论文网
关于自动化相关论文范文检索,与计算机核心配置自动化系统设计与实现相关论文答辩开场白
本论文是一篇关于自动化相关论文答辩开场白,关于计算机核心配置自动化系统设计与实现相关毕业论文模板范文。免费优秀的关于自动化及计算机及计算机核心方面论文范文资料,适合自动化论文写作的大学硕士及本科毕业论文开题报告范文和学术职称论文参考文献下载。
摘 要:
计算机核心配置是提高上网计算机安全性的重要手段之一.从核心配置的概念及其基本方法出发,提出了基于客户端代理实现核心配置的自动化方法,研制了完整包含编辑、验证、分发执行和符合性监测等功能的自动化配置系统.该系统适用于各种机构保护上网计算机安全.
关 键 词:计算机核心配置;配置清单;配置基线包;自动化配置;客户端代理
0引言
上网计算机常常受到病毒、木马、黑客软件的攻击.受攻击的主要原因,一是计算机系统存在漏洞,二是计算机核心配置不当.有统计[1]表明,高达65%的终端安全事件是由于配置不当造成的.
核心配置是对计算机操作系统、办公软件、浏览器和基本输入输出系统(BasicInputOutputSystem,BIOS)等基础软件的关键安全选项进行参数设置[2].主要通过限制或禁止这些基础软件中存在安全隐患或漏洞的功能,启用或加强必要的安全保护功能,来增强计算机抵抗攻击的能力.对于有一定规模的机构,手工对每一台计算机逐项进行核心配置显然是不现实的,必须采用自动化配置方法.
核心配置自动化有三种方法:一是统一预装带安全配置的操作系统镜像,如美国空军实施的标准桌面配置计划(StandardDesktopConfiguration,SDC)[3],但该方法在计算机使用过程中无法根据外部安全环境的变化自动调整核心配置;二是利用Windows操作系统的域控管理机制,实现域环境下的自动化配置[4],但此方法只适用于计算机域管理模式,而且不支持安全配置符合性检查;三是采用客户端代理机制研制一套自动化配置工具,实现配置的分发执行,同时实现配置的符合性监测.美国标准技术研究院(NationalInstituteofStandardsandTechnology,NIST)制定了用于支持配置符合性检查的安全内容自动化协议(SecurityContentAutomationProtocol,SCAP)[5],Arellia、McAfee和Symantec等公司根据该协议研制出了配置符合性检查工具[6],同济大学研制出针对服务器配置加固的安全基线管理系统[7].但到目前为止还没有看到文献介绍一个完整的包含编辑、验证、分发执行和符合性监测等功能的自动化配置系统.
本文重点研究基于客户端代理的核心配置自动化方法和系统框架,并通过实例验证了方法的有效性.
该文url:http://www.sxsky.net/benkelunwen/060202224.html
1核心配置基本方法
在计算机操作系统、办公软件、浏览器和BIOS系统等基础软件中,有多种可进行参数设置的选项,如开关项、枚举项、区间项和复合项.我们把其中可能影响计算机安全的可选项称为核心配置项,可以根据安全要求对其进行赋值.按照基本安全要求对配置项设置的最低参数称为配置项基值.
利用基础软件本身提供的相关工具就可以对配置项进行手工赋值[8].例如:
安全要求:在锁定用户账户之前允许尝试登录的次数不超过5次.
配置方法:
1)启动组策略编辑器gpedit.msc;
2)按如下路径找到配置项的值:ComputerConfigurtion\WindowsSettings\Windows\SecuritySettings\AccountPolicies\AccountLockoutPolicy;
3)把“账户锁定阈值”项设为5.
2自动化配置方法
手工配置方法效率低,不适合大规模应用,大规模应用时对计算机进行自动化配置是必要的.本文提出一种基于客户端代理的核心配置自动化方法,这种方法包括制定基本配置要求、编制核心配置清单、生成核心配置基线包和分发执行四个步骤.
2.1制定基本配置要求
一个机构在开展终端安全配置管理时,首先要制定本单位的基本配置要求.制定基本配置要求的依据:一是我国等级保护基本要求,二是本单位信息系统的安全环境.
基本配置要求是安全主管与安全管理员之间交流的一种文件.通常从以下方面提出基本配置要求:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范和资源控制.下面给出了等保三级对身份鉴别的要求及其对应的一种配置要求示例.
等保三级要求[9]:“操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施.”
对应的配置要求:
1)账户登录时,应启动身份验证机制,限制连续登录失败次数,连续多次登录失败后应锁定账户;
2)应配置安全的口令长度、复杂度、有效期和加密强度,禁止不设置口令;
3)启动账户登录界面时,应禁止无关进程的启动和运行,防止鉴别信息被窃听.
