1、目录1 绪论11.1计算机网络安全现状11.2常见的几种网络入侵方法21.3现代企业面临的网络安全威胁41.4本课题选题的意义62 网络安全技术72.1防火墙技术72.2入侵检测技术82.3数据库服务器安全技术92.4 VPN技术102.4.1VPN功能112.4.2VPN的实现技术123 新能通信公司网络安全分析143.1新能通信公司网络应用现状143.2新能通信公司网络安全漏洞分析163.3新能通信公司网络安全对策194 新能通信公司网络安全解决方案234.1物理安全234.2数据库控制234.3用户访问控制244.4防火墙部署254.5 VPN配置264.5.1 PPTP(Point-t
2、o-Point Tunneling Protocol)264.5.2 L2TP(Layer 2 Tunneling Protocol)274.5.3路由器同时作为PPTP Server与L2TP Server28总结32致谢33参考文献341 绪论1.1计算机网络安全现状计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免窃听、篡改和仿造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网
3、络通信,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。信息网络己经被深入应用到世界上许多国家的商务贸易活动、经济、政治、文化、军事等各个方面,构成其社会的关键性基础设施,信息安全己上升为这些国家的安全核心。面对日益严峻的信息安全威胁,各国政府无不高度重视信息安全,积极寻找有效的安全对策。1、制定政策,建立安全管理机构,将网络信息安全纳入国家战略各国都认识到信息安全不单纯是一个技术问题、产业问题、经济问题,而是涉及各行业、各层面
4、的综合性社会问题,国家必须从战略高度来制定相关政策给予指导,并成立专门的机构来负责信息安全问题。2、研发自主信息安全技术,为信息安全提供坚固屏障信息安全保障从根本上来说是一相信息技术发展水平与开发能力的问题,要有效地打击网络犯罪,最终还要依靠不断发展和完善的信息安全技术。目前最广泛的五种计算机网络安全技术是:反病毒软件;防火墙技术;物理设施安全保护;密码控制;反入侵管理。当前国际上信息安全技术研究的重点有公开密钥基础设施和计算机犯罪取证技术。公开密钥基础设施,是一个由计算机硬件、软件、数据库、网络、安全过程和合法规范共同组成的基础设施。计算机犯罪取证研究主要集中在:入侵者入侵路径跟踪;入侵行为
5、再现;证据的保存、恢复;操作系统指纹等方面。3、制定法律法规,为信息安全提供良好的法律环境计算机网络犯罪具有隐蔽性,原有的传统的法律难以有对这类犯罪有效打击,为此需要制定与信息安全相关的法律和法规,加大执法力度,从而为网络信息安全提供必要的法律保证。4、加强信息安全的国际合作,共同打击网络犯罪经济发展全球化,跨国集团公司正在日益增加,那么犯罪分子攻击计算机网络进行违法犯罪也具有超越地域和全球化趋势。他们利用网络的迅速的浏览网络内容的无国界,形成了网络犯罪不分国界的特性,因此世界上许多国家的网络警察之间建立了十分密切的联系,并在一定的国际法规框架下相互协作。1.2常见的几种网络入侵方法由于计算机
6、网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上的信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:1 通过伪装发动攻击例如:通过
7、Ping正常情况下,Ping的流程是这样的: 主机A发送ICMP 8,0报文给主机B 主机B回送ICMp 0,0报文给主机A 因为ICMP基于无连结,所以就给了我们可乘之机,假设现在主机A伪装成主机C发送ICMP 8,0报文,结果会怎么样呢?显然,主机B会以为是主机C发送的报文而去 回应主机C,结构如下: 伪装为主机C 错误的回复主机A-主机B-主机C 这种情况下,由于主机A只需要不断发送Ping报文而不需要处理返回的EchoReply,所以攻击力度成倍的增加,同时实际上主机B和主机C都是被进攻的目标,而且不会留下自己的痕迹,是一种隐蔽的一石二鸟的攻击方法。2 利用开放端口漏洞发动攻击例如:2
