（信息与通信工程专业论文）以加密为核心的信息安全系统设计与实现.pdf

国防科学技术大学研究生院学位论文 摘要 r j， ( 长期以来，人们霸x , j 信息系统的安全问趣作了大量研究，已经有许多成熟的 信息系统安全模型。，本文在研究已有安全体系结构的基础上，结合新的信息系统 安全特点，提出了一种实用的信息系统安全体系结构本文提出的信息系统安全 体系结构，集成了安全技术、法律、管理、社会因素等多种手段，来共同解决信 息系统的安全问题。在此信息系统安全体系结构的指导下，本文针对医疗保险信 息系统的实际需求，实现了一个具体的信息系统的安全方案，其中包括医疗保险 网络安全解决方案和医疗保险信息加密系统方案。 本文建立了医疗保险信息加密系统的网络模型。并详细阐述了加密系统的加 密方案此加密方案实现了通信双方的身份验证，并确保信息的保密性、完整性、 可用性和拒抵赖性。该加密系统是一个比较大的加密系统，包括硬件加密板、软 件加密算法、p k i 基础设施c a 中心和r a 注册中心、完成加密与解密任务的加密服 务器等。加密服务器通过对同一台计算机内的多块数据加密卡进行统一管理。实现 高速的密码运算功能。 医疗保险信息系统在结合了网络安全解决方案与信息加密系统方案后。能很 好地实现信息在传输、存储中的安全和系统网络的安全。 j 、 关键词：信息安全信息安金体系结构网络安全解浜方案信息加密系统加密 服务器 、 国防科学技术人学研究生院学位论文 a b s t r a c t al o to f w o r kh a sb e e nd o n et o w a r d st h eh i g h e rs e c u r i t yo f i n f o r m a t i o n s y s t e m 。a n d m a n y m a t u r ei n f o r m a t i o ns y s t e mp r o t o t y p e sh a v eb e e nd e v e l o p e d b a s e do nt h ec u r r e n t a v a i l a b l ei n f o r m a t i o ns y s t e mm o d e l s ，w ed e v e l o p e dan e w p r a c t i c a li n f o r m a t i o ns y s t e m s e c u r i t y a r c h i t e c t u r ei n t h i st h e s i s ，w h i c hh a st a k e ni n t oc o n s i d e r a t i o no ft h en e w s e c u r i t yp r o p e r t i e s o fi n f o r m a t i o n s y s t e m s i n o u ri n f o r m a t i o n s y s t e ms e c u r i t y a r c h i t e c t u r e ，av a r i e t yo fm e a s u r e s ，i n c l u d i n gs e c u r i t yt e c h n i q u e s ，l a w s ，m a n a g e m e n t s a n ds o c i a lf a c t o r s ，w o r kt o g e t h e rt og u a r a n t e et h ed e s i r e ds e c u r i t yl e v e lo fi n f o r m a t i o n s y s t e m g u i d e db y t h e d e v e l o p e d i n f o r m a t i o n s y s t e ms e c u r i t ya r c h i t e c t u r e ，w e i m p l e m e n t e d a ni n s t a n c es c h e m ef o rs e c u r e di n f o r m a t i o ns y s t e mt h a tm e e t st h e s e c u r i t y r e q u i r e m e n to fa na c t u a lm e d i c a li n s u r a n c ei n f o r m a t i o ns y s t e m ，i n c l u d i n gam e d i c a l i n s u r a n c en e t w o r ks e c u r i t ys o l u t i o na n dam e d i c a li n s u r a n c ei n f o r m a t i o ne n c r y p t i o n s y s t e m i na d d i t i o nt ot h ed e v e l o p m e n to ft h en e t w o r km o d e if o rt h em e d i c a li n s u r a n