《2022年网络安全管理技术与应用 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全管理技术与应用 .pdf(25页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、长沙理工大学城南学院计算机网络课程设计报告院系城南学院专业通信工程班级通信 1104 学号201185250410 学生姓名林凯鹏指导教师刘青课程成绩完成日期2013 年 6 月 20 日课程设计成绩评定名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用2 / 25院系计算机与通信工程专业通信工程班级通信 1104 学号201185250410 学生姓名林凯鹏指导教师刘青指导教师对学生在课程设计中的评价评分
2、项目优良中及格不及格学习态度与遵守纪律情况课程设计完成情况课程设计报告的质量指导教师成绩指导教师签字年月日课程设计答辩组对学生在课程设计中的评价评分项目优良中及格不及格课程设计完成情况课程设计报告的质量课程设计答辩答辩组成绩答辩组长签字年月日课程设计综合成绩注:课程设计综合成绩指导教师成绩60% 答辩组成绩 40% 课程设计任务书名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用3 / 25_城南_学院通信
3、工程专业课程名称计算机网络课程设计时间20132014 学年第二学期 1617周学生姓名林凯鹏指导老师刘青题 目网络安全管理技术和应用主要内容:(1) 网络安全管理技术分析(2) 网络安全管理应用现状(3) 网络安全管理技术发展趋势要求:(1) 综合运用计算机网络基本理论和通信工程设计的方法设计本系统。(2) 学会文献检索的基本方法和综合运用文献的能力。(3) 通过课程设计培养严谨的科学态度,认真的工作作风和团队协作精神。应当提交的文件:(1) 课程设计学年论文。(2) 课程设计附件(相关图纸、设备配置清单、报告等)。网络安全管理与应用第一章网络安全概述 . 5名师资料总结 - - -精品资料
4、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用4 / 251 网络安全重要性 . 52 网络安全技术 . 62.1 虚拟网技术 . 62.2 防火墙枝术 . 62.3 病毒防护技术 . 62.4 入侵检测技术 . 7第二章网络安全需求分析 . 71 当前网络状况 . 72 安全威胁 . 83 网络安全需求分析 . 83.1 网络层需求分析 . 93.2 应用层需求分析 . 93.3 安全管理需求分析 . 9第三章安全解决方案 . 10
5、1 虚拟网络企业用户安全模拟.11 2 产品选取及说明 . 132.1 防火墙 . 132.2 防病毒 . 142.3 入侵检测 . 152.4 身份认证系统 . 173 安全配置说明 . 173.1 防火墙配置说明: . 173.2 防病毒配置说明: . 183.3 入侵检测配置说明: . 193.4 身份认证配置说明: . 20第四章网络安全管理应用现状 . 25第五章网络安全管理技术发展趋势.24 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 25 页 - - -
6、 - - - - - - 网络安全管理技术与应用5 / 25第六章结束语 .25 第一章 网络安全概述1 网络安全重要性网络现在越来越重要, 就我个人观点来说网路安全对大公司非常重要,一旦被黑客侵入失去的不是钱而是形象, 试想一个企业对他自己的网络安全都没办法保证,他的产品质量也会打折扣, 而且网络安全带来的危害通常是常人无法想象名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用6 / 25的,例如银行、保
7、险等金融机构,政府等要害部门。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.5 万亿美元。2 网络安全技术2.1 虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。2.2 防火墙枝术防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口
