企业计算机网络安全系统设计与实现

《企业计算机网络安全系统设计与实现》由会员分享，可在线阅读，更多相关《企业计算机网络安全系统设计与实现（41页珍藏版）》请在装配图网上搜索。

1、企业计算机网络安全系统设计与实现摘 要随着网络技术的不断发展和应用，计算机网络不断改变各种社会群体的生活、学习和工作方法，可以说人们已经不能离开计算机工作和学习。 由于计算机网络在生活中如此重要，如何保证网络的安全可靠稳定运行，已成为网络设计和管理中最关键的问题。 企业作为互联网应用最活跃的用户，在企业网络规模和网络应用不断增加的情况下，企业网络安全问题越来越突出。 企业网络负责业务规划、发展战略、生产安排等任务，其安全稳定直接关系到生产、管理和管理的保密性。 因此，企业建立网络安全体系至关重要。本文首先介绍了企业计算机网络安全技术，分析了计算机网络接入和防火墙技术等系统开发过程中涉及的关键技

2、术，以及如何在此阶段为上述网络安全问题建立安全系统。 如何建立监控系统等，并描述了系统的实现过程。 该系统可实现计算机网络访问控制、文件系统运行、系统运行状态等的远程访问和实时监控。 主要实现用户身份管理模块、实时监控模块、硬件对象管理模块、软件对象管理模块、网络对象管理模块、文件对象管理模块等。通过对系统的测试和分析，系统达到预期的设计目标和工作状态，可以满足内部网络安全监控的功能要求。 可应用于网络信息安全有更高要求的企业和部门。关键词：网络安全；实时监控；安全系统；网络信息安全第1章 绪论1.1 课题研究的背景及意义随着计算机网络技术的发展，互联网的应用也在不断推进，其应用已深入到工作、

3、生活、学习和娱乐的各个方面，使人们的工作环境不断改善，提高生活质量，企业电子商务发展迅速，信息化水平大幅提升，大大促进了经济社会的进步和发展。但是，互联网的普及为人们带来了便利，提高了生活质量，促进了社会科学技术进步，促进了社会的发展，同时网络信息安全的问题日益突出1。随着计算机网络的广泛应用和普及，黑客的非法入侵，网络中计算机病毒的蔓延和垃圾邮件的处理已成为关注的焦点。 许多公司没有为计算机网络系统做好安全措施，付出了非常惨痛和昂贵的代价2。企业网络建设是企业信息化的基础，INTRANET是企业网络模式，是企业网络的基础。 INTRANET不完全是LAN的概念，通过与互联网的连接，企业网络的

4、范围可以跨区域，甚至跨越国界3。现在很多有远见的商界领袖感受到企业信息化的重要性，已经建立了自己的企业网络和内部网，并通过各种广域网和互联网连接。 网络在我国的快速发展只有近几年才出现，企业网络安全事件的出现已经非常多4。 因此，我们积极开展企业网络建设，学习吸收国外企业网络建设和管理经验，运用网络安全将一些企业网络风险和漏洞降至最低。 随着威胁的迅速发展，计算机网络的安全目标不断变化。因此，只有不断更新病毒和其他软件不断升级以确保安全。对于包含敏感信息资产的业务系统和设备，企业可以统一应用该方法，从而确保病毒签名文件的更新、入侵检测和防火墙配置以及安全系统的其它关键环节。简单的技术无法解决安

5、全问题。只有依靠健全的战略和程序，并配合适当的人员和物质安全措施，整合安全解决方案才能发挥最大的作用。健全的安全政策和标准规定了需要保护的内容，应根据权限和需要划分人员的职能。公司需要高度支持安全政策，提高员工意识，有助于成功实施战略5。 全面的安全策略提高了目标计算机网络的整体安全性，这是通过使用网络安全独立产品无法实现的。 不管内部和外部安全问题如何，确保所有这些功能都得到实施。 维护安全的基本框架非常重要6。1.2 企业网络安全系统国内外研究现状企业网从初始单一数据交换发展到集成智能综合网络，已经经历了十几年的时间。在此过程中，企业网络人员逐渐实现了网络架构设计多层次，多元素化。它包括主

6、机系统、应用服务、网络服务、资源、并支持业务的正常运行。 现在企业对网络的需求越来越高，对网络的依赖越来越强，这表明企业管理、生产和销售网络发挥了很强的支撑作用7。1.2.1国内企业网络安全系统现状随着宽带互联网的快速发展，企业网络安全形势恶化，受访企业中有部分企业发生网络信息安全事件，其中一些企业感染了病毒、蠕虫和木马8。一些公司有网络端口扫描。 在这种情况下，企业网络安全和网络安全管理已成为国内政府、学术界和行业关注的焦点。从政府的角度来看，企业网络具有重要的战略意义：企业网络是国家信息化基础设施，肩负着保护网络和信息安全的重要责任，也反映了国家主权。在学术领域，信息安全是一个综合性学科领

7、域，不仅包括数学、物理，还包括通信、计算机等综合学科。 其研究不仅包括网络安全技术的研究和设计，整体解决方案，还包括网络安全产品的开发等9。在行业中，我们的产品缺乏核心竞争力：信息安全产品和国外厂商的自主开发，几乎都属于低端产品。 例如，国际先进的网络安全解决方案和产品，是我国禁止的，我们只能学习这些先进的技术和产品。 面对日益严重的网络和信息安全形势，我国政府、学术界、产业界等高度关注，信息安全的重要性已经提升到前所未有的战略高度。 2000年以后，我国制定了一批信息安全法规和部门规章制度，基本形成统一，分工明确的负责任组织，网络安全事故应急响应协调机制初步建立，实施 信息安全关键技术研究，

