基于PPDRR的立体网络安全防御体系的研究与应用硕士学位论文.docx
- 文档编号:28719763
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:64
- 大小:891.61KB
基于PPDRR的立体网络安全防御体系的研究与应用硕士学位论文.docx
《基于PPDRR的立体网络安全防御体系的研究与应用硕士学位论文.docx》由会员分享,可在线阅读,更多相关《基于PPDRR的立体网络安全防御体系的研究与应用硕士学位论文.docx(64页珍藏版)》请在冰豆网上搜索。
基于PPDRR的立体网络安全防御体系的研究与应用硕士学位论文
武汉大学
硕士学位论文
基于PPDRR的立体网络安全防御体系的研究与应用
摘要
信息技术在给很多领域带来高效率的同时也引入了信息安全问题,不法份子会利用漏洞来达到相应的目的,如窃取或者篡改信息。
除此以外,还会使用病毒以及恶意软件来攻击用户,上述行为都会给被攻击者带来不可避免的损失,由此网络安全受到越来越多人的重视。
事实上,网络安全问题已成为信息技术领域亟待解决的问题,这其中也包括教育领域,校园网遭受越来越严重的攻击,但是现有的网络安全体系已无法满足需求,无法抵御各种网络攻击,因此必须构建新的网络安全防御体系来提高校园网的安全性。
论文的研究工作可以归纳为以下三个方面:
(1)对当前应用较多的网络安全技术进行了研究,如防火墙技术、数据加密技术、VPN技术、入侵检测技术以及安全扫描技术,上述技术为校园网立体防御体系的构建奠定了基础。
(2)分析了校园网的安全需求,并对设计校园网安全体系需遵循的基本原则进行了说明,然后对当前应用较多的PPDRR模型以及立体PPDRR模型进行了介绍,并在此基础上结合校园网的需求提出了校园网立体PPDRR模型。
(3)对校园网立体防御体系的实现进行了介绍,首先对校园网立体防御体系的结构进行了介绍,其核心思想为安全域划分,并构建以数据中心为核心,并辐射到校园网关键职能部门的网络安全体系,然后从数据中心以及职能部门的网络安全体系的实现进行了介绍,最后对校园网立体防御体系中的VPN技术的应用进行了介绍。
关键词:
网络安全、立体防御体系、PPDRR模型,VPN技术
Abstract
Informationtechnologyinmanyareastobringefficientandatthesametimeintroducedtheinformationsecurityproblem,thedelinquentsvulnerabilitycouldbeusedtoachievethepurposeofthecorresponding,suchasstealortamperwiththeinformation.Inaddition,alsousevirusesandmalicioussoftwaretoattacktheuser,thebehaviorwillbetheinevitablelosstobetheattacker,thenetworksecurityismoreandmorepeople'sattention.Infact,thenetworksecurityquestionhasalreadybecomeanurgentprobleminthefieldofinformationtechnology,includingeducation,campusnetworkismoreandmoreseriousattack,buthavebeenunabletomeetdemandandtheexistingnetworksecuritysystemcannotresistvariousnetworkattack,sowemustbuildanewnetworksecuritydefensesystemtoimprovethesecurityofcampusnetwork.
Thesisresearchworkcanbesummarizedasthefollowingthreeaspects:
(1)ofthecurrentapplicationmorenetworksecuritytechnologyarestudied,suchasfirewall,dataencryptiontechnology,VPN,intrusiondetectiontechnologyandsecurityscanningtechnology,thetechnologyfortheconstructionofcampusnetworkthree-dimensionaldefensesystemlaidafoundation.
(2)analysisofthecampusnetworksecurityrequirements,andthedesignofcampusnetworksecuritysystemtoillustratethebasicprinciplestobefollowed,andthentothecurrentapplicationmorePPDRRmodelandthree-dimensionalPPDRRmodelareintroduced,andincombinationwiththedemandofcampusnetworkbasedoncampusnetworkstereoPPDRRmodelisputforward.
(3)onthecampusnetworktheimplementationofthree-dimensionaldefensesystemareintroduced,thestructureofthree-dimensionaldefensesystemofcampusnetworkareintroduced,itscoreideaissecuritydomains,andbuilddatacenterasthecore,andradiationtothefunctionsofthecampusnetworkisthekeyofnetworksecuritysystem,andthenfromthedatacenter,andtherealizationofthefunctionsofnetworksecuritysystemareintroduced,andfinallytotheapplicationofVPNtechnologyincampusnetworkthree-dimensionaldefensesystemareintroduced.