8、点检查网络通讯,根据客户设定的安全规则, 在保护内部网络安全的前提下,提供内外网络通讯。(1)使用 Firewall 的益处保护脆弱的服务(2)控制对系统的访问(3)集中的安全管理(4)增强的保密性2.3 病毒防护技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联, 病毒的传播途径和速度大大加快。病毒防护的主要技术如下: (1) 阻止病毒的传播。在防火墙、代理服务器、 SMTP 服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2) 检查和清除病毒。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -
9、 - - 名师精心整理 - - - - - - - 第 6 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用7 / 25使用防病毒软件检查和清除病毒。 (3) 病毒数据库的升级。病毒数据库应不断更新,并下发到桌面系统。 (4) 在防火墙、代理服务器及 PC上安装 Java 及 ActiveX 控制扫描软件, 禁止未经许可的控件下载和安装。2.4 入侵检测技术利用防火墙技术, 经过仔细的配置, 通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够: (1) 入侵者可寻找防火墙背后可能敞开的后门。 (2) 入侵者可能就在防
10、火墙内。 (3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短 hacker 入侵的时间。入侵检测系统可分为两类:(1)基于主机(2)基于网络基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查, 非法访问的闯入等, 并且提供对典型应用的监视如Web 服务器应用。第二章 网络安全需求分析1 当前网络状况太原道路排水系统老化, 技术落后,每到下雨时候,就会造
11、成道路拥塞,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用8 / 25给人们的出行带来极大的不便, 基于上述状况, 进行对太原道路进行排水系统改造。由于项目中用到人力资源管理、财务管理、物料管理等信息管理,一个好的网络防范体系能够有效地保护这些数据,尤其是财务管理, 假如被入侵、 非法篡改,会给项目带来很大的损失。因此我们需要建立一个良好的网络防范系统。2 安全威胁由于网络内运行的主要是多种网络协议,而
12、这些都是不安全的, 网络应用很容易受到外来攻击。 而且网络是外面信息内部信息的大集成,每天会有各种各样的数据产生, 这样给维护起来带来一定的困难,如果没有好的安全防范, 会给企业带来很大的损失。 所以,我们要认清会带来什么样的安全威胁,太原道路排水系统网络可能存在的安全威胁来自以下方面:(1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞。操作系统软件在逻辑设计上的缺陷或错误,被不法者利用, 通过网络植入木马、 病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息, 甚至破坏的系统。(2) 防火墙的安全性。防火墙产品自身是否安全,是否设置错误。(3) 来自内部网用户的安全威
13、胁。(4) 缺乏有效的手段监视、评估网络系统的安全性。(5) 采用的 TCP/IP协议族软件,本身缺乏安全性。(6) 未能对来自 Internet 的电子邮件夹带的病毒及Web 浏览可能存在Java/ActiveX控件进行有效控制。(7) 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。3 网络安全需求分析网络安全总体安全需求是建立在,对网络安全层次分析基础上确定的。对于以 TCP / IP为主的太原道路排水系统网络来说,安全层次是与 TCP/IP网络层次相对应的,针对实际情况, 我们将安全需求层次归纳为网络层和应用层安全两个技名师资料
14、总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用9 / 25术层次,同时将在每层涉及的安全管理部分单独作为分析内容,具体描述如下:3.1 网络层需求分析网络层安全需求是保护网络不受攻击,确保网络服务的可用性。首先,作为项目网络同Internet的互联的边界安全应作为网络层的主要安全需求:(1)需要保证项目网络与Internet安全互联,能够实现网络的安全隔离;(2)必要的信息交互的可信任性;(3)要保证项目网络不