8、启动相应的体系建设，开展计算机信息系统分类安全体系建设监督管理，开发了一批专业信息安全产品，网络信息安全产业开始形成规模。 我国信息网络安全管理与控制系统研究与开发在初期阶段，2006年，古利勇等对网络管理平台架构进行了研究，提出了系统框架。 安全策略管理分析。 安全预警管理、资产风险管理、安全事件集中监控、安全知识管理、安全报告管理等六大核心功能模块10。 2008年，孙强等提出了基于消息通信安全管理体系的模型，介绍了安全管理体系的结构和实现机制，并对系统实现中的关键技术和解决方案进行了介绍，包括系统架构、消息通信机制、 系统安全机制和安全风险模型及数据一致性维护等11。2010年，史简等研

9、究提出了统一的网络安全管理平台，运用风险评估和事件相关技术，实时分析网络风险情况，减少误报和漏报11。赵泉2011年指出，加密技术是信息安全网络安全技术的核心12。 2013年，阎廷瑞提出了信息传输和存储的安全性，为网络应用系统信息安全模型的基本要素和资源访问的安全控制提供了一种更简单可行的认证和安全管理解决方案13。 2015年，刘金华等研究设计了新的监控管理系统，通过数据采集、数据分析、实现网络内主机设备性能数据分析与监控控制策略14。朱周华在2016年提出了一种新的网络和信息安全架构模型15。1.2.2国外企业网络安全系统现状自20世纪70年代中期以来，英美等西方发达国家已经开始重视网络

10、和信息安全问题。 经过多年的发展，在理论研究、标准制定、产品开发、安全体系建设，人才培养等方面取得了很多成果16。本文回顾了信息安全技术发展的路径，W.Diffie和W.Hellman提出了公钥密码学与David.Bell和Lconard La Padufa提出计算机安全模型，信息安全从初步的单阶段保密到预防和检测、评估、控制等方面提出了计算机安全模型，信息安全处于快速发展阶段 “攻、防和测、评、控、管为一体的安全成熟的系统之一17。从目前的市场结构来看，信息安全技术保持领先的是美国、英国、法国和以色列; 研究内容主要针对安全协议和安全架构设计，包括：安全协议分析方法，安全协议研究与设计的使用

11、; 安全架构设计，包括安全系统模型、研究和建立安全策略和机制，以及系统对安全性的检查和评估15。 安全协议研究中最关键的问题之一是安全分析方法的形式分析。 目前，该领域的成果包括电子商务协议、协议、简单网络管理协议和安全操作系统，安全数据库系统16。从当前产品的角度来看，目前主流的安全产品有防火墙、安全服务器、入侵检测系统、安全数据库、认证产品等16。从国外企业信息化建设的角度看，发达国家的许多企业将信息化迈向战略高度，大量信息技术投入和发展（一般信息投入占总资产的10，加快获取信息技术。例如，美国所有的大公司都实现了办公自动化，一些跨国公司实现虚拟办公17;同时这些大型企业基本上都是通过信息

12、技术实现首席信息官改进这些企业的决策、管理和经营，并获得新的发展机遇18。Antoine Joux（2011）在其Algorithmic Crpytanalysis一书中指出，加密算法和验证技术与网络安全密切相关19。外国学者Joseph Migga Kizza（2013）著作COMPUTER NETWORK SECURITY AND CYBER ETHICS,4TH ED中针对近年来新型的加密技术进行了阐述20。从国外企业实施信息化的角度来看，一般国际企业随着信息技术的推广，其业务网络延伸到最广泛的地方。 然而，由于新技术的飞速发展，信息安全的一般公司面临着诸多问题和困难，所以他们将如网络防

13、火墙技术、入侵检测技术、数据安全技术、安全技术投资外包给第三方等21。1.3 课题主要研究内容 本文的主要工作是分析内部网络安全检测系统的关键技术。 在此基础上，完成了网络安全检测系统的设计与开发，主要包括以下几个方面。 1.本文分析了网络编程技术中的安全检测系统，主机状态监控技术和用户权限管理以及数据安全技术，提出了具体的实现方案。 有关系统信息收集，用户行为数据和网络数据采集的基本概述和相关关键技术，以及对开发环境中使用的系统的简要介绍。 2.分析安全检查系统的具体需求，包括功能和非功能要求，并阐明任务的范围和内容。 简要介绍了网络安全检测系统的要求，详细分析了系统的整体功能和子功能。 最

14、后，介绍了系统的性能、易用性、接口要求和非功能要求。 3.完成安全检测系统的整体框架设计，给出系统功能的具体设计。 本文介绍了网络安全检测系统的设计过程，给出了系统的功能结构和处理逻辑设计，并描述了核心数据结构、用户界面、数据结构和安全设计过程。 4.完成安全检测系统的编码和实现，并对系统进行了测试和分析。介绍了系统的实现，系统的整体拓扑结构和软件系统的逻辑结构，分别实现了功能模块在核心功能中的关键功能。介绍了网络安全检测系统的功能和性能测试。 测试结果表明该系统可以满足应用要求。1.4论文结构安排第1章 对企业计算机网络安全系统的背景和意义进行介绍。得出本文的研究现状、研究内容和结构。第2章

15、 相关概念和关键技术，详细介绍了企业计算机网络安全相关的技术，如计算机网络入侵和攻击技术，以及在这个阶段针对以上的网络安全问题，如何建立一个安全系统等。 第 3 章 需求分析 包括系统功能和非功能需求分析。第4章 企业计算机网络安全管理系统的设计，系统架构设计、系统功能模块设计、数据库设计等。第5章 企业计算机网络安全管理系统的实现。对各个部分的功能进行实现。第2章 相关概念及关键技术2.1 计算机网络安全的概念计算机网络安全是指系统软件、应用软件、硬件等媒体在网络中的所有数据信息可以完全防御，不会出现异常或异常变化，可以有效防止这些媒体信息不被篡改，保护 网络数据传输稳定，不会泄漏，不间断运

