您当前的位置:首页 > 计算机论文>计算机网络论文

主动式网络安全监控系统的研究

2015-12-11 17:17 来源:学术参考网 作者:未知

摘 要:目前网络安全防护的一般措施是在受保护主机上安装防火墙、使用入侵检测机制和在网络设备如交换机、路由器上设置访问控制等技术。本文针在研究内部网的安全问题上,对主机强制访问控制监控子系统进行深入研究。

关键词:信息安全;强制访问控制;网络安全管理
1.引言
  近年来计算机网络的发展异常迅速。特别是随着国际互联网络Internet的不断推广应用,计算机网络的发展愈来愈成为人们所关注的全球性热点之一。社会对计算机网络的使用越来越广泛,用户对网络的依赖性也越来越大。随着网络技术的发展和网上电子商务应用的日益增加,网络安全和信息安全的问题日益凸现。上个世纪90年代人们在计算机系统中设置安全机制是为了控制用户对系统资源的访问。之后逐渐意识到,系统更的需要两种不同类型的访问控制:DAC和MAC。DAC在控制访问中灵活性很强,以保护用户的个人资源的安全为目标。而MAC访问控制是为了保护系统的整体安全,在接受访问时必须有该主体授权,否则就会遭到拒绝。
2.需求分析
  一般企业网内部资源的安全策略如访问权限、存取控制是基于IP地址进行的,例如入侵者可利用企业网络管理方面的漏洞,盗取合法用户的权限或IP地址,因此目前大多数主动式网络安全监控系统主要从以下几个方面考虑安全监控问题:
(1)企业网内部主机资源的安全。企业网内部主机除了应用传统的防火墙、入侵检测系统以外,还可应用强制访问控制机制对本机内部的重要资源实施强制访问控制保护,一旦非法用户入侵到网内并企图对主机文件进行非法或越权操作时,强制访问控制机制可以对其实施阻断;
(2)入侵检测。在发现非法攻击或者非法用户企图操作主机文件时,可通过入侵检测机制发现入侵者来源,阻断入侵者的非法操作,记录入侵主机相关信息等;
(3)安全审计监控系统应当具备记录监控信息的能力,包括非法操作发生的时间、非法进程信息、非法主机信息(IP地址、端口号)、统计高危险和高频率的操作,以及建议执行的安全措施等等,方便管理员查询和统计;
3主动式非法接入防范措施
3.1自主访问控制和强制访问控制
  自主访问控制(DAC,Discretionary Access Control) 又称基于身份的访问控制,可根据主体的身份和授权来决定访问模式。基本思想是:系统中的主体(用户或用户进程)可以完全自主地将其拥有访问权限(全部或部分地)授予其它主体。自主策略具有很强的灵活性,但是信息在系统中转递的时候,并不提供真正的安全保证。在自主策略中用户一旦获得某信息后,就不再对用户对信息的使用进行限制。安全漏洞是这么产生的:用户可以将其对信息资源的访问权限传递给用户,从而使不具备对访问权限的也可以访问,而这样的信息分发不需要经过信息所有者的确认。
  强制访问控制(MAC,Mandatory Access Control)源于对信息机密性的要求以及防止特洛伊木马之类的攻击。其本质是基于格的非循环单向信息流政策,系统中每个主体都被授予了安全证书,并根据一定条件划分安全等级。只有用户和信息资源的安全等级满足一定条件的时候才可以进行,从而维护系统信息的安全。在监控系统中MAC通过无法回避的存取限制来阻止直接或间接的非法入侵,通常可利用其安全属性决定是否可以访问。
3.2访问控制策略
  在已有的访问控制模型中,访问控制策略都是通过对会话的相关约束条件配置间接描述的。现在一些网络安全监控系统采用IP-MAC-PORT三者绑定的技术,首先确保授权客户通过认证,再通过SNMP协议编写相关的网络管理软件。如MAC的安全策略是一个基于BLP的安全模型管理策略。它根据对主体和客体的安全级别进行分类实施访问控制。策略规定有两条:主体只能读等于或低于它自身安全级的客体对象;主体只能写等于或比它自身高安全级的对象。DAC的访问控制策略是根据用户定义的身份或规则实施。它能自主的从用户角度决定对用户进行授权。
3.3审计(Audit)策略
  在很多情况下访问控制并不能完全解决信息系统安全的问题,用户的整个信息系统的安全机制还需要整合审计机制。对所有用户的资源请求进行事后分析就是审计。通过审计最大的作用就是威慑,如果是一些用户恶意侵犯,其信任度会迅速下降,随后主动式网络安全监控系统会限制其访问权限甚至拒绝其访问;同时,审计还可以发现安全系统可能存在的错误,经实践检验审计机制可以确保用户不会恶意侵犯。

参考文献:
[1]董小国.基于简单网络管理协议(SNMP)的分布式校园网远程管理系统的研制[D].北京化工大学,2005:25-35.
[2]Jiang Yixin,Lin,Chuang Yin,Hao Tan,Zhang Xi.Security analysis of mandatory access control model[D].2004 IEEE International Conference on Systems,Man and Cybernetics,2004:5013-5018.
[3]佘健,窦丽华,陈杰.基于SNMP协议的网络主机综合监控方法研究[J],北京理工大学学报,2002,22(3):368-372
[4]王雷.主动式网络安全监控系统的设计与实现[D].南京航空航天大学,2007

相关文章
学术参考网 · 手机版
https://m.lw881.com/
首页