湖南省检察院信息安全保障系统研究_硕士学位论文（pdf格式可编辑）.pdf

原创性声明 本人声明 所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果 尽我所知 除了论文中特J 争J D H 以标注和致谢 的地方外 论文中不包含其他人已经发表或撰写过的研究成果 也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料 与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明 作者签名 盈L 嗍雄年玉月 日 学位论文版权使用授权书 本人了解中南大学有关保留 使用学位论文的规定 即 学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文 允许学位论文被查阅和借阅 学校可以公布学位论文的全部或部分内 容 可以采用复印 缩印或其它手段保存学位论文 同时授权中国科 学技术信息研究所将本学位论文收录到 中国学位论文全文数据库 并通过网络向社会公众提供信息服务 作者虢肆聊躲避吼难年 哆日 摘要 我国检察专线网经过多年的发展 已经建成了覆盖全国的高速以 太网 并利用网络开展了一系列信息化应用 而检察专线网络中存在 的种种安全威胁却制约了检察信息系统的进一步发展 本文分析了湖南省检察院信息系统面临的安全问题及需求 在简 要介绍国内外信息安全发展的现状后 着重叙述了R S A 算法 访问 控制以及P K I 身份认证等方面的基本理论知识 并从通信网络安全保 障和统一身份认证两方面来设计湖南省检察院的安全保障系统 在通信网络平台安全方面 本文主要结合湖南省检察院实际情 况 从物理层和网络层两个方面进行了分析 在物理层本文主要考虑 如何防止信息泄露 在网络层则主要利用A C L 防火墙和入侵防御 技术实现数据的多层过滤 检察系统身份证书管理系统的建设则试图利用P K I 技术搭建一 个覆盖全国范围的统一身份认证系统 本文对此证书管理系统的C A R A 以及证书撤销列表进行了一一设计 通过使用R S A 算法制作了身 份证书 并设计了证书的申请 撤销 更新和恢复四个流程 此证书 管理系统将与检察系统各应用软件相结合来阻止在应用层的非法用 户访问 最后 本文探讨了此安全保障系统将来还需进一步完善的地方 关键词访问控制 入侵保护 身份认证 认证机构 注册机构 A B S T R A C T A f t e ry e a r so f d e v e l o p m e n t C h i n e s ep r o s e c u t o r i a lN e t w o r k h a sb u i l t an a t i o n w i d eh i g h s p e e dn e t w o r k a n dc a r r i e so u tas e r i e so f a p p l i c a t i o n H o w e v e r t h ep o t e n t i a ls e c u r i t yp r o b l e m si np r o s e c u t o r i a ln e t w o r kh a v e h a m p e r e dt h ed e v e l o p i n go ft h ei n f o r m a t i o ns y s t e m T h i sp a p e ra n a l y z e st h es e c u r i t yb a c k g r o u n da n d r e q u i r e m e n to ft h e p r o s e c u t o r i a li n f o r m a t i o ns y s t e m b r i e fi n t r o d u c e st h ed e v e l o p m e n to f i n f o r m a t i o ns e c u r i t y f o c u s e so nt h eR S A a l g o r i t h m a c c e s sc o n t r o la n d P K Ia u t h e n t i c a t i o na n do t h e rb a s i ct h e o r e t i c a lk n o w l e d g e s d e s i g n st h e s e c u r i t ys y s t e mi nH u n a n Sp r o c u r a t o r a t ef r o mt w oa s p e c t sa b o u tt h e c o m m u n i c a t i o n sn e t w o r k s e c u r i t ya n du n i f i e da u t h e n t i c a t i o n S e c u r i t yi nt h ec o m m u n i c a t i o na n dn e t w o r kp l a t f o r m t h i sp a p e r c o m b i n e sw i t ht h ea c t u a ls i