企业局域网络模块安全

企业局域网络模块安全（通用6篇）

企业局域网络模块安全 篇1

随着互联网应用的普及, 电子商务有了实质性的进展。对于一个企业来说, 产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成, 目前小型企业往往采用在互联网络上申请主页空间或采用网络主机托管的方式, 这种方式在应用上很明显有些不方便之处, 所能提供的服务类型单一, 并且资料数据都是放在别人的计算机上, 让别人来管理。对于大型企业和有机密数据的单位, 往往不会采用这种方式, 他们会在单位内部建立自己的中心机房, 组建自己的局域网。同时申请电信的宽带和固定IP, 这样, 形成内外两种网络。如果, 企业在异地有分支机构, 还可以通过VPN方式进行安全通信。

一、企业局域网络模块

企业局域网可分为两个模块:企业互联网模块与企业局域网模块。

1、企业互联网模块

企业互联网模块拥有与互联网的连接, 同时也端接VPN与公共服务 (DNS、HTTP、FTP、SMTP) 信息流。企业互联网模块为内部用户提供了与互联网的连接并使用户能够通过互联网访问公共服务器上的信息, 同时还为远程地点和远程工作人员提供了VPN访问能力。

企业互联网模块涉及的关键设备有:SMTP服务器、DNS服务器、FTP/HTTP服务器、防火墙或防火墙路由器、第2层及以上交换机 (支持专用VLAN) 。

2、企业局域网模块

企业局域网模块包含第2层及以上交换功能与所有的用户以及管理内部网服务器。

企业局域网模块包含最终用户工作站、公司内部网服务器、管理服务器和支持这些设备所需的相关基础设施、可网管的交换机等。

二、企业局域网络安全分析

1、企业互联网模块的安全分析

拥有公共地址的服务器是最容易被攻击的。以下是企业互联网模块潜在的威胁:未授权访问、应用层攻击、病毒与特洛伊马攻击、密码攻击、拒绝服务、IP电子欺骗、分组窃听、网络侦察、信任关系利用、端口重定向等。

在小型VPN网络设计中, 该模块堪称为极至。VPN功能被压缩入一个机箱, 但依然执行着路由选择、NAT、IDS和防火墙功能。在确定如何实施该功能时, 我们可使用带防火墙和VPN功能的路由器。

这种选择为小型网络带来了极大的灵活性, 因为路由器将支持在当今网络中可能是不可或缺的所有高级服务。作为一种替代措施, 可使用带VPN的专用防火墙来取代路由器。这种设置给部署造成了一些限制。首先, 防火墙通常都只是以太网, 要求对相应的WAN协议进行一些转换。在目前的环境中, 大多数有线和DSL路由器/调制解调器都是由电信服务供应商提供的, 可用于连接以太网防火墙。如果设备要求WAN连接 (如电信供应商的DSL电路) , 那么, 就必须使用路由器。使用专用防火墙不具备轻松配置安全性和VPN服务的优势, 当发挥防火墙功能时, 可提供改进性能。无论选用哪种设备, 都要考虑一些VPN的因素。请注意, 路由器倾向于允许信息流通过, 而防火墙的缺省设置则倾向于阻止信息流通过。

从ISP的客户边缘路由器开始, ISP出口将限制那些超出预定阈值的次要信息流, 以便减少DDos攻击。同时在ISP路由器的入口处, RFC1918与RFC 2827过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。

防火墙为通过防火墙发起的会话提供了连接状态执行操作以及详细的过滤。拥有公共地址的服务器通过在防火墙上使用半开放连接限制能够防止TCP SYN洪水。从过滤的角度讲, 除了将公共服务区域的信息流限定到相关地址和端口外, 在相反的方向上也在进行过滤。如果某个攻击涉及到一个公共服务器 (通过规避防火墙和基于主机的IDS) , 那么这个服务器应该不会再进一步攻击网络。为了缓解这种攻击, 具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。例如, 应该对Web服务器进行过滤, 以便使其不能自身产生请求, 而只能回答来自客户机的请求。这种设置有助于防止黑客在实施最初的攻击后将更多的应用下载到被破坏的机器。同时还有助于防止黑客在主攻击过程中触发不受欢迎的会话。

从主机的角度看, 公共服务区域内的每个服务器均拥有主机入侵检测软件, 用于监控OS级的任何不良活动以及普通服务器应用的活动 (HTTP、FTP、SMTP等) 。DNS主机应该只响应必要的命令, 同时消除任何可能有助于黑客的网络侦察攻击的不必要响应。这包括防止从任何地点进行zone传输 (合格的二级DNS服务器除外) 。在邮件服务方面, 防火墙在第7层过滤SMTP信息, 以便只允许必要的命令到达邮件服务器。

2、企业局域网模块的安全分析

交换机的主要功能是交换生产与管理信息流并为公司和管理服务器以及用户提供连接。在交换机内部可以实施VLAN, 以减少设备间的信任关系利用攻击。例如, 公司用户可能需要与公司服务器通信但彼此之间可能没有必要通信。

在管理站与网络其余部分之间设置一个小型过滤路由器或防火墙能够提高总体安全性。这种设置将使管理流量只沿着管理员认为必要的方向传输。如果机构内部的信任水平不高, 我们建议在关键系统上安装了HIDS。

对于各工作站上的安全可靠, 还特别值得提出的是病毒和网站木马, 可考虑企业版的病毒防火墙。

在各分支机构中不要求配备远程访问VPN功能, 因为公司总部通常会提供这种功能。此外, 管理主机一般位于中央地点, 这种设置要求管理信息流穿过地点到地点VPN连接回到公司总部。

基于模块化构建企业网络安全体系 篇2

(一) 企业网的组成

企业网一般由两个大的功能区域组成:企业内网和企业外部接入网。我们可以逻辑上把这两大区域进一步划分成若干个模块, 企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。企业外部接入网包括外网接入模块和远程接入模块两个部分。不同模块实现不同的功能, 各自的安全需要也有所不同, 需要实施相应的安全策略。模块与模块之间的安全策略相互影响、相互作用并互为补充。典型的大型企业网络架构如下图:

