- 相關(guān)推薦
關(guān)于涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)研究
論文關(guān)鍵詞:網(wǎng)絡(luò)信息安全 遠程應(yīng)用接入技術(shù) 體系結(jié)構(gòu)
論文摘要:針對網(wǎng)絡(luò)化務(wù)件下涉密信息應(yīng)用和中的保密需求,提出了一種涉密信息網(wǎng)絡(luò)化集中應(yīng)用模式,建立了相應(yīng)的涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)框架,并對其體系結(jié)構(gòu)進行了詳細(xì)敘述,最后通過建立系統(tǒng)原型驗證了該系統(tǒng)框架的可行性和實用性。
引言
網(wǎng)絡(luò)的運用給人們帶來了極大便利,成為工作和學(xué)習(xí)不可或缺的重要工具,而與此同時也給計算機信息特別是涉密信息的管理和保密工作帶來了新的挑戰(zhàn)。盡管現(xiàn)在網(wǎng)絡(luò)安全的研究和實踐已經(jīng)取得了長足的進步,但泄密事件仍時有發(fā)生,給國家和單位造成了嚴(yán)重?fù)p失。而產(chǎn)生泄密現(xiàn)象的一個重要的原因就是目前對計算機網(wǎng)絡(luò)安全的研究主要立足于計算機獨立自治的應(yīng)用模式,因而無法解決該應(yīng)用模式帶來的涉密信息分散自治問題,在單個用戶計算機安全知識和保密防護手段參差不齊的背景下,很容易造成涉密信息保密防范的疏漏。
本文針對這一問題提出了涉密信息網(wǎng)絡(luò)化集中應(yīng)用模式。在該模式下,不同地域的用戶能通過網(wǎng)絡(luò)將涉密信息相關(guān)的應(yīng)用都集中到受控的涉密信息專網(wǎng)上,使涉密信息從產(chǎn)生到消亡的整個生命過程都在該專網(wǎng)上封閉式流轉(zhuǎn),能有效地阻斷涉密信息被非法獲得的途徑,從而確保涉密信息的安全。
1涉密信息的網(wǎng)絡(luò)化集中應(yīng)用模式
計算機制造技術(shù)和臺式電腦操作系統(tǒng)的發(fā)展,導(dǎo)致了分散的個人計算模式的產(chǎn)生,使計算機成為個人自治的信息集合載體,促進了信息的便捷復(fù)制和移動應(yīng)用。而網(wǎng)絡(luò)的出現(xiàn)改變了傳統(tǒng)的信息應(yīng)用方式,信息的共享和變得更加便捷和無序,給計算機涉密信息的安全帶來了極大的困擾。
相對于目前分散和自治的信息網(wǎng)絡(luò)化運用模式給涉密信息安全帶來的巨大挑戰(zhàn)而言,信息的網(wǎng)絡(luò)化集中應(yīng)用模式則可極大的緩解涉密信息應(yīng)用和安全之間的矛盾。該模式最大的特點是網(wǎng)絡(luò)應(yīng)用受控。其工作原理是將與涉密信息相關(guān)的應(yīng)用(包括獨立計算模式在內(nèi)的應(yīng)用)通過網(wǎng)絡(luò)集中起來,根據(jù)用戶的涉密工作范圍將這些應(yīng)用定制在各用戶專用的網(wǎng)絡(luò)工作平臺上。用戶使用各自的網(wǎng)絡(luò)工作平臺時,就可透過這些受控的應(yīng)用引導(dǎo)用戶將涉密信息導(dǎo)入并使之始終流轉(zhuǎn)在專網(wǎng)中。該模式從涉密信息管理的源頭人手,掌控了涉密信息從產(chǎn)生到消亡的全生命周期,能有效地避免涉密信息的遺失和泄露,尤其適用于涉密人數(shù)較少而位置分散的高密級涉密信息的網(wǎng)絡(luò)化應(yīng)用。
