基于多层安全代理的集成访问控制系统项目可行性实施报告.docx

1、基于多层安全代理的集成访问控制系统项目可行性实施报告基于多层安全代理的集成访问控制系统项目可行性研究报告一、 选题的必要性1、项目所处技术领域产业政策随着网络技术的快速发展和应用的日渐普及，以及入侵技术的提升和工具的泛滥，造成企业和机构的网络信息系统遭受不同程度的攻击，或面临随时被攻击的危险。网络信息系统的安全防护变得日益重要和迫切，是影响国家大局和长远利益的重大关键问题。它不但是发挥信息革命事业带来的高效率、高效益的有力保证，而且是对抗霸权主义、抵御信息侵略的重要屏障，信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国在奋力攀登的制高点。目前，我国对

2、信息安全技术的发展相当重视，国家自然科学基金委员会早在2001年就开始把列为重大专项研究计划进行实施。其宗旨在于：研究信息网络与安全的科学理论与关键技术，解决对国民经济发展和国防建设有重大意义的网络与信息安全领域所涉及的重要科学问题及突破关键基础技术，以提高我国在网络与信息安全研究领域的整体创新能力和国际竞争力，形成我国自主的知识产权。3年多来已专项拨款几千万，计划2005年资助经费1100万元。在国家加快信息化建设的同时，省在立足工业化建设的基础上也提出了加快本省信息化建设的进程目标，希望在短时期促使省信息化的水平位居全国的中前列，以响应在中部地区崛起的宏伟目标。因而，我们提出了进行基于多层

3、安全代理的集成访问控制系统的研发，以解决各类网络信息系统的信息安全关键共性技术问题，它必然会替代目前省仍至全国各企事业部门大量引用各种分散的安全产品，管理人员疲于管理各个独立安全系统的局面。2、项目所处技术领域技术发展现状信息安全在国际上很早就已引起重视和研究，并取得明显的成效。自90年代以来安全性研究得到了进一步的深化，由信息的性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否认性等。相关研究出的产品如：病毒防护、安全漏洞检测与评估、入侵检测、个人和企业防火墙等等已非常之多。相对来说，我国网络信息安全研究起步比较晚，历经了通信、数据保护两个阶段，正在进入网络信息安全研究阶段，在

4、学习借鉴国外技术的基础上，国一些部门也开发研制出了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等，国家也成立了有关信息安全产品评测认证机构，已有100多个产品进行了评测检验，但这些产品安全技术的完善性，规化和实用性还存在许多不足，特别是在多平台的兼容性、多协议的适用性、多接口的满足性方面存在很大距离，理论基础和自主的技术手段也需要发展与强化。而且，当前国外的信息安全产品都是针对某一方面的安全保护而研究开发的，如防病毒软件是专门防止已知和未知的病毒破坏系统文件，入侵检测系统专门监视或阻止入侵者试图控制破坏系统的企图。对攻防技术发展和网络安全实践的研究分析表明，单一的安全保护

5、往往效果不理想，不能很好的形成一个有效的保护屏障，不足以保护系统的安全。因此，有些对安全需求较高的应用系统，往往结合不同的安全保护因素，例如防病毒软件、防火墙和安全漏洞检测工具，将它们简单组合起来创建一个比单一防护更有效的保护屏障，这样增加了黑客攻击的成本和难度，从而大大减少了他们的攻击频度。这样将这些一个个独立的安全防护系统简单组合起来，虽在一定程度上更有效地保证系统的信息安全，但这些独立的软件是由不同的开发商开发的，不能有效地统一起来，有的相互之间不能很好地兼容，有的功能重复从而加大系统负载。另外现在的企业级用户大都不愿意从不同的供应商分别购买防病毒产品、防火墙产品、防黑客产品，而是希望一

