企业计算机网络安全专业系统设计和实现.doc

《企业计算机网络安全专业系统设计和实现.doc》由会员分享，可在线阅读，更多相关《企业计算机网络安全专业系统设计和实现.doc（49页珍藏版）》请在咨信网上搜索。

1、企业计算机网络安全系统设计和实现摘 要伴随网络技术不停发展和应用，计算机网络不停改变多种社会群体生活、学习和工作方法，能够说大家已经不能离开计算机工作和学习。 因为计算机网络在生活中如此关键，怎样确保网络安全可靠稳定运行，已成为网络设计和管理中最关键问题。 企业作为互联网应用最活跃用户，在企业网络规模和网络应用不停增加情况下，企业网络安全问题越来越突出。 企业网络负责业务计划、发展战略、生产安排等任务，其安全稳定直接关系到生产、管理和管理保密性。 所以，企业建立网络安全体系至关关键。本文首先介绍了企业计算机网络安全技术，分析了计算机网络接入和防火墙技术等系统开发过程中包含关键技术，和怎样在此阶

2、段为上述网络安全问题建立安全系统。 怎样建立监控系统等，并描述了系统实现过程。 该系统可实现计算机网络访问控制、文件系统运行、系统运行状态等远程访问和实时监控。 关键实现用户身份管理模块、实时监控模块、硬件对象管理模块、软件对象管理模块、网络对象管理模块、文件对象管理模块等。经过对系统测试和分析，系统达成预期设计目标和工作状态，能够满足内部网络安全监控功效要求。 可应用于网络信息安全有更高要求企业和部门。关键词：网络安全；实时监控；安全系统；网络信息安全第1章 绪论1.1 课题研究背景及意义伴随计算机网络技术发展，互联网应用也在不停推进，其应用已深入到工作、生活、学习和娱乐各个方面，使大家工作

3、环境不停改善，提升生活质量，企业电子商务发展快速，信息化水平大幅提升，大大促进了经济社会进步和发展。不过，互联网普及为大家带来了便利，提升了生活质量，促进了社会科学技术进步，促进了社会发展，同时网络信息安全问题日益突出1。伴随计算机网络广泛应用和普及，黑客非法入侵，网络中计算机病毒蔓延和垃圾邮件处理已成为关注焦点。 很多企业没有为计算机网络系统做好安全方法，付出了很惨痛和昂贵代价2。企业网络建设是企业信息化基础，INTRANET是企业网络模式，是企业网络基础。 INTRANET不完全是LAN概念，经过和互联网连接，企业网络范围能够跨区域，甚至跨越国界3。现在很多有远见商界领袖感受到企业信息化关

4、键性，已经建立了自己企业网络和内部网，并经过多种广域网和互联网连接。 网络在中国快速发展只有近几年才出现，企业网络安全事件出现已经很多4。 所以，我们主动开展企业网络建设，学习吸收国外企业网络建设和管理经验，利用网络安全将部分企业网络风险和漏洞降至最低。 伴随威胁快速发展，计算机网络安全目标不停改变。所以，只有不停更新病毒和其它软件不停升级以确保安全。对于包含敏感信息资产业务系统和设备，企业能够统一应用该方法，从而确保病毒署名文件更新、入侵检测和防火墙配置和安全系统其它关键步骤。简单技术无法处理安全问题。只有依靠健全战略和程序，并配适宜当人员和物质安全方法，整合安全处理方案才能发挥最大作用。健

5、全安全政策和标准要求了需要保护内容，应依据权限和需要划分人员职能。企业需要高度支持安全政策，提升职员意识，有利于成功实施战略5。 全方面安全策略提升了目标计算机网络整体安全性，这是经过使用网络安全独立产品无法实现。 不管内部和外部安全问题怎样，确保全部这些功效全部得到实施。 维护安全基础框架很关键6。1.2 企业网络安全系统中国外研究现实状况企业网从初始单一数据交换发展到集成智能综合网络，已经经历了十几年时间。在此过程中，企业网络人员逐步实现了网络架构设计多层次，多元素化。它包含主机系统、应用服务、网络服务、资源、并支持业务正常运行。 现在企业对网络需求越来越高，对网络依靠越来越强，这表明企业

