24小時(shí)論文定制熱線(xiàn)
24小時(shí)論文定制熱線(xiàn)
摘要
網(wǎng)絡(luò )安全和防護是當前業(yè)界關(guān)注的焦點(diǎn),而企業(yè)網(wǎng)絡(luò )安全和數據安全是企業(yè)正常業(yè)務(wù)開(kāi)展的前提和重要保障。本文結合實(shí)際工程,以某企業(yè)的服務(wù)器和內部系統為保護對象,利用安全掃描技術(shù)和主機防護技術(shù),設計并實(shí)現遠程安全評估系統,提升企業(yè)內部網(wǎng)絡(luò )和系統的安全系數。
在安全防護方面,系統能夠完成面向網(wǎng)站、數據庫、主機、基線(xiàn)四種對象的掃描策略制 定,然后制定掃描任務(wù)完成安全掃描。同時(shí),系統提供了磁盤(pán)安全認證功能,實(shí)現了對硬件設備身份的驗證,避免了惡意用戶(hù)非法侵入系統造成數據泄露,同時(shí)磁盤(pán)認證還能將用戶(hù)信息進(jìn)行捆綁,提升了安全管理的效率。然后系統提供了數據防篡改功能,對內部網(wǎng)絡(luò )的多項狀態(tài)進(jìn)行監控,保證內網(wǎng)數據的穩定與安全,同時(shí)對于外部用戶(hù)或設備的惡意訪(fǎng)問(wèn)能夠予以報警,對于惡意損壞、修改的文件能夠進(jìn)行修復。
在系統設計方面,論文對某公司遠程安全評估系統框架進(jìn)行了設計,采用以 Java EE 技術(shù)為基礎,搭建系統的軟件層次架構,將系統劃分為應用視圖層、業(yè)務(wù)控制層、數據持久層和基礎支撐層,實(shí)現視圖、業(yè)務(wù)、數據管理的耦合。同時(shí),根據業(yè)務(wù)內容和功能劃分情況,對功能模塊和各模塊的數據庫實(shí)體進(jìn)行設計,形成數據庫 E-R 圖和數據庫表。結合 Java EE技術(shù)、安全掃描、主機維護和磁盤(pán)保護方法,對遠程安全評估系統的核心功能模塊進(jìn)行詳細設計,充分描述了不同功能模塊的設計流程和程序方法。安全掃描模塊針對網(wǎng)站、數據庫、主機、基線(xiàn)等四大類(lèi)業(yè)務(wù)進(jìn)行掃描保護,主機維護模塊對磁盤(pán)的安全認證過(guò)程和讀寫(xiě)控制過(guò)程進(jìn)行保護,并保護企業(yè)網(wǎng)絡(luò )和數據不被篡改。
論文最后根據遠程安全評估系統實(shí)際的網(wǎng)絡(luò )運行環(huán)境,設計搭建了服務(wù)器的軟件和硬件環(huán)境配置,并對系統設置、安全掃描、網(wǎng)站管理、主機維護和網(wǎng)站安全管理等功能模塊的業(yè)務(wù)功能設計了測試用例,對各功能的實(shí)際測試結果和預期結果進(jìn)行對比,并結合測試工具對數據訪(fǎng)問(wèn)記錄準確性、服務(wù)器文件篡改抵御成功率和磁盤(pán)保護準確率進(jìn)行測試。測試結果表明,遠程安全評估系統實(shí)際運行穩定,能夠對網(wǎng)站和主機安全情況進(jìn)行掃描評估,并對惡意訪(fǎng)問(wèn)企業(yè)服務(wù)器資源的行為進(jìn)行記錄和阻止,維護了企業(yè)內部數據的安全性,可以為企業(yè)提供更加安全的網(wǎng)絡(luò )服務(wù)。
關(guān)鍵詞: 網(wǎng)絡(luò )安全與防護;遠程安全評估系統;安全掃描;Java EE;網(wǎng)絡(luò )安全監測
Abstract
Network security and protection is the focus of the current industry, and enterprise network security and data security is the premise and important guarantee of normal business development.In this paper, combined with the actual project, the server and internal system of an enterprise as the protection object, the use of security scanning technology and host protection technology, the design and implementation of remote security assessment system, improve the internal network and system security coefficient.
In terms of security protection, the system can complete the scanning strategy formulation offour kinds of objects, namely, website, database, host and baseline, and then formulate the scanningtask to complete the security scanning.At the same time, the system provides the disk securityauthentication function, realizes the authentication of the hardware device's identity, avoids the dataleakage caused by the malicious user's illegal invasion of the system, at the same time, the diskauthentication also can carry on the binding of the user's information, improves the efficiency of thesecurity management.Then the system provides the data tamper-proof function to monitor multiplestates of the internal network to ensure the stability and security of the internal network data. At thesame time, it can give an alarm to the malicious access of external users or devices, and repair themaliciously damaged and modified files.
In terms of system design, this paper designs the framework of a company's remote securityassessment system. Based on Java EE technology, the software hierarchy architecture of the systemis built, and the system is pided into application view layer, business control layer, datapersistence layer and foundation support layer to realize the coupling of view, business and datamanagement.At the same time, according to the business content and function pision, thefunctional modules and the database entities of each module are designed to form the database e-rdiagram and database table.Combined with Java EE technology, security scanning, hostmaintenance and disk protection methods, the core function modules of remote security assessmentsystem are designed in detail, and the design process and program methods of different functionmodules are fully described.The security scan module is for the website, database, host, baselineand other four categories of business scan protection, the host maintenance module to disk securityauthentication process and read and write control process to protect the protection of the enterprise network and data is not tampered.
