企业计算机网络安全系统设计与实现

精品文档 1欢迎下载 企业计算机网络安全系统设计与实现 摘 要 随着网络技术的不断发展和应用 计算机网络不断改变各种社会群体的生 活 学习和工作方法 可以说人们已经不能离开计算机工作和学习 由于计算 机网络在生活中如此重要 如何保证网络的安全可靠稳定运行 已成为网络设 计和管理中最关键的问题 企业作为互联网应用最活跃的用户 在企业网络规 模和网络应用不断增加的情况下 企业网络安全问题越来越突出 企业网络负 责业务规划 发展战略 生产安排等任务 其安全稳定直接关系到生产 管理 和管理的保密性 因此 企业建立网络安全体系至关重要 本文首先介绍了企业计算机网络安全技术 分析了计算机网络接入和防火 墙技术等系统开发过程中涉及的关键技术 以及如何在此阶段为上述网络安全 问题建立安全系统 如何建立监控系统等 并描述了系统的实现过程 该系 统可实现计算机网络访问控制 文件系统运行 系统运行状态等的远程访问和 实时监控 主要实现用户身份管理模块 实时监控模块 硬件对象管理模块 软件对象管理模块 网络对象管理模块 文件对象管理模块等 通过对系统的测试和分析 系统达到预期的设计目标和工作状态 可以满 足内部网络安全监控的功能要求 可应用于网络信息安全有更高要求的企业和 部门 关键词 网络安全 实时监控 安全系统 网络信息安全 精品文档 2欢迎下载 第 1 章 绪论 1 1 课题研究的背景及意义 随着计算机网络技术的发展 互联网的应用也在不断推进 其应用已深入 到工作 生活 学习和娱乐的各个方面 使人们的工作环境不断改善 提高生 活质量 企业电子商务发展迅速 信息化水平大幅提升 大大促进了经济社会 的进步和发展 但是 互联网的普及为人们带来了便利 提高了生活质量 促 进了社会科学技术进步 促进了社会的发展 同时网络信息安全的问题日益突 出 1 随着计算机网络的广泛应用和普及 黑客的非法入侵 网络中计算机病毒 的蔓延和垃圾邮件的处理已成为关注的焦点 许多公司没有为计算机网络系统 做好安全措施 付出了非常惨痛和昂贵的代价 2 企业网络建设是企业信息化的基础 INTRANET 是企业网络模式 是企业网 络的基础 INTRANET 不完全是 LAN 的概念 通过与互联网的连接 企业网络 的范围可以跨区域 甚至跨越国界 3 现在很多有远见的商界领袖感受到企业信息化的重要性 已经建立了自己 的企业网络和内部网 并通过各种广域网和互联网连接 网络在我国的快速发 展只有近几年才出现 企业网络安全事件的出现已经非常多 4 因此 我们积 极开展企业网络建设 学习吸收国外企业网络建设和管理经验 运用网络安全 将一些企业网络风险和漏洞降至最低 随着威胁的迅速发展 计算机网络的安全目标不断变化 因此 只有不断 更新病毒和其他软件不断升级以确保安全 对于包含敏感信息资产的业务系统 和设备 企业可以统一应用该方法 从而确保病毒签名文件的更新 入侵检测 和防火墙配置以及安全系统的其它关键环节 简单的技术无法解决安全问题 只有依靠健全的战略和程序 并配合适当的人员和物质安全措施 整合安全解 决方案才能发挥最大的作用 健全的安全政策和标准规定了需要保护的内容 应根据权限和需要划分人员的职能 公司需要高度支持安全政策 提高员工意 识 有助于成功实施战略 5 全面的安全策略提高了目标计算机网络的整体安全性 这是通过使用网络 安全独立产品无法实现的 不管内部和外部安全问题如何 确保所有这些功能 都得到实施 维护安全的基本框架非常重要 6 1 2 企业网络安全系统国内外研究现状 企业网从初始单一数据交换发展到集成智能综合网络 已经经历了十几年 的时间 在此过程中 企业网络人员逐渐实现了网络架构设计多层次 多元素 化 它包括主机系统 应用服务 网络服务 资源 并支持业务的正常运行 现在企业对网络的需求越来越高 对网络的依赖越来越强 这表明企业管理 生产和销售网络发挥了很强的支撑作用 7 精品文档 3欢迎下载 1 2 1 国内企业网络安全系统现状 随着宽带互联网的快速发展 企业网络安全形势恶化 受访企业中有部分 企业发生网络信息安全事件 其中一些企业感染了病毒 蠕虫和木马 8 一些 公司有网络端口扫描 在这种情况下 企业网络安全和网络安全管理已成为国 内政府 学术界和行业关注的焦点 从政府的角度来看 企业网络具有重要的战略意义 企业网络是国家信息 化基础设施 肩负着保护网络和信息安全的重要责任 也反映了国家主权 在学术领域 信息安全是一个综合性学科领域 不仅包括数学 物理 还 包括通信 计算机等综合学科 其研究不仅包括网络安全技术的研究和设计 整体解决方案 还包括网络安全产品的开发等 9 在行业中 我们的产品缺乏核心竞争力 信息安全产品和国外厂商的自主 开发 几乎都属于低端产品 例如 国际先进的网络安全解决方案和产品 是 我国禁止的 我们只能学习这些先进的技术和产品 面对日益严重的网络和信息安全形势 我国政府 学术界 产业界等高度 关注 信息安全的重要性已经提升到前所未有的战略高度 2000 年以后 我 国制定了一批信息安全法规和部门规章制度 基本形成统一 分工明确的负责 任组织 网络安全事故应急响应协调机制初步建立 实施 信息安全关键技术研 究 启动相应的体系建设 开展计算机信息系统分类安全体系建设监督管理 开发了一批专业信息安全产品 网络信息安全产业开始形成规模 