图4.5 IDS部署方案图
在中小型公司安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其它部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其它网络违规活动。当发现网络攻击或未授权访问时,入侵检测可以进行如下反应: (l)控制台报警。
(2)记录网络攻击事件。 (3)实时阻断网络连接。
(4)入侵检测可以过滤和监视TCP/工P协议。系统管理员通过配置入侵检测,可以按协议,源端口,目的端口,源工P/目的工P地址过滤。 (5)入侵检测还支持用户自定义的网络安全事件监视。
(6)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统,从而为网络安全提供有效的保障。
4.6漏洞扫描系统
网络设备和软件在设计开发过程中不可避免存在缺陷和漏洞,漏洞随着时间推移越来越多;攻击者也从传统上的黑客高手,变成初学者用自动程序来完成攻击,这些都导致黑客攻击越来越容易实现,威胁程度越来越高。
由于网络本身及应用系统的复杂性,网络管理员失去了对网络资源的精确控制。采用网络漏洞扫描器对存在的安全隐患进行检查,帮助管理员找出解决的方法。中小型公司内网网络的安全性决定了整个系统的安全性。在中小型公司内网高性能服务器处配置网络隐患扫描联动型产品。联动型适用于中小型公司内网这样的高端用户,联动型扫描系统包括扫描服务器和移动扫描仪。扫描服务器部署
于网络中心,高速高效且稳定的扫描防护整体网络;移动扫描仪使用灵活,可以跨越网段、穿透防火墙、主流IDS产品,多种主流联动协议Topsee、Opensec联动,与多种安全管理平台兼容,统一安全策略配置,保障全网安全。通过部署多级联动型产品实现榕基分布式整体安全扫描,网络管理人员可以方便的通过控制扫描器就可以实现对多级管辖区域的服务器进行统一和及时管理,实现对管辖区域服务器,网络设备等的安全性,以保证整体网络的安全性,整体可控性、整体安全资源共享。
网络人员使用联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。通过部署漏洞扫描的联动设备,保障中小型公司内网重要部门的网络安全的同时,提高每个部门的安全性就显得尤其重要。只有部门的安全得到保证的前提下,中小型公司内网才能够安全。我们对这些部门进行合理的规划,可以将这些部门根据统一的配置策略,给下属部门、网络管理应用服务系统配置网络联动扫描系统来保证各个部门的安全性。这样就可以很方便的管理信息点多、网络环境较固定、与中小型公司的业务应用紧密相关的内网中。联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络移动式扫描仪。移动式扫描仪手持式设计,使用简单、灵活,携带方便。随着网络规模的逐步庞大、复杂,各个网络之间存在着防火墙、交换机等过滤机制的存在,隐患扫描发送的数据包大部分将被这些设备过滤,降低了扫描的时效性和准确性。针对这种分布式的复杂网络,移动式扫描仪能够充分发挥自身可移动的优势,能够很好的适应这种分布式网络扫描,移动扫描,随时随处保护网络安全。
图4.6 漏洞扫描系统部署方案
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现防火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
第五章 安全方案测试
5.1 安全管理机构的建设原则
单位安全网内网系统安全具有高度的敏感性和特殊性,通过设立专门的主管机关强制性执行上述国家相关法规来进行管理。信息安全管理机构的职能建设遵照从上至下的垂直管理原则,即:上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则:下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略;信息系统的安全管理机构,不隶属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。
能建设遵照从上至下的垂直管理原则,即:上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则:下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略;信息系统的安全管理机构,不隶属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。
5.2 网络安全方案测试
? 随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。鉴于国家和各单位领导的重视,涉及信息安全的经费逐年增加,但是信息安全并不是在市场上所有安全产品的堆叠,因为这种堆叠不仅会在经济造成极大的浪费、在人力上造成非常大浪费,更重要的是它没有达到防护的效果,因此完善的计算机网络安全方案就显得十分重要。一个特定的系统网络安全方案,应建立在对网络风险分析的基础上,结合系统实际的应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固定为一个模式,用这个模式去套所有的网络系统。 本系统通过网络的连通性测试、各应用系统功能的实现测试、网络管理功能的实现测试、实际数据传输的测试均达到中小型网络管理的需求
5.3 展望
本文实际上重点讨论了对非授权用户非法访问网络信息的保护方法,这是和外界物理隔离的保密网络现阶段遇到的最为主要问题。系统管理人员应该清楚在自己的系统上所注册的合法用户究竟都有哪些;他们各自的权限又在哪儿。其次详细讨论了针对计算机操作系统普遍存在的安全漏洞对用户计算机的威胁,以及采取哪些防护手段。
由于时间、精力的有限以及技术方面的不足,本文还存在着许多需要进一步加以完善的工作:
1.本文做的工作只是对中小型公司网络安全系统中的几个模块进行了详细的分析和设计,而校园网络安全是校园网很重要部分,它包含很多的内容,因此还有大量应用需要开发。
2.本文对方案具体实施效果没提及,对于这方面的应用要进行深入研究。
3.在该方案开发完成后需要和所有其它的应用系统整合,这样才能满足安全统建设的需求。
4.虽然给出了方案的设计,但其合理性和适用性还有待研究。
参考文献:
[1] 孙立民, 韩慧莲. 入侵检测技术综述[J]. 机械管理开发, 2007,(01)
[2] 薛开平, 洪佩琳, 李津生. 防火墙与入侵检测系统的自动协同[J]. 安徽电子信息职业技术学院学报, 2005,(02)
[3] 鹿建银. 认识入侵检测系统IDS[J]. 消费导刊, 2008,(09)
[4] 冯景林. 网络防火墙的安全技术[J]. 科技信息(科学教研), 2007,(13)
[5] 张徐娟, 李建民. 防火墙与入侵检测系统结合的安全模型设计[J]. 计算机与现代化, 2006,(07)
[6] 那罡. 入侵检测系统未“死”[J]. 中国计算机用户, 2006,(36) [7] 金雪花. 浅析网络安全技术[J]. 中国科技信息, 2007,(05) [8] 科技辞典[J]. 天津科技, 2005,(03)
[9] 梁羽. 基于NIDS的立体防御系统方案设计与探讨[J]. 民营科技, 2008,(05) [10] 张琳, 黄仙姣. 浅谈网络安全技术[J]. 电脑知识与技术(学术交流), 2006,(11) 导师:陈永锋 导师单位:西安建筑科技大学 学位授予单位:西安建筑科技大学
[11] 刘佳.基于GPS技术的矿山排土调度系统研究[D]. 中国优秀硕士学位论文全文数据库,2009,(10)
[12] 延秀娟.基于面部特征的矿山井下人员身份验证技术研究[D]. 中国优秀硕士学位论文全文数据库,2009,(10)
[13] 杨桦.矿业权评估系统的研究与开发[D]. 中国优秀硕士学位论文全文数据库,2009,(10) [14] 王明虎.基于信息网格的决策支持系统研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)
[15] 刘文芳.供应链管理中合作伙伴关系的研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)
[16] 王文东.陆上管线失效概率评估与软件系统研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)
[17] 吴云峰.基于Web Services的离散型企业订单管理系统的研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)
[18] 桑国珍.基于数据仓库技术的客户关系管理系统研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)
[19] 刘艳昌.基于协议分析的网络入侵检测技术研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2006,(09)
[20] 刘琦.基于GIS技术的供应链管理模式研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2006,(09)