網絡安全與維護論文精品(七篇)
時間:2023-05-15 18:14:42
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇網絡安全與維護論文范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
篇(1)
關鍵詞:電子閱覽室,絡安全,LAN,維護要點
高校電子閱覽室作為讀者可以檢索和查詢傳統文獻;也可以檢索、瀏覽、復制和打印數字化的文獻;還可以在Internet上查詢、瀏覽。收發郵件、交流信息等;除此之外,還可以在電子閱覽室里聽音樂、看電影、網上聊天,達到休閑娛樂的目的和發揮圖書館服務的功能。論文大全,維護要點。目前,幾乎所有高校都建設了電子閱覽室,電子閱覽室快捷方便的檢索條件,提高了師生獲取文獻信息資源的效率,在教學和科研中,起到了舉足輕重的作用。但電子閱覽室的網絡安全也成為網絡管理人員需要解決的問題,本文以西鐵職院臨潼校區電子閱覽室面臨的網絡安全問題,討論了相關的解決辦法和措施。
一、電子閱覽室存在網絡安全問題
我院電子閱覽室在2008年建成,由60臺計算機、若干普通交換機組成。為全院師生提供了光盤檢索、超星數據庫、萬方數據庫等學術論文檢索與閱覽。當時建設電子閱覽時,由于各種原因,并沒有把電子閱室設為一個獨立網絡,而是把它直接連到校園網里,這對電子閱覽室的絡安全帶來了各種影響。目前,電子閱覽室常見的網絡安全問題有:
1.非法訪問。非法訪問是指對網絡設備及信息資源進行非正常使或越權使用等,利用各種假冒或欺騙的手段獲得合法用戶的使用權限,達到占用合法用戶資源的目的。
2.破壞數據的完整性,用非法手段,刪除、修改、重發某些重要息,以干擾用用戶的正常使用。
3.干擾系統的正常運行,隨意破壞、改變正常運行的系統,減慢系統響應時間,為數據的訪問帶來不便。
4.病毒與惡意攻擊,對服務器發送大量垃圾包,使網絡陷入癱瘓,通過客戶機傳播病毒。惡意代碼等。
5.隨意安裝、使用可移動的存儲設備,利用移動存儲介質優盤、光盤等間接與外網進行數據交換,導致病毒的傳入或者敏感機密數據的傳播、泄密。
6.安裝、使用非法軟件或黑客軟件。某些教師或學生在計算機上安裝使用非法、盜版軟件,這無法保障計算機的正常運行,有的還裝上黑客軟件,有可能對電子閱覽室的其它計算機構成重大的安全威脅,有導致整個電子閱覽室崩潰的危險。
7.惡意或非惡意地更改TP地址。某些師生出于某種目的。在進行一些非法活動之前,將自己機器的IP地址或用戶名更改成他人的IP地址或用戶名.這不止影響了其它計算機的正常使用,也會導致網絡設備運行異常或一些監控記錄不準。無法對當事人進行追查和處罰.
二、應對策略
針對電子閱覽室以上所面臨的網絡安全問題,我們提出了如下的應對策略:
1.添置防火墻。防火墻是位于兩個信任程度不同的網絡之間的軟件或硬件的結合,它使得內部網絡和外部網絡直接相隔離并控制網絡互訪,防止對重要信息資源的非法存取和訪問,以保護內部網絡的安全。我們購置了硬件防火墻,通過對防火墻的配置,將電子閱覽室和校園網絡隔離開來,使電子閱覽室作為一個單獨的內網,相對獨立,自成體系。最大限度的保證了電子閱覽室內部網絡的安全。
2.用VLAN技術對網絡進行劃分。VLAN是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個網段,從而實現虛擬工作組的新興技術。由于不同的VALN有著各自獨立的廣播域,而廣播域只能在本地VLAN內進行,從而大大減少了廣播對網絡帶寬的占用,提高了帶寬傳輸效率,并可以有效地將廣播風暴所帶來的危害拄制在最小的范圍內。在交換機劃分VLAN后,不同VIAN之間將不能直接通信。VLAN的通信必須通過三層交換設備(路由設備),我們可以通過路由訪問列表和MAC地址分配等VLAN劃分原則,控制用戶訪問權限和邏輯網段大小,將不同用戶群劃分在不同VLAN中。我們將電子閱覽室劃分為一個VLAN。論文大全,維護要點。師生共同使用,而減少了維護難度。
3.對設備、系統漏洞檢測。定期對包括操作系統,數據庫管理系統等系統軟件進行系統漏洞掃描、端口掃描,對系統打補丁,關閉非必須開放的端口,對防火墻,路由器、交換機配置進行檢測等,發現漏洞馬上修正。
4.對數據進行備份。根據實際需要利用磁盤陣列異地數據備份。論文大全,維護要點。利用光盤刻錄設備等系統和數據(如服務器操作系統、系統日志、各類應用系統和數據等)的定期備份。備份數據采取的策略一般是:對超星、萬方等數據庫,由于其數據量大,需要備份的時間長,可以考慮一次完全備份后存檔;對于安裝維護比較麻煩的服務器,可對系統進行備份,便于快速恢復;對于客戶機等計算機,系統維護量大,我校采用方正硬盤保護系統進行日常維護,但在此同時一些頑固病毒仍無刪除,就需要我們對一些特殊計算機進行處理。論文大全,維護要點。
5.常進行日志審核。日志是指操作系統的日志、應用程序的日志和防火墻的日志。論文大全,維護要點。對這些日志進行常規的日志備份和分析,如果有異常活動,能及時發現,從而作出補救措施,這是對網絡安全監控的一個補充。論文大全,維護要點。
三、讀者教育
引導和教育學生,增強他們的安全意識。在新生入學時,即對所有新生進行入館教育.教導學生正確使用閱覽室內電子設備,向學生說明發生火災的各項必要的應急措施及安全逃生路線。嚴禁在圖書館內吸煙或違規使用電子設備。
四、結束語
電子閱覽室的網絡安全是一項復雜的工程,不可能只依靠一種措施來保證安全,必須把各種安全措施有機的結合起來,加之合理的運用,才能達到保障電子閱覽室網絡安全的目的。在采取安全防范措施的同時,還必須完善電子閱覽室的管理規章制度,加強工作人員的網絡安全意識,才能有效地實現電子閱覽室安全、可靠、穩定地運行.
參考文獻:
1、吳少華,局域同中的數據安全問題研究.中國民航飛行學院學報,2005.8.
2、茂,論高校圖書館電子閱覽室的安全管理與充分利用.內蒙古科技與經濟.2008.6.
3、國編著.網絡安全原理與技術.北京:科學出版社。2003.