c e i n f o r m a t i o nt r a n s m i s s i o n e n c r y p t i o ns u b s y s t e m ，t h e t h e s i s d e t a i l e d l yp r e s e n t s t h e e n e r y p t i o ns c h e m ef o rt h et r a n s m i s s i o ne n c r y p t i o ns y s t e m n l ee n c r y p t i o ns c h e m ec a n c e r t i f yt h ei d e n t i t yo f b o t ht r a n s m i t t e ra n dr e c e i v e r , g u a r a n t e et h a tt h ei n f o r m m i o ni so f s e c u r i t y , i n t e 鲥t y , a v a i l a b i l i t y a n d p r o v i d ed i g i t a ls i g n a t u r es e r v i c e 1 1 1 em e d i c a l i n s u r a n c ei n t e l l i g e n c ee n c r y p t i o ns y s t e mi sar e l a t i v el a r g ee n c r y p t i o ns y s t e m ，i n c l u d i n g t h eh a r d w a r ef o rt h ee n c r y p t i o n ，t h ee n c r y p t i o na l g o r i t h m 。p k ii n f r a s t r u c t u r eb a s e dc a e e n t e l t h er a r e g i s t r a t i o n c e n t e r t h ee n c r y p t i o ns e r v e rf o rb o t he n c r y p t i o na n d d e c i p h e rd u t y a n ds oo n s e v e r a l e n c r y p t i o n c a r d sa r e p l u g g e d i na n dm a n a g e d u n i f o r m l yb y a s i n g l ec o m p u t e r t h a tf u n c t i o n sa sa n e n c r y p t i o ns e r v e r , t h u sr e a l i z e sh i 【g h s p e e de n c r y p t i o n b yr e a s o n a b l yc o m b i n i n gt h em e d i c a li n s u r a n c en e t w o r ks e c u r i t ys o l u t i o na n dt h e m e d i c a li n s u r a n c ei n f o r m a t i o ne n e r y p t i o ns y s t e mi nt h em e d i c a li n s u r a n c ei n f o r m a t i o n s y s t e m ，t h es e c u r i t yo f t h ew h o l es y s t e mi nt e r m so fb o t ht h es y s t e mn e t w o r ka n dt h e i n f o r m a t i o nt r a n s m i s s i o na n d s t o r a g ea r eg u a r a n t e e d k e yw o r d ：i n f o r m a t i o ns e c u r i t y , i n f o r m a t i o ns e c u r i t ys y s t e ma r c h i t e c t u r e ，n e t w o r k s e c u r i t ys o l u t i o n ，i n f o r m a t i o ne n c r y p t i o ns y s t e m ，e n c r y p t i o ns e r v e r 国防科学技术人学研究生院学位论文 第一章绪论 1 1 信息系统安全的需求概述 在现代信息社会中，信息是人类最。矗贵的资源。对企业来讲，信息是企业 的生命，关系到企业的发展，甚至关系到企业的生死存亡。正因为信息在人类 社会活动、经济活动i | | 起着越来越重要的作用，信息的安全就同益成为关系成 败的关键要素，同益引起人们越来越深刻的重视。 随着信息系统的广泛建立和规模化，计算机的应用形式上升为网络形态。 