主机网络安全及其构建研究-毕业论文(设计)Word格式.docx
《主机网络安全及其构建研究-毕业论文(设计)Word格式.docx》由会员分享,可在线阅读,更多相关《主机网络安全及其构建研究-毕业论文(设计)Word格式.docx(25页珍藏版)》请在冰豆网上搜索。
论文(设计)题 目
主机网络安全及其构建研究 (下面的选题时间应当是题目审批表中的时间)
选题时间
2012.12.5
完成时间
2014.5.10
论文(设计)
字数
7600
关键词
主机安全;
网络安全;
主机网络安全;
基于角色的访问控制
论文(设计)题目的来源、理论和实践意义:
主机网络安全是计算机安全领域新兴的边缘技术,它综合考虑网络特性和操作系统特性,对网络环境下的主机进行更为完善的保护,信息技术的发展伴随着安全问题的产生,长期以来安全技术防范的目标都是外部闯入者,而忽视了内部人员的非法操作和主机(服务器)本身的安全。
计算机网络的发展使计算机应用更加广泛和深入,但随之也使安全问题日益突出和复杂。
从理论上讲,人们从两个方面考虑计算机安全问题:
主机安全和网络安全。
主机安全主要是考虑保护合法用户对于授权资源的使用,防止非法入侵者对于系统资源的侵占与破坏。
网络安全主要考虑的是网络上主机之间的访问控制,防止来自外部网络的入侵,保护数据在网上传输时不被泄密和修改。
本文提出一种主机安全的模型框架,力图同时防范来自内、外部的攻击,全面增强主机安全。
论文(设计)的主要内容及创新点:
本文主要从主机网络安全的基本概念和系统结构,讨论了主机网络安全的两种主要技术手段:
一种是基于分组过滤技术(Packetfiltering),它的代表是在筛选路由器上实现的防火墙功能;
一种是基于代理技术(Proxy),它的代表是在应用层网关上实现的防火墙功能。
本文的创新有三点(或主要有三个方面),首先分析了主机网络安全…省略了许多文字省略了许多文字省略了许多文字……,对比了……,其次是省略了许多文字省略了许多文字省略了许多文字省略了许多文字省略了许多文字省略了许多文字省略了许多文字省略了许多文字,最后给出了构建主机网络安全的一种方案,该方案具有…………特点,能够满足 。
(凡需签名处都不能打印,下面的日期与封面日期相同:
2014年5月10日)
附:
本人签名:
年 月 日
目 录
摘要 1
Abstract 1
1.引言 2
2.主机网络安全分析 2
3.主机网络安全关键技术 3
3.1入侵检测 3
3.2访问控制 4
3.3加密传输 5
3.4身份认证 5
4.主机安全系统的结构 5
4.1系统目标 5
4.2系统的设计原则 6
5.主机网络安全的模型框架 7
5.1基于角色的访问控制模块 7
5.2闯入发现并阻止模块 8
6.结束语 10
参考文献 10
主机网络安全及其构建研究
(山东师范大学信息科学与工程学院计算机系2010级计软2班)
摘要:
主机网络安全是计算机安全领域新兴的边缘技术,它综合考虑网络特性和操作系统特性,对网络环境下的主机进行更为完善的保护。
本文对主机网络安全作一简单定义,提出了主机网络安全体系结构,并对其中的关键技术和安全特性进行探讨,在此基础上给出了一种主机安全的模型框架,力图同时防范来自内、外部的攻击,全面增强主机安全。
关键词:
中图分类号:
TP393
ResearchonHost-NetworkSecurityandConstruction
WuFu-qiang
(SchoolofInformationScienceandEngineering,ShandongNormalUniversity)
Abstract:
Host-networksecurityisarisingmarginaltechnologyinthefieldofcomputersecurity.ItprovidesmoresecureprotectionforhostsinnetworkenvironmentonthebasisofconsiderationofthenetworkattributesandOSattributestogether.Inthispaper,ittriestogiveasimpledefinitionofhost-networksecurityanddescribesthearchitectureofthehost-networksecuritysystem,andthensomekeytechnologiesofhost-networksecurityisdiscussed.Finally,Thepaperpresentsamodelofhostsecuritytryingtocheckattacksfrombothoutsidersandinsidersandtoincreasehostsecurityineveryaspects.
