论文样例李周华的课程设计文档.docx
- 文档编号:17666934
- 上传时间:2023-07-27
- 格式:DOCX
- 页数:13
- 大小:26.41KB
论文样例李周华的课程设计文档.docx
《论文样例李周华的课程设计文档.docx》由会员分享,可在线阅读,更多相关《论文样例李周华的课程设计文档.docx(13页珍藏版)》请在冰点文库上搜索。
论文样例李周华的课程设计文档
广西大学
课程设计报告
课题名称内网安全监管系统
——系统内核及底层设备驱动程序研究
学院计算机与电子信息学院
专业计算机科学与技术专业
班级2001级1班
学号0107000205
姓名李周华
指导教师(签名)年月日
教研室主任(签名)年月日
摘要
本文在对内部网络中存在的安全问题进行深入剖析的基础上,提出了内网安全监管系统的框架,并重点阐述了基于MicrosoftWindows系列平台(主要是Windows2000/XP/2003)实现驱动程序层上的内网安全控制技术。
在本文的最后用实例说明了如何将驱动程序的核心技术应用于内网安全监管系统。
内网安全监管系统采用Client/Server架构,从网络访问控制和主机离线保护两个方面解决内部网络存在的安全问题。
网络访问控制主要采用NDIS(NetworkDriverInterfaceStandard,网络驱动器接口标准)中间层驱动程序技术,对流经网卡(NIC)的网络数据包进行截取与过滤,以IP访问控制、端口连接控制等方式实现网络交互信息流的安全监控。
主机离线保护通过Windows文件系统过滤驱动程序和计算机各种外设(USB接口、软盘驱动器、光盘驱动器、可刻录光盘驱动器等)的过滤驱动程序技术,监视和控制本地主机的文件访问(读写、拷贝、移动、删除等)以及外设接口数据输入输出,维护本地主机的数据安全。
在保证可靠性的前提下,同时降低系统实现的复杂度,结合SPI数据包截取技术、ShellAPI以及HookAPI技术,在API层上进行辅助的安全控制。
内网安全监管系统实现了以安全策略设置、安全资源管理、操作行为跟踪等方式,对内部网络中的分散桌面系统进行统一管理,监控内网机群的网络资源使用和主机数据访问情况,抵御来自于内、外网络的恶意访问和攻击行为,阻止机密、重要的信息通过网络途径泄露,防止重要数据被非法查看、拷贝、移动或者删除,并以日志、数据文件等方式提供安全问题审计分析报告,有效地保障了内网主机的安全。
内网安全监管系统的技术实现同时也说明从驱动程序层上进行内网安全控制是可行的,也是比较可靠的。
关键词:
内网安全驱动程序过滤NDIS中间层驱动
IntranetSecurityMonitoringSystem
——ResearchonSystemKernelandDeviceDriver
Abstract
Onthebasisofanalyzingthoroughlytothesafetyproblemsintheintranet,thistextproposedanarchitectureoftheIntranetSecurityMonitoringSystem,andthenexpoundedtheintranetsecuritycontrollingtechnologyonthedriverlayerundertheMicrosoftWindowsseriesplatforms(mainlyforWindows2000/XP/2003).IalsoexplainedhowtoapplytheDrivertechnologytotheIntranetSecurityMonitoringSystemwithanillustrationasthelastpartofthistext.
TheIntranetSecurityMonitoringSystemadoptsClient/ServerStructure.Itsolvedthesecurityproblemsfromtworespects:
NetworkAccessControllingandOff-lineDataProtecting.NetworkAccessControllingadoptstheNDIS(NetworkDriverInterfaceStandard)IntermediateDrivertechnology,tocaptureandfiltratepacketsthatpassthroughtheNIC,monitoringthenetworktransinformationbycontrollingtheIPconnectionandPortaccess.TheOff-lineDataProtectingensuredthesafetyoflocaldatabyusingWindowsFileSystemFilterDriversandDeviceFilterDriverstomanageaccesstofilesandcontrolinput-outputdevices(USBInterfaces,FloppyDiskDriver,CD-ROM,Disc-carvingmachine,etc.).OnthepremiseofguaranteeingreliabilityoftheMonitoringSystem,wealsousedSPI、ShellAPIandHookAPIastheadjuncttechnology.