16、行22。网络安全是一个非常复杂和全面的研究课题，不仅涵盖了计算机基础科学、网络通信技术、信息技术和电子通信加密技术，而且还包括一些端口类加密、信息理论和应用数学。 从根本上说，网络安全是运输网络元素的安全运行。网络安全性按照应用分为两大类，第一类网络安全是指网络信息安全。 第二类是指网络中所有数据可用、可控、保密和完整性相关技术被归类为计算机网络安全分类讨论的完整性的理论23。 同时，计算机网络安全也可以根据环境或对象不同而产生理论扩展。 用于维护信息网络管理员。 网络安全是确保网络不受木马和病毒。攻击外部和内部数据，消除网络应用程序的异常使用，确保资源可以完全控制，以确保网络可以访问数据单元

17、操作。 但是对于最终用户的计算机网络在网络安全方面的个人隐私和商业秘密来说，确保个人信息和个人安全。 与网络传输和存储的单位信息相关的所有数据均为机密、真实、完整。 并确保用户未经授权的身份存储在所有相关数据单元中，信息不能以任何方式进行篡改，确保自身利益和权力24。2.2 计算机网络安全的关键技术网络安全技术牵引涉及很多基础学科，本文列举了网络安全技术在相对普及技术中的发展实现。 防火墙（Firewall）、虚拟专用网（VPN）、入侵检测（IDS）、安全扫描技术（Scanner）和网络访问控制（ACL）如下所述。2.2.1 防火墙技术所谓的防火墙技术（Firewall）通过互联网（Inter

18、net）或外部网络和数据传输网络之间的“最小”内部网络传输门禁，然后完成隐藏的未经授权的用户连接内部网络数据方法25。 到目前为止，防火墙技术仍然可以防止未经授权的用户访问网络，也是防止非法用户入侵的最关键手段，以及最广泛使用的网络安全策略部署技术。结合信息安全技术开发过程的发展，防火墙（Firewall）可分为三类：1包过滤防火墙通常基于路由器建立，在服务器或计算机上也可以安装包过滤防火墙软件。在网络层包过滤防火墙的基础上，单个IP实现网络控制。对所接收的IP数据包的源地址、目的地址、TCP数据包或UDP数据报文的源端口和目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，以及网络

19、管理员预先设置的访问控制比较列表以确定它们是否符合预定义的安全策略和决定，释放或丢弃给定的包。防火墙的优点是简单、方便、快速、透明度好，对网络性能影响不大，可以用来禁止非法外部用户访问企业内部网，也可以用来禁止访问某些类型的服务，但是我们无法识别危险程序包的内容，无法执行应用程序安全性处理。2 代理服务器型防火墙 通过在计算机或服务器上运行代理服务程序，运行到特定应用层服务，也称为应用层网关级防火墙。代理服务器型防火墙核心，是代理服务器上运行的防火墙主机进程。实质上，它是连接企业内部网和互联网网关的特定网络应用23。它是用户完成TCP / IP访问功能，其实是电子邮件、FTP、Telnet、W

20、WW等不同应用程序都提供给相应的代理。该技术允许通过代理服务器建立外部网络和内部网络之间的连接，实现安全的网络访问，并可实现用户认证，详细日志，审计跟踪和数据加密等功能，实现协议过滤器和会话控制控制，具有良好的灵活性。代理服务器防火墙有可能影响网络的性能，用户不透明，而对于每个TCP / IP服务应设计一个代理模块，建立相应的网关实现更为复杂。3 复合型防火墙 由于安全性要求较高，通常基于包过滤方法和基于应用的代理方法，形成复合防火墙，提高防火墙的灵活性和安全性。这种组合通常有两个选择： （1）屏蔽主机防火墙架构：在这种结构中，分组过滤路由器或防火墙和Internet连接，同时将堡垒机安装在内

21、部网络中，通过包过滤路由器或防火墙过滤规则集，使堡垒成为只有互联网上其他节点能够访问的节点，这确保了内部网络不会受到未经授权的外部攻击24。 （2）屏蔽子网防火墙架构：堡垒机放置在子网中，形成非军事区，两个子网过滤器的两端，使子网和互联网和内部网分离。在屏蔽子网防火墙架构中，堡垒主机和过滤路由器构成了整个安全防火墙的基础。2.2.2 虚拟专用网技术（VPN）虚拟专用网（VPN）是通过公共网络创建一条穿透公共网络饿逻辑隧道。 这是在公用网络（Internet）上建立一个虚拟通道连接，从技术上讲，虚拟专用网络是局域网（LAN）的扩展25。通过虚拟专网（VPN）技术可实现远程终端连接网络（LAN），

22、这是现代网络发展的重要技术，可以帮助企业分支机构及相关零部件企业建立网络通信，该技术可以保护 最终用户和总部之间的安全数据信息传输。虚拟专网（VPN）部署成本低廉，易于建立VPN网络，既保护安全和数据传输的机密性，又简化了网络架构设计的复杂性26。虚拟专网（VPN）有四大类的关键技术27：1.隧道技术; 2.用户认证技术; 3.加密技术; 4.访问控制技术。隧道技术是虚拟专用网（VPN）最关键的技术，它是一种基于私有数据网络的安全转发信息的加密隧道机制。 该技术是在转发帧之前封装需要在对应加密协议中发送的帧。 当转发的数据传输到隧道的另一端时，将根据已建立的加密协议进行解封。 从分组到封闭，加

23、密隧道为一个逻辑信道，隧道协议由三部分组成，一个是数据链路层协议，协议标准是L2TP和PPTP; 另一个是网络层协议，主要协议是IPSec和GRE等; 另一个是传输层协议，主要协议是SSL和TSL等。 两种最广泛使用的加密协议是L2TP和IPSec。虚拟专网（VPN）根据虚拟专网的应用类型可分为三类28：（1）内网（LAN）VPN：实现从LAN到另一个LAN到网关的链接。 资源通过不同的LAN资源通过目标LAN进行连接。（2）外联网（Extranet）VPN; 与内部网络（LAN）构成外网; 也与其他网络（LAN）互连。（3）远程访问（Access）VPN：实现远程用户上网互联，基于公网实现虚