(二) 企业网面临的安全威胁

1.来自内部用户的安全威胁

大多数威胁来自于内部网络, 如缺乏安全意识的员工、心怀不满的员工、公司间谍等都是这类攻击的来源。

2.来自外部网络的安全威胁

随着信息技术的不断发展, 企业总部与分支以及合作伙伴之间的联网需求越来越迫切。它们之间不可避免的需要通过网络交换信息及共享资源。同时, 企业网还为内部合法员工提供了上互联网的途径, 互联网用户可以访问企业对外提供的公共服务器上的信息, 由于信息资源的共享同时也给企业网的内、外网安全带来了一系列的挑战。

二、企业内网的安全设计

企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。下面分别分析各个模块的功能, 及面临的安全威胁和相对应的安全措施, 以及与其它模块之间的关系。

(一) 管理模块

管理模块的主要功能是实现企业网络的所有设备和服务器的安全管理。所面临最主要的安全威胁有未授权接入、口令攻击、中间人攻击等, 为了消除以上管理模块面临的安全威胁, 应采取以下的安全措施:

1.管理数据流和生产网数据流需有效的安全隔离, 包括尽可能使用安全性高的带外管理, 在不能使用带外管理的情况下, 带内管理也要做到使用IPSec、SSH等加密传输。

2.采用强力的认证授权技术对管理信息进行认证和授权, 可以通过采用AAA认证和双因素认证技术, 保证只有合法的用户才能管理相应设备, 并能够防止密码泄漏和对密码窃听。

3.采用完善的安全审计技术对整个网络 (或重要网络部分) 的运行进行记录和分析, 可以通过对记录的日志数据进行分析、比较, 找出发生的网络安全问题的原因, 并为今后网络整改提供依据。

4.部署网络入侵检测系统, 从而能够对流入和流出管理模块的数据流进行实时的分析并及时发现可能的入侵行为。

由于管理模块全网可达, 且能够对全网的所有设备和服务器进行管理, 所以它的安全防护策略应该是全网最严格的。

(二) 核心模块

核心模块的主要功能是快速转发。所面临主要安全威胁是分组窃听、功能区域划分模糊和如何实现快速故障隔离。当多种应用流量运行在核心模块时, 如何防止不同应用流量被窃听篡改、如何对不同应用区域进行分类保护、如何在核心模块故障发生时进行有效快速的故障隔离成了当务之急。

核心模块的主要设备是三层交换机, 三层交换架构是消除分组窃听威胁的有效手段, 而核心三层交换机的虚拟化技术则可以解决核心功能区域的精细划分、实现有效快速的隔离故障, 提高系统的可用性, 防止级联式的服务中断。通过核心交换机的虚拟化技术还可实现交换机控制和管理平面的虚拟化, 在三层交换机上配置相应的安全策略, 为多个应用或部门的流量提供安全的网络分区, 让每个应用或部门可以独立管理和维护其各自的配置。

(三) 分布层模块

分布层模块主要提供包括路由、QoS和访问控制。所面临的主要安全威胁有未授权访问、欺骗、病毒和特洛伊木马的应用。为了消除以上分布层模块面临的安全威胁, 分布层模块应采取以下的安全措施:

1.针对二层网络的安全威胁, 利用网络设备本身的二层网络安全性能, 进行二层网络安全策略的部署, 如二层VLAN划分、DHCP窥探保护、动态ARP检查、IP源地址保护等安全策略。

2.通过在分布层使用访问控制, 可以减少一个部门访问另一部门服务器上保密信息的机会, 利用设备包过滤技术, 根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的。

3.通过RFC2827过滤可有效防止源地址欺骗。

4.部署防病毒系统, 防止各个工作站感染病毒和特洛伊木马的应用。

5.部署网络准入控制系统, 通过在网络中部署网络准入控制系统, 可以实现最大限度减少内部网络安全威胁, 降低病毒和蠕虫造成的停机时间。

根据网络规模和性能要求的不同, 核心层和分布层可以结合起来合二为一, 从而达到减少硬件设备, 达到减少投资与节能等目的。

(四) 服务器模块

服务器模块的主要目标是向最终用户和设备提供应用服务。所面临的主要安全威胁有未授权访问、应用层攻击、IP欺骗、分组窃听和端口重定向等。为了消除以上安全威胁, 应采取以下的安全措施:

1.使用基于主机和网络的IDS/IPS系统。

2.在交换机上配置私有VLAN, 实现对服务器的访问限制, 限制对关健服务器的随意访问。

3.对服务器及时打上最新的补丁程序。

4.对服务器区域 (DMZ区域) 进行不同安全级别划分, 通过对不同应用的服务器进行安全级别的划分, 并通过防火墙模块进行DMZ逻辑区域的隔离, 可以实现服务器故障的快速隔离和服务器间访问的有效控制。

5.针对企业较为重要的邮件应用服务器, 可以单独部署电子邮件安全产品, 从而减少与垃圾邮件、病毒和其它各种威胁有关的宕机, 以求减轻技术人员的负担。

像分布层模块一样, 根据公司规模、应用性能及需求的不同, 服务器模块可以与核心模块相结合。

(五) 边界接入模块

边界接入模块的目标是在网络边缘集中来自各个接入网模块的连接, 信息流从边界接入模块过滤后路由至至核心。边界接入模块在整体功能方面和分布层模块有些类似, 都采用接入控制来过滤信息流, 但边界接入模块在一定程度上依赖整个接入网功能区域来执行附加安全功能。像服务器和分布层模块一样, 如果性能要求不高, 边界接入模块可与核心模块结合起来。

在边界接入模块比较常见的安全措施为应用流量观察分析和安全网关代理。应用流量观察分析是通过部署流量控制设备, 使用其二至七层强大的应用分析能力, 能够第一时间获得核心模块和接入网模块之间应用流量能见度, 并以此为基础在企业网络中部署相应的安全策略 (比如限制病毒端口号、限制特定内网IP地址、限制特定MAC地址) 。安全网关代理是通过采用专用的安全网关代理技术, 实现核心模块和外网接入网模块之间的Web内容过滤, Web病毒扫描, 间谍软件防御, HTTPS安全控制, 防机密数据外泄等等安全功能。

