1．1．1国外网络与信息安全的现状

国际上，特别是美国、英国等西方发达国家从20世纪70年代中期就开始高度关注网络与信息安全问题，经过30多年的发展，在理论研究、产品开发、标准制定、保障体系建设、安全意识教育和人才培养等方面都取得了许多实用性成果。理论方面：90年代后期，六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出“信息技术安全性通用评估准则(cc)”，该标准己确立为国际标准。在控管方面，美国提出了具有预警、保护、检测、反应、恢复和反击等安全功能的纵深防御体系。

产品方面：目前，信息安全技术处于领先的国家主要是美国、英国、法国、以色列等。当前市场上比较流行的安全专用产品主要有防火墙、入侵检测系统、安全服务器、身份认证产品(包括CA和PKI产品)、安全管理中心(SOC)、安全数据库、安全操作系统，桌面管理软件，UTM等。

安全保障体系建设方面：欧盟于2003年着手拟定2005-2008年的网络安全计划，目前已达成一系列共识：一是在网络信息安全战略和策略上建立透明的协调机制；二是采用共同的测评认证标准，实现“一国测评、多国互认"的统一；三是形成协调一致的打击网络犯罪的行动纲领和机制；四是在网上内容监管上实行相互协作。

1．1．2国内网络与信息安全的现状

进入21世纪后，随着国内信息化程度的快速提高，内网信息安全受到了越来越多的关注，内网安全产品和厂商短短几年内大量涌现。但是，令人担忧的是，虽然众多的产品和厂商都以内网安全的概念在提供服务，但其中包含的实际技术和内容却千差万别。这样的情况，一方面对市场和员工形成了误导，不利于解决员工的实际内网安全问题，造成投资浪费;另一方面也不利于创造良性的竞争环境，阻遏了内网安全市场的发展。

据有关咨询企业对中国上市企业的一项调查显示，56%的受访企业尚未建立或完善内部控制机制，情况并不乐观。

现今，国内大中型企业高度依赖IT系统作为业务的支撑，IT内控己成为是企业信息化管理中规避潜在风险的重要方法。使用技术手段实现IT内部控制与IT风险管理，方能帮助企业规避风险、提高管理水平。

企业应用信息技术促进信息的集成与共享，信息保密显得尤为重要。截至09年9月，我国每年因网络泄密导致的经济损失高达上百亿。其中，因为存在安全漏洞被攻击、入侵导致的被动泄密，因为利益诱惑导致的主动泄密，舞弊事件等，给企业造成商机泄露、客户流失、形象受损等诸多损失。针对这些层出不穷的安全威胁，目前国内的企业和企业在边界管理防范措施做得比较完全，大部分企业和企业都部署了防火墙、入侵检测、漏洞扫描、内容的监控等多方面出击，对来自网络外部进行了非常完善的管理。但是对于网络内部终端的管理来说，目前还存在很多的空白。

首先，在防病毒方面，也许己经成为必备的安全措施，但是相对于其他的几个方面，如计算机系统的补丁安装;

其次，各个终端的个人行为控制得不到有效的管理从而导致了带宽滥用的问题;

再次，最后内网的管理不够规范导致敏感信息泄露，并且泄露之后无法追踪查询的问题;

第四，电脑的软硬件资产由于不能做到实时的掌握而导致拓扑不清，资产统计混乱等隐患。

为了贯彻落实2006-2020年国家信息化发展战略和国家信息化“十一五”规划的工作部署，进一步促进我国信息安全产业的发展，提升信息安全专业化服务水平，国家发展改革委决定组织实施2010年信息安全专项，并发布了《国家发展改革委办公厅关于组织实施2010年信息安全专项有关事项的通知》.其中提到2010年信息安全专项重点主要围绕以下三个领域展开:

为国家信息化建设提供支撑的信息安全产品产业化;

为基础信息网络和重要信息系统安全运行提供技术支持的信息安全专业化服务;

