1、构建积极防御综合防范的防护体系总第 15l 期2006 年第 1 期舰船电子工程ShipElectronicEngineeringVo1.26No.1l院士专稿构建积极防御综合防范的防护体系沈昌祥(北京西三环中路 l9 号 33 研北京 100084)如果信息系统中每一个使用者都是经过认证和授权的,其操作都是符合安全要求的,网络上也不会被窃听和插入,那么就不会产生人为的攻击性事故,就能保证整个信息系统的安全.这是不需要证明的公理,是信息系统安全所追求的目标.1 对当前信息安全系统的反思当前大部分信息安全系统主要是由防火墙,入侵监测和病毒防范等组成.常规的安全手段只能是在网络层(TP)设防,在外
2、围对非法用户和越权访问进行封堵,以达到防止外部攻击的目的.而对共享源的访问者源端一客户机未加控制,加之操作系统的不安全导致应用系统的各种漏洞层出不穷.封堵的办法是捕捉黑客攻击和病毒入侵的特征信息,其特征是已发生过的滞后信息,不能科学预测未来的攻击和入侵.随着恶意用户的攻击手段变化多端,防护者只能把防火墙越砌越高,入侵检测越做越复杂,恶意代码库越做越大,误报率也随之增多,使得安全的投入不断增加.维护与管理变得更加复杂和难以实施,信息系统的使用效率大大降低.而对新的攻击毫无防御能力(如冲击波).反思上述做法:老三样,堵漏洞,做高墙,防外攻,防不胜防.产生这些安全事故的技术原因是:现在的 Pc软,硬
3、件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可以被植入.病毒程序利用 Pc 操作系统对执行代码不检查一致性弱点,将病毒代码嵌入到执行代码程序,实现病毒传播.黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏.更为严重的是对合法的用户没有进行严格的访问控制.可以进行越权访问,造成不安全事件.积极防御应该是主动防止非授权访问操作,从收稿日期:2005 年 l2 月 22 日中国工程院院士客户端操作平台实施高等级防范,使不安全因素从终端源头被控制.这对工作流程相对固定的重要信息系统中显得更为重要而可行.以我国电子政务网为例,由政务内网和政务外网两部分组成.政务内网
4、是涉密网,处理涉及国家秘密事务.政务外网是非涉密网,是政府的业务专网,主要运营政府部门面向社会的专业性服务和不需要在内网运行的业务.政务内网与政务外网物理隔离,政务外网与 Intemet 逻辑隔离.在电子政务的内外网中,要处理的工作流程都是预先设计好的,操作使用的角色是确定的,应用范围和边界都是明确的.这类工作流程相对固定的生产系统与Intemet 网是有隔离措施的,外部网络的用户很难侵入到内部网络来.据国际权威机构统计,83%的信息安全事故为内部人员或内外勾结所为,而且呈上升趋势.因此应该以“防内为主 ,内外兼防“ 的模式,从提高使用节点自身的安全着手,构筑积极,综合的安全防护系统.应该:强
5、机制,高可信,控使用,防内外,积极防御.2 可信计算环境为了解决 PC 结构上的不安全 ,从基础上提高其可信性,在世界范围内推行可信计算技术,1999年由 Compaq,HP,IBM,Intel 和 Microsoft 牵头组织TCPA(TmstedComputingPlatformAlliance),目前已发展成员 190 家,遍布全球各大洲主力厂商.TC.队专注于从计算平台体系结构上增强其安全性,2001 年 1 月发布了标准规范(v1.1),2003 年 3 月改组为 TCG(TmstedComputingGroup),其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平
6、台,以提高整体的安全性.可信计算平台基于可信平台模块(TPM),以密码技术为支持,安全操作系统为核心(如图 l 所2 沈昌祥:构建积极防御综合防范的防护体系第 151 期示),具有以 IF 功能:安全应用组件安金操作系统安全操作系统内核I 密码模块协议栈 l彳主 l 可信 BIOS板 IITPM(密码模块芯片)图 1 可信计算平台和存储的安全;(1)确保用户唯一身份,权限,工作空问的完整性/可用性;(2)确保存储, 处理,传输的机密性/完整性;(3)确保硬件环境配置,操作系统内核,服务及应用程序的完整性;(4)确保密钥操作(5)确保系统具有免疫能力,从根本上阻止病毒和黑客等软件攻击.安全操作系
7、统是可信计算平台的核心和基础,没有安全的操作系统,就没有安全的应用,也不能使 TPM 发挥应有的作用 .安全技术防护框架在工作流程相对固定的重要信息系统中,信息系统主要由操作应用,共享服务和网络通信三个环节组成.如果信息系统中每一个使用者都是经过认证和授权的,其操作都是符合规定的,网络上也不会被窃听和插入,那么就不会产生攻击性的事故,就能保证整个信息系统的安全,以此来构建积极防御综合防范的防护框架.采用可信的应用操作平台确保用户合法性和资源的一致性,使用户只能按照规定权限和访问控制规则进行操作,能做到什么样权限级别的人只能做与其身份规定的访问操作,只要控制规则是合理的,那么整个信息系统资源访问