Paper finally according to the actual network running environment of remote security evaluationsystem, design of structures, the server software and the hardware environment configuration, andthe system Settings, security scanning, site management, host, maintain and site safety managementfunction module business functions such as design test cases, for each function, comparing theactual test results and expected results combined with the test tool for data access records accuracy,server document tampering with against the success rate and the disk protection test accuracy.Thetest results show that the remote security assessment system actually runs stably, it can scan andevaluate the security of the website and host, record and prevent the malicious access to theenterprise server resources, maintain the security of the internal data of the enterprise, and providemore secure network services for the enterprise.
Key words: Network Security and Protection; Remote Security Evaluation System; SecurityScanning; Java EE; Network Security Monitoring
目錄
第一章 緒論
1.1 研究背景及課題意義
目前,互聯(lián)網(wǎng)的應用已經(jīng)全面深入地進(jìn)入到人們生活的各個(gè)領(lǐng)域,同時(shí)也不可避免地可能將個(gè)人信息暴露在互聯(lián)網(wǎng)世界中。國內外已經(jīng)發(fā)生了多起不法分子通過(guò)非法技術(shù)手段攻擊網(wǎng)絡(luò )系統的事件,這不僅對互聯(lián)網(wǎng)企業(yè)的正常運轉造成了影響,同時(shí)也可能會(huì )竊取個(gè)人用戶(hù)數據及泄露用戶(hù)隱私,給普通網(wǎng)民的生命財產(chǎn)安全造成威脅。因此,網(wǎng)絡(luò )服務(wù)提供商需要不 斷加強網(wǎng)絡(luò )服務(wù)的安全性,降低企業(yè)或者個(gè)人信息化系統被攻擊的可能性和危險性[1-2].
我國的信息化建設進(jìn)程速度較快,且發(fā)展的規模越來(lái)越大,越來(lái)越多的企業(yè),特別是規模以上企業(yè)已經(jīng)全面將自身業(yè)務(wù)內容和信息化系統綁定,以提升內部公司事務(wù)的工作效率,在包括電子商務(wù)、物流及證券保險等領(lǐng)域中已經(jīng)初步實(shí)現全行業(yè)業(yè)務(wù)系統網(wǎng)絡(luò )化[3-4].但是在虛擬的網(wǎng)絡(luò )空間里,信息化的數據傳輸容易遭受網(wǎng)絡(luò )安全攻擊,導致業(yè)務(wù)受到影響,甚至遭受重大的經(jīng)濟損失。國內外對網(wǎng)絡(luò )信息安全極其重視,許多國家成立了高級別的管理組織或出臺了相關(guān)法律法規以保證網(wǎng)絡(luò )安全。為了保證國家網(wǎng)絡(luò )安全和各個(gè)行業(yè)的信息安全,我國于 2014 年成立了中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組,并于 2016 年頒布實(shí)施了《中華人民共和國網(wǎng)絡(luò )安全法》。同時(shí),國家互聯(lián)網(wǎng)應急中心的成立也為信息安全事務(wù)管理和數據統計提供了相應的服務(wù),有效地對國內網(wǎng)絡(luò )安全工作的開(kāi)展進(jìn)行指導。但是,網(wǎng)絡(luò )安全面臨的威脅仍然非常嚴峻,根據 2018 年 3 月發(fā)布的網(wǎng)絡(luò )信息安全和動(dòng)態(tài)周報:僅當年三月末最后一周,遭受病毒感染的主機數量達到了 28 萬(wàn)臺,且受到僵尸和木馬程序控制的主機數量為 17 萬(wàn)臺。隨著(zhù)網(wǎng)絡(luò )技術(shù)的革新和各類(lèi)攻擊工具的不斷迭代,迫切需要智能化的遠程安全評估系統進(jìn)行安全掃描和安全防護[5].
目前,幾乎所有公司均通過(guò)信息化系統或者門(mén)戶(hù)網(wǎng)站向外界展示自身的基本情況、服務(wù)或者產(chǎn)品,且在公司內部通過(guò)信息化系統解決辦公自動(dòng)化問(wèn)題,提升企業(yè)管理的效率,并提升企業(yè)競爭力和知名度[6-7].信息化與網(wǎng)絡(luò )化在帶來(lái)許多益處的同時(shí),也暴露了許多安全隱患,顯性或者隱性造成的損失可能無(wú)法估量。目前,企業(yè)信息系統面臨的安全問(wèn)題主要包括以下若干方面:
(1)互聯(lián)網(wǎng)安全互聯(lián)網(wǎng)雖然能夠將全球的資源進(jìn)行整合,但是網(wǎng)絡(luò )的開(kāi)放性也加劇了各類(lèi)危險程序的破壞力,加大了信息在網(wǎng)絡(luò )中傳輸的危險性。黑客通過(guò)木馬程序和惡意程序進(jìn)行網(wǎng)絡(luò )攻擊是目前幾乎所有存在于互聯(lián)網(wǎng)上的信息化系統面臨的重要問(wèn)題,而且隨著(zhù)技術(shù)和科技的不斷發(fā)展,攻擊的類(lèi)型越來(lái)越復雜,攻擊的力度也越來(lái)越大[8-9].
