鄭添尹 謝文亮

摘? 要：以增加高校科研管理系統(tǒng)安全性為目的，對現(xiàn)有高校科研管理系統(tǒng)存在的安全隱患進行了分析，探討國內對計算機信息系統(tǒng)等級保護標準中各個等級所提出的要求，在此基礎上，引入了可信計算平臺，提出基于可信計算平臺的高?？蒲泄芾硐到y(tǒng)等級保護方案，描述其具體的實施過程，分析結果表明：實施可信計算平臺后的高?？蒲泄芾硐到y(tǒng)達到國家信息安全等級保護要求。

關鍵詞：科研管理系統(tǒng);等級保護;可信計算平臺;訪問控制;安全策略

中圖分類號：TP311.52? ? ? 文獻標識碼：A 文章編號：2096-4706（2021）02-0111-03

Abstract：In order to increase the security of scientific research management system in universities，this paper analyzes the security risks existing in the existing scientific research management system in universities，and probes into the domestic requirements for each level in the classified protection standard of computer information system. On this basis，the paper introduces the trusted computing platform，puts forward the hierarchical protection scheme of university scientific research management system based on trusted computing platform，describes its specific implementation process，and the analysis results show that the university scientific research management system after the implementation of trusted computing platform meets the requirements of national information security level protection.

Keywords：scientific research management system;hierarchical protection;trusted computing platform;access control;security policy

0? 引? 言

高校科研是我國科研的重要組成部分，對高?？蒲谐晒獙嵤﹪栏竦墓芾怼．斍?，我國高?？蒲泄芾硐到y(tǒng)的安全防護普遍存在安全隱患，例如：沒有實施訪問控制，部門領導可以隨意訪問科研信息;沒有實施系統(tǒng)數(shù)據(jù)安全存儲，一旦系統(tǒng)被攻擊，則無法保證科研信息的完整性;更普遍的是，沒有事件審計功能，一旦科研信息泄露，無法追蹤實施人員。各種安全隱患的存在，給我國的高校科研信息的安全安全帶來挑戰(zhàn)，一旦出現(xiàn)科研成果信息泄露，特別是事關國家重大經(jīng)濟、政治和技術等科研成果信息被盜竊，將對我國國家安全造成威脅，給國家利益造成嚴重損失，因此，高校必須重視科研管理系統(tǒng)的安全防護。現(xiàn)階段，我國政府重視空間網(wǎng)絡安全，要求對重要計算機信息系統(tǒng)實施等級安全保護，組織制定了一系列計算機信息系統(tǒng)等級保護的相關安全標準，并在全國范圍里推廣應用。但在高?？蒲泄芾硐到y(tǒng)實踐中，由于高?？蒲泄芾砣藛T在思想層面上存在誤區(qū)，認為信息系統(tǒng)等級保護僅僅是對計算機設置各種密碼或密級的保護措施，因此，在實踐中高?？蒲泄芾硐到y(tǒng)尚欠缺相應的等級保護實施方案。全國信息安全標準化技術委員會在《計算機信息系統(tǒng)安全保護等級劃分準則》（簡稱《準則》）中對計算機系統(tǒng)的五個等級劃分中都強調是在“計算機信息系統(tǒng)可信計算基”下進行的[1]。對于計算機系統(tǒng)可信計算基所采取的具體對象、具體屬性以及實施原理尚未有統(tǒng)一的標準?！坝嬎銠C系統(tǒng)可信計算基”是計算機信息系統(tǒng)內安全保護裝置的總體，可信計算基不是單一組成，而是一個負責執(zhí)行安全策略的組合體，包括硬件、固件、軟件等，為用戶提供一個可信計算系統(tǒng)所要求的附加用戶服務。因此，建立在一個可信計算基上的計算機信息系統(tǒng)安全等級保護，才能真正實現(xiàn)信息系統(tǒng)安全，可信計算平臺（Trusted Computing Platform，TCP）[2]是實現(xiàn)計算機系統(tǒng)可信計算基的支撐平臺。本文探討將TCP引入到高校科研信息管理系統(tǒng)，實施訪問授權、訪問控制、審計保護、安全標志保護、結構化保護以及驗證保護等，以實現(xiàn)信息系統(tǒng)安全達到國家等級保護要求，確保高校科研管理系統(tǒng)的安全，保護高?？蒲谐晒畔⒌臄?shù)據(jù)安全性、完整性和機密性。