这种网络化的信息系统在系统内纵向贯通，在系统间横向渗透，构成了集通信、 计算机和信息处理于体的庞大而复杂的系统，成为现代社会运转所不可缺少 的基础。人们意识到，不能再从单个安全功能、单个网络来个别地考虑安全问 题，而必须从体系结构上全面而系统地考虑安全保密。因此，安全保密的研究 应着力于系统这个层次，把信息系统作为安全保密研究的对象。 所谓信息系统安全，是指为信息处理系统建立所采取的技术和管理的安全 保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的 原因而使系统或信息遭到破坏、更改或泄鼯。信息系统安全的内容包括了计算 机安全技术、安全管理、安全评价和安全产品、计算机犯罪与侦察、计算机安 全、安全监察，以及计算机安全理论与策略。概括起来，计算机系统的安全性 问题被区分为三大类，即技术安全类、管理安全类和政策法律类。 信息系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用 软件等各方面、各层次的良好运行。因此，它的风险将来自对企业的各个关键 点可能造成的威胁，这些威胁可能造成总体功能的失效。相对于过去的局域网、 主机环境、单机环境，目前网络的规模庞大，结构复杂，网络上运行着各种各 样的主机和应用程序，使用了多种网络设备；同时，由于多种业务的需要，又 和许多其它网络进行连接，使安全问题变得越来越复杂和突出。 信息系统所受到的安全威胁主要来自于两个方面，系统内部和系统外部。 1 ) 来自系统外部的威胁 由于业务的需要，企业的信息系统与外部网络进行了连接。外部网络可以 直接访问内部网络的主机，由于内部和外部没有隔离措施，内部系统较容易遭 到攻击。与i n t e m e t 的连接，使企业内部网络很容易受到来自i n t e m e t 的攻击。攻 击旦发生，首先遭到破坏的将是信息系统的关键业务主机，另外，通过登录 主机，侵入者可以继续攻击内部网络的其它部分。攻击的手段以及可能造成的 危害多种多样，如释放病毒，占用系统资源，使系统不能完成相应的工作，造 成系统乃至全网的瘫痪；释放“特洛伊木马”，取得系统的控制权，进而攻击整 个系统的内部网络。 2 ) 来自系统内部的安全威胁 囤防科学技术人学研究生院学位论文 与各级局域网的连接，给信息系统造成了巨大的安全隐患。分级网络上的 主机可以对系统业务主机实施直接攻击，造成业务主机无法工作：另外，通过 在局域网上监听系统内部网络的通讯，可以获得登录内部网络的权限；此外， 黑客还可以通过局域网，利用黑客工具取得系统控制权或截获系统内部网的通 讯会话，侵入内部网络，进而发动攻击：内外勾结，窃取信息，造成机密泄漏； 某些工作人员经常身兼数职，违反安全系统原则，对系统安全构成严重威胁。 1 2 信息系统安全研究现状 随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信 息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为” 攻( 攻击) 、防( 防范) 、测( 检测) 、控( 控制) 、管( 管理) 、评( 评估) ”等 多方面的基础理论和实施技术。 现代信息系统中的信息安全其核心问题是密码理论及其应用，其基础是可 信信息系统的构作与评估。目前在信息安全领域人们所关注的焦点主要有四个 方面：密码理论与技术：安全协议理论与技术；安全体系结构理论与技术；网 络安全与安全产品。 1 ) 密码理论与技术研究现状 自从1 9 7 6 年公钥密码的思想提出以来，国际上已经提出了许多种公钥密码 体制，但比较流行的主要有两类：一类是基于大整数因子分解问题的，其中最 典型的代表是r s a ；另一类是基于离散对数问题的，l i 血l l e i g a m a l 公钥密码 4 和影响比较大的椭圆曲线公钥密码。在公钥密码的快速实现方面做了一定的工 作，比如在r s a 的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。 公钥密码的快速实现是当前公钥密码研究中的一个热点，包括算法优化和程序 优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。 目前人们最为关注的实用密码技术足p k i 技术。国外的p k i 应用已经开始， 开发p k i 的厂商也有多家。许多厂家女1 1 b a l t i m o r e ，e n t r u s t 等推出了可以应用的 p k i 产品，有些公司如v e r y s i g n 等已经丌始提供p k i 服务。网络许多应用正在使 用p k i 技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此，总 的说来p k i 技术仍在发展中。p k i 技术将成为所有应用的计算基础结构的核心部 件，包括那些越出传统网络界限的应用。b 2 b 电子商务活动需要的认证、不可 否认等只有p l ( i 产品才有能力提供这些功能。 密码技术特别是加密技术是信息安全技术中的核心技术，国家关键基础设 施中不可能引进或采用别人的加密技术，只能自主开发。 2 ) 安全协议理论与技术研究现状 安全协议的研究主要包括两方面内容，即安全协议的安全性分析方法研究 和各种实用安全协议的设计与分析研究。 