15、能够被Internet访问;(4)项目网络公共资源能够对开放用户提供安全访问能力;(5)对网络安全事件的审计;(6)对于网络安全状态的量化评估;3.2 应用层需求分析建设太原道路排水系统项目网络的目的是实现信息共享,资源共享,能够有效地对项目进行管理, 提高工作的效率。 因此,必须解决项目网在应用层的安全。应用层安全主要与企业的管理机制和业务系统的应用模式相关。管理机制决定了应用模式,应用模式决定了安全需求。应用层的安全需求是针对用户和网络应用资源的,主要包括:(1)合法用户可以以指定的方式访问指定的信息;(2)合法用户不能以任何方式访问不允许其访问的信息;(3)非法用户不能访问任何信息;(4
16、)用户对任何信息的访问都有记录。3.3 安全管理需求分析安全管理主要包括三个方面:内部安全管理:主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用10 / 25全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。网络安全管理:在网络层设置路由器、
17、防火墙、安全检测系统后,必须保证路由器和防火墙的ACL设置正确,其配置不允许被随便修改。网络层的安全管理可以通过网管、防火墙、安全检测等一些网络层的管理工具来实现。应用安全管理:应用系统的安全管理是一件很复杂的事情。由于各个应用系统的安全机制不一样, 因此需要通过建立统一的应用安全平台来管理,包括建立建立统一的用户库、统一维护资源目录、统一授权等。第三章 安全解决方案3.1 设计虚拟网络企业用户本公司有 100 台左右的计算机, 主要使用网络的部门有: 生产部 (20) 、财务部(15) 、人事部 (8) 和信息中心 (12) 四大部分,如图 3.1 所示。网络基本结构为: 整个网络中干部分采
18、用3 台 Catalyst 1900 网管型交换机(分别命名为: Switch1 、Switch2 和 Switch3 ,各交换机根据需要下接若干个集名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用11 / 25线器,主要用于非 VLAN用户)、一台 Cisco 2514路由器,整个网络都通过路由器 Cisco 2514 与外部互联网进行连接。图 3.1 企业局域网的安全设计方案3.2 企业局域网安全设
19、计的原则企业局域网网络系统安全方案设计、规划时,应遵循以下原则:综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等) 。一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。易操作性原则: 安全措施需要人为去完成, 如果措施过于复杂, 对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。分步实施原则: 由于网络系统
20、及其应用扩展范围广阔,随着网络规模的扩大及应用的增加, 网络脆弱性也会不断增加。 一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需要相当的费用支出。因此分步实施, 既可满足网络系统及信息安全的基本需求,亦可节省费用开支。多重保护原则: 任何安全措施都不是绝对安全的,都可能被攻破。 但是建立一个多重保护系统, 各层保护相互补充, 当一层保护被攻破时, 其它层保护仍可保护信息的安全。可评价性原则: 如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -
21、 - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用12 / 25防火墙部署在 Internet 与内网之间部署了一台神州数码防火墙,采用DMZ 的防火墙部署方式。也就是在防火墙上多加一块网卡,把提供对外服务的服务器和内网的客户端严格地隔离开来,这样,即算有安全风险和漏洞在DMZ 中出现,由此对内部网络造成的危害也可以得到很好的控制,从而避免了一旦共享服务器为黑客攻击和安装木马渗透病毒的话, 那么内部网络的客户端及其资源将没有任何安全可言。所谓防火墙指的是一个由软件和硬件设备组合而成、在内
22、部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而保护内部网免受非法用户的侵入, 防火墙主要由服务访问规则、 验证工具、包过滤和应用网关4 个部分组成。身份认证部署计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。我们在核心交换机上部署身份认证系统。入侵检测系统部署入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、 审计数据、其他网络上可以获得的信息以及计算机系统报告中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安
