和存储容量超过负载，或者通过使系统崩溃来影响系统资源的可用性：也 可以在敏感的数据文件内植入特洛伊木马来攻击整个系统的完整性；也可以通 过植入逻辑炸弹或导致系统崩溃来获得操作系统的漏洞。此类人员发起的攻击 都很难阻止，因为保护合法用户的访问权限是信息系统的基本要求。 黑客：由于大量公开的黑客站点，获得黑客工具非常容易，对黑客本身的 技术要求越来越低，如s a t a n 、1 pw a t c h e r 、c r a c k ，m i c r o s o f tw o r d u n p r o t e c t 、t r i n o o & t in 等黑客工具可以很容易地从网络上获取，导致了黑客 攻击的数量每年以指数级的速度增加，攻击的对象涉及到几乎所有的计算机网 络系统，如政府、银行、军事以及商用网络等。攻击目标从消耗资源造成d o s 攻击，到修改数据以及窃听机密信息等十分广泛。此类攻击是导致网络安全事 件飞速增长的重要原因嗍。 信息战争：现代化的战争对天地海陆一体化网络环境的依赖型越来越强， 美国等信息超级强国已经把发展入侵技术作为其重要的军事发展战略，研究新 的网络入侵与攻击技术、以及反信息入侵与攻击技术是信息战的重要内容 6 1 。 病毒和蠕虫：计算机网络系统及网络技术的发展，加速了病毒和蠕虫的传 播，给计算机和网络系统带来了巨大的危害。一个病毒和蠕虫可以通过两个途 径感染操作系统：通过完全替换一个或多个操作系统程序，或把自己附加到已 有的操作系统程序上并且改变其功能。一旦病毒或蠕虫更换和改变了操作系统 的功能，它就可以控制许多正在运行的操作系统进程。为了躲避检测，病毒和 蠕虫常常在操作系统代码中或在“不可使用”的扇区中创建几个隐含文件，并 且常常改变其外表。由于病毒机理与外表常常改变，检测与消除它们都比较困 难。已经证明，总能编写一个现有的任何反病毒与蠕虫的程序无法阻止的病毒 或蠕虫【。“。病毒和蠕虫是计算机网络及信息系统的长期危害。 国际标准化组织i s o 将网络管理的功能划分为5 个管理功能域( m 队， m a n a g e m e n tf u n c t i o n a la r e a ) ：故障管理( f a u l tm a n a g e m e n t ) 、性能管理 ( p e r f o r m a n c em a n a g e m e n t ) 、配置管理( c o n f i g u r a t i o nm a n a g e m e n t ) 、计费 ( a c c o u n t i n gm a n a g e m e n t ) 和安全管理( s e c u r i t ym a n a g e m e n t ) 。 故障管理就是对网络中的故障进行检测、诊断、恢复和排除，其目的是保 证网络能够提供连续、可靠的服务。主要功能包括：维护、使用和检查差错日 志；接受差错检测的通报并作出反应；在系统范围内跟踪差错；执行诊断测试 序列；执行恢复动作以纠正差错。 性能管理是以网络性能为准则，负责收集、分析和调整对象的状态，其目 的是保证在使用最少的网络资源和最小延迟的前提下，网络提供可靠、连续的 通讯能力。分为性能检测和性能控制两部分。性能检测指网络工作状态信息的 2 硕士学位论文 第一章绪论 收集和整理，而性能控制则指为改善网络设备的性能而采取的动作和措施。 配置管理支持为了网络服务的连续性而对管理对象进行的控制、鉴别，从 中收集数据和向它提供数据。配置管理是网络管理的最基本功能，有时也叫监 控功能。 计费管理是记录用户使用网络资源的情况并核收费用。计费管理的设计目 标应使系统具有如下功能：以用户或网络主机使用网络资源的情况为依据，根 据管理策略对使用者进行收费。当费用不能正常收缴时，系统对网络资源进行 控制，使未交费的用户不能够继续正常使用网络资源，直到该用户正常缴费。 安全管理是对网络资源的访问提供保护，包括授权机制、存取机制、加密 及密钥管理以及有关安全访问日志的维护【趴。 从网络安全与网络管理方面分析，安全准入系统是应用于内网安全的端点 控制系统，涉及到安全管理、故障管理和配置管理的内容。当前网络应用正在 各企业、校园内迅速普及，网络平台特别是内部网络已经成为这些机构的信息 发布、共享平台但是在利用网络的同时，也可能因为某个端点的安全问题造 成了整个内网的崩溃因此防患于未然，对端点的安全资格审查、管理已经刻 不容缓，这也是研究、设计安全准入系统的意义所在。 