◆岳 陽 王曉宇 孫懿峰

應(yīng)用區(qū)域邊界安全模型設(shè)計

◆岳 陽1王曉宇1孫懿峰2

（1.91977部隊 北京 100841；2.91991部隊 浙江 316000）

本文對應(yīng)用區(qū)域邊界的風(fēng)險進行了分析，設(shè)計了應(yīng)用區(qū)域邊界安全模型，并在該模型的指導(dǎo)下，給出了信息系統(tǒng)安全應(yīng)用框架。

應(yīng)用區(qū)域邊界；安全；模型

信息系統(tǒng)中每個系統(tǒng)組件，包括保護組件，都可能包含未知的、可利用的安全漏洞，因此需要采用分層防御戰(zhàn)略對系統(tǒng)進行保護。

分層防御戰(zhàn)略將安全需求劃分為以下四個基本方面：保護應(yīng)用區(qū)域環(huán)境、保護應(yīng)用區(qū)域邊界、保護網(wǎng)絡(luò)和保護支撐性基礎(chǔ)設(shè)施。與上述安全需求相對應(yīng)，一個有效的信息安全保障技術(shù)框架由以下四部分組成：應(yīng)用區(qū)域環(huán)境安全、應(yīng)用區(qū)域邊界安全、網(wǎng)絡(luò)與通信傳輸安全、安全管理中心。

研究信息系統(tǒng)應(yīng)用區(qū)域邊界安全模型，能夠為信息系統(tǒng)中各種應(yīng)用區(qū)域邊界的安全保護提供指導(dǎo)，實現(xiàn)各類信息的受控交換和安全保護，抵御來自內(nèi)部或外部的各種網(wǎng)絡(luò)攻擊，阻止信息的泄露。

1 應(yīng)用區(qū)域邊界安全風(fēng)險分析

應(yīng)用區(qū)域邊界安全風(fēng)險是應(yīng)用區(qū)域邊界系統(tǒng)的脆弱性和漏洞，以及以應(yīng)用區(qū)域邊界系統(tǒng)為目標的威脅的總和。

1.1 應(yīng)用區(qū)域邊界系統(tǒng)的脆弱性

應(yīng)用區(qū)域邊界系統(tǒng)安全隱患[1]主要來源于以下幾個方面。

（1）硬件組件

目前信息系統(tǒng)應(yīng)用區(qū)域邊界計算節(jié)點及各種網(wǎng)絡(luò)設(shè)備硬件組件（包括CPU、主板、BIOS）普遍采用國外產(chǎn)品，這些硬件組件中存在未知的安全漏洞及陷門，一旦被攻擊者利用，將造成整個信息系統(tǒng)被控制甚至癱瘓。

（2）軟件組件

軟件組件可分為系統(tǒng)平臺軟件、通用服務(wù)軟件、應(yīng)用支持軟件和上層應(yīng)用軟件。

攻擊者可利用操作系統(tǒng)、應(yīng)用系統(tǒng)的漏洞、越權(quán)訪問文件、數(shù)據(jù)或其他資源，通過惡意代碼或木馬程序?qū)Σ僮飨到y(tǒng)、應(yīng)用系統(tǒng)進行攻擊，利用非法手段獲得授權(quán)用戶的鑒別信息或密碼介質(zhì)，訪問系統(tǒng)或者應(yīng)用軟件、文件和數(shù)據(jù)等。

（3）網(wǎng)絡(luò)和通信協(xié)議

目前信息系統(tǒng)使用的TCP/IP協(xié)議存在缺乏對用戶身份的鑒別、缺乏對路由協(xié)議的鑒別認證、TCP/UDP的設(shè)計缺陷等安全隱患，而各種應(yīng)用層服務(wù)協(xié)議（如Finger、FTP、Telnet、E-mail、DNS、SNMP等）本身也存在涉及鑒別、訪問控制、完整性和機密性等方面安全隱患，極易引起針對基于TCP/IP應(yīng)用服務(wù)協(xié)議和程序安全缺陷的攻擊。

1.2 應(yīng)用區(qū)域邊界面臨的安全威脅

應(yīng)用區(qū)域邊界面臨的安全威脅[2]包括針對應(yīng)用區(qū)域邊界的各種攻擊、入侵、植入木馬和病毒，邊界設(shè)備的后門、漏洞被受控啟用，造成信息失控、設(shè)備故障；內(nèi)外勾結(jié)造成的信息丟失、失控等。

