当前位置:文档之家› 网络安全技术研究及其在工程中的应用

网络安全技术研究及其在工程中的应用

1
分类号 秘级
UDC 编号 10386
福 州 大 学
工程硕士研究生学位论文
网络安全技术研究及其在工程建设中的应用
学科专业 信息与通信工程
作者 丁大明
单位 福建省电信公司
指导老师 余轮教授
研究方向 网络安全
完成时间 2003 年 5 月
2003 年 6 月2
目 录
第一章 前 言 1
第二章 IP 网安全设计的总体目标 8
2 . 1 整体安全设计及关键技术 8
2 . 1 . 1 整体安全设计原则 8
2 . 1 . 2 整体安全设计内容 9
2 . 2 总体目标 11
第三章 构建防病毒体系 13
3 . 1 引言 1 3
3 . 2 病毒风险分析 1 4
3 . 3 防病毒需求分析 1 4
3 . 4 实现目标 1 5
3 . 5 采取的措施与结果 1 6
第四章 漏洞扫描技术的应用 19
4 . 1 引言 1 9
4 . 2 漏洞扫描的实施 2 0
4 . 3 全网扫描策略 2 2
4 . 4 存活地址的判定 2 5
4 . 5 扫描主机和网络设备统计 2 5
4 . 6 扫描结果 2 6
4 . 7 漏洞分布情况 2 7
4 . 8 扫描结果分析 3 0
4 . 9 针对扫描结果采取的措施 3 1
第五章 防火墙技术的应用 32
5 . 1 引言 3 2
5 . 2 防火墙的局限性 3 9
5 . 3 防火墙的实际部署 4 0
5 . 3 . 1 总体设计思路与原则 4 0
5 . 3 . 2 总体框架及部署 4 1
5 . 3 . 3 防火墙部署方案 4 3
第六章 入侵检测技术的应用 44
6 . 1 . 引言 4 4
6 . 2 I D S 系统的总体框架及部署 4 9
6.3 IDS 与防火墙的安全响应联动 5 1
6 . 4 如何评价一个 IDS 系统 5 2
第七章 数据冗灾备份 54
7 . 1 冗灾系统的重要性 5 4
7 . 2 系统架构 5 5
7 . 3 备份介质的选择 5 7
7 . 4 备份策略 5 8
7 . 5 灾难恢复 5 93
7 . 6 推荐备份方案 6 0
第八章认证体系的安全保障 62
8 . 1 认证专网的安全性考虑 6 2
8 . 2 系统操作员的认证 6 3
结 语 6 5
附录一 国际安全标准 ISO 15408 简介 66
附录二 国际安全标准 BS7799 简介 68
附录三 P
2
D R 动态安全模型简介 6 9
附录四 全面防护安全模型 73
参考文献 79
致 谢 8 14
网 络 安 全 技 术 研 究 及 其 在 工 程 建 设 中 的 应 用
中文摘要
随着互联网的迅速发展 网络信息资源可以高度共享 同时信息系统的安
全面临严重的挑战 由于信息安全被窃或滥用 几乎 80%的大型企业遭受损失
一方面网络系统的重要性不断提高 信息资料的泄密和丢失以及服务的中断会造
成巨大的损失 另一方面网络安全威胁的程度不断提高 攻击威力非常巨大 因
此必须采取必要的安全措施来保障网络的安全 减少损失
本文严格按照 ISO 15408 和 BS7799 国际安全标准 开展对 IP 网安全的研
究工作 在简要介绍了 IP 网安全概念 安全建设背景后 对 IP 网络安全防范技
术的发展概况作了说明 通过论述 IP 网络整体安全设计的原则和内容 设定了
网络安全设计总体目标 通过阐述国际先进的网络安全结构和技术 对

网络安全
建设中若干关键技术如 防病毒体系 漏洞扫描 入侵检测 防火墙 认证技术
以及数据冗余备份等六个方面进行解剖研究 并采用目前国际领先的安全实施策
略 对一个实际运营的 IP 网络进行实战评估
通过将研究成果运用于省一级运营 IP 网 在该网络上部署了全面安全防护
系统 取得了令人满意的效果 1.通过认证专网和 CA 认证相结合 保证了认证
体系的安全 可靠 高效 2.通过对实际网络的漏洞扫描 为网络安全评估提供
了实战经验 3.通过对入侵检测技术的研究 设计了基于网络和基于主机的入侵
检测系统 并提出了评价一个入侵检测系统的几条要求 并实际部署了入侵检测
系统与防火墙的联动 4.通过对防火墙技术的研究 提出了防火墙系统设计思路
原则 安全机制 实际部署方案 5.通过对防病毒技术的研究 提出了网络防病
毒系统建设的基本要求和实际部署 6. 综合运用研究成果 提高了网络的安全
防护能力 该网在中国电信集团公司进行的全国网络安全检查与评测中获得第
一 实际结果验证了研究成果的正确性
关键词: I P , 网络安全, 防病毒, 数据备份, C A 认证5
Technical Research of the Network Security
and Applying in Engineering Construction
A B S T R A C T
With the rapid development of Internet, the information resource can be shared
freely. But at the same time, the information system also faces the high risk of
network hacking. It is reported that almost 80% big firms have been suffered by files
stolen or information used arbitrarily. On the one hand, the system security appear
more and more important, the stolen of information or service disruption will cause
great lose, on the other hand, the hacking to the network security has become more
and more serious too. So something must be done to protect our network and reduce
lose.
By studying the theory of network security and some practical case, this thesis
proposes a total security solution for a large area and multi-level IP network.
This thesis is based on the international standard such as ISO 15408 and BS
7799 to work over network security. After introducing some network security
concepts briefly, It also explains the fact of security technology development, the
whole object of the network security and the contents of the security design. It
discusses some strong network structure and advanced technology, especially does
some detailed study to the key technology such as anti-virus, leak scan, intrusion
detection, firewall, authorize and system redundancy, etc. It also evaluates a large
area- operating network practically by adopting some advanced technology.
Base on the conclusions of this thesis, we put these solutions in practice on a
large, multi-level IP network and gain a satisfied effect: First, the integration of the
special network for authorizing

and CA authorizing technology will improve the
system security and the rate of connection. Second, the inter-active of intrusion
detection and firewall will enhance the activity. Third, the deployment of network
anti-virus system will enhance the ability of anti virus. Third, by the integration of
multi-measure, it will provide a total solution to a multi-level and complex IP network.
At last but no least, through the implement of the network security total solution, our
network has been evaluated the most secure network among the China Telecom
networks.
Key words: ip,network security,anti virus,data backup,CA
a u t h o r i z i n g1
第一章 前 言
TCP/IP 协议群在网际互联中的使用的迅速崛起 产生了通常被称为
Internet 的 由主机和网络组成的全球网际互联系统 过去的十年是 Internet
胜利大进军的十年 按它现在的发展速率预测 在未来几年 将有可能超过一百
万个计算机网络和超过十亿的用户加入 Internet 然而 最初面向研究的
Internet 和它的通信协议群是为比现在良好得多的环境而设计的 应该说 那
是一个君子的环境 用户和主机之间互相信任 志在进行自由开放的信息交换
在这样的环境里 使用 Internet 的人实际上就是创建 Internet 的人 随着时间
的推移 Internet 变得更加有用和可靠 别的人也就掺杂了进来 人越来越多
共同目标却越来越少 Internet 的初衷渐渐地被扭曲了
在当今Internet的环境中 开放性成了Internet的一把双刃剑 从Internet
诞生之日起 特别是自 90 年代它向公众开放以来 它已经成为众矢之的 1988
年 11 月 小 Robert T Morris 放出的 Internet 蠕虫染指了数千台主机 从那
时起 不断传出侵犯安全的事件报道 企图闯入系统者有之 成功闯入系统者有
之 抓住 Internet 上主机的其他种种弱点和漏洞加以利用者也有之 最近 成
千成万的口令在 Internet 上被盗取 序列数猜测的攻击手段已经被用来冒充
IP
[1]
特别要指出的是: 很早就有人知道这些易受攻击的弱点了 实际上 在网
际互联的早期 安全专家就警告过明文传送口令的危害 Morris在1985年于AT&T
贝尔实验室工作期间就详细描述了用来破解 BSD UNIX 4.2 序列数猜测的攻击手

