重要信息系統(tǒng)安全體系結(jié)構(gòu)及實(shí)用模型研究.pdf

1、重要信息系統(tǒng)是指國家信息系統(tǒng)安全等級保護(hù)體系中三級以上的系統(tǒng)，當(dāng)其安全性受到破壞后，將嚴(yán)重影響社會秩序、公眾利益甚至國家的安全和穩(wěn)定，因此它是國家信息安全保障體系中的重點(diǎn)保護(hù)對象。國內(nèi)信息安全專家沈昌祥院士提出以終端安全為核心來解決重要信息系統(tǒng)安全的思路。TCG提出的“可信計(jì)算”概念也不謀而合，同樣主張從終端安全入手，通過提高終端平臺的安全性，來確保信息系統(tǒng)的安全。 然而，縱觀信息系統(tǒng)安全，尤其是重要信息系統(tǒng)安全的發(fā)展歷程，目前

2、依然存在如下幾個較為突出的安全問題： 1)缺乏適合于重要信息系統(tǒng)的安全體系結(jié)構(gòu)； 眾所周知，信息系統(tǒng)的安全防護(hù)強(qiáng)度取決于“馬奇諾防線”中最為薄弱的環(huán)節(jié)，如果沒有合理的安全體系結(jié)構(gòu)作為指導(dǎo)，信息系統(tǒng)中各安全部件就難以相互協(xié)調(diào)、有序工作，就很容易出現(xiàn)“安全短板”現(xiàn)象，從而導(dǎo)致信息系統(tǒng)安全防護(hù)不堪一擊，所有的努力功虧一簣。 2)可信計(jì)算和安全機(jī)制相脫節(jié)； 重要信息系統(tǒng)的復(fù)雜性和異構(gòu)性，增加了可信計(jì)算實(shí)施的難度，

3、導(dǎo)致可信計(jì)算難以為上層安全機(jī)制提供良好的保障服務(wù)。同時，當(dāng)前的大部分安全操作系統(tǒng)仍然沿用可信計(jì)算問世之前的系統(tǒng)安全機(jī)制，沒有充分利用可信計(jì)算提供的可信功能來增強(qiáng)自身的安全性，使得可信計(jì)算形同虛設(shè)，沒有起到應(yīng)有的作用。 3)系統(tǒng)的安全性和易用性不夠； 安全性和易用性在某種程度上是一對矛盾，為了提高系統(tǒng)的安全性，有時需要降低系統(tǒng)的易用性。如為了減小系統(tǒng)機(jī)密性安全被破壞的風(fēng)險，當(dāng)前大部分重要信息系統(tǒng)都禁止用戶使用移動存儲設(shè)備，

4、禁止終端接入公共網(wǎng)絡(luò)，從而導(dǎo)致系統(tǒng)的易用性遭到嚴(yán)重影響。于是在不降低系統(tǒng)易用性的前提下，提高系統(tǒng)的安全性是極其必要的。 本文緊緊圍繞當(dāng)前重要信息系統(tǒng)存在的上述安全問題，以“三縱三橫兩中心”保障體系為基礎(chǔ)，從信息系統(tǒng)應(yīng)用環(huán)境安全的角度出發(fā)，系統(tǒng)全面地研究了重要信息系統(tǒng)的安全體系結(jié)構(gòu)和實(shí)用模型，取得了如下幾方面的成果： 第一，提出了由可信應(yīng)用環(huán)境、可信邊界控制、可信網(wǎng)絡(luò)傳輸組成的重要信息系統(tǒng)安全體系結(jié)構(gòu)。并在此基礎(chǔ)上對可信應(yīng)

5、用環(huán)境的安全體系結(jié)構(gòu)進(jìn)行了細(xì)化，充分體現(xiàn)了可信計(jì)算和安全有機(jī)融合的思想，即可信計(jì)算是安全的基礎(chǔ)保障，安全機(jī)制協(xié)助可信計(jì)算為上層提供更良好的服務(wù)。 第二，提出了面向可信應(yīng)用環(huán)境的隔離模型，為屏蔽和消除任務(wù)之間的有害干擾，維持任務(wù)行為的動態(tài)可信提供了理論指導(dǎo)。模型根據(jù)信息系統(tǒng)中應(yīng)用的行為特征，通過對信息系統(tǒng)中的資源進(jìn)行劃分，建立起了應(yīng)用與其運(yùn)行過程中有密切關(guān)系的資源之間的對應(yīng)關(guān)系。模型假設(shè)可信的任務(wù)不會發(fā)出干擾其它任務(wù)正常運(yùn)行的信息

6、流，在此基礎(chǔ)上，不僅限制任務(wù)只能以主動讀取其他應(yīng)用對應(yīng)資源的方式和外界進(jìn)行通信，而且規(guī)定信息流的源頭任務(wù)必須是可信的，從而消除了任務(wù)之間的有害干擾。顯然，模型將識別任務(wù)之間的有害干擾轉(zhuǎn)化為度量源頭任務(wù)的可信性，實(shí)用性更高。 第三，給出了一個基于可信應(yīng)用環(huán)境的系統(tǒng)安全模型，該模型采用“三實(shí)體”模式，通過定義用戶能夠啟動的應(yīng)用來限制用戶的權(quán)限，通過限制應(yīng)用啟動后能夠訪問的資源來限制任務(wù)的權(quán)限。模型利用信任鏈傳遞機(jī)制的保障作用，將系統(tǒng)

7、TCB擴(kuò)展到應(yīng)用服務(wù)平臺層，確保訪問控制機(jī)制能夠充分利用任務(wù)運(yùn)行時的語境，對信息流進(jìn)行安全檢查，以求做出更準(zhǔn)確的訪問控制決策。除此之外，模型還定義任務(wù)的完整性級別和用戶可信度、應(yīng)用可信度以及任務(wù)運(yùn)行時的可信狀態(tài)相關(guān)，從而改變了傳統(tǒng)BLP和BIBA模型中實(shí)體機(jī)密性級別和完整性級別相等的局面，有利于信息的雙向流動。 最后，提出了一個適用于重要信息系統(tǒng)的密鑰管理方案。該方案具有安全性強(qiáng)、容易使用、易于更新等特點(diǎn)。方案充分利用了基于身份

8、密碼體制的優(yōu)勢，將身份認(rèn)證和存儲保護(hù)有效銜接起來，從而可以彌補(bǔ)身份認(rèn)證模塊存在的安全漏洞。同時方案借鑒了數(shù)字信封的思想，將存儲保護(hù)的真正密鑰用合法用戶的公鑰信息封裝起來，只有合法用戶通過自己的私鑰才能計(jì)算而得，這一思想使得方案中的存儲保護(hù)密鑰不直接暴露給用戶，從而降低了該密鑰被泄露給非授權(quán)用戶的風(fēng)險。另外，方案充分利用了可信計(jì)算提供的保密存儲功能，將存儲保護(hù)密鑰的封裝信息存儲在TPM中，使得只有出示了合法的授權(quán)數(shù)據(jù)后才能得到該信息，從而