目前,随着网络时代的飞速发展,网络安全问题也日益突出,如何在开放网络环境中保证数据和系统的安全性已经成为从多人关心的问题。
本论文重点以构建网络安全防御系统的方案设计和实现过程,在本文中主要以所设计的网络安全防御系统网络拓扑结构图,及采用的各种安全技术的具体细节。“安全”从来就是一个相对概念,不存在绝对安全,所以必须未雨绸缪、居安思危;“威胁”一直便是一个动态过程,不可能根除威胁,所以唯有积极防御、有效应对。根据分析设计了包括物理防护、网络防护和数据防护的防御系统。设计系统包括物理防护、网络防护和数据防护。网络防护的主要目的是隔离、检测和认证。数据防护包括移动数据管理、操作系统安全和传输加密。
关键词: 校园网络、安全、防火墙、防御系统
目 录
摘 要I
目 录II
引 言1
第1章 校园网络安全技术概述3
1.1 校园网络技术发展3
1.2 校园网络安全技术介绍4
1.2.1密码学4
1.2.2访问控制4
1.2.3身份认证5
1.2.4安全监控5
1.2.5安全漏洞检测技术5
1.2.6防火墙6
1.2.7反病毒技术6
第2章 校园网络安全防御系统7
2.1 防火墙系统7
2.1.1防火墙及其功能7
2.1.2防火墙体系结构与实现模型7
2.2 校园网数据库管理系统8
2.3 数据备份与恢复系统9
2.4 身份识别系统10
2.4.1身份识别系统分类11
2.4.2身份识别系统优点11
2.5 访问控制功能12
2.6 上网行为管理12
2.7 入侵检测系统13
2.7.1入侵系统组成14
2.7.2入侵系统功能14
第3章 校园网络安全防御系统的设计15
3.1 安全分析15
3.1.1系统的安全分析15
3.1.2内部工作网络系统平台安全分析16
3.2 设计主要思路16
3.2.1 物理防护16
3.2.2 网络防护16
3.2.3 数据防护17
3.3 设计方案19
3.3.1 方案设计的基本原则19
3.3.2 方案设计结构20
第4章 网络安全防御系统的实现21
4.1 物理防护的实现21
4.1.1 制定完善严格的管理制度21
4.1.2 建立数据备份制度22
4.2 网络防护的实现22
4.2.1 隔离的实现——防火墙Cisco PIX22
4.2.2 检测的实现——安装JUMP 入侵检测系统25
4.3 数据防护的实现30
4.3.1 移动数据防护的实现30
4.3.2 操作系统的防护30
第5章 网络安全防御系统的测试32
5.1 测试32
5.1.1 测试环境32
5.1.2 测试系统防御外部攻击能力32
5.1.2 测试系统防御内部攻击能力32
5.2 小结32
总 结33
致 谢34
参考文献35
引 言
随着时间的发展,人类步入信息社会,信息产业成为全球经济发展的主导产业,计算机科学与技术在信息产业中占据了重要的地位。随着互联网技术的普及和推广,网络技术更是信息社会发展的推动力,人们在日常学习、生活和工作中都越来越依赖于网络,因此关于信息技术、信息安全技术、网络安全技术的发展成为越来越重要的学科。
互联网技术的发展改变了人们的生活,信息安全的内涵已发生了根本变化。安全已从一般性的安全防卫,变成了一种非常普通的安全防范;从一种研究型的学科,变成了无处不在,影响人们学习、生活和工作的安全技术。技术的普及也推动了社会对人才的需求,因此建立一套完整的网络安全课程教学体系,提供体系化的安全专业人才培养计划,培养一批精通安全技术的专业人才队伍,对目前高校计算机网络安全方向专业人才培养来说,显得尤为重要。
校园网络工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
目前,网络安全设施配备不够,学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善。学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题[1]。
综上叙述校园网络安全现状,随着信息时代的急速到来,网络安全威胁已经凸现并日益严峻。应对这一新的安全威胁,切实提高网络防御能力,确保打赢“网络防御战”,是校园必须担当的职责和使命。
第1章 校园网络安全技术概述
目前,计算机网络的广泛应用已经对经济、文化、教育、科技的发展产生了重要影响。许多重要的信息、资源都与网络相关。越来越多的政府部门和企业机构开始应用Internet,他们的信息共享程度与网上业务不断增加。与此同时,网络攻击和犯罪活动也日益猖獗。如何防止机密信息在网络中被泄露或窜改、如何有效地抵制和打击信息犯罪、保障网络与信息安全等,给人们提出了严峻的挑战。但在连结信息能力、流通能力提高的同时,基于网络连接的安全向题也目益突出:不论是外部网还是内部网的网络都会受到安全的问题。客观上,几乎没有一个网络能够免受安全的困扰。而安全又是网络发展的根本。因此。如何最大限度地减少或避免因信息泄漏、破坏所造成的经济损失。是摆在我们面前需要解决的一项具有重大战略意义的课题。
1.1校园网络技术发展
简单地说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护财产的需要,包括信息和物理设备(例如计算机本身)。
计算机网络安全之所以重要,其主要原因在于:
-
随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复杂、系统规模越来越大,特别是Internet的迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损。
-
人们对计算机系统的需求在不断扩大,这类需求在许失多方面都是不可逆转、不可替代的。
-
随着计算机系统的广泛应用,各类应用人员队伍迅速发展壮大,教育和培训却往往跟不上知识更新的需要,操作人员、编程人员和系统分析人员的失误和缺乏经验都会造成系统的安全功能不足。
-
计算机网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学。就计算机系统的应用而言,安全技术涉及计算机技术、通信技术、存取控制技术、检验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄漏技术等等,因此是一个非常复杂的综合问题,并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。
-
从认识论的高度看,人们往往首先关注对系统的需要、功能,然后才被动地从现象注意系统应用的安全问题。因此广泛存在着重应用轻安全、质量法律意识淡薄、计算机素质不高的普遍现象。计算机系统的安全是相对不安全而言的,许多危险、隐患和攻击都是隐藏的、潜在的、难以明确却又广泛存在的 。
1.2 校园网络安全技术介绍
1.2.1密码学
密码学是主要研究通信安全个保密的科学[2],他包括两个分支:密码编码学和密码分析学。密码编码学主要研究对信息进行变换,已保护信息在传递过程中不被敌方窃取、解读和利用的方法,而密码分析学则于密码编码学相反,它主要研究如何分析和破译密码。这两者之间既互相对应又互相促进。密码的基本思想是对机密信息进行伪装。一个密码系统完成如下伪装:加密者对需要进行伪装机密信息(明文)进行伪装进行变换(加密变换),得到另一种看起来似乎与原有信息不相关的表示(密文),如果合法者(接收者)获得了伪装后的信息,那么它可以通过事先约定的密钥,从得到的信息中分析到原有的机信息(解密变换),而如果不合法的用户(密码分析者)试图从这种伪装后的信息中分析得到原有的机密信息,那么,要么这种分析过程是不可能,要么代价过于巨大,以至于无法进行。
密码学不只局限于对数据进行简单的加密处理,而是包括加密、消息摘要、数字签名及密钥管理在内的所有涉及到密码学知识的技术。网络安全服务的实现离不开加密技术的支持,应用加密技术不仅可以提供信息的保密性和数据完整性,而且能够保证通信双方身份的真实性。