t u a t i o ni nH u n a n SP r o c u r a t o r a t e a n a l y z e st h e p h y s i c a ll a y e ra n dt h en e t w o r kl a y e r I nt h ep h y s i c a ll a y e r t h ep a p e r c o n s i d e r sh o wt op r e v e n ti n f o r m a t i o nl e a k a g e I nt h en e t w o r kl a y e r t h e p a p e ra c h i e v e st h eM u l t i l a y e rf i l t e r i n go fd a t ab yu s i n gA C L f i r e w a l l a n di n t r u s i o np r e v e n t i o nt e c h n o l o g i e s T h e p r o s e c u t o r i a li d e n t i t yc e r t i f i c a t em a n a g e m e n ts y s t e mi st r y i n gt o b u i l dau n i f i e da u t h e n t i c a t i o ns y s t e mt h r o u g h o u tt h ec o u n t r yb yu s i n g P K It e c h n o l o g y T h e p a p e rd e s i g n s t h eC A R Aa n dC R Li nt h e a u t h e n t i c a t i o n s y s t e m p r o d u c e si d e n t i t y c e r t i f i c a t e b yu s i n gR S A a l g o r i t h m A n d t h e p a p e r a l s o d e s i g n s t h e p r o c e s s e s a b o u tt h e a p p l i c a t i o n r e v o c a t i o n r e n e w a la n dr e s u m eo ft h ec e r t i f i c a t e s I nt h e A p p l i c a t i o nl a y e r t h ea u t h e n t i c a t i o ns y s t e mw i l lc o m b i n e sw i t ht h e a p p l i c a t i o ns o f t w a r et op r e v e n tt h eu n a u t h o r i z e du s e r sa c c e s s F i n a l l y t h i sp a p e ra n a l y z e ss o m ef u r t h e rt o p i c st h a tt h es e c u r i t y I l s y s t e mm u s tb ei m p r o v e d K E YW O R D SA c c e s sC o n t r o l I n t r u s i o nP r e v e n t i o nS y s t e m P K I C A R A I l l 目录 摘要 I A B S l R A C T I I 第一章绪论 1 1 1 研究意义 1 1 2国内外研究现状与水平 2 1 2 1 国外研究现状与水平 2 1 2 2 国内研究现状与水平 5 1 2 3 湖南省检察系统专线网络现状分析 6 1 3 本文的结构概要和内容安排 8 第二章信息安全的基本理论 9 2 1对计算机信息系统安全的威胁 9 2 2 A C L 技术 1O 2 3 防火墙和入侵防御技术 11 2 3 1 防火墙技术 1 1 2 3 2 入侵防御技术 1 2 2 4 公钥基础设施P K I 概述 一13 2 4 1R S A 算法概述 1 3 2 4 2P 的构成 15 2 4 3L D A P 目录协议 18 2 5本章小结 21 第三章湖南省检察院通信网络平台安全建设 2 2 3 1 物理环境安全保障 2 2 3 2V L A N 的划分 2 3 3 3 网络数据安全 2 4 3 3 1 防火墙系统的实施和部署 2 5 3 3 2N I P S 系统实施和部署 2 7 3 4 安全管理制度建设 3 0 3 5 本章小结 3 2 第四章检察系统身份证书管理系统建设 3 3 4 1检察系统身份证书管理系统的设计思想及功能 3 3 I V 4 2 身份证书管理系统的构成 3 4 4 2 1 身份证书管理系统C A 的设计 3 5 4 2 2 身份证书管理系统R A 的设计 3 5 4 2 3 身份证书管理系统证书的设计 3 6 4 2 4 身份证书管理系统证书撤销列表 C R L 的设计 3 8 4 3 身份证书的管理 3 9 4 4 身份证书管理系统的部署 4 3 4 5 本章小结 4 