企业计算机网络安全系统设计与实现

企业计算机网络安全系统设计与实现摘要随着网络技术的不断发展和应用,计算机网络不断改变各种社会群体的生活、学习和工作方法,可以说人们已经不能离开计算机工作和学习。由于计算机网络在生活中如此重要,如何保证网络的安全可靠稳定运行,已成为网络设计和管理中最关键的问题。企业作为互联网应用最活跃的用户,在企业网络规模和网络应用不断增加的情况下,企业网络安全问题越来越突出。企业网络负责业务规划、发展战略、生产安排等任务,其安全稳定直接关系到生产、管理和管理的保密性。因此,企业建立网络安全体系至关重要。本文首先介绍了企业计算机网络安全技术,分析了计算机网络接入和防火墙技术等系统开发过程中涉及的关键技术,以及如何在此阶段为上述网络安全问题建立安全系统。如何建立监控系统等,并描述了系统的实现过程。该系统可实现计算机网络访问控制、文件系统运行、系统运行状态等的远程访问和实时监控。主要实现用户身份管理模块、实时监控模块、硬件对象管理模块、软件对象管理模块、网络对象管理模块、文件对象管理模块等。通过对系统的测试和分析,系统达到预期的设计目标和工作状态,可以满足内部网络安全监控的功能要求。可应用于网络信息安全有更高要求的企业和部门。关键词:网络安全;实时监控;安全系统;网络信息安全第1章绪论1.1课题研究的背景及意义随着计算机网络技术的发展,互联网的应用也在不断推进,其应用已深入到工作、生活、学习和娱乐的各个方面,使人们的工作环境不断改善,提高生活质量,企业电子商务发展迅速,信息化水平大幅提升,大大促进了经济社会的进步和发展。但是,互联网的普及为人们带来了便利,提高了生活质量,促进了社会科学技术进步,促进了社会的发展,同时网络信息安全的问题日益突出[1]。随着计算机网络的广泛应用和普及,黑客的非法入侵,网络中计算机病毒的蔓延和垃圾邮件的处理已成为关注的焦点。许多公司没有为计算机网络系统做好安全措施,付出了非常惨痛和昂贵的代价[2]。企业网络建设是企业信息化的基础,INTRANET是企业网络模式,是企业网络的基础。INTRANET不完全是LAN的概念,通过与互联网的连接,企业网络的范围可以跨区域,甚至跨越国界[3]。现在很多有远见的商界领袖感受到企业信息化的重要性,已经建立了自己的企业网络和内部网,并通过各种广域网和互联网连接。网络在我国的快速发展只有近几年才出现,企业网络安全事件的出现已经非常多[4]。因此,我们积极开展企业网络建设,学习吸收国外企业网络建设和管理经验,运用网络安全将一些企业网络风险和漏洞降至最低。随着威胁的迅速发展,计算机网络的安全目标不断变化。因此,只有不断更新病毒和其他软件不断升级以确保安全。对于包含敏感信息资产的业务系统和设备,企业可以统一应用该方法,从而确保病毒签名文件的更新、入侵检测和防火墙配置以及安全系统的其它关键环节。简单的技术无法解决安全问题。只有依靠健全的战略和程序,并配合适当的人员和物质安全措施,整合安全解决方案才能发挥最大的作用。健全的安全政策和标准规定了需要保护的内容,应根据权限和需要划分人员的职能。公司需要高度支持安全政策,提高员工意识,有助于成功实施战略[5]。全面的安全策略提高了目标计算机网络的整体安全性,这是通过使用网络安全独立产品无法实现的。不管内部和外部安全问题如何,确保所有这些功能都得到实施。维护安全的基本框架非常重要[6]。1.2企业网络安全系统国内外研究现状企业网从初始单一数据交换发展到集成智能综合网络,已经经历了十几年的时间。在此过程中,企业网络人员逐渐实现了网络架构设计多层次,多元素化。它包括主机系统、应用服务、网络服务、资源、并支持业务的正常运行。现在企业对网络的需求越来越高,对网络的依赖越来越强,这表明企业管理、生产和销售网络发挥了很强的支撑作用[7]。随着宽带互联网的快速发展,企业网络安全形势恶化,受访企业中有部分企业发生网络信息安全事件,其中一些企业感染了病毒、蠕虫和木马[8]。一些公司有网络端口扫描。在这种情况下,企业网络安全和网络安全管理已成为国内政府、学术界和行业关注的焦点。从政府的角度来看,企业网络具有重要的战略意义:企业网络是国家信息化基础设施,肩负着保护网络和信息安全的重要责任,也反映了国家主权。在学术领域,信息安全是一个综合性学科领域,不仅包括数学、物理,还包括通信、计算机等综合学科。其研究不仅包括网络安全技术的研究和设计,整体解决方案,还包括网络安全产品的开发等[9]。在行业中,我们的产品缺乏核心竞争力:信息安全产品和国外厂商的自主开发,几乎都属于低端产品。例如,国际先进的网络安全解决方案和产品,是我国禁止的,我们只能学习这些先进的技术和产品。面对日益严重的网络和信息安全形势,我国政府、学术界、产业界等高度关注,信息安全的重要性已经提升到前所未有的战略高度。2000年以后,我国制定了一批信息安全法规和部门规章制度,基本形成统一,分工明确的负责任组织,网络安全事故应急响应协调机制初步建立,实施信息安全关键技术研究,启动相应的体系建设,开展计算机信息系统分类安全体系建设监督管理,开发了一批专业信息安全产品,网络信息安全产业开始形成规模。我国信息网络安全管理与控制系统研究与开发在初期阶段,2006年,古利勇等对网络管理平台架构进行了研究,提出了系统框架。安全策略管理分析。安全预警管理、资产风险管理、安全事件集中监控、安全知识管理、安全报告管理等六大核心功能模块[10]。2008年,孙强等提出了基于消息通信安全管理体系的模型,介绍了安全管理体系的结构和实现机制,并对系统实现中的关键技术和解决方案进行了介绍,包括系统架构、消息通信机制、系统安全机制和安全风险模型及数据一致性维护等[11]。2010年,史简等研究提出了统一的网络安全管理平台,运用风险评估和事件相关技术,实时分析网络风险情况,减少误报和漏报[11]。赵泉2011年指出,加密技术是信息安全网络安全技术的核心[12]。2013年,阎廷瑞提出了信息传输和存储的安全性,为网络应用系统信息安全模型的基本要素和资源访问的安全控制提供了一种更简单可行的认证和安全管理解决方案[13]。2015年,刘金华等研究设计了新的监控管理系统,通过数据采集、数据分析、实现网络内主机设备性能数据分析与监控控制策略[14]。朱周华在2016年提出了一种新的网络和信息安全架构模型[15]。自20世纪70年代中期以来,英美等西方发达国家已经开始重视网络和信息安全问题。