《计算机网络安全方案设计并实现.docx》由会员分享,可在线阅读,更多相关《计算机网络安全方案设计并实现.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机网络平安方案设计并实现摘要 计算机网络平安建立是涉及我国经济开展、社会开展与国家平安的重大问题。本文结合网络平安建立的全面信息,在对网络系统详细的需求分析根底上,依照计算机网络平安设计目标与计算机网络平安系统的总体规划,设计了一个完整的、立体的、多层次的网络平安防御体系。 关键词 网络平安方案设计实现 一、计算机网络平安方案设计与实现概述 影响网络平安的因素很多,保护网络平安的技术、手段也很多。一般来说,保护网络平安的主要技术有防火墙技术、入侵检测技术、平安评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的平安,必须结合网络的具体需求,将多种平安措施进展整合,建立一个
2、完整的、立体的、多层次的网络平安防御体系,这样一个全面的网络平安解决方案,可以防止平安风险的各个方面的问题。 二、计算机网络平安方案设计并实现 1.桌面平安系统 用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进展本地平安管理,防止文件泄密等平安隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁是清华紫光“桌面计算机信息平安保护系统的商品名称。紫光S锁的内部集成了包括中央处理器CPU、加密运算协处理器CAU、只读存储
3、器ROM,随机存储器RAM、电可擦除可编程只读存储器E2PROM等,以及固化在ROM内部的芯片操作系统COSChip Operating System、硬件ID号、各种密钥与加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其平安模块可防止非法数据的侵入与数据的篡改,防止非法软件对S锁进展操作。 2.病毒防护系统 基于单位目前网络的现状,在网络中添加一台效劳器,用于安装IMSS。 1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以与Domino的群件效劳器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实
4、时扫描并去除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。 2)效劳器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块与管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有效劳器的防毒系统可以从单点进展部署,管理与更新。 3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有
5、客户端的防毒模块进展更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。 4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进展配置、监视与维护趋势科技的防病毒软件,支持跨域与跨网段的管理,并能显示基于效劳器的防病毒产品状态。无论运行于何种平台与位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装与分发代理部署,网络的分析与病毒统计功能以及自动下载病毒代码文件与病毒爆发警报,给管理带来极大的便利。 3.动态口令身份认证系统 动态口令系统在国际公开的密码算法根底上,结合生成动态口令
6、的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此根底上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的平安性。 4.访问控制“防火墙 单位平安网由多个具有不同平安信任度的网络局部构成,在控制不可信连接、分辨非法访问、区分身份伪装等方面存在着很大的缺陷,从而构成了对网络平安的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能效劳器与三个重要部门的局域网出入口,实现这些重要部门的访问控制。 通过在核心交换机与高性能效劳器群之间及核心交换机与重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键效劳器划分为不同的网段
7、,彼此隔离。这样不仅保护了单位网络效劳器,使其不受来自内部的攻击,也保护了各部门网络与数据效劳器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开场蔓延,网段能够限制造成的损坏进一步扩大。 5.信息加密、信息完整性校验 为有效解决办公区之间信息的传输平安,可以在多个子网之间建立起独立的平安通道,通过严格的加密与认证措施来保证通道中传送的数据的完整性、真实性与私有性。 SJW-22网络密码机系统组成 网络密码机硬件:是一个基于专用内核,具有自主版权的高级通信保护控制系统。 本地管理器软件:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软
8、件。 中心管理器软件:是一个安装于中心管理平台Windows系统上的对全网的密码机设备进展统一管理的系统软件。 6.平安审计系统 根据以上多层次平安防范的策略,平安网的平安建立可采取“加密、“外防、“内审相结合的方法,“内审是对系统内部进展监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层平安。 平安审计系统能帮助用户对平安网的平安进展实时监控,及时发现整个网络上的动态,发现网络入侵与违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络平安十分重要的一种手段,平安审计系统包括识别、记录、存储、分析与平安相关行为有关的信息。 在平安网中使用的平安审计系统应实现如下功能
