基于信息安全體系實現(xiàn)靶場事后數(shù)據(jù)處理系統(tǒng)*

張 東

(92941部隊96分隊 葫蘆島 125000)

基于信息安全體系實現(xiàn)靶場事后數(shù)據(jù)處理系統(tǒng)*

張 東

(92941部隊96分隊 葫蘆島 125000)

信息安全日益成為靶場試驗需要面臨和解決的現(xiàn)實問題。論文基于網(wǎng)絡(luò)和數(shù)據(jù)庫技術(shù),采用先進的信息安全手段,構(gòu)建一個高效穩(wěn)定的信息安全體系,從而為靶場事后數(shù)據(jù)處理和管理提供強有力的安全保障。

數(shù)據(jù)處理;信息安全;權(quán)限;密鑰

Class Number TP309

1 引言

靶場事后數(shù)據(jù)處理系統(tǒng)中存儲的數(shù)據(jù)具有非常重要戰(zhàn)略意義,包括任務(wù)信息、型號信息、處理模型、模型參數(shù)、原始數(shù)據(jù)、計算結(jié)果和圖像數(shù)據(jù)等。隨著事后數(shù)據(jù)處理系統(tǒng)的發(fā)展,各種涉密電子文件及共享資源等各種信息安全問題逐漸顯現(xiàn)。同時,隨著系統(tǒng)的升級和擴展越來越依賴于網(wǎng)絡(luò)平臺,必然要求一個穩(wěn)定、可靠的安全體系提供持續(xù)有力的安全保障。系統(tǒng)信息安全體系建設(shè)的總體目標(biāo)是：基于現(xiàn)代信息安全理論,遵循國家標(biāo)準(zhǔn),采用目前國內(nèi)外先進的信息安全技術(shù),建設(shè)涵蓋事后數(shù)據(jù)處理中心的網(wǎng)絡(luò)、應(yīng)用和管理等各個方面的統(tǒng)一、安全、穩(wěn)定、高效的信息安全體系,并根據(jù)系統(tǒng)建設(shè)進程制定信息安全體系建設(shè)的分步實施方案,建成完整的系統(tǒng)信息安全保障體系。

2 體系模型

信息安全體系模型由基礎(chǔ)安全設(shè)施、信息安全管理、安全技術(shù)支撐和安全保障服務(wù)四個層面構(gòu)成,為事后數(shù)據(jù)處理系統(tǒng)提供全面的安全體系保障,如圖1所示。

· 基礎(chǔ)安全設(shè)施：基礎(chǔ)安全設(shè)施為數(shù)據(jù)處理系統(tǒng)信息安全體系建立一個可相互信任的環(huán)境,是其他安全技術(shù)實施的基礎(chǔ)。基礎(chǔ)安全設(shè)施以PKI(公鑰基礎(chǔ)設(shè)施)/PMI(特權(quán)管理基礎(chǔ)設(shè)施)/KMI(密鑰基礎(chǔ)設(shè)施)技術(shù)為核心,實現(xiàn)證書認證、權(quán)限管理、密鑰管理、可信時間戳、密碼服務(wù)等功能[1]。

· 信息安全管理：在數(shù)據(jù)處理系統(tǒng)信息安全體系中,管理占有相當(dāng)大的比重。信息安全管理包括策略管理、組織管理、制度管理、網(wǎng)絡(luò)管理、設(shè)備管理、系統(tǒng)管理、病毒管理、介質(zhì)管理、安全審計管理等功能。

圖1 信息安全體系模型

· 安全技術(shù)支撐：利用各類安全產(chǎn)品和技術(shù)建立起事后數(shù)據(jù)處理安全技術(shù)支撐平臺。安全技術(shù)支撐包括物理安全、運行安全和信息安全。物理安全包括環(huán)境安全、設(shè)備安全和介質(zhì)安全;運行安全采用防病毒、入侵檢測和代碼防護等成熟技術(shù)對網(wǎng)絡(luò)進行防護;信息安全包括訪問控制、信息加密、電磁泄漏發(fā)射防護、安全審計、數(shù)據(jù)庫安全等功能。