由于网络的出现以及发展,未来的密码学也必定发展迅速。例如网络签名,网上银行的安全,个人邮件信息的保护,都很需要密码学的支持,推动密码学的发展。
1.2.2 访问控制
访问控制是根据网络中主体和客体之间的访问授权关系,对访问过程做出限制,可分为自主访问控制和强制访问控制。自主访问控制主要基于主体及其身份来控制主体的活动,能够实施用户权限管理、访问属性(读、写、执行)管理等。强制访问控制则强调对每一主、客体进行密级划分,并采用敏感标识来标识主、客体的密级。
按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
访问控制的功能主要有以下:
● 防止非法的主体进入受保护的网络资源。
●允许合法用户访问受保护的网络资源。
● 防止合法的用户对受保护的网络资源进行非授权的访问。
访问控制的类型:访问控制可分为自主访问控制和强制访问控制两大类。
自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。
1.2.3 身份认证
身份认证主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
1.2.4 安全监控
安全监控技术主要是对入侵行为的及时发现和反应,利用入侵者留下的痕迹(试图登录的失败记录、异常网络流量)来有效地发现来自外部或内部的非法入侵; 同时能够对入侵做出及时的响应,包括断开非法连接、报警等措施。安全监控技术以探测与控制为主,起主动防御的作用。
安全监控通过实时监控网络或主机活动,监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计和跟踪,识别违反安全法规的行为,使用诱骗服务器记录黑客行为等功能,使管理员有效地监视、控制和评估网络或主机系统。
1.2.5 安全漏洞检测技术
安全漏洞检测技术是指利用已知的攻击手段对系统进行主动的弱点扫描,以求及时发现系统漏洞,同时给出漏洞报告,指导系统管理员采用系统软件升级或关闭相关服务等手段避免受到这些攻击。所以在攻击者入侵之前,能够帮助系统管理员主动对网络上的设备进行安全检测。
如我们在一些网站系统的漏洞,通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
网站漏洞检测是对你的网站进行全方位的扫描,检查你当前的网页是否有漏洞,如果有漏洞则需要马上进行修复,否则网页很容易受到网络的伤害甚至被黑客借助于网页的漏洞植入木马,那么后果将不堪设想,一但发现有漏洞就要马上修复,所以漏洞的检测是我们在校园网络安全中重要的技术。
1.2.6防火墙
防火墙(Firewall)是指在本地网络与外界网络之间的一道防御系统,是这一类防范措施总称。防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许“被同意”的人和数据进入你的网络,同时将“不被同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。互联网上的防火墙是一种非常有效的网络安全模型,通过它可以使企业内部局域网与Internet之间或者与其他外部网络互相隔离、限制网络互访,从而达到保护内部网络目的。
在计算机系统上,防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。另外在建筑学上,原有的材料和布置的变化,将使防火墙失去作用,随着时间的推移,一些经过阻燃处理的材料,其阻燃性也逐步丧失。在计算机系统上也是如此,计算机系统网络的变化,系统软硬件环境的变化,也将使防火墙失去作用,而随着时间的推移,防火墙原有的安全防护技术开始落后,防护功能也就慢慢地减弱了。它是根据访问安全策略对两个或者更多网络之间的通信进行限制的软件或硬件。
1.2.7反病毒技术
从反病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为:病毒预防技术、病毒检测技术及病毒清除技术。
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。 预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。
第2章 校园网络安全防御系统
在校园网中一般我们所应用的安全系统是非常重要的,包括防火墙系统、数据库的管理系统、数据的备份与恢复系统、身份识别系统等等。
2.1防火墙系统
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
2.1.1防火墙及其功能
防火墙(Firewall)是在网络之间执行控制策略的系统,它包括硬件和软件。在设计防火墙时,人们做了一个假设:防火墙保护的内部网络是“可信赖的网络”(trusted network)而外部网络是““可信赖的网络”(untrusted network)”。设置防火墙的目的是保护内部网络资源不被外部非授权的用户使用,防止内部受到外部非法用户的攻击。总的来说,防火墙的作用何体现在一下几个方面:过滤出入网络的数据,强化安全策略;对出入网络的访问行为进行管理和控制;对不安全的服务进行限制或拦截,尽可能不暴露对不安全的服务进行限制或拦截,尽可能不暴露内部网络;有效地记录通过防火墙的信息内容和活动。
2.1.2防火墙体系结构与实现模型
从组成结构来看,防火墙可通过一下几种方式构建:
(1)分组过滤路由器。这种结构可以是带有数据包过滤功能的路由器,也可以是基于主机的路由器。
(2)双宿主主机结构。给结构是围绕着至少具有两个网络接口的双宿主主机而构成的。这种主机分别连向内外部网络,并使网络的IP数据完全切断。该主机还可以与本身相连的若干网络之间的路由器。
(3)主机过滤结构。在该结构提供安全保护是主机仅仅与内部网连接;另外该结构还有一台单独的过滤路由器,通常由路由器封锁堡垒主机的特定端口,只允许一定数量的通信服务。
(4)子网过滤结构。由于主机过滤结构中堡垒主机易受攻击,所以该结构也就是在主机过滤结构中再加一层参数网络的安全机制,使得内部网与外部网之间有两层隔断。防火墙体系结构图如2.1。
添加图片注释,不超过 140 字(可选)
图2.1 防火墙
2.2校园网数据库管理系统
数据库管理(Database Manager)是有关建立、存储、修改和存取数据库中信息的技术[3],是指为保证数据库系统的正常运行和服务质量,有关人员须进行的技术管理工作。负责这些技术管理工作的个人或集体称为数据库管理员(DBA)。数据库管理的主要内容有:数据库的调优、数据库的重组、数据库的重构、数据库的安全管控、报错问题的分析和汇总和处理、数据库数据的日常备份. 数据库的建立:数据库的设计只是提供了数据的类型、逻辑结构、联系、约束和存储结构等有关数据的描述。这些描述称为数据模式:
1. 数据操作:DBMS提供数据操作语言DML(Data Manipulation Language),供用户实现对数据的追加、删除、更新、查询等操作。
2. 数据库的运行管理:数据库的运行管理功能是DBMS的运行控制、管理功能,包括多用户环境下的并发控制、安全性检查和存取限制控制、完整性检查和执行、运行日志的组织管理、事务的管理和自动恢复,即保证事务的原子性。这些功能保证了数据库系统的正常运行。
3. 数据组织、存储与管理:DBMS要分类组织、存储和管理各种数据,包括数据字典、用户数据、存取路径等,需确定以何种文件结构和存取方式在存储级上组织这些数据,如何实现数据之间的联系。数据组织和存储的基本目标是提高存储空间利用率,选择合适的存取方法提高存取效率。