2 国防科学技术人学研究生院学位论文 目前，已经提出了大量的实用安全协议，有代表的有：电子商务协议、i p s e c 协议、t l s 协议、p g p 协议等。实用安全协议的安全性分析特别是电子商务协议， i p s e e 协议，t l s 协议足当i j 协议研究i 1 的另一个热点。典型的电子商务协议有 s e t 协议等。 为了实现安全i p ，i n t e r n e t 工程任务! h i e t f 于1 9 9 4 年开始了一项i p 安全工程， 专门成立了i p 安全协议工作组i p s e c ，来制定和推动一套称为i p s e c 的i p 安全协 议标准。其目标就是把安全集成至t j i p 层，以便对i n t e r n e t 的安全业务提供底层的 支持。i e t f 于1 9 9 5 年8 月公柿了一系列关丁：i p s e e 的建议标准。i p s e c 适用于i p v 4 和下一代i p 协议i p v 6 ，并且足i p v 6 自身必备的安全机制。但由于i p s e c 还比较新， j 下处于研究发展和完善阶段。 1 9 9 4 年，n e t s c a p e 公司为了保护w e b 通信协议h t t p ，开发了s s l 协议，该协 议被集成至1 n e t s e a p e 公司的i n t e m e t 产品中，包括n a v i g a t o r 衩l j 览器和w e b 服务器产 品等。1 9 9 6 年，n e t s c a p e 公司发布了s s l 3 0 ，该版本增加了一些功能和安全特性， 并修改了一些安全缺陷。1 9 9 7 年，i e t f 基于s s l 3 0 协议发布了t l s l 0 传输层安 全协议的草案。1 9 9 9 年，正式发布了r f c 2 2 4 6 。 3 ) 安全体系结构理论与技术研究现状 安全体系结构理论与技术主要包括：安全体系模型的建立及其形式化描述 与分析，安全策略和机制的研究，检验和评估系统安全性的科学方法和准则的 建立，符合这些模型、策略和准则的系统的研制( 比如安全操作系统，安全数 据库系统等) 。 8 0 年代中期，美国国防部为适应军事计算机的保密需要，在7 0 年代的基础 理论研究成果计算机保密模型的基础上，制订了“可信计算机系统安全评价准 则”( t c s e c ) 。9 0 年代初，针对t c s e c 准则只考虑保密性的局限，提出了包括 保密性、完整性、可用性概念的“信息技术安全评价准则”( i t s e c ) ，但是 该准则中并没有给出综合解决以上问题的理论模型和方案。近年来提出了“信 息技术安全评价通用准则”( c cf o ri t s e c ) 。c c 标准于1 9 9 9 年7 月通过国际标准 化组织认可，确立为国际标准，编号为i s o i e c1 5 4 0 8 。 我国在系统安全的研究与应用方面与先进国家和地区存在很大差距。近几 年来，在我国进行了安全操作系统、安全数据库、多级安全机制的研究，但由 于自主安全内核受控于人，难以保证没有漏洞。然而，我国的系统安全的研究 与应用毕竟已经起步，具备了一定的基础和条件。1 9 9 9 年l o 月发布了”计算机信 息系统安全保护等级划分准则”，该准则为安全产品的研制提供了技术支持，也 为安全系统的建设和管理提供了技术指导。 4 ) 网络安全与安全产品研究现状 网络安全是信息安全中的重要研究内容之一，也是当前信息安全领域中的 国防科学技术人学研究生院学位论文 研究热点。研究内容包括：网络安全整体解决方案的设计与分析，网络安全产 品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通 信、计算机设备及相关设施的物理保护，免于破坏、丢失等。逻辑安全包含信 息完整性、保密性、非否认性和可用性。它是一个涉及网络、操作系统、数据 库、应用系统、人员管理等方方面面的事情，必须综合考虑。 解决网络信息安全问题的主要途径是利用密码技术和网络访问控制技术。 密码技术用于隐蔽传输信息、认证用户身份等。网络访问控制技术用于对系统 进行安全保护，抵抗各种外来攻击。 目前。在市场上比较流行，而又能够代表未来发展方向的安全产品大致有 以下几类：防火墙、安全路由器、虚拟专用网( v p n ) 、安全服务器、电子签证机 构一c a 和p k i 产品、安全管理中心、入侵检测系统( i d s ) 、安全数据库、安全 操作系统等。 在上述所有主要的发展方向和产品种类上，都包含了密码技术的应用，并 且是非常基础性的应用。很多的安全功能和机制的实现都是建立在密码技术的 基础之上，甚至可以说没有密码技术就没有安全可言。但是，也应该看到密码 技术与通信技术、计算机技术以及芯片技术的融合j 下日益紧密，其产品的分界 线越来越模糊，彼此也越来越不能分割。在一个计算机系统中，很难简单地划 分某个设备是密码设备，某个设备是通信设备。而这种融合的最终目的还是在 于为用户提供高可信任的、安全的计算机和网络信息系统。 1 3 本课题的项1 1 背景 国家劳动部和社会保障部对信息化建设极其重视，先后制定了全国社会保 障信息化建设的发展战略、总体规划、实施方案以及有关制度、标准及规范等。 