前言:中文期刊网精心挑选了网络安全技术设计范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全技术设计范文1
关键词:网络安全;蜜罐技术;蜜网技术;入侵检测;虚拟机;VMware
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)29-0340-02
The Project Design of Honeypot Deployment Based on Network Security
SHI Ze-quan
(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)
Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.
Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware
计算机及其网络技术的应用已深入各行各业,特别是企事业单位的日常管理工作更是紧密依赖网络资源。基于此,保证网络的正常运行就显得尤为重要。目前,广泛采用的安全措施是在企业局域网里布设网络防火墙、病毒防火墙、入侵检测系统,同时在局域网内设置服务器备份与数据备份系统等方案。而这些安全网络防火墙、入侵检测系统真能有效地保证系统的安全吗?做到了这一切系统管理员就能高枕无忧了吗?
1 问题的提出
图1为现实中常用的二层网络拓扑结构图。从图中可以看出,网络防火墙与入侵检测系统(IDS)均部署在网络入口处,即防火墙与入侵检测系统所阻挡是外网用户对系统的入侵,但是对于内网用户来说,内部网络是公开的,所有的安全依赖于操作系统本身的安全保障措施提供。对一般的用户来讲,内网通常是安全的,即是说这种设计的对于内网的用户应该是可信赖的。然而对于诸如校园网的网络系统,由于操作者基本上都是充满强烈好奇心而又具探索精神的学生,同时还要面对那些极少数有逆反心理、强烈报复心的学生,这种只有操作系统安全性作为唯一一道防线的网络系统的可信赖程度将大打折扣。
另一方面,有经验的网络管理员都知道,网络中设置了防火墙与入侵检测系统并不能从根本上解决网络的安全问题(最安全的方法只能是把网络的网线拨了),只能对网络攻击者形成一定的阻碍并延长其侵入时间。操作者只要有足够的耐心并掌握一定的攻击技术,这些安全设施终有倒塌的可能。
所以,如何最大可能地延长入侵者攻击网络的时间?如何在入侵虽已发生但尚未造成损失时及时发现入侵?避开现有入侵检测系统可以侦测的入侵方式而采用新的入侵方式进行入侵时,管理者又如何发现?如何保留入侵者的证据并将其提交有关部门?这些问题都是网络管理者在安全方面需要经常思考的问题。正是因为上述原因,蜜罐技术应运而生。
2 蜜罐技术简介
蜜罐技术的研究起源于上世纪九十年代初。蜜罐技术专家L.Spitzner对蜜罐是这样定义的:蜜罐是一个安全系统,其价值在于被扫描、攻击或者攻陷。即意味着蜜罐是一个包含漏洞的诱骗系统。它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人设计的。它通过模拟一个或多个有漏洞的易受攻击的主机,给攻击者提供十分容易受攻击的目标。
如图2所示,蜜罐与正常的服务器一样接入核心交换机,并安装相应的操作系统和数据库管理系统,配置相应的网络服务,故意存放“有用的”但已过时的或可以公开的数据。甚至可以将蜜罐服务器配置成接入网络即组成一台真正能提供应用的服务器,只是注意将蜜罐操作系统的安全性配置成低于正常的应用服务器的安全性,或者故意留出一个或几个最新发现的漏洞,以便达到“诱骗”的目的。
正常配置的蜜罐技术一旦使用,便可发挥其特殊功能。
1) 由于蜜罐并没有向外界提供真正有价值的服务,正常情况下蜜罐系统不被访问,因此所有对其链接的尝试都将被视为可疑的,这样蜜罐对网络常见扫描、入侵的反应灵敏度大大提高,有利于对入侵的检测。
2) 蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。如图二, 正常提供服务的服务器有4个,加入4个蜜罐,在攻击者看来,服务器有8个,其扫描与攻击的对象也增加为8个,所以大大减少了正常服务器受攻击的可能性。同时,由于蜜罐的漏洞多于正常服务器,必将更加容易吸引攻击者注意,让其首先将时间花在攻击蜜罐服务器上。蜜罐服务器灵敏的检测并及时报警,这样可以使网络管理员及时发现有攻击者入侵并及时采取措施,从而使最初可能受攻击的目标得到了保护,真正有价值的内容没有受到侵犯。
3) 由于蜜罐服务器上安装了入侵检测系统,因此它可以及时记录攻击者对服务器的访问,从而能准确地为追踪攻击者提供有用的线索,为攻击者搜集有效的证据。从这个意义上说,蜜罐就是“诱捕”攻击者的一个陷阱。
经过多年的发展,蜜罐技术已成为保护网络安全的切实有效的手段之一。对企事关单位业务数据处理,均可以通过部署蜜罐来达到提高其安全性的目的。
