公钥基础设施与企业网络应用安全方案

企业既需要发展自己的网络,又常常连接到Internet网上,络网络安全带来外忧(外部攻击)和内患(内部攻击),而且网络上开发运行的应用程序还存在身份识别和信息保护的问题.因此传统上采用的防火墙和IDS等安全防御措施对各种安全需要而言是不够的.针对企业网络应用的需要,提出了一种采用PKI机制的比较实用的企业网络应用安全方案.     

IPSEC与防火墙兼容问题研究

作为新一代网络安全标准,IPSEC提供网络层的安全服务,通过对IP报文的加密和验证, 保证数据在传输过程中的安全.为用户提供基于IPSEC的端到端的安全是网络发展的一个趋势.包过滤防火墙是根据协议和端口对数据包进行过滤,由于IPSEC封装了报文中一些重要信息,使得IPSEC与防火墙不能同时有效地工作.在IPSEC与防火墙兼容问题上,本文提出了一种让防火墙介入IPSEC的密钥协商阶段的解决方案.通过防火墙在内外节点之间建立基于IPSEC的安全连接,从而实现内外节点之间的安全通信.     

Windows 2000/XP个人网络防火墙开发

网络防火墙是在一定程度上防御网络上非法用户入侵和攻击的计算机网络安全产品,其中个人防火墙是适用于PC用户的网络安全产品。本系统性能上占用系统资源少,功能上不但实现了个人防火墙的进程关联网络管理,防御ICMP洪水攻击和SYN洪水攻击,还实现了滤包防火墙的用户自定义滤包规则底层滤包,并首次在个人防火墙的开发上提供网络流通数据包监视以及连接信息管理,使用户掌握更多的网络信息。本系统使用的技术包括NDISIMD、SPI、Ring0驱动跟Ring3APP通讯、网络安全知识以及高级GUI,其中对NDISIMD和SPI这两项防火墙主要技术进行了深入的研讨。NDISIMD是微软设计的在Ring0层提供接口进行开发的驱动程序,通过对内核驱动的开发并进行封装,为应用层提供对底层调用的接口。SPI是微软提供的在应用层进行上层Socket进程关联滤包的防火墙技术。本系统采用了WinDDK2003驱动开发环境作为NDISIMD的开发工具,采用DriverStudio下的SoftICE和DriverMoniter作为其调试工具。应用层使用VisualStutio.Net2003下的VC对Ring0层跟Ring3层通讯DLL、SPIDLL、SPI安装应用程序以及高级GUI进行开发和调试。     

网络集成环境下的异种数据库的数据转换

介绍了异种数据库在网络集成环境下进行数据转换的方法 .利用PowerBuilder与数据库系统连接和可视化编程的强大功能 ,实现了异种数据库的直接转换 .该方法采用了C/S的体系结构范型为用户提供了可视化集成界面 ,完成了分布在网络不同结点上的目前常用的几种数据库(Oracle ,Sybase ,Informix ,MSSQLServer,SQLAnywhere和FoxPro)的互相转换     

联动入侵检测的Linux动态防火墙的设计

本文分析了传统安全技术(防火墙、入侵检测)的优势和缺点,指出了防火墙和入侵检测进行联动的必要性,设计了联动入侵检测的动态防火墙,给出了具体的解决方案,并对关键技术进行了分析.该动态防火墙提高了防火墙的实时响应能力,增强了入侵检测的阻断功能,实现了网络的整体防御.     

基于包过滤技术的防火墙设计

讨论了Ｉｎｔｅｒｎｅｔ的安全性以及目前实现Ｉｎｔｅｒｎｅｔ安全最有效的手段－防火墙技术,提出了基于包过滤技术的新一代防火墙,为建立企业级的安全网络提供了重要参考和选择。     

权重均衡优化的Web用户行为的信任评估

针对Web用户信息的安全问题,提出了一种主客观相结合的用户行为信任评估模型.通过熵权法确定客观权重,通过层次分析法确定主观权重,进一步得到优化的集成权重.通过引入基于滑动窗口的长期量化评估机制和对不同类型证据的无量纲化处理,最终计算出用户行为的信任评估值.实际应用和理论分析结果表明,该模型在满足主、客观相对平衡的优化条件下,可以更准确地得出单次和长期用户行为的信任评估值,对诸如电子商务、网络金融等关键网络应用用户行为的高可靠性判断奠定了坚实的理论和实践基础.     