1 2 2 信息安全与端点安全 信息安全涉及的技术领域和应用范围非常广泛。根据国际标准化组织i s o 的定义，信息安全就是为数据处理系统建立和采取的技术和管理的安全保护， 保护计算机的硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露 唧从信息的应用范围来看，包括以计算为主要功能的个人计算机和服务器等 的信息安全，也包括以通讯为主要任务的网络通信设备和数据存储设备的信息 安全从应用的技术领域分析，又可分为广义的信息安全与狭义的信息安全。 广义上的信息安全，包括对攻击和误用的防范与处理，也包括对事故和损坏的 防止与恢复，即预防、响应措施和容灾措施。而狭义上的信息安全只考虑了对 攻击的应对方法就单个计算设备的狭义安全问题而言，攻击和误用只可能从 人一机和机一机接口引入，而网络特别是以太网接口是当今最普及的机一机接 口，它的安全防护是实现计算设备安全的关键之一；从网络计算系统的攻击和 误用等安全问题来看，作为网络端点的单个计算设备是发起对网络和网络中各 类设备攻击的入口，因而也是网络安全的关键之一。 端点( m d p o i n t ) 在不同的环境中有不同的含义。在计算机网络中，所谓端 点，即单个计算机主机系统，或者是单个服务器一客户端网络设备。如工作 站、笔记本电脑、台式主机等。端点通常是不定时接入网络【l 们。因此，网络端 3 硕士学位论文第一章绪论 点安全( e n d p o i n ts e c u r i t y ) 或主机安全( h o s ts e c u r i t y ) 技术是整个信息安全中非常 重要的一环，近来随着虚拟专用网络( v p n ，v i s u a lp r i v a t en e t w o r k ) 和无线宽 带接入的逐渐普及更是受到极大的关注【1 1 】。 从信息安全的角度，关注端点安全缘于以下几个方面的原因： ( 1 ) 防病毒技术未能解决的问题，引发了端点安全领域的拓展。传统意义 上的端点安全主要依赖于防病毒技术，而端点安全事件的屡屡发生导致了用户 对防病毒软件的不信任，以至于引发了防病毒软件是否卖“过期药”的激烈讨 论，这也推动了终端安全领域向更广泛的领域延伸。对企业级用户来说，防病 毒软件已经满足不了他们的需求。如果客户端数量非常多的话，防病毒软件通 常很难管理到桌面。而网管员们则越来越希望能进一步加强对桌面的控制，达 到集中控管。 ( 2 ) 计算机终端拥有广泛的用户群。无论是企业级用户还是个人用户，绝大 多数人都直接使用计算机终端( p c 或笔记本电脑) 进行办公、业务处理、个人 事务处理、上网等。对端点安全关注的人数更为广泛，影响的范围也更大。 ( 3 ) 企业级用户计算机端点安全的涉及面广。企业级用户的计算机终端安全 涉及到主机本身的系统安全使用、数据信息保护、应用正常运转，由于往往在 网络环境中工作，还面临来自内部网络或i n t e m e t 的安全威胁。此外，主机遭 受病毒感染、蠕虫攻击、黑客入侵时，很容易通过网络进行扩散，从而影响到 网络中其他端点和业务系统的安全【1 2 】。 ( 4 ) 面向端点的安全措施效果明显。传统的安全方案主要围绕网络实现， 例如：在网络边界，采用防火墙对网络连接和访问的合法性进行控制；在网络 传输上，采用入侵检测系统监视黑客攻击和非法网络活动：在主机设备，采用 主机加固措施加强主机防护能力等等。但当我们的视角必须关注到计算机端点 本身的安全时，发现面向端点的安全保护和控制措施来得更直接，效果也更 好。计算机防病毒系统防止系统和数据遭受破坏，应用也最为广泛；补丁管理 弥补系统漏洞，防止蠕虫、黑客攻击；端点访问控制防止网络入侵，避免黑客 跳转攻击，防止网络资源滥用；资产管理可以让企业全面、及时掌握主机资产 状况，便于管理；操作许可限制能够更好地通过技术控制贯彻安全策略的落实 b a 。 1 2 3 安全准入现状 当传统的终端安全技术( 比如单机版防病毒软件、桌面防火墙等) 努力保 护端点免受入侵时，它们对于保障整个内部网络的可用性却无能为力，更不要 说能确保内网的健壮性与损害恢复能力【1 4 1 。 4 硕士学位论文第一章绪论 针对于此，目前的网络设备供应商及主流的软件开发公司近来都加大了对 端点安全的支持，提供了多种安全准入系统。