3 蜜罐与蜜网技术
蜜罐最初应用是真正的主机与易受攻击的系统,以获取黑客入侵证据、方便管理员提前采取措施与研究黑客入侵手段。1998年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开放性源代码工具,如Fred Cohen所开发的DTK(欺骗工具包)、Niels Provos开发的Honeyd等,同时也出现了像KFSensor、Specter等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务并对黑客的攻击行为做出回应,从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低、较容易被黑客识别等问题。从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中.使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜网技术的模型如图3所示。由图中可以看出,蜜网与蜜罐最大的差别在于系统中多布置了一个蜜网网关(honeywall)与日志服务器。其中蜜网网关仅仅作为两个网络的连接设备,因此没有MAC地址,也不对任何的数据包进行路由及对TTL计数递减。蜜网网关的这种行为使得攻击者几乎不可能能觉察到它的存在。任何发送到蜜网内的机器的数据包都会经由Honeywall网关,从而确保管理员能捕捉和控制网络活动。而日志服务器则记录了攻击者在蜜罐机上的所有的行为以便于对攻击者的行为进行分析,并对蜜罐机上的日志进行备份以保留证据。这样攻击者并不会意识到网络管理员正在监视着他,捕获的行为也使管理员掌握了攻击者使用的工具、策略和动机。
4 蜜罐部署
由前述内容可以看出,蜜罐服务器布置得越多,应用服务器被扫描与攻击的风险则越小,但同时系统成本将大幅度提高,管理难度也加大。正因为如此,实际中蜜罐的部署是通过虚拟计算系统来完成的。
当前在Windows平台上流行的虚拟计算机系统主要有微软的Virtual Pc与Vmware。以Vmware为例,物理主机配置两个网卡,采用Windows2000或Windows XP操作系统,并安装VMwar。建立一台虚拟机作为蜜网网关,此虚拟机设置三个虚拟网卡(其虚拟网卡类型见图4),分别连接系统工作网、虚拟服务器网与监控服务器。虚拟服务器网根据物理主机内存及磁盘空间大小可虚拟多个服务器并安装相应的操作系统及应用软件,以此诱惑黑客攻击。蜜网服务器用于收集黑客攻击信息并保留证据。系统拓扑结构如图4所示。
系统部署基本过程如下:
4.1 主机硬件需求
CPU:Pentium 4 以上CPU,双核更佳。
硬盘:80G以上,视虚拟操作系统数量而定。
内存:1G以上,其中蜜网软件Honeywall至少需要256M以上。其它视虚拟操作系统数量而定。(下转第346页)
(上接第341页)
网卡:两个,其中一个作为主网络接入,另一个作为监控使用。
其它设备:视需要而定
4.2 所需软件
操作系统安装光盘:Windows 2000或Windows 2003;
虚拟机软件:VMware Workstation for Win32;
蜜网网关软件:Roo Honeywall CDROM v1.2,可从蜜网项目组网站(一个非赢利国际组织,研究蜜网技术,网址为)下载安装光盘。
4.3 安装过程
1)安装主机操作系统。
2) 安装虚拟机软件。
3) 构建虚拟网络系统。其中蜜网网关虚拟类型为Linux,内存分配为256M以上,最好为512M,硬盘空间为4G以上,最好为10G。网卡三个,分别设为VMnet0、VMnet1和VMnet2,如图4所示。
4) 在蜜网网关机上安装honeywall,配置IP信息、管理信息等。
5) 在蜜网网关机上配置Sebek服务器端,以利用蜜网网关收集信息。
6) 安装虚拟服务器组,并布设相应的应用系统。注意虚拟服务器组均配置为VMnet1,以使其接入蜜网网关机后。
7) 在虚拟服务器组上安装并配置sebek客户端。
8) 通过监控机的浏览器测试蜜网网关数据。
总之,虚拟蜜网系统旨在利用蜜网网关的数据控制、数据捕获和数据分析等功能,通过对蜜网防火墙的日志记录、eth1上的嗅探器记录的网络流和Sebek 捕获的系统活动,达到分析网络入侵手段与方法的目的,以利于延缓网络攻击、改进网络安全性的目的。
参考文献:
[1] 王连忠.蜜罐技术原理探究[J].中国科技信息,2005(5):28.
[2] 牛少彰,张 玮. 蜜罐与蜜网技术[J].通信市场,2006(12):64-65.
[3] 殷联甫.主动防护网络入侵的蜜罐(Honeypot)技术[J].计算机应用,2004(7):29-31.
[4] 叶飞.蜜罐技术浅析[J].网络安全技术与应用.2007(5):36-37.
