1、工程设计仿真网络环境 信息安全技术架构研究,中物院信息安全技术中心 姜建国,研究意义和应用前景,涉密内网虽然与因特网物理隔离,仍同样面临着漏洞、蠕虫、病毒、木马和后门等威胁。 目前,我院各所已建或拟建的工程设计仿真网络是处理复杂设计、计算及仿真业务的计算机网络, 正在成为我院武器工程研制的关键基础设施,应用范围也不断深入和拓宽 ,建立相关信息安全保障体系成为必备条件之一。 工程设计仿真网络环境有自身的特点,应用类别多,软硬件环境复杂,异构、海量、集成,高密级等。 信息安全问题自身的复杂性使得单一功能性产品不胜负荷,如何从整体、从顶层设计、从体系的高度来考虑信息和信息系统的保障,是我们急需解决的
2、问题。,从体系高度来探讨整体性信息安全技术架构,对于为工程设计仿真环境的安全保障提供整体解决方案和技术路线,解决目前简单堆砌安全产品带来的安全隐患,从而切实保障信息与信息系统的安全,具有重要的科学意义和现实意义。 面向工程设计仿真环境的信息安全技术架构及其系统的研究实现,主要构建高度可信的信任系统、高效的行为监控系统以及相应的数据保护系统等。 对于有效防范涉密网络的安全威胁,为实现网络化设计、制造和数字军工提供安全保障,具有重大的工程意义,并可以在我院的各类工程设计仿真网络和各单位的内部科研办公网络提供借鉴和示范。,国内外研究现状分析,90年代后期到现在,人们也开始认识到安全的概念已经不局限于
3、信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括了保护、检测、反应和恢复能力。于是出现了信息保障的概念。美国国家安全局制定的信息保障技术框架(IATF)则是这个时代的一个典型标志。 信息保障技术框架(IATF)的主要内容可以归纳为“三保卫一支持”,即:保卫网络和基础设施,保卫边界,保卫计算环境,支持必要的安全基础设施。 国家主管部门适时推出相应战略举措。我国从国家层面提出了加强信息安全保障的意见(中办发200327号),中办27号文提出了信息安全保障战略方针是积极防御和综合防范。,安全产品从功能性产品向体系化产品的转化成为必然。安全厂商已经开始把握新形势下的网络安全问题和用户的最
4、新需求,正在开发相应的架构体系产品。 但是国内信息安全研究和市场发展的重点主要在于因特网、电子政务、金融、军事指挥自动化等领域,而由于工程设计仿真网络环境的复杂性和特殊性,不可能有现成的产品或解决方案能够满足需求。 我们必须结合实际网络环境特点,在掌握先进、成熟的国内外技术的基础上大胆探索、适时跟踪、面向实际应用、加强合作交流,通过集成创新,设计实现能够满足需求的安全信任平台,并在此基础上构建网络安全保障体系。,研究目标,预期通过集成创新和相关研究,实现下列目标: a)提出适用于工程设计仿真网络的信息安全技术架构和相关网络信任模型。 根据IATF的思想,在统一安全策略的基础上,由安全支撑基础设
5、施支持下的三重保障结构构成架构体系(可信的应用操作平台、安全的服务资源边界保护和全程网络通信保护 ),并提出适用的信任模型。 b)建成一个面向工程设计仿真环境、基于网络信任平台、重点解决行为监控和数据保护关键技术的信息安全架构原型系统。,根据应用需求和研究目标,将对以下一些研究方向进行深入研究: 工程设计仿真网络信任体系研究。 研究适合于工程仿真网络的可扩展的信任体系模型; 研究适合于封闭内部网的公钥体制及应用; 研究基于密码技术的信任管理系统,实现身份认证、授 权管理、责任认定等功能; 行为监控技术研究。 研究基于行为模式的监控策略表示;,研究与工程仿真网络物理结构和逻辑结构相 适应的行为监
6、控体系结构; 研究用户行为的监控方法和技术; 研究基于行为监控的数据保护方法; 数据保护技术研究。 研究工程设计仿真网络数据保护体系结构; 研究工程设计仿真网络中数据安全存储和安全传输 技术解决方案。,关键技术,针对应用特点,将现有产品和技术有机结合,形成一个整体解决方案和技术体系,在网络信任基础平台上实现行为监控、数据保护等功能。 如何针对工程设计仿真网络的环境和应用特点,结合相关技术,提出适用的信任模型和认证授权机制。 研究并实现一个可扩展的、分布式的策略框架系统,在异构互连的复杂系统的情况下,管理、发现和协商安全策略,以便管理、控制和发布统一的安全策略。 研究并开发在异构环境中有一定通用