经过多年的发展,在理论研究、标准制定、产品开发、安全体系建设,人才培养等方面取得了很多成果[16]。本文回顾了信息安全技术发展的路径,W.Diffie和W.Hellman提出了公钥密码学与David.Bell和LconardLaPadufa提出计算机安全模型,信息安全从初步的单阶段保密到预防和检测、评估、控制等方面提出了计算机安全模型,信息安全处于快速发展阶段“攻、防和测、评、控、管为一体的安全成熟的系统之一[17]。从目前的市场结构来看,信息安全技术保持领先的是美国、英国、法国和以色列;研究内容主要针对安全协议和安全架构设计,包括:安全协议分析方法,安全协议研究与设计的使用;安全架构设计,包括安全系统模型、研究和建立安全策略和机制,以及系统对安全性的检查和评估[15]。安全协议研究中最关键的问题之一是安全分析方法的形式分析。目前,该领域的成果包括电子商务协议、协议、简单网络管理协议和安全操作系统,安全数据库系统[16]。从当前产品的角度来看,目前主流的安全产品有防火墙、安全服务器、入侵检测系统、安全数据库、认证产品等[16]。从国外企业信息化建设的角度看,发达国家的许多企业将信息化迈向战略高度,大量信息技术投入和发展(一般信息投入占总资产的10%,加快获取信息技术。例如,美国所有的大公司都实现了办公自动化,一些跨国公司实现虚拟办公[17];同时这些大型企业基本上都是通过信息技术实现首席信息官改进这些企业的决策、管理和经营,并获得新的发展机遇[18]。AntoineJoux(2011在其《AlgorithmicCrpytanalysis》一书中指出,加密算法和验证技术与网络安全密切相关[19]。外国学者JosephMiggaKizza(2013著作《COMPUTERNETWORKSECURITYANDCYBERETHICS,4THED》中针对近年来新型的加密技术进行了阐述[20]。从国外企业实施信息化的角度来看,一般国际企业随着信息技术的推广,其业务网络延伸到最广泛的地方。然而,由于新技术的飞速发展,信息安全的一般公司面临着诸多问题和困难,所以他们将如网络防火墙技术、入侵检测技术、数据安全技术、安全技术投资外包给第三方等[21]。1.3课题主要研究内容本文的主要工作是分析内部网络安全检测系统的关键技术。在此基础上,完成了网络安全检测系统的设计与开发,主要包括以下几个方面。1.本文分析了网络编程技术中的安全检测系统,主机状态监控技术和用户权限管理以及数据安全技术,提出了具体的实现方案。有关系统信息收集,用户行为数据和网络数据采集的基本概述和相关关键技术,以及对开发环境中使用的系统的简要介绍。2.分析安全检查系统的具体需求,包括功能和非功能要求,并阐明任务的范围和内容。简要介绍了网络安全检测系统的要求,详细分析了系统的整体功能和子功能。最后,介绍了系统的性能、易用性、接口要求和非功能要求。3.完成安全检测系统的整体框架设计,给出系统功能的具体设计。本文介绍了网络安全检测系统的设计过程,给出了系统的功能结构和处理逻辑设计,并描述了核心数据结构、用户界面、数据结构和安全设计过程。4.完成安全检测系统的编码和实现,并对系统进行了测试和分析。介绍了系统的实现,系统的整体拓扑结构和软件系统的逻辑结构,分别实现了功能模块在核心功能中的关键功能。介绍了网络安全检测系统的功能和性能测试。测试结果表明该系统可以满足应用要求。1.4论文结构安排第1章对企业计算机网络安全系统的背景和意义进行介绍。得出本文的研究现状、研究内容和结构。第2章相关概念和关键技术,详细介绍了企业计算机网络安全相关的技术,如计算机网络入侵和攻击技术,以及在这个阶段针对以上的网络安全问题,如何建立一个安全系统等。第3章需求分析包括系统功能和非功能需求分析。第4章企业计算机网络安全管理系统的设计,系统架构设计、系统功能模块设计、数据库设计等。第5章企业计算机网络安全管理系统的实现。对各个部分的功能进行实现。第2章相关概念及关键技术2.1计算机网络安全的概念计算机网络安全是指系统软件、应用软件、硬件等媒体在网络中的所有数据信息可以完全防御,不会出现异常或异常变化,可以有效防止这些媒体信息不被篡改,保护网络数据传输稳定,不会泄漏,不间断运行[22]。网络安全是一个非常复杂和全面的研究课题,不仅涵盖了计算机基础科学、网络通信技术、信息技术和电子通信加密技术,而且还包括一些端口类加密、信息理论和应用数学。从根本上说,网络安全是运输网络元素的安全运行。网络安全性按照应用分为两大类,第一类网络安全是指网络信息安全。第二类是指网络中所有数据可用、可控、保密和完整性相关技术被归类为计算机网络安全分类讨论的完整性的理论[23]。同时,计算机网络安全也可以根据环境或对象不同而产生理论扩展。用于维护信息网络管理员。网络安全是确保网络不受木马和病毒。攻击外部和内部数据,消除网络应用程序的异常使用,确保资源可以完全控制,以确保网络可以访问数据单元操作。但是对于最终用户的计算机网络在网络安全方面的个人隐私和商业秘密来说,确保个人信息和个人安全。与网络传输和存储的单位信息相关的所有数据均为机密、真实、完整。并确保用户未经授权的身份存储在所有相关数据单元中,信息不能以任何方式进行篡改,确保自身利益和权力[24]。2.2计算机网络安全的关键技术网络安全技术牵引涉及很多基础学科,本文列举了网络安全技术在相对普及技术中的发展实现。防火墙(Firewall、虚拟专用网(VPN、入侵检测(IDS、安全扫描技术(Scanner和网络访问控制(ACL如下所述。所谓的防火墙技术(Firewall通过互联网(Internet或外部网络和数据传输网络之间的“最小”内部网络传输门禁,然后完成隐藏的未经授权的用户连接内部网络数据方法[25]。到目前为止,防火墙技术仍然可以防止未经授权的用户访问网络,也是防止非法用户入侵的最关键手段,以及最广泛使用的网络安全策略部署技术。结合信息安全技术开发过程的发展,防火墙(Firewall可分为三类:1.包过滤防火墙通常基于路由器建立,在服务器或计算机上也可以安装包过滤防火墙软件。在网络层包过滤防火墙的基础上,单个IP实现网络控制。对所接收的IP数据包的源地址、目的地址、TCP数据包或UDP数据报文的源端口和目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,以及网络管理员预先设置的访问控制比较列表以确定它们是否符合预定义的安全策略和决定,释放或丢弃给定的包。