网络安全管理系统的研究与实现(1).pdf

同济大学软件学院硕士学位论文网络安全管理系统的研究与实现姓名：陈琪申请学位级别：硕士专业：软件工程指导教师：王力生;李侯飞20070501摘要在信息时代，信息安全问题越来越重要，而现在大部分信息都是通过互联网来传播的，因此互联网安全就显得尤为重要。互联网设计之初，只考虑到相互的兼容和互通，并未考虑到随之而来的一系列安全问题，这就使网络安全随着互联网的发展不断发展。同时随着网络新业务的不断兴起，如电子商务、网络银行等，对网络安全则提出了更高的要求。而黑客入侵案件的不断发生，也给我们敲响了警钟，对我国的网络安全提出了更严峻的挑战。随着网络技术的不断发展，信息获取能力和信息安全保障能力几乎已成为世界各国都奋力抢占的技术制高点。目前，我国使用的交换机和路由器等网络核心设备主要仍是国外产品，而大多国内的应用系统也都建立在国外操作系统的基础之上，因此如何尽快建立我国自主技术产权的网络安全保障体系就显得格外重要。在本文中，主要了解国内外的网络安全状况，国内外的网络安全管理研究的现状和进展，并在熟悉各种网络安全产品的前提下，组建网络安全管理系统，来提高网络的安全性和可靠性。关键词：安全管理；系统策略；关联分析；数据挖掘A I n t r a c tA B S T R A C TA tt h ea g eo fi n f o r m a t i o n,t h ep r o b l e mo fi n f o r m a t i o ns e c u r i t yi sm o r ei m p o r t a n t B e c a u s et h em o s t o fi n f o r m a t i o f fi st r a n s m i t t e di nt h eI n t e r n e t,T i l ep r o b l e mo f s e e n r i t yi nt h eI n t e m e ti sI n o 佗a n dm o r ei m p o r t a n t W h e nt h eI n t e m e tw a sd e s i g n e da t 触o n l yc o m p a t i b i l i t ya n di n t e r o p e r a b i l i t yh a sb e e nt a k e ni n t oc o n s i d e r a t i o n,w h c r o a$t h ec o n s e q u e n ts e c u r i t yp r o b l e m sw 讯t o t a l l yn e g l e c t e d A sar e s u l t,m o r ea n dm o r es e c 舢r i t yp r o b l e m se m e r g e da st h eI n t e m e td e v e l o p e d A to n et i m e,t h er i s eo f1 1 e ws e r v i c e so i lt h eI n t e r n e ts u c ha se-c o m n l e r e ea n do R l i n cb a n k i n gd e m a n d sb e t t e rI n t e m e ts e c c r i t y B u tt h er e a l i t yi st h a th a c k i n ge v e n t st a k ep l a c eo n ea f t e ra n o t h e r,r i n g i n ga l a r ma n dp o s i n gm o r es c v e l ec h a l l e n g e st ot h eI n t e m e ts e c u r i t yi nC h i n a A l o n g 研t hu n i n t e r r u p t e dd e v e l o p m e n to fn e t w o r kt c c h n o l o g y,t h ea c c e s 3t oi n f o r m a t i o na n dt h ea s s u r a n c oo fi n f o r m a t i o nh a v ea l m o