内网安全管理系统体系结构设计
《内网安全管理系统体系结构设计》由会员分享,可在线阅读,更多相关《内网安全管理系统体系结构设计(18页珍藏版)》请在文档大全上搜索。
1、内网安全管理系统体系结构设计2009-6-2第一章、 内网安全管理系统介绍 1.1 内网安全管理系统背景随着全球信息化步伐的加快,计算机网络作为信息社会的基础设施已经渗透到社会的各个方面,与此同时,网络安全问题也日益突出。据美国安全软件公司Camelot和eWEEK电子杂志联合进行的一项调查显示,网络安全问题在很多情况下都是由“内部人士”而非外来黑客引起。因为每一种安全产品和技术看到的只是局部安全问题,缺乏安全管理和集中调度,就像盲人摸象,只是看到了问题的一角,而没有看到问题的全部。在目前的情况下,加强对内网的管理是很有必要的,特别是在一些重要的政府机关、企业中,他们都有着极其重要的信息,一旦
2、这些信息丢失或泄漏,都将造成很大的影响和损失。这不仅关系到企业,对整个国家的影响都是很重大的。所以本小组针对以上问题,进行了深入的研究,设计了这样一个管理系统,可以很大程度上降低危害。 1.2 内网安全管理系统概述内网安全管理系统是使用在一个大中型局域网中,负责对该局域网中的每台计算机进行安全管理,包括:IP地址管理、网络接入管理、终端安全管理、远程桌面管理、服务器安全管理、应用安全管理、系统管理、报表管理。其中,终端安全管理子系统专注于终端计算机安全,共有八大功能模块:资产信息管理模块、软件进程监控模块、外设与端口监控模块、非法外联监控模块、客户端截屏模块,系统更新管理模块、文件审计模块、打
3、印控制模块,各功能模块为终端安全提供了综合管理方案,提高了终端计算机的安全等级。系统管理功能是内网安全管理系统中央控制器的公共部分,内含用户管理、报警管理、日志管理、系统维护四大模块。注:用户指拥有内网安全管理系统管理权限的人员,而非终端用户。 1.3 项目面向用户群内网安全管理系统作为一个可以在大中型局域网中使用的系统,其用户是相当广泛的,该系统给用户提供功能强大、方便快捷、安全可靠的系统服务。根据系统实际情况,我们将项目面向的主要客户群定位为:1.需要大量使用计算机作为公司日常工作地企业2.各个需要用到计算机的政府机关3.各大高校所建立的校园网4.各大游戏厂商所组建的内部网 现在由于网络技
4、术突飞猛进,各种网络安全问题已经是所有使用网络的客户所不能避免的,所以只有加强安全管理才能保护大家的利益。 1.4 本系统最终目的本系统的最终目的是创建一个可以实时保护内网的功能强大、安全可靠、操作简单的系统。该系统能有效的抵御内网或外网的攻击、病毒的危害及网内危害的错误操作。第二章、 内网安全管理系统需求分析 2.1 用户需求分析该系统的使用者有两类:一个是普通用户(终端客户机,员工),另一个是系统管理者(公司高层管理者)。普通用户:1)漏洞管理对所使用的计算机进行检测,发现还未修复的漏洞就下载补丁修复。2)系统实时保护对所使用的计算机进行实时保护,主要是查杀各类新型病毒,保证计算机中不存在
5、病毒, 并能抵御外来病毒的攻击。3)错误操作警告在用户使用计算机的过程中,一些高风险的操作将提示用户,或无法执行。系统管理员1)IP地址管理对内网中的计算机IP地址进行统一管理,解决内网中计算机设备非法接入、IP地址违规变更的问题,提高网络的可用性和可靠性。2)网络接入管理网络接入管理子系统通过对网络接入设备端口的控制,实现对非法接入节点进行阻断,保障网络的接入安全。3)外设与端口监控管理外部设备和一些熟知端口,进行监控。4)普通用户监视对所有普通用户的计算机进行监视,一方面可以防止攻击、恶意操作等,另一方面可以对员工的工作状况进行不定时考察。5)服务器安全监控服务器监视子系统关注服务器安全,