4. 数据库的保护:数据库中的数据是信息社会的战略资源,随数据的保护至关重要。DBMS对数据库的保护通过4个方面来实现:数据库的恢复、数据库的并发控制、数据库的完整性控制、数据库安全性控制。DBMS的其他保护功能还有系统缓冲区的管理以及数据存储的某些自适应调节机制等。
5. 数据库的维护:这一部分包括数据库的数据载入、转换、转储、数据库的重组合重构以及性能监控等功能,这些功能分别由各个使用程序来完成。
6. 通信:DBMS具有与操作系统的联机处理、分时系统及远程作业输入的相关接口,负责处理数据的传送。对网络环境下的数据库系统,还应该包括DBMS与网络中其他软件系统的通信功能以及数据库之间的互操作功能。
2.3数据备份与恢复系统
-
备份及备份的原因 “备份”是数据的副本,用于在系统发生故障后还原和恢复数据。就是为了恢复数据而备份。当数据库出现了故障或被破坏时,以后可以利用备份进行数据库恢复。也可以通过备份,将数据库从一台服务器上复制到另一台服务器上。通过适当备份,可以从多种故障中恢复,包括:系统故障、用户错误(例如,误删除了某个表、某个数据)、硬件故障(磁盘驱动器损坏)自然灾害。
-
数据的恢复 数据恢复涉及两个关键问题:建立备份数据、利用这些备份数据实施数据库恢复。数据恢复最常用的技术是建立数据转储和利用日志文件。 (1)数据转储是数据库恢复中采用的基本技术。数据转储就是数据库管理员(DBA)定期的将整个数据库复制到其他存储介质(如磁带或非数据库所在的另外磁盘)上保存形成备用文件的过程。这些备用的数据库文件称为后备副本。当数据库遭到破坏后可以将后备副本重新装入,并重新执行自转储以后的所有更新事物。 (2)日志文件能够用来进行事务故障恢复、系统故障恢复,并能够协助后备副本进行介质故障恢复,当数据库文件毁坏后,可重新装入后备副本把数据库恢复到转储结束时刻的正确状态,再利用建立的日志文件,可以把已完成的事务进行重做处理。而对于故障发生时尚未完成的事物则进行撤销处理,这样不用运行程序就可以把数据库恢复到故障前某一时刻的正确状态。
-
恢复模式 (1)备份和还原操作是在“恢复模式”下进行的。恢复模式是一个数据库属性,它用于控制数据库备份和还原操作的基本行为,例如,恢复模式控制了将事务记录在日志中的方式、事务日志是否需要备份以及可用的还原操作。 (2)恢复模式的优点 简化了恢复计划。简化了备份和恢复过程。明确了系统操作要求之间的权衡。明确了可有性和恢复要求之间的权衡。这方便了我们在校园网络中数据的管理。
-
备份的分类 一般的备份有:完整备份、差异备份、日志备份、文件和文件组的备份。 (1)完整备份将备份整个数据库,包括事物日志部分(以便可以恢复这个备份)。就是通过海量转储形成的备份。其最大的优点是恢复数据库的操作简便,他只需要最近一次的备份恢复。完全备份所占的存储空间很大且备份的时间较长,只能在一个较长的时间间隔进行完全备份,其缺点是当根据最近的完全备份进行数据恢复时,完全备份之后对数据所作的任何修改都将无法恢复。当数据库较小、数据不很重要或数据操作频率较低时,可采用完全备份的策略进行数据备份和恢复。 (2)完全差异备份仅记录自上次完整备份后更改过的数据,其实就是增量 备份。完整差异备份比完整备份更小、更快,可以简化频繁的备份操作,减少数据丢失的风险。差异备份基于完整备份,因此,这样的完整备份称为“基准备份”。差异备份仅记录自基准备份后更改过的数据。 (3)事物日志备份中包括了前一个日志备份中没有的所有日志备份记录。只有在完整恢复模式和大容易日志恢复下才有事务日志备份。 (4)文件和文件组备份可以用了备份和还原数据库中的文件。使用文件备份用户还原损坏的文件。而不必还原数据库的其余部分,从而提高恢复速度[4],数据备份结构图如图2.2。
添加图片注释,不超过 140 字(可选)
图2.2数据备份结构图 2.4 身份识别系统 身份识别系统正是根据用户迫切的需求,推出的一款比传统的用户名+密码模式安全性更高的用户身份识别技术产品。 精算身份识别系统是一款针对个人身份识别的硬件设备,外型美观大方,型如普通U盘大小,使用方式简单,不用安装任何驱动,直接支持USB的热插拔使用。 精算身份识别系统主要是通过控制软件登录,来实现对数据安全性的保护。当用户把身份锁插入USB接口后即可配合传统的密码进行安全快速的登录。在传统的密码保护(软加密)基础上,为企业用户提供了比密码保护更方便、安全性更高的加密技术,与登录密码结合使用,起到双层保护的功能。 2.4.1 身份识别系统分类 精算身份识别系统是与操作员对应绑定的硬件加密产品,在操作员帐号和精算身份识别系统进行绑定操作后,则必须使用精算身份识别系统与对应的帐号密码配合使用,才能正常进行登录和操作软件。 根据精算身份识别系统拥有的权限级别的不同,可分为管理锁和普通锁2类: 管理锁:拥有所有权限,并且可以对用户进行普通锁的绑定操作,为管理员或企业老板拥有。 普通锁:只拥有登录、访问软件和读锁的权限,其他权限通过权限配置根据实际需要情况来加入。 2.4.2 身份识别系统优点 1. 易用性 采用的EPASSND是国内第一款无驱型USBKEY产品,使用方便,操作简单,便于携带,满足异地使用和网络使用功能。 2. 安全性 采用高性能单芯片设计,64位唯一序列号,硬件实现HMAC-MD5和TEA算法,确保绑定信息安全储存于身份锁中,免受木马病毒以及黑客攻击。 3. 双因子认证 可安全实现基于冲击响应的双因子认证,硬件受PIN码保护,使用时提示输入密码,安全性得到更高保证。 4. 安全存储 内置安全文件系统,提供1.4K安全存储空间,可存储多组密码。 5. 支持多应用 支持多密码和多个身份锁的应用。 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用,它是保证网络安全最重要的核心策略之一[5]。 2.5 访问控制功能 按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
-
访问控制的功能主要有以下: ●防止非法的主体进入受保护的网络资源; ●允许合法用户访问受保护的网络资源; ●防止合法的用户对受保护的网络资源进行非授权的访问。
-
访问控制实现的策略:
● 入网访问控制;
● 网络权限限制;
● 目录级安全控制;
● 属性安全控制;
● 网络服务器安全控制。
访问控制的类型:访问控制可分为自主访问控制和强制访问控制两大类。
自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限强制访问控制,是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访问该对象。
2.6 上网行为管理
上网行为管理指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
每个公司都会因为工作的需要,公司开通了网络。但是问题来了,员工经常在上班时间聊QQ,浏览与工作无关的网页。有些公司曾经实施过惩罚制度,但效果不理想。为此,公司高层反对开通网络。这样一来,员工也有意见,认为如果不开通网络工作起来不方便。现在很疑惑,如果开通网络,该怎么管理员工呢?严格要求 并不是所有的员工都需要网络的,销售、采购外部协作、生产管理等部门的员工可能需要上网,但是像人事、工程设计等部门上班时间用网络的很少。
上网行为管理内置国内最全的应用识别规则库,最大的网页地址库,结合深度内容检测技术、网页智能识别等专利技术,为客户解决网页过滤、封堵与工作无关的网络应用需求。
-
网页访问过滤 互联网上的网页资源非常丰富,如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页,以及购物、招聘、财经等与工作无关的网页,将极大的降低生产效率。 通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
