目 录
第一章 绪论.................................................................................................................. 2
1.1 网络安全背景知识 .............................................................................. 2 1.2 网络安全的概念和目标 ...................................................................... 2 1.3 网络安全策略 ...................................................................................... 3 1.4 本论文的主要工作简介 ...................................................................... 4
第二章 中小型公司网络安全的威胁及需求.............................................................. 5
2.1中小型公司网络系统安全分析 ........................................................... 5 2.2物理层安全风险 ................................................................................... 5 2.3网络层安全风险 ................................................................................... 5 2.4系统层安全风险 ................................................................................... 5 2.5 病毒的安全风险 .................................................................................. 6 2.6 数据传输的安全风险 .......................................................................... 6 2.7 管理的安全风险 .................................................................................. 6
第三章 网络安全的方案设计...................................................................................... 8
3.1总体设计方案 ....................................................................................... 8 3.2中小型公司网络安全系统设计 ........................................................... 8 3.2.1安全体系结构网络 ............................................................................ 8 3.2.2安全体系层次模型 ............................................................................ 8 3.2.3安全体系设计 .................................................................................... 9
第四章 安全产品的配置与应用................................................................................ 11
4.1防病毒及特洛伊木马软件 ................................................................. 11 4.2动态口令身份认证方案 ..................................................................... 11 4.4访问控制:防火墙系统 ..................................................................... 13 4.5入侵检测系统 ..................................................................................... 15 4.6漏洞扫描系统 ..................................................................................... 16
第五章 安全方案测试................................................................................................ 18
5.1 安全管理机构的建设原则 ................................................................ 18 5.2 网络安全方案测试 ............................................................................ 18 5.3 展望 .................................................................................................... 18
第一章 绪论
1.1 网络安全背景知识
以工Internet为代表的信息网络技术应用正日益普及和广泛,应用领域从传
统小型业务系统逐渐向大型关键业务系统扩展,典型的例如党政部门信息系统、金融业务系统、企业商务系统等。网络安全已经成为影响网络效能重要的问题,而工Internet所具有的开放性、自由性和国际性在增加应用自由度的时候,对安全提出了更高级的要求。一般来说,网络安全由信息安全和控制安全两部分组成。信息安全指信息的完整性、可用性、保密性和可靠性;控制安全则指身份认证、不可否认性、授权和访问控制。互联网的开放性、分散性和交互性特征为信息交流、信息共享、信息服务创造了理想空间,网络技术迅速的发展和广泛的应用,为人类社会进步提供了巨大推动力。然而,正是由于互联网的特性,产生了信息污染、信息泄漏、信息不易受控等诸多安全问题。目前,我国网络安全存在的主要问题有:
