基于动态密码认证的防水墙模型研究与实现.docx

?

?

基于动态密码认证的防水墙模型研究与实现

?

?

叶宗海匡凤飞栗元邦

摘要：信息安全的核心是内部信息安全，采用防水墙对内部计算机资源设备和数据文档的管控，能够有效阻止内部信息泄露。传统的静态密码认证是防水墙主要采用的认证方式。随着计算机与信息技术的不断发展，此认证方式已不能满足当前信息安全的需要。基于此现状，对防水墙身份认证系统提出了基于混沌理论的一次一密动态密码认证方法。

关键词：信息安全;动态密码;信息泄露;身份认证;防水墙

：TP393.08：A

：1009-3044（2020）29-0020-03

1引言

信息化时代，计算机与网络技术已经渗透到了人类生产生活的方方面面，因此也涉及一个很重要的问题，那就是信息安全。根据美国CSI/FBI计算机犯罪与安全调查数据，信息泄露造成的经济损失数年来位居计算机安全事件前四位[1]，由此造成数以亿计美元的损失。一般来说，企业在网络信息化过程中，主要面临网络系统安全和数据安全两方面的问题。针对网络系统安全问题，很多企业对网络外部安全很重视，配备了先进的网络防火墙、防病毒网关、IPS等网络安全设备，监控和保护网络不被入侵，而内部网络的安全却被忽视了。根据CSI/FBI提供的统计数据，在许多攻击中，信息泄漏是最重要、最频繁的安全事件，攻击者来自企业内部，而不是来自外部黑客。当然，对于这种泄密问题，有的企业也采取了措施，诸如禁止使用移动存储设备、禁止打印机、禁止联网等手段，但还是无法从根本上解决网络内部信息泄露问题。

2防水墙及相关技术

2.1防水墙概念

防火墙是网络中用于隔离内部网络与外部网络之间的一道防御系统，使得内部网络与Intemet或者外部网络进行互相隔离，通过设置安全策略与规则，允许或是限制传输的数据通过，限制网络之间互访，在内部网络和外部网络之间、专用网与公用网之间构造一道保护屏障，保护内网免受非法用户侵入和攻击。但防火墙局限性是，无法有效阻止内网攻击与信息泄露，不能防止策略配置不当或错误配置引起的安全威胁，也不能防止利用标准网络协议中的缺陷进行的攻击和本身的安全漏洞的威胁。总的来说，防火墙对内网的入侵者和泄密者的作用有限，即防火墙强防外弱防内的特性。

防水墙（WaterWall）是相对于防火墙（FireWall）的一种概念，可以解决内网信息泄露问题，是一种防止内部信息外泄的安全系統。与防火墙不同，作为网络安全领域的新兴技术，网络防水墙是增强信息网络系统内部安全性的重要工具，可以有效地保护敏感信息的泄漏[2]。在信息泄露方式上，网络、存储介质、外设接口、显示器和打印机构成信息泄漏的主要途径。防水墙针对这些泄密途径，分别实行事前预防、事中监控、事后审计，对系统进行了全面保护。它与防病毒产品、防火墙等外部安全产品共同构成一个完整的网络安全系统。

2.2防水墙系统

防水墙系统（WaterBox）包含三个组件：防水墙服务器、防水墙控制台和防水墙客户端。其中，防水墙服务器是系统的核心部分。其系统结构如图l所示。

（1）服务器

防水墙服务器包括三部分：服务器端软件、授权的硬件和支持数据库。通过安全认证机制，它与多个受控客户端建立连接，以实现诸如系统管理、策略配置、操作审核和安全警报之类的功能。同时，对客户端发送的数据进行统计和分析，生成各种图表。

（2）控制台

防水墙控制台是进行人机交互的图形界面，系统管理员通过控制台实现参数配置、策略管理、系统管理和审核等功能。控制台使用用户名和密码的组合进行身份验证，只有正确的才能进入系统。同时，严格限制对敏感信息的访问权限，提高了系统的安全性和保密性。

（3）客户端

防火墙客户端是安装在受监控主机上的服务程序，它执行服务器设置好的安全策略，监控来自客户端用户的操作行为，并防止系统中的重要数据泄漏。另外，客户端软件措施严格，能自动运行并且防止本地用户关闭和卸载监视程序。用户的操作由安全策略控制，对客户端的信息和行为进行记录和控制。

提供集中管理和分布式保护是防水墙的最大特点。使用密码技术、检测、访问控制和其他技术手段来实施安全防护，以保护敏感数据和文件不被非法入侵、破坏、复制和监控的软件系统，从技术方法上防止了敏感信息的泄漏。

2.3防水墙功能

一般来说，网络防水墙具备以下功能。

（1）防止信息泄漏，防止内网主机通过网络、存储介质、打印机和其他介质等途径有意或无意泄漏信息。

（2）系统用户管理，记录用户登录信息，为安全审计提供依据。

（3）系统资源管理，限制系统硬件和软件的安装和卸载，控制特定程序的运行，限制系统进入安全模式，控制文件重命名、删除等操作。

（4）系统实时状态监控，通过实时捕获并记录内网主机的画面，监控内部人员的安全状态，必要时还可以直接控制主机的I/O设备诸如键盘、鼠标等。

（5）信息安全审计，记录内网