一种网络安全系统模型的研究和实现.pdfVIP

蔓±=星主里茎兰垫墼曼垒兰墼塑墨堕坐堡垒塞 一种网络安全系统模型的研究与实现‘ 罗军舟刘玉岩 (东南大学计算机科学与工程系，中国南京210096) 奠要。计黜L同络的发展和电子商务的迅速普及，导致信息安全的需求日益增强．本文在对网络信息安全技术 和，臼各分析髓础上，提出了基于深层防范技术(认证和访目控制系统)、边界防范技术(防火墙系统)、安全通 道技术(ⅥW系统)的网络安全系统模型，提供了从主机到眄络，从信息存储到信息传输的多层次同络安全整 体解决方寨．同时加以设计和实现．保证网络系统中信息壹漂的安全． 美t字；边界防范，深层舫范，防火墙．vPN，系统敏型 1引言 麓着计算机同络的发展和电半商务的日益普及，信息安全问墨变得越来越重要．而信息安全是指防止系统存 储和惜输的信息财产被故意的或儡然的非授权泄露、更改、破坏或使信息被非法的系统辩识和控制，确保信息的 完整性、髓性，可用性和可控性．目前．信息的传播途径主要是网络，而网络的开放性、互连性和共事性程度 的扩大．使得霸络的安全问属变得更加重要，成为信息安全的重要环节． 在进行罔络安全盼研究过程中，人们不断的提高各种基本的安全技术的强度，来增加整个系统的安全强度． 如加密技术，它作为其他安全技术的基础．提供了丰富的具有各种安全强度的算法．为保证系统的安全奠定了理 论和实现的基础，是—种在罔络环境中对抗被动攻击的行之有效的安全机翻。目前的加密技术主要有对耘密钥加 密、公开密锝加密和单向散列函数．分别应用于不同的安全颁域，其代表加密算法有：D】三s、Ⅱ)姒、RsA、h叮4， m5 I；L及班IA—l等；强认证技术，是根据一定的认证繁略对访目莱系统的用户进于亍身份鉴别，防止非法用户 访问诙系统，使系境遭到非法破坏，它主要有四类t基于一攻性口々(arPl的认证技术、基于非对称窖甥的认 证技术、基于对称宙胡的试证技术和基于证书(X5∞)的认证技术，这四种技术在不同的顿域得以广泛的应用， 对堆护系统壹膏的安全具有重要作用．访问控制技术．是对用户进行系统访问的权限加以控制，防止用户对系坑 的非法访闷，它是按照摹先确定的规刚挟定主体对客体的访问是否合法，主要有三种不同类型的访问控制敢策· 和基于角色的访问控制(RolcB∞耐知嘲0caI血吐筒称RB^C)． 暇络安全中的各种技术虽然他们的各自的虽度都较高，但是如果不能将他f1灵活的综台利用，也不嫩保证罔 络整体安全的曩度．所以本文充分利用各种网络安全技术．在对信息安全技术和策略分析的基础之上，提出了基 于潦层防茌技术(认证和访目控制系统)、边界防范技术(防火墙系统)、安全通道技术(Ⅵ甜系统)的网络安 全系统丧壁，提供了从主机到网络．从信息存储至吖育息传输多层次的网络安全整体解决方案，保证网络系统中信 息壹舞的安全． 五舟络安全技未和策略 针对_I络安全闷曩，保护阿络中信息安全主要j劳琵到信息的存储安全和信息的持输安全． zl基于信息存储CI_系统)的安全技术策略 ‘本文的研究得劐嗣家863．306项目、教育部重点实验室访问学者基金课题和江苏省计算机同络应用重点实验宣 课置的赉助 15‘ 第十一届中国计算机学会网络与数据通信学术会议论文 信息的存储安全主要是指国家、企事业单位l；l及一些军事部门保护内部网络的资源信息不受jR法的访问、窃 取、破坏和纂改．实现这些目的的技术及主要措施有： 2．1．1基于主机系统的潦层防范技术 主机是网络黑客等各种具有别有用心的攻击者实施攻击的主要对象．保证主机的安全是保证主机信息安全的 者进行攻击的通道：(2)设置各种访问控制机制，实现数据和用户分级别的访问控精技术，只有当用户的访问权 限圾别大于或等于数据的援别时，才允许用户的访问；(3)增强远程用户认证机制，保证合法用户正常访问和非 法用户无法访问的要求；(4)采取各种加密技术对具有高度机密的数据信息进行加密处理存放． 2．1-2基于防火墙的边界防范技术 防火墙是放在两个或多个网络之间实施访问控制策略和安全策略的系统和系统的组合．是控制网络问的开 关．是实现系统边界防御的重要的髓络安全技术．它能保护同络内系统脆弱的服务、控制对系统的访问以及提供 集中的安全管理、增强的保密性、记录和统计非法使用数据和网络安全策略．依靠防火墙技术仅可实现用络边界 的披动防范，不能实现系统的主动防范。为增釜同络边