重要信息系統(tǒng)安全體系結(jié)構(gòu)及實用模型

周毅 彭軒

（1.中國人民解放軍海南省軍區(qū) 海南省海口市 570000 2.國防科技大學(xué)氣象海洋學(xué)院 江蘇省南京市 210001）

1 引言

重要信息系統(tǒng)安全體系結(jié)構(gòu)作為我國信息系統(tǒng)安全體系建設(shè)的重要組成部分，對于信息系統(tǒng)建設(shè)具有重要意義，目前我國的重要信息系統(tǒng)安全體系結(jié)構(gòu)存在著諸多的安全隱患和缺陷，對于重要信息系統(tǒng)安全體系結(jié)構(gòu)的研究，在近年來得到了越來越多的重視。隨著可信計算思想的發(fā)展和廣泛推廣，其對重要信息系統(tǒng)安全體系結(jié)構(gòu)的建設(shè)產(chǎn)生了重要影響。可信計算理念的提出為信息系統(tǒng)安全體系建設(shè)提供了信的思路，而基于可信計算的安全體系結(jié)構(gòu)也成為重要信息系統(tǒng)安全防護效果最為理想和有效的體系結(jié)構(gòu)。

2 基于可信計算的重要信息系統(tǒng)安全體系結(jié)構(gòu)

2.1 基于可信計算的重要信息系統(tǒng)安全體系結(jié)構(gòu)概述

可信計算與系統(tǒng)安全相互促進和依賴，可信計算穩(wěn)固了安全機制的根基，彌補了安全機制根基不牢固的缺陷；安全機制為可信計算提供一定的支持，使可信計算可以為上層系統(tǒng)提供服務(wù)。對于重要信息系統(tǒng)的安全體系結(jié)構(gòu)而言，為了保證其全面性和穩(wěn)固性，在設(shè)計過程中需要將安全機制與可信計算進行充分的結(jié)合。為了保證重要信息系統(tǒng)的安全，其安全體系結(jié)構(gòu)應(yīng)該以可信計算為基礎(chǔ)，以終端安全為基礎(chǔ)的可信應(yīng)用環(huán)境、可信邊界控制、可信網(wǎng)絡(luò)傳輸?shù)娜胤烙w系[1]。基于可信計算的重要信息系統(tǒng)安全體系結(jié)構(gòu)圖如圖1 所示。

2.2 基于可信計算的安全體系機構(gòu)防御原理

在基于可信計算的重要信息系統(tǒng)安全體系結(jié)構(gòu)中，安全管理中心為整個結(jié)構(gòu)的最底層，其主要功能是對用戶、密鑰和安全策略的管理；安全管理中心負責(zé)制定可信應(yīng)用環(huán)境、可信邊界控制和可信信息傳輸?shù)陌踩芾聿呗裕拐麄€系統(tǒng)的安全管理掌握在安全管理中心管理員的手中。以終端安全為基礎(chǔ)的可信應(yīng)用環(huán)境，主要負責(zé)保護用戶工作環(huán)境不會遭到惡意的攻擊或是篡改，系統(tǒng)內(nèi)的關(guān)鍵數(shù)據(jù)不會被泄露和盜取；以終端安全為基礎(chǔ)的可信邊界控制是對進入系統(tǒng)的信息或用戶進行授權(quán)管理，有效阻擋非授權(quán)用戶和信息進入系統(tǒng)；以終端安全為基礎(chǔ)的可信網(wǎng)絡(luò)傳輸是對信息傳輸過程的保護，主要功能是保證信息在傳輸過程中的完整性和安全性[2]。基于可信計算的重要信息系統(tǒng)安全體系結(jié)構(gòu)是基于應(yīng)用環(huán)境、權(quán)限控制和信息傳輸而建立，其通過信任鏈的傳遞和拓展機制為重要信息系統(tǒng)提供安全保障。

在以可信計算為基礎(chǔ)的安全體系結(jié)構(gòu)中，可信應(yīng)用環(huán)境是整個系統(tǒng)的主體，可信邊界控制和可信信息傳輸獨立存在，但是又相互依賴。邊界控制出現(xiàn)問題可能會導(dǎo)致整個安全體系結(jié)構(gòu)失效，用戶的應(yīng)用環(huán)境受到攻擊；信息傳輸控制失效則會導(dǎo)致信息系統(tǒng)的信息真實性和可信性受到影響。在基于可信計算的重要信息安全體系結(jié)構(gòu)中，終端的可信安全管理是整個系統(tǒng)中最為重要的部分，同目前的安全體系結(jié)構(gòu)相比，可信計算安全體系結(jié)構(gòu)是可信計算與安全機制的結(jié)合，是可信計算在重要信息系統(tǒng)中的具體應(yīng)用，更能夠滿足重要信息系統(tǒng)安全管理的需求。