24、拟专用数据转发。对于不同的客户可以开发不同的虚拟专用设备，设备可以分为VPN交换机、VPN防火墙和VPN路由器29。（1）VPN交换机：这些设备用于更远程的接入网架构;（2）VPN防火墙：最广泛使用的虚拟专用网建设设备，一般部署在网络出口;（3）VPN路由器：最容易部署这样的设备，只需增加路由器配置VPN服务类别即可完成。2.2.3 入侵检测技术基本策略和技术分类1.入侵检测技术基本策略 虽然防火墙可以有效防止非法入侵，但是防火墙不是灵丹妙药，防火墙周围总是有未知的攻击来攻击网络，导致网络不正常运行，网络入侵检测系统（IDS）采用一个更智能的检测策略，从第二个测试端口检测攻击行为。入侵检测的基

25、本策略是基于网络的一定算法或访问的关键点进行更科学的分析，以确定是否存在安全策略行为的攻击或违规。满足算法要求的人作为合法访问，但对于那些不符合算法访问测试结果要求的报告，响应处理和阻塞在检测系统中，核心是基于网络信息监控检测和有效判断数据是否合法，非法数据过滤掉。入侵检测过程如图2-1所示。 从图中可以看出，入侵检测系统拦截网络信息，然后提取检测数据，根据过滤规则提取数据，通过入侵的分析结果，并截获数据包信息响应处理。图2-1 入侵检测系统流程2. 入侵检测技术分类根据信息数据包单元的来源差异，入侵检测可以分为以下几类：（1）基于主机型IDS可以为网络事件和操作系统环境，日志记录进行有效的检

26、测。 如果文档被修改或更改文档的日志，IDS将匹配新的日志条目和现有的访问攻击事件。 如果比较表示新的日志条目和访问事件具有攻击特征，则IDS匹配系统将根据已建立的规则发送告警信息。 信息安全行业所有IDS产品都有侦听端口，如果检测到异常警报或未经授权的访问特定端口将触发警报机制，则会向网络管理员发送警报消息。（2）基于网络IDS该设备将网络信息视为分散的信息源，并使用网络在阅读后收听网络上的信息流。 基于网络的IDS检测模块通常使用统计和匹配模式来识别攻击行为。 IDS只要违反网络检测违规行为，IDS响应模块就会触发报警，网络链路切断。 对于不同的网络响应，IDS将使用不同的触发机制，包括日

27、志的内容通知管理员，管理员将不满足用户网络连接的要求或与非法网络行为日志存储相关联31。（3）基于主机和网络集成的IDS因为基于主机的IDS和基于Web的IDS都有自己的优势。 这么多IDS供应商将结合这两大类的优势，在网络安全部署方案中，基于主机IDS和基于网络的IDS优势的合并，利用各自的优势。 许多用户在部署基于主机的IDS时部署基于网络的IDS，IDS检测到未经授权的访问，并且在日常工作中、邮件、DNS和Web服务器往往是针对性的。 在电子邮件中，网络中的DNS和Web服务器被部署，它们必须巧妙地与Internet进行数据连接，因此基于主机的IDS部署在服务器的前端，可以完成非常好的安

28、全性防护32。2.2.4 网络访问控制技术网络访问控制，也称为网络接入控制，称为TAC。 TAC技术是保护信息网络终端最有效的方式，它被安装在网络检测终端软件中，实现最有效的方式。此外，TAC允许其他交换机如交换机SW、路由器SR和防火墙FW一起使用。使用此应用程序的服务器和最终用户的计算机提供了一个全面的自动化管理流程，以确保数据在端点之前安全地进行交互33。通用网络访问控制分为三个部分，第一部分是降低零日攻击的风险：网络访问控制技术的关键应用是防止未安装病毒、补丁、入侵防御软件终端接入网络资源。第二个是增强安全策略：网络访问控制设备允许管理员设置允许管理员高级访问网络并按照这些规则清除主网

29、络交换设备的规则34。第三是身份和访问管理：访问控制应用程序打破传统计算机网络TCP / IP协议访问巧妙的策略实现，它是基于用户权限来保护网络的安全性和稳定性。 访问控制可以分为四类：1.基于代理的TAC; 2.无代理TAC;内联TAC;带外TAC 35。 （1）基于代理的TAC：这种方法是通过终端添加一个后台软件。通过专用网关或TAC平台实现安全管理。基于代理的TAC灵活性不高，对终端设备上安装的特定探测器才可以实现该功能36。 （2）非代理TAC：此方法不在终端上安装后台探测器，无需使用代理，可以简化网络部署的难度，这样的TAC操作简单。 （3）内联TAC：通过所有终端通信实现及其在三层

30、网关中的运行和部署，可以增强安全策略37。内联TAC方法相对简单，但会导致广播数据在网络中的更多传输。随着网络正常运行时间的增加，内联TAC将增加TOC，这是由于内部广播流量的增加将增加内联设备的数量。 （4）带外TAC：该技术是通过现有的网络基础设施应用来增强网络的安全性。作为终端向数据传输到中央控制设备实现整体战略，这种设备的部署实现复杂。带外TAC技术实现更复杂，但不会对网络传输的性能产生不利影响。2.3 相关开发环境2.3.1集成开发环境 Microsoft Visual C + 6.0（简称VC6.0）是微软推出的一款C +编译器，将“高级语言”翻译为“机器语言（低级语言）”程序38