Keywords:
Networksecurity, three-dimensionalnetworksecuritydefensesystem,PPDRRmodel,VPNtechnology
目录
摘要I
AbstractII
目录III
1绪论1
1.1研究背景1
1.2国内外研究现状2
1.3研究目的3
1.4研究内容与组织结构3
2网络安全相关概念5
2.1网络安全定义5
2.2网络安全标准5
2.3网络安全问题6
2.3.1网络面临的威胁6
2.3.2网络攻击的特点7
2.3.3网络威胁产生的原因7
2.4网络入侵与攻击8
2.4.1网络入侵的方式8
2.4.2网络入侵的目的8
2.5本章小结9
3校园网络安全问题解析10
3.1校园网安全风险分析10
3.1.1数据中心安全风险分析11
3.1.2区域安全风险分析13
3.1.3校园安全风险主要问题13
3.2校园网当前的安全措施14
3.3校园网安全关键技术15
3.3.1防火墙技术15
3.3.2数据加密技术16
3.3.3入侵检测技术17
3.3.4VPN技术17
3.3.5安全扫描技术19
3.4校园网安全需求20
3.4.1校园网安全设计原则20
3.4.2校园网安全设计目标21
3.5本章小结21
4校园网PPDRR防御体系的设计23
4.1传统校园网安全体系设计分析23
4.1.1传统校园安全体系23
4.1.2传统校园安全体系的改进思想24
4.2传统PPDRR安全体系模型25
4.3立体PPDRR防御模型26
4.4校园网立体PPDRR防御模型28
4.4.1方案的建立与分析29
4.4.2安全技术的协作29
4.5本章小结30
5校园网PPDRR防御模型的实现31
5.1校园网PPDRR防御构建体系31
5.2数据中心的安全33
5.3职能部门的局域网安全36
5.4网络安全设备配置37
5.5本章小结44
6结论与展望45
6.1结论45
6.2展望45
致谢47
参考文献48
1绪论
1.1研究背景
信息技术在给各个领域带来高效率的同时也引入了信息安全问题,不法份子会利用漏洞来达到相应的目的,如窃取或者篡改信息。
除此以外,还会使用病毒以及恶意软件来攻击用户,上述行为都会给被攻击者带来不可避免的损失,由此网络安全受到越来越多人的重视。
在信息技术的应用历程上,发生过许多损失重大的信息安全案例,2011年Sony公司的PSN平台遭到攻击[1],导致上亿用户的信息被不法份子窃取,给Sony公司带来巨大损失。
据最新的调查结果,国外因网络安全问题造成的损失高达数百亿美元。
在国内面临着同样的困扰,甚至有越来越多的不法份子通过开设钓鱼网站来获得不当利益,到2012年底止,国内被处理的钓鱼网站高达五万多个[2],有超过1亿用户受到过钓鱼网站的欺骗,金额高达200亿[3]。
除了电子商务领域以外,最新发生的“斯诺登事件”说明国家安全也受到越来越严重的威胁,由此凸显了网络安全的重要性。
事实上,教育领域也遭受到越来越多的攻击,国内教育领域也发生了很多的网络安全事件,如黑客以清华大学校长顾秉林的名义在清华大学网站上发表了一篇抨击中国教育制度的文章[4],引起了不良的影响,在高考招生工作中,有许多黑客利用漏洞篡改成绩或者招生信息,从而获取不法之财,这些都对国内教育领域产生了较大冲击。
从上述分析可以知道,网络所带来的安全问题已存在于各个领域,甚至渗透到了局域网中,而校园网属于局域网中的一种,且由于校园网采用的TCP/IP协议,协议的开放性注定了校园网会成为黑客攻击的重心。
校园网中存在许多不同的应用[5],从教学、科研到资产管理等各个领域,若校园网络的安全无法保证,上述应用不仅无法起到相应的作用,反而会泄露学校的私密信息。
因此校园网络的安全问题必须引起足够的重视。
本课题来源于某高等院校,该校有上万名在校生,目前学校各部门都采用信息化系统来进行日常办公,信息资源也大多通过网络进行传输和共享,因此学校教师的日常工作对网络的依赖性越来越高,每天都必须使用信息系统,同时各类应用系统中存储着大量的私密信息,这些信息的丢失会造成不可避免的损失,因此必须根据需求构建网络安全系统,本课题引入PPDRR模型来为学校构建立体网络安全防御体系,立体PPDRR防御的思想就是将分散系统整合成一个异构网络系统,基于联动联防和网络集中管理、监控,将各部分有机结合,联动,形成一个立体、动态、及时适应网络安全状态变化的防御体系,由此可提高校园网络的可靠性和安全性。
