（计算机应用技术专业论文）校园oa系统中安全子系统的设计.pdf

华中科技大学硕士学位论文 摘要 随着计算机网络的开放性、共享性、互连程度的扩大，使得网络与信息系统的安 全与保密问题显得越来越重要，成了制约其发展之关键所在。本文旨在给出基于实体 模型的计算机网络安全设计方法，用于指导网络及应用系统的安全设计。 首先，分类分析了网络所面临的安全威胁与相应的安全防护技术。目前，网络所 面临的安全威胁己不胜枚举，各类攻击手段花样百出，而且还有许多尚不为人知的安 全漏洞在被利用。与此同时，相应的安全防护技术也是层出不穷。通过系统地分析与 归类网络攻击与防护，从而从根本上理解它们，是我们整个课题研究的出发点，也是 建立网络安全体系结构的基础；其次，需要建立网络安全体系结构，即网络安全模型。 安全模型对于安全概念的理解、安全系统的设计、实现和验证都是十分必要的，是安 全性设计方法的基础。只有明确建立起网络安全模型，才能相应地明确网络安全性设 计从哪些方面着手进行；最后，对网络安全性设计的方法与实施问题进行了分析与研 究，在安全防护技术基础之上，具体从网络安全模型出发，在确立网络风险与明确网 络安全的目标和策略之后，对常德电大o a 系统的安全系统给出了完整的安全设计方 案，具体涉及到网络的系统级安全设计、网络级安全设计和应用级安全设计。 完整的安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。网络安 全性设计方法关键在于编写出适当的完整的安全策略，然后选用适当的安全技术将其 具体分层落实到网络的具体实体中去。经过对以上关键问题的分析，我们给出了一种 较为完整的计算机网络安全设计方法。 关键词：网络安全，安全防护，实体模型，o a 系统，安全设计 华中科技大学硕士学位论文 a b s t r a c t w i t ht h ee n l a r g e m e n to ft h eo p e n i n g ，s h a r i n g ，i n t e r c o n n e c t i o nd e g r e eo ft h ec o m p u t e r n e t w o r k ，m a k es e c u r i t ya n ds e c r e tp r o b l e mo ft h en e t w o r ka n di n f o r m a t i o ns y s t e ms e e m m o r ea n dm o r ei m p o r t a n t h a v eb e c o m ek e yp o i n to fi t sd e v e l o p m e n to fr e s t r i c t i o n 耽i s t e x ta i m sa tp r o v i d i n gt h eo n l i n es e c u r i t yd e s i g nm e t h o do fc o m p u t e rb a s e do ne n t i t y s m o d e l ，f o rg u i d i n gt h es e c u r i t yd e s i g no ft h en e t w o r k - f i r s to fa l l ，h a v ec l a s s i f i e da n da n a l y s e dt h et h r e a tt h a tt h en e t w o r kf a c e sw i t h p r o t e c t i n gt e c h n o l o g yc o r r e s p o n d i n g l ys y s t e m a t i c a l l y 。a tp r e s e n t , t h e r ea l eo w na n dt o o n u m e r o u st om e n t i o ns e c u r i t yt h r e a t st h a tt h en e t w o r kf a c e s , a l lk i n d so fa t t a c km e a n s m a k eal o to fv a r i e t y ，a n di ss t i l lal o to fs e c u r i t yl o o p h o l es t i l lu n k n o w nb yt h ep e o p l ei s b e i n gu t i l i z e d d i n g m e a n w h i l e , c o r r e s p o n d i n gs h e l t e rt e c h n o l o g yi st oe m e r g ei n 粕 e n d l e s ss t r e a mt o o t h r o u g ha n a l y s i n gs y s t e m a t i c a l l ya n d s o r t i n go u tt h en e t w o r kt oa t t a c k a n dp r o t e c t ，t h u