企业内网的多路访问控制.docx
- 文档编号:30401599
- 上传时间:2023-08-14
- 格式:DOCX
- 页数:29
- 大小:238.62KB
企业内网的多路访问控制.docx
《企业内网的多路访问控制.docx》由会员分享,可在线阅读,更多相关《企业内网的多路访问控制.docx(29页珍藏版)》请在冰豆网上搜索。
企业内网的多路访问控制
开放与创新实验设计报告
设计题目:
企业网的多路访问控制(内网)
指导老师:
李楠
设计时间:
2012-05
小组成员
班级学号姓名
1.计091200909737张国乾
2.计091200909747乔凤荣
3.计091200909935王瑶
开放与创新实验任务书
一、设计任务
设计题目:
企业网的多路访问控制(内网)
设计内容:
根据企业不同的需求,从安全要求等级的角度出发分别在应用层和核心层提出及研究了对应的解决方案,较好的解决了内网安全中的文件访问控制要求。
二、系统需求
在现代信息社会里,电子文件已经成为最常用的信息保存和使用形式。
无论是企业发展规划、产品设计方案、企业标准,还有其他的重要文档资料都常采用电子文件的形式。
一方面企业希望相关人员能很方便的查阅这些文档,另一方面又担心这些文档泄密,希望能有效的控制这些文件的传播和使用。
随着信息化程度的深入,这个问题越发突出。
目前传统的文件访问控制方法是给重要的数据采用了简单的授权口令保护,产品研发过程中的各种核心技术资料和工作资料就更没有任何的保护措施,至少对整个开发组而言,全部的开发成果和数据都是透明的和共享的,对于防误操作、防失窃和防破坏几乎没有采取任何保护措施。
这样就是的在局域网中非法取得授权和获得资料变得非常的容易。
在内网中的数据管理本身通常不是很严谨,没有文件系统的监控,使得任何人都可能有意或无意造成安全隐患甚至导致灾难性的后果。
所以构建安全可靠的企业内部多路的控制系统是重中之重。
基本要求:
利用合理的企业内外多路访问配置,建立可靠的网络多路访问系统,一方面实现企业希望相关人员能很方便的查阅这些文档,另一方面又保证这些文档泄密,希望能有效的控制这些文件的传播和使用。
发挥部分:
应用层和核心层提出及研究更加合理安全对应的解决方案。
企业网的多路访问控制(内网)
摘要
随着计算机和通信技术的发展,企业信息安全问题受到越来越多的关注。
企业除了要抵御来自外界攻击和破坏,同时还要防止来自内部的有意或无意的泄密。
仅依靠完善管理制度很难从根本上杜绝泄密事件的发生,因此必须从技术上为企业提供更加可靠的安全保障。
论文首先对内网多路安全访问控制系统进行了分析,由此阐述了系统的总体设计思想并提出了解决方案。
其次,对系统中的文件访问控制子系统分别从应用层及核心层提出了对应的解决方案。
分析总结了在应用层当前使用的APIHook技术,重点介绍了远程进程插入DLL的文件访问控制方法,提出了HOOK结合修改进程模块输入节的方法来实现文件的访问控制。
在核心层研究了使用文件过滤驱动的方法来达到安全级别较高的文件访问控制技术。
论文根据不同的需求,从安全要求等级的角度出发分别在应用层和核心层提出及研究了对应的解决方案,较好的解决了内网安全中的文件访问控制要求。
关键词:
内网安全文件访问控制APIHOOK文件过滤驱动
目录
第一章题目分析与功能要求…………………………………………………....4
1.1企业内网安全概述......................................................................................4
1.2企业内网安全分析......................................................................................5
1.3企业内网安全中的文件安全策略..............................................................5
第二章总体方案设计.............................................................................................7
2.1系统安全机制...............................................................................................7
2.2访问控制技术..............................................................................................10
