网络安全防御系统的研究与设计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
到入侵信息 ,便直接反馈到防火墙那里 ,然后利用防火墙去阻断攻击 ;( 策略生成器。一方面可以对分析 5 )
结果生成策略墙 ,另一方面是管理员可 以进行手工配置策略 ;(加密认证模块 。它对管理 中心 、服务器 和 6 ) 防火墙之间的通讯交流起到加密和认证 的作用 ,同时防止防御系统因错误或虚假信息造成系统瘫痪 ;( 文 7 )
越来越广 ,受害的程度也越来越深 ,而中国却没有高科技的防范措施 ;( 电脑黑客的攻击对象主要针对银 2 )
行 系 统 、金 融 系统 ,这 对 我 国 的经济来 说 已成为 重要 威 胁 ;() 繁 的 网络颠 覆政 治 活动 。一 些反 动组 织 利 3频
用互联网恶意宣传反动思想 ,扰乱社会秩序 。
() 3流氓 软 件 。 网络使 用 者在 使用 过 程 中 ,窗 口中往 往 会 弹 出一些 小 窗 1或者 一些 小 广告 ,这 表 明 网络终 端 : 3
已经遭 遇 了流氓软 件 的入侵 。 1 . 网络安 全 问题 加重 的标 志 3
由于 网络安 全 已经 成 为我 国发展 地 一种 安全 隐 患 ,主要 有 以下 标 志性 特征 :( 系统遭 受 病毒 感染 的频 1 ) 率 加 重 。据 国际 互联 网保 安公 司报 告 :全 球 的黑 客 有 大 约 7 %是来 自中 国的互 联 网 ,而且 黑 客 的攻 击 面 积
Z HANG Ja - u IHE Mio mio in g o , a - a
(.dt i e at e tY L om nvri , iig 8 5 0 , hn ; 1 i r l p r n, ii r a U i sy Y nn 3 0 0 C ia E oaD m N l e t
[ 中图分类号】 P9 T 33
[ 文献标识码】 【 A 文章编号】0 8 18 ( 1) —090 10—7X2 2 603— 3 0 0
1 网络 安全 问题 概 述
11 网络安全 问题 的产 生 .
网络安全分为信息安全和控制安全这两部分 。信息安全是指信息的完整性 、保密性 、可靠性和可用
J n2 2 u .01
网络安全 防御 系统 的研究 与设计
牛世章
( 口职业 技术 学 院计算 机 和 网络管 理 中心 ,辽宁 营 口 150) 营 00 1
【 摘 要】 网络技术 已经 日趋成熟 ,在人 们的生活 中也 占有越来越重要 的地 位。而在使用过程 中 ,网络
安全 已经成为一种 隐患 ,需 要采用防御系统来保证 网络 的安 全性 。本文针对网络安全防御 系统进 行深 入分析 ,更深层地认 识网络安全及 防御 系统 。 【 词】 关键 网络安全 ;防御系统
tec n t cin o ea a e ce h ln i c n u iet h o ain o tbeh g e e fiu a uh rta h o sr t ft c d mi c eo S o d cv otefr t f sa l ih lv lo rl a to e m, u o h m o a ou
第 3 1卷第 6期
V0 _ 1 No6 l3 .
长 春师 范 学院 学报 ( 自然 科学 版 )
Jun f hn cu om l nvri (a rl c n e orao aghnN r a iesyN t a Si c) l C U t u e
21 0 2年 6月
te ora wt uf in m ucit o re w i o d c et tei poe e t fh u i fh un , d h u l i sfc t a sr uc, hc ic n u i rv m n eq a t o e ora a j u h i e n ps hs v oh m ot ly t j l n
件备 份库 。其 主要作 用便 是修 复被 破坏 的文件 。
3 防御 系统 的构 建设 计 31 规划 物理安 全 网络 .
物理安全 的目的 : 1 ( 要保护计算机系统 、网络设备等硬件实体设备的安全 ,避免被人破坏 ; ) ) (对使用者 2 的身份和权限进行验证 ,以免越权操作的现象发生 ; ) (保障网络有一个 良好的工作环境 ;4 3 ( 建立完善 的管理 ) 制度 ,以免计算机 网络被破坏等 。
4 网络安 全防 御 系统 的应 用 41 鉴 别认 证 机制 .
第 一 ,就 网络 部分 来说 ,可 以利用 公钥 体 质 的技术 ,结 合证 书 进行 鉴别— — 用 简单方 法 来说 ,就 是通
过 SL加密通道和证书机关对用户进行服务双 向鉴别 ;第二 ,系统鉴别部分 。它是采用 I S C卡的方式
将 电脑安全进行局域划分 ,形成不 同级别的区域 ,可具有以下特点 :(根据边界和级别 ,将不同级别 1 )
的信 息分 别 放 在不 同的 区域 中 ,然 后这 些安 全 域便 能 形成 网络安 全 边 界 ,进 而靠 服 务 器进 行 管 理 与控 制 ,
保护 网络 的信息 ,使其安全运行 ;( 通过划分安全域 ,区别用户群 ,更好地保护企业或国家 的信息 ,使其 2 ) 不受病毒 的侵扰 ;( 增强局域网络的安全可 以由服务器的各交换机控制 ,但在一定程度上会降低 网络的交 3 )
【 作者简介】 牛世章 (9 o ,男,辽 宁营 口人 ,营 口职业技 术学院计 算机和 网络管理 中心副教授 ,从事计算机 网络技 术与 16 一)
应用研究。
・
3 ・ 9
主机入侵 的检测系统 。它能分析来 自服务器的信息 ,给这些信息进行分类 ,然后有针对性地发 出警告信 号 ,并发送给综合分析器作参考 ;( 网络入侵信 息分析器。可以被看作一个 网络入侵检测系统 ,主要是分 3 )
建设 也 变 得高 度信 息 化 ,有 些恐 怖 份子 对 一些 核 心 系统控 制 进 而破坏 ,其 中包括 国家 的金融 系 统 、通 信 系
统等 。
1 网络安 全 问题 的种Fra bibliotek类 . 2f 恶意代码。恶意代码的威胁是未知的 ,也是前所未见的。因为有些恶意代码已经出现变种 ,攻击者 1 ) 仍在不断更新 中。( 特洛伊木马。特洛伊木 马虽然不会进行 自我复制 ,却能 以某种方式对主机进行破坏 。 2 )
物 理安 全 网络 的规 划要 考 虑到 办公 网络 和互 联 网络 的物 理 隔离— — 因为根 据 网络 安全 的规定 ,安 全保 护 系 统 网络 隶 属 于 办公 网络 ,须 将 重要 数 据 与互 联 网实 现 完 全 隔离 ;这 样 不仅 能 从 根 本 上 阻 断 病毒 的人 侵 ,更 能保 护企业 的重要数 据 。 32 制定 安全 区域 .
