基于中間人方式的HTTPS監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著信息技術(shù)在國(guó)民經(jīng)濟(jì)各個(gè)領(lǐng)域日趨廣泛而深入的應(yīng)用,各行業(yè)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高。一個(gè)大型企業(yè),其業(yè)務(wù)處理、財(cái)務(wù)管理、統(tǒng)計(jì)分析、決策支持、辦公自動(dòng)化及人力資源管理等無(wú)不建立在信息技術(shù)平臺(tái)之上,信息安全問題正變得日益突出。特別是近年來(lái),研究人員在信息加密,如公開密鑰、對(duì)稱加密算法,網(wǎng)絡(luò)訪問控制,如防火墻,以及計(jì)算機(jī)系統(tǒng)安全管理、網(wǎng)絡(luò)安全管理等方面做了許多研究工作,并取得了很多研究成果。例如：公開密鑰、對(duì)稱密鑰算法可以防止信息在網(wǎng)絡(luò)傳

2、輸過(guò)程中被截獲和竊聽,防火墻可以阻止未授權(quán)的網(wǎng)絡(luò)使用者訪問內(nèi)部網(wǎng)的信息,控制內(nèi)部網(wǎng)用戶有選擇地訪問外部網(wǎng)信息,系統(tǒng)安全技術(shù)可以控制用戶對(duì)敏感數(shù)據(jù)的訪問,然而,當(dāng)一個(gè)網(wǎng)絡(luò)的管理人員試圖了解整個(gè)內(nèi)部網(wǎng)用戶在任何時(shí)刻,正在訪問哪里和哪些網(wǎng)絡(luò)數(shù)據(jù)時(shí),他會(huì)發(fā)現(xiàn)這幾乎是不可能做到的。因此迫切需要從技術(shù)手段上對(duì)網(wǎng)絡(luò)上的這些加密數(shù)據(jù)實(shí)施有效的監(jiān)控和管理,從而保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全。本文首先從網(wǎng)絡(luò)監(jiān)控和安全管理的現(xiàn)狀入手,介紹目前國(guó)內(nèi)外在網(wǎng)絡(luò)監(jiān)控和管理方面成

3、熟的技術(shù)和系統(tǒng),并分析了它們各自的優(yōu)缺點(diǎn)。發(fā)現(xiàn)目前這些流行的網(wǎng)絡(luò)監(jiān)控和管理系統(tǒng),對(duì)通過(guò)HTTPS協(xié)議的上網(wǎng)行為不能進(jìn)行有效的監(jiān)控和管理。然而根據(jù)當(dāng)前網(wǎng)絡(luò)監(jiān)控和管理的需求,如何對(duì)HTTPS協(xié)議進(jìn)行有效的監(jiān)控和管理是當(dāng)前網(wǎng)絡(luò)監(jiān)控和管理系統(tǒng)必須要解決技術(shù)難題。因此,本文所開發(fā)的基于中間人方式實(shí)現(xiàn)的HTTPS監(jiān)控系統(tǒng)正是從這一需求出發(fā),針對(duì)互聯(lián)網(wǎng)安全主管機(jī)構(gòu)的實(shí)際需要,提出的互聯(lián)網(wǎng)信息監(jiān)控系統(tǒng)解決方案。接著,通過(guò)對(duì)各種網(wǎng)絡(luò)監(jiān)控模式和數(shù)據(jù)包捕獲技

4、術(shù)的對(duì)比,根據(jù)對(duì)HTTPS協(xié)議進(jìn)行監(jiān)控的技術(shù)要求,確定HTTPS監(jiān)控系統(tǒng)的監(jiān)控模式和數(shù)據(jù)包捕獲技術(shù)。并在此基礎(chǔ)上設(shè)計(jì)和實(shí)現(xiàn)一個(gè)基于Linux的Netfilter包過(guò)濾框架的通用監(jiān)控網(wǎng)關(guān)。在這個(gè)通用監(jiān)控網(wǎng)關(guān)中封裝了底層的調(diào)用,并且做了優(yōu)化處理,程序開發(fā)人員可以通過(guò)這個(gè)通用監(jiān)控網(wǎng)關(guān)直接在內(nèi)核中捕獲和控制數(shù)據(jù)包,而不需再用底層的調(diào)用來(lái)編寫代碼捕獲和控制數(shù)據(jù)包。因此,該通用監(jiān)控網(wǎng)關(guān)在包過(guò)濾型防火墻、基于用戶的訪問控制和審計(jì)以及入侵檢測(cè)等方面都具