重要信息系統(tǒng)安全體系結(jié)構(gòu)及實(shí)用模型

周毅 彭軒

（1.中國(guó)人民解放軍海南省軍區(qū) 海南省海口市 570000 2.國(guó)防科技大學(xué)氣象海洋學(xué)院 江蘇省南京市 210001）

1 引言

重要信息系統(tǒng)安全體系結(jié)構(gòu)作為我國(guó)信息系統(tǒng)安全體系建設(shè)的重要組成部分，對(duì)于信息系統(tǒng)建設(shè)具有重要意義，目前我國(guó)的重要信息系統(tǒng)安全體系結(jié)構(gòu)存在著諸多的安全隱患和缺陷，對(duì)于重要信息系統(tǒng)安全體系結(jié)構(gòu)的研究，在近年來(lái)得到了越來(lái)越多的重視。隨著可信計(jì)算思想的發(fā)展和廣泛推廣，其對(duì)重要信息系統(tǒng)安全體系結(jié)構(gòu)的建設(shè)產(chǎn)生了重要影響。可信計(jì)算理念的提出為信息系統(tǒng)安全體系建設(shè)提供了信的思路，而基于可信計(jì)算的安全體系結(jié)構(gòu)也成為重要信息系統(tǒng)安全防護(hù)效果最為理想和有效的體系結(jié)構(gòu)。

2 基于可信計(jì)算的重要信息系統(tǒng)安全體系結(jié)構(gòu)

2.1 基于可信計(jì)算的重要信息系統(tǒng)安全體系結(jié)構(gòu)概述

可信計(jì)算與系統(tǒng)安全相互促進(jìn)和依賴(lài)，可信計(jì)算穩(wěn)固了安全機(jī)制的根基，彌補(bǔ)了安全機(jī)制根基不牢固的缺陷；安全機(jī)制為可信計(jì)算提供一定的支持，使可信計(jì)算可以為上層系統(tǒng)提供服務(wù)。對(duì)于重要信息系統(tǒng)的安全體系結(jié)構(gòu)而言，為了保證其全面性和穩(wěn)固性，在設(shè)計(jì)過(guò)程中需要將安全機(jī)制與可信計(jì)算進(jìn)行充分的結(jié)合。為了保證重要信息系統(tǒng)的安全，其安全體系結(jié)構(gòu)應(yīng)該以可信計(jì)算為基礎(chǔ)，以終端安全為基礎(chǔ)的可信應(yīng)用環(huán)境、可信邊界控制、可信網(wǎng)絡(luò)傳輸?shù)娜胤烙w系[1]。基于可信計(jì)算的重要信息系統(tǒng)安全體系結(jié)構(gòu)圖如圖1 所示。

2.2 基于可信計(jì)算的安全體系機(jī)構(gòu)防御原理

在基于可信計(jì)算的重要信息系統(tǒng)安全體系結(jié)構(gòu)中，安全管理中心為整個(gè)結(jié)構(gòu)的最底層，其主要功能是對(duì)用戶(hù)、密鑰和安全策略的管理；安全管理中心負(fù)責(zé)制定可信應(yīng)用環(huán)境、可信邊界控制和可信信息傳輸?shù)陌踩芾聿呗?，使整個(gè)系統(tǒng)的安全管理掌握在安全管理中心管理員的手中。以終端安全為基礎(chǔ)的可信應(yīng)用環(huán)境，主要負(fù)責(zé)保護(hù)用戶(hù)工作環(huán)境不會(huì)遭到惡意的攻擊或是篡改，系統(tǒng)內(nèi)的關(guān)鍵數(shù)據(jù)不會(huì)被泄露和盜??；以終端安全為基礎(chǔ)的可信邊界控制是對(duì)進(jìn)入系統(tǒng)的信息或用戶(hù)進(jìn)行授權(quán)管理，有效阻擋非授權(quán)用戶(hù)和信息進(jìn)入系統(tǒng)；以終端安全為基礎(chǔ)的可信網(wǎng)絡(luò)傳輸是對(duì)信息傳輸過(guò)程的保護(hù)，主要功能是保證信息在傳輸過(guò)程中的完整性和安全性[2]?；诳尚庞?jì)算的重要信息系統(tǒng)安全體系結(jié)構(gòu)是基于應(yīng)用環(huán)境、權(quán)限控制和信息傳輸而建立，其通過(guò)信任鏈的傳遞和拓展機(jī)制為重要信息系統(tǒng)提供安全保障。