2.3系统总体功能描述.......................................................................................13
第三章硬件连线…………………………………………………………………..15
第四章软件设计………………………………………………………………….16
4.1APIHOOK动态链接库DLL...................................................................16
4.1.1动态链接库介绍..................................................................................16
4.1.2动态链接库进入点函数......................................................................17
4.2APIHOOK通过挂接动态链接库实现的文件操作行为监控技术.........18
第五章系统测试……………………………………………………………….…..21
第六章系统功能……………………………………………………………..…….22
第七章系统总结………………………………………………………………….27
第一章题目分析与功能要求
1.1企业内网安全概述
自从1946年世界上第一台计算机ENIAC在美国加利福尼亚州问世以来,在去的半个多世纪里,计算机以及网络技术得到了飞速的发展。
今天,计算机仅仅是用来进行高速计算的工具,它已经深入到了我们工作生活的各个角落,当今的信息时代起着举足轻重的作用。
伴随着计算机以及网络的广泛应用,计机领域内的安全形势日益严峻。
就其中非常常见也是非常受人们关注的一种安威胁-计算机病毒来说,在2007年1月10日,江民科技发布了2006年计算机毒疫情报告。
报告显示,2006年江民反病毒中心共截获新病毒60383种,较2年增长56%。
另据统计的数据,2006年全国共有19319658台计算机感染了病感染计算机病毒种类为66606种。
安全问题已经成为计算机发展的一个重大题。
现在几乎每个企业或政府机关都组建有自己的网络,这种主要用于内部管理或内部信息共享的网络称为内网,也叫做局域网,指的是一个企业、单位将若干台计算机联成一个小的网络,这个网络内部单机一般不直接通过Internet网与外界相连。
2004年,北京召开了第一届中国内网安全大会,作为网络安全的一个重要组成部分,内网安全也成为了人们研究的热点。
虽然我国的信息系统和计算机网络的起步较美国风信息发达国家较晚,但是其成长速度已经对信息安全系统的认识却与发达国家同在一个台阶上。
国家、政府、军事以及银行、金融、高新企业等行业需要一种能够充分解决网络外部攻击和有内而外的信息泄露的全方位信息安全解决方案。
根据美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究:
超过80%的信息泄密事件是来自组织内部人员,也就是说现在众多政府企事业单位所重点防范的黑客入侵和病毒所造成的信息泄露最多不过20%。
造成以上数字的原因是因为大多数组织所采取的内网信任模型所导致的。
所谓内网信任就是指默认企业或者单位内部的网络、人员以及设施等都是安全的:
而内部安全管理的模型恰好是建立在内网不信任的模型的基础之上,也就是说,并不默认信任企业或者单位内部的网络、人员以及设备等是安全的。
业界普遍认为,建立在内网信任模型上的我们称之为外网安全;建立在内网不信任模型上的我们称之为内网安全。
1.2企业内网安全分析
政府、企业等主要的内网组建者在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在内网的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自外网的攻击,防止内网资源、信息遭受损失,保证内网业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、息资源的破坏和非法行为的安全防护却起不到任何作用。
对于那些需要经常移动的终端设备在安全防护技术就更是鞭长莫及了,由此可能会严重危及内部网络安全。
正是由于以上所说的原因,使得政府和企业内网中因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失。
安全问题主要原因有以下几个方面:
缺乏对内网设备的了解和监控;
缺乏对内网IP地址的管理;
缺乏对内网计算机软、硬件资源的管理;
缺乏对内网的网络服务的管理;
缺乏对内部人员访问网络权限的管理。
目前,国内外并没有一个完整有效的内网安全管理系统与解决方案,更是缺乏系统有效的内网安全管理产品。