-
网络应用控制 聊天、看电影、玩游戏、炒股票等等,互联网上的应用可谓五花八门,如果员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能。 通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
-
上网行为分析
随着互联网上的活动愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险,通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
2.7 入侵检测系统
IDS是一种比较新的软件系统,可以发现正在进行的攻击,实施报警,并通过自动修改路由或防火墙的配置抵制攻击;将复杂的日志文件以简明的图形报表表示,并对其进行分析,得到有效的结果。
根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
●尽可能靠近攻击源;
●尽可能靠近受保护资源。
2.7.1入侵系统组成
IETF将一个入侵检测系统分为四个组件:事件产生器(Event generators);事件分析器(Event analyzers);响应单元(Response units );事件数据库(Event databases )。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
2.7.2 入侵系统功能
它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS。
简单说 入侵检测系统是一套监控计算机系统或网络系统中发生的事件,根据规则进行安全审计的软件或硬件系统[6]。
第3章校园网络安全防御系统的设计
校园网络信息方便了校园信息的交流,提高了管理、办公效率。但由于系统内部设计大量重要文件和材料等,一旦校园信息网络被侵入或攻击,整个系统的安全将受到严重威胁,后果不堪设想。因此,构建一个高效是校园信息网络安全防御系统,保证校园网络畅通和网络用户的安全,是校园信息化建设的关键问题。本文所设计的网络安全防御系统的拓扑图如图3.1。
添加图片注释,不超过 140 字(可选)
图3.1 某校园网络拓扑图
3.1 安全分析
校园网对网络安全的需求主要包括系统安全需求和内部工作网络系统平台安全需求。
3.1.1 系统的安全分析
1. 用户端安全分析
●用户身份的确认:防止假冒,非授权访问;
●用户数据信息的保密性:防止非授权读取;
●用户数据信息的完整性:防止非授权篡改数据;
●用户数据信息的非否认性:防止数据发送方或接收方抵赖。
2. 数据服务器安全分析
●数据的保密性:防止非法用户窃取敏感数据;
●数据的完整性:防止非授权篡改数据;
●数据的可用性:防止拒绝服务攻击。
3. 数据网络传输安全分析
●传输数据的保密性:防止非法用户中途窃听;
●传输数据的完整性:防止非授权修改数据。
3.1.2 内部工作网络系统平台安全分析
1. 阻止外部用户非授权访问内部网:防止黑客攻击内部工作网;
2. 内部网的保密性要求:防止内部敏感网络信息泄露;
3. 内部网的可控性:防止内部用户滥用资源和非授权访问网络资源;
4. 内部网的可用性:防止拒绝服务攻击。
3.2 设计主要思路
3.2.1 物理防护
物理措施防护:例如,保护网络关键设备,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。
物理防护的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害和人为破坏;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
3.2.2 网络防护
主要目的是隔离、检测和认证。网络隔离防护:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网扎实现的。
3.2.2.1 隔离
隔离主要应用防火墙技术。它是安装在不同网络之间的一系列硬件和软件组合的总和。主要作用为:
1. 包过滤。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2. 包的透明转发。由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—Firewall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发, 因此,很多防火墙具备网关的能力。
3. 阻挡外部攻击。如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4. 记录攻击。防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给 IDS 来完成了。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外界屏蔽受保护网络的信息、结构和运行情况等,从而实现对网络信息的安全保障。
3.2.2.2 入侵检测
入侵检测是指对计算机和网络资源上的恶意使用行为进行识别和相别处理的过程。它不仅可以检测来自外部的入侵行为。同时也可以监控内部用户的非授权行为。入侵检测的最大优点是可以向系统管理员提供实时报告,告诉管理员有黑客入侵。安全检测系统是安全防护子系统后面的另外一道安全闸门,它运用技术手段,能够在不影响网络性能的情况下对校园网络系统进行经常性的巡查、搜索、监测,在网络和主机系统中寻找入侵信号, 一旦发现入侵行为立即进行报警,帮助解决存在的安全隐患,对“黑客” 和病毒入侵网络问题及时进行有效的治理,对内部攻击、外部攻击、误操作的实时保护,从而提高信息系统的隐患发现能力和隐患抵御能力,在网络系统遭受危害之前抵御入侵。
入侵检测系统能够帮助计算机网络系统快速发现入侵攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测就是检测任何企图损害系统保密性、完整性或可用性的行为的一种网络安全技术。它通过对运行系统的状态和活动的监视。找出异常或误用的行为,根据所定义的安全策略。分析出非授权的网络访问和恶意的行为,迅速发现入侵行为和企图。为入侵防范提供有效的手段。
3.2.2.3 身份认证
身份认证可分为用户与主机间的认证和主机与主机之间的认证。用户与主机之间的认证可以基于如下一个或几个因素: 用户所知道的东西,例如口令,密码等. 用户拥有的东西,例如印章,智能卡(如信用卡等). 用户所具有的生物特征,例如指纹,声音,视网膜,签字,笔迹等. 基于口令的认证方式是一种最常见的技术,但是存在严重的安全问题.它是一种单因素的认证,安全性依赖于口令,口令一旦泄露,用户即可被冒充。 基于智能卡的认证方式,智能卡具有硬盘加密功能,有较高的安全性.每个用户持有一张智能卡,智能卡存储用户个性化的秘密信息,同时在验证服务器中也存放该秘密信息。 进行认证时,用户输入PIN(个人身份识别码),智能卡认证PIN,成功后,即可读出秘密信息,进而利用该信息与主机之间进行认证.基于智能卡的认证方式是一种双因素的认证方式(PIN+智能卡),即使 PIN 或智能卡被窃取,用户仍不会被冒充.基于生物特征的认证方式是以人体惟一的,可靠的,稳定的生物特征(如指纹,虹膜,脸部,掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别。该技术具有很好的安全性,可靠性和有效性,与传统的身份确认手段相比,无疑产生了质的飞跃。