(2)企業(yè)內部網(wǎng)安全企業(yè)內部員工或者網(wǎng)絡(luò )運維人員會(huì )對信息化系統進(jìn)行使用或者維護,必要時(shí)需要對服務(wù)器進(jìn)行配置操作,在這個(gè)過(guò)程中可能會(huì )引入木馬病毒,對系統造成破壞,甚至造成數據的丟失。而且,企業(yè)內部的郵件和網(wǎng)頁(yè)瀏覽是木馬病毒移入到企業(yè)內部網(wǎng)絡(luò )的重要途徑。如果病毒或者木馬程序的攻擊性較強,可能會(huì )造成服務(wù)器和網(wǎng)絡(luò )癱瘓[10].
(3)內網(wǎng)之間以及內網(wǎng)與外網(wǎng)間的網(wǎng)絡(luò )安全互聯(lián)網(wǎng)帶來(lái)的益處使得企業(yè)不斷擴大網(wǎng)絡(luò )應用規模和應用類(lèi)型,特別是對于存在分公司或者分支機構的企業(yè)來(lái)說(shuō),內網(wǎng)之間的交互通信安全問(wèn)題尤為突出[11-12].在內網(wǎng)之間以及內網(wǎng)與外網(wǎng)間進(jìn)行數據傳輸過(guò)程中,可能會(huì )造成商業(yè)機密信息的丟失,影響企業(yè)的利益 [13-14].
顯然,對于許多中小型企業(yè)而言,如何設計和建設切實(shí)可行的網(wǎng)絡(luò )安全防護體系方案,是當前行業(yè)面臨的迫切問(wèn)題。本課題的背景來(lái)自某公司網(wǎng)絡(luò )安全應用實(shí)際案例,主要目的是對日益嚴重的網(wǎng)絡(luò )安全問(wèn)題進(jìn)行整理分析,提出相關(guān)的解決方案。主要解決的問(wèn)題包括:某公司需要對公司正常業(yè)務(wù)提供網(wǎng)絡(luò )支持服務(wù)和服務(wù)器托管服務(wù),對企業(yè)的內部系統或者對外門(mén)戶(hù)進(jìn)行管理。企業(yè)網(wǎng)絡(luò )服務(wù)過(guò)程中產(chǎn)生的安全威脅必然會(huì )對企業(yè)的正常運轉造成困擾和損失。因此,某公司需要對遠程安全評估系統進(jìn)行建設和維護,對服務(wù)器內的網(wǎng)站和網(wǎng)絡(luò )主機進(jìn)行防護,抵御惡意攻擊等。
1.2 國內外相關(guān)研究現狀
目前,不論是企業(yè)、校園、政府部門(mén),均投入了巨大的精力抵御惡意網(wǎng)絡(luò )安全攻擊,其中最簡(jiǎn)單的方式是部署防火墻或者購買(mǎi)網(wǎng)絡(luò )運營(yíng)商提供的信息安全服務(wù)[15].
由于不同企業(yè)規模、業(yè)務(wù)種類(lèi)、運行模式等對信息化系統的依賴(lài)程度不同,而且不同企業(yè)的領(lǐng)導對信息化安全防護和網(wǎng)絡(luò )安全的重視程度不同,導致不同的企業(yè)在網(wǎng)絡(luò )安全防護方面的措施和建設思路截然不同,進(jìn)而導致信息化網(wǎng)絡(luò )安全系統的建設程度參差不齊。國際權威咨詢(xún)機構 Gartner 根據不同企業(yè)的信息安全建設階段,提出將其分為盲目自信、安全認知、措施改進(jìn)以及良好運營(yíng)等四個(gè)基本階段,并提取了福布斯排名靠前的 2000 家企業(yè)的信息安全建設內容進(jìn)行了調研[16].調研結果表明,處于措施改進(jìn)以及良好運營(yíng)兩個(gè)階段的企業(yè)數量不足 10%,占總數的極少比例,而絕大多數企業(yè)尚停留在盲目自信、安全認知階段,說(shuō)明全球的信息安全建設事業(yè)尚處于起步階段[17]. 《2018 年中國互聯(lián)網(wǎng)網(wǎng)絡(luò )安全報告》指出,整體上我國的網(wǎng)絡(luò )安全狀況處于平穩狀態(tài),但是對于政府機關(guān)和企事業(yè)單位的網(wǎng)絡(luò )安全遭受到了嚴峻的挑戰。特別是電子政務(wù)類(lèi)網(wǎng)站,其遭受惡意訪(fǎng)問(wèn)、數據篡改的攻擊次數令人震驚[18].據相關(guān)數據統計,僅 2018 年我國遭受到攻擊的電子政務(wù)網(wǎng)站達到了 21223 個(gè),其中包括政府門(mén)戶(hù)網(wǎng)站 1802 個(gè),分別較上一年度增長(cháng)了 6.1%和 21.4%;其中被惡意軟件程序監控的網(wǎng)站數量約為 65232 個(gè),其中包括 3016 個(gè)政府門(mén)戶(hù)網(wǎng)站,較上一年度分別增長(cháng)了 202.2%和 91.2%[19].