在以可信計(jì)算為基礎(chǔ)的安全體系結(jié)構(gòu)中，可信應(yīng)用環(huán)境是整個(gè)系統(tǒng)的主體，可信邊界控制和可信信息傳輸獨(dú)立存在，但是又相互依賴(lài)。邊界控制出現(xiàn)問(wèn)題可能會(huì)導(dǎo)致整個(gè)安全體系結(jié)構(gòu)失效，用戶(hù)的應(yīng)用環(huán)境受到攻擊；信息傳輸控制失效則會(huì)導(dǎo)致信息系統(tǒng)的信息真實(shí)性和可信性受到影響。在基于可信計(jì)算的重要信息安全體系結(jié)構(gòu)中，終端的可信安全管理是整個(gè)系統(tǒng)中最為重要的部分，同目前的安全體系結(jié)構(gòu)相比，可信計(jì)算安全體系結(jié)構(gòu)是可信計(jì)算與安全機(jī)制的結(jié)合，是可信計(jì)算在重要信息系統(tǒng)中的具體應(yīng)用，更能夠滿(mǎn)足重要信息系統(tǒng)安全管理的需求。

圖1：基于可信計(jì)算的重要信息系統(tǒng)安全體系結(jié)構(gòu)圖

圖2：可信應(yīng)用環(huán)境安全體系結(jié)構(gòu)

可信應(yīng)用環(huán)境安全體系結(jié)構(gòu)如圖2 所示。

2.3 基于可信計(jì)算的重要信息系統(tǒng)安全體系結(jié)構(gòu)的特點(diǎn)

（1）可信計(jì)算安全體系結(jié)構(gòu)對(duì)于各個(gè)系統(tǒng)任務(wù)進(jìn)行了有效的隔離，使得系統(tǒng)任務(wù)間的相互影響和干擾程度有所降低，特點(diǎn)是對(duì)于系統(tǒng)任務(wù)間的干擾進(jìn)行了有效控制，為可信應(yīng)用環(huán)境的構(gòu)建做了鋪墊。

（2）可信計(jì)算安全體系結(jié)構(gòu)對(duì)于系統(tǒng)應(yīng)用的行為與預(yù)期行為進(jìn)行了判斷，系統(tǒng)運(yùn)用強(qiáng)制訪問(wèn)機(jī)制對(duì)不可信的系統(tǒng)應(yīng)用行為進(jìn)行限制和隔離，防治不可信行為破壞重要信息系統(tǒng)的安全性[3]。

（3）可信計(jì)算的保障功能為強(qiáng)制防控機(jī)制對(duì)系統(tǒng)應(yīng)用監(jiān)控進(jìn)行輔助和增強(qiáng)，保證了強(qiáng)制訪問(wèn)控制機(jī)制對(duì)信息流的檢查更加準(zhǔn)確的全面。

（4）可信計(jì)算安全體系結(jié)構(gòu)對(duì)重要信息系統(tǒng)內(nèi)的機(jī)密數(shù)據(jù)進(jìn)行了特殊保護(hù)和存儲(chǔ)，而且對(duì)于機(jī)密信息存儲(chǔ)密鑰的安全性能進(jìn)行了增強(qiáng)，使機(jī)密數(shù)據(jù)和信息的存儲(chǔ)保護(hù)與身份認(rèn)證緊密聯(lián)系在一起。

3 重要信息系統(tǒng)安全體系結(jié)構(gòu)實(shí)用模型

3.1 可信應(yīng)用環(huán)境的隔離模型

可信應(yīng)用環(huán)境的隔離模型本質(zhì)上是通過(guò)增強(qiáng)系統(tǒng)任務(wù)間的隔離性，使未得到信任的信息無(wú)法流向可信任信息，以此來(lái)保證系統(tǒng)任務(wù)在動(dòng)態(tài)上的可信性。可信應(yīng)用環(huán)境的隔離模型在重要信息系統(tǒng)中應(yīng)用時(shí)，需要對(duì)系統(tǒng)任務(wù)之間的通訊行為進(jìn)行判斷和監(jiān)控，當(dāng)系統(tǒng)任務(wù)的流入地與其目的地不一致時(shí)，安全防護(hù)系統(tǒng)會(huì)對(duì)系統(tǒng)信息的靜態(tài)可信度進(jìn)行分析，以保證系統(tǒng)信息流入和發(fā)出都來(lái)源于同一個(gè)可信任務(wù)。