防火墙的优点是简单、方便、快速、透明度好,对网络性能影响不大,可以用来禁止非法外部用户访问企业内部网,也可以用来禁止访问某些类型的服务,但是我们无法识别危险程序包的内容,无法执行应用程序安全性处理。2.代理服务器型防火墙通过在计算机或服务器上运行代理服务程序,运行到特定应用层服务,也称为应用层网关级防火墙。代理服务器型防火墙核心,是代理服务器上运行的防火墙主机进程。实质上,它是连接企业内部网和互联网网关的特定网络应用[23]。它是用户完成TCP/IP访问功能,其实是电子邮件、FTP、Telnet、WWW等不同应用程序都提供给相应的代理。该技术允许通过代理服务器建立外部网络和内部网络之间的连接,实现安全的网络访问,并可实现用户认证,详细日志,审计跟踪和数据加密等功能,实现协议过滤器和会话控制控制,具有良好的灵活性。代理服务器防火墙有可能影响网络的性能,用户不透明,而对于每个TCP/IP服务应设计一个代理模块,建立相应的网关实现更为复杂。3.复合型防火墙由于安全性要求较高,通常基于包过滤方法和基于应用的代理方法,形成复合防火墙,提高防火墙的灵活性和安全性。这种组合通常有两个选择:(1屏蔽主机防火墙架构:在这种结构中,分组过滤路由器或防火墙和Internet连接,同时将堡垒机安装在内部网络中,通过包过滤路由器或防火墙过滤规则集,使堡垒成为只有互联网上其他节点能够访问的节点,这确保了内部网络不会受到未经授权的外部攻击[24]。(2屏蔽子网防火墙架构:堡垒机放置在子网中,形成非军事区,两个子网过滤器的两端,使子网和互联网和内部网分离。在屏蔽子网防火墙架构中,堡垒主机和过滤路由器构成了整个安全防火墙的基础。虚拟专用网(VPN是通过公共网络创建一条穿透公共网络饿逻辑隧道。这是在公用网络(Internet上建立一个虚拟通道连接,从技术上讲,虚拟专用网络是局域网(LAN的扩展[25]。通过虚拟专网(VPN技术可实现远程终端连接网络(LAN,这是现代网络发展的重要技术,可以帮助企业分支机构及相关零部件企业建立网络通信,该技术可以保护最终用户和总部之间的安全数据信息传输。虚拟专网(VPN部署成本低廉,易于建立VPN网络,既保护安全和数据传输的机密性,又简化了网络架构设计的复杂性[26]。虚拟专网(VPN有四大类的关键技术[27]:1.隧道技术;2.用户认证技术;3.加密技术;4.访问控制技术。隧道技术是虚拟专用网(VPN最关键的技术,它是一种基于私有数据网络的安全转发信息的加密隧道机制。该技术是在转发帧之前封装需要在对应加密协议中发送的帧。当转发的数据传输到隧道的另一端时,将根据已建立的加密协议进行解封。从分组到封闭,加密隧道为一个逻辑信道,隧道协议由三部分组成,一个是数据链路层协议,协议标准是L2TP和PPTP;另一个是网络层协议,主要协议是IPSec和GRE等;另一个是传输层协议,主要协议是SSL和TSL等。两种最广泛使用的加密协议是L2TP和IPSec。虚拟专网(VPN根据虚拟专网的应用类型可分为三类[28]:(1内网(LANVPN:实现从LAN到另一个LAN到网关的链接。资源通过不同的LAN资源通过目标LAN进行连接。(2外联网(ExtranetVPN;与内部网络(LAN构成外网;也与其他网络(LAN互连。(3远程访问(AccessVPN:实现远程用户上网互联,基于公网实现虚拟专用数据转发。对于不同的客户可以开发不同的虚拟专用设备,设备可以分为VPN交换机、VPN防火墙和VPN路由器[29]。(1VPN交换机:这些设备用于更远程的接入网架构;(2VPN防火墙:最广泛使用的虚拟专用网建设设备,一般部署在网络出口;(3VPN路由器:最容易部署这样的设备,只需增加路由器配置VPN服务类别即可完成。1.入侵检测技术基本策略虽然防火墙可以有效防止非法入侵,但是防火墙不是灵丹妙药,防火墙周围总是有未知的攻击来攻击网络,导致网络不正常运行,网络入侵检测系统(IDS采用一个更智能的检测策略,从第二个测试端口检测攻击行为。入侵检测的基本策略是基于网络的一定算法或访问的关键点进行更科学的分析,以确定是否存在安全策略行为的攻击或违规。满足算法要求的人作为合法访问,但对于那些不符合算法访问测试结果要求的报告,响应处理和阻塞在检测系统中,核心是基于网络信息监控检测和有效判断数据是否合法,非法数据过滤掉。入侵检测过程如图2-1所示。从图中可以看出,入侵检测系统拦截网络信息,然后提取检测数据,根据过滤规则提取数据,通过入侵的分析结果,并截获数据包信息响应处理。图2-1入侵检测系统流程2.入侵检测技术分类根据信息数据包单元的来源差异,入侵检测可以分为以下几类:(1基于主机型IDS可以为网络事件和操作系统环境,日志记录进行有效的检测。如果文档被修改或更改文档的日志,IDS将匹配新的日志条目和现有的访问攻击事件。如果比较表示新的日志条目和访问事件具有攻击特征,则IDS匹配系统将根据已建立的规则发送告警信息。信息安全行业所有IDS产品都有侦听端口,如果检测到异常警报或未经授权的访问特定端口将触发警报机制,则会向网络管理员发送警报消息。(2基于网络IDS该设备将网络信息视为分散的信息源,并使用网络在阅读后收听网络上的信息流。基于网络的IDS检测模块通常使用统计和匹配模式来识别攻击行为。IDS只要违反网络检测违规行为,IDS响应模块就会触发报警,网络链路切断。对于不同的网络响应,IDS将使用不同的触发机制,包括日志的内容通知管理员,管理员将不满足用户网络连接的要求或与非法网络行为日志存储相关联[31]。(3基于主机和网络集成的IDS因为基于主机的IDS和基于Web的IDS都有自己的优势。这么多IDS供应商将结合这两大类的优势,在网络安全部署方案中,基于主机IDS和基于网络的IDS优势的合并,利用各自的优势。许多用户在部署基于主机的IDS时部署基于网络的IDS,IDS检测到未经授权的访问,并且在日常工作中、邮件、DNS和Web服务器往往是针对性的。在电子邮件中,网络中的DNS和Web服务器被部署,它们必须巧妙地与Internet进行数据连接,因此基于主机的IDS部署在服务器的前端,可以完成非常好的安全性防护[32]。网络访问控制,也称为网络接入控制,称为TAC。TAC技术是保护信息网络终端最有效的方式,它被安装在网络检测终端软件中,实现最有效的方式。