在軟件方面抵御惡意攻擊的方式主要包括數據加密技術(shù)、數字簽名技術(shù)、訪(fǎng)問(wèn)權限控制技術(shù)等。由于惡意攻擊何時(shí)到來(lái)及針對目標是未知的,因此,目前的安全防護手段主要以被動(dòng)防御為主。根據相關(guān)統計數據,以上軟件技術(shù)手段可以抵御約 90%的惡意攻擊和安全事件,但是對于其他變化性和更加復雜的惡意攻擊,以上方法顯得無(wú)能為力[20].互聯(lián)網(wǎng)世界不斷產(chǎn)生新的應用程序、新的操作系統、新的通信協(xié)議和通信標準,必然誕生新的攻擊方式、攻擊漏洞和攻擊手段,因此需要提出新的安全防護手段從根源消除安全隱患[21-22].
對于企業(yè)而言,其數據源主要存儲在服務(wù)器中,且通過(guò)網(wǎng)絡(luò )進(jìn)行傳輸,因此可以將服務(wù)器和網(wǎng)絡(luò )作為安全防護措施實(shí)施的主要對象[23-24].目前。許多專(zhuān)家學(xué)者提出了磁盤(pán)安全認證技術(shù)和磁盤(pán)讀寫(xiě)控制技術(shù),從根源解決服務(wù)器主機安全問(wèn)題。
陳虹提出基于主成份分析的局域網(wǎng)絡(luò )安全防御入侵信號的優(yōu)化檢測方法。該方法利用主成分分析方法,提取初始入侵信號特征,去除其中與分類(lèi)無(wú)關(guān)的特征,構造兩個(gè)子分類(lèi)器,對入侵信號特征進(jìn)行分類(lèi),利用卡爾曼濾波方法對入侵信號特征進(jìn)行前置濾波,過(guò)濾入侵信號的 EMD 虛假分量,引入小波閾值去噪,獲取入侵信號的瞬時(shí)頻率 Hibert 邊際譜,完成對局域網(wǎng)絡(luò )安全防御入侵信號的優(yōu)化檢測[25].
劉世文設計了基于掃描流量熵的網(wǎng)絡(luò )安全態(tài)勢感知方法,通過(guò)判別惡意敵手的掃描策略指導主動(dòng)防御策略的選取,以增強防御的針對性。在此基礎上,提出了基于端信息轉換的主動(dòng)防御機制,通過(guò)轉換網(wǎng)絡(luò )端信息實(shí)現網(wǎng)絡(luò )拓撲結構的動(dòng)態(tài)隨機改變,從而達到增加網(wǎng)絡(luò )攻擊難度和成本的目的[26].
劉超齡針對現有 NIDS/NIPS 軟件 Snort 和 Iptables 數據處理性能的不足,文章提出一種基于 DPDK 的虛擬化網(wǎng)絡(luò )入侵防護系統 v D-IPS.v D-IPS 系統的整體架構,重點(diǎn)設計和實(shí)現了基于 DPDK 零拷貝的入侵檢測模塊、流量清洗模塊。針對多元的攻擊環(huán)境,設計并實(shí)現了模式匹配算法的選擇機制[27].
張振峰基于網(wǎng)絡(luò )安全等級保護基本要求,對云計算平臺/系統的保護對象,安全措施及安全能力進(jìn)行識別,構建網(wǎng)絡(luò )安全等級保護 2.0 云計算安全合規模型,分析得出云計算平臺/系統的安全技術(shù)能力[28].
從國內外研究現狀來(lái)看,目前網(wǎng)絡(luò )安全防護的技術(shù)手段主要通過(guò)軟件完成,而且針對不同的防護對象提供了不同的方法。絕大多數中小企業(yè)并沒(méi)有將網(wǎng)絡(luò )安全防護以及主機防護放到重要的位置進(jìn)行考慮,導致安全事件頻頻發(fā)生。技術(shù)方面,多數應用系統的安全防護維度較片面,僅側重于某一方面的防護,無(wú)法做到完整防護。對于企業(yè)而言,需要根據自身的網(wǎng)絡(luò )安全防護需要對不同的防護手段和工具進(jìn)行整合,形成完整的遠程安全評估系統,對各類(lèi)安全事件進(jìn)行及時(shí)發(fā)現和預警,這也是本文的初衷。
1.3 本文創(chuàng )新點(diǎn)
(1)本文的需求來(lái)自實(shí)際的工程案例,根據某企業(yè)網(wǎng)絡(luò )系統安全需求,設計和構建較為完整的遠程安全評估系統,提供企業(yè)網(wǎng)站維護、企業(yè)服務(wù)器主機安全防護功能。系統能夠完成面向網(wǎng)站、數據庫、主機、基線(xiàn)四種對象的掃描策略制定,然后制定掃描任務(wù)完成安全掃描。
(2)系統提供了磁盤(pán)安全認證功能,實(shí)現了對硬件設備身份的驗證,包括磁盤(pán)認證與磁盤(pán)注冊,磁盤(pán)注冊即對新出現的磁盤(pán)在系統中注冊備份信息,磁盤(pán)認證則實(shí)現了在某一磁盤(pán)申請數據服務(wù)時(shí)對身份的合法性進(jìn)行驗證,避免了惡意用戶(hù)非法侵入系統造成數據泄露,同時(shí)磁盤(pán)認證還能將用戶(hù)信息進(jìn)行捆綁,提升了安全管理的效率。
