企業(yè)計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計與實現(xiàn)

1、企業(yè)計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計與實現(xiàn)摘 要隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和應(yīng)用，計算機(jī)網(wǎng)絡(luò)不斷改變各種社會群體的生活、學(xué)習(xí)和工作方法，可以說人們已經(jīng)不能離開計算機(jī)工作和學(xué)習(xí)。 由于計算機(jī)網(wǎng)絡(luò)在生活中如此重要，如何保證網(wǎng)絡(luò)的安全可靠穩(wěn)定運(yùn)行，已成為網(wǎng)絡(luò)設(shè)計和管理中最關(guān)鍵的問題。 企業(yè)作為互聯(lián)網(wǎng)應(yīng)用最活躍的用戶，在企業(yè)網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)應(yīng)用不斷增加的情況下，企業(yè)網(wǎng)絡(luò)安全問題越來越突出。 企業(yè)網(wǎng)絡(luò)負(fù)責(zé)業(yè)務(wù)規(guī)劃、發(fā)展戰(zhàn)略、生產(chǎn)安排等任務(wù)，其安全穩(wěn)定直接關(guān)系到生產(chǎn)、管理和管理的保密性。 因此，企業(yè)建立網(wǎng)絡(luò)安全體系至關(guān)重要。本文首先介紹了企業(yè)計算機(jī)網(wǎng)絡(luò)安全技術(shù)，分析了計算機(jī)網(wǎng)絡(luò)接入和防火墻技術(shù)等系統(tǒng)開發(fā)過程中涉及的關(guān)鍵技

2、術(shù)，以及如何在此階段為上述網(wǎng)絡(luò)安全問題建立安全系統(tǒng)。 如何建立監(jiān)控系統(tǒng)等，并描述了系統(tǒng)的實現(xiàn)過程。 該系統(tǒng)可實現(xiàn)計算機(jī)網(wǎng)絡(luò)訪問控制、文件系統(tǒng)運(yùn)行、系統(tǒng)運(yùn)行狀態(tài)等的遠(yuǎn)程訪問和實時監(jiān)控。 主要實現(xiàn)用戶身份管理模塊、實時監(jiān)控模塊、硬件對象管理模塊、軟件對象管理模塊、網(wǎng)絡(luò)對象管理模塊、文件對象管理模塊等。通過對系統(tǒng)的測試和分析，系統(tǒng)達(dá)到預(yù)期的設(shè)計目標(biāo)和工作狀態(tài)，可以滿足內(nèi)部網(wǎng)絡(luò)安全監(jiān)控的功能要求。 可應(yīng)用于網(wǎng)絡(luò)信息安全有更高要求的企業(yè)和部門。關(guān)鍵詞：網(wǎng)絡(luò)安全；實時監(jiān)控；安全系統(tǒng)；網(wǎng)絡(luò)信息安全第1章 緒論1.1 課題研究的背景及意義隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，互聯(lián)網(wǎng)的應(yīng)用也在不斷推進(jìn)，其應(yīng)用已深入到工作、

3、生活、學(xué)習(xí)和娛樂的各個方面，使人們的工作環(huán)境不斷改善，提高生活質(zhì)量，企業(yè)電子商務(wù)發(fā)展迅速，信息化水平大幅提升，大大促進(jìn)了經(jīng)濟(jì)社會的進(jìn)步和發(fā)展。但是，互聯(lián)網(wǎng)的普及為人們帶來了便利，提高了生活質(zhì)量，促進(jìn)了社會科學(xué)技術(shù)進(jìn)步，促進(jìn)了社會的發(fā)展，同時網(wǎng)絡(luò)信息安全的問題日益突出1。隨著計算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用和普及，黑客的非法入侵，網(wǎng)絡(luò)中計算機(jī)病毒的蔓延和垃圾郵件的處理已成為關(guān)注的焦點(diǎn)。 許多公司沒有為計算機(jī)網(wǎng)絡(luò)系統(tǒng)做好安全措施，付出了非常慘痛和昂貴的代價2。企業(yè)網(wǎng)絡(luò)建設(shè)是企業(yè)信息化的基礎(chǔ)，INTRANET是企業(yè)網(wǎng)絡(luò)模式，是企業(yè)網(wǎng)絡(luò)的基礎(chǔ)。 INTRANET不完全是LAN的概念，通過與互聯(lián)網(wǎng)的連接，企業(yè)網(wǎng)絡(luò)的

4、范圍可以跨區(qū)域，甚至跨越國界3。現(xiàn)在很多有遠(yuǎn)見的商界領(lǐng)袖感受到企業(yè)信息化的重要性，已經(jīng)建立了自己的企業(yè)網(wǎng)絡(luò)和內(nèi)部網(wǎng)，并通過各種廣域網(wǎng)和互聯(lián)網(wǎng)連接。 網(wǎng)絡(luò)在我國的快速發(fā)展只有近幾年才出現(xiàn)，企業(yè)網(wǎng)絡(luò)安全事件的出現(xiàn)已經(jīng)非常多4。 因此，我們積極開展企業(yè)網(wǎng)絡(luò)建設(shè)，學(xué)習(xí)吸收國外企業(yè)網(wǎng)絡(luò)建設(shè)和管理經(jīng)驗，運(yùn)用網(wǎng)絡(luò)安全將一些企業(yè)網(wǎng)絡(luò)風(fēng)險和漏洞降至最低。 隨著威脅的迅速發(fā)展，計算機(jī)網(wǎng)絡(luò)的安全目標(biāo)不斷變化。因此，只有不斷更新病毒和其他軟件不斷升級以確保安全。對于包含敏感信息資產(chǎn)的業(yè)務(wù)系統(tǒng)和設(shè)備，企業(yè)可以統(tǒng)一應(yīng)用該方法，從而確保病毒簽名文件的更新、入侵檢測和防火墻配置以及安全系統(tǒng)的其它關(guān)鍵環(huán)節(jié)。簡單的技術(shù)無法解決安

5、全問題。只有依靠健全的戰(zhàn)略和程序，并配合適當(dāng)?shù)娜藛T和物質(zhì)安全措施，整合安全解決方案才能發(fā)揮最大的作用。健全的安全政策和標(biāo)準(zhǔn)規(guī)定了需要保護(hù)的內(nèi)容，應(yīng)根據(jù)權(quán)限和需要劃分人員的職能。公司需要高度支持安全政策，提高員工意識，有助于成功實施戰(zhàn)略5。 全面的安全策略提高了目標(biāo)計算機(jī)網(wǎng)絡(luò)的整體安全性，這是通過使用網(wǎng)絡(luò)安全獨(dú)立產(chǎn)品無法實現(xiàn)的。 不管內(nèi)部和外部安全問題如何，確保所有這些功能都得到實施。 維護(hù)安全的基本框架非常重要6。1.2 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)國內(nèi)外研究現(xiàn)狀企業(yè)網(wǎng)從初始單一數(shù)據(jù)交換發(fā)展到集成智能綜合網(wǎng)絡(luò)，已經(jīng)經(jīng)歷了十幾年的時間。在此過程中，企業(yè)網(wǎng)絡(luò)人員逐漸實現(xiàn)了網(wǎng)絡(luò)架構(gòu)設(shè)計多層次，多元素化。它包括主

6、機(jī)系統(tǒng)、應(yīng)用服務(wù)、網(wǎng)絡(luò)服務(wù)、資源、并支持業(yè)務(wù)的正常運(yùn)行。 現(xiàn)在企業(yè)對網(wǎng)絡(luò)的需求越來越高，對網(wǎng)絡(luò)的依賴越來越強(qiáng)，這表明企業(yè)管理、生產(chǎn)和銷售網(wǎng)絡(luò)發(fā)揮了很強(qiáng)的支撐作用7。1.2.1國內(nèi)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)現(xiàn)狀隨著寬帶互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)網(wǎng)絡(luò)安全形勢惡化，受訪企業(yè)中有部分企業(yè)發(fā)生網(wǎng)絡(luò)信息安全事件，其中一些企業(yè)感染了病毒、蠕蟲和木馬8。一些公司有網(wǎng)絡(luò)端口掃描。 在這種情況下，企業(yè)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全管理已成為國內(nèi)政府、學(xué)術(shù)界和行業(yè)關(guān)注的焦點(diǎn)。從政府的角度來看，企業(yè)網(wǎng)絡(luò)具有重要的戰(zhàn)略意義：企業(yè)網(wǎng)絡(luò)是國家信息化基礎(chǔ)設(shè)施，肩負(fù)著保護(hù)網(wǎng)絡(luò)和信息安全的重要責(zé)任，也反映了國家主權(quán)。在學(xué)術(shù)領(lǐng)域，信息安全是一個綜合性學(xué)科領(lǐng)

