企业计算机网络安全系统设计与实现.doc

资源描述

1、. .企业计算机网络安全系统设计与实现摘要随着网络技术的不断发展和应用，计算机网络不断改变各种社会群体的生活、学习和工作方法，可以说人们已经不能离开计算机工作和学习。由于计算机网络在生活中如此重要，如何保证网络的安全可靠稳定运行，已成为网络设计和管理中最关键的问题。企业作为互联网应用最活跃的用户，在企业网络规模和网络应用不断增加的情况下，企业网络安全问题越来越突出。企业网络负责业务规划、发展战略、生产安排等任务，其安全稳定直接关系到生产、管理和管理的XX性。因此，企业建立网络安全体系至关重要。本文首先介绍了企业计算机网络安全技术，分析了计算机网络接入和防火墙技术等系统开发过程中涉及的

2、关键技术，以及如何在此阶段为上述网络安全问题建立安全系统。如何建立监控系统等，并描述了系统的实现过程。该系统可实现计算机网络访问控制、文件系统运行、系统运行状态等的远程访问和实时监控。主要实现用户身份管理模块、实时监控模块、硬件对象管理模块、软件对象管理模块、网络对象管理模块、文件对象管理模块等。通过对系统的测试和分析，系统达到预期的设计目标和工作状态，可以满足内部网络安全监控的功能要求。可应用于网络信息安全有更高要求的企业和部门。关键词：网络安全；实时监控；安全系统；网络信息安全第1章绪论1.1 课题研究的背景及意义随着计算机网络技术的发展，互联网的应用也在不断推进，其应用已深入到

3、工作、生活、学习和娱乐的各个方面，使人们的工作环境不断改善，提高生活质量，企业电子商务发展迅速，信息化水平大幅提升，大大促进了经济社会的进步和发展。但是，互联网的普及为人们带来了便利，提高了生活质量，促进了社会科学技术进步，促进了社会的发展，同时网络信息安全的问题日益突出1。随着计算机网络的广泛应用和普及，黑客的非法入侵，网络中计算机病毒的蔓延和垃圾的处理已成为关注的焦点。许多公司没有为计算机网络系统做好安全措施，付出了非常惨痛和昂贵的代价2。企业网络建设是企业信息化的基础，INTRANET是企业网络模式，是企业网络的基础。 INTRANET不完全是LAN的概念，通过与互联网的连接，企业网络

4、的X围可以跨区域，甚至跨越国界3。现在很多有远见的商界领袖感受到企业信息化的重要性，已经建立了自己的企业网络和内部网，并通过各种广域网和互联网连接。网络在我国的快速发展只有近几年才出现，企业网络安全事件的出现已经非常多4。因此，我们积极开展企业网络建设，学习吸收国外企业网络建设和管理经验，运用网络安全将一些企业网络风险和漏洞降至最低。随着威胁的迅速发展，计算机网络的安全目标不断变化。因此，只有不断更新病毒和其他软件不断升级以确保安全。对于包含敏感信息资产的业务系统和设备，企业可以统一应用该方法，从而确保病毒签名文件的更新、入侵检测和防火墙配置以及安全系统的其它关键环节。简单的技术无法解决

5、安全问题。只有依靠健全的战略和程序，并配合适当的人员和物质安全措施，整合安全解决方案才能发挥最大的作用。健全的安全政策和标准规定了需要保护的内容，应根据权限和需要划分人员的职能。公司需要高度支持安全政策，提高员工意识，有助于成功实施战略5。全面的安全策略提高了目标计算机网络的整体安全性，这是通过使用网络安全独立产品无法实现的。不管内部和外部安全问题如何，确保所有这些功能都得到实施。维护安全的基本框架非常重要6。1.2 企业网络安全系统国内外研究现状企业网从初始单一数据交换发展到集成智能综合网络，已经经历了十几年的时间。在此过程中，企业网络人员逐渐实现了网络架构设计多层次，多元素化。它包括

6、主机系统、应用服务、网络服务、资源、并支持业务的正常运行。现在企业对网络的需求越来越高，对网络的依赖越来越强，这表明企业管理、生产和销售网络发挥了很强的支撑作用7。1.2.1国内企业网络安全系统现状随着宽带互联网的快速发展，企业网络安全形势恶化，受访企业中有部分企业发生网络信息安全事件，其中一些企业感染了病毒、蠕虫和木马8。一些公司有网络端口扫描。在这种情况下，企业网络安全和网络安全管理已成为国内政府、学术界和行业关注的焦点。从政府的角度来看，企业网络具有重要的战略意义：企业网络是国家信息化基础设施，肩负着保护网络和信息安全的重要责任，也反映了国家主权。在学术领域，信息安全是一个综合性学科