医疗保险信息化建设作为劳动和社会保障系统的重要部分，对加速社会保障系 统的信息化进程，促进社会保障体系进一步完善具有重要意义。 医疗保险在经过多年建设后，已经形成了比较完善的综合网络，整体结构 是一个通过w a n 连接的多级l a n 网络，在网络每一级的节点上具有一个局域 网，在整个网络上运行着医疗保险业务系统、办公自动化等系统，由于应用系 统的复杂性，网络安全体系的建立和网络安全的全面解决方案迫在眉睫。 总体上医疗保险的网络安全方案包括以下几个主要方面： ( 1 ) 医疗保险业务系统网络安全需求； ( 2 ) 办公自动化网络安全： ( 3 ) 网上医疗保险安全； ( 4 ) i n t e m c t t 务网络安全： ( 5 ) 各个应用系统之间的网络安全： ( 6 ) 各种应用的认证体系。 4 国防科学技术人学研究生院学位论文 以上几个方面均有不同的安全需求，单一的防火墙技术远不能满足以上的 复杂要求。 1 4 本课题主要任务 信息系统安全是一个很大的研究课题，要涉及其各个方面却不是个人能力 能及。本课题的主要任务有四个方面： 1 ) 在研究已有安全体系结构的基础上经过分析当前信息系统安全特点， 研究种适合当前信息系统的实用安全体系结构； 2 ) 在研究的信息安全体系结构的指导下，根据医疗保险信息系统网络的实 际安全要求，实现一种信息系统的网络解决方案，保证医疗保险信息系统网络 安全； 3 ) 根据医疗保险信息系统网络中信息特点，研究和设计一个医疗保险信息 系统的信息加密系统，提供一个安全的信息环境，保证系统中的信息传输安全 与存储安全； 4 ) 根据医疗保险信息加密系统中对加密服务器提出的要求，设计其中的关 键部分一加密服务器，并编程实现加密服务器应用程序。 国防科学技术人学研究生院学位论文 第二章信息安全体系结构 信息系统在实现其安全的过程中，必须要有一个明确的安全体系结构和一 个合理的安全策略做指导。为此论文首先从不同的角度对几种典型的信息系 统安全体系结构进行了简单分析，然后进一步提出本课题研究的信息系统安全 体系结构。 2 1 典型的信息系统安全体系结构与系统模型 2 1 1 从信息系统安全功能要求的角度 信息系统的安全功能包括鉴别即身份认证、访问控制、数据机密性、数据 完整性、使用的有效性和抗抵赖性。 鉴别或身份认证是指对通信中的对等实体和数据来源的鉴别，能够对用户 身份和系统身份进行确认，包括系统确认合法的用户与用户确认目前使用的是 合法的系统。 访问控制对o s i 可访问资源提供保护，并防止对这些资源的非授权使用。这 些资源可以是经o s l 协议访问到的o s i 资源或t e o s i 资源。这种保护服务可应用 于对资源的各种不同类型的访问( 例如：使用通信资源；读、写或删除信息资源； 处理资源的执行) 或应用于对一种资源的所有访问。这种访问控制要与不同的 安全策略协调一致。 数据机密性提供对数据的保护，使之不被泄露。信息系统通过对主要信息 进行加密处理，防止非法用户获取或理解原始数据。它包括连接机密性、无连 接机密性、选择字段机密性和通信业务流机密性等。 数据完整性提供数据在本地或在传输过程中不被修改、删除、重发等，保 证合法用户使用数据时的真实性。可采取形式包括带恢复的连接完整性、不带 恢复的连接完整性、无连接完整性和选择字段无连接完整性。 使用的有效性是指合法用户能够证确并有效地使用信息，而非授权用户不 能获得有效信息与资源。 抗抵赖性的服务包括两个方面，方面是为数据的接收者提供数据来源的 讯：据，防止发送者谎称未发送过这些数据或否认数据的内容：另一方面是为数 据的发送者提供数据交付证据，防i 二接收者事后谎称未收到过这些数据或否认 数据的内容。前一种形式足有数据原发证明的抗抵赖，后一种形式是有交付证 明的抗抵赖。 2 1 2 从o s i 参考模型的角度 从o s i 参考模型( 如图2 1 所示) 的观点出发，组建安全的网络系统则可以 先考虑物理层的安全，如对物理链路进行加固、对计算机等硬件设备的物理安 全进行保护：然后再考虑数据链层的安全，如利用链路加密等手段，对o s i 的各 6 国防科学技术人学研究生院学位论文 层逐层考虑其安全，消除每层中可能存在的不安全因素，最终实现整个网络系 统的安全。 藿熹 会话层 网络层 链路层 物理层 藿甓：辜姜萎萎 会话安全 i p 层安全 链路安全 物理层信息安全 图2 - 1o s l 分层模型 在这种模型中，应用较多的是基于i p 层的加密、传输层的安全加密、及应 用层的安全。下面分别对这三层的安全性分别加以说明。 i p 层的传输安全性。对i p 层的安全协议进行标准化的想法早就有了。在过 去十年里，已经提出了些方案。然而，所有这些提案的共同点多于不同点， 用的都是i p 封装技术。纯文本的包被加密封装在外层的i p 报头里，用来对加密 的包进行i n t e m e t 上的路由选择。到达另一端时，外层的i p 报头被拆开，报头被 解密，然后送到收报地点。i n t e r n e t l - 程特遣组( i e t f ) 已经特许i n t e r n e t 协议安 全协议( i p s e c ) 工作组x 口i p 安全协议( i p s p ) 和对应的i n t e m e t 密钥管理协议 ( i k m p ) 进行标准化工作。 