應用區域邊界安全模型設計

◆岳 陽 王曉宇 孫懿峰

應用區域邊界安全模型設計

◆岳 陽1王曉宇1孫懿峰2

（1.91977部隊 北京 100841；2.91991部隊 浙江 316000）

本文對應用區域邊界的風險進行了分析，設計了應用區域邊界安全模型，并在該模型的指導下，給出了信息系統安全應用框架。

應用區域邊界；安全；模型

信息系統中每個系統組件，包括保護組件，都可能包含未知的、可利用的安全漏洞，因此需要采用分層防御戰略對系統進行保護。

分層防御戰略將安全需求劃分為以下四個基本方面：保護應用區域環境、保護應用區域邊界、保護網絡和保護支撐性基礎設施。與上述安全需求相對應，一個有效的信息安全保障技術框架由以下四部分組成：應用區域環境安全、應用區域邊界安全、網絡與通信傳輸安全、安全管理中心。

研究信息系統應用區域邊界安全模型，能夠為信息系統中各種應用區域邊界的安全保護提供指導，實現各類信息的受控交換和安全保護，抵御來自內部或外部的各種網絡攻擊，阻止信息的泄露。

1 應用區域邊界安全風險分析

應用區域邊界安全風險是應用區域邊界系統的脆弱性和漏洞，以及以應用區域邊界系統為目標的威脅的總和。

1.1 應用區域邊界系統的脆弱性

應用區域邊界系統安全隱患[1]主要來源于以下幾個方面。

（1）硬件組件

目前信息系統應用區域邊界計算節點及各種網絡設備硬件組件（包括CPU、主板、BIOS）普遍采用國外產品，這些硬件組件中存在未知的安全漏洞及陷門，一旦被攻擊者利用，將造成整個信息系統被控制甚至癱瘓。

（2）軟件組件

軟件組件可分為系統平臺軟件、通用服務軟件、應用支持軟件和上層應用軟件。

攻擊者可利用操作系統、應用系統的漏洞、越權訪問文件、數據或其他資源，通過惡意代碼或木馬程序對操作系統、應用系統進行攻擊，利用非法手段獲得授權用戶的鑒別信息或密碼介質，訪問系統或者應用軟件、文件和數據等。

（3）網絡和通信協議

目前信息系統使用的TCP/IP協議存在缺乏對用戶身份的鑒別、缺乏對路由協議的鑒別認證、TCP/UDP的設計缺陷等安全隱患，而各種應用層服務協議（如Finger、FTP、Telnet、E-mail、DNS、SNMP等）本身也存在涉及鑒別、訪問控制、完整性和機密性等方面安全隱患，極易引起針對基于TCP/IP應用服務協議和程序安全缺陷的攻擊。

1.2 應用區域邊界面臨的安全威脅

應用區域邊界面臨的安全威脅[2]包括針對應用區域邊界的各種攻擊、入侵、植入木馬和病毒，邊界設備的后門、漏洞被受控啟用，造成信息失控、設備故障；內外勾結造成的信息丟失、失控等。

（1）與公用網絡的連接

這種連接容易使信息系統遭受病毒侵襲，從而危及信息系統的安全。連接公共網絡的另一種風險是越來越多地使用移動代碼，用戶在沒有意識到的情況下就可能在信息系統中引入不安全的代碼。

（2）不同安全等級網絡的連接

邊界控制設計不充分的情況下，高安全等級信息會滲透到低安全等級網絡中；同時也存在進入高安全等級網絡的低安全等級代碼和數據已被惡意篡改的風險。

（3）無線網絡的安全漏洞

無線網絡容易遭受電子欺騙、干擾和空中截獲電子信號等攻擊。當無線網絡需要與有線網絡連接時，如果接入設備安全性不夠，有可能將無線網絡的一些安全風險引入到有線網絡中，從而威脅整個信息系統的安全。

2 應用區域邊界安全模型設計

應用區域邊界安全模型設計如圖1所示。由可信操作系統平臺、多級安全隔離、多級安全傳輸、安全接入、安全管理和證書管理組成。

（1）可信平臺

可信平臺[3]部署在應用區域內終端、服務器、網絡設備、應用區域邊界安全設備上，為相應的計算節點提供基礎可信的運行環境。

（2）多級安全隔離

多級安全隔離[4]部署在物理應用區域之間，控制不同應用區域間信息安全的互聯互通。

多級安全隔離包括物理隔離、安全隔離、防火墻、安全網關等安全防護技術手段。具體采用何種安全防護措施由應用區域的安全防護等級決定。對重要應用區域采用物理隔離或安全隔離等高安全等級防護技術手段；對內部和一般應用區域采用防火墻、安全網關等一般安全等級防護技術手段。

