《网络安全技术在企业中的应用.doc》由会员分享,可在线阅读,更多相关《网络安全技术在企业中的应用.doc(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全技术在企业中的应用姓 名:周 洁单 位:余姚市技工学校摘 要随着INTERNET在中国的进一步发展,上网对于许多人已经成为生活中必不可少的一部分,新老网民们通过网络来查找资料、交流信息。对于企业而言,网络更是占有举足轻重的地位,电子商务已经有逐步取代传统企业经营方式的趋势。但网络在给我们极大便利的同时,也给我们另外一个棘手问题,就是“黑客”。由于INTERNET的本身设计缺陷及其开放性,使其极易受到黑客的攻击。根据美国有关安全部门统计,因特网上98%的计算机受到过黑客的攻击分析,50%的机器被黑客成功入侵,而被入侵机器有20%的管理员尚未发现自己被入侵。网络的安全性已成为阻碍因特网在全
2、球发展的重要因素之一。最近,大量病毒大肆横行,给世界许多国家造成巨大的损失。所以越来越多的人认识到网络安全的重要性。本文先是介绍了网络信息安全的涵义和黑客的一般攻击手段,然后通过一个具体的企业网实例详尽阐述了如何合理布置网络架构来进行有效的防护。关键词:网络信息安全 网络安全架构 黑客 NETEYE VLAN TRUNK1网络信息安全的涵义网络信息既有存储于网络节点上信息资源,即静态信息,又有传播于网络节点间的信息,即动态信息。而这些静态信息和动态信息中有些是开放的,如广告、公共信息等,有些是保密的,如:私人间的通信、政府及军事部门、商业机密等。网络信息安全一般是指网络信息的机密性(Confi
3、dentiality)、完整性(Integrity)、可用性(Availability)及真实性(Authenticity)。网络信息的机密性是指网络信息的内容不会被未授权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等,即不能为未授权的第三方修改。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。当前,运行于互联网上的协议(如TCP/IP)等,能够确保信息在数据包级别的完整性,即做到了传输过程中不丢信息包,不重复接收信息包,但却无法制止未授权第三方对信息包内部的修改。网络信息的可用性包括对静态信息的可得到和可操作性及对动
4、态信息内容的可见性。网络信息的真实性是指信息的可信度,主要是指对信息所有者或发送者的身份的确认。前不久,美国计算机安全专家又提出了一种新的安全框架,包括:机密性 (Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、实用性(Utility)、占有性(Possession), 即在原来的基础上增加了实用性、占有性,认为这样才能解释各种网络安全问题:网络信息的实用性是指信息加密密钥不可丢失(不是泄密),丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。网络信息的占有性是指存储信息的节点、磁盘等信息载体被盗用,导致对
5、信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性,提供物理和逻辑的存取限制方法;维护和检查有关盗窃文件的审记记录、使用标签等。2攻击网络安全性的类型对互联网络的攻击包括对静态数据的攻击和对动态数据的攻击.2.1静态数据的攻击对静态数据的攻击主要有:1口令猜测:通过穷举方式搜索口令空间,逐一测试,得到口令,进而非法入侵系统。2IP地址欺骗:攻击者伪装成源自一台内部主机的一个外部地点传送信息包,这些信息包中包含有内部系统的源IP地址,冒名他人,窃取信息。3指定路由:发送方指定一信息包到达目的站点的路由,而这条路由是经过精心设计的、绕过设有安全控制的路由。2.2动态信息的攻击根据
6、对动态信息的攻击形式不同,可以将攻击分为主动攻击和被动攻击两种。2.2.1被动攻击被动攻击主要是指攻击者监听网络上传递的信息流,从而获取信息的内容(interception),或仅仅希望得到信息流的长度、传输频率等数据,称为流量分析(traffic analysis)。被动攻击和窃听示意图如图1、图2所示: 2.2.2主动攻击除了被动攻击的方式外,攻击者还可以采用主动攻击的方式。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其非法目的。主动攻击可以归纳为中断、篡改、伪造三种(见图3)。中断是指阻断由发送方到接收方的信息流,使接收方无法得到该信息,这
