面向网站的多级安全策略研究
毕业论文关键词:BLP 模型 多级安全策略 SQL 注入攻击
Research on the Multi-level Security Policyfor Websites
Abstract With the widespread use of the Internet, threats are growing on the Internet. There are more and more people worrying about information security . Multi-level securitypolicy as a convenient and easy security policy has been widely used. However, multi-level security policy is still insufficient, information integrity issue is not a good solution.At first, this article analyzes and studies the existing multi-level security policy common BLP models. Lack of support for information integrity and shortcomings of their blind response model exists, this article makes some improvement and optimization with improving the sensitivity which marks the original model.Secondly, this article carries out research and analysis about the general site security often encountered SQL injection attacks. And according to the general precautions to prevent SQL injection attacks, this article improves BLP model for site use.Finally, this article evaluates and compares not-interference model with the use of information model for improving security model.
KeyWords: BLP model multi-level security policy SQL injection attack
目录
摘要.I
AbstractII
1绪论1
1.1多级安全策略的研究背景.1
1.2多级安全策略的研究现状.2
2多级安全策略.3
2.1BLP模型.3
2.2BLP模型的不足4
2.3BLP模型的改进5
3网站安全策略.6
3.1网站访问模型6
3.2SQL注入攻击7
3.3SQL注入攻击的防范.7
4面对网站的多级安全策略及其评价.8
4.1面向网站的多级安全策略.8
4.2对多级安全策略的安全性评价9
5总结与展望.10
5.1工作总结10
5.1工作展望10
参考文献11
致谢12
1 绪论随着网络技术的迅速发展,网络逐渐深入到我们身边的每个角落。网络的大规模应用使得社会上各个行业对于网络和信息系统的依赖越来越大,但,与之相对的各种网络安全威胁也越来越高。为了应对日益增长的网络威胁,信息网络安全技术得到了飞速发展。在经济效益方面,2014 年在全球信息安全方面的市场总量已经达到人民币3 . 5951 亿元,而其年增长率达到惊人的 % 3 . 10 。而按照这种增加速度,到 2019年市场总量更有望达到人民币 1 . 9695 亿元。我国的信息安全在不断发展过程中, 取得了很大进展, 但仍然面临很多问题。其中,多级安全策略作为一种适用性广,相对便捷的安全策略是值得广泛研究的课题。
1.1 多级安全策略的研究背景“安全”这一概念在网络安全中一般是指保护网络系统的硬件、软件及其系统中的数据,不会因为误操作或者恶意操作而遭受毁坏、更改、泄漏。多级安全策略中的“安全”更偏向于对系统中的有效数据进行保护。其特点有:保密性,即系统中的有效信息不会被泄漏给非授权的主体;完整性,即数据不能被没有被系统所授权的主体进行改变的特性;可用性,即有效信息可以被已经获得授权的主体进行访问并按需求进行使用的特性;可控性,即对系统中信息的传播内容及传播途径具有独立的控制能力;可审查性,即出现安全问题时可以提供防范依据与手段。“多级”这一概念在多级安全策略中一般是包含对数据、主体和客体的安全等级和分类, 同时, 在主体访问客体时, 根据等级和分类的不同进行不同的处理。主体、客体和数据的安全标识一般包含两部分,一部分对数据进行安全分级,一部分对数据进行归类。其中安全分级一般被简单化分为“一般”、 “秘密”、 “极密”这三个等级 ] 1 [。根据DISA Security Industry (Defence ) n Associatio 的定义,多级安全信息系统为一个系统中容许具有不同安全等级信息, 并且允许具有不同安全权限的用户依照系统的安全策略处理系统中信息。同时,阻挡没有获得权限的主体访问有效信息的系统。在这类体系中存在具备不同的安全标签的客体和主体,继而系统依据主客体安全标识和系统中的多级安全策略来确认主体能不能访问客体。多级安全最早被应用在军事领域,因为在实际情景中,军事具有天然的多级安全性。然而时至今日,互联网技术的日新月异与互联网规模的不断增大,人们所面对的实际情况也越来越复杂。多级安全的需求深入到人们生活中的各个角落。而也正是因为网络所带来的各种安全事故,社会上的网络安全意识也渐渐增长。而同时技术人员也渐渐了解到网络安全防范的复杂性,开始将目光投向多级安全,是以多级安全技术又一次成为网络安全技术的焦点。进入新纪元,源`自,优尔.文;论"文'网[www.youerw.com多级安全技术也渐渐走向成熟。而各种新技术的产生,比如可信计算技术、IPSec技术以及新的编码加密技术等又为其增加了新的发展潜能。日益增长的需求和飞速发展的技术使得多级安全技术拥有一个非常好的研究前景。