目前的信息系統(tǒng)環(huán)境下，系統(tǒng)任務(wù)之間的界限并不是很清晰，或者說(shuō)系統(tǒng)任務(wù)之間不存在界限；各個(gè)系統(tǒng)任務(wù)可以實(shí)現(xiàn)資源、通訊的相互共享和調(diào)用，這使得系統(tǒng)遭受病毒和木馬等惡意程序攻擊的機(jī)率大大的提升[4]?？尚艖?yīng)用環(huán)境的隔離模型可以根據(jù)任務(wù)的行為特性，對(duì)系統(tǒng)任務(wù)進(jìn)行模塊劃分，且各個(gè)模塊之間并不存在交互，是彼此獨(dú)立的。系統(tǒng)任務(wù)和系統(tǒng)環(huán)境進(jìn)行通訊前需要經(jīng)過(guò)可信性度量，對(duì)于來(lái)自非可信任務(wù)的信息流，系統(tǒng)不予接受?？尚艖?yīng)用環(huán)境的隔離模型對(duì)系統(tǒng)任務(wù)間彼此的通訊行為進(jìn)行了有效監(jiān)控，保證了系統(tǒng)任務(wù)的可信性。

3.2 機(jī)密型和完整型保護(hù)模型

重要信息系統(tǒng)安全體系結(jié)構(gòu)中的機(jī)密性和完整性保護(hù)模型已經(jīng)在相關(guān)行業(yè)信息系統(tǒng)中被廣泛應(yīng)用和推廣。最為典型的是自動(dòng)地面監(jiān)測(cè)系統(tǒng)（ASOS），其通過(guò)機(jī)密性模型限制信息泄露，通過(guò)完整性模型保證數(shù)據(jù)不被泄露。但是在對(duì)機(jī)密性和完整性模型的使用中，兩者之間相互獨(dú)立，導(dǎo)致了不同等級(jí)的系統(tǒng)信息的相互交換和傳遞無(wú)法實(shí)現(xiàn)，導(dǎo)致整個(gè)系統(tǒng)的實(shí)用性能有所降低和不足?；谶@種情況，SAO-MLS 安全策略模型應(yīng)運(yùn)而生。在SAO-MLS 安全策略模型中，低等級(jí)系統(tǒng)信息向高等級(jí)傳輸時(shí)，通過(guò)安全代理對(duì)低等級(jí)信息進(jìn)行緩沖處理，通過(guò)完整性測(cè)量對(duì)低等級(jí)信息監(jiān)測(cè)，以保證信息沒(méi)有被泄露，檢測(cè)通過(guò)后系統(tǒng)信息可由低等級(jí)傳輸?shù)礁叩燃?jí)客體中；當(dāng)高等級(jí)系統(tǒng)信息向低等級(jí)傳輸時(shí)，安全代理可以向機(jī)密性監(jiān)測(cè)主體發(fā)出請(qǐng)求，經(jīng)機(jī)密性檢測(cè)后傳遞到低等級(jí)客體，從而實(shí)現(xiàn)了不同等級(jí)的系統(tǒng)信息之間的相互傳輸和調(diào)動(dòng)。

3.3 數(shù)據(jù)存儲(chǔ)密鑰管理模型

傳統(tǒng)的信息系統(tǒng)安全防護(hù)中，人們往往更加重視操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，忽視了數(shù)據(jù)存儲(chǔ)的安全防護(hù)問(wèn)題，這使得數(shù)據(jù)存儲(chǔ)安全防護(hù)成為了整個(gè)信息系統(tǒng)安全體系結(jié)構(gòu)這個(gè)木桶中的短板，影響了信息系統(tǒng)的整體安全性。雖然近幾年人們對(duì)信息系統(tǒng)數(shù)據(jù)存儲(chǔ)安全防護(hù)重視程度有所提高，但現(xiàn)行的數(shù)據(jù)存儲(chǔ)主要是通過(guò)身份驗(yàn)證和訪問(wèn)控制來(lái)實(shí)現(xiàn)安全防護(hù)，無(wú)法從根本上保證系統(tǒng)重要數(shù)據(jù)的機(jī)密性。

