基于LDAP分布式防火墻的遠程監(jiān)控系統(tǒng)的安全技術(shù)研究.pdf

1、遠程監(jiān)控系統(tǒng)借助Internet實現(xiàn)監(jiān)視與控制任務(wù)，將監(jiān)控范圍擴展到更廣的空間，進一步推動了控制技術(shù)向網(wǎng)絡(luò)化、分散化和開放化的方向發(fā)展。隨著基于Internet的遠程監(jiān)控系統(tǒng)的逐步普及，其安全性受到來自企業(yè)網(wǎng)絡(luò)外部和內(nèi)部不安全因素的嚴(yán)重威脅，而各種不安全要素可能會造成現(xiàn)場生產(chǎn)過程和設(shè)備的控制失調(diào)、生產(chǎn)停機，甚至還會發(fā)生現(xiàn)場重大事故。因此，為了使得遠程監(jiān)控系統(tǒng)能夠可靠地運行，一個值得研究的關(guān)鍵問題就是遠程監(jiān)控系統(tǒng)的安全性。通常，一個完整的

2、安全體系結(jié)構(gòu)主要由四個層次組成：實體安全、網(wǎng)絡(luò)安全、應(yīng)用安全和管理安全，本文主要研究遠程監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全。 基于分布式防火墻的遠程監(jiān)控系統(tǒng)安全方案是使用分布式防火墻系統(tǒng)中的網(wǎng)絡(luò)防火墻來保護企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)，企業(yè)內(nèi)部各子網(wǎng)之間的安全；將主機防火墻置于遠程監(jiān)控系統(tǒng)所在的內(nèi)部主機上，能保護遠程監(jiān)控系統(tǒng)受到來自內(nèi)部網(wǎng)絡(luò)的攻擊；策略中心為網(wǎng)絡(luò)防火墻和主機防火墻制定安全策略規(guī)則，并負(fù)責(zé)日志的匯總、分析等功能。該方案具有改善了內(nèi)部安全，提

3、供對遠程監(jiān)控系統(tǒng)全面的保護等優(yōu)點。在安全方案中，策略中心是其核心，如果其一旦遭受攻擊而導(dǎo)致無法工作，那么整個安全系統(tǒng)就行同虛設(shè)。 為了解決上述問題，本文將輕量級目錄訪問協(xié)議(Lightweight Directory AccessProtocol，LDAP)引入到分布式防火墻系統(tǒng)安全方案中，提出了一個分布式的策略中心系統(tǒng)模型。在該模型中，首先將所有的防火墻根據(jù)其安全級別需求的不同或所保護的應(yīng)用的不同分成不同的安全組，然后使用一個

4、或多個子策略中心管理屬于一個安全級別或一個應(yīng)用的安全組。整個分布式防火墻的日志收集、匯總、分析等工作由一個專門的子策略中心負(fù)責(zé)。每個子策略中心由LDAP服務(wù)器和策略中心管理平臺所組成，其中LDAP服務(wù)器負(fù)責(zé)存儲各種信息，并完成對用戶的認(rèn)證和授權(quán)；策略中心管理平臺以圖形化的界面提供給策略中心管理者制定策略、管理日志和節(jié)點防火墻信息等功能，并負(fù)責(zé)與客戶端通信的安全。分散的各個子策略中心通過LDAP分布式技術(shù)鏈接成為一個分布式策略中心系統(tǒng)。因