su n d e r s t a n dt h e mf u n d a m e n t a l l y ，i ti st h es t a r t i n g 融t h a to u rw h o l e s u b j e c t i ss t u d i e d ，c s t a b h s h t h es y s t e m o f o n l i n es e c u r i t y o r t h e f o u n d a t i o n o f s t r u c t u r e t o o ； s e c o n d l y ，t h es t r u c t u r e ，n a m e l yo n l i n es e c u r i t ym o d e lt h a tn e e dt oe s t a b l i s ht h es y s t e mo f o n l i n es e c u r i t y d e s i g n ，r e a l i z i n ga n dp r o v i n gi ti sa l lv e r ye s s e n t i a lo f t h e u n d e r s t a n d i n g o f t h es a f ec o n c e p t , s e c u r i t ys y s t e mo fs a f em o d e l ，i ti saf o u n d a t i o no ft h ed e s i g nm e t h o do f t h es e c u r i t y o n l ys e l 印o n l i n es e c u r i t ym o d e ld e a r l y , c o u l dd e f m ea c c o r d i n g l yf r o m w h i c hr e s p e c t st h en e t w o r ks e c u r i t yd e s i g na r es e ta b o u tg o i n go n ；f i n a l l y , c a r r i e do nt h e a n a l y s i sa n dr e s e a r c ht ot h es e c u r i t yd e s i g nm e t h o do ft h en e t w o r ka n di m p l e m e n t a t i o n p r o b l e m ，o nt h et e c h n o l o g i c a lf o u n d a t i o no fs a f ep r o t e c t i o n , p r o c e e df r o mo n l i n es e c u r i t y m o d e lc o n c r e t l y , a f t e re s t a b l i s h i n gt h er i s ko ft h en e t w o r ka n dg o a la n dt a c t i c so f d e f i n i n g t h eo n l i n es e c u r i t y , p r o v i d et h ei n t a c td e s i g np l a no fs e c u r i t yt ot h es e c u r i t ys y s t e mo ft h e ivu n i v e r s i t yo as y s t e mo fc h a n g d e ，i n v o l v et h eo n eg r a d eo fs a f e d e s i g n sa n d a p p l i c a t i o nl a y e ro fo n eg r a d eo fs a f ed e s i g n so fs y s t e mo ft h en e t w o r k ，n e t w o r kt od e s i g n c o n c r e t l ys a f e l y t h ei n t a c ts e c u r i t ys o l u t i o ns h o u l dc o v e re a c hl e v e lo ft h en e t w o r k ，a n dc o m b i n ew i t h s a f e t ym a n a g e m e n t 。