畢業(yè)論文----基于部署的軟件應(yīng)用安全技術(shù)研究

1、<p>　　基于部署的軟件應(yīng)用安全技術(shù)研究</p><p><b>　　目錄</b></p><p>　　摘要.........................................................................................................................3<

2、;/p><p>　　Abstract..................................................................................................................4</p><p>　?。很浖?yīng)用的部署技術(shù)............................................

3、................................5</p><p>　　1.1部署技術(shù)概述..........................................................................................5</p><p>　　1.1.1 基于部署的硬件配置..........................

4、............................................5</p><p>　　1.1.2 軟件應(yīng)用安全的網(wǎng)絡(luò)環(huán)境..............................................................5</p><p>　　1.1.3 軟件應(yīng)用的操作系統(tǒng)..................................

5、....................................5</p><p>　　1.2網(wǎng)絡(luò)安全現(xiàn)狀及重要性..........................................................................5</p><p>　　1.2.1內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀....................................

6、.......................................5</p><p>　　1.2.2 因特網(wǎng)的發(fā)展及其安全問題..........................................................7</p><p>　?。很浖?yīng)用中常見的安全問題及解決辦法.......................................

7、.....7</p><p>　　2.1網(wǎng)絡(luò)信息安全的主要威脅......................................................................8</p><p>　　2.2.網(wǎng)絡(luò)信息安全的保護(hù)措施....................................................................

8、..8</p><p>　　2.2.1物理層及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全措施...............................................8</p><p>　　2.2.2對操作系統(tǒng)和應(yīng)用程序的安全措施...............................................8</p><p>　　2.2.3對內(nèi)部網(wǎng)絡(luò)系統(tǒng)

9、數(shù)據(jù)的安全措施...................................................8</p><p>　　2.2.4其它保護(hù)措施...................................................................................9</p><p>　　2.3網(wǎng)絡(luò)面臨的常見攻擊方式......

10、................................................................9</p><p>　　基于部署的軟件應(yīng)用安全技術(shù).............................................................10</p><p>　　3.1網(wǎng)絡(luò)安全隔離與連接.....................

11、........................................................10</p><p>　　3.2入侵檢測系統(tǒng)的部署.............................................................................13</p><p>　　3.3漏洞掃描..................

12、...............................................................................14</p><p>　　3.4網(wǎng)絡(luò)防病毒系統(tǒng)部署.............................................................................16</p><p>　　.

13、 3.5優(yōu)化網(wǎng)絡(luò)鏈接的部署..............................................................................17</p><p>　　：實(shí)證研究及結(jié)論...................................................................................20</p>

14、<p>　?。ㄒ唬?，實(shí)證問題概述.................................................................................20</p><p>　?。ǘ枰鉀Q的主要問題.....................................................................22</p&

15、gt;<p>　?。ㄈ?，解決方案.........................................................................................22</p><p>　?。ㄋ模?，重點(diǎn)過程描述........................................................................

16、.........23</p><p>　?。ㄎ澹?，實(shí)證結(jié)論.........................................................................................26</p><p>　　參考文獻(xiàn)............................................................

17、.....................................................</p><p>　　致謝..........................................................................................................................</p><p>

18、;<b>　　摘要</b></p><p>　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)上各種應(yīng)用的不斷豐富,網(wǎng)絡(luò)安全問題日益成為人們關(guān)注的焦點(diǎn)。人們在網(wǎng)絡(luò)安全部署策略中更多地注重網(wǎng)絡(luò)邊界的安全，防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護(hù)手段，我們通常認(rèn)為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡(luò)，一套僅用于內(nèi)部員工辦公和資源共享，稱之為內(nèi)部網(wǎng)絡(luò);另一套用于連

19、接互聯(lián)網(wǎng)檢索資料，稱之為外部網(wǎng)絡(luò)，同時使內(nèi)外網(wǎng)物理斷開;另外采用防火墻、入侵檢測設(shè)備等，但據(jù)統(tǒng)計(jì)超過50%的網(wǎng)絡(luò)及信息安全問題源于內(nèi)部人員所為，其次才是外部黑客的攻擊。由于內(nèi)網(wǎng)是一個由網(wǎng)絡(luò)設(shè)備與信息系統(tǒng)組成的復(fù)雜環(huán)境，連接便捷、應(yīng)用系統(tǒng)多、重要數(shù)據(jù)多是其顯著特點(diǎn),如果疏于對內(nèi)網(wǎng)的安全防范,那么就極易出現(xiàn)應(yīng)用系統(tǒng)被非法使用、數(shù)據(jù)被竊取和被破壞等情況，因此注重內(nèi)網(wǎng)安全系統(tǒng)建設(shè)、有效防范源自內(nèi)部的安全問題，其意義較之于外網(wǎng)安全防范更為重大。目

20、前，在我國的各個行業(yè)系統(tǒng)中，無論是涉及科學(xué)研究的大型研究所，還是擁有自主知識產(chǎn)權(quán)的發(fā)展中企業(yè)，都有大量的技術(shù)和業(yè)務(wù)機(jī)密存儲在計(jì)算機(jī)和網(wǎng)絡(luò)中，如何有效地保護(hù)這些機(jī)密數(shù)據(jù)信息，已引起各單位的巨大關(guān)注!</p><p><b>　　Abstract</b></p><p>　　With the development of network technology and th

21、e Internet continue to enrich a wide range of applications, network security issues are increasingly becoming the focus of attention. Deployed in the network security strategy to focus more on network perimeter security,

22、 anti-virus, anti-hackers, data backup is a commonly used means of data protection, we normally think that hackers, viruses, worms and a variety of most of the attacks from outside therefore taken a series of preventive

23、measures, s</p><p>　?。很浖?yīng)用的部署技術(shù)</p><p>　　簡單的說部署就是把設(shè)計(jì)好的程序或是硬件放到一定的環(huán)境系統(tǒng)中運(yùn)行，從而發(fā)揮它的作用，這就是部署。我所要研究的重點(diǎn)是基于部署的軟件應(yīng)用安全技術(shù)，就是在一個環(huán)境中通過部署，從而使所部署的這個系統(tǒng)的軟件更好的發(fā)揮其自身的作用。</p><p>　　1.1 部署技術(shù)概述</p>

24、<p>　　1.1.1 基于部署的硬件配置</p><p>　　那么部署在網(wǎng)絡(luò)環(huán)境中的硬件都有哪些呢？像防火墻、物理隔離網(wǎng)閘、網(wǎng)關(guān)、還原卡、磁盤陣列、LanGate、Win Pass CA 證書服務(wù)器、負(fù)載均衡器、交換機(jī)等等...............</p><p>　　1.1.2 軟件應(yīng)用安全的網(wǎng)絡(luò)環(huán)境</p><p>　　一個安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)

25、該具有可靠性、可用性、完整性、保密性和真實(shí)性等特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，還要保護(hù)數(shù)據(jù)安全等。因此針對計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個計(jì)算機(jī)網(wǎng)絡(luò)都要認(rèn)真對待的一個重要問題。</p><p>　　1.1.3 軟件應(yīng)用的操作系統(tǒng)</p><p>　　Windows2000的安全模式使各組織可以與

