基于信息安全體系實(shí)現(xiàn)靶場事后數(shù)據(jù)處理系統(tǒng)*

張 東

(92941部隊(duì)96分隊(duì) 葫蘆島 125000)

基于信息安全體系實(shí)現(xiàn)靶場事后數(shù)據(jù)處理系統(tǒng)*

張 東

(92941部隊(duì)96分隊(duì) 葫蘆島 125000)

信息安全日益成為靶場試驗(yàn)需要面臨和解決的現(xiàn)實(shí)問題。論文基于網(wǎng)絡(luò)和數(shù)據(jù)庫技術(shù),采用先進(jìn)的信息安全手段,構(gòu)建一個(gè)高效穩(wěn)定的信息安全體系,從而為靶場事后數(shù)據(jù)處理和管理提供強(qiáng)有力的安全保障。

數(shù)據(jù)處理;信息安全;權(quán)限;密鑰

Class Number TP309

1 引言

靶場事后數(shù)據(jù)處理系統(tǒng)中存儲(chǔ)的數(shù)據(jù)具有非常重要戰(zhàn)略意義,包括任務(wù)信息、型號(hào)信息、處理模型、模型參數(shù)、原始數(shù)據(jù)、計(jì)算結(jié)果和圖像數(shù)據(jù)等。隨著事后數(shù)據(jù)處理系統(tǒng)的發(fā)展,各種涉密電子文件及共享資源等各種信息安全問題逐漸顯現(xiàn)。同時(shí),隨著系統(tǒng)的升級(jí)和擴(kuò)展越來越依賴于網(wǎng)絡(luò)平臺(tái),必然要求一個(gè)穩(wěn)定、可靠的安全體系提供持續(xù)有力的安全保障。系統(tǒng)信息安全體系建設(shè)的總體目標(biāo)是：基于現(xiàn)代信息安全理論,遵循國家標(biāo)準(zhǔn),采用目前國內(nèi)外先進(jìn)的信息安全技術(shù),建設(shè)涵蓋事后數(shù)據(jù)處理中心的網(wǎng)絡(luò)、應(yīng)用和管理等各個(gè)方面的統(tǒng)一、安全、穩(wěn)定、高效的信息安全體系,并根據(jù)系統(tǒng)建設(shè)進(jìn)程制定信息安全體系建設(shè)的分步實(shí)施方案,建成完整的系統(tǒng)信息安全保障體系。

2 體系模型

信息安全體系模型由基礎(chǔ)安全設(shè)施、信息安全管理、安全技術(shù)支撐和安全保障服務(wù)四個(gè)層面構(gòu)成,為事后數(shù)據(jù)處理系統(tǒng)提供全面的安全體系保障,如圖1所示。

· 基礎(chǔ)安全設(shè)施：基礎(chǔ)安全設(shè)施為數(shù)據(jù)處理系統(tǒng)信息安全體系建立一個(gè)可相互信任的環(huán)境,是其他安全技術(shù)實(shí)施的基礎(chǔ)。基礎(chǔ)安全設(shè)施以PKI(公鑰基礎(chǔ)設(shè)施)/PMI(特權(quán)管理基礎(chǔ)設(shè)施)/KMI(密鑰基礎(chǔ)設(shè)施)技術(shù)為核心,實(shí)現(xiàn)證書認(rèn)證、權(quán)限管理、密鑰管理、可信時(shí)間戳、密碼服務(wù)等功能[1]。

· 信息安全管理：在數(shù)據(jù)處理系統(tǒng)信息安全體系中,管理占有相當(dāng)大的比重。信息安全管理包括策略管理、組織管理、制度管理、網(wǎng)絡(luò)管理、設(shè)備管理、系統(tǒng)管理、病毒管理、介質(zhì)管理、安全審計(jì)管理等功能。

圖1 信息安全體系模型

· 安全技術(shù)支撐：利用各類安全產(chǎn)品和技術(shù)建立起事后數(shù)據(jù)處理安全技術(shù)支撐平臺(tái)。安全技術(shù)支撐包括物理安全、運(yùn)行安全和信息安全。物理安全包括環(huán)境安全、設(shè)備安全和介質(zhì)安全;運(yùn)行安全采用防病毒、入侵檢測和代碼防護(hù)等成熟技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行防護(hù);信息安全包括訪問控制、信息加密、電磁泄漏發(fā)射防護(hù)、安全審計(jì)、數(shù)據(jù)庫安全等功能。