在根據(jù)身份密碼加密技術(shù)所研發(fā)的數(shù)據(jù)存儲(chǔ)的秘鑰管理模型中，只有訪問(wèn)者身份得到認(rèn)證，才能訪問(wèn)系統(tǒng)中存儲(chǔ)的信息，沒(méi)有得到認(rèn)證的訪問(wèn)者，不能打開(kāi)系統(tǒng)的存儲(chǔ)信息；利用該技術(shù)的管理方案，根據(jù)數(shù)字信封思想，對(duì)用戶(hù)的密鑰合法性進(jìn)行檢測(cè)，無(wú)效密鑰無(wú)法打開(kāi)封存的系統(tǒng)信息，不僅保證了系統(tǒng)信息的安全，還避免了存儲(chǔ)保護(hù)密鑰被竊取和泄露的風(fēng)險(xiǎn)[5]。數(shù)據(jù)存儲(chǔ)密鑰管理模型通過(guò)保密存儲(chǔ)，將存儲(chǔ)的系統(tǒng)信息放到TPM 中，沒(méi)有合法授權(quán)無(wú)法打開(kāi)存儲(chǔ)系統(tǒng)，進(jìn)一步提升了存儲(chǔ)信息的安全性和可靠性。

3.4 通信網(wǎng)絡(luò)模型

通過(guò)在信息網(wǎng)絡(luò)系統(tǒng)中建立通訊網(wǎng)拓?fù)涞男问剑梢詫?shí)現(xiàn)對(duì)重要信息的安全防護(hù)，提供重要信息的安全性與可靠性。網(wǎng)絡(luò)通訊能力的提升是以網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)量多少為標(biāo)準(zhǔn)的，增加網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量，可以有效的提升網(wǎng)絡(luò)通訊能力和通訊方式。通過(guò)設(shè)置網(wǎng)絡(luò)拓?fù)?，開(kāi)始讓每一個(gè)等級(jí)的信息均有對(duì)應(yīng)的安全等級(jí)，降低節(jié)點(diǎn)之間直接鏈路的連接度。目前主流的通信網(wǎng)絡(luò)模型是通過(guò)全球廣域網(wǎng)和因特網(wǎng)技術(shù)進(jìn)行構(gòu)建，通過(guò)對(duì)網(wǎng)絡(luò)信息進(jìn)行安全等級(jí)劃分，用拓?fù)淇刂朴?jì)算，來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的優(yōu)化，以此來(lái)提升網(wǎng)絡(luò)協(xié)議對(duì)網(wǎng)絡(luò)信息的篩查。

4 結(jié)束語(yǔ)

重要信息系統(tǒng)的特殊性和重要性決定了重要信息系統(tǒng)安全體系結(jié)構(gòu)及實(shí)用模型研究的緊迫性，對(duì)重要信息系統(tǒng)安全體系結(jié)構(gòu)和實(shí)用模型的深入研究需要理論聯(lián)系實(shí)際，通過(guò)大量的實(shí)踐應(yīng)用開(kāi)發(fā)工作，立足于現(xiàn)實(shí)情況，集中各方力量，有針對(duì)性的進(jìn)行研究開(kāi)發(fā)。對(duì)于重要信息系統(tǒng)的安全體系結(jié)構(gòu)而言，不僅要保護(hù)敏感數(shù)據(jù)和信息的安全性，還要保障其完整性；敏感數(shù)據(jù)和信息受到任何的丟失、損壞等都會(huì)對(duì)國(guó)家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展造成不可估量的損失。因此，提高重要信息系統(tǒng)安全體系結(jié)構(gòu)和實(shí)用模型的穩(wěn)定性和可用性，是我國(guó)信息系統(tǒng)安全建設(shè)工作的重要內(nèi)容，勢(shì)在必行。