网络安全技术设计范文2
1.自然存在的因素
因为计算机网络是通过电磁波传播信息的,所以在网络信息传输的过程中,会受到一些外界因素如地磁场等的影响,这样就会造成信息传送出现误差。另外,有可能是网络在最初设计时,就存在一定的缺陷,使其安全性降低。加上网络的复杂性不利于管理人员的管理,和网络系统大多数是资源共享的,为黑客的入侵提供了便利,因此使网络变得更加脆弱。
2.管理不到位造成的问题
计算机网络是需要管理的,管理不当会给企业造成损失。
二、计算机网络的安全技术
网络全世界每个人都可以访问,访问的方式千变万化,和网络行为具有突发性等特点。网络的安全必须制定各种策略,并加强管理制度。为保障网络的安全,需要采取多个方面的技术手段和策略。对计算机网络的危害可能随时出现并发动攻击,因此采取有效的措施保障网络的安全是非常必要的。常用的防范措施有:
1.检测非法入侵技术
为了构建计算机网络的安全环境,要对黑客的入侵进行严格有效的阻止,这就需要使用检测入侵的技术。当使用入侵检测系统时,是监控和检测整个网络系统所包含的各项数据。继而,当入侵源被检测到后,检测系统就会对入侵源进行相应的措施,使计算机网络的安全性大大地提高。此外,为了彻底消除同类入侵的危害,这就需要检测系统还要有追踪入侵源的功能,这样,就可以彻底销毁入侵源。也能更好地保护我们使用计算机网络的安全。
2.预防病毒的技术
计算机病毒是威胁计算机网络安全的主要因素,也是危害最大之一。所以,预防计算机病毒是非常重要的,这就需要一套完善的预防计算机病毒的系统。随着科学技术的发展,越来越多的杀毒软件出现在我的视野中。这些杀毒软件可以很好地防范计算机病毒的入侵,保障计算机网络的安全。与此同时,杀毒软件中还自带更新和升级的功能,这就可以使杀毒软件不断适应新的计算机病毒,进行预防和检测。从而更好地保护计算机网络的安全。
3.建立防火墙
防火墙是一个建立在专用网络和公用网络之间,对访问起到一个控制限制作用的系统。防火墙相当于给计算机网络加了一个保护层。有了防火墙的保护,可以保障网络环境的安全不被黑客和计算机病毒所入侵,从而起到保护的作用。由于,防火墙是对访问有所限制,所以可以过滤掉非法入侵源,保护计算机网络,使其正常的运行。每个防火墙体系之间没有影响,所以,在计算机网络中可以安装多个防火墙体系,这样可以更大地保护计算机网络,提高安全性。
4.安全漏洞扫描技术
因为漏洞是在网络使用中产生的,会给网络造成危害,所以修补漏洞也是必不可少的,这就需要漏洞扫描技术,先找到漏洞,再进行修补。安全漏洞扫描技术是自动扫描远程或本地主机在安全性上相对薄弱的地方,可使使用者在危险来临之前将漏洞修补好,避免造成危害。随着科技的进步,在使用计算机网络的过程中产生的漏洞也在不断的更新,要想更好地修补漏洞,安全扫描仪器也要不断地更新,才能更好地防范计算机病毒的入侵,从而保护计算机网络的安全。
5.数据加密技术
信息安全的核心和最基本的网络安全技术是数据加密。应用此项技术时,信息在传送中是以密文的形式存在的,非接受人不能从中得到信息的内容,使信息内容不外泄。从而可以很好地保障信息在储存和传送中的安全,增加保密性。不会发生因信息外泄而带来不必要的麻烦。
6.安全隔离技术
随着科学技术的进步,计算机网络遭受的攻击越来越多样化,层出不穷的攻击方式,迫使这新的技术诞生,就使得“安全隔离技术”应运而生。它的目的是,在使用网络交换信息时,把有害攻击阻挡在网络之外,使信息交换能够安全进行。
7.黑客诱骗技术
近期进入人们视野中一种网络安全技术是黑客诱骗技术。这一技术是由一个网络安全专家设计的一个特殊系统来诱惑黑客,使其进入圈套,追踪黑客并找到他。这一系统主要是专家利用伪装,让黑客不知不觉地犹如蜜蜂追着花朵走,使其进入虎口还不自知。
三、更好的发展计算机网络所采取的措施
为了能更好的把计算机网络的安全性提高,理应采取多种技术同时对计算机网络进行防范。只采用技术手段是远远不够的,必须加上合理的管理方式,才能更好地保障计算机网络的安全。建立合理的访问权限政策,培养优秀的管理人才,加大对网络安全的管理,制定相关管理政策,对于网络的安全性、可靠性有明显的提升作用。
四、结语
网络安全技术设计范文3
关键词:交换机 路由器 安全技术 实施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)11-0185-01
目前大多数的企事业单位接入Internet网,通常都是在企业出口部署一台路由器与ISP连接实现。这台路由器就是沟通外部Internet和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。考虑到路由器的作用和位置,路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。交换机的安全性能已经成为网络建设必须考虑的重中之重。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
1 设置强壮的管理口令