s tb e c o m et h eh i g h e s tp r i o r i t i e so fg o v e r n m e n t sa r o u n dt h ew o r l d A tp r e s e n t,a l m o s ta l ln e t w o r kc o e q u i p m e n to fs w i t c ha n dr o u t e rW e l-ei m p o r t e df r o ma b r o a d M o r e o v e r,d o m e s t i ca p p l i c a t i o ns y s t e m sa r ed e v e l o p e dp r i l n a n l y0 1 1f o r e i g no p e r a t i o ns y s t e m s T h e r e f o r e,i ti sc r u c i a lf o rC h i n at od e v e l o pi t so w nI n t e m e ti n f o r m a t i o ns e c u r i t ys y s t e m sa ss o o na sp o s s i b l e T h i se s s a ym a i n l yi n t r o d u c e st h eI n t e m e ts e c u r i t ys i t u a t i o n so nd o m e s t i ca n df o r e i g nm a r k e t s，a sw e l la sc u r r e n ts i t u a t i o n sa n dp r o g r e s si nt h eI n t e m e ts e c u r i t ya n dr e l i a b i l i t yo f an e t w o r k,0 1 1c o n d i t i o nt h a ta l ln e t w o r ks e c t a i t yp r o d u c t si sf a m i l i a r i z e K e yW o r d s：s e c u r i t ym a n a g e m e n t；s y s t e ms t r a t e g y；a s s o c i a t ea n a l y s i s；d a t am i n i n g学位论文版权使用授权书本人完全了解同济大学关于收集、保存、使用学位论文的规定，同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有关部门或者机构送交论文的复印件和电子版；在不以赢利为目的的前提下，学校可以适当复制论文的部分或全部内容用于学术活动。学位论文作者签名：硒砖二2 三卫生经指导教师同意，本学位论文属于保密，在年解密后适用本授权书。指导教师签名：学位论文作者签名：年月日年月日第一章绪论第一章绪论1 1 网络安全管理系统产生背景随着信息技术的发展与应用，信息安全的内涵也在不断的延伸，而网络作为一种传输信息系统，正逐渐成为人们生活、学习和工作不可缺少的一部分，网络安全也就日益成为人们极为关注的问题。目前网络安全已不再是军方和政府要害部门的一种特殊需求。实际上，所有的网络应用环境包括银行、电子交易、政府乃至公共电信载体都有网络安全的需求。互联网目前已经连接了世界上的绝大部分国家，进入千家万户。互联网已经成为推动当代社会各项事业发展的强有力的工具，也是与百姓生活息息相关，不少人甚至感到须臾也离不开的公众媒体。互联网带来的便利使得人们兴趣大增，从而又进一步推动了互联网的发展。老百姓喜闻乐见的电子邮件、新闻浏览、消息发布、信息查询、电影下载、网络聊天等网络服务早已遍及城乡。电子教育、电子医疗、电子交通、电子政务、电子商务等由互联网催生的新服务也一个接一个地走进社会。电子农业、电子邮政、电子卫生等也将很快成为网上的新业务。有人把人类社会的2 1 世纪定义为“信息世纪”，这表明，人们所能预见到的新的电子服务还将不断涌现。据最新数据显示，截止2 0 0 5 年底，全球互联网用户数达到1 0 8 亿，比2 0 0 4 年增长了1 5 亿，预计未来5 年内全球互联网用户数将再增长一倍，达到2 0 亿。