7、域，不僅包括數(shù)學(xué)、物理，還包括通信、計算機(jī)等綜合學(xué)科。 其研究不僅包括網(wǎng)絡(luò)安全技術(shù)的研究和設(shè)計，整體解決方案，還包括網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)等9。在行業(yè)中，我們的產(chǎn)品缺乏核心競爭力：信息安全產(chǎn)品和國外廠商的自主開發(fā)，幾乎都屬于低端產(chǎn)品。 例如，國際先進(jìn)的網(wǎng)絡(luò)安全解決方案和產(chǎn)品，是我國禁止的，我們只能學(xué)習(xí)這些先進(jìn)的技術(shù)和產(chǎn)品。 面對日益嚴(yán)重的網(wǎng)絡(luò)和信息安全形勢，我國政府、學(xué)術(shù)界、產(chǎn)業(yè)界等高度關(guān)注，信息安全的重要性已經(jīng)提升到前所未有的戰(zhàn)略高度。 2000年以后，我國制定了一批信息安全法規(guī)和部門規(guī)章制度，基本形成統(tǒng)一，分工明確的負(fù)責(zé)任組織，網(wǎng)絡(luò)安全事故應(yīng)急響應(yīng)協(xié)調(diào)機(jī)制初步建立，實施 信息安全關(guān)鍵技術(shù)研究，

8、啟動相應(yīng)的體系建設(shè)，開展計算機(jī)信息系統(tǒng)分類安全體系建設(shè)監(jiān)督管理，開發(fā)了一批專業(yè)信息安全產(chǎn)品，網(wǎng)絡(luò)信息安全產(chǎn)業(yè)開始形成規(guī)模。 我國信息網(wǎng)絡(luò)安全管理與控制系統(tǒng)研究與開發(fā)在初期階段，2006年，古利勇等對網(wǎng)絡(luò)管理平臺架構(gòu)進(jìn)行了研究，提出了系統(tǒng)框架。 安全策略管理分析。 安全預(yù)警管理、資產(chǎn)風(fēng)險管理、安全事件集中監(jiān)控、安全知識管理、安全報告管理等六大核心功能模塊10。 2008年，孫強(qiáng)等提出了基于消息通信安全管理體系的模型，介紹了安全管理體系的結(jié)構(gòu)和實現(xiàn)機(jī)制，并對系統(tǒng)實現(xiàn)中的關(guān)鍵技術(shù)和解決方案進(jìn)行了介紹，包括系統(tǒng)架構(gòu)、消息通信機(jī)制、 系統(tǒng)安全機(jī)制和安全風(fēng)險模型及數(shù)據(jù)一致性維護(hù)等11。2010年，史簡等研

9、究提出了統(tǒng)一的網(wǎng)絡(luò)安全管理平臺，運(yùn)用風(fēng)險評估和事件相關(guān)技術(shù)，實時分析網(wǎng)絡(luò)風(fēng)險情況，減少誤報和漏報11。趙泉2011年指出，加密技術(shù)是信息安全網(wǎng)絡(luò)安全技術(shù)的核心12。 2013年，閻廷瑞提出了信息傳輸和存儲的安全性，為網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型的基本要素和資源訪問的安全控制提供了一種更簡單可行的認(rèn)證和安全管理解決方案13。 2015年，劉金華等研究設(shè)計了新的監(jiān)控管理系統(tǒng)，通過數(shù)據(jù)采集、數(shù)據(jù)分析、實現(xiàn)網(wǎng)絡(luò)內(nèi)主機(jī)設(shè)備性能數(shù)據(jù)分析與監(jiān)控控制策略14。朱周華在2016年提出了一種新的網(wǎng)絡(luò)和信息安全架構(gòu)模型15。1.2.2國外企業(yè)網(wǎng)絡(luò)安全系統(tǒng)現(xiàn)狀自20世紀(jì)70年代中期以來，英美等西方發(fā)達(dá)國家已經(jīng)開始重視網(wǎng)絡(luò)

10、和信息安全問題。 經(jīng)過多年的發(fā)展，在理論研究、標(biāo)準(zhǔn)制定、產(chǎn)品開發(fā)、安全體系建設(shè)，人才培養(yǎng)等方面取得了很多成果16。本文回顧了信息安全技術(shù)發(fā)展的路徑，W.Diffie和W.Hellman提出了公鑰密碼學(xué)與David.Bell和Lconard La Padufa提出計算機(jī)安全模型，信息安全從初步的單階段保密到預(yù)防和檢測、評估、控制等方面提出了計算機(jī)安全模型，信息安全處于快速發(fā)展階段 “攻、防和測、評、控、管為一體的安全成熟的系統(tǒng)之一17。從目前的市場結(jié)構(gòu)來看，信息安全技術(shù)保持領(lǐng)先的是美國、英國、法國和以色列; 研究內(nèi)容主要針對安全協(xié)議和安全架構(gòu)設(shè)計，包括：安全協(xié)議分析方法，安全協(xié)議研究與設(shè)計的使用

11、; 安全架構(gòu)設(shè)計，包括安全系統(tǒng)模型、研究和建立安全策略和機(jī)制，以及系統(tǒng)對安全性的檢查和評估15。 安全協(xié)議研究中最關(guān)鍵的問題之一是安全分析方法的形式分析。 目前，該領(lǐng)域的成果包括電子商務(wù)協(xié)議、協(xié)議、簡單網(wǎng)絡(luò)管理協(xié)議和安全操作系統(tǒng)，安全數(shù)據(jù)庫系統(tǒng)16。從當(dāng)前產(chǎn)品的角度來看，目前主流的安全產(chǎn)品有防火墻、安全服務(wù)器、入侵檢測系統(tǒng)、安全數(shù)據(jù)庫、認(rèn)證產(chǎn)品等16。從國外企業(yè)信息化建設(shè)的角度看，發(fā)達(dá)國家的許多企業(yè)將信息化邁向戰(zhàn)略高度，大量信息技術(shù)投入和發(fā)展（一般信息投入占總資產(chǎn)的10，加快獲取信息技術(shù)。例如，美國所有的大公司都實現(xiàn)了辦公自動化，一些跨國公司實現(xiàn)虛擬辦公17;同時這些大型企業(yè)基本上都是通過信息

12、技術(shù)實現(xiàn)首席信息官改進(jìn)這些企業(yè)的決策、管理和經(jīng)營，并獲得新的發(fā)展機(jī)遇18。Antoine Joux（2011）在其Algorithmic Crpytanalysis一書中指出，加密算法和驗證技術(shù)與網(wǎng)絡(luò)安全密切相關(guān)19。外國學(xué)者Joseph Migga Kizza（2013）著作COMPUTER NETWORK SECURITY AND CYBER ETHICS,4TH ED中針對近年來新型的加密技術(shù)進(jìn)行了闡述20。從國外企業(yè)實施信息化的角度來看，一般國際企業(yè)隨著信息技術(shù)的推廣，其業(yè)務(wù)網(wǎng)絡(luò)延伸到最廣泛的地方。 然而，由于新技術(shù)的飛速發(fā)展，信息安全的一般公司面臨著諸多問題和困難，所以他們將如網(wǎng)絡(luò)防

13、火墻技術(shù)、入侵檢測技術(shù)、數(shù)據(jù)安全技術(shù)、安全技術(shù)投資外包給第三方等21。1.3 課題主要研究內(nèi)容 本文的主要工作是分析內(nèi)部網(wǎng)絡(luò)安全檢測系統(tǒng)的關(guān)鍵技術(shù)。 在此基礎(chǔ)上，完成了網(wǎng)絡(luò)安全檢測系統(tǒng)的設(shè)計與開發(fā)，主要包括以下幾個方面。 1.本文分析了網(wǎng)絡(luò)編程技術(shù)中的安全檢測系統(tǒng)，主機(jī)狀態(tài)監(jiān)控技術(shù)和用戶權(quán)限管理以及數(shù)據(jù)安全技術(shù)，提出了具體的實現(xiàn)方案。 有關(guān)系統(tǒng)信息收集，用戶行為數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)采集的基本概述和相關(guān)關(guān)鍵技術(shù)，以及對開發(fā)環(huán)境中使用的系統(tǒng)的簡要介紹。 2.分析安全檢查系統(tǒng)的具體需求，包括功能和非功能要求，并闡明任務(wù)的范圍和內(nèi)容。 簡要介紹了網(wǎng)絡(luò)安全檢測系統(tǒng)的要求，詳細(xì)分析了系統(tǒng)的整體功能和子功能。 最