口令是交换机用来防止非授权访问的主要手段,是交换机本身安全的一部分。必须修改默认的口令,并避免使用普通的口令,并且使用大小写字母+数字+特别符号混合的方式作为更强大的口令规则。尽可能使用Enable Secret特权加密密码,而不使用Enable Password创建的密码。
利用enable secret命令设置密码,并选择一个长的口令字(至少8位),该加密机制是IOS采用了MD5散列算法进行加密,这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。
2 控制VTY
(1)配置VTY的Telnet访问控制安全,利用ip access-class限制访问VTY的ip地址范围。
(2)建议用SSH代替Telnet
Telnet是管理员们连接至交换机的主要通道,但是在Telnet会话中输入的每个字节都将会被明文发送,这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息。因此,使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。
3 防止盗用内部IP地址
攻击者可以盗用内部IP地址进行非法访问。利用ARP命令在局域网内将MAC地址与IP地址进行绑定来解决这个问题。
4 确保SNMP协议的安全
如果没有用到SNMP功能,建议禁止SNMP协议服务。尽量采用Snmp V3。如果必需采用Snmp V1,必须修改默认的community,如public,private等。
5 禁用不必要的服务
由于早期版本的交换机操作系统存在多个严重的安全漏洞,使得攻击者可以远程越权获取到交换机的完整配置文件,因此建议在路由器上使用命令:no ip http server禁止HTTP服务。
Cisco公司的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。如禁止CDP、Finger服务、BOOTP服务、IP Source Routing、ARP-Proxy服务、IP Directed Broadcast、IP Classless、DNS查找等。
6 及时升级和修补IOS软件
IOS(Internetwork Operating System)是Cisco交换机和路由器中的操作系统,以映象文件(.bin格式)的形式保存在交换机的闪存中。同其它的操作系统一样,Cisco公司每年都会定期新的IOS操作系统,升级IOS的主要目的是:
6.1 修补漏洞,消除BUG
同其它的操作系统和应用软件一样,Cisco交换机和路由器的IOS操作系统,每年都会被发现大约几十个漏洞,通常情况下这些漏洞会带来严重的安全风险。因此,需要定期更新Cisco公司的新版IOS,来修补这些漏洞。
6.2 增加新功能
由于交换机和路由器的特殊性,新版IOS的,除了针对漏洞的修补以外,还会增加新的功能。如果交换机的功能无法满足工作需要,也可以升级IOS来解决。比如,早期的交换机不支持SSH、HTTPS、SNMP V3等安全功能,可以通过升级为支持加密功能的K9版IOS,来实现这些功能。
6.3 解决交换机兼容性问题
一个规模较大网络的交换机或路由器通常都是逐年分批采购的,不同批次交换机的IOS版本肯定不一样。通过将IOS全部升级为最新修订版,可以减少因IOS版本不同而引发交换机之间不兼容的隐患,避免配置管理上的不一致性。
在升级过程中,需要注意以下几点:
①尽力保障电力供应,避免升级过程中断电或重启交换机和路由器,否则会导致升级失败。②要从正规渠道获取IOS文件,如Cisco的官方网站和授权的经销商,以保证IOS的权威、干净和完整。③要注意版权问题,不要侵犯版权。④升级完成之后,一定要进行安全性、可靠性测试,密切注视升级后的网络运行情况,如有异常及时处理。
参考文献
[1]解艳.浅析网络设备安全[J].科技信息,2011,(25).
[2]覃毅,王欢.网络设备与网络安全[J].计算机安全,2010,(06).
网络安全技术设计范文4
计算机信息管理技术被广泛应用于社会发展的各个领域之中,尤其在网络安全中的应用对于整个网络系统来说是必不可少的,与计算机用户的实际利益和社会整体的发展方面都存在着不可分割的密切联系。因此将计算机信息管理技术应用于网络安全时,要注重对信息管理技术进行不断的研究与探索,将应用中的出现的安全问题控制在技术可以进行管理的范围内。IP地址、域名等都是将计算机信息管理技术在网络安全中应用的具体内容,除此之外还有诸多其他内容,这些内容都能对恶劣信息的攻击进行有效的防御。计算机信息管理技术在网络安全应用中必须要进行的工作就是每天对信息管理技术的安全性进行实时的监测。由于对网络安全存在威胁的各种不安全因子具备多样性和不确定性的特征,常常导致在对信息管理技术的安全性进行监测时出现难以辨别的混乱问题,所以在平时的应用中,就需要做好随时应对突发状况的准备,提高计算机信息管理技术在网络安全应用中的警惕性,以便在问题发生时能够进行采取快速的、准确的解决方法。控制信息的访问是整个信息资源的起点,是将计算机信息管理技术应用于网络安全中的重要组成部分,对控制信息的访问,要求对不同用户的具体信息和将信息公之于众的安全性进行严格的控制和全面的把握。针对计算机信息管理技术在网络安全中应用的问题,需要相关人员提高警惕,提高对计算机信息管理技术的重视程度,并制定出应对网络安全应用问题的改善策略。