t h ek e yt ot h es e c u r i t yd e s i g nm e t h o do ft h en e t w o r kl i e si nw r i t i n g o u tt h ep r o p e ri n t a c ts e c u r i t yt a c t i c s , t h e ns e l e c tt h ep r o p e rs a f ep r a c t i c ef o ru s ea n dd i v i d e 柱 华中科技大学硕士学位论文 i t sc o n c r e t l yt oo n el a y e ro fc o n c r e t ee n t i t i e sw h i c hi m p l e m e n t st h en e t w o r k t h r o u g ht h e a n a l y s i so nt h ea b o v ek e yp r o b l e m ，w ep r o v i d eak i n do fc o m p a r a t i v e l yi n t a c tc o m p u t e r o n l i n es e c u r i t yd e s i g nm e t h o d k e y w o r d s ：n e t w o r ks e c u r i t y ，s e c u r i t yt h r e a d ，e n t i t ym o d e l ，o as y s t e m ，s e c u d t y d e s i g n 瓣 独创性声明 本人声明所呈交的学位论文是我个人在导师的指导下进行的研究工 作及取得的研究成果。尽我所知，除文中已标明引用的内容外，本论文不 包含任何其他人或集体已经发表或撰写过的研究成果。对本文的研究做出 贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明 的法律结果由本人承担。 学位论文作者签名：纽永痞 一s 年l - 月鞠口 、 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即； 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许 论文被查阅和借阅。本人授权华中科技大学可以将本学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于 不保密翻。 ( 请在以上方框内打“4 ”) 学位论文作者签名： a 。s 年l 。月胡日 f 指导教师签名： 左 厂、 加弼年f 月乒日 华中科技大学硕士学位论文 1绪论 随着知识经济的到来，知识在发展生产力的主导作用中将逐步取代传统的经济形 态。知识经济1 1 j 是以智力、技能资源为主要依托的经济，是用知识创造财富的经济。 在l o t u s 、i b m 于1 9 9 8 年1 月发表的“l o t u s 、i b m 和知识管理”【4 一，战略白皮 书中把创新、反应能力、生产率和技能素质作为它的特定商业目标和知识管理的基本 内涵，一个现代化的企业要达到上述的目标以适应知识经济的要求，主要受制约予协 同能力。创造、共享和使用知识的过程，包含着各种程度的协作。四个目标中的每一 个目标，在实现过程中也包含羞不同程度的协作。 办公自动化的含义也随着经济时代的变化而逐渐深化和提高。它作为知识管理体 系的基础支撑软件，成为政府和企事业信息化建设的关键。 1 1 办公自动仡系统篱介 出予各慰的发展历史和实践程度苓网，对宅麴璎姆霸认识也褰艨差别。髓黄诗算 机软硬件技术的发展，特别是自：十世纪9 0 年代以来，髓若i n t e m e t i n t r a n e t 的迅猛 发展和成熟，办公自动化( 0 a ) 技术的内涵及外聪也都在发生改交，给办公自动化赋子 了照广的含义【2 l o 目前，世界上较具权威的定义是美国麻省理工学院季斯曼教授对办公自动化的定 义1 3 l ：办公自动纯就是将计算机控术、通信技术、系统科学与杼为科学皮用于传统的 数据处瑾技术难戳处璎、鼠麓非常丈掰结构又不明确的那些韭务主的一项综畲技术。 办公蠡韵纯系统主要宙系统辩学、雩亍麓释攀、管逢科举、入梳王程学、计箨橇科 学等学辩缀残。 办公自动化系统毂支撑技术燕要楚计黪极技零、逶绩技寒麸及镕怠处理技术。 随饕售息化和计算机网络的发展，鼹络中的安全阔题也日懿严爨。单位内酆有谗 多敏感的数据、资料、文件郯放在两终之上。一个完簧的办公囱动化系统应该能有效 的傈护这些数据防止非法访问和篡改。安全性是办公自动化系统的个骥要特征。 华中科技大学硕士学位论文 1 2 网络信息系统安全现状 1 2 1 国际网络信息系统安全现状 首先，国际标准化机构在网络信息系统安全全面从事了大量的工作，让我们看看 在信息系统领域发生的一些重大事件。1 9 8 5 年，d o d 5 2 0 0 2 8 - s t d ，即可信计算机系 统评测标准f f c s e c ) ( 美国国防部桔皮书，以下简称d o d 8 5 评测标准) ，为计算机安全 产品的评测提供了测试和方法，指导信息安全产品的制造和应用。1 9 8 7 年，美国国家 计算机安全中心( n c s c ) 为1 s e c 桔皮书提出可依赖网络解释( n 哪，通常被称作红 皮书。1 9 9 1 年，美国国家计算机安全中心( n c s c ) 为1 s e ( ：桔皮书提出可依赖数据库 管理系统解释f f n i ) 。 觚9 0 9 代开始，爵于i n t e r n e t 技术广泛的应稻，“黑客”活渤日菔猖掀，给信患系 统安全挺崮了许多新的闯磁，信息系统安全领蠛呼帮修l 袭d o d 5 8 5 的秸旋繁，美国颁 布薪豹联邦评蒺l 橼准g 攀案，震潋健替8 8 年载矮寒豹掊疫书。 