基于局域网络的全局安全体系设计
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于局域网络的全局安全体系设计范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:主要针对局域网内的信息安全进行了一系列的组合设计,包括 DCGSM硬软件组成部件介绍、DCGSM 全局安全设计工作流程、DCGSM全局安全设计的典型部署模式、DCGSM 全局安全设计功能使用等。通过软硬集合和层面设计,从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和处理,以一套完整的组合构建了一个相当严密的网络安全体系。
关键词:DCGSM 安全 网络
一、网络安全现状与需求
随着网络信息化建设的不断发展,使得各行各业的网络建设日趋完善,基础网络架构建设的完成,各种业务、应用的上线使得病毒、木马、网络攻击和破坏也日益增多,网络安全问题表现的越来越突出,网络安全建设在网络建设中地位也越来越重要。提到网络安全建设,很多企事业单位,在网络建设过程中,购买防火墙,防病毒软件等对其网络安全进行管理与维护,但这些软硬件的部署主要都是用来抵御外部攻击的,却往往忽视对于内网安全的防护和控制。
应用先进的“3D-SMP”动态分布式防御安全管理策略,构建高度自动化响应的“DCGSM”智能网络全局安全管理体系。更进一步有效解决了外网和内网的系统安全兼顾问题,全方位、深层次的构建了一个“内外兼固”的安全网络,从而降低了总体拥有成本TCO,加强网络系统的长期可服务性,降低人为维护工作量。
二、设计思路及参考模型
整个系统以“P2DR”为参考模型,是在整体的安全策略的控制和指导下,在综合运用网络安全工具(如高性能硬件防火墙、网络入侵检测、接入认证系统、安全客户端、安全接入交换机、安全接入管理器、上网行为记录系统、流量整形网关、等设备)的同时,应用“SAOP” (Security associate operation protocol)安全联动协议,把这些独立的网络安全设备进行统一管理、实现相互之间的自动化响应,实现网络整体安全和立体安全。
“P2DR”参考模型包含4个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。规划好全局安全策略,应用防护、检测和响应组成了一个完整的、动态的安全循环。“3D-SMP”全局安全联动的核心是动态防范的机制,从接入认证、行为检测到阻断攻击,每个环节都实时工作,无须用户过多干预,自动进行安全控制。防范的核心是基于对入侵行为、非授权行为的检测、发现及响应,检测机制和联动机制是本安全体系方案的核心,“SAOP”就是这个核心中实现相互联动的协议集。“SOAP”安全联动协议集包括了防火墙和入侵检测系统的联动协议、入侵检测系统和安全接入认证系统(安全接入交换机、安全认证客户端、接入管理器、认证服务器)的联动协议、上网行为记录系统和认证服务器的联动协议等众多协议,是实现内外网全局安全体系的关键。
三、全局安全联动
全局安全联动是一个联动的体系,是网络设备、网络安全设备之间根据检测到的可疑行为危害等级智能判断、动态响应与防御的过程:
假如来自外网的某互联网节点利用木马程序或系统漏洞等手段突破边界网关进入内网。传统情况下,边界防火墙对这样的入侵行为可能会出现被攻破的情况,但是实时监测防火墙流量的入侵监测系统可以检测到来自外网流量的入侵或攻击,并通过联动协议向网络出口防火墙发出阻断指令,防火墙会在第一时间响应,从而阻止了外来入侵或攻击对内网的进一步威胁。
假如有内网终端对服务器等设备发起DDos等攻击行为,由于网络所有流量都在核心交换机上被镜像到入侵监测系统的监控端口并并实时监测,所以入侵检测系统可及时检测到来自内网流量的攻击,并通过联动协议向安全接入交换机以及认证服务器发出阻断指令,安全接入交换机会响应并采取过滤攻击计算机的IP和MAC或关闭其所连接端口等阻断动作,认证服务器同样也会响应并强制其认证客户端下线。
由于联动信息比较关键,为了保证不被监听、窜改,联动信息附有加密与验证信息。通过DES加密联动报文,并通过MD5进行散列摘要,以保证关键联动数据的保密性和完整性。在上面的过程中,联动请求由入侵检测系统向防火墙或认证服务器发起,认证服务器处理之后要向入侵检测系统发送应答,告知处理结果。接收到数据之后防火墙或认证服务器会进行解密、 MD5摘要检查,匹配之后提取出联动协议中包含的需要阻断的源IP、源端口、阻断时长等数据,然后采取相应的阻断动作。
在阻断时间未结束之前,防火墙会一直对外网入侵IP进行阻断,交换机会一直对内网入侵IP或MAC进行过滤或一直关闭其端口,认证服务器会不允许被阻断的用户上线。当阻断时间结束之后,防火墙或交换机或认证服务器会恢复被阻断节点的连接,入侵检测系统重新检测其流量,如若再次发现有入侵或攻击行为,那么重复以上联动过程。以上整个过程无需人工安全,实现了快速预警,快速响应。
在这个体系中,安全接入认证系统是非常重要的组成部分。安全认证客户端可以和防病毒软件实现联动,当安全认证客户端检测到客户端计算机系统没有安装瑞星防病毒软件,或防病毒软件的病毒库版本低于我们在认证服务器上设置的版本号,或其系统的安全等级(由防病毒软件检测并反馈给客户端)低于我们在认证服务器上设置的最低安全等级,那么认证将无法通过,但允许不经认证来下载安装防病毒软件或升级病毒库、下载操作系统补丁来提高系统安全等级,从而达到认证的安全要求。
安全认证客户端还可以实时监测客户端计算机的网络流量,发现异常时实时上报至认证服务器,如果流量异常达到阈值那么认证服务器将会强制其认证客户端下线,来避免由于计算机异常流量造成网络受到影响。
上网行为记录系统与认证服务器以及安全接入管理器联动,使上网行为记录可直接映射到上网者的用户帐号,而不只是简单的记录到上网者源IP,从而可以根据用户上网帐号更加准确地定位到上网行为的责任人,而不再是根据用户的源IP来确定上网行为的责任人,做到了真正的有据可依。
在本体系的组成部件中,还有流量整形系统来对网络出口应用流量的精细化分配和控制、对“非授权”应用的控制、保证关键应用的安全可靠,加上其强大的统计、监控和分析功能,不但提高了整个网络的可控性、规范用户的上网行为,还为网络的用途和下一步的规划提供科学依据。
四、总结
全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合,从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和处理,构建一个身份合法、主机健康、网络安全、行为规范的全局安全网络。同时通过分布式部署、集中管理的部署模式,对拥有众多 分支机构更好地实现了策略的统一,以一套完整的组合构 建了一个相当严密的网络安全体系。
参考文献
[1]徐亚凤. 解析校园网络的安全及管理. 牡丹江大学学报. 2008,17(8)
[2]郑春. 软硬件结合的校园网安全策略. 软件导刊. 2008,7(8)
[3]江铁. 高校校园网安全策略设计. 科技信息. 2008,20
[4]孙力. 浅谈校园网络安全技术的应用[J] 甘肃科技,2009(09)