7、性的安全中间件(安全构件)。,技术路线,针对工程设计仿真网络与外部网络物理隔离、各个子网络具有明确物理边界,以及可以采用秘密的或安全的密码传输通道等特点,拟建立由信任体系支撑、统一安全策略管理下的信息安全技术架构。 这种体系架构以可信终端(例如新一代可信计算机)为末端设施,与已部署的、将部署的主要安全设施(如防火墙、入侵检测等)密切协同,实现对访问主体行为和被访问客体属性状态的有效监视和/或控制,达到数据保护、网络运行有序和安全保密的目的。 针对工程设计仿真网络的特点,项目拟综合应用CPK/PKI技术、多因子身份鉴别技术、基于属性的权限管理技术,完成基于统一安全策略的实体身份鉴别与权限管理,从
8、而建立起工程设计仿真网络信任体系的基础平台。,主要技术关键设计思路,(1)工程设计仿真网络的信任模型 在一个有边界、有中心、存在秘密通道的内部环境中,规模化的密钥管理是可以用简化的方法来实现的,用以建立真正的信任系统。 实施网络信任体系的基础就是构建身份认证体系,需要建立数字证书认证中心,即CA中心,负责网络上的身份证、工作证的管理。 由于我院工程设计仿真网络是一个高密级的有组织的封闭内网,根据其自上而下的管理特性,采用单CA信任模型是实现最简单也最有效的模型。通过这种主管方的单层管理结构,可以建立用户和管理中心的直接级信任关系,管理、维护、操作十分简便。,CA中心的实现采用集中式管理模式,由
9、主管部门颁发证书。 证书的功能要求:要满足提供包括身份认证、授权管理、责任认定三个层次的安全服务的网络信任体系建设的要求。 据了解,2004年7月,美军开始使用一种计算机身份证,每名从事计算机网络工作的人员,都要领取一种身份证,内置含有姓名、军衔、指纹、序列号等信息的计算机芯片,,工作人员只有将身份证插入计算机终端设备,才能访问和使用网上授权文件。此外,系统可以跟踪登录人员,了解他们使用的文件内容、性质。 (2)安全支撑基础设施 CA中心:结合应用网络特点,基于CPK或PKI技术构建。颁发网络身份证/工作证。 信任管理系统 :网络中的每个用户都持有CA中心颁发的证书,以此为基础可以设计实现相应
10、的网络安全信任管理系统,实现身份认证、授权管理和责任认定。,安全策略管理系统 :一个集成化的防卫体系,遵循P2DR 模型,支持分布式结构,通过多种技术手段的融合帮助组织有效达成在物理、链路、操作、网络、设备、系统、应用、数据及人员等方面的安全策略集中定制、自动分发和自动实现, 安全策略较之证书可以实现更细粒度的访问控制,比如证书可以通过授权,控制进入信任域或服务器,而通过域策略或服务器策略可以控制对设备或文件资源的访问。另外,安全策略可以更加灵活,由安全管理员负责,修改比较方便。,(3)行为监控管理系统 监控体系结构 :按照行政或业务隶属关系,将工程设计仿真网络划分成多个监管域 ,形成一种树型
11、监控体系结构,如图。 监管中心是行为监控的管理中心,对重要的管理操作采用口令分割、权限分割等技术,将单个管理员的管理权限限制到最小和必需的程度,防止单个管理员的违法操作对系统造成重大损失。监管中心体系结构如图所示。,(4) 数据保护 数据保护的层次结构 :第一层次是通过物理安全措施,实现对存储介质物理安全。通过管理策略与技术手段相结合,实现对存储介质的访问控制。第二层次是依据相关的密码算法实现数据存储的安全保护和数据传输过程中的安全,如图。(特别需要针对移动存储介质进行保护) 数据保护体系结构 :与网络行为监控体系结构合并为网络监管体系结构 ,包括数据保护中心与网络行为监控中心实际合并为网络监
12、管中心。,数据安全存储和安全传输方法:通过建立的仿真网络信任体系提供的相应密码算法和认证机制,实现数据加密存储和加密传输,如图。 数据加密存储和加密传输如图所示的三大模块组成。被监管机代理模块、数据服务器代理模块和通信模块。 被监管机代理模块接收应用程序对数据库接口函数的调用,将这些调用向数据服务器代理进行转发,并接收数据服务器代理送回的执行结果,返回给应用程序。 数据服务器代理模块判断被监管计算机有访问权限后为被监管机代理模块提供访问密文数据库的服务。 通信模块完成数据中心与被监管计算机之间的加密传输。,被监管机代理模块,被监管机端通信模块,数据服务器 代理模块,数据服务器端通信模块,数据管理系统,数据服务器,加密信道,被监管计算机,加密信道,ODBC(ADO) 驱动程序管理器,驱动程序,数据源,信任体系和数据保护策略,被监管计算机,谢谢!,