还剩47页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
毕业设计(论文)题目(论文)校园网络安全防御系统的设计与实现选题性质设计□报告毕业设计(论文)原创性声明和使用授权说明原创性声明本人郑重承诺所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作及取得的成果尽我所知,除文中特别加以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得及其它教育机构的学位或学历而使用过的材料对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了谢意作者签名 日 期 指导教师签名 日 期 使用授权说明本人完全了解大学关于收集、保存、使用毕业设计(论文)的规定,即按照学校要求提交毕业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分或全部内容作者签名 日 期 毕业设计(论文)选题审批单院系年级级专业计算机网络技术班级学生姓名学号选题校园网安全防御系统设计与实现选题性质设计□报告选题论证随着时代的发展,校园教学、科研、管理都需要安全的网络系统,校园网的网络安全问题日益突出而校园网安全事件不断发生,一些病毒的侵入,导致校园的重要信息的泄密、破坏,正常网络服务无法进行,甚者导致校园网瘫痪,造成严重的损失这些安全隐患,给校院网的防御和管理带来严重挑战所以本论文以校园网络安全防御系统的设计与实现成为主要论题指导教师初审意见签名年月日毕业设计(论文)工作领导小组审批意见签名年月日毕业设计(论文)开题报告及进度要求院系电子工程学院年级级班级计算机网络技术班学生姓名学号指导教师选题性质设计□报告选题校园网安全系统防御系统设计与实现选题的目的和意义:在Internet迅速发展的时代,计算机网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学就计算机系统的应用而言,安全技术涉及计算机技术、通信技术、存取控制技术、检验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄漏技术等等,因此本论文以设计校园网络安全防御系统为目的重点以构建网络安全防御系统的方案设计和实现过程,保护网络环境中保证数据和系统的安全性选题研究的主要内容和技术方案:主要内容是以防火墙技术、数据库管理系统、数据备份与恢复系统、身份识别系统、访问控制、入侵检测系统等,来设计校园网络安全防御系统通过了解系统的薄弱点并确定了设计原则,有针对性的构建一个网络安全防御系统,网络防御系统主要通过物理防护、网络防护、数据防护三个方面进行阐述在用防火墙CiscoPIX技术,JUMP入侵检测系统,移动数据实现防护毕业设计工作时间毕业设计工作日程安排时间段工作内容选题,撰写大纲,开题及下达设计任务学生收集资料,撰写毕业设计初稿指导教师集中指导定稿评审答辩指导教师意见成果要求签字年月日毕业设计(论文)答辩记录单专业计算机网络技术班级学生姓名设计论文题目校园网安全防御系统设计与实现选题性质设计□报告提问及答辩记录答辩记录签名答辩成员签名答辩日期年月日指导教师意见 评定内容学习态度任务完成情况设计完成质量总分等级评分标准10%20%70%得分评语 指导教师签字 年月日评审组意见 评审成绩评审组长签字 终审意见 院系负责人签章 终审成绩年月日 说明
1、指导教师认定合格方能填写此表并提交评审,不合格指导教师继续指导
2、指导教师及评审组成绩按“优秀、良好、合格、不合格”四个等级评阅毕业设计(论文)指导教师指导记录表设计(论文)题目校园网络安全防御系统的设计与实现选题性质设计□论文院(系)专业年级班级阶段时间地点指导教师指导内容123456指导教师(签名)学生(签名)注此表由教师填写,如指导次数多,可另附纸摘要目前,随着网络时代的飞速发展,网络安全问题也日益突出,如何在开放网络环境中保证数据和系统的安全性已经成为从多人关心的问题本论文重点以构建网络安全防御系统的方案设计和实现过程,在本文中主要以所设计的网络安全防御系统网络拓扑结构图,及采用的各种安全技术的具体细节“安全”从来就是一个相对概念,不存在绝对安全,所以必须未雨绸缪、居安思危;“威胁”一直便是一个动态过程,不可能根除威胁,所以唯有积极防御、有效应对根据分析设计了包括物理防护、网络防护和数据防护的防御系统设计系统包括物理防护、网络防护和数据防护网络防护的主要目的是隔离、检测和认证数据防护包括移动数据管理、操作系统安全和传输加密关键词校园网络、安全、防火墙、防御系统目录TOC\o1-3\u摘要I目录II引言1第1章校园网络安全技术概述
31.1校园网络技术发展
31.2校园网络安全技术介绍
41.
2.1密码学
41.
2.2访问控制
41.
2.3身份认证
51.
2.4安全监控
51.
2.5安全漏洞检测技术
51.
2.6防火墙
61.
2.7反病毒技术6第2章校园网络安全防御系统
72.1防火墙系统
72.
1.1防火墙及其功能
72.
1.2防火墙体系结构与实现模型
72.2校园网数据库管理系统
82.3数据备份与恢复系统
92.4身份识别系统
102.
4.1身份识别系统分类
112.
4.2身份识别系统优点
112.5访问控制功能
122.6上网行为管理
122.7入侵检测系统
132.
7.1入侵系统组成
142.
7.2入侵系统功能14第3章校园网络安全防御系统的设计
153.1安全分析
153.
1.1系统的安全分析
153.
1.2内部工作网络系统平台安全分析
163.2设计主要思路
163.
2.1物理防护
163.
2.2网络防护
163.
2.3数据防护
173.3设计方案
193.
3.1方案设计的基本原则
193.
3.2方案设计结构20第4章网络安全防御系统的实现
214.1物理防护的实现
214.
1.1制定完善严格的管理制度
214.
1.2建立数据备份制度
224.2网络防护的实现
224.
2.1隔离的实现——防火墙CiscoPIX
224.
2.2检测的实现——安装JUMP入侵检测系统
254.3数据防护的实现
304.
3.1移动数据防护的实现
304.
3.2操作系统的防护30第5章网络安全防御系统的测试
325.1测试
325.
1.1测试环境
325.
1.2测试系统防御外部攻击能力
325.
1.2测试系统防御内部攻击能力
325.2小结32总结33致谢34参考文献35引言随着时间的发展,人类步入信息社会,信息产业成为全球经济发展的主导产业,计算机科学与技术在信息产业中占据了重要的地位随着互联网技术的普及和推广,网络技术更是信息社会发展的推动力,人们在日常学习、生活和工作中都越来越依赖于网络,因此关于信息技术、信息安全技术、网络安全技术的发展成为越来越重要的学科互联网技术的发展改变了人们的生活,信息安全的内涵已发生了根本变化安全已从一般性的安全防卫,变成了一种非常普通的安全防范;从一种研究型的学科,变成了无处不在,影响人们学习、生活和工作的安全技术技术的普及也推动了社会对人才的需求,因此建立一套完整的网络安全课程教学体系,提供体系化的安全专业人才培养计划,培养一批精通安全技术的专业人才队伍,对目前高校计算机网络安全方向专业人才培养来说,显得尤为重要校园网络工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题目前,网络安全设施配备不够,学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题
[1]综上叙述校园网络安全现状,随着信息时代的急速到来,网络安全威胁已经凸现并日益严峻应对这一新的安全威胁,切实提高网络防御能力,确保打赢“网络防御战”,是校园必须担当的职责和使命第1章校园网络安全技术概述目前,计算机网络的广泛应用已经对经济、文化、教育、科技的发展产生了重要影响许多重要的信息、资源都与网络相关越来越多的政府部门和企业机构开始应用Internet,他们的信息共享程度与网上业务不断增加与此同时,网络攻击和犯罪活动也日益猖獗如何防止机密信息在网络中被泄露或窜改、如何有效地抵制和打击信息犯罪、保障网络与信息安全等,给人们提出了严峻的挑战但在连结信息能力、流通能力提高的同时,基于网络连接的安全向题也目益突出不论是外部网还是内部网的网络都会受到安全的问题客观上,几乎没有一个网络能够免受安全的困扰而安全又是网络发展的根本因此如何最大限度地减少或避免因信息泄漏、破坏所造成的经济损失是摆在我们面前需要解决的一项具有重大战略意义的课题
1.1校园网络技术发展简单地说在网络环境里的安全指的是一种能够识别和消除不安全因素的能力安全的一般性定义也必须解决保护财产的需要,包括信息和物理设备(例如计算机本身)计算机网络安全之所以重要,其主要原因在于
1.随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复杂、系统规模越来越大,特别是Internet的迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损
2.人们对计算机系统的需求在不断扩大,这类需求在许失多方面都是不可逆转、不可替代的
3.随着计算机系统的广泛应用,各类应用人员队伍迅速发展壮大,教育和培训却往往跟不上知识更新的需要,操作人员、编程人员和系统分析人员的失误和缺乏经验都会造成系统的安全功能不足
4.计算机网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学就计算机系统的应用而言,安全技术涉及计算机技术、通信技术、存取控制技术、检验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄漏技术等等,因此是一个非常复杂的综合问题,并且其技术、方法和措施都要随着系统应用环境的变化而不断变化
5.从认识论的高度看,人们往往首先关注对系统的需要、功能,然后才被动地从现象注意系统应用的安全问题因此广泛存在着重应用轻安全、质量法律意识淡薄、计算机素质不高的普遍现象计算机系统的安全是相对不安全而言的,许多危险、隐患和攻击都是隐藏的、潜在的、难以明确却又广泛存在的
1.2校园网络安全技术介绍
1.
