基于网络隔离与数据交换的安全系统研究与实现
|
摘要
计算机安全问题几乎随着计算机的产生而产生,特别是计算机网络的出现及其迅速发展,计算机安全问题越来越重要。
我们在进行“广东工业大学继续教育学院网络管理信息系统”的项目研发过程中遇到了这样的问题:学生通过外网查询成绩,教师通过外网录入成绩到内网。在外网防火墙等防护机制都失效的情况下,必须保证内网的重要数据 (如,学生成绩)的安全。这就必须有一种机制来保证内外网间的隔离和内外网间数据自动交换。
论文基于以上问题的解决,实现和研究的是一个多级安全防护系统。系统通过传统的入侵检测、包过滤等防火墙机制来保护外网的安全,在内网和外网之间设有一个网络隔离和数据自动交换的装置(称作隔离交换器)系统来保证内外网间的隔离和数据自动交换,它是系统的核心部分。这个核心部分不使用 TCP/IP协议,用自主独立研发的驱动程序软件,通过串/并口或者USB口将自定义格式的数据进行传输。在数据传输过程中,通过电路互锁机制使内网或外网任何一方与隔离交换器进行数据交换时,另一方保持相当于物理隔离的隔离状态。为了保证外网数据的时效性,系统定时传送数据到外网,同时为了保证数据库的安全性,最终的成绩数据还必须打印经教师签名确认存档。
最后,论文提出了一种教师从公网录入成绩数据的安全传输机制。
经调查,还没有发现真正解决内网和外网间隔离和数据自动交换的方案系统。系统已经成功应用于“广东工业大学继续教育学院网络管理信息系统”,也将在“广州王府井电子商务系统”、“广东电器市场电子商务网站系统”中使用。实际上,任何涉及内外网隔离和数据交换的系统都可以直接或者稍作修改应用该系统。系统先进,具有很大的实用性和推广性。
The problem of computer security was almost born with the presence of computer, and especially with presence and rapid development of the computer network, it takes on more and more important.
when we developed the project The network management information system of the college of continuing education of Guangdong University of Technology, such a problem was faced: students inquire about scores via extranet, and teachers enter scores into intranet via extranet ,the security of the important data in intranet must be ensured once the firewall, etc. is void. Therefore, there must be a mechanism to ensure the isolation and exchanging data between intranet and extranet.
In this paper based on the solution of that problem, a multilevel defense system is researched and implemented. The system ensures the extranet by traditional technology, such as IDS and filtering the packet, and ensures the internet by installing a set (called isolation & exchange set)between intranet and extranet , which is the core of the system and isolates networks & automatically exchanges data between intranet and extranet. The core part doesn't use the protocol of TCP/IP, and it transfers especial format data defined by myself by a serial port/parallel port or a USB port with driver software researched by myself and keeps isolated state which is equal to physical disconnect when one side exchanges data with the part of the core by the circuit locking each other. To ensure the efficiency and availability of data, the system transfer data at fixed time. At the same time, the data of the score must be with signature of a teacher when it is printed on the paper that is saved.
Finally, a security mechanism the teacher enters data via the Internet is finally put forward to ensure the security of transferring data.
A system which indubitably resolves the isolation between intranet and extranet and exchanging data was not found by research. The system was successfully used on The network management information system of the college of continuing education of
Guangdong University of Technology and will be used on Guangzhou Wangfujin Electronic Commerce System and Guangdong Electronic Appliances Market Electronic Commerce System. In fact, any project system involved in network security and isolation between intranet and extranet can use the system directly or with little modification. The system is very advanced, and it has practicability and generalization.
