《企业级网络安全防护与策略研究论文.docx》由会员分享,可在线阅读,更多相关《企业级网络安全防护与策略研究论文.docx(54页珍藏版)》请在三一办公上搜索。
1、毕 业 设 计(论文)(说 明 书) 题 目: 姓 名: 编 号: XXXX学院 年 月 日XXX学院毕 业 设 计 (论文) 任 务 书姓名 专业 任 务 下 达 日 期 年 月 日设计(论文)开始日期 年 月 日设计(论文)完成日期 年 月 日设计(论文)题目: A编制设计 B设计专题(毕业论文) 指 导 教 师 系(部)主 任 年 月 日XXXX学院毕业设计(论文)答辩委员会记录 系 专业,学生 于 年 月 日进行了毕业设计(论文)答辩。设计题目: 专题(论文)题目: 指导老师: 答辩委员会根据学生提交的毕业设计(论文)材料,根据学生答辩情况,经答辩委员会讨论评定,给予学生 毕业设计(论
2、文)成绩为 。答辩委员会 人,出席 人答辩委员会主任(签字): 答辩委员会副主任(签字): 答辩委员会委员: , , 。XXXX学院毕业设计(论文)评语第 页共 页学生姓名: 专业 年级 毕业设计(论文)题目: 评 阅 人: 指导教师: (签字) 年 月 日成 绩: 系(科)主任: (签字) 年 月 日毕业设计(论文)及答辩评语: XXXX学院毕业设计摘 要随着计算机应用范围的扩大和互联网技术的迅速发展,计算机信息技术已经渗透到人们生活的方方面面,网上购物、商业贸易、金融财务等经济行为都已经实现网络运行,“数字化经济”(DigitalEconomy)引领世界进入一个全新的发展阶段。然而,越来越
3、开放的信息系统也带来了众多安全隐患,黑客和反黑客、破坏和反破坏的斗争愈演愈烈。在网络安全越来越受到人们重视和关注的今天,网络安全技术作为一个独特的领域越来越受到人们关注。 本文网络安全主要指的是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、数据篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。同时本文着重阐述了如何对网络的安全进行加固防御其中包括网络架构的安全性,计算机物理环境的安全性,计算机软件环境的安全性,其中
4、包括计算机系统安全漏洞,注册表漏洞,网络连接性的安全性,文件系统的安全性和数据加密的安全性以及黑客可能会采取的入侵措施进行了相对系统的介绍。通过对这些安全漏洞的了解以及加固,可以充分的在网络环境中进一步保证网络的安全,保证企业公司的利益。总的来讲随着Internet时代的不断进步,可以说从各个方面加强计算机网络安全保护的相关问题研究已经成为当务之急,尤其是当今企业类型的网络安全,已经成为网络安全中的重中之重。关键词:企业网,网络安全,防护策略,研究,黑客,反黑客目录摘要I目录II第1章 绪论11.1课题背景11.2课题研究内容及要求11.3课题预期效果11.4课题研究的意义2第2章 企业网络安
5、全框架结构32.1物理环境的安全42.2操作系统的安全性42.3网络的安全性42.4应用的安全性42.5管理的安全性5第3章 企业网络安全措施63.1电源管理及监控软件63.2控制湿度的措施63.3操作系统安全的实现63.3.1 对于系统漏洞63.3.2 注册表安全性73.3.3 禁止和删除不必要的服务83.3.4 保护网络连接安全性83.3.5 其他的配置93.4文件系统安全的实现93.4.1 所支持的文件系统93.4.2 NTFS权限93.4.3 EFS93.4.4 磁盘限额103.4.5共享安全性113.4.6联合NTFS安全性和共享安全性113.5身份系统的实现和安全133.6防火墙技
6、术153.7数据加密173.8入侵检测203.8.1入侵检测系统通常包括以下功能203.8.2入侵检测的算法目前完成的主要有两类203.8.3这种基于移动代理分布式入侵检测与传统的代理相比的优点213.8.4 DIDS系统的两大类五种代理223.9邮件安全防范25第4章 综合实例演示企业网络安全基本防护264.1 实例演示配置防火墙策略274.2实例演示网站入侵294.3实例演示远程入侵服务器33参考文献44致谢45III平顶山工业职业技术学院毕业设计第1章 绪论1.1课题背景随着国家网络信息化建设的飞速发展,有越来越多的企业建立起自己的局域网络,应用于文件共享,办公自动化,电子邮件等功能,随
