网络安全系统中若干问题研究与实现

1、网络安全系统中若干问题研究与实现1第一章 网络的发展1.1.1 互联网的发展 APRPANET出于军事目的来开发的，但在和平时期，这一网络却极大地方便了各部门的研究人员在该网络上进行信息及技术数据交流。80年代中期，美国国家科学基金会（National Science Fundation）又建立了一个更加庞大的网络架构NSFnet。 从1992年起，由于网络技术已日趋成熟，NSF为了推进国际互联网的商业化进程，开始积极鼓励和资助各类商业实体建立主干网。从此互联网深入各种领域，走入人们的生活。 21.1.2我国网络的发展状况 1987年9月，钱天白教授发出我国第一封电子邮件，揭开了中国人使用In

2、ternet的序幕。1990年10月，由美国国防部ARPANET网络中心DDN-NIC负责全球互联网络域名和IP地址的分配）注册登记了我国的顶级域名CN，并且从此开通了使用中国顶级域名CN的国际电子邮件服务。我国的Internet(因特网)建设从90年代初的科技网(CSTNET )、教育网(CERNET)开始起步，现已发展到商业网一邮电网和金桥网(ChinaNet和ChinaGBN)，逐步形成了遍布全国的几大网络。这标志着我国己跨入Internet全面发展的新时期。 31.1.3网络的功能 1.实现管理网络化，完成管理信息的采集、处理、查询、统计、分析 2.保证网络系统的开放性、可持续发展性，

3、便于以后集成视频点播、远程教学等功能。3.网络系统必须安全可靠，保证数据的安全运行，并能满足科学技术不断发展的需要。4.以INTERNET的方式来组织网内信息，实现真正意义上的数据共享、信息共享 41.2网络安全提出 由于几乎所有的Internet协议都没有考虑安全机制。使得Internet的安全问题显得越来越突出。随着Internet的全球普及和商业化，用户很多非常私人化，其自身利益相关的信息也通过Internet传输，而且越来越多的信息放在网上，而不是完全免费的信息共享，所以其安全性也成为人们日趋关注的问题。 5第2章 网络安全 2.1网络安全概念和发展 1、网络安全发展21世纪全世界的计

4、算机都将通过Internet联到一起，随着Internet的发展，网络丰富的信息资源给用户带来了极大的方便，但同时也给上网用户带来了安全问题。 2、网络安全的概念国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露 62.2常见网络安全问题2.2.1网络的漏洞 I、缺乏防范措施 2、后门 3、特洛伊木马 4、网络传输与网络分析器 2.2.2服务器的漏洞 1、错误的匿名ftp配置 2、错误的httpd例程 72.2.3系统的漏洞 1、口令问题 2、访问权限不严格 3、过度的信任 2.2

5、.4防火墙的漏洞 “防火墙”型系统在技术原理上对来自内部网络系统的安全威胁不具备防范作用，并且常常需要有特殊的相对较为封闭的网络拓扑结构来支持，因而对网络安全功能的加强往往是以网络服务的灵活性，多样性和开放性为代价的，并且需要较大的网络管理开销。82.3网络安全策略 2.3.1访问控制与鉴别 1.口令与帐户 2.选择性访问控制 3.鉴别 2.3.2加密 1.对称密钥加密体制 2.RSA(公用密钥/私有密钥) 2.3.3防火墙 91.Internet防火墙是路由器、堡垒主机、或任何提供网络安全的设备的组合，是安全策略的一个部分。2.防火墙的体系结构筛选路由器 、双宿主主机防火墙 、屏蔽主机体系结

6、构 、被屏蔽子网 102.3.4入侵检测系统（IDS） IDS是一种网络安全系统，当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。11第3章 网络安全经典安全理论及技术 3.1网络安全经典理论及技术 1、网络病毒的防御 在防治网络病毒方面，接受不明电子邮件，下载软件如：.zip .exe 等文件过程中应特别加以注意。都有潜伏病毒的可能性。 2、web服务器安全预防措施 服务器上开的帐号 、去掉一些绝对不用的shell等之类解释器 、服务器上系统文件的权限和属性 3、在网络操作系统安全预防措施 安装网络OS补丁程序