这些系统或技术的主要思路是从 端点着手，通过管理员指定的安全策略，对接入内部网络的主机进行安全性检 测，自动拒绝不安全的主机接入受保护网络，直到这些主机符合网络内的安全 策略为止1 1 5 】【1 6 】【1 7 培1 9 1 。目前具有代表性的技术包括：思科的网络接入控制n a c 技术，微软的网络接入保护技术n a p 以及华为3 c o r n 的端点准入防御e a d 技 术等。 思科网络访问控制( n a c ，n e t w o r ka d m i s s i o nc o n 舡0 1 ) 使用网络基础设施 对试图访问网络计算资源的所有设备执行安全策略检查，从而限制病毒、蠕虫 和间谍软件等新兴安全威胁损害网络安全性。在实施n a c 的环境中，管理员 可以设定只允许遵守安全策略的可信终端设备( p c 、服务器及p d a 等) 访问网 络，并控制不符合策略或不可管理的设备访问网络。 从图1 1 可以看到n a c 的作用。通过运行n a c ，只要终端设备试图连接 网络，网络接入设备( l a n 、w a n 、无线或远程访问设备) 都将自动申请已安装 的客户端或评估工具提供终端设备的安全资料。随后将这些资料信息与网络安 全策略进行比较，并根据设备对这个策略的符合水平来决定如何处理网络访问 请求网络可以简单地允许或拒绝访问，也可通过将设备重新定向到某个网段 来限制网络访问，从而避免暴露给潜在的安全漏洞。此外，网络还能隔离指定 设备，它将不符合策略的设备重新定向到修补服务器中，以便通过组件更新使 设备符合制订的安全策略刚。 图卜1 思科n c 示意图 微软网络访问保护( n a p ，n e t w o r ka c c e s sp r o t e c t i o n ) 提供了一种新的体系 结构，用于执行端点运行状况策略验证，并确保该端点始终符合运行状况策 略；同时提供可选项，可以限制运行状况不正常的端点，只有在其运行状况正 常后才能进行访问 网络访问保护包括客户端体系结构和服务器体系结构，同时也提供了对端 点的隔离功能。网络管理员可根据实际网络环境配置d h c p 隔离、v p n 隔 5 硕士学位论文 第一章绪论 离、8 0 2 1 x 隔离以及i p s e c 隔离【2 ”。 n a p 是可扩展的。微软提供了一个基础结构和a p i 集，从而第三方供应商 和软件开发人员可以使用该a p i 集构建自己的网络策略验证、持续的网络策略 遵从政策以及兼容网络访问保护的网络隔离组件。 因为n a p 区分了不同的网络访问方式，如i p s e c 、8 0 2 1 x 、v p n 、d h c p 四种，相应的存在四种安全准入的流程，现仅以i p s e c 方式为例说明如下： ( 1 ) n a p 客户端启动，发送其运行状况声明( s o i l ) 到运行状况证书服务 器( h r a ) ： ( 2 ) h r a 发送其收到的s o i l 至n p s 服务器，n i s 服务器与策略服务器通 信，确认此s o h 是否有效： 此s o i l 有效，则h r a 收到一个安全确认，且该n a p 客户端可以通过 i p s e c 访问网络。 此s o i l 无效，则h r a 没有收到安全确认，通知该n a p 客户端需更改其安 全设置以达到安全标准。该n a p 客户端与修复服务器通信更新自己的安全信 息。 ( 2 1 ) n a p 客户端上的n a p 代理给修复服务器发送安全更新请求。 ( 2 2 ) 修复服务器根据安全策略提供修复程序，n a p 客户端s o i l 更 新。 ( 2 3 ) n a p 客户端发送其更新的s o i l 至h r a ，若n p s 服务器确认更 新的s o i l 有效，则h r a 收到该n a p 客户端的安全确认。 华为3 c o m 端点准入防御( e a d ，e n d p o i n ta d m i s s i o nd e f e n s e ) 方案从网 络终端控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全 策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实 施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主 动防御能力，保护网络安全【2 2 1 。 