5 第五章结束语 4 7 5 1 本文总结 4 7 5 2 后续展望 4 7 参考文献 4 9 致谢 5 3 攻读工程硕士研究生期间的主要研究成果及发表论文 5 4 V 硕士学位论文第一章绪论 第一章绪论弟一早三百y 匕 近年来 随着网络的普及 各大公司企业以及政府机构都建成了网络信息系 统 大量信息开始在网络上传输 同时安全事故也层出不穷 这使得网络安全保 障体系的建设显得极为紧迫 1 9 9 9 年至2 0 0 8 年 国家出台了一系列的规章与标 准 逐步开始重视信息安全保障体系的建设 2 0 0 7 年6 月四部委联合出台了 信 息安全等级保护管理办法 公通字 2 0 0 7 1 4 3 号 1 明确了信息安全等级保护制 度的基本内容 流程及工作要求 明确了信息系统运营使用单位和主管部门 监 管部门在信息安全等级保护工作中的职责 任务 2 0 0 7 年7 月 四部委又联合 下发了 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2 0 0 7 1 8 6 1 号 就定级范围 定级工作主要内容 定级工作要求等事项进行了通 知 随着全国各级检察机关基础网络平台建设的基本完成 信息化为检察机关提 升司法水平 增强法律监督能力提供了很大的帮助 与此同时 信息安全也日益 成为各级检察机关非常关注的问题 建设一个可靠的信息安全保障体系成为检察 系统信息安全等级保护的主要内容 1 1 研究意义 网络攻击的方式多种多样 D D O S D i s t r i b u t e dD e n i a lo fS e r v i c e 分布式拒绝 服务 攻击 灿R P A d d r e s sR e s o l u t i o nP r o t o c o l 地址解析协议 欺骗 蠕虫病毒等 攻击方式都是目前比较流行的几种攻击方式 还有少部分人利用网络后门及系统 安全漏洞窃取内部信息 随着全国各级检察机关基础网络平台建设的基本完成 建设一个适合检察系统的信息安全保障体系非常必要 为了达到国家相关法规的 要求 检察系统安全保障体系必须从信息加密 身份认证 访问控制等多方面入 手 对整个网络安全状况进行全面监控管理 各类安全设备应该要能做到实时联 动 以此来提供最大的安全保障 在路由与交换技术方面 V L A N V i r t u a lL o c a l A r e aN e t w o r k 虚拟局域网 和A C L A c c e s sC o n t r o lL i s t 访问控制列表 技术能很 好的限制数据包的流动 对病毒 木马等恶意程序能起到很好的控制作用 防火 墙技术可以根据I P 地址来筛选掉包含可疑地址的数据包 入侵检测和防御技术 可以根据数据包的I P 地址 端口等特征来判断数据包是否具有危险性 入侵防 御系统与防火墙的联动往往能起到很好的对木马病毒等恶意数据包的阻断作用 研究A C L 入侵防御和防火墙技术 可以实现网络的动态安全防护 具有重要 硕士学位论文 第一章绪论 的研究意义和实用价值 在身份认证方面 P K I P u b l i cK e yI n f r a s t r u c t u r e 公钥 密码设施 提出了一套完善的网络身份认证体系 其内容包括设立 C A C e r t i f i c a t i o nA u t h o r i t y 认证机构 服务器 R A R e g i s t e rA u t h o r i t y 注册机构 服务器等设备以及使用L D A P L i g h t w e i g h tD i r e c t o r yA c c e s sP r o t o c o l 轻量目录访 问协议 等协议进行身份标识和查询 研究P K I 体系对保障网络信息在传递过程 中的完整性 机密性 不可否认性有重要的实际意义 1 2 国内外研究现状与水平 1 2 1 国外研究现状与水平 早期的信息安全主要是侧重保护信息本身安全 特别是信息在传输过程中的 安全 从模型上看 信息系统安全的经典概念要求系统无安全漏洞 这种系统安 全的概念在于不断地追求消灭漏洞 从概念上说 属于静态安全范畴和基于空间 的安全范畴 这种模型的最大问题在于把系统漏洞看成是静态出现的 完全没有 考虑系统在运行中产生的安全漏洞 目前 在信息安全评估方面 国际上最具有 权威和历史上起过作用的评估标准有5 个 其一是美国国防部公布的可信计算机 系统评估准 贝l J T r u s t e dC o m p u t e rS y s t e mE v a l u a t i o nC r i t e r i a T C S E C 1 2 1 其二是欧 洲一些国家制订的信息技术安全评估准则 I n f o r m a t i o nT e c h n o l o g yS e c u r i t y E v a l u a t i o nC r i t e r i a I T S E C 其三是国际信息安全专家在1 9 9 9 年提出了可以量 化的 并且由数学家证明的基于时间的新的安全方案模型P D R R P r o t e c t i o n D e t e c t i o nR e a c t i o nR e s t o r e 防护 检测 反应 恢复 3 1 另外还有国际标准化组织 