圖1：基于可信計算的重要信息系統(tǒng)安全體系結(jié)構(gòu)圖

圖2：可信應(yīng)用環(huán)境安全體系結(jié)構(gòu)

可信應(yīng)用環(huán)境安全體系結(jié)構(gòu)如圖2 所示。

2.3 基于可信計算的重要信息系統(tǒng)安全體系結(jié)構(gòu)的特點

（1）可信計算安全體系結(jié)構(gòu)對于各個系統(tǒng)任務(wù)進行了有效的隔離，使得系統(tǒng)任務(wù)間的相互影響和干擾程度有所降低，特點是對于系統(tǒng)任務(wù)間的干擾進行了有效控制，為可信應(yīng)用環(huán)境的構(gòu)建做了鋪墊。

（2）可信計算安全體系結(jié)構(gòu)對于系統(tǒng)應(yīng)用的行為與預(yù)期行為進行了判斷，系統(tǒng)運用強制訪問機制對不可信的系統(tǒng)應(yīng)用行為進行限制和隔離，防治不可信行為破壞重要信息系統(tǒng)的安全性[3]。

（3）可信計算的保障功能為強制防控機制對系統(tǒng)應(yīng)用監(jiān)控進行輔助和增強，保證了強制訪問控制機制對信息流的檢查更加準(zhǔn)確的全面。

（4）可信計算安全體系結(jié)構(gòu)對重要信息系統(tǒng)內(nèi)的機密數(shù)據(jù)進行了特殊保護和存儲，而且對于機密信息存儲密鑰的安全性能進行了增強，使機密數(shù)據(jù)和信息的存儲保護與身份認證緊密聯(lián)系在一起。

3 重要信息系統(tǒng)安全體系結(jié)構(gòu)實用模型

3.1 可信應(yīng)用環(huán)境的隔離模型

可信應(yīng)用環(huán)境的隔離模型本質(zhì)上是通過增強系統(tǒng)任務(wù)間的隔離性，使未得到信任的信息無法流向可信任信息，以此來保證系統(tǒng)任務(wù)在動態(tài)上的可信性。可信應(yīng)用環(huán)境的隔離模型在重要信息系統(tǒng)中應(yīng)用時，需要對系統(tǒng)任務(wù)之間的通訊行為進行判斷和監(jiān)控，當(dāng)系統(tǒng)任務(wù)的流入地與其目的地不一致時，安全防護系統(tǒng)會對系統(tǒng)信息的靜態(tài)可信度進行分析，以保證系統(tǒng)信息流入和發(fā)出都來源于同一個可信任務(wù)。

目前的信息系統(tǒng)環(huán)境下，系統(tǒng)任務(wù)之間的界限并不是很清晰，或者說系統(tǒng)任務(wù)之間不存在界限；各個系統(tǒng)任務(wù)可以實現(xiàn)資源、通訊的相互共享和調(diào)用，這使得系統(tǒng)遭受病毒和木馬等惡意程序攻擊的機率大大的提升[4]。可信應(yīng)用環(huán)境的隔離模型可以根據(jù)任務(wù)的行為特性，對系統(tǒng)任務(wù)進行模塊劃分，且各個模塊之間并不存在交互，是彼此獨立的。系統(tǒng)任務(wù)和系統(tǒng)環(huán)境進行通訊前需要經(jīng)過可信性度量，對于來自非可信任務(wù)的信息流，系統(tǒng)不予接受。可信應(yīng)用環(huán)境的隔離模型對系統(tǒng)任務(wù)間彼此的通訊行為進行了有效監(jiān)控，保證了系統(tǒng)任務(wù)的可信性。

3.2 機密型和完整型保護模型

重要信息系統(tǒng)安全體系結(jié)構(gòu)中的機密性和完整性保護模型已經(jīng)在相關(guān)行業(yè)信息系統(tǒng)中被廣泛應(yīng)用和推廣。最為典型的是自動地面監(jiān)測系統(tǒng)（ASOS），其通過機密性模型限制信息泄露，通過完整性模型保證數(shù)據(jù)不被泄露。但是在對機密性和完整性模型的使用中，兩者之間相互獨立，導(dǎo)致了不同等級的系統(tǒng)信息的相互交換和傳遞無法實現(xiàn)，導(dǎo)致整個系統(tǒng)的實用性能有所降低和不足。基于這種情況，SAO-MLS 安全策略模型應(yīng)運而生。在SAO-MLS 安全策略模型中，低等級系統(tǒng)信息向高等級傳輸時，通過安全代理對低等級信息進行緩沖處理，通過完整性測量對低等級信息監(jiān)測，以保證信息沒有被泄露，檢測通過后系統(tǒng)信息可由低等級傳輸?shù)礁叩燃壙腕w中；當(dāng)高等級系統(tǒng)信息向低等級傳輸時，安全代理可以向機密性監(jiān)測主體發(fā)出請求，經(jīng)機密性檢測后傳遞到低等級客體，從而實現(xiàn)了不同等級的系統(tǒng)信息之間的相互傳輸和調(diào)動。