我国已经成为全球互联网用户数第二大国，2 0 0 5 年新增用户达到2 0 0 0 万，网民总数超过1 2 亿，仅次于美国的1 9 7 8亿，并在宽带用户数方面已经接近美国。但目前仅仅计算机病毒给人们生活、学习和工作带来的影响就已经是全方位的。据统计，仅仅2 0 0 6 年上半年，已被截获的电脑病毒就已超过l O 万个，比去年暴增了5 倍，而且种类越来越多。据有关单位调查显示，2 0 0 5 年计算机病毒感染率超过8 0 0 0，而破坏后造成损失的比率则超过5 0 e。同时近年来，通过网络传播的计算机病毒和蠕虫程序对网络造成的破坏也越来越厉害，1 9 9 8 年1 1 月M o r r i s 蠕虫造成世界6 0 0 0 多台计算机瘫痪；2 0 0 1 年7 月爆发的红色代码(C o d e R e d)在9 小时内侵入世界上2 5 万台计算机系统；2 0 0 3 年8 月份爆发的第一章绪论冲击波蠕虫(W 3 2 B l a s t e r W o r m)更是在短短8 天内造成了全球2 0 多亿美元损失。同益严重的病毒问题，不仅给企业和个人用户造成了巨大的损失，而且严重威胁着国家安全与此同时，各类网络安全时间的发生频率也呈扩大趋势，给国家和社会带来了极大的危害。正基于此2 0 0 6 年的世界电信日主题被定为“P r o m o t i n gG l o b a lC y b e r s e e u r i t y”(推进全球网络安全)。针对这种状况，人们研究并提出了防火墙和入侵检测等安全设备，他们的使用却是在一定程度上缓解了安全时间的威胁，但是传统的防火墙和入侵检测等安全设备有着自身的明显不足。根据公安部公共信息网络安全监察局的2 0 0 5年度统计报告，在国内网络安全事件受害者中，8 0 以上用户使用了防火墙，超过4 0 的用户使用了入侵检测系统。以上情况表明，仅仅使用防火墙和入侵检测等安全设备己不能满足当前的网络安全需求。各类网络攻击行为不仅对个人计算机、服务器造成破坏，同时他们的传播业队网络本身产生了很大的影响，大大降低了网络服务的便利性和可靠性。此外，各种统计资料显示，相当大比例的网络攻击来自或者由于病毒感染造成的网络威胁来自企业或者园区网络的内部，从而使得防火墙等传统安全设备无法起到安全控制的作用。随着网络设备、线路本身性能和可靠性的不断提高，如何应对各位网络攻击行为对网络运行造成的影响已经成为目前网络管理者所必须面对的重要问题之一。为了能够解决网络安全问题，使得网络能从各个方面抵御有害的攻击，虽然防火墙、防病毒、漏洞扫描、入侵检测等方面的设备已经成为保证系统安全不可缺少的工具，但是随着网络的开益庞大和重要，每一种设备都不能很好的解决整个网络的安全。在此背景下，本文提出了集成并协调各种安全设备，来构成网络安全管理系统的想法，从而减少因安全事件而受到的损失，增强系统和网络的性能和安全性。经过前一段时问的探索和研究已取得了可喜的成果，网络安全管理系统能从各个方面抵御有害的攻击，即便是在一个采取了严格预防措施的高度安全的系统中，引入该系统仍然是必要的安全保障手段。1 2 论文作者的工作了解当前网络安全状况，明确目前造成网络安全的主要原因。了解目前常用各种网络安全产品的类型和功能。2墨二兰笙丝了解网络安全管理的概念，分析目前各种解决方案的优缺点。根据实际情况，提出可行的解决方案，并建设网络安全设备管理系统。1 3 文章的内容与组织第一章：绪论第二章：网络安全相关知识和技术第三章：网络安全管理系统理论基础第四章：网络安全管理系统设计与实现第五章：总结与展望1 4 本章小结概述目前全世界网络安全现状，以得出企业建设安全管理平台的紧迫性及安全管理系统产生的背景，同时对全文内容进行了简要介绍。第二章网络安全相关知识和技术第二章网络安全相关知识和技术2 1 国内外网络安全概况网络安全与信息安全随着网络基础设施的建设和互联网的迅速普及而激增，并随着信息网络技术的不断更新而愈显严重。在过去的几年里，全球互联网快速发展，互联网用户呈直线上升趋势。据美国e M a r k e t e r 公司最新发表的全球调查报告，2 0 0 1 年全球互联网用户达到4 4 5 亿、2 0 0 4 年达到7 亿、而2 0 0 5年则已超过1 0 亿，其中中国用户已超过l 亿。信息网络已经存在的现实和人们对信息网络日益加深的依赖及更多的期望，本来应该给我们的生活与工作带来更多乐趣，并促使“全球网络”更好地发展，但情况远非如此。