涉密信息的網(wǎng)絡(luò)化應(yīng)用模式具有如下突出的優(yōu)點:1)兼顧了用戶的獨立計算模式和網(wǎng)絡(luò)計算模式特點,使涉密信息能在受控狀態(tài)下進行合理應(yīng)用和流動,工作保密兩不誤;2)能系統(tǒng)地建立涉及體系結(jié)構(gòu)、軟件設(shè)置維護、病毒防范等方方面面的安全防護體制,也便于提供技術(shù)力量進行信息安全方面的專業(yè)防護,最大限度保障信息安全;3)系統(tǒng)管理便捷而有效,具有很強的系統(tǒng)監(jiān)控能力和手段,可對涉密信息的運用進行實時監(jiān)控;4)具有良好的安全隔離性能,用戶端的安全狀況不會影響系統(tǒng)的涉密信息;5)具有良好的可靠性與可擴展性,特別適應(yīng)跨平臺網(wǎng)絡(luò)連結(jié)。
2關(guān)鍵技術(shù)
目前實現(xiàn)涉密信息的網(wǎng)絡(luò)化集中應(yīng)用模式這一網(wǎng)絡(luò)工作機制最簡便的方法是遠程接入。遠程應(yīng)用接入技術(shù)是指是一種在服務(wù)器上100%地安裝、、支持和執(zhí)行應(yīng)用程序的計算模式,由主從式多終端的體系結(jié)構(gòu)發(fā)展演變而來,是支持基于網(wǎng)絡(luò)的獨立計算模式應(yīng)用的重要手段。它采用A/S(Application/Server)網(wǎng)絡(luò)應(yīng)用模式,將應(yīng)用程序的執(zhí)行和顯示分離開來,所有計算均在服務(wù)器上執(zhí)行,最終通過終端仿真軟件,將應(yīng)用程序表示即圖形用戶接口傳送給客戶端。
它還支持多用戶進程,使主計算機運行多個終端服務(wù)程序以支持多用戶同時操作使用,并以時間分片方式輪流地為各個終端用戶服務(wù),以及時響應(yīng)用戶的服務(wù)請求。
遠程應(yīng)用接入技術(shù)在客戶機和服務(wù)器之間傳輸?shù)闹皇擎I盤信息、鼠標(biāo)點擊和屏幕更新信息,信息傳輸量少,網(wǎng)絡(luò)帶寬占用率一般為10Kbps一20Kbps,能有效防止各種信息在網(wǎng)絡(luò)上傳輸而導(dǎo)致的信息泄密,具有占用網(wǎng)絡(luò)帶寬小,傳輸過程安全,系統(tǒng)穩(wěn)定性好,響應(yīng)迅速及時的特點。遠程應(yīng)用接入技術(shù)還具有類似B/S模式的集中控管、分布式應(yīng)用的功能,使服務(wù)器端的系統(tǒng)資源可以無需進行任何改動就可被用戶跨平臺共享,真正實現(xiàn)集中運算和管理。遠程應(yīng)用接入技術(shù)不足之處是對服務(wù)器的性能要求較高。
遠程應(yīng)用接入技術(shù)常見的產(chǎn)品低端的有微軟的Windows200oServer終端服務(wù),高端的有Citrix公司的MetaFrame,Tarantella公司的TarantellaEnterprise,NewMoon,在國內(nèi)還有瑞友天翼、溝通科技的CTBS等產(chǎn)品。
3涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)的體系結(jié)構(gòu)
涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)采用涉密信息的網(wǎng)絡(luò)化集中應(yīng)用模式,將涉密的信息統(tǒng)一集中到涉密信息專網(wǎng)的服務(wù)器群中,提供從涉密信息瀏覽到涉密信息網(wǎng)絡(luò)獨立運算模式應(yīng)用等服務(wù),使跟涉密信息始終在涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)平臺上流轉(zhuǎn),確保涉密信息的安全使用。
3.1系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)
涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)由應(yīng)用服務(wù)器、信息服務(wù)器數(shù)據(jù)庫服務(wù)器和網(wǎng)絡(luò)存儲等部分組成,其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。
