計(jì)算機(jī)畢業(yè)論文網(wǎng)絡(luò)安全與管理

-.z.論文關(guān)鍵字:網(wǎng)絡(luò)平安管理網(wǎng)絡(luò)開展網(wǎng)絡(luò)現(xiàn)狀一緒論平安管理的開展趨勢(shì)和現(xiàn)狀1、網(wǎng)絡(luò)平安現(xiàn)狀計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用是當(dāng)今信息社會(huì)的一場(chǎng)革命。電子商務(wù)和電子政務(wù)等網(wǎng)絡(luò)應(yīng)用的開展和普及不僅給我們的生活帶來了很大的便利,而且正在創(chuàng)造著巨大的財(cái)富,以Internet為代表的全球性信息化浪潮日益深刻,信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛,應(yīng)用層次不斷深入,應(yīng)用領(lǐng)域更是從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。與此同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)也正面臨著日益劇增的平安威脅。廣為網(wǎng)絡(luò)用戶所知的黑客行為和攻擊活動(dòng)正以每年10倍的速度增長(zhǎng),網(wǎng)頁被修改、非法進(jìn)入主機(jī)、發(fā)送假冒電子、進(jìn)入銀行系統(tǒng)盜取和轉(zhuǎn)移資金、竊取信息等網(wǎng)絡(luò)攻擊事件此起彼伏。計(jì)算機(jī)病毒、特洛伊木馬、拒絕效勞攻擊、電子商務(wù)入侵和盜竊等,都造成了各種危害,包括數(shù)據(jù)被篡改和竊取、頁面被修改或丑化、網(wǎng)絡(luò)癱瘓等。網(wǎng)絡(luò)與信息平安問題日益突出,已經(jīng)成為影響國(guó)家平安、社會(huì)穩(wěn)定和人民生活的大事,開展與現(xiàn)有網(wǎng)絡(luò)技術(shù)相對(duì)應(yīng)的網(wǎng)絡(luò)平安技術(shù),保障網(wǎng)絡(luò)平安、有序和有效的運(yùn)行,是保證互聯(lián)網(wǎng)高效、有序應(yīng)用的關(guān)鍵之一。2、現(xiàn)有網(wǎng)絡(luò)平安技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)是基于網(wǎng)絡(luò)可識(shí)別的網(wǎng)絡(luò)協(xié)議根底之上的各種網(wǎng)絡(luò)應(yīng)用的完整組合,協(xié)議本身和應(yīng)用都有可能存在問題,網(wǎng)絡(luò)平安問題包括網(wǎng)絡(luò)所使用的協(xié)議的設(shè)計(jì)問題,也包括協(xié)議和應(yīng)用的軟件實(shí)現(xiàn)問題,當(dāng)然還包括了人為的因素以及系統(tǒng)管理失誤等網(wǎng)絡(luò)平安問題,下表示意說明了這些方面的網(wǎng)絡(luò)平安問題。問題類型問題點(diǎn)問題描述協(xié)議設(shè)計(jì)平安問題被無視制定協(xié)議之時(shí),通常首先強(qiáng)調(diào)功能性,而平安性問題則是到最后一刻、甚或不列入考慮圍。其它根底協(xié)議問題架構(gòu)在其他不穏固根底協(xié)議之上的協(xié)議,即使本身再完善也會(huì)有很多問題。流程問題設(shè)計(jì)協(xié)議時(shí),對(duì)各種可能出現(xiàn)的流程問題考慮不夠周全,導(dǎo)致發(fā)生狀況時(shí),系統(tǒng)處理方式不當(dāng)。設(shè)計(jì)錯(cuò)誤協(xié)議設(shè)計(jì)錯(cuò)誤,導(dǎo)致系統(tǒng)效勞容易失效或招受攻擊。軟件設(shè)計(jì)設(shè)計(jì)錯(cuò)誤協(xié)議規(guī)劃正確,但協(xié)議設(shè)計(jì)時(shí)發(fā)生錯(cuò)誤,或設(shè)計(jì)人員對(duì)協(xié)議的認(rèn)知錯(cuò)誤,導(dǎo)致各種平安漏洞。