7、着计算机的广泛应用,企业网络的建立,网络安全越来越受到人们的重视,网络安全也成为企业网络建立所必须解决的主要难题,企业网络安全已成为一门具体专业的课程供大学生学习,研究。同时,Internet的开放性和自由性为社会的进步提供了巨大的动力,但是也正是由于互联网的这一特性,导致了网络上的诸多不安全因素。在我国,网络安全目前主要存在以下几个问题:计算机系统感染病毒的情况相当严重;黑客形成的重大威胁;网络安全在信息基础设施方面所面临的挑战。网络环境是多变的、复杂的,其信息系统也是比较脆弱的,这些都是网络安全受到威胁的客观存在。近年来,随着信息化社会的来临,网络安全的建设就需要加大力度进行。1.2课题研
8、究内容及要求在基于各种网络操作系统的前提下,实现企业网络中计算机,打印机、硬件设备的正常运行,还要以维护系统安全为主要任务。根据企业网络这一具体实例,课题研究的要求具体包括:网络的正常运行,网络管理具体日常事务,网络部署公司计划,发展方向,数据库安全与共享,服务器资料不被窃取,公司各级人员的限制访问权,员工私人资料不被泄露,管理数据库访问权限,分配个人操作等级,用户身份认证,服务器,计算机,网关的防毒,提高内外通信的高效,灵活,员工上网安全等。同时演示如何通过漏洞进行入侵操作,以提高企业警觉性,要求对网络的安全性提高警惕。1.3课题预期效果提高企业网络安全管理人员的网络安全技术,了解网络攻击手
9、段,从而做好相应防御措施,还要灵活处理突发状况,降低网络攻击对企业的损失,加强企业员工的网络安全意识,从企业内部降低网络安全风险,从根本上避免降低计算机黑客的病毒攻击,保证网络的正常运行,网络管理具体事务的正常进行,网络部署公司计划,发展方向,数据库及其他服务器资料的秘密性,避免企业员工的越级操作从而导致的各级人员的权限混乱,保证服务器,计算机,网关的防毒安全,通畅企业内外通信的高效,保证员工上网的安全等。1.4课题研究的意义对将来从事的网络工作有一定的经验,对企业网络系统有一定的了解,提高了网络安全意识。往大了来说网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。
10、其重要性,正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安全问题刻不容缓。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他
11、们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私, 访问和破坏。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。 第2
12、章 企业网络安全框架结构为了能够有效的了解企业和员工的网络安全需求,在选择各种硬件软件的安全行上 有必要建立系统的方法进行网络安全防范。使网络安全防范体系的科学性,可行性顺利实施的保障图2-1 三维安全防范技术体系框架结构图2-1为三维安全防范技术体系框架结构。第一维是安全服务,给出了8种安全属性;第二维是系统单元,给出了信息网络的组成;第三维是结构层次,给出并扩展了国际标准化组织ISO的开放系统互联(OSI)模型。框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制,应用平台需要有针对用户的认证、访问控制
13、,需要保证数据传输的完整性、保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。针对一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则我们认为该信息网络是安全的。当我们根据以上给出的三维安全防范框架结构,做到企业网络安全体系中的每一个层次,每一个面及面与面之间相接的部分安全,我们就能够做到整个企业局域网络的安全。2.1物理环境的安全这层次的安全是整个网络安全的基础,只有当我们企业的计算机,打印机,投影机一系列的硬件设施能过正常的工作,我们才能够考虑其他方面的安全,所以要格外重视 物理环境安全包括通信线路安全,设备软硬件安全,运行环境安全。通信线路安全:线