7、领域，不仅包括数学、物理，还包括通信、计算机等综合学科。其研究不仅包括网络安全技术的研究和设计，整体解决方案，还包括网络安全产品的开发等9。在行业中，我们的产品缺乏核心竞争力：信息安全产品和国外厂商的自主开发，几乎都属于低端产品。例如，国际先进的网络安全解决方案和产品，是我国禁止的，我们只能学习这些先进的技术和产品。面对日益严重的网络和信息安全形势，我国政府、学术界、产业界等高度关注，信息安全的重要性已经提升到前所未有的战略高度。 2000年以后，我国制定了一批信息安全法规和部门规章制度，基本形成统一，分工明确的负责任组织，网络安全事故应急响应协调机制初步建立，实施信息安全关键技术研究

8、，启动相应的体系建设，开展计算机信息系统分类安全体系建设监督管理，开发了一批专业信息安全产品，网络信息安全产业开始形成规模。我国信息网络安全管理与控制系统研究与开发在初期阶段，2006年，古利勇等对网络管理平台架构进行了研究，提出了系统框架。安全策略管理分析。安全预警管理、资产风险管理、安全事件集中监控、安全知识管理、安全报告管理等六大核心功能模块10。 2008年，孙强等提出了基于消息通信安全管理体系的模型，介绍了安全管理体系的结构和实现机制，并对系统实现中的关键技术和解决方案进行了介绍，包括系统架构、消息通信机制、系统安全机制和安全风险模型及数据一致性维护等11。2010年，史简等

9、研究提出了统一的网络安全管理平台，运用风险评估和事件相关技术，实时分析网络风险情况，减少误报和漏报11。赵泉2011年指出，加密技术是信息安全网络安全技术的核心12。 2013年，阎廷瑞提出了信息传输和存储的安全性，为网络应用系统信息安全模型的基本要素和资源访问的安全控制提供了一种更简单可行的认证和安全管理解决方案13。 2015年，XXX等研究设计了新的监控管理系统，通过数据采集、数据分析、实现网络内主机设备性能数据分析与监控控制策略14。X周华在2016年提出了一种新的网络和信息安全架构模型15。1.2.2国外企业网络安全系统现状自20世纪70年代中期以来，英美等西方发达国家已经开始重视网

10、络和信息安全问题。经过多年的发展，在理论研究、标准制定、产品开发、安全体系建设，人才培养等方面取得了很多成果16。本文回顾了信息安全技术发展的路径，W.Diffie和W.Hellman提出了公钥密码学与David.Bell和Lconard La Padufa提出计算机安全模型，信息安全从初步的单阶段XX到预防和检测、评估、控制等方面提出了计算机安全模型，信息安全处于快速发展阶段 “攻、防和测、评、控、管为一体的安全成熟的系统之一17。从目前的市场结构来看，信息安全技术保持领先的是美国、英国、法国和以色列; 研究内容主要针对安全协议和安全架构设计，包括：安全协议分析方法，安全协议研究与设计的使

11、用; 安全架构设计，包括安全系统模型、研究和建立安全策略和机制，以及系统对安全性的检查和评估15。安全协议研究中最关键的问题之一是安全分析方法的形式分析。目前，该领域的成果包括电子商务协议、协议、简单网络管理协议和安全操作系统，安全数据库系统16。从当前产品的角度来看，目前主流的安全产品有防火墙、安全服务器、入侵检测系统、安全数据库、认证产品等16。从国外企业信息化建设的角度看，发达国家的许多企业将信息化迈向战略高度，大量信息技术投入和发展（一般信息投入占总资产的10，加快获取信息技术。例如，美国所有的大公司都实现了办公自动化，一些跨国公司实现虚拟办公17;同时这些大型企业基本上都是通过信

12、息技术实现首席信息官改进这些企业的决策、管理和经营，并获得新的发展机遇18。Antoine Joux（2011）在其Algorithmic Crpytanalysis一书中指出，加密算法和验证技术与网络安全密切相关19。外国学者Joseph Migga Kizza（2013）著作PUTER NETWORK SECURITY AND CYBER ETHICS,4TH ED中针对近年来新型的加密技术进行了阐述20。从国外企业实施信息化的角度来看，一般国际企业随着信息技术的推广，其业务网络延伸到最广泛的地方。然而，由于新技术的飞速发展，信息安全的一般公司面临着诸多问题和困难，所以他们将如网络防火墙