3.2.3 数据防护
3.2.3.1 操作系统安全
作为整个计算机系统中最重要的软件,操作系统对维持计算机的安全和稳定运行起着不可替代的重要作用。由于处于整个计算机系统中硬件和软件接口的特殊地位,使得操作系统成为各种攻击的主要目标。 因此,尽可能的保障操作系统的安全运行,有效的防止各种针对操作系统的恶意攻击,避免用户的错误操作给操作系统带来的危害,就成为了计算机系统安全的一个重要内容。因此可知,操作系统安全是信息系统安全的最基本、最基础的安垒要素。操作系统的任何安全脆弱性和安全漏洞必然导致信息系统的整体安全脆弱性。操作系统的任何功能性变化,都可导致信息系统安全脆弱性分布情况的变化,从软件角度来看,确保信息系统安全的第一要事便是采取措施保证操作系统安全。
3.2.3.2 传输加密
通常情况下,人们将可懂的文本称为明文(plaintext);将明文变换成的不可懂的形式的文本称为密文(cipher text);把明文变换成密文的过程叫加密(encipher);其逆过程,即把密文变换成明文的过程叫解密(decipher)。数据加密或解密过程如图3.2。
添加图片注释,不超过 140 字(可选)
图3.2 加密或解密示意图
数据加密可以在网络OSI七层协议的多层上实现,从加密技术应用的逻辑位置看,主要有链路加密和端对端加密两种方式。
1.链路加密方式。面向链路的加密方式将网络看作由链路连接的结点集合,每一个链路被独立的加密。它用于 保护通信结点间传输的数据。每一个连接相当于 OSI参考模型建立在物理层之上的链路层,如图3.3。
添加图片注释,不超过 140 字(可选)
图3.3 链路加密方式示意图
2.端对端加密方式。端对端加密方式建立在 OSI 参考模型的网络层和传输层。这种方法要求传送的数据从源端到目的端一直保持密文状态,任何通信链路的错误不会影响整体数据的安全性,如图3.4。
添加图片注释,不超过 140 字(可选)
图3.4 端对端加密方式示意图
端对端加密方式中,只加密数据本身信息,不加密路径控制信息。在发送主机内信息是加 密的,在中间结点信息是加密的。用户必须找到加密算法,决定施加某种加密手段。加密可以用软件编程实现。但此方式密钥管理机制复杂,主要适合大型网络系统中信息在多个发方 和收方之间传输的情况。
3.2.3.3 移动数据管理
移动硬盘等存储设备由于其使用的便利性,使用越来越广泛。许多部队都使用移动硬盘来保存一些比较重要的信息,并使用移动硬盘来传递重要信息。但与此同时,移动硬盘的便利性也带来了巨大的信息安全隐患。机密信息保存在可以随身携带、并且可被任意一台PC机识别的移动硬盘上,其数据安全是完全无法得到保证的。当前,机关各单位在移动涉密存储载体的管理使用上还存在一些失泄隐患。多数单位虽然集 中采购、配发使用、报废收回,但移动涉密存储载体在使用者手中时,尚缺乏有效的管控措施。有的单位购买后即基本处于不管不问的状态;个别单位采取自购自用的办法,管理更是处于失控状态;而一部分使用者仅仅把移动存储设备作为电脑的附属品来保管,没有上升到保密设备的高度,缺乏保密柜存放的意识;很多人经常带回家使用;部分人还把私下购买的移动涉密存储载体与办公存储设备混用,极易发生失泄密问题。
3.3 设计方案
3.3.1 方案设计的基本原则
校园需求牵引和技术推动[7],是校园信息网络安全防御系统发展的不竭动力。而成本有效和可持续发展又是任何事物得以存在和不断进步的重要条件。因此,在设计校园信息网络安全防御系统的体系结构时,应遵循以下基本原则:
1. 满足校园信息安全需要。这是对校园信息网络安全系统的基本要求,也是构筑新时期校园信息网络安全体系结构的出发点和最终目标。
2. 能够引入最新安全技术成果。即采用最新信息网络安全技术是校园信息网络安全系统不断进步和提升的前提,也是赋予新时期校园信息网络安全体系结构生命力的保证。
3. 可充分利用现有安全资源。即利用现有信息网络安全体系继承发展,不仅可降低开发成本,而且可为创新校园信息网络安全体系提供条件。
4. 具有良好的兼容性。新时期校园信息网络安全体系不仅应能够满足有线、无线、移动等各种网络对信息安全的需求,而且还应能够涵盖和兼容各种安全技术体制,实现信息安全的网系融合、灵活配置、智能组网等。
5. 信息网络安全系统作为校园安全基础设施,建设周期长,耗资巨大,因此构建新的网络体系结构必须做到继往开来,具备可待续发展的空间。
3.3.2 方案设计结构
通过了解系统的薄弱点并确定了设计原则,有针对性的构建一个网络安全防御系统。在系统中不但要考虑运用先进的技术,而且也得靠严格的安全管理、法律约束和安全教育。
网络防御系统主要通过物理防护、网络防护、数据防护三个方面进行阐述,物理防护主要保护网络关键设备,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。网络防护通过隔离、检测、认证来实现整个安全防御系统,数据防护以移动数据管理、操作系统安全、传输加密方式维护整个系统数据防护的实现,操作系统对维持计算机的安全和稳定运行起着不可替代的重要作用。通过种种手段保证目标的实现,具体设计如图3.5。
添加图片注释,不超过 140 字(可选)
图3.5 防御系统方案设计示意图
第4章 网络安全防御系统的实现
了解校园信息网络面对的威胁,制定了安全策略,设计了方案的理论模型并了解了相关技术后,在构建防御系统过程中,还要实际考虑现有网络中的设备现状、线路布置、管理制度、人员专业水平等因素,并在加装安全设备和软件系统时,充分考虑具体校园的人力、物力、财力,这样才能在构建符合实际的网络安全防御系统。校园物理防御系统结构图如图4.1。
添加图片注释,不超过 140 字(可选)
图4.1 某校园物理防御系统结构图
4.1 物理防护的实现
4.1.1 制定完善严格的管理制度
1. 值勤维护制度。严格的值勤维护制度,是网络涉密信息安全传递的重要保证。要通过落实值勤维护制度,强化值勤维护人员“在保障中防护,在防护中保障”的责任意识;明确值勤维护人员的岗位职责和安全防护要求,统一各种网络设备操作流程和维护标准,完善值勤维护登记、统计资料,使网络值勤维护工作逐步实现科学化、精细化和正规化。
2. 安全检查制度。校园计算机网络应用广泛,终端设置相对分散,一机多用现象也较为突出,极易造成涉密信息泄露。为增强计算机网络的安全性,应定期或不定期地进行网络安全检查,及时排除安全隐患、纠正违规行为,减少人为纰漏;同时,普及网络安全防护知识,明确网络安全策略,提高用户主动性安全防护意识和能力。
3. 涉密信息、载体和场所管理制度。要合理区分信息密级。建立制密登记、用密授权、定期归档、专人管理和统一维护等涉密信息管理制度,明确要求、按级负责,确保涉密信息安全;严格落实涉密载体购前申报、审批,购后登记、注册,报废备案、销毁等制度,加大涉密载体使用及流向监管力度,确保涉密载体安全;加强网络信息中心等涉密场所管理,严禁无关人员进入,有关人员进出也要履行一定手续,并定期更换安全防护设施密码,确保涉密场所安全。
4.1.2 建立数据备份制度
为了保证数据传输安全,采用通信加密同时,还应对数据完整性给予重视。篡改和伪造信息是攻击者常用的手段,在选择了存储备份软件、存储备份技术后,要制定数据备份制度。网络备份系统是在网络上选择一台应用服务器作为网络数据存储管理服务器,安装网络数据存储管理软件,作为整个网络数据备份的服务器。在备份服务器上连接一台大容量存储设备,在网络中其他需要进行备份管理的服务器上安装备份客户端软件,通过局域网将数据集中备份到与备份服务器连接的存储设备上。分级存储管理及存储局域网技术的发展,为网络备份系统提供了新的途径。 数据备份的最终目的就是灾难恢复,一旦系统遭到攻击或因自然因素导致数据的破坏或丢失,灾难恢复可以最大程度恢复系统,保证系统的可用性。灾难恢复最重要的是建立异地存储备份中心,同时,在制定灾难恢复策略时应考虑以下几个因素:一是保护完整的系统配置文档,二是根据业务需要决定数据异地存储的频率,三是保护关键业务的服务器。
