信息安全技术体系研究
第29卷2009年6月
计算机应用
JournalofComputerApplications
Vol.29June2009
文章编号:1001-9081(2009)S1-0059-04
信息安全技术体系研究
王斌君,吉增瑞
1
2
(1.中国人民公安大学信息安全工程系,北京100038; 2.江南计算技术研究所,江苏无锡214074)
摘 要:从系统论的观点出发,在对信息安全的目标和信息系统构成分析的基础上,剖析了信息安全技术体系的
要素和子系统,并按分层、分域、分级和分时四个维度,给出了信息安全技术的体系结构,探讨了每个维度的具体构成及其与信息安全要素和子系统之间的关系。信息安全技术体系的研究,对认清信息安全技术的本质和规律,以及运用信息安全技术构造信息安全系统具有一定的指导意义。
关键词:信息安全;系统论;信息安全体系结构中图分类号:TP393 文献标志码:A
Architecturestudyoninformationsecuritytechnologysystem
WANGBin2jun,JIZeng2rui
1
2
(1.DepartmentofInformationSecurityEngineering,ChinesePeople’sPublicSecurityUniversity,Beijing;
2.JiangnanInstituteofComputingTechnology,WuxiJ,)
Abstract:Theelementandsubsystemofinformationsecuritytheviewofsystemtheory.Thearchitectureofinformationsecurityensionalitiesoflayering,area,gradeandtime.Thestructureofthefmpwithsecurityelementsandsubsystemswerediscussedindetail.TheistothecharacteristicandruleofinformationsecurityandconstructaKeymtheory;architectureofinformationsecurity
0 引言
随着社会信息化程度的不断提高,信息技术正在深刻影响着人们的生活方式、工作方式乃至整个社会的结构,人类生活和工作已严重依赖并越来越依赖于信息技术。然而,信息技术是一把双刃剑,它在给人类带来文明的同时,也带来了新的安全隐患和威胁。
目前,信息安全是研究的热点问题,各种信息安全技术和产品层出不穷,如密码、身份鉴别、防火墙、入侵检测、隔离防护、防病毒等,不胜枚举。然而,当前从系统角度对信息系统安全的研究还比较欠缺。
从系统论的观点看,任何系统均是由相互联系、相互作用的要素(部分)组成的具有一定结构和功能的有机体。系统涉及三个方面的内容:基本元素、元素之间的关系和整体目标。进一步可以理解为,系统是按照某个确定的目标,由一些基本元素组合形成的整体。也就是说,所有构成整体的基本元素,为了达到某个共同的目标,按照某种关系组合起来,形成一个整体,其中每个元素都对整体目标有着不同的、不可或缺的贡献。
从局部看,这些基本元素相对独立地、有规律地存在和运动着,他们均为系统的整体目标贡献着个体的能量。从整体看,这些基本元素相互依赖、相互作用、相互补充,优化组合成一个整体。个体只有在整体中准确的定位才能发挥作用,体现出优势。过分强调个体优势,未必对整体有利,甚至带来灾难。如果能合理调配,多个相对劣势的个体也可构成强势的
整体。例如,在“田忌赛马”故事中,田忌用低、高、中等级的马分别与齐王的高、中、低等级的马进行比赛,结果赢得了整体优势。所谓的“强强联合”未必能形成整体优势,河马与大象不能和睦相处,但白鹭与河马、大象却能相互依赖、和睦相处、共生共存。
系统科学研究的正是这样的问题,即一个系统应该由什么样的基本元素构成,这些基本元素在系统中发挥着什么样的作用?其运行规律和对系统的贡献率如何?如何将他们有机地组合起来,形成整体优势?面对信息安全所要解决的一系列问题,信息安全系统是一个复杂的巨系统,涉及到技术要素、产品、子系统和整体系统等,它们之间的关系如何?怎样构成信息安全系统?本文在这方面做了一些探究。
1 信息安全的目标和原则
1.1 信息安全的目标
所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。
保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读,也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。
收稿日期:2008-12-15;修回日期:2009-03-07。 作者简介:王斌君(1962-),男,陕西眉县人,教授,博士,主要研究方向:信息安全、计算机犯罪侦查; 吉增瑞(1940-),男,陕西渭南人,研究员,主要研究方向:信息安全。
60 计算机应用第29卷
完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。
可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。
可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。
不可否认性(Non2repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