13、技术、入侵检测技术、数据安全技术、安全技术投资外包给第三方等21。1.3 课题主要研究内容本文的主要工作是分析内部网络安全检测系统的关键技术。在此基础上，完成了网络安全检测系统的设计与开发，主要包括以下几个方面。 1.本文分析了网络编程技术中的安全检测系统，主机状态监控技术和用户权限管理以及数据安全技术，提出了具体的实现方案。有关系统信息收集，用户行为数据和网络数据采集的基本概述和相关关键技术，以及对开发环境中使用的系统的简要介绍。 2.分析安全检查系统的具体需求，包括功能和非功能要求，并阐明任务的X围和内容。简要介绍了网络安全检测系统的要求，详细分析了系统的整体功能和子功能。最后，

14、介绍了系统的性能、易用性、接口要求和非功能要求。 3.完成安全检测系统的整体框架设计，给出系统功能的具体设计。本文介绍了网络安全检测系统的设计过程，给出了系统的功能结构和处理逻辑设计，并描述了核心数据结构、用户界面、数据结构和安全设计过程。 4.完成安全检测系统的编码和实现，并对系统进行了测试和分析。介绍了系统的实现，系统的整体拓扑结构和软件系统的逻辑结构，分别实现了功能模块在核心功能中的关键功能。介绍了网络安全检测系统的功能和性能测试。测试结果表明该系统可以满足应用要求。1.4论文结构安排第1章对企业计算机网络安全系统的背景和意义进行介绍。得出本文的研究现状、研究内容和结构。第2章相

15、关概念和关键技术，详细介绍了企业计算机网络安全相关的技术，如计算机网络入侵和攻击技术，以及在这个阶段针对以上的网络安全问题，如何建立一个安全系统等。第 3 章需求分析包括系统功能和非功能需求分析。第4章企业计算机网络安全管理系统的设计，系统架构设计、系统功能模块设计、数据库设计等。第5章企业计算机网络安全管理系统的实现。对各个部分的功能进行实现。第2章相关概念及关键技术2.1 计算机网络安全的概念计算机网络安全是指系统软件、应用软件、硬件等媒体在网络中的所有数据信息可以完全防御，不会出现异常或异常变化，可以有效防止这些媒体信息不被篡改，保护网络数据传输稳定，不会泄漏，不间断运行2

16、2。网络安全是一个非常复杂和全面的研究课题，不仅涵盖了计算机基础科学、网络通信技术、信息技术和电子通信加密技术，而且还包括一些端口类加密、信息理论和应用数学。从根本上说，网络安全是运输网络元素的安全运行。网络安全性按照应用分为两大类，第一类网络安全是指网络信息安全。第二类是指网络中所有数据可用、可控、XX和完整性相关技术被归类为计算机网络安全分类讨论的完整性的理论23。同时，计算机网络安全也可以根据环境或对象不同而产生理论扩展。用于维护信息网络管理员。网络安全是确保网络不受木马和病毒。攻击外部和内部数据，消除网络应用程序的异常使用，确保资源可以完全控制，以确保网络可以访问数据单元操作

17、。但是对于最终用户的计算机网络在网络安全方面的个人隐私和商业秘密来说，确保个人信息和个人安全。与网络传输和存储的单位信息相关的所有数据均为XX、真实、完整。并确保用户未经授权的身份存储在所有相关数据单元中，信息不能以任何方式进行篡改，确保自身利益和权力24。2.2 计算机网络安全的关键技术网络安全技术牵引涉及很多基础学科，本文列举了网络安全技术在相对普及技术中的发展实现。防火墙（Firewall）、虚拟专用网（VPN）、入侵检测（IDS）、安全扫描技术（Scanner）和网络访问控制（ACL）如下所述。2.2.1防火墙技术所谓的防火墙技术（Firewall）通过互联网（Internet

18、）或外部网络和数据传输网络之间的“最小”内部网络传输门禁，然后完成隐藏的未经授权的用户连接内部网络数据方法25。到目前为止，防火墙技术仍然可以防止未经授权的用户访问网络，也是防止非法用户入侵的最关键手段，以及最广泛使用的网络安全策略部署技术。结合信息安全技术开发过程的发展，防火墙（Firewall）可分为三类：1包过滤防火墙通常基于路由器建立，在服务器或计算机上也可以安装包过滤防火墙软件。在网络层包过滤防火墙的基础上，单个IP实现网络控制。对所接收的IP数据包的源地址、目的地址、TCP数据包或UDP数据报文的源端口和目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，以及网络管理员