2.1密码学密码学是主要研究通信安全个保密的科学
[2],他包括两个分支密码编码学和密码分析学密码编码学主要研究对信息进行变换,已保护信息在传递过程中不被敌方窃取、解读和利用的方法,而密码分析学则于密码编码学相反,它主要研究如何分析和破译密码这两者之间既互相对应又互相促进密码的基本思想是对机密信息进行伪装一个密码系统完成如下伪装加密者对需要进行伪装机密信息(明文)进行伪装进行变换(加密变换),得到另一种看起来似乎与原有信息不相关的表示(密文),如果合法者(接收者)获得了伪装后的信息,那么它可以通过事先约定的密钥,从得到的信息中分析到原有的机信息(解密变换),而如果不合法的用户(密码分析者)试图从这种伪装后的信息中分析得到原有的机密信息,那么,要么这种分析过程是不可能,要么代价过于巨大,以至于无法进行密码学不只局限于对数据进行简单的加密处理,而是包括加密、消息摘要、数字签名及密钥管理在内的所有涉及到密码学知识的技术网络安全服务的实现离不开加密技术的支持,应用加密技术不仅可以提供信息的保密性和数据完整性,而且能够保证通信双方身份的真实性由于网络的出现以及发展,未来的密码学也必定发展迅速例如网络签名,网上银行的安全,个人邮件信息的保护,都很需要密码学的支持,推动密码学的发展
1.
2.2访问控制访问控制是根据网络中主体和客体之间的访问授权关系,对访问过程做出限制,可分为自主访问控制和强制访问控制自主访问控制主要基于主体及其身份来控制主体的活动,能够实施用户权限管理、访问属性(读、写、执行)管理等强制访问控制则强调对每一主、客体进行密级划分,并采用敏感标识来标识主、客体的密级按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问访问控制的功能主要有以下●防止非法的主体进入受保护的网络资源●允许合法用户访问受保护的网络资源●防止合法的用户对受保护的网络资源进行非授权的访问访问控制的类型访问控制可分为自主访问控制和强制访问控制两大类 自主访问控制,是指由用户有权对自身所创建的访问对象文件、数据表等进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限
1.
2.3身份认证身份认证主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用
1.
2.4安全监控安全监控技术主要是对入侵行为的及时发现和反应,利用入侵者留下的痕迹(试图登录的失败记录、异常网络流量)来有效地发现来自外部或内部的非法入侵;同时能够对入侵做出及时的响应,包括断开非法连接、报警等措施安全监控技术以探测与控制为主,起主动防御的作用安全监控通过实时监控网络或主机活动,监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计和跟踪,识别违反安全法规的行为,使用诱骗服务器记录黑客行为等功能,使管理员有效地监视、控制和评估网络或主机系统
1.
2.5安全漏洞检测技术安全漏洞检测技术是指利用已知的攻击手段对系统进行主动的弱点扫描,以求及时发现系统漏洞,同时给出漏洞报告,指导系统管理员采用系统软件升级或关闭相关服务等手段避免受到这些攻击所以在攻击者入侵之前,能够帮助系统管理员主动对网络上的设备进行安全检测如我们在一些网站系统的漏洞,通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为 网站漏洞检测是对你的网站进行全方位的扫描,检查你当前的网页是否有漏洞,如果有漏洞则需要马上进行修复,否则网页很容易受到网络的伤害甚至被黑客借助于网页的漏洞植入木马,那么后果将不堪设想,一但发现有漏洞就要马上修复,所以漏洞的检测是我们在校园网络安全中重要的技术
1.
2.6防火墙防火墙(Firewall)是指在本地网络与外界网络之间的一道防御系统,是这一类防范措施总称防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许“被同意”的人和数据进入你的网络,同时将“不被同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络互联网上的防火墙是一种非常有效的网络安全模型,通过它可以使企业内部局域网与Internet之间或者与其他外部网络互相隔离、限制网络互访,从而达到保护内部网络目的在计算机系统上,防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的另外在建筑学上,原有的材料和布置的变化,将使防火墙失去作用,随着时间的推移,一些经过阻燃处理的材料,其阻燃性也逐步丧失在计算机系统上也是如此,计算机系统网络的变化,系统软硬件环境的变化,也将使防火墙失去作用,而随着时间的推移,防火墙原有的安全防护技术开始落后,防护功能也就慢慢地减弱了它是根据访问安全策略对两个或者更多网络之间的通信进行限制的软件或硬件
1.
2.7反病毒技术从反病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为病毒预防技术、病毒检测技术及病毒清除技术计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏实际上这是一种动态判定技术,即一种行为规则判定技术也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作 预防病毒技术包括磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号以及可能造成危害的写命令,并且判断磁盘当前所处的状态哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术第2章校园网络安全防御系统在校园网中一般我们所应用的安全系统是非常重要的,包括防火墙系统、数据库的管理系统、数据的备份与恢复系统、身份识别系统等等
2.1防火墙系统防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型
2.
1.1防火墙及其功能防火墙(Firewall)是在网络之间执行控制策略的系统,它包括硬件和软件在设计防火墙时,人们做了一个假设防火墙保护的内部网络是“可信赖的网络”(trustednetwork)而外部网络是““可信赖的网络”(untrustednetwork)”设置防火墙的目的是保护内部网络资源不被外部非授权的用户使用,防止内部受到外部非法用户的攻击总的来说,防火墙的作用何体现在一下几个方面过滤出入网络的数据,强化安全策略;对出入网络的访问行为进行管理和控制;对不安全的服务进行限制或拦截,尽可能不暴露对不安全的服务进行限制或拦截,尽可能不暴露内部网络;有效地记录通过防火墙的信息内容和活动
2.