三、企业接入网的安全设计

企业接入网由外网接入模块和远程接入模块两个部分组成。以下分别阐述各个模块的功能、面临的安全威胁和相应的安全措施。

(一) 外网接入模块

大多企业网虽然都是专网, 但是不可避免要和外网连接。外网包括企业分支网络、第三方接入网络和互联网。所面临的主要安全威胁有未授权接入、应用层攻击、病毒和特洛伊木马、拒绝服务攻击等。主要防御措施有:

1.在外网接入模块和外网之间部署防火墙。防火墙应分为两组防护, 一组用于企业网与分支机构网络的连接, 另一组用于企业网与互联网的连接。防火墙为内网的网络资源提供保护, 从而确保只有合法信息流穿过防火墙。部署在企业网与互联网的连接上的防火墙时可以使用目前先进的“云火墙”技术, 该技术可以持续收集互联网上已知威胁的详细信息, 实现企业到互联网的网络安全。

2.使用防火墙的虚拟化技术, 将单一防火墙设备逻辑划分为多个虚拟防火墙, 每个防火墙有自己的策略且分别进行管理, 可以实现不同区域模块之间的安全控制和设备资源的高效利用。

3.部署IDS/IPS入侵检测/防御系统, 有条件的情况下, 在防火墙的内网区、外网区和DMZ区域都要部署入侵检测/防御系统, 以实时检测来自外网的入侵行为。

4.建立统一的应用代理服务器用于与其它分支网络构建统一接入平台, 应用代理服务器作为所有应用服务的代理, 通过代理进行更严格的应用数据流检查和过滤, 有利于外网接入模块的标准化和可扩展性的提升。

5.在与互联网连接的企业网络边缘部署路由器, 并通过在路由器入口进行数据流的过滤, 路由器对大多数攻击提供了过滤器, 同时进行RFC1918和RFC2827过滤, 作为对过滤的验证, 路由器还应丢弃‘碎片’的数据包。对于过滤造成的合法数据包丢弃相比这些数据包带来的安全风险是值得的。

(二) 远程接入模块

远程接入模块的主要目标有三个:从远程用户端接VPN信息流、为从远程站点VPN信息流提供一个集线器以及拨号用户。远程接入模块面临的主要安全威胁有口令攻击、未授权接入和中间人攻击等。此模块的核心要求是拥有三个独立外部用户服务验证和端接, 对于此模块来说信息流的来源是来自于企业网络外的不可信源, 因此要为这三种服务的每一种提供一个防火墙上的独立接口。

1.远程接入VPN, 远程接入VPN推荐使用IPSec协议。此服务的安全管理是通过将所有IPSec的安全参数从中央站点推向远程用户实现的。

2.拨号接入用户, AAA和一次性口令服务器可用来验证和提供口令。

3.站点间VPN, 与站点间连接相关的IP信息流在传输模式下由配置成GRE隧道来实现。

以上来自三种服务的信息流应集中接入到防火墙的一个专用接口上。条件允许时在防火墙的内口或外口部署IDS/IPS系统, 以检测可能的攻击行为。

四、模块之间的相互关系

采用模块化设计时, 不是简单地将网络安全设计分解成各个孤立的模块, 各模块之间紧密联系, 其安全防护措施也直接影响到其它模块的安全。

管理模块是整个网络安全体系的核心、位于其它所有模块的最顶层。网络安全体系的建立, 应该首先建立管理模块的安全结构。它相对于其它模块有着很大的独立性, 但它是建立其它模块安全结构的基础和前提。

核心模块、服务器模块和分布层模块构成企业网络的内部网络。这三个模块主要防范来自企业网内部的安全威胁:分布层模块提供了针对内部发起攻击的第一道防线;核心模块的主要目标是线速的转发数据流, 其安全性主要依赖于核心模块交换设备本身的安全设置以及分布层模块的安全防护;服务器模块往往会成为内部攻击的主要目标, 安全性除了自身的安全措施和分布层模块的安全防护外, 严格的安全管理是极为重要的。

边界接入模块是连接企业内网和外部接入网的桥梁和纽带。边界接入模块在外部接入网安全措施的基础上, 为企业内网提供附加的安全功能。外部接入网为企业内网提供了第一道安全防线, 也是外网接入企业网内网统一的接入平台。模块化的设计将复杂的大型网络划分为几个相对简单的模块, 以模块为基本单位构筑整个网络的安全体系结构。使用模块化的网络安全设计能够很容易实现单个模块的安全功能, 并实现模块与模块间的安全关系, 从而在整个企业网络中形成分层次的纵深防御体系。还能够使设计者进行逐个模块的安全风险评估和实施安全, 而非试图在一个阶段就完成整个体系结构。

摘要：近年来随着企业信息化建设步伐的加快, 业务需求成倍增加, 企业对信息化重视程度的提升, 导致企业网络规模越来越大、结构也越来越复杂。目前企业网络主要存在如下问题:网络边界不够清晰;对内网安全需求缺乏统一规划;没能对核心业务系统进行很好的访问控制;各接入系统之间没有进行明确访问控制, 局部安全问题容易威胁到整网安全。本文通过阐述模块化特性, 将整个网络以模块形式分为多个安全域, 通过安全域的划分, 从纵深的角度全盘考虑安全的部署和应用, 利用模块化的方法构筑大型企业网络的安全体系结构, 以灵活的适应不断变化的网络安全需求。

关键词：企业,网络,系统,安全,虚拟化,信息化

参考文献

[1]崔国庆.计算机网络安全技术与防护的研究.电脑知识与技术, 2009年9月.

[2]Diane Teare著.园区网络设计.人民邮电出版社, 2007年2月第一版.

