新型网络安全防护技术—网络安全隔离与信息交换技术的研究.pdf
《新型网络安全防护技术—网络安全隔离与信息交换技术的研究.pdf》由会员分享,可在线阅读,更多相关《新型网络安全防护技术—网络安全隔离与信息交换技术的研究.pdf(63页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 摘要网络安全隔离与信息交换技术是实现不同安全要求网络间可靠安全隔离,同时保障信息可靠交换,从而提升内部网络安全级别的新型网络信息安全技术。本文针对目前网络安全威胁及网络信息安全技术现状,简要介绍网络安全隔离的研究历史背景和意义,并提出以信息安全产品通用评估准指导网络安全隔离与信息交换技术安全功能的设计。 信息安全产品通用评估准则(cc)作为信息安全方面的一个基础性框架性标准,对指导信息安全产品开发,规范合格评定,提高产品质量,为信息安全的行政管理提供技术支持等方面,都具有十分重大的现实意义。因此,我们对通用评估准则的历史、在我国的实施情况、组织结构以及基本的一些知识概念和要求做详细介绍。 随
2、后,我们从模型的角度,提出网络安全隔离与信息交换技术框架。并根据通用评估准则的要求和规范,制定了相关的安全功能要求包。在进行技术框架的细化设计后,我们深入分析网络安全隔离与信息交换技术的数据处理流程、工作机理,以突出网络安全隔离与信息交换技术与现有网络安全防护技术相比所独有的技术优势,并验证技术框架设计和安全功能与我们所制定的安全功能包之间一致性。 最后,我们对网络安全隔离与信息交换技术特点进行了总结,并展望该技术的广阔前景。关键词:信息安全安全隔离与信息交换信息安全技术通用评估准则被动检查访问控制AbstractAs a new technology, Network Safe Isolat
3、ion and Information Exchange Technologycan realize the safe isolation of networks with different security request, at the sametime guarantee the reliable information exchange, so as to upgrade the security levelof internal network. We aim at the threats of network security and the status quo ofinfor
4、mation security technology, give an introduction of the research background andpurpose of network safe isolation. Then, we decide to design the framework ofNetwork Safe Isolation and Information Exchange Technology with the guidance ofinformation security technology Common Criteria (CC)Common Criter
5、ia is a basic framework standard of information securitytechnology. It can not only be used to direct the development and design ofinformation security product, evaluate the information security product standardly, butalso help to improve the quality of product and the progress of technology, givesu
6、pports of information security administration. Based on the important sense andvalue gived above, we introduce the history of Common Criteria, the implementsituation in our country and the structure and basic knowledge of Common Criteria Then,Wc give the Network Safe Isolation and Information Exchan
7、ge Technologyframework from the viewpoint of model. And we provide the security request packageaccording to Common Criteria to the security request of Network Safe Isolation andInformation Exchange Technology. After expatiating on the thesis design and theprocess of data treatment of the technology
8、framework particularly, we emphasizes itsunique technology advantages and merits compared with other network protectiontechnology, validate the consistency between the framework and security functionpackage. Finally, we sum up the technology characteristic and show the future of thetechnology.Key wo