4.2 网络防护的实现
4.2.1 隔离的实现——防火墙Cisco PIX
PIX是CISCO公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)。它和一般硬件防火墙一样具有转发数据包速度快,可设定的规则种类多,配置灵活的特点。最新的PIX版本为PIX535。
Cisco PIX 防火墙可以通过一个可靠的、即插即用的安全设备为小型办公室和远程办公人员提供企业级的安全性。它的功能强大的状态监测技术可以跟踪所有经过的用户网络请求,防止未经授权的网络访问。防火墙Cisco PIX图如图4.2。
添加图片注释,不超过 140 字(可选)
图4.2 防火墙Cisco PIX501
4.2.1.1 Cisco PIX防火墙的安装
(1)将PIX安装放至机架,经检测电源系统后接上电源,并加电主机;
(2)将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall>;
(3)输入命令:enable,进入特权模式,此时系统提示为pixfirewall#;
(4)输入命令:configure terminal,对系统进行初始化设置;
(5)配置以太网口参数:interface ethernet0 auto(auto选项表明系统适应网卡类型) interface ethernet1 auto;
(6)配置防火墙接口的名字,并指定安全级别(nameif);
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif dmz security50
(7)配置内外网的IP地址:
ip address inside ip_address netmask
ip address outside ip_address netmask;
(8)指定外部地址范围:global 1 ip_adderss-ip_adderss;
(9)指定要进行转换的内部地址:nat 1 ip_address netmask;
(10)设置指向内部网和外部网的缺省路由
ruote inside 0 0 inside_default_router_ip_address
ruote outside 0 0 inside_default_router_ip_address
(11)配置静态IP地址对映:
Static outside ip_address inside inside ip_address;
(12)设置某些控制选项:
Conduit permit/deny global_ip[-port] protocol foreign_ip[netmask]
Global_ip 指的是要控制的地址
Port指的是所作用的端口,其中0代表所有端口
Protocol 指的是连接协议,比如:TCP、UDP等;
(13)设置telnet选项:
telnet local_ip [netmask]
local_ip 表示被允许通过telnet访问到pixd 的ip地址(如果不设此项,PIX的配置只能由consle方式进行);
(14)几个常用的网络测试命令:#show interface 查看端口状态 #show static 查看静态地址映射。
4.2.1.2 Cisco PIX防火墙的配置
在配置PIX防火墙之前,先介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生3个网络,如:内部区域(内网):内部区域通常就是企业内部网络的一部分。是互联网络的信任区域,受防火墙的保护。外部区域(外网):外部区域通常指Internet或者非企业网络。它是互联不被信任的区域,但外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
PIX防火墙提供4种管理访问模式:
非特权模式:PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>;
特权模式:输入enable进入特权模式,可以改变当前配置。系统显示为pixfirewall#;
配置模式:输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#;
监视模式:“Break”字符,进入监视模式。这里可以更新操作系统映像和口令恢复。显示为monitor>。
配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route。这些命令在配置PIX是必须的,基本步骤:
1. 置防火墙接口的名字,并指定安全级别(nameif)
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100,安全级别取值范围为1~99,数字的级别越高。
2. 配置以太网口参数(interface)
Pix525(config)#interface ethernet0 auto(auto选项表明系统适应网卡类型)
Pix525(config)#interface ethernet1 100full(100full表明100Mbit/s以太网双工通信)
Pix525(config)#interface ethernet1 100full shutdown (shutdown选项表明关闭这个接口,若启用接口去掉shutdown)。
3. 配置内外网卡的IP地址(ip address)
Pix525(config)#ip address outside 61.144.51.42 255.255.255.1
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
4. 指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有IP转换为外网的公有IP,Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
5. 指定外部地址范围(global)
Global命令把内网的Ip地址翻译成外网的IP地址或一段地址范围。Global命令的语法配置:
Global(if_name)nat_id ip_address-ip_address[natmask global_mask]其中(if_name)表示外网接口名字,例如outside。
Nat_id用来标识全局地址池,使它与相应的nat命令相匹配;
ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围;
[natmask global_mask]表示全局ip地址的网络掩码。
6. 设置指向内网和外网的静态路由(route)
Route命令配置语法:route(if_name)0 0 gateway_ip[metric]
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数[8]。
4.2.2 检测的实现——安装JUMP 入侵检测系统
4.2.2.1 系统简介
jump 网络入侵检测系统是西安交大捷普网络科技有限公司自行研制开发的一套实时的网络入侵检测与响应网络入侵检测的网络安全系统。它可以实时监控所有在网络上传输的数据,检测可疑行为,对来自网络外部和内部的攻击都可以做出反应,在系统受到危害之前发出警告,切断攻击方的连接。其联机文档提供了丰富的漏洞说明及补救措施,可以最大程度的为网络系统提供安全保障。