7、是针对信息可用性的攻击(如图4)。篡改是指攻击者修改、破坏由发送方到接收方的信息流,使接收方得到错误的信息,从而破坏信息的完整性(如图5)。伪造是针对信息的真实性的攻击,攻击者或者是首先记录一段发送方与接收方之间的信息流,然后在适当时间向接收方或发送方重放(playback)这段信息,或者是完全伪造一段信息流,冒充接收方可信任的第三方,向接收方发送。(如图6)3. 企业网络主要安全问题作为一个企业网,不管他是什么性质的公司,通常能见到如WEB、MAIL、FTP、DNS、 TELNET等,当然,也有一些非通用,在某些领域、行业中自主开发的网络应用服务。我们通常所说的服务器,既是具有网络服务的主机
8、。网络应用服务安全,指的是主机上运行的网络应用服务是否能够稳定、持续运行,不会受到非法的数据破坏及运行影响。网络安全的威胁来自多个方面,主要包括:操作系统安全、网络设备安全、网络传输安全、网络应用服务安全等等,以下我们就这些四个主要安全问题做一比较.31操作系统安全问题 操作系统安全指的是一个操作系统在其系统管理机制实施中的完整性、强制性、计划性、可预期性不受干扰、破坏。如操作系统的用户等级管理机制、文件读取权限管理机制、程序执行权限管理机制、系统资源分配管理机制等。操作系统安全问题的来源主要表现在系统管理程序编写失误、系统配置失误等方面。其安全问题主要体现在抵御和防范本地攻击。攻击行为通常表
9、现为攻击者突破以上的一些系统管理机制,对系统的越权访问和控制。32网络设备安全问题 网络设备的安全指的是网络设备是否能长期、持续、稳定地完成其特定的功能和任务。由于网络设备提供的功能相对操作系统而言大大简化,因此管理程序编写失误方面的系数大大降低,其安全问题主要来自于系统配置方面的失误。攻击行为主要表现为突破系统控制权身份验证机制,恶意地修改系统配置。33网络传输安全问题网络传输安全问题:主要包括信息在网络传输和信息系统存储时完整性、机密性和不可否认性。信息完整性可以依靠报文鉴别机制,例如哈希算法等来保障,信息机密性可以依靠加密机制以及密钥分发等来保障,信息不可否认性可以依靠数字签名等技术来保
10、障。其安全问题主要来自于数据未经加密或采用有效的安全处理时就进行传输。攻击行为通常表现为攻击者通过网络监听取得各种有效机密信息。34网络应用服务安全问题网络应用服务安全指的是包括网络与应用平台的安全,由网络应用平台提供的服务能够合法有效受控开展,还包括网络应用的信息存储、传递加工处理能完整、机密且可用,信息内容涉及内容安全时能及时有效采取相应措施。其安全问题主要来自于网络应用服务漏洞和“后门”。攻击行为主要表现病毒及恶意攻击使应用服务不能够合法有效受控开展。每一个网络应用服务都是由一个或多个程序构成,不仅要考虑到服务端程序,也需要考虑客户端程序。服务端的安全问题主要表现在非法的远程访问,客户端
11、的安全问题主要表现在本地越权使用客户程序。由于大多数服务的进程由超级用户守护,许多重大的安全漏洞往往出现在一些以超级用户守护的应用服务程序上4.网络安全体系在现阶段为保证企业网络中的操作系统、网络应用服务等稳定、持续运行,防止或减少受到非法的破坏,需要采取全面及有效的网络安全体系进行保障。采用的具体的防范措施及工具有:4.1网络病毒的防范在网络环境下,病毒 传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加
12、强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。4.2配置防火墙利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止
13、Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。4.3采用入侵检测系统入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未 授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。4.4Web,Email,BBS的安全监测系统在网络的www服务器、Email服务器等中使
14、用网络安全监测系统,实时跟踪、监视网络, 截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容 ,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中 心报告,采取措施。4.5漏洞扫描系。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络 安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