在上述标准瓣基戳上，美国、热拿大秘致： | | 联会研制c l e ( 绩息技寒安全评测公共 标准) ，势予1 9 9 4 年颤森0 1 9 版，予1 9 9 6 硼枣了1 噤。在敬溅，荚凰、懿兰秘法国糖 头，开始联仓研制欧洲共同的安企评测标准，弗- t 1 9 9 1 年颁布r r s e c ( 信息技术安全标 准) 1 9 9 3 年，加皋大颁布a r c 蹦c ( 加拿大可信计算机产i 铬评测标准) 。1 9 9 3 年，美国 国防部国防信息系统局叉提出在c 4 i 系统( c o m m a n d , c o n t r 0 1 c o m m u n i c a t i o n , c o m p u t e r ，a n di n t e l l i g n c es y s t e m ) t 采用多级安全( m l s ) 技术与概念。在美国，信息和 信息系统是由总统亲自领导的，投入力度相当可观。 ，2 ，2 国内网络信息系统安全瑗状 我篷弱终痿毖系绞安全方瑟抟建设可以追溯刭“七蠹”与“，k 纛”期闯，我嚣在 售息熟邂、鳃密、密钢芯片、密甥管理等方嚣鸯所硪究，戮了9 0 年代，程信息安全的 传统思路上，科学院成立了信息爱全技术工程磷究中心，生要从事上述技术中加密与 解密的研究工作。但悬，所有这魑主要停嘲在传统的信息安全的概念上，对系统的安 全重视不够。从“七五”开始到“九_ ! 珏”期间。信息产业部1 5 所( 太有计算机公司) 在 2 华中科技大学硕士学位论文 网络安全方嚣进行7 科研王终。铸息产韭郝1 5 掰在“丸委”蘩耀进行t t 氍i x 操终系 统的安全研究工像，予1 9 9 8 年验收和鉴定t 是主开发豹l r n i x 操终系统b l 级安全核舞 发工作。 国际计算机系统安全将参加安全产品评估标准的系统分为四类，分别是d 类，c 类，b 类和a 类。从d 类到a 类，系统的安全级别逐级加强。其中c 类和b 类中叉分为 一些予类，予类又称为级。下面简要说明各级系统的特点； 1 d 类 d 类系统的安全级灏是最低的，这一粪包含所有那些参加了评儒，德被认为没有 能够褥翻更商类蘩求酌系统。 2 c 类 c 类系绫豹主要特点是实瑗t 蛊生式游阀挫毒l 秘托。这一类巾毒包禽薅个 级，c l 级襄c 2 级。 1 ) c l 级：自主的安全保护( d i s c r e t i o n a r ys e c u d t yp r o t e c t i o n ) c l 缀要求系统通过利用用户登录机制将用户和数据分离，名义上实现了自主式 安全系统的需求。 ( 2 ) c 2 级：有控制的存取保护( c o n t r 0 1 e d a c c e s sp r o t e c t i o n ) 这级的系统加强t d a c 的控制粒度，将控制实施到单个用户。提供了对单个厢 户盼记帐能力。 3 b 类 b 炎系绫在潢是貔缀系凌辩叁主蔑安全嚣袋鞠基缓上实瓣了强裁缝黪旃翘浆裁 m a c 。b 类审魁岔三令级：b l 缀，嚣2 级翘r 3 缀。 ( 1 ) b l 缎：谢标签粒安垒傈护l a b e l e ds e c u r i t yp r o t e c t i o n ) b l 级以上的系统都要求实现强制性的存取保护。系统中的所谢主体和对象郡用 一个安全标签来标记，并且定义个安全标签之间的比较关系。系娩根据主体与访问 对象的安全标签乏间的比较结聚来实行强制性的存取保护。 ( 2 ) b 2 缀：缩梅纯静保护( s t r u c t u r e dp r o t e c t i o n ) b 2 缓静系统要求蒸瀚骞一个形式能抟安全策臻禳爨。在t c b 盼设计上幕遭求要 3 华中科技大学硕士学位论文 好的结构，要把t c b 中与安全有关的部分与其它部分分离开，要便于彻底的分析和测 试。b 2 级系统要求有一份文档，描述其t c b 是如何实现“访问监控器”概念的，并论 证其正确性，b p t c b 满足了r v m 的三条设计需求。另外，b 2 级菜单系统还要考虑有 关隐蔽通道的问题。 ( 3 ) b 3 级：安全域( s e c u r i t yd o m a i n s ) 必须使用软件工程的方法，在b 3 级系统的设计和实现上下大功夫，使得系统的 复杂性将到最低程度。系统要能支持安全管理员的角色，提供从错误中安全恢复的功 能。系统对于入侵有很强的抵御能力。 4 a 类 ( 1 ) a 1 级：经过检验的设计( v e r i f i e dd e s i g n ) a 1 级的系统在功能上与b 3 级系统等价。这一级系统的特点是对形式化方法的大 量运用。由于采用形式化的方法，能够通过a 1 级标准的系统的安全性能够得到最大 程度的保证。 ( 2 ) a i 以上级： 触队上级系统主要考虑访问监控器的自我保护能力帮完撼性，以及其它一些根 难迭到的目标，例如完全形式化的描述、证明和实现技术，并飘系统一寇要由可以信 赖的入爱来设计。 文上述评估凇掰为基穑，加上弼终有关的安全要求就形成了对废的网络安全指标 体系。 1 3 网络安全存在的主要问题 谣蓠在随络系统安全建浚方蕊存在的主要闻遂燕； 1 。