26、合作伙伴、供應(yīng)商以及在信任關(guān)系之上使用基于Internet技術(shù)的消費(fèi)者安全地交互。Windows 2000的活動目錄對用戶、組及計(jì)算機(jī)賬戶信息采用分層命名，存儲了所有的域安全策略和賬戶信息?？梢岳媒M策略編輯器設(shè)置各種功能，包括軟件設(shè)置、應(yīng)用程序配置選項(xiàng)、腳本、用戶設(shè)置、文檔選項(xiàng)及安全設(shè)置。Windows2000安全性，又稱為“分布式安全性”，它包括基于Internet標(biāo)準(zhǔn)安全協(xié)議的鑒別，采用Kerberos 5作為默認(rèn)鑒別協(xié)議。它使用

27、Internet安全協(xié)議IPSec。Windows 2000使用基于Internet技術(shù)的虛擬專用網(wǎng)VPN，通過ISP，IIS及VPN服務(wù)器來建立Inter—net連接?？衫肰PN通過公共網(wǎng)來傳輸專用網(wǎng)數(shù)據(jù)。此外，可利用Windows 2000提供的加密文件系統(tǒng)EFS對文件進(jìn)行加密保護(hù)。</p><p>　　1.2網(wǎng)絡(luò)安全現(xiàn)狀及重要性</p><p>　　1.2.1內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀<

28、;/p><p>　　目前很多企事業(yè)單位都加快了企業(yè)信息化的進(jìn)程，在網(wǎng)絡(luò)平臺上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并按照國家有關(guān)規(guī)定實(shí)行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計(jì)算機(jī)集成制造(CIMS)或企業(yè)資源計(jì)劃(ERP)，逐步實(shí)現(xiàn)企業(yè)信息的高度集成，構(gòu)成完善的企事業(yè)問題解決鏈。</p><p>　　在網(wǎng)絡(luò)安全方面

29、系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認(rèn)識，或是根據(jù)國家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定，購置部分網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡(luò)上，然而這些產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強(qiáng)，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、涉密信息分散的特點(diǎn)，各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴(yán)密的、相互協(xié)同工作的安全體系。同時在安全性和費(fèi)用問題上形成

30、一個相互對立的局面，如何在其中尋找到一個平衡點(diǎn)，也是眾多企業(yè)中普遍存在的焦點(diǎn)問題。</p><p>　　由此可見，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。所以，計(jì)算機(jī)網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。</p><p>　　內(nèi)部網(wǎng)絡(luò)更易受到

31、攻擊</p><p>　　為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下：</p><p>　　(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分，基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及，典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等，這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。

32、</p><p>　　(2)在對Internet嚴(yán)防死守和物理隔離的措施下，對網(wǎng)絡(luò)的破壞，大多數(shù)來自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因?yàn)槟壳搬槍?nèi)部網(wǎng)絡(luò)安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒有去打上補(bǔ)丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺，自然有更多的系統(tǒng)漏洞。</p><p>　　(3)黑客工具在Internet上很容易獲得，這些工具對Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性

33、。這是內(nèi)部人員(包括對計(jì)算機(jī)技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。</p><p>　　(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。</p><p>　　(5)為了簡單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機(jī)密數(shù)據(jù)的可能性。</p><p>　　(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對數(shù)據(jù)庫、直接

34、對服務(wù)器進(jìn)行操作，利用內(nèi)網(wǎng)速度快的特性，對關(guān)鍵數(shù)據(jù)進(jìn)行竊取或者破壞。</p><p>　　(7)眾多的使用者所有不同的權(quán)限，管理更困難，系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對使用者的管理也不是很嚴(yán)格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。</p><p>　　(8)涉密信息不僅僅限于服務(wù)器，同時也分布于各個工作計(jì)算機(jī)中，目前對個人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。

35、</p><p>　　(9)由于人們對口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中，黑客的口令破解程序更易奏效。</p><p>　　1.2.2 因特網(wǎng)的發(fā)展及其安全問題</p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的廣泛深入，網(wǎng)絡(luò)安全問題變得日益復(fù)雜和突出。網(wǎng)絡(luò)的資源共享、信息交換和分布處理提供的良好的環(huán)境，使得網(wǎng)絡(luò)深入到社會生活的各個方面

36、，逐步成為國家和政府機(jī)構(gòu)運(yùn)轉(zhuǎn)的命脈和社會生活的支柱。這一方面提高了工作效率，另一方面卻由于自身的復(fù)雜性和脆弱性，使其受到威脅和攻擊的可能性大大增加。眾所周知，因特網(wǎng)是世界上最大的計(jì)算機(jī)網(wǎng)絡(luò)，它連接了全球不計(jì)其數(shù)的網(wǎng)絡(luò)與電腦。同時因特網(wǎng)也是世界上最開放的系統(tǒng)，任何地方的電腦，只要遵守共同的協(xié)議即可加入其中川。因特網(wǎng)的特點(diǎn)就是覆蓋的地理范圍廣，資源共享程度高。</p><p>　　由于因特網(wǎng)網(wǎng)絡(luò)協(xié)議的開放性，系統(tǒng)的通

37、用性，無政府的管理狀態(tài)，使得因特網(wǎng)在極大地傳播信息的同時，也面臨著不可預(yù)測的威脅和攻擊。網(wǎng)絡(luò)技術(shù)越發(fā)展，對網(wǎng)絡(luò)進(jìn)攻的手段就越巧妙，越多樣性。一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性和信息共享促進(jìn)了網(wǎng)絡(luò)的飛速發(fā)展，另一方面也正是這種開放性以及計(jì)算機(jī)本身安全的脆弱性，導(dǎo)致了網(wǎng)絡(luò)安全方面的諸多漏洞[2]?？梢哉f，網(wǎng)絡(luò)安全問題將始終伴隨著因特網(wǎng)的發(fā)展而存在。所以，網(wǎng)絡(luò)的安全性同網(wǎng)絡(luò)的性能、可靠性和可用性一起，成為組建、運(yùn)行網(wǎng)絡(luò)不可忽視的問題。</p&

38、gt;<p>　?。很浖?yīng)用中常見的安全問題及解決辦法</p><p>　　當(dāng)我們直接面對互聯(lián)網(wǎng)的時候，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患發(fā)生任何一次對整個網(wǎng)絡(luò)都將是致命性的。下面就上面提出的問題簡要地提出相應(yīng)的解決方法。</p><p>　　1、網(wǎng)絡(luò)病毒的防范。在網(wǎng)絡(luò)中，病毒已從存儲介質(zhì)(軟、硬、光盤)的感

39、染</p><p>　　發(fā)展為網(wǎng)絡(luò)通信和電子郵件的感染。所以，防止計(jì)算機(jī)病毒是計(jì)算機(jī)網(wǎng)絡(luò)安全工</p><p><b>　　作的重要環(huán)節(jié)。</b></p><p>　　2、網(wǎng)絡(luò)安全隔離。網(wǎng)絡(luò)和網(wǎng)絡(luò)之間互聯(lián)，同時給有意、無意的黑客或破壞者帶來了充分的施展空間。所以，網(wǎng)絡(luò)之間進(jìn)行有效的安全隔離是必須的。</p><p>　　

40、3、網(wǎng)絡(luò)監(jiān)控措施。在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制可以做到最大限度的網(wǎng)絡(luò)資源保護(hù)。</p><p>　　4、網(wǎng)絡(luò)安全漏洞。對于非專業(yè)人員來說，無法確切了解和解決服務(wù)器系統(tǒng)和整個網(wǎng)絡(luò)的安全缺陷及安全漏洞，因此需要借助第三方軟件來解決此安全隱患，并提出相應(yīng)的安全解決方案。</p><p>　　5、數(shù)據(jù)備份和恢復(fù)。設(shè)備可以替換，數(shù)據(jù)一旦被破壞或丟失，其損失幾乎可以用災(zāi)難來衡量。