TheIntranetSecurityMonitoringSystemestablisheswiththesecuritypolicy,saferesourcemanagement,andtheoperationbehaviortraceetc.,tocentralizetheadministrationofthedispersivedesktopsystemintheintranet,superviseandcontrolthenetworkresourceusageanddataaccess,resistthemaliciousaccessandattack,preventsecretinformationfrombeingrevealedinthenetworkcommunication,preventtheimportantdatafrombeingvisited,copied,movedordeletedillegally,andmakeeventsreportedaslogs,datadocumentsetc.TheIntranetSecurityMonitoringSystemhasensuredtheintranetsecurityeffectively.
TheImplementationoftheIntranetSecurityMonitoringSystemprovedthatapplythedrivertechnologytotheintranetsecurityisfeasible,andalsoreliable.
Keywords:
IntranetSecurity,Driver,Filter,NDISIntermediateDriver
目录
第一章绪论5
1.1我国网络信息安全领域的发展现状5
1.2传统的网络安全产品在内网安全控制上的不足6
1.3内网安全管理体系的提出及其意义7
第二章内网安全监管系统的构架过程8
2.1内网中潜在安全问题的剖析8
2.2内网安全监管系统的目标10
2.3内网安全监管系统的架构11
2.4本章小结16
第三章内网安全监管系统的技术要点17
3.1由系统架构引出的技术需求17
3.2实现网络监测的技术定位17
3.3实现主机离线保护的技术定位18
3.4开发工具的选择20
3.5本章小结21
第四章驱动程序设计基本技术21
4.1驱动程序的分类21
4.2内核模式驱动程序的层次结构及其工作原理22
4.3驱动程序对象23
4.4内核模式驱动程序的标准例程25
4.5驱动程序与应用程序之间的交互26
4.6本章小结29
第五章驱动程序层上的内网安全控制技术29
5.1NDIS网络驱动程序简述29
5.2过滤驱动程序设计技术30
5.3通过文件系统过滤驱动程序控制数据存取31
5.4USB设备过滤驱动程序的实现34
5.5本章小结38
第六章系统的整体结构以及衔接性38
6.1系统的整体结构38
6.2多开发环境下模块的衔接性39
第七章研究成果展示40
7.1内网安全监管系统的运行环境40
7.2内网安全监管系统主要功能展示41
结束语47
参考文献48
附录一:
内网安全监管系统的数据元素描述49
附录二:
部分关键源代码55
致谢68
第一章绪论
当今计算机技术飞速发展,计算机技术的应用已经渗透到世界的每一个角落,并有效地作用于各行各业中。
而计算机网络作为计算机技术和通信技术紧密结合的产物,它涉及到通信与计算机系统两个领域。
它的诞生使计算机体系结构发生了巨大变化,在当今社会经济中起着非常重要的作用。
在信息技术飞速发展的今天,网络技术的发展更是极大地推动了信息技术的发展。
网络技术的飞速发展使众多的信息孤岛得以互连互通,极大地扩展了信息的来源;其发展速度之快,影响力之大,都是前所未有的。
在我们享受计算机网络技术所带来的众多便利的同时,它也带来许多诸如各类计算机病毒、黑客攻击、信息窃取和泄密等负面影响。
这些负面影响给我们特别是学校、公司企业、机关单位等有机密、敏感信息的部门带来极大威胁。
为了消除这些负面影响,网络信息安全技术显得越来越重要。
网络信息安全技术伴随着信息产业的发展而飞速前进,如何更有效地保障网络信息安全已经成为一个永恒的主题。
1.1我国网络信息安全领域的发展现状
网络安全涉及到通信和网络、密码学、芯片、操作系统、数据库等多方面技术。