[2]
根据 CNNIC 在 2002 年初进行的第九次中国互联网络发展状况统计调查数据
表明
[3]
在过去一年内用户计算机被入侵的情况如下
l 被入侵过 63.3%
l 没有被入侵过 29.9%
l 不知道 6.8%
从事网络安全研究的计算机紧急响应组协调中心(CERT Coordination
Center)日前发布报告称
[4]
2001 年度 其接到的有关计算机安全事故及软件安
全漏洞的报告比 2000 年增加了一倍 这再次为人们敲响了警钟
据该协调中心统计 其接到的有关计算机安全事故的报告在 2001 年达到
52658 份 比 2000 年的 21756 份

增加了一倍多 这一数字将在 2002 年再度翻番
超过 10 万份 有关软件安全漏洞的报告则在 2001 年达到 2437 份 也比 2000 年2
的 1090 份增加了一倍以上
如今 Internet 上的每一个人实际上都是脆弱的 Internet 的安全问题成了
关注的焦点 计算机和通信界一片恐慌 对安全问题的考虑 给认为 Internet
已经完全胜任商务活动的过高期望泼了一盆冷水 可能也延缓或阻碍了Internet
作为国家信息基础设施或全球信息基础设施成为大众媒体 一些调查研究表明
许多个人和公司之所以对加入 Internet 持观望态度 其主要原因就是出于安全
的考虑 与此同时 也有分析家警告商家不加入 Internet 会有什么危害
尽管众说纷纭 有一点是差不多大家都同意的 那就是 Internet 需要更多
更好的安全机制 早在 1992 年 在 IAB(Internet 体系结构理事会)的一次研讨
会上
[5]
扩充与安全就被当作关系 Internet 全局的两个最重要的问题领域了
然而安全性 特别是 Internet 的安全性 是一个很含糊的术语 不同的人可能
会有不同的理解 本质上 Internet 的安全性只能通过提供下面两方面的安全
服务来达到
[6]
1 访问控制服务用来保护计算和联网资源不被非授权使用
2 通信安全服务用来提供认证 数据机要性与完整性和各通信端的不可否认性
服务
l 信息传输安全 动态安全
l 数据加密
l 数据完整性
l 鉴别防抵赖
l 信息存储安全 静态安全
l 数据库安全
l 终端安全
l 信息的防泄密
l 信息内容审计
l 用户鉴别授权
随着网络安全技术的迅猛发展 网上的安全资源也日益丰富 目前有超过
2000 个专业介绍和提供安全技术的网站资源 如 https://www.doczj.com/doc/db10439981.html,
https://www.doczj.com/doc/db10439981.html, https://www.doczj.com/doc/db10439981.html,
https://www.doczj.com/doc/db10439981.html, https://www.doczj.com/doc/db10439981.html, 等等
一 运营 IP 网安全建设背景
运营 IP 网包含一些传统的业务类型 如计费系统 网管系统 拨号网络
专线 Web 服务器 Mail 服务器 DNS 服务器 虚拟主机 主机托管等 也包含
一些新的业务类型 如各种宽带接入 IDC 视频服务器 IP 电话 安全管理系
统 内容分发 VPN 无线网络 OA 系统 电子商务等 总的发展趋势是网络类3
型和业务种类日趋多样化 社会对网络的依赖程度越来越高 系统的重要性不断
提高 而另一方面由于这些网络公共服务系统存在大量的安全漏洞 并且网络上
提供了大量现成的攻击工具和攻击方法 新的攻击手段和病毒一旦出现可以在极
短的时间内传遍全世界 相比较而言 做为网络管理员一方面要面对庞杂的业务
工作 很难有足够的时间和精力来处理安全问题 另一方面面对众多的安全问题
也不可能全部解决 而且由于 IP 网络的原理性缺陷和法律保障体系的滞后 目
前对

于许多攻击行为很难防范 也难于追查来源和寻求法律的有效保护
[7]
一方面是网络系统的重要性的不断提高 信息资料的泄密和丢失以及服务的
中断会造成巨大的损失 另一方面网络安全威胁的程度不断提高 如宽带接入的
提供造成网络上大量漏洞主机的出现 一旦被非法利用 其攻击威力非常巨大
而阻止和发现攻击源的手段则极为有限
总之 随着 IP 网的迅速发展 由于安全问题造成的损失越来越大 因此必
须采取必要的安全措施来保障网络的安全 减少损失
IP 网的安全风险主要来自于两个方面 一方面是系统本身的安全漏洞 另
一方面是外界的安全威胁
常见的系统安全漏洞如网络数据包的明文传输 系统的弱口令 不安全的缺
省配置 各种协议弱点 各种系统和应用程序的漏洞等等 可以轻易找到大量现
成的攻击工具对这些漏洞加以利用
[8]
消除这类安全漏洞的威胁是本文讨论的一
个主要问题之一
外界的安全威胁不仅仅包括通过 Internet 直接进行的攻击 包括由于拨号
上网和双网卡连接不同网络引起的间接连接 Internet 也包括内部人员和准内
部人员 如开发商 原厂商 代理商 合作伙伴等 的攻击 后者对系统的熟悉
程度很高 所以他们对系统的误用 滥用和攻击是系统面临的主要威胁 其次是
随着各种对外开放的接口越来越多 外部攻击也会愈发严重 防范外部安全威胁
也是本文要讨论解决的一个主要问题
以福建省为例 福建电信省互联网网自投入建设以来 经过多期工程的建
设 已经覆盖了省内所有地市 在网上提供的服务是多种多样的 如信息浏览
WWW 电子邮件 Email 电子商务 网络 IP 电话 网上学习 网上炒股
在线游戏 并且随着 Internet 的迅速发展 服务的内容也在不断增加 网络日
益渗透到人们的生活 工作和学习中去 成为人们日常交流中不可缺少的组成部
分 福建电信在长期的运维过程中 总结了很多成功的经验 但是也暴露出在安
全方面的一些不足 主要体现在以下几个方面
网络
l 网络结构单一 缺乏安全层次结构4
l 路由器 交换机等设备缺少必要的安全增强
l 路由器 交换机等设备的配置修改和日常维护缺乏记录
l 路由器 交换机等设备的管理访问缺乏统一集中的认证和加密手段
l 办公网段与业务网段之间缺乏有效的访问控制
l 缺少必要的网络安全防护产品
主机系统
l 主机漏洞没有及时补丁
l 主机操作系统没有安全增强
l 缺乏必要的安全日志记录和分析手段
l 缺乏必要的安全审计策略 产品及服务
l 缺乏必要的灾后恢复策略及服务
应用系统
l 应用系统存在较多的漏洞
l 应用系统缺少必要的安全增前和性能优化
l 主机开放部分不需