信息安全的保密性、完整性和可用性主要强调对非授权主体的控制,而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。
除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。,,它也是一个与不可否认性相关的概念1.2 信息安全的原则
就是说,信息安全是信息系统中的安全,其构成和结构是依赖于信息系统的。因此,笔者认为,首先应该分析信息系统的构成,然后才能正确的分析和理解信息系统安全的构成。
2.1 信息系统的构成分析
信息系统是指收集、存储、加工处理、传递、显示和输出文字、图形、图像、音频、视频等各种信息的软硬件系统。也就是说信息系统的构成要件包括信息、硬件和软件等三个方面的内容。
信息系统中的信息是指能输入计算机,并被加工处理、传递和输出的数据所反映的信息。它是通常意义下的信息的一个子集,是IT领域存在的一种特有的数字信息,即在计算机内部以0和1代码进行存储、传输和处理,而在计算机外部以文字、图形、图像、音频、视频等表示的信息,以及IT领域的模拟信息不在本文的讨论范畴。信息是信息安全的目标和保护的对象。
信息系统的硬件是指计算机(包括CPU、内存、外存和各
种输入输出设备等)、(包括交换机、路由器、网线等,。信息,、数据库系统、网络系统,以及。
这些软、硬件系统之间的关系如图1所示,信息是存放在硬件中的,被各种软件系统直接使用
。
为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。
最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要,仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的“知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将
最小化原则细分为知所必须(needtoknow)和用所必须(need
touse)的原则。
图1 信息系统中各软硬件之间的关系
正常情况下,人们总是通过各种计算机软件系统才能够访问信息系统中的信息。而操作系统是所有其他计算机软件都必须通过的软件系统,因此,操作系统是信息系统的软件基础,是最关键和核心的软件部件。单机信息系统通过网络互联、互通、互操作,实现信息的交换与共享,形成分布式的信息系统。
2.2 信息安全的构成分析
分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果一个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。
安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护
[1]
原则和信息流向原则等。
由此可见,信息安全必须从这三个方面分析信息安全系统
[1-2]
:信息、处理信息的软件、硬件的安全问题。以此为基
础,才能分析清楚信息安全系统的构成要素、子系统和整体系统,及其他们之间的相互关系。
直接针对信息本身的安全技术有密码技术,密码技术是信息安全的基石。针对硬件的安全技术有防火、防水、防雷、防磁和湿度、温度控制等物理安全技术,物理安全是信息安全环境的保障。针对软件的安全技术有身份鉴别、访问控制、安全审计、客体安全重用、备份与恢复、隐蔽信道分析、恶意代码防范、网络边界隔离与防护和可信路径等技术[3-4]。访问控制、客体安全重用和网络边界隔离与防护是安全隔离原则的具体体现,身份鉴别是这些技术实施的前提,可信路径是保障,隐蔽信道分析和恶意代码防范是对系统设计中不可避免
2 信息安全构成分析
本文所讨论的信息安全是指信息系统中信息的安全,也
6月王斌君等:信息安全技术体系研究61
的安全漏洞问题的对策,安全审计是动态安全防御和主动安全防御的体现,备份与恢复是对安全事件的救赎。
那么,如何用这些信息安全的要素构建信息安全?一般
地,一个大的信息系统是由一些小的信息子系统(如操作系统、数据库、网络等)构成的,最终的信息安全系统不是由这些安全要素直接构造,而是必须与现有的信息子系统绑定形成相关的信息安全产品,然后由这些信息安全产品构建一个完整的信息安全系统。
那么,信息安全要素与信息安全产品之间是什么关系呢?当然,这些信息安全要素可以被构建为一个单独的安全产品使用的,形成单独使用的信息安全产品。例如,集中访问控制产品,专门的身份鉴别服务产品,独立的审计产品,以及防火墙、VPN和安全隔离网闸为主要内容的专用安全产品等。但是,要素并非总是独立存在的,一般情况下,这些大部分信息安全技术要素是在开发相应软件产品时被固化在其中的,相关的安全技术将被绑定在软件产品中集成使用。例如:操作系统中集成了访问控制、身份鉴别、安全审计等安全技术于一身,形成了安全操作系统。这些信息安全技术要素与软件产品绑定,捆绑开发,捆绑销售,并在软件产品的运行过程中正常发挥相关的安全作用。常见的、典型的,也是最重要的安全产品有安全操作系统、等。,,。
护,形成的系统将是不安全的。因为,数据库实施的安全控制对象是数据库的表、记录、数据项等,安全数据库系统可以控制数据库用户对这些数据的安全访问。而数据库系统是建立在操作系统之上的,数据库系统将这些数据存放在计算机硬件上是要通过操作系统的文件系统,操作系统的用户可以绕过数据库管理系统,通过文件系统直接访问到存放数据库信息的文件,形成安全旁路!当然,操作系统和数据库是两个层面的安全问题,仅有操作系统的安全也是不够的。例如,操作系统的安全审计只能控制到文件级别的访问情况,而不能控制到数据库文件内部对表、记录、数据项等操作的情况,这就需要安全数据库系统对这些数据对象访问情况的安全控制记录。可见,不同层面的安全问题,要由不同层面的系统实施,不能相互代替。
