重要信息系統(tǒng)安全體系結(jié)構(gòu)及實(shí)用模型研究.pdf

1、重要信息系統(tǒng)是指國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)體系中三級(jí)以上的系統(tǒng)，當(dāng)其安全性受到破壞后，將嚴(yán)重影響社會(huì)秩序、公眾利益甚至國(guó)家的安全和穩(wěn)定，因此它是國(guó)家信息安全保障體系中的重點(diǎn)保護(hù)對(duì)象。國(guó)內(nèi)信息安全專(zhuān)家沈昌祥院士提出以終端安全為核心來(lái)解決重要信息系統(tǒng)安全的思路。TCG提出的“可信計(jì)算”概念也不謀而合，同樣主張從終端安全入手，通過(guò)提高終端平臺(tái)的安全性，來(lái)確保信息系統(tǒng)的安全。 然而，縱觀信息系統(tǒng)安全，尤其是重要信息系統(tǒng)安全的發(fā)展歷程，目前

2、依然存在如下幾個(gè)較為突出的安全問(wèn)題： 1)缺乏適合于重要信息系統(tǒng)的安全體系結(jié)構(gòu)； 眾所周知，信息系統(tǒng)的安全防護(hù)強(qiáng)度取決于“馬奇諾防線”中最為薄弱的環(huán)節(jié)，如果沒(méi)有合理的安全體系結(jié)構(gòu)作為指導(dǎo)，信息系統(tǒng)中各安全部件就難以相互協(xié)調(diào)、有序工作，就很容易出現(xiàn)“安全短板”現(xiàn)象，從而導(dǎo)致信息系統(tǒng)安全防護(hù)不堪一擊，所有的努力功虧一簣。 2)可信計(jì)算和安全機(jī)制相脫節(jié)； 重要信息系統(tǒng)的復(fù)雜性和異構(gòu)性，增加了可信計(jì)算實(shí)施的難度，

3、導(dǎo)致可信計(jì)算難以為上層安全機(jī)制提供良好的保障服務(wù)。同時(shí)，當(dāng)前的大部分安全操作系統(tǒng)仍然沿用可信計(jì)算問(wèn)世之前的系統(tǒng)安全機(jī)制，沒(méi)有充分利用可信計(jì)算提供的可信功能來(lái)增強(qiáng)自身的安全性，使得可信計(jì)算形同虛設(shè)，沒(méi)有起到應(yīng)有的作用。 3)系統(tǒng)的安全性和易用性不夠； 安全性和易用性在某種程度上是一對(duì)矛盾，為了提高系統(tǒng)的安全性，有時(shí)需要降低系統(tǒng)的易用性。如為了減小系統(tǒng)機(jī)密性安全被破壞的風(fēng)險(xiǎn)，當(dāng)前大部分重要信息系統(tǒng)都禁止用戶使用移動(dòng)存儲(chǔ)設(shè)備，

4、禁止終端接入公共網(wǎng)絡(luò)，從而導(dǎo)致系統(tǒng)的易用性遭到嚴(yán)重影響。于是在不降低系統(tǒng)易用性的前提下，提高系統(tǒng)的安全性是極其必要的。 本文緊緊圍繞當(dāng)前重要信息系統(tǒng)存在的上述安全問(wèn)題，以“三縱三橫兩中心”保障體系為基礎(chǔ)，從信息系統(tǒng)應(yīng)用環(huán)境安全的角度出發(fā)，系統(tǒng)全面地研究了重要信息系統(tǒng)的安全體系結(jié)構(gòu)和實(shí)用模型，取得了如下幾方面的成果： 第一，提出了由可信應(yīng)用環(huán)境、可信邊界控制、可信網(wǎng)絡(luò)傳輸組成的重要信息系統(tǒng)安全體系結(jié)構(gòu)。并在此基礎(chǔ)上對(duì)可信應(yīng)