此外,TAC允许其他交换机如交换机SW、路由器SR和防火墙FW一起使用。使用此应用程序的服务器和最终用户的计算机提供了一个全面的自动化管理流程,以确保数据在端点之前安全地进行交互[33]。通用网络访问控制分为三个部分,第一部分是降低零日攻击的风险:网络访问控制技术的关键应用是防止未安装病毒、补丁、入侵防御软件终端接入网络资源。第二个是增强安全策略:网络访问控制设备允许管理员设置允许管理员高级访问网络并按照这些规则清除主网络交换设备的规则[34]。第三是身份和访问管理:访问控制应用程序打破传统计算机网络TCP/IP协议访问巧妙的策略实现,它是基于用户权限来保护网络的安全性和稳定性。访问控制可以分为四类:1.基于代理的TAC;2.无代理TAC;内联TAC;带外TAC[35]。(1基于代理的TAC:这种方法是通过终端添加一个后台软件。通过专用网关或TAC平台实现安全管理。基于代理的TAC灵活性不高,对终端设备上安装的特定探测器才可以实现该功能[36]。(2非代理TAC:此方法不在终端上安装后台探测器,无需使用代理,可以简化网络部署的难度,这样的TAC操作简单。(3内联TAC:通过所有终端通信实现及其在三层网关中的运行和部署,可以增强安全策略[37]。内联TAC方法相对简单,但会导致广播数据在网络中的更多传输。随着网络正常运行时间的增加,内联TAC将增加TOC,这是由于内部广播流量的增加将增加内联设备的数量。(4带外TAC:该技术是通过现有的网络基础设施应用来增强网络的安全性。作为终端向数据传输到中央控制设备实现整体战略,这种设备的部署实现复杂。带外TAC技术实现更复杂,但不会对网络传输的性能产生不利影响。2.3相关开发环境MicrosoftVisualC++6.0(简称VC6.0是微软推出的一款C++编译器,将“高级语言”翻译为“机器语言(低级语言”程序[38]。VisualC++是一个强大的可视化软件开发工具。自1993年以来,微软推出VisualC++1.0,然后版本不断更新,VisualC++已经成为首选专业的程序员软件开发工具。虽然Microsoft已经引入了VisualC++.NET(VisualC++7.0,但它只适用于Windows2000,WindowsXP和WindowsNT4.0有很多限制。所以在现实中,更多的是基于VisualC++6.0平台。VisualC++6.0不仅是C++编译器,而且是基于Windows操作系统的可视化集成开发环境(IDE[39]。VisualC++6.0包括许多组件,包括编辑器,调试器和程序向导AppWizard、类向导和其它开发工具。这些组件通过称为DeveloperStudio的组件集成到和谐的开发环境中。SQL称为结构化查询语言,由圣约瑟实验室为其关系型DBMS最初研究的数据查询语言。这种查询语言与他的前身相比,结构简单,易于使用,一个能够实现更复杂的功能。作为IBM在上世纪80年代推出SQL语言后,受到广大用户的推崇[40]。在当前市场上主流的数据库管理系统中,基本都做了SQL支持,无论是大型数据库如Oracle,还是小型如FoxPro,用户都可以嵌入SQL[19]。不同的数据库系统需要不同的ODBC驱动程序和不同的数据源,但也需要供应商数据库。SQL是一种非流程的高级编程语言,用户可以通过其高水平的数据操作,无论用什么样的用户数据存储方式,无论什么数据结构的形式,用户都可以使用SQL实现数据管理,可以起到接口作用,SQL在执行时可以讲记录集作为处理对象,输入可以是记录集,输出也可以,所以我们说SQL是数据处理的集合,用很多高级语言处理数据记录处理。也反映了SQL处理。在数据库应用系统的开发中,首先了解数据库的基本概念和结构,进一步了解数据库应用程序开发过程,并对应用系统和开发过程有一个清晰的认识[41]。SQLServer是基于Microsoft平台的基础上开发的关系型数据库系统软件。由于与Windows操作系统的密切关系,它具有扩展,高性能特点,分布式客户端/服务器计算等,SQLServer软件这些条件,为大多数应用程序提供数据存储解决方案。2.4现代企业网络模式网络安全不仅仅是一个纯技术问题,不可能只通过技术因素来确保网络安全,管理因素也是不可缺少的。其实网络管理是一个统一的管理和技术问题。网络安全是一个涉及法律、管理和技术因素的复杂人机系统。只有妥善协调三者之间的关系才能有效保护网络安全。网络安全技术,包括硬件因素(如计算机设备故障,通信通道故障等也是软件相关因素,从应用另一方面的网络攻击保护主要体现在数据和软件中。网络攻击策略主要是利用、改变和瘫痪。主要利用窃听网络通信和计算机上的信息和数据;所谓的变化是欺骗使用数据传输系统、信息等内容,以及入侵网络摧毁数据和软件;所谓麻痹,无用数据块,破坏网络系统瘫痪的方法。考虑到攻击的技术模型,网络安全威胁分为两类:被动威胁和主动威胁。1.企业互联网络结构现代企业,下属企业或子公司在地理上分散,有的甚至在大面积,下属企业建立自己的骨干,但一方面访问公司总部,另一方面进入互联网,连接企业和真正的网络,访问互联网。2.企业内部网络结构无论是公司总部网络还是其附属企业网络,其内部网络结构虽然不尽相同,但仔细研究会发现类似。虽然地理位置相对分散,部分分布在工厂内部,部分分布在建筑物中,但是整个网络提供公共应用服务(也称为公共应用平台一般由网络中心实施,而这个网络中心对企业网络管理行使技术权。网络拓扑如图2-2所示。图2-2企业内部网络结构2.5网络安全模型网络信息安全应包括人员安全、设备安全、物理安全、信息安全、电磁辐射安全、通信安全和工业安全等方面。上述网络安全的要素如图2-3所示。计算机网络实际上是一条通信线路,连接通信双方,通信双方可以传输信息实现资源共享和协同工作,信息传输的核心网络是通过从发送方到接收方的传输信道信息,信息安全传输有三个主要方面,即发送方的安全性和接收方的安全性以及传输路径的安全性。要研究三方网络信息传输的安全性。网络安全模型如图2-4所示,简要介绍了网络信息的要点。图2-3网络安全组成的元素图2-4网络信息安全模型(1传递信息(或消息需要加密操作,这个操作有两个主要的方法,保证理论不能破坏,计算不可行,有很多经典的加密算法可以使用,数据到达接收通常使用对称密钥加密和公钥加密来执行解密操作。(2消息传输通道是网络信息安全的重要因素,考虑传输路径本身的安全问题,还要考虑第三方攻击,整个通信链路数据传输安全可靠。