應(yīng)用服務(wù)器是連接內(nèi)網(wǎng)與涉密信息專網(wǎng)的運用通道。信息服務(wù)器、網(wǎng)絡(luò)存儲、數(shù)據(jù)庫服務(wù)器與應(yīng)用服務(wù)器在專網(wǎng)中,存放涉密信息。其中,應(yīng)用服務(wù)器采用服務(wù)器運算模式,以遠程應(yīng)用接入技術(shù)和Windows系統(tǒng)的組策略技術(shù)為支撐,專門負(fù)責(zé)基于網(wǎng)絡(luò)的獨立計算模式的應(yīng)用交互,既是提供基于網(wǎng)絡(luò)的獨立計算模式應(yīng)用的服務(wù)器,又是用戶使用專網(wǎng)涉密信息的安全運用通道。信息服務(wù)器、網(wǎng)絡(luò)存儲和數(shù)據(jù)庫服務(wù)器則通過這個安全信息運用通道,接受用戶對涉密信息的應(yīng)用請求,分別提供相應(yīng)的瀏覽、存儲和信息交互等服務(wù),實現(xiàn)涉密信息的流轉(zhuǎn)。
由于應(yīng)用服務(wù)器可為用戶提供一個無縫的集成應(yīng)用,遠程用戶可以通過互聯(lián)網(wǎng)或企業(yè)網(wǎng)透明地使用應(yīng)用程序。
登錄應(yīng)用服務(wù)器,就可以像利用本地資源一樣,按所賦予的權(quán)限,訪問和運用涉密信息。用戶還可將涉密信息保存在涉密信息專用網(wǎng)絡(luò)存儲中,隨時需求隨時應(yīng)用,即方便又無失泄密的擔(dān)憂。此外遠程應(yīng)用接入軟件的一體化的產(chǎn)品架構(gòu)設(shè)計,也使它能支持多種安全規(guī)范和產(chǎn)品,包括SSLV3、X.509、LDAP、防火墻、代理服務(wù)器等,可以容易地和其他的產(chǎn)品集成在一起,提供更多的安全保護。
高端的應(yīng)用服務(wù)器軟件通常都提供強大的服務(wù)器集群功能,可以支持涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)按需求方便地擴展成跨地域的應(yīng)用服務(wù)器集群,并能無縫地動態(tài)地集成為一體,管理和監(jiān)控服務(wù)器集群所提供的全部系統(tǒng)資源,實現(xiàn)應(yīng)用服務(wù)器集群資源的均衡應(yīng)用。
3.2系統(tǒng)的軟件結(jié)構(gòu)
涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)由兩部分組成——網(wǎng)絡(luò)應(yīng)用系統(tǒng)及信息流轉(zhuǎn)系統(tǒng)。
3.2.1網(wǎng)絡(luò)應(yīng)用系統(tǒng)
網(wǎng)絡(luò)應(yīng)用系統(tǒng)為三層結(jié)構(gòu),其軟件結(jié)構(gòu)如圖2所示。
位于底層的是操作系統(tǒng)及應(yīng)用服務(wù)器軟件——遠程應(yīng)用接人軟件。遠程應(yīng)用接入軟件深入操作系統(tǒng)底層,與操作系統(tǒng)幾乎融為一體,從操作系統(tǒng)底層運行機制開始著手,將應(yīng)用的與界面分開,為多用戶的虛擬化桌面運用及無縫應(yīng)用的集成提供支持。
中問層的應(yīng)用程序是建立在底層支撐基礎(chǔ)上的普通應(yīng)用程序,也是遠程應(yīng)用接人軟件發(fā)布成網(wǎng)絡(luò)應(yīng)用的對象。
通過被發(fā)布成為網(wǎng)絡(luò)應(yīng)用,這些原本普通的應(yīng)用程序元論是基于單機版的還是多用戶版的,將無需二次開發(fā)就能通過統(tǒng)一的Web訪問接口被多用戶訪問和應(yīng)用。