目前的网络安全产品主要分为以下几类:
3A类产品、安全操作系统、安全隔离与信息交换系统、安全Web、反病毒产品、IDS和弱点评估产品、防火墙、VPN、保密机、PKI等。
其中,防火墙是网络安全的第一道屏障,所占的市场比例最大,其安全技术也比较成熟。
就目前我国的信息安全领域来说,网络信息安全产业发展十分迅速。
自1997年以来,信息安全产业每年都以100%的速度前进。
经过这几年的发展,我国的信息安全产业已初具规模,基本建立了比较完善的信息安全技术体系、信息安全产品发展体系和信息安全产业管理体系。
当前信息安全产品市场当前主要集中在网络反(防)病毒、防火墙、IDS和物理隔离网闸等,安全管理平台设备和支撑安全管理平台的安全管理软件获得快速发展。
安全防范的策略正从被动扫描、堵漏为主,向智能IDS主动检测、策略修改、设备互动、扫描评估等综合防御系统发展。
同时防止来自网络的病毒传播任重道远,防病毒网关技术日渐受到重视。
因此以防火墙为代表的一系列安全措施被广泛应用。
然而发展迅速的安全技术领域也存在一定的安全漏洞。
中国国家信息安全测评认证中心提供的调查结果显示,现实的威胁主要为信息泄露和内部人员犯罪,而非病毒和外来黑客引起。
据公安部最新统计,70%的泄密犯罪来自于内部;电脑应用单位80%未设立相应的安全管理;58%无严格的调存管理制度。
一个能进入办公室的普通人比一个技术一流的网上黑客的潜在威胁要大的多。
从上述数据中,我们可以看出面对来自于公司内部的安全威胁,必要的安全措施对单位是如何重要。
当前,在设置防火墙,防病毒软件来防止外界威胁的同时,往往忽视了对来自内部的安全威胁的防范对策和措施,缺乏内部网络安全的防范意识,在通过内网安全控制实现信息数据的保护上未能引起足够的重视。
1.2传统的网络安全产品在内网安全控制上的不足
传统的网络安全产品主要以防火墙、入侵检测系统等为代表。
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络并访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
它采用一种将局域网和广域网分开的方法,限制被保护的内网与外网之间的信息存取和交换操作。
防火墙可以作为不同网络或网络安全域之间交换信息的出入口,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态,并且其本身就具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,通过控制内部网和外部网之间相互交换信息流的活动,有效地抵御来自于外部网络的攻击、破坏和越权访问等。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。
虽然防火墙是目前保护内部网络免遭来自于外部网络攻击破坏的有效手段,但它也有明显的不足:
它无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击等等。
在网络的边缘设置快速有效的网络防火墙及网络防护系统,虽然可以对网络入侵进行监控和防护,抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和杜绝网络资源的滥用,是保护内部系统免遭来自于外部网络攻击破坏的有效手段。
但这种解决方案仅仅解决了内网安全理论的一个方面,并且主要针对外部入侵的防范,对于内部用户攻击和威胁事件以及对机构内部信息的保密安全管理几乎起不到任何作用。
不断的调查表明,在实际的应用环境中,可以认为80%的攻击和越权访问来自于内部网络。
这也正是以防火墙、入侵检测系统等一系列网络安全产品的薄弱环节。
也就是说,以防火墙、入侵检测系统等一系列网络安全产品在对付网络安全的主要威胁时束手无策。
随着内网应用的不断发展,在一定意义上,内部网络的应用远远复杂于传统外部网络的应用,内部网络甚至包含了许多外网所没有的应用,如各种辅助设计应用、办公自动化系统、各种管理系统、财务系统等。
这些应用往往非常庞大,很容易会给系统带来更多的漏洞,增加了内部网络的不安全因素。
尤其重要的是,内部网络上大多数的应用,对于各个单位特别是政府机关、学校等,保密单位信息保密安全防范尤为重要,甚至是要求严格保密的,这些极其敏感、严格保密的信息一旦出现泄密、破坏的事件,将会产生严重的后果。
