基于信息安全控制原理的安全網格技術的研究

1.引言

    針對互聯網安全問題日益嚴重，發展網格安全技術是解決當前網絡安全問題的一個熱點，但是與傳統的安全技術想比，網格安全所涉及的技術比較復雜，有密碼技術，網絡傳輸技術，訪問控制技術，因此目前所研究的網格安全技術還比較片面，還不能真正的使用網格安全技術來代替傳統網絡安全技術。本文從信息控制論角度出發，給出了基于信息控制思想的網格安全技術模型，對其中的信息安全認證和安全控制進行分析。

2.信息安全控制系統模型

    信息安全控制系統是一個反饋控制模型。為了到達安全目標，系統首先檢測出安全狀況，然后與安全目標進行比較后，對存在的偏差進行安全決策和安全操作，經過多次反饋控制就可以使整個系統達到安全目標。

    通過對信息安全控制模型的分析并結合信息安全控制系統的實際要求。它主要包括認證授權，監視系統，控制系統，授權操作這4個功能模塊組成，在功能模塊之間是通過信息流進行傳遞的。通過監視系統采集到的狀態與控制系統比較，來獲得針對的授權操作，而第一步的認證授權是進行安全控制的第一步。

3. 基于信息安全控制原理的安全網格模型

    整個系統的安全由其最薄弱的系統所決定的，因此在進行網格安全系統設計的時候，需要使得整個系統的不同模塊達到均衡安全，所有模塊的安全性能都不能低于所設定的整體安全目標。按照這一思想，需要在網格中建立一個全局安全控制策略庫，并包含某些具體安全規則，并且安全控制庫可以根據反饋進行自我動態更新。當用戶訪問資源的時候，系統首先按照安全控制策略庫進行訪問規則的判定，只有通過的才是可以進行訪問的；并在操作完成后把訪問信息反饋到安全控制策略庫，以完成策略庫的動態更新。

    根據上述安全控制思想，可以得到基于信息安全控制模型的網格安全控制模塊。在安全控制方面主要由安全認證模塊和安全控制模塊組成。安全認證模塊主要負責通信的相互認證、密鑰協商、服務開放。安全控制模塊主要負責用戶控制，動態反饋。整個系統設計的時候要遵循安全隔離性的原則，安全網格模塊與用戶必須分開，安全網格系統啟動時首先使安全網格模塊獲得執行權，保證安全網格模塊從系統啟動時開始就能對網格系統進行保護。本文研究的網格系統是使用網格工具包Globus Toolkit建立的。

    3.1安全網格認證模塊

    安全網格認證模塊主要由安全網格認證部件組成，它對非法訪問進行拒絕，這里采用防火墻來進行實現，具體使用Linux防火墻來實現，在防火墻實施策略時，進行如下保守的安全策略：除了允許的事件外，拒絕其他的任何事件。

    3.2安全網格控制模塊

    由于安全認證模塊對外部用戶非法訪問能夠防范，但是對內部網格用戶缺乏控制，所以需要使用網格控制模塊來進一步增強網格系統內部安全性。安全網格控制模塊主要由客戶端的安全監控部件、安全執行部件和服務器端的安全決策部件耽擱組成。

    網格用戶映射為客戶端即網格服務主機用戶后，便以本地用戶身份運行。當以本地用戶進行操作時，安全控制模塊對用戶進行嚴格控制，及時發現用戶的操作行為并交給安全控制服務器進行用戶行為安全性判決，安全控制服務器根據安全控制策略庫中相應安全策略進行判決，禁止網格用戶進行非法行為操作，并把判決結果反饋給客戶端中安全執行部件進行相應的執行：允許或禁止網格用戶的操作行為。安全網格控制模塊防止內部信息泄漏，防止越權操作，進行網絡監控，保證文件安全和進程安全，從而確保網格系統內部安全。

    安全網格控制模塊的執行過程描述：

    （1）安全監控部件對網格系統進行監控，發現用戶行為后提交給安全決策部件；

    （2）安全決策部件分析用戶行為，并根據安全控制策略庫中策略做出響應判決，確保網格用戶行為合法；

    （3）判決通過后，提交給安全執行部件執行用戶行為，否則禁止用戶行為；

    （4）用戶行為是否改變了安全控制策略庫中某些策略，如是則反饋用戶行為給安全控制策略庫，動態更新相應策略。

4.安全測試

    為了測試本文所提出的網格系統的安全性，這里采用X-Scan進行網格系統漏洞掃描。由于所以網格服務主機的配置相同，因此只需對一臺服務逐句進行掃描。同時對安全控制服務器進行安全檢測映出安全控制服務器的安全狀況。從檢測報告中可以看出安全網格系統內主機沒有發現安全漏洞，只檢測到一個未知開放服務運行于端口7778，而這是安全網格模塊所運行的服務，用以提供給網格用戶服務申請，由檢測報告得出，網格主機是安全的。漏洞掃描工具沒有檢測到安全控制服務器，而服務器是運行的，并能給網格系統提供安全控制。這是由于為了保證安全控制服務器的安全，在安全網格系統中服務器只對網格內部主機提供服務端口，而對于網格外部是不可見的，從而保證了安全控制服務器的安全性。

    根據網格服務主機和安全控制服務器的安全檢測結果可以分析出：安全網格系統中的主機均是安全的，整個安全網格系統也是安全的。

5.結束語

    本文所研究的網格安全問題是網格的核心問題之一，如何將安全方案無縫地融入網格系統中，是網格安全研究的一個重點內容。基于信息安全控制原理的安全網格技術為網格系統提供了一套行之有效的安全方案。但是由于網格環境中用戶行為的多樣性、復雜性以及網格技術的不斷發展，需要對安全控制策略及安全網格模塊進行進一步的完善，這些都是在今后的研究中所要面對并解決的問題。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：基于信息安全控制原理的安全網格技術的研究

本文網址：http://m.hanmeixuan.com/html/support/1112158287.html