5、用環(huán)境的安全體系結(jié)構(gòu)進(jìn)行了細(xì)化，充分體現(xiàn)了可信計(jì)算和安全有機(jī)融合的思想，即可信計(jì)算是安全的基礎(chǔ)保障，安全機(jī)制協(xié)助可信計(jì)算為上層提供更良好的服務(wù)。 第二，提出了面向可信應(yīng)用環(huán)境的隔離模型，為屏蔽和消除任務(wù)之間的有害干擾，維持任務(wù)行為的動(dòng)態(tài)可信提供了理論指導(dǎo)。模型根據(jù)信息系統(tǒng)中應(yīng)用的行為特征，通過(guò)對(duì)信息系統(tǒng)中的資源進(jìn)行劃分，建立起了應(yīng)用與其運(yùn)行過(guò)程中有密切關(guān)系的資源之間的對(duì)應(yīng)關(guān)系。模型假設(shè)可信的任務(wù)不會(huì)發(fā)出干擾其它任務(wù)正常運(yùn)行的信息

6、流，在此基礎(chǔ)上，不僅限制任務(wù)只能以主動(dòng)讀取其他應(yīng)用對(duì)應(yīng)資源的方式和外界進(jìn)行通信，而且規(guī)定信息流的源頭任務(wù)必須是可信的，從而消除了任務(wù)之間的有害干擾。顯然，模型將識(shí)別任務(wù)之間的有害干擾轉(zhuǎn)化為度量源頭任務(wù)的可信性，實(shí)用性更高。 第三，給出了一個(gè)基于可信應(yīng)用環(huán)境的系統(tǒng)安全模型，該模型采用“三實(shí)體”模式，通過(guò)定義用戶能夠啟動(dòng)的應(yīng)用來(lái)限制用戶的權(quán)限，通過(guò)限制應(yīng)用啟動(dòng)后能夠訪問(wèn)的資源來(lái)限制任務(wù)的權(quán)限。模型利用信任鏈傳遞機(jī)制的保障作用，將系統(tǒng)

7、TCB擴(kuò)展到應(yīng)用服務(wù)平臺(tái)層，確保訪問(wèn)控制機(jī)制能夠充分利用任務(wù)運(yùn)行時(shí)的語(yǔ)境，對(duì)信息流進(jìn)行安全檢查，以求做出更準(zhǔn)確的訪問(wèn)控制決策。除此之外，模型還定義任務(wù)的完整性級(jí)別和用戶可信度、應(yīng)用可信度以及任務(wù)運(yùn)行時(shí)的可信狀態(tài)相關(guān)，從而改變了傳統(tǒng)BLP和BIBA模型中實(shí)體機(jī)密性級(jí)別和完整性級(jí)別相等的局面，有利于信息的雙向流動(dòng)。 最后，提出了一個(gè)適用于重要信息系統(tǒng)的密鑰管理方案。該方案具有安全性強(qiáng)、容易使用、易于更新等特點(diǎn)。方案充分利用了基于身份

8、密碼體制的優(yōu)勢(shì)，將身份認(rèn)證和存儲(chǔ)保護(hù)有效銜接起來(lái)，從而可以彌補(bǔ)身份認(rèn)證模塊存在的安全漏洞。同時(shí)方案借鑒了數(shù)字信封的思想，將存儲(chǔ)保護(hù)的真正密鑰用合法用戶的公鑰信息封裝起來(lái)，只有合法用戶通過(guò)自己的私鑰才能計(jì)算而得，這一思想使得方案中的存儲(chǔ)保護(hù)密鑰不直接暴露給用戶，從而降低了該密鑰被泄露給非授權(quán)用戶的風(fēng)險(xiǎn)。另外，方案充分利用了可信計(jì)算提供的保密存儲(chǔ)功能，將存儲(chǔ)保護(hù)密鑰的封裝信息存儲(chǔ)在TPM中，使得只有出示了合法的授權(quán)數(shù)據(jù)后才能得到該信息，從而