这些都使得内网安全问题变得越来越重要和突出。
如何更有效地填补以防火墙、入侵检测系统等为代表的网络安全产品对内网安全控制的空白和薄弱,从而保证内部网络的安全,已经成为一个迫切的、重要的任务。
[1]
1.3内网安全管理体系的提出及其意义
如上的叙述并非要否定或者摈弃防火墙、入侵检测系统等安全保障体系;实际上防火墙和入侵检测技术在防范和抵御来自外部网络的攻击和破坏上担任着重要的角色。
然而在面对内网安全问题的时候难免显得鞭长莫及。
这很大程度上是因为防火墙和入侵检测技术更多的是关注来自外部的攻击和破坏,而并非直接作用于内网安全管理的薄弱环节。
经过深入的思考和实践证明,对安全的薄弱环节做越专注越直接的防御和保护就越有效;因此我们有必要在防火墙和入侵检测系统等的保护下,将内部网络安全管理做一个在一定意义上独立的规划,以使内部网络得到更好更直接的防护。
这并不是从网络安全体系结构中完全脱离出来,而是以一种更直接有效的方式,作为现有的网络安全体系的一个必要的补充和扩展。
为此我们提出专门针对内部网络安全管理的体系结构,整个内网安全管理体系是实现内网安全管理的基础;而内网安全监管系统是实现内部网络安全管理的直接体现和实施者。
内网安全监管系统通过直观有效的安全策略设置,对内网中的各种行为进行监控和管理;并通过完善的日志记录各种敏感行为的痕迹,为管理和审核提供途径。
内网安全策略是保证网络信息系统安全建设的指导原则、配置规则和检查依据。
内网安全监管系统的工作主要依据具体网络信息系统统一的内部安全策略。
内部安全策略是一种指导方法,通常都以约束、规范、制度或者流程等方式体现出来,用以指导监控系统直接、快速、合理、全面地构造内部安全环境,同时可以根据需要调整的内部安全策略来更好地指导内网安全监管系统的工作。
通过内网安全监管系统,对内部网络中各个机器的上网行为和与安全相关的行为实施监视和控制。
填补当前以防火墙、入侵检测等为代表的网络安全产品对内网安全控制的空白和薄弱,监测和防御来自内、外网络的恶意访问、泄密和攻击等行为,为内部网络构筑一道更加直接可靠的安全防线,并且对内网中的计算机资源进行有效的管理,在保障内部网安全的同时,防止信息对外泄露,规范用户行为,过滤有害信息,净化网络环境。
第二章内网安全监管系统的构架过程
2.1内网中潜在安全问题的剖析
为了提出整个内网安全监管系统的架构,提供一个比较完备有效的解决方案,需要对内网的安全状况进行调查,对内网中潜在的安全问题进行深入分析,把握关键的安全问题所在,有的放矢,针对这些安全问题进行防范抵御。
在内网的信息管理中,通常都存在以下四点主要的安全问题:
1、严重的信息外泄
在大量的安全事件中,最为严重的是内部人员直接造成或者参与非法信息外泄事件,或者在内部人员没有意识到的情况下将信息暴露给外部人员。
由于内部人员对于内部的组织结构、人员部署、机构设置相对于外部人员要熟悉的多,因此,内部人员造成的信息外泄事件往往情节严重,也更轻易地造成巨大损失。
一般来说,内网中信息外泄的途径主要包括:
(1)计算机工作人员由于对专业知识的不熟悉而泄密。
对电子信息保密的意识还不强,常常由于专业知识不熟悉而泄密。
如由于用户不清楚危险性,在与外部进行信息流交换(如外发邮件)时未采取任何保护措施,使得机密信息在与外界的信息交互过程中直接暴露给外界,轻易可以被截获。
又如由于不知道计算机软盘上的剩磁可以提取还原,将曾经存贮过秘密信息的软盘不经过任何处理而交流出去,因而造成泄密。
(2)规章制度不健全或者因违反规章制度而泄密。
许多情况下一些单位或者部门没有配备专门的计算机维护管理人员,或者机房管理不严格,无关人员可以随意进出机房。
当机器发生故障时,随意请无关的或者是不该涉内的人员进入机房维修,或者将发生故障的计算机送修前既不做任何保护,又不安排专人监修,造成秘密数据被窃。
操作人员对涉密信息与非涉密信息没有分开存储,甚至将所有的文件都放在一个公共目录里,也没有进行加密处理或者保护处理,轻易可以进行拷贝或者转移等操作,使涉密信息处于无密可保的状态。
(3)故意泄密。
由于电子信息文档不像传统文档那样直观,极易被复制,且不容易留下痕迹,所以窃取秘密也非常容易。
特别是利用互联网通信的快捷,更容易进行信息资料的外传和泄露。
这种类型的泄密,是最具威胁并且是事件发生最频繁的。