7、 、去掉一些无关的应用124、安装网络OS补丁程序 、利用防火墙增强网络的安全性限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近网络系统；限定用户访问特殊站点；为监视局域网安全提供方便。5、VLAN技术应用 解决方法是限制以太网上的节点，这就需要对网络进行物理分段。6、虚拟专用网技术 （VPN）利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网 13第4章 网络安全最新理论的研究 4.1网络物理安全新理论 1、针对建筑物防雷 2、网络设备电源防雷 3、信号端口防雷 144.2网络安全新技术应用1、MAC地址绑定 MAC地址绑定在政务网或园区网中应用比较多，将用

8、户名与机器网卡的MAC地址绑定起来，限制用户只能在固定的机器上上网，主要是为了安全和防止帐号盗用。 2、PVLAN（Private VLAN）技术 PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。3、采用IDS新技术 数据采集协同 、数据分析协同 、响应协同 15第5章 南京信息学院校园网网络安全设计与实现 5.1南京信息学院校园网简介 经过五十多年来的发展，南京信息学院校园网已初具规模，以三号教学楼中心机房为中心，与各教学楼、办公楼、实验楼、行政楼、服务区辅房及食堂之间均有千兆光纤连接，基

9、本覆盖了现有的教学、办公、实验实习和生活服务场所。 16175.2南京信息学院网络安全的需求分析 （1）校园网的敏感性数据及其分布情况。 （2）网络用户的安全级别。 （3）可能存在的安全漏洞。 （4）网络设备的安全功能要求。 （5）网络系统软件的安全评估。 （6）应用系统的安全要求。 （7）防火墙技术方案。 （8）安全软件系统的评估。 （9）网络遵循的安全规范和达到的安全级别 185.3总体物理安全设计与实现总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等

10、，因此要尽量避免网络的物理安全风险 195.4信息中心网络安全设计与实现 1、网络安全基础设施 校园网中最基本的信息服务系统的安全，一旦被非法进入，存在着内容被窃取、泄密、篡改、损坏等巨大风险，属于安全等级中最严重的事件。防火墙是校园网信息安全保障的核心点IDS系统是重要的网络安全诊断工具，可实时监控网络中的异常情况、跟踪安全事件的新动向、统计分析安全历史记录等。 2、垃圾邮件过滤系统和防病毒邮件网关 南京信息学院为全校教师和学生提供一个以域的邮箱账号，目前用户数规模高达近6000。对于大量泛滥的广告邮件，采用基于行为分析的垃圾邮件过滤系统，即通过识别垃圾邮件的行为（如分析邮件路由逻辑，反向验

11、证IP地址域，辨别仿冒邮件地址等行为特征）进行过滤。 203、桌面防病毒系统 在校园网采用了Symantec Antivirus企业版的解决方案，对校园网的桌面防病毒系统进行集中管理，实现自动从服务器获取新的病毒定义，实时具备最新的防护能力，无须用户再干预。对移动的用户，可通过校内代理以手动方式从服务器获得最新的病毒定义。 4、漏洞补丁管理和发布系统 校园网内以Windows系统为主，而Windows系统漏洞的危害较严重，在校园网内专门设置了Windows系统漏洞补丁管理和发布服务器，用于对校园内的Windows系统进行统一管理，从本地服务器下载更新补丁程序。 5、更重要的是网络安全管理的规范