要的应用服务
这些隐患导致的直接后果是 2000 年 4 月省网受到 DDOS 的攻击 引起交换
机瘫痪 服务中断 2000 年 7 月 类似事件再次发生 用户投诉密码被窃取
被盗用的现象时有发生 办公网的信息系统被病毒感染 发生意外事件时 关键
数据没有备份 入侵缺少手段事后追查等等 解决这些问题是本文要研究 探讨
的重要问题
二 网络安全发展的历程
为了减少网络安全威胁造成的损失 许多网络安全工作者和研究人员致力于
提高网络和系统抗攻击能力的各种安全防范技术的研究以及将各种防范技术用
于实际网络的应用研究 网络安全建设成为信息系统建设中重要的环节 这也促
进了网络安全技术的飞速发展
从网络安全系统建设发展历程来看 大致可以分为网络安全建设模型的发展
和网络安全技术的发展 每一次网络安全模型的完善 带动了相关的新技术的飞
速发展 同时 把各种安全产品的单一功能有机融合起来 各种安全产品互相配
合 使安全系统的功能更加强大
网络安全模型的发展大致可以分为三个阶段
静态防护模型阶段 动态防护模型阶段 全面防护模型阶段
1 静态防护安全模型
安全系统的防护可以抽象为攻击者 攻击路径和方法 被攻击对象 静态安
全模型强调对被攻击对象的安全防御能力的加固 通过加强攻击对象的抗打击能5
力 和对攻击路径的访问控制 阻断攻击行为
静态模型的建立促进了强力访问控制技术的发展 并有效融合了物理层 网
络层 系统层和应用层的访问控制技术 在一定程度上 遏制了黑客的攻击
对于 IP 网络来说 最典型和最常用的访问控制技术莫过于防火墙 防火墙
通过对网络交互双方的地址 端口等传输途径的直接阻断 控制黑客对被攻击目
标的访问 防火墙技术的发展经历了三个阶段
[9]
包过滤技术 在网络层和传输
层对通过防火墙的每一个包进行检查 阻断不符合安全规则的数据包 应用层网
关技术 从网络层到应用层对数据包进行彻底检查 阻断不符合安全规则的数据
包 状态检测技术 该技术结合了包过滤技术和应用层网管技术的优点 通过建
立状态表 对数据包进行高效 全面的检查
静态安全技术大大加强了信息系统抵抗攻击的能力 但是 静态安全防护模
型是一个静态的模型 在控制攻击路径的同时 不能够阻止正常的网络交互 而
攻击技术的发展已经可以把攻击直接伪装为正常的网络行为 例如 通过防火墙
开放端口进行攻击 这就促成了了动态安全防护模型的发展
2 动态防护安全模型
动态安全防护模型又称为动态安全可适应网络安全模型 动态安全模型强调
在静态防护的基础上 对网络行为实时监控和响应 监

控不直接控制实体之间的
通信 只是在发现有可以攻击流量时报警 并采取各种响应措施
该模型可以表现为多种形式 业界也有相关的论述 最典型表现形式莫过于
P
2
DR 模型
[10]
P
2
D R 模型示意图如右
Policy 企业的安全策略
Protect 网络防护
Detect 及时检测
Response 及时响应和处理
P
2
DR 模型是指在整体的安全策略的控制和指导下 在综合运用防护工具 如
防火墙 操作系统身份认证 加密等手段 的同时 利用检测工具 如 漏洞评
估 入侵检测等系统 了解和评估系统的安全状态 通过适当的反应将系统调整
到 最安全 和 风险最低 的状态
Protect
ResponseDetect6
传统的信息安全技术都集中在系统自身的加固和防护上 比如 采用 B 级操
作系统和数据库 在网络出口配置防火墙 在信息传输和存储是采用加密技术
使用集中的身份认证产品等等 单纯的防护技术容易导致系统的盲目建设 这种
盲目包括两方面 一方面是不了解安全威胁的严峻 不了解当前的安全现状 另
一方面是安全投入过大而又没有真正抓住安全的关键环节 导致不必要的浪费
P
2
DR 模型是对传统安全模型的重大改进 P
2
DR 模型是一个动态模型 其中引
进了时间的概念 而且对如何实现系统的安全 如何评估安全的状态 给出了可
操作性的描述
P
2
DR 模型包含 4 个主要部分 Policy 安全策略 Protection 防护
Detection 检测 Response 响应 防护 检测和响应组成了一个完整的
动态的安全循环 在安全策略的指导下保证信息系统的安全
P
2
DR 模型是信息系统安全建设发展的一个里程碑 它提出的动态防护的方
法 原理性的提高了信息安全系统的整体防护能力
3.全面防护安全模型
随着企业安全需求的提高 信息安全系统的建设已不再局限对黑客等攻击者
的防护 而是要求以企业的业务系统为核心 业务系统正常 安全的运行为目标
从安全策略 安全管理 安全服务 安全技术 安全培训等多个层面 来规划企
业信息安全系统的建设 这种需求促成了全面安全防护模型的出现
全面安全防护模型 IAARC
[11]
是一个以安全策略为核心 安全管理和安全服务
为基础的安全技术框架 它发展了 P
2
DR 的动态防护理念 并且扩充了内容控制
认证和身份鉴别 形成了一套完善的防护体系
IAARC 把安全的服务对象抽象为访问的主体和被访问的客体 模型的核心要
素如下
鉴别和认证 Identification & Authentication
访问控制 Access Control
审计和跟踪 Audit Trail
响应和恢复 Response & Recovery
内容安全 Content Security
传统的网络安全技术研究主要是基于独立的安全防护技术和对企业级网络
的安全防护应用 随着网络安全防护技术的进步 综

合利用多种防护技术的全面
安全防护模型在业界得到了全面的支持 运用全面安全防护模型建设的企业级网
络安全防护体系也在推广中 但在大规模运营网络中的应用极少 本文根据全面
安全防护模型的思想 通过设定网络安全设计总体目标 论述了 IP 网络整体安7
全设计的原则和内容 通过阐述国际先进的网络安全结构和技术 对网络安全建
设中若干关键技术如 防病毒体系 漏洞扫描 入侵检测 防火墙 认证技术以
及数据冗余备份等六个方面进行解剖研究 并采用目前国际领先的安全实施策
略 对一个实际运营的大规模 IP 网络进行实际部署 提出了认证专网与 CA 认证
结合提高认证体系安全防护水平 入侵检测与防火墙联动 基于网络的防病毒系
统在大规模运营 IP 网络实施的技术方案 并通过实际部署 论证了在运营 IP 网
上综合部署多种安全防护技术方案的可行性8
第二章 IP 网安全设计的总体目标
2.1 整体安全设计及关键技术
信息安全是通过实施一整套适当的控制措施实现的 控制措施包括策略 实
践 步骤 组织结构和软件功能 必须建立起一整套的控制措施 确保满足组织
特定的安全目标
通常来说 网络系统安全是指全面的网络系统安全 所以实现网络系统的安
全必须对网络系统进行全面细致的分析考虑 可以按照系统层次 安全需求两个
不同的角度对网络系统的安全进行分析
通过对网络系统各个层次的分析 可以给数据链路层 网络层 系统层 数
据库层和应用层提供全面的保护
系统层次 采取的安全措施
数据链路 传输加密
网络层 防火墙 安全评估 入侵检测 VPN
系统层 安全评估 入侵检测 访问控制
数据库层 安全评估
应用层 身份认证 访问控制 防病毒 存储备份
下面就应用以上安全措施中的关键技术实现总体目标提出网络整体安全设

2.1.1 整体安全设计原则
计算机网络系统是基于开放的系统设计的 在安全方面具有固有的潜在的弱
点 由于先天不足 不可能达到 100%的安全 因此安全是一个相对的概念 即
不能达到 100%的安全 只能做到 100%的安全风险管理
IP 网的网络安全 需要考虑涉及到的所有软硬件产品和管理环节 其总体安
全往往取决于所有环节中的最薄弱环节 或者说如果有一个环节出了问题 系统
的总体安全就得不到保障 这也就是所谓的水桶效应 一个由一根根木条钉成的
水桶 它的盛水量是由其最短的那根木条决定的 这个道理对安全设计和网络防9
黑同样适用 因此安全设计应针对所有的环节 并重点分析解决其中的薄弱环节
2.1.2 整体安全设计内容
在安全体系建设过程中 需要综合考虑所有的安全要素 主要包含贯穿始终

安全策略 安全评估和安全管理 而在技术层面上需要考虑实体的物理安全
网络的基础结构 网络层的安全 操作系统平台的安全 应用平台的安全 以及
在此基础之上的应用数据的安全 这几个方面 既是一种防护基础 也是相互促
进的 同时 也是一个循环递进的工程 需要不断的自我完善和增强 才能够形
成一套合理有效的整体安全防护系统
网络安全是个长期的过程 不仅需要有好的规划设计 还要有良好的安全策
略 及时的安全评估和完善的安全管理体系 综合运用各种安全工具 保证系统
处于最佳安全状态
IP 网网络作为一个整体系统 需要建立一套完善的安全防护体系 根据 IP
网网络的业务和技术特点 该安全防护体系的范围应该包括
1. 基本的安全策略 包括 IT 安全架构 安全管理策略 安全技术流程 紧
急响应流程 安全评估策略 安全审核策略以及自身管理人员和用户安全教育策

建立 IT 安全架构 是构建一个 IT 模型 有效标识威胁来源 风险的定义和
承担 必须对 IP 网的所有资源进行有效的标识和定义 进一步划分其风险的大
小 同时 采用何种方式防护或者承担
现代的安全体系的建立 是和有效的管理机制无法分离的 单纯的技术手段
已经无法保障一个系统的安全了 而管理体系中 很重要的一个因素将是人的因
素 内部人员 外部人员和第三方人员 外部入侵者等构成了 IP 网网络的威胁
的主要来源 必须有一套良好的管理机制来保障 IP 网网络系统的安全运作
任何防护手段都无法保障 100%的安全性 这已经是在安全领域内大家已经产
生的共识 关键在于如何在发生安全事件以后 有没有一套紧急响应处理机制
通过一个什么样的途径 由什么人人负责 由那些人参加 按照什么样的流程
采用什么样的手段来处理安全事件 是紧急响应机制中定义的 同时 也能够保
障发生了安全事件以后 将威胁和风险降到最低
伴随着 IT 技术的发展 安全威胁也逐渐增长 新的安全漏洞和威胁也越来
越多 对于 IP 网网络管理人员和用户本身的要求也越来越高 只有不断的加强
对管理员和用户进行持续的安全教育 才能够有效降低安全风险
2. 网络冗余 解决网络系统单点故障的重要措施 对关键性的网络线路 设
备通常采用双备或多备份的方式 网络运行时对运营状态实时监控并自动调整10
当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换
分配 保证网络正常的运行
3. 网络结构体系的划分 从安全的角度来看 IP 网网络在进行网络结构设计
时 需要考虑 水桶原理 ――不能因为系统某一个环节的疏漏 而导致整个系
统的潜在安全威胁 因此 在进行网

络设计时 必须对网络进行分割 把一个大
系统划分为多个相对独立的子系统 针对每个子系统进行防护 以实现各子系统
之间的安全独立性 即建立 安全域 的概念
4. 访问控制系统 访问控制是实现安全防护的基本屏障 通过访问控制 可
以实现信息的初级过滤 对于 IP 网网络 基本的访问控制体系应该包括 平台
与 Internet 的接口 平台与协作单位的接口 子系统之间的接口 对于重要的
子系统 其访问控制体系需要详细考虑
5. 防病毒体系 对于 IP 网网络这样一个庞大的系统 病毒防护是关键的环
节 而且 针对这样的大系统 在构建防病毒系统的时候 不仅要考虑到防病毒
系统的查毒 杀毒功能 还应该考虑到防病毒系统的集中管理 集中监控 集中
审计功能 还需要考虑到防病毒系统的层次性
6. 漏洞扫描 安全评估体系 对于 IP 网网络的网络和主机设备 由于系统软
件本身的漏洞 配置不当或者其它恶意行为 都有可能引起系统的安全漏洞 甚
至威胁整个平台的安全 因此 需要建立一套漏洞扫描系统 定期检查平台中所
有主机和网络设备 使管理人员可以掌握平台所处的安全状态 并及时进行调整
7. 入侵检测体系 由于防火墙的原理性缺陷 它只能提供静态的 被动的保
护 不能够防护来自于开放端口 例如 80 25 110 的攻击 因此 必须建
立动态的入侵检测体系 实现全方位的监控 对于 IP 网网络 基本的入侵检测
体系应该包括 平台与 Internet 的接口 平台与协作单位的接口 子系统之间
的接口
8. 身份鉴别 是对网络访问者权限的识别 一般通过三种方式验证主体身
份 一是主体了解的秘密 如用户名 口令 密钥 二是主体携带的物品 如磁
卡 IC 卡 动态口令卡和令牌卡等 三是主体特征或能力 如指纹 声音 视
网膜 签名等 一般前两种方式运用较多
9 加密系统 在集中交易环境中 数据传输过程中的安全性需要着重考虑
通常 需要采用加密手段 对敏感数据在不安全链路上传输时进行加密 根据加
密技术在 TCP/IP 协议栈的作用层次来看 可以分为 链路层加密 网络层加密
应用层加密
10. 系统安全管理 包括 系统的统一授权管理和集中日志管理 实践当中
当安全管理者面对繁重的管理负担时 往往由于效率的低下而无法完成任务 这11
样即使再好的安全管理措施也成为空谈 进行集中管理和提高效率就成为有效管
理的保障
11. 灾难恢复系统 包括各种物理设备 应用系统和数据的冷备份 热备份
异地备份等等 根据业务的重要程度选择适当的冗灾手段 规避安全风险
12. 安全教育 通过调查和实践表明 由于网络管理人员缺少必要的安全知
识和安全意识 对于实际使用的各种产品的自身所