41、所以，做一套完整的數(shù)據(jù)備份和恢復(fù)措施是校園網(wǎng)迫切需要的。</p><p>　　6、有害信息過濾。對于大中型網(wǎng)絡(luò)，必須采用一套完整的網(wǎng)絡(luò)管理和信息過濾相結(jié)合的系統(tǒng)，實(shí)現(xiàn)對整個網(wǎng)絡(luò)內(nèi)電腦訪問互聯(lián)網(wǎng)進(jìn)行有害信息過濾管理。</p><p>　　7、網(wǎng)絡(luò)安全服務(wù)。為確保整個網(wǎng)絡(luò)的安全有效運(yùn)行，有必要對整個網(wǎng)絡(luò)進(jìn)行全面的安全性分析和研究，制定出一套滿足網(wǎng)絡(luò)實(shí)際安全需要的、切實(shí)可行的安全管理和設(shè)備配備方

42、案。</p><p>　　2.1網(wǎng)絡(luò)信息安全的主要威脅</p><p>　　對網(wǎng)絡(luò)的威脅，依據(jù)其來源可分為以下四個方面:(l)物理層和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不安全因素;(2)操作系統(tǒng)和應(yīng)用軟件的不安全因素;(3)人員的不安全因素:(4)環(huán)境及其它無法預(yù)料的因素。由于網(wǎng)絡(luò)所帶來的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)來堵塞安全漏洞和提供安全的通信服務(wù)。 </p>&l

43、t;p>　　如今，快速發(fā)展的網(wǎng)絡(luò)安全技術(shù)能從不同角度來保證網(wǎng)絡(luò)信息不受侵犯，網(wǎng)絡(luò)安全的基本技術(shù)主要有:網(wǎng)絡(luò)入侵檢測技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)加密技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗(yàn)證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)等。確保網(wǎng)絡(luò)安全的各種技術(shù)應(yīng)全方位地針對各種不同的威脅和脆弱性，確保網(wǎng)絡(luò)的保密性、完整性和可用性。網(wǎng)絡(luò)應(yīng)該采取何種控制技術(shù)保證安全訪問而絕對禁止非法者進(jìn)入，真正實(shí)現(xiàn)既要使網(wǎng)絡(luò)開放又要使網(wǎng)絡(luò)安全的目標(biāo)，己成為網(wǎng)絡(luò)建設(shè)及安全

44、的重大問題，同時也是網(wǎng)絡(luò)界最重要的研究課題。</p><p>　　2.2.網(wǎng)絡(luò)信息安全的保護(hù)措施</p><p>　　2.2.1物理層及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全措施</p><p>　　對物理層與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的電磁泄露采取的措施主要有:</p><p>　　(l)對傳輸電纜加金屬予以屏蔽，必要時埋于地下或加露天保護(hù);</p><

45、p>　　傳輸線路應(yīng)遠(yuǎn)離各種強(qiáng)輻射源，以免數(shù)據(jù)由于干擾而出錯;</p><p>　　監(jiān)控集中器和調(diào)制解調(diào)器，以免外連;</p><p>　　(4)定期檢查線路，以防搭線接聽、外連或破壞;</p><p><b>　　(5)端口保護(hù);</b></p><p>　　(6)安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)協(xié)議選用。</p

46、><p>　　2.2.2對操作系統(tǒng)和應(yīng)用程序的安全措施</p><p>　　對操作系統(tǒng)和應(yīng)用程序的最主要的安全措施就是使用系統(tǒng)安全掃描儀。操作系統(tǒng)掃描儀能自動全面監(jiān)測操作系統(tǒng)的配置，找出其漏洞。內(nèi)部網(wǎng)絡(luò)掃描儀熟悉整個網(wǎng)絡(luò)，可以系統(tǒng)地監(jiān)測每一網(wǎng)絡(luò)設(shè)備的安全漏洞，網(wǎng)絡(luò)管理人員應(yīng)用安全掃描儀可以對系統(tǒng)安全實(shí)施有效的控制。</p><p>　　2.2.3對內(nèi)部網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全

47、措施</p><p><b>　　1、用戶身份認(rèn)證</b></p><p>　　用戶身份認(rèn)證有基于令牌的身份驗(yàn)證和Kerberos等算法。驗(yàn)證令牌的原理是由身份認(rèn)證服務(wù)器AS(Autheniicationserver)負(fù)責(zé)管理用戶登錄，AS根據(jù)用戶登錄時的P取(PersonalIdentifieationNUmber)，查找內(nèi)部數(shù)據(jù)庫，找出相應(yīng)令牌的Key，根據(jù)兩者產(chǎn)

48、生的序列或隨即數(shù)來判定用戶是否合法。Ketheros是一種通過共同的第三方建立信任的，基于保密密鑰的身份認(rèn)證算法，使DES加密方法。</p><p><b>　　2、訪問控制</b></p><p>　　訪問控制是對訪問者及訪問過程的一種權(quán)限授予。訪問控制在鑒別機(jī)制提供的信息基礎(chǔ)上，對內(nèi)部文件和數(shù)據(jù)庫的安全屬性和共享程度進(jìn)行設(shè)置，對用戶的使用權(quán)限進(jìn)行劃分。對用戶的訪問

49、控制可在網(wǎng)絡(luò)層和信息層兩個層次進(jìn)行，即在用戶進(jìn)入網(wǎng)絡(luò)和訪問數(shù)據(jù)庫或服務(wù)器時，對用戶身份分別進(jìn)行驗(yàn)證。驗(yàn)證機(jī)制為:在網(wǎng)絡(luò)層采用國際通用的分布式認(rèn)證協(xié)議—RADIUS，對用戶的授權(quán)在接入服務(wù)器NAS上完成，在NAS上通過FILTER的方式限制訪問:在信息層采用COOKIE機(jī)制，配合數(shù)字簽名技術(shù)，保證系統(tǒng)的安全性。</p><p><b>　　3、代理服務(wù)器</b></p><

50、p>　　代理服務(wù)器的使用可以使內(nèi)部網(wǎng)絡(luò)成為一個獨(dú)立的封閉回路，從而使網(wǎng)絡(luò)更加安全?？蛻舳税l(fā)來的HTTP請求，可經(jīng)代理服務(wù)器轉(zhuǎn)發(fā)給異地的WEB服務(wù)器，并將異地的WEB服務(wù)器傳來的響應(yīng)傳回客戶端。通過對代理服務(wù)器的設(shè)置，可以對客戶身份進(jìn)行認(rèn)證和對各種信息進(jìn)行過濾，限制有害信息的進(jìn)入和限制對某些主機(jī)或域的訪問，網(wǎng)絡(luò)管理人員也可以通過代理服務(wù)器的日志獲取更多的網(wǎng)管信息。</p><p>　　4、數(shù)據(jù)的完整性保護(hù)&l

51、t;/p><p>　　數(shù)據(jù)的完整性是指數(shù)據(jù)來自正確的發(fā)送方，送到了正確的接收方。接收方與發(fā)送方的數(shù)據(jù)內(nèi)容一致、時序一致且沒有重復(fù)接收，即數(shù)據(jù)的完整性包括數(shù)據(jù)的安全性和數(shù)據(jù)的可信性兩方面。保護(hù)措施是增加敵方所不能控制的冗余信息，同時對數(shù)據(jù)進(jìn)行加密。</p><p><b>　　5、數(shù)字簽名</b></p><p>　　基于先進(jìn)密鑰技術(shù)的數(shù)字簽名是系統(tǒng)