基于IXP425的宽带VPN网关设计与实现

VPN技术和防火墙技术作为两种重要的技术,被广泛的运用于网络安全领域。介绍了一种采用嵌入式技术实现集成VPN功能和防火墙功能安全网关的方法。提出了基于网络处理器IXP425和PC I加密卡SafeX cel-1741的安全网关硬件设计思想。利用加密卡SafeX cel-1741完成加密和杂凑运算,提出了双处理器协同工作的体系结构来解决VPN网关加/解密的速度瓶颈。     

Firebox X Edge整合无线功能

美国防火墙厂商Watch Guard公司推出一款新型的安全设备——Hrebox X Edge。该设备在以往多功能安全设备的基础上又进行了新的扩展，其最大特点是，不仅集成了防火墙、VPN、内容过滤、反病毒、集中管理等安全功能，还集成了符合802．11a／b／g规范的无线功能，在保证安全的同时，又是一个无线接入点     

基于SIR的Device-to-Device移动社交网络信息传播模型

智能移动设备的迅速普及在加快移动社交网络发展的同时,也给底层通信网络带来了沉重的负担。为了缓解底层通信网络的负担,越来越多的社交网络应用开始采用Device-to-Device技术传播信息。本文以Device-to-Device移动社交网络为研究对象,首先分析该网络中用户参与信息传播的特点,然后在传染病模型的基础上构建适合此网络特点的信息传播模型,并利用该模型分析真实Device-to-Device环境中的信息传播过程。结果表明,Device-to-Device移动社交网络中的信息传播与基于Internet的社交网络中的信息传播有相似之处;但是,由于Device-to-Device移动社交网络存在较大的传播时延,信息在该网络中需要较长的时间才能达到传播高峰。     

以元数据服务为核心的MIG信息集成与服务框架

为满足新一代信息化战争中集成陆、海、空、天、电等全方位、多军种信息,建立协同作战网络及一体化战场环境的需求,提出了面向军事信息网格（MIG,military information grid）的信息集成与服务框架．该框架纵向分为资源层、基础网格平台服务层、元数据服务层、应用服务层、用户层,其中应用服务层按服务内容的不同横向又分为数据、信息、知识服务三层结构．阐明了元数据服务在框架中的核心位置及作用,分析了框架实现的若干关键技术,对我国MIG建设中信息集成与服务技术方案有一定的参考作用．     

独具特色的内容安全解决方案

美国McAee公司推出了具有网关防毒和邮件过滤功能的WlebShield和SpmKiller3000系列网关产品。该系列产品没有加入太多的功能(如防火墙、VPN)，只是将McAfee的优势技术(网关防病毒和垃圾邮件过滤)整合在一起，同时增加了内容扫描、反网络钓鱼等与内容相关的安全技术，使得该系列产品成为一款独具特色的内容安全解决方案。     

基于Agent的数控系统信息集成方法

为了实现网络化环境下制造设备的管理和远程监控,提出了开放网络环境中的数控设备信息集成方法,包括数控系统联网方式、设备的信息模型和信息交互流程。该方法采用代理作为机床的网络接入端口,针对机床的结构多样性和传感器多样性的特点,建立了分层次可扩展的机床信息模型,通过Internet传输数控系统的结构化信息。设计了网络环境下的车间信息管理系统,实现了机床加工数据的可视化和机床利用率的统计。在实际的加工车间对所提出的数控系统信息集成方法的有效性进行验证,结果表明,该方法能够方便、可靠地实现网络环境中数控系统的信息集成,并且具有可扩展性。     