4、石勇.高校電子閱覽室的安全工作探討.農業網絡信息。2009年第5期。
篇(2)
關鍵詞:電子政務,信息安全,網絡安全,安全模型,信息安全體系結構
一、電子政務安全體系概述 網絡安全遵循“木桶原理”,即一個木桶的容積決定于它最短的一塊木板,一個系統的安全強度等于它最薄弱環節的安全強度。因此,電子政務必須建立在一個完整的多層次的安全體系之上,任何環節的薄弱都將導致整個安全體系的崩潰。 同時,由于電子政務的特殊性,也要求電子政務安全環境中重要的加密/密鑰交換算法等安全核心技術必須采用具有自主知識產權或原碼開放的產品。
一個完整的電子政務安全體系可由四部分構成,即:基礎安全設施、安全技術平臺、容災與恢復系統和安全管理,如圖:
基礎安全設施是一個為整個安全體系提供安全服務的基礎性平臺,為應用系統和網絡系統提供包括數據完整性、真實性、可用性、不可抵賴性、機密性在內的安全服務。有了這一基礎設施,整個電子政務的安全策略便有了實現的保證。這一平臺的實現主要包括CA/PKI。
網絡系統安全是一個組合現有安全產品和技術實現網絡安全策略的平臺。網絡系統安全的優劣取決與安全策略的合理性,電子政務的網絡安全策略是:劃分網絡安全域建立多層次的動態防御體系。
電子政務系統用戶類型復雜,劃分網絡安全域將具有相似權限的用戶劃分成獨立的管理域,管理域之間通過物理隔離與認證/加密技術實現有限可控的互連互通,有利于降低整個系統訪問權限控制的復雜性,降低系統性風險。
基于多層次的防御體系在各個層次上部署相關的網絡安全產品以增加攻擊都侵入時所需花費的時間、成本和資源,從而有效地降低被攻擊的危險,達到安全防護的目標。如訪問控制可部署在網絡層的接入路由器/VLAN交換機和應用層的身份認證系統兩層之上。
網絡信息安全具有動態性的特點:網絡和應用程序的未知漏洞具有動態產生的特點;電子政務的應用也會動態變化、網絡升級優化將導致系統配置動態更新。這些都要求我們的防御系統必須具有動態適應能力,包括建立入侵監測(IDS)系統,漏洞掃描系統和安全配置審計系統,并將它們與防火墻等設備結合成連動系統,以適應網絡環境的變化。
災難恢復系統在發生重大自然及人為災難時能迅速恢復數據資料,保證系統的正常運行并保護了政務歷史資料。電子政務的容災與恢復系統應該采用磁帶靜態備份與磁盤同步備份相結合的方式。磁帶靜態方式用于離線保存歷史記錄,保證了歷史信息的完整,而磁盤同步方式則用于災難數據恢復,保護了當前系統的所有數據。
安全管理也是電子政務安全體系的重要組成部分。網絡安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制定的制度包括:日常系統操作及維護制度、審計制度、文檔管理制度、應急響應制度等。
二、電子政務安全體系的設計電子政務系統是一個復雜的多層次應用系統,根據不同的應用環境和安全要求一般可分為三個不同的網段:內網、專網、外網。免費論文。
內網包括內網的數據層、內網的業務層;內網數據層是政府信息的集中存儲與處理的域,該域必須具有極其嚴格的安全控制策略,信息必須通過中間處理才能獲得。內網的業務層是政府內部的電子辦公環境,該區域內的信息只能在內部流動。
專網連接政府不同的部門和不同部門的上下級部門。它把部分需要各部門交換的信息進行交換。該區域負責將信息從一個內網傳送到另一個內網區域,它不與外網域有任何信息交換。免費論文。
外網是政府部門的公共信息的場所,它實現政府與公眾的互操作。該 域應與內網和專網隔離。
不同的網絡連接示意圖如下:
根據不同網絡的不同安全需求,設計了如下一個電子政務的安全模型:
三、電子政務安全體系的部署
電子政務安全體系的部署應遵循確定安全需求、安全狀態評估、安全策略制定(含管理制度)、安全方案設計、安全方案實施、安全制度培訓的順序進行。免費論文。前期的確定安全需求和安全狀態評估是整個安全體系部署中最重要的兩個步驟,它們是后續制定安全策略和方案設計的依據,決定了整個安全體系的可靠性。
全面的安全需求調查包括兩個方面:系統安全的功能需求和安全置信度需求。系統安全的功能需求包括安全審計需求、安全連接需求、身份認證、信息機密需求、數據保護需求以及安全管理需求。安全置信度需求包括安全保護輪廓評估(PP)、安全目標(ST)評估、系統配置維護管理、用戶手冊規范、產品生命周期支持以及測試等內容。
安全狀態評估通常采用五種方式來了解安全漏洞:1) 對現有安全策略和制度進行分析;2) 參照一些通用的安全基線來考察系統安全狀態;3) 利用安全掃描工具來發現一些技術性的常見漏洞;4) 允許一些有經驗的人在監管之下對特定的機密信息和區域做模擬入侵系統,以確定特定區域和信息的安全等級;5) 對該系統的安全管理人員和使用者進行訪談,以確定安全管理制度的執行情況和漏洞。
同時應注意的是,安全體系的部署并非一勞永逸的事情,隨著系統安全狀態的動態變化,應定期對系統進行安全評估和審計,搜尋潛在的安全漏洞并修正錯誤安全配置。
總之,電子政務的安全系統是個容復雜組織和先進IT技術于一體的復合體,必須從管理和技術兩方面來加強安全性,以動態的眼光來管理安全,在嚴謹的安全需求分析和安全評估的基礎上運用合理的安全技術來實現電子政務的整體安全。
·參考文獻:
1. 電子政務總體設計與技術實現 《北京:電子工業出版社》 國家信息安全工程技術研究中心 2003
2.《國家信息化領導小組關于推進國家電子政務網絡建設的意見》國信辦 2006
3.電子政務安全解決方案要解決的主要問題 《信息安全與通信保密》 譚興烈 2004
4.電子政務安全體系 《信息安全與通信保密》 鄔賀銓 2003
篇(3)
論文關鍵詞:數據庫 存儲 網絡 安全
論文摘要:急救指揮中心所有的軟件和用戶數據都存儲在服務器硬盤這個核心的數據倉庫中,如何保證服務器數據的安全,并且保證服務器最大程度上的不間斷運作對每個指揮中心來說都是一個關鍵問題。針對急救通訊指揮系統的安全保障問題,從數據物理安全、網絡安全、應用系統安全、告警控制系統等方面論述了應采取的安全防范措施。對保障網絡指揮中心數據安全具有重要意義。
1數據的物理安全方法
1.1RAID技術
對每臺服務器的兩塊硬盤做RAID技術處理,把多塊獨立的硬盤(物理硬盤)按不同的方式組合起來形成一個硬盤組(邏輯硬盤),從而提供比單個硬盤更高的存儲性能和提供數據備份技術。數據備份的功能是在用戶數據一旦發生損壞后,利用備份信息可以使損壞數據得以恢復,從而保障了用戶數據的安全性,而且數據備份是自動的。在用戶看起來,組成的磁盤組就像是一個硬盤,用戶可以對它進行分區,格式化等等。總體來說,RAID技術的兩大特點是速度和安全。
1.2雙機熱備系統
從狹義上講,雙機熱備特指基于active/standby模式的服務器熱備。服務器數據包括數據庫數據同時往兩臺或多臺服務器寫,或者使用一個共享的存儲設備。在同一時間內只有一臺服務器運行。當其中運行著的一臺服務器出現故障無法啟動時,另一臺備份服務器會通過軟件診測(一般是通過心跳診斷)將standby機器激活,保證應用在短時間內完全恢復正常使用。雙機熱備的工作機制實際上是為整個網絡系統的中心服務器提供了一種故障自動恢復能力。
2、網絡安全保障體系
中心網絡由局域網、外部網兩大部分組成。因此,我們為了建立起強大、穩定、安全的網絡,可從兩大安全層次著手設計與管理:局域網安全和外部網安全,這兩大層次結合起來才能構成完善的網絡安全保障體系。
2.1應用系統安全
應用系統的安全主要是保護敏感數據數據不被未授權的用戶訪問。并制訂出安全策略。包括身份認證服務;權限控制服務;信息保密服務;數據完整;完善的操作日志。這些服務互相關聯、互相支持,共同為本系統提供整體安全保障體系。
2.2數據安全
數據的安全主要體現在兩個方面,首先,是數據不會被非授權用戶訪問或更該,其次,數據在遭到破壞時的恢復。
3應用安全系統
資料永久保存,磁帶回復時間無嚴格限制。數據存儲:磁盤陣列+磁帶庫;Tier1=4TB HDD存放線上經常使用的數據;備份帶庫:3TB定時定期備份所有數據。
3.1采用磁帶庫
磁帶庫具有如下優點:更高的價值;簡化IT;集成的解決方案;靈活的數據存儲和轉移;多種接口選擇;AES256位嵌入式硬件加密和壓縮功能;用戶可自行維護和更換的組件;廣泛的兼容性測試;久經考驗的可靠性。 轉貼于
3.2數據備份軟件
3.2.1基于LAN備份方案
LAN是一種結構簡單,易于實現的備份方案,廣泛的存在于各中小企業中LAN方案在企業發展壯大過程中所發揮的作用一直被客戶所認同。由于急救系統用戶數據量的巨大,基于LAN備份的弊端較突出:此方案對LAN的依賴非常強;因為內部LAN為企業內部辦公用網絡,而LAN方案依賴現有網絡進行備份恢復數據流的傳輸,所以必然會影響現有辦公網絡環境;基于LAN備份難于擴展,因為需要而添加存儲設備將導致繁忙的辦公網絡更加繁忙;管理困難是LAN備份的又一難題,因為設備分散于網絡各個環節,使管理員進行數據備份恢復及平時維護工作有一定難度。
3.2.2基于IPSAN的備份方案
基于IPSAN的備份方案,通過結合CBS備份管理軟件,將使備份恢復工作簡單而有效。
備份網絡與辦公網絡有效隔離開,備份數據不通過辦公網絡傳輸,而是直接通過IPSAN交換機與存儲設備進行連接。
系統具備良好的擴展性能,在現有基礎上,客戶能夠添加各種存儲設備(需支持ISCSI)。
根據客戶需要,可以實現D2D2T功能。將數據首先備份于速度較快的磁盤陣列上,加快備份的速度。再將數據從磁盤陣列備份到磁帶庫。
通過CBS備份管理軟件能夠集中管理其中各種設備,制定備份策略,安排備份時間,實現無人值守作業,減輕管理員的工作量。下圖為CBS備份框架。
備份服務器作為整個CBS備份架構的中心,實現管理功能。
4告警控制系統
通訊指揮系統出現故障時自動告警提示,確保系統安全運行。2M口通訊故障告警、網絡通訊故障告警、終端網絡斷開告警、電話到達告警、定時放音、擴音、報時控制,也可自動循環播放、電源出現故障可自動向受理臺告警。
警告系統整體性能:輸入:8-32通道,8通道遞增;電源輸入:AC 180V-250V 50Hz;控制通道輸入及輸出:AC
5總結
隨著數據管理與控制信息化綜合系統的不斷完善,對服務器數據的安全要求也越來越高,論文就如何保障急救指揮中心證服務器數據的安全,論文從數據物理安全、網絡安全、應用系統安全、告警控制系統等方面論述了應采取的安全防范措施。對保障網絡指揮中心數據安全具有指導性的作用。
參考文獻
[1]何全勝,姚國祥.網絡安全需求分析及安全策略研究.計算機工程,2000,(06).
