1绪论
1.1研究背景和意义
计算机系统早已是一个大众化的科技产品,并已经充分融入到了人类的生活中。因此,计算机系统的利用者五花八门,其中也不乏怀有不良企图的非法利用者。对十一个导入计算机系统的企业或者组织来说,其敏感信息的保护就显得尤为重要。计算机系统非法利用者的入侵,将极有可能使这些敏感信息遭到破坏和泄露。另外,随着互联网技术以及内部网技术的发展,为计算机系统非法利用者利用其他计算机对敏感信息区域进行攻击提供了条件。因此,计算机系统的合法利用者也可能成为协助非法利用者达到其非法目的之受害者。
针对以上的计算机系统安全威胁,计算机工业领域相继推出了一系列计算机信息安全产品。包括防火墙系统,病毒查杀系统,反木马系统等。就计算机信息安全产品本身所关注的各个安全领域来说,都已有技术比较成熟的产品问世,实际使用的效果也不错。但计算机安全其实是一个系统工程,单从某些方面对计算机系统进行安全检测与保护是不完全的。就目前来说,计算机安全产品仍然有以下问题需要解决:
.对于各个单独的面向不同安全领域的安全产品,因其只关注特定安全领域,计算机系统的整体安全需要一个可统筹配置的信息安全系统。
.对于网络敏感区域的访问控制,目前比较成熟的是防火墙系统与用户身份认证系统。面对计算机系统各方面的安全威胁,更需要访问控制与计算机系统
状态检测的集成。
随着人们口常工作和生活都越来越依赖计算机系统,在安全问题口益突出、计算机安全威胁的种类也突显多样化趋势的背景下,单个特定领域的信息安全产品已无法很有效和全面的保护计算机和网络。因此,建立一个可配置的基十规则的计算机安全检测系统框架是十分必要的。
1.2研究目标和内容
本课题的研究目标是建立一个能够集成包括计算机系统利用者身份认证,计算机系统状态检测以及相关安全产品导入状况检测系统的框架。利用该框架,可以根据实际需要来定义与配置计算机安全状态检测工作流,以此对计算机系统进行安全状态判别并隔离被认为有安全威胁的计算机系统接入网络的敏感区域。其中:
.“安全状态判别”是指对计算机系统安全状态进行检测的过程;
.“网络的敏感区域”一般是指企业或者组织内部署着关键业务的应用或者数据的区域,利用网络控制机器进行访问控制。
本课题的研究内容主要包括:
1)分析计算机系统的弱点,从各个不同的层面和方面分析计算机系统面临的安全威胁;
2)安全状态检测规则的形式化描述语言定义;
3)针对分析得到的安全威胁汇总,利用形式化描述语言对计算机安全检测系统框架进行需求分析;
4)根据需求分析的结果,对计算机安全状态检测系统框架进行设计。
5)对计算机安全状态检测系统框架进行实例应用以及可用性检验。
1.3论文结构
全文共由6章组成。
第1章为绪论,阐述了计算机安全状态检测系统框架的背景、目的和意义、目标和内容。
3.4 用例实现......... 36-42
3.4.1 认证用户身份的用例......... 36-38
3.4.2 检测软件系统完整性......... 38-39
3.4.3 检测安全产品导入状态......... 39-41
3.4.4 设定网络放行......... 41
3.4.5 设定网络隔离......... 41-42
3.5 本章小结......... 42-44
4 框架的设计 ......... 44-59
4.1 框架的架构考虑......... 44
4.2 框架总体结构......... 44-46
4.3 框架的层次结构......... 46-47
4.4 逻辑视图......... 47-55
4.4.1 动态逻辑视图......... 48-53
4.4.2 关键类图......... 53-55
4.5 进程视图......... 55-56
4.6 部署视图......... 56-57
4.7 XML 配置信息设......... 57-58
4.8 本章小结......... 58-59
5 框架的应用及评价......... 59-62
5.1 框架测试 ......... 59-60
5.2 框架在企业项目......... 60-61
5.3 本章小结......... 61-62
小结
本文研究并开发了一个能够集成包括计算机系统利用者身份认证,计算机系统状态检测以及相关安全产品导入状况检测系统的框架。利用该框架,可以根据实际需要来定义与配置计算机安全状态检测工作流,以此对计算机系统进行安全状态判别并隔离被认为有安全威胁的计算机系统接入网络的敏感区域。
本文的主要工作包括:
1)分析计算机系统的弱点,从各个不同的层面和方面分析计算机系统面临的安全威胁。
2)采用用例技术对计算机安全状态检测系统框架的功能需求进行了详细建模和定义。
参考文献
[1] Title 44 of the United States Code 3542[S], 2007, b1
[2] ISACA,Information Systems Audit and Control Association[K], CISA Review Manual, 2006, 85
[3]刘海燕,杨朝红,霍景河,内网安全检测与分析技术研究阴,计算机工程与科学, 2009, 31(9), 11
[4]龚尚福,李娜,龚星宇,网络安全检测与监控技术的研究[J],电子设计工程,2009, 17(6),12
[5] Ross J. Anderson, Security Engineering: A Guide to Building Dependable Distributed Systems[M], Wiley, 2001
[6] Computer insecurity[K/OL], Wikipedia
[7] ISACA, Segregation of Duties Cont http://sblunwen.com/jsjaqlw/ rol matrix[K], ISACA, 2008
[8] Trusted Computing Group, Trusted Network Connect Architecture for Interoperability[S], TCG PUBLISHED, 2009
[9] R. Yavatkar, D. Pendarakis, R. Guerin, A Framework for Policy-based Admission Control[S], RFC 2753, January 2000
[10]U.S. National Information Systems Security Glossary[K], NSTISSI, June 1992