分布异构信息资源集成系统实现研究

为了实现分布、异构网络信息资源的统一访问,提出了一种信息资源集成系统实现方案.该方案针对异构资源采用WebService、SRU和元搜索技术实现虚拟集成,通过开放链接OpenURL实现服务集成,使用基于情景敏感的知识库提供用户的个性化服务.实验结果证明提出的信息资源集成方案可以实现资源和服务的有效集成,使网络服务机构的用户能够一站式获取各种信息及服务,进一步提高了信息服务的质量。     

校园网信息安全初探

校园网在运行过程中面临着各种安全威胁,如何建立一个安全、便捷的网络应用环境,为信息和网络提供足够的保护,是当前校园网发展的关键问题之所在。提出了解决校园网信息安全的一些新方法。     

基于USM的防火墙管理系统的研究与设计

在网络管理领域，管理的标准化和安全性都是被特别强调的．防火墙作为网络的重要安全设施之一，对它的管理必须安全，并且应该依据标准协议．基于用户的安全模型USM是SNMPv3的一种重要安全模型，可以解决信息传输的安全问题．本文讨论了用SNMP协议命令管理防火墙的原理，论述了USM主要特点并讨论了其应用的设计问题；给出了基于USM防火墙管理系统的主要部分：管理进程Manager和防火墙管理系统信息库FWMS—MIB的结构和组成；分析了这种管理方式的优点．     

基于扩展CPN的多源数据报警相关性

针对网络安全管理员要处理来自IDS、防火墙、防病毒软件以及漏洞扫描器等安全工具所产生的报警信息来获得计算机网络中攻击的高级描述,提出基于多源数据报警相关性的方法。首先,对CPN(Colored Petri Net)进行扩充,增加了反映安全工具报警信息的观测集,形成了ECPN(Extended Colored Petri Net),并对其进行了形式化描述与图形建模;其次,提出了基于ECPN攻击场景的构建关联算法ECPN-Scenario-Constructor以及攻击动作提取算法Multistep-Abstract;最后,对DARPA 2000入侵场景关联评测数据集进行了实验。实验结果表明:该算法可以对报警进行有效的关联,及早地发现攻击者的攻击策略,并能有效地避免误报和减少漏报。     

个人计算机系统信息安全问题与对策

个人计算机用户从未接入网络和接入网络两种情况来分析,计算机系统信息均可能面临的安全隐患,应当分别采取安装防火墙;经常升级杀毒软件,做好计算机系统维护及数据备份等具体有效的安全防范措施,为自己提供安全保障。     

工业互联网存储设备隐私安全

针对工业互联网中合法用户验证和用户隐私保护方面存在的缺陷,提出一种通用串行总线(Universal Serial Bus, USB)大容量存储设备的增强型安全协议(Control Protocol for USB,CPFU)。在YWC协议中引入新的哈希函数进行加密,使得攻击者在获取部分信息情况下,无法通过合法用户验证。基于Bellare-Rogaway不可区分性模型,将用户和服务器密钥进行交换,保证用户和服务器相互认证和协议会话密钥的机密性,为用户提供隐私保护。安全性分析表明,该协议具有用户隐私保护、防止密钥恢复攻击、防止离线口令猜测攻击、防止重放攻击和防止被盗验证者攻击等功能,并能够实现工业互联网存储设备USB端口文件的匿名传输,满足工业互联网存储设备安全需求。性能分析表明,该协议能够有效均衡计算与通信开销,安全性更高。     

电力信息内网可信管控平台的设计与实现

电力信息网相对互联网较为封闭,信息安全隐患和威胁更多的来自网络内部,内网终端面临着身份认证安全性不高、主机非法外联、主机非法操作审计不足等安全问题.针对传统的电力信息网安全防护体系没有针对性对内网终端进行管控.本文提出了电力信息内网终端可信管控平台的安全解决方案,将用户登录认证、违规监控管理、日志审计及用户管理集成,并对集成后的可信管控平台的应用功能进行了测试分析.结果表明,该平台实现了基于USB Key的Windows登录认证、内部涉密主机违规外联监控等功能,同时方案中的程序保护模块增强系统安全性,验证了所提方案的有效性.