15、在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。4.6 IP盗用问题的解决在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。4.7利用网络监听维护子网系统安全对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程
16、序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。5.网络安全的架构我们以某公司为例来具体说明:网络安全的目标是通过系统及网络安全配置,防火墙及检测预警、安全扫描、网络防病毒等软、硬件,对出入口的信息进行严格的控制;对网络中所有的装置(如Web服务器、路由器和内部网络等)进行检测、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,建议补救措施,并有效地防止黑客入侵和病毒扩散,并能监控整个网络的运行状况。为了最大限度地减低公司内部网的风险,提高其安全性,采用可适应安全管理解决方案。可适应性安全管理模型针对企业的安全威胁和进攻弱点,通过通
17、信数据加密、系统扫描、实时监控,检测和实时响应、实施群安全策略,提供端对端的完整安全解决方案。与之相对应,通信数据传输加密、检测、响应、监控等,每个环节都有相应的产品,该模型能够最大限度地减低企业的风险。我们首先来分析一下“黑客”入侵的手段和途径,作为一个入侵者,他的第一步自然是先要找到目标企业在网络中的位置,假设他已经知道该企业没有使用主机托管服务,而是和企业的网络放在了一起,那么他只须ping一下该企业的主页就能了解到该企业的IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002,而另外还有一台DNS服务器,也可以使用nslookup这样的工具,一下就能查到目标企业的DN
18、S服务器为地址xxx.xxx.xxx.003,并且他还会计划假设已经进入以上三台服务器中的一台,他就会马上分析网络结构,并且进入内网,获取内部网络员工资料,以及很多重要数据。从上面看得出来,要保护这个网络,我们需要做很多东西,首先我们可以想办法对服务器之间以及服务器和内部网络之间进行隔离,但又能应用到他们应该有的功能,现在对该企业的网络做如下策划:其整体安全策略为:1、网络传输安全 保证网络传输的安全。 2、网络安全性检测 采用漏洞扫描系统对系统进行漏洞扫描,保证企业联网在最佳的状态下运行。 3、防攻击能力 采用入侵检测系统对网络进行监测和预警保证企业联网防止外界攻击的能力。 4、防病毒能力
19、采用网络防病毒系统对网络病毒进行防治,保证企业联网防病毒能力。 建立分层管理和各级安全管理中心。用户设备情况:用户拥有几百台PC机、一台准备用作DNS SERVER和EMAIL SERVER的服务器、一台AVAYA的P580交换机、和一台CISCO的7500路由器。另外,其打算联入INTERNET 的电信线路和广域网路由器.用户要求:通过防火墙保证内部网的最大安全,并一定程度上保证服务器的安全;内部网各个PC机可以上INTERNET。将AVAYA的P580交换机划分若干VLAN ,并利用CISCO的7500路由器做TRUNK来为各个VLAN 做路由(7500除此以外,还有其他用途)。 根据用户
20、具体情况,可有如下网络结构: 网络的实现: 该结构基本上说,是防火墙的典型接法,其实现较为简单。同时,用户希望各个PC机都能够实现上INTERNET,所以,可以让防火墙工作在路由模式下,并提供NAT地址转换功能,为内部网的客户机提供所谓的代理功能。因为,用户要在AVAYA P580交换机上为底下众多PC机划分不同的VLAN,而同时,又用CISCO7500路由器,在防火墙内部 做TRUNK为各个VLAN 做路由。也就是说,真正的TRUNK数据包并没有通过防火墙,所以,防火墙也应是属于其中一个VLAN ,这样,才能与其它VLAN 进行通信,即:其它VLAN 的机器可以找到并通过防火墙上INTERN
21、ET。当然,这时的CISCO7500路由器就需要有一些必要的设置和配置;首先,要在接口设好ISL或802.1Q的封装,保证VLAN之间的通信, 当然,这时,防火墙所在接口也是一个VLAN。然后,在CISCO7500上指定默认路由为防火墙所在VLAN的网段,这样,就保证用户在上网或要发邮件时, CISCO7500能将客户端所发的数据包,送到防火墙,进而,送到DMZ区的邮件服务器或送出到INTERNET上。 安全性的实现: 1由于NETEYE防火墙产品自身的强大功能,给该网络提供了最大的安全保障。其核心所具有的Stateful 动态包过滤和防Dos 攻击的功能,可以在基本上给网络有一个安全保证。伴
