摘 要: 随着企业信息化的不断深入,信息系统功能的增强和信息系统的安全往往成反比。本文所要探讨的就是企业信息安全系统的开发与实现,希望能够给广大同行带来微薄帮助。
关键词:企业信息化;信息安全;信息安全系统开发 为了保障企业内部信息的安全,本系统从数据的流向入手,在广域网和企业内网之间添加一台服务器,用于数据的拦截。 在企业内网与广域网之间设计一层数据拦截层,可以拦截进出企业内部网的任何数据包,分析数据包,过滤可疑数据包,保障网络的安全。企业内部其中一台机器作为主控端,其他的机器作为受控端,这样主控端就可以随时了解每台机器的使用状况,例如:数据流向,进程,端口等等;主控端制定安全策略,应用到每一台受控端机器上,加强受控端机器的系统安全。 (1)系统功能模块设计 信息安全系统主要分成五个模块:数据包拦截,数据流向控制,端口扫描,进程监控和选择性授权。 (2)基于WinPcap的数据包拦截 WinPcap(windows packet capture)是windows平台下一个免费、公共的网络访问接口,是针对Win32平台上的抓包和网络分析的一个架构。它包括一个核心态的包过滤器,一个底层的动态链接库()和一个高层的不依赖于系统的运行库(),为win32应用程序提供访问底层网络的能力。例如:捕获原始数据报,在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉,收集网络通信过程中的统计信息等。 要实现数据包的拦截,首先获得已连接的网络适配器列表,libpcap和Win Pcap都提供pcap_findalldevs_ex( )函数来实现这个功能,这个函数返回一个pcap_if结构的链表,每个这样的结构都包含一个适配器的详细信息。其次打开适配器并捕获数据包,打开设备的函数是pcap_open ( ),当适配器被打开,捕获工作就可以用pcap_dispatch( )或pcap_loop( )进行。这两个函数都有一个回调参数,packet_handler指向一个可接收数据包的函数。这个函数在收到每个新的数据包并收到一个通用状态时被libpcap所调,数据包的首部一般有一些诸如时间戳,数据包长度的信息,还有包含协议首部的实际数据。接收到数据包后可用函数pcap_compile( )和pcap_setfilter( )来过滤数据包,一旦发现可疑的数据包或者不符合规则的数据包就过滤掉。 (3)数据流向控制 企业数据流动监控关系到内部数据的安全,数据可能的流向除了上述的通过网络流到外部网以外,还可能通过USB接口将数据拷贝到移动设备,利用光驱刻录数据,通过软驱拷贝数据及局域网共享等。企业的某些机密资料对企业的生存发展有着至关重要的作用,如何有效地限制数据的流动成为保障企业数据安全的重要手段。本系统通过控制注册表来实现,下面是注册表的具体位置: 1)USB接口 在注册表的HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesUSBSTOR,把Start值设为4,则可将U盘禁用,若要取消禁用,只需将4改回3即可。 2)光驱 在注册表的HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesCDROM,Start值设为4,则可将光驱禁用,若要取消禁用,只需将4改回3即可。 3)软驱 在注册表的HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesFLPYDISK,把Start值设为4,则可将软驱禁用,若要取消禁用,只需将4改回3即可。 4)共享 在注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParametersAutoShareWks设为dword类型,值为00000000,则可将共享禁用,若要取消禁用,只需将值改为00000001即可。 (4)端口扫描 常用的端口扫描技术有TCP connect( )扫描、TCP SYN扫描、TCP FIN扫描等多种,操作系统提供的connect( )系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect( )就能成功,否则,这个端口是不能用的,即没有提供服务。该技术的优点:一是用户不需要任何权限,系统中的任何用户都有权利使用这个调用;另一个是速度,如果对每个目标端口以线性的方式,使用单独的connect( )调用,将花费相当长的时间,通过同时打开多个套接字,从而加速扫描。在开发过程中最好使用多线程,效率会更好。 (5)进程监控 为了防止内部网的客户端安装或运行某些不符合企业规章制度的软件,例如企业要求上班期间不能聊QQ,就需要禁止QQ软件的安装和运行。本系统采取监控系统进程的方法,用Open Process ( )函数将进程打开后,利用Enu m Process Modules()函数枚举该进程的模块,利用Get Module File Name Ex( )函数就能取得该进程的路径,一旦发现可疑进程直接发出警告并杀死该进程。 (6)选择性授权 企业内部各员工有不同的分工,各司其职。对不同的员工使用企业的不同资源需要有明确的界定,需要制定一整套的策略。根据分工的不同首先定义多个不同的角色,不同的角色对企业的资源分配不同的权限,企业内部职工根据自己的分工分到不同的角色,这样企业的每个员工都有相应的角色和权限。 总之,随着网络技术和计算机网络化的不断发展,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在,将不断向人们提出新的挑战,新的网络病毒的技术也会不断推出,逐步走向完善。 参考文献: [1]孟学军,石岗.基于P2DR的网络安全体系结构[J].计算机工程, 2004, (2). [2]信息安全技术-入侵检测系统技术要求和测试评价方法[S].GB/T 20275-2006.
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。
