企业网络安全漏洞分析及其解决_kaic

摘要

为了防范网络安全事故的发生,互联网的每个计算机用户、特别是企业网络用户，必须采取足够的安全防护措施，甚至可以说在利益均衡的情况下不惜一切代价。事实上，许多互联网用户、网管及企业老总都知道网络安全的要性，却不知道网络安全隐患来自何方，更不用说采取什么措施来防范胃。因此，对于互联网用户来说，掌握必备的网络安全防范措施是很有必要的，尤其是网络管理人员，更需要掌握网络安全技术，架设和维护网络系统安全。
本论文前四章介绍了网络安全的概述，网络安全技术和网络安全漏洞分析；介绍了我国网络安全的现状和网络安全面临的挑战，以及漏洞的分类的分析。第五章主要讲了漏洞扫描系统的必要性，只有发现漏洞才能更好的维持企业网络安全秩序。第六章主要是实际应用的解决方案，介绍了无线网络安全实战，用实际的解决方案来说明主题。
关键词： 网络安全   漏洞    解决方案
ABSTRACT
    To prevent the occurrence of network security incidents, the Internet each computer user, especially the corporate network users must take adequate safety precautions, perhaps even in the case of balancing the interests at all costs. In fact, many Internet users, network management and corporate CEOs are aware of network security to, but do not know where it comes from the network security risks, not to mention the measures taken to prevent stomach. Therefore, Internet users, the master necessary network security measures is necessary, especially in network management, but also need to have network security technology, the construction and maintenance of network system security.

The first four chapters of this paper describes an overview of network security, network security and network security vulnerability analysis; describes the status of our network security and network security challenges, and vulnerabilities are presented. Chapter Five talked about the need for vulnerability scanning system, only to find loopholes in better maintenance of enterprise network security order.  Sixth chapter is the practical application of the solution, introduced the actual wireless network security, with practical solutions to illustrate the theme.
Keywords: Network Security   vulnerabilities   Solutions 
摘要
ABSTRACT
1绪  论
2 网络安全概述
2.1我国网络安全的现状与挑战
2.1.1我国网络安全问题日益突出
2.1.2制约提高我国网络安全防范能力的因素
2.1.3对解决我国网络安全问题的几点建议
2.1.4网络安全面临的挑战
2.2飞鱼星安全联动系统
2.3网络安全分析
2.3.1 网络安全的定义
2.3.2 物理安全分析
2.3.3网络结构的安全分析
2.3.4系统的安全分析
2.3.5应用系统的安全分析
2.4网络安全体系结构
2.4.1网络安全体系结构框架
2.4.1.1五大网络安全服务
2.4.1.2八大网络安全机制
2.4.2网络安全服务层次模型
3 网络安全技术
3.1网络安全技术分析
3.2数据加密技术
3.2.1单密钥机密体制
3.2.2公用密钥加密体制
3.3防火墙枝术
3.4认证技术
3.5杀毒软件技术
3.6入侵检测技术
3.7安全扫描技术
3.8访问控制技术
3.9虚拟专用网技术
3.10 VPN技术解决方案——华为3Com 动态VPN解决方案
3.10.1 概述
3.10.2动态VPN的基本原理和关键技术
3.10.2.1 动态VPN的基本原理
3.10.2.2动态VPN的关键技术
4 网络安全漏洞分析
4.1漏洞的概念
4.2漏洞的分类
4.2.1 从不同角度划分
4.2.2按照漏洞的形成原因划分
4.2.3按照漏洞可能对系统造成的直接威胁划分
4.2.4按照漏洞被利用方式划分
4.3漏洞的特征
4.4漏洞严重性的等级
5  漏洞扫描系统概述
5.1漏洞扫描系统的简介
5.1.1漏洞扫描系统定义
5.1.2漏洞扫描系统的必要性分析
5.1.3漏洞扫描系统构成
5.2网络漏洞扫描器
5.2.1漏洞扫描器的扫描工作原理
5.2.2漏洞扫描技术
5.3网络漏洞扫描系统在企业网络安全实施中的应用实战
6  无线网络安全实战
6.1无线局域网安全现状与安全威胁
6.1.1 无线局域网安全现状
6.1.2无线局域网的安全威胁
6.2无线局域网标准与安全技术
6.2.1无线局域网安全技术
6.2.2 WLAN的访问控制技术
6.2.2.1服务集标识SSID(Service Set Identifier)匹配
6.2.2.2物理地址(MAC，Media Access Control)过滤
6.2.2.3 WLAN的数据加密技术
6.3无线网络设备安全
6.3.1无线网络设备
6.3.1.1无线网卡
6.3.1.2无线接入点
6.3.1.3无线路由器
6.3.2无线网络设备的安全设置
6.3.2.1无线接入点的安全
6.3.2.2无线路由器的安全
6.4 3COM公司无线网络安全解决方案
6.4.1动态安全链路(DSL)技术
6.4.2虚拟专用网络(VPN)技术
6.4.3端口访问控制技术(802.1x)
6.4.4 EAP-MD5
6.4.5 EAP-TLS
6.4.6 3COM Serial Authentication
结论
致  谢
参考文献
1绪  论
    随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。
一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：
(1)信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。
(2)在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。
(3)网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。
(4)随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。
在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步。据有关方面统计，目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。

