張建權(quán) 李杰
【摘要】? ? 當(dāng)前互聯(lián)網(wǎng)逐步實(shí)現(xiàn)了在各行各業(yè)中的滲透與融合,網(wǎng)絡(luò)信息資源得到了有效的開(kāi)發(fā)和利用,但是與此同時(shí)經(jīng)由互聯(lián)網(wǎng)泄露的信息比例也大幅上升,其中不乏涉及到一些有關(guān)的國(guó)家安全信息和個(gè)人安全信息。本文就主要從安全域的劃分與保護(hù)角度入手,探討應(yīng)用層網(wǎng)絡(luò)安全體系設(shè)計(jì)與保密方案,旨在為網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)和發(fā)展提供一定的參考和借鑒。
【關(guān)鍵詞】? ? 安全域? ? 網(wǎng)絡(luò)安全體系? ? 設(shè)計(jì)研究
網(wǎng)絡(luò)安全體系主要有外部安全體系和內(nèi)部安全體系兩部分組成,當(dāng)前在進(jìn)行網(wǎng)絡(luò)安全體系架構(gòu)的過(guò)程中,更加強(qiáng)調(diào)對(duì)網(wǎng)絡(luò)外部安全體系的建設(shè),通過(guò)安裝防火墻、防病毒網(wǎng)關(guān)等的方法來(lái)增強(qiáng)網(wǎng)絡(luò)邊界的安全防護(hù),這在一定程度上降低了來(lái)自網(wǎng)絡(luò)外部的攻擊風(fēng)險(xiǎn)。[1]但是伴隨著網(wǎng)絡(luò)攻擊技術(shù)的升級(jí),暴露出許多網(wǎng)絡(luò)內(nèi)部安全體系方面存在的不足,針對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的內(nèi)部攻擊沒(méi)有有效的技術(shù)防范和治理,這就進(jìn)一步增加了從內(nèi)部導(dǎo)致的核心機(jī)密丟失及信息泄露的可能性。為更好的解決這一問(wèn)題,就必須要基于安全域的劃分與保護(hù),進(jìn)一步健全和完善網(wǎng)絡(luò)安全體系。
一、基于安全域的網(wǎng)絡(luò)信息安全體系設(shè)計(jì)思路
1.1整體思路——“三線一中心”
基于安全域的網(wǎng)絡(luò)信息安全體系設(shè)計(jì),要遵循“三線一中心”的整體設(shè)計(jì)思路?!叭€”主要就是指網(wǎng)絡(luò)邊界防線、計(jì)算機(jī)系統(tǒng)安全防線、應(yīng)用系統(tǒng)安全防線這三道防線,而“一個(gè)中心”則主要指網(wǎng)絡(luò)安全管理中心。[2]在我們的通信網(wǎng)絡(luò)之中,網(wǎng)絡(luò)邊界防線和計(jì)算機(jī)系統(tǒng)安全防線這兩道防線能夠針對(duì)絕大多數(shù)的外部攻擊進(jìn)行阻攔和遏制,從而有效的提升網(wǎng)絡(luò)安全防護(hù)能力和水平。
1.2網(wǎng)絡(luò)信息安全保密組織體系
有關(guān)網(wǎng)絡(luò)信息安全保密涉及到主體和客體兩個(gè)方面,保密的主體就是指涉密人員,也包括能夠代表涉密人員身份所執(zhí)行加密操作的機(jī)構(gòu)或者是其他實(shí)體,而保密的客體就是指各種加密的文檔、信息數(shù)據(jù)以及計(jì)算機(jī)等移動(dòng)載體設(shè)備。由于基于安全域的網(wǎng)絡(luò)安全體系設(shè)計(jì)主要就是針對(duì)應(yīng)用層的安全防護(hù),因此就必須要從主體和客體兩個(gè)方面入手,既要保證操作主體的安全和可靠,同時(shí)又要對(duì)客體進(jìn)行科學(xué)定密,利用不同的安全域進(jìn)行業(yè)務(wù)類別以及涉密等級(jí)的劃分,并且進(jìn)行強(qiáng)制性的訪問(wèn)控制和安全審計(jì),從而構(gòu)建基于安全域技術(shù)的網(wǎng)絡(luò)信息保密與安全控制系統(tǒng)。[3]在此基礎(chǔ)上,增強(qiáng)主體對(duì)客體訪問(wèn)時(shí)的安全防護(hù)水平,從而真正地發(fā)揮“三線一中心”網(wǎng)絡(luò)安全體系的作用,有效的阻隔來(lái)自內(nèi)部和外部的攻擊。
二、基于安全域的網(wǎng)絡(luò)安全體系建設(shè)方案及技術(shù)措施
2.1強(qiáng)化應(yīng)用級(jí)安全域防護(hù)與控制設(shè)計(jì)