篇(4)
本畢業設計(論文)、學位論文作者愿意遵守浙江科技學院 關于保留、使用學位論文的管理辦法及規定,允許畢業設計(論文)、學位論文被查閱。本人授權 浙江科技學院 可以將畢業設計(論文)、學位論文的全部或部分內容編入有關數據庫在校園網內傳播,可以采用影印、縮印或掃描等復制手段保存、匯編畢業設計(論文)、學位論文。
(保密的學位論文在解密后適用本授權書)
論文作者簽名: 導師簽名:
簽字日期: 年 月 日 簽字日期: 年 月 日
內 容 摘 要
本文針對浙江廣播電視集團網絡,以及集團網絡安全的建設、改造提出了相應的解決方案,并且從網絡和網絡安全兩個主要方面進行了相關的闡述。首先,對在本方案中可能使用到的計算機網絡、及網絡安全的相關技術進行了闡述、分析和比較。然后,對集團中的計算機網絡、以及網絡安全的現狀進行調查研究。其次,針對浙江廣播電視集團的網絡現狀進行了詳細的需求分析。最后,提出了一套針對浙江廣播電視集團計算機網絡、以及網絡安全實際情況的網絡、及網絡安全的詳細設計方案。實施本方案之后,有助于提高其計算機網絡系統的可靠性、以及網絡的安全性。
關鍵詞:網絡系統,數據安全,網絡安全,局域網
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security,LAN
目 錄
第一章 引言 1
第一節 選題背景與意義 1
第二節 集團網絡安全發展與現狀 1
第三節 網絡安全相關技術介紹 2
第二章 集團網絡安全系統概況及風險分析 4
第一節 集團網絡機房環境 4
第二節 網絡應用數據備份 4
第三節 網絡安全弱點分析 5
第四節 網絡安全風險分析 6
第三章 集團網絡安全需求與安全目標 7
第一節 網絡安全需求分析 7
第二節 網絡安全目標 7
第四章 集團網絡安全解決方案設計 9
第一節 網絡監控管理系統 9
第二節 電子郵件安全解決方案 9
第三節 遠程數據傳輸的加密 10
第四節 服務器的安全防護 11
第五節 計算機病毒防護的加強 14
第六節 網絡攻擊及防護演示效果圖 15
第五章 結束語 17
參考文獻 18
致 謝 19
第一章 引言
第一節 選題背景與意義
隨著互聯網的普及度越來越高,全世界的計算機都能通過互聯網連接到一起。各種網上活動的日益頻繁,使得網絡安全問題日益突出,信息安全成為了一個重要的課題。各種各樣的網絡攻擊層出不窮,如何防止網絡攻擊,保障各項業務的順利進行,為廣大用戶提供一個安全的網絡環境變得尤為重要。
本論文針對浙江廣播電視集團的計算機網絡、以及網絡安全的實際解決方案。在實施了本方案之后,有助于提高集團計算機網絡系統的可靠性、以及網絡的安全性。認真分析網絡面臨的威脅,計算機網絡系統的安全防范工作是一個極為復雜的系統工程,是一個安全管理和技術防范相結合的工程。首先是各計算機網絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執行各項安全制度,在此基礎之上,再采用先進的技術和產品,構造全方位的防御機制,使系統在最理想的狀態下運行。
第二節 集團網絡安全發展與現狀
圖1-1網絡拓撲圖
浙江廣播電視集團作為省級廣電傳媒集團,現有計算機網絡于2002年10月建成,在集團的運作和管理中發揮著重要的作用。近年來隨著集團業務的發展,網絡應用的不斷深入,應用領域較以前傳統的、小型的業務系統逐漸向大型、關鍵業務系統方向擴展。大部分子系統已接入網絡,遠程數據傳輸、集團資料共享、動態數據查詢、流媒體數據業務、集團網站運營等都在該網絡上傳輸,整個網絡的用戶規模是原計算機網絡規模的數十倍。隨著網絡規模的不斷擴大、接入點數量的增多、內部網絡中存在的安全隱患問題就會愈加突出,安全日益成為影響網絡效能的重要問題,而互聯網所具有的開放性、國際性和自由性在增加應用自由度的同時,對自身網絡的安全性提出了更高的要求。雖然廣電集團前期的網絡建設有一定的安全措施,但因為網絡復雜性的逐步提高,網絡中存在隱患的可能性以及由此產生的危害性也大大提高,因此在網絡系統的進一步建設過程中,及時查清網絡隱患的必要性就體現了出來。
第三節 網絡安全相關技術介紹
要保證計算機網絡系統的安全性,還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。
一、防火墻技術
為保證網絡安全,防止外部網對內部網的非法入侵,在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統,該系統可以設定哪些內部服務可已被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。它可監測、限制、更改跨越防火墻的數據流,確認其來源及去處, 檢查數據的格式及內容,并依照用戶的規則傳送或阻止數據。其主要有:數據包過濾、監測型、服務器等幾大類型。
二、數據加密技術
與防火墻配合使用的安全技術還有數據加密技術,是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要技術手段之 一。隨著信息技術的發展,網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數據加密技術和物理防范技術的不斷發展。按作用不同, 數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
三、認證技術
認證技術是防止主動攻擊的重要手段,它對于開放環境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程,即認證建立信息的發送者或接收者的身份。認證的主要目的有兩個:第一,驗證信息的發送者是真正的,而不是冒充的,這稱為信號源識別;第二,驗證信息的完整性,保證信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有:消息認證、身份認證、數字簽名。
四、虛擬專用網絡(VPN)技術
虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。
VPN技術主要提供在公網上的安全的雙向通訊,采用透明的加密方案以保證數據的完整性和保密性。
VPN技術的工作原理:VPN系統可使分布在不同地方的專用網絡在不可信任的公共網絡上實現安全通信,它采用復雜的算法來加密傳輸的信息,使得敏感的數據不會被竊聽。
五、計算機病毒的防范
首先要加強工作人員防病毒的意識,其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件:
(一)較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有4萬多種,在各種操作系統中包括Windows、 UNIX和Netware系統都有大量能夠造成危害的計算機病毒,這就要求安裝的防病毒軟件能夠查殺多種系統環境下的病毒,具有查毒、殺毒范圍廣、能力強的特點。
(二)完善的升級服務。與其它軟件相比,防病毒軟件更需要不斷地更新升級,以查殺層出不窮的計算機病毒。
第二章 集團網絡安全系統概況及風險分析
第一節 集團網絡機房環境
目前,浙江廣播電視集團計算機網絡絕大多數的設備都是安放在新大樓13樓機房內的,只有樓層交換機是分布在各樓層的設備機柜中。根據本文的現場勘察和了解,目前大多數信息機房在機房的裝修、溫度和濕度控制、消防、照明、防靜電、防雷等方面已經作了很多的考慮,主要有如下方面:
一、網絡機房都作了可靠的防雷措施,建設有防雷接地網,其接地電阻小于1歐姆;大樓頂部建設有避雷針。
二、所有從網絡機房大樓外接入網絡機房的數據信號,全部采用光纖接入。
三、網絡機房內大多配備UPS電源系統。
四、機房內鋪設防靜電地板、吊頂,對墻面進行了無塵處理。
五、安裝機房防盜監控系統。
六、配備機房消防系統和應急照明系統。
七、所有樓層交換機的供電都是由機房內 UPS 通過專用的線路直接供電,與樓層內的其它電源系統沒有任何連接。
