張書東,劉 欣,秦長貴

(北京圖形研究所,北京100029)

0 引言

近年來,由變種的木馬、病毒等惡意代碼造成的內(nèi)網(wǎng)失泄密事件層出不窮,究其原因是因?yàn)閮?nèi)網(wǎng)安全保障體系不完善,信息安全保障措施不能形成無縫的統(tǒng)一整體,嚴(yán)重影響了其安全防護(hù)效果。為此,試圖從內(nèi)網(wǎng)安全保障框架理論模型研究入手,提出一個(gè)內(nèi)網(wǎng)安全防護(hù)的整體方案。首先將安全威脅劃分為網(wǎng)絡(luò)接入、終端和人員3個(gè)方面,確定針對(duì)日益發(fā)展的信息攻擊手段,積極防御是應(yīng)對(duì)未知威脅、實(shí)現(xiàn)信息安全保障的有效解決方案;其次,將內(nèi)網(wǎng)安全劃分為邊界、局域網(wǎng)和終端3個(gè)層次,構(gòu)建以桌面安全為主的保障技術(shù)框架,給出基于用戶與資源分離的內(nèi)網(wǎng)信息管控模型及實(shí)現(xiàn)。

1 內(nèi)網(wǎng)的安全威脅根源

信息安全專家指出“防內(nèi)”是國家信息安全保障的重點(diǎn)和關(guān)鍵[1],研究界和業(yè)界近年來逐漸關(guān)注內(nèi)網(wǎng)安全,出現(xiàn)了大量監(jiān)控網(wǎng)絡(luò)行為、加密網(wǎng)絡(luò)信息的產(chǎn)品,文章力圖以“三縱三橫兩個(gè)中心”積極防御的信息安全保障技術(shù)框架為基礎(chǔ),從內(nèi)網(wǎng)系統(tǒng)整體出發(fā),研究內(nèi)網(wǎng)信息安全威脅產(chǎn)生的因素,從而給出完整的安全保障技術(shù)框架。

通常內(nèi)網(wǎng)本身與其他網(wǎng)絡(luò)是物理隔離的,如果發(fā)生安全威脅,在不考慮通信安全的影響情況下,則必然是通過與外界的信息交換產(chǎn)生的。當(dāng)內(nèi)網(wǎng)數(shù)據(jù)被未授權(quán)的外部用戶得到則產(chǎn)生泄密事件,這種情況一般發(fā)生在外部終端或移動(dòng)終端非法接入內(nèi)網(wǎng)并讀取數(shù)據(jù),或內(nèi)部終端或移動(dòng)終端非法接入外網(wǎng),被外部用戶讀取數(shù)據(jù),或存儲(chǔ)內(nèi)網(wǎng)數(shù)據(jù)的移動(dòng)介質(zhì)連接到外部終端,被讀取數(shù)據(jù),最后一種情況是通過打印機(jī)等輸出設(shè)備,由硬拷貝傳送到外部。在這些情況下,技術(shù)因素和非技術(shù)因素共同造成內(nèi)網(wǎng)的安全威脅,細(xì)化為以下3個(gè)方面:

①網(wǎng)絡(luò)接入:通過上述分析,當(dāng)內(nèi)網(wǎng)終端私自連接到外網(wǎng),或外部終端私自連接到內(nèi)網(wǎng),如繞過統(tǒng)一網(wǎng)絡(luò)管理,通過Modem撥號(hào)、ADSL撥號(hào)或無線撥號(hào)方式將內(nèi)網(wǎng)主機(jī)接入外網(wǎng),將外部計(jì)算機(jī)設(shè)備(如筆記本和PDA等)通過交換機(jī)或者對(duì)等網(wǎng)接入內(nèi)網(wǎng),給涉密信息造成威脅;