位于最上層的是由底層和中間層通過虛擬技術(shù)模擬出來的眾多的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。這些系統(tǒng)與應(yīng)用服務(wù)器的用戶賬戶相關(guān),是根據(jù)用戶需求的不同為用戶定制的。這樣不同的用戶就能對應(yīng)不同的網(wǎng)絡(luò)應(yīng)用系統(tǒng),并擁有自己專用的工作臺。在無縫集成應(yīng)用環(huán)境的體驗中,用戶可以像使用自己的微機上的資源一樣,透明地使用應(yīng)用服務(wù)器提供的網(wǎng)絡(luò)應(yīng)用服務(wù),完成原本要在個人臺式機上完成的涉密工作。
3.2.2信息流轉(zhuǎn)系統(tǒng)
信息流轉(zhuǎn)系統(tǒng)實際基于網(wǎng)絡(luò)的數(shù)據(jù)庫應(yīng)用系統(tǒng)。該系統(tǒng)采用B/S模式網(wǎng)絡(luò)應(yīng)用模式,運行在受控的涉密信息專網(wǎng)的服務(wù)器上,僅為專網(wǎng)內(nèi)的用戶提供服務(wù);而遠程用戶通過網(wǎng)絡(luò)應(yīng)用系統(tǒng)通道成為涉密網(wǎng)絡(luò)的終端用戶來使用該系統(tǒng)。
信息流轉(zhuǎn)系統(tǒng)根據(jù)用戶運用涉密信息的權(quán)限和等級,為用戶設(shè)置不同的數(shù)據(jù)庫信息訪問權(quán)限,以實現(xiàn)涉密信息的合理使用。圖3就是不同地域用戶利用Intemet或Intranet網(wǎng),通過網(wǎng)絡(luò)應(yīng)用系統(tǒng)使用信息流轉(zhuǎn)系統(tǒng),按各自權(quán)限實現(xiàn)創(chuàng)建、審核、使用并銷毀涉密信息文件全過程的流程圖。
由于類似信息流轉(zhuǎn)系統(tǒng)的應(yīng)用已經(jīng)十分成熟和普遍,故對該系統(tǒng)不再贅述。
4網(wǎng)絡(luò)應(yīng)用系統(tǒng)的開發(fā)
網(wǎng)絡(luò)應(yīng)用系統(tǒng)軟件是整個涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)的重要組成部分,而其開發(fā)流程也不同于其他軟件的開發(fā)。該系統(tǒng)整個系統(tǒng)構(gòu)建過程始終圍繞著確保涉密信息的安全這個中心點,從系統(tǒng)軟件體系、組策略應(yīng)用、文件權(quán)限控制、用戶賬戶和系統(tǒng)應(yīng)用等方面人手來,把獨立運算和網(wǎng)絡(luò)B/S應(yīng)用優(yōu)勢結(jié)合起來,構(gòu)造具有集中管控功能的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。具體流程如下所示。
1)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的需求分析。首先確認(rèn)應(yīng)用于該安全應(yīng)用系統(tǒng)的涉密信息的范圍,了解圍繞這些涉密信息所需的應(yīng)用。確定了涉密信息的范圍,就可以根據(jù)涉密信息的具體情況和運用權(quán)限建立起涉密信息的網(wǎng)絡(luò)應(yīng)用管理規(guī)則,也即是涉密信息保密運用規(guī)定的化抽象。而圍繞涉密信息所需的應(yīng)用則是構(gòu)建該應(yīng)用系統(tǒng)的網(wǎng)絡(luò)應(yīng)用的依據(jù)。
2)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)應(yīng)用的建立。首先需要在應(yīng)用服務(wù)器上安裝操作系統(tǒng),并建立文件管理服務(wù)。對于Windows服務(wù)器系列平臺上,必須運用NTFS文件系統(tǒng),使文件的使用權(quán)限與用戶具有相關(guān)性。