全球信息网络带来的烦恼和网络本身建设所固有的问题一直在困扰着人们，在网络迅速发展的同时，网络安全问题也同益突出u J。首先，电脑病毒层出不穷，肆虐全球，并且渐趋呈现新的传播态势，传播速度快、与网络结合传播的“混种病毒”和“变异病毒”居多、自我复制、主动攻击与主动感染能力增强等。2 0 0 4 年，病毒、蠕虫和特洛伊木马等恶意程序共给全球造成了1 6 9 0 亿美元的经济损失。该数字相当于2 0 0 3 年的2 倍之多；同时，全球各地企业也已不断增加防病毒投入，2 0 0 4 年度全球范围内防病毒软件的销售收入达到了3 5 亿美元以上。其次，黑客对全球网络的恶意攻击势头超过以往。美国计算机应急响应小组协调中心(C E R T c c)的统计资料显示，2 0 0 5 年全球计算机安全事件达1 3 万件(其中9 3 为扫描类安全事件)，较2 0 0 4 年将近翻了一翻；而2 0 0 5 年度发现的计算机软件漏洞更是创纪录的达到5 9 9 0 个，而2 0 0 4 年度计算机软件漏洞还只有3 7 8 0 个。“。可以说，自2 0 0 1 年以来，电脑病毒的大规模传播与破坏都与黑客技术的发展相关，二者的结合使病毒的传染力与破坏力倍增。这意味着网络安全遭到了新的重大威胁，即集病毒、木马、蠕虫和网络攻击于一体的威胁，可能造成快速、大面积的感染，破坏用户电脑、网络系统和网站，导致大规模的信息安全事件。在网络和无线通信普及的情况下，尤其是计算机、网络与无线通信互联及国家信息基础设施网络化的情况下，黑客加病毒的攻击很可能构成对网络生存和运行的致命威胁若他们大规模的攻击计算机、网络、无线通4第二章网络安全相关知识和技术信和国家信息基础设施中的任何一处目标，都将会导致连锁反应，造成巨大的损失。造成网络不安全的原因是多种多样的，有技术本身所带的漏洞、缺陷造成的，也有管理不规范、违反规定操作引起的等各种原因，下面简单的加以介绍：2 1 1 系统自身造成的网络安全问曩网络系统的严格管理是企业、机构和用户免受攻击的重要措旌。事实上很多企业、机构及用户的网站或系统都疏于安全方面的管理。据I T 届企业团体I T A A 的调试显示，美国9 0 的I T 企业对黑客准备不足。目前，美国7 5 8 鼹的网站都抵挡不住黑客的攻击，约有7 5 的企业网上信息失窃，其中2 5 的企业损失在2 5 万美元以上。我国互联网的发展与世界各国一样，由于早期网络规模和用户数量不大，对互联网的技术演变估计不足，缺乏前瞻性，导致网络信息安全建设资金投入不够，各项基础性管理工作相对较弱我国企业、机构无论在管理意识和资金投入方面，都与实际要求相差甚远。此外，管理的缺陷还可能出现在系统内部人员泄漏机密或外部人员通过非法手段截获而导致机密信息的泄漏。另外，操作员安全配置不当造成的安全漏洞，用户安全意识不强、口令选择不慎等都会给网络安全带来威胁。另一方面，由于技术与设计上的不完善性，白计算机诞生和互联网问世起，技术上的漏洞和设计方面的缺陷就随之而来。这些漏洞和缺陷主要存在与计算机操作系统和网络软件之中。从计算机与网络技术发展的进程来看，每一项新的操作系统与网络软件的推出，都必然会引起新的网络安全问题。正式计算机操作系统与网络软件难以克服的这种漏洞和缺陷，使得病毒与黑客可以利用，并加以传播和攻击。由于操作系统与软件开发越来越朝着计算机与互联网及通信一体化方向发展，而响应的技术则越来越先进和复杂，随着带来的网络安全问题也越来越多和严重。此外，目前利用计算机与网络漏洞的攻击手段和方法随手可得，也使得信息网络安全问题不断增多，长此以往，“绝对安全”的状态将永远无法实现；换言之，计算机与网络技术发展同信息安全问题J 下呈现出一种。正比关系”，随着信息网络技术的进展，病毒与黑客技术也相应发展，并随之带来新的和更多的网络安全问题。这也正是目前病毒与黑客泛滥、猖獗的一个根本原因第二章网络安全相关知识和技术2 1 2 罔络安全设备的各自为战随着网络安全问题的R 益严重，解决上述问题的网络安全设备也大量涌现，如防火墙、防病毒、入侵检测、安全漏洞扫描等各种设备都在解决某些网络安全问题上提供了很好的功能。虽然各类单元技术乃至产品已经比较成熟，但在大型计算机网络的网络安全管理方面，缺乏宏观的体系结构仍然是一个较为普遍的问题。由于安全管理设备本身不成体系、各自为政，导致各自分离的单元系统在面对复杂的大型网络安全管理时表现欠佳：而网络安全是动态的系统工程，单一的网络安全产品由于其功能局限性已不能满足网络安全的需要。