6、管理、生产和销售网络发挥了很强支撑作用7。1.2.1中国企业网络安全系统现实状况伴随宽带互联网快速发展，企业网络安全形势恶化，受访企业中有部分企业发生网络信息安全事件，其中部分企业感染了病毒、蠕虫和木马8。部分企业有网络端口扫描。 在这种情况下，企业网络安全和网络安全管理已成为中国政府、学术界和行业关注焦点。从政府角度来看，企业网络含相关键战略意义：企业网络是国家信息化基础设施，担负着保护网络和信息安全关键责任，也反应了国家主权。在学术领域，信息安全是一个综合性学科领域，不仅包含数学、物理，还包含通信、计算机等综合学科。 其研究不仅包含网络安全技术研究和设计，整体处理方案，还包含网络安全产品开

7、发等9。在行业中，我们产品缺乏关键竞争力：信息安全产品和国外厂商自主开发，几乎全部属于低端产品。 比如，国际优异网络安全处理方案和产品，是中国严禁，我们只能学习这些优异技术和产品。 面对日益严重网络和信息安全形势，中国政府、学术界、产业界等高度关注，信息安全关键性已经提升到前所未有战略高度。 以后，中国制订了一批信息安全法规和部门规章制度，基础形成统一，分工明确负责任组织，网络安全事故应急响应协调机制初步建立，实施 信息安全关键技术研究，开启对应体系建设，开展计算机信息系统分类安全体系建设监督管理，开发了一批专业信息安全产品，网络信息安全产业开始形成规模。 中国信息网络安全管理和控制系统研究和

8、开发在早期阶段，古利勇等对网络管理平台架构进行了研究，提出了系统框架。 安全策略管理分析。 安全预警管理、资产风险管理、安全事件集中监控、安全知识管理、安全汇报管理等六大关键功效模块10。 ，孙强等提出了基于消息通信安全管理体系模型，介绍了安全管理体系结构和实现机制，并对系统实现中关键技术和处理方案进行了介绍，包含系统架构、消息通信机制、 系统安全机制和安全风险模型及数据一致性维护等11。，史简等研究提出了统一网络安全管理平台，利用风险评定和事件相关技术，实时分析网络风险情况，降低误报和漏报11。赵泉指出，加密技术是信息安全网络安全技术关键12。 ，阎廷瑞提出了信息传输和存放安全性，为网络应用

9、系统信息安全模型基础要素和资源访问安全控制提供了一个更简单可行认证和安全管了处理方案13。 ，刘金华等研究设计了新监控管理系统，经过数据采集、数据分析、实现网络内主机设备性能数据分析和监控控制策略14。朱周华在提出了一个新网络和信息安全架构模型15。1.2.2国外企业网络安全系统现实状况自20世纪70年代中期以来，英美等西方发达国家已经开始重视网络和信息安全问题。 经过多年发展，在理论研究、标准制订、产品开发、安全体系建设，人才培养等方面取得了很多结果16。本文回顾了信息安全技术发展路径，W.Diffie和W.Hellman提出了公钥密码学和David.Bell和Lconard La Padu

10、fa提出计算机安全模型，信息安全从初步单阶段保密到预防和检测、评定、控制等方面提出了计算机安全模型，信息安全处于快速发展阶段 “攻、防和测、评、控、管为一体安全成熟系统之一17。从现在市场结构来看，信息安全技术保持领先是美国、英国、法国和以色列; 研究内容关键针对安全协议和安全架构设计，包含：安全协议分析方法，安全协议研究和设计使用; 安全架构设计，包含安全系统模型、研究和建立安全策略和机制，和系统对安全性检验和评定15。 安全协议研究中最关键问题之一是安全分析方法形式分析。 现在，该领域结果包含电子商务协议、协议、简单网络管理协议和安全操作系统，安全数据库系统16。从目前产品角度来看，现在主

11、流安全产品有防火墙、安全服务器、入侵检测系统、安全数据库、认证产品等16。从国外企业信息化建设角度看，发达国家很多企业将信息化迈向战略高度，大量信息技术投入和发展（通常信息投入占总资产10，加紧获取信息技术。比如，美国全部大企业全部实现了办公自动化，部分跨国企业实现虚拟办公17;同时这些大型企业基础上全部是经过信息技术实现首席信息官改善这些企业决议、管理和经营，并取得新发展机遇18。Antoine Joux（）在其Algorithmic Crpytanalysis一书中指出，加密算法和验证技术和网络安全亲密相关19。外国学者Joseph Migga Kizza（）著作COMPUTER NETW

12、ORK SECURITY AND CYBER ETHICS,4TH ED中针对多年来新型加密技术进行了叙述20。从国外企业实施信息化角度来看，通常国际企业伴随信息技术推广，其业务网络延伸到最广泛地方。 然而，因为新技术飞速发展，信息安全通常企业面临着很多问题和困难，所以她们将如网络防火墙技术、入侵检测技术、数据安全技术、安全技术投资外包给第三方等21。1.3 课题关键研究内容 本文关键工作是分析内部网络安全检测系统关键技术。 在此基础上，完成了网络安全检测系统设计和开发，关键包含以下多个方面。 1.本文分析了网络编程技术中安全检测系统，主机状态监控技术和用户权限管理和数据安全技术，提出了具体实