我们在进行“广东工业大学继续教育学院网络管理信息系统”的项目研发过程中遇到了这样的问题:学生通过外网查询成绩,教师通过外网录入成绩到内网。在外网防火墙等防护机制都失效的情况下,必须保证内网的重要数据 (如,学生成绩)的安全。这就必须有一种机制来保证内外网间的隔离和内外网间数据自动交换。
论文基于以上问题的解决,实现和研究的是一个多级安全防护系统。系统通过传统的入侵检测、包过滤等防火墙机制来保护外网的安全,在内网和外网之间设有一个网络隔离和数据自动交换的装置(称作隔离交换器)系统来保证内外网间的隔离和数据自动交换,它是系统的核心部分。这个核心部分不使用 TCP/IP协议,用自主独立研发的驱动程序软件,通过串/并口或者USB口将自定义格式的数据进行传输。在数据传输过程中,通过电路互锁机制使内网或外网任何一方与隔离交换器进行数据交换时,另一方保持相当于物理隔离的隔离状态。为了保证外网数据的时效性,系统定时传送数据到外网,同时为了保证数据库的安全性,最终的成绩数据还必须打印经教师签名确认存档。
最后,论文提出了一种教师从公网录入成绩数据的安全传输机制。
经调查,还没有发现真正解决内网和外网间隔离和数据自动交换的方案系统。系统已经成功应用于“广东工业大学继续教育学院网络管理信息系统”,也将在“广州王府井电子商务系统”、“广东电器市场电子商务网站系统”中使用。实际上,任何涉及内外网隔离和数据交换的系统都可以直接或者稍作修改应用该系统。系统先进,具有很大的实用性和推广性。
The problem of computer security was almost born with the presence of computer, and especially with presence and rapid development of the computer network, it takes on more and more important.
when we developed the project The network management information system of the college of continuing education of Guangdong University of Technology, such a problem was faced: students inquire about scores via extranet, and teachers enter scores into intranet via extranet ,the security of the important data in intranet must be ensured once the firewall, etc. is void. Therefore, there must be a mechanism to ensure the isolation and exchanging data between intranet and extranet.
In this paper based on the solution of that problem, a multilevel defense system is researched and implemented. The system ensures the extranet by traditional technology, such as IDS and filtering the packet, and ensures the internet by installing a set (called isolation & exchange set)between intranet and extranet , which is the core of the system and isolates networks & automatically exchanges data between intranet and extranet. The core part doesn't use the protocol of TCP/IP, and it transfers especial format data defined by myself by a serial port/parallel port or a USB port with driver software researched by myself and keeps isolated state which is equal to physical disconnect when one side exchanges data with the part of the core by the circuit locking each other. To ensure the efficiency and availability of data, the system transfer data at fixed time. At the same time, the data of the score must be with signature of a teacher when it is printed on the paper that is saved.
Finally, a security mechanism the teacher enters data via the Internet is finally put forward to ensure the security of transferring data.
A system which indubitably resolves the isolation between intranet and extranet and exchanging data was not found by research. The system was successfully used on The network management information system of the college of continuing education of
Guangdong University of Technology and will be used on Guangzhou Wangfujin Electronic Commerce System and Guangdong Electronic Appliances Market Electronic Commerce System. In fact, any project system involved in network security and isolation between intranet and extranet can use the system directly or with little modification. The system is very advanced, and it has practicability and generalization.
引文
[1] 戴宗坤 唐三平 等 《VPN与网络安全》 电子工业出版社 2002年9月P1—P5
[2] 李海泉 李健、《计算机网络安全与加密技术》 科学出版社 2001年3月P271、P335
[3] 王宇洁 《计算机网络通信中数据安全与保密方法的研究》 沈阳工业大学硕士学位论文 20010630
[4] 张国豪 《新型计算机网络安全系统的研究与实现》华南理工大学硕士学位论文 20010314
[5] http://www.zdnet.com.cn/biztech/security/story/0,2000096138,39098500,00.htm
[6] 杨扬 网络安全与物理隔离技术 《渝西学院学报(自然科学版)》2002年6月第1卷 第2期
[7] M. Bishop, L.T Heberlein, "An Isolated Network for Research". The 19th National Information Systems Security Conference
[8] 林中 网络安全隔离技术浅析 《福建建设科技》 2002.NO.3
[9] 张震 网络隔离的技术分析与安全模型应用 《数据通信》 2002年第三期
[10] 乐祖晖,王士敏 隔离网络数据安全交换系统《电力自动化设备》2002.08
[11] http://www. victory-idea.com/wz%EF%BC%8D3js.htm
[12] http://www. yizan.com/chanpin/yz_on_off.htm
[13] Andrew S. Tanenbaum著 熊桂喜 王小虎 等译《计算机网络(第3版)》清华大学出版社 1998年7月 P447
[14] Michael F. Schwartz, The Great Disconnection?, Department of Computer Science, University of Colorado, Boulder, Colorado, Technical Report CU-CS-521-91, February 1991
[15] IEEE INTERNET COMPUTING March. April 2002
[16] [美]Adrian Tang & Sophia Scoggins 著 戴浩 译《开放式网络和开放系统互连》P45 电子工业出版社 1994
[17] 广东工业大学继续教育学院 《广东工业大学成人高等教育学生手册》 2000年8月24日
[18] 蒋磊宏、董传良、钟华,上海交大基于校园网的MIS建设规划《中山大学学报》2001,Vol.40
[19] 张宏森,等.四层B/S结构及解决方案[J].2002,(9):21-22
[20] 徐永诚,等.XML在C/S与B/S混合体系结构下的应用[J].2002,(6):148-150
[21] (美)Glen Brue Rob Dempsey 著李如豹 刚冬梅 等译分布式计算的安全原理机械工业出版社 2002年9月P77-86,P181
[22] 唐任仲,工程应用软件开发技术[M].北京:化学工业出版社,1999.