(3)系統提供了數據防篡改功能,對內部網(wǎng)絡(luò )的多項狀態(tài)進(jìn)行監控,保證內網(wǎng)數據的穩定與安全,同時(shí)對于外部用戶(hù)或設備的惡意訪(fǎng)問(wèn)能夠予以報警,對于惡意損壞、修改的文件能夠進(jìn)行修復。
1.4 研究?jì)热?/strong>
論文主要工作以本人具體承擔和參與的某公司遠程安全評估系統設計建設的核心步驟和階段為基礎,具體章節內容安排如下:
第一章引言,描述目前企業(yè)對于網(wǎng)絡(luò )安全的要求和某公司遠程安全評估系統的必要性,制定課題所包含的內容,并闡述了本人具體所承擔的任務(wù),最后對論文的結構安排進(jìn)行簡(jiǎn)述。
第二章網(wǎng)絡(luò )安全及防護技術(shù)介紹,對某公司遠程安全評估系統設計過(guò)程中使用的核心技術(shù)的基本原理和主要特點(diǎn)進(jìn)行分析,描述其在系統建設過(guò)程中的作用。
第三章遠程安全評估系統需求分析及整體設計,從實(shí)際的業(yè)務(wù)情況出發(fā),分析某公司遠程安全評估方面的需求,整理不同功能用例和非功能性需求,用于后續系統設計。以某公司遠程安全評估系統的建設要求和主要業(yè)務(wù)功能為指導,對系統的整體架構進(jìn)行設計,從軟件開(kāi)發(fā)的角度對網(wǎng)絡(luò )架構和軟件層次架構進(jìn)行設計,并對功能模塊進(jìn)行設計,最后對系統的數據庫進(jìn)行設計。
第四章遠程安全評估系統功能詳細設計及實(shí)現,系統功能詳細設計以模塊為單位,對某公司遠程安全評估系統的模塊整體的類(lèi)圖、功能用例詳情進(jìn)行設計,側重于流程和前后端交互過(guò)程的設計。
第五章遠程安全評估系統測試,系統測試主要根據系統運行需求搭建測試環(huán)境,根據系統的實(shí)際設計情況,對不同功能用例和性能指標進(jìn)行測試,檢驗實(shí)際的測試結果是否符合預期,性能指標是否在可接受的范圍內。
第六章結束語(yǔ),總結本課題和本文的主要工作內容和成果,對后續需要改進(jìn)和進(jìn)一步完善的問(wèn)題進(jìn)行分析,并在以后的工作中提供解決方案的指導。
第二章 網(wǎng)絡(luò )安全及防護技術(shù)
2.1 入侵檢測技術(shù)
2.2 網(wǎng)絡(luò )安全掃描技術(shù)
2.3 系統開(kāi)發(fā)實(shí)現技術(shù)
2.3.1 Java EE 開(kāi)發(fā)技術(shù)
2.3.2 安全評估及防護技術(shù)
2.3.3 MVC 設計模式技術(shù)
2.4 本章小結
第三章 遠程安全評估系統總體設計
3.1 系統總體需求分析
3.1.1 系統設置功能分析
3.1.2 安全掃描功能分析
3.1.3 網(wǎng)站管理功能分析
3.1.4 主機維護功能分析
3.1.5 網(wǎng)站安全管理功能
3.1.6 相關(guān)性能參數
3.2 網(wǎng)絡(luò )安全風(fēng)險分析
3.3 系統總體設計
3.3.1 系統網(wǎng)絡(luò )架構設計及部署
3.3.2 系統軟件層次架構設計
3.3.3 系統功能模塊設計
3.3.4 數據庫設計
3.4 網(wǎng)絡(luò )安全掃描方法設計
3.5 本章小結
第四章 遠程安全評估系統詳細設計及實(shí)現
4.1 系統設置模塊詳細設計及實(shí)現
4.2 安全掃描模塊詳細設計及實(shí)現
4.2.1 掃描配置及初始化設計及實(shí)現
4.2.2 掃描過(guò)程設計及實(shí)現
4.3 網(wǎng)站管理模塊詳細設計及實(shí)現
4.4 主機維護模塊設計及實(shí)現
4.4.1 系統服務(wù)設置功能設計及實(shí)現
4.4.2 磁盤(pán)安全認證功能設計及實(shí)現
4.4.3 磁盤(pán)讀寫(xiě)控制功能設計及實(shí)現
4.5 網(wǎng)站安全管理模塊詳細設計及實(shí)現
4.5.1 數據防篡改功能詳細設計及實(shí)現
4.5.2 文件限制功能詳細設計及實(shí)現
4.6 本章小結
第五章 系統測試及應用
5.1 系統測試環(huán)境
5.2 系統測試
5.2.1 系統功能測試
5.2.2 系統性能測試
5.3 系統應用情況
5.4 本章小結
第六章
結束語(yǔ)
6.1 論文主要工作及研究成果
