军工企业涉密网络信息安全策略及其实现 |
[中国企业电子商务网讯] 0 引言 近期,国家对军工科研和生产制定了寓军于民的政策,企业为了提高市场竞争力,改善设计和管理效率,普遍使用计算机及网络进行产品设计和企业的生产经营管理,导致通过计算机造成的失泄密事件日益增多。为了确保国家秘密的安全,国家对从事军工科研和生产的企业实行保密资格认证制度,以对军工企业的涉密网络建设和使用提出相应要求。 本文对军工企业如何在技术上实现涉密网络的安全保密要求进行探讨,提出相应的建议方案,对方案中的关键技术的实现原理进行了介绍。 1 军工企业涉密网络信息安全要求及其特点 1.1军工企业涉密网络 在军工企业中,需要处理、存储国家秘密的计算机称为涉密计算机,用涉密计算机构成的计算机网络系统称为涉密网络。 涉密网络主要有三种表现形式:①安装有数据库应用系统对国家秘密信息进行集中存储和管理的单台涉密计算机:②涉密计算机通过集线器连接,以共享方式进行信息交换的简单对等涉密网络;③有交换机、服务器组成的涉密计算机网络。 本文主要以Windows为操作系统的第(3)种涉密网络为讨论对象。 1.2国家保密资格认证对涉密网络的技术防范要求 国家在对军工企业的保密资格认证中,要求军工企业的涉密 网络必须由具备涉密系统建设资质的单位进行设计和建设,其遵循的技术规范为BMZl一2000 涉及国家秘密的计算机信息系统 保密技术要求》、BMZ2—2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》。其中明确提出涉密网络必须具备以下 技术措施:备份与恢复、病毒防范、身份鉴别、访问控制、信息加密、安全审计、入侵监控等;并对造成计算机失泄密的主要物 理通道蜒计算机接口进行控制或隔离。 1.3涉密网络的技术防范特点 (1)对于国家秘密,需要划分不同的级别,每个级别中又根据信息的不同划分为若干类(条),每类(条)涉密信息的知悉成员是确定的。这种控制秘密信息的知悉范围是强制的,不得超越的。在网络中需要确定每个操作者(计算机)的身份,并对网络中信息的传递行为能进行控制。 (2)国家秘密在网络上需防止两种身份假冒:非法使用人员通过私自使用涉密计算机仿冒合法使用人 合法使用人员通过盗用(伪造)它人IP地址仿冒其他涉密人员。在网络的登陆使用中需将现实中的人与网络中的虚拟身份(地址)关联起来,且确保其地址不能被盗用。 (3)由于计算机使用的过程中的无痕迹性,在技术上需要对涉密信息的列表、打开、创建、更名、复制、编辑等行为进行识别和控制。同时由于发生失泄密事件后的审计追查的需要,在技术需要将各种日志信息的格式进行统一,以利于日志信息记录和审计的实现。 (4)对于方面快捷的计算机信息交换接口,是计算机有效工作的组成部分,也是计算机失泄密事件的最主要通道。在技术上需要对计算机的所有接口能进行识别和控制。本文主要关注身份鉴别、访问控制、安全审计、信息加密方面的技术实现。 在军工企业涉密网络的信息安全解诀方案中,我们认为应该遵循以下的安全策略原则: (1)制度体系、流程管理与技术手段相结合的原则 军工保密安全以管人为主,安全策略应主要以完整的制度体系、规范合理的工作流程为主,结合技术防范手段来实现。不能将保密安全策略完全建立在技术手段上。 (2)公众产品与涉密产品相结合的原则 保密安全体系首先应建立在一个相对安全的网络基础上,对基础的网络安全和非核心的部分完全应该采用成熟的公众产品,如备份恢复系统、网络防病毒系统等。在关键的部分采用专用的涉密安全产品,如身份鉴别、入侵检测、信息加密等。 (3)全面预防与重点技术防范相结合的原则 军工企业由于产品设计和生产经营管理的实际需要,保密安全策略应在建立起全面预防措施的基础上,对重点的保密安全方面采用技术手段进行自动监控。优先解诀的应是身份鉴别,其汐是信息外泄通道(计算机接口)的控制,最后解诀访}句控制。 (4)选用成熟技术与兼顾技术发展相结合的原则 军工企业涉密网络处理的是国家秘密,不能成为新技术的试验地,因此保密安全策略应优先选择成熟可靠的安全技术产品。结合上述原则和军工企业涉密网络的技术防范要求,我们建议在技术上采取分级知悉控制与加密存储相结合的措施对涉密信息档案特别是涉密文件加以保护。 (1)在制度上明确由企业统一管理并为员工固定一个IP地址(MAC 地址),IP地址所产生的所有行为视为员工的行为。 采用硬件钥匙结合口令的方式对操作系统的登陆进行完善,通过硬件钥匙进行身份验证的方式将具体员工与虚拟IP关联起来。 (2)对涉密信息进行知悉范围控制。在对涉密信息分类的基础上控制涉密信息的列表.打开等操作行为,将对涉密信息的管理控制变成对操作权限的分配和管理。 (3)对网络服务器的访问进行控制,对网络中的受限终端的对外介质复制渠道进行控制。 网络服务器的访问控制可以采用防火墙技术解决。对于终端的复制渠道的控制可以考虑采用基于网络的设备集中控制系统。 (4)涉密信息审计及保密安全策略动态调整 军工企业涉密网络的保密安全措施及其实施在企业中始终是动态变化的,其引发改变的时机和方法就在于保密安全审计的结果。 3 军工企业涉密网络信息安全策略的关键技术 在方案中,我们认为最关键的技术有以下五个方面: 3.1身份认证与自主加密保护的结合 通过硬件钥匙进行身份认证,通常使用USB接口设备。