8、5端口端口说明:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候,在创建账户时会要求输入SMTP服务器地址,该服务器地址默认情况下使用的就是25端口。 端口漏洞:(1) 利用25端口,黑客可以寻找SMTP服务器,用来转发垃圾邮件。 (2) 25端口被很多木马程序所开放,比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿
9、WinSpy来说,通过开放25端口,可以监视计算机正在运行的所有窗口和模块。3 通过木马程序进行入侵或发动攻击一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能: (1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。 (2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。 4 扫描攻击端口扫描攻击是一种常用的探测技术,攻击者可将它用于寻
10、找他们能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用 TCP 或 UDP 端口的服务,而所提供的已定义端口达6000个以上。通常,端口扫描仅利用对端口所进行的扫描不会造成直接的损失。然而,端口扫描可让攻击者找到可用于发动各种攻击的端口。 从本质上来说,端口扫描包括向每一个端口发送消息,每次只发一条。所接收到的响应类型表明该端口是否被使用,进而可以对它进行探测以寻找其弱点。对端口所进行的扫描通常发生在面向连接的 TCP 端口上,所以攻击者会得到有效的反馈信息。为了应付不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。网络安全技术包括:防火墙、VPN、入侵检
11、测等。1.3现代企业面临的网络安全威胁当今的各中小企业或是大型的企业组织,都开始广泛的利用信息化手段提升自身利益的竞争力。信息设施可以有效提高各企业的运营效率,使各自的企业可以快速的发展壮大。然而在获得这些利益的同时,给许多企业造成重大损失的信息安全问题同样也在困扰着各企业。对于利用互联网接入来开展业务或者辅助工作的企业来说,骇客的来意攻击行为无疑是最令人头痛的问题之一。己有大量报道和统计资料显示企业天为形形色色的攻击行为付出高昂的代价,而这些被曝光的案例尚只是冰山一角。企业对信息设施的误用既像恶意攻击的孪生兄弟又与其存在明显的因果关系。因为现在企业存在的信息安全问题并不仅仅包括骇客行为所带来
12、的经济及非经济损失,只要对信息设施的运行造成障碍的行为都归划到信息安全的范畴。在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在一些中小企业中,企业员工的信息安全意识昌相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析,中小企业尚无法将信息安全的理念融入到企业的整体经营理念中,这导致了企业的信息管理中存在着大量的安全盲点的误区。目前企业网络面临的安全威胁可以分为以下三种基本类型:黑客入侵、病毒破坏和预置陷阱。1、黑客入侵黑客即Hacker音译,专指对别人的计算机系统非法入侵者。20世纪年代,这个词是褒义永词,专指那些独立思
13、考、遵纪守法的计算机迷,他们智商高,对计算机的最大潜力进行智力上的探索,为计算机技术的发展做出了很大贡献。而当今世界,随着信息技术的广泛普及,越来越多的人掌握了黑客技术,使黑客现象发生了质的改变。不少黑客专门搜集他人隐私,来意篡改他人重要数据,进行网上诈骗、对他人网上资金帐户盗窃,给社会及人们生活带来极大的破坏性。(1)偷盗窃取。黑客实施网络攻击的另一个目的就是利用黑客技术为个人私利而大肆进行各种各样的偷窃活动。网上盗窃的主要方式有:第一种是偷窃信息和数据。网上的秘密信息和数据都是海量存储,从企业商业秘密、政府机构的资料到军事秘密,种类全面。于是不少铤而走险者,借助快捷的网络去窃取这些信息和数
14、据,通过出售以获取经济利益。(2)蓄意破坏。黑客使用分布式拒绝服务的攻击手段,用大量垃圾信息阻塞网站服务器,使其不能正常服务。2、病毒破坏病毒制造者通过传播计算机病毒来蓄意破坏互联网计算机的程序、数据和信息,此达到某种非法目的。据不完全统计,目前全世界己发现的计算机病毒近6万种,且每月都会发现数百种新病毒和病毒变体。然而全球与互联网联网的主机节点正在越来越多,这样一个强大的网络群体造成了病毒极易滋生和传播的环境。目前,破坏计算机的流行病毒可以归纳为以下几类:(1)蠕虫病毒。这是一种能迅速大规模繁殖的病毒,其繁殖的速度可达300台/月,在危害网络的数据千地的计算机病毒中“蠕虫病毒”造成的危害最大
15、。(2)病毒邮件。电子邮件是互联网的一项基本而普遍的功能。然而,病毒制造者也看中了深受人们喜欢的电子邮件,并将其作为传播病毒的重要手段。(3)公开发放的病毒。如果计算机病毒以这种方式公开发布,就可进入各种领域,并进入各个计算机网络,对计算机网络造成极大的危害。3、预置陷阱预置陷阱是指在信息系统中人为地预设一些陷阱,以干扰和破坏计算机系统的正常运行。在对信息安全的各种威胁中,预置陷阱是危害最大、最难预防的一种威胁。一般分为硬件陷阱和软件陷阱两种。(1)硬件陷阱。指“芯片级”陷阱。例如,使芯片,经过一段有限的时间后自动失效,使芯片在接收到某种特定电磁信号后自毁,使芯片在运行过程中发出可识别其准确位
16、置的电磁信号等。这种“芯片捣鬼”活动的危害不能忽视,一旦发现,损失非同寻常,计算机系统中一个关键芯片的小小故障,就足以导致整个网站服务器乃至整个连接信息网络系统停止运行。这是进行信息网络攻击即省力、省钱又十分有效的手段。(2)软件陷阱。指“代码级”陷阱,软件陷阱的种类比较多,黑客主要通过软件陷阱攻击网络。“陷阱门”又称“后门”,是计算机系统设计者预先在系统中构造的一种结构。网络软件所存在的缺陷和设计漏洞是黑客进行攻击服务器系统的首选目标。在计算机应用程序或系统操作程序的开发过程中,通常要加入一些调试结构。在计算机软件开发完成后,如果为达到攻击系统的目的,而特意留下少数结构,就形成了所谓越过对方
17、防护系统的防护进入系统进行攻击破坏。1.4本课题选题的意义 随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递
18、问题、信息安全问题等,又时刻在制约着自己,企业这些问题已经成为当前众多企业提高自身竞争力的重要手段。这也就是我选此课题的意义,随着时代的进步,互联网的应用越来越广,而一些大小企业面临的网络安全威胁则越来越多。在此篇文章中,分析了企业在种种方面的不足,并举出了一系列解决方案,使企业能够尽早摆脱一系列不足带来的困扰。2 网络安全技术2.1防火墙技术防火墙从软、硬形式可以分为:软件防火墙和硬件防火墙以及芯片防火墙。第一种:软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要
19、先在计算机上安装并做好配置才可以使用。第二种:硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区,现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第个个端口做为配置口、管理端口。第三种:芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能
20、更高。防火墙技术,最初是针对Internet网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。目前,防火墙采取的技术,主要是包过滤、应用网关、子网屏蔽等。防火墙技术一般分为两类:1.网络级防火墙 主要是用来防止整个网络出现外来非法入侵。属于这类的有分组过滤器和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合实现制定好的一套准则的数据,而后者则是检查用户的登录是否合法。2.应用级防火墙 从应用程序来进行接入控制。通常使用应用网关活代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止
21、FTP应用的通过。常见的防火墙体系结构:(1)双重宿主主机体系结构;(2)屏蔽主机体系结构;(3)屏蔽子网体系结构。防火墙技术在网络安全防护方面存在的不足:防火墙不能防止内部攻击;防火墙不能防止未经过防火墙的攻击;防火墙不能取代杀毒软件;防火墙不易防止反弹端口木马攻击。2.2入侵检测技术 入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测方法很多,如基于专家系统入侵