基于满足网络不同层面的安全需求，由防火墙、防病毒、入侵检测系统、安全漏洞扫描等多种网络安全产品有机构成的体系成为业界所共识的网络安全整体解决方案1。鉴于目前国内网络安全产品还比较单一化，造成网络安全管理的重要性和管理困难的矛盾日益突出。一个系统中采用不同的网络安全设备实现不同的安全功能，而这些设备需要分别采用不同的软硬件和方法进行配置和管理。因此，管理员如果要实现一个整体网络安全策略需要对不同的设备分别进行设置和管理，并根据不同的日志和报警信息进行管理、较为繁复，特别是全局网络安全策略需要调整时，很难考虑周全和实现全局的一致性。2 1 3 网络安全信息过载当前，企业组织机构都越来越依赖于I T 技术提供的手段来提高自己的核心竞争力和服务水平。I T 技术日益发展、I T 环境变得越来越复杂，更多的网络安全威胁被揭示出来。为此，专业厂家开发了越来越多的网络安全产品和解决方案，对I T 信息提供防护。这些产品和解决方案包括反病毒、防火墙、入侵检测、漏洞扫描、访问控制和系统审计、认证、单点登陆、加密网关、V P N 与I P S e c 等。他们都提供了针对某种或某类威胁的防护手段。为了建设更严密的网络安全体系，专家们提出了“深层防御”或者“多层防御”的概念模型，在某层或某个安全机制失败的情况下，其他层次的网络安全机制依然可以进行防御。经过前几年的网络安全运行事件，企业的网络安全主管和网络安全管理员发现，他们正在被网络安全产品产生的海量事件和繁复的只常维护工作所淹没。在典型的大型或者中型企业的I T 管理中心，网络安全管理工作通常由系统管理6第二章同络安全相关知识和技术员兼管或配备l 一2 名专职网络安全员来管理网络安全产品和应用一般，网络安全产品和应用的数量在1 0 个左右(不包含桌面的安全应用)，而每个网络安全产品或应用如果每天产生的安全事件以数十件来计算的话(I D S 和防火墙一般都会超过这个数字)，一个类似规模的企业每天将需要处理成千上万个网络安全事件。那些实际上最为紧迫、最为关键的事件信息往往被夹杂在一起的各种各样“噪音”信息所淹没。如何从海量网络安全事件中得到真正有威胁的安全事件，如何让管理员别将太多事件和精力浪费在无关紧要的告警信息上，及时发现真实的网络安全风险事件并做出快速、实时的响应变得极为重要2-1 4 同络安全策略的制定与优化网络安全问题是一个长期的问题，而且昨天认为网络安全有效的系统，今天可能就漏洞百出，所以网络安全策略要不断地进行优化和改进，如何优化网络安全策略是一个提高系统安全的重要问题2 2 国内外网络安全研究状况网络安全形式的同益严峻，使业界不断提出各种解决方案来保证网络可靠网络安全管理系统就是其中一个重要的解决方案，通过网络安全管理系统建设，可以在很大程度上利用已有网络安全设备，并能够协调联动各个网络安全设备，获取最重要、最需要处理的网络安全信息，在制定网络安全策略等方面提供数据上的支持。下面简单介绍一下安全管理的国内外研究状况。第一个有关信息技术安全评价的标准诞生于八十年代的美国，就是由美国国防部(D o D)国家计算机安全中心(N C S E C)发布了的著名的“可信计算机系统评价准则”(T C S E C，又称橘皮书)。该准则对计算机操作系统的安全性规定了不同的等级，是信息安全发展史上的一个里程碑。从九十年代开始，一些国家和国际组织相继提出了新的安全评价准则。1 9 9 1 年，欧共体发布了。信息技术安全评价准则”(I T S E C)。1 9 9 3 年，加拿大发布了。加拿大可信计算机产品评价准则”(C T C P E C)，C T C P E C 综合了T C S E C 和I T S E C 两个准则的优点。同年，美国在对T C S E C 进行修改补充并吸收I T S E C 优点的基础上，发布了“信7第二章网络安全相关知识和技术息技术安全评价联邦准则”(F C)。1 9 9 3 年6 月，上述国家共同起草了一份通用准则(C c)，并将C C 推广为国际标准。C C 发布的目的是建立一个各国都能接受的通用安全评价准则，国家与国家之间可以通过签订互认协议来决定相互接受的认可级别，这样能使基础性安全产品在通过C C 准则评价并得到许可进入国际市场时，不需要再作评价。此外，国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准【5】，其关系详见图2 1。