信怠安全遮簧新技术靛密凝稻发菇蠢箍多样纯、蘸跫纯、深罄次纯、潜茯纯 和严重纯豹藏黪，瑟毽蔻豹阚终安全系统必是叛统诗帮鼗控嬲终豹数撂浚囊巍嚣糠， 没寿提供基予蓑峨豹安全管理，耀疆茏法缳证整个鄹络安全等缀豹绞一。 2 在全球，骜遍襻在藿对信息安全意识欠缺的状况眈人们在缎建一个网络信息 系统的时候，并没有主动地、有意识地想到应该建立一个网络安全系统。这导致大多 4 华中科技大学硕士学位论文 数豹网络售愚系绞存在若先天性豹安全漏洞和安全威胁。在网络信爨系统豹建设中， 必须把解决储息安全问题作为一项重点工作，以扭转目前不少单位存在的“只建网， 无安全；修了路，不敢跑车”的局面。 国内一魑己缀或正在建设的网络信息系统，其系统安念的目标和任务往往只限于 物理网络层，诸如购买防火墙之兴的设备。而在如何防止“黑客”入侵、有害信息、 计簿机犯罪和信息泄露等一系列问题上，不少人在认识上还有很大的误鼠。最常觅的 一种看法就怒认为有了防火堆就可黻傈障网络的安全。其实对予网络信意系统或网络 平台的安全谣言，这蔻不全面静。这羹有两个随遂有待解决；是黪火臻只是弼络安 全瓣一遴蒎线，荠不靛 奄残兖分条辞；二楚臃火墙佟为瘸络安全熬一道爨簿，鑫龛裁 具有荔予被攻击豹雅弱蛙，其蠡是豹安全性是套毽褥信馁也是一令闼题1 7 】。 3 蓐在着信息安全管理不娥范和标准不统一豹蛔题。网络安全设备没有统一的 安全援范标准，网络安全公司按照自融的认识进行设备的研制奸发，有些根本不提供 对外的接口，这绘网络安全管理麴集成带来了麻烦。美国是西方国家针对信息安全着 力较多的国家之一，同样存在着规范和标准跟不上拽术进步发腥的问题。西欧国家自 己则另有一套信息安全标准，虽然在原理和结构上同美国有相似和相同的部分，但是 不同的部分也相警多。 4 + 在蕊崽安全笈震遘程孛，金渡帮致府稳要求骞一致赘避方，氇蒋奉一致酌选 方。灸遭雯注重予蔫惑黎瓣络安垒豹冒纛缝，教瘸鼹注羹落惠鞍掰络安全熬馨控槛。 5 售爨穗网络安全豹按拳蛰然农发袋避稷孛，“缝对黪安全是举霹缝豹”窝“零 攒蒙理”瞧娃一魑搜爝翥避溪誉嚣，枣场上“叫好誉嘲粪”懿现裂促然枣在。 6 ，在凰内，由于市场救督举力秘信息安垒知识普及程度攀够镎原聪，信息安全 产品的“假、大、空”现象仍在定程度地存在着。我翻的网络安全产鼎市场尚属初 期成长阶段，安全产品以防火墙和杀病毒产品为主。目前国内开始做网络安垒产品的 企业，多半是中途起窳，贰是将安全产品作为一个煎要的事鲰部，如联想、东软，都 耩藏粪。真难意义上滟“纯两络安全”厂商并不多。螽前西内的防次墙产品中，雨井 厂商占磊0 ，蕃内厂商占4 0 ，嚣舞囊流厂商为c j s c o , c h 烈：k p o i n t , n c t s c r c e n 等，蕊斑 圭滚厂囊蠢笨较黢贽、天融绩等。露奁入授薤浏鸯谱赣辍搏书，莺捧鑫7 潞激土，蟹 5 华中科技大学硕士学位论文 内不足3 0 ，国外的主流厂商为安氏，国内厂商有启明星辰、东软股份、上海格尔、 天融信等。 一个国家必须拥有自主知识版权的国际先进水平的安全产品。信息安全在我国起 步较晚，虽然在密码研究方面中国并不落后，但是在信息安全人才数量、行业水平和 产品性能上我国仍然需要努力。 6 华中科技大学硕士学位论文 2 1 课题背景 2 课题背景及可行性分析 本设计课题是以湖南常德电大管理信息系统中的办公自动化( 以下简称电大o a ) 建设为背景，旨在改善和提高学校内部办公事务处理的计算机应用水平，从而能够确 保常德电大的各科室或科室之间，以及所有有关的办公人员都可阻在桌面计算机上处 理日常工作，在网络上完成绝大部分公文的处理和传送工作，以计算机网络通信取代 磁介质和纸介质的传送，提高各部门之间的协作效率，确保领导能够方便、及时获得 各种信息和统计数据，立即知晓各项工作的进展情况。其具体的要求如下： 1 创造一个集成化的办公环境，为工作人员提供多功能的桌面办公环境，解决 办公人员处理不同事务需要使用不同工作环境的问题； 2 支持信息传递，解决由人工传送纸介质或磁介质信息的问题，实现工作效率 和可靠性的有效提高； 3 提供蔡有王律漉往麓貔簸毽遗程和蕴督功麓，簿决多郝裾狯俸闻蘧，推动帮 弱麓豹舞效率秘稼； 毒。提供嶷成处理皇发露售感魏王终平台，解决以往傣惠收集、处理和发毒过程 搬分割的阉题，减少不必要的交接环节，提高王传便利幢； 5 提供完备的安全揍施，保证系统和数据的安全。 2 2 璐青系统分耩及安全需求 常德电大自1 9 9 9 年建悫了连通垒校拨阁的校园网，在校嗣网上建吏了基于远程 教学的教学平台“电大在线”和自己的网站。但是由子各种原因，校园办公仍然采用 单机作业，文件乎工起草，打印以后樽进行传阅，很难适应目前信息时代的发展。近 两年来，随潜计算机设备的添加和网络设铸的究善，学校希望通过信息管理系统的使 用来加快信怠管理的疹伐，结束以前单机作业，人工传阅文件的局蕊。随着电大系统 7 华中科技大学硕士学位论文 之间信息交换的需求不断加大，学校与上级电大和下属工作站的信息交流及学校内部 的信息交流大量增加，具备更高更快的信息处理能力和响应能力，提高自身内部的协 作办公能力已经成为必不可少的条件。 2 2 1 网络拓扑图 常德电大网络主要由服务器、主机及网络互连设备组成。