但是根据木桶理论,网络安全是一个有机的整体,也是一个环环相扣的链条,缺少其中任何一个环节,其安全性能就大幅度降
低或者几乎为零。
1.3内网安全中的文件安全策略
电子文件作为传统纸质文档的信息化载体,具有成本低、使用易、通信快、发布广的优点,在政府、企业等单位的信息化建设过程中越来越受到推崇。
但是,在上述优点给企事业单位带来利益和效率的同时,电子文件信息容易获取的特性,也使很多企事业单位担心电子文档信息的安全问题。
根据CSI(美国计算机安全学会)和FBI每年的联合调查报告显示,在2000年信息安全事件造成的损失当中,30%~40%是由于电子文件的泄露造成的,《财富》杂志排名前1000位的公司每年因电子文件泄露造成的损失平均为50万美元。
2002年有超过83%的的安全威胁来自于企业内部,包括内部未被授权的文件存取、专利信息的窃取以及内部人员的财务欺骗等。
在现代信息社会里,电子文件已经成为最常用的信息保存和使用形式。
无论是企业发展规划、产品设计方案、企业标准,还有其他的重要文档资料都常采用电子文件的形式。
一方面企业希望相关人员能很方便的查阅这些文档,另一方面又担心这些文档泄密,希望能有效的控制这些文件的传播和使用。
随着信息化程度的深入,这个问题越发突出。
目前传统的文件访问控制方法是给重要的数据采用了简单的授权口令保护,产品研发过程中的各种核心技术资料和工作资料就更没有任何的保护措施,至少对整个开发组而言,全部的开发成果和数据都是透明的和共享的,对于防误操作、防失窃和防破坏几乎没有采取任何保护措施。
这样就是的在局域网中非法取得授权和获得资料变得非常的容易。
在内网中的数据管理本身通常不是很严谨,没有文件系统的监控,使得任何人都可能有意或无意造成安全隐患甚至导致灾难性的后果。
第二章系统总体方案
2.1系统安全机制
系统的安全机制包括以下几个部分:
1标识与鉴别
标识与鉴别是涉及系统和用户的一个过程。
标识就是系统要标识用户的身份,并为每个用户分配一个名称用户标识符(UserID)。
用户标识符必须是唯一的并且不能被伪造。
将用户标识符与用户联系的动作称为鉴别。
为了识别用户的真实身份,它总是需要用户具有能够证明他身份的特殊信息,这个信息是秘密的,任何其他用户都不能拥有它,用标识与鉴别来识别用户是安全控制机制中非常重要的一个环节。
通常鉴别都是在用户登录时发生。
一般使用用户名与密码的方式进行标识与鉴别,因此口令的管理是一项非常重要的工作。
更安全的身份认证方法是一次性口令,智能卡等方式。
2入侵监测
任何信息系统中都不能保证不存在安全漏洞,而且无论在理论上还是在实践上都不可能完全填补系统的安全漏洞,也没有一种办法可以彻底的解决合法用户在通过身份识别后滥用特权的问题。
因此,入侵监测系统成为保护系统安全的一个必要的补充手段。
目前用于入侵监测系统的主要是两类通用的模型
①异常(Anomaly)检测方法。
这一方法是基于用户的习惯行为特征被统计在行为描述数据库中,以此与用户当前会话内的行为特征进行比较。
两者比较发现足够大的偏差时,检测系统向安全管理人员提交报告。
②特权滥用(Misuse)检测方法。
这一方法使用存放在滥用数据库内的先验专家系统规则来对用户的行为特征进行判断,报告可能的攻击行为。
入侵检测系统最主要的问题是实时响应问题,因为它需要处理的数据量十分巨大,因此入侵检测需要借用人工智能统计学,信息理论及机器学习等领域的一些成果。
把这些成果融合,设计进入侵检测系统中,对入侵监测系统的影响正在研究之中。
3病毒防护
目前世界上每天都有新的计算机病毒产生,计算机病毒给社会带来了难以估量的损失。
随着计算机病毒的发展,计算机反病毒的技术与计算机病毒的检测技术也在发展。
第一代反病毒技术,单纯进行病毒特征代码分析,将病毒从带毒文件中清楚掉,第二代则采用静态广谱特征扫描方法检测病毒,可以更多的检测到变形病毒,但误报率也提高了。
第三代反病毒技术的主要特点是将静态扫描与动态仿真跟踪技术结合起来,第四代反病毒技术,基于病毒家族体系的命名规则、多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块、自身免疫模块等先进的反病毒技术,较好的解决了以前反病毒技术顾
此失彼的状态。
一般来说,完全防止计算机病毒是非常困难的,但是通过安全操作系统的强制访问控制可以起到一定的保护作用。
通过强制访问控制可以将信息系统划分为三个区,即系统管理区、用户空间区与病毒保护区。
他们通过强制访问控制机制被分隔,从而可以把一般通用的命令和应用程序放在病毒保护区内供用户使用,由于在这个区内一般用户只能读不能写,从而防止了病毒传染。
在用户空间区内,用于用户的安全级不同,即使计算机病毒发作也只能传染同级别用户的程序和文件,缩小了病毒传染的范围。
4对象重用保护
对象重用问题是指存储对象如内存、磁盘等重新进行分配时,前一个用户使用这些对象时留下的信息,被后面一个用户非授权的得到并能够读出其中的数据。
