网络安全管理技术与应用
长沙理工大学城南学院
《计算机网络》课程设计报告
院 系 专 业 班 级 号 学生姓名 指导教师 课程成绩 完成日期 2013年6月20
日
院 系 计算机与通信工程 专 业 班 级 通信1104 学 号 [1**********]0 学生姓名 林凯鹏 指导教师 刘青
指导教师对学生在课程设计中的评价
指导教师成绩 指导教师签字 年 月 日
课程设计答辩组对学生在课程设计中的评价
答辩组成绩 答辩组长签字 年 月 日
课程设计综合成绩
注:课程设计综合成绩=指导教师成绩×60%+答辩组成绩×40%
课程设计任务书
网络安全管理与应用
第一章
网络安全概述 .............................................................................................. 5
1 网络安全重要性 ............................................................................................... 5 2 网络安全技术 ................................................................................................... 6
2.1 虚拟网技术 ............................................................................................ 6 2.2 防火墙枝术 ............................................................................................ 6 2.3 病毒防护技术 ........................................................................................ 6 2.4 入侵检测技术 ........................................................................................ 7
第二章
网络安全需求分析 ...................................................................................... 7
1 当前网络状况 ................................................................................................... 7 2 安全威胁 ........................................................................................................... 8 3 网络安全需求分析 ........................................................................................... 8
3.1 网络层需求分析 .................................................................................... 9 3.2 应用层需求分析 .................................................................................... 9 3.3 安全管理需求分析 ................................................................................ 9
第三章
安全解决方案 ............................................................................................ 10
1 虚拟网络企业用户安全模拟.........................................................................................11
2 产品选取及说明 ............................................................................................. 13