[23] 宣华 王盈雪 陈怀楚 清华大学综合教务系统在教务管理中的应用《计算机工程与应用》2002.11
[24] 鲍友仲《网络安全之防黑秘诀》电子工业出版社 2002年1月 P11
[25] http://www. victory-idea.com/0325-js.htm
[26] 谢希仁《计算机网络》(第2版) 电子工业出版社 1999年4月
[27] 刘乐善《微型计算机与接口技术》华中科技大学出版社 2001年3月
[28] 李建华 郭明《RS—232和调制解调器高级通信编程》人民邮电出版社 2001年7月
[29] (美)Microsoft Corporation著 周明全 耿国华 张毅坤 姚全珠 等译《Windows 2000 驱动程序开发大全 第2卷 参考手册》机械工业出版社 2001年8月P1004
[30] 陈周造 陈灿煌《精通C++Builder 5程序设计高级教程》中国青年出版社 2001年2月
[31] http://www.yesky.com/20020801/1623061.shtml
[32] 冯小聪等《黑客帝国——Internet安全防范实例》中国电力出版社 2002年5月 P65-P118
[33] 李旭《数据通信技术教程》机械工业出版社 2001年8月P57—60 P109— 110
[34] 刘东 循环冗余校验 CRC的算法分析和程序实现《计算机与信息技术》2002年第9期
[35] 黄军 熊勇 等 Delphi串口通信编程 人民邮电出版社2001年8月P198-202
[36] http://www.csdn.net/develop/article/18/18001.shtm
[37] 李华 等《MCS-51系列单片机实用接口技术》北京航空航天大学出版社 1993年8月
[38] 龚正虎《现代TCP/IP网络原理与技术》国防工业出版社 2002年9月
[39] [美]Jan Axelson著 那怡超 等译《并行端口大全》中国电力出版社 2001年4月P43-48
[40] http://www. cztech.net/safe/insulate.htm
[41] 卢开澄《计算机密码学——计算机网络中的数据保密与安全》(第2版)清华大学出版社 1998年7月
[42] 王新梅《纠错码浅说》人民邮电出版社 1976年7月 P165-166
[43] http://www. xy2002.net/cgi-bin/lb/view.cgi?forum=11 &topic=59
[2] 李海泉 李健、《计算机网络安全与加密技术》 科学出版社 2001年3月P271、P335
[3] 王宇洁 《计算机网络通信中数据安全与保密方法的研究》 沈阳工业大学硕士学位论文 20010630
[4] 张国豪 《新型计算机网络安全系统的研究与实现》华南理工大学硕士学位论文 20010314
[5] http://www.zdnet.com.cn/biztech/security/story/0,2000096138,39098500,00.htm
[6] 杨扬 网络安全与物理隔离技术 《渝西学院学报(自然科学版)》2002年6月第1卷 第2期
[7] M. Bishop, L.T Heberlein, "An Isolated Network for Research". The 19th National Information Systems Security Conference
[8] 林中 网络安全隔离技术浅析 《福建建设科技》 2002.NO.3
[9] 张震 网络隔离的技术分析与安全模型应用 《数据通信》 2002年第三期
[10] 乐祖晖,王士敏 隔离网络数据安全交换系统《电力自动化设备》2002.08
[11] http://www. victory-idea.com/wz%EF%BC%8D3js.htm
[12] http://www. yizan.com/chanpin/yz_on_off.htm
[13] Andrew S. Tanenbaum著 熊桂喜 王小虎 等译《计算机网络(第3版)》清华大学出版社 1998年7月 P447