· 安全保障服務(wù)：安全保障服務(wù)確保在出現(xiàn)自然災(zāi)害、系統(tǒng)崩潰、網(wǎng)絡(luò)攻擊或硬件故障下,事后數(shù)據(jù)處理系統(tǒng)得以快速響應(yīng)和恢復(fù),并定期進(jìn)行安全培訓(xùn)服務(wù),建立安全可靠的服務(wù)保障機(jī)制[2～4]。

3 體系劃分

3.1 基礎(chǔ)安全設(shè)施

事后數(shù)據(jù)處理系統(tǒng)基礎(chǔ)安全設(shè)施是以PKI/PMI/KMI技術(shù)為基礎(chǔ)而構(gòu)建的證書認(rèn)證、權(quán)限管理、密鑰管理和密碼服務(wù)等基礎(chǔ)設(shè)施。基礎(chǔ)安全設(shè)施提供的技術(shù)支撐適用于整個(gè)事后數(shù)據(jù)處理系統(tǒng),具有通用性。基礎(chǔ)安全設(shè)施的技術(shù)運(yùn)行和管理具有相對(duì)的獨(dú)立性[5]。

1) 證書認(rèn)證

證書認(rèn)證是對(duì)數(shù)字證書進(jìn)行全過程的安全管理。由證書簽發(fā)、密鑰管理、證書管理、本地注冊(cè)、證書/證書撤銷列表查詢、遠(yuǎn)程注冊(cè)等部分構(gòu)成。

2) 權(quán)限管理

權(quán)限管理是信息安全體系基礎(chǔ)安全設(shè)施的重要組成部分。它采用基于角色的訪問控制技術(shù),通過分級(jí)的、自上而下的權(quán)限管理職能的劃分和委派,建立統(tǒng)一的特權(quán)管理基礎(chǔ)設(shè)施,在統(tǒng)一的授權(quán)管理策略的指導(dǎo)下實(shí)現(xiàn)分布式的權(quán)限管理[6～7]。

權(quán)限管理能夠按照統(tǒng)一的策略實(shí)現(xiàn)層次化的信息資源結(jié)構(gòu)和關(guān)系的描述和管理,提供統(tǒng)一的、基于角色和用戶組的授權(quán)管理,對(duì)授權(quán)管理和訪問控制決策策略進(jìn)行統(tǒng)一的描述、管理和實(shí)施。建立統(tǒng)一的權(quán)限管理,不僅能夠解決面向單獨(dú)業(yè)務(wù)系統(tǒng)或軟件平臺(tái)設(shè)計(jì)的權(quán)限管理機(jī)制帶來的權(quán)限定義和劃分不統(tǒng)一、各訪問控制點(diǎn)安全策略不一致、管理操作冗余、管理復(fù)雜等問題,還能夠提高授權(quán)的可管理性,降低授權(quán)管理的復(fù)雜度和管理成本,方便應(yīng)用系統(tǒng)的開發(fā),提高整個(gè)系統(tǒng)的安全性和可用性。

3) 密鑰管理

密鑰管理是指密鑰管理基礎(chǔ)設(shè)施,為基礎(chǔ)安全設(shè)施提供支持,并提供證書密鑰的生成、存儲(chǔ)、認(rèn)證、分發(fā)、查詢、注銷、歸檔及恢復(fù)等管理服務(wù)[8]。密鑰管理與證書認(rèn)證服務(wù)按照“統(tǒng)一規(guī)劃、同步建設(shè)、獨(dú)立設(shè)置、分別管理、有機(jī)結(jié)合”的原則進(jìn)行建設(shè)和管理,由指定專人維護(hù)管理。密鑰管理與證書認(rèn)證是分別設(shè)立,各自管理,緊密聯(lián)系,共同組成一個(gè)完整的數(shù)字證書認(rèn)證系統(tǒng)。密鑰管理主要為證書認(rèn)證提供用戶需要的加密用的公/私密鑰對(duì),并為用戶提供密鑰恢復(fù)服務(wù)。

4) 密碼服務(wù)

密碼服務(wù)要構(gòu)建一個(gè)相對(duì)獨(dú)立的、可信的計(jì)算環(huán)境,進(jìn)行安全密碼算法處理。根據(jù)系統(tǒng)規(guī)模,可采用集中式或分布式計(jì)算技術(shù),系統(tǒng)性能動(dòng)態(tài)可擴(kuò)展[9]。事后數(shù)據(jù)處理系統(tǒng)采用集中式計(jì)算技術(shù)。