2网络安全应用问题的改善策略
2.1加强安全风险的遏制与防范意识
提高对计算机信息管理技术在网络应用中的安全性,首先需要加强相关人员对容易威胁网络安全的不安全因子的恶意攻击的遏制与防范意识,让相关人员了解计算机信息管理技术对于网络安全的重要性,从而引导他们对计算机信息管理技术投入足够的重视。由于计算机信息管理技术在网络安全中的应用关系到计算机用户的切身利益甚至关系到社会整体的发展,致使其在网络安全中的应用具有紧迫性和艰巨性。为了提高计算机信息管理技术在网络应用中的安全性,很有必要做好安全风险的防范措施,加紧对计算机信息管理技术的研发和革新,使其紧跟时展的脚步,将应用中存在的安全问题控制在技术可以进行管理的范围内。
2.2进行信息管理技术上的控制
在相关人员树立了安全风险的遏制与防范意识之后,还需要对计算机信息管理技术进行控制。在提高计算机信息管理技术在网络应用中的安全性的相关策略中,控制处于十分重要的核心地位,和许多因素都存在着或多或少的关系,因此也容易受到这些因素的影响,只有在对众多影响因素进行综合分析的基础上,建立并完善信息的安全化管理体系才能够实现对信息管理技术控制的合理且顺利的实施。另外一定要注意可以实施的实际范围,将信息管理技术的安全化管理体系建立在这个范围之内。除此之外,还要加强对计算机信息管理技术的研发创新力度,增强其自身实力以更好的面对突如其来的风险,同时还要对计算机信息管理技术在网络中的应用做好明确的分工工作,以保证计算机信息管理技术在网络中的应用可以顺利的进行。
2.3加强对计算机信息管理技术的管理力度
安全化管理是计算机信息管理技术在网络应用中需要首先解决的问题,需要相关人员投入更多的时间和精力,加强对其的重视程度。使计算机信息管理技术的管理力度得到强化将直接有利于提高计算机信息管理技术在网络应用中的安全度。强化计算机信息管理技术的管理力度实际上就是将管理的内涵和理论进行延伸,使其延伸到关于计算机安全问题的防范以及相关的体制、机制之中。计算机信息管理系统跟随社会现代化发展的脚步,逐渐被广泛应用于社会的各个发展领域,诸多的信息化、现代化因素包含在计算机信息管理技术体系之中。加强对计算机信息管理技术的管理力度,主要还是从防范不良因素的入侵攻击入手。
2.4建立健全计算机信息技术网络安全管理的相关制度
建立健全计算机信息技术网络安全管理的相关制度同样是保障网络安全的重要措施,相关的制度规范要包括对工作人员日常行为的完善,以及计算机信息技术网络安全系统的组建等相关内容。另外还需要建立健全计算机的防病毒体系,对杀毒软件进行及时的更新与升级,以防止病毒、黑客的入侵。还要对落伍的电脑进行及时的更换,并及时配备更新升级后的软硬件,并在计算机的使用场所安装防火设备,将火灾隐患消灭在萌芽状态。
2.5创建健全的、安全的计算机信息管理技术的模型
创建健全的、安全的计算机信息管理技术的模型对于安全风险的有效防范以及强化计算机信息管理技术的安全管理力度等方面都起着非常关键的作用。只有在进行详细周全的规划安排的基础上,创建健全的、安全的计算机信息管理技术模型才能早日使计算机网络信息的使用环境变得更加健全与安全。如今健全的、安全的计算机信息管理技术模型已经在计算机信息管理技术的安全化管理中得到了初步的建立。并且在进行了大量的研究、探讨和借鉴之后,对计算机信息管理技术在网络应用中的安全化管理的规划安排进行了合理的丰富,实行混合模式的安全化管理方式,得到了政府以及许多专业的厂家的期望和肯定,健全的、安全的计算机信息管理技术的模型在将来一定会得到更多的认可,拥有广阔的发展前景,将对强化计算机信息管理技术的安全管理以及促进社会各个领域的现代化发展提供强有力的动力支持。
2.6加强操作系统的安全防护
在正式使用计算机之前,需要为计算机安装相关的扫描和病毒查杀的软件,利用这些软件排除计算机存在的系统漏洞,并针对具体的漏洞制定出相应对的补救措施,以提高计算机信息技术的网络安全性。另外对于操作系统安全防护措施的强化需要对计算机使用者的真实身份进行验证,抵制病毒和黑客的不良攻击。同时需要完善相应的法规制度,为良好的网络环境的营造提高制度上的保障。
3结语
网络安全技术设计范文5
关键词:虚拟化;虚拟机;资源池;网络安全;实验平台
引言