（3）多級安全傳輸

多級安全傳輸[5]實現物理應用區域內以及物理應用區域間交互信息的安全保護，這些交互信息的計算節點形成邏輯應用區域。

多級安全傳輸主要隔離穿越物理應用區域邊界的不同安全等級信息。

（4）安全接入

安全接入[6]部署于物理應用區域，完成接入節點設備和用戶的身份認證和訪問控制，保證接入節點跨越專用網絡與物理應用區域內其他節點間交互信息的機密性、完整性和不可否認性。

（5）安全管理

安全管理中心[7]實施多層次安全防護策略，將應用區域邊界各種安全防護技術納入統一的管理控制下，使各種安全技術彼此補充、相互配合，形成一個安全策略集中管理、安全檢查機制分散布置的分布式安全防護體系結構，從而達到對應用區域邊界安全保護和管理的目的。

安全管理中心包括用戶管理、設備管理、安全策略配置管理和審計管理等。對進出應用區域邊界的用戶策略統一配置管理，對不同級別用戶賦予不同的訪問權限；對應用區域邊界安全設備統一管理；實現相關安全策略的統一下發；從整個應用區域邊界收集和分析安全事件信息，及時檢測到安全事件并采取相應的處理措施。

（6）證書管理

證書管理[8]為可信操作系統平臺、多級安全隔離、多級安全傳輸、安全接入提供證書注冊與制作、證書在線查詢、證書認證等服務。

圖1 應用區域邊界安全模型

3 應用區域邊界安全模型在信息系統中的應用

應用區域邊界安全模型在信息系統中的應用如圖2所示。

圖2 應用區域邊界安全模型在信息系統中應用示意圖

根據本文提出的應用區域邊界安全模型，結合信息系統應用區域邊界安全現狀，對信息系統應用區域邊界安全提出以下幾點建議。

（1）采用可信計算技術加強主機安全

目前信息系統主機主要是采用基于Windows的操作系統。采用的安全技術手段包括身份認證、登錄控制、病毒防治、數字簽名、行為控制、外設控制以及信息加密等技術手段。建議采用可信計算技術，為各種主機安全技術手段建立安全基礎，防止這些安全機制被篡改和旁路。

（2）基于密碼技術解決應用區域邊界多級安全

不同安全等級信息穿越應用區域邊界時，使用不同強度的密碼進行加密是數據隔離的有效手段。建議采用基于密碼技術的安全隔離設備解決高安全等級應用區域邊界的安全防護問題。

（3）研制高效的無線安全接入設備

建議研制高效的無線安全接入控制設備，分析信息系統有線和無線網絡通信關系、通信特點，對各類通信手段的安全性威脅進行分析評估，提出解決各類無線接入安全性問題的解決方案。

（4）合理部署網絡監控手段

建議在各應用區域之間邊界接入點處和應用區域內關鍵的應用網段上部署安全監控和審計系統，安全監控的范圍應覆蓋到整個網絡行為，包括網絡行為監控、網絡異常流量監控、主機訪問流量監控、入侵攻擊和病毒攻擊監控等。

（5）增強應用區域邊界核心安全控制系統自身的安全性

建議從安全模型和體系結構上研究如何基于密碼技術控制應用區域邊界核心安全控制部件不被繞過，不被非法控制，使內外應用區域數據通道唯一、安全和高效。

4 結束語

本文根據應用區域邊界安全需求，提出了應用區域邊界安全模型，該模型對應計算節點、物理應用區域、邏輯應用區域三個層面，包括可信平臺、多級安全隔離、多級安全傳輸、安全接入、安全管理和證書管理等組件。其中可信平臺提供基礎安全環境，是整個模型的基礎。多級安全隔離解決物理應用區域間的信息交互，多級安全傳輸和安全接入解決邏輯應用區域邊界安全。安全管理、證書管理是模型的安全保障基礎設施。

[1]Dr Roger R. Schell and Michael Thompson. Platform Security: What is Lacking?[R], Information Security Technical Report, Vol 5, No.1, 2000.

[2]沈昌祥.關于加強信息安全保障體系的思考[J].信息安全與通信保密，2002.

[3]沈昌祥.基于可信平臺構筑積極防御的信息安全保障框架[J].信息安全與通信保密，2004.

[4]William Stallings.Network Security Essentials: Applications and Standards[M].Prentice-Hall, Inc., 2002,6.

[5]謝希任.計算機網絡（第4版）[M].電子工業出版社，2003.

[6]劉蔭銘，等.計算機安全技術[M].清華大學出版社，2002.

[7]美國國家安全局發布，信息安全國家重點實驗室組織翻譯.信息保障技術框架[M].北京中軟電子出版社，2001.

[8]Hwang,Ren-Junn,Su,Feng-fu. A new efficeient authentication protocotol for mobile networks[J]. Computer Standards & Interfaces, 2006.