6、可监控服务器性能、进程开启状态,跟踪各项性能数据,发现异常及时报警。6)应用安全身份认证和权限管理子系统专注于应用安全,解决了多门户系统用户身份验证和资源访问的权限管理问题。 2.2 内网安全管理系统的功能模块内网安全管理系统IP地址管理模块网络接入管理模块终端安全管理模块远程桌面管理模块服务器安全模块应用安全管理模块系统管理模块报表管理模块 2.3 性能需求分析 内网安全管理系统在性能上要做到能防御99%以上的外来攻击,能将所有功能模块的功能发挥出来。 对于内网用户,能做到随时了解他们的所作所为,把危险地操作全部屏蔽掉。 MTTF(mean time to failure,平均失效前时间)。
7、第三章、 3.内网安全管理系统体系结构设计 3.1 体系结构风格选择 内网安全管理系统由于考虑到它的本身的特性,我们选择3层C/S模式和B/S模式混合使用的体系结构风格。利用3层C/S和B/S相互弥补单个模式的不足。 3.2 体系结构设计3层C/S结构在传统的C/S结构上,改进方法,形成新型的3层C/S结构,与一般的C/S结构相比,增加了一个应用服务器。可以将整个应用逻辑驻留在应用服务器上面。系统的IP管理模块、网络接入模块、终端安全管理模块、远程管理模块等模块都可以使用这个结构。B/S结构B/S结构的优点就是不需要在安装过大的客户端,这个对于员工登录内网系统式很方便的,所以应用安全模块、报表
8、管理模块都可以使用这个模式。 3.3 其他体系结构设计分析P2P结构在系统中使用P2P体系结构,使全部用户成为一个整体,实现资源的共享,也方便系统来管理。这里P2P结构不光是文件的传输,一系列的系统都可以含有P2P思想。 3.4 构建设计与连接在上面也提到,系统分为很多模块,而模块和模块相连也是通过连接件来实现。每个模块和别的模块连接的时候,都是采用最合适的连接方式。这些模块通过连接件连接,系统统一进行管理,使每个模块都能正常的工作。第四章、 内网安全管理系统框架设计 4.1 领域需求分析内网安全管理系统是一个面向大中型办公的系统,其用户相当广泛,而且用户类型并不固定,能确定的只有他们是使用的
9、个人计算机, 但不管对于怎样的用户,当用户使用该系统时,最关心的两个问题就是系统的安全性与可靠性,以及效率问题。在这里,我们抽取了对于系统管理的时候,不同角色关注的需求: 普通用户关注的需求创建自己的账户:建立自己的账户,里面储存了用户大量信息,以及管理员根据用户的级别所设置的权限。提示错误操作:对于一些比较危险但是用户本身未发现的操作,系统给与警报声,并在屏幕上提示。 管理员所关注的需求对用户的管理是否到位:当有人创建了自己的账户时,是否能有效的去管理该用户的所有信息。报警系统可行性很高:要确保报警机制能很好的一直运行下去。不能因为报警的失误,而让使用系统的客户损失很大。报警系统要精确并且及
10、时。日志管理:对所有的操作都要进行日志的改写,要记录下来系统一天内所有的事情,这样可以保证系统的正常运行,也可以再发生事故后第一时间找到事故负责人。 4.2 框架设计 4.3 核心业务模块及扩展机制4.3.1 IP地址管理模块 实时扫描与分析在线计算机的IP、MAC地址信息;ü IP地址、MAC地址的合法性判定, 支持IP-MAC绑定、DHCP-MAC绑定和特权MAC配置三种合法性管理方式;ü &#
11、160; 警告或阻断非法接入的设备;ü 统计分析非法IP地址使用的历史情况;ü 支持主动探测和被动侦听等多种扫描方式,采用特定算法对扫描过程进行控制,对网络不造成明显负荷;ü 灵活的部署方式,可以适应不同网络环境的需要,通