首先是應(yīng)用級(jí)安全域的設(shè)計(jì)我按照不同的業(yè)務(wù)范疇和管理主體來(lái)進(jìn)行劃分,確保各安全域的獨(dú)立性,使彼此之間在沒(méi)有獲得授權(quán)的情況下,無(wú)法進(jìn)行信息和數(shù)據(jù)的交換[4]。其次則是取消即時(shí)通信系統(tǒng),也就是點(diǎn)到點(diǎn)的傳輸應(yīng)用,這樣能夠?yàn)閷?shí)現(xiàn)針對(duì)安全域的訪問(wèn)控制和安全審計(jì)提供可能。同時(shí)為了保證內(nèi)部通信的高效和便捷,可以將即時(shí)通信并入到辦公自動(dòng)化系統(tǒng)之中,同時(shí)配合用戶行為審計(jì)系統(tǒng),來(lái)對(duì)相關(guān)的操作主體進(jìn)行信用評(píng)級(jí),實(shí)現(xiàn)對(duì)通信消息的記錄和審核,從而增強(qiáng)應(yīng)用級(jí)安全域的網(wǎng)絡(luò)安全防護(hù)效果。再次就是針對(duì)每一個(gè)應(yīng)用級(jí)的安全域內(nèi)的涉密客體,也就是一些加密的信息以及文件等,設(shè)置安全標(biāo)記,這樣能夠?qū)Ω鞣N訪問(wèn)和流經(jīng)的信息加以強(qiáng)制控制,按照相應(yīng)的定密規(guī)則對(duì)信息進(jìn)行過(guò)濾和審計(jì),排除有可能潛在的安全隱患和危險(xiǎn)。[5]最后,針對(duì)應(yīng)用級(jí)安全域的網(wǎng)絡(luò)安全設(shè)計(jì),其保護(hù)的核心就是數(shù)據(jù)庫(kù)系統(tǒng),為提升安全防護(hù)等級(jí),可以將劃分的不同安全域的業(yè)務(wù)數(shù)據(jù)進(jìn)行分類存放,建立子數(shù)據(jù)庫(kù),并且子數(shù)據(jù)庫(kù)之間的數(shù)據(jù)交換必須要使用專門的鏈接工具,同時(shí)為進(jìn)一步保證跨安全域數(shù)據(jù)傳輸?shù)陌踩院捅C苄?,同樣可以設(shè)置專門的加密機(jī)確保安全域之間的獨(dú)立性。
2.2做好安全域間涉密電子文檔交換的保密工作
首先對(duì)涉密電子文檔按照其業(yè)務(wù)種類和密級(jí)進(jìn)行邏輯分類,劃分為不同的邏輯安全域,為控制這些電子文檔在不同安全域間的交換和流動(dòng),要在不同安全域的邊界設(shè)置安全域網(wǎng)關(guān),由安全域網(wǎng)關(guān)來(lái)負(fù)責(zé)對(duì)流經(jīng)的電子文檔以及郵件等進(jìn)行篩查和過(guò)濾,主要檢測(cè)的內(nèi)容包括電子文檔的密級(jí)、流向等是否與操作主體的權(quán)限相匹配,是否符合分級(jí)保護(hù)的原則,如果通過(guò)檢查則獲取查看權(quán)限,沒(méi)有通過(guò)則顯示相關(guān)文檔傳輸失敗。其次,為了更好的讓安全域網(wǎng)關(guān)來(lái)進(jìn)行安全識(shí)別和檢查,要求在整個(gè)的電子文檔安全域控制系統(tǒng)內(nèi)統(tǒng)一密級(jí)標(biāo)識(shí)以及安全標(biāo)記,并且配合電子文檔生成相關(guān)的配置文件,其中記錄有關(guān)的涉密信息、審批人信息、簽名文件等,方便進(jìn)行統(tǒng)一的篩查。最后,在劃分電子文檔安全域并配置安全域網(wǎng)關(guān)的同時(shí),還要設(shè)置好強(qiáng)制訪問(wèn)[6]控制的規(guī)則,要求每個(gè)安全域的過(guò)濾端口必須開(kāi)放,并且要在不同的安全域中設(shè)定本級(jí)安全域定密審批人的相關(guān)信息,包括私鑰簽名以及公鑰證書(shū)等等,這樣能夠極大的提升涉密電子文檔安全域控制系統(tǒng)的工作效率。
2.3創(chuàng)建基于安全域間網(wǎng)絡(luò)應(yīng)用的安全體系
基于應(yīng)用級(jí)安全域的網(wǎng)絡(luò)安全體系設(shè)計(jì),除了針對(duì)涉密電子文檔的訪問(wèn)控制之外,還應(yīng)當(dāng)應(yīng)對(duì)更加復(fù)雜的應(yīng)用系統(tǒng)。上文中所提到的涉密電子文檔安全域控制系統(tǒng)更多的適用于電子郵件系統(tǒng),但是對(duì)于更為復(fù)雜的辦公自動(dòng)化系統(tǒng)、信息化財(cái)務(wù)管理系統(tǒng)等卻不能很好的適用。[7]為解決這一問(wèn)題,滿足高性能和復(fù)雜的網(wǎng)絡(luò)應(yīng)用體系之間信息高效傳輸和資源共享的要求,可以采用先進(jìn)的SSL VPN技術(shù),對(duì)網(wǎng)絡(luò)應(yīng)用中的瀏覽器以及服務(wù)器進(jìn)行安全防護(hù)和保密設(shè)置,這樣既增強(qiáng)了對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)交換的訪問(wèn)控制和安全審計(jì),同時(shí)又能夠方便用戶進(jìn)行相關(guān)信息數(shù)據(jù)的快速傳輸和有關(guān)網(wǎng)絡(luò)資源的共享。