14、后，介紹了系統(tǒng)的性能、易用性、接口要求和非功能要求。 3.完成安全檢測系統(tǒng)的整體框架設(shè)計，給出系統(tǒng)功能的具體設(shè)計。 本文介紹了網(wǎng)絡(luò)安全檢測系統(tǒng)的設(shè)計過程，給出了系統(tǒng)的功能結(jié)構(gòu)和處理邏輯設(shè)計，并描述了核心數(shù)據(jù)結(jié)構(gòu)、用戶界面、數(shù)據(jù)結(jié)構(gòu)和安全設(shè)計過程。 4.完成安全檢測系統(tǒng)的編碼和實現(xiàn)，并對系統(tǒng)進(jìn)行了測試和分析。介紹了系統(tǒng)的實現(xiàn)，系統(tǒng)的整體拓?fù)浣Y(jié)構(gòu)和軟件系統(tǒng)的邏輯結(jié)構(gòu)，分別實現(xiàn)了功能模塊在核心功能中的關(guān)鍵功能。介紹了網(wǎng)絡(luò)安全檢測系統(tǒng)的功能和性能測試。 測試結(jié)果表明該系統(tǒng)可以滿足應(yīng)用要求。1.4論文結(jié)構(gòu)安排第1章 對企業(yè)計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的背景和意義進(jìn)行介紹。得出本文的研究現(xiàn)狀、研究內(nèi)容和結(jié)構(gòu)。第2章

15、 相關(guān)概念和關(guān)鍵技術(shù)，詳細(xì)介紹了企業(yè)計算機(jī)網(wǎng)絡(luò)安全相關(guān)的技術(shù)，如計算機(jī)網(wǎng)絡(luò)入侵和攻擊技術(shù)，以及在這個階段針對以上的網(wǎng)絡(luò)安全問題，如何建立一個安全系統(tǒng)等。 第 3 章 需求分析 包括系統(tǒng)功能和非功能需求分析。第4章 企業(yè)計算機(jī)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計，系統(tǒng)架構(gòu)設(shè)計、系統(tǒng)功能模塊設(shè)計、數(shù)據(jù)庫設(shè)計等。第5章 企業(yè)計算機(jī)網(wǎng)絡(luò)安全管理系統(tǒng)的實現(xiàn)。對各個部分的功能進(jìn)行實現(xiàn)。第2章 相關(guān)概念及關(guān)鍵技術(shù)2.1 計算機(jī)網(wǎng)絡(luò)安全的概念計算機(jī)網(wǎng)絡(luò)安全是指系統(tǒng)軟件、應(yīng)用軟件、硬件等媒體在網(wǎng)絡(luò)中的所有數(shù)據(jù)信息可以完全防御，不會出現(xiàn)異常或異常變化，可以有效防止這些媒體信息不被篡改，保護(hù) 網(wǎng)絡(luò)數(shù)據(jù)傳輸穩(wěn)定，不會泄漏，不間斷運(yùn)

16、行22。網(wǎng)絡(luò)安全是一個非常復(fù)雜和全面的研究課題，不僅涵蓋了計算機(jī)基礎(chǔ)科學(xué)、網(wǎng)絡(luò)通信技術(shù)、信息技術(shù)和電子通信加密技術(shù)，而且還包括一些端口類加密、信息理論和應(yīng)用數(shù)學(xué)。 從根本上說，網(wǎng)絡(luò)安全是運(yùn)輸網(wǎng)絡(luò)元素的安全運(yùn)行。網(wǎng)絡(luò)安全性按照應(yīng)用分為兩大類，第一類網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)信息安全。 第二類是指網(wǎng)絡(luò)中所有數(shù)據(jù)可用、可控、保密和完整性相關(guān)技術(shù)被歸類為計算機(jī)網(wǎng)絡(luò)安全分類討論的完整性的理論23。 同時，計算機(jī)網(wǎng)絡(luò)安全也可以根據(jù)環(huán)境或?qū)ο蟛煌a(chǎn)生理論擴(kuò)展。 用于維護(hù)信息網(wǎng)絡(luò)管理員。 網(wǎng)絡(luò)安全是確保網(wǎng)絡(luò)不受木馬和病毒。攻擊外部和內(nèi)部數(shù)據(jù)，消除網(wǎng)絡(luò)應(yīng)用程序的異常使用，確保資源可以完全控制，以確保網(wǎng)絡(luò)可以訪問數(shù)據(jù)單元

17、操作。 但是對于最終用戶的計算機(jī)網(wǎng)絡(luò)在網(wǎng)絡(luò)安全方面的個人隱私和商業(yè)秘密來說，確保個人信息和個人安全。 與網(wǎng)絡(luò)傳輸和存儲的單位信息相關(guān)的所有數(shù)據(jù)均為機(jī)密、真實、完整。 并確保用戶未經(jīng)授權(quán)的身份存儲在所有相關(guān)數(shù)據(jù)單元中，信息不能以任何方式進(jìn)行篡改，確保自身利益和權(quán)力24。2.2 計算機(jī)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)網(wǎng)絡(luò)安全技術(shù)牽引涉及很多基礎(chǔ)學(xué)科，本文列舉了網(wǎng)絡(luò)安全技術(shù)在相對普及技術(shù)中的發(fā)展實現(xiàn)。 防火墻（Firewall）、虛擬專用網(wǎng)（VPN）、入侵檢測（IDS）、安全掃描技術(shù)（Scanner）和網(wǎng)絡(luò)訪問控制（ACL）如下所述。2.2.1 防火墻技術(shù)所謂的防火墻技術(shù)（Firewall）通過互聯(lián)網(wǎng)（Inter

18、net）或外部網(wǎng)絡(luò)和數(shù)據(jù)傳輸網(wǎng)絡(luò)之間的“最小”內(nèi)部網(wǎng)絡(luò)傳輸門禁，然后完成隱藏的未經(jīng)授權(quán)的用戶連接內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)方法25。 到目前為止，防火墻技術(shù)仍然可以防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)，也是防止非法用戶入侵的最關(guān)鍵手段，以及最廣泛使用的網(wǎng)絡(luò)安全策略部署技術(shù)。結(jié)合信息安全技術(shù)開發(fā)過程的發(fā)展，防火墻（Firewall）可分為三類：1包過濾防火墻通?；诼酚善鹘?，在服務(wù)器或計算機(jī)上也可以安裝包過濾防火墻軟件。在網(wǎng)絡(luò)層包過濾防火墻的基礎(chǔ)上，單個IP實現(xiàn)網(wǎng)絡(luò)控制。對所接收的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)包或UDP數(shù)據(jù)報文的源端口和目的端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，以及網(wǎng)絡(luò)

19、管理員預(yù)先設(shè)置的訪問控制比較列表以確定它們是否符合預(yù)定義的安全策略和決定，釋放或丟棄給定的包。防火墻的優(yōu)點(diǎn)是簡單、方便、快速、透明度好，對網(wǎng)絡(luò)性能影響不大，可以用來禁止非法外部用戶訪問企業(yè)內(nèi)部網(wǎng)，也可以用來禁止訪問某些類型的服務(wù)，但是我們無法識別危險程序包的內(nèi)容，無法執(zhí)行應(yīng)用程序安全性處理。2 代理服務(wù)器型防火墻 通過在計算機(jī)或服務(wù)器上運(yùn)行代理服務(wù)程序，運(yùn)行到特定應(yīng)用層服務(wù)，也稱為應(yīng)用層網(wǎng)關(guān)級防火墻。代理服務(wù)器型防火墻核心，是代理服務(wù)器上運(yùn)行的防火墻主機(jī)進(jìn)程。實質(zhì)上，它是連接企業(yè)內(nèi)部網(wǎng)和互聯(lián)網(wǎng)網(wǎng)關(guān)的特定網(wǎng)絡(luò)應(yīng)用23。它是用戶完成TCP / IP訪問功能，其實是電子郵件、FTP、Telnet、W

20、WW等不同應(yīng)用程序都提供給相應(yīng)的代理。該技術(shù)允許通過代理服務(wù)器建立外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的連接，實現(xiàn)安全的網(wǎng)絡(luò)訪問，并可實現(xiàn)用戶認(rèn)證，詳細(xì)日志，審計跟蹤和數(shù)據(jù)加密等功能，實現(xiàn)協(xié)議過濾器和會話控制控制，具有良好的靈活性。代理服務(wù)器防火墻有可能影響網(wǎng)絡(luò)的性能，用戶不透明，而對于每個TCP / IP服務(wù)應(yīng)設(shè)計一個代理模塊，建立相應(yīng)的網(wǎng)關(guān)實現(xiàn)更為復(fù)雜。3 復(fù)合型防火墻 由于安全性要求較高，通?；诎^濾方法和基于應(yīng)用的代理方法，形成復(fù)合防火墻，提高防火墻的靈活性和安全性。這種組合通常有兩個選擇： （1）屏蔽主機(jī)防火墻架構(gòu)：在這種結(jié)構(gòu)中，分組過濾路由器或防火墻和Internet連接，同時將堡壘機(jī)安裝在內(nèi)