学校网络中心通过d d n 专线接入i n t e r n c t ，学校内部办公室、学校机房、教学楼、学生宿舍和教工宿舍通过内 部局域网与网络中心相连，采用代理服务器上网。网络互联设备采用c i s c o 路由器。 学校与上级电大和县工作站通过i n l e m e t 进行连接。如图2 - 1 。 上级电大 各县工作站 占乌c i c s 0 2 6 1 1 ，u 筚 办公室计算梳房教学楼教工宿舍学垒宿舍 图2 1 常德电大黼络籀扑圈 2 2 2o a 系统辩安垒需求分耩 为保证常德电大熬个网络系统稳定、可靠、安全地运行，同时为了适应未来信息 化发展的需溪，在学校信息亿基础建设的阀时，规划建设套宛备的网络安全系统其 8 华中科技大学硕士学位论文 有十分重要的意义【2 6 1 。经分析考证，具体安全需求如下： 1 网络中心安全需求 ( 1 ) 与学校内部网络信息传输的安全( 保密性和完整性) ； ( 2 ) 防止来e l i n t e r n c t 对中心网络的非授权访问和恶意攻击； ( 3 ) 防止内部网用户对中心网络、操作系统和数据库系统进行非授权访问和恶 意攻击： ( 4 ) 防范非法的用户以合法的身份进行非法访问； ( 5 ) 防范合法用户的非授权使用； f 6 ) 口与m a c j 也址的绑定； r n 防范i n t e r n e t 的病毒入侵的风险； ( 8 ) 防范内部网病毒侵害。 2 校内用户的安全需求 ( 1 ) 与网络中心的信息传输的安全( 保密性和完整性) ； ( 2 ) 防止网络病毒的危害和传播； ( 3 ) 防止来i n t e r n e t 对学校内部网络的非授权访问和恶意攻击。 此外，对于o a 系统还应具有痕迹保留和流程跟踪的安全性设计。 2 3 系统可纷性分析 2 3 1 从系统所需技术的发展情况分析系统w 行俄 1 系统开发平台可行性分析 o a 系统随着网络和计算机技术的发展，经过了第一代、第二代的发展阶段，现 在进入了以知识管理为核心的办公自动化的时代。它是以公文流转技术为核心，从而 实现网上协同办公。 藩翁实蠛公文流转技术己发震豹较为藏熬，其并发平台落魄鞍多，l o t h s n o t e s ， w i n d o w s n e t ，j a v a 簿主要豹技术簪段帮琵开发窭公文滚转系统，它 】其鸯苓弱的 特点。 9 华中科技大学硕士学位论文 l o t u sd o m i n o n o t e s 发展较早，已被广泛的应用到实际中，且被视为最为成熟的 公文流转系统平台，由于其本身具有强大的工作流( w o r k f l o w ) 设计能力，与复杂的公 文流转工作流相适应，因而成为了大型公文流转系统开发的首选技术手段1 1 2 1 。利用 l o t u sn o t e s 既可以实现c s 模式的公文流转系统，也可以实现适应b s 的应用模式， 其完善的文档数据库和权限管理系统为公文流转的顺利实现提供了强有力的保障。它 技术成熟、开发周期短、易维护、跨平台，且有许多成功案例等特点。 e x c h a n g es e r v e r 与l o t u sd o m i n o n o t e s 有相似之处，都具有强大的工作流设置能 力，它与客户端使用o u t l o o k 等电子邮件系统相结合，但在使用上不直观，灵活性差， 而且受限于微软的操作平台，同时基于e x c h a n g es e r v e r 的二次开发难度也较大，系 统之间的兼容性和扩展性差，目前在市场上单纯地基于e x c h a n g es e r v e r 的公文流转 系统比较少见。 j a v a 和w i n d o w s n e t 开发公文流转相对于上述两个应用开发平台较为底层，灵 活性强，通用性好，但开发周期长。 2 b s 开发模式可行性分析 c s 模式，即客户机棚臣务器模式( c l i e n t s e r v e o ，主要由成用稷序( c l i e n t ) 、服务 器管理程序( s e r v e r ) 和中间件( m i d d l e w a 功三个部分组成。通过将饺务合理的分配到 c l i e n t 蛹和s e r v e r 端，降低了系统的通信歼锖，充分稍用了两端硬件环境资源。但是 c s 模式需要在客户梳安装瘦焉程序，这会为企监增舾不小的歼锖。诧模式己逐渐不 适应i n t e r a c t 静发震窝移动夯公鹣需求，群显委敝软俘费羯较篱，这增麓了霞耀者豹 额辨投入。 b s 摸式，鄹w e b 浏瑟i 彰股务器模式( b r o w s e r s e r v e r ) ，燕一秽以w e b 技本为基 础的毅型的系统乎台模式。它剥用了联前不断成熟和酱及的浏览器技术实现原来嚣要 复杂专业软件才能实现的强大功能，把传缝c s 模式中的服务器部分分解为一个数据 服务器与一个或多个成用服务器( w 曲服务器) ，从而构成个三层结构的客户服务器 体系。在这种结构下，用户界面完全通过w e b 浏览器实现，部分简单的事务逻辑 在客户端实现，假是主要的事务遥辑在服务器端实现。同时考虑电大校因网网络范围 不广，w e b 信意传输较快，服务器对客户的需求能够迅速傲蹬反艨，戮诧采用b s 华中科技大学硕士学位论文 的开发模式可以节约开发成本，减少管理员维护，同时客户易操作。 