13、现方案。 相关系统信息搜集，用户行为数据和网络数据采集基础概述和相关关键技术，和对开发环境中使用系统简明介绍。 2.分析安全检验系统具体需求，包含功效和非功效要求，并说明任务范围和内容。 简明介绍了网络安全检测系统要求，具体分析了系统整体功效和子功效。 最终，介绍了系统性能、易用性、接口要求和非功效要求。 3.完成安全检测系统整体框架设计，给出系统功效具体设计。 本文介绍了网络安全检测系统设计过程，给出了系统功效结构和处理逻辑设计，并描述了关键数据结构、用户界面、数据结构和安全设计过程。 4.完成安全检测系统编码和实现，并对系统进行了测试和分析。介绍了系统实现，系统整体拓扑结构和软件系统逻辑结

14、构，分别实现了功效模块在关键功效中关键功效。介绍了网络安全检测系统功效和性能测试。 测试结果表明该系统能够满足应用要求。1.4论文结构安排第1章 对企业计算机网络安全系统背景和意义进行介绍。得出本文研究现实状况、研究内容和结构。第2章 相关概念和关键技术，具体介绍了企业计算机网络安全相关技术，如计算机网络入侵和攻击技术，和在这个阶段针对以上网络安全问题，怎样建立一个安全系统等。 第 3 章 需求分析 包含系统功效和非功效需求分析。第4章 企业计算机网络安全管理系统设计，系统架构设计、系统功效模块设计、数据库设计等。第5章 企业计算机网络安全管理系统实现。对各个部分功效进行实现。第2章 相关概念

15、及关键技术2.1 计算机网络安全概念计算机网络安全是指系统软件、应用软件、硬件等媒体在网络中全部数据信息能够完全防御，不会出现异常或异常改变，能够有效预防这些媒体信息不被篡改，保护 网络数据传输稳定，不会泄漏，不间断运行22。网络安全是一个很复杂和全方面研究课题，不仅涵盖了计算机基础科学、网络通信技术、信息技术和电子通信加密技术，而且还包含部分端口类加密、信息理论和应用数学。 从根本上说，网络安全是运输网络元素安全运行。网络安全性根据应用分为两大类，第一类网络安全是指网络信息安全。 第二类是指网络中全部数据可用、可控、保密和完整性相关技术被归类为计算机网络安全分类讨论完整性理论23。 同时，计

16、算机网络安全也能够依据环境或对象不一样而产生理论扩展。 用于维护信息网络管理员。 网络安全是确保网络不受木马和病毒。攻击外部和内部数据，消除网络应用程序异常使用，确保资源能够完全控制，以确保网络能够访问数据单元操作。 不过对于最终用户计算机网络在网络安全方面个人隐私和商业秘密来说，确保个人信息和个人安全。 和网络传输和存放单位信息相关全部数据均为机密、真实、完整。 并确保用户未经授权身份存放在全部相关数据单元中，信息不能以任何方法进行篡改，确保本身利益和权力24。2.2 计算机网络安全关键技术网络安全技术牵引包含很多基础学科，本文列举了网络安全技术在相对普及技术中发展实现。 防火墙（Firew

17、all）、虚拟专用网（VPN）、入侵检测（IDS）、安全扫描技术（Scanner）和网络访问控制（ACL）以下所述。2.2.1 防火墙技术所谓防火墙技术（Firewall）经过互联网（Internet）或外部网络和数据传输网络之间“最小”内部网络传输门禁，然后完成隐藏未经授权用户连接内部网络数据方法25。 到现在为止，防火墙技术仍然能够预防未经授权用户访问网络，也是预防非法用户入侵最关键手段，和最广泛使用网络安全策略布署技术。结合信息安全技术开发过程发展，防火墙（Firewall）可分为三类：1包过滤防火墙通常基于路由器建立，在服务器或计算机上也能够安装包过滤防火墙软件。在网络层包过滤防火墙基