8、过程是安全的.这样构成了安全可信的应用环境(子信息系统).安全共享服务边界采用安全边界设备(如安全网关等)具有身份认证和安全审计功能,将共享服务器(如数据库服务器,WEB 服务器,邮件服务器等)与非法访问者隔离,防止意外的非授权用户的访问(如非法接入的非可信终端).这样共享服务端不必做繁重的访问控制,从而减轻服务器的压力,以防拒绝服务攻击.全程保护网络通信采用 IPSee 实现网络通信全程安全保密.IPSee 工作在操作系统内进行实现源到目的端全程通信安全保护,确保传输连接真实性和数据的机密性,一致性,防止非法窃听和插入.综上所述,可信的应用操作平台,安全的共享服务资源边界保护和全程安全保护的
9、网络通信,构成了工作流程相对固定的生产系统的信息安全防护框架.如图 2 所示.可等,三未 1“lIJlll 一/全程 IPSec:l安全隔离设备安全域二图 2 工作流程相对固定的生产系统安全解决方案诚然,要实现上述终端,边界和通信有效的安全保障,还需要授权管理的管理中心以及可信配置的密码管理中心的支撑.从技术层面上可以分为以下五个环节(即:两个中心支撑下的三重保障体系结构):涉衍区域_r r-_广保密通牖嗍络物理斑.孥用区域-问fI 隔-l 叫 rr _计算机一瑚 ll 旺田 H一广曩【:】lIJ 专用潭估网黼公】lx 城1【I 计算机 ,1l 僻 j 公 Interact 硝络.r,甄.拿蕾
10、替尘幸杼中心图 3 信息安全技术防护框架(1)应用环境安全:包括单机 ,C/S,B/S 模式的安全.采用身份认证,访问控制,密码加密,安全审计等机制,构成可信应用环境.(2)应用区域边界安全:通过部署边界保护措施控制对内部局域网的访问,实现局域网与广域网之间的安全.采用安全网关,防火墙等隔离过滤机制,保护共享资源的可信连接.(3)网络和通信传输安全:确保通信的机密性 ,一致性和可用性.采用密码加密,完整性校验和实体鉴别等机制,实现可信连接和安全通信.(4)安全管理中心:提供认证 ,授权,实时访问控制策略等运行安全服务.(下转第 12 页)癸一一日l2 王玲玲等:本体论在军事信息系统建模中的应用
11、研究总第 151 期个体(Individuals)等概念进行知识建模.以个体部分为例,个体部分针对某一具体对象的定义,如:individualnameNUE/namedocumentationNavalUxtiversityofEngineering(/documentafioninstanceofUNIVERSY/instance of/individual实际上,由于本体与领域高度相关,采用的本体描述语言也应视具体领域而定.c4ISR 领域本体构建中采用哪一种或者哪几种本体描述语言仍然需要系统开发人员和作战指挥人员一起沟通协商,并在实践中逐步确定和发展.5 结语C4ISR 系统本质上是一个
12、军事信息系统 ,因此在其建设过程中完全可将其将其视作一个特殊的信息系统,采用信息系统建模的方法和技术进行开发,并引入最新的知识工程化技术本体论,以争取为 c4ISR 系统的跨越式发展做准备.(上接第 2 页)(5)密码管理中心:提供互联互通密码配置 ,公钥证书和传统的对称密钥的管理,为信息系统提供密码服务支持.对复杂的重要信息系统,可构成三纵(涉密区域,专用区域,公共区域)三横(应用环境,应用区域边界,网络通信)和两个中心的信息防护框架.如图 3 所示.三种不同性质的应用区域在各自采用相应的安全保障措施之后,互相之问有一定的沟通,应该采用安全隔离与信息交换设备进行连接.在重要参考文献1JDav
13、id.S.AIbert,John.J.Garstka,Frederick.P.Stein.Networkcentricwarfare,developingandleveraginginformationsuperiority2ndEditi0n【 R.19992美军参谋长联席会议.2010 年联合构想rt.19963刘静,袁卫卫 ,罗雪山.ISR 领域本体研究初探J.情报指挥控制系统与仿真技术,20o4(2),l62l4李善平等. 本体论研究综述J.计算机研究与发展,2004.(7),10411452【5JSindmN,RusselD.BuildingDistributedApplicatio
14、nwithCORBAandXMLJ.XMLJoumal,1(1)6GuarinoN,WeltyC.(2000c).TowardsamethodologyforontologybasedmodelengineeringC.InroceedingsofECOOP一200oWorkshoponModelEngineering.Cannes.20oO7张维明主编.信息系统工程丛书M.北京:电子工业出版社,20028罗雪山,张维明等 .c3I 系统理论基础M.长沙:国防科技大学出版社,20009JKBSI.IDEF5Overview【DB/0L.http:/www.idef.eom/idef5.html200410KBSI.IDEF5MethodReportDB/OL.http:/www.idel“.eom/pdf/Idef5.Ddf1994应用域之间,也需要采用安全隔离与信息交换设备进行边界保护.4 结束语目前我国信息安全建设正处在一个关键时期,我们必须把握住正确的研究方向,制定相应的发展战略,走符合我国国情的发展道路,利用国际先进技术,开发安全高效,简洁廉价,具有自主知识产权的信息安全产品,从而满足我国各行各业的迫切需要,促进我国信息安全事业的发展.
