涉密信息網絡安全應用系統研究

關于涉密信息網絡安全應用系統研究

　　論文關鍵詞：網絡信息安全 遠程應用接入技術 體系結構

　　論文摘要：針對網絡化務件下涉密信息應用和中的保密需求，提出了一種涉密信息網絡化集中應用模式，建立了相應的涉密信息網絡安全應用系統框架，并對其體系結構進行了詳細敘述，最后通過建立系統原型驗證了該系統框架的可行性和實用性。

　　引言

　　網絡的運用給人們帶來了極大便利，成為工作和學習不可或缺的重要工具，而與此同時也給計算機信息特別是涉密信息的管理和保密工作帶來了新的挑戰。盡管現在網絡安全的研究和實踐已經取得了長足的進步，但泄密事件仍時有發生，給國家和單位造成了嚴重損失。而產生泄密現象的一個重要的原因就是目前對計算機網絡安全的研究主要立足于計算機獨立自治的應用模式，因而無法解決該應用模式帶來的涉密信息分散自治問題，在單個用戶計算機安全知識和保密防護手段參差不齊的背景下，很容易造成涉密信息保密防范的疏漏。

　　本文針對這一問題提出了涉密信息網絡化集中應用模式。在該模式下，不同地域的用戶能通過網絡將涉密信息相關的應用都集中到受控的涉密信息專網上，使涉密信息從產生到消亡的整個生命過程都在該專網上封閉式流轉，能有效地阻斷涉密信息被非法獲得的途徑，從而確保涉密信息的安全。

　　1涉密信息的網絡化集中應用模式

　　計算機制造技術和臺式電腦操作系統的發展，導致了分散的個人計算模式的產生，使計算機成為個人自治的信息集合載體，促進了信息的便捷復制和移動應用。而網絡的出現改變了傳統的信息應用方式，信息的共享和變得更加便捷和無序，給計算機涉密信息的安全帶來了極大的困擾。

　　相對于目前分散和自治的信息網絡化運用模式給涉密信息安全帶來的巨大挑戰而言，信息的網絡化集中應用模式則可極大的緩解涉密信息應用和安全之間的矛盾。該模式最大的特點是網絡應用受控。其工作原理是將與涉密信息相關的應用(包括獨立計算模式在內的應用)通過網絡集中起來，根據用戶的涉密工作范圍將這些應用定制在各用戶專用的網絡工作平臺上。用戶使用各自的網絡工作平臺時，就可透過這些受控的應用引導用戶將涉密信息導入并使之始終流轉在專網中。該模式從涉密信息管理的源頭人手，掌控了涉密信息從產生到消亡的全生命周期，能有效地避免涉密信息的遺失和泄露，尤其適用于涉密人數較少而位置分散的高密級涉密信息的網絡化應用。

　　涉密信息的網絡化應用模式具有如下突出的優點：1)兼顧了用戶的獨立計算模式和網絡計算模式特點，使涉密信息能在受控狀態下進行合理應用和流動，工作保密兩不誤；2)能系統地建立涉及體系結構、軟件設置維護、病毒防范等方方面面的安全防護體制，也便于提供技術力量進行信息安全方面的專業防護，最大限度保障信息安全；3)系統管理便捷而有效，具有很強的系統監控能力和手段，可對涉密信息的運用進行實時監控；4)具有良好的安全隔離性能，用戶端的安全狀況不會影響系統的涉密信息；5)具有良好的可靠性與可擴展性，特別適應跨平臺網絡連結。

　　2關鍵技術

　　目前實現涉密信息的網絡化集中應用模式這一網絡工作機制最簡便的方法是遠程接入。遠程應用接入技術是指是一種在服務器上100％地安裝、、支持和執行應用程序的計算模式，由主從式多終端的體系結構發展演變而來，是支持基于網絡的獨立計算模式應用的重要手段。它采用A／S(Application／Server)網絡應用模式，將應用程序的執行和顯示分離開來，所有計算均在服務器上執行，最終通過終端仿真軟件，將應用程序表示即圖形用戶接口傳送給客戶端。