我国信息网络安全管理与控制系统研究与开发在初期阶段 2006 年 古利 勇等对网络管理平台架构进行了研究 提出了系统框架 安全策略管理分析 安全预警管理 资产风险管理 安全事件集中监控 安全知识管理 安全报告 管理等六大核心功能模块 10 2008 年 孙强等提出了基于消息通信安全管理 体系的模型 介绍了安全管理体系的结构和实现机制 并对系统实现中的关键 技术和解决方案进行了介绍 包括系统架构 消息通信机制 系统安全机制和 安全风险模型及数据一致性维护等 11 2010 年 史简等研究提出了统一的网络 安全管理平台 运用风险评估和事件相关技术 实时分析网络风险情况 减少 误报和漏报 11 赵泉 2011 年指出 加密技术是信息安全网络安全技术的核心 12 2013 年 阎廷瑞提出了信息传输和存储的安全性 为网络应用系统信息 安全模型的基本要素和资源访问的安全控制提供了一种更简单可行的认证和安 全管理解决方案 13 2015 年 刘金华等研究设计了新的监控管理系统 通过 数据采集 数据分析 实现网络内主机设备性能数据分析与监控控制策略 14 朱周华在 2016 年提出了一种新的网络和信息安全架构模型 15 1 2 2 国外企业网络安全系统现状 自 20 世纪 70 年代中期以来 英美等西方发达国家已经开始重视网络和信 息安全问题 经过多年的发展 在理论研究 标准制定 产品开发 安全体系 精品文档 4欢迎下载 建设 人才培养等方面取得了很多成果 16 本文回顾了信息安全技术发展的路 径 W Diffie 和 W Hellman 提出了公钥密码学与 David Bell 和 Lconard La Padufa 提出计算机安全模型 信息安全从初步的单阶段保密到预防和检测 评 估 控制等方面提出了计算机安全模型 信息安全处于快速发展阶段 攻 防 和测 评 控 管为一体的安全成熟的系统之一 17 从目前的市场结构来看 信息安全技术保持领先的是美国 英国 法国和 以色列 研究内容主要针对安全协议和安全架构设计 包括 安全协议分析方 法 安全协议研究与设计的使用 安全架构设计 包括安全系统模型 研究和 建立安全策略和机制 以及系统对安全性的检查和评估 15 安全协议研究中 最关键的问题之一是安全分析方法的形式分析 目前 该领域的成果包括电子 商务协议 协议 简单网络管理协议和安全操作系统 安全数据库系统 16 从当前产品的角度来看 目前主流的安全产品有防火墙 安全服务器 入 侵检测系统 安全数据库 认证产品等 16 从国外企业信息化建设的角度看 发达国家的许多企业将信息化迈向战略 高度 大量信息技术投入和发展 一般信息投入占总资产的 10 加快获取信 息技术 例如 美国所有的大公司都实现了办公自动化 一些跨国公司实现虚 拟办公 17 同时这些大型企业基本上都是通过信息技术实现首席信息官改进这 些企业的决策 管理和经营 并获得新的发展机遇 18 Antoine Joux 2011 在其 Algorithmic Crpytanalysis 一书中指出 加密算法和验证技术与网络 安全密切相关 19 外国学者 Joseph Migga Kizza 2013 著作 COMPUTER NETWORK SECURITY AND CYBER ETHICS 4TH ED 中针对近年来新型的加密技 术进行了阐述 20 从国外企业实施信息化的角度来看 一般国际企业随着信息技术的推广 其业务网络延伸到最广泛的地方 然而 由于新技术的飞速发展 信息安全的 一般公司面临着诸多问题和困难 所以他们将如网络防火墙技术 入侵检测技 术 数据安全技术 安全技术投资外包给第三方等 21 1 3 课题主要研究内容 本文的主要工作是分析内部网络安全检测系统的关键技术 在此基础上 完成了网络安全检测系统的设计与开发 主要包括以下几个方面 1 本文分析了网络编程技术中的安全检测系统 主机状态监控技术和用户 权限管理以及数据安全技术 提出了具体的实现方案 有关系统信息收集 用 户行为数据和网络数据采集的基本概述和相关关键技术 以及对开发环境中使 用的系统的简要介绍 2 分析安全检查系统的具体需求 包括功能和非功能要求 并阐明任务的 范围和内容 简要介绍了网络安全检测系统的要求 详细分析了系统的整体功 能和子功能 最后 介绍了系统的性能 易用性 接口要求和非功能要求 3 完成安全检测系统的整体框架设计 给出系统功能的具体设计 本文介 绍了网络安全检测系统的设计过程 给出了系统的功能结构和处理逻辑设计 精品文档 5欢迎下载 并描述了核心数据结构 用户界面 数据结构和安全设计过程 4 完成安全检测系统的编码和实现 并对系统进行了测试和分析 介绍了 系统的实现 系统的整体拓扑结构和软件系统的逻辑结构 分别实现了功能模 块在核心功能中的关键功能 介绍了网络安全检测系统的功能和性能测试 测 试结果表明该系统可以满足应用要求 1 4 论文结构安排 第 1 章 对企业计算机网络安全系统的背景和意义进行介绍 得出本文的研 究现状 研究内容和结构 第 2 章 相关概念和关键技术 详细介绍了企业计算机网络安全相关的技术 如计算机网络入侵和攻击技术 以及在这个阶段针对以上的网络安全问题 如 何建立一个安全系统等 第 3 章 需求分析 包括系统功能和非功能需求分析 第 4 章 企业计算机网络安全管理系统的设计 