6、个厂家可以为他提供全套解决方案。因此，为了最大限度地确保网络系统安全，网络安全专家赛门铁克提出多层次防护的安全理念，应用和实施一个基于多层次安全代理的信息安全策略，在各个层次上部署相关的网络安全产品，将它们有机地集成起来，这样增加攻击者侵入所花费的时间、成本和所需要的资源，从而卓有成效地降低被攻击的危险，达到安全防护的目标。具体地说， “分层安全防护”就是这样一种思路：分层的安全防护技术包括攻击检测、攻击防、攻击后的恢复三个大方向，其中每一个方向有一个代表性的产品：入侵检测系统负责进行攻击检测，防火墙和强制访问控制系统负责攻击防，攻击后的恢复则由自动恢复系统来解决。从而创建一个比单一防护有效得

7、的多的立体、综合保护屏障，成倍地增加攻击侵入时所需花费的时间、成本和资源，从而有效地降低被攻击的危险，达到安全防护的目标。当前，国外基于网络安全专家赛门铁克提出多层次防护的安全理念的安全产品还处于研究开发阶段。即使赛门铁克提供的还比较综合的安全产品，也只包括病毒防护、安全漏洞检测与评估、入侵检测、个人和企业防火墙等。除此之外，几乎所有厂商都是针对某一方面的安全保护研究开发出的产品，其安全设计理念还没有完全转型过来，最多的也就是将防病毒和防火墙结合形成一个集成系统，谈不上提供比较综合的安全产品。另外，现在的安全防护系统都是基于主机或网络的方式构架的，其缺陷不言而喻。因此，构建一个分布式基于先进的

8、多层次防护安全理念的多层次防护的安全集成系统是非常有必要的，也是网络安全的发展趋势。 基于多层安全代理的集成访问控制系统的实现，将使信息产业在安全性方面得到突破性的进展，并能在信息安全软件产业界起到示作用，推动整个信息安全软件产业的发展。研制成功后的基于多层安全代理的集成访问控制系统可以应用到各行各业，因为各行各业对网络的安全都是十分迫切的，而本系统能够最大限度地保障他们的网络和系统安全。因此本系统有很好的市场前景，能形成产业化，并将因此带来巨大的经济效益。3、项目技术先进性，对相关领域技术进步的推动作用本项目突破传统的安全理念，基于先进的多层次防护安全理念，结合先进的安全认证与授权技术、PK

9、I(Public Key Infrastructure)技术、弹性CA技术、分布式入侵检测和预警模型等，构建一个足够强健、立体式的多层次防护的安全集成系统。整个系统包括用户认证代理、基于角色的访问控制代理、防病毒代理、入侵检测及流量检测代理、系统安全审计代理、智能网络安全综合管理模块(安全代理集成调度模块)六个大模块，各模块以先进性技术为支撑。（1） 用户认证采用非传统的用户名+口令的系统安全方式即：基于PKI认证方式和数据加密技术，且支持单点的登入用户认证，使认证更安全方便。（2） 基于角色的访问控制代理模块，以实现对用户的访问权限进行控制和分级为主，并防止非法用户的访问和合法用户的非法使用

10、，保证系统的信息安全。其中基于角色的访问控制能简化授权管理，描述和实施多种安全策略、并能解决责任分离。PMI属性证书用于安全管理，数字证书中存放用户的角色和策略。两种技术有机的结合，即结合PMI(Privilege Management Infrastructure)的RBAC(role-Based Access Control)技术，RBAC利用存放在PMI属性证书中用户的角色和策略信息进行访问控制，进行强授权管理。（3） 防病毒体系不仅能对文件级信息进行病毒扫描，也能对应用系统传输的数据进行病毒扫描。（4） 传统的入侵检测采用单一数据分析技术，很难有效检测出各类攻击并且误报率较高。或将某几

11、个技术简单结合来实现,但却没能提供很好的接口技术，可扩展性差，应用性不强。我们研究的入侵检测模块采用底层协议分析技术进行数据采集，大大减少信息流量；采用多种数据分析技术，在系统中可动态更换或组合；采用当今最流行的Snort系统插件模式构建入侵检测代理，使其具有很好的接口和可扩展性；采用XML技术描述、存储数据，可以有效地组织和存储数据，可以很容易解决跨平台性。（5） 当前，系统安全审计主要采用基于规则库的安全审计和基于数理统计的方法实现，不能适用于任何未知的入侵模式。本系统中的系统审计模块，采用带有学习能力的数据挖掘方法实现对系统安全审计分析，采用了三种比较成熟的数据挖掘算法：分类算法、相关性