22、检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中己有实现。入侵检测通过执行以下任务来实现:1监视、分析用户及系统活动;2系统构造和弱点的审计;3识别反映己知进攻的活动模式并向相关人士报警;4异常行为模式的统计分析;5评估重要系统和数据文件的完整性;6操作系统的审计跟踪管理,并识别用户违反完全策略的行为。入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。入侵
23、检测系统目前存在的问题:1现有的入侵检测系统检测速度远小于网络传输速度,导致误报率和漏报率2入侵检测产品和其它网络安全产品结合问题,即期间的信息交换,共同协作发现攻击并阻止攻击3基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测,并且其本身构建易受攻击4入侵检测系统体系结构问题入侵检测技术的发展趋势:(1)基于agent(注:代理服务)的分布协作式入侵检测与通用入侵检测结合(2)入侵检测标准的研究,目前缺乏统一标准(3)宽带高速网络实时入侵检测技术(4)智能入侵检测(5)入侵检测的测度2.3数据库服务器安全技术 数据库服务器实际上是每一个电子交易、金融和企业资源规划(ERP)
24、系统的基础,它还经常包括来自商业伙伴和客户的敏感信息。尽管这些系统的数据完整性和安全性是相当重要的,但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整性并导致非法访问,这些因素包括复杂程度、密码安全性较差、误配置、未被察觉的系统后门以及自适应数据库安全方法的强制性常规使用等。数据库服务器的应用相当复杂,掌握起来非常困难当然竞争者使用的操作系统也是一样的复杂。诸如Oracle、Microsoft SQL服务器都具有以下特征:用户账号及密码、校验系统、优先级模型和控制数据库目标的特别许可、内置式命令(存储的步骤或包)、唯一的脚本和编程语言(通
25、常为SQL的特殊衍生语)、middleware、网络协议、补丁和服务包都忙于管理复杂的系统,所以很可能没有检查出严重的安全隐患和不当的配置,甚至根本没有进行检测。所以,正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题,使数据库专业人员也通常没有把安全问题当作他们的首要任务。“自适应网络安全”的理念将安全问题看作持续不断的“工作进程”,而不是一次性的检查并未被大多数数据库管理者所接受。保障数据库服务器上的网络和操作系统数据安全是至关重要的,但这些措施对于保护数据库服务器的安全还很不够。在许多资深安全专家中普遍存在着一个错误概念,他们认为:一旦访问并锁定了关键的网络服务和操作系统的漏洞,
26、服务器上的所有应用程序就得到了安全保障。现代数据库系统具有多种特征和性能配置方式,在使用时可能会误用,或危及数据的保密性、有效性和完整性。首先,所有现代关系型数据库系统都是“可从端口寻址的”,这意味着任何人只要有合适的查询工具,就都可与数据库直接相连,并能躲开操作系统的安全机制。例如:可以用TCP/IP协议从1521和1526端口访问Oracle 7.3和8数据库。多数数据库系统还有众所周知的默认账号和密码,可支持对数据库资源的各级访问。从这两个简单的数据相结合,很多重要的数据库系统很可能受到威胁。不幸的是,高水平的入侵者还没有停止对数据库的攻击。拙劣的数据库安全保障设施不仅会危及数据库的安全
27、,还会影响到服务器的操作系统和其它信用系统。还有一个不很明显的原因说明了保证数据库安全的重要性数据库系统自身可能会提供危及整个网络体系的机制。例如,某个公司可能会用数据库服务器保存所有的技术手册、文档和白皮书的库存清单。数据库里的这些信息并不是特别重要的,所以它的安全优先级别不高。即使运行在安全状况良好的操作系统中,入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征,利用对数据库的访问,获取对本地操作系统的访问权限。这些程序可以发出管理员级的命令,访问基本的操作系统及其全部的资源。如果这个特定的数据库系统与其它服务器有信用关系,那么入侵者就会危及整个网络域的安全。2.4 VPN技术 VPN