第二節 網絡應用數據備份
在廣電集團的計算機網絡中大多己經有功能數據備份與恢復系統,它是一套基于磁帶介質的備份與恢復系統,有2套文件備份的License和1套Oracle數據庫備份的License,進行服務器的文件備份和Oracle數據庫的實時備份和恢復。
浙江廣電集團網絡中已經有了以下幾個網絡安全方面的考慮:
一、病毒防護
網絡中使用了諾頓病毒防護系統,該病毒防御系統是基于網絡的病毒防護系統,在網絡內能夠遠程的安裝網絡客戶端的病毒防護軟件,進行病毒特征庫的自動更新,集中控制和管理。但是,網絡中的病毒防護系統沒有集中控制和管理的控制臺,不能實時了解網絡中防病毒客戶端程序的安裝情況、病毒感染和爆發的情況。
二、外網接入安全防護
網絡目前大多沒有單獨的外網接入點,沒有自己的外網接入安全防護,使用統一的出口和安全策略。
三、入侵檢測系統
在集團總部局域網與其他網絡連接處采用的一套入侵檢測系統具體部署如圖2-1
圖2-1 廣電集團入侵檢測系統示意圖
第三節 網絡安全弱點分析
浙江廣電集團網絡系統安全弱點主要包括:
一、硬件弱點: 硬件隱患存在于服務器、終瑞、路由器、交換機和安全設備等設備中,一旦發生硬件的安全問題,將給主機和網絡系統的可靠性、可控性、可用性和安全性等造成嚴重損害。
二、操作系統弱點: 由于操作系統自身的漏洞和缺陷可能構成安全隱患。操作系統是計算機應用程序執行的基本平臺,一旦操作系統被滲透,就能夠破壞所有安全措施。靠打補丁開發的操作系統不能夠從根本上解決安全問題,動態連接給廠商提供開發空間的同時為黑客開啟了方便之門。
三、數據庫系統弱點: 由于數據庫系統本身的漏洞和缺陷可能構成的安全隱患。
四、網絡系統弱點: TCP/IP協議本身的開放性導致網絡存在安全隱患。如:TCP/IP 數據通信協議集本身就存在著安全缺點,如:大多數底層協議采用廣播方式,網上任何設備均可能竊聽到情報; 協議規程中缺乏可靠的對通信雙方身份認證手段,無法確定信息包地址真偽導致身份“假冒”可能;由于TCP 連接建立時服務器初始序號的可推測性,使得黑客可以由“后門”進入系統漏洞。
五、通用軟件系統弱點:如Web服務器等常用應用軟件本身可能存在的安全弱點。
六、業務系統弱點: 節目視頻業務系統等本身的“Bug”或缺陷可能構成弱點。
七、安全設計的弱點: 安全設計不周全可能構成系統防護的弱點,由于安全漏洞的動態性和安全威脅的增長性要求以及安全需求本身的限制,安全體系設計要求具有良好的可擴展性和動態自適應性。
八、管理弱點: 工具不多,技術水平不高,意識淡薄,人員不到位。
第四節 網絡安全風險分析
網絡本身所固有的結構復雜、高度開放、邊界脆弱和管理困難等特點,增加了廣電集團網絡系統的安全風險。
由于網絡自身的開放性和廣電集團網絡系統的特殊性使網絡系統存在很大的安全風險性,主要有:
一、人為因素:
未經授權訪問重要信息
惡意破壞重要數據
數據竊取、數據篡改
利用網絡設計和協議漏洞進行網絡攻擊
假冒、偽造、欺騙、敲詐、勒索
內部人員惡意泄露重要的信息
管理員失職
二、自然因素:
設備的老化
火災、水災 (包括供水故障)
爆炸、煙霧、灰塵
通風
供電中斷
電磁輻射、靜電
以上都可能引起設備的失效、損壞,造成線路擁塞和系統癱瘓等。
第三章 集團網絡安全需求與安全目標
第一節 網絡安全需求分析
為了確保廣電集團網絡系統的安全,其安全需求可以從安全管理層面、物理安全層面、系統安全層面、網絡安全層面、應用安全層面等方面來分析。
從安全管理要求來分析,要考慮政策、法規、制度、管理權限和級別劃分、安全培訓等,特別要考慮基層人員計算機水平不高,系統設計和培訓等方面要周密考慮,制定切實有效的管理制度和運行維護機制。
從物理安全要求來分析,要根據浙江廣電集團實際情況,確定各物理實體的安全級別,建立相應的安全防護機制。
從系統安全需求來分析,需要解決操作系統安全、數據庫系統安全、TCP/IP 等協議的安全、系統缺陷、病毒防范等問題。
從網絡安全需求來分析,要考慮系統掃描、入侵檢測、設備監控和安全審計等,要防范黑客入侵、身份冒充、非法訪問。要保證信息在公共傳輸通道上的機密性,撥號線路的保密性和身份鑒別。
從應用安全和信息安全需求來分析,要解決重要終端用戶數據的加密、數據的完整性、數據的訪問控制和授權以及數據承載終端設備 (各種計算機、筆記本電腦、無線WAP終端及其它終端設備) 以及其中運行的操作系統的安全可靠。
因此,廣電集團網絡系統安全要重點做好以下幾方面的工作,同時也是本安全方案的設計需要解決的問題:
一、解決內部外部系統間的入侵檢測、信息過濾 (防止有害信息的傳播)、網絡隔離問題;
二、解決內部外部黑客針對網絡基礎設施、主機系統和應用服務的各種攻擊所造成的網絡或系統不可用、信息泄密、數據篡改 等所帶來的問題;
三、解決重要信息的備份和系統的病毒防范等問題;
四、建立系統安全運行所匹配的管理制度和各種規范條例;
五、建立健全浙江廣電集團網絡系統安全培訓制度及程序等方面的問題;
六、解決浙江廣電集團和其它相關單位部門網絡信息交流帶來的安全問題。
第二節 網絡安全目標
計算機網絡的安全問題與單臺計算機的安全在實際中存在著非常大的差別。網絡不是分裝在一個機箱內,存在著傳輸系統的地域分布問題。這些傳輸通信系統可以是有線的,也可以是無線的。這類傳輸可以在中途被截獲,存在著“中間攻擊”的問題。從攻擊的手段來看,攻擊種類和機制非常多。訪問控制和鑒別也比單臺計算機困難,網絡安全要特別重視防截獲,防泄露和信息加密的實施。
目前所采用的網絡防護方法也就是在進入計算機操作系統控制中的網絡訪問和網絡協議上實施的。
網絡防護的基本服務: 網絡訪問控制(MAC)、鑒別、數據保密性、數據完整性、行為的完整性、抗抵賴性、可用性等。
網絡安全的目的是保護在網絡系統中存儲、傳輸和處理的信息的安全,概括為確保信息的完整性、保密性、可用性和不可抵賴性。
信息的保密性指的是在計算機網絡系統中存儲、傳輸和處理的信息不被非授權的查看;
信息的完整性指的是在計算機網絡系統中存儲、傳輸和處理的信息不被非授權的改變;
信息的可用性和可靠性指的是在計算機網絡系統中存儲、傳輸和處理的信息為授權用戶提供及時、方便、有效的服務;
信息的不可抵賴性指的是內部人員對信息的操作不可抵賴。
為了更加完整的執行上述網絡信息安全的思想,防止來自集團內部局域網上的攻擊,又由于浙江廣電集團網絡連接關系復雜、網絡設備多,使用租用的國內的通信線路,存在著傳輸線搭接竊聽或輻射接收竊聽等環節。因此要做到以下幾個要求:
1) 防止計算機病毒的蔓延
集團網絡眾多的用戶,可能由于內部管理上疏忽,裝入未經殺毒處理的軟
件或是從因特網上下載了帶病毒的文件。還可能來自外部黑客釋放病毒、邏輯炸彈的攻擊等,這些都對計算機網絡系統安全構成嚴重威脅。病毒廣泛地傳播,將造成網絡軟硬件設備的損害以至于整個網絡系統癱瘓。
2) 加強網絡安全的動態防護
網絡黑客攻擊手段、計算機病毒等都處于不斷的發展和變化中,使用目前的安全保密技術和產品是難以構造一種絕對安全、無縫隙和一勞永逸的網絡系統的。因此,安全的網絡系統必須具有網絡安全漏洞的檢測和監控功能。通過安全檢測、監控手段,及時發現網絡安全漏洞和各種惡意的攻擊手段,及時提供修補系統漏洞的建議并阻斷來自內外的非法使用和攻擊。
3) 保障集團內部業務系統的安全穩定
由于涉及省臺與各地方臺的視頻傳輸,不可避免的會遇上各種各樣的問題,因此,在網絡層對業務的安全要保障得力,并且要確認信息傳輸的安全穩定。
第四章 集團網絡安全解決方案設計
第一節 網絡監控管理系統
由于浙江廣電集團的網絡建設已有很多年的時間了,其很多網絡設備都自帶了監控及管理軟件或工具,但是這些工具在問題發生之后很難解決問題。而網絡監控管理系統的實時映射、網絡瓶頸通知和設備失敗通知卻可以幫助用戶快速隔離問題,并且在員工抱怨之前解決問題。