31、。 Visual C +是一个强大的可视化软件开发工具。自1993年以来，微软推出Visual C + 1.0，然后版本不断更新，Visual C +已经成为首选专业的程序员软件开发工具。虽然Microsoft已经引入了Visual C + .NET（Visual C + 7.0），但它只适用于Windows 2000，Windows XP和Windows NT 4.0有很多限制。所以在现实中，更多的是基于Visual C + 6.0平台。 Visual C + 6.0不仅是C +编译器，而且是基于Windows操作系统的可视化集成开发环境（IDE）39。 Visual C + 6.0包括许多

32、组件，包括编辑器，调试器和程序向导AppWizard、类向导和其它开发工具。这些组件通过称为Developer Studio的组件集成到和谐的开发环境中。2.3.2数据库环境SQL称为结构化查询语言，由圣约瑟实验室为其关系型DBMS最初研究的数据查询语言。 这种查询语言与他的前身相比，结构简单，易于使用，一个能够实现更复杂的功能。 作为IBM在上世纪80年代推出SQL语言后，受到广大用户的推崇40。在当前市场上主流的数据库管理系统中，基本都做了SQL支持，无论是大型数据库如Oracle，还是小型如FoxPro，用户都可以嵌入SQL 19。 不同的数据库系统需要不同的ODBC驱动程序和不同的数据

33、源，但也需要供应商数据库。SQL是一种非流程的高级编程语言，用户可以通过其高水平的数据操作，无论用什么样的用户数据存储方式，无论什么数据结构的形式，用户都可以使用SQL实现数据管理，可以起到接口作用，SQL在执行时可以讲记录集作为处理对象，输入可以是记录集，输出也可以，所以我们说SQL是数据处理的集合，用很多高级语言处理数据记录处理。也反映了SQL处理。在数据库应用系统的开发中，首先了解数据库的基本概念和结构，进一步了解数据库应用程序开发过程，并对应用系统和开发过程有一个清晰的认识41。SQL Server是基于Microsoft平台的基础上开发的关系型数据库系统软件。由于与Windows操作

34、系统的密切关系，它具有扩展，高性能特点，分布式客户端/服务器计算等，SQL Server软件这些条件，为大多数应用程序提供数据存储解决方案。2.4 现代企业网络模式 网络安全不仅仅是一个纯技术问题，不可能只通过技术因素来确保网络安全，管理因素也是不可缺少的。其实网络管理是一个统一的管理和技术问题。网络安全是一个涉及法律、管理和技术因素的复杂人机系统。只有妥善协调三者之间的关系才能有效保护网络安全。网络安全技术，包括硬件因素（如计算机设备故障，通信通道故障等）也是软件相关因素，从应用另一方面的网络攻击保护主要体现在数据和软件中。网络攻击策略主要是利用、改变和瘫痪。主要利用窃听网络通信和计算机上的

35、信息和数据;所谓的变化是欺骗使用数据传输系统、信息等内容，以及入侵网络摧毁数据和软件;所谓麻痹，无用数据块，破坏网络系统瘫痪的方法。考虑到攻击的技术模型，网络安全威胁分为两类：被动威胁和主动威胁。 1企业互联网络结构现代企业，下属企业或子公司在地理上分散，有的甚至在大面积，下属企业建立自己的骨干，但一方面访问公司总部，另一方面进入互联网，连接企业和真正的网络，访问互联网。2企业内部网络结构无论是公司总部网络还是其附属企业网络，其内部网络结构虽然不尽相同，但仔细研究会发现类似。 虽然地理位置相对分散，部分分布在工厂内部，部分分布在建筑物中，但是整个网络提供公共应用服务（也称为公共应用平台）一般由

36、网络中心实施，而这个 网络中心对企业网络管理行使技术权。 网络拓扑如图2-2所示。 图2-2 企业内部网络结构2.5 网络安全模型网络信息安全应包括人员安全、设备安全、物理安全、信息安全、电磁辐射安全、通信安全和工业安全等方面。上述网络安全的要素如图2-3所示。计算机网络实际上是一条通信线路，连接通信双方，通信双方可以传输信息实现资源共享和协同工作，信息传输的核心网络是通过从发送方到接收方的传输信道信息，信息安全传输有三个主要方面，即发送方的安全性和接收方的安全性以及传输路径的安全性。要研究三方网络信息传输的安全性。网络安全模型如图2-4所示，简要介绍了网络信息的要点。 使用安全 操作安全 传

37、输安全网络安全 辐射安全 硬设备安全 工业安全 环境安全 通讯安全 图2-3 网络安全组成的元素 图2-4 网络信息安全模型 （1）传递信息（或消息）需要加密操作，这个操作有两个主要的方法，保证理论不能破坏，计算不可行，有很多经典的加密算法可以使用，数据到达接收通常使用对称密钥加密和公钥加密来执行解密操作。 （2）消息传输通道是网络信息安全的重要因素，考虑传输路径本身的安全问题，还要考虑第三方攻击，整个通信链路数据传输安全可靠。 （3）实际的加密技术有很多方法，如数字签名、报文摘要、数字认证、证书颁发等，有些也需要信任第三方参与。2.6 本章小结 本章主要介绍了本文的基本概念及相关的关键技术，

38、如系统信息采集、用户行为获取、网络数据采集和系统开发、使用环境的介绍、网络安全模型等。第3章 系统需求及算法分析3.1企业背景说明为防止用户在内部网络环境中非法使用计算机系统，根据有关部门的要求制定严格的管理制度，以防止用户对内部网络环境的非法使用，根据有关部门的要求制定严格的管理制度，但在执行过程中多次发现非法复制文件和安装非法软件行为。因此，我们需要采取适当的技术措施，确保管理体系的实施。在研究过程中发现有很多类似的商业软件，但这些商业软件的功能比较复杂，而且实际需要的单位是不同的，所以最终确定了一个小内部网络监控系统，以满足需求。具体应用环境如下，需要监控一个小型内部办公网络的网络环境，