1.2防火墙体系结构与实现模型从组成结构来看,防火墙可通过一下几种方式构建
(1)分组过滤路由器这种结构可以是带有数据包过滤功能的路由器,也可以是基于主机的路由器
(2)双宿主主机结构给结构是围绕着至少具有两个网络接口的双宿主主机而构成的这种主机分别连向内外部网络,并使网络的IP数据完全切断该主机还可以与本身相连的若干网络之间的路由器
(3)主机过滤结构在该结构提供安全保护是主机仅仅与内部网连接;另外该结构还有一台单独的过滤路由器,通常由路由器封锁堡垒主机的特定端口,只允许一定数量的通信服务
(4)子网过滤结构由于主机过滤结构中堡垒主机易受攻击,所以该结构也就是在主机过滤结构中再加一层参数网络的安全机制,使得内部网与外部网之间有两层隔断防火墙体系结构图如
2.1图
2.1防火墙
2.2校园网数据库管理系统数据库管理DatabaseManager是有关建立、存储、修改和存取数据库中信息的技术
[3],是指为保证数据库系统的正常运行和服务质量,有关人员须进行的技术管理工作负责这些技术管理工作的个人或集体称为数据库管理员DBA数据库管理的主要内容有数据库的调优、数据库的重组、数据库的重构、数据库的安全管控、报错问题的分析和汇总和处理、数据库数据的日常备份.数据库的建立数据库的设计只是提供了数据的类型、逻辑结构、联系、约束和存储结构等有关数据的描述这些描述称为数据模式
1.数据操作DBMS提供数据操作语言DML(DataManipulationLanguage),供用户实现对数据的追加、删除、更新、查询等操作
2.数据库的运行管理数据库的运行管理功能是DBMS的运行控制、管理功能,包括多用户环境下的并发控制、安全性检查和存取限制控制、完整性检查和执行、运行日志的组织管理、事务的管理和自动恢复,即保证事务的原子性这些功能保证了数据库系统的正常运行
3.数据组织、存储与管理DBMS要分类组织、存储和管理各种数据,包括数据字典、用户数据、存取路径等,需确定以何种文件结构和存取方式在存储级上组织这些数据,如何实现数据之间的联系数据组织和存储的基本目标是提高存储空间利用率,选择合适的存取方法提高存取效率
4.数据库的保护数据库中的数据是信息社会的战略资源,随数据的保护至关重要DBMS对数据库的保护通过4个方面来实现数据库的恢复、数据库的并发控制、数据库的完整性控制、数据库安全性控制DBMS的其他保护功能还有系统缓冲区的管理以及数据存储的某些自适应调节机制等
5.数据库的维护这一部分包括数据库的数据载入、转换、转储、数据库的重组合重构以及性能监控等功能,这些功能分别由各个使用程序来完成
6.通信DBMS具有与操作系统的联机处理、分时系统及远程作业输入的相关接口,负责处理数据的传送对网络环境下的数据库系统,还应该包括DBMS与网络中其他软件系统的通信功能以及数据库之间的互操作功能
2.3数据备份与恢复系统
1.备份及备份的原因“备份”是数据的副本,用于在系统发生故障后还原和恢复数据就是为了恢复数据而备份当数据库出现了故障或被破坏时,以后可以利用备份进行数据库恢复也可以通过备份,将数据库从一台服务器上复制到另一台服务器上通过适当备份,可以从多种故障中恢复,包括系统故障、用户错误(例如,误删除了某个表、某个数据)、硬件故障(磁盘驱动器损坏)自然灾害
2.数据的恢复数据恢复涉及两个关键问题建立备份数据、利用这些备份数据实施数据库恢复数据恢复最常用的技术是建立数据转储和利用日志文件
(1)数据转储是数据库恢复中采用的基本技术数据转储就是数据库管理员(DBA)定期的将整个数据库复制到其他存储介质(如磁带或非数据库所在的另外磁盘)上保存形成备用文件的过程这些备用的数据库文件称为后备副本当数据库遭到破坏后可以将后备副本重新装入,并重新执行自转储以后的所有更新事物
(2)日志文件能够用来进行事务故障恢复、系统故障恢复,并能够协助后备副本进行介质故障恢复,当数据库文件毁坏后,可重新装入后备副本把数据库恢复到转储结束时刻的正确状态,再利用建立的日志文件,可以把已完成的事务进行重做处理而对于故障发生时尚未完成的事物则进行撤销处理,这样不用运行程序就可以把数据库恢复到故障前某一时刻的正确状态
3.恢复模式
(1)备份和还原操作是在“恢复模式”下进行的恢复模式是一个数据库属性,它用于控制数据库备份和还原操作的基本行为,例如,恢复模式控制了将事务记录在日志中的方式、事务日志是否需要备份以及可用的还原操作
(2)恢复模式的优点简化了恢复计划简化了备份和恢复过程明确了系统操作要求之间的权衡明确了可有性和恢复要求之间的权衡这方便了我们在校园网络中数据的管理
4.备份的分类一般的备份有完整备份、差异备份、日志备份、文件和文件组的备份
(1)完整备份将备份整个数据库,包括事物日志部分(以便可以恢复这个备份)就是通过海量转储形成的备份其最大的优点是恢复数据库的操作简便,他只需要最近一次的备份恢复完全备份所占的存储空间很大且备份的时间较长,只能在一个较长的时间间隔进行完全备份,其缺点是当根据最近的完全备份进行数据恢复时,完全备份之后对数据所作的任何修改都将无法恢复当数据库较小、数据不很重要或数据操作频率较低时,可采用完全备份的策略进行数据备份和恢复
(2)完全差异备份仅记录自上次完整备份后更改过的数据,其实就是增量备份完整差异备份比完整备份更小、更快,可以简化频繁的备份操作,减少数据丢失的风险差异备份基于完整备份,因此,这样的完整备份称为“基准备份”差异备份仅记录自基准备份后更改过的数据
(3)事物日志备份中包括了前一个日志备份中没有的所有日志备份记录只有在完整恢复模式和大容易日志恢复下才有事务日志备份
(4)文件和文件组备份可以用了备份和还原数据库中的文件使用文件备份用户还原损坏的文件而不必还原数据库的其余部分,从而提高恢复速度
[4],数据备份结构图如图
2.2图
2.2数据备份结构图
2.4身份识别系统身份识别系统正是根据用户迫切的需求,推出的一款比传统的用户名+密码模式安全性更高的用户身份识别技术产品精算身份识别系统是一款针对个人身份识别的硬件设备,外型美观大方,型如普通U盘大小,使用方式简单,不用安装任何驱动,直接支持USB的热插拔使用精算身份识别系统主要是通过控制软件登录,来实现对数据安全性的保护当用户把身份锁插入USB接口后即可配合传统的密码进行安全快速的登录在传统的密码保护(软加密)基础上,为企业用户提供了比密码保护更方便、安全性更高的加密技术,与登录密码结合使用,起到双层保护的功能
2.
4.1身份识别系统分类精算身份识别系统是与操作员对应绑定的硬件加密产品,在操作员帐号和精算身份识别系统进行绑定操作后,则必须使用精算身份识别系统与对应的帐号密码配合使用,才能正常进行登录和操作软件根据精算身份识别系统拥有的权限级别的不同,可分为管理锁和普通锁2类管理锁拥有所有权限,并且可以对用户进行普通锁的绑定操作,为管理员或企业老板拥有普通锁只拥有登录、访问软件和读锁的权限,其他权限通过权限配置根据实际需要情况来加入
2.