21、部網(wǎng)絡(luò)中，通過包過濾路由器或防火墻過濾規(guī)則集，使堡壘成為只有互聯(lián)網(wǎng)上其他節(jié)點(diǎn)能夠訪問的節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不會受到未經(jīng)授權(quán)的外部攻擊24。 （2）屏蔽子網(wǎng)防火墻架構(gòu)：堡壘機(jī)放置在子網(wǎng)中，形成非軍事區(qū)，兩個子網(wǎng)過濾器的兩端，使子網(wǎng)和互聯(lián)網(wǎng)和內(nèi)部網(wǎng)分離。在屏蔽子網(wǎng)防火墻架構(gòu)中，堡壘主機(jī)和過濾路由器構(gòu)成了整個安全防火墻的基礎(chǔ)。2.2.2 虛擬專用網(wǎng)技術(shù)（VPN）虛擬專用網(wǎng)（VPN）是通過公共網(wǎng)絡(luò)創(chuàng)建一條穿透公共網(wǎng)絡(luò)餓邏輯隧道。 這是在公用網(wǎng)絡(luò)（Internet）上建立一個虛擬通道連接，從技術(shù)上講，虛擬專用網(wǎng)絡(luò)是局域網(wǎng)（LAN）的擴(kuò)展25。通過虛擬專網(wǎng)（VPN）技術(shù)可實現(xiàn)遠(yuǎn)程終端連接網(wǎng)絡(luò)（LAN），

22、這是現(xiàn)代網(wǎng)絡(luò)發(fā)展的重要技術(shù)，可以幫助企業(yè)分支機(jī)構(gòu)及相關(guān)零部件企業(yè)建立網(wǎng)絡(luò)通信，該技術(shù)可以保護(hù) 最終用戶和總部之間的安全數(shù)據(jù)信息傳輸。虛擬專網(wǎng)（VPN）部署成本低廉，易于建立VPN網(wǎng)絡(luò)，既保護(hù)安全和數(shù)據(jù)傳輸?shù)臋C(jī)密性，又簡化了網(wǎng)絡(luò)架構(gòu)設(shè)計的復(fù)雜性26。虛擬專網(wǎng)（VPN）有四大類的關(guān)鍵技術(shù)27：1.隧道技術(shù); 2.用戶認(rèn)證技術(shù); 3.加密技術(shù); 4.訪問控制技術(shù)。隧道技術(shù)是虛擬專用網(wǎng)（VPN）最關(guān)鍵的技術(shù)，它是一種基于私有數(shù)據(jù)網(wǎng)絡(luò)的安全轉(zhuǎn)發(fā)信息的加密隧道機(jī)制。 該技術(shù)是在轉(zhuǎn)發(fā)幀之前封裝需要在對應(yīng)加密協(xié)議中發(fā)送的幀。 當(dāng)轉(zhuǎn)發(fā)的數(shù)據(jù)傳輸?shù)剿淼赖牧硪欢藭r，將根據(jù)已建立的加密協(xié)議進(jìn)行解封。 從分組到封閉，加

23、密隧道為一個邏輯信道，隧道協(xié)議由三部分組成，一個是數(shù)據(jù)鏈路層協(xié)議，協(xié)議標(biāo)準(zhǔn)是L2TP和PPTP; 另一個是網(wǎng)絡(luò)層協(xié)議，主要協(xié)議是IPSec和GRE等; 另一個是傳輸層協(xié)議，主要協(xié)議是SSL和TSL等。 兩種最廣泛使用的加密協(xié)議是L2TP和IPSec。虛擬專網(wǎng)（VPN）根據(jù)虛擬專網(wǎng)的應(yīng)用類型可分為三類28：（1）內(nèi)網(wǎng)（LAN）VPN：實現(xiàn)從LAN到另一個LAN到網(wǎng)關(guān)的鏈接。 資源通過不同的LAN資源通過目標(biāo)LAN進(jìn)行連接。（2）外聯(lián)網(wǎng)（Extranet）VPN; 與內(nèi)部網(wǎng)絡(luò)（LAN）構(gòu)成外網(wǎng); 也與其他網(wǎng)絡(luò)（LAN）互連。（3）遠(yuǎn)程訪問（Access）VPN：實現(xiàn)遠(yuǎn)程用戶上網(wǎng)互聯(lián)，基于公網(wǎng)實現(xiàn)虛

24、擬專用數(shù)據(jù)轉(zhuǎn)發(fā)。對于不同的客戶可以開發(fā)不同的虛擬專用設(shè)備，設(shè)備可以分為VPN交換機(jī)、VPN防火墻和VPN路由器29。（1）VPN交換機(jī)：這些設(shè)備用于更遠(yuǎn)程的接入網(wǎng)架構(gòu);（2）VPN防火墻：最廣泛使用的虛擬專用網(wǎng)建設(shè)設(shè)備，一般部署在網(wǎng)絡(luò)出口;（3）VPN路由器：最容易部署這樣的設(shè)備，只需增加路由器配置VPN服務(wù)類別即可完成。2.2.3 入侵檢測技術(shù)基本策略和技術(shù)分類1.入侵檢測技術(shù)基本策略 雖然防火墻可以有效防止非法入侵，但是防火墻不是靈丹妙藥，防火墻周圍總是有未知的攻擊來攻擊網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)不正常運(yùn)行，網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）采用一個更智能的檢測策略，從第二個測試端口檢測攻擊行為。入侵檢測的基

25、本策略是基于網(wǎng)絡(luò)的一定算法或訪問的關(guān)鍵點(diǎn)進(jìn)行更科學(xué)的分析，以確定是否存在安全策略行為的攻擊或違規(guī)。滿足算法要求的人作為合法訪問，但對于那些不符合算法訪問測試結(jié)果要求的報告，響應(yīng)處理和阻塞在檢測系統(tǒng)中，核心是基于網(wǎng)絡(luò)信息監(jiān)控檢測和有效判斷數(shù)據(jù)是否合法，非法數(shù)據(jù)過濾掉。入侵檢測過程如圖2-1所示。 從圖中可以看出，入侵檢測系統(tǒng)攔截網(wǎng)絡(luò)信息，然后提取檢測數(shù)據(jù)，根據(jù)過濾規(guī)則提取數(shù)據(jù)，通過入侵的分析結(jié)果，并截獲數(shù)據(jù)包信息響應(yīng)處理。圖2-1 入侵檢測系統(tǒng)流程2. 入侵檢測技術(shù)分類根據(jù)信息數(shù)據(jù)包單元的來源差異，入侵檢測可以分為以下幾類：（1）基于主機(jī)型IDS可以為網(wǎng)絡(luò)事件和操作系統(tǒng)環(huán)境，日志記錄進(jìn)行有效的檢

26、測。 如果文檔被修改或更改文檔的日志，IDS將匹配新的日志條目和現(xiàn)有的訪問攻擊事件。 如果比較表示新的日志條目和訪問事件具有攻擊特征，則IDS匹配系統(tǒng)將根據(jù)已建立的規(guī)則發(fā)送告警信息。 信息安全行業(yè)所有IDS產(chǎn)品都有偵聽端口，如果檢測到異常警報或未經(jīng)授權(quán)的訪問特定端口將觸發(fā)警報機(jī)制，則會向網(wǎng)絡(luò)管理員發(fā)送警報消息。（2）基于網(wǎng)絡(luò)IDS該設(shè)備將網(wǎng)絡(luò)信息視為分散的信息源，并使用網(wǎng)絡(luò)在閱讀后收聽網(wǎng)絡(luò)上的信息流。 基于網(wǎng)絡(luò)的IDS檢測模塊通常使用統(tǒng)計和匹配模式來識別攻擊行為。 IDS只要違反網(wǎng)絡(luò)檢測違規(guī)行為，IDS響應(yīng)模塊就會觸發(fā)報警，網(wǎng)絡(luò)鏈路切斷。 對于不同的網(wǎng)絡(luò)響應(yīng)，IDS將使用不同的觸發(fā)機(jī)制，包括日