14、路备份,网管软件,传输介质设备硬件安全:替换设备、拆卸设备、增加设备设备软件安全:设备的备份,防灾害能力、防干扰能力运行环境安全:温度、湿度、烟尘),不间断电源保障2.2操作系统的安全性该层次的安全问题来自网络内使用的操作系统的安全,如Windows NT,Windows 2000等。主要表现在三方面:是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。是对操作系统的安全配置问题。是病毒对操作系统的威胁。2.3网络的安全性该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统
15、的安全,入侵检测的手段,网络设施防病毒等。2.4应用的安全性该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对系统的威胁。2.5管理的安全性安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞本章主要讲述企业网络安全隐患,只有找出网络,硬件,环境,操作人员等一系列复杂因素对企业网络安全的影响,才能解决问题,建立一个安全的企业网络环境。第3章 企业网络安全措施
16、3.1电源管理及监控软件电源管理软件能够对UPS发送的信息进行反应,向用户播放警告讯息,然后等待一定的时间,再进行一个有次序的关机过程。有的电源管理软件还能在关闭整个系统前先关闭正在运行的程序。监控软件则是一种不是必需但很有用的工具。它一般通过图形方式显示出电池电量、主输入电压、剩余供电时间以及UPS状态及其他信息。监控信息一般通过SNMP协议在网络上传输,而不像关机软件使用当地的串口连接以防在断电情况下集线器或路由器失效。当UPS出现异常情况时,它就会在SNMP监测工作站上显示出来。3.2控制湿度的措施为了防止机房内湿度的过高或过低以及急剧变化对计算机设备及附属设备的影响,必须采取以下措施,
17、以保证机房内的湿度控制在一个稳定的范围内。1)使用恒温、恒湿装置来调节机房内的湿度; 2)在机房内安装除湿机和加湿机;当机房内湿度超过规定值时,使用除湿机使机房内湿度降低;当机房内湿度低于规定值时,使用加湿机对机房内空气进行加湿,提高机房内湿度。 3)机房内外为了进行空气交换和维持机房正压值所使用的新风机系统,必须具有加湿和去湿功能。在对送入机房内的新鲜空气湿度过高(大于机房湿度规定的范围)时要进行除湿;过低时要加湿,以保证机房内的空气湿度符合计算机设备及工作人员的要求。3.3操作系统安全的实现3.3.1 对于系统漏洞定期的添加services pack和hot fixes,如果系统没有相关服
18、务,不要随意的安装补丁3.3.2 注册表安全性注册表的结构:相当于win.ini,集中存储了系统的配置信息。5个配置单元(hive key),4个存放于winntsystem32config目录下:SAM, SYSTEM, SECURITY, SOFTWARE,对此4个文件设置权限,仅允许system账号访问。HARDWARE又称易失关键字,每次系统启动时由进行硬件检测,将检测的结果只与此关键字中,保存在内存中。H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系统及硬件相关信息(例如计算机总线类型,系统可用内存,当前装载了哪些设备驱动程序
19、以及启动控制数据等)的配置单元。实际上,H K L M保存着注册表中的大部分信息,因为另外四个配置单元都是其子项的别名。不同的用户登录时,此配置单元保持不变。H K E Y _ C U R R E N T _ U S E R ( H K C U )配置单元包含着当前登录到由这个注册表服务的计算机上的用户的配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项(环境变量在Windows 2000中被用来允许脚本、注册表条目,以及其它应用程序使用通配符来代替可能会发生改变的重要的系统信息),存储于用户配置文件的ntuser.dat中。优先于H K L M中相同关键字
20、。这些信息是HKEY_USERS 配置单元当前登录用户的Security ID(SID)子项的映射。H K E Y _ U S E R S ( H K U )配置单元包含的子项含有当前计算机上所有的用户配置文件。其中一个子项总是映射为H K E Y _ C U R R E N T _ U SE R (通过用户的S I D值)。另一个子项H K E Y _U S E R S D E FA U LT包含用户登录前使用的信息。H K E Y _ C L A S S E S _ R O O T ( H K C R )配置单元包含的子项列出了当前已在计算机上注册的所有C O M服务器和与应用程序相关联的