39、主机数量约为50个，使用WINDOWS操作系统，使用交换机进行网络连接，属于同一C网网段，网络和业务内部网络是物理隔离的，主机可以通过路由器访问外部网络，主要用于企业日常工作的学习环境，不允许在网络主机上使用其他相关用途。网络拓扑如图3-1所示。 图3-1 系统应用网络环境3.2功能性需求该系统的功能主要是通过访问控制、实时监控和事件审计等技术手段，对被控主机和系统的运行状态进行有效的监控，并记录用户未经授权的访问行为，作为 安全审计凭证。 对于用户的网络访问等活动也可以用来防止网络连接实现安全管理的方法42。系统的控制主机对用户透明，所以用户具有系统安全管理员的主要功能，包括用户身份管理、实

40、时监控、软件对象管理、硬件对象管理、网络对象管理、文件对象管理。 系统的整体工作如图3-2所示。3.2.1用户身份管理 用户是网络安全检测系统管理领域的所有认证用户的身份，系统中管理员的身份管理。 用户身份管理功能包括创建、修改、删除用于安全检测系统的服务器管理员，以及创建、修改和删除主机的主体信息、角色信息和角色管理策略。管理员级别分为一级管理员和二级管理员，一级管理员可以查看和操作任何信息，二级管理员只能查看信息，无法发送策略信息43。 用户身份管理功能的用例如图3-3所示。3.2.2 实时监控实时监控，包括桌面快照、进程快照、远程目录查看功能，主要是指在线控制机器运行实时监控管理领域。

41、桌面快照，管理员可以实时捕获用户的桌面或按照策略定期抓取用户的桌面存档; 进程快照是指管理员可以查看实时的用户系统进程列表; 远程目录视图是管理员可以查看用户文件信息的目录信息。 实时监控功能如图3-4所示。3.2.3 软件对象管理软件对象管理是管理控制区域网络中所有受控软件对象，包括开发软件黑名单，软件操作控制，即软件黑名单不能在主机上运行。 使用软件对象管理功能如图3-5所示。3.2.4 硬件对象管理硬件对象管理是对受控局域网中所有受控硬件对象的管理，包括硬件清单的生成，硬件报警的非法更改以及状态管理的使用44。 硬件对象管理功能，如图3-6所示。3.2.5 网络对象管理网络对象是控制区域

42、网络中所有受控网络行为的管理，包括设置网站的黑名单和白名单，以及对控制机的流量进行审计和控制。 网络对象的管理功能如图3-7所示。3.2.6 文件对象管理文件控制管理是对LAN上所有机器对象文件的管理，包括审核文件的操作，用户记录文件系统访问行为，如打开、修改、复制文件和用户控制文件操作。 文件对象管理功能如图3-8所示。3.3非功能性需求3.3.1 系统安全需求1用户安全 用户的安全主要包括管理员的安全和用户的安全。 （1）管理员具有系统的最高权限，所以责任是最大的。 管理者必须具有良好的素质和知识素养，熟练掌握网络安全知识，企业有较强的忠诚度，掌握专业的管理技能; （2）严格限制管理员的用

43、户级操作，应在企业网络系统安全计划中设置和调整审计信息等初步操作; （3）用户安全层必须在授予管理员权限的前提下使用企业网络资源，使用其资源，禁止使用系统资源，禁止超出授权的系统运行，禁止披露重要信息和系统 登录密码。 2基础设施安全 （1）硬件设施的安全，包括物理环境安全，硬件设备、物理、机械安全; （2）软件设备的安全性，包括系统安全、网络通信安全、软件应用平台安全、安全管理软件安全。3网络结构安全 （1）包括局域网和广域网之间的隔离和控制，如包过滤、子网防火墙阻塞、网络地址变化等; （2）局域网内的子网安全，包括信息敏感子区域信息资源子网，敏感信息子网和非敏感信息子网的隔离，子网信息和公

44、共信息网络隔离的内部使用，局域网和互联网隔离; （3）未授权或未经授权使用拨号上网方式绕过安全系统。4 传输安全 除了外部公众提供的信息外，在LAN中传输的数据也需要加密; LAN用户之间的信息传输，也是使用认证措施，特别是机密信息也需要加密和保护。 （1）网络边界隔离和访问控制因为系统比较特殊，是网络隔离边界的最重要特征，需要仔细考虑。因此，我们需要使用帧中继网络和访问控制措施。企业内各部门之间必须有网络接入。我们必须确保合法用户同时访问系统，并且未经授权的用户（包括任何企业和其他企业的非授权用户的网络访问请求无法访问系统），系统网络传输平台单元使用帧中继网络，不可控制的因素依然存在（帧中继

45、网络终端网络设备安全等）因此，我们必须强调网络安全隔离和控制单元和帧中继网络45，对于企业网络，由于企业的性质和网络系统的工作水平必须包含有许多重要机密信息。因此，企业网络应分为不同的子网，高安全网络的子网和不可信网络安全分类，推荐安全隔离和访问控制网络安全隔离设备，以确保未经授权的用户访问授权用户。（2）企业传输数据安全企业在网络系统中，由于不同的权限，内部信息的性质不同，不能让非法用户访问，有必要采取适当的措施来保证网络系统的安全性要求。 特别是企业网络系统，由于其性质和工作水平，不可避免地包含了大量的私人信息。 因此，内部网络可以分为多个不同的子网，可以根据具体情况分开，将包含机密信息网

46、络和不包含机密信息网络进行区分; 保密要求特别高的信息需要独立存储，而不是连接到共享网络。3.3.2 系统性能需求1性能需求安全检测系统的性能要求包括：采用独立数据库的集中数据管理，充分利用系统资源，可支持50-100台主机实时监控，远程监控功能响应时间少于1秒。 2高效、功能实用界面简单，使用人员“一目了然”，短时间内可以起到企业网络安全管理系统的作用，系统在服务器中提供了友好的图形用户界面，要求用户操作简单方便 ，操作清楚。 系统还特别设计了用户信息功能，为了更好的增加用户和系统管理员之间的通信，对系统功能进行更好的维护、改进和完善，使企业网络安全系统逐步完善。3 可扩展性本文针对企业网络

