搜索
基于部署的软件应用安全技术研究目录前言............................第一章:软件应用的部署技术(3页)(一)部署技术概述(二)现状及重要性第二章:软件应用中常见的安全问题及解决办法(5页)(一)黑客(二)病毒、蠕虫、特洛伊木马(四)网络安全漏洞(三)数据丢失第三章:基于部署的软件应用安全技术(10页)(一)硬件防火墙(二)网闸(三)网关(四)DMZ(五)还原卡(六)Langate第四章:实证研究及结论(10-12页)(一),实证问题概述(二),需要解决的主要问题(三),解决方案(四),重点过程描述(五),实证结论前言随着网络技术的发展和网上各种应用的不断丰富,网络安全问题日益成为人们关注的焦点。人们在网络安全部署策略中更多地注重网络边界的安全,防病毒、防黑客、数据备份是目前常用的数据保护手段,我们通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭,因此采取了一系列的防范措施,如建立两套网络,一套仅用于内部员工办公和资源共享,称之为内部网络;另一套用于连接互联网检索资料,称之为外部网络,同时使内外网物理断开;另外采用防火墙、入侵检测设备等,但据统计超过50%的网络及信息安全问题源于内部人员所为,其次才是外部黑客的攻击。由于内网是一个由网络设备与信息系统组成的复杂环境,连接便捷、应用系统多、重要数据多是其显著特点,如果疏于对内网的安全防范,那么就极易出现应用系统被非法使用、数据被窃取和被破坏等情况,因此注重内网安全系统建设、有效防范源自内部的安全问题,其意义较之于外网安全防范更为重大。目前,在我国的各个行业系统中,无论是涉及科学研究的大型研究所,还是拥有自主知识产权的发展中企业,都有大量的技术和业务机密存储在计算机和网络中,如何有效地保护这些机密数据信息,已引起各单位的巨大关注!第一章软件应用的部署技术(一)部署技术概述什么是部署?简单的说部署就是把设计好的程序或是硬件放到一定的环境系统中运行,从而发挥它的作用,这就是部署。我所要研究的重点是网络安全中的硬件部署,那么就离不开各种硬件配置、网络环境、计算机的操作系统,下面我将详细的作介绍。一硬件配置1防火墙所谓防火墙指的是一个有软件和硬件设备组隙内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.2.网闸网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。3.网关网关守护着企业网络以防终端用户被植入后门程序或病毒下载器。4还原卡硬盘还原卡,又称电脑还原卡,使用创新的安全硬盘管理技术HDSafe,硬件级解决电脑教室的管理问题,具备强大的数据保护和还原功能是误删除、误格式化、感染病毒等不希望发生的硬盘数据改变,在下一次开机时能够瞬间还原。5磁盘阵列是利用数组方式来作磁盘组,配合数据分散排列的设计,提升数据的安全性。6WinPassCA证书服务器Win-PassCA证书服务器系统是PKI公共密钥安全体系中的关键设备,注册、签发、管理和发布网络系统中各种设备和用户的证书,用于建立和保障网络通信中的身份认证和相互信任体系。7LanGate是基于专用芯片及专业网络安全平台的新一代整体网络安全硬件产品。二网络环境一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等,如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开,严防黑客入侵、切实保障网络交易的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。三操作系统Windows2000Server的安全机制是建立在WindowsNT4.0提供的安全机制上的。Windows2000的安全模式使各组织可以与合作伙伴、供应商以及在信任关系之上使用基于Internet技术的消费者安全地交互。Windows2000的活动目录对用户、组及计算机账户信息采用分层命名,存储了所有的域安全策略和账户信息。可以利用组策略编辑器设置各种功能,包括软件设置、应用程序配置选项、脚本、用户设置、文档选项及安全设置。Windows2000安全性,又称为“分布式安全性”,它包括基于Internet标准安全协议的鉴别,采用Kerberos5作为默认鉴别协议。它使用Internet安全协议IPSec。Windows2000使用基于Internet技术的虚拟专用网VPN,通过ISP,IIS及VPN服务器来建立Inter—net连接。可利用VPN通过公共网来传输专用网数据。此外,可利用Windows2000提供的加密文件系统EFS对文件进行加密保护。