21、所有文件扩展名。这些信息是H K E Y _ L O C A L _M A C H I N E S O F T WA R E C l a s s e s子项的映射。H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置单元包含的子项列出了计算机当前会话的所有硬件配置信息。硬件配置文件出现于Windows NT版本4,它允许你选择在机器某个指定的会话中支持哪些设备驱动程序。这些信息是H K E Y _ L O C A L _ M A C H I N E S Y S T E M C u r r e n t C o n t r o l S e t子项的
22、映射。H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子树:HARDWARE:在系统启动时建立,包含了系统的硬件的信息SAM:包含了用户帐号和密码信息SECURITY:包含了所有的安全配置信息SOFTWARE:包含应用程序的配置信息SYSTEM:包含了服务和设备的配置信息设置注册表的权限:Windows NT:使用C2Config和C2regacl.infWindows 2000:使用组策略审核注册表:3.3.3 禁止和删除不必要的服务删除OS/2和POSIX在web服务器上禁止server services在firewall上过滤相应的数据包3
23、.3.4 保护网络连接安全性SMB connection processEstablish a TCP connection negotiate dialect set up SMB session access resourcePc network program 1.0Microsoft networks 1.03Lanman 1.0LM 1.2X002LanMan 2.1Windows NTLM 禁止匿名连接:HKLM SYSTEMCCScontrollsarestrictanonymous=1服务器控制验证方法:lmcompatibilitylevel 0 任何都是可用的。由服务器决定
24、使用哪种方法。不使用LM验证激活SMB签名:HKLMSYSTEMCCSserviceslanmanserverparametersrequiresecuritysignature 0/1HKLMSYSTEMCCSservicesrdrparametersrequiresecuritysignature 0/13.3.5 其他的配置禁止除管理员和打印操作员以外的用户安装打印驱动程序:HKLMSYSTEMCCScontrolprintproviderslanmanprintservicesaddprintdrivers=1隐藏上一次登录的系统名限制对打印机和串口的使用:HKLMSYSTEMCCSc
25、ontrolsession managerprotectionmode=1禁止缓存登录证书限制对scheduler服务的使用限制对可移动介质的访问3.4文件系统安全的实现3.4.1 所支持的文件系统FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS3.4.2 NTFS权限标准的权限权限单元权限的继承:ACL列表的拷贝权限的迁移:移动和拷贝磁盘的分区:系统,程序和数据注意: erveryone和authenticated users的区别缺省,新建的文件权限为everyone full control新添加用户的权限位read only3.4.3 EFS作用:利用公钥技术,
26、对磁盘上存储的静态数据进行加密保护的措施。原理:根据用户的身份为每个用户构建一对密钥图3-1 EPS实现的原理恢复代理:为了防止出现由于密钥损坏造成数据不能正常解密而构建的一种补救措施。注意事项:(1)只有被授权的用户或恢复代理才能访问加密的文件(2)加密和压缩是相斥的(3)对文件的重命名,移动不会影响加密属性(4)至少需要一个恢复代理(5)仅能对静态存储的数据进行加密,若需要网络中传输的数据提供安全性,可使用IPSec和PPTP对一个文件夹加密,则此文件夹内所有新创建的文件均会被加密。若将一个加密后的文件移动一个非NTFS文件系统上,则加密属性丢失,除Backup外,所以应该分别分配备份和恢