9、:平安审计自动响应、平安审计数据生成、平安审计分析、平安审计浏览、平安审计事件存储、平安审计事件选择等。 本设计方案选用“汉邦软科的平安审计系统作为平安审计工具。 汉邦平安审计系统是针对目前网络开展现状及存在的平安问题,面向企事业的网络管理人员而设计的一套网络平安产品,是一个分布在整个平安网范围内的网络平安监视监测、控制系统。 1平安审计系统由平安监控中心与主机传感器两个局部构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。平安监控中心是管理平台与监控平台,网络管理员通过平安监控中心为主机传感器设定监控规那么,同时获得
10、监控结果、报警信息以及日志的审计。主要功能有文件保护审计与主机信息审计。 文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进展管理规那么设置,包括制止读、制止写、制止删除、制止修改属性、制止重命名、记录日志、提供报警等功能。以及对文件保护进展用户管理。 主机信息审计:对网络内公共资源中,所有主机进展审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。 2)资源监控系统主要有四类功能。监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开场与完毕。监视键盘:在用户指定的时间段内,截获Host Sensor Program用户
11、的所有键盘输入,用户实时控制键盘截获的开场与完毕。 监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开场与完毕。当gas连接非法时,系统将自动进展报警或挂断连接的操作。 监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP, UDP,NetBios。用户实时控制网络连接信息截获的开场与完毕。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进展报警或挂断连接的操作。 单位内网中平安审计系统采集的数据来源于平安计算机,所以应在平安计算机安装主机传感器,保证探头能够采集进出网络的所有数据。平安监控中心安装在信息中心
12、的一台主机上,负责为主机传感器设定监控规那么,同时获得监控结果、报警信息以及日志的审计。单位内网中的平安计算机为600台,需要安装600个传感器。 7.入侵检测系统IDS 入侵检测作为一种积极主动的平安防护技术,提供了对内部攻击、外部攻击与误操作的实时保护,在网络系统受到危害之前拦截与响应入侵。从网络平安的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃开展就可以看出。 根据网络流量与保护数据的重要程度,选择IDS探测器百兆配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控与管理所有的探测器因此提供了对内部攻击与误操作的实时保护,在网络系
13、统受到危害之前拦截与响应入侵。 在单位平安内网中,入侵检测系统运行于有敏感数据的几个要害部门子网与其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式与其他网络违规活动。 8.漏洞扫描系统 本内网网络的平安性决定了整个系统的平安性。在内网高性能效劳器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪与机架型扫描效劳器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进展多线程较高的扫描速度的扫描,可以实现与IDS、防火墙联动,尤其
14、适合于制定全网统一的平安策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,效劳器与扫描仪都支持定时与多IP地址的自动扫描,网管人员可以很轻松的就可以进展整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级效劳体系,大大的减轻了工作负担,极大的提高了工作效率。 联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时与多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进展扫描与漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑构造与添加其他的应用程序就可以轻轻松松的保证了网络的平安性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫
15、描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的效劳器与网络设备直接扫描防护,这样保证了网络平安隐患扫描仪与其他网络平安产品的合作与协调性,最大可能地消除平安隐患。 在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统与移动式扫描仪之间的联动,保证了网络平安隐患扫描仪与其他网络平安产品的合作与协调性,最大可能的消除平安隐患,尽可能早地发现平安漏洞并进展修补,优化资源,提高网络的运行效率与平安性。 三、完毕语 随着网络应用的深入普及,网络平安越来越重要,国家与企业都对建立一个平安的网络有了更高的要求。一个特定系统的网络平安方案,应建立在对网络风险分析
16、的根底上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络平安方案固化为一个模式,用这个模子去套所有的信息系统。 本文根据网络平安系统设计的总体规划,从桌面系统平安、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、平安审计、入侵检测、漏洞扫描等方面平安技术与管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络平安防御体系。 参考文献: 1吴假设松:新的网络威胁无处不在J.信息平安与通信保密,2005年12期 2唐朝京张权张森强:有组织的网络攻击行为结果的建模J.信息与电子工程,2003年2期 3王秋华:网络平安体系构造的设计与实现J.杭州电子科技大学学报,2005年5期第 9 页