目前,计算机网络在各领域得到了广泛的应用,网络带给了人们极大的便利,但是网络安全的问题也日益突出,网络安全问题在国际上得到了各国的高度重视[1]。在我国,2015年,网络空间安全一级学科设立;2016年通过了《中华人民共和国网络安全法》,这体现了国家对网络安全的重视。我国还成立了中央网络安全和信息化领导小组,全力打造网络安全强国。因此,培养高素质网络安全人才,必须引起高校相关专业的重视。在网络安全类课程实验中,行业热点更新快,实验内容相对滞后,同时实验对网络安全设备要求种类多,经费投入大,并且攻防实验、病毒实验对设备、操作系统及网络软件环境具有破坏力,维护恢复实验环境工作量大,给管理带来不便[2]。因此,目前网络安全实验大多只进行演示实验和简单验证实验,不能进行综合性设计性实验。随着虚拟化技术和云计算的发展应用,通过研究发现,在网络安全实验环境建设中,科研利用虚拟化技术来解决现存在的问题[3]。通过建立硬件资源池,学生在虚拟机上实验,能够实现多种操作系统环境,不仅能尽量利用硬件资源,减少投入,而且管理方便,易于维护和升级。
1现状及问题
相较于最早的主机+网络安全设备模式,目前,网络安全实验室已经利用一些虚拟仿真软件,做了一定的优化,主要有两种方式组织,一种是单机虚拟PC+网络安全设备。利用vmware,用户可创建多个虚拟PC,模拟出windowslinux多系统环境,不需要进行系统重启切换,能进一步减少投入,解决电脑台套数问题和软件环境维护问题[4],但是由于虚拟PC与真实环境中的设备通信存在问题,故障率高,而且,网络安全设备的投入还是很大,升级慢。另一种是单机+模拟安全设备,利用packettracer、GNS3等模拟器来模拟一些防火墙[5],路由器等设备。但是,由于这些软件主要用于拓扑组网,路由管理维护方面的网络实验,在模拟网络安全设备方面运行不稳定,功能少,能实现的实验类型非常有限,只能做简单的访问控制和等实验。而且不能模拟服务器、linux多系统环境,实验受到较大限制。由于实验条件的以上限制,导致了目前网络安全教学普遍重理论,轻实验,这与课程的特性不符,理论知识过于枯燥抽象,导致学生没兴趣,学不好。但是,网络安全类设备更新快,价格昂贵,实验环境投入大,维护难,导致设备台套数不够,同等设备大量购置又存在经费投入大,场地占用大等问题。综上,目前网络安全实验存在的问题有:实验对网络安全设备要求种类较多,经费投入大,并且实验过程对设备、实验操作系统及网络软件环境具有破坏力,维护恢复实验环境工作量大,给管理带来不便。目前,有研究者提出利用云计算虚拟机技术来解决这些问题,取得较好的效果[6]。
2实验平台设计与实施
2.1平台设计原理
虚拟化技术是一种资源管理技术,将实体硬件资源(服务器、存储、网络等)抽象、重组,组成同一的资源池,在此基础上虚拟出多台逻辑上独立的设备。多个虚拟机可以运行在一台物理机器上,相互之间互不影响,大大提高资源利用率,减少维护成本。虚拟化技术运行原理如图1所示。图1虚拟化技术图利用这一特性,本实验平台可以在物理资源池基础上虚拟出多种操作系统:windows、linux,以及网络设备和网络安全设备,因此在网络安全实验平台中应用虚拟化技术,能较好解决现存的问题。目前主流的有KVM、Xen等虚拟化技术,通过对比,Xen具有开源免费、性能高比较好的优势,因此本文选用Xen虚拟化技术。
2.2设计思路
利用成熟的虚拟化技术,打造一个虚拟化网络安全实验平台,平台具有可扩展性,首先,是硬件资源可扩充性,根据实验需求,可以调整/扩充资源池,资源池中有多个虚拟安全组件,如虚拟防火墙、虚拟WAF、虚拟页防篡改等,这些安全器件是可扩充的;其次是实验内容可扩充性,可以根据教学需要,调整、增加实验资源包。最后,本平台应具有远程实验的功能,可以不受时间、空间限制进行实验;还应具有实验管理的功能,对用户、资源、实验过程等进行管理。
2.3平台实施
根据虚拟化技术原理,平台构架如图2所示。用户层主要提供标准的web访问,进行页面展示,访问入口。业务层主要是功能实现,数据处理和数据操作接口。基础服务层向业务层提供服务和接口,包括虚/实设备管理、拓扑设计与管理,以及公共服务。虚拟化层通过虚拟化技术生成虚拟机,提供基础虚拟化功能。硬件资源层为平台提供运行所需的硬件环境。平台集成8个实训模块,包括:网络安全、信息系统安全、云计算、密码学、安全运、开发语言、移动安全理论等,实训课程资源,实验项目包括恶意代码检测、安全漏洞挖掘、逆向工程、密码学、操作系统安全、web安全、安全研发、数据库安全……平台管理功能主要分为三块,门户管理、后台管理、资源管理,如图3所示。
3实验设计与效果
网络安全实验平台部署后,设备数量、种类以及环境约束得到较好解决,以防火墙QoS流量控制实验为例,实验设计如下:QoS中的流量监管就是对流量进行控制,通过监督进入网络端口的流量速率,对超出部分的流量进行处理(这个处理可以是丢弃、也可是延迟发送),使进入端口的流量被限制在一个合理的范围之内,解决网络中拥塞的问题。实验环境设计:虚拟防火墙一台,虚拟windows靶机一台(模拟内网主机),虚拟Linux靶机(模拟外网主机)。实验过程:进入管理中心,分别启动虚拟防火墙,虚拟windows靶机,虚拟Linux靶机。设置IP地址,使网络环境符合实验要求。windows靶机IP和防火墙的eth1处于内网段192.168.100.0,防火墙的eth2和Linux靶机IP处于外网172.22.10.0。