12、分析、事件序列分析，实现既能对低层网络数据通信进行审计，又能对高层应用服务进行审计，还能实现对网络层数据审计等多层次的审计。（6） 由于智能网络安全综合管理模块(安全代理集成调度模块)是整个安全管理系统的核心，系统的控制台提供了一个基于的用户接口，它具有友好的人机交互界面，通过合理的功能模块划分和布局，使管理员能够方便而且快速的完成各项操作。系统采用入侵容忍技术来保护集成调度系统的安全，从整体上提升系统的安全等级。本系统基于移动Agent，采用分布式体系构架，通用性强，系统能应用到单机，也能应用到网络中。采用跨平台技术，使系统支持多种硬件平台和多种操作系统平台。应用多代理技术，模块相对独立，单

13、个的功能代理能够从系统中增加、删除或者对某个代理进行重新配置都不会影响系统的其它部分。每个代理可用不同的编程语言实现，可以自动升级，而对系统的其它部分保持透明。分布式应用/集中式管理，基于B/S结构的集中型管理系统适用于地域分布较广的大中型单位进行集中式管理；多层次安全控制，结合不同的安全保护因素，构建一个足够强健、立体式的多层次防护的安全集成系统。维护成本低，系统的部署、升级维护和数据备份在很大程度上自动完成，管理员无须过多干预。客户端只需安装IE浏览器。本项目小组在网络和信息技术安全领域取得的研究及技术成果，从系统层次提供了信息安全产品解决方案，是二十一世纪有代表性的信息安全产品之一，可以

14、应用到各行各业，能够最大限度地保障他们的网络和系统安全，为构建我国网络安全应急体系发挥积极的促进作用。将使信息产业在安全性方面得到突破性的进展，能够提高我省信息安全研究开发水平，扩大影响，加强与国外同行业间的技术交流和学习，促进我省信息安全技术产品开发和产业化。在信息安全软件产业界起到示作用，推动整个信息安全软件产业的发展。4、项目目前进展情况到目前为止，我们已经在项目的一些基础关键技术方面取得突破性的进展，先后顺利完成了一些与本项目有关的国家重点基础研究发展规划项目、国家高技术研究发展计划项目、国家自然科学基金项目、国家密码发展基金项目以及省部级项目等等。在密码理论与技术、信息安全特种芯片集

15、成、PKI技术、网络安全关键技术、安全协议理论与技术、入侵检测与监控技术、基于角色的访问控制技术等方面取得了一系列重要成果，主要成果达到了国际先进水平。这些研究工作为本项目积累了丰富的经验和坚实的技术基础，是重要的前期工作基础。在基于多层安全代理的集成访问控制系统研发中，我们先从系统总体上出发，已经顺利地开展了理论上探讨，并且进行了基于多层安全防护代理的相关技术研究。本项目小组已深入研究和分析用户认证系统、安全访问控制系统、入侵检测和攻击防系统、漏洞和风险评估、安全审计系统和攻击后的恢复等系统的相关技术，初步掌握了这些系统的具体实现，为即将开展完成项目的实施方案和案例分析、开展计划调度、成本控

16、制、集成平台的技术攻关、开展软件模块研发做好了前期准备工作，更为预期完成集成，构建一个基于多层安全代理的集成访问控制模型打好坚实的基础，现正在做进一步的需求分析与概要设计。二、 技术方案论述1. 项目技术关键点或创新点论述，项目完成时达到的技术水平基于多层安全代理的集成访问控制系统关键技术及创新点：1) 实现基于PKI支持单点登录的用户认证代理，可使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高系统的易用性。同时，PKI认证保证应用系统所传输信息的性和完整性，在系统中实现安全的身份认证和信息传输。2) RBAC模块中，采用最先进的PMI技术与RBAC技术相结合进行强授权管理。引