這一設(shè)計(jì)方案的具體思路和技術(shù)措施如下:首先就是要在原有的涉密電子文檔安全域控制系統(tǒng)的基礎(chǔ)上再添加一個(gè)專門的服務(wù)器安全域,將辦公過(guò)程中各種基于網(wǎng)絡(luò)的應(yīng)用服務(wù)器都?xì)w納到這個(gè)服務(wù)器安全域之中,在服務(wù)器安全域的邊界設(shè)置SSL VPN網(wǎng)關(guān),通過(guò)提供相應(yīng)的認(rèn)證服務(wù),對(duì)用戶也就是操作主體進(jìn)行統(tǒng)一的身份認(rèn)證和授權(quán),同時(shí)按照強(qiáng)制訪問(wèn)控制的規(guī)則通過(guò)網(wǎng)絡(luò)瀏覽器與網(wǎng)關(guān)建立SSL會(huì)話,這樣用戶可以使用的資源就會(huì)在網(wǎng)絡(luò)服務(wù)器的頁(yè)面上羅列出來(lái),這樣可以對(duì)從服務(wù)器返回給客戶端的數(shù)據(jù)進(jìn)行一個(gè)過(guò)濾和安全審計(jì)。為了進(jìn)一步增強(qiáng)服務(wù)器安全域的防護(hù)性能,還可以在SSL VPN的網(wǎng)關(guān)外端設(shè)置防火墻,從而實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)安全域的防護(hù)。[8]其次,用戶在使用相關(guān)應(yīng)用系統(tǒng)的過(guò)程中,就要首先獲得服務(wù)器安全域認(rèn)證以及身份檢驗(yàn),服務(wù)器安全域通過(guò)審核之后才能夠建立相應(yīng)的安全通信通道,從而由服務(wù)器安全域轉(zhuǎn)發(fā)用戶的各項(xiàng)請(qǐng)求或者是指令到各應(yīng)用級(jí)安全域中進(jìn)行操作執(zhí)行。這種設(shè)計(jì)方法可以簡(jiǎn)單的理解為為整個(gè)應(yīng)用級(jí)安全域網(wǎng)絡(luò)安全體系安裝了一個(gè)大腦,從而更好的對(duì)其進(jìn)行訪問(wèn)控制和安全審計(jì)。最后,服務(wù)器安全域的網(wǎng)關(guān)在進(jìn)行信息過(guò)濾和審計(jì)的過(guò)程中,要完全的按照強(qiáng)制訪問(wèn)控制規(guī)則對(duì)接收端所屬安全域的密級(jí)進(jìn)行匹配,匹配成功則轉(zhuǎn)發(fā)出相應(yīng)的請(qǐng)求和指令,實(shí)現(xiàn)快速應(yīng)答,否則則拒絕轉(zhuǎn)發(fā)請(qǐng)求??绨踩蛭募鬏?shù)目刂埔?guī)則如表1所示。
2.4提升基于安全域的入網(wǎng)安全控制水平
伴隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的升級(jí),相關(guān)應(yīng)用系統(tǒng)的用戶在接入安全域的過(guò)程中往往不受到時(shí)間和空間的限制,用戶可以從不同的地點(diǎn),用不同的網(wǎng)絡(luò)終端設(shè)備接入到所屬應(yīng)用系統(tǒng)的安全域之中。在這樣的背景下,傳統(tǒng)的靜態(tài)安全域接入技術(shù)已經(jīng)不能適應(yīng)網(wǎng)絡(luò)安全防護(hù)的要求,要采取動(dòng)態(tài)安全域技術(shù)來(lái)實(shí)現(xiàn)對(duì)入網(wǎng)身份的認(rèn)證和訪問(wèn)控制。動(dòng)態(tài)安全域技術(shù)主要就是利用交換機(jī)來(lái)根據(jù)某個(gè)條件將用戶自動(dòng)的劃分劃分到某個(gè)安全域之中,劃分的條件一般就是對(duì)用戶進(jìn)行身份認(rèn)證,根據(jù)身份認(rèn)證信息來(lái)自動(dòng)的進(jìn)行安全域的劃分。動(dòng)態(tài)安全域技術(shù)應(yīng)用的缺點(diǎn)就是需要配置核心交換機(jī)和眾多的邊緣交換機(jī),但優(yōu)點(diǎn)就是能夠?qū)崿F(xiàn)動(dòng)態(tài)的訪問(wèn)控制和安全審計(jì)。