1.引言
針對(duì)互聯(lián)網(wǎng)安全問(wèn)題日益嚴(yán)重,發(fā)展網(wǎng)格安全技術(shù)是解決當(dāng)前網(wǎng)絡(luò)安全問(wèn)題的一個(gè)熱點(diǎn),但是與傳統(tǒng)的安全技術(shù)想比,網(wǎng)格安全所涉及的技術(shù)比較復(fù)雜,有密碼技術(shù),網(wǎng)絡(luò)傳輸技術(shù),訪問(wèn)控制技術(shù),因此目前所研究的網(wǎng)格安全技術(shù)還比較片面,還不能真正的使用網(wǎng)格安全技術(shù)來(lái)代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)安全技術(shù)。本文從信息控制論角度出發(fā),給出了基于信息控制思想的網(wǎng)格安全技術(shù)模型,對(duì)其中的信息安全認(rèn)證和安全控制進(jìn)行分析。
2.信息安全控制系統(tǒng)模型
信息安全控制系統(tǒng)是一個(gè)反饋控制模型。為了到達(dá)安全目標(biāo),系統(tǒng)首先檢測(cè)出安全狀況,然后與安全目標(biāo)進(jìn)行比較后,對(duì)存在的偏差進(jìn)行安全決策和安全操作,經(jīng)過(guò)多次反饋控制就可以使整個(gè)系統(tǒng)達(dá)到安全目標(biāo)。
通過(guò)對(duì)信息安全控制模型的分析并結(jié)合信息安全控制系統(tǒng)的實(shí)際要求。它主要包括認(rèn)證授權(quán),監(jiān)視系統(tǒng),控制系統(tǒng),授權(quán)操作這4個(gè)功能模塊組成,在功能模塊之間是通過(guò)信息流進(jìn)行傳遞的。通過(guò)監(jiān)視系統(tǒng)采集到的狀態(tài)與控制系統(tǒng)比較,來(lái)獲得針對(duì)的授權(quán)操作,而第一步的認(rèn)證授權(quán)是進(jìn)行安全控制的第一步。
3. 基于信息安全控制原理的安全網(wǎng)格模型
整個(gè)系統(tǒng)的安全由其最薄弱的系統(tǒng)所決定的,因此在進(jìn)行網(wǎng)格安全系統(tǒng)設(shè)計(jì)的時(shí)候,需要使得整個(gè)系統(tǒng)的不同模塊達(dá)到均衡安全,所有模塊的安全性能都不能低于所設(shè)定的整體安全目標(biāo)。按照這一思想,需要在網(wǎng)格中建立一個(gè)全局安全控制策略庫(kù),并包含某些具體安全規(guī)則,并且安全控制庫(kù)可以根據(jù)反饋進(jìn)行自我動(dòng)態(tài)更新。當(dāng)用戶訪問(wèn)資源的時(shí)候,系統(tǒng)首先按照安全控制策略庫(kù)進(jìn)行訪問(wèn)規(guī)則的判定,只有通過(guò)的才是可以進(jìn)行訪問(wèn)的;并在操作完成后把訪問(wèn)信息反饋到安全控制策略庫(kù),以完成策略庫(kù)的動(dòng)態(tài)更新。
根據(jù)上述安全控制思想,可以得到基于信息安全控制模型的網(wǎng)格安全控制模塊。在安全控制方面主要由安全認(rèn)證模塊和安全控制模塊組成。安全認(rèn)證模塊主要負(fù)責(zé)通信的相互認(rèn)證、密鑰協(xié)商、服務(wù)開(kāi)放。安全控制模塊主要負(fù)責(zé)用戶控制,動(dòng)態(tài)反饋。整個(gè)系統(tǒng)設(shè)計(jì)的時(shí)候要遵循安全隔離性的原則,安全網(wǎng)格模塊與用戶必須分開(kāi),安全網(wǎng)格系統(tǒng)啟動(dòng)時(shí)首先使安全網(wǎng)格模塊獲得執(zhí)行權(quán),保證安全網(wǎng)格模塊從系統(tǒng)啟動(dòng)時(shí)開(kāi)始就能對(duì)網(wǎng)格系統(tǒng)進(jìn)行保護(hù)。本文研究的網(wǎng)格系統(tǒng)是使用網(wǎng)格工具包Globus Toolkit建立的。
3.1安全網(wǎng)格認(rèn)證模塊
安全網(wǎng)格認(rèn)證模塊主要由安全網(wǎng)格認(rèn)證部件組成,它對(duì)非法訪問(wèn)進(jìn)行拒絕,這里采用防火墻來(lái)進(jìn)行實(shí)現(xiàn),具體使用Linux防火墻來(lái)實(shí)現(xiàn),在防火墻實(shí)施策略時(shí),進(jìn)行如下保守的安全策略:除了允許的事件外,拒絕其他的任何事件。
3.2安全網(wǎng)格控制模塊