52、防止數(shù)據(jù)在產(chǎn)生、存放和運(yùn)輸過程中不網(wǎng)絡(luò)安全技術(shù)及其應(yīng)用與研究被篡改的主要技術(shù)手段，數(shù)字簽名所用的簽署信息是簽名者所專有的，并且是秘密的和唯一的，簽名只能由簽名者的專用信息來產(chǎn)生。數(shù)字簽名實(shí)際上是一個收發(fā)雙方應(yīng)用密文進(jìn)行簽名和確認(rèn)的過程，是數(shù)據(jù)完整性、公證以及認(rèn)證機(jī)制的基礎(chǔ)。數(shù)字簽名不但能使接收方確保發(fā)送源的真實(shí)性，也能保證發(fā)送接收雙方對自己的行為無法否認(rèn)。目前，數(shù)字簽名技術(shù)己成為密碼學(xué)中研究和應(yīng)用的熱點(diǎn)之一。</p>&l

53、t;p><b>　　6、防火墻技術(shù)</b></p><p>　　防火墻技術(shù)作為一種訪問控制，是在內(nèi)外部網(wǎng)絡(luò)之間建立一個保護(hù)層，使外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問受到一定的隔離，而內(nèi)部網(wǎng)絡(luò)成員仍能方便地訪問外部網(wǎng)絡(luò)，從而保護(hù)內(nèi)部網(wǎng)絡(luò)資源免受外部的非法入侵和干擾。</p><p>　　2.2.4其它保護(hù)措施</p><p>　　網(wǎng)絡(luò)信息安全是一項(xiàng)綜合

54、性的技術(shù)，不但是技術(shù)和法律問題，更是一個人的思想意識問題。所以，在盡量堵塞安全中的技術(shù)漏洞的同時，應(yīng)注意人為和環(huán)境的不安全因素，加強(qiáng)人的安全意識和保密觀念，增強(qiáng)用戶的自我保護(hù)能力。同時要進(jìn)行安全立法，運(yùn)用法律手段保護(hù)信息的安全。</p><p>　　2.3網(wǎng)絡(luò)面臨的常見攻擊方式</p><p>　　人類不斷研究和發(fā)展新的信息安全機(jī)制和工程實(shí)踐，為戰(zhàn)勝計(jì)算機(jī)網(wǎng)絡(luò)安全威脅付出了艱巨的努力。各種

55、攻擊手段不斷地涌現(xiàn)出新的變鐘，這樣，與以前的攻擊手段相比較更加智能化。攻擊目標(biāo)直指因特網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從web程序的控制程序到內(nèi)核級rootkits，黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。但各種攻擊手段大多數(shù)都是基于節(jié)七b應(yīng)用程序的攻擊、后門、ro。次its、DOS和sniffer等攻擊機(jī)制產(chǎn)生的。下面列舉的是一些常見的攻擊方式，由于篇幅所限，只列出名稱，不一一詳述。常見的攻擊方式:(l)基于Web

56、應(yīng)用程序的攻擊;(2)后門;(3)拒絕服務(wù)攻擊(DoS);(4)Sniffer;(5)利用程序自動更新存在的缺陷;(6)針對路由或DNS的攻擊;(7)緩沖區(qū)溢出;(8)電子郵件攻擊等。</p><p>　?。夯诓渴鸬能浖?yīng)用安全技術(shù)</p><p>　　3.1網(wǎng)絡(luò)安全隔離與連接</p><p>　　網(wǎng)絡(luò)安全連接與隔離應(yīng)包括防火墻的系統(tǒng)與vPN(虛擬專用網(wǎng))系統(tǒng)，其

57、中防火墻的系統(tǒng)負(fù)責(zé)安全隔離，而VPN系統(tǒng)負(fù)責(zé)局域網(wǎng)的安全連接。</p><p><b>　　1、防火墻的系統(tǒng)</b></p><p><b>　　防火墻設(shè)計(jì)</b></p><p>　　(l)防火墻的安全策略</p><p>　　制定防火墻安全策略如下:所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)包都必須經(jīng)過防火墻

58、;只有被安全策略允許的數(shù)據(jù)包才能通過防火墻:防火墻本身要有預(yù)防入侵的功能;默認(rèn)禁止所有服務(wù)，除非是必須的服務(wù)才被允許。</p><p>　　(2)防火墻系統(tǒng)的設(shè)計(jì)</p><p>　　防火墻采用安全性最好的被屏蔽子網(wǎng)結(jié)構(gòu)，由外部路由器、DMZ周邊網(wǎng)(又叫參數(shù)網(wǎng)或非軍事區(qū))和內(nèi)部路由器組成。外部路由器起到保護(hù)周邊網(wǎng)的作用。它把入站的數(shù)據(jù)包路由到代理服務(wù)器(堡壘主機(jī))，由包過濾原則，過濾黃色、

59、反動網(wǎng)站信息;內(nèi)部網(wǎng)采用內(nèi)部IP地址并以此劃分子網(wǎng)。外部路由器禁止源地址為內(nèi)部地址的入站包，由此防止IP欺騙攻擊。對外部網(wǎng)用戶的服務(wù)請求，由代理服務(wù)器進(jìn)行認(rèn)證后轉(zhuǎn)接到周邊網(wǎng)相應(yīng)的服務(wù)器上。內(nèi)部路由器將所有內(nèi)部用戶到因特網(wǎng)的訪問均路由到代理服務(wù)器，代理服務(wù)器進(jìn)行地址翻譯，為這些用戶提供服務(wù)，以此屏蔽內(nèi)部網(wǎng)絡(luò)。</p><p>　　另外，將內(nèi)部用戶的Iniranet服務(wù)路由到周邊網(wǎng)和內(nèi)部網(wǎng)的相關(guān)服務(wù)器。禁止除網(wǎng)絡(luò)管理

60、員以外的一切內(nèi)外用戶Telnet到防火墻主機(jī)和其它服務(wù)器，防火墻主機(jī)和其它服務(wù)器均安裝防病毒和入侵檢測軟件，以此保護(hù)所有服務(wù)器。內(nèi)部路由器保護(hù)內(nèi)部網(wǎng)絡(luò)不受因特網(wǎng)和周邊網(wǎng)的侵害，它執(zhí)行大部分的過濾工作，除了具有外部路由器的過濾原則外還過濾內(nèi)部網(wǎng)與代理服務(wù)器之間的數(shù)據(jù)包。從安全性考慮設(shè)立了外部和內(nèi)部的DNS服務(wù)器，外部偽DNS服務(wù)器放在代理服務(wù)器上，回答因特網(wǎng)上的主機(jī)查詢。內(nèi)部的域名服務(wù)器對內(nèi)部主機(jī)提供域名服務(wù)。所有主機(jī)均將IP地址與MAC