在军工企业涉密网络中的日常应用中需要大量对各种涉密文件进行处理,同时由于企业现在的计算机应用水平状况,应该为每位使用者提供对自己处理的涉密文件进行加密保护的基本功能,其加密密钥可以用同一个硬件钥匙来保存。对硬件钥匙中的密钥进行管理(写入、修改、读出、存储)使之符合密品管理的要求是技术关键之一。 3.2涉密资料的分类管理.操作行为与访问控制的结合 涉密网络中的涉密信息要控制其知悉范围,必须对涉密信息及其使用人员进行分类,使之建立一种相对固定的关联规则;如何将现实中千变万化的涉密信息和使用人员转变成相对固定的分类关联规则,从而实现访问控制,是需要解决的一个关键技术。 国家秘密信息在军工企业涉密网络中大量表现为文字和图形,为了防止无关人员接触秘密信息和通过更名等方式改变国家秘密的表现形式而造成秘密失控,必须对使用人员的计算机操作行为(列表、打开、创建、更名、复制、编辑)进行控制;如何识别上述操作行为并进行自动控制是需要解决的另一个关键技术。 3.3物理隔离、外泄外联控制的自动实现 对网络中的外协外联进行控制可以简单的通过禁用其设备来实现,在军工企业涉密网络必须分别解决两个基本问题一是合法的外联设备与非-法外联设备的识别,如合法的USB打印机设备与非法的USB存储盘;二是非法外联设备的禁用不能被使用者破坏,即是在该计算机与网络断开的情形下。这是一个较为关键的技术。 3.4日志系统与集中审计的结合 日志系统和审计系统的技术关键在于如何解决计算机中不同操作行为所产生的日志信息格式(内容)的统一,在不占用大量的网络带宽资源的情况下,如何保证日志信息在产生和传输过程中不会被旁路。篡改。丢失,在审计中如何结合访问控制的规则自动对违规的日志信息进行高效过滤并自动报警。 3.5集中控制管理与客户主动保护的结合 军工企业涉密网络中所有对涉密信息的保护和控制规则都是由企业集中制定并进行控制管理的,这些规则需要在使用者的客户端上自动执行以达到主动保护的目的。在技术上必须解决客户端与集中规则的同步问题和客户端在离线状态下仍有效执行控制规则的问题。 针对前面提出的五个方面的关键技术,在每一个方面都有单一的产品提供了解决方案,下面介绍“涉密资料的分类管理、操作行为与访问控制的结合” 的实现原理并介绍其实现的案例。 要在涉密网络上实现访问控制,使涉密信息只被授权的人员知悉,必须建立涉密信息与授权人员的对应关系规则,确定其可以进行的操作类型。 为解决涉密信息及使用人员在现实中的频繁变化的问题,应采取下列的实现方式: (1)对涉密信息,采用将涉密信息按使用类型进行分类的办法,然后确定每类涉密信息的知悉对象;对军工企业里的涉密信息提供不同的使用类型分类模板:如对军工产品的设计、工艺、生产等过程产生的秘密信息按产品项目管理的方式进行分类对经营过程中产生的涉密信息按计划、财务、质量、试验等使用属性进行分类等。这样每类涉密信息的知悉人员是相对确定的,为了避免使用人员频繁变化带来的设计困难,可以引入相对固定的人员类别表述一角色。这时对知悉范围的管理就转变为涉密信息类别与角色之间的可操作关系集合的管理。 (2)对使用人员,采用通过组织结构树来管理使用成员(通过硬件钥匙转换成对应的IP地址),使用人员对某类涉密信息的知悉权利就可以用是否属于某个角色来表述。这时对使用人员的管理就转变为对角色组中成员的管理。 通过引入相对固定的角色概念,访问控制的实现就转变为对信息类别与角色、角色与使用人员之间的关系的管理。 在确定上述关系的同时,要真正实现对知悉的控制,必须在于网络的两种入侵检测能力。 在入侵检测技术发展的同时,入侵技术也在更新,黑客组织已经将如何绕过入侵检测系统或攻击入侵检测系统作为研究重点。因此,从总体上讲,目前除了完善常规的、传统的技术外,入侵检测技术应重点加强与统计分析相关技术的研究。许多学者在研究新的检测方法,如采用自动代理的主动防御方法,将免疫学原理应用到入侵检测的方法等,其主要发展方向可以概括为: (1)分布式入侵检测。这个概念有两层含义:第一层,即针对分布式网络攻击的检测方法;第二层即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式系统是现代IDS主要发展方向之一,它能够在数据收集、入侵分析和自动响应方面最大限度地发挥系统资源的优势,其设计模型具有很大的灵活性。 (2)智能化入侵检测。目日使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化,利用专家系统的思想来构建IDS也是常用的方法之一。 (3)网络安全技术相结合。结合防火墙、PKIX、安全电子交易(SET)等网络安全技术与电子商务技术,提供完整的网络安全保障。 (4)建立入侵检测系统评价体系。设计通用的入侵检测测试评估方法和平台,实现对多种入侵检测系统的检测,已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行。评价指标有:能否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。 6 总结 入侵检测技术尽管是计算机网络安全的重要组成部分,但它不是一个完全的计算机网络系统安全解决方案,它不能替代其他安全技术如:访问控制、身份识别与认证、加密、防火墙、病毒的检测与清除等的功能。但可以将它与其他安全技术,如防火墙技术、安全网管技术等增强协作,以增加其自身的动态灵活反应及免疫能力,为我们提供更加安全的网络环境。 |