系统架构设计 系统功能模 块设计 数据库设计等 第 5 章 企业计算机网络安全管理系统的实现 对各个部分的功能进行实现 精品文档 6欢迎下载 第 2 章 相关概念及关键技术 2 1 计算机网络安全的概念 计算机网络安全是指系统软件 应用软件 硬件等媒体在网络中的所有数 据信息可以完全防御 不会出现异常或异常变化 可以有效防止这些媒体信息 不被篡改 保护 网络数据传输稳定 不会泄漏 不间断运行 22 网络安全是一个非常复杂和全面的研究课题 不仅涵盖了计算机基础科学 网络通信技术 信息技术和电子通信加密技术 而且还包括一些端口类加密 信息理论和应用数学 从根本上说 网络安全是运输网络元素的安全运行 网络安全性按照应用分为两大类 第一类网络安全是指网络信息安全 第 二类是指网络中所有数据可用 可控 保密和完整性相关技术被归类为计算机 网络安全分类讨论的完整性的理论 23 同时 计算机网络安全也可以根据环 境或对象不同而产生理论扩展 用于维护信息网络管理员 网络安全是确保 网络不受木马和病毒 攻击外部和内部数据 消除网络应用程序的异常使用 确保资源可以完全 控制 以确保网络可以访问数据单元操作 但是对于最终用户的计算机网络在 网络安全方面的个人隐私和商业秘密来说 确保个人信息和个人安全 与网络 传输和存储的单位信息相关的所有数据均为机密 真实 完整 并确保用户未 经授权的身份存储在所有相关数据单元中 信息不能以任何方式进行篡改 确 保自身利益和权力 24 2 2 计算机网络安全的关键技术 网络安全技术牵引涉及很多基础学科 本文列举了网络安全技术在相对普 及技术中的发展实现 防火墙 Firewall 虚拟专用网 VPN 入侵检测 IDS 安全扫描技术 Scanner 和网络访问控制 ACL 如下所述 2 2 1 防火墙技术 所谓的防火墙技术 Firewall 通过互联网 Internet 或外部网络和数 据传输网络之间的 最小 内部网络传输门禁 然后完成隐藏的未经授权的用 户连接内部网络数据方法 25 到目前为止 防火墙技术仍然可以防止未经授 权的用户访问网络 也是防止非法用户入侵的最关键手段 以及最广泛使用的 网络安全策略部署技术 结合信息安全技术开发过程的发展 防火墙 Firewall 可分为三类 1 包过滤防火墙 通常基于路由器建立 在服务器或计算机上也可以安装包过滤防火墙软件 精品文档 7欢迎下载 在网络层包过滤防火墙的基础上 单个 IP 实现网络控制 对所接收的 IP 数据 包的源地址 目的地址 TCP 数据包或 UDP 数据报文的源端口和目的端口号 包出入接口 协议类型和数据包中的各种标志位等参数 以及网络管理员预先 设置的访问控制比较列表以确定它们是否符合预定义的安全策略和决定 释放 或丢弃给定的包 防火墙的优点是简单 方便 快速 透明度好 对网络性能 影响不大 可以用来禁止非法外部用户访问企业内部网 也可以用来禁止访问 某些类型的服务 但是我们无法识别危险程序包的内容 无法执行应用程序安 全性处理 2 代理服务器型防火墙 通过在计算机或服务器上运行代理服务程序 运行到特定应用层服务 也 称为应用层网关级防火墙 代理服务器型防火墙核心 是代理服务器上运行的 防火墙主机进程 实质上 它是连接企业内部网和互联网网关的特定网络应用 23 它是用户完成 TCP IP 访问功能 其实是电子邮件 FTP Telnet WWW 等不同应用程序都提供给相应的代理 该技术允许通过代理服务器建立外部网 络和内部网络之间的连接 实现安全的网络访问 并可实现用户认证 详细日 志 审计跟踪和数据加密等功能 实现协议过滤器和会话控制控制 具有良好 的灵活性 代理服务器防火墙有可能影响网络的性能 用户不透明 而对于每 个 TCP IP 服务应设计一个代理模块 建立相应的网关实现更为复杂 3 复合型防火墙 由于安全性要求较高 通常基于包过滤方法和基于应用的代理方法 形成 复合防火墙 提高防火墙的灵活性和安全性 这种组合通常有两个选择 1 屏蔽主机防火墙架构 在这种结构中 分组过滤路由器或防火墙和 Internet 连接 同时将堡垒机安装在内部网络中 通过包过滤路由器或防火墙 过滤规则集 使堡垒成为只有互联网上其他节点能够访问的节点 这确保了内 部网络不会受到未经授权的外部攻击 24 2 屏蔽子网防火墙架构 堡垒机放置在子网中 形成非军事区 两个子 网过滤器的两端 使子网和互联网和内部网分离 在屏蔽子网防火墙架构中 堡垒主机和过滤路由器构成了整个安全防火墙的基础 2 2 2 虚拟专用网技术 VPN 虚拟专用网 VPN 是通过公共网络创建一条穿透公共网络饿逻辑隧道 这是在公用网络 Internet 上建立一个虚拟通道连接 从技术上讲 虚拟专 用网络是局域网 LAN 的扩展 25 通过虚拟专网 VPN 技术可实现远程终端连接网络 LAN 这是现代网络 发展的重要技术 可以帮助企业分支机构及相关零部件企业建立网络通信 该 技术可以保护 最终用户和总部之间的安全数据信息传输 虚拟专网 VPN 部署成本低廉 易于建立 VPN 网络 既保护安全和数据传 输的机密性 又简化了网络架构设计的复杂性 26 精品文档 8欢迎下载 虚拟专网 VPN 有四大类的关键技术 27 1 隧道技术 2 用户认证技术 3 加密技术 4 访问控制技术 隧道技术是虚拟专用网 