企业局域网络模块安全 篇3

对于常规考核, 通过网线将服务器与考试终端连接起来就可以了, 然而在一些有场地要求考核中, 比如职业技能鉴定的考核中有一项非常重要的考核—实际操作考核, 考评人员需要在车间进行评分, 并且在考核过程中要注意其每一步操作从而进行评分, 如果使用网线整个考场将变得杂乱无章。此时, 可以借助于无线网络, 将终端设备与服务器进行连接。所以, 架构一种安全的基于无线网络的考核系统将非常有利于考核的组织。

1 系统的总体架构

无线网络考核系统主要包含三大组成部分:服务器、信息传输设备和客户端, 如图1所示。

服务器是整个系统的核心, 是整个系统的心脏。主要负责考评员以及考生的管理、题库管理、考试组卷、成绩管理等。

信息传输设备, 是连接服务器和终端设备之间的桥梁, 主要有交换机和无线路由器。、

考试终端, 大致分为两类:一类是作为考生答题用机的考试端;一类是考评员随身携带的实操考核的评分端 (如PDA等便携式移动终端) 。

2 系统主要功能的设计

基于B/S的Web结构具有非常严密的安全性, 在客户端基本不需要安装任何应用程序, 并且借助于网络, 使得考试在本地和异地都可以运行, 大大扩展了考试的灵活性, 所以采用B/S结构。

根据功能的不同, 整个系统分为考务管理模块和安全管理模块。

2.1 考务基本管理模块

目前, 关于考务基本管理实现方法的相关研究很多, 这里就不一一叙述。在开发过程中主要在组卷上进行了优化:在试卷生成的时候, 设置组卷策略, 根据随即因子由系统为每位考生生成不同的试卷。

2.2 安全管理模块

对于无线路由器来说只要终端在其信号覆盖范围内, 就可以通过该路由器访问服务器的信息。虽然无线路由器可以设置密钥, 但是一旦非法入侵者破解了该密钥, 那么所有的数据都将被入侵者获得, 那么后果将不堪设想。

由哈希函数生成的哈希函数链具有不可逆推的单向性, 为此, 设计了一个基于无线网络的实时密钥管理机制。

根据功能和角色的不同, 整个模型由服务器、合法用户和非法入侵者三部分组成, 如图2所示:

在本模型中:S代表服务器, 主要对系统中的密钥进行管理和维护以及为合法的终端提供服务;MEM指的是合法的用户终端;AT为向系统进行攻击的非法终端。

在第一次使用该考核系统时, 服务器和客户端首先进行初始化;然后考核终端向服务器的密钥管理系统进行注册;注册成功后, 服务器的密钥管理系统为合理的考核终端分发密钥使其成为合法考核终端;考核开始后, 考核终端向服务器发送验证信息, 经过服务器确认该终端的合法性后为该用户更新新的密钥, 并提供相应的服务。

本协议中涉及到的符号表示如下:

Hi (X) 表示对参数X进行i次哈希运算的结果;

REQ表示考核终端的申请注册信息;

REQi表示服务器在进行第i次服务时, 考核终端申请该次服务时的申请信息。

E是一种公钥加密算法;D表示公钥解密算法;F表示对称加密算法;

DF表示相应的对称解密算法;TA表示系统中服务器的ID, 用以标识服务器。

服务器中的密钥管理系统主要负责利用哈希函数根据具体需求产生相应的函数链, 用于加密服务信息以及对密钥更新时的信息进行认证。

1) 系统初始化

服务器端的密钥管理系统选择随机数R和S, 根据服务的次数n分别生成哈希链:

两个哈希链分别用于密钥的分发和密钥更新时生成验证信息。

密钥管理系统根据自己的非对称加密算法, 产生一个密钥对 (a, e) 。其中a作为私钥, e作为公钥并将其广播。当合法的考核终端Zi需要享有服务器的服务时, 根据非对称算法产生密钥对 (bi, ci) (bi为私钥, ci为公钥) 用于与服务器进行信息的交互。

2) 申请注册

考核终端向密钥管理系统进行注册的过程如下:

考核终端Zi对自己的身份信息Zi以及申请注册信息REQ进行处理后得到加密的申请信息Q, 将其发送到服务器。服务器的密钥管理系统对收到的信息Q解密, 得到P=Da (Q) , 获得考核终端的申请注册信息REQ。

3) 密钥的分发

服务器开始服务时, 服务器为考核终端Li发送服务密钥的过程为:

在第i次服务时, 密钥分发过程如下:

服务器刚开始服务时, 服务器用合法客户终端Li的公钥ci加密信息TA和第一次的服务密钥, 得到经过加密处理的信息K。相应的终端得到服务器发送的信息K时, 用私钥bi对其进行解密, 获得本次服务的会话密钥Hn (R) 。

在第i次服务时, 密钥管理系统使用上一次服务的密钥加密新的服务密钥Hn-i+1 (R) , 生成加密信息C。然后用对应验证哈希函数链中的Hn-i+2 (S) 作为密钥处理信息 (TA, C) 得到认证码MACi1。最后, 用Hn-i+2 (R) 作为密钥处理信息 (TA, C, MACi1) 得到认证码MA-Ci2, 服务器将信息 (TA, C, MACi1, MACi2) 发给终端L, 终端L收到信息 (TA, C, MACi1, MACi2) 后, 以Hn-i+2 (R) 作为密钥验证MACi2是否正确, 解密信息C得到Hn-i+1 (R) , 然后对H (Hn-i+1 (R) ) 和Hn-i+2 (R) 进行比较, 若相同, 并且消息认证码MACi2正确则确认服务确实来源于服务器, 用Hn-i+1 (R) 作为新的服务密钥。

4) 考核终端的随机加入

Z:注册和申请 (过程同2) )

服务器对新的终端Z进行认证后 (服务器处于第j次服务) , 用Z的公钥c加密身份信息和此时的会话密钥, 并将得到的加密信息M发送到终端Z。Z接收到信息K时, 用自己的私钥对其进行解密, 获得此时的会话密钥Hn-k+1 (R) 。从而进入整个系统的服务过程中。

5) 安全性分析

在密钥的分发和更新过程中, 考核终端和服务器之间经过多次相互验证建立可靠的信任关系。每次密钥更新, 考核终端都对从服务器接收到的信息进行认证检测, 错误的或经过篡改信息不会得到正确的验证码, 从而实现了密钥在线分发的安全性和可靠性, 有效防止了非法终端等的恶意破坏行为, 也提高了系统的工作效率。

由于哈希函数链的单向性, 即使非法用户通过某种途径得到过时的密钥也不可能计算出下一个新的密钥, 进而保证了密钥管理的前向安全性。

3 小结

无线网络考核系统以其便捷的优点, 大大方便了整个考试的组织, 将成为各级单位和组织考核的主流形式。本文为大家构建了一个基于无线网络的考核系统的模型, 并针对于其在在线性、动态性、安全性方面的三个要求。根据哈希函数的单向性, 建立了一种实时密钥管理机制, 实现了信息安全传输, 保证了整个系统的安全性。

参考文献

[1]Schneier B.应用密码学[M].吴世忠, 译.北京:机械工业出版社, 2000:120-122.