18、础上，单个IP实现网络控制。对所接收IP数据包源地址、目标地址、TCP数据包或UDP数据报文源端口和目标端口号、包出入接口、协议类型和数据包中多种标志位等参数，和网络管理员预先设置访问控制比较列表以确定它们是否符合预定义安全策略和决定，释放或丢弃给定包。防火墙优点是简单、方便、快速、透明度好，对网络性能影响不大，能够用来严禁非法外部用户访问企业内部网，也能够用来严禁访问一些类型服务，不过我们无法识别危险程序包内容，无法实施应用程序安全性处理。2 代理服务器型防火墙 经过在计算机或服务器上运行代理服务程序，运行到特定应用层服务，也称为应用层网关级防火墙。代理服务器型防火墙关键，是代理服务器上运行

19、防火墙主机进程。实质上，它是连接企业内部网和互联网网关特定网络应用23。它是用户完成TCP / IP访问功效，其实是电子邮件、FTP、Telnet、WWW等不一样应用程序全部提供给对应代理。该技术许可经过代理服务器建立外部网络和内部网络之间连接，实现安全网络访问，并可实现用户认证，具体日志，审计跟踪和数据加密等功效，实现协议过滤器和会话控制控制，含有良好灵活性。代理服务器防火墙有可能影响网络性能，用户不透明，而对于每个TCP / IP服务应设计一个代理模块，建立对应网关实现更为复杂。3 复合型防火墙 因为安全性要求较高，通常基于包过滤方法和基于应用代理方法，形成复合防火墙，提升防火墙灵活性和安

20、全性。这种组合通常有两个选择： （1）屏蔽主机防火墙架构：在这种结构中，分组过滤路由器或防火墙和Internet连接，同时将堡垒机安装在内部网络中，经过包过滤路由器或防火墙过滤规则集，使堡垒成为只有互联网上其它节点能够访问节点，这确保了内部网络不会受到未经授权外部攻击24。 （2）屏蔽子网防火墙架构：堡垒机放置在子网中，形成非军事区，两个子网过滤器两端，使子网和互联网和内部网分离。在屏蔽子网防火墙架构中，堡垒主机和过滤路由器组成了整个安全防火墙基础。2.2.2 虚拟专用网技术（VPN）虚拟专用网（VPN）是经过公共网络创建一条穿透公共网络饿逻辑隧道。 这是在公用网络（Internet）上建立一

21、个虚拟通道连接，从技术上讲，虚拟专用网络是局域网（LAN）扩展25。经过虚拟专网（VPN）技术可实现远程终端连接网络（LAN），这是现代网络发展关键技术，能够帮助企业分支机构及相关零部件企业建立网络通信，该技术能够保护 最终用户和总部之间安全数据信息传输。虚拟专网（VPN）布署成本低廉，易于建立VPN网络，既保护安全和数据传输机密性，又简化了网络架构设计复杂性26。虚拟专网（VPN）有四大类关键技术27：1.隧道技术; 2.用户认证技术; 3.加密技术; 4.访问控制技术。隧道技术是虚拟专用网（VPN）最关键技术，它是一个基于私有数据网络安全转发信息加密隧道机制。 该技术是在转发帧之前封装需要

22、在对应加密协议中发送帧。 当转发数据传输到隧道另一端时，将依据已建立加密协议进行解封。 从分组到封闭，加密隧道为一个逻辑信道，隧道协议由三部分组成，一个是数据链路层协议，协议标准是L2TP和PPTP; 另一个是网络层协议，关键协议是IPSec和GRE等; 另一个是传输层协议，关键协议是SSL和TSL等。 两种最广泛使用加密协议是L2TP和IPSec。虚拟专网（VPN）依据虚拟专网应用类型可分为三类28：（1）内网（LAN）VPN：实现从LAN到另一个LAN到网关链接。 资源经过不一样LAN资源经过目标LAN进行连接。（2）外联网（Extranet）VPN; 和内部网络（LAN）组成外网; 也和

23、其它网络（LAN）互连。（3）远程访问（Access）VPN：实现远程用户上网互联，基于公网实现虚拟专用数据转发。对于不一样用户能够开发不一样虚拟专用设备，设备能够分为VPN交换机、VPN防火墙和VPN路由器29。（1）VPN交换机：这些设备用于更远程接入网架构;（2）VPN防火墙：最广泛使用虚拟专用网建设设备，通常布署在网络出口;（3）VPN路由器：最轻易布署这么设备，只需增加路由器配置VPN服务类别即可完成。2.2.3 入侵检测技术基础策略和技术分类1.入侵检测技术基础策略 即使防火墙能够有效预防非法入侵，不过防火墙不是灵丹妙药，防火墙周围总是有未知攻击来攻击网络，造成网络不正常运行，网络