19、预先设置的访问控制比较列表以确定它们是否符合预定义的安全策略和决定，释放或丢弃给定的包。防火墙的优点是简单、方便、快速、透明度好，对网络性能影响不大，可以用来禁止非法外部用户访问企业内部网，也可以用来禁止访问某些类型的服务，但是我们无法识别危险程序包的内容，无法执行应用程序安全性处理。2 代理服务器型防火墙通过在计算机或服务器上运行代理服务程序，运行到特定应用层服务，也称为应用层网关级防火墙。代理服务器型防火墙核心，是代理服务器上运行的防火墙主机进程。实质上，它是连接企业内部网和互联网网关的特定网络应用23。它是用户完成TCP / IP访问功能，其实是电子、FTP、Telnet、等不同应用程

20、序都提供给相应的代理。该技术允许通过代理服务器建立外部网络和内部网络之间的连接，实现安全的网络访问，并可实现用户认证，详细日志，审计跟踪和数据加密等功能，实现协议过滤器和会话控制控制，具有良好的灵活性。代理服务器防火墙有可能影响网络的性能，用户不透明，而对于每个TCP / IP服务应设计一个代理模块，建立相应的网关实现更为复杂。3 复合型防火墙由于安全性要求较高，通常基于包过滤方法和基于应用的代理方法，形成复合防火墙，提高防火墙的灵活性和安全性。这种组合通常有两个选择：（1）屏蔽主机防火墙架构：在这种结构中，分组过滤路由器或防火墙和Internet连接，同时将堡垒机安装在内部网络中，通过包

21、过滤路由器或防火墙过滤规则集，使堡垒成为只有互联网上其他节点能够访问的节点，这确保了内部网络不会受到未经授权的外部攻击24。（2）屏蔽子网防火墙架构：堡垒机放置在子网中，形成非军事区，两个子网过滤器的两端，使子网和互联网和内部网分离。在屏蔽子网防火墙架构中，堡垒主机和过滤路由器构成了整个安全防火墙的基础。2.2.2虚拟专用网技术（VPN）虚拟专用网（VPN）是通过公共网络创建一条穿透公共网络饿逻辑隧道。这是在公用网络（Internet）上建立一个虚拟通道连接，从技术上讲，虚拟专用网络是局域网（LAN）的扩展25。通过虚拟专网（VPN）技术可实现远程终端连接网络（LAN），这是现代网络发展的

22、重要技术，可以帮助企业分支机构及相关零部件企业建立网络通信，该技术可以保护最终用户和总部之间的安全数据信息传输。虚拟专网（VPN）部署成本低廉，易于建立VPN网络，既保护安全和数据传输的XX性，又简化了网络架构设计的复杂性26。虚拟专网（VPN）有四大类的关键技术27：1.隧道技术; 2.用户认证技术; 3.加密技术; 4.访问控制技术。隧道技术是虚拟专用网（VPN）最关键的技术，它是一种基于私有数据网络的安全转发信息的加密隧道机制。该技术是在转发帧之前封装需要在对应加密协议中发送的帧。当转发的数据传输到隧道的另一端时，将根据已建立的加密协议进行解封。从分组到封闭，加密隧道为一个逻辑信

23、道，隧道协议由三部分组成，一个是数据链路层协议，协议标准是L2TP和PPTP; 另一个是网络层协议，主要协议是IPSec和GRE等; 另一个是传输层协议，主要协议是SSL和TSL等。两种最广泛使用的加密协议是L2TP和IPSec。虚拟专网（VPN）根据虚拟专网的应用类型可分为三类28：（1）内网（LAN）VPN：实现从LAN到另一个LAN到网关的。资源通过不同的LAN资源通过目标LAN进行连接。（2）外联网（Extranet）VPN; 与内部网络（LAN）构成外网; 也与其他网络（LAN）互连。（3）远程访问（Access）VPN：实现远程用户上网互联，基于公网实现虚拟专用数据转发。对于不