網(wǎng)絡(luò )安全及保護技術(shù)是當前業(yè)界關(guān)注的重點(diǎn),而企業(yè)網(wǎng)絡(luò )安全和數據安全是企業(yè)正常業(yè)務(wù)開(kāi)展的前提和重要保障。本文結合實(shí)際參與的工程實(shí)例,以某企業(yè)的服務(wù)器和內部系統為保護對象,運用業(yè)界主流安全掃描技術(shù)和主機防護技術(shù),設計并實(shí)現遠程安全評估系統,提升企業(yè)內部網(wǎng)絡(luò )和系統的安全系數。論文具體的工作內容及成果如下: (1)全面分析了網(wǎng)絡(luò )安全及防護原理和主要技術(shù),對主流的入侵檢測、網(wǎng)絡(luò )安全掃描、系統開(kāi)發(fā)實(shí)現技術(shù)等進(jìn)行了討論與分析。結合具體工程實(shí)例,對某公司遠程安全評估系統總體設計所需的實(shí)際業(yè)務(wù)需求進(jìn)行深入調研,并完成了相關(guān)需求分析。對服務(wù)安全監測系統在進(jìn)行功能維度的需求分析時(shí),對系統設置功能、安全掃描功能、網(wǎng)站管理功能、主機維護功能、網(wǎng)絡(luò )管理功能的用例圖和用例進(jìn)行設計和說(shuō)明,對系統的主要功能內容和數據進(jìn)行詳細列舉,在非功能性需求分析時(shí),對性能、可靠性、安全性進(jìn)行分析說(shuō)明。
(2)完成了某公司遠程安全評估系統框架設計。設計方案以 Java EE 技術(shù)為基礎,搭建系統的軟件層次架構,將系統劃分為應用視圖層、業(yè)務(wù)控制層、數據持久層和基礎支撐層,實(shí)現視圖、業(yè)務(wù)、數據管理的耦合。同時(shí),根據業(yè)務(wù)內容和功能劃分情況,對功能模塊和各模塊的數據庫實(shí)體進(jìn)行設計,形成數據庫 E-R 圖和數據庫表。
(3)結合 Java EE 技術(shù)、安全掃描、主機維護和磁盤(pán)保護方法,對遠程安全評估系統的核心功能模塊進(jìn)行詳細設計,給出了不同功能模塊的設計流程和程序方法描述。安全掃描模塊針對網(wǎng)站、數據庫、主機、基線(xiàn)等四大類(lèi)業(yè)務(wù)進(jìn)行掃描保護,主機維護模塊對磁盤(pán)的安全認證過(guò)程和讀寫(xiě)控制過(guò)程進(jìn)行保護,并保護企業(yè)網(wǎng)絡(luò )和數據不被篡改。
(4)設計完成后進(jìn)行了遠程安全評估系統測試工作。根據遠程安全評估系統的網(wǎng)絡(luò )運行環(huán)境對服務(wù)器的軟件和硬件環(huán)境進(jìn)行配置,然后對系統設置、安全掃描、網(wǎng)站管理、主機維護和網(wǎng)站安全管理等功能模塊的業(yè)務(wù)功能設計測試用例,對各功能的實(shí)際測試結果和預期結果進(jìn)行對比,并結合測試工具對數據訪(fǎng)問(wèn)記錄準確性、服務(wù)器文件篡改抵御成功率和磁盤(pán)保護準確率進(jìn)行測試。測試結果表明,遠程安全評估系統實(shí)際運行效果能夠滿(mǎn)足正常使用的業(yè)務(wù)要求。
6.2 下一步工作及展望
本文設計實(shí)現的某公司遠程安全評估系統通過(guò)測試后,較好地達到了預期設計要求,投入使用后解決了企業(yè)網(wǎng)絡(luò )和服務(wù)器主機的評估和防護問(wèn)題。但隨著(zhù)網(wǎng)絡(luò )安全環(huán)境的日趨嚴峻,仍然存在待完善之處。首先,目前的網(wǎng)絡(luò )防護手段有限,無(wú)法保證 100%抵御惡意攻擊,在后續的工作過(guò)程中,可以進(jìn)一步增加防護的措施和手段,特別是可以基于目前熱門(mén)的機器學(xué)習等技術(shù),通過(guò)數據集的訓練等建立模型,實(shí)現主動(dòng)安全防御和提升網(wǎng)絡(luò )安全性。同時(shí),目前安全防護的類(lèi)型還需要進(jìn)一步擴展,在后續的系統優(yōu)化過(guò)程中可以考慮增加流量清洗功能,進(jìn)一步提升網(wǎng)絡(luò )服務(wù)的安全性。
參考文獻
[1] 謝麗霞, 王志華。 基于布谷鳥(niǎo)搜索優(yōu)化 BP 神經(jīng)網(wǎng)絡(luò )的網(wǎng)絡(luò )安全態(tài)勢評估方法[J]. 計算機應用, 2017, 37(7):1926-1930.
[2] 馬列。 計算機網(wǎng)絡(luò )信息安全及其防護對策探討[J]. 信息技術(shù)與信息化, 2017(3):131-133.
[3] 張文輝。 基于計算機網(wǎng)絡(luò )技術(shù)的計算機網(wǎng)絡(luò )信息安全及其防護策略[J]. 信息系統工程, 2017(12):60-60.
[4] 劉劍, 蘇璞睿。 軟件與網(wǎng)絡(luò )安全研究綜述[J]. 軟件學(xué)報, 2018, 29(1):42-68.