（1）與公用網(wǎng)絡(luò)的連接

這種連接容易使信息系統(tǒng)遭受病毒侵襲，從而危及信息系統(tǒng)的安全。連接公共網(wǎng)絡(luò)的另一種風(fēng)險是越來越多地使用移動代碼，用戶在沒有意識到的情況下就可能在信息系統(tǒng)中引入不安全的代碼。

（2）不同安全等級網(wǎng)絡(luò)的連接

邊界控制設(shè)計不充分的情況下，高安全等級信息會滲透到低安全等級網(wǎng)絡(luò)中；同時也存在進入高安全等級網(wǎng)絡(luò)的低安全等級代碼和數(shù)據(jù)已被惡意篡改的風(fēng)險。

（3）無線網(wǎng)絡(luò)的安全漏洞

無線網(wǎng)絡(luò)容易遭受電子欺騙、干擾和空中截獲電子信號等攻擊。當(dāng)無線網(wǎng)絡(luò)需要與有線網(wǎng)絡(luò)連接時，如果接入設(shè)備安全性不夠，有可能將無線網(wǎng)絡(luò)的一些安全風(fēng)險引入到有線網(wǎng)絡(luò)中，從而威脅整個信息系統(tǒng)的安全。

2 應(yīng)用區(qū)域邊界安全模型設(shè)計

應(yīng)用區(qū)域邊界安全模型設(shè)計如圖1所示。由可信操作系統(tǒng)平臺、多級安全隔離、多級安全傳輸、安全接入、安全管理和證書管理組成。

（1）可信平臺

可信平臺[3]部署在應(yīng)用區(qū)域內(nèi)終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用區(qū)域邊界安全設(shè)備上，為相應(yīng)的計算節(jié)點提供基礎(chǔ)可信的運行環(huán)境。

（2）多級安全隔離

多級安全隔離[4]部署在物理應(yīng)用區(qū)域之間，控制不同應(yīng)用區(qū)域間信息安全的互聯(lián)互通。

多級安全隔離包括物理隔離、安全隔離、防火墻、安全網(wǎng)關(guān)等安全防護技術(shù)手段。具體采用何種安全防護措施由應(yīng)用區(qū)域的安全防護等級決定。對重要應(yīng)用區(qū)域采用物理隔離或安全隔離等高安全等級防護技術(shù)手段；對內(nèi)部和一般應(yīng)用區(qū)域采用防火墻、安全網(wǎng)關(guān)等一般安全等級防護技術(shù)手段。

（3）多級安全傳輸

多級安全傳輸[5]實現(xiàn)物理應(yīng)用區(qū)域內(nèi)以及物理應(yīng)用區(qū)域間交互信息的安全保護，這些交互信息的計算節(jié)點形成邏輯應(yīng)用區(qū)域。

多級安全傳輸主要隔離穿越物理應(yīng)用區(qū)域邊界的不同安全等級信息。

（4）安全接入

安全接入[6]部署于物理應(yīng)用區(qū)域，完成接入節(jié)點設(shè)備和用戶的身份認證和訪問控制，保證接入節(jié)點跨越專用網(wǎng)絡(luò)與物理應(yīng)用區(qū)域內(nèi)其他節(jié)點間交互信息的機密性、完整性和不可否認性。

（5）安全管理

安全管理中心[7]實施多層次安全防護策略，將應(yīng)用區(qū)域邊界各種安全防護技術(shù)納入統(tǒng)一的管理控制下，使各種安全技術(shù)彼此補充、相互配合，形成一個安全策略集中管理、安全檢查機制分散布置的分布式安全防護體系結(jié)構(gòu)，從而達到對應(yīng)用區(qū)域邊界安全保護和管理的目的。

安全管理中心包括用戶管理、設(shè)備管理、安全策略配置管理和審計管理等。對進出應(yīng)用區(qū)域邊界的用戶策略統(tǒng)一配置管理，對不同級別用戶賦予不同的訪問權(quán)限；對應(yīng)用區(qū)域邊界安全設(shè)備統(tǒng)一管理；實現(xiàn)相關(guān)安全策略的統(tǒng)一下發(fā)；從整個應(yīng)用區(qū)域邊界收集和分析安全事件信息，及時檢測到安全事件并采取相應(yīng)的處理措施。