24、同的客户可以开发不同的虚拟专用设备，设备可以分为VPN交换机、VPN防火墙和VPN路由器29。（1）VPN交换机：这些设备用于更远程的接入网架构;（2）VPN防火墙：最广泛使用的虚拟专用网建设设备，一般部署在网络出口;（3）VPN路由器：最容易部署这样的设备，只需增加路由器配置VPN服务类别即可完成。2.2.3入侵检测技术基本策略和技术分类1.入侵检测技术基本策略虽然防火墙可以有效防止非法入侵，但是防火墙不是灵丹妙药，防火墙周围总是有未知的攻击来攻击网络，导致网络不正常运行，网络入侵检测系统（IDS）采用一个更智能的检测策略，从第二个测试端口检测攻击行为。入侵检测的基本策略是基于网络的一定算

25、法或访问的关键点进行更科学的分析，以确定是否存在安全策略行为的攻击或违规。满足算法要求的人作为合法访问，但对于那些不符合算法访问测试结果要求的报告，响应处理和阻塞在检测系统中，核心是基于网络信息监控检测和有效判断数据是否合法，非法数据过滤掉。入侵检测过程如图2-1所示。从图中可以看出，入侵检测系统拦截网络信息，然后提取检测数据，根据过滤规则提取数据，通过入侵的分析结果，并截获数据包信息响应处理。图2-1 入侵检测系统流程2. 入侵检测技术分类根据信息数据包单元的来源差异，入侵检测可以分为以下几类：（1）基于主机型IDS可以为网络事件和操作系统环境，日志记录进行有效的检测。如果文档被修改或更

26、改文档的日志，IDS将匹配新的日志条目和现有的访问攻击事件。如果比较表示新的日志条目和访问事件具有攻击特征，则IDS匹配系统将根据已建立的规则发送告警信息。信息安全行业所有IDS产品都有侦听端口，如果检测到异常警报或未经授权的访问特定端口将触发警报机制，则会向网络管理员发送警报消息。（2）基于网络IDS该设备将网络信息视为分散的信息源，并使用网络在阅读后收听网络上的信息流。基于网络的IDS检测模块通常使用统计和匹配模式来识别攻击行为。 IDS只要违反网络检测违规行为，IDS响应模块就会触发报警，网络链路切断。对于不同的网络响应，IDS将使用不同的触发机制，包括日志的内容通知管理员，管理

27、员将不满足用户网络连接的要求或与非法网络行为日志存储相关联31。（3）基于主机和网络集成的IDS因为基于主机的IDS和基于Web的IDS都有自己的优势。这么多IDS供应商将结合这两大类的优势，在网络安全部署方案中，基于主机IDS和基于网络的IDS优势的合并，利用各自的优势。许多用户在部署基于主机的IDS时部署基于网络的IDS，IDS检测到未经授权的访问，并且在日常工作中、DNS和Web服务器往往是针对性的。在电子中，网络中的DNS和Web服务器被部署，它们必须巧妙地与Internet进行数据连接，因此基于主机的IDS部署在服务器的前端，可以完成非常好的安全性防护32。2.2.4网络访问控

28、制技术网络访问控制，也称为网络接入控制，称为TAC。 TAC技术是保护信息网络终端最有效的方式，它被安装在网络检测终端软件中，实现最有效的方式。此外，TAC允许其他交换机如交换机SW、路由器SR和防火墙FW一起使用。使用此应用程序的服务器和最终用户的计算机提供了一个全面的自动化管理流程，以确保数据在端点之前安全地进行交互33。通用网络访问控制分为三个部分，第一部分是降低零日攻击的风险：网络访问控制技术的关键应用是防止未安装病毒、补丁、入侵防御软件终端接入网络资源。第二个是增强安全策略：网络访问控制设备允许管理员设置允许管理员高级访问网络并按照这些规则清除主网络交换设备的规则34。第三是身份和访

29、问管理：访问控制应用程序打破传统计算机网络TCP / IP协议访问巧妙的策略实现，它是基于用户权限来保护网络的安全性和稳定性。访问控制可以分为四类：1.基于代理的TAC; 2.无代理TAC;内联TAC;带外TAC 35。（1）基于代理的TAC：这种方法是通过终端添加一个后台软件。通过专用网关或TAC平台实现安全管理。基于代理的TAC灵活性不高，对终端设备上安装的特定探测器才可以实现该功能36。（2）非代理TAC：此方法不在终端上安装后台探测器，无需使用代理，可以简化网络部署的难度，这样的TAC操作简单。（3）内联TAC：通过所有终端通信实现及其在三层网关中的运行和部署，可以增强安全策略