· 安全保障服務(wù)：安全保障服務(wù)確保在出現(xiàn)自然災(zāi)害、系統(tǒng)崩潰、網(wǎng)絡(luò)攻擊或硬件故障下,事后數(shù)據(jù)處理系統(tǒng)得以快速響應(yīng)和恢復(fù),并定期進行安全培訓(xùn)服務(wù),建立安全可靠的服務(wù)保障機制[2～4]。

3 體系劃分

3.1 基礎(chǔ)安全設(shè)施

事后數(shù)據(jù)處理系統(tǒng)基礎(chǔ)安全設(shè)施是以PKI/PMI/KMI技術(shù)為基礎(chǔ)而構(gòu)建的證書認證、權(quán)限管理、密鑰管理和密碼服務(wù)等基礎(chǔ)設(shè)施?；A(chǔ)安全設(shè)施提供的技術(shù)支撐適用于整個事后數(shù)據(jù)處理系統(tǒng),具有通用性?；A(chǔ)安全設(shè)施的技術(shù)運行和管理具有相對的獨立性[5]。

1) 證書認證

證書認證是對數(shù)字證書進行全過程的安全管理。由證書簽發(fā)、密鑰管理、證書管理、本地注冊、證書/證書撤銷列表查詢、遠程注冊等部分構(gòu)成。

2) 權(quán)限管理

權(quán)限管理是信息安全體系基礎(chǔ)安全設(shè)施的重要組成部分。它采用基于角色的訪問控制技術(shù),通過分級的、自上而下的權(quán)限管理職能的劃分和委派,建立統(tǒng)一的特權(quán)管理基礎(chǔ)設(shè)施,在統(tǒng)一的授權(quán)管理策略的指導(dǎo)下實現(xiàn)分布式的權(quán)限管理[6～7]。

權(quán)限管理能夠按照統(tǒng)一的策略實現(xiàn)層次化的信息資源結(jié)構(gòu)和關(guān)系的描述和管理,提供統(tǒng)一的、基于角色和用戶組的授權(quán)管理,對授權(quán)管理和訪問控制決策策略進行統(tǒng)一的描述、管理和實施。建立統(tǒng)一的權(quán)限管理,不僅能夠解決面向單獨業(yè)務(wù)系統(tǒng)或軟件平臺設(shè)計的權(quán)限管理機制帶來的權(quán)限定義和劃分不統(tǒng)一、各訪問控制點安全策略不一致、管理操作冗余、管理復(fù)雜等問題,還能夠提高授權(quán)的可管理性,降低授權(quán)管理的復(fù)雜度和管理成本,方便應(yīng)用系統(tǒng)的開發(fā),提高整個系統(tǒng)的安全性和可用性。

3) 密鑰管理

密鑰管理是指密鑰管理基礎(chǔ)設(shè)施,為基礎(chǔ)安全設(shè)施提供支持,并提供證書密鑰的生成、存儲、認證、分發(fā)、查詢、注銷、歸檔及恢復(fù)等管理服務(wù)[8]。密鑰管理與證書認證服務(wù)按照“統(tǒng)一規(guī)劃、同步建設(shè)、獨立設(shè)置、分別管理、有機結(jié)合”的原則進行建設(shè)和管理,由指定專人維護管理。密鑰管理與證書認證是分別設(shè)立,各自管理,緊密聯(lián)系,共同組成一個完整的數(shù)字證書認證系統(tǒng)。密鑰管理主要為證書認證提供用戶需要的加密用的公/私密鑰對,并為用戶提供密鑰恢復(fù)服務(wù)。

4) 密碼服務(wù)