②終端:外設(shè)(如紅外、藍(lán)牙、USB和打印等)尤其是移動(dòng)存儲(chǔ)介質(zhì)使用管理困難,容易造成病毒泛濫,并且容易有意或者無意將涉密文件帶出涉密網(wǎng)絡(luò)和保密區(qū)域,造成泄密;涉密計(jì)算機(jī)的硬盤被盜,造成數(shù)據(jù)泄密;應(yīng)用程序安裝泛濫,造成信息網(wǎng)絡(luò)維護(hù)困難,也容易造成木馬和病毒感染,及產(chǎn)生侵犯知識(shí)產(chǎn)權(quán)的行為;

③人員:內(nèi)網(wǎng)計(jì)算機(jī)和員工數(shù)量眾多,對(duì)終端控制能力不強(qiáng),存在大量安全隱患,一些安全規(guī)定的執(zhí)行只能憑借主觀自覺,對(duì)故意或無意造成的信息泄露或破壞行為缺乏技術(shù)制約。存在外來人員通過關(guān)系拷貝涉密文件的可能。

內(nèi)網(wǎng)信息安全是一個(gè)廣泛的概念,只有通過人、技術(shù)和操作3個(gè)方面的有機(jī)配合,才能構(gòu)成積極防御的安全體系。

2 用戶與資源分離的信息管控模型

基于上述理論,提出一種基于用戶和信息分離的內(nèi)網(wǎng)信息管控模型,可以為涉密電子文檔和數(shù)據(jù)庫等資源提供強(qiáng)制性的保護(hù),避免秘密信息的泄露。

2.1 內(nèi)網(wǎng)信息安全保密管理策略

在內(nèi)網(wǎng)中,秘密信息由電子文檔承載。電子文檔包括用戶的辦公文檔(如Office文檔)、電子銀行下發(fā)的證書和數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)等等。近年來,內(nèi)網(wǎng)主要泄密事件都是由于涉密電子文檔的泄露,因此,電子文檔的保護(hù)就成為內(nèi)網(wǎng)信息保密的重要內(nèi)容。要保護(hù)電子文檔,就需要加強(qiáng)文檔的使用管理和擴(kuò)散控制,即對(duì)文檔的原始性進(jìn)行保護(hù)和記錄。根據(jù)這一要求,可以確定電子文檔保護(hù)思路:①根據(jù)文檔屬性和制空權(quán)限定操作人員行為;②將文檔集中管理,用戶終端與文檔本身隔離,不能接觸電子文檔原件;③策略不受限于具體的網(wǎng)絡(luò)環(huán)境和操作系統(tǒng);④對(duì)文檔從生成到存儲(chǔ)、編輯和銷毀的整個(gè)過程進(jìn)行保護(hù)。如果這些約束條件能夠滿足,那么原來用于紙質(zhì)文檔保護(hù)的策略,同樣在電子文檔保護(hù)中有效。

2.2 模型描述

整個(gè)信息系統(tǒng)從本質(zhì)上分為資源網(wǎng)和用戶網(wǎng)2個(gè)部分。資源網(wǎng)是需要保護(hù)的信息資源和應(yīng)用程序,用戶網(wǎng)則是對(duì)信息資源及程序的訪問與使用部分。從這個(gè)思路上來看,就容易理解如何保護(hù)信息資源。一方面,把資源網(wǎng)盡量收攏,這樣看管起來比較容易;另一方面,控制用戶網(wǎng),也就是控制用戶對(duì)資源網(wǎng)的訪問,這個(gè)控制通過授權(quán)、監(jiān)控和審計(jì)等措施來實(shí)現(xiàn)。內(nèi)網(wǎng)信息安全管控模型如圖1所示。

圖1 基于用戶與資源分離的內(nèi)網(wǎng)信息管控模型

模型由用戶網(wǎng)與資源網(wǎng)信息交換、資源網(wǎng)邊界防護(hù)、應(yīng)用代理、訪問控制和內(nèi)容接口及數(shù)據(jù)存儲(chǔ)6個(gè)部分組成。

①用戶網(wǎng)與資源網(wǎng)信息交換:用戶網(wǎng)僅具有向資源網(wǎng)發(fā)出訪問請(qǐng)求及接收資源網(wǎng)返回信息的功能。在這2個(gè)信息交換過程中,當(dāng)用戶網(wǎng)向資源網(wǎng)提交信息時(shí),模型應(yīng)能提供惡意代碼控制和信道保護(hù)功能;而當(dāng)資源網(wǎng)向用戶返回結(jié)果時(shí),應(yīng)能提供信息復(fù)制阻斷及信道保護(hù)功能;

