统一安全管理平台的设计开发

摘要

　　当前快速发展的网络信息化已经进入到现实社会的各行各业。网络信息化在给人们带来便利的同时，也面临着诸多安全问题，诸如病毒传播、恶意软件攻击入侵、漏洞利用等行为，对财产损失、个人信息泄漏、企业内部商业机密损失、甚至政府、金融、国防等安全都带来了巨大挑战。

　　针对当前面临的诸多安全问题，业界研究了多种安全手段进行防护。比如，传统的防病毒、防火墙、漏洞补丁升级等功能单一的安全防护产品，可以对个人电脑提供基本的安全防护。为了避免企业单位内部单台主机的安全问题影响企业内部网络的整体安全，包括 360 企业安全管理系统、卡巴斯基安全管理系统等安全产品可以对企业网内多主机进行统一安全管理。现有的这些安全产品大多面向Windows 平台，针对 Linux 操作系统的研究不多。为避免受制于人的情况，国家正大力推动包括 CPU、操作系统在内的国产化，以其保护我国的信息安全。以麒麟操作系统为代表的一系列国产自主操作系统应运而生，这些操作系统基本上基于开源 Linux 系统进行二次研发和增强，因此迫切需要针对基于 Linux 平台的统一安全管理。

　　本课题针对内部网络主机的统一安全管理需求，设计实现了基于 Linux 的网络统一安全管理平台框架，支持模块化安全管理功能的设计与实现，具备良好的可扩展性。该平台框架包括前台浏览器控制端、后台统一管理的服务器端以及被管理的主机客户端组成。前台浏览器控制端主要负责网络内各主机的安全状态展示以及向服务器提交安全管理命令；后台实施统一管理的服务器端运行 Web 服务，负责接收用户管理指令，并发送给被管理的主机客户端，同时将各主机的安全状态发送给前台浏览器客户端；被管理的主机客户端运行安全代理，负责接收服务器的统一安全管理指令，并在本地进行实施，同时汇报本地安全状态给服务器端。

　　前台控制端与后台服务器端通过 Web 进行交互，服务器端和被管理客户端之间则通过分布式 XML-RPC 技术实现通信。

　　在基于 Linux 的网络统一安全管理平台框架下，本文设计实现了统一的网络访问功能模块、统一的日志管理功能模块等。统一的网络访问控制功能模块主要包括：网络流量统一监控、基于黑名单的网络访问统一管理以及网络服务管理；统一的日志管理功能模块主要由各被管理客户端的日志进行统一展示，便于管理员进行集中分析。后续根据需要，还可以在基于 Linux 的网络统一安全管理平台框架下设计实现统一的主机病毒集中查杀管理功能模块、统一的主机外设封控管理功能模块等。

　　本课题的研究成果对于国产化操作系统的推广具有较好的促进作用。

　　关键词：网络安全统一管理 Linux 网络访问控制 主机封控

ABSTRACT

　　With the rapid development of internet technology, network informatization has permeated into all works of life. It brings us great convenience and security threats as well, such as viral transmission, malware attacks and intrusions, vulnerability exploitation and so on. Consequently, these security threats probably can lead to the loss of property, the leakage of personal information and trade secrets of an enterprise. What’s more, the security of the government, finance and national defense can also unavoidably meet great challenge.

　　Faced with so many security issues nowadays, various measures for security defense have been taken. Traditional security defense products with single function such as anti-virus, firewall, vulnerability patch updating can only provide basic security defense for a personal computer. In case that in an enterprise a single host’s security issue may affect the overall internal network security, security products such as 360 Enterprise Security Management System, Kaspersky Security Management System can be applied for the unified security management of the netwok hosts. However, most present security products are for Windows and few for Linux operating system. To avoid too much dependence on others, Chinese government is making great force for the realization of homemade CPU and operating system to ensure national information security. Thus a series of China-made operating systems represented by Kylin have emerged, which are typically based on the 2nd time research-development and enhancement of Linux operating system. So the Linux-based unified security management is urgently required.

　　Besed on the requirement of the unified security management among the network hosts, this topic designs and builds a platform framework of the Linux-based unified security management, which allows the design and realization of modular security management function with favorable extensibility. This platform framework consists of the front-end browser control site, the back-end uniformly managed server side and the managed host-client side The front-end browser control site is mainly in charge of displaying the security state of the netwok hosts and submitting security management order to the server. The back-end unified managed server side is in charge of running Web service, receiving a users’ management order, and then sending it to the managed host-client side, also reporting the local security state to the front-end browser server side. The managed host-client side is in charge of the security deputy, receiving unified security management order, carrying it out, and reporting the local security state to the server side at the same time.The front-end browser control site interacts with the back-end server client based on Web while the server client side interacts with the managed host-client side based on distributed XML-RPC technology.