4.2身份识别系统优点
1.易用性采用的EPASSND是国内第一款无驱型USBKEY产品,使用方便,操作简单,便于携带,满足异地使用和网络使用功能
2.安全性采用高性能单芯片设计,64位唯一序列号,硬件实现HMAC-MD5和TEA算法,确保绑定信息安全储存于身份锁中,免受木马病毒以及黑客攻击
3.双因子认证可安全实现基于冲击响应的双因子认证,硬件受PIN码保护,使用时提示输入密码,安全性得到更高保证
4.安全存储内置安全文件系统,提供
1.4K安全存储空间,可存储多组密码
5.支持多应用支持多密码和多个身份锁的应用访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用,它是保证网络安全最重要的核心策略之一
[5]
2.5访问控制功能按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问
1.访问控制的功能主要有以下●防止非法的主体进入受保护的网络资源;●允许合法用户访问受保护的网络资源;●防止合法的用户对受保护的网络资源进行非授权的访问
2.访问控制实现的策略●入网访问控制;●网络权限限制;●目录级安全控制;●属性安全控制; ●网络服务器安全控制访问控制的类型访问控制可分为自主访问控制和强制访问控制两大类自主访问控制,是指由用户有权对自身所创建的访问对象文件、数据表等进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限强制访问控制,是指由系统通过专门设置的系统安全员对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访问该对象
2.6上网行为管理上网行为管理指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析每个公司都会因为工作的需要,公司开通了网络但是问题来了,员工经常在上班时间聊QQ,浏览与工作无关的网页有些公司曾经实施过惩罚制度,但效果不理想为此,公司高层反对开通网络这样一来,员工也有意见,认为如果不开通网络工作起来不方便现在很疑惑,如果开通网络,该怎么管理员工呢?严格要求并不是所有的员工都需要网络的,销售、采购外部协作、生产管理等部门的员工可能需要上网,但是像人事、工程设计等部门上班时间用网络的很少上网行为管理内置国内最全的应用识别规则库,最大的网页地址库,结合深度内容检测技术、网页智能识别等专利技术,为客户解决网页过滤、封堵与工作无关的网络应用需求
1.网页访问过滤互联网上的网页资源非常丰富,如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页,以及购物、招聘、财经等与工作无关的网页,将极大的降低生产效率 通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页
2.网络应用控制聊天、看电影、玩游戏、炒股票等等,互联网上的应用可谓五花八门,如果员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能 通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事
3.上网行为分析随着互联网上的活动愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险,通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化
2.7入侵检测系统IDS是一种比较新的软件系统,可以发现正在进行的攻击,实施报警,并通过自动修改路由或防火墙的配置抵制攻击;将复杂的日志文件以简明的图形报表表示,并对其进行分析,得到有效的结果根据检测方法又可分为异常入侵检测和滥用入侵检测不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作因此,对IDS的部署,唯一的要求是IDS应当挂接在所有所关注流量都必须流经的链路上在这里,所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构因此,IDS在交换式网络中的位置一般选择在●尽可能靠近攻击源;●尽可能靠近受保护资源
2.
7.1入侵系统组成IETF将一个入侵检测系统分为四个组件事件产生器(Eventgenerators);事件分析器(Eventanalyzers);响应单元(Responseunits);事件数据库(Eventdatabases)事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件事件分析器分析得到的数据,并产生分析结果响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件
2.
7.2入侵系统功能它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象进行入侵检测的软件与硬件的组合便是IDS简单说入侵检测系统是一套监控计算机系统或网络系统中发生的事件,根据规则进行安全审计的软件或硬件系统
[6]第3章校园网络安全防御系统的设计校园网络信息方便了校园信息的交流,提高了管理、办公效率但由于系统内部设计大量重要文件和材料等,一旦校园信息网络被侵入或攻击,整个系统的安全将受到严重威胁,后果不堪设想因此,构建一个高效是校园信息网络安全防御系统,保证校园网络畅通和网络用户的安全,是校园信息化建设的关键问题本文所设计的网络安全防御系统的拓扑图如图
3.1图
3.1某校园网络拓扑图
3.1安全分析校园网对网络安全的需求主要包括系统安全需求和内部工作网络系统平台安全需求
3.
1.1系统的安全分析
1.用户端安全分析●用户身份的确认防止假冒,非授权访问;●用户数据信息的保密性防止非授权读取;●用户数据信息的完整性防止非授权篡改数据;●用户数据信息的非否认性防止数据发送方或接收方抵赖
2.数据服务器安全分析●数据的保密性防止非法用户窃取敏感数据;●数据的完整性防止非授权篡改数据;●数据的可用性防止拒绝服务攻击
3.数据网络传输安全分析●传输数据的保密性防止非法用户中途窃听;●传输数据的完整性防止非授权修改数据
3.
1.2内部工作网络系统平台安全分析
1.阻止外部用户非授权访问内部网防止黑客攻击内部工作网;
2.内部网的保密性要求防止内部敏感网络信息泄露;
3.内部网的可控性防止内部用户滥用资源和非授权访问网络资源;
4.内部网的可用性防止拒绝服务攻击
3.2设计主要思路
3.
2.1物理防护物理措施防护例如,保护网络关键设备,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施物理防护的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害和人为破坏;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生
3.
2.2网络防护主要目的是隔离、检测和认证网络隔离防护网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网扎实现的
3.
2.
2.1隔离隔离主要应用防火墙技术它是安装在不同网络之间的一系列硬件和软件组合的总和主要作用为
1.包过滤通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数
2.包的透明转发由于防火墙一般架设在提供某些服务的服务器前如果用示意图来表示就是Server—Firewall—Guest用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发因此,很多防火墙具备网关的能力
3.阻挡外部攻击如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中
4.记录攻击防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外界屏蔽受保护网络的信息、结构和运行情况等,从而实现对网络信息的安全保障
3.
2.
2.2入侵检测入侵检测是指对计算机和网络资源上的恶意使用行为进行识别和相别处理的过程它不仅可以检测来自外部的入侵行为同时也可以监控内部用户的非授权行为入侵检测的最大优点是可以向系统管理员提供实时报告,告诉管理员有黑客入侵安全检测系统是安全防护子系统后面的另外一道安全闸门,它运用技术手段,能够在不影响网络性能的情况下对校园网络系统进行经常性的巡查、搜索、监测,在网络和主机系统中寻找入侵信号,一旦发现入侵行为立即进行报警,帮助解决存在的安全隐患,对“黑客”和病毒入侵网络问题及时进行有效的治理,对内部攻击、外部攻击、误操作的实时保护,从而提高信息系统的隐患发现能力和隐患抵御能力,在网络系统遭受危害之前抵御入侵入侵检测系统能够帮助计算机网络系统快速发现入侵攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性入侵检测就是检测任何企图损害系统保密性、完整性或可用性的行为的一种网络安全技术它通过对运行系统的状态和活动的监视找出异常或误用的行为,根据所定义的安全策略分析出非授权的网络访问和恶意的行为,迅速发现入侵行为和企图为入侵防范提供有效的手段
3.
2.
2.3身份认证身份认证可分为用户与主机间的认证和主机与主机之间的认证用户与主机之间的认证可以基于如下一个或几个因素:用户所知道的东西例如口令密码等.用户拥有的东西例如印章智能卡如信用卡等.用户所具有的生物特征例如指纹声音视网膜签字笔迹等.基于口令的认证方式是一种最常见的技术但是存在严重的安全问题.它是一种单因素的认证安全性依赖于口令口令一旦泄露用户即可被冒充基于智能卡的认证方式智能卡具有硬盘加密功能有较高的安全性.每个用户持有一张智能卡智能卡存储用户个性化的秘密信息同时在验证服务器中也存放该秘密信息进行认证时用户输入PIN个人身份识别码智能卡认证PIN成功后即可读出秘密信息进而利用该信息与主机之间进行认证.基于智能卡的认证方式是一种双因素的认证方式PIN+智能卡即使PIN或智能卡被窃取用户仍不会被冒充.基于生物特征的认证方式是以人体惟一的可靠的稳定的生物特征如指纹虹膜脸部掌纹等为依据采用计算机的强大功能和网络技术进行图像处理和模式识别该技术具有很好的安全性可靠性和有效性与传统的身份确认手段相比无疑产生了质的飞跃
3.
2.3数据防护
3.
2.
3.1操作系统安全作为整个计算机系统中最重要的软件,操作系统对维持计算机的安全和稳定运行起着不可替代的重要作用由于处于整个计算机系统中硬件和软件接口的特殊地位,使得操作系统成为各种攻击的主要目标因此,尽可能的保障操作系统的安全运行,有效的防止各种针对操作系统的恶意攻击,避免用户的错误操作给操作系统带来的危害,就成为了计算机系统安全的一个重要内容因此可知,操作系统安全是信息系统安全的最基本、最基础的安垒要素操作系统的任何安全脆弱性和安全漏洞必然导致信息系统的整体安全脆弱性操作系统的任何功能性变化,都可导致信息系统安全脆弱性分布情况的变化,从软件角度来看,确保信息系统安全的第一要事便是采取措施保证操作系统安全
3.