[14] Michael F. Schwartz, The Great Disconnection?, Department of Computer Science, University of Colorado, Boulder, Colorado, Technical Report CU-CS-521-91, February 1991
[15] IEEE INTERNET COMPUTING March. April 2002
[16] [美]Adrian Tang & Sophia Scoggins 著 戴浩 译《开放式网络和开放系统互连》P45 电子工业出版社 1994
[17] 广东工业大学继续教育学院 《广东工业大学成人高等教育学生手册》 2000年8月24日
[18] 蒋磊宏、董传良、钟华,上海交大基于校园网的MIS建设规划《中山大学学报》2001,Vol.40
[19] 张宏森,等.四层B/S结构及解决方案[J].2002,(9):21-22
[20] 徐永诚,等.XML在C/S与B/S混合体系结构下的应用[J].2002,(6):148-150
[21] (美)Glen Brue Rob Dempsey 著李如豹 刚冬梅 等译分布式计算的安全原理机械工业出版社 2002年9月P77-86,P181
[22] 唐任仲,工程应用软件开发技术[M].北京:化学工业出版社,1999.
[23] 宣华 王盈雪 陈怀楚 清华大学综合教务系统在教务管理中的应用《计算机工程与应用》2002.11
[24] 鲍友仲《网络安全之防黑秘诀》电子工业出版社 2002年1月 P11
[25] http://www. victory-idea.com/0325-js.htm
[26] 谢希仁《计算机网络》(第2版) 电子工业出版社 1999年4月
[27] 刘乐善《微型计算机与接口技术》华中科技大学出版社 2001年3月
[28] 李建华 郭明《RS—232和调制解调器高级通信编程》人民邮电出版社 2001年7月
[29] (美)Microsoft Corporation著 周明全 耿国华 张毅坤 姚全珠 等译《Windows 2000 驱动程序开发大全 第2卷 参考手册》机械工业出版社 2001年8月P1004
[30] 陈周造 陈灿煌《精通C++Builder 5程序设计高级教程》中国青年出版社 2001年2月
[31] http://www.yesky.com/20020801/1623061.shtml
[32] 冯小聪等《黑客帝国——Internet安全防范实例》中国电力出版社 2002年5月 P65-P118
[33] 李旭《数据通信技术教程》机械工业出版社 2001年8月P57—60 P109— 110
[34] 刘东 循环冗余校验 CRC的算法分析和程序实现《计算机与信息技术》2002年第9期
[35] 黄军 熊勇 等 Delphi串口通信编程 人民邮电出版社2001年8月P198-202
[36] http://www.csdn.net/develop/article/18/18001.shtm
[37] 李华 等《MCS-51系列单片机实用接口技术》北京航空航天大学出版社 1993年8月
[38] 龚正虎《现代TCP/IP网络原理与技术》国防工业出版社 2002年9月
[39] [美]Jan Axelson著 那怡超 等译《并行端口大全》中国电力出版社 2001年4月P43-48
[40] http://www. cztech.net/safe/insulate.htm
[41] 卢开澄《计算机密码学——计算机网络中的数据保密与安全》(第2版)清华大学出版社 1998年7月
[42] 王新梅《纠错码浅说》人民邮电出版社 1976年7月 P165-166
[43] http://www. xy2002.net/cgi-bin/lb/view.cgi?forum=11 &topic=59
© 2004-2018 中国地质图书馆版权所有 京ICP备05064691号 京公网安备11010802017129号 地址:北京市海淀区学院路29号 邮编:100083 电话:办公室:(+86 10)66554848;文献借阅、咨询服务、科技查新:66554700 |