基于標記技術的強制訪問控制模型設計與應用

朱 濤，董 鵬，朱 賀，齊 勝

（1.中國鐵路信息科技集團有限公司 研發和建設處，北京 100844；2.中鐵信（北京）網絡技術研究院有限公司 網絡安全研究室，北京 100044）

以云計算為代表的新型計算環境大部分是基于高速網絡訪問并可共享訪問，按需分配的計算模式[1]。自提出以來，云計算已進入穩定發展的階段。但是，云計算的大規模應用使安全事故頻發，出現了諸如橫向擴展、訪問混亂、賬戶劫持等問題[2]。鐵路業務系統經過長期的分散發展，一直以業務或者應用為中心進行安全防護和建設，產生了許多“碎片化”“區域化”網絡，因而網絡安全的防護設計在整體上不夠全面，易出現“單兵作戰”的情況，降低鐵路業務系統的整體防護能力[3]。尤其在應對新型網絡威脅下，鐵路網絡安全由于主動防御能力欠佳，聯防聯控防護能力較弱，導致在云計算環境下的安全事件頻發。

按照《網絡安全等級保護2.0》系列標準的要求，在三級及以上的信息系統要求在安全區域網絡、安全區域邊界、安全計算等各個層面實施強制訪問控制，通過對重要主體和客體設置安全標記的方式，控制主體對有安全標記信息資源的訪問[4]。訪問控制技術可以通過授權信息，對資源訪問操作進行控制，實現對信息資源的保護[5]，從而有效阻止非法接入和非法入侵，保證信息資源的合法使用。

本文設計基于標記技術的強制訪問控制模型（簡稱：訪問模型），以兩個安全要求為設計原則：

（1）只有經過認證并授權的主體可以發出訪問或者執行請求；

（2）只有正確的訪問或者執行請求才可以到達客體資源，實現了鐵路業務系統在云計算環境下的縱深防御、多級安全和細粒度訪問控制和防護。

1 鐵路網絡安全架構

鐵路網絡現已覆蓋中國國家鐵路集團有限公司（簡稱：國鐵集團）、18 個鐵路局集團公司和5 000多個基層站段，在縱向上分為國鐵集團級、鐵路局集團公司級（簡稱：鐵路局級）和站段級三級網絡[6]，在橫向上在國鐵集團和鐵路局集團公司形成外部服務網、內部服務網和安全生產網三網分離的架構，如圖1 所示。外部服務網承載面向社會大眾，提供服務的系統。內部服務網承載面向鐵路內部人員，提供一般性服務的系統。安全生產網承載關系到鐵路運輸生產的系統。另外，根據安全生產需要，鐵路網絡建設了專用業務生產網絡，如列車運行控制專網、列車調度指揮專網、客票系統專網、資金專網、公安專網等。

圖1 鐵路網絡架構

2 模型設計

2.1 鐵路網絡空間安全體系架構設計

按照國家相關管理部門的要求，進一步優化鐵路網絡安全的體系架構，本文在既有的鐵路網絡架構基礎上，設計了鐵路網絡空間安全體系架構，如圖2 所示。鐵路網絡空間安全體系對應于現有的鐵路網絡架構，將鐵路信息分為服務網絡空間、管理網絡空間和生產網絡空間。

圖2 鐵路網絡空間安全體系架構

（1）服務網絡空間在物理上由互聯網和外部服務網構成，主要部署對外服務和外網應用，以及外網終端。

（2）管理網絡空間基于內部服務網，主要部署應用服務資源和內網終端。

（3）生產網絡空間基于鐵路業務的各個生產網，合并構成新的用于生產服務的網絡空間，由生產設備構成。

鐵路網絡空間安全體系架構在密碼技術和可信計算的基礎上，以“一個中心三重防護”作為總體思路，進行安全體系架構設計。

“一個中心”即安全管理中心[7]。作為統一管理調度平臺，安全管理中心對策略對象統一進行建立、維護、下發、跟蹤、收集，實現完整的智能策略調度閉環管理。安全管理中心由可信策略管理模塊、訪問關系管理模塊、客體策略管理模塊和主體策略管理模塊組成。

“三重防護”即計算環境安全、區域邊界安全和通信網絡安全。該體系通過標記強制訪問控制技術和可信安全計算，在物理環境安全的基礎上不僅可以滿足三重防護的要求，還可以實現應用開發安全。標記強制訪問控制技術通過每一次訪問操作進行管控，可確保訪問操作安全可控。可信安全計算技術通過網絡準入控制和程序白名單機制，確保訪問過程安全可信。

