本篇论文目录导航:
【题目】企业办公网络安全管理问题研究
【第一章】企业办公网络安全防护探析绪论
【2.1 - 2.4】防火墙技术与文档安全保护技术
【2.5 - 2.7】网络防病毒技术与双机热备技术
【第三章】办公网络安全系统分析与设计
【4.1 4.2】网络出入口监控管理策略
【4.3 - 4.5】网络安全防护措施设计与实现
【总结/参考文献】企业办公网安全升级方案研究总结与参考文献
第二章 网络安全相关技术
本章详细讲解了本次课题研究所需用到的网络安全技术理论,主要设计网络规划、防火墙、上网行为管理、文档安全保护、Web应用防护、网络防病毒、双机热备机制等。
保护方式包括硬件和软件、字段过滤策略和保护协议。
2.1 虚拟局域网技术。
2.1.1 虚拟局域网定义。
虚拟局域网,即VLAN(Virtual Local Area Network),指通过在LAN交换装置上使用网络管理软件,实现跨网段、跨终端构建逻辑网络的技术。多个网络设备的不同用户,可以通过覆盖该网络设备的VLAN进行通讯。
2.1.2 VLAN 的优点及安全优势。
VLAN提供了防火墙机制,有效限制了网络广播,通过划分VLAN,将网络设备分割到多个逻辑域中,极大减少了可能受到广播风暴影响的设备数量。特定VLAN可以跨越多个交换机端口和交换网络,且广播不会发送到VLAN外。这样就释放了足够的网络流量给使用者,减少了网络负担。
VLAN加强局域网的安全,剔除包含敏感数据的用户组,以减少了泄密几率。在传输过程中,不同VLAN内的报文是隔离的,也就是用户VLAN不能直接与其他VLAN用户的直接通信。如果需要跨VLAN通信,就必须利用三层交换设备。减少昂贵的网络升级费用,更高地利用现有的带宽和上行链路,节约成本。通过将第二层平面网络划分成多个逻辑工作组(广播域)来减少不必要的网络流量,提高性能。
VLAN便于网络管理,共有需求的使用者都在同一VLAN中。
依靠VLAN技术,可以在任意位置、任意网络和任意用户沟通,组成了一个大型虚拟网,使用便利如同本地LAN,明显降低了管理费用和升级费用。
2.1.3 VLAN 划分方法。
(1) 按端口划分VLAN最初通常在一台交换机上按照端口来划分VLAN的成员,但也将VLAN只存在单台交换机上。所有VLAN下的成员属于同一广播域,可以直接通讯。
最新的硬件技术,可以将多台交换机的不同端口集合到一起,划分为一个VLAN,使得VLAN得以跨越硬件。这种方式是当前VLAN划分方式中最常见也最实用。
(2) 按MAC地址划分VLAN通过每个设备自带的唯一识别MAC地址来划分VLAN.优点是当一个移动用户的物理位置发生变化,都可以直接与VLAN通信,不需要再进行配置。这种方式有个缺点,就是首次配置会非常麻烦,需要把所有用户MAC地址进行添加,如果用户数有成百上千,将是非常庞大的工作量。同时,这种划分方式还影响了交换效率,无法限制广播包。另外,对于经常更换上网设备的用户来说,每次换新设备都必须进行一次初始配置,影响工作效率。
(3) 按网络层划分这种划分方式虽然依据IP地址或者通讯协议,却与路由没有丝毫联系。
优点是便于管理,因为使用者不管在什么位置,都能直接入网,无需重新配置。且不用校对帧标签,减少网络流量占用比。
缺点是相较于VLAN和MAC这两种划分方式,这种方式效率较低,检查网络层地址消耗的时间会更多。要让普通交换机芯片可以检查IP报头,需要较高的技术,也更加消耗时间。当然,这也与每个厂家的设计方法有关。
(4) 按IP组播划分IP组播即认为一个组播组就是一个VLAN,这种广域网的划分方式具有更大的灵活性。但因为效率低,这种方式并不太适用于办公局域网。
以上划分VLAN的方式中,第一种建立在物理层上;第二种建立在数据链路层上;最后两种建立在网络层上。
2.2 防火墙技术。
2.2.1 防火墙的隔离技术。
所谓"防火墙"技术,是指一种将内部网和互联网隔离的技术。防火墙是在两个网络通讯时参照的一种访问控制标准,防火墙"同意"后互联网数据才能进入内网,若是"不同意"则将拒之门外,极大地防范了来自黑客的恶意访问。通俗点说,防火墙就是一扇大门,不得到看门人的认可,门两边的人无法进行对话,也就是内部网和互联网无法进行通讯。
2.2.2 防火墙的分类。
(1) 个人防火墙个人防火墙是一项安全防护技术,防止外部攻击侵入内网的电脑,原理是监控、阻止任何未经授权允许的数据进入或发出到其他网络。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的freeZoneAlarm等。作用是对系统进行监控及管理,防止木马、病毒程序通过网络入侵电脑和向外扩散。这些软件实用度很高,而且方便于操作和管理,能够独立运行。