由于安全認(rèn)證模塊對(duì)外部用戶非法訪問(wèn)能夠防范,但是對(duì)內(nèi)部網(wǎng)格用戶缺乏控制,所以需要使用網(wǎng)格控制模塊來(lái)進(jìn)一步增強(qiáng)網(wǎng)格系統(tǒng)內(nèi)部安全性。安全網(wǎng)格控制模塊主要由客戶端的安全監(jiān)控部件、安全執(zhí)行部件和服務(wù)器端的安全決策部件耽擱組成。
網(wǎng)格用戶映射為客戶端即網(wǎng)格服務(wù)主機(jī)用戶后,便以本地用戶身份運(yùn)行。當(dāng)以本地用戶進(jìn)行操作時(shí),安全控制模塊對(duì)用戶進(jìn)行嚴(yán)格控制,及時(shí)發(fā)現(xiàn)用戶的操作行為并交給安全控制服務(wù)器進(jìn)行用戶行為安全性判決,安全控制服務(wù)器根據(jù)安全控制策略庫(kù)中相應(yīng)安全策略進(jìn)行判決,禁止網(wǎng)格用戶進(jìn)行非法行為操作,并把判決結(jié)果反饋給客戶端中安全執(zhí)行部件進(jìn)行相應(yīng)的執(zhí)行:允許或禁止網(wǎng)格用戶的操作行為。安全網(wǎng)格控制模塊防止內(nèi)部信息泄漏,防止越權(quán)操作,進(jìn)行網(wǎng)絡(luò)監(jiān)控,保證文件安全和進(jìn)程安全,從而確保網(wǎng)格系統(tǒng)內(nèi)部安全。
安全網(wǎng)格控制模塊的執(zhí)行過(guò)程描述:
(1)安全監(jiān)控部件對(duì)網(wǎng)格系統(tǒng)進(jìn)行監(jiān)控,發(fā)現(xiàn)用戶行為后提交給安全決策部件;
(2)安全決策部件分析用戶行為,并根據(jù)安全控制策略庫(kù)中策略做出響應(yīng)判決,確保網(wǎng)格用戶行為合法;
(3)判決通過(guò)后,提交給安全執(zhí)行部件執(zhí)行用戶行為,否則禁止用戶行為;
(4)用戶行為是否改變了安全控制策略庫(kù)中某些策略,如是則反饋用戶行為給安全控制策略庫(kù),動(dòng)態(tài)更新相應(yīng)策略。
4.安全測(cè)試
為了測(cè)試本文所提出的網(wǎng)格系統(tǒng)的安全性,這里采用X-Scan進(jìn)行網(wǎng)格系統(tǒng)漏洞掃描。由于所以網(wǎng)格服務(wù)主機(jī)的配置相同,因此只需對(duì)一臺(tái)服務(wù)逐句進(jìn)行掃描。同時(shí)對(duì)安全控制服務(wù)器進(jìn)行安全檢測(cè)映出安全控制服務(wù)器的安全狀況。從檢測(cè)報(bào)告中可以看出安全網(wǎng)格系統(tǒng)內(nèi)主機(jī)沒(méi)有發(fā)現(xiàn)安全漏洞,只檢測(cè)到一個(gè)未知開(kāi)放服務(wù)運(yùn)行于端口7778,而這是安全網(wǎng)格模塊所運(yùn)行的服務(wù),用以提供給網(wǎng)格用戶服務(wù)申請(qǐng),由檢測(cè)報(bào)告得出,網(wǎng)格主機(jī)是安全的。漏洞掃描工具沒(méi)有檢測(cè)到安全控制服務(wù)器,而服務(wù)器是運(yùn)行的,并能給網(wǎng)格系統(tǒng)提供安全控制。這是由于為了保證安全控制服務(wù)器的安全,在安全網(wǎng)格系統(tǒng)中服務(wù)器只對(duì)網(wǎng)格內(nèi)部主機(jī)提供服務(wù)端口,而對(duì)于網(wǎng)格外部是不可見(jiàn)的,從而保證了安全控制服務(wù)器的安全性。
根據(jù)網(wǎng)格服務(wù)主機(jī)和安全控制服務(wù)器的安全檢測(cè)結(jié)果可以分析出:安全網(wǎng)格系統(tǒng)中的主機(jī)均是安全的,整個(gè)安全網(wǎng)格系統(tǒng)也是安全的。
5.結(jié)束語(yǔ)
本文所研究的網(wǎng)格安全問(wèn)題是網(wǎng)格的核心問(wèn)題之一,如何將安全方案無(wú)縫地融入網(wǎng)格系統(tǒng)中,是網(wǎng)格安全研究的一個(gè)重點(diǎn)內(nèi)容。基于信息安全控制原理的安全網(wǎng)格技術(shù)為網(wǎng)格系統(tǒng)提供了一套行之有效的安全方案。但是由于網(wǎng)格環(huán)境中用戶行為的多樣性、復(fù)雜性以及網(wǎng)格技術(shù)的不斷發(fā)展,需要對(duì)安全控制策略及安全網(wǎng)格模塊進(jìn)行進(jìn)一步的完善,這些都是在今后的研究中所要面對(duì)并解決的問(wèn)題。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:基于信息安全控制原理的安全網(wǎng)格技術(shù)的研究
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112158287.html