2 3 2 从系统开发风险分析系统可行性 从上述对目前的技术发展分析，采用l o t u sd o m i n o n o t e s 作为开发平台是目前较 为理想的平台，它的技术特点使系统的开发风险减小，在实际的开发中成为可能。 2 3 3 从系统使用环境分析系统可行性 采用b s 的开发模式，在客户端只需要安装w e b 测览器，通过w e b 页面为客户 提供了统一的应用界面，因此对客户来说操作简单。同时采用l o t u sd o m i n o n o t e s 作 为应用系统的支撑平台，管理方便；它跨平台的特性对硬件的选择范围广。结合当前 该学校的网络系统设施，此应用系统在该网络环境下运行是可行的。 2 3 4 祆系统安全要求分析系统可行憔 l o t u sd o m i n o n o t e s 是优秀的办公电予协1 限平台，具有独特的安全特性，从底层 到最上层共有八个层次安全控制，它们分别是：网络信道安全、会话安全、服务器安 全、数猎库安全、表筚视图安全、文档安全、酝段安全、域安全。 l o t u sd o m i n o n o t e s 采稻了p k i 淑钥 # 对称螽密方式对用户静鸯傍激行认证，支 持标准懿x 。5 0 9 c a 谨喾。井据供了鼹络髅灌热密的手段耱壹翔络铰琚，实蠛信遴传 蟪安全。l o t u sd o m i n o 艨o t e s 提供了数+ 秘安全设嚣管理凌辘，供翔户灵活、安垒她 使用系统功能。 从上述姻个方面的可行性的分析论证，采用l o t u sd o m i n o n o t e s 作为系统开发平 台，使o a 系统的实现和应用成为可能。 2 。4l o t u sd o r ain o n o t e s 豹纂本特性 根据对成用系统的可行性分析及蝌络办公的特点，采用l o t u sd o m i n o n o t e s 作为 应用系统开发平台和_ 陵用支撑平台。l o t u sd o m i n o n o t e sr 5 是l o t u s 公司推出的第三 代o a 软件，它融合了信息处理、业务流穰和知识管理予体的新威用系统，实现了 1 l 华中科技大学硕士学位论文 从“决策支持系绞”到更裹级豹“决策智熊系绞”戆摹翕性转变。玄是尽裁世界上摄 成熟的知识管理瑟础乎台。 l o t u sd o m i n o n o t e sr 5 具礴三大核心技术：先进豹文档数据艨与坚固的电子邮 件系统；工作流自动化平台；标准w e b 应用服务器。同时，l o t u sd o m i n o n o t e s 系统 的安全控制上具有：功能强大，技术璇广、控制层次多，配置管理灵活等特点。 小绪：举章通过实际课题的凄求，给出了电大o a 系统的安全需求，分析了电大 0 a 系统在开发平台、汗发风险、使用环境、安全要求等方面的可行性，讨论了l o t u s d o m i n o n o t e s 的基本特性，选择l o t u sd o m i n o n o t e s 作为嗽大q a 静歼发平台。 1 2 华中科技大学硕士学位论文 3 网络安全威胁与安全防护技术 3 1 网络安全威胁 网络安全的实质是信息安全，如果将信息看作是一簇数据及定义在其上的一组包 括生成、存取和使用的操作，则网络安全保护的核心是如何在网络环境下保证数据本 身的秘密性、完按性与操作的正确性、合法性与不可否认性。而网络攻击的目的正好 相反，其立足于以各种方式通过网络破坏数据的秘密性和完整性或进行某些非法操 作。所以将网络安全划分为网络攻击和网络安全防护两大类，可以从事物的正反两方 面较全面地描述网络安全。 现在，与网络有关的安全威胁已不胜枚举，各类攻击手段层出不穷，而且还可能 有许多尚不为人知的安全漏洞在被利用，这些网络攻击手段可以从两个层面来区分， 一是理论攻击，二是技术攻击嗍。所谓理论攻击，就是密码学意义上的攻击，只专注 于其攻击概念或攻击过程、算法，而不考虑具体的技术实现；技术攻击则与特点的网 络协议、操作系统及应用程序相关，存在明确的攻击步骤，攻击者可借助一定的分析 手段与攻击工具来达到特定的攻击目的。一般而言，理论攻击是技术攻击的理论基础， 几乎每种技术攻击都可最终归为某种理论攻击，但理论攻击却未必己成为现实可行的 技术攻击。 3 1 1 两络攻击的毽论分析 利用上述分类方法对现存的大多数网络攻击手段作一归纳分析，因理论攻击不是 本课题的研究问题，所以更着莺分析技术攻击，特剐是对t c p 雎p 嗣络的攻击方式。 3 1 。2 对加密算法的攻击 一般说慕破译者霹辩密鹈霆 行憔整文政毒、己j 瓣骥文羧壹、选撵密文凌壹_ 辍选择 爨文致逡及努举羧壹，对特定算法j 丕蠢特定攻赘方法，如慰d e s 这类迭代分缎密码可 选择差分密秘分捞法、能量攻击法，澍公钥算法r s a 可采髑公煺模攻击、低加密撂数 华中科技大学硕士学位论文 攻击、定时攻击等方法。对加密算法的攻击已有不少成功的例子，但一般说来，只有 国家或大型公司、组织才拥有破译特定密码的财力和人力。 3 。1 。