e a d 系统由四部分组成，具体包括安全策略服务器、安全客户端平台、安 全联动设备和第三方服务器。 安全策略服务器是e a d 方案中的管理与控制中心，是e a d 解决方案的核 心组成部分，实现用户管理、安全策略管理、安全状态评估、安全联动控制以 及安全事件审计等功能。安全客户端平台是安装在用户终端系统上的软件，对 用户终端进行身份认证、安全状态评估以及实施网络安全策略。安全联动设备 起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。 第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品，实现安全产 品功能的整合。e a d 的架构图及流程图如图l - 2 所示。 6 硕士学位论文 第一章绪论 架构端点 安全客户螭 防病毒客户墙 耋 认证插件 耄 舌 其它插件 设备层 安全联动设备 控制层隔离区 安全策略l 防病毒服务器 服务器t 补丁服务器 _ j _ i 困1 - 2 华为3 t o mb a d 基本原理图 1 3 研究的目的和意义 面对层出不穷的端点安全问题，很多机构和部门都购置了各种各样的端点安 全产品其中，比较典型的安全产品包括桌面防火墙、主机入侵检测系统 h i d s 、网络入侵检测系统n i d s 及端点准入系统等。这些安全产品分别在不同 的侧面保护着网络系统的安全。然而，种类繁多的网络安全产品通常运行在不同 的操作系统和平台上，相互之闻往往不能兼容和联动，这在很大程度上限制了 产品功能的发挥。当前的端点准入系统具有如下几个特征： ( 1 ) 多区域的划分每一个区域的安全需求是不同的，而不同的区域拥有不 同的安全策略和安全边界，管理员需要针对每个区域制定相应的安全策略。 ( 2 ) 多种类的消息系统中各种角色的划分，决定了各角色之间通信时消息 的复杂程度虽然管理员可以忽略具体通信过程，然而多种多样的消息不利于 统一的管理，增加消息类型导致了信息过载，反而减弱了安全性 ( 3 ) 多样性的管理许多准入系统采用了客户端的构架，而客户端可能存在 7 昼圆圆程毋 硕士学位论文第一章绪论 不同的操作系统、不同的协议、不同的用户界面，都需要自定义的设置，这无 疑增加了网络管理员的负担，而且不利于统一管理的实现。 ( 4 ) “动态”与“整体”安全不足。现有的端点准入系统，一般实现了对管 理员的即时通知，而对网络用户则没有具体的通知机制。用户可能在自己成为 攻击入侵的工具时仍不知情。此时屏蔽用户的网络访问，无疑给用户造成了很 大不便，因此需要动态地通知用户即时的安全事件。内部网络不能单靠简单地 堆积安全产品和增加新设备来构建整个安全系统，而是要根据网络系统的需 要，以现有设各为基础，制定相应的安全策略并灵活增加或更新安全组件的配 置，以实现在达到“整体”和“动态”安全功能的前提下，使安全集成和系统 性能达到一个良好的集成点。因此，能否不增加或尽量少增加新的安全设备， 有效地对现有安全产品进行统一的管理和配置，使其能够更好地发挥效能，构 成一个完善的网络安全防护系统，就成了本课题思考时的一个主要问题。目前 仍然没有一个关于网络安全产品相互兼容性和联动的标准出台。 通过对现阶段端点准入产品的研究，都存在着配置成本高、结构复杂、与 第三方安全系统联动性不够，缺乏对用户的通知的缺点，而且都或多或少需要 在客户端软件支持l 。本文正是基于耳前网络安全的现状，从端点安全体系结 构的角度出发，设计一种适合集中管理、结构简单、不用安装客户端的系统， 以达到既快又好的优化端点准入过程的目的。 通过对网络准入系统的安全策略研究，提出一种通用的端点安全体系结 构，并针对策略路由与d n s 重定向技术，设计与实现一种使用于准入系统中的 屏蔽网络访问的方法，从而保证屏蔽的安全性和有效性。 课题的研究内容对当前的网络准入系统的优化具有一定的借鉴意义，而且 对其它类似系统如防火墙与入侵检测联动系统的设计思路有所帮助，并对自 动通知和响应系统的构建有一定的实用价值。 1 4 论文的内容结构 确保计算机网络中的端点安全是一个涉及面广的系统工程，而针对网络接 入的安全准入是现阶段网络安全的发展热点之一。本论文在调查计算机网络安 全现状，分析端点安全技术及应急响应技术在安全准入中的功能和局限性的基 础上，试图以多系统联动、信息共享为主要手段来构建一个网络端点安全准入 体系。并在此理论模型指导下，结合基于策略路由、动态d n s 、应急响应技 术，构建了一个安全准入系统。