這里對推薦的美國 CA 公司的網絡監控管理系統 (Unicenter Network & System Management)所能夠達到的功能簡單地說明一下:通過 TCP/IP 協議,不需要專門的培訓,用戶就可以配置該網絡監控管理系統,啟動網絡監視管理功能后,能夠監控的網絡設備包括工作站、服務器、主機、網橋、路由器、集線器、打印機等在內的幾乎所有網絡元件。當用戶決定使用該網絡監控管理系統軟件時,首先可以通過該軟件的網絡探查功能,能夠全面查看用戶網絡的底層構件,確認整個網絡的體系結構,并以一種可描述可管理的模式定位所有的網絡設備,并將這些設備存儲起來,迅速繪出網絡結構圖,同時啟動設備的監控,而這些過程都是自動生成的,非常簡單易用,可操作性強,這對于網絡設備非常多、而專業網絡管理人員較少的企業來說就顯得非常重要。
在這個過程中,首先通過該網絡監控管理系統 24X7 的全時設備輪詢網絡監視功能,迅速識別網絡元件的任何問題,當監測到問題時,可以不同的顏色顯示出來,并以通過手機、e-mail、聲音警報通知管理人員,同時根據各網絡元件相互之間的依賴關系,自動關閉與 有問題網絡元件之后的所有網絡元件的連接,減少冗余數據數量,避免冗余通知。此外,還能對網絡元件的潛在問題、網頁的正確性、可用性、網絡的性能以及系統資源進行有效的監控管理。
當網絡監控管理系統識別網絡失效時,在向相關人員發送警報及通知時,該軟件還可啟動一個程序來定位網絡失效。因此,當狀況被隔離之后,一個特定的應用程序或者腳本程序就會被執行,或許是重啟這個服務或許是重啟計算機。這個進程是自動的,因此當相關人員收到設備失效的通知時,相應的措施已經采取了,管理人員不用回到辦公室,因為當管理人員在收到通知時已經知道問題己經解決了。
在這一系列監控與管理過程中,網絡監控管理系統都能自動生成監控及管理日志,并對系統的使用情況與趨勢形成報告,以便用戶形成較為完善的系統化管理,提升工作效率。
第二節 電子郵件安全解決方案
解決電子郵件安全問題,我們需要從三個方面來考慮如何應對:
1) 對帶病毒郵件、垃圾郵件等惡意郵件的過濾和封堵;
2) 對進出郵件系統的所有郵件進行備份,用于監控和備查;
3) 對敏感的郵件內容進行加密傳輸,防備在傳遞路徑上的惡意窺伺。
對集團來講,現實的方法是結合現有的成熟技術,組合出一個在經濟上和技術上合理的解決方案,同時要保證長期的維保成本。郵件系統的安全解決方案包括如下三個部分:
1、電子郵件安全網關技術方案
通過郵件安全網關的部署,在病毒程序、垃圾郵件等不良信息進入集團郵件系統之前,便對其進行遏制、阻截,從而保證集團電子郵件系統的安全穩定運行,節省郵件系統存儲空間,避免機密的泄漏。
在郵件網關硬件系統上整合郵件反病毒引擎,對進入集團郵件系統的電子郵件進行病毒檢測,采取郵件隔離、刪除以及清除病毒等操作,減少病毒對郵件服務器的攻擊。應根據互聯網最新病毒發展趨勢,定時升級郵件網關病毒庫。
2、郵件備份系統技術方案
在集團現有郵件系統的基礎上,實現對指定時間內(如最近一年)所有收發郵件的備份,并且管理員根據郵件信息摘要(例如:發件人、收件人、主題、日期、附件名稱等)進行檢索和查看郵件全部內容。
3、郵件加密系統技術方案
保護重要電子郵件不被泄密,防止內部人員未經許可將重要電子文檔以郵件的方式泄密,防止電子郵件被截取而引起的泄密。保證工作效率,在盡量不改變使用者收發郵件操作習慣的基礎上,保證電子郵件正常暢通使用。
考慮到文件安全擴展的需求,除電子郵件之外,信息泄密還有多種途徑。在保護郵件安全的基礎上,要考慮到日后系統的擴展性。
郵件安全管理系統綜合動態加解密技術、訪問權限控制技術、使用權限控制技術、期限控制技術、身份認證技術、操作日志管理技術、硬件綁定技術等多種技術對電子郵件進行保護。
第三節 遠程數據傳輸的加密
建立基于SSL VPN技術加密訪問系統,使得從Internet到內部網絡的訪問使用SSL VPN數據加密通道,保證數據在傳輸過程中保密性。
目前能夠提供 SSL VPN 加密產品的廠家很多,但是本文認為在SSL VPN技術的先進性、加密傳輸的速率、以及廠家的技術服務等方面,Juniper的Netscreen SA 1000具有相對的優勢,是其它廠家無法比的。
Juniper 網絡公司SSL VPN產品家族的Netscreen-SA 1000系列,使企業可以部署經濟高效的遠程接入、外聯網及內聯網安全性。用戶可從任何標準 Web瀏覽器接入企業網絡和應用。NetScreen-SA 1000系列使用SSL作為安全接入傳輸機制,SSL是所有標準Web瀏覽器中使用的安全協議。使用SSL使客戶無需部署客戶端軟件、無需更改內部服務器,也無需進行成本高昂的長期維護。NetScreen-SA 1000產品提供先進的合作伙伴喀戶外聯網特性,以控制用戶或用戶組的網絡訪問,無需更改基礎設施、無需部署DMZ 、也無需軟件。這項功能還允許公司安全接入企業內聯網,使管理員可以根據不同員工、承包商和訪問者所需的資源來限制他們的接入權限。
NetScreen-SA 1000系列解決方案的主要特性與優勢如下:
一、端到端分層安全性
端點客戶端、設備、數據和服務器的分層安全性控制,Juniper網絡公司 Endpoint Defense Initiative(端點防御計劃),用于提供最高的端點安全性可以根據用戶組或角色、網絡、設備及會話屬性來規定基于用戶身份的接入降低總擁有成本。不需要部署客戶端軟件或更改服務器,幾乎不需要長期維護。從單一平臺安全地遠程接入內聯網和外聯網安全的外聯網接入,無需構建 DMZ、無需加固服務器、無需復制資源、或無需增加部署來添加應用或用戶簡化
二、可管理性
(一)集中管理選項提供統一管理
(二)用戶自助服務功能,可降低技術支持服務窗口的支持成本
(三)細粒度的審計和日志記錄
(四)3 種不同的接入方法,允許管理員根據具體目的來設置接入權限
(五)基于角色分配管理任務
三、高可用性
群集對部署選項,可為整個LAN和WAN提供高可用性。
第四節 服務器的安全防護
一、業務服務器的安全防護
(一)防火墻的安裝
這里將在Catalyst 4506交換機與服務器群的交換機之間安裝一臺高性能的防火墻,并根據服務器群中的每臺服務器的應用系統的情況,在該防火墻上進行一對一的安全策略配置的工作。
(二)入侵檢測系統的安裝
這里將在服務器群的交換機上配置一個偵聽端口,將流經該交換機所有端口的數據包都復制一份傳送到偵聽端口上;再把入侵檢測系統連接到該偵聽端口,接收該端口輸出的所有數據包,并對這些數據包進行入侵分析、判斷和記錄。本文將負責完成入侵檢測安裝配置工作。
二、涉及到的設備選擇
(一)防火墻的選擇
防火墻的類型主要有:數據包過濾、監測型、服務器等幾大類型。
1)包過濾型
包過濾型防火墻是防火墻的較初級產品,其技術基于網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。如圖4-1所示:
圖4-1包過濾型防火 墻的工作原理
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2)型
型防火墻也能夠被稱為服務器,它的安全性要高過包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到集團內部網絡系統。如圖4-2所示
圖4-2型防火墻的工作原理
型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。它的缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
本文將選用業界性能較好的、可靠性較高的Juniper 的NetScreen 5200防火墻,該防火墻的技術參數如表4-1
表 4-1 NetScreen 5200 防火墻技術參數表
物性/功能 NetScreen-5200
接口數 2個XFE 1OGigE,或8個Mini-GBIC, 或2個Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墻
5G 3DES/AFS VPN
最多會話數 1,000,000
最多VPN 隧道數 30,000
最多策略數 4000,000
最多虛擬系統數 5