1? 我國對信息系統(tǒng)等級保護的要求

1.1? 系統(tǒng)等級保護劃分標準

我國對信息系統(tǒng)等級保護分為五級[1]，如圖1所示?！稖蕜t》里的劃分標準為：

（1）第一級是用戶自主保護級。本級計算機信息系統(tǒng)屬于最低的安全級別，是消極的防范措施，即可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。在實際操作上，可信計算基保護用戶數(shù)據(jù)在被訪問過程中的基本信息安全，防范和避免非授權用戶對數(shù)據(jù)信息的讀寫與破壞。高校科研管理系統(tǒng)必須具備第一級的保護。

（2）第二級是系統(tǒng)審計保護級。該保護級在第一級基礎上提高一個安全檔次，與用戶自主保護級相比，除了自主訪問保護功能之外，第二級系統(tǒng)等級保護增加了對信息系統(tǒng)的審計功能，即信息系統(tǒng)利用可信計算基對用戶訪問實施審計控制，信息系統(tǒng)對用戶訪問過程中的登錄規(guī)程、數(shù)據(jù)信息訪問過程中的行為安全性和信息系統(tǒng)隔離資源等都作了審計，即審計用戶的每一個訪問行為。高?？蒲泄芾硐到y(tǒng)面向不同人開放訪問，對訪問行為審計是系統(tǒng)等級保護的基本要求。

（3）第三級是安全標志保護級?？尚庞嬎慊x系統(tǒng)訪問過程中的安全策略，包括對訪問主體、訪問客體、資源數(shù)據(jù)進行安全屬性標志，并根據(jù)安全標志建立起系統(tǒng)訪問規(guī)則列表，以及主體對客體強制訪問控制的非形式化描述。通過訪問控制的非形式化描述，實現(xiàn)準確標記輸出信息的能力。第三級的重點是安全策略的建立及更新。高?？蒲泄芾硐到y(tǒng)由于科研數(shù)據(jù)保密要求及訪問人員較多，因此要重視安全策略模式的構建。

（4）第四級是結構化保護級。本級計算機信息系統(tǒng)可信計算基在第三級的安全策略模型基礎上，定義形式化的安全策略模型。進一步擴展信息系統(tǒng)訪問的主體與客體，它要求將自主和強制訪問控制的安全控制策略擴展到所有主體與客體;將可信計算基結構化為關鍵保護元素和非關鍵保護元素，根據(jù)優(yōu)先級高低，對關鍵和非關鍵保護元素采取不同的安全控制策略。本級安全的重點是形式化安全策略，即拋開了具體的案例和規(guī)則，定義形式化的抽象安全規(guī)則，擴大保護力度。隨著人工智能時代的到來，對訪問規(guī)則的制定將由具體向抽象發(fā)展，因此，第四級的結構化保護顯得更加重要。對于高?？蒲泄芾硐到y(tǒng)來說，形式化安全策略將擴大科研數(shù)據(jù)保護范圍，并且實現(xiàn)智能全安保護。

（5）第五級是訪問驗證保護級。本級計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求，監(jiān)控器仲裁主體具有抗篡改、足夠小等特點，用于系統(tǒng)訪問驗證保護;在構造可信計算基時，排除安全策略實施過程中的非必要代碼，將其復雜性降低到最低程度;擴充審計預警機制，當發(fā)生網(wǎng)絡安全事件時發(fā)出警報信號;提供系統(tǒng)恢復機制，系統(tǒng)遭受網(wǎng)絡或物理攻擊后能及時恢復數(shù)據(jù)，具有很高的抗?jié)B透能力。第五級的核心是驗證保護，即加強了驗證審計。對高?？蒲泄芾硐到y(tǒng)來說，嚴格對系統(tǒng)的訪問，擴大驗證保護，更好的保護科研成果。