2.
3.2传输加密通常情况下,人们将可懂的文本称为明文plaintext;将明文变换成的不可懂的形式的文本称为密文ciphertext);把明文变换成密文的过程叫加密encipher;其逆过程,即把密文变换成明文的过程叫解密decipher数据加密或解密过程如图
3.2图
3.2加密或解密示意图数据加密可以在网络OSI七层协议的多层上实现,从加密技术应用的逻辑位置看,主要有链路加密和端对端加密两种方式
1.链路加密方式面向链路的加密方式将网络看作由链路连接的结点集合,每一个链路被独立的加密它用于保护通信结点间传输的数据每一个连接相当于OSI参考模型建立在物理层之上的链路层,如图
3.3图
3.3链路加密方式示意图
2.端对端加密方式端对端加密方式建立在OSI参考模型的网络层和传输层这种方法要求传送的数据从源端到目的端一直保持密文状态,任何通信链路的错误不会影响整体数据的安全性,如图
3.4图
3.4端对端加密方式示意图端对端加密方式中,只加密数据本身信息,不加密路径控制信息在发送主机内信息是加密的,在中间结点信息是加密的用户必须找到加密算法,决定施加某种加密手段加密可以用软件编程实现但此方式密钥管理机制复杂,主要适合大型网络系统中信息在多个发方和收方之间传输的情况
3.
2.
3.3移动数据管理移动硬盘等存储设备由于其使用的便利性,使用越来越广泛许多部队都使用移动硬盘来保存一些比较重要的信息,并使用移动硬盘来传递重要信息但与此同时,移动硬盘的便利性也带来了巨大的信息安全隐患机密信息保存在可以随身携带、并且可被任意一台PC机识别的移动硬盘上,其数据安全是完全无法得到保证的当前,机关各单位在移动涉密存储载体的管理使用上还存在一些失泄隐患多数单位虽然集中采购、配发使用、报废收回,但移动涉密存储载体在使用者手中时,尚缺乏有效的管控措施有的单位购买后即基本处于不管不问的状态;个别单位采取自购自用的办法,管理更是处于失控状态;而一部分使用者仅仅把移动存储设备作为电脑的附属品来保管,没有上升到保密设备的高度,缺乏保密柜存放的意识;很多人经常带回家使用;部分人还把私下购买的移动涉密存储载体与办公存储设备混用,极易发生失泄密问题
3.3设计方案
3.
3.1方案设计的基本原则校园需求牵引和技术推动
[7],是校园信息网络安全防御系统发展的不竭动力而成本有效和可持续发展又是任何事物得以存在和不断进步的重要条件因此,在设计校园信息网络安全防御系统的体系结构时,应遵循以下基本原则
1.满足校园信息安全需要这是对校园信息网络安全系统的基本要求,也是构筑新时期校园信息网络安全体系结构的出发点和最终目标
2.能够引入最新安全技术成果即采用最新信息网络安全技术是校园信息网络安全系统不断进步和提升的前提,也是赋予新时期校园信息网络安全体系结构生命力的保证
3.可充分利用现有安全资源即利用现有信息网络安全体系继承发展,不仅可降低开发成本,而且可为创新校园信息网络安全体系提供条件
4.具有良好的兼容性新时期校园信息网络安全体系不仅应能够满足有线、无线、移动等各种网络对信息安全的需求,而且还应能够涵盖和兼容各种安全技术体制,实现信息安全的网系融合、灵活配置、智能组网等
5.信息网络安全系统作为校园安全基础设施,建设周期长,耗资巨大,因此构建新的网络体系结构必须做到继往开来,具备可待续发展的空间
3.
3.2方案设计结构通过了解系统的薄弱点并确定了设计原则,有针对性的构建一个网络安全防御系统在系统中不但要考虑运用先进的技术,而且也得靠严格的安全管理、法律约束和安全教育网络防御系统主要通过物理防护、网络防护、数据防护三个方面进行阐述,物理防护主要保护网络关键设备,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施网络防护通过隔离、检测、认证来实现整个安全防御系统,数据防护以移动数据管理、操作系统安全、传输加密方式维护整个系统数据防护的实现,操作系统对维持计算机的安全和稳定运行起着不可替代的重要作用通过种种手段保证目标的实现,具体设计如图
3.5图
3.5防御系统方案设计示意图第4章网络安全防御系统的实现了解校园信息网络面对的威胁,制定了安全策略,设计了方案的理论模型并了解了相关技术后,在构建防御系统过程中,还要实际考虑现有网络中的设备现状、线路布置、管理制度、人员专业水平等因素,并在加装安全设备和软件系统时,充分考虑具体校园的人力、物力、财力,这样才能在构建符合实际的网络安全防御系统校园物理防御系统结构图如图
4.1图
4.1某校园物理防御系统结构图
4.1物理防护的实现
4.
1.1制定完善严格的管理制度
1.值勤维护制度严格的值勤维护制度,是网络涉密信息安全传递的重要保证要通过落实值勤维护制度,强化值勤维护人员“在保障中防护,在防护中保障”的责任意识;明确值勤维护人员的岗位职责和安全防护要求,统一各种网络设备操作流程和维护标准,完善值勤维护登记、统计资料,使网络值勤维护工作逐步实现科学化、精细化和正规化
2.安全检查制度校园计算机网络应用广泛,终端设置相对分散,一机多用现象也较为突出,极易造成涉密信息泄露为增强计算机网络的安全性,应定期或不定期地进行网络安全检查,及时排除安全隐患、纠正违规行为,减少人为纰漏;同时,普及网络安全防护知识,明确网络安全策略,提高用户主动性安全防护意识和能力
3.涉密信息、载体和场所管理制度要合理区分信息密级建立制密登记、用密授权、定期归档、专人管理和统一维护等涉密信息管理制度,明确要求、按级负责,确保涉密信息安全;严格落实涉密载体购前申报、审批,购后登记、注册,报废备案、销毁等制度,加大涉密载体使用及流向监管力度,确保涉密载体安全;加强网络信息中心等涉密场所管理,严禁无关人员进入,有关人员进出也要履行一定手续,并定期更换安全防护设施密码,确保涉密场所安全
4.
1.2建立数据备份制度为了保证数据传输安全,采用通信加密同时,还应对数据完整性给予重视篡改和伪造信息是攻击者常用的手段,在选择了存储备份软件、存储备份技术后,要制定数据备份制度网络备份系统是在网络上选择一台应用服务器作为网络数据存储管理服务器,安装网络数据存储管理软件,作为整个网络数据备份的服务器在备份服务器上连接一台大容量存储设备,在网络中其他需要进行备份管理的服务器上安装备份客户端软件,通过局域网将数据集中备份到与备份服务器连接的存储设备上分级存储管理及存储局域网技术的发展,为网络备份系统提供了新的途径数据备份的最终目的就是灾难恢复,一旦系统遭到攻击或因自然因素导致数据的破坏或丢失,灾难恢复可以最大程度恢复系统,保证系统的可用性灾难恢复最重要的是建立异地存储备份中心,同时,在制定灾难恢复策略时应考虑以下几个因素:一是保护完整的系统配置文档,二是根据业务需要决定数据异地存储的频率,三是保护关键业务的服务器
4.2网络防护的实现
4.
2.1隔离的实现——防火墙CiscoPIXPIX是CISCO公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)它和一般硬件防火墙一样具有转发数据包速度快,可设定的规则种类多,配置灵活的特点最新的PIX版本为PIX535CiscoPIX防火墙可以通过一个可靠的、即插即用的安全设备为小型办公室和远程办公人员提供企业级的安全性它的功能强大的状态监测技术可以跟踪所有经过的用户网络请求,防止未经授权的网络访问防火墙CiscoPIX图如图
4.2图
4.2防火墙CiscoPIX
5014.
2.