传输层的传输安全性。在i n t e m e t r | ，提供安全服务的具体做法包括双端实体 认证、数据加密密钥的交换等。n e t s c a p e 公司遵循了这个思路，制订了建立在可 靠的传输服务( 如t c p i p 所提供) 基础一k 的安全套接层协议( s s l ) 。s s l 版本3 ( s s lv 3 ) 于1 9 9 5 年1 2 月制订。它是在传输层上实现的协议，采用了对称密码 技术与公开密码技术相结合的密码方案。1 9 9 7 年，i e t f 基于s s l 3 0 协议发布了 t l s l o 传输层安全协议的草案。1 9 9 9 年，正式发瓶了r f c 2 2 4 6 。 应用层安全性。一般来说，在应用层提供安全服务主要是根据应用的特别 需要对每个应用或应用协议分别进行修改。一些重要的t c p i p 应用已经这样做 了。在r f c1 4 2 l 至1 4 2 4 中，i e t f 规定了使用私用强化邮件( p e m ) 来为基于s m t p 的电子邮件系统提供安全服务：另外，在一些金融机构或大型企业内部使用的 网络应用程序里，就有许多特殊的应用程序相互之间通过加密来保证数据传输 安全的例子。 国防科学技术人学研究生院学位论文 2 1 3 从网络系统组成的角度 一般的网络会涉及以下几个方面：首先是网络硬件，即网络的实体：第二 则是网络操作系统，即对于网络硬件的操作与控制；第三就是网络中的应用程 序。有了这三个部分，一般认为便可构成一个网络整体。而若要实现网络的整 体安全，考虑上述三方面的安全问题也就足够了。但事实上，这种分析和归纳 是不完整和不全面的。在应用程序的背后，还隐藏着大量的数据作为对前者的 支持，而这些数据的安全性问题也应被考虑在内。同时，还有最重要的一点， 即无论是网络本身还是操作系统与应用程序，它们最终都是要由人来操作和使 用的，所以还有一个重要的安全问题就是用户的安全性。 应用平保 应_ j 群体 用户群体 系统群体 网络群体 f 性 加密 访问控制 授权 用户组管理 单耖登录 签权 反病毒风险评估入侵检测审计分析 防火墙通信安全 图2 - 4 五层次的网络系统安全体系结构 目前，如图2 4 的五层次网络系统安全体系结构已得到了国际网络安全界的 广泛承认和支持，并已将这一安全体系理论应用在许多安全产品之中。 2 1 4 实际应用的安全体系构架 目前，在实际的网络安全实施方案r p ，国际上一些从事安全研究与实现的 图2 - 5 实际应用的安全体系构架 国防科学技术人学研究生院学位论文 网络安全公司均采用了有自己特色的系统安全模型，如以美国a x e n t 公司为代表 的安全公司采用的是如下一种安全体系构架。该体系构架分为以下四个主要方 面：服务器安全、边界安全、i n t e r n e t 年l l e x t r a n e t 上的安全、安全管理，如图2 5 所示。 该模型将网络安全分成服务器安全、边界安全、i n t e r n e t e x t r a n e t 安全、安 全管理四部分。其中服务器安全主要负责实现网络内的计算机安全，保证计算 机配置合理、通过漏洞发现系统软件中可能存在的安全漏洞、防止并发现非法 用户使用内部计算机。边界安全主要保护内部网络与外部网络的连接处的安全 性，如采用防火墙、基于边界的入侵检测系统等。i n t e m e t e x t r a n c t 安全主要保 护网络与网络连接之洲的安全性这主要通过网络之间的传输加密来实现。而 网管则主要是保证网络资源的统一管理与综合控制。 上述四种安全体系结构分别从不同角度描述了系统的安全，它们各具特色， 各有优缺点。 从网络安全的功能要求来分析安全网络的组建，事实上只是对欲建的网络 的安全性提出了要求，而对如何组建并未有很大的指导作用。为了实现这些功 能要求而需要的各种安全机制如何综合实施。需要更具可操作性强的安全系统 模型来指导。 通过o s l 分层模型来实现网络安全，其最大的优点就是各安全层对其相邻层 都是透明的，以i p s e c 为例，一个典型的例子就是通过防火墙实现的v p n 。此时 v p n 内部的各种网络设备则无须作任何改动。但是这种实现方式出于事实上各 种网络不一定全都是严格按o s i 模型进行分层，或者某一种安全技术可能贯穿于 几层之中等原因。不容易将安全技术之问的关系协调清楚。反而可能出现因配 置、管理不当等原因导致系统整体安全性削弱，甚至出现新的安全漏洞。 五层次的网络系统安全体系结构和实际应用的安全体系构架是目前网络安 全公司在他们的安全产品中所使用的安全体系结构各有特色和优点。五层次 的安全体系结构主要是从数据的使用层次来考虑系统的安全，而在实际应用的 安全体系构架中。注重从系统的关键位置来考虑系统的安全。这两种安全体系 结构都在各自的安全产品中得到了很好的体现 2 2 一种实用的信息系统安全体系结构 我们认为信息系统网络的安全是一项复杂的系统工程，它的实现不仅是纯 粹的技术方面问题，而且需要法律、管理、社会因素等的配合。在研究已有安 全体系结构的基础上。结合新的信息系统安全特点，提出了如下一种实用的信 息系统安全体系结构。 