3.3 數(shù)據(jù)存儲密鑰管理模型

傳統(tǒng)的信息系統(tǒng)安全防護中，人們往往更加重視操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全防護，忽視了數(shù)據(jù)存儲的安全防護問題，這使得數(shù)據(jù)存儲安全防護成為了整個信息系統(tǒng)安全體系結(jié)構(gòu)這個木桶中的短板，影響了信息系統(tǒng)的整體安全性。雖然近幾年人們對信息系統(tǒng)數(shù)據(jù)存儲安全防護重視程度有所提高，但現(xiàn)行的數(shù)據(jù)存儲主要是通過身份驗證和訪問控制來實現(xiàn)安全防護，無法從根本上保證系統(tǒng)重要數(shù)據(jù)的機密性。

在根據(jù)身份密碼加密技術(shù)所研發(fā)的數(shù)據(jù)存儲的秘鑰管理模型中，只有訪問者身份得到認證，才能訪問系統(tǒng)中存儲的信息，沒有得到認證的訪問者，不能打開系統(tǒng)的存儲信息；利用該技術(shù)的管理方案，根據(jù)數(shù)字信封思想，對用戶的密鑰合法性進行檢測，無效密鑰無法打開封存的系統(tǒng)信息，不僅保證了系統(tǒng)信息的安全，還避免了存儲保護密鑰被竊取和泄露的風(fēng)險[5]。數(shù)據(jù)存儲密鑰管理模型通過保密存儲，將存儲的系統(tǒng)信息放到TPM 中，沒有合法授權(quán)無法打開存儲系統(tǒng)，進一步提升了存儲信息的安全性和可靠性。

3.4 通信網(wǎng)絡(luò)模型

通過在信息網(wǎng)絡(luò)系統(tǒng)中建立通訊網(wǎng)拓撲的形式，可以實現(xiàn)對重要信息的安全防護，提供重要信息的安全性與可靠性。網(wǎng)絡(luò)通訊能力的提升是以網(wǎng)絡(luò)節(jié)點的數(shù)量多少為標(biāo)準(zhǔn)的，增加網(wǎng)絡(luò)節(jié)點數(shù)量，可以有效的提升網(wǎng)絡(luò)通訊能力和通訊方式。通過設(shè)置網(wǎng)絡(luò)拓撲，開始讓每一個等級的信息均有對應(yīng)的安全等級，降低節(jié)點之間直接鏈路的連接度。目前主流的通信網(wǎng)絡(luò)模型是通過全球廣域網(wǎng)和因特網(wǎng)技術(shù)進行構(gòu)建，通過對網(wǎng)絡(luò)信息進行安全等級劃分，用拓撲控制計算，來實現(xiàn)對網(wǎng)絡(luò)信息的優(yōu)化，以此來提升網(wǎng)絡(luò)協(xié)議對網(wǎng)絡(luò)信息的篩查。

4 結(jié)束語

重要信息系統(tǒng)的特殊性和重要性決定了重要信息系統(tǒng)安全體系結(jié)構(gòu)及實用模型研究的緊迫性，對重要信息系統(tǒng)安全體系結(jié)構(gòu)和實用模型的深入研究需要理論聯(lián)系實際，通過大量的實踐應(yīng)用開發(fā)工作，立足于現(xiàn)實情況，集中各方力量，有針對性的進行研究開發(fā)。對于重要信息系統(tǒng)的安全體系結(jié)構(gòu)而言，不僅要保護敏感數(shù)據(jù)和信息的安全性，還要保障其完整性；敏感數(shù)據(jù)和信息受到任何的丟失、損壞等都會對國家安全、社會穩(wěn)定和經(jīng)濟發(fā)展造成不可估量的損失。因此，提高重要信息系統(tǒng)安全體系結(jié)構(gòu)和實用模型的穩(wěn)定性和可用性，是我國信息系統(tǒng)安全建設(shè)工作的重要內(nèi)容，勢在必行。