30、37。内联TAC方法相对简单，但会导致广播数据在网络中的更多传输。随着网络正常运行时间的增加，内联TAC将增加TOC，这是由于内部广播流量的增加将增加内联设备的数量。（4）带外TAC：该技术是通过现有的网络基础设施应用来增强网络的安全性。作为终端向数据传输到中央控制设备实现整体战略，这种设备的部署实现复杂。带外TAC技术实现更复杂，但不会对网络传输的性能产生不利影响。2.3 相关开发环境2.3.1集成开发环境 Microsoft Visual C + 6.0（简称VC6.0）是微软推出的一款C +编译器，将“高级语言”翻译为“机器语言（低级语言）”程序38。 Visual C +是一个强大的

31、可视化软件开发工具。自1993年以来，微软推出Visual C + 1.0，然后版本不断更新，Visual C +已经成为首选专业的程序员软件开发工具。虽然Microsoft已经引入了Visual C + .NET（Visual C + 7.0），但它只适用于Windows 2000，Windows XP和Windows NT 4.0有很多限制。所以在现实中，更多的是基于Visual C + 6.0平台。 Visual C + 6.0不仅是C +编译器，而且是基于Windows操作系统的可视化集成开发环境（IDE）39。 Visual C + 6.0包括许多组件，包括编辑器，调试器和程序向导A

32、ppWizard、类向导和其它开发工具。这些组件通过称为Developer Studio的组件集成到和谐的开发环境中。2.3.2数据库环境SQL称为结构化查询语言，由圣约瑟实验室为其关系型DBMS最初研究的数据查询语言。这种查询语言与他的前身相比，结构简单，易于使用，一个能够实现更复杂的功能。作为IBM在上世纪80年代推出SQL语言后，受到广大用户的推崇40。在当前市场上主流的数据库管理系统中，基本都做了SQL支持，无论是大型数据库如Oracle，还是小型如FoxPro，用户都可以嵌入SQL 19。不同的数据库系统需要不同的ODBC驱动程序和不同的数据源，但也需要供应商数据库。SQL是一

33、种非流程的高级编程语言，用户可以通过其高水平的数据操作，无论用什么样的用户数据存储方式，无论什么数据结构的形式，用户都可以使用SQL实现数据管理，可以起到接口作用，SQL在执行时可以讲记录集作为处理对象，输入可以是记录集，输出也可以，所以我们说SQL是数据处理的集合，用很多高级语言处理数据记录处理。也反映了SQL处理。在数据库应用系统的开发中，首先了解数据库的基本概念和结构，进一步了解数据库应用程序开发过程，并对应用系统和开发过程有一个清晰的认识41。SQL Server是基于Microsoft平台的基础上开发的关系型数据库系统软件。由于与Windows操作系统的密切关系，它具有扩展，高性能特

34、点，分布式客户端/服务器计算等，SQL Server软件这些条件，为大多数应用程序提供数据存储解决方案。2.4 现代企业网络模式网络安全不仅仅是一个纯技术问题，不可能只通过技术因素来确保网络安全，管理因素也是不可缺少的。其实网络管理是一个统一的管理和技术问题。网络安全是一个涉及法律、管理和技术因素的复杂人机系统。只有妥善协调三者之间的关系才能有效保护网络安全。网络安全技术，包括硬件因素（如计算机设备故障，通信通道故障等）也是软件相关因素，从应用另一方面的网络攻击保护主要体现在数据和软件中。网络攻击策略主要是利用、改变和瘫痪。主要利用窃听网络通信和计算机上的信息和数据;所谓的变化是欺骗使用数据

35、传输系统、信息等内容，以及入侵网络摧毁数据和软件;所谓麻痹，无用数据块，破坏网络系统瘫痪的方法。考虑到攻击的技术模型，网络安全威胁分为两类：被动威胁和主动威胁。 1企业互联网络结构现代企业，下属企业或子公司在地理上分散，有的甚至在大面积，下属企业建立自己的骨干，但一方面访问公司总部，另一方面进入互联网，连接企业和真正的网络，访问互联网。2企业内部网络结构无论是公司总部网络还是其附属企业网络，其内部网络结构虽然不尽相同，但仔细研究会发现类似。虽然地理位置相对分散，部分分布在工厂内部，部分分布在建筑物中，但是整个网络提供公共应用服务（也称为公共应用平台）一般由网络中心实施，而这个网络中心对企业