(3实际的加密技术有很多方法,如数字签名、报文摘要、数字认证、证书颁发等,有些也需要信任第三方参与。2.6本章小结本章主要介绍了本文的基本概念及相关的关键技术,如系统信息采集、用户行为获取、网络数据采集和系统开发、使用环境的介绍、网络安全模型等。第3章系统需求及算法分析3.1企业背景说明为防止用户在内部网络环境中非法使用计算机系统,根据有关部门的要求制定严格的管理制度,以防止用户对内部网络环境的非法使用,根据有关部门的要求制定严格的管理制度,但在执行过程中多次发现非法复制文件和安装非法软件行为。因此,我们需要采取适当的技术措施,确保管理体系的实施。在研究过程中发现有很多类似的商业软件,但这些商业软件的功能比较复杂,而且实际需要的单位是不同的,所以最终确定了一个小内部网络监控系统,以满足需求。具体应用环境如下,需要监控一个小型内部办公网络的网络环境,主机数量约为50个,使用WINDOWS操作系统,使用交换机进行网络连接,属于同一C网网段,网络和业务内部网络是物理隔离的,主机可以通过路由器访问外部网络,主要用于企业日常工作的学习环境,不允许在网络主机上使用其他相关用途。网络拓扑如图3-1所示。图3-1系统应用网络环境3.2功能性需求该系统的功能主要是通过访问控制、实时监控和事件审计等技术手段,对被控主机和系统的运行状态进行有效的监控,并记录用户未经授权的访问行为,作为安全审计凭证。对于用户的网络访问等活动也可以用来防止网络连接实现安全管理的方法[42]。系统的控制主机对用户透明,所以用户具有系统安全管理员的主要功能,包括用户身份管理、实时监控、软件对象管理、硬件对象管理、网络对象管理、文件对象管理。系统的整体工作如图3-2所示。系统中管理员的身份管理。[43]。用例如图3-3所示。;系统进程列表;远程目录视图是管理员可以查看用户文件信息的目录信息。实时监控功能如图3-4所示。软件对象管理是管理控制区域网络中所有受控软件对象,包括开发软件黑名单,软件操作控制,即软件黑名单不能在主机上运行。使用软件对象管理功能如图3-5所示。硬件对象管理是对受控局域网中所有受控硬件对象的管理,包括硬件清单的生成,硬件报警的非法更改以及状态管理的使用[44]。硬件对象管理功能,如图3-6所示。网络对象是控制区域网络中所有受控网络行为的管理,包括设置网站的黑名单和白名单,以及对控制机的流量进行审计和控制。网络对象的管理功能如图3-7所示。文件控制管理是对LAN上所有机器对象文件的管理,包括审核文件的操作,用户记录文件系统访问行为,如打开、修改、复制文件和用户控制文件操作。文件对象管理功能如图3-8所示。3.3非功能性需求1.用户安全用户的安全主要包括管理员的安全和用户的安全。(1管理员具有系统的最高权限,所以责任是最大的。管理者必须具有良好的素质和知识素养,熟练掌握网络安全知识,企业有较强的忠诚度,掌握专业的管理技能;(2严格限制管理员的用户级操作,应在企业网络系统安全计划中设置和调整审计信息等初步操作;(3用户安全层必须在授予管理员权限的前提下使用企业网络资源,使用其资源,禁止使用系统资源,禁止超出授权的系统运行,禁止披露重要信息和系统登录密码。2.基础设施安全(1硬件设施的安全,包括物理环境安全,硬件设备、物理、机械安全;(2软件设备的安全性,包括系统安全、网络通信安全、软件应用平台安全、安全管理软件安全。3.网络结构安全(1包括局域网和广域网之间的隔离和控制,如包过滤、子网防火墙阻塞、网络地址变化等;(2局域网内的子网安全,包括信息敏感子区域信息资源子网,敏感信息子网和非敏感信息子网的隔离,子网信息和公共信息网络隔离的内部使用,局域网和互联网隔离;(3未授权或未经授权使用拨号上网方式绕过安全系统。4.传输安全除了外部公众提供的信息外,在LAN中传输的数据也需要加密;LAN用户之间的信息传输,也是使用认证措施,特别是机密信息也需要加密和保护。(1网络边界隔离和访问控制因为系统比较特殊,是网络隔离边界的最重要特征,需要仔细考虑。因此,我们需要使用帧中继网络和访问控制措施。企业内各部门之间必须有网络接入。我们必须确保合法用户同时访问系统,并且未经授权的用户(包括任何企业和其他企业的非授权用户的网络访问请求无法访问系统,系统网络传输平台单元使用帧中继网络,不可控制的因素依然存在(帧中继网络终端网络设备安全等因此,我们必须强调网络安全隔离和控制单元和帧中继网络[45],对于企业网络,由于企业的性质和网络系统的工作水平必须包含有许多重要机密信息。因此,企业网络应分为不同的子网,高安全网络的子网和不可信网络安全分类,推荐安全隔离和访问控制网络安全隔离设备,以确保未经授权的用户访问授权用户。(2企业传输数据安全企业在网络系统中,由于不同的权限,内部信息的性质不同,不能让非法用户访问,有必要采取适当的措施来保证网络系统的安全性要求。特别是企业网络系统,由于其性质和工作水平,不可避免地包含了大量的私人信息。因此,内部网络可以分为多个不同的子网,可以根据具体情况分开,将包含机密信息网络和不包含机密信息网络进行区分;保密要求特别高的信息需要独立存储,而不是连接到共享网络。1.性能需求安全检测系统的性能要求包括:采用独立数据库的集中数据管理,充分利用系统资源,可支持50-100台主机实时监控,远程监控功能响应时间少于1秒。2.高效、功能实用界面简单,使用人员“一目了然”,短时间内可以起到企业网络安全管理系统的作用,系统在服务器中提供了友好的图形用户界面,要求用户操作简单方便,操作清楚。系统还特别设计了用户信息功能,为了更好的增加用户和系统管理员之间的通信,对系统功能进行更好的维护、改进和完善,使企业网络安全系统逐步完善。3.可扩展性本文针对企业网络安全管理体系的设计,因此,我们必须有很好的处理这个问题的能力。增加网络访问次数。这就要求数据库系统的改进和数据库系统的扩展,提出了更高、更新的要求。4.维护性系统维护是系统正常运行的先决条件。更新和备份数据库,也是保证系统安全运行的重要保证。5.接口要求(1:软件界面:使用MicrisoftSQLServer数据库企业版[46],支持WindowsXP微软系列操作系统;(2通讯接口;系统实时监控部分使用UDP协议,数据库连接采用ADO方式。3.4模式匹配算法在本文中,实施入侵检测系统,采用模式匹配算法作为网络入侵检测系统的检测引擎核心。