　　它還支持多用戶進程，使主計算機運行多個終端服務程序以支持多用戶同時操作使用，并以時間分片方式輪流地為各個終端用戶服務，以及時響應用戶的服務請求。

　　遠程應用接入技術在客戶機和服務器之間傳輸的只是鍵盤信息、鼠標點擊和屏幕更新信息，信息傳輸量少，網絡帶寬占用率一般為10Kbps一20Kbps，能有效防止各種信息在網絡上傳輸而導致的信息泄密，具有占用網絡帶寬小，傳輸過程安全，系統穩定性好，響應迅速及時的特點。遠程應用接入技術還具有類似B／S模式的集中控管、分布式應用的功能，使服務器端的系統資源可以無需進行任何改動就可被用戶跨平臺共享，真正實現集中運算和管理。遠程應用接入技術不足之處是對服務器的性能要求較高。

　　遠程應用接入技術常見的產品低端的有微軟的Windows200oServer終端服務，高端的有Citrix公司的MetaFrame，Tarantella公司的TarantellaEnterprise，NewMoon，在國內還有瑞友天翼、溝通科技的CTBS等產品。

　　3涉密信息網絡安全應用系統的體系結構

　　涉密信息網絡安全應用系統采用涉密信息的網絡化集中應用模式，將涉密的信息統一集中到涉密信息專網的服務器群中，提供從涉密信息瀏覽到涉密信息網絡獨立運算模式應用等服務，使跟涉密信息始終在涉密信息網絡安全應用系統平臺上流轉，確保涉密信息的安全使用。

　　3．1系統的網絡結構

　　涉密信息網絡安全應用系統由應用服務器、信息服務器數據庫服務器和網絡存儲等部分組成，其網絡結構如圖1所示。

　　應用服務器是連接內網與涉密信息專網的運用通道。信息服務器、網絡存儲、數據庫服務器與應用服務器在專網中，存放涉密信息。其中，應用服務器采用服務器運算模式，以遠程應用接入技術和Windows系統的組策略技術為支撐，專門負責基于網絡的獨立計算模式的應用交互，既是提供基于網絡的獨立計算模式應用的服務器，又是用戶使用專網涉密信息的安全運用通道。信息服務器、網絡存儲和數據庫服務器則通過這個安全信息運用通道，接受用戶對涉密信息的應用請求，分別提供相應的瀏覽、存儲和信息交互等服務，實現涉密信息的流轉。

　　由于應用服務器可為用戶提供一個無縫的集成應用，遠程用戶可以通過互聯網或企業網透明地使用應用程序。

　　登錄應用服務器，就可以像利用本地資源一樣，按所賦予的權限，訪問和運用涉密信息。用戶還可將涉密信息保存在涉密信息專用網絡存儲中，隨時需求隨時應用，即方便又無失泄密的擔憂。此外遠程應用接入軟件的一體化的產品架構設計，也使它能支持多種安全規范和產品，包括SSLV3、X．509、LDAP、防火墻、代理服務器等，可以容易地和其他的產品集成在一起，提供更多的安全保護。

　　高端的應用服務器軟件通常都提供強大的服務器集群功能，可以支持涉密信息網絡安全應用系統按需求方便地擴展成跨地域的應用服務器集群，并能無縫地動態地集成為一體，管理和監控服務器集群所提供的全部系統資源，實現應用服務器集群資源的均衡應用。

　　3．2系統的軟件結構

　　涉密信息網絡安全應用系統由兩部分組成——網絡應用系統及信息流轉系統。

　　3．2．1網絡應用系統

　　網絡應用系統為三層結構，其軟件結構如圖2所示。

　　位于底層的是操作系統及應用服務器軟件——遠程應用接人軟件。遠程應用接入軟件深入操作系統底層，與操作系統幾乎融為一體，從操作系統底層運行機制開始著手，將應用的與界面分開，為多用戶的虛擬化桌面運用及無縫應用的集成提供支持。