36、网络管理行使技术权。网络拓扑如图2-2所示。图2-2 企业内部网络结构2.5 网络安全模型网络信息安全应包括人员安全、设备安全、物理安全、信息安全、电磁辐射安全、通信安全和工业安全等方面。上述网络安全的要素如图2-3所示。计算机网络实际上是一条通信线路，连接通信双方，通信双方可以传输信息实现资源共享和协同工作，信息传输的核心网络是通过从发送方到接收方的传输信道信息，信息安全传输有三个主要方面，即发送方的安全性和接收方的安全性以及传输路径的安全性。要研究三方网络信息传输的安全性。网络安全模型如图2-4所示，简要介绍了网络信息的要点。使用安全操作安全传输安全网络安全辐射安全硬设备安全

37、工业安全环境安全通讯安全图2-3 网络安全组成的元素图2-4 网络信息安全模型（1）传递信息（或消息）需要加密操作，这个操作有两个主要的方法，保证理论不能破坏，计算不可行，有很多经典的加密算法可以使用，数据到达接收通常使用对称密钥加密和公钥加密来执行解密操作。（2）消息传输通道是网络信息安全的重要因素，考虑传输路径本身的安全问题，还要考虑第三方攻击，整个通信链路数据传输安全可靠。（3）实际的加密技术有很多方法，如数字签名、报文摘要、数字认证、证书颁发等，有些也需要信任第三方参与。2.6 本章小结本章主要介绍了本文的基本概念及相关的关键技术，如系统信息采集、用户行为获取、网络数据

38、采集和系统开发、使用环境的介绍、网络安全模型等。第3章系统需求及算法分析3.1企业背景说明为防止用户在内部网络环境中非法使用计算机系统，根据有关部门的要求制定严格的管理制度，以防止用户对内部网络环境的非法使用，根据有关部门的要求制定严格的管理制度，但在执行过程中多次发现非法复制文件和安装非法软件行为。因此，我们需要采取适当的技术措施，确保管理体系的实施。在研究过程中发现有很多类似的商业软件，但这些商业软件的功能比较复杂，而且实际需要的单位是不同的，所以最终确定了一个小内部网络监控系统，以满足需求。具体应用环境如下，需要监控一个小型内部办公网络的网络环境，主机数量约为50个，使用WINDOWS

39、操作系统，使用交换机进行网络连接，属于同一C网网段，网络和业务内部网络是物理隔离的，主机可以通过路由器访问外部网络，主要用于企业日常工作的学习环境，不允许在网络主机上使用其他相关用途。网络拓扑如图3-1所示。图3-1 系统应用网络环境3.2功能性需求该系统的功能主要是通过访问控制、实时监控和事件审计等技术手段，对被控主机和系统的运行状态进行有效的监控，并记录用户未经授权的访问行为，作为安全审计凭证。对于用户的网络访问等活动也可以用来防止网络连接实现安全管理的方法42。系统的控制主机对用户透明，所以用户具有系统安全管理员的主要功能，包括用户身份管理、实时监控、软件对象管理、硬件对象管理、网络

40、对象管理、文件对象管理。系统的整体工作如图3-2所示。3.2.1用户身份管理用户是网络安全检测系统管理领域的所有认证用户的身份，系统中管理员的身份管理。用户身份管理功能包括创建、修改、删除用于安全检测系统的服务器管理员，以及创建、修改和删除主机的主体信息、角色信息和角色管理策略。管理员级别分为一级管理员和二级管理员，一级管理员可以查看和操作任何信息，二级管理员只能查看信息，无法发送策略信息43。用户身份管理功能的用例如图3-3所示。3.2.2 实时监控实时监控，包括桌面快照、进程快照、远程目录查看功能，主要是指在线控制机器运行实时监控管理领域。桌面快照，管理员可以实时捕获用户的桌面或

41、按照策略定期抓取用户的桌面存档; 进程快照是指管理员可以查看实时的用户系统进程列表; 远程目录视图是管理员可以查看用户文件信息的目录信息。实时监控功能如图3-4所示。3.2.3 软件对象管理软件对象管理是管理控制区域网络中所有受控软件对象，包括开发软件黑，软件操作控制，即软件黑不能在主机上运行。使用软件对象管理功能如图3-5所示。3.2.4 硬件对象管理硬件对象管理是对受控局域网中所有受控硬件对象的管理，包括硬件清单的生成，硬件报警的非法更改以及状态管理的使用44。硬件对象管理功能，如图3-6所示。3.2.5 网络对象管理网络对象是控制区域网络中所有受控网络行为的管理，包括设置的黑和白，