17、入权限传播度解决因为角色层次关系引起的权限继承性，和因此导致的私有权限的问题；定义一种授权和约束语言，能描述各种不同的约束，并简化授权；定义静态角色互斥、动态角色互斥和操作权限互斥，实现责任分离；利用回答语义集来实现访问控制； 3) 研究一个既能兼并现有的成熟防病毒软件，又能实现对应用系统传输的数据进行病毒扫描的防病毒代理。它能提供病毒事件的监控、告警和管理，支持自动下载最新的病毒特征码和扫描引擎，和下载文件的实时监控。4) 入侵检测代理采用当今流行的snort系统插件模式，结合国际先进的反IDS欺骗技术、底层协议分析技术、智能规则技术、实时显示技术和网络数据监控技术，并引入移动Agent技术

18、，设计一种基于移动代理的插件模式分布式入侵检测系统。5) 在入侵检测模块中，采用聚类算法对网络数据进行挖掘，并引用创新算法CLOPE实现检测。该算法无须标准化数据，聚类过程中运用一个全局准则函数循环优化聚类结果，具有快速、有效并且扩展性好的特点。改进的CLOPE聚类算法不同于其它聚类算法，它不但能快速得出聚类结果，而且检测率很高。同时，将其嵌入snort插件模式中，保证高效的检测。6) 安全审计模块通过分类算法、相关性分析和事件序列分析技术实现带有学习能力的规则库自动更新的关联分析技术，对新出现的攻击方式也可以在最快时间做出反映。另外，还能实现对多个层次的审计，既能对低层网络数据通信进行审计，

19、又能对高层应用服务进行审计，还能实现对网络层数据审计。7) 采用入侵容忍技术来保护集成调度系统的安全，来从整体上提升整个系统的安全等级。8) 基于先进的多层次防护安全理念，集成多种信息安全防护技术、构建一个足够强健、立体式的多层次防护的安全集成系统；整个系统基于移动Agent，采用分布式体系构架。项目完成时达到的技术水平：预期项目完成时整体技术达到国领先，国际先进水平。2、项目技术方案论述：研制容及技术路线、流程、主要技术指标（1）研制容及技术路线本项目基于业界领先的多层次防护安全理念，结合多种安全技术，着力构建一个足够强健、立体式的多层次防护的安全集成系统，它将成为国最大的计算机网络安全开发

20、应用项目和跨平台的异构广域网的系统安全应用产品。系统采用纵深多层防御策略思想、计算机网络智能多代理技术进行网络安全整体解决方案的理念，摆脱目前国安全行业解决方案的盲区。以分布式智能安全代理、智能网络安全综合管理平台为核心，以密码产品商业应用及PKI认证系统为基础，联动安全访问控制代理、入侵检测、防病毒及安全审计等多种安全部件组成的网络安全综合管理系统。本项目研制的分布式基于多层安全代理的集成访问控制系统包括：用户认证代理、基于角色的访问控制代理、防病毒代理、入侵检测及流量检测代理、系统安全审计代理、智能网络安全综合管理模块(安全代理集成调度模块)六个大模块。系统部各模块使用多代理技术， 总体布

21、局采用树状分层的系统体系结构。智能网络安全综合管理模块(安全代理集成调度模块)是整个多层安全系统的人机交互管理界面，可以定制安全策略，是系统的指挥、调度中心；另外五个模块分别设计成一个代理模式，每个都是一个安全层次、一道防护屏障，它们之间相对独立却又相互补充，每个模块都是一个独立的安全层，不因为任一其它模块的崩溃而失效；但在集成调度的控制下，各模块间的信息又可相互补充。用户认证代理实现对用户的认证，保证用户身份是可信的。基于角色的访问控制实现对用户的访问权限进行控制和分级，防止非法用户的访问和合法用户的非法使用。防病毒和防火墙代理用于防止已知和未知的病毒破坏系统文件。三大模块首先构成攻击防层，