采取動(dòng)態(tài)安全域技術(shù)實(shí)現(xiàn)入網(wǎng)安全控制,并不需要對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的布局進(jìn)行大的調(diào)整,只需要核心交換機(jī)以及邊緣交換機(jī)能夠支持基于端口的訪問(wèn)控制協(xié)議,同時(shí)提供身份認(rèn)證客戶端和服務(wù)器即可,如果用戶沒(méi)有通過(guò)身份認(rèn)證,則相應(yīng)的受控端口就會(huì)顯示處于未認(rèn)證的狀態(tài),那么用戶就無(wú)法訪問(wèn)安全域內(nèi)的應(yīng)用系統(tǒng),在一定程度上保證了接入級(jí)的網(wǎng)絡(luò)安全。要更好的實(shí)現(xiàn)基于端口訪問(wèn)控制協(xié)議的認(rèn)證,一般要求用戶要在工作電腦或者是移動(dòng)筆記本上來(lái)下載端口訪問(wèn)控制協(xié)議客戶端軟件,當(dāng)用戶有接入需求時(shí),不需要通過(guò)網(wǎng)絡(luò)連接來(lái)激活客戶端程序,輸入相應(yīng)的身份認(rèn)證信息,并發(fā)出接入請(qǐng)求。
相關(guān)的認(rèn)證設(shè)備在接收到用戶的請(qǐng)求之后,要將相關(guān)的用戶信息傳輸給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器用來(lái)對(duì)信息進(jìn)行檢驗(yàn)和審計(jì),認(rèn)證通過(guò)之后要向認(rèn)證設(shè)備發(fā)出指令,認(rèn)證設(shè)備接收到指令之后會(huì)打開(kāi)相應(yīng)的服務(wù)端口,從而進(jìn)一步強(qiáng)化對(duì)用戶的訪問(wèn)控制。
三、結(jié)語(yǔ)
基于安全域的網(wǎng)絡(luò)安全體系設(shè)計(jì),要實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)安全域、應(yīng)用系統(tǒng)安全域以及接入級(jí)安全域的全方位設(shè)計(jì),健全和完善網(wǎng)絡(luò)安全防護(hù)體系,增強(qiáng)安全域訪問(wèn)控制水平,保障信息安全。
參? 考? 文? 獻(xiàn)
[1]胡國(guó)良,肖剛,張超.新形勢(shì)網(wǎng)絡(luò)安全管理存在的問(wèn)題及應(yīng)對(duì)建議淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2020(08):7-8.
[2]尚可龍,古強(qiáng).零信任安全體系設(shè)計(jì)與研究[J].保密科學(xué)技術(shù),2020(05):54-59.
[3]夏晨.探究聯(lián)動(dòng)式網(wǎng)絡(luò)安全系統(tǒng)的防御體系設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(02):13-15.
[4]賈美玉.企業(yè)信息網(wǎng)絡(luò)安全體系的設(shè)計(jì)與實(shí)現(xiàn)[J].電子技術(shù)與軟件工程,2020(01):255-258.
[5]樊金健,謝一飛.基于安全域劃分的網(wǎng)絡(luò)安全體系設(shè)計(jì)——保障煙草工業(yè)企業(yè)安全生產(chǎn)[J].工業(yè)技術(shù)創(chuàng)新,2019,06(02):59-65.
[6]靳起朝,任超.基于零信任架構(gòu)的邊緣計(jì)算接入安全體系研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018(12):26-27.
[7]王艷偉,鄔江,羅赟騫,史春見(jiàn).一種基于開(kāi)放聚合框架的網(wǎng)絡(luò)流量安全監(jiān)測(cè)體系設(shè)計(jì)[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018,37(09):22-26.
[8]黃道麗.網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)[J].暨南學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2018,40(01):94-106.