提出的I S O I E C l 5 4 0 8 t 4 和I S O I E C l 7 7 9 9 x 5 1 信息技术安全评估准则 而在信息安全 防护技术发展方面 目前国际上主要采用的技术有访问控制 入侵保护 身份认 证等几方面 访问控制技术起源于2 0 世纪7 0 年代 当时是为了满足管理大型主机系统上共 享数据授权访问的需要 最早由L a m p s o n f 6 提出了访问控制的形式化和机制描述 引入了主体 客体和访问矩阵的概念 它们是访问控制的基本概念 随着计算机 技术和应用的发展 特别是网络应用的发展 这一技术的思想和方法迅速应用于 信息系统的各个领域 在3 0 多年的发展过程中 先后出现了多种重要的访问控制 技术 目前国际上使用较多的主要有三种 即自主访问控制 强制访问控制和 R B A C r o l e b a s e da c c e s sc o n t r o l 基于角色的访问控制 它们的基本目标都是防 止非法用户进入系统和合法用户对系统资源的非法使用 自主访问控制是目前国 内外使用得最多的访问控制机制 其核心思想是主体的拥有者主动授权给其他人 访问来该主体 其实现方法一般是建立基于主体或客体的访问控制方法 A C L 2 硕士学位论文 第一章绪论 就是实现自主访问控制最好的方法 访问控制系统可以通过检测A C L 来决定访问 是否被授权或拒绝 7 1 强制访问控制的核心思想是建立拥有包含等级列表的许 可 列表定义了可以访问哪个级别的客体 其访问策略是由授权中心决定的 其 最早被应用在军方系统中 目前也主要应用在军事和安全部门中 而相比之下 基于角色的访问控制则提出的较晚 1 9 9 2 年最早的R B A C 模型被提出i 舯 之后则 一直处于研究阶段 2 0 0 1 年8 月N I S T 发表了R B A C 建议标准1 9 J 此建议标准综合 了该领域众多研究者的研究成果 描述了R B A C 系统最基本的特征 旨在提供一 个权威的 可用的R B A C 参考规范 为R B A C 的进一步研究指明方向 目前 针 对R B A C 的应用正在逐步开展 1 9 8 8 年 M o r r i s 蠕虫造成的网络瘫痪事件导致了业界对漏洞攻击入侵的真 正认识和深入关注 当时的网络技术人员提出了简单模型的I D S I n t r u s i o n D e t e c t i o nS y s t e m 入侵侦听系统 1 0 1 9 9 5 年 I D S 逐步从研究性 尝试性的产 品逐渐发展到了市场化的产品 逐渐得到了广泛的应用 但随着网络技术和计算 机技术飞速发展 网络技术人员逐渐发现I D S 在应对不断翻番的网络流量和不 断出现的网络复杂应用时已力不从心 如出现了海量攻击事件 检测性能不够 检测精度不够 分析攻击事件困难 无法有效阻断攻击等 因此 业界也在不停 地探讨利用新的软 硬件技术来实现一个更高级的入侵检测防御的I P S I n t r u s i o n p r e v e n t i o ns y s t e m 模型 不同于I D S 该模型与生俱来的设计思想就是精确检测 实时阻断 1 l J 2 l 随后国际上各厂商纷纷推出I P S 产品 并在各行各业形成了规模 应用 2 0 0 3 年 国际著名咨询机构G a r t n e r 副总裁在大量的数据分析后 发表了 I D Si sd e a d 判断I l 引 并逐渐在美国 日本等互联网发达的国家得到验证 国 际上的厂商逐渐开始专注于研发销售I P S 同时通过将各种先进的软 硬件技术 引入到I P S 的开发中 如多核技术 A S I C A p p l i c a t i o nS p e c i f i cI n t e r g r a t e dC i r c u i t s 专用集成电路 技术等 使得I P S 的检测性能与日俱增 身份认证是指计算机及网络系统确认操作者身份的过程 其主要功能为保证 操作者的数字身份与其真实身份是一致的 早期的身份认证技术一般是采用口令 认证的方式 当被用户要求访问应用系统时 应用系统要求用户提交该口令 应 用系统收到口令后 将其与用户存储在自己数据库中的口令进行比较 若一致则 通过认证 反之则拒绝 这种认证方法的优点在于简单实用 但基于口令的认证 方法最大的问题在于口令容易窃取和丢失 而目前 国际上较常用的身份认证技 术则包括下面四种技术 基于智能卡的认证1 1 4 l 智能卡可以被看成是一个防篡改的小型计算机 它 包含一个小型C P U 和一个小容量的非易失性存储单元 智能卡内存储了某些用 户信息 如用户名 口令以及用户在认证服务器上存储的随机数 当用户用智能 3 硕士学位论文 第一章绪论 卡进行身份验证时 需要输入用户名和口令 首先由智能卡来辨别用户身份的合 法性 然后智能卡再将存储在卡中的随机数发给认证服务器做进一步验证 这种 类型的身份验证既验证用户持有的智能卡 又验证用户知晓的信息 如用户名和 密码 因此也被称作 二元身份验证 基于挑战 应答的认证 基于挑战 应答 C h a l l e n g e R e s p o n s e 的认证方式就 是每次认证过程服务端给客户端发送一个不同的 挑战 字符串 客户端基于自 己和服务端共享的知识 通常情况下是用户的口令 对 挑战 做出相应的 应答 1 1 5 