網絡空間的子空間之間通過安全隔離交換設備進行數據的安全交換，并將收集的威脅信息、邊界網絡和終端的日志數據上傳到態勢感知系統進行智能化關聯分析，將全網的安全態勢可視化展現。

2.2 訪問模型

網絡空間4 要素為載體、主體、操作和資源，其中，載體是部署在網絡空間的物理設備；主體泛指各種應用、程序等；操作指主體對資源的訪問過程；資源又稱為客體，一般為文件、數據庫等。在不同網絡空間，僅有限資源可以跨越網絡空間。在各網絡空間安全域之間采用有限的安全數據交換，實現空間之間的信息有限共享，鐵路計算平臺安全方案是以資源為核心的防護模型，空間安全域之間僅交互有限資源，空間安全域內需要確保有限訪問。鐵路網絡空間的安全域劃分如圖3 所示。每個網絡子空間內部劃分為不同的安全域：服務網絡空間和管理網絡空間劃分為服務器域和終端域；生產網絡空間劃分為管理域、設備域，實現不同安全域之間的相互隔離和分層防護。

圖3 鐵路網絡空間內安全域劃分

基于標記技術的可信訪問模型的建立可以確保訪問過程中每個主客體的操作都是可信的。鐵路網絡空間內的訪問需求主要有3 種訪問模型：（1）主體對相同空間、相同域內的客體進行訪問；（2）主體對相同空間、不同域內的客體進行訪問；（3）主體對不同空間、不同域內的客體進行訪問。

第1 種訪問模型如圖4 所示。主體和客體不僅在相同的空間，而且也在相同的域內。首先，操作系統或安全模塊根據進程的簽名信息和安全配置策略文件信息，生成主體標記信息。主體發出攜帶該標記信息的訪問請求，該請求可以通過代理實現對客體的安全訪問。代理提供數據傳輸接口，通過對標記信息識別判斷是否可以傳遞主體的訪問請求給對應客體單元。客體對象受資源保護單元保護，資源保護單元收到來自主體的訪問請求后，根據請求中所攜帶的標記信息進行判斷，給予本次訪問對應的客體操作權限。

圖4 第1 種訪問控制模型

第2 種訪問模型如圖5 所示。主體和客體雖然都在同一空間，但是需要跨越不同的安全域（域1、域2）進行傳輸。操作系統或安全模塊根據安全配置策略文件信息，結合進程的簽名信息生成主體標記信息。主體發出的訪問請求中攜帶該標記信息，該請求可以通過代理實現對客體的安全訪問。代理提供數據傳輸接口，通過對標記信息識別判斷是否可以傳遞該請求給客體所在的域。到達客體域后，代理通過對標記識別判斷是否可以傳遞該請求給對應客體單元。客體對象受資源保護單元保護，資源保護單元收到來自主體的訪問請求后，根據請求中所攜帶的標記信息進行判斷，給予本次訪問對應的客體操作權限。

圖5 第2 種訪問控制模型

第3 種訪問模型如圖6 所示。主體不僅要跨越不同域，還要跨越不同空間。此時主體的訪問請求不僅需要域內代理和訪問代理，同時需要數據交換平臺進行數據擺渡。操作系統或安全模塊根據安全配置策略文件信息，結合進程的簽名信息生成主體標記信息。主體發出的訪問請求中攜帶該標記信息，該請求可以通過代理實現對客體的安全訪問。代理提供數據傳輸接口，通過對標記信息識別判斷是否可以傳遞該請求給客體所在的網絡空間，在網絡空間邊界處數據交換平臺通過對標記進行識別判斷，實現數據的準入控制。在客體空間內，代理通過對標記信息識別判斷是否可以傳遞該請求給對應客體單元。客體對象受資源保護單元保護，資源保護單元收到來自主體的訪問請求后，根據請求中所攜帶的標記信息進行判斷，給予本次訪問對應的客體操作權限。

圖6 第3 種訪問控制模型

3 模型應用

3.1 系統構成

基于訪問模型的系統由部署在服務器或終端計算節點內的可信操作系統或安全模塊、部署在云虛擬機內的安全數據交換總線和部署在不同網絡空間邊界的網絡安全數據交換系統構成。該系統可以對每一次主客體的訪問操作進行管理，將主體標記—操作標記—客體標記為每次訪問會話的標識依據，以對空間內的每次訪問進行準確管控。