1.2? 信息系統(tǒng)等級保護要求分析

不同的數(shù)據(jù)安全級別要求實施相應等級的信息系統(tǒng)保護策略。每個等級的信息系統(tǒng)保護都要求對用戶實施訪問控制，身份鑒別，保護數(shù)據(jù)完整性。訪問控制和身份鑒別要求系統(tǒng)對用戶訪問進行驗證，阻止非授權用戶讀取敏感信息;保護數(shù)據(jù)完整性要求系統(tǒng)能避免受到非授權用戶、病毒、惡意代碼等篡改，保證敏感信息免受破壞。第二級以上都要求對事件進行審計，要求系統(tǒng)能保留每一個訪問都的日志，并保護日志的安全;第三級以上的都要求提供安全策略模型，強制訪問控制[3]，要求信息流只能向高級別流動，從秘密級別到機密級別再到絕密級別，信息永遠不能向下流動，除非授權人員決定降低文件的保密等級。第四級要求系統(tǒng)結構化保護，明確定義形式化安全策略模型，第五級要求設置訪問監(jiān)控器，訪問監(jiān)控器的主要功能是監(jiān)控和審核訪問者的身份和訪問權限，全部對系統(tǒng)數(shù)據(jù)的訪問都要經(jīng)過監(jiān)控器，只有通過監(jiān)控仲裁的，才能訪問系統(tǒng)中的數(shù)據(jù)，否則一律不能訪問，第五級還要求訪問監(jiān)控器能抗篡改，并且能提供系統(tǒng)恢復機制。

2? 基于TCP的高?？蒲泄芾硐到y(tǒng)等級保護方案

根據(jù)信息系統(tǒng)等級保護的要求，高?？蒲泄芾硐到y(tǒng)可按照“需求模型——安全策略——安全機制”模式來解決問題?？蒲泄芾硐到y(tǒng)的安全需求是：科研成果信息需要嚴格實行分等級加密，并對系統(tǒng)實施訪問控制，沒有經(jīng)過授權不得訪問科研信息;科研數(shù)據(jù)需要保證安全存儲，實現(xiàn)分布式或虛擬存儲，一旦系統(tǒng)被攻擊，科研成果信息仍然能保持完整性;需要提供訪問和操作事件審計功能，實現(xiàn)全流程監(jiān)管，一旦科研信息泄露，能及時定位追蹤行為人員。

科研管理信息系統(tǒng)安全策略是訪問權限的規(guī)則列表，規(guī)則列表中必須明確定義保護機制要保護的科研數(shù)據(jù)信息、訪問對象類型、以及對象訪問權限控制，即指明什么樣的科研用戶可以訪問什么樣的科研數(shù)據(jù)[3]。明確了安全策略之后，就可以制定選取相應的安全機制。本文將TCP引入高?？蒲泄芾硐到y(tǒng)的等級保護中，如圖2所示，在科研信息管理系統(tǒng)服務器前增加了兩部TCP主機，形成一道防火墻，主要的功能是：對內部科研服務器文檔進行加密和解決，對外部的訪問實施控制。TCP在近年來已經(jīng)趨于成熟，像Abyss、Citadel系統(tǒng)[4]等都可以作為加密服務器、認證服務器、訪問控制服務器、審計服務器以及執(zhí)行服務器等，將TCP應用于高?？蒲泄芾硐到y(tǒng)中，能實現(xiàn)高?？蒲泄芾硐到y(tǒng)的等級保護需求。

2.1? TCP在高?？蒲泄芾硐到y(tǒng)等級保護的實施方案

首先，在TCP運行前定義高?？蒲袛?shù)據(jù)安全級別及相對應級別訪問權限，按信息等級保護系統(tǒng)的要求整理成策略文件，以TCP可識別的方式導入TCP。其次，對科研管理信息系統(tǒng)中的科研成果進行歸檔[2]，歸檔的方法是對不同科研數(shù)據(jù)，根據(jù)密級要求作相應的屬性設置，以及其相應的訪問權限控制列表。最后，采用高端TCP保護數(shù)據(jù)和運行，抵御非法訪問者的各種入侵行為，包括直接的物理攻擊。在具體實施過程中，使用兩臺TCP得具體作用為：

（1）一臺TCP運行編碼器應用程序。編碼器利用TCP的加密能力，使用一個隨機對稱密鑰對外部提供數(shù)據(jù)快速加密，對歸檔科研文件進行數(shù)字簽名，再將科研歸檔文件與訪問策略進行綁定，并使用指定解碼器的公開密鑰，對隨機對稱密鑰進行加密。