最多虛擬LAN 數 4000
最多安全區域數 默認設置為16個,最多增加1000個
最多虛擬路由器數 默認設置為3個,最多增加500個
支持的高可用性模式 主用/備用
支持的路由協議 OSPF, BGP, RIRV1/V2
深層檢測 是
集成/重新定向,Web過濾 是/否
(二)入侵檢測系統的選擇
這里選用國內擁有領先安全技術水平的天融信千兆級入侵檢測系統NGIDS-UF。其主要的技術指標如表4-2
表4-2 NGIDS-UF 入侵檢測系統技術指標表
型號 NGIDS-UF
類別 千兆IDS
規格 2U 機架式
網絡接口 1個10/100Base-TX: 2個千兆光纖
2wh 10/100/1000Base-TX
串口 1個RS-232C
第五節 計算機病毒防護的加強
一、在原有的病毒防護系統增加集中管理控制臺
新增一臺服務器,在上面安裝一套諾頓的病毒防護的集中管理控制臺。這里將安裝該服務器系統和諾頓的集中管理控制的軟件系統。
二、增加網絡病毒防火墻
在每個樓層交換機的上聯端接入一臺網絡病毒防火墻,對局域網內的病毒進行區域控制:在二級單位廣域網入口處安裝一臺網絡病毒防火墻,保障二級單位的廣域網線路不會受到病毒數據包的影響。
涉及到的設備選擇:
(一)諾頓的防病毒集中管理控制臺
只有選用諾頓的集中管理控制軟件才能控制和管理諾頓的網絡防病毒系統的客戶端軟件。
(二)網絡病毒防火墻
目前有趨勢相關的硬件產品出售,并且該產品還能夠與諾頓的網絡防病毒客戶端軟件進行聯動。所以本文選擇部署趨勢的NVW1200網路病毒防火墻。該網絡病毒防火墻的主要功能如下:
1.執行免的安全策略
網絡病毒墻對非兼容設備進行隔離修正,以確保所有設備在進入網絡前都安裝有最新的防病毒及關鍵的操作系統補丁。執行免的安全策略可減少管理負荷,并可同時降低被合作伙伴或VPN用戶的非兼容設備感染的風險。
2.漏洞隔離
網絡病毒墻根據Trend Micro的漏洞評估功能,隔離網絡蠕蟲可利用的潛在環節,使管理者有選擇地隔離薄弱(未安裝不定程序)的網絡段或設施,避免病毒的爆發。網絡病毒墻提供漏洞評估服務,并將該功能作為一個可選項。
3.靈活的、集中式管理
網絡病毒墻包括趨勢科技企業安全管控中心、及一個集中式、基于網絡的管理控制臺,它根據主機安裝永久的需要實施安全更新部署。該服務可以自動部署、或點擊管理控制臺的選項進行手工部署。
4.網絡掃描及偵測
網絡病毒墻通過掃描網絡流量查找蠕蟲及漏洞利用,并基于趨勢實驗室提供的最新病毒碼來自動清除感染的網絡數據包。另外,網絡病毒墻利用趨勢科技先進的啟發式技術對您的網絡實施監控,并提供威脅的早期預警。
5.網絡病毒爆發監控
網絡病毒墻通過實時監控網絡流量或可疑活動來提供早期的威脅預警。并在中心控制臺上發出病毒爆發通知,立即提示管理者蠕蟲攻擊目標、受感染的主機、或具體的受攻擊的漏洞。
6.網絡病毒爆發防御
網絡病毒墻部署了Trend Micro病毒爆發防御服務,通過阻絕任何蠕蟲傳播組合,包括8地址或地址范圍、端口及協議、即時通訊渠道、文件類型擴展名、及文件傳遞。
7.自動清除損害
網絡病毒墻通過隔離感染的網絡段、主機、或客戶,進行清除及修正,阻止了再次感染。憑借自動、免清除蠕蟲(木馬)痕跡、及系統文件配置(system.ini)修復功能,Trend Micro的清除損害服務可以防止再次感染,降低清除成本。
第六節 網絡攻擊及防護演示效果圖
圖4-3網絡攻擊及防護演示效果圖
針對浙江廣電集團的網絡結構,當出現如下各類情況時解決方案如圖4-3所示:
1、 漏洞掃描-識別攻擊行為
2、 上傳病毒/木馬-修復系統漏洞
3、 啟用后臺服務監聽-防病毒軟件
4、 遠程控制服務器-防火墻入侵檢測
5、 攻擊業務系統-防火墻、雙機容錯
6、 破壞系統數據-備份、災難恢復
7、 客戶端中毒-防病毒軟件
第五章 結束語
計算機網絡的可靠性和安全性是在不斷地變化的,不同的時期或者階段對網絡的可靠性和安全性方面的要求是不一樣的。在網絡的建設之初,集團網絡關心最多的是網絡的連通性,只需要網絡能夠傳送數據即可,對于網絡數據的延遲lunwen .1 kejian .com 一以及網絡短時間的中斷都沒有過多的要求:當網絡中存在著涉及到集團的關鍵性應用系統時,就對網絡數據的延遲時間、以及網絡的中斷時間上就有了很高的要求,在一般情況下,為了保障集團應用系統的連續運行,集團網絡系統是不允許發生網絡中斷的。因此,本文在方案的設計中就已經考慮到要符合目前的、以 及將來的網絡應用系統的需要,同時本文設計的網絡系統的可靠性和安全性可以根據集團網絡業務系統的需要進行相關的調整,滿足變化之后的網絡業務系統的要求。
本方案是一個針對浙江廣電集團目前計算機網絡現狀的網絡、及網絡安全的解決方案,在隨后的分期分批的項目實施過程中,由于集團網絡環境、以及網絡應用系統的變化,會在細節上根據實際情況進行相應的調整,如:安裝設備數量、設備安裝具體地點等,只要在總的布局、要求以及標準上保持不變,實施之后就能夠達到本方案的設計要求。同時,本方案在設計、以及設備的選型上,己經做了今后擴展的考慮。
本方案并沒有解決浙江廣電集團計算機網絡、以及網絡安全方面的所有問題,隨著計算機網絡、及網絡安全的技術不斷地發展,以及集團網絡應用系統不斷地新增,集團業務系統也會對集團的計算機網絡系統的結構和網絡安全方面提出更高的要求,實現后滿足集團實際的需要。
【參考文獻】
[1] 張國清.CCNP BSCI詳解.北京:電子工業出版社,2006.
[2] 拉斯特.網絡安全基礎[M].北京:中國郵電出版社,2006.
[3] 常曉波.CISCO網絡安全.北京:清華大學出版社,2004.
[4] 王達.網管員必讀——網絡安全.電子工業出版社. 2007.
[5] 《非常掌上寶系列》編委會.數據備份恢復與系統重裝一條龍.北京:科學出版社,2005.
[6] 張公忠.現代網絡技術教程北京:電子工業出版社,2004.
[7] 飛科研發中心.電腦防毒防黑急救.北京:電子工業出版社,2002
[8] 黃志暉.計算機網絡管理與維護全攻略.西安:西安電子科技大學出版社,2004.
[9] 歐陽江林.計算機網絡實訓教程,北京:電子工業出版社,2004.
[10] 金純.IEEE802.11無線局域網北京:電子工業出版社,2004
[11] 施裕琴.網絡安全的入侵檢測系統及發展研究.集團經濟研究2006,(27):25-26.
[12] 董凱虹.網絡監控管理系統的功能.計算機世界周刊.2006.(4):50-51
[13] 胡越明.Internet技術及其實現.北京:高等教育出版社,2005.
[14] 陳雪著.Windows XP的完善.上海理工大學出版社,2005.8
[15] 麥肯蘭勃.網絡安全評估.北京:中國電力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 謝
在論文完成之際,謹向所有給予我指導、關心、支持和幫助的老師、領導、同學和親人致以崇高的敬意和深深的感謝!
首先感謝導師顧忠偉老師一直以來對我的學習、工作和生活所給予的無私關心、悉心指導和嚴格要求。尤其在論文的完成階段,得到顧老師的耐心指導和嚴格把關。顧老師嚴謹的治學態度、求實的工作作風、平易近人的處世風范都深深影響了我。在此謹向顧老師表示最衷心的感謝和最誠摯的敬意!
感謝浙江廣電集團科技管理部計算機科的同事,他們結合自己多年的計算機系統與網絡安全的相關經驗,給我提出了很多寶貴的建lunwen .1 kejian .com 一和對我實習中的幫助。在論文完成之際,在此特向各位同事表示深深的謝意!
在論文的材料收集期間,得到了負責集團網絡工作的蔣老師的大力支持,他根據自己多年實際工作的經驗,為我的論文寫作、改進工作提出了許多有價值的寶貴建議,在此對蔣老師表示感謝!
感謝經濟管理學院的各位老師、同學在學習工作等諸方面的支持和幫助,這一切使我在學習期間深受教益。
最后,深深地感謝我的家人旦他們在生活和學業上給了我無私的關懷,為了支持我的學業,付出了莫大犧牲。惟乞此文能夠回報這些無比的關心和厚愛!
