李 軍，郭紅梅

（陜西郵電職業(yè)技術(shù)學(xué)院，咸陽，712000）

計(jì)算機(jī)信息安全技術(shù)的應(yīng)用探究

李 軍，郭紅梅

（陜西郵電職業(yè)技術(shù)學(xué)院，咸陽，712000）

文章針對(duì)計(jì)算機(jī)信息安全，從信息系統(tǒng)安全體系進(jìn)行探討，通過構(gòu)建BLP多級(jí)安全模型與監(jiān)視器的方式，從而保障系統(tǒng)的安全。

信息安全；BLP模型；網(wǎng)絡(luò)監(jiān)視器

1 信息系統(tǒng)等級(jí)保護(hù)概述

1.1 等級(jí)保護(hù)定義

所謂的信息系統(tǒng)等級(jí)保護(hù)則是針對(duì)國家的相關(guān)秘密信息、公民專有信息、企業(yè)法人信息以及存儲(chǔ)、傳輸這些信息的信息系統(tǒng)進(jìn)行分等級(jí)的安全保護(hù)，并對(duì)不同的信息進(jìn)行等級(jí)管理，以此更好的進(jìn)行分等級(jí)的處理。

1.2 安全等級(jí)分類

針對(duì)信息系統(tǒng)等級(jí)分類則主要是按照以下的標(biāo)準(zhǔn)進(jìn)行劃分：對(duì)國家安全、社會(huì)生活和經(jīng)濟(jì)的重要程度；對(duì)國家和社會(huì)公眾利益、法人或個(gè)人合法利益的危害的程度；針對(duì)相關(guān)信息的機(jī)密性和完整性則必須達(dá)到相關(guān)的安全保護(hù)的基本水平。因此，我們將信息系統(tǒng)的安全分為以下不同的等級(jí)：

第一級(jí)，在信息系統(tǒng)被破壞之后，其對(duì)公民、組織和相關(guān)的法人的正當(dāng)權(quán)益構(gòu)成了損害，但是對(duì)國家安全和公共秩序沒有損害；

第二級(jí)，企業(yè)法人、公民、組織等受到嚴(yán)重的損害，或者是對(duì)社會(huì)公共的秩序構(gòu)成損壞，但對(duì)國家安全沒有構(gòu)成威脅；

第三級(jí)，公共秩序受到嚴(yán)重?fù)p壞或者是對(duì)國家安全構(gòu)成損害；

第四級(jí)，公眾利益或公共秩序受到嚴(yán)重?fù)p害，或?qū)野踩珮?gòu)成嚴(yán)重的損害；

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。

1.3 信息系統(tǒng)等級(jí)保護(hù)基本體系結(jié)構(gòu)

結(jié)合現(xiàn)代計(jì)算機(jī)信息安全保護(hù)體系，其等級(jí)保護(hù)則主要由安全環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信和安全管理中心等不同部分構(gòu)成。

其中的安全計(jì)算環(huán)境則主要負(fù)責(zé)對(duì)信息系統(tǒng)進(jìn)行相關(guān)信息的存儲(chǔ)及實(shí)施相應(yīng)的安全策略。對(duì)該環(huán)境的劃分可以將其分為五個(gè)不同級(jí)別的安全計(jì)算環(huán)境。

安全區(qū)域邊界則主要是信息系統(tǒng)當(dāng)中的安全計(jì)算環(huán)境的編輯，以此實(shí)現(xiàn)其網(wǎng)絡(luò)連接的相關(guān)安全策略部件，同樣對(duì)安全區(qū)域邊界和安全網(wǎng)絡(luò)通信的保護(hù)分為五個(gè)不同等級(jí)。

安全管理中心則是將其分為五級(jí)，對(duì)信息系統(tǒng)的安全策略和安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)的安全機(jī)制進(jìn)行統(tǒng)一的管理和控制的平臺(tái)。