23、全防护技术, 提供了对内部攻击、 外部攻击和误操作的实时保护,在网络系统受到危害之前的拦截响应入侵。本项目网络采用联想网御入侵检测系统,它能够实时监控网络, 一旦发现有可疑的行为发生立即报警,同时记录相关的信息。将入侵检测引擎接入中心交换机上,对来自外部网和内部网的各种行为进行实时检测。防病毒部署分别在服务器和客户机进行防病毒部署。对容易感染的地方进行防毒部署,如中心机房、个人PC等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 25 页 - - - - - - -
24、- - 网络安全管理技术与应用13 / 254 产品选取及说明4.1 防火墙型号选择:本项目采用采用神州数码DCFW-1800E 防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。另一方面,神州数 DCFW-1800系列防火墙还内置了 VPN功能, 可以实现利用 Internet 构建企业的虚拟专用网络。因为太原排水系统改造网络需要高安全性,而且 DCFW-1800E 防火墙还可以设计虚拟专用网络,这样给本项目的安全性有了很大的保障,所以采用本防火墙。图 3.2 神舟数码防火墙DCFW-18
25、00E 防火墙特点:神州数码 DCFW-1800E-G3 防火墙专为千兆位流量的网络服务运营商,大型数据中心等骨干网络而设计, 采用 2U 专用千兆安全平台,完全模块化可扩展结构,具有热插拔特性的冗余部件为您提供最大的不间断运行时间。神州数码DCFW-1800E-G3 防火墙内置 6 个 10/100/1000M 自适应以太网电口,具备4 个SFP扩展插槽,最多可扩展至10 个千兆接口,接口模块类型支持单模、多模光名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 25 页
26、 - - - - - - - - - 网络安全管理技术与应用14 / 25纤,千兆电口。DCFW-1800E 防火墙安全参数:过滤带宽2000Mbps 人数限制8-256 入侵检测dos, ddos 主要功能支持多接口链路负载均衡, 支持端口备份 , 提供链路优先选择具有自主知识产权的64 位高安全操作系统芯片级硬件加速深度包检测、ipsec vpn、ssl vpn等功能模块安全标准fcc part15, class a, en55022(cispr22, class a) 4.2 防病毒产品选择:防病毒具有被动意义, 主要是预防和防范, 没有病毒时做好预防工作, 病毒到来时则被动防范, 有一
27、种兵来将敌水来土堰的感觉。防病毒主要以防为主, 要提前考虑到了病毒的入侵、破坏方式和途径,从而有效地制定相应的措施。本项目网络防病毒我们采用瑞星杀毒软件,来对整个太原道路排水系统的内部局域网的网关进行防病毒保护。产品优势:瑞星全功能安全软件2010 是一款基于瑞星 “ 云安全 ” 系统设计的新一代杀毒软件。其“ 整体防御系统 ” 可将所有互联网威胁拦截在用户电脑以外。深度应用 “ 云安全” 的全新木马引擎、“ 木马行为分析 ” 和“ 启发式扫描 ” 等技术保证将病毒彻底拦截和查杀。再结合 “ 云安全 ” 系统的自动分析处理病毒流程,能第一时间极速将未知病毒的解决方案实时提供给用户。(1)全面拦
28、截(2)彻底查杀名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用15 / 25(3)极速响应(4)云安全深度应用4.3 入侵检测入侵检测系统选择:联想网御IDS 采用了内存零拷贝、零系统调用以及独创的AMPFAT 等高性能网络数据包处理技术, 结合联想在服务器硬件研发方面的多年经验基础上自主研发而成的硬件平台,能有效降低网络数据包的处理开销,即使在高流量的网络环境下也可以保持出色的运行性能。网御入侵检测
29、系统是基于网络的入侵检测系统(NIDS )。网御入侵检测系统采用分布式入侵检测系统构架,采用联想独创的LEADER 入侵检测引擎,综合使用模式匹配、协议分析、异常检测、重点监视、内容恢复、网络审计等入侵分析与检测技术, 全面监视和分析网络的通信状态,提供实时的入侵检测及相应的防护手段,为网络创造全面纵深的安全防御体系。产品特点:(1)高效的数据采集采用数据零拷贝技术, 报文直接存放在内存数据空间,减少 TCP/IP 堆栈的处理,从而简化了数据处理流程,加快了数据处理速度。(2)先进的入侵检测独有的专利入侵行为细粒度检测,独创的LEADER 入侵检测引擎和事件缩略再分析的多层次检测方法, 有效降