27、志的內(nèi)容通知管理員，管理員將不滿足用戶網(wǎng)絡(luò)連接的要求或與非法網(wǎng)絡(luò)行為日志存儲相關(guān)聯(lián)31。（3）基于主機(jī)和網(wǎng)絡(luò)集成的IDS因為基于主機(jī)的IDS和基于Web的IDS都有自己的優(yōu)勢。 這么多IDS供應(yīng)商將結(jié)合這兩大類的優(yōu)勢，在網(wǎng)絡(luò)安全部署方案中，基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS優(yōu)勢的合并，利用各自的優(yōu)勢。 許多用戶在部署基于主機(jī)的IDS時部署基于網(wǎng)絡(luò)的IDS，IDS檢測到未經(jīng)授權(quán)的訪問，并且在日常工作中、郵件、DNS和Web服務(wù)器往往是針對性的。 在電子郵件中，網(wǎng)絡(luò)中的DNS和Web服務(wù)器被部署，它們必須巧妙地與Internet進(jìn)行數(shù)據(jù)連接，因此基于主機(jī)的IDS部署在服務(wù)器的前端，可以完成非常好的安

28、全性防護(hù)32。2.2.4 網(wǎng)絡(luò)訪問控制技術(shù)網(wǎng)絡(luò)訪問控制，也稱為網(wǎng)絡(luò)接入控制，稱為TAC。 TAC技術(shù)是保護(hù)信息網(wǎng)絡(luò)終端最有效的方式，它被安裝在網(wǎng)絡(luò)檢測終端軟件中，實現(xiàn)最有效的方式。此外，TAC允許其他交換機(jī)如交換機(jī)SW、路由器SR和防火墻FW一起使用。使用此應(yīng)用程序的服務(wù)器和最終用戶的計算機(jī)提供了一個全面的自動化管理流程，以確保數(shù)據(jù)在端點(diǎn)之前安全地進(jìn)行交互33。通用網(wǎng)絡(luò)訪問控制分為三個部分，第一部分是降低零日攻擊的風(fēng)險：網(wǎng)絡(luò)訪問控制技術(shù)的關(guān)鍵應(yīng)用是防止未安裝病毒、補(bǔ)丁、入侵防御軟件終端接入網(wǎng)絡(luò)資源。第二個是增強(qiáng)安全策略：網(wǎng)絡(luò)訪問控制設(shè)備允許管理員設(shè)置允許管理員高級訪問網(wǎng)絡(luò)并按照這些規(guī)則清除主網(wǎng)

29、絡(luò)交換設(shè)備的規(guī)則34。第三是身份和訪問管理：訪問控制應(yīng)用程序打破傳統(tǒng)計算機(jī)網(wǎng)絡(luò)TCP / IP協(xié)議訪問巧妙的策略實現(xiàn)，它是基于用戶權(quán)限來保護(hù)網(wǎng)絡(luò)的安全性和穩(wěn)定性。 訪問控制可以分為四類：1.基于代理的TAC; 2.無代理TAC;內(nèi)聯(lián)TAC;帶外TAC 35。 （1）基于代理的TAC：這種方法是通過終端添加一個后臺軟件。通過專用網(wǎng)關(guān)或TAC平臺實現(xiàn)安全管理。基于代理的TAC靈活性不高，對終端設(shè)備上安裝的特定探測器才可以實現(xiàn)該功能36。 （2）非代理TAC：此方法不在終端上安裝后臺探測器，無需使用代理，可以簡化網(wǎng)絡(luò)部署的難度，這樣的TAC操作簡單。 （3）內(nèi)聯(lián)TAC：通過所有終端通信實現(xiàn)及其在三層

30、網(wǎng)關(guān)中的運(yùn)行和部署，可以增強(qiáng)安全策略37。內(nèi)聯(lián)TAC方法相對簡單，但會導(dǎo)致廣播數(shù)據(jù)在網(wǎng)絡(luò)中的更多傳輸。隨著網(wǎng)絡(luò)正常運(yùn)行時間的增加，內(nèi)聯(lián)TAC將增加TOC，這是由于內(nèi)部廣播流量的增加將增加內(nèi)聯(lián)設(shè)備的數(shù)量。 （4）帶外TAC：該技術(shù)是通過現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)用來增強(qiáng)網(wǎng)絡(luò)的安全性。作為終端向數(shù)據(jù)傳輸?shù)街醒肟刂圃O(shè)備實現(xiàn)整體戰(zhàn)略，這種設(shè)備的部署實現(xiàn)復(fù)雜。帶外TAC技術(shù)實現(xiàn)更復(fù)雜，但不會對網(wǎng)絡(luò)傳輸?shù)男阅墚a(chǎn)生不利影響。2.3 相關(guān)開發(fā)環(huán)境2.3.1集成開發(fā)環(huán)境 Microsoft Visual C + 6.0（簡稱VC6.0）是微軟推出的一款C +編譯器，將“高級語言”翻譯為“機(jī)器語言（低級語言）”程序38

31、。 Visual C +是一個強(qiáng)大的可視化軟件開發(fā)工具。自1993年以來，微軟推出Visual C + 1.0，然后版本不斷更新，Visual C +已經(jīng)成為首選專業(yè)的程序員軟件開發(fā)工具。雖然Microsoft已經(jīng)引入了Visual C + .NET（Visual C + 7.0），但它只適用于Windows 2000，Windows XP和Windows NT 4.0有很多限制。所以在現(xiàn)實中，更多的是基于Visual C + 6.0平臺。 Visual C + 6.0不僅是C +編譯器，而且是基于Windows操作系統(tǒng)的可視化集成開發(fā)環(huán)境（IDE）39。 Visual C + 6.0包括許多

32、組件，包括編輯器，調(diào)試器和程序向?qū)ppWizard、類向?qū)Ш推渌_發(fā)工具。這些組件通過稱為Developer Studio的組件集成到和諧的開發(fā)環(huán)境中。2.3.2數(shù)據(jù)庫環(huán)境SQL稱為結(jié)構(gòu)化查詢語言，由圣約瑟實驗室為其關(guān)系型DBMS最初研究的數(shù)據(jù)查詢語言。 這種查詢語言與他的前身相比，結(jié)構(gòu)簡單，易于使用，一個能夠?qū)崿F(xiàn)更復(fù)雜的功能。 作為IBM在上世紀(jì)80年代推出SQL語言后，受到廣大用戶的推崇40。在當(dāng)前市場上主流的數(shù)據(jù)庫管理系統(tǒng)中，基本都做了SQL支持，無論是大型數(shù)據(jù)庫如Oracle，還是小型如FoxPro，用戶都可以嵌入SQL 19。 不同的數(shù)據(jù)庫系統(tǒng)需要不同的ODBC驅(qū)動程序和不同的數(shù)據(jù)

33、源，但也需要供應(yīng)商數(shù)據(jù)庫。SQL是一種非流程的高級編程語言，用戶可以通過其高水平的數(shù)據(jù)操作，無論用什么樣的用戶數(shù)據(jù)存儲方式，無論什么數(shù)據(jù)結(jié)構(gòu)的形式，用戶都可以使用SQL實現(xiàn)數(shù)據(jù)管理，可以起到接口作用，SQL在執(zhí)行時可以講記錄集作為處理對象，輸入可以是記錄集，輸出也可以，所以我們說SQL是數(shù)據(jù)處理的集合，用很多高級語言處理數(shù)據(jù)記錄處理。也反映了SQL處理。在數(shù)據(jù)庫應(yīng)用系統(tǒng)的開發(fā)中，首先了解數(shù)據(jù)庫的基本概念和結(jié)構(gòu)，進(jìn)一步了解數(shù)據(jù)庫應(yīng)用程序開發(fā)過程，并對應(yīng)用系統(tǒng)和開發(fā)過程有一個清晰的認(rèn)識41。SQL Server是基于Microsoft平臺的基礎(chǔ)上開發(fā)的關(guān)系型數(shù)據(jù)庫系統(tǒng)軟件。由于與Windows操作