1 认证过程为 S t e p l 客户向认证服务器发出请求 要求进行身份认证 S t e p 2 认证服务器从用户数据库中查询用户是否是合法的用户 若不是 则 不做进一步处理 S t e p 3 认证服务器内部产生一个随机数 作为 提问 发送给客户 S t e p 4 客户将用户名字和随机数合并 使用单向H a s h 函数生成一个摘要信 息作为应答 S t e p 5 认证服务器将应答信息与自己的计算结果比较 若二者相同 则通过 一次认证 否则认证失败 S t e p 6 认证服务器通知客户认证成功或失败 著名的R a d i u s 就是采用这种认 证机制 基于数字证书的认证 数字证书是一种权威性的电子文档 由权威公正的 第三方机构签发 采用公钥密码体制进行加解密 目前 许多网络安全应用都可 以使用数字证书 如I P S e c I n t e m e tP r o t o c o lS e c u r i t y l S S L S e c u r eS o c k e t sL a y e r S E T S e c u r eE l e c t r o n i cT r a n s a c t i o n 等1 1 6 1 7 1 在国内 基于数字证书的身份认证是 目前在各种软件系统中使用频率最高的认证方式 一般情况下 基于X 5 0 9 的数 字证书被采用得最多 而P K I 就是基于数字证书的身份认证技术的一种广泛应 用 用户在使用数字证书时 拥有一对属于自己的公钥和私钥 同时用户在认证 服务器上事先存储了一个散列值 数字证书的身份验过程如下 1 8 1 9 S t e p l 用户向服务器a 发出请求 要求进行身份认证 并提交数字证书 S t e p 2 服务器a 收到用户的数字证书后 用用户的公钥进行解密 得到散列 值A S t e p 3 服务器a 向认证服务器发送身份验证申请 S t e p 4 认证服务器将用户事先存储的散列值B 用自己的私钥加密并将其发 送给服务器a S t e p 5 服务器a 使用认证服务器的公钥解密 得到散列值B S t e p 6 服务器对比散列值A 和B 若二者相等 则通过验证 4 硕士学位论文 第一章绪论 由于这种认证技术中采用了公钥密码体制 认证服务器和用户的私钥都不会 在网络上传输 攻击者即使截获了用户的证书 但由于无法获得用户的私钥 也 就无法解读服务器传给用户的信息 基于K e r b e r o s 的认证1 2 0 l K e r b e r o s 是由美国麻省理工学院提出的基于可信 赖的第三方的高效认证机制 它与数字证书不同的是 使用的是对称密钥体制进 行信息的加密 并且需要一个可信赖的第三方 K e r b e r o s 的设计主要是针对客户 服务器模型 并且它提供了一系列交互的认证方式使用户和服务器都能验证对 方的身份 当用户试图连接服务器时 服务器需要对用户进行初始认证 通过认 证的用户可以在整个登录期间得到相应的服务 在此期间用户和服务器的通信都 使用由可信赖的第三方提供的一个对称密钥进行加密 1 2 2 国内研究现状与水平 2 0 0 7 年7 月2 0 日 全国重要信息系统安全等级保护定级工作电视电话会议 召开之后 电信 广电 民航 铁路 税务 海关 银行 电力 证券 保险等 国家重要信息系统的运营使用单位及其主管部门认真组织积极落实等级保护工 作 目前基本完成了全国重要信息系统的定级工作任务 随着等级保护工作的不 断深入和开展 围绕着国家颁布的文件和标准 各重点行业也加强了对等级保护 工作的研究力度 颁布了一些行业文件和标准 如 原信息产业部2 0 0 8 年1 月 2 9 日 下发了 电信网和互联网安全防护管理指南 等3 2 项通信行业标准 其 中等级保护作为其中重要一部分内容 2 国家电网公司发布了 国家电网公司信 息系统安全保护等级定级指南 试行 针对国内各部门各企业大力加强网络安 全体系建设的情况 国家也已经制定了相应的等级保护标准 即G B l 7 8 5 9 1 9 9 9 计算机信息系统安全保护等级划分准则 2 2 捌 其规定了计算机信息系统安全 保护能力的五个等级 其保护等级从弱到强分别为用户自主保护级 系统审计保 护级 安全标记保护级 机构化保护级和访问验证保护船 M 1 在制定各项标准的同时 国内也有不少学者在研究各项安全防护技术 但大 多数集中在将国外的各项技术应用于国内的实践环境当中 在访问控制 防火墙 入侵保护技术方面 学者朱革娟 2 5 J 曾对网络安全形势 也新型防火墙技术进行过阐述 其指明的新型防火墙实际上就是混合级防火墙 学者鲜继清 2 6 l 曾对防火墙与入侵检测技术的联动方面做出过阐述 但未设涉及侵 保护技术 而学者王辉1 2 7 l 就对主动式入侵保护技术进行过分析 但其研究也主要 是依据了国外的已有的技术 学者孙卫目2 8 1 曾经在大庆市公安信息体系设计中采 用了访问控制 入侵检测等措施 在身份认证技术方面 学者郭东军1 2 9 1 就曾在已 有的理论基础上对身份认证体系中的认证机构进行过设计 但其设计仅仅围绕着 集中统一认证进行的 学者索红军 3 0 l 在其论文中也曾分析过基于身份认证技术的 5 硕士学位论文第一章绪论 企业安全信任体系 学者吴健 3 1 1 在对企业安全风险的防范措施方面曾阐述过访问 控制技术的应用 学者严伟1 3 