1.1CiscoPIX防火墙的安装
(1)将PIX安装放至机架,经检测电源系统后接上电源,并加电主机;
(2)将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall;
(3)输入命令enable进入特权模式,此时系统提示为pixfirewall#;
(4)输入命令configureterminal对系统进行初始化设置;
(5)配置以太网口参数interfaceethernet0autoauto选项表明系统适应网卡类型interfaceethernet1auto;
(6)配置防火墙接口的名字,并指定安全级别nameif;nameifethernet0outsidesecurity0nameifethernet1insidesecurity100nameifdmzsecurity50
(7)配置内外网的IP地址ipaddressinsideip_addressnetmaskipaddressoutsideip_addressnetmask;
(8)指定外部地址范围global1ip_adderss-ip_adderss;
(9)指定要进行转换的内部地址nat1ip_addressnetmask;
(10)设置指向内部网和外部网的缺省路由ruoteinside00inside_default_router_ip_addressruoteoutside00inside_default_router_ip_address
(11)配置静态IP地址对映Staticoutsideip_addressinsideinsideip_address;
(12)设置某些控制选项Conduitpermit/denyglobal_ip[-port]protocolforeign_ip[netmask]Global_ip指的是要控制的地址Port指的是所作用的端口,其中0代表所有端口Protocol指的是连接协议,比如TCP、UDP等;
(13)设置telnet选项telnetlocal_ip[netmask]local_ip表示被允许通过telnet访问到pixd的ip地址(如果不设此项,PIX的配置只能由consle方式进行);
(14)几个常用的网络测试命令#showinterface查看端口状态#showstatic查看静态地址映射
4.
2.
1.2CiscoPIX防火墙的配置在配置PIX防火墙之前,先介绍一下防火墙的物理特性防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生3个网络,如内部区域(内网)内部区域通常就是企业内部网络的一部分是互联网络的信任区域,受防火墙的保护外部区域(外网)外部区域通常指Internet或者非企业网络它是互联不被信任的区域,但外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问PIX防火墙提供4种管理访问模式非特权模式PIX防火墙开机自检后,就是处于这种模式系统显示为pixfirewall;特权模式输入enable进入特权模式,可以改变当前配置系统显示为pixfirewall#;配置模式输入configureterminal进入此模式,绝大部分的系统配置都在这里进行显示为pixfirewall(config)#;监视模式“Break”字符,进入监视模式这里可以更新操作系统映像和口令恢复显示为monitor配置PIX防火墙有6个基本命令nameif,interface,ipaddress,nat,global,route这些命令在配置PIX是必须的,基本步骤
1.置防火墙接口的名字,并指定安全级别nameifPix525config#nameifethernet0outsidesecurity0Pix525config#nameifethernet1insidesecurity100Pix525config#nameifdmzsecurity50提示在缺省配置中,以太网0被命名为外部接口outside,安全级别是0;以太网1被命名为内部接口inside,安全级别是100,安全级别取值范围为1~99,数字的级别越高
2.配置以太网口参数interfacePix525config#interfaceethernet0autoauto选项表明系统适应网卡类型Pix525config#interfaceethernet1100full100full表明100Mbit/s以太网双工通信Pix525config#interfaceethernet1100fullshutdownshutdown选项表明关闭这个接口,若启用接口去掉shutdown
3.配置内外网卡的IP地址(ipaddress)Pix525config#ipaddressoutside
61.
144.
51.
42255.
255.
255.1Pix525config#ipaddressinside
192.
168.
0.
1255.
255.
255.
04.指定要进行转换的内部地址(nat)网络地址翻译(nat)作用是将内网的私有IP转换为外网的公有IP,Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问
5.指定外部地址范围(global)Global命令把内网的Ip地址翻译成外网的IP地址或一段地址范围Global命令的语法配置Globalif_namenat_idip_address-ip_address[natmaskglobal_mask]其中if_name表示外网接口名字,例如outsideNat_id用来标识全局地址池,使它与相应的nat命令相匹配;ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围;[natmaskglobal_mask]表示全局ip地址的网络掩码
6.设置指向内网和外网的静态路由routeRoute命令配置语法routeif_name00gateway_ip[metric]其中if_name表示接口名字,例如inside,outsideGateway_ip表示网关路由器的ip地址[metric]表示到gateway_ip的跳数
[8]
4.
2.2检测的实现——安装JUMP入侵检测系统
4.
2.
2.1系统简介jump网络入侵检测系统是西安交大捷普网络科技有限公司自行研制开发的一套实时的网络入侵检测与响应网络入侵检测的网络安全系统它可以实时监控所有在网络上传输的数据,检测可疑行为,对来自网络外部和内部的攻击都可以做出反应,在系统受到危害之前发出警告,切断攻击方的连接其联机文档提供了丰富的漏洞说明及补救措施,可以最大程度的为网络系统提供安全保障jump网络入侵检测系统收集了目前国内外最新的网络攻击行为的特征数据库,可检测多种类型的攻击,因而具有强大功能同时,该系统工作时还具有实时性、几乎不影响网络性能等优点,是值得信赖的网络安全产品
4.
2.
2.2工作原理入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统由于入侵检测和响应密切相关,而且现在没有独立的响应系统,所以决大多数的入侵检测系统都具有响应功能按获得原始数据的方法可以将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测系统基于主机的ids可监测系统、事件和windownt下的安全记录以及unix环境下的系统记录当有文件发生变化时,ids将新的记录条目与攻击标记相比较,看它们是否匹配如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施基于网络的入侵检测系统使用原始网络包作为数据源基于网络的ids通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务
4.
2.
2.3系统具体功能
(1)实时检测入侵功能可以实时地对网络上的攻击进行监测,一旦发现可疑信息,入侵检测可准确显示其数据目标和来源,及时向管理员告警
(2)丰富和友好的管理界面所有的入侵监测系统提供友好的人机界面,使得管理员易于操作和管理整个入侵监测系统采用可视的管理、监视、控制和分析操作界面,方便使用
(3)对报警信息的检索、查询和统计管理员通过管理中心可以对历史记录中引擎产生的各种攻击事件的报警信息进行检索、查询及统计
(4)全新的离线报警方式除了常规屏幕显示报警信息,系统还可以自动将报警信息传送到管理员的Email信箱,并同时提供声音报警
(5)数据的安全通信引擎与管理中心之间的数据通信是安全加密的(ssl协议)
(6)引擎的实时监测与管理在管理中心,系统管理员可以实时地获取到引擎的状态信息,并可以对引擎进行启动、停止等管理
(7)入侵检测规则的自定义用户可以自己定义一些入侵检测规则,加入到引擎的规则库中去,更加灵活地进行入侵检测
(8)开放式的插件机构系统检测能力不断增长包括入侵规则的自动升级和更新
(9)断开网络功能提供断网功能,对于一些恶意的攻击行为,系统可以将攻击者,从网络中清除出去
(10)在线升级为用户提供可以在线升级的能力,使管理员可以在管理中心直接进行对规则库进行升级
4.
2.
2.4JUMP入侵检测系统探测器设置和使用
1.超级终端的安装和设置“超级终端”是windowsnt,windows2000下的程序,是microsoft操作系统中的一个常用组件它能够通过串行或并行端口接受或发送ascii码信息“超级终端”具有反卷功能,此功能使用户能够看到已经滚动出屏幕的已接收文本方式1在安装windows2000/nt操作系统时,选中“通讯”选项中“超级终端”选项方式2在安装windows2000/nt操作系统时没有安装“超级终端”,可以通过windows2000/nt的“控制面板”的“添加/删除程序”项安装“超级终端”启动超级终端在开始菜单中,选取程序-〉附件-〉通讯-〉超级终端,弹出如
4.3图
4.3新建连接输入新建连接的名字,确定,如图
4.4图
4.4连接端口选择连接的com口,单击确定,弹出端口设置窗口,端口设置如下
4.5图
4.5端口设置单击确定,连接成功后,超级终端出现username:输入用户名:admin输入密码jump进入jumpids配置界面(界面显示配置命令和帮助)
2.探测器的配置
(1)配置探测器ip:输入s回车,显示“inputipaddress:”,输入探测器ip地址(例如
210.