密碼服務(wù)要構(gòu)建一個相對獨立的、可信的計算環(huán)境,進行安全密碼算法處理。根據(jù)系統(tǒng)規(guī)模,可采用集中式或分布式計算技術(shù),系統(tǒng)性能動態(tài)可擴展[9]。事后數(shù)據(jù)處理系統(tǒng)采用集中式計算技術(shù)。

3.2 安全技術(shù)支撐

安全技術(shù)支撐是利用各類安全產(chǎn)品和技術(shù)建立起安全技術(shù)支撐平臺。安全技術(shù)支撐包括物理安全、運行安全和信息安全。物理安全包括環(huán)境安全、設(shè)備安全和介質(zhì)安全;運行安全包括防病毒、入侵檢測和代碼防護等;信息安全包括訪問控制、信息加密、電磁泄漏發(fā)射防護、安全審計、數(shù)據(jù)庫安全等功能。

3.2.1 物理安全

物理安全的目標(biāo)是保護計算機信息系統(tǒng)的設(shè)備、設(shè)施、媒體和信息免遭自然災(zāi)害、環(huán)境事故、人為物理操作失誤、各種以物理手段進行的違法犯罪行為導(dǎo)致的破壞、丟失。物理安全主要包括環(huán)境安全、設(shè)備安全和介質(zhì)安全三方面。

對事后數(shù)據(jù)處理中心的各種計算機、外設(shè)設(shè)備、數(shù)據(jù)處理系統(tǒng)等物理設(shè)備的安全保護尤其重要。對攜帶進入數(shù)據(jù)處理中心的U盤、移動硬盤、可攜帶筆記本等移動介質(zhì)進行單獨安全處理。

3.2.2 運行安全

運行安全采用防火墻、入侵檢測、入侵防護、病毒防治、傳輸加密、安全虛擬專網(wǎng)等成熟技術(shù),利用物理環(huán)境保護、邊界保護、系統(tǒng)加固、節(jié)點數(shù)據(jù)保護、數(shù)據(jù)傳輸保護等手段,通過對網(wǎng)絡(luò)和系統(tǒng)安全防護的統(tǒng)一設(shè)計和統(tǒng)一配置,實現(xiàn)全系統(tǒng)高效、可靠的運行安全防護。系統(tǒng)安全域劃分為事后數(shù)據(jù)處理中心專網(wǎng)安全域、靶場專網(wǎng)安全域、外聯(lián)網(wǎng)安全域。事后數(shù)據(jù)處理中心專網(wǎng)與靶場專網(wǎng)安全域邏輯隔離,靶場專網(wǎng)與外聯(lián)網(wǎng)安全域邏輯隔離[10]。

1) 防火墻

防火墻技術(shù)以包過濾防火墻為主,對系統(tǒng)劃分的各個安全域進行邊界保護。在事后數(shù)據(jù)處理中心出入口、網(wǎng)絡(luò)節(jié)點出入口、外網(wǎng)出入口等節(jié)點安裝配置防火墻設(shè)備,保證數(shù)據(jù)傳輸安全。

2) 入侵檢測

入侵檢測對事后數(shù)據(jù)處理系統(tǒng)的關(guān)鍵安全域進行動態(tài)風(fēng)險監(jiān)控,使用成熟的入侵檢測技術(shù)對整個系統(tǒng)網(wǎng)絡(luò)的入侵進行防控。

3) 病毒防治

在各網(wǎng)絡(luò)節(jié)點保證出入站的電子郵件、數(shù)據(jù)及文件安全,保證網(wǎng)絡(luò)協(xié)議的使用安全,防止引入外部病毒。在事后數(shù)據(jù)處理系統(tǒng)的重要系統(tǒng)服務(wù)器(包括專業(yè)處理服務(wù)器、數(shù)據(jù)服務(wù)器等)配置服務(wù)器防病毒產(chǎn)品。在所有桌面系統(tǒng)配置防病毒防護產(chǎn)品,提供全面的跨平臺病毒掃描及清除保護,阻止病毒通過軟盤、光盤等進入事后數(shù)據(jù)處理系統(tǒng)網(wǎng)絡(luò),同時控制病毒從工作站向服務(wù)器或網(wǎng)絡(luò)傳播。在事后數(shù)據(jù)處理中心配置防病毒管理控制中心,通過安全管理平臺管理控制服務(wù)器、控制臺和代理程序,進行各個防病毒安全域的防病毒系統(tǒng)的管理和配置。