2.1 防火墙 .................................................................................................. 13 2.2 防病毒 .................................................................................................. 14 2.3 入侵检测 .............................................................................................. 15 2.4 身份认证系统 ...................................................................................... 17 3 安全配置说明 ................................................................................................. 17
3.1 防火墙配置说明: .............................................................................. 17 3.2 防病毒配置说明: .............................................................................. 18 3.3 入侵检测配置说明: .......................................................................... 19 3.4 身份认证配置说明: .......................................................................... 20
第四章
第五章 网络安全管理技术发展趋势……………………………………………………………....24
网络安全管理应用现状 ............................................................................ 25
第六章 结束语…………………………………………………………………………………………….......25
第一章 网络安全概述
1 网络安全重要性
网络现在越来越重要,就我个人观点来说网路安全对大公司非常重要,一旦被黑客侵入失去的不是钱而是形象,试想一个企业对他自己的网络安全都没办法保证,他的产品质量也会打折扣,而且网络安全带来的危害通常是常人无法想象
的,例如银行、保险等金融机构,政府等要害部门。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.5万亿美元。
2 网络安全技术
2.1 虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
2.2 防火墙枝术
防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。
(1)使用Firewall的益处保护脆弱的服务 (2)控制对系统的访问 (3)集中的安全管理 (4)增强的保密性
2.3 病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。 病毒防护的主要技术如下: (1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。 (3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
2.4 入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够: (1) 入侵者可寻找防火墙背后可能敞开的后门。 (2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。 入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。 入侵检测系统可分为两类:
(1)基于主机 (2)基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
第二章 网络安全需求分析
1 当前网络状况
太原道路排水系统老化,技术落后,每到下雨时候,就会造成道路拥塞,
给人们的出行带来极大的不便,基于上述状况,进行对太原道路进行排水系统改造。由于项目中用到人力资源管理、财务管理、物料管理等信息管理,一个好的网络防范体系能够有效地保护这些数据,尤其是财务管理,假如被入侵、非法篡改,会给项目带来很大的损失。因此我们需要建立一个良好的网络防范系统。
2 安全威胁
由于网络内运行的主要是多种网络协议,而这些都是不安全的,网络应用很容易受到外来攻击。而且网络是外面信息内部信息的大集成,每天会有各种各样的数据产生,这样给维护起来带来一定的困难,如果没有好的安全防范,会给企业带来很大的损失。所以,我们要认清会带来什么样的安全威胁,太原道路排水系统网络可能存在的安全威胁来自以下方面:
(1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞。操作系统软件在逻辑设计上的缺陷或错误,被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏的系统。
(2) 防火墙的安全性。防火墙产品自身是否安全,是否设置错误。 (3) 来自内部网用户的安全威胁。
(4) 缺乏有效的手段监视、评估网络系统的安全性。 (5) 采用的TCP/IP协议族软件,本身缺乏安全性。