30、低了漏报和误报, 提高了检测的速度和准确率。(3)强大的日志审计灵活的条件过滤查询和报表预定义,方便的事件归并统计和分层显示,快速的日志备份、检索和还原,真正简化了管理员操作。(4)权威的检测规则与国家反计算机入侵和防病毒研究中心合作,共建入侵检测事件规则库,同时与国际权威的漏洞库保持兼容,保证了与国际标准检测规则的同步。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用16 / 25(5)顶尖的入侵管理
31、强大的集中监控管理、灵活的事件聚类显示、统一的安全策略下发,以及事件关联分析与融合、基于web 的日志审计等功能,真正实现了多级管理的统一和集中。硬件配置:探测器:控制台( N100 N800):名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用17 / 25性能指标:4.4 身份认证系统方案选择:本项目采用动联身份认证系统,主要分为: 动联身份认证软件、 动码令认证终端、认证代理软件三大部分。 针对不同
32、的应用情况, 动联身份认证软件提供企业版、标准版两种。动码令认证终端有硬件动码令硬件令牌K3、K5、K7、K8以及软件令牌、手机令牌、 SIM卡令牌、短消息令牌、矩阵卡和刮刮卡。认证代理软件分为:Windows 登录代理、 Linux/Unix 登录代理、 Web 应用程序登录代理等。5 安全配置说明5.1 防火墙配置说明:5.1.1 防火墙的安全访问策略:配置防火墙安全访问策略如下: (1)在从外面进入总公司局域网的防火墙处建立DMZ 区, 将办公网内的 Web 、ftp 、mail 服务器放置于此,使这些服务器能与外界隔离。(2) 在办公网通向中心交换机的路径上分别安装一台防火墙,以避免重
33、要服务器受到来自内网的攻击。 (3)定义用户对象,指定用户的认证方式;名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用18 / 25 (4)定义用户认证规则,用户访问数据中心的服务器时需要进行不同级别的用户认证,并由此控制用户的访问权限; (5)定义防止 IP 地址欺骗的规则,凡是源地址为内网区域的数据包都不允许通过防火墙进入; (6)定义安全策略,允许外部连接可以到达指定服务器的服务端口; (7)定义
34、安全策略,对从内部网络通过防火墙向外发送的数据包进行网络地址转换,完全对外隔离内部网络; (8)定义安全规则,允许指定的应用数据包通过防火墙; (9)定义安全规则,设定对流量和带宽控制的规则,保证对专有服务和专有人员的流量保证;(10)定义安全规则,其他的任何包都不允许通过防火墙;5.1.2 防火墙 VPN 解决方案作为增值模块,神州数码DCFW-1800防火墙内置了 VPN模块支持,既可以利用因特网( Internet)IPSEC 通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务, 也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以
35、从外部虚拟拨号,从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性:(1)标准的 IPSEC,IKE 与 PPTP协议(2)支持 Gateway-to-Gateway网关至网关模式虚拟专网(3)支持 VPN的星形( star)连接方式(4)VPN隧道的 NAT穿越(5)支持 IP与非 IP协议通过 VPN (6)支持手工密钥,预共享密钥与X.509 V3数字证书 ,PKI体系支持5.2 防病毒配置说明:分别对服务器客户机进行病毒防护。这样能够大大提高对病毒的防护,减少因不必要的因素造成的损失。服务器防病毒系统设计 :名师资料总结 - - -精品资料欢迎下载 - -
36、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用19 / 25采用瑞星防毒墙服务器版。在网络其中一台Win2000 服务器上安装管理模块、防毒模块和控制台, 然后通过控制台对其它服务器进行远程安装。控制台也可以安装在任何一台Windows95/98/Me/NT 机器上。捍卫服务器免受病毒、特洛伊木马和其它恶意程序的侵袭, 不让其有机会透过文件及数据的分享进而散布到整个企业环境,提供完整的病毒扫描防护功能。客户机防病毒系统设计:采用瑞星防毒墙网络版。管
37、理端安装在各个网络的Windows 2000 Server平台上。为项目网络提供统一控管,自动更新部署 ,集中报告的客户端病毒防护。避免个人电脑被病毒入侵。5.3 入侵检测配置说明:由于本项目涉及到的网络应用简单,所以采取简单网络结构, 监控网络接入点。这种适用于中小企业。内部网为办公局域网,通过一根专线出口连接Internet,无特殊网络应用。方案构建:将网御 IDS 探测器(百兆)部署在网络 Internet 出口接入点处,控制台配置在网络安全管理员处。典型方案部署如图所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名