28、即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN架构中采用的多种安全机制,如隧道技术(Tunneling)、加解密技术(Encryption)、密钥管理技术,身份认证技术(Authentication)等,通过
29、上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。2.4.1VPN功能由于采用了“虚拟专用网”技术,即用户实际上并不存在一个独立专用的网络,用户既不需要建设或租用专线,也不需要装备专用的设备,就能组成一个属于用户自己专用的电信网络。虚拟专用网是利用公用电信网组建起来的功能性网络。不同类型的公用网络,通过网络内部的软件控制就可以组建不同种类的虚拟专用网。例如:利用公用电话网可以构建“虚拟专用电话网”。1.VPN的要求(1)安全性VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决
30、安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户的认证机制。(2)性能VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应该能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高俦级应用的性能,又不会“饿死”,低优先级的应用。(3)管理问题由于网络设施、应用不
31、断增加,网络用户所需的IP地址数量持续增长,对越来直复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,交安全政策进行分布,并管理大量设备。(4)互操作在Extranet VPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(Point to Point Tunneling Protocol
32、,PPTP)、第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)等。2.4.2VPN的实现技术VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。1.VPN访问点模型首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。2.隧道技术隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。3. 加密技术数据加密的
33、基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密
34、方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。4.QoS技术通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。不同的应用对网络通信有不同的要求,这些要求可用如下参数给予体现:带宽:网络提供给用户的传输率;反应时间:用户所能容忍的数据报传递延时;抖动:
35、延时的变化;丢失率:数据包丢失的比率。网络资源是有限的,有时用户要求的网络资源得不到满足、通过QoS机制对用户的网络资源分配进行控制以满足应用的需求。3 新能通信公司网络安全分析3.1新能通信公司网络应用现状当前,企业信息处理量不断加大,企业资源管理的复杂化也不断加大,这要求信息的处理有更高的效率,传统的人工管理方式难以适应以上系统,而只能依靠计算机系统来实现。企业办公自动化系统(OA系统)是为企业数据共享、员工之间或员工与外部团体联系提供的消息与协作平台,已经为几乎所有的大中型企业所应用。信息的集成度要求扩大到企业的整个资源的利用、管理,从而产生了新一代的管理理论与计算机系统企业资源计划ER
36、P。企业资源计划系统(ERP)是一套将财会、分销、制造及其他业务功能集成的应用软件系统。一般来讲,ERP 系统包括生产计划、销售定单处理、采购管理、销售计划、仓库管理、财务会计及报表等功能。同时,对于大中型制造企业来讲一般还有Portal系统,向分公司、合作伙伴、供应商、客户发布其企业信息。对于企业信息化系统的安全问题,大多数企业考虑最多的还是病毒,认为病毒对企业的ERP和 OA系统影响最大,所以大部分的财力人力都投向了防病毒系统,当然这是对的。但这还远远不够,仍然会有很多心怀叵测的人或者组织(尤其是竞争对手)对企业发起攻击,甚至数据窃密等,往往会对企业的核心数据造成不可弥补的损失。目前在全球