27、复的权利并谨慎分配恢复的权利3.4.4 磁盘限额基于文件和文件夹的所有权来统计用户所使用的磁盘空间,对于压缩状态的文件按非压缩状态统计磁盘空间的使用量。基于分区水平上的,剩余空间是指可供用户使用的磁盘限额内剩余空间的大小,可以设置当用户超出限额时是仅仅提出警告还是拒绝提供空间。可以针对所有用户也可针对个别用户设置,设置限额后,对已有的用户存储不进行限额,但可对老用户添加限额。管理员组的成员不受限额的影响仅管理员组的成员有权利设置限额3.4.5共享安全性仅对网络访问生效仅能对文件夹设置共享,不能针对文件设置缺省。Administrators、Server Operators、Power User
28、s group有权利设置共享新建共享后,Everyone group是FC所能接受的最大用户数:Win 2k Professional 10 Win 2k Serve CAL Permission:Read、Change、FC Deny优先于Allow的权限若用户属于多个组,则share security取并集,可以在FAT、FAT32、NTFS上设置共享。3.4.6联合NTFS安全性和共享安全性网络访问取交集本地访问仅考虑NTFS安全性隐藏文件: attrib +H directoryNTFS文件分流:不需要重新共建文件系统就能够给一个文件添加属性和信息的机制,Macintosh的文件兼容特
29、性。需使用NTRK中POSIX的工具cp cp nc.exe oso001.009:nc.exe反分流:cp oso001.009:nc.exe nc.exe分流后oso001.009大小没有变化,但修改日期可能会有变化分流后不能直接执行:start oso001.009:nc.exe删除:需把文件拷贝到FAT分区,在拷贝会NTFS分区搜索:唯一可靠的工具是ISS的Streamfinder。对于文件系统的安全:一、加密文件或文件夹 步骤一:打开Windows资源管理器。 步骤二:右键单击要加密的文件或文件夹,然后单击“属性”。 步骤三:在“常规”选项卡上,单击“高级”。选中“加密内容以便保护数
30、据”复选框 二、解密文件或文件夹 步骤一:打开Windows资源管理器。 步骤二:右键单击加密文件或文件夹,然后单击“属性”。 步骤三:在“常规”选项卡上,单击“高级”。 步骤四:清除“加密内容以便保护数据”复选框。 同样,我们在使用解密过程中要注意以下问题 步骤一:要打开“Windows资源管理器”,请单击“开始程序附件”,然后单击“Windows资源管理器”。 步骤二:在对文件夹解密时,系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。如果选择仅解密文件夹,则在要解密文件夹中的加密文件和子文件夹仍保持加密。但是,在已解密文件夹内创立的新文件和文件夹将不会被自动加密。 以上就是使用文件
31、加、解密的方法!而在使用过程中我们也许会遇到以下一些问题,在此作以下说明: 1.高级按钮不能用 原因:加密文件系统(EFS)只能处理NTFS文件系统卷上的文件和文件夹。如果试图加密的文件或文件夹在FAT或FAT32卷上,则高级按钮不会出现在该文件或文件夹的属性中。 解决方案: 将卷转换成带转换实用程序的NTFS卷。 打开命令提示符键入:Convert drive/fs:ntfs (drive 是目标驱动器的驱动器号) 2.当打开加密文件时,显示“拒绝访问”消息 原因:加密文件系统(EFS)使用公钥证书对文件加密,与该证书相关的私钥在本计算机上不可用。 解决方案: 查找合适的证书的私钥,并使用证
32、书管理单元将私钥导入计算机并在本机上使用。 3.用户基于NTFS对文件加密,重装系统后加密文件无法被访问的问题的解决方(注意:重装Win2000/XP前一定要备份加密用户的证书): 步骤一:以加密用户登录计算机。 步骤二:单击“开始运行”,键入“mmc”,然后单击“确定”。 步骤三:在“控制台”菜单上,单击“添加/删除管理单元”,然后单击“添加”。 步骤四:在“单独管理单元”下,单击“证书”,然后单击“添加”。 步骤五:单击“我的用户账户”,然后单击“完成”(如图2,如果你加密用户不是管理员就不会出现这个窗口,直接到下一步) 。 步骤六:单击“关闭”,然后单击“确定”。 步骤七:双击“证书当前