2.2编制核心配置清单
核心配置清单是基本配置要求的进一步具体化,是制作配置包的基础.核心配置清单的主要内容包括:配置项标识、配置项名称、取值范围、配置项基值、赋值路径和检查规则等.
核心配置清单是安全管理员与信息技术人员之间交流的一种文件.下面给出了一种配置清单示例.
2.3生成核心配置基线包
核心配置基线包是自动化配置工具软件可以解析的一种数据文件,符合可扩展标记语言(eXtensibleMarkupLanguage,XML)语法格式,其基本结构如图1所示.
核心配置基线包由信息技术人员根据配置清单借助基线包编辑工具逐项录入,也可从一定格式的清单模板文件自动录入.
在基线包编辑工具中,可对配置基线包中的配置项进行添加、修改、合并和删除等编辑操作,可对配置项进行赋值或调整赋值.2.4分发执行
核心配置基线包生成后,可通过自动化配置工具软件自动分发到各个计算机终端,并由事先安装在计算机上的客户端代理软件执行实际配置工作.
在自动分发之前,要验证基线包的有效性、适用性和兼容性.在配置执行之后,还要收集计算机终端的配置状态,实时监测终端配置的符合性.
3核心配置自动化平台
为了实现计算机终端核心配置的自动化,一个机构通常要部署一套核心配置自动化平台,为此我们研制了计算机核心配置管理系统PCcare2012.该系统包括服务器端软件和客户端代理软件,具备配置包生成和编辑、配置验证、分发、批量赋值和符合性实时监测等全部功能.
3.1自动化平台的基本功能结构
核心配置自动化平台的基本功能结构如图2所示,由配置编辑、配置验证、配置部署和配置监测等四个功能模块组成.其中,配置编辑模块主要用于将核心配置清单自动转换生成核心配置基线包,配置验证模块用于对核心配置基线包进行验证和测试,生成可部署的配置基线包;配置部署模块用于对核心配置基线包进行自动化部署;配置监测模块用于对核心配置符合性状态进行实时监测.
3.1.1配置编辑模块
对于安全管理员依照核心配置基本要求制定的配置清单,配置编辑模块可对其进行转换和处理,生成可以编辑、解析、分发和执行的核心配置基线包.配置编辑模块包括基线包生成器和基线包编辑器两个部件:
1)基线包生成器主要用于生成原始的核心配置基线包,可根据清单内容逐项录入或由清单模板自动录入;
2)基线包编辑器主要用于修改核心配置基线包中的配置项的基值,并可进行添加、修改、合并和删除等编辑操作.
3.1.2配置验证模块
配置验证模块用于验证核心配置基线包的有效性、适用性和兼容性,保证所要分发执行的配置基线包的实施效果和安全.
1)有效性测试.有效性测试可采用人工测试与工具测试相结合的方法,验证核心配置基线包是否生效.具体功能包括:
(a)核心配置部署前,自动收集测试计算机的脆弱性情况;
(b)核心配置部署后,监测核心配置项的实际赋值是否与基值相一致;
(c)对测试计算机进行渗透测试,检验核心配置项是否发挥安全作用.
2)兼容性测试.
兼容性测试用于测试核心配置项之间的兼容性,解决核心配置项之间的冲突问题.具体功能包括:
(a)支持核心配置项的分析对比,找出有冲突的核心配置项;
(b)修改存在兼容性问题的核心配置项.
3)适用性测试.
适用性测试用于评估核心配置基线对计算机应用环境的影响,包括功能影响、性能影响和系统异常风险等.具体功能包括:
(a)收集测试终端软硬件环境信息,识别操作系统版本,以及已安装的应用程序;
(b)针对具体的配置项,检查其影响范围,识别出受其影响的软件清单及其原因;
(c)识别异常现象,追溯其产生的原因,定位相关配置项;
(d)支持多用户环境下的适用性测试,支持常用软件和业务应用软件的适用性测试.
3.1.3配置部署模块
配置部署模块可进行核心配置基线包的管理、分发和执行,由基线包管理工具、基线包分发工具和配置执行工具三个部分组成.基线包管理和分发工具安装在服务器端;配置执行工具是客户端软件,安装在每台计算机上.
1)基线包管理工具具备核心配置基线包上载、内容查看、网络分发,以及基线包更新和删除等功能;
2)基线包分发工具将基线包按照IP或部门区域定向分发到客户端,可
关于自动化相关论文范文检索,与计算机核心配置自动化系统设计与实现相关论文答辩开场白参考文献资料: