毕业设计企业网络安全漏洞分析及其解决方案.doc
《毕业设计企业网络安全漏洞分析及其解决方案.doc》由会员分享,可在线阅读,更多相关《毕业设计企业网络安全漏洞分析及其解决方案.doc(52页珍藏版)》请在冰点文库上搜索。
西南科技大学
自学考试
毕业论文
题目:
企业网络安全漏洞分析及其解决方案
学院:
西南科技大学
系别:
计算机工程系
专业:
信息管理与服务
班级:
08秋
准考证号:
070109325096
学生姓名:
严玲
指导教师:
谭亮
摘要
为了防范网络安全事故的发生,互联网的每个计算机用户、特别是企业网络用户,必须采取足够的安全防护措施,甚至可以说在利益均衡的情况下不惜一切代价。
事实上,许多互联网用户、网管及企业老总都知道网络安全的要性,却不知道网络安全隐患来自何方,更不用说采取什么措施来防范胃。
因此,对于互联网用户来说,掌握必备的网络安全防范措施是很有必要的,尤其是网络管理人员,更需要掌握网络安全技术,架设和维护网络系统安全。
本论文前三章介绍了网络安全的概述,网络安全技术和网络安全漏洞分析;介绍了我国网络安全的现状和网络安全面临的挑战,以及漏洞的分类的分析。
第四章主要讲了漏洞扫描系统的必要性,只有发现漏洞才能更好的维持企业网络安全秩序。
第五章主要是实际应用的解决方案,介绍了无线网络安全实战,用实际的解决方案来说明主题。
关键词:
网络安全漏洞解决方案
ABSTRACT
Topreventtheoccurrenceofnetworksecurityincidents,theInterneteachcomputeruser,especiallythecorporatenetworkusersmusttakeadequatesafetyprecautions,perhapseveninthecaseofbalancingtheinterestsatallcosts.Infact,manyInternetusers,networkmanagementandcorporateCEOsareawareofnetworksecurityto,butdonotknowwhereitcomesfromthenetworksecurityrisks,nottomentionthemeasurestakentopreventstomach.Therefore,Internetusers,themasternecessarynetworksecuritymeasuresisnecessary,especiallyinnetworkmanagement,butalsoneedtohavenetworksecuritytechnology,theconstructionandmaintenanceofnetworksystemsecurity.
Thefirstthreechaptersofthispaperdescribesanoverviewofnetworksecurity,networksecurityandnetworksecurityvulnerabilityanalysis;describesthestatusofournetworksecurityandnetworksecuritychallenges,andvulnerabilitiesarepresented.ChapterFourtalkedabouttheneedforvulnerabilityscanningsystem,onlytofindloopholesinbettermaintenanceofenterprisenetworksecurityorder.Fifthchapteristhepracticalapplicationofthesolution,introducedtheactualwirelessnetworksecurity,withpracticalsolutionstoillustratethetheme.
Keywords:
NetworkSecurityvulnerabilitiesSolutions
前言
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。
但必须看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化发展的进程。
可以从不同角度对网络安全作出不同的解释。
一般意义上,网络安全是指信息安全和控制安全两部分。
国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。
网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。
然而,正是由于互联网的上述特性,产生了许多安全问题:
1)信息泄漏、信息污染、信息不易受控。
例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。
2)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。
3)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。
由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。
4)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。
在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步。
据有关方面统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。
在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。
2003年,CSI/FBI调查所接触的524个组织中,有56%遇到电脑安全事件,其中38%遇到1~5起、16%以上遇到11起以上。
因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭受拒绝服务攻击(DoS)则从2000年的27%上升到2003年的42%。
调查显示,521个接受调查的组织中96%有网站,其中30%提供电子商务服务,这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。
更令人不安的是,有33%的组织说他们不知道自己的网站是否受到损害。
据统计,全球平均每20s就发生1次网上入侵事件,黑客一旦找到系统的薄弱环节,所有用户均会遭殃。
目录
第一章网络安全概述
§1.1我国网络安全的现状与挑战
网络安全问题已成为信息时代人类共同面临的挑战,国内的网络安全问题也日益突出。
具体表现为:
计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节;网络政治颠覆活动频繁。
§1.1.1我国网络安全问题日益突出
目前,我国网络安全问题日益突出的主要标志是:
a)计算机系统遭受病毒感染和破坏的情况相当严重。
据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。
据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。
其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。
b)电脑黑客活动已形成重要威胁。
网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
c)信息基础设施面临网络安全的挑战。
面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。
据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。
近年来,国内与网络有关的各类违法行为以每年30%的速度递增。
据某市信息安全管理部门统计,2003年第1季度内,该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。
该市某公司的镜像网站在10月份1个月内,就遭到从外部100多个IP地址发起的恶意攻击。
d)网络政治颠覆活动频繁。
近年来,国内外反动势力利用互联网组党结社,进行针对我国党和政府的非法组织和串联活动,猖獗频繁,屡禁不止。
尤其是一些非法组织有计划地通过网络渠道,宣传异教邪说,妄图扰乱人心,扰乱社会秩序。
例如,据媒体报道,“法轮功”非法组织就是在美国设网站,利用无国界的信息空间进行反政府活动。
§1.1.2制约提高我国网络安全防范能力的因素
当前,制约我国提高网络安全防御能力的主要因素有以下几方面。
(1)缺乏自主的计算机网络和软件核心技术
我国信息化建设过程中缺乏自主技术支撑。
计算机安全存在三大黑洞:
CPU芯片、操作系统和数据库、网关软件大多依赖进口。
信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害:
“我们的网络发展很快,但安全状况如何?