3.2 安全技術(shù)支撐

安全技術(shù)支撐是利用各類安全產(chǎn)品和技術(shù)建立起安全技術(shù)支撐平臺(tái)。安全技術(shù)支撐包括物理安全、運(yùn)行安全和信息安全。物理安全包括環(huán)境安全、設(shè)備安全和介質(zhì)安全;運(yùn)行安全包括防病毒、入侵檢測和代碼防護(hù)等;信息安全包括訪問控制、信息加密、電磁泄漏發(fā)射防護(hù)、安全審計(jì)、數(shù)據(jù)庫安全等功能。

3.2.1 物理安全

物理安全的目標(biāo)是保護(hù)計(jì)算機(jī)信息系統(tǒng)的設(shè)備、設(shè)施、媒體和信息免遭自然災(zāi)害、環(huán)境事故、人為物理操作失誤、各種以物理手段進(jìn)行的違法犯罪行為導(dǎo)致的破壞、丟失。物理安全主要包括環(huán)境安全、設(shè)備安全和介質(zhì)安全三方面。

對(duì)事后數(shù)據(jù)處理中心的各種計(jì)算機(jī)、外設(shè)設(shè)備、數(shù)據(jù)處理系統(tǒng)等物理設(shè)備的安全保護(hù)尤其重要。對(duì)攜帶進(jìn)入數(shù)據(jù)處理中心的U盤、移動(dòng)硬盤、可攜帶筆記本等移動(dòng)介質(zhì)進(jìn)行單獨(dú)安全處理。

3.2.2 運(yùn)行安全

運(yùn)行安全采用防火墻、入侵檢測、入侵防護(hù)、病毒防治、傳輸加密、安全虛擬專網(wǎng)等成熟技術(shù),利用物理環(huán)境保護(hù)、邊界保護(hù)、系統(tǒng)加固、節(jié)點(diǎn)數(shù)據(jù)保護(hù)、數(shù)據(jù)傳輸保護(hù)等手段,通過對(duì)網(wǎng)絡(luò)和系統(tǒng)安全防護(hù)的統(tǒng)一設(shè)計(jì)和統(tǒng)一配置,實(shí)現(xiàn)全系統(tǒng)高效、可靠的運(yùn)行安全防護(hù)。系統(tǒng)安全域劃分為事后數(shù)據(jù)處理中心專網(wǎng)安全域、靶場專網(wǎng)安全域、外聯(lián)網(wǎng)安全域。事后數(shù)據(jù)處理中心專網(wǎng)與靶場專網(wǎng)安全域邏輯隔離,靶場專網(wǎng)與外聯(lián)網(wǎng)安全域邏輯隔離[10]。

1) 防火墻

防火墻技術(shù)以包過濾防火墻為主,對(duì)系統(tǒng)劃分的各個(gè)安全域進(jìn)行邊界保護(hù)。在事后數(shù)據(jù)處理中心出入口、網(wǎng)絡(luò)節(jié)點(diǎn)出入口、外網(wǎng)出入口等節(jié)點(diǎn)安裝配置防火墻設(shè)備,保證數(shù)據(jù)傳輸安全。

2) 入侵檢測

入侵檢測對(duì)事后數(shù)據(jù)處理系統(tǒng)的關(guān)鍵安全域進(jìn)行動(dòng)態(tài)風(fēng)險(xiǎn)監(jiān)控,使用成熟的入侵檢測技術(shù)對(duì)整個(gè)系統(tǒng)網(wǎng)絡(luò)的入侵進(jìn)行防控。

3) 病毒防治

在各網(wǎng)絡(luò)節(jié)點(diǎn)保證出入站的電子郵件、數(shù)據(jù)及文件安全,保證網(wǎng)絡(luò)協(xié)議的使用安全,防止引入外部病毒。在事后數(shù)據(jù)處理系統(tǒng)的重要系統(tǒng)服務(wù)器(包括專業(yè)處理服務(wù)器、數(shù)據(jù)服務(wù)器等)配置服務(wù)器防病毒產(chǎn)品。在所有桌面系統(tǒng)配置防病毒防護(hù)產(chǎn)品,提供全面的跨平臺(tái)病毒掃描及清除保護(hù),阻止病毒通過軟盤、光盤等進(jìn)入事后數(shù)據(jù)處理系統(tǒng)網(wǎng)絡(luò),同時(shí)控制病毒從工作站向服務(wù)器或網(wǎng)絡(luò)傳播。在事后數(shù)據(jù)處理中心配置防病毒管理控制中心,通過安全管理平臺(tái)管理控制服務(wù)器、控制臺(tái)和代理程序,進(jìn)行各個(gè)防病毒安全域的防病毒系統(tǒng)的管理和配置。