不仅如此,当这些分层的信息安全产品构成一个系统时,还需要考虑他们之间的依赖和互补关系,下层产品的安全要素能对上层产品实现的安全要素进行支持,他们之间的安全策略和实现的安全要素之间不能有矛盾。例如,问,,,
。
3 至此,对信息安全的基本要素和信息安全的常用子系统(产品)及其他们之间的关系进行了剖析。但是这些信息安全产品的简单堆砌并不能建构一个安全的信息系统。不同的系统其具体构成不一样,既是相同的系统,由于保护不同的信息目标不同,也应该采用不同安全级别的保护措施等,需要考虑各种因素,建立一个科学、合理的信息安全技术框架。
信息安全系统是一个复杂的系统工程,对复杂系统的认识和规律的把握需要从多角度、多层次、多纬度进行分析和论证[5]。经过作者多年对信息安全问题的研究,遵照复杂巨系统的一般原理以及信息安全的安全隔离、动态保护、深度保护等原则,吸收了美国信息安全保障框架[6]、公安部制定的信息安全等级保护[3]和公认的信息安全保障阶段的PDR模型等信息安全研究的最新成果,形成图2所示的信息安全技术体系[1]。从图2可看出信息安全体系结构可分为:1)层次维
(实施分层保护),2)空间维(实施分域保护);3)层次维(实
3.2 分域保护
图2 信息安全技术体系结构
计算机系统通过网络连接成大大小小的分布式网络系统,网络中不同区域的安全性目标、策略和保护技术手段也不仅相同,需要对不同的区域采取不同的安全技术措施,形成分域保护。
对此,美国国家安全局对现有的信息安全工程实践和计算机网络系统的构成进行了系统分析和总结,提出了《信息
[6]保障技术框架》,从空间维度,将分布式的网络信息系统划
分为局域计算环境、网络边界、网络传输和网络基础设施四种类型的安全区域,并详细论述了在不同安全域如何应用不同的安全技术要素构建分布式的信息安全系统。
局域计算环境域使用安全操作系统、安全数据库、入侵检测、恶意代码防护、安全认证等安全产品和技术,保障局域网的安全;边界防护使用防火墙、物理隔离、隔离网闸等安全技术和产品,防止来自局域网边界以外的攻击;网络传输需要使用安全路由器、安全协议等,保障数据在传输过程中的安全;安全基础设施为网络环境下的信息系统提供公共的安全服务和机制。其中最重要的基础设施包括PKI/PMI,容灾备份和应急相应等安全服务和机制用来应对各种灾难性故障和紧急事件。
3.3 分级保护
施分层面保护),4)等级维(实施信息安全等级化保护),5)时
间维(实施过程保护和动态保护)。下面分别对各维度的构成及内容进行阐述。
3.1 分层保护
根据图2所示,信息系统的构成是通过对计算机硬件的层层软件扩展而来的。信息安全系统的建构也一定遵循这一规律,通过相关的信息安全产品逐层构件。外面一层软件系统的安全依赖于内一层系统的安全,任何部分的不安全都必将影响到上一层的安全。如果底层的系统不安全,主体就会绕过高层系统,直接通过底层不安全的系统访问客体信息,就会形成旁路的信息安全威胁,从而影响到整个系统的安全性。例如,操作系统没有实施安全保护,数据库系统实施了安全保
信息安全所保护的信息,其所属的部门的业务应用的重要程度是不同的,对信息安全保护所付出的代价也会不同,需
62 计算机应用第29卷
要采用分等级保护的方法,以体现信息安全等级保护的重点保护和适度保护的原则。
等级化保护的思路早已有之:美国的TCSEC将计算机系统安全分为4级7类
[7]
我国的信息安全专家又增加了预警和主动出击的环节,形成了WPPDRRC模型。PDR模型是以戴明循环管理学[11]理论为基础的,通过检测(入侵检测、内容检测),及时发现不安全因素,通过备份与恢复技术将信息安全的损失降低最低,并依次不断改进的信息安全保护措施,有效地提高信息安全的保障能力。
随着时间的推移、技术的进步,信息安全理论、方法和技术都会不断地提升,信息安全系统也需要持续地加强、不断地完善。
,国际标准化组织发布的ISO/IEC
[8]
15408—1999也将信息安全保障评估分为7级。我国制定
的强制性国家标准GB17859—1999计算机信息系统安全保护等级划分准则等级。
3.4 分时保护
[3]
,将计算机信息系统的安全保护分为5个
信息安全是一个动态的过程,从时间维度看,信息安全的保护分为宏观的保护过程和微观的保护过程两个方面。
宏观的保护过程是指,首先,要制订国家的信息安全保护法律、法规和相关的技术标准,使信息安全有法可依,有标准可循。其次,政府主管部门指定或委托的权威机构按照相关的标准,对安全产品和系统实现结果进行评估,把好信息安全产品准入、信息安全系统准运行关。最后,政府主管部门和信息安全系统主管单位日常的监督、监察,确保信息系统,特别是国家重要领域信息系统安全。
从微观上讲,信息安全又分为信息安全系统工程和动态保护两个方面。
信息系统安全是一项系统工程,,息安全的问题,计、,信息安全保护
[9]
4 结语
本文从系统科学的角度出发,梳理了这些内容,对信息系统和信息安全的基本要素和主要技术进行了分析。在吸收了国内外关于信息安全研究的最新成果的基础上,提出了信息安全技术体系的概念,并建立了从分层维、分域维、分级维和分时维四个维度的信息安全技术体系结构,论述了信息安全要素、,对正确认清,。,、深入研究,研究对建立的信息安、指标体系和相关内容等。:
[1] 王斌君,景乾元,吉增瑞.信息安全体系[M].北京:高等教育出
版社,2008:199-217.