2 I 将访问控制技术应用到了成都市保密专用网的设计 中 学者胡坤i 3 3 1 将访问控制和身份认证技术应用到了公安系统网路安全设计中 学者王征强 3 4 l 曾经在校园网中试图搭建身份认证平台 1 2 3 湖南省检察系统专线网络现状分析 湖南省检察系统从2 0 0 3 年来开始加快信息化建设进程 6 年来 已经建成 了覆盖全省1 4 个市级院 1 2 7 个县级院的信息通信网络 从全国的角度来看 整个检察专线网络是一个相对独立的网络 与国际互联网等外网均实现了严格的 隔离 整个网络分为三层 最高检至湖南省院的网络为一级网 各省院之间的互 联需通过最高检中转 省院与各市级院之间相连的网络为二级网 各市院之间的 互联需通过省院中转 市级院至县级院的网络为三级网 各县院之间的互联需通 过市院中转 整个检察系统的网络拓扑结构如图1 1 所示 图l 一1全国检察系统拓扑结构图 就湖南省院的网络连接情况来看 湖南省院通过两台华为的路由器 H U A W E IS R 6 6 0 8 与最高检一级专线网相连接 两台路由器分别连接电信的线 路和联通的线路 两条线路互为热备份 湖南省院通过一台路由器 C I S C 0 7 2 0 6 与各市级院相连 湖南省院内局域网的网络地址分为四大类 一是网管专用 用 于配置每个二级网节点中心交换机的网管地址 二是语音类网络地址 用于P 6 硕士学位论文第一章绪论 语音应用 在路由器上配置Q o S Q u a l i t yo f S e r v i c e 保证其应用 三是视频类网络 地址 由最高检统一规划 用于全国视频会议应用 不通过核心交换机 通过一 个二层交换直接联入路由器 同样在路由器上配置Q o S 保证其应用 四是服务 器和终端电脑的网络地址 用于各类专线网上的数据应用 湖南省专线网内采用 O S P F 路由协议与静态路由协议相结合的方式连接 湖南省院内网的网络拓扑如 图1 2 所示 图1 2 湖南省检察院网络拓扑图 目前 检察技术处作为省院信息化工作的管理部门 保存有绝大部分各业务 部门的数据 而部分业务部门也存有自己的业务数据 目前省院有D N S D o m a i n N a m eS y s t e m 服务器 邮件服务器 办公办案服务器 视频服务器 法律法规服 务器等多台服务器 为全省提供法律法规查询 D N S 查询 视频会议管理等服 务 为省院各内设部门提供邮件传输 网上办公 案件管理等服务 这些信息系 统中最主要的是办公办案系统 而由于职责的不同 各部门在办公系统中的工作 流程与应用数据也有很大的区别 另外 湖南省的检察专线网还为全省1 万多名干警提供信息化服务 在专线 网中运行着2 0 余个检察应用系统 业务范围涵盖了办公 办案 警务督查 监 所管理 同步录音录像等多个领域 同时众多的应用系统也正在大力推广使用 在这些应用系统中存在较多的敏感信息 而这些信息通常是控制在一定范围内的 人员才可查看的 如办案干警 主管领导等 因此对系统的保密性要求很高 7 硕士学位论文 第一章绪论 一旦对数据库中的数据进行非法访问与操作 会造成很大的影响 应用系统中的 数据信息将决定业务工作能否顺利开展 例如案卡信息等数据一旦被篡改会对办 案干警的工作造成重大影响 甚至可能出现错案 因此对应用系统的数据完整性 要求也很高 1 3 本文的结构概要和内容安排 本章简单介绍了我国检察专线网的结构与湖南省检察院目前的网络运行状 况 并阐述了研究湖南省信息安全保障系统的重要性 分析了国内外目前对信息 安全的研究状况 并提出了本文的组织结构 本文共五章 其组织结构如下 第一章主要是简述我省检察专线网信息化发展状况 重点介绍我省检察专线 网络应用现状 分析了存在的问题 阐述了建设我省检察专线网络安全保障体系 的背景和意义 第二章主要是分析目前网络上主要存在的一些攻击手段和技术 并阐述访问 控制 入侵保护 R S A 算法 P K I 等信息安全技术理论基础 第三章主要是根据湖南省检察院的实际情况 针对物理环境安全以及网络数 据安全两方面提出安全保障方案 并提出一些安全管理的建议 第四章则根据检察专线网信息系统的实际应用要求 提出一套全国统一的身 份认证系统的设计方案 设计了所使用的身份证书 并详细介绍身份认证系统应 实现的功能 第五章是对本文所做的设计 研究工作进行总结 根据在实际工作中的体会 总结所做工作的不足 指出今后研究工作中要继续深入的环节 8 硕士学位论文 第二章信息安全的基本理论 第二章信息安全的基本理论 信息安全是指信息网络的硬件 软件及其系统中的数据受到保护 不受偶然 的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠地运行 信息服务不 中断 信息安全是涉及了计算机科学 网络技术 通信技术 密码技术 信息安 全技术 应用数学 信息论等多种学科 其基本目标是实现信息的机密性 完整 性 可用性和资源的合法使用 2 1 对计算机信息系统安全的威胁 计算机网络面临的安全威胁大体可分为两种 一是对网络本身的威胁 二是 对网络中信息的威胁 对网络本身的威胁包括对网络设备和网络软件系统平台的 威胁 对网络中信息的威胁除了包括对网络中数据的威胁外 还包括对处理这些 数据的信息系统应用软件的威胁 影响计算机网络安全的因素很多 对网络安全 的威胁主要来自内部的攻击和来自外部的攻击两方面 