61、地址綁定，以此建立網(wǎng)絡(luò)各路由器的ARP表并定期掃描，發(fā)現(xiàn)有非法的IP地址與MAC的映射則自動報警，并用正確的映射表將其覆蓋，以防止IP地址的盜用。在網(wǎng)管服務(wù)器上運(yùn)行記帳軟件，對通過代理訪問因特網(wǎng)的用戶分國內(nèi)和國際流量分別記帳;在網(wǎng)管服務(wù)器上運(yùn)行審計(jì)軟件，配合各服務(wù)器網(wǎng)絡(luò)安全技術(shù)及其應(yīng)用與研究上的入侵檢測軟件，監(jiān)控網(wǎng)絡(luò)上的一切活動。如圖所示：</p><p>　　對內(nèi)部具有敏感數(shù)據(jù)的子網(wǎng)，盡管防火墻有許多防范功能，

62、它也有一些力不能及的地方，表現(xiàn)在:</p><p>　　防火墻不能防范不經(jīng)由防火墻的攻擊。例如，如果允許從內(nèi)部網(wǎng)不受限制地向外撥號，一些用戶可以形成與因特網(wǎng)的直接的SLIP或PPP連接，從而繞過防火墻，造成一個潛在的后門攻擊渠道。防火墻不能防范因管理員疏忽造成的安全問題。傳統(tǒng)防火墻不能防止帶病毒軟件或文件的傳輸。傳統(tǒng)防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊，即當(dāng)有些表面看來無害的數(shù)據(jù)被郵寄或復(fù)制到內(nèi)部網(wǎng)主機(jī)上并被執(zhí)行而發(fā)起的

63、攻擊。從而使入侵者下一次更容易入侵該系統(tǒng)。因此，防火墻并不能解決全部安全問題。因此，我們接下來還將采取安全相應(yīng)的技術(shù)及手段來確保網(wǎng)絡(luò)安全。</p><p>　　2、各局域網(wǎng)的VPN連接</p><p>　　經(jīng)過分析比較，在原有基礎(chǔ)上利用虛擬專用網(wǎng)技術(shù)進(jìn)行互連。構(gòu)成VPN系統(tǒng)的組件分布到防火墻系統(tǒng)中去，與防火墻系統(tǒng)整合。防火墻中的路由器選用帶有VPN模塊，在數(shù)據(jù)流量較大的出口，設(shè)置專用的VP

64、N服務(wù)器。</p><p>　　值得注意的是建立內(nèi)部敏感子網(wǎng)間的安全連接。在內(nèi)部網(wǎng)絡(luò)中，考</p><p>　　慮到一些部門可能存儲有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門同整個網(wǎng)絡(luò)斷開形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護(hù)了部門的重要信息，但由于物理上的中斷，使其他部門的用戶無法訪問，造成通訊上的困難。</p><p>　　采用VPN方案，通過使用一臺

65、VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)之間的互聯(lián)，但是并不能對流向敏感網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行限制。網(wǎng)絡(luò)管理人員通過使用vPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問敏感信息的權(quán)利。此外，可以對所VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的安全性。沒有訪問權(quán)利的用戶無法看到部門的局域網(wǎng)絡(luò)。</p><p>　　網(wǎng)絡(luò)安全技術(shù)應(yīng)用與研究在選用一種遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)

66、方案時都希望能夠?qū)υL問資源和信息的要求加以控制，所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)授權(quán)用戶與網(wǎng)絡(luò)資源的自由連接，不同分支機(jī)構(gòu)之間的資源共享;又能夠確保各網(wǎng)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)。</p><p>　　經(jīng)過設(shè)計(jì)，虛擬專用網(wǎng)系統(tǒng)能夠滿足以下方面的要求:</p><p>　　(l)用戶驗(yàn)證:能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。另外，還可以夠提供審計(jì)和記費(fèi)功能，顯示何人在何時訪問了何種信息。

67、</p><p>　　(2)地址管理:VPN系統(tǒng)能夠?yàn)橛脩舴峙鋵Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。</p><p>　　(3)數(shù)據(jù)加密:對通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。</p><p>　　(4)密鑰管理:能夠生成并更新客戶端和服務(wù)器的加密密鑰。</p><p>　　(5)多協(xié)議支持:支持公共

68、互聯(lián)網(wǎng)絡(luò)上普遍使用的基本協(xié)議，包括IP，IPX等。以點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)或第2層隧道協(xié)議(LZTP)為基礎(chǔ)的VPN方案既能夠滿足以上所有的基本要求，又能夠充分利用遍及世界各地的Intemet互聯(lián)網(wǎng)絡(luò)的優(yōu)勢。其它方案，包括安全I(xiàn)P協(xié)議(IPSec)，雖然不能滿足上述全部要求，但是仍然適用于在特定的環(huán)境。此外，利用VPN系統(tǒng)的審計(jì)和報替功能，網(wǎng)管可以有效地管理VPN系統(tǒng)。網(wǎng)絡(luò)管理人員能夠隨時跟蹤和掌握以下情況:系統(tǒng)的使用者，連接數(shù)目，

69、異?；顒?，出錯情況，以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時信息對審計(jì)和報普或其它錯誤提示具有很大幫助。例如，網(wǎng)絡(luò)管理人員為了編制帳單數(shù)據(jù)需要知道何人在使用系統(tǒng)以及使用了多長時間。異?；顒涌赡茴A(yù)示著存在對系統(tǒng)的不正確使用或系統(tǒng)資源出現(xiàn)不足。對設(shè)備進(jìn)行實(shí)時的監(jiān)測可以在系統(tǒng)出現(xiàn)問題時及時向管理員發(fā)出譽(yù)告。一臺隧道服務(wù)器應(yīng)當(dāng)能夠提供以上所有信息以及對數(shù)據(jù)進(jìn)行正確處理所需要的事件日志、報告和數(shù)據(jù)存儲設(shè)備。</p&g

70、t;<p>　　3.2入侵檢測系統(tǒng)的部署</p><p>　　入侵檢側(cè)能力是衡量一個防御體系是否完整有效的重要因素強(qiáng)大的完整的入侵檢測體系可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。根據(jù)網(wǎng)絡(luò)的特點(diǎn)，我們采用基于代理的分布式入侵監(jiān)測技術(shù)，將入侵檢測系統(tǒng)的IDS中心服務(wù)器接入cisc。catalyst6006中心交換機(jī)上，并將其它的網(wǎng)絡(luò)代理分布于各子網(wǎng)中，主機(jī)代理設(shè)置在需要保護(hù)的工作站上。入侵檢測系統(tǒng)集入侵檢測、

71、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù):如果情況嚴(yán)重，入侵檢測系統(tǒng)可以發(fā)出實(shí)時報警，使網(wǎng)絡(luò)管理員能夠及時采取相應(yīng)的應(yīng)對措施。</p><p>　　系統(tǒng)由主機(jī)代理、網(wǎng)絡(luò)代理和IDS中心服務(wù)器構(gòu)成的層次結(jié)構(gòu)保護(hù)網(wǎng)絡(luò)內(nèi)部及邊沿節(jié)點(diǎn)。網(wǎng)絡(luò)代理分布在受保護(hù)的

72、網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)范圍大小設(shè)置一個或者多個網(wǎng)絡(luò)代理。因?yàn)榫W(wǎng)絡(luò)代理能夠訪問到網(wǎng)絡(luò)范圍內(nèi)的數(shù)據(jù)，所以它們能夠檢測到涉及對多個主機(jī)的攻擊。</p><p>　　網(wǎng)絡(luò)代理可以組織成一個層次結(jié)構(gòu)，下一層的網(wǎng)絡(luò)代理向高層的網(wǎng)絡(luò)代理上報。此外，主機(jī)代理可以向多個網(wǎng)絡(luò)代理上報，這樣可以提高可靠性，避免某一個網(wǎng)絡(luò)代理失效而影響系統(tǒng)。最后，網(wǎng)絡(luò)代理顯示檢測情況和接收用戶的指令，并把檢測結(jié)果上報到IDS中心服務(wù)器。中心IDS服務(wù)器提供一