3.2.3 信息安全

信息安全包括訪問控制、信息加密、電磁泄漏發(fā)射防護(hù)、安全審計(jì)、數(shù)據(jù)庫安全等功能。信息安全技術(shù)是保證事后數(shù)據(jù)處理中心的原始測量數(shù)據(jù)、計(jì)算結(jié)果數(shù)據(jù)、圖像數(shù)據(jù)等各類數(shù)據(jù)的安全技術(shù),使用成熟的安全信息技術(shù)產(chǎn)品完成全面的信息安全保障。

1) 訪問控制

訪問控制主要包括防止非法的人員或計(jì)算機(jī)進(jìn)入數(shù)據(jù)處理中心的系統(tǒng),允許合法用戶訪問受保護(hù)的系統(tǒng),防止合法的用戶對(duì)權(quán)限較高的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。

訪問控制根據(jù)方式可分為自主訪問控制和強(qiáng)制訪問控制。自主訪問控制是事后數(shù)據(jù)處理中心各級(jí)用戶自身創(chuàng)建的對(duì)象進(jìn)行訪問,并授予指定的訪問權(quán)限;強(qiáng)制訪問控制是由系統(tǒng)或指定安全員對(duì)特定的數(shù)據(jù)、對(duì)象進(jìn)行統(tǒng)一的強(qiáng)制性控制,即使是對(duì)象的創(chuàng)建者,也無權(quán)訪問。

2) 安全審計(jì)

事后數(shù)據(jù)處理中心運(yùn)用安全審計(jì)技術(shù)對(duì)系統(tǒng)的軟件系統(tǒng)、設(shè)備使用、網(wǎng)絡(luò)資源、安全事件等進(jìn)行全面的審計(jì)。可建立安全保密檢測控制中心,負(fù)責(zé)對(duì)系統(tǒng)安全的監(jiān)測、控制、處理和審計(jì),所有的安全保密服務(wù)功能、網(wǎng)絡(luò)中的所有層次都與審計(jì)跟蹤系統(tǒng)有關(guān)。

3) 數(shù)據(jù)庫安全

數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對(duì)數(shù)據(jù)而言的,包括數(shù)據(jù)獨(dú)立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制、故障恢復(fù)等幾個(gè)方面[11]。

4 事后處理系統(tǒng)解決方案

事后數(shù)據(jù)處理系統(tǒng)主要用于完成遙測和外測的事后數(shù)據(jù)處理任務(wù),提供目標(biāo)內(nèi)外彈道參數(shù),并存儲(chǔ)和管理各類測量數(shù)據(jù),為各種武器試驗(yàn)的故障分析和性能評(píng)定提供支撐和依據(jù)。該系統(tǒng)必須具備的主要功能如下：

· 海量的數(shù)據(jù)輸入輸出和存儲(chǔ)管理功能;

· 快速的各類試驗(yàn)測量數(shù)據(jù)處理功能;

· 可靠的數(shù)據(jù)質(zhì)量評(píng)估和精度分析功能;

· 有效的信息安全防護(hù)功能;

· 強(qiáng)大的數(shù)據(jù)、圖像、曲線顯示分析以及報(bào)告自動(dòng)生成功能。

基于以上需求和功能構(gòu)建事后數(shù)據(jù)處理系統(tǒng)的拓?fù)鋱D如圖2所示。

建立事后數(shù)據(jù)處理系統(tǒng)信息安全運(yùn)行與管理的基礎(chǔ)平臺(tái),構(gòu)建整個(gè)系統(tǒng)信息安全的安全支撐體系,保證事后數(shù)據(jù)處理系統(tǒng)各種業(yè)務(wù)應(yīng)用的安全運(yùn)行,通過技術(shù)手段實(shí)現(xiàn)事后數(shù)據(jù)處理系統(tǒng)安全可管理、安全可控制的目標(biāo),使安全保護(hù)策略貫穿到系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)環(huán)境、系統(tǒng)環(huán)境、應(yīng)用環(huán)境、災(zāi)備環(huán)境和管理環(huán)境的各個(gè)層面。