24、入侵检测系统（IDS）采取一个更智能检测策略，从第二个测试端口检测攻击行为。入侵检测基础策略是基于网络一定算法或访问关键点进行更科学分析，以确定是否存在安全策略行为攻击或违规。满足算法要求人作为正当访问，但对于那些不符合算法访问测试结果要求汇报，响应处理和阻塞在检测系统中，关键是基于网络信息监控检测和有效判定数据是否正当，非法数据过滤掉。入侵检测过程图2-1所表示。 从图中能够看出，入侵检测系统拦截网络信息，然后提取检测数据，依据过滤规则提取数据，经过入侵分析结果，并截获数据包信息响应处理。图2-1 入侵检测系统步骤2. 入侵检测技术分类依据信息数据包单元起源差异，入侵检测能够分为以下几类：（

25、1）基于主机型IDS能够为网络事件和操作系统环境，日志统计进行有效检测。 假如文档被修改或更改文档日志，IDS将匹配新日志条目和现有访问攻击事件。 假如比较表示新日志条目和访问事件含有攻击特征，则IDS匹配系统将依据已建立规则发送告警信息。 信息安全行业全部IDS产品全部有侦听端口，假如检测到异常警报或未经授权访问特定端口将触发警报机制，则会向网络管理员发送警报消息。（2）基于网络IDS该设备将网络信息视为分散信息源，并使用网络在阅读后收听网络上信息流。 基于网络IDS检测模块通常使用统计和匹配模式来识别攻击行为。 IDS只要违反网络检测违规行为，IDS响应模块就会触发报警，网络链路切断。 对

26、于不一样网络响应，IDS将使用不一样触发机制，包含日志内容通知管理员，管理员将不满足用户网络连接要求或和非法网络行为日志存放相关联31。（3）基于主机和网络集成IDS因为基于主机IDS和基于WebIDS全部有自己优势。 这么多IDS供给商将结合这两大类优势，在网络安全布署方案中，基于主机IDS和基于网络IDS优势合并，利用各自优势。 很多用户在布署基于主机IDS时布署基于网络IDS，IDS检测到未经授权访问，而且在日常工作中、邮件、DNS和Web服务器往往是针对性。 在电子邮件中，网络中DNS和Web服务器被布署，它们必需巧妙地和Internet进行数据连接，所以基于主机IDS布署在服务器前端

27、，能够完成很好安全性防护32。2.2.4 网络访问控制技术网络访问控制，也称为网络接入控制，称为TAC。 TAC技术是保护信息网络终端最有效方法，它被安装在网络检测终端软件中，实现最有效方法。另外，TAC许可其它交换机如交换机SW、路由器SR和防火墙FW一起使用。使用此应用程序服务器和最终用户计算机提供了一个全方面自动化管理步骤，以确保数据在端点之前安全地进行交互33。通用网络访问控制分为三个部分，第一部分是降低零日攻击风险：网络访问控制技术关键应用是预防未安装病毒、补丁、入侵防御软件终端接入网络资源。第二个是增强安全策略：网络访问控制设备许可管理员设置许可管理员高级访问网络并根据这些规则清除

28、主网络交换设备规则34。第三是身份和访问管理：访问控制应用程序打破传统计算机网络TCP / IP协议访问巧妙策略实现，它是基于用户权限来保护网络安全性和稳定性。 访问控制能够分为四类：1.基于代理TAC; 2.无代理TAC;内联TAC;带外TAC 35。 （1）基于代理TAC：这种方法是经过终端添加一个后台软件。经过专用网关或TAC平台实现安全管理。基于代理TAC灵活性不高，对终端设备上安装特定探测器才能够实现该功效36。 （2）非代理TAC：此方法不在终端上安装后台探测器，无需使用代理，能够简化网络布署难度，这么TAC操作简单。 （3）内联TAC：经过全部终端通信实现及其在三层网关中运行和布

29、署，能够增强安全策略37。内联TAC方法相对简单，但会造成广播数据在网络中更多传输。伴随网络正常运行时间增加，内联TAC将增加TOC，这是因为内部广播流量增加将增加内联设备数量。 （4）带外TAC：该技术是经过现有网络基础设施应用来增强网络安全性。作为终端向数据传输到中央控制设备实现整体战略，这种设备布署实现复杂。带外TAC技术实现更复杂，但不会对网络传输性能产生不利影响。2.3 相关开发环境2.3.1集成开发环境 Microsoft Visual C + 6.0（简称VC6.0）是微软推出一款C +编译器，将“高级语言”翻译为“机器语言（低级语言）”程序38。 Visual C +是一个强大