具有的安全特性都没有充分利
用 对于各种专业安全产品也不能正确的使用 以及过分依赖工具而轻视人工处
理 使企业的安全投资不能发挥有效的作用 因此必须在产品投资和教育投入上
取得平衡
13. 安全服务 安全服务包含多个层次 基础技术支持服务 技术培训服务
紧急响应服务 高级策略咨询服务 专业安全服务商由于具有安全专业领域突出
的特长 在一些安全技术难度较高的项目当中 通过安全专家的的工作能有效地
提高工作效率 降低成本和减少损失
2.2 总体目标
网络系统安全的目标是保护网络系统中网络设备 计算机系统及其信息资源
的安全 信息安全具有以下特征
[12]
保密性 确保只有经过授权的人才能访问信息 保证数据内容不被未授
权的人窃取
完整性 保证数据在存储和传输过程中不被非法篡改或丢失
可用性 确保经过授权的用户在需要时可以访问信息并使用相关信息资
产 保证系统的连续正常可用
认证性 保证只有授权用户才能获取相关的访问权限
不可否认性 防止用户对自身操作的抵赖
IP 网的安全目标应当涉及以上五个方面 但针对不同的业务应用系统 具
有不同的侧重点 如针对接入服务应当重点强调其高可用性 而针对计费系统则
强调其完整性等等
本文将对以上安全防护体系中若干关键技术如 防病毒系统 漏洞扫描 防
火墙 入侵检测 数据冗余备份以及认证专网与 CA 授权等方面进行研究讨论
本次论文研究的总体目标是克服以往网络安全方案实施中的单一性 抛弃以
往静态和动态防护的局限性 从数据链路层 网络层 系统层 数据库层和应用
层提供全面的保护 具体表现为
1.在数据链路层采用认证专网技术 有效地保证了用户认证信息的安全性和提高
用户的认证成功率12
2.在网络层 采用基于 IP 和状态检测的硬件防火墙使得内部网络与 Internet 之间
或者与其他外部网络互相隔离 限制网络互访用来保护内部网络 同时采用高速
HA 的架构 解决以往防火墙速度瓶颈和自身安全不足的缺陷 同时将防火墙与
网络 主机入侵检测技术联动 解决了以入防攻击的被动性提高了网络防攻攻击
的主动性
3.在不同的网络层面通过使用漏洞扫描器 系统管理员能够发现所维护的服务器
或网络设备的各种 TCP 端口的分配 提供的服务 服务软件版本和这些服务及
软件呈现在 Internet上的安全漏洞 从而在计算机网络系统安全保卫战中做到“有
的放矢” 及时修补漏洞 构筑坚固的安全长城
4.在应用层采用 证书认证体系 采用了加密传输和数字签名技术 解决了之
前在 IP 网中未能真正得到解决的不可否认性 数据一致性 保证了系统管理的

安全
5.在应用层还采用了数据备份系统 对关键数据进行有效的保存 并在数据完整
性遭到破坏时 能够迅速地恢复数据 数据备份和恢复系统对于保护企业关键数
据起着重要的作用13
第三章 构建防病毒体系
3.1 引言
1 计算机病毒的定义
计算机病毒 简单来讲 其实就是一种可执行的计算机程序 和生物界的
病毒类似 会寻找寄主将自身附着到寄主身上 除了自我复制外 某些病毒被设
计成为具有毁坏程序 删除文件甚至重新格式化硬盘的能力 在网络中 病毒对
计算机的安全构成极大威胁 与网络黑客内外配合 窃取用户口令及帐号等变化
多端的方式 使企业网络无时无刻不面对病毒困扰 这也就是必须使计算机具备
预防 检查和清除病毒能力的根本所在
病毒最成功之处在于其传播能力 传播能力越强 生存的机率就越大 当
计算机病毒附着或感染某个文件或系统中的某个部分之后 就会传播给临近的项
目 如果计算机病毒刚好将自己附着到一般用户经常使用的项目 或所附着的项
目处在一个文件共享非常频繁的环境中 将助长病毒以最快的速度向四处蔓延
因此企业的网络环境 Internet 环境是病毒传播 生存的最快最好的温床
2 计算机病毒的发展趋势
2001 年是病毒特别多的一年
[13]
除了因为新出现的病毒层出不穷以外
今年还出现了几个影响广 破坏能力特别大的病毒 那就是 红色代码 和 尼
姆达 这两个病毒和它们的变种影响范围之广 破坏力之大几乎可以和 1999
年的 CIH 相提并论
结合这两种病毒以及一些新病毒的主要特征 可以看出
u 病毒传播方式不再以存储介质为主要的传播载体 网络成为计算机
病毒传播的主要载体
u 传统病毒日益减少 网络蠕虫成为最主要和破坏力最大的病毒类型
u 病毒与木马技术相互结合 出现带有明显病毒特征的木马或者木马
特征的病毒
u 新病毒具备早期病毒的 遗传 同时与新技术融合在一起 从而破
坏力更大
u 病毒的传播手法更加多样化
u 跨操作系统的病毒已经出现14
3.2 病毒风险分析
1.网络层次多 节点多 覆盖域广 业务变化快 机器调拨频繁等有助于病毒的
传播和扩散
2.计算机使用者对计算机的使用和维护水平不尽相同
3.在软件使用上 由于 Microsoft Outlook Microsoft Word 和 Microsoft Excel
在系统中得到广泛应用 公司的工作站极易受到宏病毒侵袭
4.工作站可访问 Internet 自由下载各种共享软件 并且事先没有任何病毒预
防措施 另外病毒也很容易通过电子邮件传播
5.病毒定义码和扫描病毒引擎不能做到统一及时的更新 对防范新病毒束手无

3.3 防病毒需求分析
对于这样一种网络环境的防病毒方案 可以从以下几个

方面考虑
1) 必须对整个网络实行全方位的 多层次的病毒防护 也就是说应该在网
络的每一个层次都要进行有效的病毒防护
2) 必须具备全天候自动防护功能
3) 必须能够在各条可能感染病毒的途径上防止病毒 尤其必须能够扫描预
防电子邮件附带的病毒和未知宏病毒
4) 必须具备最先进的检测清除病毒的功能 当感染传播性很强的病毒时
要能够快速从整个网络上把这一病毒清除 不让病毒残留在某台机器上
5) 对已感染的病毒文件 能够通过先进的修复工具保证文件免受损害 对
于感染无法处理的未知病毒 必须提供一种方法 不让其在网络上传播 同时
能够快速获得解决方案
6) 必须简易快速的安装防病毒软件 并且防病毒系统的部署对原系统改动
不大 甚至不做任何改动
7) 对整个网络性能的影响应该非常小
8) 病毒定义码和扫描病毒引擎的更新必须快速方便
9) 必须具备良好了警报系统以及一定的病毒事件处理能力 能及时将各种事
件记录并根据需要打印报告
10) 必须具备对未知病毒的检测及修复功能
11) 必须能够实现集中管理和自动安装的功能 某些重要功能实行强制性管理
12) 防病毒系统必须具备良好的可扩展性 网络规模的扩大不会额外增加部署15
防病毒系统的成本
3.4 实现目标
为了提供一个技术一流 运行可靠的全方位病毒防护解决方案 有效抵御各
种病毒和恶意程序的攻击 具体目标如下
1.采用成熟先进的防毒产品与实际的网络系统的实际需要相结合 确保要防护的
网络系统具有最佳的病毒防护能力
2.贯彻 层层设防 集中控管 以防为主 防治结合 的企业防毒策略 在网络
中所有可能的病毒攻击点或通道中设置对应的防病毒软件 通过这种全方位的
多层次的防毒系统配置 使企业网络免遭所有病毒的入侵和危害
3.充分考虑系统数据 文件的安全可靠性 所选产品与现系统具有良好的一致性
和兼容性 以及最低的系统资源占用 保证不对现有系统运行产生不良影响
4.应用全球最为先进的 实时监控 技术 充分体现 以防为主 的防病毒思想
5.所选用产品具备对多种压缩格式文件的病毒检测
6.所选用产品易于安装 操作简便 便于管理和维护 具有友好的用户界面
7.可以对包括各种千面人病毒 变种病毒和黑客程序等具有最佳的病毒侦测率
除对已知病毒具备全面的侦防能力 对未知病毒亦有良好的侦测能力
8.强调在网络防毒系统内 实施统一的防病毒策略 集中的防毒管理和维护 最
大限度地减轻使用人员和维护人员的工作量
9.便于进行病毒码及扫描引擎的更新
10.提供良好的售后服务及技术支持
11.具有良好的可扩充性 充分保护现有投资 适应计