Keywords:
Host-NetworkSecurity;
HostSecurity;
NetworkSecurity;
Role-BasedAccessControl
(中英文摘要合起来独占一页)
11
1.引言
计算机网络的发展使计算机应用更加广泛和深入,但随之也使安全问题日益突出和复杂。
从理论上讲,一旦主机连接到网络上,它就面临来自网络上的安全威胁,这些威胁主要有:
非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、特洛伊木马、线路窃听等。
为了有效防御和抑制这些威胁,现在最常用的技术手段有:
身份验证、访问控制、加密、防火墙、记账审计等。
通常情况下,从两个方面考虑计算机安全问题:
主机安全主要是考虑保护合法用户对于授权资源的使用,防止非法入侵者对于系统资源的侵占与破坏。
其最常用的办法是利用操作系统的功能,如Unix的用户认证、文件访问权限控制、记账审计等。
网络安全主要
考虑的是网络上主机之间的访问控制,防止来自外部网络的入侵,保护数据在网上传输时不被泄密和修改。
其最常用的方法是防火墙、加密等。
由于两者考虑问题的立脚点不同,它们各自采用的技术手段难以有机地结合起来,因此对于一些需要两者协同处理才能解决的问题[1],否则,就不能得到有效的解决。
例如,用户希望在内部子网远程登录主机时具有较大权限,但在子网以外远程登录主机时只具有普通权限,就是一个典型的例子。
目前而言,对主机的安全保护主要依赖于防火墙、IDS(闯入发现系统)和操作系统本身固有的安全特性。
但是防火墙的最大缺点就是它的防外不防内的特点,而服务器经常是对外提供服务,这样实际上防火墙并不能从根本上解决主机安全问题。
IDS是一种被动的防御措施,它并不能阻止任何非法行为。
操作系统虽然提供了一些安全措施,但是其功能非常有限,并且经常存在各种漏洞,这只有经验丰富的系统管理员才能保证操作系统的安全。
因此,如何保证主机安全,同时防止内、外非法用户的攻击就成为当前信息系统建设中一个至关重要的问题。
本文提出的主机网络安全技术就是要解决类似的安全问题,本文提出一种主机安全的模型框架,力图同时防范来自内、外部的攻击,全面增强主机安全,可以根据网络访问的访问者及访问发生的时间、地点和行为来决定是否允许访问继续进行,实现对于同一用户在不同的场所拥有不同的权限,从而保证合法用户的权限不被非法侵占。
2.主机网络安全分析
由于主机安全和网络安全的技术手段难以有机地结合,因此容易被入侵者各个击破。
并且,由于它们在保护计算机和信息的安全上各自为政,因此很难解决系统安全性和使用方便性之间的矛盾。
举一个简单的例子,从严密保护主机安全来说应该禁止用户的远程登录,但是这给用户的使用将带来极大的不便,对Internet上绝大多数
Unix主机来说是不可以接受的。
而一旦允许用户远程登录,却无法区分用户的远程登录是合法的还是非法的,也就控制不了非法用户的入侵,并且系统一旦被入侵,入
侵者就拥有该用户的全部权力,危害极大。
对于防火墙系统来说也有同样的问题,防火墙可以禁止外部主机对于内部主机的访问(安全而不方便),但是一旦允许用户经防火墙授权验证后进入内部主机,就无法控制其在内部主机上的行为(方便就不安全了)。
为了解决这些问题,一种结合主机安全和网络安全的边缘安全技术开始兴起,这就是主机网络安全技术。
主机网络安全技术考虑的元素有IP地址、端口号、协议、甚至MAC地址等网络特性和用户、资源权限以及访问时间等操作系统特性,并通过对这些特性的综合考虑,来达到用户网络访问的细粒度控制。
与网络安全采用防火墙、安全路由器等在被保护主机之外的技术手段不同,主机网络安全所采用技术手段通常在被保护的主机内实现,并且一般为软件形式。
因为只有在被保护主机之上运行的软件,才能同时获得外部访问的网络特性以及所访问资源的操作系统特性。
在当前广泛使用的计算机安全产品中,已经有一些软件在主机网络安全技术方面作了一些探索。
这类产品中,应用最为广泛的当属Wietse Venema开发的共享软件TCP
Wrapper。
TCP Wrapper是一种对进入的网络服务请求的监视与过滤工具,它可以截获SYSTAT、FINGER、FTP、TELNET、RLOGIN、RSH、EXEC、TFTP、TALK等
网络服务请求,并根据系统管理员设置的服务访问策略来禁止或允许服务请求。
一般情况下,其策略主要考虑的是外部主机的域名/IP地址和请求的服务类型。
通过扩充,还可以将请求访问的用户名和访问时间包括进来。
即可以制定“在某时间允许/禁止某用户从外部某主机对某服务的访问”这样的策略。
另外,现在一些操作系统厂商已经或即将在操作系统中提供主机网络安全产品,如IBM公司在AIX4.3.1中的引入了强制访问控制、控制访问的多级目录管理、并可内置CheckPoint公司的Firewall-1/VPN-14.0;
SUN公司即将发布的Solaris中也将引入公共密钥结构(PKI)、基于IPSecurity的虚拟私有网络(VPN)和内置的防火墙。
这些措施都将极大地改善主机的网络安全状况,不过它们都是侧重于从访问的网络特性方面考虑,对于访问的操作系统属性考虑不够,因此对于冒充合法用户之类的攻击缺乏有效的办法[2]。
3.主机网络安全关键技术
主机网络安全体系涉及到诸多技术,这里对它们作一简单介绍。
3.1入侵检测
入侵检测是主机网络安全的一个重要组成部分。
它可以实现复杂的信息系统安全管理,从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号,实时地对攻击做出反应。
入侵检测系统通常分为基于主机和基于网络两类。
基于主机入侵检测的主要特征是使用主机传感器监控本系统的信息。
这种技术可以用于分布式、加密、交换的环境中监控,把特定的问题同特定的用户联系起来,但加大了系统的负担。
基于网络的入侵检测主要特征是网络监控传感器监控包监听器收集的信息,它不能审查加密数据流的内容,对高速网络不是特别有效。
在主机网络安全体系结构中,采用基于主机的入侵检测技术实现对主机的保护。
它能够实时监视可疑的连接,检查系统日志,监视非法访问和典型应用。
它