1.2国内外研究现状
网络安全遵循气球效应,如果某一个环节有漏洞,系统的安全就会出现危机,如此会给系统用户带来巨大的损失。
基于上述原因,越来越多的专家学者开始研究网络安全问题,并取得了许多研究成果。
下面对各个国家的网络安全发展历程进行介绍。
(1)美国。
美国对攻击防御的研究较早,早在上世纪末,就近10个项目专门研究该问题。
早在2000年,南加州大学研发的攻击防御系统DEFCN[6]就考虑将安全防御策略加入到入侵检测与响应系统中。
由于网络攻击严重损害到网民的利益,布什总统在2003发布了相应政策,以便保护网民。
然而随着Internet技术的发展,网络攻击事件有增无减,并且呈愈演愈烈的状态[7]。
针对上述现象,奥巴马总统发布命令要求网络安全委员会深入调查研究,并给出相应的调查报告,以此作为政策发布的依据。
在2009年3月,美国联邦审计署提出了许多建议,以便提高网络的安全性[8]。
同时随着信息技术的不断发展,未来的战争其实是信息化战争,谁占领了信息制高点就等于赢得了战斗。
基于上述原因,美国组建了网络军队,其主要作用在于防止黑客入侵各大军事服务器,防止信息被窃取或篡改。
在美国的推动下,其他国家也开始重视信息化战争[9],纷纷将信息安全纳入国家安全战略,并通过颁布法规政策来维护国家的信息安全。
(2)俄罗斯。
俄罗斯在网络安全方面理论研究起步相对较晚,但是其早在1995年[10],就已经明确了保护信息资源的法律责任。
然后在1997年又通过发布文章阐述了网络安全、经济安全与国家安全三者之间的关系,其中明确说明信息安全是基石,需要重点关注。
在2000年的时候,《国家信息安全学说》在普京的批准下得到发行11],文章中明确了信息安全相关的知识,并提出了防御网络攻击相关措施。
除此以外,俄罗斯还发布了相应政策来约束黑客的网络犯罪。
(3)法国。
法国很早就察觉到了信息安全的重要性,为此成立国家信息系统安全总署来专门处理网络安全涉及的相关事务,其主要工作在于保障信息化战争时的主动性。
在2001年,在法国政府的支持下,开发了个入侵检测响应系统[13],并取得了不错的效果。
然后在2008年,法国参议院重申了网络信息安全的重要性,并在专题报告中明确指出网络战争将成为未来军事战争的第一要素,若在网络战争中落后,势必会影响整个国家的生存和发展,由此成立了国家级的网络安全防御中心。
(4)中国。
中国在信息化领域的研究远远落后于其他国家,在网络安全犯罪等方面的法规都不完善,除此以外,在网络攻击防御方面的研究还比较落后,因此在未来还需要投入更多的精力来进行相关的研究。
随着信息技术应用的不断深入,尤其是斯诺登事件发生以后,国家意识到了信息安全的重要性,开始采取措施来保障国家私密信息的安全,并提出了“积极防御、综合防范”的安全方针[14],要求各级政府做好安全保密工作。
1.3研究目的
根据前文分析可以知道,校园网络中各种应用系统中存储着大量的私密信息,必须采取措施提高数据安全性和可靠性,防止信息被窃取,构建网络安全系统的主要目的体现在如下几个方面:
(1)保证信息传输的安全性和可靠性,在网络上进行信息的传输,容易造成信息的泄露和窃取,上述信息的丢失会给高等院校带来不可避免的损失。
(2)高等院校的老师需要经常出差,其也需要通过系统来处理某些业务,对于学校的私密信息,系统需采取各种措施来保证教师的安全访问,防止不法份子利用漏洞进入系统进行非法操作。
(3)构建校园网PPDRR安全防御体系可以使学校的所有业务运行在一个安全的环境中,也可以抵御来自网络的无意或有意的攻击,从而最大化地发挥其在教育教学中的作用。
除此以外,校园网安全体系的构建有助于高校各项工作的稳定运行。
由此可知,构建网络安全系统对于校园网络而言已经迫不及待,必须采取相应的措施来提高系统的安全性。
1.4研究内容与组织结构