内容主要包括如下： ( 1 ) 分析了网络安全及端点安全的现状，对当前主流的端点准入的产品进 行了介绍，提出了课题的研究目的和意义。 硕士学位论文第一章绪论 ( 2 ) 对实现网络安全准入的技术原理进行了基础介绍。 ( 3 ) 在系统结构的研究中，对系统实现进行目标分析，设计了准入及响应 系统的系统模型；对准入及响应系统流程进行深入研究，概述实现各功能模块 的软硬件环境；搭建了系统实现的软硬件平台。 ( 4 ) 针对系统的各功能模块，逐- j j n 以实现。对系统中可能存在的安全问 题，加以讨论，并且将其列入系统功能扩展的方向。 ( 5 ) 对论文进行总结，并提出下步努力的方向。 硕士学位论文第二章网络安全准入技术研究 第二章网络安全准入技术研究 从思科思科网络访问控制、微软网络访问保护、华为3 c o m 端点准入防御 及其它端点系统的功能分析，要构建一个网络安全准入及应急响应系统，至少 应该具备非安全端点检测、非安全端点隔离、非安全用户通知功能。而对非安 全端点的检测，可以使用扫描技术，也可以使用入侵检测技术。差别在于扫描 执行时间长，要基于多种协议编程，实现复杂；而一旦网络中存在入侵或攻击 行为，入侵检测可以即时处理。因此本章就相应地对入侵检测技术、访问控制 技术以及应急响应技术进行研究。 2 1 入侵检测技术 计算机网络应保证信息的保密性、完整性及具有抵抗拒绝服务的能力洲， 但是由于网络接入用户的增加，很多系统都或多或少地受到入侵者的攻击。这 些入侵者利用操作系统或者应用程序的缺陷企图破坏系统。对付这些入侵者的 攻击，可以要求所有的用户确认并验证自己的身份，并使用严格的访问控制机 制，还可以用各种密码学方法对数据进行加密保护，但是这并不完全可行，而且 访问控制和保护模型本身也存在问题，这里有以下方面的因素。 ( 1 ) 口令。很多用户设置密码为n p 舔s w o r d ”或者连续的简单字符如自己的生 日等密码。这给入侵者进行攻击提供了方便，如果侵入者单凭猜测没有得出正 确密码，还可以用字典攻击的方法，尝试字典中的单词的每种可能。字典攻击 可以自动重复登陆并且收集加密口令，然后同加密后的字典中单词匹配。口令 一旦被破解，那么访问控制措施就形同虚设，不能够阻止密码已被破解的用户 的信息泄漏或者入侵者进行破坏【2 5 】。 ( 2 ) 静态安全措施不足以保护安全对象属性。通常，在一个网络中，静态 的安全特性( 例如不进行动态预测的防火墙) 可能过于简单并且不充分瞄】，或 者是系统过度地限制用户。例如，静态技术未必能阻止违背安全策略造成浏览 数据文件；而强制访问控制( 例如所有用户都不可以使用t e l n e t ) 仅允许用户 访问具有合适的通道的数据，这样造成系统使用麻烦。因此，一种动态的方法 如行为跟踪对检测和尽可能阻止安全突破是必要的。 f 3 ) 由于黑客入侵可能造成系统的非授权访问、机密信息泄露、系统的不 稳定或拒绝服务，因此必须设计系统的安全访问机制以保护网络资源，防止恶 意入侵。另一方面，完全杜绝安全事件的发生就目前看来不现型2 7 1 。我们只能 硕士学位论文第二章网络安全准入技术研究 进行入侵检浸4 及防御，以便在以后修补这些漏洞。 入侵检测作为安全技术主要任务为： ( 1 ) 识别入侵者； ( 2 ) 识别入侵行为； ( 3 ) 检测和监视己成功的安全突破； ( 4 ) 为对抗措施及时提供重要信息 2 8 3 。 从这个角度看待安全问题，入侵检测非常必要，它将弥补传统网络安全设 备的不足常见使用方法是，在防火墙之后配置入侵监测系统对网络活动进行 实时检测。由于可以记录和禁止网络活动，所以入侵监测系统是防火墙等网络 控制设备功能的延续。它们可以和防火墙和路由器配合工作。例如，入侵检测 系统可以重新配置来禁止从防火墙外部进入的恶意流量，从而和防火墙联动防 御例同时，也可以入侵检测系统为基础，扩展其它网络设备的功能。例如， 在网关上集成i d s ，从而构造具有入侵检测功能的复合型网关1 3 0 j 。 2 1 1 入侵检测原理 由于对安全时间的检测通常包含了大量复杂的步骤，涉及到很多系统，任 何单一技术很难提供完备的检测能力，需要综合多个检测系统以达到尽量完备 的检测能力。