9、rds:Information Security, Safe Isolation and Information Exchange,Common Criteria(CC), Passive Check, Access control.独创性声明独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其它人已经发表或撰写过的研究成果,也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢意。签名:日期:.200华年,2 A1
10、7日关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关的数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 (保密的学位论文在解密后应遵守此规定)签名:导师签名:一-1 0日期:-200毕年卫月刀日电子科技大学硕士论文新型网络安全防护技术一网络安全隔离与信息交换技术分析研究第一章引言信息化建设是我国抓紧第三次世界工业技术革命机遇,实现科技强国的必由之路。信息化的发展程度的高低直接关系到对信息这一战略资源的
11、掌控程度。可以说,在当今世界发展形势下,谁的信息化程度愈高,谁就将掌握经济发展的主动。因而全面推进国家信息化是我国本世纪初期国民经济与社会文化发展的主要战略目标,更是高科技产业发展的动力,国家实现现代化的根本途径。 我国紧跟全球信息化的飞速发展,大量建设的各种信息化系统已经成为国家关键基础设施,其中诸如电信、电子商务、电子政务、金融网络等。由于许多业务要与国际接轨,因此网络信息安全已成为巫待解决、影响国家全局和长远利益的重大关键问题。这不但是推进信息革命,取得高效率、高效益经济发展的有力保证,更是对抗霸权主义、抵御信息侵略的重要保障。网络信息安全问题如果解决不好,将全方位地危及我国政治、军事、
12、经济、文化等各个方面,使国家处于信息战劣势和经济金融风险的威胁之中。目前我国信息安全面临严峻形势:在信息产业和经济金融领域,电脑硬件面临遏制和封锁的威胁;电脑软件面临市场垄断和价格歧视;国外电脑硬件、软件中隐藏着“逻辑炸弹”或恶意功能;网络信息安全防护能力较弱,许多应用系统处于不设防状态,具有极大的风险性和危险性。加之国内信息安全保证手段落后于人,管理人员安全意识薄弱,网络攻击事件时有发生。 而在防护技术研究上,我国信息安全研究经历了通信保密、计算机数据保护的发展阶段,正在进入网络信息安全体系全面建立的飞速发展阶段。在学习借鉴国外技术的基础上,国内相关单位开发研制了防火墙、安全路由器、安全网关
13、、入侵检测、系统脆弱性扫描软件等。但是这些产品安全技术的完善性、规范性、实用性还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面与国际先进水平存在较大距离,理论基础和自主技术手段也需要发展和强化。而这其中急待解决的内部网络信息安全问题一直是困扰国内网络信息安全界的深层次矛盾和冲突。 本课题通过研究基本的网络攻击方法入手,针对现有网络安全技术的局限J性和片面性,依据国际认同,具有实际理论指导价值的信息技术安全技术信息技术安全性评估准则(等同采用ISO/工EC 15408-1999541,通常简称通用评估准则CC),阐述全面、深入解决网络信息安全的新型技术一网络安全隔离与信
14、息交换技术框架与详细模块化设计思路,论证网络安全隔离与信息交换技术基理在网络信息安全的先进性、独特性。力争为网络安全隔离与信息交*1 f科技大燮扭吹士论文新型网络安全防护技术一网络安全隔离与信息交换技术分析研究换产品安全性、性能上的完善提供镇密的框架理论基础,并为这一技术的进步、发展提供新思路与设想。 目前,国、内外的网络安全隔离与信息交换技术研究还处于起步阶段,技术不成熟,相关资料匾乏都对分析研究工作造成困难。为透彻了解现有技术的机理,我们参照一系列信息安全技术国家标准以及防火墙等成熟网络安全产品技术,提出并阐述完善的、可实现的技术框架,力求为我国网络信息安全技术提供新的发展思路。第二章网络
15、攻防技术现状2. 1网络安全缺陷与攻击技术分析网络攻防技术是对立存在而相互促进发展的一对矛盾。保证网络信息安全要知己,更要知彼。因此我们首先对网络安全缺陷与攻击技术进行分析,以有针对性地防御网络攻击,保障网络信息机密。2.1.1当前网络安全面临的主要威胁信息技术的出现与发展始终都伴随着对信息安全的关注,集中表现于网络自身安全以及信息保密两个方面。而网络自身缺陷,管理漏洞,都使网络攻击方式不断爆发式出现,导致网络信息安全面临巨大压力。2.1.1.1网络安全缺陷一个完整的网络,是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,包括协议本身及应用实现都有可能存在各种问题。网络安全缺陷包括网
16、络所使用的协议的设计问题,也包括了协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,表2. 1对这些方面的网络安全问题进行了归类描述:表2.1网络安全各种技术缺陷问题问题类型问题点问题描述协议设计安全问题常被忽视一般设计人员制定协议之时,通常首先强调功能性,而安全性问题则是次重点、甚或不列入考虑范围而借重于其它手段。在网络应用环境下,安全问题尤须更加注意。架构在其它问题上选用其它基础协议时,必须要注意该协议是否易于了解、易于操作。就算费尽心思制定完善的协议,若架构在不稳固的基础之上,其结果可想而知。流程问题设计协议时,可能考虑不够周全,导致发生状况时,系统处理方式