38、师精心整理 - - - - - - - 第 19 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用20 / 255.4 身份认证配置说明:动联身份认证系统采用了多项先进的技术,如:伪随机数技术和时间同步技术,使得系统可以充分地满足如下各方面要求;同时系统采用先进的动态关系型存贮数据库结构, 大大提高认证速度和适合大用户数的管理;以及先进的管理和监控功能。根据企业内部应用多样、异构的特点而提供的一套全面、灵活的动态密码认证解决方案。采用动联身份认证软件企业版可以为企业内部的多个应用提供统一的动态密码认证,同样一个令牌可以应用于多个内部应用的用户认证。同时系统支持各种形
39、式的动态密码终端,包括硬件令牌、手机令牌、短信密码等,用户可以自由选择采用何种动态密码终端。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用21 / 25第四章 网络管理应用现状在当今这个信息化社会中,一方面,硬件平台,操作系统平台,应用软件等IT系统已变得越来越复杂和难以统一管理; 另一方面,现代社会生活对网络的高度依赖,使保障网络的通畅、 可靠就显得尤其重要。 这些都使得网络管理技术成为网络技术中人
40、们公认的关键技术。网络管理从功能上讲一般包括配置管理、 性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重,网络安全管理还逐渐成为网络管理技术中的一个重要分支,正受到业界及用户的日益深切的广泛关注。可能也正是由于网络安全管理技术要解决的问题的突出性和特殊性,使得网络安全管理系统呈现出了从通常网管系统中分离出来的趋势。目前,在网络应用的深入和技术频繁升级的同时,非法访问、 恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN 、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特
41、定方面发挥一定的作用,但是这些产品大部分功能分散, 各自为战,形成了相互没有关联的、隔离的“安全孤岛”; 各种安全产品彼此之间没有有效的统一管理调度机制, 不能互相支撑、 协同工作, 从而使安全产品的应用效能无法得到充分的发挥。从网络安全管理员的角度来说, 最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态, 对产生的大量日志信息和报警信息进行统一汇总、分析和审计 ; 同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。但是,一方面,由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂,异构性、差异性非常大,而且各自都具有自己的控制管理平台、网络管理员需要学习、
42、了解不同平台的使用及管理方法,并应用这些管理控制平台去管理网络中的对象 (设备、系统、用户等 ) ,工作复杂度非常之大。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用22 / 25另一方面,应用系统是为业务服务的; 企业内的员工在整个业务处理过程中处于不同的工作岗位, 其对应用系统的使用权限也不尽相同,网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。另外,对大型网络而言,管理与安全
43、相关的事件变得越来越复杂; 网络管理员必须将各个设备、 系统产生的事件、 信息关联起来进行分析, 才能发现新的或更深层次的安全问题。因此, 用户的网络管理需要建立一种新型的整体网络安全管理解决方案统一安全管理平台,来总体配置、调控整个网络多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、统一策略管理、 智能审计及多种安全功能模块之间的互动, 从而有效简化网络安全管理工作,提升网络的安全水平和可控制性、可管理性,降低用户的整体安全管理开销。应当说,在这十年来, 网络安全产品从简单的防火墙到目前的具备报警、预警、分析、审计、监测等全面功能的网络安全系统,在技术角度已经实现了巨大进步, 也