面向国家信息安全的安全标准体系及重要信息安全产品的关键标准。

安全产品方面包括NAC，云安全，UTM，合理的企业安全体系架构等方面的研究都是研究的重点。

1. 1. 3内网安全技术发展方向

1.内网安全重心继续向终端计算机转移

传统的内网安全管理多重边界即对服务器区域的安全管理比较看重，而随着企业内网终端机数量越来越多，一台一台的终端计算机累计起来的安全隐患也就越来越大，但凡只要一台出现安全隐患，对整个内网安全的威胁都是难以估计的。因此，内网安全管理开始从服务器区域转向了终端计算机。

2.终端安全产品向功能高度集成发展

随着技术的发展，企业员工逐渐认识到，内网的安全管理是一个有机的整体，不是靠几种安全产品的简单堆砌就能解决的，采用高度功能集成的安全产品可能是一个更好的选择。所以，未来的安全产品将朝着高度功能集成的方向发展。

3.终端安全加固与运行维护并重

终端计算机作为内网的一部分，是员工开展日常工作的必备品，保证其安全性是理所当然的。内网终端首先需要加固，同时出现安全问题时应该及时恢复。所以迫切需要使用技术或设备等手段提高终端计算机的维护管理水平。

2国内外企业内部网络面临的资料泄露威胁

由Compuware Corporation委托Ponemon Institute进行的一项最新调查显示，内部泄密成为企业数据外泄的头号原因，而黑客因素仅位列第五。在这个这个调查中我们可以看到，在美国发生的数据外泄事件当中，有75%是来自企业内部员工。由Ponemon Institute发布的报告《Study on the Uncertainty of Data BreachDetection))中指出，有79%的美国受访者表示曾经历过至少一次数据外泄。PonemonInstitution主席兼创始人Larry Ponemon博士指出:“我们的研究显示，那些粗心大意或者心怀不轨的员工是绝大部分数据外泄事故的元凶，他们导致企业平均要为每起事故付出665万美元的代价。从长期来说，企业在防范措施方面的投资能够加强防范数据外泄，即使有事故发生，也能减少造成的损失。

在赛门铁克公司发布的《2010年十大网络安全威胁变化不容忽视》中，指出中国是受到攻击的最严重的国家，其受到的恶意攻击数量占全球总数量的25%

去年，75%的企业遭遇网络攻击，平均每年的损失达200万美元。欺诈和钓鱼消息占垃圾邮件总数的21%，是自2007年以来的最高记录;网络犯罪分子攻击的是信息而非基础设施，在新加坡企业中，网络攻击造成的最大损失是知识产权被盗取的清况。

在公安部发布的2009年《全国信息网络安全状况暨计算机病毒疫情调查报告》中调查发现，病毒和木马对信息网络安全的威胁日益严重。未打上补丁的系统安全漏洞仍然是导致安全事件发生的最主要原因。根据国家计算机病毒应急处理中心病毒样本库的统计，2009年新增病毒样本299万个，是2008年新增病毒数的3.2倍，其中木马程序巨量增加。截至2009年底，木马样本共330万多个，占病毒木马样本总数的72.9%，而2008年这一比例只有54%; 2009年发现新增木马246万多个，是2008年新增木马的5.5倍。跟踪监测和研究分析表明，当前，计算机病毒木马本土化趋势加剧，变种速度更快、变化更多，潜伏性和隐蔽性增强、识别更难，与防病毒软件的对抗能力更强，攻击目标明确，趋利目的明显。

面对国内外竞争对手潜在窃密威胁，企业必须加大力度保护商业秘密安全。企业已经在开展不同程度的商业秘密保护工作，保密过程中依然存在很多实际问题。采取哪些技术方法可以有效保护商业秘密成为企业面临的最大难题，包括如何完善保密体系、如何完善管理制度，如何在企业众多信息中准确划分商业秘密;怎样控制企业内部人员窃密、怎样防止办公存储介质泄密等问题是企业保密工作中普遍存在的难点。

1.3企业内网安全管理现状概述

1.3. 1内网安全面临的威胁

当前，来自网络的安全威胁主要有:病毒传播、网页/邮件挂马、黑客入侵、网络数据窃贼，来自企业网络内部的威胁，网络访问权限与职务不匹配、终端安全级别底下、安全防范意识不到位等，甚至系统内部泄密，已经使信息安全成为各行业信息化建设中的首要问题。