程序錯(cuò)誤程序撰寫習(xí)慣不良導(dǎo)致很多平安漏洞,包含常見的未檢查資料長(zhǎng)度容、輸入資料容錯(cuò)能力缺乏、未檢測(cè)可能發(fā)生的錯(cuò)誤、應(yīng)用環(huán)境的假設(shè)錯(cuò)誤、引用不當(dāng)模塊、未檢測(cè)資源缺乏等。人員操作操作失誤操作規(guī)嚴(yán)格且完善,但是操作人員未受過良好訓(xùn)練、或未按手冊(cè)操作,導(dǎo)致各種平安漏洞和平安隱患。系統(tǒng)維護(hù)默認(rèn)值不平安軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)置不科學(xué),導(dǎo)致缺省設(shè)置下系統(tǒng)處于不平安的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。未修補(bǔ)系統(tǒng)軟件和操作系統(tǒng)的各種補(bǔ)丁程序沒有及時(shí)修復(fù)。部平安問題對(duì)由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的各種攻擊防不夠。信任領(lǐng)域存在的不平安系統(tǒng),成為不信任領(lǐng)域系統(tǒng)攻擊信任領(lǐng)域的各種跳板。針對(duì)上表所示的各種網(wǎng)絡(luò)平安問題,全世界的網(wǎng)絡(luò)平安廠商都試圖開展了各種平安技術(shù)來防這些問題,這些技術(shù)包括訪問控制技術(shù)、識(shí)別和鑒別技術(shù)、密碼技術(shù)、完整性控制技術(shù)、審計(jì)和恢復(fù)技術(shù)、防火墻系統(tǒng)、計(jì)算機(jī)病毒防護(hù)、操作系統(tǒng)平安、數(shù)據(jù)庫系統(tǒng)平安和抗抵賴協(xié)議等,相繼陸續(xù)推出了包括防火墻、入侵檢測(cè)(IDS、防病毒軟件、CA系統(tǒng)、加密算法等在的各類網(wǎng)絡(luò)平安軟件,這些技術(shù)和平安系統(tǒng)(軟件對(duì)網(wǎng)絡(luò)系統(tǒng)提供了一定的平安防,一定程度上解決了網(wǎng)絡(luò)平安問題*一方面的問題。3、現(xiàn)有網(wǎng)絡(luò)平安技術(shù)的缺陷現(xiàn)有的各種網(wǎng)絡(luò)平安技術(shù)都是針對(duì)網(wǎng)絡(luò)平安問題的*一個(gè)或幾個(gè)方面來設(shè)計(jì)的,它只能相應(yīng)地在一定程度上解決這一個(gè)或幾個(gè)方面的網(wǎng)絡(luò)平安問題,無法防和解決其他的問題,更不可能提供對(duì)整個(gè)網(wǎng)絡(luò)的系統(tǒng)、有效的保護(hù)。如身份認(rèn)證和訪問控制技術(shù)只能解決確認(rèn)網(wǎng)絡(luò)用戶身份的問題,但卻無法防止確認(rèn)的用戶之間傳遞的信息是否平安的問題,而計(jì)算機(jī)病毒防技術(shù)只能防計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)和系統(tǒng)的危害,但卻無法識(shí)別和確認(rèn)網(wǎng)絡(luò)上用戶的身份等等?，F(xiàn)有的各種網(wǎng)絡(luò)平安技術(shù)中,防火墻技術(shù)可以在一定程度上解決一些網(wǎng)絡(luò)平安問題。防火墻產(chǎn)品主要包括包過濾防火墻,狀態(tài)檢測(cè)包過濾防火墻和應(yīng)用層代理防火墻,但是防火墻產(chǎn)品存在著局限性。其最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否平安。同時(shí),防火墻還存在著一些弱點(diǎn):一、不能防御來自部的攻擊:來自部的攻擊者是從網(wǎng)絡(luò)部發(fā)起攻擊的,他們的攻擊行為不通過防火墻,而防火墻只是隔離部網(wǎng)與因特網(wǎng)上的主機(jī),監(jiān)控部網(wǎng)和因特網(wǎng)之間的通信,而對(duì)部網(wǎng)上的情況不作檢查,因而對(duì)部的攻擊無能為力;二、不能防御繞過防火墻的攻擊行為:從根本上講,防火墻是一種被動(dòng)的防御手段,只能守株待兔式地對(duì)通過它的數(shù)據(jù)報(bào)進(jìn)展檢查,如果該數(shù)據(jù)由于*種原因沒有通過防火墻,則防火墻就不會(huì)采取任何的措施;三、不能防御完全新的威脅:防火墻只能防御的威脅,但是人們發(fā)現(xiàn)可信賴的效勞中存在新的侵襲方法,可信賴的效勞就變成不可信賴的了;四、防火墻不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊:雖然防火墻掃描分析所有通過的信息,但是這種掃描分析多半是針對(duì)IP地址和端口號(hào)或者協(xié)議容的,而非數(shù)據(jù)細(xì)節(jié)。