(2) 网络层防火墙网络层防火墙通过制定规则来限制封包的通行,可以将之视为一种IP封包过滤器。
常见的网络层防火墙,管理员可以自行定义和修改规则。
(3) 应用层防火墙应用层防火墙顾名思义,是在OSI参考模型应用层上工作的安全设备,通常用来防护Web应用产生的数据流。这类防火墙可以拦截出入应用程序的所有封包,对于不符合规则的封包采用封锁或者丢弃的操作。
2.2.3 目前防火墙中的最新技术及发展情况。
所谓的"边界防火墙(Perimeter Firewall)",是指部署在内外网之间的防火墙设备。
随着科技发展,网络安全威胁不只存在于外部,来自内部的攻击危害更大,也更加难以防范。比如针对DNS的内部攻击,通常会导致防火墙工作中断,而防火墙却没有对应防御措施。所以,仅凭边界防火墙已经无法适应用户的全方位安全防护需求。如果要让边界防火墙对内不实现保护功能,就必须给每台主机都安装防火墙,但这代价太大,明显不切实际。基于此需求,分布式防火墙(Distributed Firewalls)技术诞生了。其拥有卓越的安全防护策略,代表着未来的发展趋势,这项技术刚一出现,就得到广大认可,具有很好的发展前景。
分布式防火墙的特点:主机驻留、嵌入操作系统内核、适用于服务器托管。
分布式防火墙的功能:互联网访问控制、应用访问控制、网络状态监控、抵御黑客攻击。
分布式防火墙的优势:
(1) 安全性增强:采取了全面安全防护机制,有效抵御内部攻击,防止恶意程序攻击主机。
(2) 系统性能提高:消除了结构性的瓶颈问题,性能得到显著提升。
(3) 可扩展性:基于安全结构,理论上可以实现防护机制无限扩展。
(4) 实施主机策略:可以保护到网络中的各个节点。
(5) 应用更为广泛:支持VPN通信。
2.3 上网行为管理技术。
2.3.1 上网行为管理的描述。
随着计算机网络技术的飞速发展,网络办公的日益普及,互联网已经成为人们的工作环节中方便快捷、不可或缺的一个重要组成部分。然而,并不是所有员工都能100%利用办公网络的便捷来办公,滥用办公网络资源来网上购物、聊天、下载电影等行为,不但占用了原本办公的网络带宽,更影响了应有的工作效率,亦带来了安全隐患。
上网行为管理,通过实时监控网络上的数据流量和访问记录,避免商业机密泄露,阻止不良信息传播,提高了企业办公网络的使用效率。其审计功能和行为监控功能,特别适用于信息化保密程度高的企业。
早期互联网行为管理产品几乎可以理解为URL过滤系统,上网浏览的所有地址将被系统监视和跟踪记录,如果按照设定是合法地址则开放限制,反之则采取警告和禁行措施,最终形成的就是黑白名单。此外,也有监测邮件收发的行为管理系统。
行为管理采取网络监测与控制技术,实现对所有管辖区内用户的上网行为监管。对浏览过的网页地址和时间进行记录,对不良信息进行控制,对敏感话题进行管理,对多重协议的聊天软件进行监听,有效保证企业办公网络使用效率和安全。
与传统的URL地址数据库管理控制系统不同,上网行为管理系统化被动为主动,突破技术瓶颈,从功能,性能,效率,安全性等各个方面完全超越了前者,达到了当今安全行为管理的使用要求。
2.3.2 管理功能。
(1) 上网人员管理(a)身份验证管理:通过校对用户库,核对上网人员信息,确保使用者的合法性。
(b)终端接入管理:校验主机的运行文件和注册信息,确保接入网络的终端PC的合法性。
(c)访问地理管理:通过检查上网主机的物理接入点,识别物理地址,确保该地点的合法性。
(2) 上网浏览管理(a)搜索引擎:屏蔽不当关键词,采用甄别技术,确保搜索内容合法。
(b)网址URL:提前记录非法网址,阻断对这类网址的访问。
(c)网页正文:采用关键字甄别技术,确保浏览正文的合法性。
(d)文件下载:校对文件来源信息,确保下载的文件合法。
(3) 上网应用管理(a)应用阻断:对不符合策略要求的应用进行阻断。
(b)时长限额:限定上网时长,超时自动断开访问。
(c)流量限额:限定上网流量,固定时间内超出则断开访问。
(4) 上网流量管理(a)带宽控制:设置通道带宽上限,防止流量超出。
(b)带宽保障:设置通道带宽下限,保证最低限度的必要带宽。
(c)带宽借用:允许满负荷的用户借用其他限制的网络通道。
(d)带宽均分:带宽平均分配,避免被个人用户占用,影响他们办公。
(5) 上网行为分析(a)行为实时监控:实时反馈当前的带宽速率、分配占比、应用情况。