从本质来说，传统网络安全考虑的是防范外网对内网的攻击，即可以说是外网安全，包括传统的防火墙、入侵检测系统和VPN都是基于这种思路设计和考虑的。外网安全的威胁假设内部网络都是安全可信的，威胁都来自于外部网络，其途径主要通过内外网边界出口。所以，在外网安全的威胁假设下，只要将网络边界处的安全控制措施做好，就可以确保整个网络的安全。

而内网安全的威胁与外网安全相比，更加全面和细致，它即假设内网网络中的任何一个终端、员工和网络都是不安全和不可信的，威胁既可能来自外网，也可能来自内网的任何一个节点上。

1.3. 2企业内网安全的特点

企业内网安全问题的提出跟国家信息化的进程息息相关，信息化程度的提高，使得内部信息网络具备了以下三个特点:

内网是企业的业务开展的生命线，因此对内网稳定性、可靠性和可控性提出高度的要求。其次，内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整体，根据“木桶原理”，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对内网中各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。最后，由于生产和办公系统的电子化，使得内部网络成为企业敏感信息的主要载体，传统的对信息的控制管理手段不再实用，新的信息管理控制手段成为关注的焦点。上述三个问题，都是依赖于内网，与内网的安全紧密相连的，因此企业内网安全性再怎么强调也不为过。在内网安全的威胁下，需要对内部网络中所有组成节点和参与者的细致管理，实现一个可管理、可控制和可信任的内网。由此可见，相比于外网安全，内网安全具有的特点有:

首先，要求建立一种更加全面、客观和严格的信任体系和安全体系;

其次，要求建立更加细粒度的安全控制措施，对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理;

最后，要求对信息进行生命周期的完善管理。

1.4论文的主要工作和特色

1.4. 1本文的主要工作

在论文的写作前期，本文作者参与了某企业的网络安全评估的实施和网络行为监控系统的研发。

在以上的工作的实践过程中积累了大量的实践经验后，本文作者在分析了该企业的安全需求后，开发了基于Windows平台的C/S架构的监控系统用于对关键部门的企业员工上网行为的进行监控;开发基于linux平台的B/S架构的监控系统用于对整个网络的上网行为进行访问控制。为实现对该企业的整个内网进行安全管理仅靠对上网行为进行监控是不够的，接着作者提出了一个安全高效的网络安全管理体系，并有针对性的选用相关的安全设备，最后在在其内部网络中进行部署。

本文首先分析了密码技术，访问控制，B/S和CIS架构相关技术和恶意代码的查杀技术;接着分别对这两个网络行为监控系统进行系统设计和实现，分析各个监控模块的实现技术;然后着重从网络准入访问控制，桌面终端的监控与整体防毒和集中管理和控制这三方面着手，予以有效整合，提出了结合以上两个系统的集中式网络安全管理的平台对该企业的整个内部网络进行安防管理，重点分析了该平台的各个模块的功能，并有针对性的选择有关的安全设备;最后实现这些安全设备在网络中的部署，并对该平台搭建后的改良效果予以介绍。

1. 4. 2本文的特色

1.在C/S架构的网络行为监控系统中实现了根据P2P软件进程名不常变更的而对其进程进行处理的方法。

2.在B/S架构的网络行为监控系统中实现了对SMTP数据包的进行重组的技术，利用第三方代理实现前后台的通信。

3.提出了从网络准入访问控制，桌面终端的监控与整体防毒和集中管理和控制这三方面进行控制和管理的集中式网络行为监控平台。

1.5设计目标和论文结构

1.5.1设计目标

安全措施的好坏只取决于最薄弱环节的强度，对网络管理的是否成功取决于网络的最薄弱安全环节。因此，只有把企业的信息安全体系的实施、设备的管理，规章制度的制定，监督和执行这三方面完美的统一，才能是企业的内部网络安全得以更加健康。