34、系統(tǒng)的密切關(guān)系，它具有擴(kuò)展，高性能特點(diǎn)，分布式客戶端/服務(wù)器計算等，SQL Server軟件這些條件，為大多數(shù)應(yīng)用程序提供數(shù)據(jù)存儲解決方案。2.4 現(xiàn)代企業(yè)網(wǎng)絡(luò)模式 網(wǎng)絡(luò)安全不僅僅是一個純技術(shù)問題，不可能只通過技術(shù)因素來確保網(wǎng)絡(luò)安全，管理因素也是不可缺少的。其實網(wǎng)絡(luò)管理是一個統(tǒng)一的管理和技術(shù)問題。網(wǎng)絡(luò)安全是一個涉及法律、管理和技術(shù)因素的復(fù)雜人機(jī)系統(tǒng)。只有妥善協(xié)調(diào)三者之間的關(guān)系才能有效保護(hù)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全技術(shù)，包括硬件因素（如計算機(jī)設(shè)備故障，通信通道故障等）也是軟件相關(guān)因素，從應(yīng)用另一方面的網(wǎng)絡(luò)攻擊保護(hù)主要體現(xiàn)在數(shù)據(jù)和軟件中。網(wǎng)絡(luò)攻擊策略主要是利用、改變和癱瘓。主要利用竊聽網(wǎng)絡(luò)通信和計算機(jī)上的

35、信息和數(shù)據(jù);所謂的變化是欺騙使用數(shù)據(jù)傳輸系統(tǒng)、信息等內(nèi)容，以及入侵網(wǎng)絡(luò)摧毀數(shù)據(jù)和軟件;所謂麻痹，無用數(shù)據(jù)塊，破壞網(wǎng)絡(luò)系統(tǒng)癱瘓的方法。考慮到攻擊的技術(shù)模型，網(wǎng)絡(luò)安全威脅分為兩類：被動威脅和主動威脅。 1企業(yè)互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)代企業(yè)，下屬企業(yè)或子公司在地理上分散，有的甚至在大面積，下屬企業(yè)建立自己的骨干，但一方面訪問公司總部，另一方面進(jìn)入互聯(lián)網(wǎng)，連接企業(yè)和真正的網(wǎng)絡(luò)，訪問互聯(lián)網(wǎng)。2企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)無論是公司總部網(wǎng)絡(luò)還是其附屬企業(yè)網(wǎng)絡(luò)，其內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)雖然不盡相同，但仔細(xì)研究會發(fā)現(xiàn)類似。 雖然地理位置相對分散，部分分布在工廠內(nèi)部，部分分布在建筑物中，但是整個網(wǎng)絡(luò)提供公共應(yīng)用服務(wù)（也稱為公共應(yīng)用平臺）一般由

36、網(wǎng)絡(luò)中心實施，而這個 網(wǎng)絡(luò)中心對企業(yè)網(wǎng)絡(luò)管理行使技術(shù)權(quán)。 網(wǎng)絡(luò)拓?fù)淙鐖D2-2所示。 圖2-2 企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)2.5 網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)信息安全應(yīng)包括人員安全、設(shè)備安全、物理安全、信息安全、電磁輻射安全、通信安全和工業(yè)安全等方面。上述網(wǎng)絡(luò)安全的要素如圖2-3所示。計算機(jī)網(wǎng)絡(luò)實際上是一條通信線路，連接通信雙方，通信雙方可以傳輸信息實現(xiàn)資源共享和協(xié)同工作，信息傳輸?shù)暮诵木W(wǎng)絡(luò)是通過從發(fā)送方到接收方的傳輸信道信息，信息安全傳輸有三個主要方面，即發(fā)送方的安全性和接收方的安全性以及傳輸路徑的安全性。要研究三方網(wǎng)絡(luò)信息傳輸?shù)陌踩浴＞W(wǎng)絡(luò)安全模型如圖2-4所示，簡要介紹了網(wǎng)絡(luò)信息的要點(diǎn)。 使用安全 操作安全 傳

37、輸安全網(wǎng)絡(luò)安全 輻射安全 硬設(shè)備安全 工業(yè)安全 環(huán)境安全 通訊安全 圖2-3 網(wǎng)絡(luò)安全組成的元素 圖2-4 網(wǎng)絡(luò)信息安全模型 （1）傳遞信息（或消息）需要加密操作，這個操作有兩個主要的方法，保證理論不能破壞，計算不可行，有很多經(jīng)典的加密算法可以使用，數(shù)據(jù)到達(dá)接收通常使用對稱密鑰加密和公鑰加密來執(zhí)行解密操作。 （2）消息傳輸通道是網(wǎng)絡(luò)信息安全的重要因素，考慮傳輸路徑本身的安全問題，還要考慮第三方攻擊，整個通信鏈路數(shù)據(jù)傳輸安全可靠。 （3）實際的加密技術(shù)有很多方法，如數(shù)字簽名、報文摘要、數(shù)字認(rèn)證、證書頒發(fā)等，有些也需要信任第三方參與。2.6 本章小結(jié) 本章主要介紹了本文的基本概念及相關(guān)的關(guān)鍵技術(shù)，

38、如系統(tǒng)信息采集、用戶行為獲取、網(wǎng)絡(luò)數(shù)據(jù)采集和系統(tǒng)開發(fā)、使用環(huán)境的介紹、網(wǎng)絡(luò)安全模型等。第3章 系統(tǒng)需求及算法分析3.1企業(yè)背景說明為防止用戶在內(nèi)部網(wǎng)絡(luò)環(huán)境中非法使用計算機(jī)系統(tǒng)，根據(jù)有關(guān)部門的要求制定嚴(yán)格的管理制度，以防止用戶對內(nèi)部網(wǎng)絡(luò)環(huán)境的非法使用，根據(jù)有關(guān)部門的要求制定嚴(yán)格的管理制度，但在執(zhí)行過程中多次發(fā)現(xiàn)非法復(fù)制文件和安裝非法軟件行為。因此，我們需要采取適當(dāng)?shù)募夹g(shù)措施，確保管理體系的實施。在研究過程中發(fā)現(xiàn)有很多類似的商業(yè)軟件，但這些商業(yè)軟件的功能比較復(fù)雜，而且實際需要的單位是不同的，所以最終確定了一個小內(nèi)部網(wǎng)絡(luò)監(jiān)控系統(tǒng)，以滿足需求。具體應(yīng)用環(huán)境如下，需要監(jiān)控一個小型內(nèi)部辦公網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境，

39、主機(jī)數(shù)量約為50個，使用WINDOWS操作系統(tǒng)，使用交換機(jī)進(jìn)行網(wǎng)絡(luò)連接，屬于同一C網(wǎng)網(wǎng)段，網(wǎng)絡(luò)和業(yè)務(wù)內(nèi)部網(wǎng)絡(luò)是物理隔離的，主機(jī)可以通過路由器訪問外部網(wǎng)絡(luò)，主要用于企業(yè)日常工作的學(xué)習(xí)環(huán)境，不允許在網(wǎng)絡(luò)主機(jī)上使用其他相關(guān)用途。網(wǎng)絡(luò)拓?fù)淙鐖D3-1所示。 圖3-1 系統(tǒng)應(yīng)用網(wǎng)絡(luò)環(huán)境3.2功能性需求該系統(tǒng)的功能主要是通過訪問控制、實時監(jiān)控和事件審計等技術(shù)手段，對被控主機(jī)和系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行有效的監(jiān)控，并記錄用戶未經(jīng)授權(quán)的訪問行為，作為 安全審計憑證。 對于用戶的網(wǎng)絡(luò)訪問等活動也可以用來防止網(wǎng)絡(luò)連接實現(xiàn)安全管理的方法42。系統(tǒng)的控制主機(jī)對用戶透明，所以用戶具有系統(tǒng)安全管理員的主要功能，包括用戶身份管理、實

40、時監(jiān)控、軟件對象管理、硬件對象管理、網(wǎng)絡(luò)對象管理、文件對象管理。 系統(tǒng)的整體工作如圖3-2所示。3.2.1用戶身份管理 用戶是網(wǎng)絡(luò)安全檢測系統(tǒng)管理領(lǐng)域的所有認(rèn)證用戶的身份，系統(tǒng)中管理員的身份管理。 用戶身份管理功能包括創(chuàng)建、修改、刪除用于安全檢測系統(tǒng)的服務(wù)器管理員，以及創(chuàng)建、修改和刪除主機(jī)的主體信息、角色信息和角色管理策略。管理員級別分為一級管理員和二級管理員，一級管理員可以查看和操作任何信息，二級管理員只能查看信息，無法發(fā)送策略信息43。 用戶身份管理功能的用例如圖3-3所示。3.2.2 實時監(jiān)控實時監(jiān)控，包括桌面快照、進(jìn)程快照、遠(yuǎn)程目錄查看功能，主要是指在線控制機(jī)器運(yùn)行實時監(jiān)控管理領(lǐng)域。