：圈，-I 隔翻魁醪皇浮舅酋嘲嗣四油t 嗣J q 畏焉图2 1 国际安全评测标准的发展及联系而我国在1 9 9 4 年，由国务院发布了中华人民共和国计算机信息系统安全保护条例(以下简称条例)，该条例是计算机信息系统安全保护的法律基础。其中第九条规定。计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”公安部在条例发布实施后便着手开始了计算机信息系统安全等级保护的研究和准备工作。并于1 9 9 9 年9 月1 3 日由国家质量技术监督局审查通过计算机信息系统安全保护等级划分准则(以下简称准则)国家标准，并已于2 0 0 1 年1 月1 日正式执行。该准则将计算机安全保护划分为以下五个级别：第一级：用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。第二级：系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，是所有的用户对自己行为的合法性负责。第三级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。第四级：结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护8第二章网络安全相关知识和技术机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。第五级：访问验证保护级。这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。但随着网络的深入发展，这类主要基于H o s t-T e r m i n a l 环境的静态安全模型和标准无法完全反映分布式、动态变化、发展迅速的I n t e m e t 安全问题。针对日益严重的网络安全问题和越来越突出的安全需求，。可适应网络安全模型”和。动态安全模型”应运而生。网络安全的研究从集中在系统自身加固和防护、不惜一切代价把入侵者阻挡在系统之外的防御思想，开始转变为预防检测攻击响应恢复相结合的思想，出现了P P D R(P o l i c y P r o t e c t D e t e c t R e s p o n s e)与P D R R(P r o t e c t D e t e c t R e a c t R e s t o r e)等网络动态防御体系模型，强调网络系统在受到攻击的情况下，网络系统的稳定运行能力。P P D R 和P D R R 是重要的动态防御模型，目前该领域所进行的研究与产品开发都是对此模型的丰富与实现。P P D R 模型包含4 个主要部分，如图2 2 所示。该模型就是在整体的安全策略的控制和指导下，在综合应用防护工具(如防火墙、防病毒、操作系统身份认证和加密等手段)的同时，运用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，将系统调整到“最安全”和“风险最低”的状态。P P D R模型体现了防御的动态性和基于时间的特性：它强调了系统安全的动态性和管理的持续性，以入侵检测、漏洞评估和自适应调整为循环来提高网络安全。在时间特性上，该模型引入实时检测的概念。P P D R 模型提出的安全目标，实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。图2 2 P P D R 模型示意图而最近，安全的概念已经从信息安全扩展到了信息保障，信息保障内涵已超9第二章网络安全相关知识和技术出传统的信息安全保密，是保护(P r o t e c t)、检测(D e t e c t)、反应(R e a c t)、恢复(R e s t o r e)的有机结合，称之为P D R R 模型(如图2 3 所示)。P D R R 模型把信息的安全保护作为基础，将保护视为活动过程，利用检测手段来发现安全漏洞，及时更正；同时采用应急响应措施对付各种入侵；在系统被入侵后，采取相应的措施将系统恢复到正常状态，这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。图2 3P D R R 模型示意图随着因特网的迅猛发展，企业网络规模的扩大和网络攻击方法的复杂，安全需求与同俱增。网络安全是动态的系统工程，单一的安全设备由于其功能局限性己不能满足网络安全的需求。目前基于满足网络不同层面的安全需求，由防火墙、防病毒、入侵检测系统、安全漏洞扫描等多种网络安全设备有机构成的安全体系成为业界所共识的网络安全整体解决方案。