47、安全管理体系的设计，因此，我们必须有很好的处理这个问题的能力。 增加网络访问次数。 这就要求数据库系统的改进和数据库系统的扩展，提出了更高、更新的要求。4维护性 系统维护是系统正常运行的先决条件。 更新和备份数据库，也是保证系统安全运行的重要保证。5接口要求 （1）：软件界面：使用Micrisoft SQL Server数据库企业版46，支持Windows XP微软系列操作系统；（2） 通讯接口；系统实时监控部分使用UDP协议，数据库连接采用ADO方式。3.4 模式匹配算法在本文中，实施入侵检测系统，采用模式匹配算法作为网络入侵检测系统的检测引擎核心。 然后，模式匹配算法的性能直接影响了网络入

48、侵检测系统的检测效率。 特别是在高速网络中，如果模式匹配算法不能及时处理数据的实时数据包，会导致丢弃一些数据包，如果这些数据包包含入侵信息网络，会导致网络入侵 检测系统缺失。 因此，模式匹配算法非常重要。 在本文中，我们使用多模式匹配算法。 WM多模式匹配算法由Sun Wu和Udi Manber于1994年提出，该方法工艺简单、效率高。WM算法首先预处理模式字符串。 预处理阶段创建三个表：SHIFT表、HASH表和PREFIX表。 SHIFT表用于在扫描文本字符串时根据读取的字符串确定可跳过的字符数。 HASH表用于存储多个模式字符块的HASH值。 PREFIX表用于存储第一个字符串和第一个字

49、符哈希值。 WM算法的主要过程匹配：每个扫描B字符：。 （1）扫描文本的末B位通过hash function函数计算其哈希值h。 （2）检查SHIFT表，如果SHIFT h 0，文本指针向右SHIFT h位，执行（1），SHIFT 3 = 0执行（3）。 （3）计算前一个m位的当前位置和前一个m-1前缀的哈希值，记录为text_prefix。 （4）对于每个p（HASH h pHASH h + 1），看是否PREFIX p = text_prefix。 如果它们相等，则让真实模式字符串按照字符进行匹配。WM算法的总时间复杂度为O(M)+O(BN/m)=O(mp)+O(BN/m)。 WM算法平均

50、时间复杂度O(BN/m)，其中B是块字符的长度，N是文本的长度，m是模式字符串的最短长度。 O(M）是计算哈希值所需的时间，O（mp）是所有非零移动所需的时间。3.5 本章小结 本章对网络安全检测系统的需求背景进行了简要介绍，分析了系统的整体功能，对子功能进行了用例描述，最后描述了系统的性能、易用性、接口等非功能性的要求，并对本文采用的模式匹配算法进行了说明。第4章 企业计算机网络安全系统的设计4.1系统拓扑结构和软件逻辑构成4.1.1 系统整体拓扑结构C / S模式是一种两层结构的系统：第一层是在客户端系统中，结合业务逻辑，第二层是网络与数据库服务器。 该模型主要包括客户应用、服务器管理和中

51、间件三部分。 首先，互动是固有的优势。 在C / S中，客户端有一套完整的应用程序，错误的提示，在线帮助等功能非常强大，可以自由切换子程序。 其次，该模型提供了更安全的访问模式。 由于C / S配置是点对点结构，因此适用于局域网，因此可以确保安全性。 在实现中，我们使用C / S架构的网络安全检测系统，其主要原因是考虑小规模应用，实时要求，系统使用的结构如图4-1所示。 图4-1 安全监测系统网络拓扑4.1.2 系统整体拓扑结构 软件系统由部署在受控机器上的安全检测代理和部署在安全检测服务器上的主程序和系统数据库组成。 主要控制方案负责政策管理和管理控制要求。 安全检测代理读取并执行管理策略响

52、应控制终端程序管理控制请求。 系统数据库用于存储策略和审计信息47。 系统软件的逻辑结构如图4-2所示。管理控制请求求 主控端软件（安全监测服务器） 安全监测代理（被控主机）管理控制请求响应 户籍信息管理系统管理策略读取管理策略下发用户信息审计信息上报 图4-2 系统软件逻辑构成4.2系统功能设计系统的整体结构分为六个管理模块：用户身份管理模块、实时监控模块、硬件对象管理模块、软件对象管理模块、网络对象管理模块和文件对象管理模块，如图4-3所示。 网络安全监测系统用户身份管理模块硬件对象管理模块软件对象管理模块实时监控模块文件对象管理模块网络对象管理模块 图4-3 系统整体功能框图4.2.1

53、用户身份管理功能设计用户身份主要是完成系统用户的添加、删除等功能。 系统使用基于角色的访问控制模型来实现用户身份管理，主要操作包括新建角色和删除角色。 选择角色时，可以修改角色（修改角色名称和角色描述）和控制规则设置。 其中，控制规则由选定的策略开发，新策略的作用应写入数据库和安全检测代理应用的新策略。 图4-4显示了用户角色的新建处理流程。 开 始 注册登录提示：没有权限 N是一级管理吗 Y输入角色名制定角色策略数据库角色表中插入新角色 N插入是否成功提示：插入失败 Y 结束图4-4 角色新建逻辑处理流程在创建角色的过程中，首先确定管理员权限。 有权重名检测。 如果没有重复的名称，请在数据库