3.2.3 信息安全

信息安全包括訪問控制、信息加密、電磁泄漏發(fā)射防護、安全審計、數(shù)據(jù)庫安全等功能。信息安全技術(shù)是保證事后數(shù)據(jù)處理中心的原始測量數(shù)據(jù)、計算結(jié)果數(shù)據(jù)、圖像數(shù)據(jù)等各類數(shù)據(jù)的安全技術(shù),使用成熟的安全信息技術(shù)產(chǎn)品完成全面的信息安全保障。

1) 訪問控制

訪問控制主要包括防止非法的人員或計算機進入數(shù)據(jù)處理中心的系統(tǒng),允許合法用戶訪問受保護的系統(tǒng),防止合法的用戶對權(quán)限較高的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。

訪問控制根據(jù)方式可分為自主訪問控制和強制訪問控制。自主訪問控制是事后數(shù)據(jù)處理中心各級用戶自身創(chuàng)建的對象進行訪問,并授予指定的訪問權(quán)限;強制訪問控制是由系統(tǒng)或指定安全員對特定的數(shù)據(jù)、對象進行統(tǒng)一的強制性控制,即使是對象的創(chuàng)建者,也無權(quán)訪問。

2) 安全審計

事后數(shù)據(jù)處理中心運用安全審計技術(shù)對系統(tǒng)的軟件系統(tǒng)、設(shè)備使用、網(wǎng)絡(luò)資源、安全事件等進行全面的審計。可建立安全保密檢測控制中心,負責(zé)對系統(tǒng)安全的監(jiān)測、控制、處理和審計,所有的安全保密服務(wù)功能、網(wǎng)絡(luò)中的所有層次都與審計跟蹤系統(tǒng)有關(guān)。

3) 數(shù)據(jù)庫安全

數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對數(shù)據(jù)而言的,包括數(shù)據(jù)獨立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制、故障恢復(fù)等幾個方面[11]。

4 事后處理系統(tǒng)解決方案

事后數(shù)據(jù)處理系統(tǒng)主要用于完成遙測和外測的事后數(shù)據(jù)處理任務(wù),提供目標(biāo)內(nèi)外彈道參數(shù),并存儲和管理各類測量數(shù)據(jù),為各種武器試驗的故障分析和性能評定提供支撐和依據(jù)。該系統(tǒng)必須具備的主要功能如下：

· 海量的數(shù)據(jù)輸入輸出和存儲管理功能;

· 快速的各類試驗測量數(shù)據(jù)處理功能;

· 可靠的數(shù)據(jù)質(zhì)量評估和精度分析功能;

· 有效的信息安全防護功能;

· 強大的數(shù)據(jù)、圖像、曲線顯示分析以及報告自動生成功能。

基于以上需求和功能構(gòu)建事后數(shù)據(jù)處理系統(tǒng)的拓撲圖如圖2所示。

建立事后數(shù)據(jù)處理系統(tǒng)信息安全運行與管理的基礎(chǔ)平臺,構(gòu)建整個系統(tǒng)信息安全的安全支撐體系,保證事后數(shù)據(jù)處理系統(tǒng)各種業(yè)務(wù)應(yīng)用的安全運行,通過技術(shù)手段實現(xiàn)事后數(shù)據(jù)處理系統(tǒng)安全可管理、安全可控制的目標(biāo),使安全保護策略貫穿到系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)環(huán)境、系統(tǒng)環(huán)境、應(yīng)用環(huán)境、災(zāi)備環(huán)境和管理環(huán)境的各個層面。