VPN 最关键的技术 它是一种基于私有数据网络 的安全转发信息的加密隧道机制 该技术是在转发帧之前封装需要在对应加密 协议中发送的帧 当转发的数据传输到隧道的另一端时 将根据已建立的加密 协议进行解封 从分组到封闭 加密隧道为一个逻辑信道 隧道协议由三部分 组成 一个是数据链路层协议 协议标准是 L2TP 和 PPTP 另一个是网络层协 议 主要协议是 IPSec 和 GRE 等 另一个是传输层协议 主要协议是 SSL 和 TSL 等 两种最广泛使用的加密协议是 L2TP 和 IPSec 虚拟专网 VPN 根据虚拟专网的应用类型可分为三类 28 1 内网 LAN VPN 实现从 LAN 到另一个 LAN 到网关的链接 资源通 过不同的 LAN 资源通过目标 LAN 进行连接 2 外联网 Extranet VPN 与内部网络 LAN 构成外网 也与其他网 络 LAN 互连 3 远程访问 Access VPN 实现远程用户上网互联 基于公网实现虚 拟专用数据转发 对于不同的客户可以开发不同的虚拟专用设备 设备可以分为 VPN 交换机 VPN 防火墙和 VPN 路由器 29 1 VPN 交换机 这些设备用于更远程的接入网架构 2 VPN 防火墙 最广泛使用的虚拟专用网建设设备 一般部署在网络出 口 3 VPN 路由器 最容易部署这样的设备 只需增加路由器配置 VPN 服务 类别即可完成 2 2 3 入侵检测技术基本策略和技术分类 1 入侵检测技术基本策略 虽然防火墙可以有效防止非法入侵 但是防火墙不是灵丹妙药 防火墙周 围总是有未知的攻击来攻击网络 导致网络不正常运行 网络入侵检测系统 IDS 采用一个更智能的检测策略 从第二个测试端口检测攻击行为 入侵检测的基本策略是基于网络的一定算法或访问的关键点进行更科学的分析 以确定是否存在安全策略行为的攻击或违规 满足算法要求的人作为合法访问 但对于那些不符合算法访问测试结果要求的报告 响应处理和阻塞在检测系统 中 核心是基于网络信息监控检测和有效判断数据是否合法 非法数据过滤掉 入侵检测过程如图 2 1 所示 从图中可以看出 入侵检测系统拦截网络信息 然后提取检测数据 根据 过滤规则提取数据 通过入侵的分析结果 并截获数据包信息响应处理 精品文档 9欢迎下载 图 2 1 入侵检测系统流程 2 入侵检测技术分类 根据信息数据包单元的来源差异 入侵检测可以分为以下几类 1 基于主机型 IDS 可以为网络事件和操作系统环境 日志记录进行有效的检测 如果文档被 修改或更改文档的日志 IDS 将匹配新的日志条目和现有的访问攻击事件 如 果比较表示新的日志条目和访问事件具有攻击特征 则 IDS 匹配系统将根据已 建立的规则发送告警信息 信息安全行业所有 IDS 产品都有侦听端口 如果检 测到异常警报或未经授权的访问特定端口将触发警报机制 则会向网络管理员 发送警报消息 2 基于网络 IDS 该设备将网络信息视为分散的信息源 并使用网络在阅读后收听网络上的 信息流 基于网络的 IDS 检测模块通常使用统计和匹配模式来识别攻击行为 IDS 只要违反网络检测违规行为 IDS 响应模块就会触发报警 网络链路切断 对于不同的网络响应 IDS 将使用不同的触发机制 包括日志的内容通知管理 员 管理员将不满足用户网络连接的要求或与非法网络行为日志存储相关联 31 3 基于主机和网络集成的 IDS 因为基于主机的 IDS 和基于 Web 的 IDS 都有自己的优势 这么多 IDS 供应 商将结合这两大类的优势 在网络安全部署方案中 基于主机 IDS 和基于网络 的 IDS 优势的合并 利用各自的优势 许多用户在部署基于主机的 IDS 时部署 基于网络的 IDS IDS 检测到未经授权的访问 并且在日常工作中 邮件 DNS 和 Web 服务器往往是针对性的 在电子邮件中 网络中的 DNS 和 Web 服务器被 部署 它们必须巧妙地与 Internet 进行数据连接 因此基于主机的 IDS 部署在 服务器的前端 可以完成非常好的安全性防护 32 2 2 4 网络访问控制技术 网络访问控制 也称为网络接入控制 称为 TAC TAC 技术是保护信息网 络终端最有效的方式 它被安装在网络检测终端软件中 实现最有效的方式 此外 TAC 允许其他交换机如交换机 SW 路由器 SR 和防火墙 FW 一起使用 使 用此应用程序的服务器和最终用户的计算机提供了一个全面的自动化管理流程 以确保数据在端点之前安全地进行交互 33 通用网络访问控制分为三个部分 第一部分是降低零日攻击的风险 网络 访问控制技术的关键应用是防止未安装病毒 补丁 入侵防御软件终端接入网 精品文档 10欢迎下载 络资源 第二个是增强安全策略 网络访问控制设备允许管理员设置允许管理 员高级访问网络并按照这些规则清除主网络交换设备的规则 34 第三是身份和 访问管理 访问控制应用程序打破传统计算机网络 TCP IP 协议访问巧妙的策 略实现 它是基于用户权限来保护网络的安全性和稳定性 访问控制可以分为四类 1 基于代理的 TAC 2 无代理 TAC 内联 TAC 带外 TAC 35 1 基于代理的 TAC 这种方法是通过终端添加一个后台软件 通过专用 网关或 TAC 平台实现安全管理 基于代理的 TAC 灵活性不高 对终端设备上安 装的特定探测器才可以实现该功能 