信息安全控制原理的安全网格技术的分析.docxVIP

PAGE 1 PAGE 1 信息安全控制原理的安全网格技术的分析  本文在信息安全和自动掌握的基础上，提出基于信息安全掌握原理的安全网格技术方案，搭建了安全网格模型，并实现了安全网格认证模块和安全网格掌握模块。然后运用系统安全漏洞检测工具对安全网格系统进行漏洞检查，并得出安全检测报告。  1.引言  针对互联网安全问题日益严重，发展网格安全技术是解决当前网络安全问题的一个热点，但是与传统的安全技术想比，网格安全所涉及的技术比较复杂，有密码技术，网络传输技术，访问掌握技术，因此目前所研究的网格安全技术还比较片面，还不能真正的使用网格安全技术来代替传统网络安全技术。本文从信息掌握论角度动身，给出了基于信息掌握思想的网格安全技术模型，对其中的信息安全认证和安全掌握进行分析。  2.信息安全掌握系统模型  信息安全掌握系统是一个反馈掌握模型。为了到达安全目标，系统首先检测出安全状况，然后与安全目标进行比较后，对存在的偏差进行安全决策和安全操作，经过多次反馈掌握就可以使整个系统达到安全目标。  通过对信息安全掌握模型的分析并结合信息安全掌握系统的实际要求。它主要包括认证授权，监视系统，掌握系统，授权操作这4个功能模块组成，在功能模块之间是通过信息流进行传递的。通过监视系统采集到的状态与掌握系统比较，来获得针对的授权操作，而第一步的认证授权是进行安全掌握的第一步。  3.基于信息安全掌握原理的安全网格模型  整个系统的安全由其最薄弱的系统所打算的，因此在进行网格安全系统设计的时候，需要使得整个系统的不同模块达到均衡安全，全部模块的安全性能都不能低于所设定的整体安全目标。根据这一思想，需要在网格中建立一个全局安全掌握策略库，并包含某些详细安全规则，并且安全掌握库可以依据反馈进行自我动态更新。当用户访问资源的时候，系统首先根据安全掌握策略库进行访问规则的判定，只有通过的才是可以进行访问的；并在操作完成后把访问信息反馈到安全掌握策略库，以完成策略库的动态更新。  依据上述安全掌握思想，可以得到基于信息安全掌握模型的网格安全掌握模块。在安全掌握方面主要由安全认证模块和安全掌握模块组成。安全认证模块主要负责通信的相互认证、密钥协商、服务开放。安全掌握模块主要负责用户掌握，动态反馈。整个系统设计的时候要遵循安全隔离性的原则，安全网格模块与用户必需分开，安全网格系统启动时首先使安全网格模块获得执行权，保证安全网格模块从系统启动时开始就能对网格系统进行保护。本文研究的网格系统是使用网格工具包GlobusToolkit建立的。  3.1安全网格认证模块  安全网格认证模块主要由安全网格认证部件组成，它对非法访问进行拒绝，这里采用防火墙来进行实现，详细使用Linux防火墙来实现，在防火墙实施策略时，进行如下保守的安全策略：除了允许的事件外，拒绝其他的任何事件。  3.2安全网格掌握模块  由于安全认证模块对外部用户非法访问能够防范，但是对内部网格用户缺乏掌握，所以需要使用网格掌握模块来进一步增加网格系统内部安全性。安全网格掌握模块主要由客户端的安全监控部件、安全执行部件和服务器端的安全决策部件耽搁组成。  网格用户映射为客户端即网格服务主机用户后，便以本地用户身份运行。当以本地用户进行操作时，安全掌握模块对用户进行严格掌握，准时发觉用户的操作行为并交给安全掌握服务器进行用户行为安全性判决，安全掌握服务器依据安全掌握策略库中相应安全策略进行判决，禁止网格用户进行非法行为操作，并把判决结果反馈给客户端中安全执行部件进行相应的执行：允许或禁止网格用户的操作行为。安全网格掌握模块防止内部信息泄漏，防止越权操作，进行网络监控，保证文件安全和进程安全，从而确保网格系统内部安全。  安全网格掌握模块的执行过程描述：  （1）安全监控部件对网格系统进行监控，发觉用户行为后提交给安全决策部件；  （2）安全决策部件分析用户行为，并依据安全掌握策略库中策略做出响应判决，确保网格用户行为合法；  （3）判决通过后，提交给安全执行部件执行用户行为，否则禁止用户行为；  （4）用户行为是否转变了安全掌握策略库中某些策略，如是则反馈用户行为给安全掌握策略库，动态更新相应策略。  4.安全测试  为了测试本文所提出的网格系统的安全性，这里采用X-Scan进行网格系统漏洞扫描。由于所以网格服务主机的配置相同，因此只需对一台服务逐句进行扫描。同时对安全掌握服务器进行安全检测映出安全掌握服务器的安全状况。从检测报告中可以看出安全网格系统内主机没有发觉安全漏洞，只检测到一个未知开放服务运行于端口7778，而这是安全网