[2] 冯登国孙悦张阳.信息安全体系结构[M].北京:清华大学出版
另外,、对信息系统自身的脆弱性认识和对信息安全技术和管理能力认识,在此前提下,进行综合评价所采取的安全保护。而且,这些信息安全保护技术的能力是有限的,采取了安全措施并不意味着100%的安全,等级化的信息安全保护原则也不需要对保护的信息对象采取全部、最高级的安全保护措施,同时,新的攻击技术和其他的安全威胁也不断涌现。基于此认识,为了提高信息安全的防御能力,补救安全技术的不足,借鉴现实生活中安全防范的理论[10],在信息安全系统运行过程阶段需要采用基于时间维度的保护、检测、反应(Protection、
DetectionandResponse,PDR)的动态信息安全保障的思路,即
社,2008:1-14.
[3] GB17859—1999,计算机信息系统安全保护等级划分准则[S].
国家质量技术监督局,1999.
[4] ISO/IEC15408Commoncriteriaforinformationtechnologysecurity
evaluationV2.0[S].2002.
[5] 许国志,顾基发,车宏安.系统科学[M].上海:上海科技教育出
版社,2000:17-23.
[6] Informationassurancetechnicalframework,Release3.1[S].2002.[7] TrustedComputerSystemEvaluationCriteria:TCSEC[EB/OL].
[2007-10-10].dod85.pdf.
[8] ISO/IEC15408—1999,Commoncriteriaforinformationtechnology
securityevaluationV2.3[S].2005.
[9] 沈昌祥.信息安全工程导论[M].北京:电子工业出版社,2003.[10]杨英.安全技术防范基础[M].北京:群众出版社,2003.
[11]周三多,陈传明,鲁明鸿.管理学———原理与方法[M].4版.上
http://csrc.nist.gov/publications/history/
通过现有的安全技术对信息系统实施安全保护,但这种保护不能做到100%的安全,可以通过信息系统在运行过程中动态地监测,及时发现安全问题,及时采取措施,将安全威胁的损失降到最低,从而提高整个系统的安全防护能力。PDR模型首先是由ISS公司提出的,后又增加了安全策略(Policy)。
(上接第37页)
海:复旦大学出版社,2005.
5 结语
本文介绍了认证中心的建立,以及使用认证中心对无线漫游用户进行认证、计费,指出了采用网页验证方式存在的缺陷,并给出了增加安全性的措施。如果采用此方法建立全省乃至全国的层次结构认证中心,即可以实现学校用户间的漫游访问,同时还可以与运营商进行漫游协商,实现全国范围内的网络用户漫游访问。参考文献:
[1] Eduroam.EducationalRoamingInfrastructure,ul.2006.[EB/OL].
[2009-01-05].http://www.eduroam.org.
[2] IEEE802.11iWLANSecurityEnhancements,Jul.2004.[EB/
OL].[2009-01-05].http://standards.ieee.org/getieee802/download/802.11i-2004.pdf.
[3] IEEE802.1xPort-BasedNetworkAccessControl,Dec.2004.
[EB/OL].[2009-01-05].
http://standards.ieee.org/get2
ieee802/download/802.1X-2004.pdf.
[4] 行动台湾应用推动计划网站.[EB/OL].[2009-01-05].ht2
tp://www.pwlan.org.tw.