27.
48.12)回车,配置生效
(2)配置探测器掩码输入m回车,显示“inputipaddress:”,输入探测器ip掩码例如
255.
255.
255.0回车,配置生效
(3)配置控制台ip输入i回车显示“inputipaddress:”,输入控制台ip地址(例如
210.
27.
48.21)回车,配置生效
(4)以上配置项配置成功后,输入r启动引擎
(5)启动成功后,输入q退出配置
[9]
4.
2.3认证的实现——SRZ06身份认证系统SRZ06身份认证系统结合了现代密码技术和智能卡技术,采用一次一密的动态认证口令,在各网络用户与服务器之间直接进行身份认证,可根据系统环境,选择服务器对客户端的单向认证方式,或者基于挑战/应答的双向认证方式该认证系统既秉承了对称密码抗集团破译能力强的优点,又采用智能卡技术解决了对称密码体制中最难以解决的密钥分发问题SRZ06身份认证系统的应用可以提高网络系统对用户身份的识别以及管理能力,起到保护网络资源安全,降低数据泄密风险的作用该产品既适应于局域网用户,也适用于广域网用户,能够更为有效地防止冒名登录事件的发生,并具有操作简单,安全性高、认证速度快、维护简单等特点,且用户一次性投入,终身无需维护本系统适应于政府、企业等需要对用户身份进行明确定义的网络环境SRZ06身份认证系统功能
1.网络用户身份认证在局域网、广域网环境下识别用户身份网络用户权限管理、行为审计为登录系统的用户分配权限,并对用户的上网情况进行跟踪和统计
2.数据加解密对需要经过网络传递的重要数据实行机密性保护
3.域用户验证利用SRZ06智能卡及其CSP安全组件,可以实现Windows2000/XP下的域登录客户端采用存储在key中的数字证书进行登录验证在证书身份验证的过程中,客户端和服务器将互相出示证书,从而可以相互验证身份
4.域安全策略的实施如拔卡锁定工作站SRZ06身份认证系统的技术实现
1.系统架构图
4.6系统结构
2.建立芯片级认证系统采用工控机和加密卡来建立认证(签名验证)中心,其中加密卡与服务器的接口是采用标准PCI接口(将多块加密卡插入工控机里)、客户端采用基于标准USB接口的智能卡、两种硬件设备中都采用国内微电子芯片,芯片内写入对称密码算法、SM1算法
3.采用组合密钥技术采用硬件随机数发生器产生用户“密钥种子”,保证随机性,每个用户的密钥“基”(密钥种子)都不同;客户端用户“密钥种子”存放在智能卡芯片中,认证中心的全体用户的“密钥种子”是以密文方式存储在数据库中,是用加密卡中的SM1算法和一组对称密钥,将全体用户的密钥种子加密成密文,来保证“密钥种子”安全存储;根据密钥生成算法对密钥种子进行选取,组合生成密钥,实现认证、签名密钥一次一变,不重复使用
4.建立基于标识(非证书)认证系统每个用户的标识唯一(如用户号、用户身份证号等),每个用户标识对应该用户的一组“密钥种子”;取消数字证书,根据用户标识直接快速定位用户密钥种子,提高认证效率
5.建立规模化的认证中心只采用少量“密钥种子”完成认证协议,每个用户的“密钥种子”占用认证中心资源少,在认证中心的数据库里建立3亿条记录,使认证中心能管理大规模用户(达3亿人)
6.采用认证过程的安全控制机制WEB服务器接受用户认证请求的同时,创建认证生命周期T,超过此周期T则认证失败;禁止使用过期的或相同的控制参数进行网络身份认证,防止黑客使用截获的控制参数冒名顶替
[10]
4.3数据防护的实现
4.
3.1移动数据防护的实现系统工作模式分为单机和网络两种单机模式不通过网络对计算机、笔记本电脑进行管控,由管理员定时或不定时对单机检查网络模式设定内部网络中的一台计算机为主控制段,安装网络版主控端软件,其它计算机安装客户端,从而实现对内部计算机的集中管控
1.单机系统管理与检察主要完成对非网络单机的“权限设置”以及操作行为的信息采集、审计和汇总审计信息包括“文件操作记录”主要记录受检计算机系统进行文件新建、修改、删除以及复制等操作行为,详细记录目标文件和源文件具体操作时间和路径
2.U盘文件操作记录记录U盘(移动硬盘)上的文件操作记录程序运行记录,主要记录受检计算机“打开”“关闭”某个应用程序、文件以及文件夹所做的操作信息邮件日志,主要记录受检计算机上所发送的邮件信息违规及其他信息,主要记录受检计算机“读写U盘”、“运行非法程序”等违规操作行为
3.系统信息软件信息主要显示受检计算机当前所安装的所有软件信息硬件信息主要显示受检计算机当前的硬件配置信息版本信息主要显示该受检机器的操作系统、系统客户端软件的版本以及机器名称等信息
4.权限设置主要对客户端下发安全控制权限,实现奢靡载体管理、计算机输入输出管理、操作行为管理、网络行为管理、综合数据统计等功能
5.涉密电子文档管理对注册计算机内存储的所有电子文档(包括多媒体、照片、录像)进行自动登记统计、编号,并按密级和年度自动进行分类管理装载该系统后,只有注册过的存储介质才可在装有该系统的计算机上使用,未注册的存储介质和未装该系统的计算机均无法使用;注册过的存储介质无法在未装有该系统的计算机上使用;未注册过的存储介质只有在特定计算机上(一般为安全机构负责人使用)注册后,才能在装有该系统的计算机上使用,也只有在特定计算机上解除注册后,才能恢复在其他计算机上使用通过管理控制,既防止了感染了木马程序等病毒的存储介质对涉密计算机的非法访问,也杜绝了装有涉密资料的存储介质在其他计算机上使用
4.
3.2操作系统的防护在校园操作系统的防护中,Web服务器的操作系统选择十分重要,Linux和FreeBSD是操作系统中完成基本安装后比较安全的两款操作系统然而,与Windows服务器一样,它们也可能没有进行安全配置就用作Web服务器,这样,安全性上将存在比较大的风险当今的通用操作系统都有这样的问题,它们默认地运行着大量的服务和应用完美的Web服务器系统应该只有一个应用在其中运行这就是Web应用本身,如IIS或Apache我们使用netstat命令运行IIS的标准Windows2003服务器的情况为了保护操作系统的安全性,应该修改及重新命名默认账户,使用较长的口令,卸载所有未使用的应用程序,关闭所有不需要的服务,关闭对诸如cmd.exe的程序的访问,使用拥有最低必须权限的用户启动Web服务器,配置允许端口,安装防病毒程序(根据需要选择),监控日志文件,创建一种将日志文件归档到其他位置(不在Web服务器上)的机制,应用所有最新的服务包和更新,将Web页面放置在非标准的目录或驱动器上
[11]一般来讲,很多网络病毒都是利用了系统漏洞的对用户来说,防范病毒入侵的最好方法就是打补丁,堵住系统漏洞系统漏洞补丁是用来为系统修补错误或增加新功能的小程序包,它不能单独安装使用必须安装在特定的系统环境中但是系统漏洞的发现常常并不是由软件开发人员先发现的,当网上已有恶意程序在网上肆虐时,人们才开始想法防御这就成了漏洞和对应补丁的不同步系统操作员有必要在补丁出来的最短时间内给系统打上当然有些漏洞是操作者使用不当或配置不好造成的,对这种人为的因素就有必要提高操作者的专业知识和及时更改错误配置第5章网络安全防御系统的测试为了系统的性能,我们将利用方式检测系统保护网络,作为一中被动防御机制与主动防御机制融合在一起的立体防御机制,它既能对来自网络外部的攻击进行有效的监控和拦截,又能对校园网络内部的攻击进行防御
5.1测试
5.