算机系统的今后发展需要
为实现上述目标 可考虑构建一个多层次 多入口的立体病毒防护体系 如
下图 1 所示16
图 1
3.5 采取的措施与结果
根据前述防病毒系统要实现的目标 本文提出对一个实际网络建设防病毒体
系应采取的措施和技术方案如下
某公司内部计算机网络是以省公司内部网为中心构建的计算机广域网 省公
司内部网是个局域网 各下属单位通过数据通信网联入省公司内部网
各市分公司通过 DCN 联入省公司 OA 内部网 其相应的市下属单位通过 97 纵
向专线联入市分公司
移动办公电脑系统通过拔号联入 OA 系统
省公司 OA 内部网 市分公司 OA 网 都是由多台应用服务器 主要是 Windows
NT/2000 系统 及多台工作站 主要是 Windows 98 和 Windows2000 专业版 组
成的局域网
由于省公司OA内部网与其它分支 市分公司OA网与其市下属单位是通过DDN
线路联接 其带宽有限 因此尽量减少这些连接上的网络流量就显得很重要
该网络管理信息系统管理信息系统企业级病毒防护系统实施范围涵盖了联
网工作站约 3000 台 各类服务器十四台
网络拓朴图如下17
l 在省公司建立防病毒一级控制中心 负责对整个防病毒系统进行监
控 监视全网防病毒软件的使用情况 负责把最新的防病毒更新代码及
时发送到每个下级防病毒控制台 实现全网防病毒软件的一致性
l 在各分公司建立防病毒二级控制中心 并分别建立各自的软件仓库
负责对本区域网络的监控 同时负责对本地局域网防病毒软件的统一安
装 集中的日志记录各区域防病毒软件的使用情况和病毒爆发情况 并
且把一级控制台送到的最新特征代码及时分发到各个防病毒节点
l 在各个区域比较大的分支机构建立防病毒三级控制中心 负责对本
地局域网络防病毒软件的统一安装 升级
l 在省公司和每个二级机构跟因特网 广域网 相连 有大量病毒将
通过 Internet/广域网进行传播 我们在省公司网关处安装 McAfee 硬件
防病毒产品 E500 对 SMTP/FTP/HTTP/POP3 等流量进行病毒查杀 在分
公司网关处安装 WebShield for solaris 对 SMTP/FTP/HTTP 流量进行
病毒查杀
l 对于便携机可以通过各种合适的方式 如果是拨号到内部网的 那
么为了节省带宽 可以单独安装 然后通过防病毒控制台进行统一地管
理 升级
l 外单位移动计算机可以通过安装在网关处的防病毒软件进行管理18
l NAI 的最新 AVD 套件自带 ePO 管理分发软件 可以实现跨域和跨网段以
及实现跨广域网的方式 无须 WINS 或 DNS 服务器 即不需知道对方的机器名
可以实现基于 IP 地址的分发 当 ePO 管理控制台和管理服务器安装完毕后 系
统会自动生成一个客户端代理程序 当客户端安装这

个客户端代理后 在一段时
间后 管理服务器端会收到客户端的机器的一些情况 比如客户端的操作系统
CPU 类型 内存大小 显存大小 显示器的分辨率 硬盘大小 网卡类型 显卡
类型 时区 日期 win98 等安装路径等一些基本的客户端信息 当给客户端分
发上相应的防病毒软件后 客户端可以通过代理将客户端的病毒查杀情况和客户
端防病毒软件的版本 引擎 特征代码库等信息上报给管理服务器 写入管理服
务器端的内置数据库 可以通过内置的来实现定制的防病毒信息 防病毒软件等
信息的客户化查询 可以生成三维的图形报表等功能
l NAI AVD 的 ePO 管理软件可以在指定时间内的某一任意时刻将防病毒软
件分发给客户端 让你感觉不到分发的存在 这样可以很好地利用带宽 在业务
不繁忙的时刻给客户端实现软件的分发
按照上述方案实际部署网络防病毒系统之后 整个网络病毒防护能力有了
很大提高 在当年网上大规模病毒流行时保护了内部网络的安全 没有造成大的
损失 实现了目标要求19
第四章 漏洞扫描技术的应用
4.1 引言
漏洞扫描/安全评估 Security Assessment 是网络安全防御中的一项重要技
术 其原理是采用各种方法对目标可能存在的已知安全漏洞进行逐项检查 目标
可以是工作站 服务器 交换机 数据库应用等各种对象 根据检查结果向系统
管理员提供周密可靠的安全性分析报告 为提高网络安全整体水平提供重要依
据 在网络安全体系的建设中 漏洞扫描工具花费低 效果好 见效快 与网络
的运行相对独立 安装运行简单 并且可以大规模减少安全管理员的手工劳动
有利于保持全网安全政策的统一和稳定 漏洞扫描工具按其工作方式和适用对象
可分为 网络扫描 系统扫描及数据库扫描 因此 漏洞扫描是网络安全 自查
中的第一步 只有知道自已的 死穴 才能更有效的保护自已
1 漏洞扫描工具的分类
漏洞扫描工具可分为以下三类
1 网络漏洞扫描工具是一个用于分析网络上的设备安全性的弱点评估产
品 它检查路由器 Web 服务器 Unix 服务器 Windows NT 服务器 桌面系统
和防火墙的弱点 从而识别能被入侵者用来非法进入网络的漏洞
网络入侵者首先总是通过寻找网络中的安全漏洞来寻找入侵点 通过漏洞评
估进行系统自身的脆弱性检查的主要目的是先于入侵者发现漏洞并及时弥补 从
而进行安全防护
由于网络环境比较复杂 一般利用工具来进行漏洞检查 检查可以针对网络
层 操作系统层 数据库层 应用系统层多个层面上进行 可能是一些系统自身
的漏洞也可能是一些管理 配置上的漏洞 因为网络是动态变化的 所以对于脆
弱性检查应该定期执行 而在