来自内部的攻击一般是内部操作不当和内部管理不严引起的 这是目前一般 信息面临的最主要的威胁 据报道 有7 0 的安全事故都是由内部人员的操作引 起的 如果信息系统内部工作人员操作不当 特别是系统管理和安全管理员出现 管理配置的操作失误 则可能造成重大安全事故 内部管理不严的主要表现为信 息系统内部缺乏健全的管理制度或制度执行不力 给内部工作人员违规和犯罪留 下缝隙 其中以系统管理员和安全管理员的恶意违规和犯罪造成的危害最大 其 他的情形 如内部人员私自安装拨号上网设备 绕过系统安全管理控制点 内部 人员利用隧道技术与外部人员实施内外勾结的犯罪等等 也是防火墙和监控系统 难以防范的 此外 内部工作人员的恶意违规则可能造成网络和站点拥塞 无序 运行甚至网络瘫痪 如采用禁止服务攻击形式等口习 来自外部的攻击主要有三种 即身份欺骗 破坏信息的可用性和完整性 这 三种攻击都来自于外部人员的有意识的恶意行为 身份欺骗1 3 6 1 指某个未授权的实体假装成另一个不同的实体 使其相信 它是一个合法的用户 比如攻击者截收有效信息 以后在攻击时重放这些消息 达到假冒合法用户的目的 进而非法获取系统访问权限 冒充行为通常与某些别 的主动攻击形式一起使用 特别是消息的重放与篡改 攻击者可以假冒管理者发 布命令 或者假冒主机欺骗合法用户 然后套取使用权限 口令 密钥等信息 9 硕士学位论文第二章信息安全的基本理论 越权使用网络设备和资源甚至接管合法用户欺骗系统 破坏系统的可用性 破坏系统的可用性指攻击者通过使合法用户不能正常 访问网络资源 使有严格时间要求的服务不能及时得到响应等方法破坏信息系统 的可用性 直至使整个系统瘫痪 恶意的发送大量的无用连接请求给某台机器以 及大量发送连接测试数据包都是比较常见的破坏系统可用性的攻击方式 如 D D O S 攻击等f 一 破坏信息的完整性 破坏信息的完整性是影响信息安全的常用手段 其一 般的做法就是改变信息流的次序 时序 流向 内容和形式 删除消息全部或其 一部分 或是在消息中插入一些无意义或有害消息等 通过破坏信息的完整性即 可达到植入木马 探测口令等攻击行为 除了以上介绍的威胁以外 还有一种行为对网络安全的威胁也比较大 即抵 赖行为 抵赖可能来自于在网络内部也可能来自于在网络外部 其并非来自于攻 击者 而是来自于网络的通信双方 在某种时候 通信双方中的某一方可能出于 某种目的而否认自己曾经做过的动作 比如发信者事后否认曾经发送过某些消息 或收信者事后否认曾经接收过某些消息等 这种行为对网络信任体系的建立威胁 尤其大 抵赖行为也是身份认证技术需要解决的问题 2 2A C L 技术 A C L A c c e s sC o n t r o lL i s t 访问控制列表 技术在路由器中被广泛采用 它是 一种基于包过滤的流控制技术 访问控制列表通过把源地址 目的地址及端口号 作为数据包检查的基本元素 并可以规定符合条件的数据包是否允许通过 建立 访问控制列表后 可以限制网络流量 提高网络性能 对通信流量起到控制的手 段 这也是对网络访问的基本安全手段 A C L 通常应用在企业的出口控制上 通过实施A C L 可以有效的部署企业网络出网策略 A C L 技术可以有效的在网络 层上控制网络用户对网络资源的访问 它可以具体到两台网络设备间的网络应 用 也可以按照网段进行大范围的访问控制管理 为网络应用提供了一个有效的 安全手段 下面是对几种访问控制列表的简要总结 3 7 1 标准I P 访问控制列表 一个标准I P 访问控制列表匹配I P 包中的源地址 或源地址中的一部分 可对匹配的包采取拒绝或允许两个操作 编号范围是从l 到9 9 的访问控制列表是标准I P 访问控制列表 扩展I P 访问控制列表 扩展I P 访问控制列表比标准I P 访问控制列表具 有更多的匹配项 包括协议类型 源地址 目的地址 源端口 目的端口 建立 连接的I P 优先级等 编号范围是从1 0 0 到1 9 9 的访问控制列表是扩展I P 访问控 l O 硕士学位论文第二章信息安全的基本理论 制列表 命名的I P 访问控制列表 所谓命名的I P 访问控制列表是以列表名代替列 表编号来定义I P 访问控制列表 同样包括标准和扩展两种列表 定义过滤的语 句与编号方式相似 标准I P X 访问控制列表 标准I P X 访问控制列表的编号范围是8 0 0 8 9 9 它检查I P X 源网络号和目的网络号 同样可以检查源地址和目的地址的节点号 部分 扩展I P X 访问控制列表 扩展I P X 访问控制列表在标准I P X 访问控制列 表的基础上 增加了对I P X 报头中以下几个字段的检查 它们是协议类型 源 S o c k e t 目标S o c k e t 扩展I P X 访问控制列表的编号范围是9 0 0 9 9 9 命名的I P X 访问控制列表 与命名的I P 访问控制列表一样 命名的I P X 访问控制列表是使用列表名取代列表编号 从而方便定义和引用列表 同样有标 准和扩展之分 2 3 防火墙和入侵防御技术 2 3 1 防火墙技术 防火墙用于对网络之间交换的信息流进行过滤 执行每个网络的访问控制策 略 防火墙常常保护内部的 可信 网络 使之免遭 不可信 的外来者的攻击 它是信息的唯一出入口 能根据安全政策控制 允许 拒绝 监测 出入网络的 信息流 且本身具有较强的抗攻击能力 