30、可视化软件开发工具。自1993年以来，微软推出Visual C + 1.0，然后版本不停更新，Visual C +已经成为首选专业程序员软件开发工具。即使Microsoft已经引入了Visual C + .NET（Visual C + 7.0），但它只适适用于Windows ，Windows XP和Windows NT 4.0有很多限制。所以在现实中，更多是基于Visual C + 6.0平台。 Visual C + 6.0不仅是C +编译器，而且是基于Windows操作系统可视化集成开发环境（IDE）39。 Visual C + 6.0包含很多组件，包含编辑器，调试器和程序向导AppWiza

31、rd、类向导和其它开发工具。这些组件经过称为Developer Studio组件集成到友好开发环境中。2.3.2数据库环境SQL称为结构化查询语言，由圣约瑟试验室为其关系型DBMS最初研究数据查询语言。 这种查询语言和她前身相比，结构简单，易于使用，一个能够实现更复杂功效。 作为IBM在上世纪80年代推出SQL语言后，受到广大用户推崇40。在目前市场上主流数据库管理系统中，基础全部做了SQL支持，不管是大型数据库如Oracle，还是小型如FoxPro，用户全部能够嵌入SQL 19。 不一样数据库系统需要不一样ODBC驱动程序和不一样数据源，但也需要供给商数据库。SQL是一个非步骤高级编程语言，

32、用户能够经过其高水平数据操作，不管用什么样用户数据存放方法，不管什么数据结构形式，用户全部能够使用SQL实现数据管理，能够起到接口作用，SQL在实施时能够讲统计集作为处理对象，输入能够是统计集，输出也能够，所以我们说SQL是数据处理集合，用很多高级语言处理数据统计处理。也反应了SQL处理。在数据库应用系统开发中，首先了解数据库基础概念和结构，深入了解数据库应用程序开发过程，并对应用系统和开发过程有一个清楚认识41。SQL Server是基于Microsoft平台基础上开发关系型数据库系统软件。因为和Windows操作系统亲密关系，它含有扩展，高性能特点，分布式用户端/服务器计算等，SQL Se

33、rver软件这些条件，为大多数应用程序提供数据存放处理方案。2.4 现代企业网络模式 网络安全不仅仅是一个纯技术问题，不可能只经过技术原因来确保网络安全，管理原因也是不可缺乏。其实网络管理是一个统一管理和技术问题。网络安全是一个包含法律、管理和技术原因复杂人机系统。只有妥善协调三者之间关系才能有效保护网络安全。网络安全技术，包含硬件原因（如计算机设备故障，通信通道故障等）也是软件相关原因，从应用其次网络攻击保护关键表现在数据和软件中。网络攻击策略关键是利用、改变和瘫痪。关键利用窃听网络通信和计算机上信息和数据;所谓改变是欺骗使用数据传输系统、信息等内容，和入侵网络摧毁数据和软件;所谓麻痹，无用

34、数据块，破坏网络系统瘫痪方法。考虑到攻击技术模型，网络安全威胁分为两类：被动威胁和主动威胁。 1企业互联网络结构现代企业，下属企业或子企业在地理上分散，有甚至在大面积，下属企业建立自己骨干，但首先访问企业总部，其次进入互联网，连接企业和真正网络，访问互联网。2企业内部网络结构不管是企业总部网络还是其隶属企业网络，其内部网络结构即使不尽相同，但仔细研究会发觉类似。 即使地理位置相对分散，部分分布在工厂内部，部分分布在建筑物中，不过整个网络提供公共应用服务（也称为公共应用平台）通常由网络中心实施，而这个 网络中心对企业网络管理行使技术权。 网络拓扑图2-2所表示。 图2-2 企业内部网络结构2.5

35、 网络安全模型网络信息安全应包含人员安全、设备安全、物理安全、信息安全、电磁辐射安全、通信安全和工业安全等方面。上述网络安全要素图2-3所表示。计算机网络实际上是一条通信线路，连接通信双方，通信双方能够传输信息实现资源共享和协同工作，信息传输关键网络是经过从发送方到接收方传输信道信息，信息安全传输有三个关键方面，即发送方安全性和接收方安全性和传输路径安全性。要研究三方网络信息传输安全性。网络安全模型图2-4所表示，简明介绍了网络信息关键点。 使用安全 操作安全 传输安全网络安全 辐射安全 硬设备安全 工业安全 环境安全 通讯安全 图2-3 网络安全组成元素 图2-4 网络信息安全模型 （1）传