网络结构发生了变化 主机上新安装了软件等之后
也应该执行脆弱性检查
2 系统扫描是一个基于主机的安全评估系统 系统扫描器能够识别并报
告系统中所存在的安全漏洞 弱点以及使用不当的策略 从而提供基于主机的安
全评估 此外 系统扫描器支持创建系统基准 当检测到与此基准存在偏差时
它会自动生成报告或报警信息 对于 Windows NT 系统 有些系统扫描器也同时
提供实时报警
3 保护数据库系统和重要数据的安全 防止攻击者利用数据库系统的安20
全漏洞进行非授权活动
2 漏洞扫描的原理
网络漏洞扫描是自动检测远端或本地主机安全脆弱点的技术 它查询TCP/IP
端口 并纪录目标的响应 收集关于某些特定项目的有用信息 如正在进行的服
务 拥有这些服务的用户 是否支持匿名登录 是否有某些网络服务需要鉴别等
这项技术的具体实现就是安全扫描程序
早期的网络漏洞扫描程序是专门为 Unix 系统编写的
[14]
随后情况就发生了
变化 现在很多操作系统都支持 TCP/IP 因此 几乎每一种平台上都出现了扫
描程序 扫描程序对提高 Internet 安全发挥了很大的作用
在任何一个现有的平台上都有几百个熟知的安全脆弱点 人工测试单台主机
的这些脆弱点要花几天的时间 在这段时间里 必须不断进行获取 编译或运行
代码的工作 这个过程需要重复几百次 既慢又费力且容易出错 而所有这些努
力 仅仅是完成了对单台主机的检测 更糟糕的是 在完成一台主机的检测后
留下了一大堆没有统一格式的数据 在人工检测后 又不得不花几天的时间来分
析这些变化的数据 而扫描程序可在在很短的时间内就解决这些问题 扫描程序
开发者利用可得到的常用攻击方法 并把它们集成到整个扫描中 输出的结果格
式统一 容易参考和分析
大多数网络漏洞评估工具都是通过扫描的方式来模拟黑客的攻击行为 所
以又称漏洞评估工具为扫描器 对系统的安全性做出评价 并提出修补建议
因此漏洞评估方案的设计是与网络拓扑结构无关的 只需要将扫描器安装在一台
独立的计算机当中 就可以进行全网的扫描 扫描可以针对网络层 操作系统层
数据库层 应用系统层多个层面上进行 针对用户的具体情况 应该重点针对比
较容易出现系统漏洞和配置漏洞的主机操作系统和数据库进行扫描
系统扫描器与网络扫描器的工作方式不同 网络扫描器是在网络层扫描各种
设备来发现安全漏洞 系统扫描器是在系统层上通过依附于主机上的扫描器代理
侦测主机内部的漏洞
数据库扫描器通过建立 依据 强制执行安全策略来保护数据库应用的安全
它可以自动识别数据库系统潜在的安全问题 包

括从脆弱的口令到 2000 年兼容
性问题 乃至特洛依木马 数据库扫描器内置知识库 可以产生通俗易懂的报告
来表示安全风险和弱点 对违反和不遵循策略的配置提出修改建议
4.2 漏洞扫描的实施
通过上述对漏洞扫描的论述 为加强运营 IP 网的安全性 为省网管中心和
省网络中心各配置一套Internet Scanner漏洞扫描软件 利用Internet Scanner21
定期扫描网络中所有的核心服务器及重要的网络设备 包括服务器 交换机 防
火墙等 以对网络设备进行安全漏洞检测和分析 并且在执行过程中实现基于策
略的安全风险管理 Internet Scanner 通过模拟黑客攻击手法 探测网络设备
中存在的弱点和漏洞 从而识别能被入侵者利用来非法进入网络的漏洞 提醒安
全管理员 及时完善安全策略 降低安全风险 Internet Scanner 能从不同的
网络位置对网络设备进行扫描 例如在防火墙的内侧和外侧的扫描效果不同 内
侧扫描的结果真实 准确 外侧扫描可以用来检测防火墙或网络的耐攻击程度
Internet Scanner 将给出检测到的漏洞信息 包括位置 详细描述和建议的改
进方案 这种策略允许管理员侦测和管理安全风险信息 并跟随开放的网络应用
和迅速增长的网络规模而相应地改变
实际漏洞扫描的实施过程如下
软 硬件准备
软件 ISS Internet Scanner
硬件 一台 HP P4/256M 便携
网络联接 百兆上互联网
扫描对像 某大型运营 IP 网络 示意图如下
安全
工作站
业务管理
服务器集群
邮件系统
服务器集群
WWW/WAP
服务器集群
维护人员和开发
专线接入/地
市间互连集群
接入服务器
Internet
网管
工作站
计费服务器
接 入 网 段
WWW/WAP网段网 管 网 段
认证/计 费 网 段
信 息 制 作 网 段
千兆
百兆
服 务 网 段
漏 洞 扫 描
典型 IP 网络漏洞扫描示意图
扫描 IP 地址范围 202.101.96.0---202.101.127.255 202.101.128.0—202.101.159.255
202.109.192.0 — 202.109.255.25 61.131.0.0---61.131.127.25522
61.154.0.0---61.154.255.255 218.5.0.0----218.6.127.255
218.66.0.0----218.67.127.255 218.85.0.0---218.86.127.255
本次扫描的范围为全网 IP 共 6.5 个 B 425984 个 IP 的址
4.3 全网扫描策略
依照远程评估目标 扫描策略最大化
最大化定义为 对某一个被扫描对象 将应用扫描器所包含的所有对其有效
的检测项对其进行漏洞检查 此处 特别强调在检测项中存在拒绝服务攻击型的
漏洞检测 使用这种类型的检测项进行扫描可能会使被扫主机产生较严重的危
害 所以本此远程评估没有使用拒绝服务攻击型检测
将所有被扫描对象划分为三类 Windows 主机 Unix 主机和网络设备 交换
机 路由器 防火墙 按照以上策略最大化原则 将演绎出以下定义
[15]
Windows 主机扫描策略 由所有

针对 Windows 系统有效的检测项组成
Unix 主机扫描策略 由所有针对 Unix 系统有效的检测项组成
网络设备 由所有针对网络设备有效的检测项组成
具体策略配置
Windows 主机扫描策略
漏洞检测类型 包含的检测项数目
Backdoors 78
Browsers 37
CGI-Bin 33
Daemons 8
DCOM 9
DNS 8
Email 20
Firewalls 3
FTP 7
Information Gathering 12
Instant messaging 2
LDAP 6
Network 323
Network Sniffers 7
NFS 9
NT Critical Issues 33
NT Groups 7
NT Networking 6
NT Password checks 35
NT Password Policy 16
NT Patches 65
NT Policy issues 38
NT Registry 14
NT Services 12
NT Users 36
Protocol Spoofing 4
Router/Switch 1
Shares 11
SNMP 13
Web Scan 72
服务端口检查 帐号检查
RPC Services NetBIOS Group
TCP Service Scan NetBIOS User
Udp Scan NetBIOS Machine
NT Services
Unix 主机扫描策略
漏洞检测类型 包含的检测项数目
Backdoors 7
Browsers 1
CGI-Bin 41
Daemons 2924
DNS 8
Email 24
Firewalls 3
FTP 17
Information Gathering 5
Instant messaging 1
LDAP 6
Network 4
NFS 16
NIS 14
Protocol Spoofing 4
Router/Switch 1
RPC 33
Shares 3
SNMP 6
Web Scan 40
X Windows 2
服务端口检查 帐号检查
RPC Services Finger User
TCP Service Scan Finger Host
Udp Scan RPC rusers v1-v3
网络设备扫描策略
漏洞检测类型 包含的检测项数目
Backdoors 1
Browsers 1
Daemons 3
Email 9
FireWalls 1125
FTP 3
Information Gathering 2
NT Patches 4
Router/Switch 34
SNMP 5
Web Scan 3
服务端口检查 帐号检查
RPC Services 无
TCP Service Scan
Udp Scan
4.4 存活地址的判定
在本次全网扫描中 采取了强制扫描的策略 即不论是否能够 Ping 到 都
对所有项目进行扫描 只要发现有任何服务被扫描到 就认为该主机是存活的
如果主机位于防火墙后 只要能够透过防火墙规则能够扫描到服务 也认为
该主机是存活的
本次扫描的风险等级分类将严格参照 ISO-1548 中的定义 对安全威胁产生
的来源和原因参照 BS-7799/ISO-17799 中的定义
4.5 扫描主机和网络设备统计
网络设备
网络设备 数量
Ascend Max 6
Cisco 23
合计 29
UNIX 主机
操作系统 数量
SunOS 5
AIX 1
SGI 226
Linux 1
FreeBSD 1
Other 22
合计 32
Windows 主机
操作系统 数量
Windows 2
Windows 2000 2
Windows 2000 Professional 1
Windows 2000 Server 5
Windows 95/98 10
Windows NT 2
Windows NT Server 17
合计 39
其他主机或网络设备
操作系统 数量
Other 80
合计 80
4.6 扫描结果
出现最多的 10 个漏洞
漏洞编号 漏洞名称 风险 次数
CAN-1999-0503 Disabled Account User Pwd 2 622
CAN-1999-0504
Disabled Account Blank
Pwd 2 578
DCB-ISS-144 unreslink 1 272
DCB-ISS-1313 No User Profile 1 153
DCB-ISS-1305 Password Never Expires 1 144
DCB-ISS-12 NetBIOS share 1 101
DCB-ISS-1307 Password Cannot Change 1 94
DCB-ISS-322 IcmpTstamp 1 74
DCB-ISS-1319 Local User 1 66
DCB-ISS-185 Unknown