9 国坊科学技术人学研究生院学位论文 应用系统安全 系统软件安全 通信网络安全 硬件系统安全 物理实体安全环境研究 管理规则 法律规范、道德纪律) 一 从信息系统总体安全模型中可看出各层之问相互依赖，下层向上层提供支 持上层依赖下层的完善，最终综合起来，实现一个总体的信息系统的安全模 型。 在第一层主要是考虑了法律因素的作用，而从第二层到第四层则主要是 考虑了管理因素的作用，当然，这里管理的含义是广义的。在最后的三层中， 即从第五层到第七层。不再考虑各种物理或管理的安全因素，而只考虑纯技术 的因素在网络安全中的作用。 2 2 1 法律规范在网络安全中的作用 信息网络安全的问题。是与全社会对信息所具有的地位和重要性的理解分 不开的。在知识经济时代信息已经成为一利资源和财富，全社会应该象立法 保护资源与财富一样通过严格立法来对信息进行保护。 作为专业管理与维护网络安全的用户网络管理员。首先应该对信息安全的 立法有大致的了解。1 9 9 2 年，我国颁知了计算机软件保护条例，又颁布了中 华人民共和国计算机信息系统安全保护条例，这是我国最早的关于计算机信息 系统安全方面的法规。在这之后还陆续颁布了国际互联网安全保护管理办 法等并在刑法中增设了关于计算机犯罪的条款。 目前为止，在我国的法律准则中，已经明确确定了计算机信息系统安全是 一类独立的法律对象，可以明确对这类的违法犯罪行为定罪、判刑。刑法中 规定了非法侵入计算机信息系统罪，删除、修改、干扰计算机信息系统功能罪。 增加计算机信息系统中数据和应用程序罪，故意制作、传播计算机病毒罪等 各用户网络的安全人员应该对这些法规的内容和作用对象至少有一些大致的了 解，在处理网络安全系统的审计数据时，有选择地对可能涉及到法律问题的入 侵痕迹作好备份与保留，用来作将来法律诉讼的证据。 2 2 2 安全管理在网络安全中的作用 前面提到，信息系统的安全问题 管理与技术因素的结合。有资料表明 绝对不是单纯的技术问题，而是法律、 6 0 以上的网络入侵来自内部，或者说 国防科学技术人学研究生院学位论文 由于内部管理措施不严而州接地来自内部。所以，通过制订适应于具体网络要 求的严格的安全管理措施，可以丰1 - 绝相当部分的网络入侵事件。 信息网络系统的安全管理主要基于三个原则：多人负责原则、任期有限原 则和职责分离原则。信息系统的安全管理部门应根据安全管理原则和该系统处 理数据的保密性，制定出切实可行的安全管理措施。应包括如下安全管理措施； 1 ) 根据工作的重要程度，确定该系统的安全等级。 2 ) 根据确定的安全等级，确定安全管理的范围。 3 ) 制订相应的机房出入管理制度 4 ) 制订严格的操作规程 5 ) 制订完备的系统维护制度 6 ) 制订应急措施 2 2 3 硬件设备的物理安全 在完善的法律因素与管理因素的基础上，应该考虑物理实体的安全性。计 算机的物理安全与其它硬件设备的物理安全是网络安全不可缺少的重要环节。 对物理实体的安全保护，一是必须对自然灾害加强防护。如防火、防水、防雷 击等；二是采取必要的措施防止计算机设备被盗，如固定件、添加锁、设置警 铃等；三是尽量减少对硬件的损坏，如消除静电、系统接地、使用u p s 电源等。 2 2 4 硬件设备的信息安全 从硬件的信息安全性层以上，不再考虑信息系统的物理安全，在第三层以 上的各层中，都可以认为网络中各种设备的物理安全性都已经得到了保证因 此。在第四层中要考虑和操作的问题是如何保证硬件设备的信息安全性。 首先要考虑的是路由器与防火墙硬件的信息安全性。路由器是内部网络与 外部网络之间互联的重要接口，而防火墙则为内部网络提供了一定的安全保障。 二者作为硬件设备( 这里主要考虑硬件防火墙) ，都应该保证不将未经内部网络 允许传播的信息发送出去。这里包括两方面的内容一方面是指硬件设备的制 造者有意在设备中暗藏后门，为非法获得用户信息作准备；丽另一方面则是指 两种硬件设备中已经固化的软件系统中不应该具有安全漏洞，而这种漏洞可能 会被不法分子所利用。 防止路由器与硬件防火墙的信息泄嚣，应该采取的措施是网络用户在采购 该类设备时，由硬件提供商保证他们提供的设备不应该出现信息泄漏的情况。 其次是终端显示的安全性。一般的显示器有较强的电磁辐射，美国的间谍 装置能在一公里外捕捉某一电脑显示器的电磁辐射，并还原成图像。对此，只 有采取好的屏蔽措施和选用液晶的低辐射设备。 然后是板卡的安全性。智能化的板卡，常含有自己的配置空间甚至指令空 闻，可以有自己的中断服务，保存在自己的存储器中这些代码一旦被篡改， 国防利学技术人学研究生院学位论文 轻则使单机崩溃，重则服务瘫痪，刚络失橙。c 川病毒肝了攻击硬件b i o s 的先 河。在一些特殊场合，如身份识别系统l i l ，婴考虑所使用硬件的可靠性。足否 会泄漏用户信息或留有后f 】。 最后还应考虑芯片的安全性。些芯片有i 唯一的序列号，这将是一个严重 的隐患，以p i l l 芯片为例，泼芯片州以通过泄鳝其唯一序列号，达到确认主机用 户的目的。目前尚不失i i 该芯片足否t i l t 鳝了更多的用户信息，有资料表明，我国 已经规定，政府机构涉网计算机都才i 允许使用p i i i ； 5 ) 。 所以网络中使片j 的各种信息设备都要严格调查其来源，并山硬件供应 商保证其信息安全。 2 2 5 网络中的信息安全 信息在网络中存在的状态主要可以分为三种：静态存贮、加工处理、传输。 