现在有很多人投很多钱去建网络,实际上并不清楚它只有一半根基,建的是没有防范的网。
有的网络顾问公司建了很多网,市场布好,但建的是裸网,没有保护,就像房产公司盖了很多楼,门窗都不加锁就交付给业主去住。
”我国计算机网络所使用的网管设备和软件基本上是舶来品,这些因素使我国计算机网络的安全性能大大降低,被认为是易窥视和易打击的“玻璃网”。
由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
(2)安全意识淡薄是网络安全的瓶颈
目前,在网络安全问题上还存在不少认知盲区和制约因素。
网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。
与此同时,网络经营者和机构用户注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。
总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
近年来,国家和各级职能部门在信息安全方面已做了大量努力,但就范围、影响和效果来讲,迄今所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面,整个信息安全系统在迅速反应、快速行动和预警防范等主要方面,缺少方向感、敏感度和应对能力。
(3)运行管理机制的缺陷和不足制约了安全防范的力度
运行管理是过程管理,是实现全网安全和动态安全的关键。
有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。
就目前的运行管理机制来看,有以下几方面的缺陷和不足。
a)网络安全管理方面人才匮乏:
由于互联网通信成本极低,分布式客户服务器和不同种类配置不断出新和发展。
按理,由于技术应用的扩展,技术的管理也应同步扩展,但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。
信息安全技术管理方面的人才无论是数量还是水平,都无法适应信息安全形势的需要。
b)安全措施不到位:
互联网越来越具有综合性和动态性特点,这同时也是互联网不安全因素的原因所在。
然而,网络用户对此缺乏认识,未进入安全就绪状态就急于操作,结果导致敏感数据暴露,使系统遭受风险。
配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就无法发现和及时查堵安全漏洞。
当厂商发布补丁或升级软件来解决安全问题时,许多用户的系统不进行同步升级,原因是管理者未充分意识到网络不安全的风险所在,未引起重视。
c)缺乏综合性的解决方案:
面对复杂的不断变化的互联网世界,大多数用户缺乏综合性的安全管理解决方案,稍有安全意识的用户越来越依赖“银弹”方案(如防火墙和加密技术),但这些用户也就此产生了虚假的安全感,渐渐丧失警惕。
实际上,一次性使用一种方案并不能保证系统一劳永逸和高枕无忧,网络安全问题远远不是防毒软件和防火墙能够解决的,也不是大量标准安全产品简单碓砌就能解决的。
近年来,国外的一些互联网安全产品厂商及时应变,由防病毒软件供应商转变为企业安全解决方案的提供者,他们相继在我国推出多种全面的企业安全解决方案,包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案,以及企业管理解决方案等一整套综合性安全管理解决方案。
(4)缺乏制度化的防范机制
不少单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。
不完善的制度滋长了网络管理者和内部人士自身的违法行为。
许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统管理制度疏于管理而得逞的。
同时,政策法规难以适应网络发展的需要,信息立法还存在相当多的空白。
个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。
由于网络作案手段新、时间短、不留痕迹等特点,给侦破和审理网上犯罪案件带来极大困难。
§1.1.3对解决我国网络安全问题的几点建议
就政府层面来说,解决网络安全问题应当尽快采纳以下几点建议:
a)在国家层面上尽快提出一个具有战略眼光的“国家网络安全计划”。
充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。
b)建立有效的国家信息安全管理体系。
改变原来职能不匹配、重叠、交叉和相互冲突等不合理状况,提高政府的管理职能和效率。
c)加快出台相关法律法规。
改变目前一些相关法律法规太笼统、缺乏操作性的现状,对各种信息主体的权利、义务和法律责任,做出明晰的法律界定。
d)在信息技术尤其是信息安全关键产品的研发方面,提供全局性的具有超前意识的发展目标和相关产业政策,保障信息技术产业和信息安全产品市场有序发展。
e)加强我国信息安全基础设施建设,建立一个功能齐备、全局协调的安全技术平台(包括应急响应、技术防范和公共密钥基础设施(PKI)等系统),与信息安全管理体系相互支撑和配合。
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。
我国日益开放并融入世界,但加强安全监管和建立保护屏障不可或缺。
国家科技部部长徐冠华曾在某市信息安全工作会议上说:
“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。
近年来,随着国际政治形势的发展,以及经济全球化过程的加快,人们越来越清楚,信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全,同时也涉及国家的国防安全、政治安全和文化安全。
因此,可以说,在信息化社会里,没有信息安全的保障,国家就没有安全的屏障。
信息安全的重要性怎么强调也不过分。
”目前我国政府、相关部门和有识之士都把网络监管提到新的高度,上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系,其核心是在技术处于弱势的情况下,用强化管理体系来提高网络安全整体水平。