22、有对网络工作的实时监控和强大统计、审计功能,也使一些不安全因素能够早发现早处理。 2 NetEye防火墙支持各种网络协议,例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、RealAudio、SMTP、TELNET、Internet Phone等网络协议,NetEye同时是国内支持多媒体数据进行实时点播最好的防火墙系统,支持CISCO、SGI等多媒体点播协议,例如OSPF、IGMP等广播协议。对各种常用应用系统例如Oracle、Notes、SQL Server等完全支持。 3 NetEye防火墙对远程接入用户提供先进的一次性口令身份认证过程,可以使
23、用防火墙自身的认证系统也支持第三方采用协议为RADIUS TACACS/TACACS+等认证服务器。 4 网络地址转换NAT功能是NetEye防火墙完备的功能之一,在大量的实际应用中证明稳定可靠。在银行信息网络中通过NAT功能实现内部网用户访问外Internet 资源,实现透明应用代理,为内部网提供对外的安全通道。通过NAT功能保证DMZ区的各种网络服务器对外提供各种服务,NetEye防火墙的NAT功能作为DMZ区与外部访问者之间的桥梁,保证外部访问者不能直接连接应用服务器,从而保证信息网的安全。 5 NetEye防火墙如同网络上的监视器,可以轻松记录内部网每一位用户的访问情况,同时可以对网络
24、的各种使用情况进行统计生成各种报表、统计图、趋势图等。NetEye具有实时入侵检测系统,完全实现防患于未然。能够对各种网络攻击方式进行识别例如网络协议异常、拒绝服务攻击DOS、网络扫描、网络欺骗、地址盗用等,同时以邮件方式对系统管理员进行报警。 NetEye防火墙的实时监控系统能够了解防火墙当前的工作状态,同时了解网络的通讯情况与攻击的详细信息。6 NetEye防火墙具有一个优秀的功能,就是能够将一台企业内部终端设备的网卡MAC地址与它的网络IP地址进行捆绑,完全实现两者的一一对应。当信息网内部有人私自篡改IP地址妄图盗用他人上网费用时,由于其IP地址与MAC地址不匹配,NetEye防火墙拒绝
25、其通过,禁止其访问同时向系统管理员进行邮件报警。网络规划配置 在AVAYA P580交换机上划分VLAN 不但可以隔离广播,减少广播风暴;同时,可以将各个部门或组织从逻辑上分开,提高了安全性。而此时,防火墙也是其中一个VLAN。那么可以说,为内部网的安全又多提供了一层保护。 当用户内部网的客户机具有不同权限时,需要对具有高权限的IP进行限制,即:需要进行IP和MAC绑定,但由于各VLAN 的数据包通过了路由器,其MAC地址已发生变化,则防火墙的IP和MAC绑定不能实现。然而,通过用防火墙的客户端认证功能,不但,能替代IP和MAC绑定功能,而且,可以在其他的应用上灵活使用。 将为外面提供服务的E
26、MAIL SERVER 服务器置于防火墙的DMZ区(非军事区),和内部网隔离开这样,可以保证外界的访问只有通往DMZ的路径,而对于内网的访问,则是绝对不予许的。另外,在DMZ区也只将EMAIL服务器的SMTP 25和POP3 110端口以及DNS的53端口打开。这样,其安全性将大大增加,同时,对于防火墙的配置也是简单、清晰。需要注意的问题: 由于防火墙的外网接入INTERNET,其包括的IP地址近似无穷多,所以,防火墙上的默认网关,自然应该指向外网口。 另外,防火墙的外网由于联入INTERNET,所以,应具有一个合法IP地址。EMAIL SERVER 和DNS 服务器由于要为与外界联系而提供服
27、务,所以也应具有一个合法IP。又因为防火墙在路由模式下各安全区应在不同网段,那么,DMZ区和外网就会带来一些问题。我们可以通过划分子网和把DMZ区的机器做NAT地址映射来解决这个问题。 6结束语网络安全是网络管理的重要内容。对于一个企业,我们首先要设计好网络构架,在设计的同时要考虑到各个服务器以及内部网络各放在什么位置。合理的网络配置能够增强网络安全。可以预见到加密技术和VLAN、VPN、防火墙的合理配置使用,必将使网络得到很好的保护。参考标准及文献1蔡立军计算机网络安全技术,中国水利出版社出版,2002.32姚中行局域网高级组网技术,人民邮电出版社,2002.103罗子波网络设备配置与建设管理应用实例,科学出版社,2002.94谢希仁计算机网络,大连理工出版社,2000.45王一兵网络设备,科学出版社,2002.66赵丰标网络硬件手册,人民邮电出版社,2002.107刘春阳计算机网络与信息安全所带来的行业问题2001.58陈 钟信息与网络安全北京大学信息学院,电子教材,2006.79肖松岭网络安全技术内幕科学出版社2008.10