（1）數據交換系統

數據交換系統與網絡隔離技術、標記強制訪問技術、準入控制技術和數據加密技術相結合，在不同的區域邊界部署性能不同的數據交換系統，以保證數據的機密性和完整性，防止病毒、惡意程序、非法授權訪問跨越不同安全域[8]。數據交換系統還具有添加和去除標記信息的功能，是標記強制訪問的核心系統。

（2）數據交換總線

數據交換總線運行在支持標記技術的操作系統上，提供數據傳輸接口，通過對標記信息識別判斷，控制數據流向，實現同一子空間的不同應用之間，以及不同子空間之間的數據安全交換。數據交換總線還設置了數據緩存區，通過直接讀取緩存區中的數據提高運行效率。

（3）可信操作系統

可信操作系統可以實現操作系統之上的可信，而在操作系統之前啟動的程序就無法進行訪問[9]，只有經過安全模塊驗證的、帶有正確標記信息的進程主體才可以在操作系統中運行，發出操作請求；沒有標記信息或者標記信息錯誤的請求則會被拋棄。可信操作系統還會建立主客體和對應操作的訪問控制矩陣，按照控制矩陣確認對每個訪問操作進行控制，實現強約束條件下的受控訪問。

3.2 數據傳輸

數據傳輸分為以下兩種情況。

（1）應用若訪問同一個網絡子空間的數據資源，其數據傳輸如圖7 所示。

圖7 同一個網絡子空間的數據傳輸示意

①應用（主體）調用安全模塊給訪問請求添加標記信息，完成標記的初始化。

②安全模塊將帶有標記信息的報文發送到數據交換總線，由數據交換總線依據報文信息的目標地址，將訪問請求傳輸到被訪問端的安全模塊。

③安全模塊依據訪問控制矩陣判斷操作請求的合理化，請求按照訪問操作矩陣的規定對資源進行有限訪問。

（2）應用的訪問請求若要跨越不同的網絡子空間，其數據傳輸如圖8 所示。

圖8 跨越網絡子空間數據傳輸示意

①應用（主體）調用安全模塊，給訪問請求添加標記信息，完成標記的初始化。

②安全模塊將帶有標記的報文發送到數據交換總線，數據交換總線依據報文信息的目標地址，將數據報文發送至數據交換平臺。

③數據交換平臺對標記信息進行檢查，核實能否向下傳輸。核實之后，當前數據交換平臺將報文發送至下一個網絡子空間的數據安全平臺。

④目標端的數據交換平臺會重新添加標記信息，對數據報文進行重新組裝，然后發送至數據交換總線。

⑤數據交換總線將報文發送至安全模塊，安全模塊對標記信息識別判斷后進行資源訪問。

4 關鍵技術

標記技術是鐵路計算平臺安全方案實現強制訪問控制的關鍵技術，由安全模塊生成標記信息。標記信息是操作系統、網絡控制設備對主客體進行標記和強制訪問控制的依據，包括安全等級、數據基本屬性、安全機制等信息。主體是主動發起動作的實體，一般指進程；客體是主體發起動作的對象，一般指文檔、圖像等數據。在鐵路網絡空間內利用標記技術對客體進行保護，對空間內的操作進行管控，僅有空間內允許的資源可以通過隔離設備穿越空間；同時，建立主體、資源和對應操作的訪問控制矩陣，利用控制矩陣對每次操作進行訪問控制，對應的主體只進行固定的操作，完成在強約束條件下的受控訪問。在輸入/輸出層部署管控模塊，實現客體對主體訪問操作的識別和認定，同時對資源進行加密保護，只有操作正確才可以透明地施加在資源上，非授權的訪問則被禁止。

5 結束語

本文從鐵路網絡架構實際情況出發，結合網絡安全的要求及發展，設計了鐵路網絡空間安全體系架構，為鐵路各信息系統與生產系統的空間劃分、安全優化、訪問防控等方面提供了基礎研究保障。本文所提出的基于標記技術的強制訪問控制模型可以對網絡空間內每個訪問進行控制，實現鐵路網絡空間內的端到端安全訪問，實現了鐵路網絡內空間、區、域、端的基于一體化安全策略的安全訪問控制模型。