(6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在Java/ActiveX控件进行有效控制。
(7) 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
3 网络安全需求分析
网络安全总体安全需求是建立在,对网络安全层次分析基础上确定的。对于以TCP / IP为主的太原道路排水系统网络来说,安全层次是与TCP/IP网络层次相对应的,针对实际情况,我们将安全需求层次归纳为网络层和应用层安全两个技
术层次,同时将在每层涉及的安全管理部分单独作为分析内容,具体描述如下:
3.1 网络层需求分析
网络层安全需求是保护网络不受攻击,确保网络服务的可用性。 首先,作为项目网络同Internet的互联的边界安全应作为网络层的主要安全需求:
(1)需要保证项目网络与Internet安全互联,能够实现网络的安全隔离; (2)必要的信息交互的可信任性;
(3)要保证项目网络不能够被Internet访问;
(4)项目网络公共资源能够对开放用户提供安全访问能力; (5)对网络安全事件的审计; (6)对于网络安全状态的量化评估;
3.2 应用层需求分析
建设太原道路排水系统项目网络的目的是实现信息共享,资源共享,能够有效地对项目进行管理,提高工作的效率。因此,必须解决项目网在应用层的安全。
应用层安全主要与企业的管理机制和业务系统的应用模式相关。管理机制决定了应用模式,应用模式决定了安全需求。
应用层的安全需求是针对用户和网络应用资源的,主要包括: (1)合法用户可以以指定的方式访问指定的信息; (2)合法用户不能以任何方式访问不允许其访问的信息; (3)非法用户不能访问任何信息; (4)用户对任何信息的访问都有记录。
3.3 安全管理需求分析
安全管理主要包括三个方面:
内部安全管理:主要是建立内部安全管理制度,如机房管理制度、设备
管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安
全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。
网络安全管理:在网络层设置路由器、防火墙、安全检测系统后,必须
保证路由器和防火墙的ACL设置正确,其配置不允许被随便修改。网络层的安全管理可以通过网管、防火墙、安全检测等一些网络层的管理工具来实现。
应用安全管理:应用系统的安全管理是一件很复杂的事情。由于各个应
用系统的安全机制不一样,因此需要通过建立统一的应用安全平台来管理,包括建立建立统一的用户库、统一维护资源目录、统一授权等。
第三章 安全解决方案
3.1 设计虚拟网络企业用户
本公司有100台左右的计算机,主要使用网络的部门有:生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分,如图3.1所示。
网络基本结构为:整个网络中干部分采用3台Catalyst 1900网管型交换机(分别命名为:Switch1、Switch2和Switch3,各交换机根据需要下接若干个集
线器,主要用于非VLAN用户)、一台Cisco 2514路由器,整个网络都通过路由器Cisco 2514与外部互联网进行连接。
图 3.1 企业局域网的安全设计方案
3.2 企业局域网安全设计的原则
企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。 易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。 分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需要相当的费用支出。因此分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
防火墙部署
在Internet与内网之间部署了一台神州数码防火墙,采用DMZ的防火墙部署方式。也就是在防火墙上多加一块网卡,把提供对外服务的服务器和内网的客户端严格地隔离开来,这样,即算有安全风险和漏洞在DMZ中出现,由此对内部网络造成的危害也可以得到很好的控制,从而避免了一旦共享服务器为黑客攻击和安装木马渗透病毒的话,那么内部网络的客户端及其资源将没有任何安全可言。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。 身份认证部署
计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。我们在核心交换机上部署身份认证系统。
入侵检测系统部署
入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统报告中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前的拦截响应入侵。
本项目网络采用联想网御入侵检测系统,它能够实时监控网络,一旦发现有可疑的行为发生立即报警,同时记录相关的信息。将入侵检测引擎接入中心交换机上,对来自外部网和内部网的各种行为进行实时检测。
防病毒部署
分别在服务器和客户机进行防病毒部署。对容易感染的地方进行防毒部署,如中心机房、个人PC等。
4 产品选取及说明
4.1 防火墙
型号选择:
本项目采用采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。另一方面,神州数DCFW-1800系列防火墙还内置了VPN功能,可以实现利用Internet构建企业的虚拟专用网络。因为太原排水系统改造网络需要高安全性,而且DCFW-1800E防火墙还可以设计虚拟专用网络,这样给本项目的安全性有了很大的保障,所以采用本防火墙。
图3.2 神舟数码防火墙
DCFW-1800E防火墙特点:
神州数码DCFW-1800E-G3防火墙专为千兆位流量的网络服务运营商,大型数据中心等骨干网络而设计, 采用2U专用千兆安全平台,完全模块化可扩展结构,具有热插拔特性的冗余部件为您提供最大的不间断运行时间。神州数码DCFW-1800E-G3防火墙内 置6个10/100/1000M自适应以太网电口,具备4个SFP扩展插槽,最多可扩展至10个千兆接口,接口模块类型支持单模、多模光
纤,千兆电口。
DCFW-1800E防火墙安全参数:
4.2 防病毒
产品选择:
防病毒具有被动意义,主要是预防和防范,没有病毒时做好预防工作,病毒到来时则被动防范,有一种兵来将敌水来土堰的感觉。防病毒主要以防为主,要提前考虑到了病毒的入侵、破坏方式和途径,从而有效地制定相应的措施。
本项目网络防病毒我们采用瑞星杀毒软件,来对整个太原道路排水系统的内部局域网的网关进行防病毒保护。
产品优势:
瑞星全功能安全软件2010是一款基于瑞星“云安全”系统设计的新一代杀毒软件。其“整体防御系统”可将所有互联网威胁拦截在用户电脑以外。深度应用“云安全”的全新木马引擎、“木马行为分析”和“启发式扫描”等技术保证将病毒彻底拦截和查杀。再结合“云安全”系统的自动分析处理病毒流程,能第一时间极速将未知病毒的解决方案实时提供给用户。
(1)全面拦截
(2)彻底查杀
(3)极速响应
(4)云安全深度应用
4.3 入侵检测
入侵检测系统选择:
联想网御 IDS 采用了内存零拷贝、零系统调用以及独创的AMPFAT 等高性能网络数据包处理技术,结合联想在服务器硬件研发方面的多年经验基础上自主 研发而成的硬件平台,能有效降低网络数据包的处理开销,即使在高流量的网 络环境下也可以保持出色的运行性能。
网御入侵检测系统是基于网络的入侵检测系统(NIDS)。网御入侵检测系统采用分布式入侵检测系统构架,采用联想独创的LEADER 入侵检测引擎,综合使用模式匹配、协议分析、异常检测、重点监视、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状态,提供实时的入侵检测及相应的防护手段,为网络创造全面纵深的安全防御体系。
产品特点:
(1)高效的数据采集
采用数据零拷贝技术,报文直接存放在内存数据空间,减少TCP/IP 堆栈的 处理,从而简化了数据处理流程,加快了数据处理速度。
(2)先进的入侵检测
独有的专利入侵行为细粒度检测,独创的LEADER 入侵检测引擎和事件缩略再分析的多层次检测方法,有效降低了漏报和误报,提高了检测的速度和准确 率。
(3)强大的日志审计
灵活的条件过滤查询和报表预定义,方便的事件归并统计和分层显示,快 速的日志备份、检索和还原,真正简化了管理员操作。
(4)权威的检测规则
与国家反计算机入侵和防病毒研究中心合作,共建入侵检测事件规则库, 同时与国际权威的漏洞库保持兼容,保证了与国际标准检测规则的同步。
(5)顶尖的入侵管理
强大的集中监控管理、灵活的事件聚类显示、统一的安全策略下发,以及 事件关联分析与融合、基于web 的日志审计等功能,真正实现了多级管理的统 一和集中。
硬件配置:
探测器:
控制台(N100 N800):
性能指标:
4.4 身份认证系统
方案选择:
本项目采用动联身份认证系统,主要分为:动联身份认证软件、动码令认证终端、认证代理软件三大部分。针对不同的应用情况,动联身份认证软件提供企业版、标准版两种。动 码令认证终端有硬件动码令硬件令牌K3、K5、K7、K8以及软件令牌、手机令牌、SIM卡令牌、短消息令牌、矩阵卡和刮刮卡。认证代理软件分 为:Windows登录代理、Linux/Unix登录代理、Web应用程序登录代理等。
5 安全配置说明
5.1 防火墙配置说明:
5.1.1 防火墙的安全访问策略:
配置防火墙安全访问策略如下:
(1)在从外面进入总公司局域网的防火墙处建立DMZ区,将办公网内的Web、ftp、mail服务器放置于此,使这些服务器能与外界隔离。
(2)在办公网通向中心交换机的路径上分别安装一台防火墙,以避免重要服务器受到来自内网的攻击。
(3)定义用户对象,指定用户的认证方式;
(4)定义用户认证规则,用户访问数据中心的服务器时需要进行不同级别的用户认证,并由此控制用户的访问权限;
(5)定义防止IP地址欺骗的规则,凡是源地址为内网区域的数据包都不允许通过防火墙进入;
(6)定义安全策略,允许外部连接可以到达指定服务器的服务端口;
(7)定义安全策略,对从内部网络通过防火墙向外发送的数据包进行网络地址转换,完全对外隔离内部网络;
(8)定义安全规则,允许指定的应用数据包通过防火墙;
(9)定义安全规则,设定对流量和带宽控制的规则,保证对专有服务和专有人员的流量保证;
(10)定义安全规则,其他的任何包都不允许通过防火墙;
5.1.2 防火墙VPN解决方案
作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性:
(1)标准的IPSEC,IKE与PPTP协议
(2)支持Gateway-to-Gateway网关至网关模式虚拟专网
(3)支持VPN的星形(star)连接方式
(4)VPN隧道的NAT穿越
(5)支持IP与非IP协议通过VPN
(6)支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持
5.2 防病毒配置说明:
分别对服务器客户机进行病毒防护。这样能够大大提高对病毒的防护,减少因不必要的因素造成的损失。
服务器防病毒系统设计:
采用瑞星防毒墙服务器版。在网络其中一台Win2000服务器上安装管理模块、防毒模块和控制台,然后通过控制台对其它服务器进行远程安装。控制台也可以安装在任何一台Windows95/98/Me/NT机器上。捍卫服务器免受病毒、特洛伊木马和其它恶意程序的侵袭,不让其有机会透过文件及数据的分享进而散布到整个企业环境,提供完整的病毒扫描防护功能。
客户机防病毒系统设计:
采用瑞星防毒墙网络版。管理端安装在各个网络的Windows 2000 Server平台上。为项目网络提供统一控管,自动更新部署,集中报告的客户端病毒防护。避免个人电脑被病毒入侵。
5.3 入侵检测配置说明:
由于本项目涉及到的网络应用简单,所以采取简单网络结构,监控网络接入点。这种适用于中小企业。内部网为办公局域网,通过一根专线出口连接Internet,无特殊网络应用。
方案构建:将网御 IDS 探测器(百兆)部署在网络Internet 出口接入点处, 控制台配置在网络安全管理员处。典型方案部署如图所示。
5.4 身份认证配置说明:
动联身份认证系统采用了多项先进的技术,如:伪随机数技术和时间同步技术,使得系统可以充分地满足如下各方面要求;同时系统采用先进的动态关系型存贮数据库结构,大大提高认证速度和适合大用户数的管理;以及先进的管理和监控功能。
根据企业内部应用多样、异构的特点而提供的一套全面、灵活的动态密码认证解决方案。采用动联身份认证软件企业版可以为企业内部的多个应用提供统一的动态密 码认证,同样一个令牌可以应用于多个内部应用的用户认证。同时系统支持各种形式的动态密码终端,包括硬件令牌、手机令牌、短信密码等,用户可以自由选择采 用何种动态密码终端。
第四章 网络管理应用现状
在当今这个信息化社会中,一方面,硬件平台,操作系统平台,应用软件等IT系统已变得越来越复杂和难以统一管理;另一方面,现代社会生活对网络的高度依赖,使保障网络的通畅、可靠就显得尤其重要。这些都使得网络管理技术成为网络技术中人们公认的关键技术。
网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重,网络安全管理还逐渐成为网络管理技术中的一个重要分支,正受到业界及用户的日益深切的广泛关注。
可能也正是由于网络安全管理技术要解决的问题的突出性和特殊性,使得网络安全管理系统呈现出了从通常网管系统中分离出来的趋势。
目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用,但是这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的“安全孤岛”;各种安全产品彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥。
从网络安全管理员的角度来说,最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态,对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。
但是,一方面,由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂,异构性、差异性非常大,而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法,并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等),工作复杂度非常之大。
另一方面,应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位,其对应用系统的使用权限也不尽相同,网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。
另外,对大型网络而言,管理与安全相关的事件变得越来越复杂;网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析,才能发现新的或更深层次的安全问题。
因此,用户的网络管理需要建立一种新型的整体网络安全管理解决方案——统一安全管理平台,来总体配置、调控整个网络多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,从而有效简化网络安全管理工作,提升网络的安全水平和可控制性、可管理性,降低用户的整体安全管理开销。
应当说,在这十年来,网络安全产品从简单的防火墙到目前的具备报警、预警、分析、审计、监测等全面功能的网络安全系统,在技术角度已经实现了巨大进步,也为政府和企业在构建网络安全体系方面提供了更加多样化的选择,但是,网络面临的威胁却并未随着技术的进步而有所抑制,反而使矛盾更加突出,从层出不穷的网络犯罪到日益猖獗的黑客攻击,似乎网络世界正面临着前所未有的挑战,下面简单分析网络安全环境的现状。