44、为政府和企业在构建网络安全体系方面提供了更加多样化的选择,但是,网络面临的威胁却并未随着技术的进步而有所抑制,反而使矛盾更加突出, 从层出不穷的网络犯罪到日益猖獗的黑客攻击,似乎网络世界正面临着前所未有的挑战,下面简单分析网络安全环境的现状。1在网络和应用系统保护方面采取了安全措施,每个网络 / 应用系统分别部署了防火墙、访问控制设备等安全产品,采取了备份、负载均衡、硬件冗余等安全措施;2实现了区域性的集中防病毒,实现了病毒库的升级和防病毒客户端的监控和管理;3安全工作由各网络 / 应用系统具体的维护人员兼职负责,安全工作分散到各个维护人员;4应用系统账号管理、防病毒等方面具有一定流程,在网络
45、安全管理方面的流程相对比较薄弱,需要进一步进行修订;5员工安全意识有待加强,日常办公中存在一定非安全操作情况,终端使用和接入情况复杂。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用23 / 25这可以说是现阶段具有代表性的网络安全建设和使用的现状,从另一个角度来看,单纯依靠网络安全技术的革新,不可能完全解决网络安全的隐患,如果想从根本上克服网络安全问题, 我们需要首先分析距真正意义上的网络安全到底存在
46、哪些差距。就目前而言, 企业的网络安全还存在这样或那样的问题,离真正的安全的网络还有不可逾越的差距。1. 网络安全管理体系不完善,需要通过实施策略对流程进行细化,其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。2. 涉及网络安全的各个层次,特别是基层人员对网络安全工作的重要性认识不足,必须强化把网络安全作为一项重点工作开展,并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。3. 网络安全管理组织不完整, 现阶段网络 / 应用系统的安全工作基本上由各维护单位和人员承担, 安全责任相对比较分散, 存在一定程度的安全责任无法落实到具体人的现象。4. 具有普及性的安全教育和
47、培训不足,人员完善的网络安全体系应包括安全策略体系、安全组织体系、安全技术体系、安全运作体系。安全策略体系应包括网络安全的目标、方针、策略、规范、标准及流程等,并通过在组织内对安全策略的发布和落实来保证对网络安全的承诺与支持。安全组织体系包括安全组织结构建立、安全角色和职责划分、 人员安全管理、 安全培训和教育、第三方安全管理等。安全技术体系主要包括鉴别和认证、访问控制、内容安全、 冗余和恢复、 审计和响应。 安全运作体系包括安全管理和技术实施的操作规程,实施手段和考核办法。 安全运作体系提供安全管理和安全操作人员具体的实施指导,是整个安全体系的操作基础。第五章 网络安全管理技术发展趋势管理和
48、技术两个维度推进网络安全工作不仅是现阶段解决好网络安全问题的需要,也是今后网络安全发展的必然趋势。(一)从技术角度而言名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页,共 25 页 - - - - - - - - - 网络安全管理技术与应用24 / 251逻辑隔离技术。以防火墙为代表的逻辑隔离技术将逐步向大容量,高效率,基于内容的过滤技术以及与入侵监测和主动防卫设备、防病毒网关设备联动的方向发展,形成具有统计分析功能的综合性网络安全产品。2防病毒技术。防病毒技术将逐步实现由单
49、机防病毒向网络防病毒方式过渡,而防病毒网关产品的病毒库更新效率和服务水平,将成为今后防病毒产品竞争的核心要素。3身份认证技术。 80% 的攻击发生在内部,而不是外部。内部网的管理和访问控制相对外部的隔离来讲要复杂得多。在一般人的心目中,基于Radius 的鉴别、授权和管理( AAA )系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时, 实际上组织内部网同样需要一套强大的AAA系统。根据 IDC的报告,内部的 AAA系统是目前安全市场增长最快的部分。4入侵监测和主动防卫技术。入侵检测和主动防卫(IDS、IPS)作为一种实时交互的监测和主动防卫
50、手段,正越来越多的被政府和企业应用,但如何解决监测效率和错报、漏报率的矛盾,需要继续进行研究。5加密和虚拟专用网技术。组织的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的,因此加密通信和虚拟专用网(VPN )有很大的市场需求。 IPSec 已经成为市场的主流和标准。6网管。网络安全越完善,体系架构就越复杂。管理网络的多台安全设备需要集中网管。集中网管是目前安全市场的一大趋势。(二)从管理角度讲应遵循以下原则1 整体考虑,统一规划。网络安全取决于系统中最薄弱的环节。 “一点突破,全网突破”,单个系统考虑安全问题并不能真正有效的保证安全,需要从整体IT体系层次建立