· 實現(xiàn)事后數(shù)據(jù)處理任務(wù)信息、型號信息、處理模型、模型參數(shù)、原始數(shù)據(jù)、計算結(jié)果、圖像數(shù)據(jù)的安全保護;

· 建立起認證快捷安全、權(quán)限/密鑰管理完備、密碼服務(wù)安全的安全設(shè)施;

· 建立起功能齊全、協(xié)調(diào)高效、信息共享、監(jiān)控嚴(yán)密、安全穩(wěn)定的安全技術(shù)支撐平臺;

· 建立事后數(shù)據(jù)處理系統(tǒng)信息安全體系的技術(shù)標(biāo)準(zhǔn)、規(guī)范和規(guī)章制度。

圖2 系統(tǒng)拓撲圖

5 結(jié)語

事后數(shù)據(jù)處理系統(tǒng)信息安全體系以國家相關(guān)標(biāo)準(zhǔn)和軍用涉密要求為面,深層防御為體,動態(tài)響應(yīng)、積極防御的思想為指導(dǎo),建立既符合靶場任務(wù)需求,又適應(yīng)自身實際要求,同時具有良好的可擴展性的安全體系,為數(shù)據(jù)處理中心的建設(shè)和發(fā)展提供了良好的基礎(chǔ)平臺和持續(xù)有力的安全保障。

[1] 熊平.信息安全原理及應(yīng)用[M].北京:清華大學(xué)出版社,2012:14-16.

[2] 沈昌祥,左曉棟.信息安全[M].杭州:浙江大學(xué)出版社,2007:7-10.

[3] 唐昌龍,劉吉強.面向企業(yè)戰(zhàn)略和服務(wù)的信息安全架構(gòu)設(shè)計與應(yīng)用[J].信息安全與技術(shù),2013(2):35-41.

[4] 張大朋,蔡克,張敏,等.云計算數(shù)據(jù)安全支撐平臺架構(gòu)研究[J].計算機研究與發(fā)展,2011,48(z2):261-267.

[5] 胡光勇.基于云計算的數(shù)據(jù)安全存儲策略研究[J].計算機測量與控制,2011,19(10):2539-2541.

[6] 王建軍,黨懷義.基于WEB的分布式試飛數(shù)據(jù)處理系統(tǒng)結(jié)構(gòu)設(shè)計[J].計算機測量與控制,2010,18(6):1452-1454.

[7] 任新,楊兵.網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與應(yīng)用[J].計算機與網(wǎng)絡(luò),2011(3):140-142.

[8] 翟廣輝,張遠.一種海量數(shù)據(jù)安全存儲技術(shù)的研究[J].科技通報,2013(8):25-27.

[9] 蘇孝青,盛志華.云計算環(huán)境下的數(shù)據(jù)安全存儲技術(shù)[J].信息安全與技術(shù),2012(8):23-24.

[10] 張翼飛,蘭蕓.面向等級保護的數(shù)據(jù)安全保護系統(tǒng)研究與設(shè)計[J].信息網(wǎng)絡(luò)安全,2013(12):72-74.

[11] 劉勝利,王文冰,費金龍,等.基于可信網(wǎng)絡(luò)連接的局域網(wǎng)數(shù)據(jù)保密系統(tǒng)設(shè)計與實現(xiàn)[J].信息工程大學(xué)學(xué)報,2010(2):83-87.

Test Range System of Post-flight Data Processing Based on Information Security System

ZHANG Dong

(Unit 96, No. 92941 Troops of PLA, Huludao 125000)

Information security is becoming the problem which test range needs to face and resolve today. Adopting advanced methods, a effective and steady information security system is constructed in this paper based on network and database technology, which will provide more powerful safeguard for post-flight data processing system of test range.

data processing, information security, privilege, key

2014年5月1日,

2014年6月19日 作者簡介:張東,男,碩士,高級工程師,研究方向:數(shù)據(jù)處理。

TP309

10.3969/j.issn1672-9730.2014.11.032