[2]王巍.多播安全中群组密钥管理方案的研究与设计[D].西安:西安电子科技大学, 2005:8-12.

[3]Hankerson D, Menezes A, Vanstone S.椭圆曲线密码学导论[M].张焕国, 译.北京:电子工业出版社, 2005:63-86.

[4]Stinson D R.密码学原理与实践[M].2版.冯登国, 译.北京:电子工业出版社, 2003:56-58.

[5]Wang C, Carzaniga A, Evans D, et al.Security Issues and Requirements for Internet-Scale Publish-Subscribe Systems[C].Hawaii Interna tional Conference on System Sciences, 2002:6-12.

[6]Buchegger S, J-Y.Le Boudec.Nodes Bearing Grudges:Towards Routing Security, Fairness and Robustness in Mobile Ad Hoc Networks[C].Proceedings of Tenth Euromicro Workshop on Parallel Distributed and Network-based Processing, 2002:15-17.

[7]毛剑.广播信道下会议密钥建立及其应用研究[D].西安:西安电子科技大学, 2004:12-13.

[8]Noar D, Noar M, Lotspiech J.Revocation and Tracing Routines for Stateless Receivers[C].Lecture Notes in Computer Science, Advances in Cryptology, Springer-Verlag, 2139, 2001:5-6.

[9]蒋延杰.无线网络组群通信中密钥管理方案的设计与实现[C].2008年中国高校通信类院系学术研讨会论文集 (下册) , 2009.

企业局域网络模块安全 篇4

随着网络应用的范围不断延伸,我们在日常工作、学习和生活中越来越离不开网络,因此,网络安全威胁是我们急需解决的问题。在网络威胁中,身份被窃取是非常严重的问题,如果网络用户身份被窃取那么极易造成财产的损失。人脸特征识别在网络安全应用中,利用人脸的差异化提高网络个人身份的甄别能力具有一定的可行性。

1网络安全人脸特征采集与传输

人脸识别系统首先要对人脸信息进行视频采集并传输到人脸检测模块中进行人脸识别,因此,网络安全人脸特征采集与传输流程如图1所示:

在人脸识别系统启动后,通过网络摄像头实时浏览监控画面,在需要对画面进行人脸采集时,首先对监控画面进行锁定解析参数,并初始化,创建视频采集线程,监控区域的画面通过Socket通信方式将图像发送到人脸检测模块,此过程两端服务器要完成一次图像数据网络传输,等待图像数据全部传输完成后, 停止图像信息采集,释放内存,进入人脸检测识别流程。

2人脸检测模块设计

本文所设计的人脸检测模块是要在给定图像中确定出人脸, 设计要求是需要无论人脸在图像中的任何位置、方向或者光照条件下都能够准确的识别出人脸。同时,人脸检测的检测效率是检测模块的重要指标,所以利用Canny算子边缘检测排除人脸图像中的大部分非人脸图像,利用Ada Boost算法从弱特征中选取分类能力强的特征组成强分类器的方法设计新的分类器,实现具有高检测率和高计算量的人脸检测模块。

2.1 Canny算子边缘检测

Canny算子是一种边缘检测算子,其在图像处理领域具有良好的表现。Canny算子选择一定的Guass滤波器进行平滑滤波, 再利用非极值抑制技术对图像进行处理,最后得到边缘图像。 Canny边缘检测的准确性指标主要包括低失误率、高定位精度和边缘唯一响应。Canny算子边缘检测基理是将图像边缘检测转化为求单位函数极大值,所以Canny边缘检测的准确性指标用数学表达式表达如下:

低失误率信噪比数学表达式为:

f(x)是图像边界为[- w ,+ w ]的滤波器脉冲响应;G(-x) 为图像边缘函数;σ为高斯噪声均方差。低失误率信噪比数值越大,则图像边缘检测质量就越高。

高定位精度数学表达式为:

f`(x)为f(x)的一阶导数,G`(-x)为G(-x)的一阶导数。Localization值越大,则图像边缘检测的定位精度就越高。

边缘唯一响应是要保证图像单边缘只有一个像素响应,数学表达式为:

D(f`)为检测算子脉冲响应导数零交叉点平均距离,其需要满足f`2(x)为f(x)的二阶导数。

通过数学表达式可知可利用泛函数求导方法,建立图像边缘定位精度和信噪比乘积的表达式近似Gaussian函数一阶导数求值。设Gn为Gaussian函数在任意方向n上的一阶导数

人脸边缘检测是利用人脸面部表情、五官特征等边缘的特殊性进行Canny边缘检测。在检测图像上以e作为边缘检测值,在图像搜索窗口在人脸图像样本上进行人脸搜索时,e的值随着图像上是否为人脸部位而发生值得变化,当e小于某一阈值,该阈值为设定非人脸值,值范围为0-255,则表示该区域为非人脸区域,如果当e大于该阈值则表示检测窗口识别区有充足人脸信息, 则表示该区域为人脸区域。通过这种方法可排除图像中大部分非人脸图像。

2.2 Ada Boost算法

Ada Boost算法是基于Boosting算法的基础上构建起的分类器算法。Boosting算法是一种概率近似正确学习模型理论概念, 可以提高任意给定学习算法的准确度,Boosting构建一个预测函数系列,在Boosting框架中对样本集进行训练,得到不同的训练样本子集,并生成基分类器。在给定训练轮数n,生成n个基分类器,对其进行加权融合生成识别率较高的分类器。Boosting算法在实际应用中需要确定弱分类算法分类正确率的下限,这对于复杂样本集来说存在较大的难度。由此引入Ada Boost算法, Ada Boost算法是Boosting算法的改进算法,其通过迭加boost的方法构建起一个强分类器,由此降低弱分类错误率。

Ada Boost算法描述如下:

初始化D1(i)=1/m

t=1,...,T:

使用弱分类器训练Dt,假设得到ht:X→{-1,+1}结果错误,

数据:

输出结果为:

将Ada Boost算法应用于人脸模块,根据人脸与非人脸区分性进行大量简单的特征提取。再将所提取的特征建立一维简单分类器, 最后将所有的一维简单分类器进行组合实现人脸识别的准确性。