36 2 非代理 TAC 此方法不在终端上安装后台探测器 无需使用代理 可 以简化网络部署的难度 这样的 TAC 操作简单 3 内联 TAC 通过所有终端通信实现及其在三层网关中的运行和部署 可以增强安全策略 37 内联 TAC 方法相对简单 但会导致广播数据在网络中的 更多传输 随着网络正常运行时间的增加 内联 TAC 将增加 TOC 这是由于内 部广播流量的增加将增加内联设备的数量 4 带外 TAC 该技术是通过现有的网络基础设施应用来增强网络的安全 性 作为终端向数据传输到中央控制设备实现整体战略 这种设备的部署实现 复杂 带外 TAC 技术实现更复杂 但不会对网络传输的性能产生不利影响 2 3 相关开发环境 2 3 1 集成开发环境 Microsoft Visual C 6 0 简称 VC6 0 是微软推出的一款 C 编译器 将 高级语言 翻译为 机器语言 低级语言 程序 38 Visual C 是一 个强大的可视化软件开发工具 自 1993 年以来 微软推出 Visual C 1 0 然后版本不断更新 Visual C 已经成为首选专业的程序员软件开发工具 虽 然 Microsoft 已经引入了 Visual C NET Visual C 7 0 但它只适用 于 Windows 2000 Windows XP 和 Windows NT 4 0 有很多限制 所以在现实中 更多的是基于 Visual C 6 0 平台 Visual C 6 0 不仅是 C 编译器 而且是基于 Windows 操作系统的可视化集成开发环境 IDE 39 Visual C 6 0 包括许多组件 包括编辑器 调试器和程序向导 AppWizard 类向导和 其它开发工具 这些组件通过称为 Developer Studio 的组件集成到和谐的开发 环境中 2 3 2 数据库环境 SQL 称为结构化查询语言 由圣约瑟实验室为其关系型 DBMS 最初研究的数 据查询语言 这种查询语言与他的前身相比 结构简单 易于使用 一个能够 精品文档 11欢迎下载 实现更复杂的功能 作为 IBM 在上世纪 80 年代推出 SQL 语言后 受到广大用 户的推崇 40 在当前市场上主流的数据库管理系统中 基本都做了 SQL 支持 无论是大 型数据库如 Oracle 还是小型如 FoxPro 用户都可以嵌入 SQL 19 不同的数 据库系统需要不同的 ODBC 驱动程序和不同的数据源 但也需要供应商数据库 SQL 是一种非流程的高级编程语言 用户可以通过其高水平的数据操作 无论用什么样的用户数据存储方式 无论什么数据结构的形式 用户都可以使 用 SQL 实现数据管理 可以起到接口作用 SQL 在执行时可以讲记录集作为处 理对象 输入可以是记录集 输出也可以 所以我们说 SQL 是数据处理的集合 用很多高级语言处理数据记录处理 也反映了 SQL 处理 在数据库应用系统的 开发中 首先了解数据库的基本概念和结构 进一步了解数据库应用程序开发 过程 并对应用系统和开发过程有一个清晰的认识 41 SQL Server 是基于 Microsoft 平台的基础上开发的关系型数据库系统软件 由于与 Windows 操作系统的密切关系 它具有扩展 高性能特点 分布式客户 端 服务器计算等 SQL Server 软件这些条件 为大多数应用程序提供数据存 储解决方案 2 4 现代企业网络模式 网络安全不仅仅是一个纯技术问题 不可能只通过技术因素来确保网络安 全 管理因素也是不可缺少的 其实网络管理是一个统一的管理和技术问题 网络安全是一个涉及法律 管理和技术因素的复杂人机系统 只有妥善协调三 者之间的关系才能有效保护网络安全 网络安全技术 包括硬件因素 如计算 机设备故障 通信通道故障等 也是软件相关因素 从应用另一方面的网络攻 击保护主要体现在数据和软件中 网络攻击策略主要是利用 改变和瘫痪 主 要利用窃听网络通信和计算机上的信息和数据 所谓的变化是欺骗使用数据传输 系统 信息等内容 以及入侵网络摧毁数据和软件 所谓麻痹 无用数据块 破 坏网络系统瘫痪的方法 考虑到攻击的技术模型 网络安全威胁分为两类 被 动威胁和主动威胁 1 企业互联网络结构 现代企业 下属企业或子公司在地理上分散 有的甚至在大面积 下属企 业建立自己的骨干 但一方面访问公司总部 另一方面进入互联网 连接企业 和真正的网络 访问互联网 2 企业内部网络结构 无论是公司总部网络还是其附属企业网络 其内部网络结构虽然不尽相同 但仔细研究会发现类似 虽然地理位置相对分散 部分分布在工厂内部 部分 分布在建筑物中 但是整个网络提供公共应用服务 也称为公共应用平台 一 般由网络中心实施 而这个 网络中心对企业网络管理行使技术权 网络拓扑 如图 2 2 所示 精品文档 12欢迎下载 图 2 2 企业内部网络结构 2 5 网络安全模型 网络信息安全应包括人员安全 设备安全 物理安全 信息安全 电磁辐 射安全 通信安全和工业安全等方面 上述网络安全的要素如图 2 3 所示 计算机网络实际上是一条通信线路 连接通信双方 通信双方可以传输信 息实现资源共享和协同工作 信息传输的核心网络是通过从发送方到接收方的 传输信道信息 信息安全传输有三个主要方面 即发送方的安全性和接收方的 安全性以及传输路径的安全性 要研究三方网络信息传输的安全性 