54、中创建一个新角色，填写角色名称和策略选项。 插入成功返回处理结果，否则插入失败。 4.2.2 实时监控功能设计实时监控主要包括主机的进程列表的在线控制，实时桌面和文件目录的查看和记录。 设计思路是使用UDP部署控制主机检测代理发送监控命令，检测代理程序接收控制指令，根据执行指令分析实现本地列表读取，实时桌面截图、文件目录信息读取操作，并返回相应的信息。 服务器获取进程快照，如图4-5所示。 开 始发送指令次数递增 UDP发送进程监控指令 初始化等待时间是否收到UDP包 Y 时间变量自增 N N等待时间是否大于阈值？ N等待时间是否大于阈值？ Y显示进程信息暂存进程信息 Y 解析数据包传输故障提

55、示 结束图4-5 读取被控主机进程信息安全检测代理的进程监控处理逻辑如图 4-6 所示。实时监控文件目录采集和桌面快照的逻辑处理过程和进程监控类似于检测代理，读取相应的信息返回服务器返回相应的查询结果。 最后，通过安全检测服务器在管理员的用户界面上显示输出。 开 始 获取进行信息和列表指令获取进程信息列表结构发送进程信息列表结构 Y是否收到主控端确认信息？ 发送次数自增 N N传送次数是都大于阀值？ Y 日志记录 结束 图4-6安全检测代理的进程监控流程4.2.3 软件对象管理功能设计 软件对象管理的主要功能是安全检测服务器将软件黑白列表策略发送给受控主机。 政策实施安全检查局禁止黑名单软件在

56、主机上执行。 服务器处理流程如图4-7所示。 开 始选择被控主机选择软件黑白名单打开数据库软件黑白名单表 修改添加记录更新记录是否成功？ N Y 通知监测代理 提示操作失败 结束 图4-7 软件黑白名单设置流程设置软件黑名单后，软件向检测代理发送黑白列表更新通知，接收检测代理通知数据库，读取新软件黑名单和白名单，并按照新功能执行软件对象控制策略名单。安全检测代理软件检测过程如下： 1.获取软件黑名单和白名单;2.采集系统的第一个过程;3.确定进程是否在软件黑名单中，是否杀死进程，否则转到下一步;4.确定是否完成该过程，下一步是获取下一个系统进程;5.等待系统创建过程，如果系统创建一个新进程来确

57、定进程是否在软件黑名单中，如果在禁止创建，或者继续等待，过程如图4-8所示。 开 始获取软件黑名单获取系统第一个运行进程进程是否在软件黑名单中? N Y Y 结束进程 等待系统创建进程进程获取完 N是否创建进程 获取下一系统进程 N N新建进程是否在软件黑名单中 Y Y 禁止进程创建图4-8 软件运行控制处理流程4.2.4 硬件对象管理功能设计 硬件对象管理主要完成收集主机的硬件列表，硬件设备更改的警告和外围设备的信息采集。当安全检测服务器获得受控主机的硬件列表的处理流程时，选择指定主机，数据库查询控制主机硬件清单信息，并将其显示在屏幕上。 处理过程如图4-9所示。 开 始在主机列表选择某个被

58、控主题打开被控机硬件信息表 点击硬件清单页 查询指定被控主体的硬件信息 解析数据包 N查询操作是否成功 提示用户查询操作失败 Y 列表显示硬件清单信息 结束图4-9 安全检测硬件信息查询流程 为了确保安全检测服务器能够读取主机硬件清单表，安全检查代理必须定期检查机器的硬件清单并与数据库同步：1.安全检测代理在每次启动时获取数据库服务器中硬件对象的当前列表。2.与本地硬件对象列表中的缓存数据相比，安全检测代理程序可以访问数据库服务器硬件对象列表。3.如果比较结果相同，则不执行任何操作;4.如果比较结果不同，请更新本地硬件对象列表，并在执行本地日志记录时更新数据库，如图4-10所示。 开 始被控端

59、启动时从数据库获取本地硬件清单被控端启动时获取本地主机缓存硬件清单比较两个清单是否相同 Y 更新本地硬件 清单 N将该硬件清单写入数据库 在本地日志中记录该次事件 结束图4-10 安全检测代理硬件检测流程4.2.5 硬件对象管理功能设计外设管理可以启用或禁用主机的一些外设接口（软盘、光驱、调制解调器拨号）。 当外设接口启用或禁用指令时，安全检查代理将允许或禁止主机用户基于这些外设接口来操作应用程序。 处理流程如下： 1.当安全检测代理接收到新的外设策略以更改消息时，删除该策略并将其缓存，并对其进行预处理。 安全检查服务器命令格式标准化为标准命令格式，根据命令分类调用相应的模块处理;2.安全检测

60、代理人从政策中获得相应的角色作用，查询所有策略，确定政策是否发生变化或改变了政策;3.如果策略不变，则清除缓存并退出，否则执行新策略;4.更新策略并删除缓存;5.更新时间为系统日志记录，如图4-11所示。 开 始获取外设策略变更消息从接收队列中取策略 策略缓存策略是否变更？ 执行新策略 N Y替换策略，删除策略缓存 做日志 结束图4-11 外设使用管理处理流程4.2.6 网络对象管理功能设计网络对象管理主要用于网络访问控制和网络流量审计。 由安全检测服务器发布的黑名单和白名单访问，由安全检测代理在控制机器上发布访问控制策略的实现; 流量审计由安检机构统计和记录，服务器可以通过数据库查询主机流量统计信息。 安全检查代理网站黑白名单是：1.分析站点黑白列表：提取不允许或允许从列表中访问的站点。2. 网址过滤：控制主机请求每个URL和列表中的URL匹配，如果网站的请求是合法的，则进行正常访问; 如果非法，屏蔽，如图4-12所示。 开 始 N网址是否过滤 Y分析网址黑白名单网址过滤 结束图4-12 网址黑白名单控制处理流程流程审核流程如下：1.安全检测代理记录本地流量：主机在捕获单元时间内控制的所有网络报文，实时流量计算。2.安全检测代理分析本地流量：实时流量与规定的合法峰值比较，如果一段时间（段落的长度可以指定），本地流量超