本文中,利用Haarlike的五种特征结构,建立矩形特征分类器,分别用白色与黑色区域像素和作为特征值,每个特征值是一个用于人脸检测的弱分类器,分类器内容中包含分类器类型、分类器特征和分类器坐标。

如果每次对分类器特征进行计算时,采用积分图计算特征值, 反复扫描黑白两区域的像素值之和,由于分类器数量较大,所以检测人脸效率低下。如果采用积分图模式计算特征值,扫描黑白两区域的像素值之和仅需一次则将提高人脸检测效率。采用积分图模式计算特征值可以设任意区域的像素值i(x,y)=s(x4,y4) +s(x1,y1)-s(x3,y3)-s(x2,y2),其中s(x,y)为任意区域各像素点的值和积分图。利用Adaboost算法在大量分类器中选择相匹配的弱分类器组合成一个强分类器(hi为对每个特征fi训练的一个弱分类器,T为处置时间),用其判断该区域是否为人脸区域。这种方式虽然相比采用积分图计算特征值耗时较短,但仍未达到人脸检测最佳效率,为此,可将所训练的分类器分成若干级,建立Cascade结构的级联分类器,则无需进行大量的计算,进而能大大缩减人脸检测的时间,提高计算速度。

3检测结果分析

测试模块检测的准确性采用不同光照下的动态视频和不同角度的流动性人脸图像进行测试,在FERET,CMU与ORL人脸库中提取不同环境条件下的人脸图像样本2000个作为正本, 再选取5000个具有代表性的非人脸图像作为副副本,统一裁剪至24×24像素,作为初始训练库,对其进行训练,并以样本扩张策略,最终制成10000个样本的新库。检测过程中,视频流中的每帧图像大小384×288像素,检测结果该检测模块检测速度为32帧/秒,人脸检测率97.6%,检测结果表明该模块在人脸识别功能上满足设计需求。具有较好的人脸检测效果。

4结语

动态人脸检测是现代化生产活动中广泛应用的一项系统工程,由此,动态人脸检测的处理效率与检测识别效率是人脸识别系统的关键环节,本文所设计的人脸检测模块利用Canny边缘检测,先排除动态图像中大量的非人脸图像部分,确定人脸区域,再运行Adaboost算法完成人脸检测。系统实验结果也表明,该检测模块可以实现动态视频监控人脸检测功能,并能够在不同环境下、不同角度下较好的完成人脸检测工作,具有人脸检测实时性和准确性,可达到实际生产需求,具有较好的市场应用前景。

参考文献

[1]廖红文,周德龙.AdaB oost及其改进算法综述[J].计算机系统应用.2012.

[2]陈勇飞,刘新明.基于肤色和类Harr特征的人脸图像的人眼检测[J].计算机工程与应用.2008.

[3]代毅,肖国强,宋刚.隐马尔可夫后处理模型在视频人脸识别中的应用[J].计算机应用.2010.

[4]高翔,张薇娟.人脸识别系统的构建[J].琼州学院学报.2010.

[5]常俊彦,达飞鹏,蔡亮.基于特征融合的三维人脸识别[J].东南大学学报(自然科学版).2011.

企业局域网络模块安全 篇5

通过系统模型图可以看出, 通用入侵检测系统模型对已知的入侵行为和具有某些特定特点的非法侵入具有良好的防御效果, 但在运行时往往因误报率高而影响系统的性能。本文为提升入侵检测系统的性能, 将“集成性、合作性、选择性”思想运用到入侵检测系统的实现中, 以有效解决以往检测方法在防御效果上的缺陷。

1 入侵检测系统分析模块

该分析模块包括“协议解码与分析模块”。协议解码是对TCP/IP协议进行解码, 然后转为简单便利、适于识别的入侵检测编码形式或数据结构, 方便IDS正确检测入侵攻击行为。而分析模块则是高效利用并充分挖掘“网络协议的高度有序性、高速数据包捕捉、协议分析、命令解析”的功能特性, 快速有效地检测某个攻击特征的存在性 (计算量低) 。其具体分析流程如图2所示。

2 入侵检测系统响应模块

该入侵检测系统响应模块依据通用的响应类型将其分为主动响应与被动响应, 其具体结构如图3所示。

响应是指当入侵检测系统检测发现入侵行为时, 自身即刻产生的一系列直接反映动作。从类型看, 入侵检测系统的响应分为“主动响应”和“被动响应”两种。主动响应属于自动反击, 能够自动依据系统设置或用户设置的方式来阻断或影响攻击过程;而被动响应则依据紧急程度为用户提供入侵信息, 由系统管理员根据不同状况进行处理, 实时性较差但安全且容易维护, 两者各有优点。入侵检测系统分析模块的设计有效结合两者的优点, 协议解码模块将数据发送到协议分析模块后, 针对模式库中已有的较常见的攻击类型和方式, 预先设计动作实施主动响应处理;对于模式库没有但通过异常算法检测到的攻击则保存连接数据进行报告, 通过被动响应及时进行进一步处理。

3 入侵检测系统模块间的通信

该入侵检测系统模块所采用的通信机制为多线程技术与进程间的套接字通信机制。其具体通信原理如图4所示。

传感器上包含的入侵检测模块与日志服务程序, 同属于本机的两个进程, 在通信的加密问题不需要过多考虑, 所以采用域套接字进行本地通信 (域套接字的优点是速度快, 属于本机进程间通信较好的方案, 通常要比使用TCP套接字快1倍) 。日志服务程序的功能是“代理”, 即“转发”, 它与数据中心属于远程通信, 因此连接采用可靠的面向连接的TCP套接字 (加密) , 以保证敏感信息不会被窃取与篡改, 有效提升系统的安全性。因服务程序与远程数据中心采用TCP套接字进行通信的速度相对较慢 (入侵检测模块发出的报警信息由服务程序接收, 而后转发到远程的数据中心) 。考虑到通信同步问题, 在设计时采用“报警队列”并用线程互斥锁 (pthread mutex) 对临界资源同步访问加以解决。