衷心希望在不久的将来,我国信息安全工作能跟随信息化发展,上一个新台阶。
§1.2网络安全面临的挑战
随着网络经济的迅猛发展,企业网络安全正遭受严峻的挑战:
病毒泛滥、黑客入侵、木马蠕虫、拒绝服务攻击、内部的误操作和资源滥用,以及各种灾难事故的发生,这些都时刻威胁着网络的业务运转和信息安全。
2003年的蠕虫病毒大爆发恐怕令很多人至今都记忆忧新,在这场灾难中,全球企业遭受的损失超过了550亿美元。
虽然企业网络的安全已成为人们关注的焦点,基于防火墙、网关等设备的防毒防攻击技术也层出不穷;但病毒和黑客的进步速度似乎更快,并逐渐呈现出病毒智能化、变种、繁殖化,黑客工具“傻瓜”化等趋势,这使得传统的企业网络安全体系防不胜防,企业网络随时面临瘫痪甚至被永久损坏的危险。
在传统的网络架构中,由防火墙、网关等单一安全产品打造的防线,面对不断更新的病毒和网络攻击,显得十分脆弱与被动。
图1-1传统网络结构面临的挑战和困难图
如图1-1所示具有如下特点:
• 网关常常被欺骗信息“迷惑”
• 各类应用抢占带宽资源
• 恶意信息和网络攻击肆虐
• 关键业务无法得到保障
• 内网充斥着海量的垃圾信息
• 设备性能和网络资源被恶意访问消耗殆尽……
整个网络就像一个杂乱无章的车站,三教九流充斥其中,无秩序无管理,造成整个网络的稳定性大打折扣。
§1.2.1飞鱼星安全联动系统
用户期望得到一个彻底的、一劳永逸的解决方案,来加强网络和信息系统的安全防护。
因此,飞鱼星科技提出基于“防火墙路由器+安全交换机”的安全联动系统解决(ASN)。
图 1-2飞鱼安全联动系统图
如图1-2所示,飞鱼星安全联动系统(ASN)是一套即时、互动和统一的网络安全新架构,能有效解决内网的安全问题,重建和优化内网秩序。
它通过路由器和安全交换机的联动协作,共同构成一套完整的企业网络安全体系。
安全策略和QoS策略被部署到交换机的每个接入端口,极大增强网络的主动防御能力,为用户创建一个内外兼“固”的安全环境。
在飞鱼星安全联动系统(ASN)中,交换机不仅是数据交换的核心,还具备专业安全产品的性能。
通过安全交换机串联服务器、安全网关、终端电脑,组成贯穿整个网络的安全防护体系整个网络类似井然有序的机场,安检严格,层层把关;调度有序,进出港快速稳定;内网关键业务和重要应用优先级得到保障,犹如享有机场的VIP通道。
§1.3网络安全定义
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。
在系统处理能力提高的同时,系统的连接能力也在不断的提高。
但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:
网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。
甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。
§1.3.1网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
§1.3.2物理安全分析
网络的物理安全是整个网络系统安全的前提。
在企业网工程建设中,由于网络系统属于弱电工程,耐压值很低。
因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。
总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。
§1.3.3网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。
假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。
透过网络传播,还会影响到连上Internet/Intrant的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。
因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
§1.3.4系统的安全分析
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。
目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot的WindowsNT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
因此,我们可以得出如下结论:
没有完全安全的操作系统。
不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。
因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。
而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
§1.3.5应用系统的安全分析
应用系统的安全跟具体的应用有关,它涉及面广。
应用系统的安全是动态的、不断变化的。
应用的安全性也涉及到信息的安全性,它包括很多方面。
应用系统的安全是动态的、不断变化的。
应用的安全涉及方面很多,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、NetscapeMessagingServer、Software、ComPost、Office、LotusNotes、ExchangeServer、SUNCIMS等不下二十多种。
其安全手段涉及LDAP、DES、RSA等各种方式。
应用系统是不断发展且应用类型是不断增加的。
在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
应用的安全性涉及到信息、数据的安全性。
§1.4网络安全体系结构
网络安全结构应当在对网络全面了解后实施.只有在掌握网络拓扑结构,风险分析结果和网络安全目标后,才能按照网络安全策略的要求,建立和实现网络系统的安全.网络安全体系结构一般指能实现如下几个功能的实体:
(1)提供未定义环境概念上的安全定义的结构
(
升级会员 