37、,商业间谍引起的商业窃密现象屡见不鲜。影响网络安全性的因素主要有以下几个方面。 1.网络结构因素 新能通信公司现有计算机50余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。 图3-1 新能通信公司网络拓扑图2.网络协议因素 在建造内部网时,用户为了节省开支,必然会保护原有的网络基础设施。另外,网络公司为生存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时,也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。3.地域因素由于内部网Intranet既可以是
38、LAN也可能是WAN(内部网指的是它不是一个公用网络,而是一个专用网络),网络往往跨越城际,甚至国际。地理位置复杂,通信线路质量难以保证,这会造成信息在传输过程中的损坏和丢失,也给一些”黑客”造成可乘之机。 4.用户因素 企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客” 5.主机因素 建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、服务器,甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出
39、现漏洞(如某些系统有一个或几个没有口令的账户),就可能造成整个网络的大隐患。 6.单位安全政策 实践证明,80的安全问题是由网络内部引起的,因此,单位对自己内部网的安全性要有高度的重视,必须制订出一套安全管理的规章制度。7.人员因素 人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高安全意识。 8.其他其他因素如自然灾害等,也是影响网络安全的因素。3.2新能通信公司网络安全漏洞分析1.物理防护不足(1)“传统”保护的不足该公司部署了防弹式的防御体系来应对“典型的”互联网攻击,如:病毒、木马、蠕虫以及间谍软件等。他们从总经销商那
40、里购买安全技术的使用权限,这样,企业就拥有了安全公司提供的软件以及升级服务。因此,公司的网络环境感觉上非常安全,IT部门的人员也可以高枕无忧了。但是对于公司的安全美梦很快变成了噩梦。由于员工违法使用iPod音乐播放系统和P-to-P,公司的网络性能被大大削弱。同时下载音乐、视频以及一些软件也给公司带来了违反著作权的法律问题。企业的知识产权会因为员工的不当操作或不道德的行为通过邮件泄露出去。肆意的使用即时消息会使公司陷入员工服从性的危险之中。有时,一个有赌博习惯的员工会持续在线玩赌博游戏,可那时他手头上还有一项紧要任务没有完成,同时对于网络上不良信息的访问还会给企业带来法律诉讼。公司无法施行那些
41、可接受的网络使用政策,因此公司就无法保证员工的生产力,无法保护网络资源被滥用,或者其它与网络滥用相关企业威胁。(2)移动办公的员工破坏企业的周边安全该公司采取了进一步的安全防护。在严格的政策支持下,公司增加了强劲的外围安全保护来控制包括:P2P、即时消息系统、网络音乐系统以及网页在内的内容。问题就这样解决了么?其实问题远远不止如此。公司的员工经常会在公司以外的其它地方办公,如在客户端、家里、酒店、列车或是机场,凡是能够提供网络连接的地方。当员工不在公司内部使用网络时,他会不经意的将恶意软件下载到自己的笔记本电脑中,(这些软件正是公司的在竭尽全力抵御的)然后把这些恶意软件带到公司,任其肆意传播。
42、同时像U盘这类移存储设备也会在公司的严密监视散播新的威胁。(3)复杂的威胁该公司做足了工作,并宣称他们拥有能够抵御包括面向移动办公人员和离线工作人员在在内的各种威胁的防御体系。只要这些设施不需要费时费力的去管理和维护,那么该公司的网络保护设施令许多其他公司都羡慕不已。实际上,这些解决方案只有部分得到了执行,需要把现有的IT资源发挥到极致。由于最初的部署存在太多漏洞,负担繁重的IT人员无法满足企业对于公司政策、风险控制以符合性的个性化需求。技术支持的呼声很高而附加咨询服务却很昂贵。IT财力人力的短缺影响IT更新步伐。企业耗费大量时间金钱仍不能获得有效安全防护。2.防火墙性能不足企业用户网络中现有