jump 网络入侵检测系统收集了目前国内外最新的网络攻击行为的特征数据库,可检测多种类型的攻击,因而具有强大功能。同时,该系统工作时还具有实时性、几乎不影响网络性能等优点,是值得信赖的网络安全产品。
4.2.2.2 工作原理
入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。由于入侵检测和响应密切相关,而且现在没有独立的响应系统,所以决大多数的入侵检测系统都具有响应功能。 按获得原始数据的方法可以将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测系统。基于主机的 ids 可监测系统、事件和 window nt 下的安全记录以及unix 环境下的系统记录。当有文件发生变化时,ids 将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的 ids 通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。
4.2.2.3 系统具体功能
(1)实时检测入侵功能。可以实时地对网络上的攻击进行监测,一旦发现可疑信息,入侵检测可准确显示其数据目标和来源,及时向管理员告警。
(2)丰富和友好的管理界面。所有的入侵监测系统提供友好的人机界面,使得管理员易于操作和管理整个入侵监测系统。采用可视的管理、监视、控制和分析操作界面,方便使用。
(3)对报警信息的检索、查询和统计。管理员通过管理中心可以对历史记录中引擎产生的各种攻击事件的报警信息进行检索、查询及统计。
(4)全新的离线报警方式。除了常规屏幕显示报警信息,系统还可以自动将报警信息传送到管理员的Email信箱,并同时提供声音报警。
(5)数据的安全通信。引擎与管理中心之间的数据通信是安全加密的(ssl协议)。
(6)引擎的实时监测与管理。在管理中心,系统管理员可以实时地获取到引擎的状态信息,并可以对引擎进行启动、停止等管理。
(7)入侵检测规则的自定义。用户可以自己定义一些入侵检测规则,加入到引擎的规则库中去,更加灵活地进行入侵检测。
(8)开放式的插件机构。系统检测能力不断增长,包括入侵规则的自动升级和更新。
(9)断开网络功能。提供断网功能,对于一些恶意的攻击行为,系统可以将攻击者,从网络中清除出去。
(10)在线升级。为用户提供可以在线升级的能力,使管理员可以在管理中心直接进行对规则库进行升级。
4.2.2.4 JUMP入侵检测系统探测器设置和使用
1. 超级终端的安装和设置
“超级终端”是windows nt,windows 2000下的程序,是microsoft操作系统中的一个常用组件。它能够通过串行或并行端口接受或发送ascii码信息。“超级终端”具有反卷功能,此功能使用户能够看到已经滚动出屏幕的已接收文本。
方式1:在安装windows 2000/nt操作系统时,选中“通讯”选项中“超级终端”选项。
方式2:在安装windows 2000/nt操作系统时没有安装“超级终端”,可以通过windows 2000/nt的“控制面板”的“添加/删除程序”项安装“超级终端”。
启动超级终端:在开始菜单中,选取程序-〉附件-〉通讯-〉超级终端,弹出如4.3:
添加图片注释,不超过 140 字(可选)
图4.3 新建连接
输入新建连接的名字,确定,如图4.4:
添加图片注释,不超过 140 字(可选)
图4.4连接端口
选择连接的com口,单击确定,弹出端口设置窗口,端口设置如下4.5
添加图片注释,不超过 140 字(可选)
图4.5端口设置
单击确定,连接成功后,超级终端出现username: ,输入用户名:admin 输入密码:jump,进入jump ids 配置界面(界面显示配置命令和帮助)。
2. 探测器的配置
(1) 配置探测器ip:输入s回车,显示“input ip address:”,输入探测器ip地址(例如:210.27.48.12),回车,配置生效。
(2)配置探测器掩码:输入m回车,显示“input ip address:”,输入探测器ip掩码(例如:255.255.255.0)回车,配置生效。
(3)配置控制台ip:输入i回车, 显示“input ip address:”,输入控制台ip地址(例如:210.27.48.21)回车,配置生效。
(4)以上配置项配置成功后,输入r启动引擎。
(5)启动成功后,输入q退出配置[9]。
4.2.3 认证的实现——SRZ06身份认证系统
SRZ06身份认证系统结合了现代密码技术和智能卡技术,采用一次一密的动态认证口令,在各网络用户与服务器之间直接进行身份认证,可根据系统环境,选择服务器对客户端的单向认证方式,或者基于挑战/应答的双向认证方式。该认证系统既秉承了对称密码抗集团破译能力强的优点,又采用智能卡技术解决了对称密码体制中最难以解决的密钥分发问题。
SRZ06身份认证系统的应用可以提高网络系统对用户身份的识别以及管理能力,起到保护网络资源安全,降低数据泄密风险的作用。该产品既适应于局域网用户,也适用于广域网用户,能够更为有效地防止冒名登录事件的发生,并具有操作简单,安全性高、认证速度快、维护简单等特点,且用户一次性投入,终身无需维护。本系统适应于政府、企业等需要对用户身份进行明确定义的网络环境。
SRZ06身份认证系统功能:
1. 网络用户身份认证:在局域网、广域网环境下识别用户身份网络用户权限管理、行为审计:为登录系统的用户分配权限,并对用户的上网情况进行跟踪和统计。
2. 数据加解密:对需要经过网络传递的重要数据实行机密性保护。
3.域用户验证:利用SRZ06智能卡及其CSP安全组件,可以实现Windows2000/XP下的域登录。客户端采用存储在key中的数字证书进行登录验证。在证书身份验证的过程中,客户端和服务器将互相出示证书,从而可以相互验证身份。
4. 域安全策略的实施:如拔卡锁定工作站。
SRZ06身份认证系统的技术实现:
1. 系统架构
添加图片注释,不超过 140 字(可选)
图4.6系统结构
2. 建立芯片级认证系统
采用工控机和加密卡来建立认证(签名验证)中心,其中:加密卡与服务器的接口是采用标准PCI接口(将多块加密卡插入工控机里)、客户端采用基于标准USB接口的智能卡、两种硬件设备中都采用国内微电子芯片,芯片内写入对称密码算法、SM1算法。
3. 采用组合密钥技术
采用硬件随机数发生器产生用户“密钥种子”,保证随机性,每个用户的密钥“基”(密钥种子)都不同;客户端用户“密钥种子”存放在智能卡芯片中,认证中心的全体用户的“密钥种子”是以密文方式存储在数据库中,是用加密卡中的SM1算法和一组对称密钥,将全体用户的密钥种子加密成密文,来保证“密钥种子”安全存储 ;根据密钥生成算法对密钥种子进行选取,组合生成密钥,实现认证、签名密钥一次一变,不重复使用。
4. 建立基于标识(非证书)认证系统
每个用户的标识唯一(如:用户号、用户身份证号等),每个用户标识对应该用户的一组“密钥种子”;取消数字证书,根据用户标识直接快速定位用户密钥种子,提高认证效率。
5. 建立规模化的认证中心
只采用少量“密钥种子” 完成认证协议,每个用户的“密钥种子”占用认证中心资源少,在认证中心的数据库里建立3亿条记录,使认证中心能管理大规模用户(达3亿人)。
6. 采用认证过程的安全控制机制
WEB服务器接受用户认证请求的同时,创建认证生命周期T,超过此周期T则认证失败;禁止使用过期的或相同的控制参数进行网络身份认证,防止黑客使用截获的控制参数冒名顶替[10]。
4.3 数据防护的实现
4.3.1 移动数据防护的实现
系统工作模式分为单机和网络两种:
单机模式:不通过网络对计算机、笔记本电脑进行管控,由管理员定时或不定时对单机检查。