对象重用保护最简单的方法是在对象分配时清除所有的内容。
5可信通道
可信通道是用于一个终端上的用户与可信计算机TCB直接交互的通路。
TCB是计算机系统中保护机制的统称,包括硬件、软件和固件中所有与实施安全有关的部分。
可信通路机制只能由TCB内的用户启动而不能被不可信软件冒充。
例如,在一个可信系统中,可信通路可以通过一个唯一的锁序列来建立,这个系列只能由TCB直接截获。
在Microsoft的Windows2000中,Ctrl+Alt+Del三个键的组合就是可信通路的一种实现,这三个键形成了Windows操作系统中的SASSecureAttentionSequence,它直接由安全内核截获。
6隐蔽通道
隐蔽通道可以分为两类:
隐蔽存储通道与隐蔽时间通道。
隐蔽存储通道是指一个进程直接或间接的写一个存储单元,而另一个进程可以直接或间接的读这个存储单元而构成的信道。
隐蔽时间通道是指一个进程通过调节自己对系统资源的使用向另一个进程发消息,后者通过观察响应时间的改变获得信息而构成的信道。
一般的系统中总是充满了隐蔽信道,采用强制访问控制的系统中,强制访问控制没有保护的任何信息的任何比特都可能构成一个潜在的候补路径。
隐蔽通道的分析是安全操作系统设计中的难点之一。
7密码技术
计算机系统经常需要采用数据加密的方法从体制上保证信息不被篡改和泄漏。
数据加密不仅可以用于数据保密,而且也可以通过加密/解密的双向变换实现对数据的完整性检验。
密码技术是对传输信息和存储信息进行保护的重要手段,可以大大加强信息保密性、完整性、可认证性等。
密码技术可以实现信息加密、数字签名等安全服务。
加密算法根据密钥性质的不同,可以分为以下两类:
1对称密钥体制。
传统的对称密钥体制特点是无论加密还是解密都公用一把密钥,其中最有影响的是美国国家标准局颁布的DES(算法数据加密标准算法)。
2公开密钥体制(非对称密钥体制)。
公开密钥体制的特点是加密与解密的密钥不同,并且在理论上或者实际计算上不能由加密密钥推出解密密钥。
所以即使将加密密钥公开也不会危害解密密钥的安全。
公开密钥技术诞生于1976年,其中由RivestShamire和Adleman发明的RSA算法是最有影响的一种。
8安全审计
一个系统的安全审计就是对系统中有关安全的活动进行记录、检查和审核。
它的主要目的就是检测和阻止非法用户对计算机系统的入侵,并显示合法用户的误。
操作审计作为事后追查的手段保证系统的安全,它对涉及系统安全的操作作一个完整的纪录。
审计是操作系统安全的一个重要方面,安全操作系统也都要求用审计方法来
监视安全相关的活动。
审计机制要求系统保留审计记录和日志文件。
审计机制要
考虑的主要问题是审计粒度,要综合考虑安全与效率。
9访问控制
在计算机系统中,安全机制的主要内容就是访问控制,它包括以下三个任务:
1授权。
确定可以给予那些主体存取客体的权利;
2确定访问权限。
通常是诸如读、写、执行、删除、添加等访问方式的组合。
3实施访问控制。
这里客体是指一种信息实体,它们蕴含或接受信息,如文件、目录、管道、消息等,甚至可以包括字、位、通信线路、网络节点等。
主体是这样的一种实体,它引起信息在客体之间的流动。
通常,这些实体是指人、进程或设备。
一般是代表用户执行操作的进程。
2.2访问控制技术
在安全操作系统领域,访问控制一般都涉及自主访问控制和强制访问控制两种。
1、自主访问控制(DAC)
自主访问的含义是有访问许可的主体能够直接或间接地向其他主体转让访问权。
自主访问控制是在确认主体身份以及(或)它们所属的组的基础上,控制主体的活动,实施用户权限管理、访问属性(读、写、执行)管理等,是一种最为普遍的访问控制手段。
自主访问控制的主体可以按自己的意愿决定哪些用户可以访问他们的资源,亦即主体有自主的决定权,一个主体可以有选择地与其它主体共享他的资源。
基于访问控制矩阵的访问控制表(ACL)是DAC中通常采用一种的安全机制。
ACL是带有访问权限的矩阵,这些访问权是授予主体访问某一客体的。
安全管理员通过维护ACL控制用户访问企业数据。
对每一个受保护的资源,ACL对应一个个人用户列表或由个人用户构成的组列表,表中规定了相应的访问模式。
当用户数量多、管理数据量大时,由于访问控制的粒度是单个用户,ACL会很庞大。
当组织内的人员发生能变化(升迁、换岗、招聘、离职)、工作职能发生变化(新增业务)时,ACL的修改变得异常困难。
采用ACL机制管理授权处于一个较低级的层次,管理复杂、代价高以至易于出错。
DAC的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限,访问通常基于访问控制表(ACL)。
访问控制的粒度是单个用户。
没有存取权的用户只允许由授权用户指定对客体的访问权。