对于入侵检测框架的研究国内外都十分重视，比较有名的是文献 3 1 1 中提出的通用入侵检测框架( c i d f ，c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 和文献【3 2 】中提出的入侵检测交换格式( i d e f ，i n t r u s i o nd e t e c t i o n e x c h a n g ef o r m a t ) c i d f 是美国加州大学d a v i s 分校的安全实验室提出的框 架i d e f 是i n t e m e t 工程任务组( i e t f ，i n t e m e te n g i n e e r i n gt a s kf o r c e ) 的入 侵检测工作组( i d w g ，i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ) 开发的安全时间报 警的标准格式。 c i d f 主要介绍了一种通用入侵说明语言，用来表示系统事件、分析结果和 响应指标，并把入侵检测系统从逻辑上分为各个面向任务的组建。c i d f 试图规 范一种通用的语言格式和编码方式，以表示在组建边界传递的数据。 i d e f 是i d w g 于1 9 9 9 年6 月提出的一个草案，最关键的一点是，规范了 部分术语的使用。为适应入侵检测系统输出的安全时间信息的多样性，i d e f 数 据模型采用面向对象的设计思想，并以统一建模语言( u m l ) 描述。 2 1 2 入侵检测框架 根据安全检测框架模型，可以给出如图2 - 1 所示的一个入侵检测系统。 硕士学位论文 第二章弼络安全准入技术研究 图2 - 1 简单的入侵检测系统 系统可以分成数据采集模块、入侵分析引擎模块、管理配置模块、响应处 理模块和相关的辅助模块t 3 3 3 4 1 ”】。下面分别介绍各模块的功能。 ( 1 ) 数据采集模块：为入侵分析引擎模块提供分析用的数据。一般由操作 系统的审计日志、应用程序日志、系统生成的校验和数据，以及网络数据包 等。 ( 2 ) 入侵分析引擎模块：依据辅助模块提供的信息( 如攻击模式) ，按照 一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现并产生报 警。该模块是入侵检测系统的核心模块。 ( 3 ) 管理配置模块：它的功能是为其它模块提供配置服务，是入侵检测系 统中模块与用户的接口。 ( 4 ) 响应处理模块：当发生入侵后，预先为系统提供紧急的措施，如关闭 网络服务、中断网络连接及启动备份系统等。 ( 5 ) 辅助模块：协助入侵分析引擎模块工作，为它提供相应的信息，如攻 击模式库，系统配置库和安全控制策略等。 2 1 3 入侵检测系统分类 根据分类的角度不同，对入侵检测系统的分类方法也很多。大体上主要可 以从三个方面对i d s 进行分类3 6 】： l 、按照获取数据来源的不同，可以将入侵检测系统分为3 类： ( 1 ) 基于主机的入侵检测系统：系统获取数据的依据是系统所在的主机， 1 2 硕士学位论文第二章网络安全准八技术研究 保护的目标也是系统运行的主机。 ( 2 ) 基于网络的入侵检测系统：系统获取的数据来源是网络传输的数据 包，保护的目标是网络的运行。 ( 3 ) 混合型的入侵检测系统：混合型就所即基于主机也基于网络，因此混 合型一般也是分布式的。 2 、根据检测技术的不同，可以将入侵检测系统分为2 类： ( 1 ) 基于异常( a n o m a l y ) 检铡技术的入侵检测系统：这种入侵检测系统的 思想是：认为所有的入侵行为都是在一定程度上表现不正常活动，首先总结正 常行为应该具有的特征，例如特定用户的操作习惯与某些操作的频率等；在得 出正常操作模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义 上的操作模式，即进行报警可以看出，异常检测的关键问题在于正常行为模 式的建立以及如何利用正常行为模式对当前行为进行比较和判断 3 7 1 。 ( 2 ) 基于误用( m i s u s e ) 检测技术测入侵检测系统：这种入侵检测系统的 特点是；收集非正常操作也就是入侵行为的特征，建立相关的特征库：在后续 的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否当 前是否遭受入侵的结论。 3 、根据工作方式可以分为如下两种检测 ( 1 ) 实时入侵检测( 在线式) ：对网络数据包或主机的审计数据等进行实 时分析，可以快速反应，保护系统的安全。