73、個用戶界面作為用戶訪問系統(tǒng)的接口，通過它可以訪問網(wǎng)絡(luò)代理的信息，給底層網(wǎng)絡(luò)代理發(fā)布命令，或者給主機(jī)代理發(fā)布命令。IDS中心服務(wù)器作為獨(dú)立的服務(wù)器保存整個入侵檢測系統(tǒng)的重要信息，負(fù)責(zé)多個網(wǎng)絡(luò)代理，在高層考察相關(guān)信息，進(jìn)行檢測。</p><p><b>　　實(shí)現(xiàn)技術(shù):</b></p><p>　　網(wǎng)絡(luò)入侵檢測的實(shí)現(xiàn)技術(shù)必須保證實(shí)時性，應(yīng)能匹配目前一般的網(wǎng)絡(luò)速度。從實(shí)用的角

74、度看，其實(shí)現(xiàn)還必須易于擴(kuò)充，使得新的攻擊方法出現(xiàn)時，能夠方便迅速地更新檢測手段。</p><p>　　基于統(tǒng)計(jì)的方法主要用于檢測端口掃描和DoS攻擊。針對DoS攻擊這一類具有統(tǒng)計(jì)特征的攻擊方法，在一個固定時間段內(nèi)，某特定主機(jī)發(fā)向特定服務(wù)器的SYN數(shù)據(jù)報(請求建立連接的數(shù)據(jù)包)的數(shù)目應(yīng)小于一定的閉值。如果這個數(shù)目有明顯的增大，則有可能遭受攻擊。具體的算法簡單描述如下:為保護(hù)主機(jī)建立一張有限容量的最近最多訪問列表T(

75、IP，count)，條目IP為訪問這臺主機(jī)的主機(jī)IP地址，條目count為該IP地址的主機(jī)對被保護(hù)主機(jī)的訪問計(jì)數(shù)器。具體的實(shí)現(xiàn)算法是“最近最少算法”的變種:在表T中記錄在一段預(yù)設(shè)時間t內(nèi)對被保護(hù)主機(jī)的所有訪問，若某主機(jī)對被保護(hù)主機(jī)的訪問的頻繁程度超過一定的閩值，則表明遭受攻擊。表T的內(nèi)容以t為時間周期清空。這種算法相對簡單，容易實(shí)現(xiàn)，關(guān)鍵是速度相當(dāng)快。</p><p>　　當(dāng)然，僅使用這種基于統(tǒng)計(jì)的檢測方法是不能

76、滿足需要的。由于很多網(wǎng)絡(luò)攻擊手段都沒有像DOS攻擊那樣的統(tǒng)計(jì)特征。因此還必須輔以基于模式匹配的檢測方法。所謂模式匹配，是指將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較匹配，從而發(fā)現(xiàn)違背預(yù)定安全策略的行為。該過程可以比較簡單，如通過字符串匹配尋找一個簡單的條目或指令:也可以很復(fù)雜，如構(gòu)建一個復(fù)雜的狀態(tài)機(jī)，根據(jù)不同的輸入進(jìn)入不同的狀態(tài)，以指示系統(tǒng)不同的安全狀態(tài)。當(dāng)系統(tǒng)所處的狀態(tài)到達(dá)預(yù)設(shè)的危險程度，則采取相應(yīng)的反應(yīng)動作。顯然，前

77、一種方式是后一種方式的“子集”;后者的狀態(tài)機(jī)在取得輸入信息的時候，需要利用前者的匹配方法來識別不同輸入。如果狀態(tài)機(jī)的設(shè)計(jì)足夠好的話，后一種方法是一種識別率很高的方法。它將一個網(wǎng)絡(luò)活動的上下文都納入了匹配的范圍，可以比較精確地確定、區(qū)分入侵者與行使正常管理系統(tǒng)功能的管理員。但是，各種各樣的系統(tǒng)漏洞、系統(tǒng)指令和網(wǎng)絡(luò)協(xié)議是如此的多，使得要構(gòu)建這樣一個全面的狀態(tài)機(jī)幾乎是不可能的:它實(shí)在是太龐大了，需要成千上萬個狀態(tài)和成千上萬種輸入值才能表示完全

78、。這也是市場上一直沒有比較完善的入侵檢測系統(tǒng)出現(xiàn)的原因。所以，本系統(tǒng)在實(shí)現(xiàn)時采用</p><p><b>　　3.3漏洞掃描</b></p><p>　　漏洞掃描技術(shù)可預(yù)知主體受攻擊的可能性和具體的指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應(yīng)用可幫助識別檢測對象的系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評估所有存在的

79、安全風(fēng)險。</p><p>　　網(wǎng)絡(luò)可能存在漏洞:(l)系統(tǒng)設(shè)置配置不當(dāng)使得普通用戶權(quán)限過高;(2)管理員由于操作不當(dāng)使得系統(tǒng)被安裝了后門程序;(3)系統(tǒng)本身或應(yīng)用程序存在可被利用的漏洞。</p><p>　　采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。漏洞掃描技術(shù)可以幫助網(wǎng)管人員用來進(jìn)行網(wǎng)絡(luò)模擬攻擊，漏洞檢測

80、，從而報告服務(wù)進(jìn)程，提取對象信息，然后可以得到風(fēng)險評測、安全建議。最終實(shí)現(xiàn)幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。</p><p>　　我們采用啟明星辰信息技術(shù)有限公司的天鏡分布式漏洞掃描系統(tǒng)，該漏洞掃</p><p><b>　　描系統(tǒng)有如下特點(diǎn):</b></p><p>　　1、可以動態(tài)地分析目標(biāo)系統(tǒng)的安全脆弱性</p

81、><p>　　根據(jù)不同的對象類型，自動尋找匹配的掃描策略進(jìn)行下一步的分析掃描。</p><p><b>　　2、遠(yuǎn)程在線升級</b></p><p>　　遠(yuǎn)程下載升級模塊，自動完成升級過程</p><p><b>　　3、靈活的策略配置</b></p><p>　　可按照特定的需

82、求配置多種掃描策略和掃描參數(shù)，實(shí)現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。</p><p><b>　　4、多種形式的報表</b></p><p>　　全面詳細(xì)的分析報告能力，可根據(jù)用戶的不同需求提供不同層次的報告，并提供安全補(bǔ)丁供應(yīng)商的熱連接，快速及時的修補(bǔ)漏洞。</p><p>　　5、實(shí)用的模擬攻擊工具</p><

83、;p>　　系統(tǒng)提供用于測試的模擬攻擊工具，較好反映了黑客實(shí)際攻擊的必經(jīng)之路，同時對被測試系統(tǒng)的測試力度可控，不會為系統(tǒng)帶來危害。</p><p>　　6、合理的結(jié)構(gòu)化設(shè)計(jì)</p><p>　　模塊的繼承性，使得系統(tǒng)具有很大的可擴(kuò)展空間應(yīng)用結(jié)構(gòu)。</p><p>　　該系統(tǒng)選用網(wǎng)絡(luò)版漏洞掃描程序可掃描任何基于TCP/IP的網(wǎng)絡(luò)主機(jī)，無論網(wǎng)絡(luò)核心是采用FDDI、A