网络安全 模型如图 2 4 所示 简要介绍了网络信息的要点 图 2 3 网络安全组成的元素 传输安全 操作安全 辐射安全 通讯安全 环境安全 使用安全 网络安全 硬设备安全 工业安全 精品文档 13欢迎下载 图 2 4 网络信息安全模型 1 传递信息 或消息 需要加密操作 这个操作有两个主要的方法 保 证理论不能破坏 计算不可行 有很多经典的加密算法可以使用 数据到达接 收通常使用对称密钥加密和公钥加密来执行解密操作 2 消息传输通道是网络信息安全的重要因素 考虑传输路径本身的安全 问题 还要考虑第三方攻击 整个通信链路数据传输安全可靠 3 实际的加密技术有很多方法 如数字签名 报文摘要 数字认证 证 书颁发等 有些也需要信任第三方参与 2 6 本章小结 本章主要介绍了本文的基本概念及相关的关键技术 如系统信息采集 用 户行为获取 网络数据采集和系统开发 使用环境的介绍 网络安全模型等 精品文档 14欢迎下载 第 3 章 系统需求及算法分析 3 1 企业背景说明 为防止用户在内部网络环境中非法使用计算机系统 根据有关部门的要求 制定严格的管理制度 以防止用户对内部网络环境的非法使用 根据有关部门 的要求制定严格的管理制度 但在执行过程中多次发现非法复制文件和安装非 法软件行为 因此 我们需要采取适当的技术措施 确保管理体系的实施 在 研究过程中发现有很多类似的商业软件 但这些商业软件的功能比较复杂 而 且实际需要的单位是不同的 所以最终确定了一个小内部网络监控系统 以满 足需求 具体应用环境如下 需要监控一个小型内部办公网络的网络环境 主机数 量约为 50 个 使用 WINDOWS 操作系统 使用交换机进行网络连接 属于同一 C 网网段 网络和业务内部网络是物理隔离的 主机可以通过路由器访问外部网 络 主要用于企业日常工作的学习环境 不允许在网络主机上使用其他相关用 途 网络拓扑如图 3 1 所示 图 3 1 系统应用网络环境 3 2 功能性需求 该系统的功能主要是通过访问控制 实时监控和事件审计等技术手段 对 被控主机和系统的运行状态进行有效的监控 并记录用户未经授权的访问行为 作为 安全审计凭证 对于用户的网络访问等活动也可以用来防止网络连接实 现安全管理的方法 42 精品文档 15欢迎下载 系统的控制主机对用户透明 所以用户具有系统安全管理员的主要功能 包括用户身份管理 实时监控 软件对象管理 硬件对象管理 网络对象管理 文件对象管理 系统的整体工作如图 3 2 所示 3 2 1 用户身份管理 用户是网络安全检测系统管理领域的所有认证用户的身份 系统中管理员 的身份管理 用户身份管理功能包括创建 修改 删除用于安全检测系统的服 务器管理员 以及创建 修改和删除主机的主体信息 角色信息和角色管理策 略 管理员级别分为一级管理员和二级管理员 一级管理员可以查看和操作任 何信息 二级管理员只能查看信息 无法发送策略信息 43 用户身份管理功 能的用例如图 3 3 所示 3 2 2 实时监控 实时监控 包括桌面快照 进程快照 远程目录查看功能 主要是指在线 控制机器运行实时监控管理领域 桌面快照 管理员可以实时捕获用户的桌面 或按照策略定期抓取用户的桌面存档 进程快照是指管理员可以查看实时的用 户系统进程列表 远程目录视图是管理员可以查看用户文件信息的目录信息 实时监控功能如图 3 4 所示 3 2 3 软件对象管理 软件对象管理是管理控制区域网络中所有受控软件对象 包括开发软件黑 名单 软件操作控制 即软件黑名单不能在主机上运行 使用软件对象管理功 能如图 3 5 所示 3 2 4 硬件对象管理 硬件对象管理是对受控局域网中所有受控硬件对象的管理 包括硬件清单 的生成 硬件报警的非法更改以及状态管理的使用 44 硬件对象管理功能 如图 3 6 所示 3 2 5 网络对象管理 网络对象是控制区域网络中所有受控网络行为的管理 包括设置网站的黑 名单和白名单 以及对控制机的流量进行审计和控制 网络对象的管理功能如 图 3 7 所示 精品文档 16欢迎下载 3 2 6 文件对象管理 文件控制管理是对 LAN 上所有机器对象文件的管理 包括审核文件的操作 用户记录文件系统访问行为 如打开 修改 复制文件和用户控制文件操作 文件对象管理功能如图 3 8 所示 3 3 非功能性需求 3 3 1系统安全需求 1 用户安全 用户的安全主要包括管理员的安全和用户的安全 1 管理员具有系统的最高权限 所以责任是最大的 管理者必须具有 良好的素质和知识素养 熟练掌握网络安全知识 企业有较强的忠诚度 掌握 专业的管理技能 2 严格限制管理员的用户级操作 应在企业网络系统安全计划中设置和 调整审计信息等初步操作 3 用户安全层必须在授予管理员权限的前提下使用企业网络资源 使用 其资源 禁止使用系统资源 禁止超出授权的系统运行 禁止披露重要信息和 系统 登录密码 2 基础设施安全 1 硬件设施的安全 包括物理环境安全 硬件设备 物理 机械安全 2 软件设备的安全性 包括系统安全 网络通信安全 软件应用平台安 全 安全管理软件安全 3 网络结构安全 1 包括局域网和广域网之间的隔离和控制 如包过滤 子网防火墙阻塞 网络地址变化等 2 局域网内的子网安全 包括信息敏感子区域信息资源子网 敏感信息 子网和非敏感信息子网的隔离 子网信息和公共信息网络隔离的内部使用 