1.在网络和应用系统保护方面采取了安全措施,每个网络/应用系统分别部署了防火墙、访问控制设备等安全产品,采取了备份、负载均衡、硬件冗余等安全措施;
2.实现了区域性的集中防病毒,实现了病毒库的升级和防病毒客户端的监控和管理;
3.安全工作由各网络/应用系统具体的维护人员兼职负责,安全工作分散到各个维护人员;
4.应用系统账号管理、防病毒等方面具有一定流程,在网络安全管理方面的流程相对比较薄弱,需要进一步进行修订;
5.员工安全意识有待加强,日常办公中存在一定非安全操作情况,终端使用和接入情况复杂。
这可以说是现阶段具有代表性的网络安全建设和使用的现状,从另一个角度来看,单纯依靠网络安全技术的革新,不可能完全解决网络安全的隐患,如果想从根本上克服网络安全问题,我们需要首先分析距真正意义上的网络安全到底存在哪些差距。
就目前而言,企业的网络安全还存在这样或那样的问题,离真正的安全的网络还有不可逾越的差距。
1. 网络安全管理体系不完善,需要通过实施策略对流程进行细化,其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。
2. 涉及网络安全的各个层次,特别是基层人员对网络安全工作的重要性认识不足,必须强化把网络安全作为一项重点工作开展,并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。
3. 网络安全管理组织不完整,现阶段网络/应用系统的安全工作基本上由各维护单位和人员承担,安全责任相对比较分散,存在一定程度的安全责任无法落实到具体人的现象。
4. 具有普及性的安全教育和培训不足,人员完善的网络安全体系应包括安全策略体系、安全组织体系、安全技术体系、安全运作体系。
安全策略体系应包括网络安全的目标、方针、策略、规范、标准及流程等,并通过在组织内对安全策略的发布和落实来保证对网络安全的承诺与支持。安全组织体系包括安全组织结构建立、安全角色和职责划分、人员安全管理、安全培训和教育、第三方安全管理等。安全技术体系主要包括鉴别和认证、访问控制、内容安全、冗余和恢复、审计和响应。安全运作体系包括安全管理和技术实施的操作规程,实施手段和考核办法。安全运作体系提供安全管理和安全操作人员具体的实施指导,是整个安全体系的操作基础。
第五章 网络安全管理技术发展趋势
管理和技术两个维度推进网络安全工作不仅是现阶段解决好网络安全问题的需要,也是今后网络安全发展的必然趋势。
(一)从技术角度而言
1.逻辑隔离技术。以防火墙为代表的逻辑隔离技术将逐步向大容量,高效率,基于内容的过滤技术以及与入侵监测和主动防卫设备、防病毒网关设备联动的方向发展,形成具有统计分析功能的综合性网络安全产品。
2.防病毒技术。防病毒技术将逐步实现由单机防病毒向网络防病毒方式过渡,而防病毒网关产品的病毒库更新效率和服务水平,将成为今后防病毒产品竞争的核心要素。
3.身份认证技术。80%的攻击发生在内部,而不是外部。内部网的管理和访问控制相对外部的隔离来讲要复杂得多。在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上组织内部网同样需要一套强大的AAA系统。根据IDC的报告,内部的AAA系统是目前安全市场增长最快的部分。
4.入侵监测和主动防卫技术。入侵检测和主动防卫(IDS、IPS)作为一种实时交互的监测和主动防卫手段,正越来越多的被政府和企业应用,但如何解决监测效率和错报、漏报率的矛盾,需要继续进行研究。
5.加密和虚拟专用网技术。组织的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的,因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准。
6.网管。网络安全越完善,体系架构就越复杂。管理网络的多台安全设备需要集中网管。集中网管是目前安全市场的一大趋势。
(二)从管理角度讲应遵循以下原则
1.整体考虑,统一规划。网络安全取决于系统中最薄弱的环节。“一点突破,全网突破”,单个系统考虑安全问题并不能真正有效的保证安全,需要从整体IT体系层次建立网络安全架构,整体考虑,全面防护。
2.战略优先,合理保护。网络安全工作应服从组织信息化建设总体战略,滚动式实现系统安全体系的统一。在此前提之下,追求适度安全,合理保护组织信息资产,安全投入与资产的价值应相匹配。
3.集中管理,重点防护。统筹设计安全总体架构,建立规范、有序的安全
管理流程,集中管理各系统的安全问题,避免安全“孤岛”和安全“短板”。
4.七分管理,三分技术。管理是企业网络安全的核心,技术是安全管理的保证。只有制定完整的规章制度、行为准则并和安全技术手段合理结合,网络系统的安全才会有最大的保障。(T228)
第六章 结束语
通过本次课程设计,我对网络安全设计有了一定的了解,将课本知识与实践结合起来,加强了自己的动手能力,也使自己对课本知识有了进一步的了解。对防火墙部署、防病毒策略、入侵检测有了较深的理解,但只是了解这些东西还是远远不够的。
以前对网络知识不是很感兴趣,通过这次课程设计,我对这方面有了很大的兴趣,我打算在今后从事计算机方面工作,作为一个从事计算机方面的人员,我觉得还是需要了解各方面的知识,扩宽我们的视野,我打算在学校的这段时间里,把这方面知识充实下。