1.1测试环境为了测试网络安全防御系统性能,配置的测试环境如下用网络1(
192.
168.
2.0)模拟外围,用网络2(
192.
168.
20.0)模拟校园网网络安全防御系统安装在网络1与网络2之间网络1中主机H1(
192.
168.
2.10)对网络2中的服务器S1的访问就相对于网外用户对校园网的访问网络2中主机H
2192.
168.
20.10对网络2中服务器S1的(
192.
168.
2.1)的访问就相对于网内用户对校园完的访问在网络1中主机H1(
192.
168.
2.10)上配置一些后门程序对网络2中的服务器S1(
192.
168.
20.0)进行恶意访问,模拟外网用户对校园网的攻击情形在网络2中主机H2(
192.
168.
20.10)进行恶意访问,模拟内网用户对校园网的攻击情形
5.
1.2测试系统防御外部攻击能力
1.对木马进行截获目前,许多木马不是以单一进程的形式访问网络,而是插入到正常的进程中将自己隐藏起来,然后开启一个后门或不断扫描远程计算机
2.监视蠕虫病毒对远程端口的扫描目前很多蠕虫病毒都带有黑客性质,当他们以很隐藏的方式进入用户的计算机后,它们就会不断扫描远程网络计算机中某些端口来寻求某些漏洞并进行攻击
5.
1.2测试系统防御内部攻击能力主机H2(
192.
168.
20.10)用扫描工具Ipexplorer对网络服务器S1(
192.
168.
2.1)的端口进行扫描测试系统防御内部攻击能力
[12]
5.2小结本章主要介绍了一个简化的原型系统,接着探讨了系统中防火墙系统及入侵检测系统的实现技术,最后叙述了对系统的测试情况总结在计算机信息化的不断发展,针对网络的新的攻击行为也不断涌出,其针对的目的也将是全方位的,所以那种希望依靠一种安全技术的不断深入研究解决所有安全问题的想法是幼稚的,当我们需要不断的研究和发展各种安全技术,包括本文提到的防火墙,入侵技术,身份认证,数据备份和恢复等等,但这些远远不够的只有当我们将所有的技术通过一个完整的网络安全防御系统整合为一体,它们在这个系统中能够彼此协作,才能发挥它们的最大威力,从全方位阻止攻击的入侵校园安全防御网络是一种全新安全架构,其最大特点就是具有自我防御能力、自我愈合能力和集成协同的安全机制,不论是网络系统本身还是网络资源一旦受到诸如网络病毒和网络攻击时,能够快速反应,发现攻击并给以阻止,发现病毒或蠕虫予以删除,大大提高网络安全性能本文也只是在网络安全防御系统的设计和实现上做了一些肤浅的探索,还存在许多的不足,需要在进一步的研究中完善相信随着安全技术的进一步,一定会出现更好的安全技术致谢本文是在我的老师的细心指导下完成的感谢他给予的指导和帮助陈老师在我学习期间,给予了我莫大的精神他时常关心我的学习,并对毕业设计的撰写情况十分关注,提出了许多宝贵的意见,使我能够顺利完成毕业设计同时陈老师为人正直,治学严谨,渊博的知识、深刻的洞察力和对问题的系统的研究方法,给了我很大的启迪和帮助,从他身上我学到了很多做人做事的道理在论文完成之际,谨向梁老师致以深深的谢意和崇高的敬意感谢我所在学校领导的培养、关心和教导,在我做毕业设计期间创造的良好学习环境,给予的大力支持参考文献
[1]周兴著《校园网络安全现状分析及其防范措施》杂谈网络安全科普知识【S】
2009.
12.08P1
[2]王峰,徐快著《微电脑在线期刊技术专题》网络安全防范技术与产品【J】2001(52期)P12-13
[3]朱晨著《数据库系统》数据库管理系统【Z】
2011.
8.20
[4]阿杳著《数据库备份和恢复》【J】
2011.
8.5P23-25
[5]张彩莱著《身份识别系统》身份认证与网络安全【S】2011P1-2
[6]刘剑著《网络安全技术》西安电子科技大学出版社【M】
2011.
1.21P3-5
[7]王振东著《军事信息网络安全防御系统设计与实现》【D】
2007.6-
2008.10P45-56
[8]佚名著《Cisco防火墙》百度文库【Z】
2011.9P23-30
[9]杨智君著《JUMP入侵检测系统》中国最权威的电脑教程【Z】2010P3-4
[10]杨奕著《SRZ06身份认证系统简介》北京市科学技术研究院出版【J】
2011.1P5-4
[11]李匀著《操作系统安全防护》电子工业出版社博文【Z】
2008.7P2-3
[12]朱思峰著《智能小区安全防御系统设计与实现》【D】
2006.3P55-57致谢时间飞逝,大学的学习生活很快就要过去,在这四年的学习生活中,收获了很多,而这些成绩的取得是和一直关心帮助我的人分不开的首先非常感谢学校开设这个课题,为本人日后从事计算机方面的工作提供了经验,奠定了基础本次毕业设计大概持续了半年,现在终于到结尾了本次毕业设计是对我大学四年学习下来最好的检验经过这次毕业设计,我的能力有了很大的提高,比如操作能力、分析问题的能力、合作精神、严谨的工作作风等方方面面都有很大的进步这期间凝聚了很多人的心血,在此我表示由衷的感谢没有他们的帮助,我将无法顺利完成这次设计首先,我要特别感谢我的知道郭谦功老师对我的悉心指导,在我的论文书写及设计过程中给了我大量的帮助和指导,为我理清了设计思路和操作方法,并对我所做的课题提出了有效的改进方案郭谦功老师渊博的知识、严谨的作风和诲人不倦的态度给我留下了深刻的印象从他身上,我学到了许多能受益终生的东西再次对周巍老师表示衷心的感谢其次,我要感谢大学四年中所有的任课老师和辅导员在学习期间对我的严格要求,感谢他们对我学习上和生活上的帮助,使我了解了许多专业知识和为人的道理,能够在今后的生活道路上有继续奋斗的力量另外,我还要感谢大学四年和我一起走过的同学朋友对我的关心与支持,与他们一起学习、生活,让我在大学期间生活的很充实,给我留下了很多难忘的回忆最后,我要感谢我的父母对我的关系和理解,如果没有他们在我的学习生涯中的无私奉献和默默支持,我将无法顺利完成今天的学业致谢四年的大学生活就快走入尾声,我们的校园生活就要划上句号,心中是无尽的难舍与眷恋从这里走出,对我的人生来说,将是踏上一个新的征程,要把所学的知识应用到实际工作中去回首四年,取得了些许成绩,生活中有快乐也有艰辛感谢老师四年来对我孜孜不倦的教诲,对我成长的关心和爱护学友情深,情同兄妹四年的风风雨雨,我们一同走过,充满着关爱,给我留下了值得珍藏的最美好的记忆在我的十几年求学历程里,离不开父母的鼓励和支持,是他们辛勤的劳作,无私的付出,为我创造良好的学习条件,我才能顺利完成完成学业,感激他们一直以来对我的抚养与培育最后,我要特别感谢我的导师刘望蜀老师、和研究生助教吴子仪老师是他们在我毕业的最后关头给了我们巨大的帮助与鼓励,给了我很多解决问题的思路,在此表示衷心的感激老师们认真负责的工作态度,严谨的治学精神和深厚的理论水平都使我收益匪浅他无论在理论上还是在实践中,都给与我很大的帮助,使我得到不少的提高这对于我以后的工作和学习都有一种巨大的帮助,感谢他耐心的辅导在论文的撰写过程中老师们给予我很大的帮助,帮助解决了不少的难点,使得论文能够及时完成,这里一并表示真诚的感谢。