4 入侵检测系统的工作流程

检测系统的工作模式, 由用户进入友好界面设置初始值确定。系统运行时的相关操作, 是通过消息映射机制调用具体的库函数实现的。具体工作流程如图5所示。

首先, 执行主函数体 (命令参数解析与各种标志符的设置) , 执行的同时主函数体会调用相关程序对“预处理模块、日志报警输出模块、规则选项关键字模块”进行初始化。其次, 主函数调用规则解析进程 (构造一个二维链表) 。最后, 主函数通过数据包捕获模块完成启动数据包捕获与处理过程。

数据包捕获模块可以从文件读取数据进行分析, 也可以实时采集网络数据, 采取两大步骤对数据包进行处理:第一步, 调用各种网络协议解析函数, 有效分析和全面剖析当前数据包分层协议格式字段, 并把分析结果存入重要数据结构Packet。第二步, 对当前所截获的数据包调用“预处理模块、检测引擎模块”进行模式匹配与综合分析, 在此基础上, 提升是否发生入侵行为的有效判断。如果当前数据包符合某条检测规则所指定的情况时, 系统会依据该规则所定义的响应方式及输出模块的初始化定义情况来选择日志记录与报警操作。

5 结束语

本文中笔者依据所学入侵检测相关知识建立一个较为粗略的入侵检测体系理论模型框架, 设计的细化与完整的方案构建还需要日后不断的研究。

(1) 需要进一步来完善该系统, 通过增大系统的规则库保障系统能够有效检测更多的网络入侵行为。如果有可能应将人工智能与统计学有效运用到该系统的开发中以提升系统的智能化 (神经网络、遗传算法、免疫技术) 。

(2) 需要进一步来完善系统与网络安全设备的互操作性 (防火墙) , 保障该系统能够有效作用于其他设备。伴随互联网接入技术的高速发展, 网络带宽的增加对需要进一步来开发基于大流量高速网络的较为完整入侵检测系统体系提出了更高要求。

摘要：在目前信息社会中伴随网络黑客的猖撅与其入侵手段的隐蔽所带来的巨大损失, 网络安全受到了人们前所未有的重视。入侵检测技术逐步成为当前网络安全防范领域的研究重点, 通过模块的设计研究, 提升入侵检测系统的性能, 以主动的安全防护技术, 巩固信息安全结构基础, 达到系统有效对付网络攻击的目的。

关键词：网络安全,入侵检测技术,信息安全

参考文献

[1]高晶辉.基于SVM的网络入侵检测系统模型分析[J].牡丹江师范学院学报 (自然科学版) .2010 (04) .

[2]张婷婷, 赵京胜.一种基于神经网络的入侵检测系统研究[J].计算机安全.2010 (08) .

企业局域网络模块安全 篇6

关键词：网络信息安全与防御,课程改革,项目化教学

《网络信息安全与防御》是一门以信息安全为中心的综合型课程,一般放在毕业前最后一个学期开设,前导课程有《计算机网络》、《操作系统》、《网络管理》等,是这些课程在安全方面的一个提升。

随着互联网的快速发展,电子商务的普及,人们关心的不再单是会用电脑,还要用好电脑,既享受网上购物,网上资源共享的便利,又要维护自己的财产,私人信息等方面的安全,随着网络安全理念的不断深入,这方面的知识会越来越得到大家的重视和认可。但同时由于信息系统协议的先天不足,操作系统本身的脆弱性和多样性,网络攻击技术手段的日异多样、复杂, 信息安全、网络安全的问题也日趋严重。往大的方面说,信息安全可上升到国家的安全,未来的战争,除了真枪实弹的军事战,还有看不见硝烟的经济战、信息战,得信息者得天下;往小的方面说,信息安全涉及每个老百姓的切身利益,信息社会,每个人的生活都离不开网络,也无法忽视网络安全,信息安全的影响。

综上所述,网络信息交流现已是生活中必不可少的一个环节,网络安全已经由花瓶式的存在变得越来越受重视了,掌握网络安全技术及发展势在必行,计算机专业及相近专业的学生,毕业以后一般将工作在各行各业计算机应用的最前线,特别是其中跟网络关系密切的专业,如移动应用专业,物联网专业,安防专业,电子商务等专业的学生,培养安全意识,掌握网络与信息安全方面的知识迫在眉睫。

目前开设这门课程的比较多,针对职业院校,以下简称职院,我觉得如下方面需要引起关注。

1教学目的要强调安全意识的培养

《网络信息安全与防御》课程是一门以信息安全为中心的综合型课程,通过学习,培养网络安全的意识,熟悉网络安全的手段和方法,提高网络安全的技术和技能。而实际情况是一般职院的网络类课程都比较重视设备的投入,轻安全意识的培养,而这门课就是要填补这方面的不足,着重于培养学生的安全意识,特别是在学习过程的攻防练习,让学生对网络怀有敬畏之心,平时做好安全防范工作。曾经有一个学期,每次的课后作业都有一项,关注每周的网络安全事件,然后在下次课前几分钟进行讲述,结果一个学期下来,几乎每周都不带重复的, 认识到外部形势是如此的严峻,学生自然对网络安全更加重视,更具网络安全意识。

2教学内容的取舍

《网络信息安全与防御》课程需要紧跟计算机发展,及时更新讲授内容。网络安全有个特点,就是相关工具特别多,随便上网一搜,工具满天飞,而且都标明自己如何强大,但实际上这些工具的时效性比较强,与操作系统密切相关,随着计算机软件的发展,操作系统的升级,一些以前很管用的工具对现在的操作系统来说,就相当于毒蛇拔掉了毒牙,威力不大,所以这门课要追求一个“新”字,及时屏弃掉旧的内容,根据新的形势下增加新的教学内容,比如网上支付安全,移动支付安全,wifi安全等方面的内容。同时,该课程非常适合模块化教学,根据教学对象的不同,教学要求的不同,攻防演练,杀毒软件,防火墙, 数据加密,系统安全,数据库的安全,存储安全,访问控制安全等模块可以任意组合授课。