NT Service 1 5927
出现最多风险级别最高的 10 个漏洞
漏洞编号 漏洞名称 风险 次数
CAN-1999-0506 Domain User No Pwd 3 18
CVE-1999-0019 rpcstatd 3 11
CAN-1999-0518 nbperm 3 8
DCB-ISS-27 admind 3 6
DCB-ISS-334 Xguesscookie 3 4
DCB-ISS-43 deftel 3 4
CAN-1999-0570 Passfilt.DLL Not Found 3 3
DCB-ISS-146 vulncgi 3 3
DCB-ISS-3688 SolSadmindAmslverifyBo 3 3
DCB-ISS-4 Autologon password 3 3
4.7 漏洞分布情况示意
网络设备
网 络 设 备 漏 洞 分 布
高风险, 1,
3%
中风险, 25,
65%
低风险, 12,
32%
高风险
中风险
低风险28
UNIX 主机
UNIX系统的漏洞分布
高风险,
106, 66%
中风险, 31,
19%
低风险, 25,
15%
高风险
中风险
低风险
Windows 主机
Windows系统漏洞分布
低风险, 87, 3%
高风险, 1545,
49%
中风险, 1511,
48%
高风险
中风险
低风险29
其他
其 他 系 统 的 漏 洞 分 布
低风险, 108,
79%
高风险, 11, 8%
中风险, 18, 13%
高风险
中风险
低风险
风险覆盖率
高风险漏洞主机数 34
中风险漏洞主机数 60
低风险漏洞主机数 86
未发现漏洞主机数 243
主机总数 423
高风险覆盖率 8%
风险覆盖率 42%
高风险数/ 主机总数 180/423=43%30
高风险漏洞主
机数 , 34,
8%
中风险漏洞主
机数 , 60,
14%
低风险漏洞主
机数 , 86,
20%
未发现漏洞主
机数 , 243,
58%
高风险漏洞主机数
中风险漏洞主机数
低风险漏洞主机数
未发现漏洞主机数
4.8 扫描结果分析
扫描到的比较危险的高风险漏洞有
Domain User 无密码要求
RPC statd 远程文件创建和删除
通过排列攻击猜到 SMB 共享密码
Admind 或 Sadmind 正在运行
X11 MIT-MAGIC-COOKIE-1 预测可能允许远程访问任意的 X 会话
Telnet 默认帐户拥有访问权限
未找到 Passfilt.dll
CGI-BIN 程序可用于使用外壳程序解释器访问执行命令
Solaris Solstice AdminSuite (sadmind) daemon 缓冲溢出
Autologon 密码可读的高风险漏洞中弱口令仍然是一个比较突出的问题 另
外系统默认帐号 由于没有及时打系统补丁而存在的漏洞占了一定的比例 如
Autologon 密码可读, X11 MIT-MAGIC-COOKIE-1 预测可能允许远程访问任意的 X
会话都可以通过及时打补丁来避免 这些容易修补但是没有及时解决的漏洞值得
注意
在机器上检测到 Admind 或 sadmind 正在运行 默认情况下 admind 以不
安全的 SYS 模式运行 如果 admind 是不安全的 攻击者可以获得对其的访问
权限并更改密码文件31
4.9 针对扫描结果采取的措施
从技术层面对有安全隐患的主机和网络设备进行了一次较全面的安全加固
共加固各类主机 网络设备 87 台 在管理方面采取了一系列安全措施 如各类
规章制度 基本的管理措施和要求如最小服务原则 帐号管理 SNMP 口令管理
网段物理隔离等 明确了管理范围 职责 做到分工明确

职责清晰 将安全方
面的网络备案 常规巡视 日常监测 口令管理 日志审计 数据备份 系统加
固等工作制度化 条例化 将复杂的安全防护原则具体化 细化成可操作的实施
细则 指导并监督全网实施32
第五章 防火墙技术的应用
5.1 引言
1 防火墙的定义
古时候 人们常在寓所之间砌起一道砖墙 一旦火灾发生 它能够防止火势
蔓延到别的寓所 自然 这种墙因此而得名"防火墙" 现在 如果一个网络接到
了 Internet 上面 它的用户就可以访问外部世界并与之通信 但同时 外部世
界也同样可以访问该网络并与之交互 为安全起见 可以在该网络和 Internet
之间插入一个中介系统 竖起一道安全屏障 这道屏障的作用是阻断来自外部通
过网络对本网络的威胁和入侵 提供扼守本网络的安全和审计的唯一关卡 这种
中介系统也叫做"防火墙" 或"防火墙系统"
[16]
防火墙是指设置在不同网络 如可信任的单位内部网和不可信的公共网 或
不同网络安全域 如企业内部不同部门 之间的一系列部件的组合 它是一个系
统 通过它可以执行两个不同网络之间的访问控制策略 可以阻挡对内 对外的
非法访问和不安全数据的传递
[17]
2 防火墙的原理
防火墙的主要功能是控制内部网络和外部网络的连接 利用它既可以阻止非
法的连接 通讯 也可以阻止外部的攻击 一般来讲 防火墙物理位置位于内部
网络和外部网络之间 防火墙是目前主要的网络安全设备
防火墙是不同网络或网络安全域之间信息的唯一出入口 能根据单位的安全
政策控制 允许 拒绝 监测 出入网络的信息流 且本身具有较强的抗攻击能
力 它是提供信息安全服务 实现网络和信息安全的基础设施 简而言之 防火
墙就是一个或一组实施访问控制策略的系统
防火墙处于网络安全体系中的最底层 属于网络层安全技术范畴 作为内部
网络与外部公共网络之间的第一道屏障 防火墙是最先受到人们重视的网络安全
产品之一 虽然从理论上看 防火墙处于网络安全的最底层 负责网络间的安全
认证与传输 但随着网络安全技术的整体发展和网络应用的不断变化 现代防火
墙技术已经逐步走向网络层之外的其他安全层次 不仅要完成传统防火墙的过滤
任务 同时还能为各种网络应用提供相应的安全服务
在内部网络系统与 Internet 连接处配置防火墙是保证 WEB 系统安全的第一
步 也是系统建设时首要考虑的问题 防火墙通过监测 限制 更改通过 防火33
墙 的数据流 可以保护 WEB 系统不受来自 Internet 的外部攻击
一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么
安全和可信的外部网络(通常是 Internet)之间提供一个

相关主题
相关文档 最新文档