然后,模式匹配算法的性能直接影响了网络入侵检测系统的检测效率。特别是在高速网络中,如果模式匹配算法不能及时处理数据的实时数据包,会导致丢弃一些数据包,如果这些数据包包含入侵信息网络,会导致网络入侵检测系统缺失。因此,模式匹配算法非常重要。在本文中,我们使用多模式匹配算法。WM多模式匹配算法由SunWu和UdiManber于1994年提出,该方法工艺简单、效率高。WM算法首先预处理模式字符串。预处理阶段创建三个表:SHIFT表、HASH表和PREFIX表。SHIFT表用于在扫描文本字符串时根据读取的字符串确定可跳过的字符数。HASH表用于存储多个模式字符块的HASH值。PREFIX表用于存储第一个字符串和第一个字符哈希值。WM算法的主要过程匹配:每个扫描B字符:][]1m[mTBT⋅⋅⋅⋅⋅⋅⋅⋅⋅⋅+-。(1扫描文本的末B位][]1m[mTBT⋅⋅⋅⋅⋅⋅⋅⋅⋅⋅+-通过hashfunction函数计算其哈希值h。(2检查SHIFT表,如果SHIFT[h]>0,文本指针向右SHIFT[h]位,执行(1,SHIFT[3]=0执行(3。(3计算前一个m位的当前位置和前一个m-1前缀的哈希值,记录为text_prefix。(4对于每个p(HASH[h]pHASH[h+1],看是否PREFIX[p]=text_prefix。如果它们相等,则让真实模式字符串按照字符进行匹配。WM算法的总时间复杂度为O(M+O(BN/m=O(mp+O(BN/m。WM算法平均时间复杂度O(BN/m,其中B是块字符的长度,N是文本的长度,m是模式字符串的最短长度。O(M是计算哈希值所需的时间,O(mp是所有非零移动所需的时间。3.5本章小结本章对网络安全检测系统的需求背景进行了简要介绍,分析了系统的整体功能,对子功能进行了用例描述,最后描述了系统的性能、易用性、接口等非功能性的要求,并对本文采用的模式匹配算法进行了说明。第4章企业计算机网络安全系统的设计4.1系统拓扑结构和软件逻辑构成C/S模式是一种两层结构的系统:第一层是在客户端系统中,结合业务逻辑,第二层是网络与数据库服务器。该模型主要包括客户应用、服务器管理和中间件三部分。首先,互动是固有的优势。在C/S中,客户端有一套完整的应用程序,错误的提示,在线帮助等功能非常强大,可以自由切换子程序。其次,该模型提供了更安全的访问模式。由于C/S配置是点对点结构,因此适用于局域网,因此可以确保安全性。在实现中,我们使用C/S架构的网络安全检测系统,其主要原因是考虑小规模应用,实时要求,系统使用的结构如图4-1所示。图4-1安全监测系统网络拓扑软件系统由部署在受控机器上的安全检测代理和部署在安全检测服务器上的主程序和系统数据库组成。主要控制方案负责政策管理和管理控制要求。安全检测代理读取并执行管理策略响应控制终端程序管理控制请求。系统数据库用于存储策略和审计信息[47]。系统软件的逻辑结构如图4-2所示。图4-2系统软件逻辑构成4.2系统功能设计系统的整体结构分为六个管理模块:用户身份管理模块、实时监控模块、硬件对象管理模块、软件对象管理模块、网络对象管理模块和文件对象管理模块,如图4-3所示。用户身份主要是完成系统用户的添加、删除等功能。系统使用基于角色的访问控制模型来实现用户身份管理,主要操作包括新建角色和删除角色。选择角色时,可以修改角色(修改角色名称和角色描述和控制规则设置。其中,控制规则由选定的策略开发,新策略的作用应写入数据库和安全检测代理应用的新策略。图4-4显示了用户角色的新建处理流程。实时监控模块网络对象管理模块用户身份管理模块图4-4角色新建逻辑处理流程在创建角色的过程中,首先确定管理员权限。有权重名检测。如果没有重复的名称,请在数据库中创建一个新角色,填写角色名称和策略选项。插入成功返回处理结果,否则插入失败。实时监控主要包括主机的进程列表的在线控制,实时桌面和文件目录的查看和记录。设计思路是使用UDP部署控制主机检测代理发送监控命令,检测代理程序接收控制指令,根据执行指令分析实现本地列表读取,实时桌面截图、文件目录信息读取操作,并返回相应的信息。服务器获取进程快照,如图4-5所示。图4-5读取被控主机进程信息安全检测代理的进程监控处理逻辑如图4-6所示。实时监控文件目录采集和桌面快照的逻辑处理过程和进程监控类似于检测代理,读取相应的信息返回服务器返回相应的查询结果。最后,通过安全检测服务器在管理员的用户界面上显示输出。图4-6安全检测代理的进程监控流程软件对象管理的主要功能是安全检测服务器将软件黑白列表策略发送给受控主机。政策实施安全检查局禁止黑名单软件在主机上执行。服务器处理流程如图4-7所示。图4-7软件黑白名单设置流程设置软件黑名单后,软件向检测代理发送黑白列表更新通知,接收检测代理通知数据库,读取新软件黑名单和白名单,并按照新功能执行软件对象控制策略名单。安全检测代理软件检测过程如下:1.获取软件黑名单和白名单;2.采集系统的第一个过程;3.确定进程是否在软件黑名单中,是否杀死进程,否则转到下一步;4.确定是否完成该过程,下一步是获取下一个系统进程;5.等待系统创建过程,如果系统创建一个新进程来确定进程是否在软件黑名单中,如果在禁止创建,或者继续等待,过程如图4-8所示。图4-8软件运行控制处理流程硬件对象管理主要完成收集主机的硬件列表,硬件设备更改的警告和外围设备的信息采集。当安全检测服务器获得受控主机的硬件列表的处理流程时,选择指定主机,数据库查询控制主机硬件清单信息,并将其显示在屏幕上。处理过程如图4-9所示。图4-9安全检测硬件信息查询流程为了确保安全检测服务器能够读取主机硬件清单表,安全检查代理必须定期检查机器的硬件清单并与数据库同步:1.安全检测代理在每次启动时获取数据库服务器中硬件对象的当前列表。2.与本地硬件对象列表中的缓存数据相比,安全检测代理程序可以访问数据库服务器硬件对象列表。3.如果比较结果相同,则不执行任何操作;4.如果比较结果不同,请更新本地硬件对象列表,并在执行本地日志记录时更新数据库,如图4-10所示。图4-10安全检测代理硬件检测流程外设管理可以启用或禁用主机的一些外设接口(软盘、光驱、调制解调器拨号。当外设接口启用或禁用指令时,安全检查代理将允许或禁止主机用户基于这些外设接口来操作应用程序。处理流程如下:1.当安全检测代理接收到新的外设策略以更改消息时,删除该策略并将其缓存,并对其进行预处理。