当前，安全设备的设置、操作和运行均独立进行，他们之间不能相互进行完全有效的沟通，是一种松耦合关系。要真正实现网络系统的整体安全，这种安全设备的简单集成和叠加显然是不够的，应该建立相关安全设备能够相互通信并且协同工作的网络安全体系，实现防火墙、防病毒、I D S(I n t r u s i o nD e t e c t i o nS y s t e m)、安全漏洞扫描等的互通与联动，以达到整体安全防护的目的。目前应用比较广泛的主要包含以下几种。2 2 1 基于开放的管理框架为了实现各种网络安全设备能够互通与联动，以实现整体安全防护，以防火墙安全厂商为首提出了开放管理框架，例如以C h e c kP o i n t 公司为首的业界权威安全厂商提出的O P S E C(O p c nP l a t f o r mf o rS e c u r i t y：开放平台安全互联1，通过l O第二章网络安全相关知识和技术一个开放的管理框架，继承并管理所有与网络安全相关的内容。另外，还提供了一系列基于工业标准协议的应用编程接口(A P I s)，使得用户能够轻松地集成所有基于该标准的安全应用，例如访问控制、地址翻译、授权、加密、安全审计等。任何基于该系列编程接口所开发的第三方安全系统都可以继承到O P S E C框架结构中。一旦加入O P S E C 应用框架，所有的网络安全工作都可以轻松地通过安全策略编辑器来完成，相关框架参见图2 4：图2 4 集成多种安全技术所需的框架O P S E C 应用框架允许将整个企业网络安全任务分解成由不同的安全产品完成，每个产品可以由不同的安全厂家提供和安装到不同的设备上。这样作的优势在于更好的解决兼容问题以及分配加载处理，同时具有很高的灵活性，使管理人员能够根据企业网络安全需求选择最佳的安全产品，以及在进行某个安全产品的更新操作时不至于影响到其他产品的正常运行。O P S E C 框架允许用户通过选择包括安全设备公司在内的安全系统供应商的产品，使其能够充分满足实际需要，同时保证在短期内可以利用安全技术领域的最新成果。通过该应用框架，我们可以在整个企业范围内进行完备化集中式安全策略的定义，实现所有网络安全系统在该安全策略下的有机协作，保证网络更加安全、易于维护以及对安全策略的理解。而由北京天融信网路安全技术公司发布了基于“联动5”应用的T O P S E C 整体解决方案和系列新产品，标示着我国的网络安全行业也已步入整体、全面联动阶段。第二章网络安全相关知识和技术2 2 2 基于E S U 理念的安管机制E S M(E n t e r p r i s eS e c u r i t yM a n a g e m e n t)是目前国际上较为流行的一种整体安全管理框架，他的主要思想是采用多种智能A g e n t 和安全控制中心，在统一安全策略的指导下，将系统小的各个安全部件协同起来，实现总体的安全策略，并且能够在多个安全部件协同的基础上实现实时监控、报表处理、统计分析等功能。这样的体系架构具备自适应性强，能适用于各种网络和系统环境：可扩充性好；集中化安全管理等优点，已成为网络安全整体解决方案的发展方向嗍E S M 框架体系主要是为了解决目前各类产品的各自为阵，难以组成一个整体安全防御体系的问题。在信息技术被大量采用的今天，安全威胁可能来自内部和外部许多机构发现来自内部的威胁有时可能造成更大的损失。而目前很多的安全产品只能保护某个点上的安全，例如防病毒程序查杀病毒、防火墙软件低于外部普通攻击、入侵检测系统发现入侵等，但许多机构在部署了某些安全产品后仍无法保证网络的安全，不同的安全产品间也缺乏联系，难以管理。真正的整体安全是在一个整体的安全策略下，通过安全产品和非安全产品以及管理制度的相互协调，才能实现。而上面两种开发框架都有各自的有缺点，并且在实现上并不存在矛盾，采用基于E S M 理念，并充分利用开放管理框架和A g e n t 技术，能够更好的保证系统的可扩展性和实效性。2 2 3 开放安全标准交换组织2 0 0 3 年4 月1 5 日，在北京，四家领先的安全解决方案提供商宣布创立合作组织”开放安全标准交换组织(O p e nS e c u r i t yE x c h a n g e，O S E)一。该组织定义了有关最佳安全管理实践，并为实现企业范围内的安全设备和安全政策的集成管理提供厂商中立的(v e n d o r-n e u t r a l)安全管理标准。