　　With the Linux-based platform framework of network unified security management, this paper designs and realizes the unified network-access functional module and the unified log-management functional module, etc. The unified network- access functional module includes: unified network-flow monitoring, blacklist-based unified network-access management, and network service management. The unified log-management functional module mainly carries out unified display of various managed client sides in log, which is beneficial for managers in centralized analysis.If necessary, the Linux-based platform framework of network unified security management can also make it available to design and realize the host virus checking and killing management functional module and unified host peripheral control management functional module.The research in this paper is of significant role in the promotion of homemade operating systems.

　　Keyword: network security unified management, Linux, network access control,host control

　　随着互联网技术的快速发展，信息技术已经和人们的日常生产生活紧密结合在一起，使得网络设备和网络软件得到广泛应用。信息技术带给人们便利的同时也带来了安全问题，使人们的财产、个人信息、商业信息等信息遭受到损失和泄露的安全威胁。在新的形式下，这些安全问题也变得日益突出。

　　下面分别从单机、多主机以及主机所运行的操作系统 Windows 系列和 Linux操作系统方面分别描述安全现状。这些现状具体表现在如下几个方面：

　　(1) 单机情况：从单机角度而言，面临的威胁和攻击主要包括两类，一类是对计算机本身实体的安全攻击；另外一类是计算机所存储的信息的安全攻击。

　　现实中，第二类的安全攻击问题带来的损失最大，这里主要描述此类威胁。对信息的威胁和攻击类型可分为:信息泄漏和信息破坏。信息泄漏是指故意或被动的将主机中的信息传播出去。例如，银行账号或者口令等信息，尤其是涉及商业机密信息的泄露带来极大的危害。这种威胁形式包括主机木马病毒感染、恶意软件使用、主机外部设备例如 USB 接口等非法使用。例如，当前网络上出现了针对即时通讯软件例如 QQ 的盗号木马病毒，针对网银的盗窃登录信息的木马病毒。有些病毒会通过感染 U 盘上的文件，当用户通过 U 盘共享文件时，病毒就会在主机间进行传播，窃取更多信息，同时员工也有可能私自将机密信息窃取。信息的破坏是指破坏主机上存储信息完整性。例如一些计算机病毒会感染主机上的所有可执行程序，使得系统无法正常运行。有些病毒感染办公文件，使得如计算机犯罪和计算机病毒造成信息的修改、删除或破坏, 将导致系统信息的丢失,甚至使系统瘫痪。有些病毒攻击主机的网络，造成主机以及主机所在的网络的瘫痪。个人主机病毒和木马威胁和危害不断扩大。据统计，2014 年我国感染木马僵尸网络的主机为 1108.8 万余台。2015 年新发现病毒数为 1.45 亿个，较 2014 年增加 5%。同时，在 2015 年病毒感染机器量达 48.26 亿次，流氓软件、恶意软件感染量达 3.70 亿次，木马感染量达 0.80 亿次。电脑病毒数直线上升，导致感染病毒机器也迅速增多，平均一台电脑中毒数十次[1-2]。同时操作系统以及各种应用软件的高危漏洞事件增多，年均增长率在 15%至 25%之间，针对漏洞的挖掘和利用研究日趋活跃。2014年，收录并发布各类安全漏洞9163个，较2013年增长16.7%[2]。下面分别从Windows和 Linux 两种常见操作系统所面临的安全威胁进行分析。

　　运行 Windows 操作系统的主机。Windows 操作系统由于其易用性，所见即所得的特性，占据了大部分的客户机的桌面，正是由于其使用的广泛性，为其带来了大量的安全威胁，目前大部分的病毒以及木马病毒都是针对 Windows 操作系统的。黑客攻击也不断的发现和利用 Windows 漏洞进行攻击、传播病毒，从而获取信息进行谋利。例如，微软已经停止更新 XP 操作系统，但是目前国内还有相当部分主机运行该操作系统，因此，新发现的漏洞就无法得到及时更新维护，可能导致零日攻击现象。

　　Linux 操作系统方面。Linux 操作系统是可免费使用，开放源代码的一种类似 Unix 操作系统，是一种多用户、多任务并且支持多线程的操作系统。Linux 性能稳定，价格低廉，是中小企业服务器的最佳选择之一。Linux 具有性能稳定、安全可靠、免费使用、价格低廉、功能强大、支持多种平台、界面良好，容易使用等特点，因此在企业中提供各种网络服务器功能，例如 Web 服务器、FTP 服务器、文件/打印服务器、DNS 服务器、存储功能、数据库服务器以及企业的网络安全管理功能、集群服务等。因此 Linux 的安全性就成为了企业构筑安全应用的一个基础。

