計算機信息安全技術的應用探究

李 軍，郭紅梅

（陜西郵電職業技術學院，咸陽，712000）

計算機信息安全技術的應用探究

李 軍，郭紅梅

（陜西郵電職業技術學院，咸陽，712000）

文章針對計算機信息安全，從信息系統安全體系進行探討，通過構建BLP多級安全模型與監視器的方式，從而保障系統的安全。

信息安全；BLP模型；網絡監視器

1 信息系統等級保護概述

1.1 等級保護定義

所謂的信息系統等級保護則是針對國家的相關秘密信息、公民專有信息、企業法人信息以及存儲、傳輸這些信息的信息系統進行分等級的安全保護，并對不同的信息進行等級管理，以此更好的進行分等級的處理。

1.2 安全等級分類

針對信息系統等級分類則主要是按照以下的標準進行劃分：對國家安全、社會生活和經濟的重要程度；對國家和社會公眾利益、法人或個人合法利益的危害的程度；針對相關信息的機密性和完整性則必須達到相關的安全保護的基本水平。因此，我們將信息系統的安全分為以下不同的等級：

第一級，在信息系統被破壞之后，其對公民、組織和相關的法人的正當權益構成了損害，但是對國家安全和公共秩序沒有損害；

第二級，企業法人、公民、組織等受到嚴重的損害，或者是對社會公共的秩序構成損壞，但對國家安全沒有構成威脅；

第三級，公共秩序受到嚴重損壞或者是對國家安全構成損害；

第四級，公眾利益或公共秩序受到嚴重損害，或對國家安全構成嚴重的損害；

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

1.3 信息系統等級保護基本體系結構

結合現代計算機信息安全保護體系，其等級保護則主要由安全環境、安全區域邊界、安全網絡通信和安全管理中心等不同部分構成。

其中的安全計算環境則主要負責對信息系統進行相關信息的存儲及實施相應的安全策略。對該環境的劃分可以將其分為五個不同級別的安全計算環境。

安全區域邊界則主要是信息系統當中的安全計算環境的編輯，以此實現其網絡連接的相關安全策略部件，同樣對安全區域邊界和安全網絡通信的保護分為五個不同等級。

安全管理中心則是將其分為五級，對信息系統的安全策略和安全計算環境、安全通信網絡的安全機制進行統一的管理和控制的平臺。

2 BLP模型構建

而通過上述的統一的標準在不同計算機中的應用，從而使得各個不同等級的計算機實現系統的訪問和資源的資源的共享。但是，其訪問實現的機制則屬于信息安全的重中之重。因此，本文在BLP模型的基礎上，對BLP模型進行擴展，提出了新的BLP模型，建立可靠的訪問機制，并從理論上進行證明，從而對計算機信息安全技術進行應用研究，并保障數據的單向流動。該模型具備以下的特點：

第一，考慮到現在網絡通信，增加了在不同主體間的連接規則，而其它的任何訪問控制的規則多是建立在該規則的基礎上進行；

第二，為更好的實現對網絡數據流控制進行分離和對主客體訪問進行控制，將其訪問控制的矩陣分為主體與主體和主體與客體，并分別控制器訪問；

第三，在不對BLP規則進行違背的情況下，采用客體等級提

升的方式來簡化用戶訪問判決的過程。

而如果在代理的主體中讀取到其客體，則自動將客體的安全等級提升為二代理主體的安全等級，并將主體和客體的等級都轉換成遠程的遠程的主題和代理的主體的等級。而針對一次訪問多個不同的客體的情況，這種方式則大大的減少了在網絡中進行等級比較的次數，以此大大提高運行效率。因此，必須進行BLP改進模型的狀態轉換。而要對其狀態進行轉換，則必須對其轉換的規則進行設計。

3 BLP改進模型狀態的轉換規則

在網絡訪問中，其模式通常除連接以外，還包括創建、刪除、修改和讀取。而不同的元素，對其請求的集合分為不同的種類：R1=S×S，表示主體與主體之間的訪問；R2=S×O×A，表示主體對已經存在的客體的訪問；R3=S×O×L，表示創建新的客體；R4=S×O，表示刪除客體，這些訪問由網絡引用監視器進行控制。在該安全控制中，采用引入監視器控制代理主體對客體的訪問，控制的依據是原有BLP的訪問規則，由ρ0表示。判決結果D={y,n}。

對模型狀態進行轉換，其規則包括以下的規則：

規則1：遠程主體Si請求和服務器的代理主體建立連接。當系統的狀態為V=(b,M,T,f,H)，系統則對rk的請求相應規則為：

規則2：si對網絡客體客體o的讀取。當其系統狀態v=vi+vj，系統對請求rk=(si,o,r)∈R2。

ρ2(rk,v)≡

If (1) 滿足規則1的條件(1)

規則3： si對網絡客體請求進行刪除。當其系統狀態v=vi+vj，系統對請求rk=(si,o,r)∈R3。

ρ3(rk,v)≡

If (1) 滿足規則1的條件(1)

規則4： si對網絡客體請求進行讀寫的情況。在Si與Sj建立連接的前提下，系統的狀態v=vi+vj，系統對請求rk=(si,o,r)∈R4。

4 改進模型實時的框架

針對訪問模型的控制設計，本文采用引入監視器的方式，通過對網路和本地進行監視，以此用于對信息的不同等級的訪問。

在通信的過程中，不同的報文可攜帶比較機密的數據，同時也可攜帶請求或都有，以此，需要對報文中的數據進行區分，并只對其中的攜帶機密的數據進行控制訪問。針對上述的問題，必須對應用層的相關協議進行確定，通過協議格式來做出對該數據是否做出判決。應用協議層其主要的功能則是對系統允許的報文進行記錄，并對協議的格式進行規范。因此，必須首先在該模塊當中注冊，這樣方可悲系統用戶所使用，并且發送的報文必須遵守該協議注冊時提供的請求和應答的格式。

而在制定規則中其主要的功能就是對通信的雙方進行安全等級的判決，而要在數據進行傳輸之前確定對方的登記，則必須建立一種連接服務協議。常見的連接協議中采用TCP三次握手機制，即可實現對該需求的滿足。其具體的步驟為：首先客戶端將進程中的登記信息存放到sync包當中，并發動給服務器；其次服務器根據相應的規則建立連接，如允許則返回到sync+ack包，并在sync+ack包中攜帶本地服務進程的等級信息；客戶端發送ack包，三次握手完畢。

針對數據流控制，其主要是對相關資源的提取和對數據的發送。其中對資源的提取則主要是對本地的監視器提供相關的信息，通過該監視器的判決從而獲取相關的本地資源；而數據發送則主要是針對應用層，并根據規則對其作出判決是否發送數據。

5 結束語

本文針對計算機信息安全技術，提出在防護等級和安全性比較好的BLP數學模型上引入監視器的方式，并對其進行了初步的構建，以此為計算機信息安全提出新的方案和策略，更好的實現信息安全的保護。

[1] 蔣睿，胡愛群，陸哲明等.網絡信息安全理論與技術[M].華中科技大學出版社，2007．

[2] Lucian Popa,Minlan Yu,Steven Y.Ko,Sylvia Ratnasamy, lon Stoica,“CloudPolice:Taking Access Control out of the Network”,Proceedings of the Ninth ACM SIGCOMM Workshop on Hot Topics in Networks,2010.

Application of computer information security technology

Li Jun
(Shanxi post and telecommunication college，Xianyang，712000，China)

In this paper,computer information security,information systems security system from explore,BLP by constructing multi-level security model and monitor the way,so the safety and security of the system.

information security;BLP model;Network Monitor