网络模式:设定内部网络中的一台计算机为主控制段,安装网络版主控端软件,其它计算机安装客户端,从而实现对内部计算机的集中管控。
1. 单机系统管理与检察。主要完成对非网络单机的“权限设置”以及操作行为的信息采集、审计和汇总。审计信息包括:“文件操作记录”主要记录受检计算机系统进行文件新建、修改、删除以及复制等操作行为,详细记录目标文件和源文件具体操作时间和路径。
2. U盘文件操作记录:记录U盘(移动硬盘)上的文件操作记录。程序运行记录,主要记录受检计算机“打开”“关闭”某个应用程序、文件以及文件夹所做的操作信息。邮件日志,主要记录受检计算机上所发送的邮件信息。违规及其他信息,主要记录受检计算机“读写U盘”、“运行非法程序”等违规操作行为。
3.系统信息:软件信息主要显示受检计算机当前所安装的所有软件信息。硬件信息:主要显示受检计算机当前的硬件配置信息。版本信息:主要显示该受检机器的操作系统、系统客户端软件的版本以及机器名称等信息。
4. 权限设置:主要对客户端下发安全控制权限,实现奢靡载体管理、计算机输入输出管理、操作行为管理、网络行为管理、综合数据统计等功能。
5. 涉密电子文档管理:对注册计算机内存储的所有电子文档(包括多媒体、照片、录像)进行自动登记统计、编号,并按密级和年度自动进行分类管理。 装载该系统后,只有注册过的存储介质才可在装有该系统的计算机上使用,未注册的存储介质和未装该系统的计算机均无法使用;注册过的存储介质无法在未装有该系统的计算机上使用;未注册过的存储介质只有在特定计算机上(一般为安全机构负责人使用)注册后,才能在装有该系统的计算机上使用,也只有在特定计算机上解除注册后,才能恢复在其他计算机上使用。通过管理控制,既防止了感染了木马程序等病毒的存储介质对涉密计算机的非法访问,也杜绝了装有涉密资料的存储介质在其他计算机上使用。
4.3.2 操作系统的防护
在校园操作系统的防护中,Web服务器的操作系统选择十分重要,Linux和FreeBSD是操作系统中完成基本安装后比较安全的两款操作系统。然而,与Windows服务器一样,它们也可能没有进行安全配置就用作Web服务器,这样,安全性上将存在比较大的风险。当今的通用操作系统都有这样的问题,它们默认地运行着大量的服务和应用。完美的Web服务器系统应该只有一个应用在其中运行:这就是Web应用本身,如IIS或Apache。我们使用netstat命令运行IIS的标准Windows 2003服务器的情况。
为了保护操作系统的安全性,应该修改及重新命名默认账户,使用较长的口令,卸载所有未使用的应用程序,关闭所有不需要的服务,关闭对诸如cmd.exe的程序的访问,使用拥有最低必须权限的用户启动Web服务器,配置允许端口,安装防病毒程序(根据需要选择),监控日志文件,创建一种将日志文件归档到其他位置(不在Web服务器上)的机制,应用所有最新的服务包和更新,将Web页面放置在非标准的目录或驱动器上[11]。
一般来讲,很多网络病毒都是利用了系统漏洞的。对用户来说,防范病毒入侵的最好方法就是打补丁,堵住系统漏洞。系统漏洞补丁是用来为系统修补错误或增加新功能的小程序包,它不能单独安装使用必须安装在特定的系统环境中。但是系统漏洞的发现常常并不是由软件开发人员先发现的,当网上已有恶意程序在网上肆虐时,人们才开始想法防御。这就成了漏洞和对应补丁的不同步。系统操作员有必要在补丁出来的最短时间内给系统打上。当然有些漏洞是操作者使用不当或配置不好造成的,对这种人为的因素就有必要提高操作者的专业知识和及时更改错误配置。
第5章 网络安全防御系统的测试
为了系统的性能,我们将利用方式检测系统保护网络,作为一中被动防御机制与主动防御机制融合在一起的立体防御机制,它既能对来自网络外部的攻击进行有效的监控和拦截,又能对校园网络内部的攻击进行防御。
5.1 测试
5.1.1 测试环境
为了测试网络安全防御系统性能,配置的测试环境如下:
用网络1(192.168.2.0)模拟外围,用网络2(192.168.20.0)模拟校园网。网络安全防御系统安装在网络1与网络2之间。网络1中主机H1(192.168.2.10)对网络2中的服务器S1的访问就相对于网外用户对校园网的访问:网络2中主机H2 (192.168.20.10) 对网络2中服务器S1的(192.168.2.1)的访问就相对于网内用户对校园完的访问。
在网络1中主机H1(192.168.2.10)上配置一些后门程序对网络2中的服务器S1(192.168.20.0)进行恶意访问,模拟外网用户对校园网的攻击情形。在网络2中主机H2(192.168.20.10)进行恶意访问,模拟内网用户对校园网的攻击情形。
5.1.2 测试系统防御外部攻击能力
1. 对木马进行截获
目前,许多木马不是以单一进程的形式访问网络,而是插入到正常的进程中将自己隐藏起来,然后开启一个后门或不断扫描远程计算机。
2. 监视蠕虫病毒对远程端口的扫描
目前。很多蠕虫病毒都带有黑客性质,当他们以很隐藏的方式进入用户的计算机后,它们就会不断扫描远程网络计算机中某些端口来寻求某些漏洞并进行攻击。
5.1.2 测试系统防御内部攻击能力
主机H2(192.168.20.10)用扫描工具Ipexplorer对网络服务器S1(192.168.2.1)的端口进行扫描。测试系统防御内部攻击能力[12]。
5.2 小结
本章主要介绍了一个简化的原型系统,接着探讨了系统中防火墙系统及入侵检测系统的实现技术,最后叙述了对系统的测试情况。
总 结
在计算机信息化的不断发展,针对网络的新的攻击行为也不断涌出,其针对的目的也将是全方位的,所以那种希望依靠一种安全技术的不断深入研究解决所有安全问题的想法是幼稚的,当我们需要不断的研究和发展各种安全技术,包括本文提到的防火墙,入侵技术,身份认证,数据备份和恢复等等,但这些远远不够的只有当我们将所有的技术通过一个完整的网络安全防御系统整合为一体,它们在这个系统中能够彼此协作,才能发挥它们的最大威力,从全方位阻止攻击的入侵。
校园安全防御网络是一种全新安全架构,其最大特点就是具有自我防御能力、自我愈合能力和集成协同的安全机制,不论是网络系统本身还是网络资源一旦受到诸如网络病毒和网络攻击时,能够快速反应,发现攻击并给以阻止,发现病毒或蠕虫予以删除,大大提高网络安全性能。
本文也只是在网络安全防御系统的设计和实现上做了一些肤浅的探索,还存在许多的不足,需要在进一步的研究中完善。相信随着安全技术的进一步,一定会出现更好的安全技术。
参考文献
[1]周兴著《校园网络安全现状分析及其防范措施》杂谈网络安全科普知识【S】2009.12.08 P1
[2]王峰,徐快著《 微电脑在线期刊技术专题》网络安全防范技术与产品【J】 2001 (52期)P12-13
[3]朱晨著《数据库系统》数据库管理系统【Z】2011.8.20
[4]阿杳著《数据库备份和恢复》【J】 2011.8.5 P23-25
[5]张彩莱著《身份识别系统》身份认证与网络安全【S】2011 P1-2
[6]刘剑著《网络安全技术》西安电子科技大学出版社【M】 2011.1.21 P3-5
[7]王振东著《军事信息网络安全防御系统设计与实现》【D】2007.6-2008.10 P45-56
[8]佚名著《Cisco防火墙》百度文库【Z】2011.9 P23-30
[9]杨智君著《JUMP 入侵检测系统》中国最权威的电脑教程【Z】2010 P3-4
[10]杨奕著《SRZ06身份认证系统简介》北京市科学技术研究院出版【J】 2011.1 P5-4
[11]李匀著《操作系统安全防护》电子工业出版社博文【Z】2008.7 P2-3
[12]朱思峰著 《智能小区安全防御系统设计与实现》【D】2006 .3 P55-57
扫一扫
2954
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