1.计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心数据看,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。
2.电脑黑客活动己形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入。
3.信息基础设施面临网络安全的挑战。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。
1.2 网络安全的概念和目标
国际标准化组织(工S0)对计算机系统安全的定义是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。网络安全基本上是一个实践性的技术领域,它涉及到多种技术领域,网络信息安全与保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可用性、不可抵赖性等方面。网络安全的意义,就在于资料、信赖关系和网络的传输能力与端系统的处理能力三个要素的保护,保证这三者能为所适合的用户服务。而且,只为合适的用户服务。与此同时,由于计算机网络自身存在的局限性和信息系统的脆弱性,使得计算机网络系统上的硬件资源,通信资源,软件及信息资源等因可预见或不可预见的甚至是恶意的原因而遭到破坏,更改、泄露或功能失效,使信息系统处于异常状态,甚至引起系统的崩溃瘫痪,造成巨大的经济损失。在这样的形势下,以保护网络中的信息免受各种攻击为根本目的网络安全变得越来越重要。计算机网络改变着人们赖以行动的社会信息结构,改变着人们获取利用信息的方式,从而引起人类生活方式的全面改观。网络安全威胁一般分为外部闯入、内部渗透和不当行为三种类
型。外部闯入是指未经授权计算机系统用户的入侵;内部突破是指己授权的计算机系统用户访问未经授权的数据;不正当行为是指用户虽经授权,但对授权数据和资源的使用不合法或滥用授权。网络自身的缺陷、开放性以及黑客的攻击是造成网络不安全的主要原因。由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息,因而计算机网络的安全性可以定义为:保障网络服务的可用性和网络信息的完整性。前者要求网络向所有用户有选择地随时提供各自应得到的网络服务,后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。可见建立安全的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络服务的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响[2]。一个安全的计算机网络应该具有以下几个特点:
(1)可靠性是网络系统安全最基本的要求。可靠性主要是指网络系统硬件和软件无故障运行的性能。
(2)可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,能够保证授权用户使用。
(3) 保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容。
(4)完整性是指网络信息未经授权不能进行改变的特性,即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,保也称做不可否认性,主要用于网络信息的交换过程,保证信息交换的参与者都不可能否认或抵赖曾进行的操作,类似于在发文或收文过程中的签名和签收的过程。
从技术角度看,网络安全的内容大体包括4个方面:
1.网络实体安全 2.软件安全 3.网络数据安全 4.网络安全管理 由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全保护方案,以保证算机网络自身的安全性为目标。
1.3 网络安全策略
网络安全策略目的是决定一个计算机网络的组织结构怎样来保护自己的网
络及其信息,一般来说,安全策略包括两个部分:一个总体的策略和具体的规则。总体的策略用于阐明公司安全政策的总体思想,而具体的规则用于说明什么活动是被允许的,什么活动是被禁止的。1.网络安全策略的等级网络安全策略可分为以下4个等级:(1)不把内部网络和外部网络相连,因此一切都被禁止。(2)除那些被明确允许之外,一切都被禁止。(3)除那些被明确禁止之外,一切都被允许。(4)一切都被允许,当然也包括那些本来被禁止的。可以根据实际情况,在这4个等级之间找出符合自己的安全策略。当系统自身的情况发生变化时,必须注意及时修改相应的安全策略。
1.4 本论文的主要工作简介
本文结合中小型网络安全系统建设的实例,重点研究计算机网络的安全问题,对不同的网络安全方案进行优化、集中和协同,从而尽可能的使本网络安全系统保持可扩展性、健壮性,使网络安全系统真正获得较好的结果。主要研究工作有:
1. 查找和收集网络安全相关的资料,剖析网络攻击的手段,分析影响网络安全的因素。
2.详细阐述网络安全系统设计的目标和总体规划。
3.详细分析中小型公司物理层安全风险、网络层安全风险、系统层安全风险、病毒的安全风险、数据传输的安全风险、管理的安全风险,提出了具体的需求和设计依据。4.根据中小型公司网络现状、中小型公司的需求、网络安全的风险分析及网络安全系统设计目标和总体规划,设计了中小型网络安全系统方案,运用先进的网络安全技术和网络安全产品对方案进行了实现,探讨了今后网络安全系统的发展方向。
第二章 中小型公司网络安全的威胁及需求
2.1中小型公司网络系统安全分析
正确的风险分析是保证网络环境安全的非常重要的一环,一个性能优良的安全系统结构和安全系统平台,能够以低的安全代价换得高的安全强度。下面对中小型公司的具体状况从物理层安全、网络层安全、系统层安全、数据传输安全、病毒的安全威胁[4]及管理安全进行分类描述网络系统的安全风险。
2.2物理层安全风险
因为网络物理层安全是整个网络系统安全的前提。一般的物理安全风险主要有:1.电源故障造成设备断电以至操作系统引导失败或数据库信息丢失。2.地震、水灾、火灾等环境事故造成整个系统毁灭。3.电磁辐射可能造成数据信息被窃取或偷阅。4.不能保证几个不同机密程度网络的物理隔离。针对中小型公司物理层安全是指由于网络系统中大量地使用了网络设备如移动设备、服务器如PC服务器、交换机,那么这些设备的自身安全性也会直接影响信息系统和各种网络应用的正常运转。物理安全的威胁可以直接造成设备的损坏,系统和网络的不可用,数据的直接损坏或丢失等等[5]。为了保证中小型公司系统的物理安全,首先要保证系统满足相应的国家标准,同时对重要的网络设备采用UPS不间断稳压电源,对重要的设备如数据库服务器、中心交换机等采用双机热备份,对安全计算机电磁泄漏发射距离不符合安全距离的应采取电磁泄漏发射防护措施,对重要的通讯线路采用备份等等。
2.3网络层安全风险
1、网络边界的安全风险分析:该中小型公司校园网络由教学区网络、计算机机房网络和学校资源服务器群组成。由于存在外联服务的要求应在网络出口处安装防火墙对访问加以控制[6]。2、由于中小型公司中小型公司校园网络中大量使用了网络设备,如交换机、路由器等。使得这些设备的自身安全性也会直接关系的学校业务系统和各种网络应用的正常运转。3、网络传输的安全风险分析:中小型公司中小型公司校园网络与其他院校的远程传输安全的威胁来自如下两个方面:内部业务数据明文传送带来的威胁;线路窃听。
2.4系统层安全风险
所谓系统安全通常是指网络操作系统、应用系统的安全。系统级的安全风险