84、TM還是千兆以太網(wǎng)，只要目標(biāo)主機(jī)支持TCP八P協(xié)議，就可對其進(jìn)行掃描，其系統(tǒng)掃描內(nèi)容如下:</p><p>　　Web服務(wù)、FTP服務(wù)、守護(hù)進(jìn)程、電子郵件服務(wù)、CGI一B取、瀏覽器設(shè)置、即C攻擊、特定的強(qiáng)力攻擊選項(xiàng)、拒絕服務(wù)攻擊檢測、安全區(qū)檢測、NT用戶策略、NetBIOS、NT注冊表、NT服務(wù)、SNMP、緩沖溢出檢測、NFS檢測、IP欺騙、特洛伊木馬、后門程序檢測、共享心COM類。</p><

85、;p>　　網(wǎng)絡(luò)漏洞掃描器的掃描原理:</p><p>　　網(wǎng)絡(luò)漏洞掃描器通過遠(yuǎn)程檢測目標(biāo)主機(jī)TCP/IP不同端口的服務(wù)，記錄目標(biāo)給予的回答。通過這種方法，可以搜集到很多目標(biāo)主機(jī)的各種信息(例如:是否能用匿名登陸，是否有可寫的FTP目錄，是否能用Telnet，恤pd是否是用root在運(yùn)行)。在獲得目標(biāo)主機(jī)TCP八P端口和其對應(yīng)的網(wǎng)絡(luò)訪問服務(wù)的相關(guān)信息后，與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，如果滿足匹配條件

86、，則視為漏洞存在。此外，通過模擬黑客的進(jìn)攻手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等，也是掃描模塊的實(shí)現(xiàn)方法之一。如果模擬攻擊成功，則視為漏洞存在。</p><p>　　在匹配原理上，該網(wǎng)絡(luò)漏洞掃描器采用的是基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員關(guān)于網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn)，形成一套標(biāo)準(zhǔn)的系統(tǒng)漏洞庫，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由程序自

87、動進(jìn)行系統(tǒng)漏洞掃描的分析工作。</p><p>　　所謂基于規(guī)則是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的匹配系統(tǒng)。例如，在對TcP80端口的掃描中，如果發(fā)現(xiàn)/cgi七i吻hf或/cgi·bi可Countcgi，根據(jù)專家經(jīng)驗(yàn)以及CGI程序的共享性和標(biāo)準(zhǔn)化，可以推知該WWW服務(wù)存在兩個CGI漏洞。同時應(yīng)當(dāng)說明的是，基于規(guī)則的匹配系統(tǒng)也有其局限性，因?yàn)樽鳛檫@類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排

88、和策劃的，而對網(wǎng)絡(luò)系統(tǒng)的很多危險的威脅是來自未知的安全漏洞，這一點(diǎn)和PC殺毒很相似。</p><p>　　實(shí)現(xiàn)一個基于規(guī)則的匹配系統(tǒng)本質(zhì)上是一個知識工程問題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用，其自學(xué)習(xí)能力能夠進(jìn)行規(guī)則的擴(kuò)充和修正，即是系統(tǒng)漏洞庫的擴(kuò)充和修正。當(dāng)然這樣的能力目前還需要在專家的指導(dǎo)和參與下才能實(shí)現(xiàn)。但是，也應(yīng)該看到，受漏洞庫覆蓋范圍的限制，部分系統(tǒng)漏洞也可能不會觸發(fā)任何一個規(guī)則，從而不被檢測到。

89、</p><p><b>　　.</b></p><p>　　3.4網(wǎng)絡(luò)防病毒系統(tǒng)部署</p><p>　　為了實(shí)現(xiàn)在整個網(wǎng)絡(luò)內(nèi)防止病毒的傳播、感染和破壞，我們在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段，部署防病毒組件，這樣網(wǎng)絡(luò)防病毒系統(tǒng)的部署具有了分布式的特點(diǎn)。同時，使系統(tǒng)具有遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺病毒

90、等多種功能，做到有效、快捷地實(shí)</p><p>　　施和管理整個網(wǎng)絡(luò)的防病毒體系，實(shí)現(xiàn)如下:</p><p>　　1、在網(wǎng)絡(luò)的中心服務(wù)器上安裝殺毒軟件網(wǎng)絡(luò)版，系統(tǒng)中心負(fù)責(zé)管理1500多個主機(jī)網(wǎng)點(diǎn)。</p><p>　　2、在各局域網(wǎng)分別安裝殺毒軟件網(wǎng)絡(luò)版的客戶端。</p><p>　　3、安裝網(wǎng)絡(luò)版殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)

91、行定時查殺毒的設(shè)置，保證所有客戶端在任何時候都能夠?qū)Ρ緳C(jī)定時進(jìn)行查殺毒。</p><p>　　4、網(wǎng)絡(luò)中心負(fù)責(zé)整個網(wǎng)絡(luò)的升級工作。為了安全和管理的方便，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到所購買殺毒軟件的網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動將最新的升級文件分發(fā)到其他1500多個主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自動對殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。同時，因?yàn)橹挥芯W(wǎng)絡(luò)中心才有Iniemet

92、出口，便于整個網(wǎng)絡(luò)的統(tǒng)一管理。</p><p>　　除了部署防病毒組件，更安全的方法是部署物理隔離網(wǎng)閘，網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議"擺渡"，且對固態(tài)存儲介質(zhì)只有"讀"和

93、"寫"兩個命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的安全。</p><p>　　當(dāng)內(nèi)網(wǎng)與專網(wǎng)之間無信息交換時，物理隔離網(wǎng)閘與內(nèi)網(wǎng)，物理隔離網(wǎng)閘與專網(wǎng)，內(nèi)網(wǎng)與專網(wǎng)之間是完全斷開的，即三者之間不存在物理連接和邏輯連接，如圖1所示。</p><p>　　當(dāng)內(nèi)網(wǎng)數(shù)據(jù)需要傳輸?shù)綄?/p>

94、網(wǎng)時，物理隔離網(wǎng)閘主動向內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)交換代理發(fā)起非TCP/IP協(xié)議的數(shù)據(jù)連接請求，并發(fā)出“寫”命令，將寫入開關(guān)合上，并把所有的協(xié)議剝離，將原始數(shù)據(jù)寫入存儲介質(zhì)。在寫入之前，根據(jù)不同的應(yīng)用，還要對數(shù)據(jù)進(jìn)行必要的完整性、安全性檢查，如病毒和惡意代碼檢查等。</p><p>　　在此過程中，專網(wǎng)服務(wù)器與物理隔離網(wǎng)閘始終處于斷開狀態(tài)，見圖2所示。</p><p>　　一旦數(shù)據(jù)完全寫入物理隔離網(wǎng)閘

95、的存儲介質(zhì)，開關(guān)立即打開，中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對專網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接請求，當(dāng)專網(wǎng)服務(wù)器收到請求后，發(fā)出“讀”命令，將物理隔離網(wǎng)閘存儲介質(zhì)內(nèi)的數(shù)據(jù)導(dǎo)向?qū)＞W(wǎng)服務(wù)器。專網(wǎng)服務(wù)器收到數(shù)據(jù)后，按TCP/IP協(xié)議重新封裝接收到的數(shù)據(jù)，交給應(yīng)用系統(tǒng)，完成了內(nèi)網(wǎng)到專網(wǎng)的信息交換。詳見圖3所示。</p><p>　　至于從專網(wǎng)到內(nèi)網(wǎng)的信息交換，與上述類似，只是方向相反。</p><p>