它是提供信息安全服务 实现网络和信 息安全的基础设施 防火墙实现网与网之间的访问隔离 以保护整个网络抵御来 自其它网络的入侵者 防火墙按实现的技术手段总的来说可以分为以下几种类 型 包过滤防火墙 通过检查数据流中每一个数据包的源地址 目的地址 所 用端口号 协议状态等因素 或它们的组合来确定是否允许该数据包通过 其特 点是 速度快 费用低 并且对用户透明 但是对网络的保护很有限 因为它只 检查地址和端口 对网络更高协议层的信息无理解能力 应用级防火墙 工作在应用层 又称为应用级网关 它此时也起到一个网 关的作用 应用级防火墙检查进出的数据包 通过自身复制传递数据 防止在受 信主机与非受信主机间直接建立联系 其特点是 访问控制能力强 但对每种应 用协议都需提供相应的代理程序 同时网络性能比较低 混合型防火墙 既具有包过滤防火墙以及应用级防火墙的特点 同时增加 了一些其它功能 如具有状态检测技术 应用代理 N A T V P N 等功能 硕士学位论文 第二章信息安全的基本理论 无论何种类型防火墙 从总体上看 都应具有以下基本功能 过滤进 出网 络的数据 管理进 出网络的访问行为 封堵某些禁止的业务和端口 网络地址 转换 记录通过防火墙的信息内容和活动 对网络攻击的检测和告警 2 3 2 入侵防御技术 入侵防御系统 I n t r u s i o nP r e v e n t i o nS y s t e m s I P S 是根据已有的 最新的攻击 手段的信息代码对进出网段的所有操作行为进行实时监控 记录 并按制定的策 略实行及时报警 并提供主动防护 其设计宗旨是预先对入侵活动和攻击性网络 流量进行拦截 避免其造成损失 而不是简单地在恶意流量传送时或传送后才发 出警报 I P S 是通过直接嵌入到网络流量中实现这一功能的 即通过一个网络端 口接收来自外部系统的流量 经过检查确认其中不包含异常活动或可疑内容后 再通过另外一个端口将它传送到内部系统中 这样一来 有问题的数据包 以及 所有来自同一数据流的后续数据包 都能在I P S 设备中被清除掉 一般来说 I P S 都具有几个特点 其一 由于I P S 是嵌入到网络中的 而且 可以对数据包进行很深层次的过滤 则对其的性能要求都比较高 一旦其性能下 降则很有可能成为网络的瓶颈 其二 I P S 能够提供针对各类攻击的实时检测和 防御功能 同时具备丰富的访问控制能力 在任何未授权活动开始前发现攻击 避免或减缓攻击可能带来的损失 其功能相当于防火墙与I D S 的一个集合体 但这就同时要求I P S 要能准确识别各种网络流量 降低漏报和误报率 避免影响 正常的业务通讯 目前 I P S 通常采用特征匹配 协议分析和异常检测几种方法 对数据包进行分析 特征检测是利用已知系统和应用软件的弱点攻击模式来检测 入侵 这一检测是假设入侵者的活动可以用一种模式来表示 系统的目标是检测 主体活动是否符合这些模式 所有已知的入侵方法都可以用特征检测的方法发 现 其关键是如何表达入侵的模式 把真正的入侵与正常行为区分开来 协议分 析则提供了一种高级的网络入侵解决方案 它可以在不同的上层应用协议上对每 一个用户命令作出详细分析 如T e l n e t F T P H T T P S M T P S N M P D N S 等 等 另外 由于协议分析对各个层次的协议都做到了非常了解 它可以带来其他 两种方法都没有的好处 当即系统解析某个数据包时 它可以用已获得的知识来 消除在数据包结构中不可能出现的攻击 如协议分析如果确定这个数据包是T C P 包 那它就不会再搜索其他第四层协议如U D P 上形成的攻击 如果协议分析确 定这个数据包是S N M P 包 那它就不会再去寻找T e l n e t 或H T T P 攻击 这样做 的结果就是使设备的性能得到明显改善 异常检测的假设是入侵者活动异常于正 常主体的活动 根据这一理念建立主体正常活动的 活动简档 将当前主体的 活动状况与 活动简档 相比较 当违反其统计规律时 认为该活动可能是入侵 行为 大体上 目前的I P S 可以分为两类 1 2 硕士学位论文第二章信息安全的基本理论 H I P S H o s t b a s e dI n t r u s i o nP r e v e n t i o nS y s t e m 基于主机的入侵防护 其主 要功能一般是保护网络中的服务器或者个别主机免受各种威胁的破坏 基于主机 的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器 主机发起的恶意入侵 H I P S 可以阻断缓冲区溢出 改变登录口令 改写动态链 接库以及其他试图从操作系统夺取控制权的入侵行为 整体提升主机的安全水 平 N I P S N e t b a s e dI n t r u s i o nP r e v e n t i o nS y s t e m 基于网络的入侵防护 N I P S 一般架设在网络的进出口 其主要功能为过滤流经设备的所有数据 根据定制的 策略决定数据包的流向 在技术上 N I P S 吸取了目前I D S 所有的成熟技术 包 括特征匹配 协议分析和异常检测 与H I P S 相比 N I P S 工作在网络上 直接对 数据包进行检测和阻断 与具体的主机或服务器无关 2 4 公钥基础设施P K I 概述 P K