对于多数企业而言，目前还没有整体的信息安全规划和建设，也没有制度和流程。作者在对网络安全基本理论、网络安全的目标，内网管理的攻防技术进行详细叙说后，在参阅了很多的网络安全方面的相关资料后，通过对该涉密企业的内部网络信息系统进行威胁来源和可能造成的后果，结合该企业的安全需求的分析和研究，再与其网络安全管理人员进行多次讨论，并和网络安全产品的售后人员实行广泛的交流后，提出了一个将众多桌面系统和网络安全设备进行点面结合的集中式内部网络管理策略。该管理策略以达到对终端的准入控制，终端的加固和集中管理和控制这三个方面进行有效管理。作者负责对该策略的整体设计和实施，并对该管理策略中的重要组成部分C/S和BlS架构的网络行为监控系统进行系统设计和功能模块的实现。经检验，该平台的搭建和相关管理策略的实施使得该企业的网络安全管理水平上了一个新台阶。

1.5.2论文结构

本文总共分为7章，具体结构如下:

第一章介绍了内网安全的背景即国内外发展趋势，本文的目标和特色;

第二章介绍了数据加密，访问控制，恶意代码，C/S和B/S架构的相关知识。

第三章分析该企业面临的威胁和安全需求，提出了集中式安全管理策略，并对其作概括介绍;

第四章和第五章对C/S和B/S架构的网络行为监控系统进行系统设计和功能模块的实现;

第六章对集中式安全管理策略的功能进行详细分析和介绍，给出部署图，并对其进行功能和性能测试;

第七章对本文进行总结和对下一步的工作予以展望。

文章的最后，给出了主要参考文献和作者在攻读研究生阶段的主要研究成果。第二章内部网络安全相关技术

内部网络安全的管理重点是在对内网终端的管理及防范信息泄密事件的发生和防病毒上。而对信息泄露防御((Data Leakage Prevention DLP)的通常解释是:通过一定的技术或管理手段，防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出。

当前，信息泄露防御主要分为两大类:一类是主动管理，采用数据加密、信息拦截过滤技术对数据本身进行管理，主动管理根据所采用的技术又可以分为两种:信息拦截和数据加密。

另一类是被动管理，采用访问控制和输出控制技术对访问数据的用户操作行为进行管理。被动管理是指采用访问控制和输出控制技术，对访问数据的用户操作行为进行限制和管理，大部分被动管理系统都是从身份认证、权限管理、输出控制这几个方面着手的。

同时，恶意代码的开发者运用各种病毒，木马等技术相结合的方法开发出更难防范和危害更大的恶意代码。在这种形势下，对恶意代码的开发和防范技术也是必不可少的。

接下来，本章着重讨论的内部网络安全管理技术，这些技术主要分为数据加密技术，访问控制技术和病毒及防病毒的相关技术，最后还对C/S和B/S架构的概念和优缺点进行介绍。

2.1信息安全理论知识

在本节中，主要对信息网络安全的定义，信息网络安全目标和安全的网络系统的特征进行介绍。

2.1.1信息网络安全的定义

信息网络安全的定义:阻止网络本身及其搜集、处理、存储、传输的数据被有意或无意的泄露、改变和破坏或使信息被非法识别、控制，即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。

网络安全应该包括;

确保对信息加工和传输的系统的安全;

网络上系统信息的安全包括员工身份识别、员工的权限控制和对数据的处理和传输的访问控制;

信息在网路上的传输安全包括对非法，为授权的信息进行截断等;即要确保信息在传播过程中的保密性、完整性和不可抵赖性。

2.1.2安全系统的特征

为了确保网络上信息存储和传输安全，一个安全的网络系统应具有以下特征:

1.确保信息不能泄露给非授权的员工、实体或过程，或供其利用的保密性;

2.数据未经授权不能进行改变的完整性;

3.可被授权实体访问并按需求使用的可用性;