41、桌面快照，管理員可以實時捕獲用戶的桌面或按照策略定期抓取用戶的桌面存檔; 進(jìn)程快照是指管理員可以查看實時的用戶系統(tǒng)進(jìn)程列表; 遠(yuǎn)程目錄視圖是管理員可以查看用戶文件信息的目錄信息。 實時監(jiān)控功能如圖3-4所示。3.2.3 軟件對象管理軟件對象管理是管理控制區(qū)域網(wǎng)絡(luò)中所有受控軟件對象，包括開發(fā)軟件黑名單，軟件操作控制，即軟件黑名單不能在主機(jī)上運(yùn)行。 使用軟件對象管理功能如圖3-5所示。3.2.4 硬件對象管理硬件對象管理是對受控局域網(wǎng)中所有受控硬件對象的管理，包括硬件清單的生成，硬件報警的非法更改以及狀態(tài)管理的使用44。 硬件對象管理功能，如圖3-6所示。3.2.5 網(wǎng)絡(luò)對象管理網(wǎng)絡(luò)對象是控制區(qū)域

42、網(wǎng)絡(luò)中所有受控網(wǎng)絡(luò)行為的管理，包括設(shè)置網(wǎng)站的黑名單和白名單，以及對控制機(jī)的流量進(jìn)行審計和控制。 網(wǎng)絡(luò)對象的管理功能如圖3-7所示。3.2.6 文件對象管理文件控制管理是對LAN上所有機(jī)器對象文件的管理，包括審核文件的操作，用戶記錄文件系統(tǒng)訪問行為，如打開、修改、復(fù)制文件和用戶控制文件操作。 文件對象管理功能如圖3-8所示。3.3非功能性需求3.3.1 系統(tǒng)安全需求1用戶安全 用戶的安全主要包括管理員的安全和用戶的安全。 （1）管理員具有系統(tǒng)的最高權(quán)限，所以責(zé)任是最大的。 管理者必須具有良好的素質(zhì)和知識素養(yǎng)，熟練掌握網(wǎng)絡(luò)安全知識，企業(yè)有較強(qiáng)的忠誠度，掌握專業(yè)的管理技能; （2）嚴(yán)格限制管理員的用

43、戶級操作，應(yīng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)安全計劃中設(shè)置和調(diào)整審計信息等初步操作; （3）用戶安全層必須在授予管理員權(quán)限的前提下使用企業(yè)網(wǎng)絡(luò)資源，使用其資源，禁止使用系統(tǒng)資源，禁止超出授權(quán)的系統(tǒng)運(yùn)行，禁止披露重要信息和系統(tǒng) 登錄密碼。 2基礎(chǔ)設(shè)施安全 （1）硬件設(shè)施的安全，包括物理環(huán)境安全，硬件設(shè)備、物理、機(jī)械安全; （2）軟件設(shè)備的安全性，包括系統(tǒng)安全、網(wǎng)絡(luò)通信安全、軟件應(yīng)用平臺安全、安全管理軟件安全。3網(wǎng)絡(luò)結(jié)構(gòu)安全 （1）包括局域網(wǎng)和廣域網(wǎng)之間的隔離和控制，如包過濾、子網(wǎng)防火墻阻塞、網(wǎng)絡(luò)地址變化等; （2）局域網(wǎng)內(nèi)的子網(wǎng)安全，包括信息敏感子區(qū)域信息資源子網(wǎng)，敏感信息子網(wǎng)和非敏感信息子網(wǎng)的隔離，子網(wǎng)信息和公

44、共信息網(wǎng)絡(luò)隔離的內(nèi)部使用，局域網(wǎng)和互聯(lián)網(wǎng)隔離; （3）未授權(quán)或未經(jīng)授權(quán)使用撥號上網(wǎng)方式繞過安全系統(tǒng)。4 傳輸安全 除了外部公眾提供的信息外，在LAN中傳輸?shù)臄?shù)據(jù)也需要加密; LAN用戶之間的信息傳輸，也是使用認(rèn)證措施，特別是機(jī)密信息也需要加密和保護(hù)。 （1）網(wǎng)絡(luò)邊界隔離和訪問控制因為系統(tǒng)比較特殊，是網(wǎng)絡(luò)隔離邊界的最重要特征，需要仔細(xì)考慮。因此，我們需要使用幀中繼網(wǎng)絡(luò)和訪問控制措施。企業(yè)內(nèi)各部門之間必須有網(wǎng)絡(luò)接入。我們必須確保合法用戶同時訪問系統(tǒng)，并且未經(jīng)授權(quán)的用戶（包括任何企業(yè)和其他企業(yè)的非授權(quán)用戶的網(wǎng)絡(luò)訪問請求無法訪問系統(tǒng)），系統(tǒng)網(wǎng)絡(luò)傳輸平臺單元使用幀中繼網(wǎng)絡(luò)，不可控制的因素依然存在（幀中繼

45、網(wǎng)絡(luò)終端網(wǎng)絡(luò)設(shè)備安全等）因此，我們必須強(qiáng)調(diào)網(wǎng)絡(luò)安全隔離和控制單元和幀中繼網(wǎng)絡(luò)45，對于企業(yè)網(wǎng)絡(luò)，由于企業(yè)的性質(zhì)和網(wǎng)絡(luò)系統(tǒng)的工作水平必須包含有許多重要機(jī)密信息。因此，企業(yè)網(wǎng)絡(luò)應(yīng)分為不同的子網(wǎng)，高安全網(wǎng)絡(luò)的子網(wǎng)和不可信網(wǎng)絡(luò)安全分類，推薦安全隔離和訪問控制網(wǎng)絡(luò)安全隔離設(shè)備，以確保未經(jīng)授權(quán)的用戶訪問授權(quán)用戶。（2）企業(yè)傳輸數(shù)據(jù)安全企業(yè)在網(wǎng)絡(luò)系統(tǒng)中，由于不同的權(quán)限，內(nèi)部信息的性質(zhì)不同，不能讓非法用戶訪問，有必要采取適當(dāng)?shù)拇胧﹣肀ＷC網(wǎng)絡(luò)系統(tǒng)的安全性要求。 特別是企業(yè)網(wǎng)絡(luò)系統(tǒng)，由于其性質(zhì)和工作水平，不可避免地包含了大量的私人信息。 因此，內(nèi)部網(wǎng)絡(luò)可以分為多個不同的子網(wǎng)，可以根據(jù)具體情況分開，將包含機(jī)密信息網(wǎng)

46、絡(luò)和不包含機(jī)密信息網(wǎng)絡(luò)進(jìn)行區(qū)分; 保密要求特別高的信息需要獨(dú)立存儲，而不是連接到共享網(wǎng)絡(luò)。3.3.2 系統(tǒng)性能需求1性能需求安全檢測系統(tǒng)的性能要求包括：采用獨(dú)立數(shù)據(jù)庫的集中數(shù)據(jù)管理，充分利用系統(tǒng)資源，可支持50-100臺主機(jī)實時監(jiān)控，遠(yuǎn)程監(jiān)控功能響應(yīng)時間少于1秒。 2高效、功能實用界面簡單，使用人員“一目了然”，短時間內(nèi)可以起到企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的作用，系統(tǒng)在服務(wù)器中提供了友好的圖形用戶界面，要求用戶操作簡單方便 ，操作清楚。 系統(tǒng)還特別設(shè)計了用戶信息功能，為了更好的增加用戶和系統(tǒng)管理員之間的通信，對系統(tǒng)功能進(jìn)行更好的維護(hù)、改進(jìn)和完善，使企業(yè)網(wǎng)絡(luò)安全系統(tǒng)逐步完善。3 可擴(kuò)展性本文針對企業(yè)網(wǎng)絡(luò)

47、安全管理體系的設(shè)計，因此，我們必須有很好的處理這個問題的能力。 增加網(wǎng)絡(luò)訪問次數(shù)。 這就要求數(shù)據(jù)庫系統(tǒng)的改進(jìn)和數(shù)據(jù)庫系統(tǒng)的擴(kuò)展，提出了更高、更新的要求。4維護(hù)性 系統(tǒng)維護(hù)是系統(tǒng)正常運(yùn)行的先決條件。 更新和備份數(shù)據(jù)庫，也是保證系統(tǒng)安全運(yùn)行的重要保證。5接口要求 （1）：軟件界面：使用Micrisoft SQL Server數(shù)據(jù)庫企業(yè)版46，支持Windows XP微軟系列操作系統(tǒng)；（2） 通訊接口；系統(tǒng)實時監(jiān)控部分使用UDP協(xié)議，數(shù)據(jù)庫連接采用ADO方式。3.4 模式匹配算法在本文中，實施入侵檢測系統(tǒng)，采用模式匹配算法作為網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測引擎核心。 然后，模式匹配算法的性能直接影響了網(wǎng)絡(luò)入