17、不当。如现在网络安全厂商和客户以及黑客都在广泛讨论的碎片攻击问题CERTCA-1996-21TCPSYNFlooding问题。(关于详细信息可以查询http:/www.cert.org/advisories/CA-1996-2i.html)设计错误协议设计错误,导致系统服务容易失效或容易招受到攻击。软件操作操作错误就算协议订定正确,但协议操作时若发生错误,或操作人员对协议的认知错误,同样会导致安全漏洞的出现。程序错误安全漏洞也常因程序撰写习惯不良引起,其中包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。人员操作作业疏
18、失最严格规定,若操作人员未受过良好训练、或未按手册操作,同样会导致安全的漏洞。把守网络安全最重要公司之一的VeriSign,仍曾经因为操作人员的疏忽,导致发生重大的安全损失,就是一例(CERTCA-2001-04)0系统维护默认值不安 全许多软件或操作系统在安装完成后,是处于极度不安全的状况下。而这些预设环境背后的理由竟是为了方便用户。诚然,用户是方便了,不过此处所指的用户,范围也同时扩展为包含了病毒、蠕虫、特洛依木马等等不速之客。未修补系统一般软件多多少少都会有些错误,勤于修补才能让系统免遭破坏。 呼统发起攻击的通常是信任的系统在信任的领域 一里(通常这信任关系太过薄弱若存在不够安全的系统萧
19、墙祸起一这不够安全的系统很决就会成为下次攻击的跳板。一个 领域的安全强度,等同该领域中最不安全系统的安全强度,即网络信息安全的“木桶原理”除此之外,另一个影响网络安全的重要原因是因为基于TCP/IP的Internet体系结构的安全以假定环境安全为前提,但这一假定在现实中并不成立。2.1.1.2网络方击网络中存在各种安全隐患,而网络攻击手段不断翻新,强度不断深入,广度不断扩大。目前,网络攻击技术的巨大变化主要体现在:1)网络攻击已经由过去的个人行为,逐步演变为有准备有组织的集团行 为。目前,国内外有许多电脑黑客,甚至有公开的黑客组织,采取一些网络攻击手段被用来攻击别国的网站,获取危害别国利益的情
20、报或 者破坏其信息的完整性和可用性,损害其它国家的信息安全已经是不争的现实。我国目前在网络攻防技术的研究方面才刚刚起步,这方面 的工作己受到有关方面的高度重视。2)用于进行网络攻击的工具层出不穷,并且易于使用,即使初级水平用 户也能够容易掌握和使用。而且攻击工具的设计朝大规模、分布式攻击方向发展。 3)往往不需要其源代码就可以发现系统和机器的脆弱性。因特网本身已发展成为一个巨大的电子空间,人们对其的依赖程度也越来越高。但是因特网、协议和应用也随之变得日益复杂,越来越多的各种类型的脆弱性和与之对应的攻击技术和工具大量出现,对我国党、政、军网络及电子商务应用构成越来越严重的威胁。网络攻击的实施更加
21、容易,风险性更低同时-也更难以跟踪。来自内部人员的网络犯罪和泄密行为则更加难以防范和定位。这是目前我们所实施的网络安全措施中的一个相对薄弱,较少甚至根本没有考虑的一方面,迫切需要加强研究。 而网络信息系统安全目前存在的攻击手段,可以归纳为几个种类:1)“黑客“攻击 “黑客”攻击,已经有+几年的历史了,从VAX/VMSV4.2版的“Guide toVAX /VMS System Security”中,就出现了“黑客”攻击的手法描述。我们可以从新闻媒体与学术文献中大量看到有关“黑客”的攻击事件。目前己经了业兰卫丝星赴土丝这山狙塑型盆C过丝竺7K-旦kl .6鱼阻盆剑靓蜚醚些动谈逝皿丑解到的黑客活动
22、,几乎涉及到了所有的操作系统,包括UNIX, W工NDOWS/NT, VM,VMS以及MVS.黑客在网络上经常采用的攻击手法有: a)利用UNIX操作系统提供的缺省帐户进行攻击。黑客还可以采用UN工X操作系统提供的命令:Finger, Rusers等收集的信息,不断 提高自己的攻击能力;b)截取特权口令; c)猎取访问路线,搜索系统漏洞;d)强行闯入: e)窃取特权;f)使用一个结点作为网关或跳板,波及其它网络结点; 9)清理磁盘等。2)计算机病毒计算机病毒已经严重威肋、到信息系统的各个方面,不仅使信息系统效率大大降低甚至使信息系统完全崩溃。3)特洛伊木马(Trojan Horses),名称来
23、源于古希腊的历史故事,它把危 害信息系统的预谋的功能隐藏在公开的功能之中,掩盖其真实企图,从而达到窃取和破坏信息系统的目的。 4)蠕虫(Worms),一种寄生在用户,尤其是特权用户的命令过程与程序。5)活板门(Trap Doom),是一段非法的操作系统程序,其目的是为闯入者 提供“后门”。6)隐蔽通道,是一种允许违背合法的安全策略的方式进行操作系统进程 间通信(I PC)的通道。隐蔽通道又分隐蔽存储通道与隐蔽通信通道。隐蔽通道的重要参数是带宽。 7)拒绝服务攻击(Denial of Service Attack),它是一种破坏性攻击。最早的拒绝服务攻击是“电子邮件炸弹”,由于它的攻击,使一个用
24、户 在很短的时间内,收到大量的电子邮件,使用户系统的正常业务不能开展,丧失系统功能,严重时会使系统关机,网络瘫痪。“信息炸弹” 的攻击是现实的信息武器威慑。所谓测试拒绝服务攻击,实际上是引爆“信息炸弹”的测试。信息炸弹的爆炸,会引起系统死机甚至崩溃。 由上面的攻击分类,我们可以将网络攻击归纳为:通过猎取口令、利用网络服务与系统配置的弱点、窃取特权等方式的攻击称作一般性攻击;通过渗透等手段的攻击称作高威肋的攻击。网络漏洞和攻击存在的同时,也推动了信息安全防护技术的发展,尤其是电子科技大学硕士论文新型网络安全防护技术一网络安全隔离与信息交换技术分析研究各种网络安全产品的完善。2.2网络信息安全防护
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 新型 网络安全 防护 技术 隔离 信息 交换 研究
限制150内