DAC的缺点是信息在移动过程中其访问权限关系会被改变。
如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。
为了实现完备的自主访问控制系统,由访问控制矩阵提供的信息必须以某种形式存放在系统中。
访问矩阵中的每行表示一个主体,每一列则表示一个受保护的客体,而矩阵中的元素,则表示主体可以对客体的访问模式。
目前,在系统中访问控制矩阵本身,都不是完整地存储起来,因为矩阵中的许多元素常常为空。
空元素将会造成存储空间的浪费,而且查找某个元素会耗费很多时间。
实际上常常是基于矩阵的行或列来表达访问控制信息。
2、强制访问控制(MAC)
强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。
强制访问控制(MAC)的主要特征是对所有主体及其所控制的客体(例如:
进程、文件、段、设备)实施强制访问控制。
为这些主体及客体指定敏感标记,这些标记是7等级分类和非等级类别的组合,它们是实施强制访问控制的依据。
系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。
用户的程序不能改变他自己及任何其它客体的敏感标记,从而系统可以防止特洛伊木马的攻击。
强制访问控制一般与自主访问控制结合使用,并且实施一些附加的、更强的访问限制。
一个主体只有通过了自主与强制性访问限制检查后,才能访问某个客体。
用户可以利用自主访问控制来防范其它用户对自己客体的攻击,由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。
强制访问策略将每个用户及文件赋于一个访问级别,如,最高秘密级(TopSecret),秘密级(Secret),机密级(Confidential)及无级别级(Unclassified)。
其级别为T>S>C>U,系统根据主体和客体的敏感标记来决定访问模式。
访问模式包括:
下读(Readdown):
用户级别大于文件级别的读操作;
上写(Writeup):
用户级别小于文件级别的写操作;
下写(Writedown):
用户级别等于文件级别的写操作;
上读(Readup):
用户级别小于文件级别的读操作;
图2-1Bell-Lapadula安全模型
依据Bell-Lapadula安全模型所制定的原则是利用不上读/不下写来保证数据的保密性。
见图2-1。
即不允许低信任级别的用户读高敏感度的信息,也不允许高敏感度的信息写入低敏感度区域,禁止信息从高级别流向低级别。
强制访问控制通过这种梯度安全标签实现信息的单向流通。
图2-2Biba安全模型
依据Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性。
见图2-2。
在实际应用中,完整性保护主要是为了避免应用程序修改某些重要的系统程序或系统数据库。
MAC通常用于多级安全军事系统。
强制访问控制对专用的或简单的系统是有效的,但对通用、大型系统并不那么有效。
一般强制访问控制采用以下几种方法:
①限制访问控制。
一个持洛伊木马可以攻破任何形式的自主访问控制,由于自主控制方式允许用户程序来修改他拥有文件的存取控制表,因而为非法者带来可乘之机。
MAC可以不提供这一方便,在这类系统中,用户要修改存取控制表的唯一途径是请求一个特权系统调用。
该调用的功能是依据用户终端输入的信息,而不是靠另一个程序提供的信息来修改存取控制信息。
②过程控制
在通常的计算机系统中,只要系统允许用户自己编程,就没办法杜绝特洛伊木马。
但可以对其过程采取某些措施,这种方法称为过程控制。
例如,警告用户不要运行系统目录以外的任何程序。
提醒用户注意,如果偶然调用一个其它目录的文件时,不要做任何动作,等等。
需要说明的一点是,这些限制取决于用户本身执行与否。
③系统限制
要对系统的功能实施一些限制。
比如,限制共享文件,但共享文件是计算机系统的优点,所以是不可能加以完全限制的。
再者,就是限制用户编程。
不过这种做法只适用于某些专用系统。
在大型的,通用系统中,编程能力是不可能去除的。
2.3系统总体功能描述
目前,基于网络的攻击和不安全行为成为影响内网用户正常工作的主要因素,也是造成密级要求比较高的内网网络泄密的主要因素。
据统计,目前,来自内网用户机的网络攻击和不安全行为的比例,已超过来自外网的比例,单纯使用传统的网络防火墙和IDS系统已经不能很好的解决该问题。
因此,需要一种系统,对内网的所有用户进行有效的管理,消除来自内网的不安全行为,这样才能有效的保证内网的安全。
本系统为一个基于C/S结构的系统,主要分为两个子系统,一个为管理中心
服务器端Server,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 访问 控制