完成操作系統(tǒng)安裝后就可以安裝應(yīng)用服務(wù)器軟件——遠程應(yīng)用接入軟件。應(yīng)用服務(wù)器軟件安裝完畢后,就可輕松地利用應(yīng)用服務(wù)器軟件強大的軟件發(fā)布功能將獨立計算模式應(yīng)用發(fā)布成網(wǎng)絡(luò)應(yīng)用了,統(tǒng)一以Web方式提供給網(wǎng)絡(luò)用戶。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)應(yīng)用建立方式簡捷方便,具有很強的擴展性和靈活性。
3)涉密信息的網(wǎng)絡(luò)應(yīng)用規(guī)則的實現(xiàn)。建立涉密信息網(wǎng)絡(luò)應(yīng)用管理規(guī)則后,就可以將應(yīng)用服務(wù)器與操作系統(tǒng)的特性相聯(lián)系,利用組策略工具來進行文件權(quán)限管理、系統(tǒng)資源調(diào)度、訪問控制策略等的設(shè)計。
首先是對用戶的應(yīng)用需求進行分類。應(yīng)用需求類別的劃分依據(jù)包括用戶或用戶組的涉密工作范圍、網(wǎng)絡(luò)應(yīng)用需求、文件管理權(quán)限需求、用戶訪問管理需求、資源應(yīng)用需求等,然后以此為核心進行下一步工作。
其次是根據(jù)用戶應(yīng)用需求類別的差異性,設(shè)計系統(tǒng)資源組合,分配系統(tǒng)發(fā)布的網(wǎng)絡(luò)應(yīng)用和系統(tǒng)資源,建立相應(yīng)類型的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。整個網(wǎng)絡(luò)應(yīng)用系統(tǒng)的定制過程十分便捷,支持系統(tǒng)資源組合地動態(tài)變更,能快速及時響應(yīng)用戶的需求變化。
然后是根據(jù)用戶應(yīng)用需求類別建立用戶角色,確立角色對應(yīng)的網(wǎng)絡(luò)應(yīng)用和資源需求類型,先建立起角色與網(wǎng)絡(luò)應(yīng)用、資源系統(tǒng)的對應(yīng)關(guān)系。接著再給用戶或用戶組分配角色,由此用戶或用戶組通過角色建立起與網(wǎng)絡(luò)應(yīng)用系統(tǒng)的映射。
最后是設(shè)計用戶或用戶組的訪問控制策略。通過不同的訪問策略,使各個用戶擁有各自不同的訪問權(quán)限,登錄應(yīng)用服務(wù)器后即能進入自己個性化的工作臺,能更好地適應(yīng)用戶的工作習(xí)慣和應(yīng)用需求,保障涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)應(yīng)用的便捷和安全。
4)全方位的系統(tǒng)設(shè)計。建立全方位的系統(tǒng)審計可以及早知道系統(tǒng)存在的安全隱患,及時采取措施,防患于未然。啟用“組策略”中“審核策略”,指定要審核的事件類型。一旦通過組策略分別對相關(guān)事件啟用審核功能后,服務(wù)器日后將會把相關(guān)事件的審核記錄全部保存到系統(tǒng)的“事件查看器”中,以后只要及時打開日志內(nèi)容,并對其中記錄進行認(rèn)真分析,可以達到捕捉攻擊記錄,確保服務(wù)器安全的目的了。
通過上述流程的描述可以看到,網(wǎng)絡(luò)應(yīng)用系統(tǒng)拋開繁瑣的技術(shù)問題和開發(fā)過程,將更多的精力集中在涉密信息網(wǎng)絡(luò)應(yīng)用的安全上,努力建立全面系統(tǒng)的安全防護體系。這使得涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)既能滿足涉密信息獨立計算應(yīng)用模式的工作需求,又能充分利用網(wǎng)絡(luò)便捷靈活,有效提高工作效率,同時還確保了涉密信息始終處于可控方式下,最大限度地保障了信息應(yīng)用安全。
5涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)的原型
為解決本單位涉密信息的安全使用問題,結(jié)合單位實際情況建立了一個涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)原型,實現(xiàn)了涉密信息的封閉式運作。
該系統(tǒng)原型是在原有單位局域網(wǎng)基礎(chǔ)上增加了由應(yīng)用服務(wù)器、涉密信息服務(wù)器兩臺服務(wù)器組成的涉密信息專網(wǎng)。通過雙網(wǎng)卡,應(yīng)用服務(wù)器跨接在專網(wǎng)和單位的局域網(wǎng)之上,成為兩個網(wǎng)絡(luò)連接的紐帶。應(yīng)用服務(wù)器采用Windows2000操作系統(tǒng),應(yīng)用服務(wù)軟件為MetaFrameXP,安裝了Word、Excel、F0tReader、IE瀏覽器等應(yīng)用程序并發(fā)布為網(wǎng)絡(luò)應(yīng)用。信息服務(wù)器上則安裝SQLServer2000服務(wù)器,IIS信息服務(wù)器及其發(fā)布的基于SQLSevrer數(shù)據(jù)庫的涉密信息流轉(zhuǎn)系統(tǒng)。結(jié)合單位涉密信息使用情況和運用權(quán)限,建立了涉密信息網(wǎng)絡(luò)應(yīng)用規(guī)則,并綜合使用了設(shè)置操作系統(tǒng)安全策略、應(yīng)用服務(wù)軟件網(wǎng)絡(luò)應(yīng)用映射、系統(tǒng)組策略應(yīng)用、文件權(quán)限控制、用戶賬戶和系統(tǒng)應(yīng)用審計等手段,建立起了涉密系統(tǒng)專網(wǎng)完整的安全防護體系。
原型建立后,局域網(wǎng)用戶只需要安裝一個插件就可訪問并使用涉密信息專網(wǎng)提供的網(wǎng)絡(luò)應(yīng)用服務(wù)。在用戶利用自己的終端實現(xiàn)對涉密信息的建立、修改、審核、分發(fā)、運用和銷毀等工作的同時,卻無法拷貝、復(fù)制和導(dǎo)出這些涉密信息,防止了涉密信息的流失和不恰當(dāng)?shù)睦。與此同時,用戶使用涉密信息的情況被完整記錄在應(yīng)用服務(wù)器上,甚至還能被應(yīng)用服務(wù)器管理人員即時監(jiān)控,進一步加強了涉密信息網(wǎng)絡(luò)的運用安全性。
經(jīng)過初步應(yīng)用實踐,涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)原型有效地規(guī)范了單位涉密信息的應(yīng)用和管理,保密工作取得了很好的成效。
6結(jié)語
涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)采用信息的網(wǎng)絡(luò)化集中應(yīng)用模式,為用戶提供了按需定置、個性化的安全的涉密信息網(wǎng)絡(luò)工作平臺,既能充分發(fā)揮網(wǎng)絡(luò)開放應(yīng)用的優(yōu)勢,又能從源頭有效地保障涉密信息的安全,具有很好的應(yīng)用前景。
【涉密信息網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)研究】相關(guān)文章:
制造產(chǎn)品智能集成報價系統(tǒng)研究08-26
基于web的異地并行設(shè)計與制造系統(tǒng)研究06-02
計算機應(yīng)用技術(shù)在信息管理中的應(yīng)用研究論文(精選6篇)09-20
應(yīng)用物流信息技術(shù)提升網(wǎng)購的方式建設(shè)論文05-13
農(nóng)業(yè)中的電子信息技術(shù)應(yīng)用論文(精選6篇)05-29
本質(zhì)安全型集中式控制安全操作系統(tǒng)研究08-22
計算機信息系統(tǒng)集成項目管理的應(yīng)用論文04-22