這樣一來,基于數(shù)據(jù)驅(qū)動(dòng)的攻擊,比方病毒,可以附在諸如電子之類的東西上面進(jìn)入你的系統(tǒng)中并發(fā)動(dòng)攻擊。入侵檢測(cè)技術(shù)也存在著局限性。其最大的局限性就是漏報(bào)和誤報(bào)嚴(yán)重,它不能稱之為一個(gè)可以信賴的平安工具,而只是一個(gè)參考工具。在沒有更為有效的平安防產(chǎn)品之前,更多的用戶都選擇并依賴于防火墻這樣的產(chǎn)品來保障自己的網(wǎng)絡(luò)平安,然而相對(duì)應(yīng)的是,新的OS漏洞和網(wǎng)絡(luò)層攻擊層出不窮,攻破防火墻、攻擊計(jì)算機(jī)網(wǎng)絡(luò)的事件也越來越多,因此,開發(fā)一個(gè)更為完善的網(wǎng)絡(luò)平安防系統(tǒng)來有效保護(hù)網(wǎng)絡(luò)系統(tǒng),已經(jīng)成為各網(wǎng)絡(luò)平安廠商和用戶的共同需求和目標(biāo)。4開展趨勢(shì):中國(guó)的網(wǎng)絡(luò)平安技術(shù)在近幾年得到快速的開展,這一方面得益于從中央到地方政府的廣泛重視,另一方面因?yàn)榫W(wǎng)絡(luò)平安問題日益突出,網(wǎng)絡(luò)平安企業(yè)不斷跟進(jìn)最新平安技術(shù),不斷推出滿足用戶需求、具有時(shí)代特色的平安產(chǎn)品,進(jìn)一步促進(jìn)了網(wǎng)絡(luò)平安技術(shù)的開展。從技術(shù)層面來看,目前網(wǎng)絡(luò)平安產(chǎn)品在開展過程中面臨的主要問題是:以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)根底層面的防護(hù)問題,而現(xiàn)在人們更加關(guān)注應(yīng)用層面的平安防護(hù)問題,平安防護(hù)已經(jīng)從底層或簡(jiǎn)單數(shù)據(jù)層面上升到了應(yīng)用層面,這種應(yīng)用防護(hù)問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息容的語義疇,越來越多的平安技術(shù)已經(jīng)與應(yīng)用相結(jié)合。4.1、現(xiàn)階段網(wǎng)絡(luò)平安技術(shù)的局限性談及網(wǎng)絡(luò)平安技術(shù),就必須提到網(wǎng)絡(luò)平安技術(shù)的三大主流—防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。任何一個(gè)用戶,在剛剛開場(chǎng)面對(duì)平安問題的時(shí)候,考慮的往往就是這“老三樣〞?？梢哉f,這三種網(wǎng)絡(luò)平安技術(shù)為整個(gè)網(wǎng)絡(luò)平安建立起到了功不可沒的作用,但是傳統(tǒng)的平安“老三樣〞或者說是以其為主的平安產(chǎn)品正面臨著許多新的問題。首先,從用戶角度來看,雖然系統(tǒng)中安裝了防火墻,但是仍防止不了蠕蟲泛濫、垃圾、病毒傳播以及拒絕效勞的侵?jǐn)_。其次,未經(jīng)大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的缺乏,且在準(zhǔn)確定位和全局管理方面還有很大的空間。再次,雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品,但是網(wǎng)的平安并不僅僅是防病毒的問題,還包括平安策略的執(zhí)行、外來非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。