（2）另一臺TCP運行解碼器應用程序和審計應用程序。解碼器程序接收一個已加密的歸檔科研文件和一個查看歸檔科研文件的請求，審計應用程序要求驗證歸檔科研文件的數(shù)據(jù)完整性，然后依據(jù)綁定到歸檔科研文件的訪問策略，確定該訪問請求是否符合授權訪問情況，是否有該密級的訪問權限以及是否符合相應的操作。如果允許訪問，解碼器執(zhí)行相應的操作，將請求結果返回給請求者。審核程序將發(fā)生在TCP解碼器的每一個事件從請求到返回結果都進行詳細的審計記錄。

2.2? 實施TCP方案的流程及安全性分析

圖3為實施TCP方案后地對科研文檔的訪問流程。從TCP在科研管理系統(tǒng)實施過程可以看出，在TCP的運行過程中，充分考慮了科研信息管理系統(tǒng)等級保護的各等級要求：

（1）用戶請求的身份驗證。每個請求都必須進行認證，拒絕非授權用戶的訪問請求。

（2）強制訪問控制。對每個請求TCP都會對照與歸檔科研文件綁定的策略文件，確定該請求的用戶是否有權限查看該文檔。

（3）設置訪問監(jiān)控器。對每個訪問請求，無論允許查看文檔與否，TCP都進行審核，只有通過TCP驗證，才授權相應的文檔操作。

（4）保護數(shù)據(jù)完整性。由于TCP的物理安全特性，如果有試圖非法入侵訪問，TCP或是拒絕訪問（如果使用一般的網(wǎng)絡攻擊手段），或是自動銷毀科研數(shù)據(jù)（如果攻擊者嘗試物理攻擊）。

（5）全程審計。審計程序一直運行，保證訪問日志的完整記錄，并且TCP日志保存在TCP中，可以確保數(shù)據(jù)安全。

（6）快速恢復。一旦攻擊者物理攻擊成功，結果是數(shù)據(jù)被銷毀，將備份文件直接重新導入TCP就可完成恢復。

3? 結? 論

在高?？蒲泄芾硐到y(tǒng)中引入TCP實現(xiàn)系統(tǒng)等級保護，既保證科研管理系統(tǒng)本身的數(shù)據(jù)安全，又保證用戶訪問的身份驗證，更對科研數(shù)據(jù)訪問的權限和信息流向進行嚴格的控制和審計，確?？蒲泄芾硐到y(tǒng)能夠滿足信息系統(tǒng)等級保護的各個等級的要求。從高校內部管理來說，規(guī)范了訪問行為;從國家層面來說，保護我國在經(jīng)濟、政治和技術等方面的重大科研成果的安全，更好地維護國家的利益。

參考文獻：

[1] 中華人民共和國公安部.計算機信息系統(tǒng) 安全保護等級劃分準則：GB 17859-1999 [S].北京：中國標準出版社，1999.

[2] 肖國煜.信息系統(tǒng)等級保護測評實踐 [J].信息網(wǎng)絡安全，2011（7）：86-88.

[3] 于慧龍，李萍.大型信息系統(tǒng)安全域劃分和等級保護 [J].計算機安全，2006（7）：7-8.

[4] 楊磊，郭志博.信息安全等級保護的等級測評 [J].中國人民公安大學學報（自然科學版），2007，13（1）：50-53.

[5] 何占博，王穎，劉軍.我國網(wǎng)絡安全等級保護現(xiàn)狀與2.0標準體系研究 [J].信息技術與網(wǎng)絡安全，2019，38（3）：9-14+19.

[6] SMITH S W.可信計算平臺：設計與應用 [M].馮國登，徐震，張立武，譯.北京：清華大學出版社，2006：130-132.

[7] ANDERSON R J.信息安全工程 [M].蔣佳，劉新喜，等譯.北京：機械工業(yè)出版社，2003：106-110.

[8] WHITE S R，WEINGART S H，AMOLD W C，et al. Introduction to the Citadel Architecture：Security in Physically Exposed Environments [R].Yorktown Heights：IBM，1991.

作者簡介：鄭添尹（1982—），女，漢族，廣東陽江人，碩士研究生，研究方向：公共管理;謝文亮（1979—），男，漢，廣東潮州人，副編審，碩士生導師，碩士，研究方向：公共管理。