通过严格的管理和物理的安全规则。可以部分保证信息在静态存贮中的安全， 而信息在传输过程t 扣的安全则需通过各种安全技术来实现。 加强信息的传输安全，保障信息在网络传输过程中的不至于被破坏、修改 或泄露等，换句话说，就是要实现安全的传输网络。 要实现信息在传输过程中的安全，首先考虑到的是采用传统的加密技术。 根据加密在o s i 层中的实现层次不同可将其分为链路层加密、网络层加密和应 用层加密三种方案。 1 ) 点到点的链路加密。传输线路所经过的路径有可能是多种多样的，不可 能保证这些路径都足安全的。例如两个银行结点之间的专线，甚至有可能穿越 几个城区，如何防止攻击者通过线路进行窃听或伪装成合法用户是一个重要的 安全问题。从o s i 的角度来看。可以在数据链路层对传输链路进行加密，以保证 链路的信息传输安全。这一般可以通过在通信的双方加装通信保密机来实现。 2 ) 基于网络层的加密v p n 方案。v p n ( 虚拟专用网) 方案是现代网络 的新热点。通过加密，使得一个分柿在不同地方的、安全性不强的网络可以被 看成个安全的内部网络。 目前可选择的v p n 产品很多，但产品基本匕可分成三大类：基于系统的硬 件、独立的软件包和基于系统的防火墙。大部分产品对l a n 到l a n 及远程拨号 连接都支持。硬件v p n 产品足典型的加密路山器，出于它们在设备的硅片中存 储了加密密钥，因此，较之基于软件的同类产品更不易被破坏。另外，加密路 由器的速度快。基于软件的v p n 可能提供更多的灵活性。许多产品允许根据地 址或协议打开通道。而硬件产品则不同，它们一般为全部信息流量打开通道， 而不考虑协议要求。在一般情况下，如通过拨号链路连接的用户，软件结构v p n 产品也许是最佳的选择。基于防火墙的v p n 贝f l 利用了防火墙安全机制的优势， 可以对内部网络访问进行限制。 目防科学技术人学研究生院学位论文 i p s e c 足l e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 组织为t c p ，i p 协议集增加的标 准认证- 与) j l l 密功能。随着i p s e c 越来越稳定和实施越来越广泛，v p n 的终端用户 口r 以小必使用同ji 掰的产品以保i d ! n j 靠l 作。但足到目前为止实施成功的 v p n 通常意味着要从i 司家，一商购共所有的设备。 3 ) 基于应用层的加密。目f ； 基十应用层加密的软件有p e m 和p g p ，在r f c 1 4 2 l 至1 4 2 4 中，i e t f 规定了使用私用强化邮件( p e m ) 来为基于s m t p 的电子 邮件系统提供安全服务；另外。在一些金融机构或大型企业内部使用的网络应 用程序里，就有许多特殊的应用程序相h 之问通过加密来保证数据传输安全。 要实现信息在网络中的安全，传统的j j l l 密技术远远不够。信息系统在应用 传统加密技术的基础i 二，必须结合现代安全技术，j 能实现整个系统信息的安 全。 现代安全技术包括防火墙、安全扫描、舫病毒、入侵检测和网络管理等技 术。通过对现代安全技术产品的分析比较、合理选择，正确配置系统，可达到 提高整个系统的信息安全的目的。 2 2 6 网络中的系统软件安全 系统软件提供了计算机资源与用户使用之间的接口，从计算机体系结构组 成的观点来看，单纯由硬件的计算机只是一个裸机，它并不能完成任何计算动 作，而只有在加上了一层操作系统的覆盖之后，才能为使用者提供各种系统功 能，高层应用系统则是在操作系统提供的可调用系统功能之上完成特定的应 用任务。所以只有保证了系统软件的安全，彳能谈得l 二应用系统的安全。 一个安全的操作系统应该至少j 女备用户u 别与验证、访问控制、文件系统 与存储器保护、审计等功能。操作系统垒少应浚在系统软件这一级为用户提供 如用户识别验证与访问控制等安全保证。 操作系统功能越强则安全性越9 虽。在选择操作系统时应遵循的一个基本原 则是根据安全需求，尽量选用安全级别较高的操作系统。 美国国防部于1 9 8 4 年颁前】了可信计算机系统评估准则( t c s e c ) ，其中对计 算机系统的安全级别进行了定义。d o s 可以说是一种全开放的操作系统，因此 无安全性可苦；w i n 9 5 9 8 的安全性榭对d o s 强一些，但仍被划分成d 级。也即 最低安全要求级：w i n d o w sn t b u n i x 或l i n u x 的安全性一般被认为是达到 c 1 或c 2 级，甚至有报道某些u n i x 系统达到了b 2 级的安全性。 网络中的计算机系统，服务器的操作系统选用d o s 或w i n d o w s9 5 ，9 8 显然 是不能满足安全要求垒少应该选择w i n d 0 w sn t 或u n i x 等操作系统。另外， 由于l i n u x 系统具有源码开放的特点，相对而占，系统中暗含有人为后门的可 能性更小，从防止后门的角度出发，网络选用具有自主版权的l i n u x 操作系统 也足一种较好的选择。 列防科学技术人学埘究生院学位论文 然而，操作系统能甭安全地1 作，1 i 仅与系统本身的安全性有关系。也与 使片j 者是否币确使j f j 有关系。对操作系统的