（6）證書管理

證書管理[8]為可信操作系統(tǒng)平臺、多級安全隔離、多級安全傳輸、安全接入提供證書注冊與制作、證書在線查詢、證書認證等服務(wù)。

圖1 應(yīng)用區(qū)域邊界安全模型

3 應(yīng)用區(qū)域邊界安全模型在信息系統(tǒng)中的應(yīng)用

應(yīng)用區(qū)域邊界安全模型在信息系統(tǒng)中的應(yīng)用如圖2所示。

圖2 應(yīng)用區(qū)域邊界安全模型在信息系統(tǒng)中應(yīng)用示意圖

根據(jù)本文提出的應(yīng)用區(qū)域邊界安全模型，結(jié)合信息系統(tǒng)應(yīng)用區(qū)域邊界安全現(xiàn)狀，對信息系統(tǒng)應(yīng)用區(qū)域邊界安全提出以下幾點建議。

（1）采用可信計算技術(shù)加強主機安全

目前信息系統(tǒng)主機主要是采用基于Windows的操作系統(tǒng)。采用的安全技術(shù)手段包括身份認證、登錄控制、病毒防治、數(shù)字簽名、行為控制、外設(shè)控制以及信息加密等技術(shù)手段。建議采用可信計算技術(shù)，為各種主機安全技術(shù)手段建立安全基礎(chǔ)，防止這些安全機制被篡改和旁路。

（2）基于密碼技術(shù)解決應(yīng)用區(qū)域邊界多級安全

不同安全等級信息穿越應(yīng)用區(qū)域邊界時，使用不同強度的密碼進行加密是數(shù)據(jù)隔離的有效手段。建議采用基于密碼技術(shù)的安全隔離設(shè)備解決高安全等級應(yīng)用區(qū)域邊界的安全防護問題。

（3）研制高效的無線安全接入設(shè)備

建議研制高效的無線安全接入控制設(shè)備，分析信息系統(tǒng)有線和無線網(wǎng)絡(luò)通信關(guān)系、通信特點，對各類通信手段的安全性威脅進行分析評估，提出解決各類無線接入安全性問題的解決方案。

（4）合理部署網(wǎng)絡(luò)監(jiān)控手段

建議在各應(yīng)用區(qū)域之間邊界接入點處和應(yīng)用區(qū)域內(nèi)關(guān)鍵的應(yīng)用網(wǎng)段上部署安全監(jiān)控和審計系統(tǒng)，安全監(jiān)控的范圍應(yīng)覆蓋到整個網(wǎng)絡(luò)行為，包括網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)異常流量監(jiān)控、主機訪問流量監(jiān)控、入侵攻擊和病毒攻擊監(jiān)控等。

（5）增強應(yīng)用區(qū)域邊界核心安全控制系統(tǒng)自身的安全性

建議從安全模型和體系結(jié)構(gòu)上研究如何基于密碼技術(shù)控制應(yīng)用區(qū)域邊界核心安全控制部件不被繞過，不被非法控制，使內(nèi)外應(yīng)用區(qū)域數(shù)據(jù)通道唯一、安全和高效。

4 結(jié)束語

本文根據(jù)應(yīng)用區(qū)域邊界安全需求，提出了應(yīng)用區(qū)域邊界安全模型，該模型對應(yīng)計算節(jié)點、物理應(yīng)用區(qū)域、邏輯應(yīng)用區(qū)域三個層面，包括可信平臺、多級安全隔離、多級安全傳輸、安全接入、安全管理和證書管理等組件。其中可信平臺提供基礎(chǔ)安全環(huán)境，是整個模型的基礎(chǔ)。多級安全隔離解決物理應(yīng)用區(qū)域間的信息交互，多級安全傳輸和安全接入解決邏輯應(yīng)用區(qū)域邊界安全。安全管理、證書管理是模型的安全保障基礎(chǔ)設(shè)施。

[1]Dr Roger R. Schell and Michael Thompson. Platform Security: What is Lacking?[R], Information Security Technical Report, Vol 5, No.1, 2000.

[2]沈昌祥.關(guān)于加強信息安全保障體系的思考[J].信息安全與通信保密，2002.

[3]沈昌祥.基于可信平臺構(gòu)筑積極防御的信息安全保障框架[J].信息安全與通信保密，2004.

[4]William Stallings.Network Security Essentials: Applications and Standards[M].Prentice-Hall, Inc., 2002,6.

[5]謝希任.計算機網(wǎng)絡(luò)（第4版）[M].電子工業(yè)出版社，2003.

[6]劉蔭銘，等.計算機安全技術(shù)[M].清華大學(xué)出版社，2002.

[7]美國國家安全局發(fā)布，信息安全國家重點實驗室組織翻譯.信息保障技術(shù)框架[M].北京中軟電子出版社，2001.

[8]Hwang,Ren-Junn,Su,Feng-fu. A new efficeient authentication protocotol for mobile networks[J]. Computer Standards & Interfaces, 2006.