12、化和拥有专业化的安全管理团队。215.5实验中心网络安全设计与实现 1、在核心层采用1台锐捷网络STAR-S6810万兆核心交换机，放在南楼和北楼实验楼网络中心，通过千兆链路链接到学校网络中心的核心交换机2、网络的汇聚层采用采用1台STAR- RG-S6806高性能交换机，放置在信息点非常密集的南楼各个楼层（第一层、第二层、第三层、第四、五、六层、第七、八层等各放置一台S2150G交换机）。在北楼放置1台S RG-S6806；所有汇聚层的交换机均通过千兆链路上联至核心交换机。楼层接入层交换机通过星型方式接入汇聚层交换机 。 2223 高安全 硬件支持IP、MAC、端口绑定：防止用户更改、盗用I

13、P地址、MAC地址,同时防止非法用户入侵网络，蔽大部分从内部网发起的DoS/DDoS攻击。 严格的接入控制：采用业界最严格的帐号与IP、MAC、交换机IP、端口、VLAN六元素复合绑定，实现最严格的安全控制，同时可以准确定位、快速查找用户； 24 专家级的ACL防病毒、网络攻击：通过基于MAC流、IP流、TUP/UDP数据流、时间等专家级的ACL访问控制列表，实现对冲击波、红色代码等类型网络病毒的防范和有效的限制使用网络资源。 IGMP源端口、源IP检查：有效地杜绝非法的组播源播放非法的组播信息。 可靠的冗余备份：核心交换机、汇聚交换机提供802.1W、802.1S链路级冗余、VRRP路由级冗

14、余以及冗余引擎、冗余电源模块、冗余风扇等关键部件的冗余备份，保证网络系统的高可靠性；25 高可靠 设备级可靠性：关键网络设备采用冗余双电源、双引擎来保证设备的高度可靠性。 链路级可靠性：核心层设备到汇聚层采用双链路聚合技术、802.1w/802.1s生存树协议来实现链路的冗余备份和负载均衡。 路由级可靠性：核心设备和汇聚设备均支持虚拟路由冗余协议（VRRP）、OSPF路由协议来保证多链路、多核心间的负载均衡和冗余备份。 265.6财务处网络安全设计与实现 就对财务处进行了PVLAN的应用，这样保证接入网络的数据通信的安全性就会更有效，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLA

15、N和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。 27案例2 电子商务安全一、电子商务安全的现状及需求 1.信息的截获和窃取。如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过的网关和路由器上截获数据，获取传输的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推测出有用信息，如消费者的银行账号、密码以及企业的商业机密等。 2.信息的篡改。当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中

16、途修改，并发往目的地，从而破坏信息的完整性。283.信息假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户。信息假冒主要有两种方式，一是伪造大量用户，发电子邮件，虚开网站和商店，给用户发电子邮件，收订货单，或者发送大量电子邮件，耗尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应，或窃取商家的商品信息和用户信用等；另外一种为假冒他人身份，如冒充领导发布命令、调阅密件，冒充他人消费、栽赃，冒充主机欺骗合法主机及合法用户，冒充网络控制程序套取或修改使用权限、通行字、密钥等信息等。 4.交易抵赖。交易抵赖包括多个方面

17、，如发信者事后否认曾经发送过某条信息或内容，收信者事后否认曾经收到过某条消息或内容，购买者做了定货单不承认，商家卖出的商品因价格差而不承认原有的交易等。29 5电脑病毒问题电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助干网络传播得更快，动辄造成数百亿美元的经济损失。6. 黑客问题随着各种应用工具的传播，黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的黑手党男孩就没有受过什么专门训练，只是向网友下载了几个攻击软件并学会了如何使用，就在互联网上大干了一场 30电子商务

18、安全需求1.机密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术对传输的信息进行加密处理来实现。 312.完整性。电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、重复或信息传

19、送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息的数据摘要方式来获得 323.认证性。由于网络电子商务交易系统的特殊性，企业或个人的交易通常都是在虚拟的网络环境中进行，所以对个人或企业实体进行身份确认成了电子商务中十分重要的一环。对人或实体的身份进行鉴别，为身份的真实性提供保证，即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时，鉴