篇(5)
關鍵詞:疾病預防控制中心;網絡安全管理;設計原則;維護
引言
疾病預防控制中心的信息管理系統中計算機網絡技術得到了廣泛的應用,為醫院龐大的管理工作帶來了很多方便,但同時也存在著一些隱患。一旦網絡癱瘓、系統數據丟失就會影響醫院的正常醫療工作的運轉,系統的安全性和穩定性就會受到嚴重的影響,進而直接影響到醫院和病人的切身利益。因此,對于醫院系統來講,網絡管理的安全問題相當重要。要做到能夠安全管理和維護,確保信息系統能夠安全、穩定、正常地運行,防止不法分子利用網絡和計算機犯罪、避免數據丟失和損壞。
1、網絡安全體系的設計原則
要確保疾病控制中心的網絡能夠進行安全的管理和維護,就應該對網絡安全體系進行有效的設計,在進行設計的時候要做到“注重安全、操作性強、投入合理、性能良好、高效運作”,并遵循以下幾點原則:
1.1 安全性
對于疾控部門、突發公共衛生事件應急中心來講網絡的安全和穩定性更顯得尤為重要,進行局域網絡的安全體系設計主要是為了對網絡系統的安全進行有效的保護,課件安全性成為設計的首要目標。而體系安全性的保證,必須以保證體系的完備性和體系的可擴展性為前提。
1.2 可行性
“千里之行始于足下”,單純從理論的角度來考慮網絡安全體系的設計而非考慮實際操縱因素只能是空談。網絡安全體系的設計使為了更好地指導實施,如果實施的難度過大或者無法實施,那么安全體系本身就沒有任何意義,因此,必須要堅持可行性的原則。
1.3 可承擔性
網絡安全體系的設計和實施以及后期的維護、培訓等方面都需要有一定的技術和經濟的支持。在操作的過程中要考慮到成本和利益的關系,如果付出的成本比從安全體系中得到的利益更多,那么這個體系就不能算是合理的方案。因此,在進行疾病預防控制中心網絡安全體系設計的時候應該充分考慮到本單位的特點以及實際的承擔能力來進行。
1.4 高效性
網絡安全體系建立的目的是保證系統能夠正常運行,如果安全體系的建立影響了系統的正常運行,那么就必須在安全和性能之間進行合適的權衡。網絡安全體系所包含的軟件和硬件都會不同程度地占用網絡系統的部分資源。因此,在網絡安全體系設計的時候要充分考慮到系統資源的問題,注重系統設計的高效性,避免系統本身對網絡系統正常運轉的妨礙。
2、網絡安全體系的管理與維護
疾病預防控制中心的安全威脅可能來自于外部,也有可能來自于內部。因此,在進行網絡系統安全策略的設計時,既要在局域網邊界采取一定的安全防范措施來抵御外部的侵襲和攻擊,又要對內部網絡設備的安全訪問進行控制,避免局域網內部因操作錯誤而造成對局域網破壞。進行網絡安全體系的構建與維護要從以下方面入手:
2.1 物理安全策略
物理安全策略制定的目的是保護局域網中的網絡服務器、計算機系統、物理鏈路等基礎的設施避免受到人為破壞、自然災害或搭線攻擊,并能夠建立起完善的安全管理的制度,確保網絡系統能夠在良好的電磁兼容的環境下工作。同時,也能夠有效地防止計算機控制室的非法操作和偷竊破壞活動。
2.2 訪問控制策略
訪問控制策略是為了保證網絡的資源不被一些非法用戶訪問和使用,它是局域網安全防護的主要策略,是網絡安全得以保證的核心策略之一。它包括網絡的權限控制、網絡訪問控制、文件屬性控制、目錄安全控制、服務器訪問控制、網絡監測控制、網絡鎖定控制、安全基礎設施控制、端口及節點安全控制等。對于疾病預防控制中心的網絡安全而言,應做好網絡服務器訪問控制、網絡訪問控制以及網絡的監測和鎖定控制三個方面。
2.2.1網絡服務器訪問控制
對于疾病預防控制中心而言,網絡服務器訪問的控制主要目的是控制用戶對系統服務器的非法訪問,防止網絡服務器上的數據被隨意修改、破壞或刪除。服務器訪問控制時,應制定相應的合理管理措施,防止非法用戶對服務器的控制臺進行直接操作;限制服務器的登錄時間;盡量減少服務器上所安裝的應用軟件的數量;禁止服務器上一些不必要的服務軟件運行;對服務器上進行的各種操作實行記錄制,并定期進行審查,以便及時發現問題;同時,要對服務器的數據及時進行備份等。
2.2.2網絡訪問控制
網絡訪問控制是網絡系統管理的重要環節之一。主要通過相應的技術手段對網絡用戶的身份進行識別和權限的分配,責權分明,既能有效地阻止非法用戶的非法訪問,又能減少網絡病毒和惡意軟件及代碼的危害。在網絡訪問控制中,可以通過防火墻進行控制。將防火墻置于不同信任度的網絡中并對網絡的通信進行相應的控制,強制實施安全策略起到安全保護的作用,防止重要資源的訪問和存取。防火墻通常位于外部的Internet網絡、內部使用網絡和其服務器DMZ區之間,當數據包通過時,數據包的信息即與防火墻的規則表進行相應的匹配,如果有相匹配的規則就直接按規則來執行,如果沒有匹配的規則就使用默認規則來執行。另外,還可以通過訪問控制列表來達到網絡訪問控制的目的。訪問控制列表(ACL)是一組包含了允許(permit)、拒絕(deny)語句的有序語句集,它將數據包的源端口、目的端口、源地址、目的地址、MAC地址等信息同訪問控制列表中的語句來進行匹配,根據匹配的結果決定數據包是否通過,以實現數據包的過濾。
2.2.3 網絡病毒的防治
在網絡中,病毒具有很多的傳播途徑及較大的破壞能力。它可通過電子郵件、局域網、網頁腳本、操作系統漏洞等進行傳播。病毒不僅對單臺計算機的軟件和硬件資源造成危害,而且有可能造成局域網甚至整個網絡的癱瘓,這樣會造成不可預測和估量的損失和危害。要實現網絡病毒的防治單靠計算機上的殺毒軟件是不能根除和實現的,必須安裝相應的網絡版殺毒軟件進行智能升級、遠程安裝與操作、集中管理、遠程報警、查殺病毒等功能。同時,要對加強管理,提高工作人員及使用人員的防毒意識和系統保護的意識和知識。
3、結論
隨著社會的進步和發展,信息安 全從以前的保密、保護到如今的保障階段,不斷地滿足人們對安全性能的需求。安全方案和安全體系也從原來的靜態向動態、被動想主動的防御和防護發展,要保證疾病預防控制中心核心系統的穩定高效運行,管理人員必須對系統進行有效的管理和維護,以保證系統的正常運行,促進醫療事業的高效發展。
篇(6)
可以從不同角度對網絡安全作出不同的解釋。一般意義上,網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”;控制安全則指身份認證、不可否認性、授權和訪問控制。
當今社會,通信網絡的普及和演進讓人們改變了信息溝通的方式,通信網絡作為信息傳遞的一種主要載體,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯。這種關聯一方面帶來了巨大的社會價值和經濟價值,另一方面也意味著巨大的潛在危險--一旦通信網絡出現安全事故,就有可能使成千上萬人之間的溝通出現障礙,帶來社會價值和經濟價值的無法預料的損失。
2
經國務院批準,在信息產業部的指導下,由IEEE主辦,中國電子學會、清華大學、中國通信學會和北京郵電大學四家單位共同承辦的“2008世界通信大會(ICC2008)中國論壇--網絡和信息安全分論壇(暨第三屆中國電信行業信息安全論壇)”于2008年5月在北京隆重召開。大會主要研討國際通信技術和行業領域的熱點問題,促進全球學術界和工業界的交流與合作,其中,關于通信網絡的安全技術正是其中的一個討論焦點。
3通信網絡安全現狀
互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用,為人類社會的進步提供了巨大推動力。然而,正是由于互聯網的上述特性,產生了許多安全問題。
計算機系統及網絡固有的開放性、易損性等特點使其受攻擊不可避免。
計算機病毒的層出不窮及其大范圍的惡意傳播,對當今日愈發展的社會網絡通信安全產生威脅。
現在企業單位各部門信息傳輸的的物理媒介,大部分是依靠普通通信線路來完成的,雖然也有一定的防護措施和技術,但還是容易被竊取。
通信系統大量使用的是商用軟件,由于商用軟件的源代碼,源程序完全或部分公開化,使得這些軟件存在安全問題。
4通信網絡安全分析
針對計算機系統及網絡固有的開放性等特點,加強網絡管理人員的安全觀念和技術水平,將固有條件下存在的安全隱患降到最低。安全意識不強,操作技術不熟練,違反安全保密規定和操作規程,如果明密界限不清,密件明發,長期重復使用一種密鑰,將導致密碼被破譯,如果下發口令及密碼后沒有及時收回,致使在口令和密碼到期后仍能通過其進入網絡系統,將造成系統管理的混亂和漏洞。為防止以上所列情況的發生,在網絡管理和使用中,要大力加強管理人員的安全保密意識。
軟硬件設施存在安全隱患。為了方便管理,部分軟硬件系統在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug),加上商用軟件源程序完全或部分公開化,使得在使用通信網絡的過程中,如果沒有必要的安全等級鑒別和防護措施,攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統,破壞或竊取通信信息。
傳輸信道上的安全隱患。如果傳輸信道沒有相應的電磁屏蔽措施,那么在信息傳輸過程中將會向外產生電磁輻射,從而使得某些不法分子可以利用專門設備接收竊取機密信息。
另外,在通信網建設和管理上,目前還普遍存在著計劃性差。審批不嚴格,標準不統一,建設質量低,維護管理差,網絡效率不高,人為因素干擾等問題。因此,網絡安全性應引起我們的高度重視。
5通信網絡安全維護措施及技術
當前通信網絡功能越來越強大,在日常生活中占據了越來越重要的地位,我們必須采用有效的措施,把網絡風險降到最低限度。于是,保護通信網絡中的硬件、軟件及其數據不受偶然或惡意原因而遭到破壞、更改、泄露,保障系統連續可靠地運行,網絡服務不中斷,就成為通信網絡安全的主要內容。
為了實現對非法入侵的監測、防偽、審查和追蹤,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽,從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性,即便被截獲也會由于在不同協議層中加入了不同的加密機制,將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”,一般是通過數據檢查核對的方式達成的,數據檢查核對方式通常有兩種,一種是邊發送接收邊核對檢查,一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。
為了實現實現上述的種種安全措施,必須有技術做保證,采用多種安全技術,構筑防御系統,主要有:
防火墻技術。在網絡的對外接口采用防火墻技術,在網絡層進行訪問控制。通過鑒別,限制,更改跨越防火墻的數據流,來實現對網絡的安全保護,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。
入侵檢測技術。防火墻保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善,IDS(入侵檢測系統)是防火墻的合理補充,它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,提高了信息安全性。
網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取,是網絡安全的核心。采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。
身份認證技術。提供基于身份的認證,在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。
虛擬專用網(VPN)技術。通過一個公用網(一般是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的內網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。
漏洞掃描技術。面對網絡的復雜性和不斷變化的情況,僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不夠的,我們必須通過網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
結束語
目前解決網絡安全問題的大部分技術是存在的,但是隨著社會的發展,人們對網絡功能的要求愈加苛刻,這就決定了通信網絡安全維護是一個長遠持久的課題。我們必須適應社會,不斷提高技術水平,以保證網絡安全維護的順利進行。
參考文獻
[1]張詠梅.計算機通信網絡安全概述.中國科技信息,2006.