33、用户”,双击“个人”,然后双击“证书”。 步骤八:单击“预期目的”栏中显示“加密文件”字样的证书。 步骤九:右键单击该证书,指向“所有任务”,然后单击“导出”。 步骤十:按照证书导出向导的指示将证书及相关的私钥以PFX文件格式导出(注意:推荐使用“导出私钥”方式导出,这样可以保证证书受密码保护,以防别人盗用。另外,证书只能保存到你有读写权限的目录下)。 4.保存好证书 注意将PFX文件保存好。以后重装系统之后无论在哪个用户下只要双击这个证书文件,导入这个私人证书就可以访问NTFS系统下由该证书的原用户加密的文件夹(注意:使用备份恢复功能备份的NTFS分区上的加密文件夹是不能恢复到非NTFS分区
34、的)。 最后要提一下,这个证书还可以实现下述用途: (1)给予不同用户访问加密文件夹的权限 将我的证书按“导出私钥”方式导出,将该证书发给需要访问这个文件夹的本机其他用户。然后由他登录,导入该证书,实现对这个文件夹的访问。 (2)在其也WinXP机器上对用“备份恢复”程序备份的以前的加密文件夹的恢复访问权限 将加密文件夹用“备份恢复”程序备份,然后把生成的Backup.bkf连同这个证书拷贝到另外一台WinXP机器上,用“备份恢复”程序将它恢复出来(注意:只能恢复到NTFS分区)。然后导入证书,即可访问恢复出来的文件了。 3.5身份系统的实现和安全用户认证系统采用各种认证方式实现用户的安全登陆
35、和认证,独立于计算机原有的登陆系统,安全可靠性更高。一般由认证服务器和认证代理组成,有些产品提供认证令牌。认证服务器是网络中的认证引擎,由安全管理员或者网络管理员进行管理,主要用于令牌签发,安全策略的设置与实施,日志创建等;认证代理是一种专用代理软件,实施认证服务器建立的各种安全策略;认证令牌以硬件、软件或智能卡等多种形式向用户提供,用以确认用户身份,如果某个用户提供了一个正确的令牌码,就可以高度确信该用户是合法用户。根据需求和建设目标,我们将以身份认证系统、应用安全支撑平台为用户构建基于数字证书的统一身份认证、统一用户管理和应用安全支撑系统。 全局范围内,将建立统一的目录服务体系,以完善的数
36、据复制策略实现对应用系统的全面支撑。身份认证系统(PKI基础设施)1(CA系统)为所有的实体(设备、人员等)管理身份证书。2用户管理系统(UMS系统)在身份认证系统之上,以数字证书为用户标识实现统一的用户管理、组织机构管理,为相关业务系统提供全局统一的用户属性信息。3密钥管理系统(KMC系统)对用户的密钥进行管理和备份,能够通过严格的流程实现密钥的恢复。4目录服务系统(LDAP系统)实现证书的发布和CRL的发布,并能够实现和AD之间的用户同步。应用安全支撑平台以身份认证系统、用户管理系统为基础,采用应用安全支撑平台的各产品组件实现应用系统的安全接入,使得身份认证、用户管理、数字签名等技术能够方
37、边的整合到原有的业务系统中。在安全支撑平台的支持下,能够为用户构建操作系统层和应用层的统一身份认证和单点登录。标准规范体系根据实际业务特点,针对系统的运行维护、使用流程、应用接入标准等制订一系列标准和规范,以利于业务的有序开展。如上所述,身份认证系统为内部人员、设备等应用安全域内的物理或逻辑实体提供了统一的数字实体标识,统一的用户管理系统则根据具体的组织机构、用户属性、用户级别等实际情况,对数字实体标识进行可定制的统一管理和授权,最后再通过应用安全支撑平台为业务系统提供服务,实现了独立于各应用系统的安全的、统一的身份认证和管理体系。总体设计思路示意图3-2所示:图3-2 总体物理部署设计根据总
38、体设计思路,基于性能和投资相平衡的原则,系统物理部署设计如图3-3所示:图3-3 系统物理部署设计如图3-3所示,根据系统的不同功能,从网络上以VLAN方式划分不同区域,包括核心区、服务区和应用区。身份认证核心区包括CA、KMC、UMS等证书、用户管理系统,是整个系统的核心功能区。身份认证服务区包括IAS和从目录服务器,实现对外的身份验证支持。应用系统区中部署身份认证网关,使应用系统与外界实现安全隔离。3.6防火墙技术防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或其他特制地硬件设备。防火