48、侵檢測系統(tǒng)的檢測效率。 特別是在高速網(wǎng)絡(luò)中，如果模式匹配算法不能及時處理數(shù)據(jù)的實時數(shù)據(jù)包，會導(dǎo)致丟棄一些數(shù)據(jù)包，如果這些數(shù)據(jù)包包含入侵信息網(wǎng)絡(luò)，會導(dǎo)致網(wǎng)絡(luò)入侵 檢測系統(tǒng)缺失。 因此，模式匹配算法非常重要。 在本文中，我們使用多模式匹配算法。 WM多模式匹配算法由Sun Wu和Udi Manber于1994年提出，該方法工藝簡單、效率高。WM算法首先預(yù)處理模式字符串。 預(yù)處理階段創(chuàng)建三個表：SHIFT表、HASH表和PREFIX表。 SHIFT表用于在掃描文本字符串時根據(jù)讀取的字符串確定可跳過的字符數(shù)。 HASH表用于存儲多個模式字符塊的HASH值。 PREFIX表用于存儲第一個字符串和第一個字

49、符哈希值。 WM算法的主要過程匹配：每個掃描B字符：。 （1）掃描文本的末B位通過hash function函數(shù)計算其哈希值h。 （2）檢查SHIFT表，如果SHIFT h 0，文本指針向右SHIFT h位，執(zhí)行（1），SHIFT 3 = 0執(zhí)行（3）。 （3）計算前一個m位的當(dāng)前位置和前一個m-1前綴的哈希值，記錄為text_prefix。 （4）對于每個p（HASH h pHASH h + 1），看是否PREFIX p = text_prefix。 如果它們相等，則讓真實模式字符串按照字符進(jìn)行匹配。WM算法的總時間復(fù)雜度為O(M)+O(BN/m)=O(mp)+O(BN/m)。 WM算法平均

50、時間復(fù)雜度O(BN/m)，其中B是塊字符的長度，N是文本的長度，m是模式字符串的最短長度。 O(M）是計算哈希值所需的時間，O（mp）是所有非零移動所需的時間。3.5 本章小結(jié) 本章對網(wǎng)絡(luò)安全檢測系統(tǒng)的需求背景進(jìn)行了簡要介紹，分析了系統(tǒng)的整體功能，對子功能進(jìn)行了用例描述，最后描述了系統(tǒng)的性能、易用性、接口等非功能性的要求，并對本文采用的模式匹配算法進(jìn)行了說明。第4章 企業(yè)計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計4.1系統(tǒng)拓?fù)浣Y(jié)構(gòu)和軟件邏輯構(gòu)成4.1.1 系統(tǒng)整體拓?fù)浣Y(jié)構(gòu)C / S模式是一種兩層結(jié)構(gòu)的系統(tǒng)：第一層是在客戶端系統(tǒng)中，結(jié)合業(yè)務(wù)邏輯，第二層是網(wǎng)絡(luò)與數(shù)據(jù)庫服務(wù)器。 該模型主要包括客戶應(yīng)用、服務(wù)器管理和中

51、間件三部分。 首先，互動是固有的優(yōu)勢。 在C / S中，客戶端有一套完整的應(yīng)用程序，錯誤的提示，在線幫助等功能非常強(qiáng)大，可以自由切換子程序。 其次，該模型提供了更安全的訪問模式。 由于C / S配置是點(diǎn)對點(diǎn)結(jié)構(gòu)，因此適用于局域網(wǎng)，因此可以確保安全性。 在實現(xiàn)中，我們使用C / S架構(gòu)的網(wǎng)絡(luò)安全檢測系統(tǒng)，其主要原因是考慮小規(guī)模應(yīng)用，實時要求，系統(tǒng)使用的結(jié)構(gòu)如圖4-1所示。 圖4-1 安全監(jiān)測系統(tǒng)網(wǎng)絡(luò)拓?fù)?.1.2 系統(tǒng)整體拓?fù)浣Y(jié)構(gòu) 軟件系統(tǒng)由部署在受控機(jī)器上的安全檢測代理和部署在安全檢測服務(wù)器上的主程序和系統(tǒng)數(shù)據(jù)庫組成。 主要控制方案負(fù)責(zé)政策管理和管理控制要求。 安全檢測代理讀取并執(zhí)行管理策略響

52、應(yīng)控制終端程序管理控制請求。 系統(tǒng)數(shù)據(jù)庫用于存儲策略和審計信息47。 系統(tǒng)軟件的邏輯結(jié)構(gòu)如圖4-2所示。管理控制請求求 主控端軟件（安全監(jiān)測服務(wù)器） 安全監(jiān)測代理（被控主機(jī)）管理控制請求響應(yīng) 戶籍信息管理系統(tǒng)管理策略讀取管理策略下發(fā)用戶信息審計信息上報 圖4-2 系統(tǒng)軟件邏輯構(gòu)成4.2系統(tǒng)功能設(shè)計系統(tǒng)的整體結(jié)構(gòu)分為六個管理模塊：用戶身份管理模塊、實時監(jiān)控模塊、硬件對象管理模塊、軟件對象管理模塊、網(wǎng)絡(luò)對象管理模塊和文件對象管理模塊，如圖4-3所示。 網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)用戶身份管理模塊硬件對象管理模塊軟件對象管理模塊實時監(jiān)控模塊文件對象管理模塊網(wǎng)絡(luò)對象管理模塊 圖4-3 系統(tǒng)整體功能框圖4.2.1

53、用戶身份管理功能設(shè)計用戶身份主要是完成系統(tǒng)用戶的添加、刪除等功能。 系統(tǒng)使用基于角色的訪問控制模型來實現(xiàn)用戶身份管理，主要操作包括新建角色和刪除角色。 選擇角色時，可以修改角色（修改角色名稱和角色描述）和控制規(guī)則設(shè)置。 其中，控制規(guī)則由選定的策略開發(fā)，新策略的作用應(yīng)寫入數(shù)據(jù)庫和安全檢測代理應(yīng)用的新策略。 圖4-4顯示了用戶角色的新建處理流程。 開 始 注冊登錄提示：沒有權(quán)限 N是一級管理嗎 Y輸入角色名制定角色策略數(shù)據(jù)庫角色表中插入新角色 N插入是否成功提示：插入失敗 Y 結(jié)束圖4-4 角色新建邏輯處理流程在創(chuàng)建角色的過程中，首先確定管理員權(quán)限。 有權(quán)重名檢測。 如果沒有重復(fù)的名稱，請在數(shù)據(jù)庫

54、中創(chuàng)建一個新角色，填寫角色名稱和策略選項。 插入成功返回處理結(jié)果，否則插入失敗。 4.2.2 實時監(jiān)控功能設(shè)計實時監(jiān)控主要包括主機(jī)的進(jìn)程列表的在線控制，實時桌面和文件目錄的查看和記錄。 設(shè)計思路是使用UDP部署控制主機(jī)檢測代理發(fā)送監(jiān)控命令，檢測代理程序接收控制指令，根據(jù)執(zhí)行指令分析實現(xiàn)本地列表讀取，實時桌面截圖、文件目錄信息讀取操作，并返回相應(yīng)的信息。 服務(wù)器獲取進(jìn)程快照，如圖4-5所示。 開 始發(fā)送指令次數(shù)遞增 UDP發(fā)送進(jìn)程監(jiān)控指令 初始化等待時間是否收到UDP包 Y 時間變量自增 N N等待時間是否大于閾值？ N等待時間是否大于閾值？ Y顯示進(jìn)程信息暫存進(jìn)程信息 Y 解析數(shù)據(jù)包傳輸故障提示 結(jié)束圖4-5 讀取被控主機(jī)進(jìn)程信息安全檢測代理的進(jìn)程監(jiān)控處理邏輯如圖 4-6 所示。實時監(jiān)控文件目錄采集和桌面快照的邏輯處理過程和進(jìn)程監(jiān)控類似于檢測代理，讀取相應(yīng)的信息返回服務(wù)器返回相應(yīng)的查詢結(jié)果。 最后，通過安全檢測服務(wù)器在管理員的用戶界面上顯示輸出。 開 始 獲取進(jìn)行信息和列表指令獲取進(jìn)程信息列表結(jié)構(gòu)發(fā)送進(jìn)程信息列表結(jié)構(gòu) Y是否收到主控端確認(rèn)信息？ 發(fā)送次數(shù)自增 N N傳送次數(shù)是都大于閥值？ Y 日志記錄 結(jié)束 圖4-6安全檢測代理的進(jìn)程監(jiān)控流程4.2.3 軟件對象管理功