局 域网和互联网隔离 3 未授权或未经授权使用拨号上网方式绕过安全系统 4 传输安全 除了外部公众提供的信息外 在 LAN 中传输的数据也需要加密 LAN 用户 之间的信息传输 也是使用认证措施 特别是机密信息也需要加密和保护 1 网络边界隔离和访问控制 因为系统比较特殊 是网络隔离边界的最重要特征 需要仔细考虑 因此 我们需要使用帧中继网络和访问控制措施 企业内各部门之间必须有网络接入 我们必须确保合法用户同时访问系统 并且未经授权的用户 包括任何企业和 其他企业的非授权用户的网络访问请求无法访问系统 系统网络传输平台单元 精品文档 17欢迎下载 使用帧中继网络 不可控制的因素依然存在 帧中继网络终端网络设备安全等 因此 我们必须强调网络安全隔离和控制单元和帧中继网络 45 对于企业网络 由于企业的性质和网络系统的工作水平必须包含有许多重要机密信息 因此 企业网络应分为不同的子网 高安全网络的子网和不可信网络安全分类 推荐 安全隔离和访问控制网络安全隔离设备 以确保未经授权的用户访问授权用户 2 企业传输数据安全 企业在网络系统中 由于不同的权限 内部信息的性质不同 不能让非法 用户访问 有必要采取适当的措施来保证网络系统的安全性要求 特别是企业 网络系统 由于其性质和工作水平 不可避免地包含了大量的私人信息 因此 内部网络可以分为多个不同的子网 可以根据具体情况分开 将包含机密信息 网络和不包含机密信息网络进行区分 保密要求特别高的信息需要独立存储 而不是连接到共享网络 3 3 2系统性能需求 1 性能需求 安全检测系统的性能要求包括 采用独立数据库的集中数据管理 充分利 用系统资源 可支持 50 100 台主机实时监控 远程监控功能响应时间少于 1 秒 2 高效 功能实用 界面简单 使用人员 一目了然 短时间内可以起到企业网络安全管理系 统的作用 系统在服务器中提供了友好的图形用户界面 要求用户操作简单方 便 操作清楚 系统还特别设计了用户信息功能 为了更好的增加用户和系 统管理员之间的通信 对系统功能进行更好的维护 改进和完善 使企业网络 安全系统逐步完善 3 可扩展性 本文针对企业网络安全管理体系的设计 因此 我们必须有很好的处理这 个问题的能力 增加网络访问次数 这就要求数据库系统的改进和数据库系 统的扩展 提出了更高 更新的要求 4 维护性 系统维护是系统正常运行的先决条件 更新和备份数据库 也是保证系统 安全运行的重要保证 5 接口要求 1 软件界面 使用 Micrisoft SQL Server 数据库企业版 46 支持 Windows XP 微软系列操作系统 2 通讯接口 系统实时监控部分使用 UDP 协议 数据库连接采用 ADO 方 式 精品文档 18欢迎下载 3 4 模式匹配算法 在本文中 实施入侵检测系统 采用模式匹配算法作为网络入侵检测系统 的检测引擎核心 然后 模式匹配算法的性能直接影响了网络入侵检测系统的 检测效率 特别是在高速网络中 如果模式匹配算法不能及时处理数据的实时 数据包 会导致丢弃一些数据包 如果这些数据包包含入侵信息网络 会导致 网络入侵 检测系统缺失 因此 模式匹配算法非常重要 在本文中 我们使 用多模式匹配算法 WM 多模式匹配算法由 Sun Wu 和 Udi Manber 于 1994 年提出 该方法工艺 简单 效率高 WM 算法首先预处理模式字符串 预处理阶段创建三个表 SHIFT 表 HASH 表和 PREFIX 表 SHIFT 表用于在扫描文本字符串时根据读取的字符串确定可 跳过的字符数 HASH 表用于存储多个模式字符块的 HASH 值 PREFIX 表用于 存储第一个字符串和第一个字符哈希值 WM 算法的主要过程匹配 每个扫描 B 字符 1m mTBT 1 扫描文本的末 B 位通过 hash function 函数计算 1m mTBT 其哈希值 h 2 检查 SHIFT 表 如果 SHIFT h 0 文本指针向右 SHIFT h 位 执 行 1 SHIFT 3 0 执行 3 3 计算前一个 m 位的当前位置和前一个 m 1 前缀的哈希值 记录为 text prefix 4 对于每个 p HASH h pHASH h 1 看是否 PREFIX p text prefix 如果它们相等 则让真实模式字符串按照字符进行匹配 WM 算法的总时间复杂度为 O M O BN m O mp O BN m WM 算法平均时 间复杂度 O BN m 其中 B 是块字符的长度 N 是文本的长度 m 是模式字符串 的最短长度 O M 是计算哈希值所需的时间 O mp 是所有非零移动所需的 时间 3 5 本章小结 本章对网络安全检测系统的需求背景进行了简要介绍 分析了系统的整体 功能 对子功能进行了用例描述 最后描述了系统的性能 易用性 接口等非 功能性的要求 并对本文采用的模式匹配算法进行了说明 精品文档 19欢迎下载 第 4 章 企业计算机网络安全系统的设计 4 1 系统拓扑结构和软件逻辑构成 4 1 1 系统整体拓扑结构 C S 模式是一种两层结构的系统 第一层是在客户端系统中 结合业务 逻辑 第二层是网络与数据库服务器 该模型主要包括客户应用 服务器管理 和中间件三部分 首先 互动是固有的优势 在 C S 中 客户端有一套完 整的应用程序 错误的提示 