数据库系统的安全机制SQLServer的安全性与权限管理,数据库安全性是用户权限管理等方面的内容,这种安全性以信息资源和信息资源的用户为主要管理对象,一个用户只要具有对某个对象的访问权限,就可以对信息资源进行操作。作为网络操作系统上的服务,SQLServer的安全性还可以与操作系统的安全性建立某种联系,这就是SQLServer的安全性模式。它有3种安全模式:标准安全、集成安全、混合安全。标准安全完全由SQLServer自身维护安全性,对所有连接采用SQLServer本身的登录证实过程,通过使用LoginID和口令来访问数据库服务器。集成安全允许SQLServer用Windows2000的认证机制来证实SQLServer的所有连接。混合安全使得SQLServ—er的用户和Windows2000的用户都可以获得访问数据库的权限。当然,可以不使用SQLServer自身的用户管理,只允许Windows2000的用户具有访问数据库的权限。在SQLServer中,权限分两大级别:连接权、访问权。连接权指是否可以访问SQLServer,访问权指是否可以查询或修改数据库。每一个网络用户在访问SQLServer数据之前,必须使用一个win—dows2000的账号或SQLServer的LoginID以及口令,与SQLServer建立连接,SQLServer的安全系统通过对用户提供的登录信息的验证决定是否允许这个用户连接。在连接成功后,用户还需要在每个数据库中都有一个数据库用户账号,或者是用户别名,查询或者修改数据时,SQLServer的安全系统根据这个账号或者别名的权限决定是否允许用户请求的操作。(二)内部网络的安全现状目前很多企事业单位都加快了企业信息化的进程,在网络平台上建立了内部网络和外部网络,并按照国家有关规定实行内部网络和外部网络的物理隔离;在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的应用如财务系统、PDM系统甚至到计算机集成制造(CIMS)或企业资源计划(ERP),逐步实现企业信息的高度集成,构成完善的企事业问题解决链。在网络安全方面系统内大多企业或是根据自己对安全的认识,或是根据国家和系统内部的相关规定,购置部分网络安全产品,如防火墙、防病毒、入侵检测等产品来配置在网络上,然而这些产品主要是针对外部网络可能遭受到安全威胁而采取的措施,在内部网络上的使用虽然针对性强,但往往有很大的局限性。由于内部网络的高性能、多应用、涉密信息分散的特点,各种分立的安全产品通常只能解决安全威胁的部分问题,而没有形成多层次的、严密的、相互协同工作的安全体系。同时在安全性和费用问题上形成一个相互对立的局面,如何在其中寻找到一个平衡点,也是众多企业中普遍存在的焦点问题。由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。内部网络更易受到攻击为什么内部网络更容易受到攻击呢?主要原因如下:(1)信息网络技术的应用正日益普及,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是许多企业不可缺少的重要的组成部分,基于Web的应用在内部网正日益普及,典型的应用如财务系统、PDM系统、ERP系统、SCM系统等,这些大规模系统应用密切依赖于内部网络的畅通。(2)在对Internet严防死守和物理隔离的措施下,对网络的破坏,大多数来自网络内部的安全空隙。另外也因为目前针对内部网络安全的重视程度不够,系统的安装有大量的漏洞没有去打上补丁。也由于内部拥有更多的应用和不同的系统平台,自然有更多的系统漏洞。(3)黑客工具在Internet上很容易获得,这些工具对Internet及内部网络往往具有很大的危害性。这是内部人员(包括对计算机技术不熟悉的人)能够对内部网络造成巨大损害的原因之一。(4)内部网络更脆弱。由于网络速度快,百兆甚至千兆的带宽,能让黑客工具大显身手。(5)为了简单和易用,在内网传输的数据往往是不加密的,这为别有用心者提供了窃取机密数据的可能性。(6)内部网络的用户往往直接面对数据库、直接对服务器进行操作,利用内网速度快的特性,对关键数据进行窃取或者破坏。(7)众多的使用者所有不同的权限,管理更困难,系统更容易遭到口令和越权操作的攻击。服务器对使用者的管理也不是很严格,对于那些如记录键盘敲击的黑客工具比较容易得逞。(8)涉密信息不仅仅限于服务器,同时也分布于各个工作计算机中,目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。(9)由于人们对口令的不重视,弱口令很容易产生,很多人用诸如生日、姓名等作为口令,在内网中,黑客的口令破解程序更易奏效。第二章:软件应用中常见的安全问题及解决办法1黑客黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过