4.对信息的传播及内容具有控制能力的可控性。

2. 2访问控制的相关知识

访问控制即授权者判断哪些主体有资格对系统进行访问，被授权者可以对系统的哪些资源进行访问以及对这些资源的访问级别和行为。一个好的访问控制系统具有防止未经授权的员工对资源的有意或无意的访问。一般来说，访问控制的方法包括对员工的常用口令、登录方式进行控制、对资源的访问级别进行授权(例如员工配置文件、资源配置文件和控制列表)、授权后的检查、日志记录和审计。访问控制管理包括对网络系统中终端，设备的监控以及对人员访问的访问行为。访问控制管理需要对企业的策略、员工的角色、数据的敏感性和该企业的安全需求等因素进行结合分析。访问控制管理有三种模式:集中式、分布式和混合式。每种管理模式各有优缺点。

1.集中式管理

即由企业内部网络管理人员根据需求设置访问控制。当员工对信息的需求发生变化时，只能由这个管理者改变员工的访问权限。每个员工的行为都可以被集中性的管控;当员工没有在其岗位履行职责时，其所被授予的访问权限也就相应地结束了;当员工换到在不同的岗位是，也由企业内部网络管理人员改变其相应的访问权限。

2.分布式管理

分布式管理就是把访问的控制权交给了文件的创建者或拥有者，通常是职能部门的管理者(functional managers)。这就等于把控制权交给了对信息负有直接责任、对信息的使用最熟悉、最有资格判断谁需要信息的管理者的手中。但是这也同时造成在执行访问控制的过程和标准上的不一致性。在任一时刻，很难确定整个系统所有的员工的访问控制情况。不同管理者在实施访问控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求。同时也有可能造成在员工调动和离职时访问权不能有效地清除。

3.混合式管理

混合式管理是集中式管理和分布式管理的结合。它的特点是由集中式管理负责整个机构中基本的访问控制，而由职能管理者就其所负责的资源对员工进行具体的访问控制。混合式管理的主要缺点是难以划分哪些访问控制应集中控制，哪些应在本地控制。

2. 3数据加密技术

为保护企业的数据安全，首先对数据系统进行备份;目前，大约有80%的数据中心将安全、备份、恢复以及持续数据保护作为他们2010年最重要的项目。还有就是各种网络安全产品如防火墙、防病毒系统、IDS等，有一些对数据进行保护的功能。信息安全技术这门学科包括信息论，计算机科学和密码学等，其核心是密码技术。数据加密的基本思想是用特殊符号按照通信双方约定的办法把原有的信息改变形态从而保护信息的内容。从保护数据的角度讲，对数据安全可以细分为三部分:数据加密、数据传输安全和身份认证管理。下面对这三方面分别予以简介:

数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据，通过使用不同的密钥，可用同一加密算法将同一明文加密成不同的密文。当需要时，可使用密钥将密文数据还原成明文数据，称为解密。这样就可以实现数据的保密性。数据加密被公认为是保护数据传输安全唯一实用的方法和保护存储数据安全的有效方法，它是数据保护在技术上最重要的防线。

数据传输安全是指数据在传输过程中必须要确保数据的安全性，完整性和不可抵赖性。

身份认证管理的目的是确定系统和网络的访问者是否是合法员工。主要采用登录密码、代表员工身份的物品(如智能卡、IC卡等)或反映员工生理特征的标识鉴别访问者的身份。

其中对传输安全的实现目标，主要包括:

机密性(confidentiality):仅有发送方和指定的接收方能够理解传输的报文内容。即便窃听者截取到加密了的报文，也无法还原出原来的信息。

鉴别(authentication):发送方和接收方都应该能证实通信过程涉及的另一方，通信的另一方确实具有他们所声称的身份。即第三者不能冒充跟你通信的对方，能对对方的身份进行鉴别。

报文完整性((message intergrity):即使发送方和接收方可以互相鉴别对方，但他们还需要确保其通信的内容在传输过程中未被改变。

不可抵赖性(non-repudiation):当人们收到通信对方的报文后，证实报文确实来自所宣称的发送方，发送方也不能在发送报文以后否认自己发送过报文。

数据加密技术可广泛的应用于网络和系统中，主要包括以下方面:

1.数据加密

2.身份验证

3.保持数据完整性

4.确认事件的发生

数据传输加密可通过通信的三个层次来实现:链路加密，节点加密和端对端加密。

1.链路加密:

