IPv6网络中多级多域安全策略系统研究.pdf

西安电子科技大学
硕士学位论文
IPv6网络中多级多域安全策略系统研究
姓名:吴琼
申请学位级别:硕士
专业:电路与系统
指导教师:李小平
20080101
摘要踩ú呗韵低巢呗砸恢滦訡鲞芓为了解决网络中基于策略驱动的网络安全问题以及多层次多地区的军事和商业安全应用需求,本文利用了谇兜陌踩榭赟中安全策略数据库园踩ú呗缘闹С趾推淝恐剖凳┬裕谙钟械腟的基础上提出了支撑策略实施的“分层分域、统一管理、分布式控制”的多级多域安全策略系统。该系统中,中心策略统一配置、各安全域根据自身安全需求下载安全策略,本地策略协商配置。基于该架构本文主要研究了如何有效管理多级多域的分布式毋网络环境下安全策略管理实现中的相关问题,包括:安全策略的内容和描述方法、安全策略的配置与存储方案以及安全策略系统的实现等。从理论上证明了多级多策略驱动的分布式网络环境中,安全策略从配置、分发到实施的每一阶段都必须保持一致,否则有可能达不到预期的安全目标,本文通过深入研究策略冲突产生的原因并给出切实可行的解决方案。文章最后基于拇縄耐缁境,将多级多域安全策略系统与『缦嘟岷希隽藄中的伊安全策略在该系统中的部署和实施的方案设计,还根据选择符的内容进行了扩展,并加以实例说明。多级多域的安全策略系统具有很好的扩展性,适合环境下基于域的安全管理。安全策略在系统中正确配置实施,可以最大限度地维护网络安全,对现行的缫簿哂惺种匾5氖导室庖濉关键词:域的安全策略系统的可实现性。虽然可以提供强大的安全支持,但是在安全
”蚦咖鷊伽删遱琲兑籦锄玺琫,丘锄恤妒緄尽ⅱ’鷄砌ⅰ譫,、鬿们觚”鷇百浚簄,蛐锄—瓼,,耐裪∞鴓妇矗·.阨.,産瓹畂把缸瑂獁
曼盔本人签名:兰盈凶鉴举畗这西安电子科技大学学位论文创新性声明日期垄鲨呵关于论文使用授权的说明,.才秉承学校严谨的学风和优良的科学道德,本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果;也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切的法律责任。本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证,毕业后结合学位论文研究课题再撰写的文章一律署名单位为西安电子科技大学。本人签名:导师签名:日期
第一章绪论安全策略概述尽管人们对网络安全的关注与投资与日俱增,但是安全事件的数量和影响并没有因此而减少,攻击手段从专业高手向智能化发展,黑客群不断扩张。从间接损失发展到直接的破坏,由少量损失扩大到巨额代价;从黑客的个人行为,发展到有组织、有预谋的网络恐怖主义:从互联网渗透到国家网络关键基础设施,从网络安全问题,上升到国家政治、经济、社会、国防问题。而且长期以来,由于许多有名的网络安全事件都与软件脆弱性和操作系统的缺陷有关,结果导致人们逐渐形成了这样的认识:网络安全问题的解决主要依靠技术人员。实际上这种认识并不恰当,大多数网络安全事故都能够追溯到非技术性活动,多数网络信息安全事故起因于忽视安全风险。如果从管理上制定整套的网络安全策略规范并加以技术上的加强,那么很多网络安全事故是能够避免的。对于一个组织网络,如果。能在这些安全事故发生之前,制定出有效的网络安全策略,是非常必要和明智的。网络安全从本质上来说是指网络上的信息安全,其保护的对象是信息和信息网络系统这一基本的涵义。由于网络行为的复杂性,网络安全的涵义已经远远超过以上定义所能表述的内容,比如网络系统的安全管理、网络服务的持续性、网络数据包的安全等等。目前的网络安全要从物理、数据、系统、内容、运行和管理等多个方面来加以保护。策略是指“以正式形式出现的,经管理层同意和批准的,规定了组织行动方向和行动自由程度的途径”【。安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。从管理角度看,网络安全策略是一个组织关于网络及网络信息安全的基本指导规则,其目的在于将网络安全事故的影响与损失降低到最小。计算机网络的安全策略大致分为:物理安全策略、访问控制策略、防火墙策略、信息加密策略和网络安全管理策略。一个计算机网络,包括个人、设备、软件、数据等,这些环节在计算机网络中的地位和影响作用,只