36、输信息（或消息）需要加密操作，这个操作有两个关键方法，确保理论不能破坏，计算不可行，有很多经典加密算法能够使用，数据抵达接收通常使用对称密钥加密和公钥加密来实施解密操作。 （2）消息传输通道是网络信息安全关键原因，考虑传输路径本身安全问题，还要考虑第三方攻击，整个通信链路数据传输安全可靠。 （3）实际加密技术有很多方法，如数字署名、报文摘要、数字认证、证书颁发等，有些也需要信任第三方参与。2.6 本章小结 本章关键介绍了本文基础概念及相关关键技术，如系统信息采集、用户行为获取、网络数据采集和系统开发、使用环境介绍、网络安全模型等。第3章 系统需求及算法分析3.1企业背景说明为预防用户在内部网络

37、环境中非法使用计算机系统，依据相关部门要求制订严格管理制度，以预防用户对内部网络环境非法使用，依据相关部门要求制订严格管理制度，但在实施过程中数次发觉非法复制文件和安装非法软件行为。所以，我们需要采取合适技术方法，确保管理体系实施。在研究过程中发觉有很多类似商业软件，但这些商业软件功效比较复杂，而且实际需要单位是不一样，所以最终确定了一个小内部网络监控系统，以满足需求。具体应用环境以下，需要监控一个小型内部办公网络网络环境，主机数量约为50个，使用WINDOWS操作系统，使用交换机进行网络连接，属于同一C网网段，网络和业务内部网络是物理隔离，主机能够经过路由器访问外部网络，关键用于企业日常工作

38、学习环境，不许可在网络主机上使用其它相关用途。网络拓扑图3-1所表示。 图3-1 系统应用网络环境3.2功效性需求该系统功效关键是经过访问控制、实时监控和事件审计等技术手段，对被控主机和系统运行状态进行有效监控，并统计用户未经授权访问行为，作为 安全审计凭证。 对于用户网络访问等活动也能够用来预防网络连接实现安全管理方法42。系统控制主机对用户透明，所以用户含有系统安全管理员关键功效，包含用户身份管理、实时监控、软件对象管理、硬件对象管理、网络对象管理、文件对象管理。 系统整体工作图3-2所表示。3.2.1用户身份管理 用户是网络安全检测系统管理领域全部认证用户身份，系统中管理员身份管理。 用

39、户身份管理功效包含创建、修改、删除用于安全检测系统服务器管理员，和创建、修改和删除主机主体信息、角色信息和角色管理策略。管理员等级分为一级管理员和二级管理员，一级管理员能够查看和操作任何信息，二级管理员只能查看信息，无法发送策略信息43。 用户身份管理功效用例图3-3所表示。3.2.2 实时监控实时监控，包含桌面快照、进程快照、远程目录查看功效，关键是指在线控制机器运行实时监控管理领域。 桌面快照，管理员能够实时捕捉用户桌面或根据策略定时抓取用户桌面存档; 进程快照是指管理员能够查看实时用户系统进程列表; 远程目录视图是管理员能够查看用户文件信息目录信息。 实时监控功效图3-4所表示。3.2.

40、3 软件对象管理软件对象管理是管理控制区域网络中全部受控软件对象，包含开发软件黑名单，软件操作控制，即软件黑名单不能在主机上运行。 使用软件对象管理功效图3-5所表示。3.2.4 硬件对象管理硬件对象管理是对受控局域网中全部受控硬件对象管理，包含硬件清单生成，硬件报警非法更改和状态管理使用44。 硬件对象管理功效，图3-6所表示。3.2.5 网络对象管理网络对象是控制区域网络中全部受控网络行为管理，包含设置网站黑名单和白名单，和对控制机流量进行审计和控制。 网络对象管理功效图3-7所表示。3.2.6 文件对象管理文件控制管理是对LAN上全部机器对象文件管理，包含审核文件操作，用户统计文件系统访

41、问行为，如打开、修改、复制文件和用户控制文件操作。 文件对象管理功效图3-8所表示。3.3非功效性需求3.3.1 系统安全需求1用户安全 用户安全关键包含管理员安全和用户安全。 （1）管理员含有系统最高权限，所以责任是最大。 管理者必需含有良好素质和知识素养，熟练掌握网络安全知识，企业有较强忠诚度，掌握专业管理技能; （2）严格限制管理员用户级操作，应在企业网络系统安全计划中设置和调整审计信息等初步操作; （3）用户安全层必需在授予管理员权限前提下使用企业网络资源，使用其资源，严禁使用系统资源，严禁超出授权系统运行，严禁披露关键信息和系统 登录密码。 2基础设施安全 （1）硬件设施安全，包含物