所有的信息在被传输之前进行加密，而每个节点对接收到的信息进行解密。保护通信节点间传输的数据，通常采用硬件在网络层或数据链路层实现。

链路节点的优点:不会减少网络的有效带宽;只有相邻节点使用同一密钥，所以容易管理;加密对于员工透明。缺点:在传输的中间节点，报文以明文的方式出现，容易受到非法访问。每条链路都需要加解密设备和密钥，加密成本高。

2.节点加密:

节点加密和链路加密操作方式相似。都是在通信链路上为传输的信息通过安全性，都在中间结点先对信息进行解密，然后进行加密。然而与链路加密不同的是，节点加密不允许信息以明文的方式存在。缺点是节点加密要求报文的报头和路由信息以明文的方式传输，对这一点的攻击也是其无法回避的。

3.端对端加密:

端对端加密允许信息在从源头到终点的传输过程中以密文的方式存在。采用端对端，消息在被传输时到达终点之前不再解密，在源节点或者目标节点对传输的报文进行加密和解密，一般在应用层或表示层完成。

端对端加密的方式的优点是端对端加密系统的价格适中，并与链路加密和节点加密相比更加可靠，更易实现和维护。它的缺点是报文的控制报文和地址不加密，容易受到流量分析的攻击。需要在全网范围内对密钥进行分配和管理。

2. 4 C/S架构和B/S架构概念和及其区别

C/S架构((ClientlServer，即客户机/服务器模式)分为客户端和服务器端两部分，客户机具有一定的数据处理和数据存储能力。通过把应用软件的计算和数据合理地分配在客户机和服务器两端，可以有效地降低网络通信量和服务器运算量。由于服务器连接个数和数据通信量的限制，这种结构的软件适于在用户数目不多的局域网内使用。

B/S架构(Browser/Server，即浏览器/服务器架构)是随着Internet技术的兴起，对C/S架构的一种变化或者改进的结构。在这种架构下，用户界面完全通过WWW浏览器实现，一部分事务逻辑在前端实现，但是主要事务逻辑在服务器端实现。

这两种架构的区别主要体现在以下三个方面:

1、系统的性能

在系统的性能方面，B/S占有优势的是其异地浏览和信息采集的灵活性。任何时间、任何地点、任何系统，只要可以使用浏览器上网，就可以使用B/S系统的终端。不过，采用BIS结构，客户端只能完成浏览、查询、数据输入等简单功能，绝大部分工作由服务器承担，这使得服务器的负担很重。采用C/S结构时，客户端和服务器端都能够处理任务，这虽然对客户机的要求较高，但因此可以减轻服务器的压力。

2、系统的开发

C/S架构是建立在中间件产品基础之上的，要求应用开发者自己去处理事务管理、消息队列、数据的复制和同步、通信安全等系统级的问题。这对应用开发者提出了较高的要求，而且迫使应用开发者投入很多精力来解决应用程序以外的问题。这使得应用程序的维护、移植和互操作变得复杂。如果客户端是在不同的操作系统上，C/S架构的软件需要开发不同版本的客户端软件。

3、系统的升级维护

C/S架构的软件的各部分模块中有一部分改变，就要关联到其它模块的变动，使系统升级成本比较大。与C/S处理架构相比，B/S则大大简化了客户端，只要客户端机器能上网就可以。对于B/S而言，开发、维护等几乎所有工作也都集中在服务器端，当企业对网络应用进行升级时，只需更新服务器端的软件就可以，这减轻了异地用户系统维护与升级的成本。如果客户端的软件系统升级比较频繁，那么B/S架构的产品优势明显是所有的升级操作只需要针对服务器进行，这对那些点多面广的应用是很有价值的。在系统安全维护上，B/S则略显不足，B/S架构需要更多的考虑数据的安全性和服务器的安全性，毕竟现在的网络安全系数并不高。

2. 5本章小结

本章首先介绍了信息安全的定义和特征，然后分别对信息安全的主要研究对象访问控制和数据加密技术这两方面进行了的介绍，这两方面也是接下来章节需要的理论基础，然后介绍了C/S和B/S架构的概念和优缺点比较，为这两种监控系统的设计和实现打下基础。