计算机安全状态检测系统框架的研究

摘要

在安全问题日益突出、计算机安全威胁的种类也突显多样化趋势的背景下，单个特定领域的信息安全产品已无法很有效和全面的保护计算机和网络。目前现有的计算机安全集成控制系统，基于可信网络接入体系架构标准，已经大致上能整合各种安全领域内的一些专用产品，但大多缺乏可灵活配置的体系架构以及明确定义的规则引擎工作流模型，从而对计算机系统新威胁的分析、扩展以及与其他更广范围安全产品的可兼容性受到了限制。因此，建立一个可配置的基于规则的计算机安全检测系统框架十分必要。
　　在此背景下，本文针对这些问题提出并开发了一个基于有穷自动机的计算机安全状态检测系统框架，支持按需对计算机安全状态检测工作流的配置和定义，实现对计算机系统的安全状态的判别，并隔离被认为有安全威胁的计算机系统接入网络的敏感区域，使系统具有良好的灵活性和兼容性。
　　首先，本文对计算机系统所面临的各种风险进行了详细的分析，并将其进行归类。从中选择计算机安全状态检测系统框架可以涵盖的部分风险作为框架设计的最初输入。初步定义了计算机安全状态检测系统框架所应具有的基本特性，这些特性是后续进行需求分析与设计的基础。
　　然后，本文基于用例技术进行了框架的需求分析，采用类图和顺序图对系统框架的用例实现进行建模，并对类的各个操作进行了基于自动机的形式化定义描述。在用例建模的过程中，结合了基于自动机的形式化定义描述，使其相对于普通的用例模型更具有一致性以及无二义性。
　　接着，多维度地对计算机安全状态检测系统框架进行设计，包括分层视图、静态逻辑视图、动态逻辑视图、进程视图和部署视图。在计算机安全状态检测系统框架的设计过程中，考虑到框架的使用者应是处在不同的网络应用环境中。所以计算机安全状态检测系统框架按照开闭的设计原则，以主控与组件分离作为架构风格进行设计。这样便使框架在不同的网络应用环境中，基于框架使用者对应用组件的各种实现使框架具有良好的兼容性和灵活性。另外，为了保持计算机安全状态检测系统框架数据的可读性以及可迁移性，采用了XML格式的文件作为框架进行数据存取的媒介。
　　最后，对实现的框架进行功能测试和压力测试，并在企业的网络安全产品中进行了成功应用。测试和应用实践的结果表明，计算机安全状态检测系统框架能有效提高计算机安全状态检测系统的开发效率以及对于应用环境的兼容性，并具有良好的性能。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪 论

1.1 研究背景和意义

1.2 研究目标和内容

1.3 论文结构

1.4 本章小结

2 相关技术综述与研究

2.1 计算机信息安全

2.2 可信网络接入体系架构

2.3 计算机安全集成控制系统

2.4 计算机安全状态检测系统框架建模方法的选择

2.5 本章小结

3 框架的需求分析

3.1 计算机系统安全风险分析

3.2 主流程

3.3 用例建模

3.4 用例实现

3.5 本章小结

4 框架的设计

4.1 框架的架构考虑因素

4.2 框架总体结构

4.3 框架的层次结构

4.4 逻辑视图

4.5 进程视图

4.6 部署视图

4.7 XML配置信息设计实例

4.8 本章小结

5 框架的应用及评价

5.1 框架测试

5.2 框架在企业项目中的应用

5.3 本章小结

6 总结与展望

6.1 本文工作小结

6.2 展望

参考文献

致谢

攻读学位期间发表的学术论文目录