2 BLP模型構(gòu)建

而通過上述的統(tǒng)一的標(biāo)準(zhǔn)在不同計(jì)算機(jī)中的應(yīng)用，從而使得各個(gè)不同等級(jí)的計(jì)算機(jī)實(shí)現(xiàn)系統(tǒng)的訪問和資源的資源的共享。但是，其訪問實(shí)現(xiàn)的機(jī)制則屬于信息安全的重中之重。因此，本文在BLP模型的基礎(chǔ)上，對(duì)BLP模型進(jìn)行擴(kuò)展，提出了新的BLP模型，建立可靠的訪問機(jī)制，并從理論上進(jìn)行證明，從而對(duì)計(jì)算機(jī)信息安全技術(shù)進(jìn)行應(yīng)用研究，并保障數(shù)據(jù)的單向流動(dòng)。該模型具備以下的特點(diǎn)：

第一，考慮到現(xiàn)在網(wǎng)絡(luò)通信，增加了在不同主體間的連接規(guī)則，而其它的任何訪問控制的規(guī)則多是建立在該規(guī)則的基礎(chǔ)上進(jìn)行；

第二，為更好的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流控制進(jìn)行分離和對(duì)主客體訪問進(jìn)行控制，將其訪問控制的矩陣分為主體與主體和主體與客體，并分別控制器訪問；

第三，在不對(duì)BLP規(guī)則進(jìn)行違背的情況下，采用客體等級(jí)提

升的方式來簡(jiǎn)化用戶訪問判決的過程。

而如果在代理的主體中讀取到其客體，則自動(dòng)將客體的安全等級(jí)提升為二代理主體的安全等級(jí)，并將主體和客體的等級(jí)都轉(zhuǎn)換成遠(yuǎn)程的遠(yuǎn)程的主題和代理的主體的等級(jí)。而針對(duì)一次訪問多個(gè)不同的客體的情況，這種方式則大大的減少了在網(wǎng)絡(luò)中進(jìn)行等級(jí)比較的次數(shù)，以此大大提高運(yùn)行效率。因此，必須進(jìn)行BLP改進(jìn)模型的狀態(tài)轉(zhuǎn)換。而要對(duì)其狀態(tài)進(jìn)行轉(zhuǎn)換，則必須對(duì)其轉(zhuǎn)換的規(guī)則進(jìn)行設(shè)計(jì)。

3 BLP改進(jìn)模型狀態(tài)的轉(zhuǎn)換規(guī)則

在網(wǎng)絡(luò)訪問中，其模式通常除連接以外，還包括創(chuàng)建、刪除、修改和讀取。而不同的元素，對(duì)其請(qǐng)求的集合分為不同的種類：R1=S×S，表示主體與主體之間的訪問；R2=S×O×A，表示主體對(duì)已經(jīng)存在的客體的訪問；R3=S×O×L，表示創(chuàng)建新的客體；R4=S×O，表示刪除客體，這些訪問由網(wǎng)絡(luò)引用監(jiān)視器進(jìn)行控制。在該安全控制中，采用引入監(jiān)視器控制代理主體對(duì)客體的訪問，控制的依據(jù)是原有BLP的訪問規(guī)則，由ρ0表示。判決結(jié)果D={y,n}。

對(duì)模型狀態(tài)進(jìn)行轉(zhuǎn)換，其規(guī)則包括以下的規(guī)則：

規(guī)則1：遠(yuǎn)程主體Si請(qǐng)求和服務(wù)器的代理主體建立連接。當(dāng)系統(tǒng)的狀態(tài)為V=(b,M,T,f,H)，系統(tǒng)則對(duì)rk的請(qǐng)求相應(yīng)規(guī)則為：

規(guī)則2：si對(duì)網(wǎng)絡(luò)客體客體o的讀取。當(dāng)其系統(tǒng)狀態(tài)v=vi+vj，系統(tǒng)對(duì)請(qǐng)求rk=(si,o,r)∈R2。

ρ2(rk,v)≡

If (1) 滿足規(guī)則1的條件(1)

規(guī)則3： si對(duì)網(wǎng)絡(luò)客體請(qǐng)求進(jìn)行刪除。當(dāng)其系統(tǒng)狀態(tài)v=vi+vj，系統(tǒng)對(duì)請(qǐng)求rk=(si,o,r)∈R3。

ρ3(rk,v)≡

If (1) 滿足規(guī)則1的條件(1)