  2 网络安全概述
2.1我国网络安全的现状与挑战
网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁。
2.1.1我国网络安全问题日益突出
目前，我国网络安全问题日益突出的主要标志是： 
一、计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍，从国家计算机病毒应急处理中心日常监测结果看来，计算机病毒呈现出异常活跃的态势。据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。
二、电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性，从国内情况来看，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。
三、信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。
四、网络政治颠覆活动频繁。近年来，国内外反动势力利用互联网组党结社，进行针对我国党和政府的非法组织和串联活动，猖獗频繁，屡禁不止。尤其是一些非法组织有计划地通过网络渠道，宣传异教邪说，妄图扰乱人心，扰乱社会秩序。例如，据媒体报道，“法轮功”非法组织就是在美国设网站，利用无国界的信息空间进行反政府活动。
2.1.2制约提高我国网络安全防范能力的因素
 当前，制约我国提高网络安全防御能力的主要因素有以下几方面。
一、缺乏自主的计算机网络和软件核心技术 
我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞：CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害：“网络发展很快，但安全状况如何？现在有很多人投很多钱去建网络，实际上并不清楚它只有一半根基，建的是没有防范的网。有的网络顾问公司建了很多网，市场布好，但建的是裸网，没有保护，就像房产公司盖了很多楼，门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品，这些因素使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。
二、安全意识淡薄是网络安全的瓶颈
目前，在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。与此同时，网络经营者和机构用户注重的是网络效应，对安全领域的投入和管理远远不能满足安全防范的要求。总体上看，网络信息安全处于被动的封堵漏洞状态，从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
三、运行管理机制的缺陷和不足制约了安全防范的力度
运行管理是过程管理，是实现全网安全和动态安全的关键。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看，有以下几方面的缺陷和不足。
（一）网络安全管理方面人才匮乏：由于互联网通信成本极低，分布式客户服务器和不同种类配置不断出新和发展。按理，由于技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。信息安全技术管理方面的人才无论是数量还是水平，都无法适应信息安全形势的需要。
（二）安全措施不到位：互联网越来越具有综合性和动态性特点，这同时也是互联网不安全因素的原因所在。然而，网络用户对此缺乏认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。
（三）缺乏综合性的解决方案：面对复杂的不断变化的互联网世界，大多数用户缺乏综合性的安全管理解决方案，稍有安全意识的用户越来越依赖“银弹”方案（如防火墙和加密技术），但这些用户也就此产生了虚假的安全感，渐渐丧失警惕。实际上，一次性使用一种方案并不能保证系统一劳永逸和高枕无忧，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品简单碓砌就能解决的。近年来，国外的一些互联网安全产品厂商及时应变，由防病毒软件供应商转变为企业安全解决方案的提供者，他们相继在我国推出多种全面的企业安全解决方案，包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案，以及企业管理解决方案等一整套综合性安全管理解决方案。
（四） 缺乏制度化的防范机制
不少单位没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为（尤其是非法操作）都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时，政策法规难以适应网络发展的需要，信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点，给侦破和审理网上犯罪案件带来极大困难。
2.1.3对解决我国网络安全问题的几点建议
网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说：“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。因此，可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度，上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系，其核心是在技术处于弱势的情况下，用强化管理体系来提高网络安全整体水平。衷心希望在不久的将来，我国信息安全工作能跟随信息化发展，上一个新台阶。
2.1.4网络安全面临的挑战
随着网络经济的迅猛发展，企业网络安全正遭受严峻的挑战：病毒泛滥、黑客入侵、木马蠕虫、拒绝服务攻击、内部的误操作和资源滥用，以及各种灾难事故的发生，这些都时刻威胁着网络的业务运转和信息安全。2003年的蠕虫病毒大爆发恐怕令很多人至今都记忆忧新，在这场灾难中，全球企业遭受的损失超过了550亿美元。
虽然企业网络的安全已成为人们关注的焦点，基于防火墙、网关等设备的防毒防攻击技术也层出不穷；但病毒和黑客的进步速度似乎更快，并逐渐呈现出病毒智能化、变种、繁殖化，黑客工具“傻瓜”化等趋势，这使得传统的企业网络安全体系防不胜防，企业网络随时面临瘫痪甚至被永久损坏的危险。 
在传统的网络架构中，由防火墙、网关等单一安全产品打造的防线，面对不断更新的病毒和网络攻击，显得十分脆弱与被动。 
图1-1传统网络结构面临的挑战和困难图
如图1-1所示具有如下特点：
网关常常被欺骗信息“迷惑”
各类应用抢占带宽资源 
恶意信息和网络攻击肆虐 
关键业务无法得到保障 
内网充斥着海量的垃圾信息
设备性能和网络资源被恶意访问消耗殆尽……
整个网络就像一个杂乱无章的车站，三教九流充斥其中，无秩序无管理，造成整个网络的稳定性大打折扣。