3 对技术攻击的分析 1 网络监听 大部分的传输介质如e t h e m e t ，f d d i ，t o k e n - r i n g 、模拟电话线、无线接入网上 都可实施网络监听，其中尤以e t h e r n e t 与无线接入网最为容易，因为这两者都是典型 的广播网络。 2 对网络协议弱点的攻击 当初设计i n t e m e t 各类协议时，几乎没有人考虑网络安全问题，网络协议或缺乏认 证机制，或缺少数据保密性。因此，i n t e m e t 作为t c p i p 的第五层结构，从数据链路层 到应用协议层在设计上都存在不同程度的安全弱点，可能被攻击者加以利用而入侵网 络。 ( 1 ) 数据链路层 a r p 及与之相关的p r 嘣ya r p ，i n v e r s ea r p 数据包可以被攻击溃修改，从而改变 数据包流向。 ( 2 ) 田靴层 稠焉l c 凇静笺位囱清意缓环鼯赉表，仞赞黼络遴信璇窃断秘密遥僖，利翔 l 蝴p 豹不霹这澄怠或l 翎p 魏麓入，离嚣缀消患瓣萃点蕺多熹瀵信未捉实施燕绝缀务 d o s 攻丧； 通过伪造l p 地址进符疆s p o o f i n g 班1 5 - ，或是结合t 序别号攻击，实理t c p i p 劫持及隐藏攻击赣地址，增加事后追踪的难度。 利用s o c k e t 套接宇进行t c p 端口扫描，端臼扫描可分为t c pe o i m e e t 删i 、t c p s y n 扫描、t c pf i n 扫描和f r a g m e n t a t i o n 扫描等。 借助海量数据包，使得目标盘机耗尽t c p 连接资源，这类攻击有“粘住”攻 击、s y n - h o o d i n g 攻击等。 ( 3 ) 应蠲层 华中科技大学硕士学位论文 伪造邮件冒充系统管理员，要求收信者发送口令或其它敏感信息，攻击者还 可对用户邮箱或邮件服务器进行电子邮件轰炸。 利用h h t p 允许相对u r l 的特性，攻击者改写w e b 页上的所有u r l ，扮演中间 人fm e n - i n t h e m i d d l e ) ，i i s ，n e t s c a p ec o m m u n i c a t o rs e r v e rf o rn t 等h t i 甲d 都有 c g i b i n 的安全问题 因为d n s 协议也缺乏认证功能，攻击者可改变m 地址和域名的对应关系，从 而绕过防火墙侵入系统。 利用s n m pv l 无认证的弱点，攻击者只要给出有效的组名就能伪装成s n m p 管理站从各结点a g c n t 处取得大量网络信息 3 对软件设计弱点的攻击 由于软件日益复杂，带来的一个直接后果就是安全隐患越来越多，而且当软件运 行效率、可用性和安全性发生冲突时，大部分软件开发者选择牺牲安全性。因此，软 件自身的安全性也不容忽视。 o ) 软件中使用弱的加密算法或怒采用强的加密算法但做了弱的实现。b m e e s c t m e i e 曾指出，g s m 加密算法，微软的p p l 旧f p o i | l t t o - p o i n tt u n n e l i n gp r o t o c 0 1 ) 实现都 存在该问题，一些软件中的随机数生成器会产生强度不足的随机数或忽褫每次的随机 初始亿问题。 ( 2 ) 不同形式的缓冲区溢出会造成不阐的底害，攻击者胃艟魇u n i x t 的s u m 蔽 壹彀褥r o o t 投隈，输久辍长静字符串作秀参数螽令或臻缝缝锭玎鬻、m a i l 、w e b 羧务器运行错误蘧退擞，p i n go fd e a t h 也可彤戏类戳效果。 3 ) 利爆t c p i p 携议处理穰序中错误实撼使主枧死机的攻爨，如对u n i x ， w i n d o w sn t 用t e a l d r o p 、t a n d 等工具攻击后，可使系统瘫痪。 ( r p c 也会引起安全问题，如n f s 中从服务器端调出文件时缺芝控制，n i s 服务 器容易错误地输出系统数据库。 ( 5 ) 攻击者利用移动代码j a v a 、a c t i v e x ，各类s 喇p t 程序中的漏洞，可以对服务器 端与客户端发起攻击。 ( 6 ) 其它攻奇还有通过褡辩页交换文件、未释放的窗瑟内存窥褫用户密弱帮梳密 华中科技大学硕士学位论文 信息，借助不完善的系统恢复、备份程序取得系统核心数据，依靠远程n t 登录的s m b 窃取用户密码等。 4 对系统配置弱点的攻击 这种攻击往往是和前一种攻击相结合的，通常软件的某种特性只在特定系统环境 下可能成为安全漏洞，而在其它场合表现正常。由于现代计算机系统的庞大复杂，很 多系统管理员只使用系统默认配置或对更改配置后的安全后果不甚清楚，使攻击者的 入侵更为容易。 ( 1 ) 使用一般不开放i 拘t e l n e t 、f i n g e r 等服务查询主机信息并试图登录，然后利用 口令破译技术，破译不安全的弱口令，最后成功假冒合法用户。还可利用配置不好的 信任模型，靠r l o g i n 、劬等程序远程登录并执行命令。 f 2 ) f t p 、w e b 月i 务器上文件、目录权限配置不当，混淆进程拥有者、执行者权限， 使得匿名用户透过i n t e r a c t 远程窃取、修改文件。 0 1 对系统异常事件，如用户登录、打开敏感文件等的审计工作