規(guī)則4： si對(duì)網(wǎng)絡(luò)客體請(qǐng)求進(jìn)行讀寫的情況。在Si與Sj建立連接的前提下，系統(tǒng)的狀態(tài)v=vi+vj，系統(tǒng)對(duì)請(qǐng)求rk=(si,o,r)∈R4。

4 改進(jìn)模型實(shí)時(shí)的框架

針對(duì)訪問模型的控制設(shè)計(jì)，本文采用引入監(jiān)視器的方式，通過對(duì)網(wǎng)路和本地進(jìn)行監(jiān)視，以此用于對(duì)信息的不同等級(jí)的訪問。

在通信的過程中，不同的報(bào)文可攜帶比較機(jī)密的數(shù)據(jù)，同時(shí)也可攜帶請(qǐng)求或都有，以此，需要對(duì)報(bào)文中的數(shù)據(jù)進(jìn)行區(qū)分，并只對(duì)其中的攜帶機(jī)密的數(shù)據(jù)進(jìn)行控制訪問。針對(duì)上述的問題，必須對(duì)應(yīng)用層的相關(guān)協(xié)議進(jìn)行確定，通過協(xié)議格式來做出對(duì)該數(shù)據(jù)是否做出判決。應(yīng)用協(xié)議層其主要的功能則是對(duì)系統(tǒng)允許的報(bào)文進(jìn)行記錄，并對(duì)協(xié)議的格式進(jìn)行規(guī)范。因此，必須首先在該模塊當(dāng)中注冊(cè)，這樣方可悲系統(tǒng)用戶所使用，并且發(fā)送的報(bào)文必須遵守該協(xié)議注冊(cè)時(shí)提供的請(qǐng)求和應(yīng)答的格式。

而在制定規(guī)則中其主要的功能就是對(duì)通信的雙方進(jìn)行安全等級(jí)的判決，而要在數(shù)據(jù)進(jìn)行傳輸之前確定對(duì)方的登記，則必須建立一種連接服務(wù)協(xié)議。常見的連接協(xié)議中采用TCP三次握手機(jī)制，即可實(shí)現(xiàn)對(duì)該需求的滿足。其具體的步驟為：首先客戶端將進(jìn)程中的登記信息存放到sync包當(dāng)中，并發(fā)動(dòng)給服務(wù)器；其次服務(wù)器根據(jù)相應(yīng)的規(guī)則建立連接，如允許則返回到sync+ack包，并在sync+ack包中攜帶本地服務(wù)進(jìn)程的等級(jí)信息；客戶端發(fā)送ack包，三次握手完畢。

針對(duì)數(shù)據(jù)流控制，其主要是對(duì)相關(guān)資源的提取和對(duì)數(shù)據(jù)的發(fā)送。其中對(duì)資源的提取則主要是對(duì)本地的監(jiān)視器提供相關(guān)的信息，通過該監(jiān)視器的判決從而獲取相關(guān)的本地資源；而數(shù)據(jù)發(fā)送則主要是針對(duì)應(yīng)用層，并根據(jù)規(guī)則對(duì)其作出判決是否發(fā)送數(shù)據(jù)。

5 結(jié)束語

本文針對(duì)計(jì)算機(jī)信息安全技術(shù)，提出在防護(hù)等級(jí)和安全性比較好的BLP數(shù)學(xué)模型上引入監(jiān)視器的方式，并對(duì)其進(jìn)行了初步的構(gòu)建，以此為計(jì)算機(jī)信息安全提出新的方案和策略，更好的實(shí)現(xiàn)信息安全的保護(hù)。

[1] 蔣睿，胡愛群，陸哲明等.網(wǎng)絡(luò)信息安全理論與技術(shù)[M].華中科技大學(xué)出版社，2007．

[2] Lucian Popa,Minlan Yu,Steven Y.Ko,Sylvia Ratnasamy, lon Stoica,“CloudPolice:Taking Access Control out of the Network”,Proceedings of the Ninth ACM SIGCOMM Workshop on Hot Topics in Networks,2010.

Application of computer information security technology

Li Jun
(Shanxi post and telecommunication college，Xianyang，712000，China)

In this paper,computer information security,information systems security system from explore,BLP by constructing multi-level security model and monitor the way,so the safety and security of the system.

information security;BLP model;Network Monitor