　　但是 Linux 也面临着越来越大的安全风险。2014 年 9，GNU Bash 软件被披露存在远程代码执行高危漏洞，目前主流的 Redhat、Fedora、CentOS、Ubuntu、Debian、Mac OS 等大部分主流 UNIX/Linux 操作系统平台均受到影响，不仅是服务器系统，还包括交换机、防火墙、网络设备以及摄像头、IP 电话等许多基于 Linux 的定制系统。从这两个漏洞可以看出，Linux 系统安全形势不容乐观，其中可能隐藏着已经存在但尚未被发现的大量漏洞[2]。目前，为避免受制于人的情况，国家正大力推动包括 CPU、操作系统在内的国产化，以其保护我国的信息安全。以麒麟操作系统为代表的一系列国产自主操作系统应运而生，这些操作系统基本上基于开源Linux系统进行二次研发和增强，因此迫切需要针对基于Linux平台的安全管理。

　　(2) 多主机情况：目前，单独存在的主机已经很少。大部分主机通过各种网络与其它计算机或者网络相连。同时，病毒包括木马病毒也通过主机本身的安全漏洞进行传播，给主机或者网络的正常运行带来威胁，也可能导致用户个人信息和企业财产的损失。另外，员工通过网络主机在使用外部网络时，可能会无意访问一些恶意网站或者钓鱼网站，从而带来安全威胁。据统计，目前，国内个人网站数据和个人信息泄露仍呈高发态势。这种泄露有多重原因，有木马病毒，也有钓鱼网站的故意诱骗所致。2014 年，境内网站仿冒页面俗称钓鱼网站近十万个，较2013 年增长 2.3 倍。被仿冒最多的是第三方支付机构、网上银行等金融机构的仿冒页面，用来诱骗用户输入银行卡号、密码、身份证号等敏感信息。在多主机的情况下，使得安全问题更加突出，尤其是网络安全攻击，由于个别用户在操作系统漏洞补丁方面工作不及时，导致安全漏洞，会给整个网络运行带来危害，影响其他主机的工作。在多主机情况下，安全问题的管理问题更加复杂，难度更大，存在着“木桶效应”。即有一台主机安全问题，会影响到整个网络内其他主机安全，因此必须采用集中统一的安全管理方式进行。

网络联网控制

设备封控管理

病毒查杀功能

系统日志管理

目 录

　　摘 要
　　ABSTRACT
　　第一章 绪论
　　　　1.1 研究背景
　　　　1.2 研究内容和意义
　　　　　　1.2.1 研究内容
　　　　　　1.2.2 研究意义
　　　　1.3 本文的组织结构
　　第二章 研究现状
　　　　2.1 单机安全管控需求
　　　　2.2 局域网多机集中式安全管理技术
　　　　2.3 统一网络安全管理平台
　　　　　　2.3.1 统一网络安全管理
　　　　　　2.3.2 现有统一网络安全管理平台
　　第三章 基于 Linux 的统一集中安全管理平台总体框架设计
　　　　3.1 系统设计思路
　　　　3.2 系统总体框架
　　　　　　3.2.1 集中管理服务端设计
　　　　　　3.2.2 被管理终端安全代理设计
　　　　　　3.2.3 集中管理展示端设计
　　　　3.3 平台的功能模块
　　　　　　3.3.1 用于交互的 Web 模块
　　　　　　3.3.2 实现管控功能的后台
　　第四章 平台安全管理功能模块设计
　　　　4.1 系统整体设计
　　　　　　4.1.1 集中管理服务端设计
　　　　　　4.1.2 集中管理展示端功能设计
　　　　　　4.1.3 代理客户端设计
　　　　4.2 网络控制模块的设计
　　　　　　4.2.1 基于 Netfilter 的网络控制
　　　　　　4.2.2 网络黑名单功能的详细设计
　　　　　　4.2.3 网络控制策略的更新设计
　　　　　　4.2.4 网络流量监控的流程设计
　　　　4.3 日志管理模块的设计
　　　　　　4.3.1 Syslog 日志系统
　　　　　　4.3.2 日志采集技术 Rsyslog
　　　　　　4.3.3 日志系统 Web 模块设计
　　第五章 基于 Linux 统一集中安全管平台的实现
　　　　5.1 安全控制模块后台系统的实现
　　　　　　5.1.1 集中管理服务端与终端交互实现
　　　　　　5.1.2 网络黑名单代理功能后台实现
　　　　　　5.1.3 日志管理模块的后台实现
　　　　5.2 安全控制 Web 展示模块实现
　　　　　　5.2.1 网络黑名单 Web 模块实现
　　　　　　5.2.2 设备封控 Web 模块实现
　　　　　　5.2.3 网络病毒集中查杀 Web 模块实现
　　　　5.3 日志管理模块的实现
　　结 束 语
　　致 谢
　　参考文献

（如您需要查看本篇毕业设计全文，请您联系客服索取）