[2]楊華.網絡安全技術的研究與應用.計算機與網絡,2008
[3]馮苗苗.網絡安全技術的探討.科技信息,2008.
[4]姜濱,于湛.通信網絡安全與防護.甘肅科技,2006.
[5]艾抗,李建華,唐華.網絡安全技術及應用.濟南職業學院學報,2005.
[6]羅綿輝,郭鑫.通信網絡安全的分層及關鍵技術.信息技術,2007.
[7]姜春祥.通信網絡安全技術是關鍵.網絡安全技術與應用,2005.
篇(7)
關鍵詞 ARP欺騙;SNMP;DHCP
中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2011)39-0182-02
1 研究的目的與意義
由于網絡安全越來越重要,一個網絡管理者的工作除了維護網絡的正常暢通通信之外,也必須對整個網絡使用的安全有具體的防范措施,如何保護使用者的賬號密碼不被輕易竊取也應是其本的首要工作。當ARP Spoofing技術不斷的推陳出新及相關的攻擊程序也容易從網絡下載取得,這代表了我們所標榜的信息安全已經面臨空前的挑戰。因此,如何有效防范ARP攻擊是網絡管理人員必須面對的職責,網絡管理人員所管轄的網絡通常包括多個子網絡,由于ARP攻擊的信息只出現于子網絡的網段,當ARP攻擊發生時,網絡管理人員無法有效從遠端觀察每一可能發生ARP攻擊的網絡段信息,因此如何建立一個以整體網絡管理的ARP攻擊監測架構,是本論文計劃探討的研究課題。
2 使用SNMP之ARP攻擊偵測技術
對于網絡管理人員而言,所管轄的網絡通常包括幾百臺以上的電腦,數十臺具網管功能的網絡交換機和1臺對外連接的路由器,為了在IP地址的管理上可以達到動態便利性,通常都會架設一臺DHCP服務器,以方便用戶端的IP動態設定。最近我們更發現ARP Spoofing的技術不止發展了DOS、MiM及Hijacking,并結合病毒與后門程序利用網絡散布,對于網絡安全的威脅令人擔心,事實上我們所處網絡的安全已幾乎岌岌可危。網絡管理人員當真就束手無策了嗎?答案是否定的,現將提出一個使用SNMP的ARP攻擊偵測技術,可以利用網絡上的路由器及交換機所提供的網絡管理信息,簡易地發現使用ARP的DOS的攻擊者與MiM的攻擊,并找出攻擊者所在,及時將攻擊者所使用的網絡隔離,不讓攻擊者輕易地癱瘓或監聽網絡。
2.1 偵測網絡架構
本文所提供的ARP攻擊偵測架構是基于路由器及交換機所提供標準的網絡管理信息,這些信息可經由SNMP協議遠端截取。除了ARP攻擊偵測服務器之外,我們發現無論是一般企業或者是大型機構甚至是學校的宿舍網絡架構幾乎都很類似,都是由防火墻與路由器與對外網絡連接,內部網絡的部份端視規模大小決定,需要設置多少臺交換器及切割多少個區域網段便于管理底下的使用者。
2.2 偵測流程
本偵測系統的需要搜集資料的對象包括了DHCP服務器、網絡路由器、與網絡交換機等主要設備,所以路由器與網絡交換機必須提供具網管的SNMP的功能。我們從DHCP服務器中得到DHCP Log資料,也利用SNMP從路由器中得到ARP Table,為了找出攻擊者的所在位置,所以也利用SNMP的Bridge MIB得到網絡交換器中MAC與Port的對應,所以不僅可以偵測到哪一個IP地址在攻擊之外,我們還需知道攻擊者是經由哪一臺交換器及通信接口(Port)進行攻擊,我們就可以透過網管機制將該Port斷線,阻斷其攻擊。
路由器的ARP table為路由器現行運作所需的IP與MAC地址對應表,為維護網絡暢通,路由器必須不斷地維護此表格取得所管轄網絡中所有的IP與MAC地址的正確對應。然而為了避免ARP封包太多在網絡中流竊,思科路由器的ARP Cache Timeout出廠預設為4個小時,是可以接受的。
3 系統制作與測試
ARP攻擊偵測系統本身主要架構分為3部分,包括了數據庫、SNMP管理端程序及相關比對程序。其執行主要分3個步驟:
1)定時將路由器上的ARP Table,存回數據庫中,此步驟需使用PHP的SNMP Get Request 的方式,向路由器取回動行中ARP Table并直接存進數據庫中。
2)除了管理人員所輸入排外名單外,找出對應至重復MAC地址的IP地址。
3)對比上一筆的ARP Table,篩選出前后地址變動的差異。
3.1 實驗網絡架構
在本實驗中,ARP偵測服務器以校園宿舍網絡區為偵測及測試的對象,宿舍區網絡以一臺Cisco 6506路由器為主,往下分成10個LAN網共有96臺D-Link 3 225G網絡交換機,約提供1800臺主機上網使用,ARP偵測服務器架設于網絡服務器區的網段內,ARP偵測服務器主要是向宿舍區Cisco 6506要回宿舍區底下10個網段的ARP Table回來分析對比,現階段的取樣頻率以10min一次。為產生ARP Mim攻擊,我們使用Cain & Able v4.9.14程序執行中間人監聽動作,以測試ARP偵測服務器可否將正在攻擊中的主機偵測出來,再借由偵測輔助系統尋找出攻擊主機的所在位置,然后將該Switch Port關閉使其無法使用網絡進行ARP攻擊。
3.2 測試結果
本實驗實際測試網絡架構所示,本次測試以vlan52為測試網段,我們將兩臺筆記本電腦,分別接于不同的網絡交換機底下,由攻擊者(Attacker)執行MiM攻擊程序,另一臺則是模擬成一般使用者Host A(主機A),執行上網登入個人信箱網頁,查看電子郵件的動作。由攻擊者電腦可以清楚看出攻擊軟件將主機A登入畫面的網址以及輸入帳號密碼的內容完整呈現出來。此時ARP攻擊偵測服務器也發現該攻擊,將有問題的IP與MAC地址顯示出來以告知管理者,然而偵測服務器尚無法確認何人為攻擊者與受害者,因此網絡管理者必須至DHCP log查詢出攻擊者及受害者真實IP與MAC地址。根據所示的DHCP log資料,我們可以發現發生重復的MAC地址原為10.10.52.161所有,因此可以判斷攻擊者為10.10.52.161。為進一步確認攻擊者與受害者位置,我們將DHCP log中所顯示兩者的MAC地址至所儲存的交換機表資料中找出對應的交換機的通信接口。
4 結論
本文研究探討近年來興起的ARP攻擊之偵測與防治,在論文研究期間,為了追查ARP攻擊的起因,卻意外發現ARP攻擊的方式已經發展為病毒傳播新的方法,其目的不外乎是利用后門程序的植入達到竊取受害者網絡所在的機密資料,在如此不斷更新且利用新技術的病毒攻擊模式,網絡安全已經不是使用者或管理者單方面就能獨立捍衛起來的,必須結合使用者與網絡管理者齊心協力,才能阻擋攻擊者的入侵行動。
參考文獻
[1]陳明.計算機網絡工程[J].北京:中國鐵道出版社,2009.
[2]李海鷹,程灝,等.針對ARP攻擊的網絡防御模式設計與實現,2005.