所以說,雖然“老三樣〞已經(jīng)立下了赫赫戰(zhàn)功,且仍然發(fā)揮著重要作用,但是用戶已漸漸感覺到其缺乏之處。其次,從網(wǎng)絡(luò)平安的整體技術(shù)框架來看,網(wǎng)絡(luò)平安技術(shù)同樣面臨著很大的問題,“老三樣〞根本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身平安的保障。應(yīng)用層面的平安,需要將側(cè)重點(diǎn)集中在信息語義疇的“容〞和網(wǎng)絡(luò)虛擬世界的“行為〞上。4.2、技術(shù)開展趨勢(shì)分析.防火墻技術(shù)開展趨勢(shì)在混合攻擊肆虐的時(shí)代,單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要,而具備多種平安功能,基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)和統(tǒng)一組件化管理的技術(shù),優(yōu)勢(shì)將得到越來越多的表達(dá),UTM(UnifiedThreatManagement,統(tǒng)一威脅管理技術(shù)應(yīng)運(yùn)而生。從概念的定義上看,UTM既提出了具體產(chǎn)品的形態(tài),又涵蓋了更加深遠(yuǎn)的邏輯疇。從定義的前半局部來看,很多廠商提出的多功能平安網(wǎng)關(guān)、綜合平安網(wǎng)關(guān)、一體化平安設(shè)備都符合UTM的概念;而從后半局部來看,UTM的概念還表達(dá)了經(jīng)過多年開展之后,信息平安行業(yè)對(duì)平安管理的深刻理解以及對(duì)平安產(chǎn)品可用性、聯(lián)動(dòng)能力的深入研究。UTM的功能見圖1.由于UTM設(shè)備是串聯(lián)接入的平安設(shè)備,因此UTM設(shè)備本身必須具備良好的性能和高可靠性,同時(shí),UTM在統(tǒng)一的產(chǎn)品管理平臺(tái)下,集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕效勞攻擊等眾多產(chǎn)品功能于一體,實(shí)現(xiàn)了多種防御功能,因此,向UTM方向演進(jìn)將是防火墻的開展趨勢(shì)。UTM設(shè)備應(yīng)具備以下特點(diǎn)。(1網(wǎng)絡(luò)平安協(xié)議層防御。防火墻作為簡(jiǎn)單的第二到第四層的防護(hù),主要針對(duì)像IP、端口等靜態(tài)的信息進(jìn)展防護(hù)和控制,但是真正的平安不能只停留在底層,我們需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻,除了傳統(tǒng)的訪問控制之外,還需要對(duì)垃圾、拒絕效勞、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的作用,實(shí)現(xiàn)七層協(xié)議的保護(hù),而不僅限于第二到第四層。(2通過分類檢測(cè)技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過高,將會(huì)對(duì)用戶帶來災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出,但是目前全世界對(duì)IPS的部署非常有限,影響其部署的一個(gè)重要問題就是誤報(bào)率。分類檢測(cè)技術(shù)可以大幅度降低誤報(bào)率,針對(duì)不同的攻擊,采取不同的檢測(cè)技術(shù),比方防拒絕效勞攻擊、防蠕蟲和黑客攻擊、防垃圾攻擊、防違規(guī)短信攻擊等,從而顯著降低誤報(bào)率。(3有高可靠性、高性能的硬件平臺(tái)支撐。(4一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身,因此,它必須具有能夠統(tǒng)一控制和管理的平臺(tái),使用戶能夠有效地管理。