统 ,对系统造成故障 ;( 进程权限控制。能够防止非法用户使用的第一道 防线 ,SO根据 C i 一 2 ) S hn 。 提供 的 i
‘
・
( 下转 第 20页 ) 0
4 ・ 0
OnM uu l r m o o ewe nUnv r t o r a n sil eCo s u t n ta o t nb t e i es y u n sa d Di pi n t ci P i i J l c n r o
2 R sac eat n , L oma U i r t, nn 3 0 0 C ia . eerhD p r tYii r l nv s yYiig 8 5 0 , hn ) me N ei
Ab ta t J un sa dds il ec n t cinaecoeyr ltdwi c d mi oka ec ne . h i rlt n hp sr c : o r a n icp i o sr t ls l ae t a a e cw r s h e tr T er eai s is l n u o r e h t o
r t l pr moi ,b a e mu ua o t n rngn u h e ti a h oh ra d c mmo e e o me t o i i g o tt e b s n e c t e n o n d v lp n .Dicpln o sr c in p o ie s i i ec n t t r vd s u o
w i asaf n a o o ec aat sccnt c o . h nvr t ju a cn b c i e y et lhn hc l o dt nf t h ce t o s t n T eu i s y orl a eahe db s bi ig h y u i rh r i r i u r i e i u v a s
性 ;控 制 安 全是 指身 份 认证 、授权 、不 可 否认 性 和访 问控制 。网络 环境 为人 类提 供 了信 息 的来 源 ,使 信息
达到开放和共享 ,为人类的进步提供 了有力 的保证。但正是 由于这样 ,互联网络才产生了众多安全 问题 : ( 网络信息可能会泄露 、污染及不受控制等情况 。( 在整个网络环境 中,一些组织在 网络上进行破坏 网络 1 ) 2 ) 信息 、泄密或篡改信息 内容等活动 , 得 国家 的利益受到威胁 ;( 由于科技的不断进步 ,社会基础设施的 使 3 )
用安 全操 作 系统 的鉴别 机制 对用 户进 行鉴 别 ;因为 只有持 有 I C卡的用 户才 能登 陆进 服务器
,
,
利
这样就能保障
服务 器 的登陆 安全 。 42 采 用安 全操 作系统 . 网络 安全 防御 系统 要采 用 安全 操作 系 统 的要 求 ,同时要 求该 系 统具 有多 种安 全性 :( 登陆 控制 。可 以 1 ) 分 为 本地 系统 登 陆控 制 和远程 登 录系 统控 制 ,它们 的 目的都 是 一样 的 ,是 为 了防止 不合 法用 户 统一 进人 系
换 速度 。所 以不 能随便 划分 安全 区域 ,要 以实 际 的系统为 准 ,满足 实 际需 求 ,即优 先 原则 。
33 防火 墙系统 .
设计 防火墙系统是设计 网络安全防御系统的重点 ,因为它是能够保证我们的业务系统可以安全运作 的
核 心 保 障 。在 上 述安 全 区域划 分 的部 分 中 ,不 同等级 的 区域访 问是 要 由防火墙 来控 制 实现 的 。可 以设 计两 层 防火 墙 系统 :一 种是 边 缘 防火 墙 ,采 用一 台百 兆 的防 火墙 安装 于 横纵 向域 网和 横纵 向 网络 接人 区之 间 。 这种 防火 墙可 以控制 局域 网之外 的用 户对 整个 局域 网络 的访 问 。另一种 是 核心 防火 墙 ,它 是采 用一 台千兆 的 防火墙 安装 于 局域 网 的主 干交 换机 和数 据 中心 的交 换机 之 间 以控 制 网络 内部 用 户对业 务 系统 的访 问 ,同 时也 能控 制横 纵 向网络 的业务 系统 的访 问 。
析 收集 到 的信 息 ,然后 利 用规 则库 检测 此 种 网络信 息是 否会 产 生入 侵行 为 ,因此不 断地 完善 规则 库 也是 很 必 要 的 ;(综 合 分析 器 。它是 凭借 上 述两 种分 析 器 的分析 结果 来判 断 网络信 息 是否 产生 入侵 行 为 。如检 测 4 )
2 防御系统的管理中心 管 理 中心 是 由 以下几 部分 构 成 的 :( 用 户接 口。可 以为 管理 员 提供 可视 化界 面 ,并 管理 整个 系统 。管 1 )
理员可 以检查入侵信息的真实性和防止不真实信息的攻击行为 ;( 主机入侵信息分析器。可以被看成一个 2 )
【 稿 日期 】 0 2 0 — 6 收 2 1 — 4 0