安全检查服务器命令格式标准化为标准命令格式,根据命令分类调用相应的模块处理;2.安全检测代理人从政策中获得相应的角色作用,查询所有策略,确定政策是否发生变化或改变了政策;3.如果策略不变,则清除缓存并退出,否则执行新策略;4.更新策略并删除缓存;5.更新时间为系统日志记录,如图4-11所示。网络对象管理主要用于网络访问控制和网络流量审计。由安全检测服务器发布的黑名单和白名单访问,由安全检测代理在控制机器上发布访问控制策略的实现;流量审计由安检机构统计和记录,服务器可以通过数据库查询主机流量统计信息。安全检查代理网站黑白名单是:1.分析站点黑白列表:提取不允许或允许从列表中访问的站点。2.网址过滤:控制主机请求每个URL和列表中的URL匹配,如果网站的请求是合法的,则进行正常访问;如果非法,屏蔽,如图4-12所示。图4-12网址黑白名单控制处理流程流程审核流程如下:1.安全检测代理记录本地流量:主机在捕获单元时间内控制的所有网络报文,实时流量计算。N2.安全检测代理分析本地流量:实时流量与规定的合法峰值比较,如果一段时间(段落的长度可以指定,本地流量超出合法峰值,本地流量异常。3.安全检查代理通知服务器本地流量异常,向服务器通知,如图4-13所示。文件对象管理过程为安全检测服务器为主机制定文件审计策略,并写入数据库,安全检测代理读取文件审计策略和实现。安全检测服务器的处理流程如图4-14所示。文件查看功能将目标主机范围内的所有审核文件的操作行为记录在安全检测服务器文件的审核策略的范围内,最后为管理员提供数据支持,以完成审核文件的操作。安全检查代理文件的审核功能的过程是:1.获取文件操作信息;2.确定文件操作信息是否在文件审核策略中,是否生成审核信息,不生成审核信息,结束。如图4-15所示。图4-13被控主机流量审计处理流程图4-14安全检测硬件信息查询流程4.3用户接口设计在网络安全检测系统中,安全检测代理对用户透明,安全检测服务器向管理员提供图形界面操作。1.登录界面:管理员通过界面进入安全检测服务器控制台主界面;2.控制台主界面接口:管理员通过界面和操作相关;3.主机列表接口:管理员通过界面选择实时检测主机的运行状态;4.主机系统信息视图接口:管理员通过界面查看主机系统信息;5.受控主机程序监控接口:管理员通过界面查看主机的截图图片,并锁定/解锁控制被控主机鼠标和键盘操作;6.主机进程信息视图接口:管理员通过接口查看主机进程信息,并终止受控主机的进程;7.主机文件信息查看接口:通过接口管理员可以查看主机目录的主机文件信息;8.被控主机硬件清单视图接口:管理员通过界面查看主机的主机列表,并在数据库中授权主机更新其硬件库存;9.日志审计接口:管理员通过界面查询数据库,查看分析所有主机的主机安全事件信息;10.运行状态审计接口:管理员通过界面查询数据库,检查和分析所有控件的主机运行状态,包括截图、系统信息、处理信息等;11.配置事件安全级别接口:管理员通过接口设置每个安全事件的安全级别;12.主视图和管理接口:管理员通过接口浏览主体;13.角色查看和管理接口:管理员通过界面浏览设置角色;14.要分配查看和管理接口:管理员通过界面浏览设置要分配的新增主题;15.策略配置接口:管理员通过界面设置策略;16.退出接口:管理员通过界面退出控制台;4.4数据库设计网络安全检测系统的数据库设计过程包括数据库需求分析,数据库概念模型设计,数据库逻辑模型设计和数据库物理结构设计等步骤。系统要求数据库可以简要描述为包括用户管理和对象管理系统所需的基本信息。下面从数据库设计和数据库表设计中对数据库设计过程进行描述。1.用户管理实体分析网络安全检测系统是基于访问控制机制的作用,被控主机由主管部门负责确定主机主体信息,并根据主体分配的相应角色,管理员直接根据管理员类型(辅助分配相应的角色。因此,所涉及的实体包括主体、角色、策略、部门和管理员。主要属性包括:主体编号,受控机器的主体身份、主体部门的身份、主体的友好关系、主机角色标识,主机的IP地址和其物理属性如图4-16所示。图4-16主体实体属性图角色的属性包括:角色识别、角色名称、角色描述和角色状态,如图4-17所示。策略的属性包括:策略号,带策略的角色标识符,具体的硬件、软件和网络访问规则,如图4-18所示。图4-18策略实体属性图部门属性包括:部门编号,部门名称,上级部门名称和部门信息,实体属性如图4-19所示。图4-19部门实体属性图管理员属性包括:管理员ID,管理员登录名,管理员登录密码(加密存储和管理员级别。实体属性如图4-20所示。图4-20部门实体属性图2.系统状态实体分析系统状态的实体包含受控机器的运行状态。该属性主要包括运行结果的状态编号,运行状态的实际名称,运行状态的实际类型,实际内容、被控机和控制机屏幕图像和描述状态的时间和运行状态,实体属性如图4-21所示。图4-21系统状态实体属性图3.系统对象实体分析系统对象实体包含被控主机软件对象、硬件对象、网络对象描述和对象访问策略的描述。主机硬件信息实体主要属性包括:被控机识别、CPU信息、内存信息、CD-ROM信息、硬盘信息、主机IP地址、MAC地址,实体属性如图4-22所示。图4-22硬件信息实体属性图软件对象实体主要描述有限应用软件。实体的属性包括:软件黑白列表号、软件黑白列表关键字、控制开始时间、结束时间、状态、软件实体属性如图4-23所示。图4-23软件对象实体属性图网络对象实体主要描述受限网络访问。实体属性包括:网址黑白列表号和关键字列表,控制起始时间、结束时间、列表类型、列表状态、网络对象的实体属性,如图4-24所示。图4-24网络对象实体属性图通过对数据库主体的分析,可以得到实体之间的关系,如用户管理中的实体关系如图4-25所示。图4-25用户管理总体实体属性图基于数据库概念模型的分析与设计,给出了数据库表结构的逻辑结构。本节简要介绍了网络安全检测系统数据库中主表结构的设计和定义过程。1.主体表用于描述网络中的主机环境,除了友好的字段外,其他字段不允许为空,主键为主体编号,以保证主机号码为唯一号,如表4-1所示。表4-1主体表2.角色表用于描述主体的作用,除了描述场景的作用外,其余字段不允许为空,角色编号为主键,自增量以确保角色的唯一,如表4-2所示。表4-2角色表3.策略表它用于描述一组权限角色分配。策略的策略编号和策略的角色编号不能为空。