42、理环境安全，硬件设备、物理、机械安全; （2）软件设备安全性，包含系统安全、网络通信安全、软件应用平台安全、安全管理软件安全。3网络结构安全 （1）包含局域网和广域网之间隔离和控制，如包过滤、子网防火墙阻塞、网络地址改变等; （2）局域网内子网安全，包含信息敏感子区域信息资源子网，敏感信息子网和非敏感信息子网隔离，子网信息和公共信息网络隔离内部使用，局域网和互联网隔离; （3）未授权或未经授权使用拨号上网方法绕过安全系统。4 传输安全 除了外部公众提供信息外，在LAN中传输数据也需要加密; LAN用户之间信息传输，也是使用认证方法，尤其是机密信息也需要加密和保护。 （1）网络边界隔离和访问控制

43、因为系统比较特殊，是网络隔离边界最关键特征，需要仔细考虑。所以，我们需要使用帧中继网络和访问控制方法。企业内各部门之间必需有网络接入。我们必需确保正当用户同时访问系统，而且未经授权用户（包含任何企业和其它企业非授权用户网络访问请求无法访问系统），系统网络传输平台单元使用帧中继网络，不可控制原因仍然存在（帧中继网络终端网络设备安全等）所以，我们必需强调网络安全隔离和控制单元和帧中继网络45，对于企业网络，因为企业性质和网络系统工作水平必需包含有很多关键机密信息。所以，企业网络应分为不一样子网，高安全网络子网和不可信网络安全分类，推荐安全隔离和访问控制网络安全隔离设备，以确保未经授权用户访问授权用

44、户。（2）企业传输数据安全企业在网络系统中，因为不一样权限，内部信息性质不一样，不能让非法用户访问，有必需采取合适方法来确保网络系统安全性要求。 尤其是企业网络系统，因为其性质和工作水平，不可避免地包含了大量私人信息。 所以，内部网络能够分为多个不一样子网，能够依据具体情况分开，将包含机密信息网络和不包含机密信息网络进行区分; 保密要求尤其高信息需要独立存放，而不是连接到共享网络。3.3.2 系统性能需求1性能需求安全检测系统性能要求包含：采取独立数据库集中数据管理，充足利用系统资源，可支持50-100台主机实时监控，远程监控功效响应时间少于1秒。 2高效、功效实用界面简单，使用人员“一目了然

45、”，短时间内能够起到企业网络安全管理系统作用，系统在服务器中提供了友好图形用户界面，要求用户操作简单方便 ，操作清楚。 系统还尤其设计了用户信息功效，为了愈加好增加用户和系统管理员之间通信，对系统功效进行愈加好维护、改善和完善，使企业网络安全系统逐步完善。3 可扩展性本文针对企业网络安全管理体系设计，所以，我们必需有很好处理这个问题能力。 增加网络访问次数。 这就要求数据库系统改善和数据库系统扩展，提出了更高、更新要求。4维护性 系统维护是系统正常运行先决条件。 更新和备份数据库，也是确保系统安全运行关键确保。5接口要求 （1）：软件界面：使用Micrisoft SQL Server数据库企业

46、版46，支持Windows XP微软系列操作系统；（2） 通讯接口；系统实时监控部分使用UDP协议，数据库连接采取ADO方法。3.4 模式匹配算法在本文中，实施入侵检测系统，采取模式匹配算法作为网络入侵检测系统检测引擎关键。 然后，模式匹配算法性能直接影响了网络入侵检测系统检测效率。 尤其是在高速网络中，假如模式匹配算法不能立即处理数据实时数据包，会造成丢弃部分数据包，假如这些数据包包含入侵信息网络，会造成网络入侵 检测系统缺失。 所以，模式匹配算法很关键。 在本文中，我们使用多模式匹配算法。 WM多模式匹配算法由Sun Wu和Udi Manber于1994年提出，该方法工艺简单、效率高。WM

47、算法首先预处理模式字符串。 预处理阶段创建三个表：SHIFT表、HASH表和PREFIX表。 SHIFT表用于在扫描文本字符串时依据读取字符串确定可跳过字符数。 HASH表用于存放多个模式字符块HASH值。 PREFIX表用于存放第一个字符串和第一个字符哈希值。 WM算法关键过程匹配：每个扫描B字符：。 （1）扫描文本末B位经过hash function函数计算其哈希值h。 （2）检验SHIFT表，假如SHIFT h 0，文本指针向右SHIFT h位，实施（1），SHIFT 3 = 0实施（3）。 （3）计算前一个m位目前位置和前一个m-1前缀哈希值，统计为text_prefix。 （4）对于每个p（HASH h pHASH h + 1），看是否PREFIX p = text_p