本课题的主要目的在于深入研究PPDRR安全信息模型,以便结合高等院校的实际需求来构建相应的PPDRR网络防御体系,达到提高校园网络安全性的最终目的。
针对上述目的,本课题作了如下研究:
(1)首先分析了现有校园网络面临的安全问题,并指出了现有安全措施存在的不足。
(2)深入研究PPDRR理论网络安全模型,并将其高等院校的实际需求进行结合,为高等院校提出可行的安全解决方案。
在了解本文的主要研究内容的基础上,对论文的组织结构进行说明,本论文共分六章,各章具体内容如下:
第一章,绪论。
首先分析了网络安全的重要性,并对国内外在网络安全方面取得的成果进行了介绍,最后介绍了本文的主要研究内容和章节安排。
第二章,网络安全问题分析。
本节主要对校园网面临的安全问题以及当前使用的安全解决方案进行了介绍,以便找到其中的缺陷。
第三章,网络安全技术分析。
本节主要对当前应用较多的安全技术进行了介绍,具体包括防火墙技术以及VPN技术等。
第四章,校园网络安全体系模型的设计。
本节在综合分析现有安全解决方案存在的缺陷的基础上,提出了构建基于PPDRR模型的安全解决方案。
第五章,校园网络安全体系的实现。
本节主要介绍网络安全方案的部署,具体包括硬件环境的配置等。
。
第六章,总结与展望,对本论文进行总结并对网络安全技术的发展进行展望。
。
2网络安全相关概念
2.1网络安全定义
国际标准化组织(ISO)给出了“计算机安全”的基本概念,为信息系统构建一个安全环境[15],实现对系统架构内的软硬件设备的安全管理以及保护,能全面应对各类故障引发的错误。
根据定义可以知道,其包括物理安全和逻辑安全两个方面,两者关注的重点不一样,逻辑安全即所谓的信息安全,其主要目标在于防止信息被窃取或篡改,而物理安全的主要目标在于防止设备被攻击。
而网络安全由信息安全发展而来的,其主要目标在于保证网络信息的可用性和完整性。
美国的计算机专家提出了一个安全框架,以解释网络中的各种安全问题。
这个框架共有六大性能特征,分别是[16]:
(1)保密性:
是指非授权用户无法查看相应的信息,并无法被使用,防止信息被不法分子使用。
(2)完整性:
是指信息不会被丢失或篡改。
(3)可用性:
指网络中主机存放的静态信息应具有可用性和可操作性。
(4)实用性:
指应保证信息的实用性。
(5)真实性:
指应确保信息的可信度,即信息应具有完整、准确、在传递和存储的过程中不被修改,以及对信息的内容具有控制权等特性。
(6)占用性:
指确保用于存储信息的主机、磁盘和信息载体等不被盗用,并具有对该信息的占有权。
事实上,网络安全涉及的范围非常广泛,不单单指传统意义上的软件安全,还包括硬件以及在网络中传输的信息,上述任意部分被不法份子攻击或被破坏,都会造成整个系统的崩溃。
当然网络安全的保证必须调动各方面的资源,除了技术保证以外,还必须设置一定的管理原则,两者缺一不可。
2.2网络安全标准
国家质量技术监督局发布了计算机安全标准,按标准的不同可划分为五个不同的等级,下面对各等级进行详细说明[17]:
(1)第1级为用户自主保护级(GB1安全级):
第1级的安全能力是最低的,其要求用户自身具备一定的安全防御能力,以此来提高系统安全性。
(2)第2级为系统审计保护级(GB2安全级):
第2级所具备的安全能力要高于第一级,其要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。
(3)第3级为安全标记保护级(GB3安全级):
第3级除了满足上一级的要求以外,引入了权限控制技术,主要用于保证访问对象的安全性,防止被篡改。
(4)第4级为结构化保护级(GB4安全级):
第4级除了满足安全标记保护级的要求以外,还将访问对象进行了严格划分,即加强对系统关键信息的访问控制,放宽非关键信息的访问权限。
(5)第5级为访问验证保护级(GB5安全级):
其主要作用在于验证访问者的合法性,对于不合法用户不予访问。
上述安全标准是根据标准化组织的建议制定的,并且相关工作还在不断开展。
中国在网络安全方面的研究起步于上世纪80年代[18],目前取得了很多的研究成果,制定了适用国内的安全标准,并且有许多公司开始提供全方位的安全解决方案[19]。
尽管如此,国内与国外相比,还存在很大的差距,需要努力研发适应国内企业需求的安全系统。