96、　　由上不難看出：每一次數(shù)據(jù)交換，物理隔離網(wǎng)閘都經(jīng)歷了數(shù)據(jù)的寫入、數(shù)據(jù)讀出兩個過程；內(nèi)網(wǎng)與外網(wǎng)（或內(nèi)網(wǎng)與專網(wǎng)）永不連接；內(nèi)網(wǎng)和外網(wǎng)（或內(nèi)網(wǎng)與專網(wǎng)）在同一時刻最多只有一個同物理隔離網(wǎng)閘建立非TCP/IP協(xié)議的數(shù)據(jù)連接。</p><p>　　3.5優(yōu)化網(wǎng)絡(luò)鏈接的部署</p><p>　　負(fù)載均衡（Load Balance）建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價、有效、透明的方法，來擴(kuò)展網(wǎng)絡(luò)設(shè)

97、備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。　　　　負(fù)載均衡技術(shù)分類　　目前有許多不同的負(fù)載均衡技術(shù)用以滿足不同的應(yīng)用需求，如軟/硬件負(fù)載均衡、本地/全局負(fù)載均衡、更高網(wǎng)絡(luò)層負(fù)載均衡，以及鏈路聚合技術(shù)。軟/硬件負(fù)載均衡　軟件負(fù)載均衡解決方案，是指在一臺或多臺服務(wù)器相應(yīng)的操作系統(tǒng)上，安裝一個或多個附加軟件來實(shí)現(xiàn)負(fù)載均衡，如DNS 負(fù)載均衡等。它的優(yōu)點(diǎn)是基于特定環(huán)境、配置簡單、使用靈活、成本低廉，可以

98、滿足一般的負(fù)載均衡需求。硬件負(fù)載均衡解決方案，是直接在服務(wù)器和外部網(wǎng)絡(luò)間安裝負(fù)載均衡設(shè)備，這種設(shè)備我們通常稱之為負(fù)載均衡器。由于專門的設(shè)備完成專門的任務(wù)，獨(dú)立于操作系統(tǒng)，整體性能得到大量提高，加上多樣化的負(fù)載均衡策略，智能化的流量管理，可達(dá)到最佳的負(fù)載均衡需求。 一般而言，硬件負(fù)載均衡在功能、性能上優(yōu)于軟件方式，不過成本昂貴?！　「呔W(wǎng)絡(luò)層負(fù)載均衡　　針對網(wǎng)絡(luò)上負(fù)載過重的不同瓶頸所在，從網(wǎng)絡(luò)的不同層次入手，我們可以采用相應(yīng)的負(fù)載均衡

99、技術(shù)來解決現(xiàn)</p><p>　　在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，　　交換機(jī)擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣。交換機(jī)的所有的端口都掛接在這條背部總線上，控制電路收到數(shù)據(jù)包以后，處理端口會查找內(nèi)存中的地址對照表以確定目的MAC（網(wǎng)卡的硬件地址）的NIC（網(wǎng)卡）掛接在哪個端口上，通過內(nèi)部交換矩陣迅速將數(shù)據(jù)包傳送到目的端口，目的MAC若不存在才廣播到所有的端口，接收端口回應(yīng)后交換機(jī)會“學(xué)習(xí)”新的地址，并把它添加入內(nèi)部地址表

100、中。</p><p>　　使用交換機(jī)也可以把網(wǎng)絡(luò)“分段”，通過對照地址表，交換機(jī)只允許必要的網(wǎng)絡(luò)流量通過交換機(jī)。通過交換機(jī)的過濾和轉(zhuǎn)發(fā)，可以有效的隔離廣播風(fēng)暴，減少誤包和錯包的出現(xiàn)，避免共享沖突。交換機(jī)在同一時刻可進(jìn)行多個端口對之間的數(shù)據(jù)傳輸。每一端口都可視為獨(dú)立的網(wǎng)段，連接在其上的網(wǎng)絡(luò)設(shè)備獨(dú)自享有全部的帶寬，無須同其他設(shè)備競爭使用。當(dāng)節(jié)點(diǎn)A向節(jié)點(diǎn)D發(fā)送數(shù)據(jù)時，節(jié)點(diǎn)B可同時向節(jié)點(diǎn)C發(fā)送數(shù)據(jù)，而且這兩個傳輸都享有網(wǎng)

101、絡(luò)的全部帶寬，都有著自己的虛擬連接。假使這里使用的是10Mbps的以太網(wǎng)交換機(jī)，那么該交換機(jī)這時的總流通量就等于2×10Mbps＝20Mbps，而使用10Mbps的共享式HUB時，一個HUB的總流通量也不會超出10Mbps。</p><p>　　總之，交換機(jī)是一種基于MAC地址識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。交換機(jī)可以“學(xué)習(xí)”MAC地址，并把其存放在內(nèi)部地址表中，通過在數(shù)據(jù)幀的始發(fā)者和目標(biāo)接收

102、者之間建立臨時的交換路徑，使數(shù)據(jù)幀直接由源地址到達(dá)目的地址。</p><p><b>　　交換機(jī)的分類及功能</b></p><p>　　從廣義上來看，交換機(jī)分為兩種：廣域網(wǎng)交換機(jī)和局域網(wǎng)交換機(jī)。廣域網(wǎng)交換機(jī)主要應(yīng)用于電信領(lǐng)域，提供通信用的基礎(chǔ)平臺。而局域網(wǎng)交換機(jī)則應(yīng)用于局域網(wǎng)絡(luò)，用于連接終端設(shè)備，如PC機(jī)及網(wǎng)絡(luò)打印機(jī)等。從傳輸介質(zhì)和傳輸速度上可分為以太網(wǎng)交換機(jī)、快速

103、以太網(wǎng)交換機(jī)、千兆以太網(wǎng)交換機(jī)、FDDI交換機(jī)、ATM交換機(jī)和令牌環(huán)交換機(jī)等。從規(guī)模應(yīng)用上又可分為企業(yè)級交換機(jī)、部門級交換機(jī)和工作組交換機(jī)等。各廠商劃分的尺度并不是完全一致的，一般來講，企業(yè)級交換機(jī)都是機(jī)架式，部門級交換機(jī)可以是機(jī)架式（插槽數(shù)較少），也可以是固定配置式，而工作組級交換機(jī)為固定配置式（功能較為簡單）。另一方面，從應(yīng)用的規(guī)模來看，作為骨干交換機(jī)時，支持500個信息點(diǎn)以上大型企業(yè)應(yīng)用的交換機(jī)為企業(yè)級交換機(jī)，支持300個信息點(diǎn)以

104、下中型企業(yè)的交換機(jī)為部門級交換機(jī)，而支持100個信息點(diǎn)以內(nèi)的交換機(jī)為工作組級交換機(jī)。本文所介紹的交換機(jī)指的是局域網(wǎng)交換機(jī)。</p><p>　　交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯誤校驗(yàn)、幀序列以及流控。目前交換機(jī)還具備了一些新的功能，如對VLAN（虛擬局域網(wǎng)）的支持、對鏈路匯聚的支持，甚至有的還具有防火墻的功能。交換機(jī)除了能夠連接同種類型的網(wǎng)絡(luò)之外，還可以在不同類型的網(wǎng)絡(luò)（如以太網(wǎng)和快速以太網(wǎng)）之間起