实验拓扑结构如图4所示。进入windows虚拟机,选择目标设备linux,通过win-dows向linux发送数据,这里linux连接虚拟防火墙的eth2口。在防火墙里设置下行带宽和上行带宽,添加服务质量规则,选择好源主机(表示要发起操作的IP地址或者网段,这里是windows主机)和目的网络IP(表示与源主机发生通信的目的网络,这里是linux主机),选择本次服务所使用的协议和端口。实验验证:在规则生效之前和之后,进行远程文件拷贝,对比传输速度的区别,验证流量控制效果。本次实验涉及到两种操作系统环境,内外网及防火墙,在传统的实验室环境难以满足,利用本平台,能够满足需求,并且做到人人可以单独实验,提高学生的积极性和动手能力。此外,学生还可以通过远程登录进行实验,满足部分学生自学需求。目前,本校利用此平台对学生进行网络安全方面的技能培训,在信息安全竞赛,网络安全CTF等比赛中多次获奖。
4结束语
本文分析了传统网络安全课程实验环境存在的不足,设计了基于虚拟化技术的网络安全实验平台。该平台能够较好满足网络安全实验对设备环境的特殊要求,并且能够降低经费投入,突破实验时间、空间限制。该平台还支持硬件平台和实验内容资源的升级和扩展。在实际应用中证明,通过使用该平台,能够激发学生对网络安全学习的积极性,提高他们的实践能力,同时,能够作为信息安全类学科竞赛的训练平台,取得了较好的成效。
参考文献
[1]张焕国,韩文报,来学嘉,等.网络空间安全综述[J].中国科学:信息科学,2016,46(2):125-164.
[2]底晓强,韩登,杨凌翔,等.基于超融合构架的网络安全虚拟仿真实验教学平台探索[J].实验室研究与探索,2017,36(10):195-198.
[3]王瑞锦,周世杰,秦志光,等.基于虚拟化技术的信息安全实验教学体系建设[J],实验科学与技术,2015,13(4):40-43.
网络安全技术设计范文6
【关键词】电子政务;安全;防护;设计
随着信息化的飞速发展,电子政务在政府实际工作中已经发挥了越来越重要的作用。电子政务安全主要包括两个方面,政务网络安全和信息安全,
一、网络系统威胁分析
电子政务数据中心网络系统所面临的威胁大体可分为两种:一是对信息的威胁;二是对网络中设备的威胁。这些安全威胁的主要表现形式可以概括为:
1.地址欺骗:攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任。
2.网络窃听:网络的开放性使攻击者可通过直接或间接窃听获取所需信息。
3.口令破解:攻击者可通过获取口令文件,然后运用口令破解工具获得口令,也可通过猜测或窃听等方式获取口令。
4.恶意扫描:攻击者可编制或使用现有扫描工具发现目标的漏洞,进而发起攻击。
5.连接盗用:在合法的通信连接建立后,攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接,从而假冒被接管方与对方通信。
6.数据篡改:攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性。
7.数据驱动攻击:攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标。
8.基础设施破坏:攻击者可通过破坏域名服务器或路由信息等基础设施使目标陷于孤立。
9.服务拒绝:攻击者可直接发动攻击,也可通过控制其它主机发起攻击使目标瘫痪,如发送大量的数据洪流阻塞目标。
10.社会工程:攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息,从而提高攻击成功率。
11.用户的管理操作:网络中的设备和用户的管理难题,如何防止信息被泄露。
二、安全体系建设目标
根据电子政务数据中心网络面临的安全威胁,从实际情况出发,电子政务数据中心网络安全建设的目标主要在以下几个方面:
(一)建立边界防护机制
实现安全域的划分,把网络中的用户和设备划分不同的安全级别。对内网和服务器实现重点地安全防护。针对数据中心的服务器,根据业务系统类型进行细分,将具有相同属性的服务器划分到一个安全区域。
(二)建立入侵检测监控机制
在局域网部署网络入侵检测与智能分析系统,对出入网络的流量进行实时监控,同时对局域网内部的重要网段之间的交换流量进行实时监控。通过入侵检测系统与防火墙进行联动,构建局域网以入侵检测系统为核心的动态防御体系。
(三)建立安全审计系统
在网络中部署安全审计系统,实针对业务环境下的网络操作行为进行细粒度审计,并通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
(四)建立内部网络管理监控机制
在内网部署内部网络管理系统,进行网络资源、设备资源、客户端资源和应用资源方面的管理控制,如网络隔离度检测、入网设备监控、系统软件检测和违规事件发现、安全事件源定位分析等、通过其它方式访问网络。加强对内部网络的管理和控制。
(五)建立全网安全监控管理平台