[5] 梁靜。 計算機網(wǎng)絡(luò )安全防御系統設計研究[J]. 電子設計工程, 2019, 27(10):155-158.
[6] 鄧蘊。 基于網(wǎng)絡(luò )安全的隔離措施分析(英文)[J]. 控制工程, 2017, 24(12):2566-2570.
[7] 周健, 沈震群等。 移動(dòng)網(wǎng)絡(luò )安全策略沖突檢測方法的改進(jìn)研究[J]. 現代電子技術(shù), 2017, 40(3):75-78.
[8] 陳培毅。 基于 K-means 算法檢測網(wǎng)絡(luò )安全可行性研究[J]. 自動(dòng)化與儀器儀表, 2017(8)。、:33-37.
[9] Homer, J, Xinming Ou. SAT-solving approaches to context-aware enterprise network security management[J].
IEEE Journal on Selected Areas in Communications, 27(3):315-322.
[10] Leonard L. Mutembei, Aloys N. Mvuma, Tabu S. Kondo. Network Security Analysis in the Enterprise LANS[J]. 2014, 101(13):37-42.
[11] 李衛, 孫少華, 孫曉東。 企業(yè)網(wǎng)絡(luò )安全防護系統設計與實(shí)現[J]. 電子設計工程, 2017, 25(13):9-12.
[12] 劉強, 蔡志平, 殷建平。 網(wǎng)絡(luò )安全檢測框架與方法研究[J]. 計算機工程與科學(xué), 2017, 39(12):2224-2229.
[13] 王佳欣, 馮毅, 由睿。 基于依賴(lài)關(guān)系圖和通用漏洞評分系統的網(wǎng)絡(luò )安全度量[J]. 計算機應用, 2019, 39(6):1719-1727.
[14] 劉 意 先 , 慕 德 俊 . 基 于 CIA 屬 性 的 網(wǎng) 絡(luò ) 安 全 評 估 方 法 研 究 [J]. 計 算 機 技 術(shù) 與 發(fā) 展 , 2018,252(04):149-151+155.
[15] 趙川, 段榮華, 趙明,等。 基于深度學(xué)習的數據交互信息網(wǎng)絡(luò )安全評估方法[J]. 電子設計工程, 2019, 27(24):126-129.
[16] 周瓏 , 郭威 , 王建永 ,等。 基于 神經(jīng)網(wǎng)絡(luò )算法的網(wǎng)絡(luò )安全 評價(jià)模型 [J]. 沈陽(yáng)工業(yè) 大學(xué)學(xué)報 , 2018,200(04):68-72.
[17] 楊潤佳。 大數據驅動(dòng)下主動(dòng)防御網(wǎng)絡(luò )安全性評估技術(shù)[J]. 計算機測量與控制, 2018, 26(10):310-314.
[18] 王增光, 盧昱, 陳立云。 網(wǎng)絡(luò )安全風(fēng)險評估方法綜述[J]. 飛航導彈, 2018, 400(04):70-74+81.
[19] 嚴紀珊。 基于攻擊圖行為模式分析的網(wǎng)絡(luò )安全風(fēng)險評估[J]. 單片機與嵌入式系統應用, 2018, 18(10):7-9+13.
[20] 曲向華, 史雪梅。 基于層次分析法的網(wǎng)絡(luò )安全態(tài)勢評估技術(shù)研究[J]. 自動(dòng)化技術(shù)與應用, 2018, 37(11):47-49+54.
[21] 高孟茹, 謝方軍, 董紅琴,等。 面向關(guān)鍵信息基礎設施的網(wǎng)絡(luò )安全評價(jià)體系研究[J]. 信息網(wǎng)絡(luò )安全, 2019(9):45-47.
[22] 王增光, 盧昱, 李璽。 基于攻防博弈的軍事信息網(wǎng)絡(luò )安全風(fēng)險評估[J]. 軍事運籌與系統工程, 2019(2):35-40.
[23] 吳建臺, 喬翌峰, 朱賽凡。 基于 HMM 的網(wǎng)絡(luò )安全態(tài)勢評估與預測方法[J]. 導航與控制, 2018, 72(02):13-20+34.
[24] 劉立芳, 趙麗莎, 齊小剛,等。 基于排隊模型的網(wǎng)絡(luò )性能仿真與安全評估技術(shù)[J]. 系統仿真學(xué)報, 2018(1):45-46.
[25] 陳虹, 趙有俊。 局域網(wǎng)絡(luò )安全防御入侵信號優(yōu)化檢測仿真[J]. 計算機仿真, 2018, 35(04):358-361.
[26] 劉世文, 馬多耀, 雷程,等。 基于網(wǎng)絡(luò )安全態(tài)勢感知的主動(dòng)防御技術(shù)研究[J]. 計算機工程與科學(xué), 2018, 282(06):102-109.
[27] 劉超玲, 張棪, 楊慧然,等。 基于 DPDK 的虛擬化網(wǎng)絡(luò )入侵防御系統設計與實(shí)現[J]. 信息網(wǎng)絡(luò )安全, 2018, 209(05):47-57.
[28] 張振峰, 張志文, 王睿超。 網(wǎng)絡(luò )安全等級保護2.0云計算安全合規能力模型[J]. 信息網(wǎng)絡(luò )安全, 2019(11): 45-49.
