基于白名单的企业网服务控制策略分发机制研究与实现

摘要

当前企业网技术体制源于互联网，具有典型的开放性。网络的开放性提高了企业网的适应能力和可扩展性，但是也导致连接到企业网的终端可以随意发布服务。这一方面产生大量被攻击源，使得企业网安全防护日益复杂困难；另一方面，网络服务可能成为网络攻击的基础承载，例如，木马、DDoS和僵尸网络等攻击均基于匿名服务而实施。因此，对企业网服务的发布和访问等行为进行有效的管理与控制，是提高其安全防护能力的重要手段。论文针对企业网服务控制体系结构和管控策略分发机制等关键技术开展研究，取得了以下研究成果：
　　一、提出一种基于白名单的企业网服务控制体系结构SCEN（Service Control for the Enterprise Network）。首先，该系统采用白名单方式控制服务发布和访问行为，禁止非授权服务运行，缓解了基于非授权服务的协同攻击问题。其次，采用“集中管控，分布实施”的方式组织服务控制功能，避免因配置错误导致网络安全漏洞，具有灵活的可扩展性。
　　二、针对服务管控策略快速分发问题，提出一种基于分层模型的策略分发协议SALM（Scalable Application Layer Multicast）。测试结果表明，该协议可大幅降低策略分发的开销，具有较好的可扩展性，能够适应大规模企业网应用环境。
　　三、设计并实现了基于白名单的企业网服务控制系统原型，并针对服务控制关键技术进行验证。实验结果表明，该系统可以有效控制企业网中的非授权服务，并且具有较低的开销，能够有效提升企业网安全防护能力。

目录

声明

第一章 绪论

1.1 论文研究背景和意义

1.2 研究内容和主要贡献

1.3 论文结构与安排

第二章 国内外研究现状

2.1 服务控制机制研究现状

2.2 策略分发机制研究现状

2.3 本章小结

第三章 基于白名单的服务控制体系结构

3.1 服务控制体系结构设计原则

3.2 SCEN的系统构成与工作流程

3.3 SCEN体系结构的特点

3.4 本章小结

第四章 基于分层模型的策略分发机制

4.1 策略分发机制设计原则

4.2 策略分发机制设计

4.3 性能测试和分析

4.4 本章小结

第五章 原型设计与实现

5.1 原型系统实现

5.2 功能测试

5.3 性能测试和分析

5.4 本章小结

结 束 语

总结

展望

致谢

参考文献

作者在学期间取得的学术成果