(b)行为日志查询:所有上网记录进行精确查找,追溯到人。
(c)行为统计分析:统计一段时期的日志结果,分析数据发展趋势,用来发现潜在威胁。
(6) 设备容错管理(a)死机保护:设备可自动切换透明模式,故障情况下不妨碍网络办公。
(b)双系统冗余:双系统备份,单系统发生故障,主机保持正常工作,不影响功能启用。
(7) 风险集中告警(a)告警中心:有独立页面显示全部告警信息。
(b)分级告警:告警按自定义进行区分排列,高等级的告警优先显示,防止错过处理时机。
(c)告警通知:可以和短信机联动,或者内网邮件形式通知管理员,快捷迅速。
2.4 文档安全保护技术。
2.4.1 文档保护的意义。
随着信息化大发展,人们对信息的依赖性越来越大,伴随着的信息安全、保密问题接踵而至。黑客攻击、商业间谍活动,员工无意泄露,都会导致公司信息资料外泄。假如重要的商业机密被窃取,对企业来讲就是一场灾难。所以,信息文档的存在意义重大,对文档安全的保护至关重要。
2.4.2 防护手段分类。
传统的防护手段三件套:防火墙、入侵检测、防病毒软件,早已不能胜任当今的安全防护要求。全新的信息安全防护技术已经逐渐崭露头脚,例如主机监控、文档加密、UniBDP防泄露等,这些新兴技术即将壮大为信息化系统安全建设的主力军。
这里要介绍的文档加密技术,采用透明加解密技术,强制加密所有指定类型的数据。
此技术对数据本身加密,无论是否在安全网络环境内,都是无法被破解的,降低了环境依赖性,提高了使用效率。
下面分别介绍一下磁盘加密和驱动级加密这两种文档防护技术:
(1) 磁盘加密技术全盘加密主机磁盘,保证一个安全的运行环境,但并未对数据本身加密,导致系统启动验证完毕后,数据完全以明文形式呈现,只能依靠防火墙等进行保护。
磁盘加密技术加密时间长到使用者难以忍受,且一旦操作系统出现问题,对数据进行恢复通常要花费4小时解密一次硬盘,也是一件让人头痛不已的事。
磁盘加密技术一般不加密系统盘,靠外设进行安全防护,所以并不能算是一项完整的安全防护技术。随着操作系统的版本不断升级,人们对系统的控制力度将会越来越低,而后黑客技术节节攀高,一旦防护体系被打破,硬盘上一切数据将暴露无疑。
另外,磁盘加密技术对系统文件也进行了安全控制,这会大大影响系统的使用性能。
(2) 驱动级加密技术该技术采用进程+后缀的方式进行安全防护,方便管理员根据需求灵活部署,强制加密主要数据,对系统运行效率影响微乎其微。
驱动级加密技术是对数据本身进行保护,采用透明加解密技术,不影响用户使用感官,受保护数据脱离安全环境后,将无法启用,极大的做到了数据隐秘防护。
驱动级加密技术可以全程管理数据使用,控制文件的使用时长、打印等操作,还能做到指定授权。不仅保护数据不被窃取,还能保证数据的正常使用。
驱动级加密技术给用户数据带来了足够的安全防护,却也造成了一些便利性问题。这项技术在加密时只针对这类型文件全部加密,不能分辨不需要安全防护的文件。这给个人用户的私人文件使用,带来了一些困扰。
2.4.3 实现的文档保护结果。
(1) 加密指定程序生成的文档。
强制加密管理员指定的文档类型,该过程透明化,后台处理,用户不会察觉,也不会受到影响。但是,用户需联网(即能连接到文档加密服务器)才能访问这些加密文件,同时还需要管理员的授权。
(2) 泄密控制。
可以限制会造成泄密的操作,比如:打印和复制等,对该类操作进行警告提醒,防止无意或有意窃取机密。
(3) 审批管理管理员可以有审批权限,指定某加密文档可以被离线外发。用户在进行该类操作时,需要向管理员提交申请,管理员可以根据实际情况进行同意和拒绝操作。
(4) 离线文档管理。
加密文档可以制作成离线格式,即不在安全环境下也可以查看。这需要管理员权限操作,限制离线时间和离线时可以进行操作类型,如打印、修改、截图等。用户申请离线文件时,需要注明使用要求和使用期限,方能将文件拷贝走。
(5) 外发文档管理。
外发文档需要经过管理员审核制作,与安全环境下阅读的文档一样,受加密保护和操作限制。只有内部人员可以阅读该外发文档加密的内容,且不需要安装客户端。这类文档可以增加口令或者验证码来提高安全级别。
(6) 用户/鉴权。
采用多重验证管理方式,用户可以使用USB-KEY进行身份认证,或者使用个人密码进行身份认证,两种模式视前期安全信息登记情况决定。
(7) 审计管理。
客户端和Web浏览器都可以对加密文档进行常规操作,管理员可以轻松对所有文档进行审计管理。
(8) 自我保护。
系统自带保护系统,保护客户端不会被攻击破解,保持在安全工作状态。即便客户端被破解,加密文件也无法被读取或者破坏。