2、分散的桌面系统
在内网中,桌面系统是信息的重要发起源。
在日常信息的产生和处理中,绝大多数都是由桌面系统产生的,正是由于我们的桌面每天都在产生着不同密级的信息,并且有不同的人希望通过非常规手段来获取这些不同秘密的信息,才产生了安全威胁,因此可以说,桌面系统是安全事件的产生源、攻击的发起点。
绝大部分的攻击、安全威胁都是以桌面系统为目标发起并完成的,大量的绝密信息外泄也从桌面系统外泄的。
而分散的桌面系统信息,使内网中大量的桌面系统信息不能被有效地、快速地、集中地收集起来,不但给管理带来相当的困难,同时也给集中控制和统一进行安全防范造成了障碍。
因此对内网中大量的、分散的桌面进行有效管理是内网安全的一种重要保障。
3、缺乏有效的管理机制
许多的企业单位内部往往都缺乏比较有效的内部网络管理机制,或者是不完善的内部安全管理机制。
单位内部有一定数量的管理机制,但是这些管理机制本身存在着一些问题和不足,也导致了内部安全管理没有得到“制度性”的保障;内部安全管理机制不能被有效执行。
内部安全管理机制缺乏有效的实施技术手段。
规章制度对信息数据安全的保障,还缺乏直接有效的技术的手段来辅助管理制度的执行。
要求用人或道德规范来实现安全规范是不可靠的,也是不经济的。
4、缺乏内网安全系统充分认识和实用技术方案
对内网安全系统充分认识和实用方案的缺乏,也对内网的安全管理带来了一定的阻碍。
大多数安全系统都只是来自于外部的入侵。
针对于来自外部的入侵,已经有大量成熟的安全系统来防范,但是对于内部的安全威胁和隐患,却很少被注意到,或者已经注意到,却没有完善的安全系统和解决方案来解决单位的内部安全问题。
并且内部安全系统还不够成熟,在少数的内部安全系统中,多数都只是片面地关注某个具体的访问,比如拨号连接控制、文件保护等,仅仅是一个技术意义上的产品,不能提供完备有效的多途径多角度的解决方案,不能提出全面的内部安全管理方案。
2.2内网安全监管系统的目标
针对上述。
。
。
。
。
。
结束语
本文通过详细分析内网中存在的主要安全问题,提出了内网安全监管系统的框架和目标,重点阐述了从驱动程序层实现内网安全控制的技术和实现方法,并通过对内网安全监管系统的构架,使用驱动程序控制技术进行内网安全监管系统的实现,证明了从驱动程序层上进行内网安全控制是可行的,同时也是比较可靠的。
Windows环境下的驱动程序开发需要涉及Windows操作系统核心的技术,并且从程序设计的角度来说,它的编程习惯和普通的应用程序设计也有较大区别,这就给驱动程序的设计与实现带来一定的难度。
驱动程序在任何操作系统环境下都与具体的操作系统内核以及相关的硬件都有密切的关系,所以针对特定计算机外设的设备过滤驱动程序需要根据不同的Windows平台(主要是Windows2000/XP/2003)进行平台相关性测试,或者提供不同平台下的驱动程序版本。
为了在更复杂的网络环境中,适应远程管理和多点管理的需要,达到通过远程计算机管理监控服务器工作的目的,整个系统下一步的工作是扩展远程管理的接口,并逐渐成熟的驱动程序设计技术对整个内网安全监管系统作进一步的完善,使系统稳定可靠地运行。
在实际的应用中,还应该根据实际的内部网络环境和硬件条件,对系统的策略进行调整,切合实际需要,更好地保障内部网络的安全。
参考文献
[1][美]WalterOney.ProgrammingtheMicrosoftWindowsDriverModel[M].MicrosoftPress,2002年
[2][美]MicrosoftCorporation,周明全等译.Windows2000驱动程序开发大全[M].机械工业出版社,2001年
[3][美]ChrisCant.WindowsWDM驱动程序开发指南[M].机械出版社,2000年1月
[4][美]MarkE.Russinovich、DavidA.Solomon.WindowsInternals,4thedition[M].sysinternalsPress
[5]谭思亮、求是科技.监听与隐藏-网络侦听揭密与数据保护技术[M].人
民邮电出版社,2002年
[6]董玉格、金海、赵振、求是科技.攻击与防护-网络安全实用防护技术
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 论文 样例李周华 课程设计 文档