融合多种信息安全产品和技术管理,充分实现组织、管理、技术三个体系的合理调配,能够最大化的保障网络、系统和应用的安全性。
三、设计方案
(一)安全系统整体设计思路
方案将从技术与管理两部分对电子政务数据中心网络系统提供安全保护,其中在技术部分主要采用防火墙、入侵检测、入侵防御、漏洞扫描、网络安全审计及终端管控技术,这六种技术共同配合,为电子政务数据中心信息网络系统提供一个动态网络防御管理体系。
网络整体拓扑结构图:
(二)边界安全防护
1.安全域划分
安全域划分是实现网络层安全的必须步骤,安全区域的划分可以将不同的安全等级的保护对象加以分离,同时可以防止安全问题的扩散,“安全区隔”理论也是基于此。建议将电子政务数据中心整体网络划分为以下区域:
(1)下联单位接入域:连接各二级单位;
(2)核心域:核心网络设备区域;
(3)外联接入域:上联电子政务网的外联区域。
(4)本地接入域:数据中心本地用户接入区域;
(5)核心数据域:核心业务数据库服务器;
(6)应用系统域:应用系统服务器;
(7)安全管理域:网管、安管、杀毒等服务器;
(8)日常应用域:网站、邮件等服务器。
2.安全边界防护
在划分了安全区并明确了安全区的边界之后,接下来就需要对安全区的边界进行安全防护,在这里推荐使用安全网关作为区域边界的访问控制产品进行安全防护。
防火墙的目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,对进、出内部网络的服务和访问进行控制和审计。在网络中,应用系统总部网络与成员单位用户网络之间是不同的安全等级,所以通过防火墙实现两个安全等级网络之间的访问控制是必须的选择,而安全网关带有防火墙功能,在满足访问控制的基本需求外,对数据流进行应用层过滤,确保各区域之间不受病毒、木马的感染,降低区域间的影响。
(三)网络入侵检测系统
把网络入侵检测引擎部署在网络的关键网段上,就能够监测关键系统和应用的异常行为。在方案中,将在核心域旁路部署千兆入侵检测系统一套,对网络中服务器和内部用户进行入侵检测,及时报警,并做事后追查。建议将与骨干相连的交换机端口、重要服务器所连的交换机端口、重要网段的交换机所连的端口设为被镜像端口,这样可以实时监听流经防火墙、重要服务器、重要网段的数据流量。管理控制台接到交换机的普通端口即可,必须要保证管理控制台与探测引擎的管理端口正常的通信。
策略设置可以说是在使用网络入侵检测系统过程中最关键的一步,我们应该根据自己网络的情况来详细制定对网络事件的响应策略。为了方便使用,入侵检测系统本身提供细致的检测策略,分别为热点策略集、Web事件集、Mail事件集、攻击分析集、协议分析集、Windows事件集、Unix事件集、陈旧事件集、新增事件集等不同分类方式的系统策略集,用户可以针对不同环境、不同应用以及不同关注目标直接选取合适的检测策略。
(四)安全审计系统
网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运行。
(五)漏洞扫描系统
在漏洞被利用以及信息系统遭受危害之前,正确的识别并修复漏洞和错误的配置,预防安全事件的发生。可以通过部署单个扫描单元实现对全网各个区域的自主扫描。这种独立扫描的情况同时适合监察评测机构,他们可以将漏洞扫描软件安装在笔记本电脑上,即可实现对独立网络单元的移动式检查测评。
(六)内网管理系统
采用CSC体系架构(CSC=Clients+Server+ Checkpoint,其中Checkpoint的中文名称是准入控制检查点,是准入控制的生效点和执行点,在实际部署中包括使应用准入和网络准入生效的服务器或网络设备),CSC体系架构具备完整的控制检查点,使具备有效的执行力和卓越的安全性、可靠性、可扩展性与健壮性,确保内网合规、管理无盲点。
(七)安全运维管理平台
由数据库服务器,管理服务器,事件采集服务器组成;应用软件部署在相应的上述硬件平台上,事件采集根据被管理的数据源的类型及拓扑实际情况,在工程实施中具体部署。
各类事件采集可采用分布式部署:中心网络部署事件集中采集服务器,各个被管网络分布部署事件采集服务器,负责各自网络内的事件集中采集。维护人员通过通用运维终端采用基于Http/Https协议进行远程管理和日常维护;其他授权用户亦可采用基于Http/Https协议从安全管理角度针对所管理的网络范围进行综合风险分析监控。
在计算机信息化的不断发展,针对网络的新的攻击行为也不断涌出,针对电子政务网络的威胁也在日趋紧张,不论是网络中的设备还是网络中的信息,一旦出现安全威胁,能够快速反应,迅速隔离,并给以阻止,才能大提高网络的安全性能。本文也只是在电子政务数据中心网络安全防护的设计上做了些研究,还存在一些不足,需在今后的研究中进一步完善。
参考文献
[1]刘剑.网络安全技术[M].西安电子科技大学出版社, 2011.
[2]邵波,王其和.计算机网络安全技术及应用[M].北京电子工业出版社,2005,11:17-18.
[3]景炜.电子政务系统网络安全的研究与应用[D].电子科技大学,2006.