根据安全检测的需要,其余字段可以为空。主键是策略编号,自增量以确保策略编号唯一。如表4-3所示。4.部门表用于描述主体部门,部门名称和上级部门字段可以为空,其他字段不允许空,部门编号为主键,采用自增量方式确保部门号码是唯一的,如表4-4所示。表4-3策略表表4-4部门表5.管理员表对于系统管理员信息的描述,字段不允许为空,表中使用加密存储的管理员登录密码,管理员编号为主键,使用自增量模式确保管理员帐户是唯一的,如表4-5所示。表4-5管理员表6.运行状态表用于描述受控主机系统的运行机制。状态结果编号,受控主机的时间,状态类型和状态信息不能为空。其余字段基于安全检测策略的确定和运行状态作为主键。操作状态结果是唯一的,如表4-6所示。表4-6运行状态表7.硬件信息表它用于描述控制主机的硬件信息。主机号和主机MAC地址不能为空。剩余字段根据主机硬件信息记录要求确定。主机编号是主键,生成硬件序列号散列值,以确保主机号码是唯一的。如表4-7所示。8.软件黑白名单它用于描述控制软件的列表、列表号、名单关键字和名单状态不能为空。控制起动时间可以为空,主键号码和列表号码是唯一的,采用自增方式保证名单唯一。如图4-8所示。9.网址黑白名单用于描述允许或禁止访问该站点的列表,除了控制开始和结束时间字段可以为空,其余字段不能为空,主键为站点黑白名单编号,通过使用自增模式确保黑白名单编号唯一,如表4-9所示。本部分对网络安全检测系统的设计过程进行了介绍。给出了功能结构和处理逻辑系统的设计,并对系统的核心数据结构、用户界面数据库结构进行了阐述,阐述了系统的设计过程。第5章企业计算机网络安全系统的实现本部分主要介绍系统核心功能的用户身份管理、实时监控软件、对象管理、硬件功能管理、网络对象管理和网络文件对象管理六个模块,并介绍了实现过程和结果。5.1角色管理功能实现在安全检测服务器中实现这个功能,它属于用户管理功能模块,主要是基于访问控制,以被控主机为主体,可以在系统中分配一个或多个角色,通过关联角色和安全检测策略来实现安全检查受控主机的行为和状态。主要功能包括新建角色和删除角色,可以修改角色和控制规则集。通过选择策略,在复选框中选择策略的控制规则,或单击下拉框进行设置,然后单击“确定修改”,然后选择“策略发布”,新策略的作用应为写入数据库和安全检测代理使用新的策略,如果不选择“策略发布”,只写入数据库策略而被控主机没有使用新的策略。角色管理功能的核心代码如下:在创建角色之前,您需要检查现有角色的名称是否通过检索数据库中的角色表来检查,检查当前新角色是否存在重复的名称,如果有显示了角色信息。图5-1角色管理运行界面图5.2获取主机硬件信息功能实现该功能属于硬件对象管理模块,获取受控主机的硬件信息,在主机列表管理员中选择运行控制主机,然后选择“系统信息”选项卡,可以获取主机硬件信息在显示区域。该功能的实现是通过管理员开发安全检测策略,当安全检测系统启动时自动访问控制主机硬件信息并上传数据库服务器,管理员使用该功能,安全检测服务器发送查询请求到数据库服务器,受控主机编号作为检索条件,数据库服务器返回查询结果[48]。系统安全检测代理对硬件信息采集的核心代码如下。5.3获取主机硬件信息功能实现该功能属于实时监控模块功能,获取主机系统信息,管理员选择主机列表中的运行控制主机,然后选择系统信息标签,显示采集系统控制的主机信息在显示区域。实现此功能是通过管理员开发安全测试策略,通过安全检测代理,在系统启动时自动获取主被控主机系统信息并上传数据库服务器,管理员使用该功能,安全检测服务器发送查询请求到数据库服务器,控制主机的号码作为搜索条件,数据库服务器返回查询结果[49]。获取主机硬件信息功能界面如图5-2所示,获取主机系统信息功能运行界面如图5-3所示,安全检测代理获取系统部分的核心代码部分如下:图5-2获取主机硬件信息功能运行界面图5-3获取主机系统信息功能运行界面首先对读取操作系统的初始参数进行初始化,如osversioninfoex,并对分配的内存空间进行清零。5.4黑名单管理功能的实现黑名单管理是网络监控系统中非常重要的内容。对于用户来说,如何限制某些网站和软件的网络访问已经成为最基本的功能之一。本文设计并实现了黑名单管理功能,包括网络黑名单和软件黑名单。网址黑名单功能是一个网络对象管理模块,管理员可以添加、删除黑名单设置,包括启动和停止时间。管理员设置完成后,将地址列表写入数据库服务器。启用网络对象管理策略,安全检测代理读取数据库站点的黑名单,并将被控主机访问网络上检测到的网址与黑名单上网址进行比较。如果属于黑名单站点,则安全检查代理断开网络,并将警报消息发送到安全检查服务器[50]。预定义网址黑名单界面如图5-4所示,安全检测服务器中实现黑名单功能的核心代码如下。图5-4预定义网址黑白名单界面软件黑名单定义功能是一个软件对象管理功能模块,管理员添加,删除设置黑名单的软件,包括开始和结束时间。管理员完成设置后,软件的黑名单将写入数据库服务器。软件安全管理策略启动后,安全检查机构将读取软件黑名单数据库,并在主机启动时检查软件是否在黑名单上。如果黑名单上的软件安全检测机构运行相应的软件,并向安全检测服务器发送报警信息。预定义软件黑名单界面如图5-5所示,安全检测代理软件黑名单功能的核心代码如下。5.5文件操作审计功能实现界面通过对网络安全和技术的研究,发现大多数泄漏或入侵是内部操作,防止内部违法比抵制外部侵害更为重要。全面的审计制度从防御到取证,从主机到网络,从数据库到审计的应用,全面的网络和主机的整体保护和审计,可以抵御外部入侵,甚至黑客进入内部机器,也没有办法窃取资源,作为一个审计系统,对窃取资源的方式进行完整性记录,作为强有力的证据。文件操作审核功能是一个文件对象管理模块,管理员可以专注于添加文件的类型、删除设置,包括开始和结束时间。设置管理员后,文件列表将写入数据库服务器[51]。启用文件对象管理策略。安全检查器将读取数据库文件中的名单列表,并在主机访问文件系统时检查文件类型是否在列表中。如果文件属于关注文件,安全检测机构将记录用户访问饿文件,并且用户访问行为日志文件。预定义文件关注策略界面如图5-6所示,安全检测服务器中执行文件操作审核功能的核心代码如下。5.6系统测试与分析软件测试有以下几个阶段:测试需求分析、测试设计、系统测试和维护。测试过程的基础是确定测试对象的范围和功能。确定测试工作(例如进度,