42、以及对控制机的流量进行审计和控制。网络对象的管理功能如图3-7所示。3.2.6 文件对象管理文件控制管理是对LAN上所有机器对象文件的管理，包括审核文件的操作，用户记录文件系统访问行为，如打开、修改、复制文件和用户控制文件操作。文件对象管理功能如图3-8所示。3.3非功能性需求3.3.1 系统安全需求1用户安全用户的安全主要包括管理员的安全和用户的安全。（1）管理员具有系统的最高权限，所以责任是最大的。管理者必须具有良好的素质和知识素养，熟练掌握网络安全知识，企业有较强的忠诚度，掌握专业的管理技能; （2）严格限制管理员的用户级操作，应在企业网络系统安全计划中设置和调整审计信息等初步

43、操作; （3）用户安全层必须在授予管理员权限的前提下使用企业网络资源，使用其资源，禁止使用系统资源，禁止超出授权的系统运行，禁止披露重要信息和系统登录密码。 2基础设施安全（1）硬件设施的安全，包括物理环境安全，硬件设备、物理、机械安全; （2）软件设备的安全性，包括系统安全、网络通信安全、软件应用平台安全、安全管理软件安全。3网络结构安全（1）包括局域网和广域网之间的隔离和控制，如包过滤、子网防火墙阻塞、网络地址变化等; （2）局域网内的子网安全，包括信息敏感子区域信息资源子网，敏感信息子网和非敏感信息子网的隔离，子网信息和公共信息网络隔离的内部使用，局域网和互联网隔离; （3）未授权

44、或未经授权使用拨号上网方式绕过安全系统。4 传输安全除了外部公众提供的信息外，在LAN中传输的数据也需要加密; LAN用户之间的信息传输，也是使用认证措施，特别是XX信息也需要加密和保护。（1）网络边界隔离和访问控制因为系统比较特殊，是网络隔离边界的最重要特征，需要仔细考虑。因此，我们需要使用帧中继网络和访问控制措施。企业内各部门之间必须有网络接入。我们必须确保合法用户同时访问系统，并且未经授权的用户（包括任何企业和其他企业的非授权用户的网络访问请求无法访问系统），系统网络传输平台单元使用帧中继网络，不可控制的因素依然存在（帧中继网络终端网络设备安全等）因此，我们必须强调网络安全隔离和控制

45、单元和帧中继网络45，对于企业网络，由于企业的性质和网络系统的工作水平必须包含有许多重要XX信息。因此，企业网络应分为不同的子网，高安全网络的子网和不可信网络安全分类，推荐安全隔离和访问控制网络安全隔离设备，以确保未经授权的用户访问授权用户。（2）企业传输数据安全企业在网络系统中，由于不同的权限，内部信息的性质不同，不能让非法用户访问，有必要采取适当的措施来保证网络系统的安全性要求。特别是企业网络系统，由于其性质和工作水平，不可避免地包含了大量的私人信息。因此，内部网络可以分为多个不同的子网，可以根据具体情况分开，将包含XX信息网络和不包含XX信息网络进行区分; XX要求特别高的信息需要独

46、立存储，而不是连接到共享网络。3.3.2 系统性能需求1性能需求安全检测系统的性能要求包括：采用独立数据库的集中数据管理，充分利用系统资源，可支持50-100台主机实时监控，远程监控功能响应时间少于1秒。 2高效、功能实用界面简单，使用人员“一目了然”，短时间内可以起到企业网络安全管理系统的作用，系统在服务器中提供了友好的图形用户界面，要求用户操作简单方便，操作清楚。系统还特别设计了用户信息功能，为了更好的增加用户和系统管理员之间的通信，对系统功能进行更好的维护、改进和完善，使企业网络安全系统逐步完善。3 可扩展性本文针对企业网络安全管理体系的设计，因此，我们必须有很好的处理这个问题的能力。增加网络访问次数。这就要求数据库系统的改进和数据库系统的扩展，提出了更高、更新的要求。4维护性系统维护是系统正常运行的先决条件。更新和备份数据库，也是保证系统安全运行的重要保证。5接口要求（1）：软件界面：使用Micrisoft SQL Server数据库企业版46，支持Windows XP微软系列操作系统；（2）通讯接口；系统实时监控部分使用UDP协议，数据库连接采用ADO方式。3.4 模式匹配算法在本文中，实施入侵检测系统，采用模式匹配算法作为网络入侵检测系统的检测引擎核心。然

展开阅读全文