這樣,設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性,用戶可在統(tǒng)一的平臺(tái)上進(jìn)展組件管理,同時(shí),一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島,從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候,能夠更好地保障用戶的網(wǎng)絡(luò)平安。二網(wǎng)絡(luò)平安面臨的主要問題1.網(wǎng)絡(luò)建立單位、管理人員和技術(shù)人員缺乏平安防意識(shí),從而就不可能采取主動(dòng)的平安措施加以防,完全處于被動(dòng)挨打的位置。2.組織和部門的有關(guān)人員對(duì)網(wǎng)絡(luò)的平安現(xiàn)狀不明確,不知道或不清楚網(wǎng)絡(luò)存在的平安隱患,從而失去了防御攻擊的先機(jī)。3.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)平安防沒有形成完整的、組織化的體系構(gòu)造,其缺陷給攻擊者以可乘之機(jī)。4.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)沒有建立完善的管理體系,從而導(dǎo)致平安體系和平安控制措施不能充分有效地發(fā)揮效能。業(yè)務(wù)活動(dòng)中存在平安疏漏,造成不必要的信息泄露,給攻擊者以收集敏感信息的時(shí)機(jī)。5.網(wǎng)絡(luò)平安管理人員和技術(shù)有員缺乏必要的專業(yè)平安知識(shí),不能平安地配置和管理網(wǎng)絡(luò),不能及時(shí)發(fā)現(xiàn)已經(jīng)存在的和隨時(shí)可能出現(xiàn)的平安問題,對(duì)突發(fā)的平安事件不能作出積極、有序和有效的反響。三網(wǎng)絡(luò)平安的解決方法實(shí)現(xiàn)網(wǎng)絡(luò)平安的過程是復(fù)雜的。這個(gè)復(fù)雜的過程需要嚴(yán)格有效的管理才能保證整個(gè)過程的有效性,才能保證平安控制措施有效地發(fā)揮其效能,從而確保實(shí)現(xiàn)預(yù)期的平安目標(biāo)。因此,建立組織的平安管理體系是網(wǎng)絡(luò)平安的核心。我們要從系統(tǒng)工程的角度構(gòu)建網(wǎng)絡(luò)的平安體系構(gòu)造,把組織和部門的所有平安措施和過程通過管理的手段融合為一個(gè)有機(jī)的整體。平安體系構(gòu)造由許多靜態(tài)的平安控制措施和動(dòng)態(tài)的平安分析過程組成。1.平安需求分析"知彼,百戰(zhàn)不殆"。只有明了自己的平安需求才能有針對(duì)性地構(gòu)建適合于自己的平安體系構(gòu)造,從而有效地保證網(wǎng)絡(luò)系統(tǒng)的平安。2.平安風(fēng)險(xiǎn)管理平安風(fēng)險(xiǎn)管理是對(duì)平安需求分析結(jié)果中存在的平安威脅和業(yè)務(wù)平安需求進(jìn)展風(fēng)險(xiǎn)評(píng)估,以組織和部門可以承受的投資,實(shí)現(xiàn)最大限度的平安。風(fēng)險(xiǎn)評(píng)估為制定組織和部門的平安策略和構(gòu)架平安體系構(gòu)造提供直接的依據(jù)。3.制定平安策略根據(jù)組織和部門的平安需求和風(fēng)險(xiǎn)評(píng)估的結(jié)論,制定組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)平安策略。4.定期平安審核平安審核的首要任務(wù)是審核組織的平安策略是否被有效地和正確地執(zhí)行。其次,由于網(wǎng)絡(luò)平安是一個(gè)動(dòng)態(tài)的過程,組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化,因此組織和部門對(duì)平安的需求也會(huì)發(fā)生變化,組織的平安策略需要進(jìn)展相應(yīng)地調(diào)整。為了在發(fā)生變化時(shí),平安策略和控制措施能夠及時(shí)反映這種變化,必須進(jìn)展定期平安審核。5.外部支持計(jì)算機(jī)網(wǎng)絡(luò)平安同必要的外部支持是分不開的。通過專業(yè)的平安效勞機(jī)構(gòu)的支持,將使網(wǎng)絡(luò)平安體系更加完善