22、接着入侵检测及流量检测代理补充防火墙不能阻止部袭击的缺陷，监视或阻止入侵者试图控制系统、避免入侵者寻找防火墙背后可能敞开的后门进入系统，并提供实时的入侵检测能力和响应能力。检测分析后的信息同时提交系统安全审计模块，进一步的记录、统计和分析操作系统和应用系统发生的事件，评估有无异常的系统、安全和应用事件，对有异常行为并破坏系统的完整性时对数据恢复。它们构成分层防护的三大层次：攻击检测，攻击防和攻击后的恢复，联合起来构成一道综合的保护屏障，从而使网络和应用系统得到足够的安全保护。各模块主要研制容如下：（一）、基于PKI、支持单点登录的用户认证代理用户认证是传统的系统安全维护工具，目前用户的身份认证

23、方式主要还是以用户名+口令的方式为主，这种认证方式存在比较大的安全漏洞，例如口令窃听，口令字典攻击等攻击方式都可以在用户不知觉的情况下获得用户的口令，从而使用户认证失去意义。并且目前企业或者政府部的用户需要同时访问多个应用系统，用户在访问不同系统时需要分别独立启动并登录到不同的应用程序中，由于系统较多，用户账号或密码遗忘现象时有发生，而在安全性和系统管理方面，不同的系统（如：ERP、统计分析、OA等）由不同的人员维护，造成极大的不便。针对上述问题，本模块完全基于PKI（Public Key Infrastructure）架构设计，支持PKI的各种标准，遵循X.509V3、RSA PKCS系列、

24、SSL、CSP等国际和工业标准。PKI认证系统提供良好的开放性与互操作性，其中以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的性、完整性，以及交易实体身份的真实性，签名信息的不可否认性。并且使系统支持单点登录的用户认证，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，这将极大地方便用户使用，提高应用系统的易用性。PKI认证示意图如图2所示：图2：PKI认证示意图（二）、结合PMI技术的基于角色的访问控制代理基于角色的访问控制代理主要实现对用户的访问权限进行控制和分级，防止非法用户的访问和合法用户的非法使用，保证系统的信息安全，同

25、时实现对以后模块的总检测信息量进行减负和分流。基于角色的访问控制能支持责任分离、最小特权等安全原则，能解决因为角色层次关系引起的权限继承性，和因此导致的私有权限的问题，能实现多层次的分布式授权，并解决由此引起的权限冲突的问题。并且系统还采用最先进的PMI（Privilege Management Infrastructure）进行强授权管理。安全访问控制管理模型的体系结构如图3所示：图3、安全访问控制管理模型的体系结构图（三）、防病毒代理防病毒代理块主要包括中心服务器和主机端代理。中心服务器进行集中管理、统一控制，管理权限集中到控制中心，由管理员进行全网统一操作，客户端无权停止控制中心的各种操

26、作命令，XX无法卸载客户端，以保障整个系统防的完整性和一致性；另外还提供病毒自动分发模块及时更新主机端代理的病毒库。主机端代理实现终端保护和保护，即客户端的病毒防杀，和下载文件的实时监控，保护企业网络不受已知病毒侵扰。本防病毒模块有以下几大特点：（1）双引擎业界领先的双引擎扫描方式，帮助构建一个多层防的防病毒体系，建立两种扫描引擎，利用不同的扫描机制，最大限度查杀已知和未知病毒。（2）基于策略的中央控制分级管理模式网络管理支持基于强制策略的分级管理模式，各个管理服务器可以自动发现各自管辖网段中的机器, 管理员可以根据需要, 将网络中的机器分成一个或多个组, 这样对一个组制定的防毒策略可以自动分

27、发到组中的所有成员, 从而可以实现对网络中所有机器的分组管理。（3）同Windows 性能监视器紧密集成同Windows NT、Windows 2000和Windows XP的性能监视器紧密集成，添加十余个计数器，利用丰富的图表形式动态实时表现服务器的防病毒软件运行状况和病毒活动情况。在病毒多发期间，管理员仅仅需要在管理台前打开性能监视器就可以动态实时监视全网中所有关键服务器的安全状况。本模块的体系结构如图5所示： 图5、防病毒代理系统结构图（四）、入侵检测及流量检测代理入侵攻击检测和攻击防是指监视和阻止入侵者试图控制系统。它作为分层安全中防体系中日益被普遍采用而不可缺少的成分，入侵检测和攻击