　　中問層的應用程序是建立在底層支撐基礎上的普通應用程序，也是遠程應用接人軟件發布成網絡應用的對象。

　　通過被發布成為網絡應用，這些原本普通的應用程序元論是基于單機版的還是多用戶版的，將無需二次開發就能通過統一的Web訪問接口被多用戶訪問和應用。

　　位于最上層的是由底層和中間層通過虛擬技術模擬出來的眾多的網絡應用系統。這些系統與應用服務器的用戶賬戶相關，是根據用戶需求的不同為用戶定制的。這樣不同的用戶就能對應不同的網絡應用系統，并擁有自己專用的工作臺。在無縫集成應用環境的體驗中，用戶可以像使用自己的微機上的資源一樣，透明地使用應用服務器提供的網絡應用服務，完成原本要在個人臺式機上完成的涉密工作。

　　3．2．2信息流轉系統

　　信息流轉系統實際基于網絡的數據庫應用系統。該系統采用B／S模式網絡應用模式，運行在受控的涉密信息專網的服務器上，僅為專網內的用戶提供服務；而遠程用戶通過網絡應用系統通道成為涉密網絡的終端用戶來使用該系統。

　　信息流轉系統根據用戶運用涉密信息的權限和等級，為用戶設置不同的數據庫信息訪問權限，以實現涉密信息的合理使用。圖3就是不同地域用戶利用Intemet或Intranet網，通過網絡應用系統使用信息流轉系統，按各自權限實現創建、審核、使用并銷毀涉密信息文件全過程的流程圖。

由于類似信息流轉系統的應用已經十分成熟和普遍，故對該系統不再贅述。

　　4網絡應用系統的開發

　　網絡應用系統軟件是整個涉密信息網絡安全應用系統的重要組成部分，而其開發流程也不同于其他軟件的開發。該系統整個系統構建過程始終圍繞著確保涉密信息的安全這個中心點，從系統軟件體系、組策略應用、文件權限控制、用戶賬戶和系統應用等方面人手來，把獨立運算和網絡B／S應用優勢結合起來，構造具有集中管控功能的網絡應用系統。具體流程如下所示。

　　1)網絡應用系統的需求分析。首先確認應用于該安全應用系統的涉密信息的范圍，了解圍繞這些涉密信息所需的應用。確定了涉密信息的范圍，就可以根據涉密信息的具體情況和運用權限建立起涉密信息的網絡應用管理規則，也即是涉密信息保密運用規定的化抽象。而圍繞涉密信息所需的應用則是構建該應用系統的網絡應用的依據。

　　2)網絡應用系統的網絡應用的建立。首先需要在應用服務器上安裝操作系統，并建立文件管理服務。對于Windows服務器系列平臺上，必須運用NTFS文件系統，使文件的使用權限與用戶具有相關性。

　　完成操作系統安裝后就可以安裝應用服務器軟件——遠程應用接入軟件。應用服務器軟件安裝完畢后，就可輕松地利用應用服務器軟件強大的軟件發布功能將獨立計算模式應用發布成網絡應用了，統一以Web方式提供給網絡用戶。網絡應用系統的網絡應用建立方式簡捷方便，具有很強的擴展性和靈活性。

　　3)涉密信息的網絡應用規則的實現。建立涉密信息網絡應用管理規則后，就可以將應用服務器與操作系統的特性相聯系，利用組策略工具來進行文件權限管理、系統資源調度、訪問控制策略等的設計。

　　首先是對用戶的應用需求進行分類。應用需求類別的劃分依據包括用戶或用戶組的涉密工作范圍、網絡應用需求、文件管理權限需求、用戶訪問管理需求、資源應用需求等，然后以此為核心進行下一步工作。

　　其次是根據用戶應用需求類別的差異性，設計系統資源組合，分配系統發布的網絡應用和系統資源，建立相應類型的網絡應用系統。整個網絡應用系統的定制過程十分便捷，支持系統資源組合地動態變更，能快速及時響應用戶的需求變化。

 　 然后是根據用戶應用需求類別建立用戶角色，確立角色對應的網絡應用和資源需求類型，先建立起角色與網絡應用、資源系統的對應關系。接著再給用戶或用戶組分配角色，由此用戶或用戶組通過角色建立起與網絡應用系統的映射。