②資源網(wǎng)邊界防護(hù):提供應(yīng)用隔離,資源網(wǎng)與用戶網(wǎng)間的任何數(shù)據(jù)交換,通過邊界防護(hù)進(jìn)行,一方面可過濾未經(jīng)允許的信息,另一方面可進(jìn)行數(shù)據(jù)交換日志管理;

③應(yīng)用代理:是在兩網(wǎng)分離、用戶所有應(yīng)用集中于資源網(wǎng)內(nèi)后,在用戶終端上并沒有與保密信息相關(guān)的應(yīng)用程序,所有應(yīng)用程序集中于資源網(wǎng),由應(yīng)用代理統(tǒng)一管理調(diào)用;

④訪問控制:將不同應(yīng)用程序的訪問控制策略,映射于一個(gè)統(tǒng)一的訪問控制系統(tǒng),以實(shí)施對(duì)用戶網(wǎng)的統(tǒng)一訪問控制;

⑤內(nèi)容接口:負(fù)責(zé)處理計(jì)算通過訪問控制的用戶數(shù)據(jù)訪問請(qǐng)求,并提交文件存儲(chǔ)部分,再將文件存儲(chǔ)部分返回的結(jié)果交付計(jì)算代理;

⑥文件存儲(chǔ):將系統(tǒng)中所有應(yīng)用程序數(shù)據(jù)、數(shù)據(jù)庫和文件集中存儲(chǔ)。

2.3 模型實(shí)現(xiàn)

基于用戶與資源分離的內(nèi)網(wǎng)信息管控模型的實(shí)現(xiàn),就是將所有的用戶、應(yīng)用和數(shù)據(jù)集中在服務(wù)器上進(jìn)行管理,用戶的所有操作都在服務(wù)器上進(jìn)行,通過集中授權(quán)、終端控制和通信加密、訪問控制和數(shù)據(jù)加密等遍布整個(gè)訪問流程的安全措施,實(shí)現(xiàn)對(duì)信息操作流程的控制,從而實(shí)現(xiàn)對(duì)信息資源的保護(hù)。

用戶網(wǎng)和資源網(wǎng)之間,通過IP阻斷,切斷從用戶網(wǎng)到資源網(wǎng)的通用網(wǎng)絡(luò)協(xié)議,而只有系統(tǒng)認(rèn)可的應(yīng)用通信才能通過,實(shí)現(xiàn)網(wǎng)絡(luò)不通而應(yīng)用相通的效果。應(yīng)用接入服務(wù)器具有多個(gè)標(biāo)準(zhǔn)網(wǎng)絡(luò)接口,用戶網(wǎng)和資源網(wǎng)分接在不同的網(wǎng)絡(luò)接口上,實(shí)現(xiàn)網(wǎng)絡(luò)層及以上協(xié)議的阻斷。這樣,對(duì)于部署在資源網(wǎng)段的各類服務(wù)、應(yīng)用及內(nèi)容,有效地避免了來自于用戶網(wǎng)的直接攻擊,從而可以放心地打開業(yè)務(wù)所用的各類端口,而無需擔(dān)心遭受非業(yè)務(wù)系統(tǒng)的惡意攻擊。用戶網(wǎng)需要對(duì)資源網(wǎng)的操作,均通過私有協(xié)議進(jìn)行,而私有協(xié)議則在應(yīng)用接入服務(wù)器中進(jìn)行有效過濾,只有合法的訪問才能通過。

應(yīng)用代理實(shí)現(xiàn)鍵盤鼠標(biāo)信息接收、解析及應(yīng)用程序調(diào)用、參數(shù)輸入功能,以及返回結(jié)果截屏、發(fā)送功能,控制惡意代碼上傳和信息復(fù)制。