· 實(shí)現(xiàn)事后數(shù)據(jù)處理任務(wù)信息、型號(hào)信息、處理模型、模型參數(shù)、原始數(shù)據(jù)、計(jì)算結(jié)果、圖像數(shù)據(jù)的安全保護(hù);

· 建立起認(rèn)證快捷安全、權(quán)限/密鑰管理完備、密碼服務(wù)安全的安全設(shè)施;

· 建立起功能齊全、協(xié)調(diào)高效、信息共享、監(jiān)控嚴(yán)密、安全穩(wěn)定的安全技術(shù)支撐平臺(tái);

· 建立事后數(shù)據(jù)處理系統(tǒng)信息安全體系的技術(shù)標(biāo)準(zhǔn)、規(guī)范和規(guī)章制度。

圖2 系統(tǒng)拓?fù)鋱D

5 結(jié)語

事后數(shù)據(jù)處理系統(tǒng)信息安全體系以國家相關(guān)標(biāo)準(zhǔn)和軍用涉密要求為面,深層防御為體,動(dòng)態(tài)響應(yīng)、積極防御的思想為指導(dǎo),建立既符合靶場任務(wù)需求,又適應(yīng)自身實(shí)際要求,同時(shí)具有良好的可擴(kuò)展性的安全體系,為數(shù)據(jù)處理中心的建設(shè)和發(fā)展提供了良好的基礎(chǔ)平臺(tái)和持續(xù)有力的安全保障。

[1] 熊平.信息安全原理及應(yīng)用[M].北京:清華大學(xué)出版社,2012:14-16.

[2] 沈昌祥,左曉棟.信息安全[M].杭州:浙江大學(xué)出版社,2007:7-10.

[3] 唐昌龍,劉吉強(qiáng).面向企業(yè)戰(zhàn)略和服務(wù)的信息安全架構(gòu)設(shè)計(jì)與應(yīng)用[J].信息安全與技術(shù),2013(2):35-41.

[4] 張大朋,蔡克,張敏,等.云計(jì)算數(shù)據(jù)安全支撐平臺(tái)架構(gòu)研究[J].計(jì)算機(jī)研究與發(fā)展,2011,48(z2):261-267.

[5] 胡光勇.基于云計(jì)算的數(shù)據(jù)安全存儲(chǔ)策略研究[J].計(jì)算機(jī)測量與控制,2011,19(10):2539-2541.

[6] 王建軍,黨懷義.基于WEB的分布式試飛數(shù)據(jù)處理系統(tǒng)結(jié)構(gòu)設(shè)計(jì)[J].計(jì)算機(jī)測量與控制,2010,18(6):1452-1454.

[7] 任新,楊兵.網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與應(yīng)用[J].計(jì)算機(jī)與網(wǎng)絡(luò),2011(3):140-142.

[8] 翟廣輝,張遠(yuǎn).一種海量數(shù)據(jù)安全存儲(chǔ)技術(shù)的研究[J].科技通報(bào),2013(8):25-27.

[9] 蘇孝青,盛志華.云計(jì)算環(huán)境下的數(shù)據(jù)安全存儲(chǔ)技術(shù)[J].信息安全與技術(shù),2012(8):23-24.

[10] 張翼飛,蘭蕓.面向等級(jí)保護(hù)的數(shù)據(jù)安全保護(hù)系統(tǒng)研究與設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全,2013(12):72-74.

[11] 劉勝利,王文冰,費(fèi)金龍,等.基于可信網(wǎng)絡(luò)連接的局域網(wǎng)數(shù)據(jù)保密系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息工程大學(xué)學(xué)報(bào),2010(2):83-87.

Test Range System of Post-flight Data Processing Based on Information Security System

ZHANG Dong

(Unit 96, No. 92941 Troops of PLA, Huludao 125000)

Information security is becoming the problem which test range needs to face and resolve today. Adopting advanced methods, a effective and steady information security system is constructed in this paper based on network and database technology, which will provide more powerful safeguard for post-flight data processing system of test range.

data processing, information security, privilege, key

2014年5月1日,

2014年6月19日 作者簡介:張東,男,碩士,高級(jí)工程師,研究方向:數(shù)據(jù)處理。

TP309

10.3969/j.issn1672-9730.2014.11.032