 　 最后是設計用戶或用戶組的訪問控制策略。通過不同的訪問策略，使各個用戶擁有各自不同的訪問權限，登錄應用服務器后即能進入自己個性化的工作臺，能更好地適應用戶的工作習慣和應用需求，保障涉密信息網絡安全應用系統應用的便捷和安全。

 　 4)全方位的系統設計。建立全方位的系統審計可以及早知道系統存在的安全隱患，及時采取措施，防患于未然。啟用“組策略”中“審核策略”，指定要審核的事件類型。一旦通過組策略分別對相關事件啟用審核功能后，服務器日后將會把相關事件的審核記錄全部保存到系統的“事件查看器”中，以后只要及時打開日志內容，并對其中記錄進行認真分析，可以達到捕捉攻擊記錄，確保服務器安全的目的了。

  　通過上述流程的描述可以看到，網絡應用系統拋開繁瑣的技術問題和開發過程，將更多的精力集中在涉密信息網絡應用的安全上，努力建立全面系統的安全防護體系。這使得涉密信息網絡安全應用系統既能滿足涉密信息獨立計算應用模式的工作需求，又能充分利用網絡便捷靈活，有效提高工作效率，同時還確保了涉密信息始終處于可控方式下，最大限度地保障了信息應用安全。

 　 5涉密信息網絡安全應用系統的原型

  　為解決本單位涉密信息的安全使用問題，結合單位實際情況建立了一個涉密信息網絡安全應用系統原型，實現了涉密信息的封閉式運作。

 　 該系統原型是在原有單位局域網基礎上增加了由應用服務器、涉密信息服務器兩臺服務器組成的涉密信息專網。通過雙網卡，應用服務器跨接在專網和單位的局域網之上，成為兩個網絡連接的紐帶。應用服務器采用Windows2000操作系統，應用服務軟件為MetaFrameXP，安裝了Word、Excel、F0tReader、IE瀏覽器等應用程序并發布為網絡應用。信息服務器上則安裝SQLServer2000服務器，IIS信息服務器及其發布的基于SQLSevrer數據庫的涉密信息流轉系統。結合單位涉密信息使用情況和運用權限，建立了涉密信息網絡應用規則，并綜合使用了設置操作系統安全策略、應用服務軟件網絡應用映射、系統組策略應用、文件權限控制、用戶賬戶和系統應用審計等手段，建立起了涉密系統專網完整的安全防護體系。

  　原型建立后，局域網用戶只需要安裝一個插件就可訪問并使用涉密信息專網提供的網絡應用服務。在用戶利用自己的終端實現對涉密信息的建立、修改、審核、分發、運用和銷毀等工作的同時，卻無法拷貝、復制和導出這些涉密信息，防止了涉密信息的流失和不恰當的利用。與此同時，用戶使用涉密信息的情況被完整記錄在應用服務器上，甚至還能被應用服務器管理人員即時監控，進一步加強了涉密信息網絡的運用安全性。

　　經過初步應用實踐，涉密信息網絡安全應用系統原型有效地規范了單位涉密信息的應用和管理，保密工作取得了很好的成效。

　　6結語

　　涉密信息網絡安全應用系統采用信息的網絡化集中應用模式，為用戶提供了按需定置、個性化的安全的涉密信息網絡工作平臺，既能充分發揮網絡開放應用的優勢，又能從源頭有效地保障涉密信息的安全，具有很好的應用前景。

【涉密信息網絡安全應用系統研究】相關文章：

制造產品智能集成報價系統研究08-26

基于web的異地并行設計與制造系統研究06-02

人臉信息技術應用新熱點淺析08-22

計算機應用技術在信息管理中的應用研究論文（精選6篇）09-20

應用物流信息技術提升網購的方式建設論文05-13

農業中的電子信息技術應用論文（精選6篇）05-29

本質安全型集中式控制安全操作系統研究08-22

計算機信息系統集成項目管理的應用論文04-22

網絡信息安全技術管理下計算機應用論文04-26

復合勵磁永磁同步發電機勵磁調節系統研究05-11