[29] 肖霞。 基于大數據時(shí)代計算機網(wǎng)絡(luò )安全技術(shù)應用研究[J]. 遼寧高職學(xué)報, 2018, 178(01):78-80.
[30] 杜岳濤。 計算機網(wǎng)絡(luò )環(huán)境安全問(wèn)題分析及防御措施[J]. 自動(dòng)化技術(shù)與應用, 2018, 275(05):21-23.
[31] Allen, Phil. The importance of data protection inside your enterprise[J]. Network Security, 2013(11):12-14.
[32] Singhal, Priyank. Malware Detection Module using Machine Learning Algorithms to Assist in Centralized Security
in Enterprise Networks[J]. International Journal of Network Security & ItsApplications, 2017,4(1):61-67.
[33] Bopche G S, Mehtre B M. Extending Attack Graph-Based Metrics for Enterprise Network Security Management[M]//
Proceedings of 3rd International Conference on Advanced Computing, Networking andInformatics. 2016.
[34] Shlomi Dinoor. Privileged identity management: securing the enterprise[J]. Network Security, 2010(12):4-6.
[35] 黃靜。 計算機軟件開(kāi)發(fā)中 JAVA 語(yǔ)言的應用研究[J]. 數字技術(shù)與應用, 2019(4):170-170.
[36] 王越。 JAVA 編程語(yǔ)言在計算機軟件開(kāi)發(fā)中的應用[J]. 電子技術(shù)與軟件工程, 2019(1)。:11-13.
[37] 段海新, 吳建 平 . 計算機 網(wǎng) 絡(luò )安 全體 系的 一種 框 架 結 構及 其應 用 [J]. 計 算機 工程 與應 用 , 2000(05):24-27+42.
[38] 張彬, 廣暉, 陳熹。 基于智能合約的無(wú)線(xiàn) Mesh 網(wǎng)絡(luò )安全架構[J]. 計算機工程, 2019(11):87-87.
[39] 錢(qián)斌, 蔡梓文, 肖勇。 基于模糊推理的計量自動(dòng)化系統網(wǎng)絡(luò )安全態(tài)勢感知[J]. 南方電網(wǎng)技術(shù), 2019(2):51-58.
[40] Sadiq T. Yakasai, Fu-Chun Zheng, Chris G. Guy. Towards policy unification for enterprise network security[C]//
2017 IEEE Conference on Network Softwarization (NetSoft)。 IEEE, 2017,121-128
致謝
從收到南郵的錄取通知書(shū)到現在完成論文撰寫(xiě),三年多的工作學(xué)習生活轉瞬即逝,感恩所有在此期間幫助過(guò)我的學(xué)校導師、單位同事以及家人親友,是你們在我最迷茫最困難的時(shí)候給予我鼓勵、關(guān)懷和鞭策。南郵一直是我夢(mèng)想中的學(xué)府殿堂,很榮幸能夠有機會(huì )與來(lái)自五湖四海的莘莘學(xué)子一起學(xué)習,共同度過(guò)了這段美好的時(shí)光,相信在未來(lái)的工作生活中,這都將是我最值得回憶的寶貴財富。
首先我要感謝這次的論文指導老師沈建華導師,對我在論文方向和題材的選擇方面都給予了我很多寶貴的意見(jiàn),在論文撰寫(xiě)的過(guò)程中,沈建華導師也是非常有耐心的對我提出的各種疑難知識點(diǎn)進(jìn)行解答,很多時(shí)候甚至犧牲了自己的業(yè)余時(shí)間對我進(jìn)行指導。沈建華導師在通信與信息工程應用技術(shù)領(lǐng)域有相當高的造詣,他嚴謹的學(xué)術(shù)研究態(tài)度以及孜孜不倦的授業(yè)解惑精神給我留下了深刻的印象,在我未來(lái)的工作研究中都是我學(xué)習的榜樣。
其次要感謝單位的同事、領(lǐng)導以及項目團隊,從最初的論文選題,到后續的討論實(shí)施直至驗證收尾,都得到了部門(mén)主任的大力支持和項目團隊的無(wú)私奉獻。論文的研究和推進(jìn)始終堅持理論聯(lián)系實(shí)際,堅持大處著(zhù)眼小處入手的原則,歷經(jīng)了無(wú)數次的論證和修改才有了今天的成果,特別要感謝研發(fā)部的同事們,在系統驗證階段付出了很多個(gè)加班加點(diǎn)的夜晚。
最后感謝我的家人和親友們,在職相比于以前的全日制攻讀,不管是在生活上還是工作上,有了更多的牽絆和不便,在我最困難最沮喪的時(shí)候,家人給了我莫大的鼓勵和支持,為我解決了很多后顧之憂(yōu)使我全身心投入到學(xué)習和研究中去,我所取得的成功離不開(kāi)你們在背后無(wú)怨無(wú)悔的奉獻和付出。
書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟,未來(lái)的學(xué)習和工作道路還很長(cháng),我會(huì )以此為新的起點(diǎn),不斷鞭策自己,堅持踏實(shí)嚴謹的工作研究態(tài)度,去回報所有幫助過(guò)我的人!
(如您需要查看本篇畢業(yè)設計全文,可點(diǎn)擊全文下載進(jìn)行查看)