28、防系统将有效地提升黑客进入系统的门槛。入侵检测技术是动态安全技术的核心技术之一，它采取的不是传统网络安全技术被动防御的策略，而是主动监视、检测和识别正在进行的或已经成功的入侵者和入侵行为，为阻止入侵事件的发生和发展、为防止入侵所造成损失的扩大、为系统或数据的恢复以及为入侵事件的处理提供信息和证据。它作为分层安全防体系中日益被普遍采用而不可缺少的成分，入侵检测将有效地提升黑客进入系统的门槛。本模块采用snort系统插件模式，结合国际先进的反IDS欺骗技术、底层协议分析技术、智能规则技术、实时显示技术和网络数据监控技术，并引入创新聚类算法提高检测率，使入侵分析大大简化。这种基于移动代理的插件模式分

29、布式入侵检测系统，能全面监视整个系统中的通信情况，及时捕获入侵行为，并针对系统的可疑入侵行为，做出策略反映、及时告警和日志记录等，最大限度的保证系统安全，在入侵检测准确率、复杂度和可扩展性方面都是一个很好的突破。入侵检测模块应能够通过向管理员发出入侵警告，以增强系统访问控制，作为一项重要的安全机制，它还可帮助安全管理员指定杜绝未来攻击的应对措施。入侵检测模块的功能应该包括：自动地收集和系统相关的信息；监视分析用户和系统的行为；评估敏感系统和数据的完整性；对异常行为进行统计；进行审计跟踪，识别违反安全法规的行为；识别攻击行为；使用诱骗服务器（“蜜罐”）记录黑客行为。基于移动代理的插件模式分布式入

30、侵检测模块的体系结构如图4所示：图4、基于移动代理的插件模式分布式入侵检测模块的体系结构图（五）、系统安全审计代理现代安全计算机系统,除了要求有数据加密、身份验证、入侵检测等安全措施以外,还要求有审计功能。一般的安全审计系统作为一个完整安全框架中一个必要环节，一般处在入侵检测之后，作为对前面几个模块的必要补充。审计是在计算机系统中用来监视、记录和控制用户活动的一种机制,它的主要目的是对数据流进行采集, 分析和识别, 实时监视系统的运行状态, 记录系统事件, 发现安全隐患, 并对系统活动的相关信息进行存储, 分析和审计回放。 通过对审计日志文件的分析,我们可以有效阻止这些访问或者在事后进行分析追

31、查或者作为后台供其他模块调用。（六）、智能网络安全综合管理模块(安全代理集成调度模块)智能网络安全综合管理模块(安全代理集成调度模块)，是人机交互管理界面，是系统的指挥、调度中心。它直接影响到整个系统的各组成部分间的协调和整个系统的工作效率。智能网络安全综合管理模块是整个安全管理系统的核心，一旦黑客占领和控制了集成调度系统，整个系统的安全性就完全丧失，所以集成调度系统的自身安全性是重中之重。我们拟采用入侵容忍技术来保护集成调度系统的安全，来从整体上提升整个系统的安全等级。集成调度主要的任务是与前面描述的用户代理进行交互及管理，发挥各个用户代理的最大作用，主要功能包括：1、用户PKI数字证书和P

32、MI属性证书的发放，撤销，更新等管理。2、基于角色的访问控制规则和策略的制定和发布。3、病毒特征和攻击特征的实时发布与更新。4、定制入侵检测和系统安全审计中的分析技术组合。5、病毒、攻击报警，审计信息的实时收集和分析处理。6、提供统一的人机交互界面，提供指挥和调度的接口。集成各模块后的系统模型如图1所示：（2）技术流程本项目的研发所采取的技术流程如下： 系统分析(System Analysis) 系统设计(System Design) 系统建造(System Building) 程序编码(Program Coding) 部测试(Internal Testing) 面向用户的测试(Customer-Oriented Testing) 文档制作(Documentation)3、项目技术质量指标：项目产品达到的主要技术性能指标本项目系统包括用户认证代理、基于角色的访问控制代理、防病毒代理、入侵检测及流量检测代理、系统安全审计代理、智能网络安全综合管理模块(安