3理论与实践的比例

本科院校,可以系统地介绍安全方面的理论体系,辅以实践验证,但针对高职院校,课时安排可适时提高理论教学的比例。而高职院校课程以实际应用为开设目的,应该加强实践方面的投入,理论与实践达到1:1甚至1:1.2,学生了解常见的网络漏洞和网络攻击手段,掌握非对称公钥,SSL。VPN,ipsec等网络防御手段,能对整个网络系统的安全防御进行规划,并有较强的实施能力。相应地,由于实践环节的增强,教学内容的改变,考核也可从纸质化的考核理论知识过渡到过程考核。设计若干项目,根据完成情况对学生进行考核。

4项目化教学的组织

《网络信息安全与防御》课程操作性强,模块化明显,模块之间关联度不高,非常适合开展项目化教学,采用项目化教学能充分调动学生学习这门课程的积极性,提高学生的参与度, 培训学生的理性思维和实际操作能力,下面谈谈我对这门课采取项目化教学的一些教研教改实践。

4.1学习形式,采取传统项目与自主项目相结合

开展项目模块化学习,除了由老师授课的传统项目外,新增自主学习项目。

1)传统项目

传统项目包括如下内容:系统攻击方法简介,计算机病毒, 防火墙技术,数据加密技术,其中以系统攻击方法简介和数据加密技术为重点讲解内容。与这些内容配套的有八个项目需要完成。它们是:扫描器的使用及端口关闭,ipsec的设置及验证;arp欺骗及探查,口令破解及嗅探,ddos攻击,pgp软件的使用,SSL的设置等,其中还包括一篇论文的撰写,即网上银行的安全或wifi安全。

2)自主学习项目

增加自主学习项目的目的是将知识打包,将一些零星地安全方面的方法、技巧进行汇总后以课题的形式交给学生独立完成。学生在学习完传统项目后,对网络安全的一些术语,理论体系已经有了基本的概念,也掌握了一些研究问题,解决问题的方法,对实验报告的撰写也已经驾轻就熟,在这种情况下开展自主课题学习,其一是培养学生的自学能力,文献搜索、汇总组织能力,其二也是对传统项目中学到的知识,掌握的能力的一次独立应用,对整个课程的一个总结。

自主学习项目会占到四周的时间,会有八个项目,分别涉及安全领域的系统工具,密码学,常用软件,服务器配置等方面,全班分为八个小组,每个小组一个课题,每组课题不得重复,由每个小组带领全班进行课题相关内容的学习,时间为两课时。

作为老师,在传统项目中是主导者,主导知识的讲授,软件的示范,手把手教他们如何设计一个实验,如何验证,如何撰写实验报告等,会抽专门的时间,逐一地对实训报告当堂讲解,指出每份实训报告好的地方,有待加强的地方,步骤的前后次序是否合理,是否有图有真相。经过若干次这么循环下来,学生做实验时的观察能力,对实验过程及结果的记录能力,对问题如何展开进行验证方面的能力都有提高,为自主项目的学习打下了基础。

作为老师,在自主项目中是引导者,就是学会给学生提要求,学会放权,在给学生细化了课题内容和相关范围,指出需要提交的资料后,其他的交给学生去完成。

下面是我提交给学生的自主课题清单:

4.2考核形式采取平时考核与过程考核相结合,重视学生任务细化及现场操作能力的培养

采用无纸化考核,由平时考核与过程考核相结合。过程考核即对传统项目和自主项目进行考核。

1)传统项目考核

传统项目考核的内容为每组的实验报告,为防止学生实验不做,最后拷贝其他组的实验报告的情况,课堂上实验的实际操作情况也在考核之列。

2)自主学习项目考核

(1)由学生细分任务

根据每个课题的要求,需要学生将其分解为四到五个任务,每个学生至少负责其中一项任务的现场演示。既避免以前个别学生包场,组里其他人打酱油的局面,也不会出现轮着来念PPT的情况,整体氛围就是鼓励学生动手,多动手,带着想法地动手。如“EFS加密与保障”课题,学生根据课题要求进行了如此的任务细化。

(2)课题需上交的资料

每组需要提交PPT和实验报告,相关操作的视频录像。

紧紧抓住任务细分这根主线,实验报告要求按细分的课题任务进行组织,要求截图,有文字说明,视频也按课题任务分别录制,有几个任务就录制几个视频。提交的PPT就相当于一场晚会中主持人的串讲词,主要包含细分任务操作将达到的目的,任务操作时需要注意的地方,操作的思路等,再加上开头对课题的说明,要求,最后加上课题的总结,给同学的练习题等内容就可以了。

(3)课题的评价

由学生上台进行演讲,演示,并带领全班一起练习,最终相互评分。学生的评分加上老师的评分,进行综合后,得出最后的评分。

对此,我设计了如下的表格:

其他组给主讲组的评价:

主讲组对其余各组练习的评价:

4.3自主学习中需要注意的几点

1)如何提高每个组对非本组课题的关注度

自主项目的学习由于是一组一个课题,所以常常会看到学生对自己的课题非常在意,投入较多,但对其他的课题关注度不够,如何提高学生对其他项目的参与度是关键。为此,我多次进行了尝试,最后选择了由学生对其他组出练习题并评价的方法,练习题就是细化的任务中的一个或几个,这就要求其他组认真听讲,操作,实施下来感觉效果较好,其他组的学生参与度提高了不少。

2)老师在自主课题中“度”的把握

一是充分放手,二是及时辅导。确定课题后,老师会对每课题开讲前,老师应及时督促学生进度,与学生多次沟通,若学生反馈有难度,会提供若干资料和答疑辅导。总而言之,自主课题并不是让学生自生自灭,而是让学生熟悉这么一套学习的流程:明确任务,查阅资料,团队协作,及时请教,最终达到完成任务和自我提升的目的。

自从采用传统项目加自主项目相结合的教学模式以来,由于课程实践性强,内容也挑起了学生的兴趣,学生的学习积极性和参与度随着课程的深入,有了长足的进步,课堂气氛比较好,特别是进入自主项目阶段,平时学习依赖性很强的学生,这时也积极参与,让老师眼前一亮,有的学生总结的资料,投入的热情,甚至能让老师有惊喜,达到了教学相长的目的。通过该模式,培养了学生自主搜索资料,整合资料地能力,培养了学生的自学能力,给了学生一个展示自己的舞台。同时,老师也需要在课题的精选、学生提交的资料、课堂提问等方面不断地进行改进、调整该套教学模式,使它的可操作性变得越来越强,达到预期的教学目的。

5结束语