43、的防火墙一般都是采用X86架构,采用Asic架构的都很少。他们的网络性能一般都不高,尤其是对于Internet应用骤增的企业网络环境来说,现有防火墙的网络性能更是导致网络传输延迟增大的直接原因,使其成为整个网络传输的瓶颈之一,严重影响企业的正常办公需求,已经不能够满足企业持续发展的需要。而一款高性能、高吞吐、价格适中的防火墙是企业用户所急切需要的。3.缺乏防攻击手段及有效性能一般认为Internet上充斥着各种病毒和攻击源,但随着局域网技术的发展,网络安全不再只是外网的专利,包括内、外网在内的整个网络环境都需要足够的安全防护意识及安全防护措施。具有Internet接入的企业网在访问众多Inte
44、rnet免费资源的同时,也在承受着巨大的攻击压力,如:syn-flood 、udp-flood、icmp-flood、Winnuke、Smurf/Fraggle、畸形报文、报文分片攻击、IP异常选项攻击、地址欺骗、地址扫描和端口扫描等攻击压力。在内网,企业同样面临着巨大的攻击压力。如:Arp欺骗攻击、Mac欺骗攻击、流量攫取、地址欺骗、地址扫描和端口扫描。而企业现有防火墙并不具备内、外网防攻击手段及能力,在面临大范围病毒爆发或攻击发作的时候无法提供良好的处理性能,严重时将导致设备宕机,严重影响企业用户的正常工作。4.对于应用层无法有效管控 网络中所有的网络通讯都是基于应用的。而目前Intern
45、et上的应用以几何倍数在增长,每天都有大量新应用出现,如何有效管控这些网络应用是企业用户急需解决的问题。(1)带宽管理:网络应用中很大一部分应用都是严重消耗带宽的,尤其是那些非业务应用,企业用户一般很难拿出有效的解决方法,只能默默地承受着这些非办公应用对企业关键办公应用进行带宽挤压。企业网络使用效率及工作效率都很低。(2)内容过滤: 企业的网络资源是用来作业务支撑和业务拓展使用的,而使用这些资源的过程中必须进行内容的控制以避免相关的法律等问题。网页URL和网页内容的关键字过滤能为用户解决相关问题。(3)会话管理:企业内部每个IP地址都会对网络资源创建一定数量的会话连接,合理的会话连接是企业所允
46、许的,但过大的会话连接同样是对企业资源的一种滥用,同样需要进行有效管控。5.网络需要更好的冗余备份机制企业网络在企业生产中扮演着至关重要的角色,企业网络的稳定性严重影响着企业生产的稳定性,以致影响着企业的生产效率。更有甚者,企业网络的稳定性关乎企业生存。因此,维护企业网络的持久稳定是目前企业最严重关注的网络建设问题。冗余技术是解决网络单点故障、维护网络持续稳定性的最有效解决方案。企业网络建设需要充分考虑冗余技术的应用,尤其是网络关键节点,如网络接入端、网络核心层等等。6.企业需要更简单实用的VPN VPN (Virtual Private Networks)在企业网络应用中极为广泛,是企业扩展
47、远程应用的有效解决方案。随着企业规模的扩大及业务发展的需要,各分支机构之间、移动办公员工和公司之间以及合作伙伴和公司之间的VPN加密远程数据传输是企业解决远程传输数据的私密性、安全性和降低费用的有效办法。而如何简单、方便快捷的维护整个企业的VPN以及降低企业VPN的维护成本是企业用户同样需要考虑的。(1)IPSec VPN:分支机构之间需要部署站点到站点的IPSec VPN,采用网状架构或者星形架构;合作伙伴和公司之间需要部署站点到站点的IPSec VPN;(2)SSL VPN:考虑到IT维护成本,远程移动办公员工和公司之间部署SSL VPN,能够快速、便捷的进行VPN互联访问。该系统的网络安全需求如下: 防止不同系之间用户非授权访问和恶意攻击; 防止来自Internet病毒对重要服务器的攻击与破坏; 调度网与办公网的安全隔离; 防止本地邮件病毒、文件病毒及网络病毒的危害和传播; 加强对内部用户的身份辨别、权限控制 、角色管理和访问控制管理,防止对应用系统的数据库服务器、邮件服务器及文档服务器的非法存取、删改和破坏。 防止电磁辐射和电磁传导泄露; 实现对网站文件属性和文件内容的实时监控,可以自动、安全恢复网站文件系统; 在
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100