在线帮助等功能非常强大 可以自由切换子程序 其次 该模型提供了更安全的访问模式 由于 C S 配置是点对点结构 因 此适用于局域网 因此可以确保安全性 在实现中 我们使用 C S 架构的网 络安全检测系统 其主要原因是考虑小规模应用 实时要求 系统使用的结构 如图 4 1 所示 图 4 1 安全监测系统网络拓扑 4 1 2 系统整体拓扑结构 软件系统由部署在受控机器上的安全检测代理和部署在安全检测服务器上 的主程序和系统数据库组成 主要控制方案负责政策管理和管理控制要求 安全检测代理读取并执行管理策略响应控制终端程序管理控制请求 系统数据 库用于存储策略和审计信息 47 系统软件的逻辑结构如图 4 2 所示 安全监测代理 被控主机 主控端软件 安全监测服 务器 户籍信息管理系统 管理策略读取 管理策略下发 管理控制请求 求 管理控制请求响应 精品文档 20欢迎下载 图 4 2 系统软件逻辑构成 4 2 系统功能设计 系统的整体结构分为六个管理模块 用户身份管理模块 实时监控模块 硬件对象管理模块 软件对象管理模块 网络对象管理模块和文件对象管理模 块 如图 4 3 所示 图 4 3 系统整体功能框图 4 2 1 用户身份管理功能设计 用户身份主要是完成系统用户的添加 删除等功能 系统使用基于角色的 访问控制模型来实现用户身份管理 主要操作包括新建角色和删除角色 选择 角色时 可以修改角色 修改角色名称和角色描述 和控制规则设置 其中 控制规则由选定的策略开发 新策略的作用应写入数据库和安全检测代理应用 的新策略 图 4 4 显示了用户角色的新建处理流程 网络安全监测系统 实 时 监 控 模 块 硬 件 对 象 管 理 模 块 软 件 对 象 管 理 模 块 网 络 对 象 管 理 模 块 用 户 身 份 管 理 模 块 文 件 对 象 管 理 模 块 是一级管理吗 注册登录 输入角色名制 定角色策略 提示 没有权限 N Y 数据库角色表 中插入新角色 开 始 审计信息上报 用户信息 精品文档 21欢迎下载 图 4 4 角色新建逻辑处理流程 在创建角色的过程中 首先确定管理员权限 有权重名检测 如果没有 重复的名称 请在数据库中创建一个新角色 填写角色名称和策略选项 插入 成功返回处理结果 否则插入失败 4 2 2 实时监控功能设计 实时监控主要包括主机的进程列表的在线控制 实时桌面和文件目录的查 看和记录 设计思路是使用 UDP 部署控制主机检测代理发送监控命令 检测代 理程序接收控制指令 根据执行指令分析实现本地列表读取 实时桌面截图 文件目录信息读取操作 并返回相应的信息 服务器获取进程快照 如图 4 5 所示 图 4 5 读取被控主机进程信息 Y N 提示 插入失败 结束 插入是否成功 是否收到 UDP 包 UDP 发送进程监控指令 解析数据包 发送指令次数递增 Y N 显示进程信息 时间变量自增 开 始 结束 初始化等待时间 等待时间是否 大于阈值 N Y 等待时间是否 大于阈值 Y N 暂存进程信息 传输故障提示 精品文档 22欢迎下载 安全检测代理的进程监控处理逻辑如图 4 6 所示 实时监控文件目录采集和桌面快照的逻辑处理过程和进程监控类似于检测 代理 读取相应的信息返回服务器返回相应的查询结果 最后 通过安全检测 服务器在管理员的用户界面上显示输出 图 4 6 安全检测代理的进程监控流程 4 2 3 软件对象管理功能设计 软件对象管理的主要功能是安全检测服务器将软件黑白列表策略发送给受控 主机 政策实施安全检查局禁止黑名单软件在主机上执行 服务器处理流程 如图 4 7 所示 获取进行信息 和列表指令 获取进程信息 列表结构 日志记录 N Y Y N 发送进程信息 列表结构 发送次数自增 结束 是否收到主控 端确认信息 开 始 传送次数是都 大于阀值 选择被控主机 选择软件黑白 名单 开 始 精品文档 23欢迎下载 图 4 7 软件黑白名单设置流程 设置软件黑名单后 软件向检测代理发送黑白列表更新通知 接收检测代 理通知数据库 读取新软件黑名单和白名单 并按照新功能执行软件对象控制 策略名单 安全检测代理软件检测过程如下 1 获取软件黑名单和白名单 2 采集系统的第一个过程 3 确定进程是否在软件黑名单中 是否杀死进程 否则转到下一步 4 确定是否完成该过程 下一步是获取下一个系统进程 5 等待系统创建过程 如果系统创建一个新进程来确定进程是否在软件黑 名单中 如果在禁止创建 或者继续等待 过程如图 4 8 所示 提示操作失败 Y N 打开数据库软 件黑白名单表 修改添加记录 结束 更新记录是否 成功 通知监测代理 获取软件黑名单 获取系统第一 个运行进程 等待系统创建进程 开 始 进程是否在软 件黑名单中 Y N 结束进程 进程获取完 Y N 获取下一系统进程 是否创建进程 N 精品文档 24欢迎下载 图 4 8 软件运行控制处理流程 4 2 4 硬件对象管理功能设计 硬件对象管理主要完成收集主机的硬件列表 硬件设备更改的警告和外围 设备的信息采集 当安全检测服务器获得受控主机的硬件列表的处理流程时 选择指定主机 数据库查询控制主机硬件清单信息 并将其显示在屏幕上 处理过程如图 4 9 所示 图 4 9 安全检测硬件信息查询流程 为了确保安全检测服务器能够读取主机硬件清单表 安全检查代理必须定 期检查机器的硬件清单