2.3网络安全问题
本章将对网络面临的安全问题进行说明,具体包括网络面临的威胁、网络攻击特点以及网络安全产生的原因。
2.3.1网络面临的威胁
当前存在多种不同类型的网络威胁,具体包括如下几个部分[20]:
(1)黑客的威胁和攻击。
目前计算机面临的最大威胁就是黑客,由于计算机中存在许多的漏洞,而这些漏洞给了黑客机会,他们可利用这些漏洞入侵用户的机器进行篡改和读取操作,由此会给用户带来巨大的损失。
(2)计算机病毒。
计算机病毒具有人为主观意志,其通常为一段可执行代码,只要用户的操作触发了代码的执行,就会给用户的机器带来毁灭性的打击,可直接破坏用户的操作系统,使之无法正常工作[21]。
同时一般计算机病毒具备较强的传染性,瞬间会造成网络中大量机器的损毁,这样会给整个网络带来巨大的危害。
(3)垃圾邮件和间谍软件。
现在有许多的公司和个人利用电子邮件向用户推送广告,以达到某些目的。
而这些电子邮件中往往包含某些病毒或者恶意软件,只要用户点击相应的链接地址或者附件[22],就有可能给自己的计算机带来危害,比如被监控或者感染病毒。
2.3.2网络攻击的特点
网络攻击的危害性比较大,通常具备如下几个特点:
(1)损失巨大。
网络攻击的受害主体通常为运行在网络中的机器,若机器被监控或者信息被窃取,容易造成用户巨大的经济损失。
除此以外,由于计算机病毒的传染性,容易造成网络中大量机器的瘫痪,如此带来的损失不可估量,据最新的统计,每年因网络攻击带来的损失高达数百亿美元[23]。
(2)威胁国家安全。
黑客们攻击的兴趣点挑战高难度,因此每年都会发生很多起进入国家军事部门的案件,显然这些信息的丢失会对整个国家的安全带来威胁。
(3)攻击方式多样化。
目前存在多种多样的攻击方式,目前应用较多的有利用间谍软件监控用户行为,获取私密数据,如账户密码等,除此以外,还有利用系统漏洞攻击用户主机,致使用户机器瘫痪等[24],并且上述手段越来越隐蔽,追踪起来也越来越难,这些在一定程度上纵容了网络犯罪活动。
(4)以软件攻击为主。
目前绝大多数网络攻击都通过恶意软件实现,要么利用软件监控个人机器,要么利用软件摧毁个人机器[25],具体原因在于利用软件进行网络攻击比较简单,又具备较好的隐蔽性。
另一方面利用漏洞攻击需要黑客具备较大的技术能力,这需要深厚的技术功底。
2.3.3网络威胁产生的原因
在了解了网络安全的类型以及特点以后,对网络安全的产生原因进行说明,具体包括如下几部分:
(1)TCP/IP的脆弱性。
Internet是在TCP/IP协议的基础上进行构建的,但是由于TCP/IP在设计之初并为深入考虑安全性问题[26],除此以外,TCP/IP协议不是保密协议,黑客可对其进行研究找到其中的漏洞,以便进行利用相关漏洞来进行攻击。
(2)网络结构存在漏洞。
因特网是由无数个不同的局域网搭建而成,因此网络中不同网段的机器在进行通信时,需要经过重重转发,在这个转发过程中,信息容易被不法份子窃取。
(3)易被窃听。
由于许多在Internet上传输的数据并没有加密,黑客可轻易利用监控软件获取上述信息,并以此来进行违法操作。
(4)缺乏安全意识。
事实上目前市场上存在大量的安全软件,可在一定上防范简单的网络攻击,但是由于用户安全意识淡薄,安全软件的应用往往未起到相应的作用。
2.4网络入侵与攻击
网络入侵是指不法份子利用非正常手段获得资源的范围权限,从而利用相应的权限对被攻击的主机进行非法操作[27],以便达到相应的目的。
在网络环境下,网络攻击无处不在,是不可避免的,但是可采取某些措施来降低遭受网络攻击的几率,如引入防火墙以及加强漏洞修复等,避免因入侵和攻击造成损失。
技术手段一直是保证网络安全的非常重要的措施,在计算机网络发展的早期,技术手电甚至是唯一措施[28]。
目前计算机网络迅猛发展,遍布世界各个角落;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 PPDRR 立体 网络安全 防御 体系 研究 应用 硕士学位 论文
![提示](https://static.bdocx.com/images/bang_tan.gif)