2.4 信息管控效果分析

根據(jù)上述設(shè)計(jì),基于用戶與資源分離的內(nèi)網(wǎng)信息管控模型的安全性分析如下:

強(qiáng)制性安全保護(hù):系統(tǒng)的安全機(jī)制強(qiáng)行嵌入到每個(gè)功能,在不影響系統(tǒng)應(yīng)用性能的基礎(chǔ)上實(shí)現(xiàn)管控機(jī)制,用戶能夠使用的操作由資源網(wǎng)定義和生成,用戶自身不能改變,也無法繞過,安全保護(hù)具有強(qiáng)制性特點(diǎn)。

操作系統(tǒng)無關(guān)性:用戶權(quán)限采用獨(dú)立的管理體系,不采用具體某一個(gè)操作系統(tǒng)的用戶管理機(jī)制;對(duì)集中管理的文件和數(shù)據(jù),其存儲(chǔ)、管理粒度,與操作系統(tǒng)和存儲(chǔ)形式無關(guān);與操作系統(tǒng)的無關(guān)性,也使得不必受限于操作系統(tǒng)的各種升級(jí)和變化,保護(hù)了本身功能和管理機(jī)制的整體性,具有良好的可移植性和可持續(xù)性。因此,這種安全防護(hù)可以方便、靈活地部署。

全生命周期保護(hù):資源服務(wù)器內(nèi)集中了數(shù)據(jù)內(nèi)容以及相關(guān)的應(yīng)用軟件,對(duì)數(shù)據(jù)的操作完全在資源服務(wù)器內(nèi)完成;數(shù)據(jù)從產(chǎn)生到銷毀的全生命周期,均在封閉的環(huán)境內(nèi)進(jìn)行,保證信息無泄露;數(shù)據(jù)操作的主體和客體都根據(jù)安全策略設(shè)置敏感標(biāo)記,可以實(shí)現(xiàn)細(xì)粒度的資源防護(hù)。在數(shù)據(jù)存儲(chǔ)中,可以通過密文存儲(chǔ)防止數(shù)據(jù)被管理員窺視。

終端無痕:編輯軟件和用戶文檔、應(yīng)用系統(tǒng)與數(shù)據(jù)庫、瀏覽器和Web數(shù)據(jù)庫都被安全隔離在資源網(wǎng),應(yīng)用程序的執(zhí)行也是在資源網(wǎng)內(nèi)部,用戶看到的是通過應(yīng)用服務(wù)器傳輸?shù)挠跋裥畔?通過限制截屏、剪貼板功能,可以有效預(yù)防信息通過終端泄露。

3 結(jié)束語

從內(nèi)網(wǎng)的安全威脅出發(fā),從網(wǎng)絡(luò)接入、終端和人員3個(gè)要素著眼,提出了內(nèi)網(wǎng)安全保障框架理論模型,并對(duì)模型進(jìn)行了形式化描述,進(jìn)一步研究內(nèi)網(wǎng)信息安全保障奠定了理論基礎(chǔ)。研究了內(nèi)網(wǎng)信息安全防泄露的一個(gè)應(yīng)用模型:基于用戶與資源分離的內(nèi)網(wǎng)信息安全管控模型,并深入探討了其實(shí)現(xiàn)架構(gòu)。從理論和實(shí)踐2個(gè)方面探討了內(nèi)網(wǎng)信息安全解決方案,提出了重要信息系統(tǒng)的信息防范方案。

[1]沈昌祥.對(duì)當(dāng)前信息安全系統(tǒng)的反思[C].北京:中國計(jì)算機(jī)學(xué)會(huì)信息保密專業(yè)委員會(huì)論文集,2003:211-212.

[2]DoD 5200.28-STD.Department of Defense Standard.DoD Trusted Computer System Evaluation Criteria[S].

[3]沈昌祥.基于積極防御的安全保障框架[J].中國信息導(dǎo)報(bào),2003(10):50-51.

[4]趙 勇.中軟可信移動(dòng)存儲(chǔ)介質(zhì)管理解決方案[J].中國計(jì)算機(jī)報(bào),2005(9):2-3.