但在系统规模较大时，难以保证实 时性。 ( 2 ) 事后入侵检测( 离线式) ：通过事后分析审计事件和文件等，从中检 测入侵事件这可以分析大量事件，调查长期的情况，有利于其他方法建立模 型但由于是在事后进行，不能对系统提供及时地保护。而且很多入侵在完成 后都将审计事件的日志删掉，这样就无法进行分析。 随着对入侵检测系统的研究日渐深入，越来越多其它领域的知识，如人工 智能、神经网络、数据挖掘等，被融入到入侵检测系统的研究中，从而形成了 很多新的入侵检测系统模型。入侵检测系统分类之间的界限也越来越模糊。一 方面，会出现融入其它领域知识的入侵检测系统，另一方面，也有可能出现能 归属于多种类别的入侵检测系统【3 8 】。 2 2 访问控制技术 企业信息化的蓬勃发展，为内网信息资源的共享提供了更加多样和完善的 手段在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问，以 及授权用户对信息资源的滥用访问控制的目的是为了保护企业在信息系统中 硕士学位论文 第二章同络安全准入技术研究 存储和处理的信息的安全。 2 2 1 访问控制原理 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的 不同授权访问。而访问控制模型是一种从访问控制的角度出发，描述安全系 统，建立安全模型的方法。 访问控制包括三个要素，即：主体、客体和控制策略。 主体( s u b j e c t ) ：是可以对其它实体施加动作的主动实体。有时我们也称 为用户( u s e r ) 或访问者( 被授权使用计算机或网络资源的人员) ，记为u 。 主体的含义是广泛的，可以是用户所在的组织( 称为用户组) 、用户本身，也 可是用户使用的计算机端点、打卡机、手持终端( 无线) 等，甚至可以是应用 服务程序程序或进程。 客体( o b j e c t ) ：是接受其他实体访问的被动实体。客体的概念也很广 泛，凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中， 客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线 通信中的终端，甚至一个客体可以包含另外一个客体。 控制策略：是主体对客体的操作行为集和约束条件集。简单讲，控制策略 是主体对客体的访问规则集，这个规则集直接定义了主体对可以的作用行为和 客体对主体的条件约束。访问策略体现了一种授权行为，也就是客体对主体的 权限允许，这种允许不超越规则集【3 9 1 。 访问控制模型是用于规定如何做出访问决定的模型。传统的访问控制模型 包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体( s ) 、一组 客体( o ) 、一组访问策略( a s ，o 】) ( 包含读、写、执行和拥有) 。 访问控制模型涵盖对象、主体和操作，通过对访问者的控制达到保护重要 资源的目的。对象包括终端、文本和文件或网络资源；系统用户和程序被定义 为主体；操作是主体和客体的交互。 一般的访问控制模型有三种，分别是自主访问控制、强制访问控制和基于角色 的访问控制。 ( 1 ) 自主访问控制( d a c ，d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) ：是一种最为普 遍的访问控制手段。用户可以按自己的意愿对系统的参数做适当修改以决定哪 些用户可以访问他们的文件，即一个用户可以有选择地与其他用户共享他的文 件。用户有自主的决定权。 ( 2 ) 强制访问控制( m a c ，m a n d a t o r ya c c e s sc o n t r 0 1 ) ：是指用户与文件 都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某 1 4 硕士学位论文第二章阿络安全准入技术研究 个文件安全属性是强制性的规定，它是由安全管理员，或者由操作系统根据 限定的规则确定的，用户或用户的程序都不能加以修改 4 0 1 。 ( 3 ) 基于角色的访问控制( r a c ，r o l e - b a s e da c c e s sc o n t r 0 1 ) ：是对自主 控制和强制控制模型的改进。它基