通过促进企业内相关安全数据的有效交换，”开放安全标准交换组织一将帮助企业极大地降低遭受各种安全威胁的几率和总体运行成本。”开放安全标准交换组织”的创始成员是一些在网络和物理安全技术方面领先的公司：C A 是领先的安全管理软件提供商；G e m p l u s 是全球领先的智能卡解决方案提供商；H I D 是安全领域全球最大的非接触式访问控制卡和读卡器制造商；T y c oF i r e S e c u r i t y 的软件公司是集成式物理安全管理系统的领先提供商。1 2第二章网络安全相关知识和技术根据P i n k c r t o n C o n s u l t i n g a n d I n v e s t i g a t i o n s 公司的调研报告，在被调查公司中，在物理安全和网络安全部门问的合作方面，仅有3 6 的公司有正式的规章可循。安全管理的匮乏将导致安全风险增加、对安全风险认识不足、责任不分明和更高的运行成本。而”开放安全标准交换组织呗U 通过使企业采用其提供的标准，实现部门间的互操作性，从而帮助企业在不同的安全部门之问建立正式的合作，并提高机构的安全性和运行效率。开放安全标准交换组织。为物理和网络安全管理的融合制订的标准(可在网址h t t p：o p e n s e c u r i t y e x c h a n g e 姗上得到)在三个层面上为企业提供技术集成，他们分别是用户、特权和证书的通用管理；为通过使用双重目的证书访问物理设施和网络系统提供通用加强身份验证：通用安全点管理和事件审计能力这种融合将更多的减少由相互独立的物理和网络安全管理造成的风险。2 2 4 基于A g e n t U a n a g e r 框架近几年分布式人工智能领域兴起了S o f t w a r e A g e n t 理论的研究热潮，解决异构环境中的软件互操作问题，A g e n t 在电子商务、消息主动传送、事件监控、信息收集以及网络管理等领域有很好的应用前景，其中网络安全管理是极有潜力的应用领域之一。而下面要创建的网络安全管理系统中，采用的就是这种技术，通过A g e n t技术来搭建整个网络安全管理系统的框架，对于支持开放管理框架的各种安全设备，采用基于开放管理框架的方式来提供访问控制功能。2 3 系统安全设备建设网络安全管理系统，首先有必要熟悉和掌握现有各种网络安全设备的功能、特点和缺陷，下面简单的介绍一下各种网络安全设备以及各种网络安全设备与网络安全管理系统的联动内容。第二章网络安全相关知识和技术2 3 1 防火墙设鲁防火墙(F i r e w 蛆I)是指设置在不同网络(如可信任的内部网络和不可信任的公共网络)，或网络安全域之间的一系列部件组合，目的是为了保障“可信任的”网络安全并且维护“可信任的”网络与“不可信任的”网络之间的通信方便。防火墙设备作为网络防护的一道防线，一般位于企业或网络群体计算机与外界通道(I n t e r n e t)的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限，以防止发生不可预测的、潜在破坏性的侵入作为保护网络内部安全的一道防护，防火堵具有如下性质：双向通信必须通过防火堵防火墙本身不会影响信息的流通只允许本身安全策略侵权的通信信息通过同时防火墙主要提供以下四种服务：服务控制：确定可以访问的网络服务类型方向控制：特定服务的方向流控制用户控制：内部用户、外部用户所需的某种形式的认证机制行为控制：控制如何使用某种特定的服务通过这些服务，防火墙提供了使用者如下益处：保护脆弱的服务控制对系统的访问集中的安全管理防火墙对网络实现集中的安全管理，在防火墙定义的安全规则可以运行于整个内部网络系统，而无需在内部网的每台机器中分别设立安全策略。防火墙可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件，外部用户也只需要经过一次认证即可访问内部网。防火墙设备于网络安全管理系统的联动说明：网络安全管理系统对防火墙系统进行实时监控和策略制定，并且通过系统的互动和联动来实现对防火墙系统的安全信息管理网络安全管理系统可以通过防火墙监控子系统对防火墙系统进行系统状态监测防火墙监控子系统应能够通过S N M PV 3 协议向网络安全管理系统监控管理第二章网络安全相关知识和技术中心上报防火墙上发生的安全事件、设备状态等数据网络安全管理系统可以通过防火