从军队信息安全测评透视军事电子信息系统安全保障体系图文百.docx
《从军队信息安全测评透视军事电子信息系统安全保障体系图文百.docx》由会员分享,可在线阅读,更多相关《从军队信息安全测评透视军事电子信息系统安全保障体系图文百.docx(9页珍藏版)》请在冰豆网上搜索。
从军队信息安全测评透视军事电子信息系统安全保障体系图文百
从军队信息安全测评透视军事电子信息系统安全保障体系
李娜周学锋杨风瑞
摘要:
本文首先介绍了中国人民解放军信息安全测评认证中心的基本情况,并列举出测评认证信
息安全防护产品的数量变化和种类分布;然后详细分析了军队单位送检的信息安全产品的发展变化,提出了基于安全保密防护产品的信息安全保障架构;最后用“医”、“药”观念引出军事电子信息系统的威胁的“病源”,得出终端的安全是构建信息安全保障体系的基石的结论。
并运用免疫学的理论提出基于免疫终端的军事电子信息系统安全保障体系结构的设想。
关键词:
解放军信息安全测评认证中心信息安全保密产品架构免疫终端
引言
目前军队信息化的进展情况如何?
引用今年3月中旬中共中央办公厅、国务院办公厅印发的(2006
—2020年国家信息化发展战略》的表述,即可了解:
“国防和军队信息化取得重要进展,组织实施了一批军事信息系统重点工程,军事信息基础设施建设取得长足进步,主战武器系统信息技术含量不断提高,
作战信息保障能力显著增强。
”那么在发展中存在的问题呢?
参专同样是在3月由国务院信息化办公室
对外发布的《中围信息化发展报告2006)可见一斑,该份报告在全面总结“十五”期问尤其2005年中国信息化成就的同时,指出“我国信息发展总体水平与世界发达围家相比仍然存在较大差距”,主要表现为
关键信息技术自主创新能力不足,信息技术应用水
平落后于实际需求,信息安全问题仍比较突出,体制
机制改革有待继续深化,信息化法制建设需要进一
步加快等。
我们注意到其中对信息安全的描述是“问题仍
比较突出”,其实,党中央对信息安全是非常重视的,
早在党的十六届四中全会,信息安全和政治安全、经
济安全、文化安全就已经被并列为国家安全的四大范畴之一。
信息安全问题不仅关系到同家信息化发展,在军队信息化进程中显得尤为重要而紧迫。
l军队信息安全测评认证工作
在推进军队信息化建设的进程中,中国人民解
放军信息安全测评认证中心(以下简称中心)是全军
唯一的代表军队对拟进入军队的信息安全保密防护
产品(含技术系统)的安全保密性能进行检测、评估
与认证的技术监督机构。
中心积极适应军队信息化
建设的发展需求和信息安全产品开发商推广新产品
的需要,紧密跟踪信息安全技术的发展动态,深人研
究测评技术,完善测试标准,加强手段建设,不断扩大认汪产品种类和认证产品的覆盖区域。
通过定期
向全军发布《中国人民解放军信息安全认证产品目
录》,为军队用户选用信息安全产品提供依据和指
导。
中心的基本职责就足面向军内和国内的信息安全产品研制单位提供测评认证技术服务,面向军队
有关用户提供相应的技术支持。
1.1测评认证信息安全产品年度数量变化
中心成立于90年代后期,认证产品种类数量的迅猛发展是在2001年2月解放军四总部联合颁发《中国人民解放军计算机信息系统安全保密规定》之后,规定中明确了中心的职责“解放军信息安全测评认证中心负责军队计算机信息系统安全技术和产品
的测评认证工作”;中心的任务“用于军队计算机信
息系统安全保密防护与检测的硬件濑件和系统,必
须选用军内或者国内研制开发并经解放军信息安全
测评认证中心认证的产品”。
未取得解放军信息安
全测评认证中心发放的《军用信息安全产品认证证书》的信息安全产品,不得进入军队使用。
201/6军事电子信息学术会议论文集
图1测评认证信息安全产品数量变化
从图1可以看出,测评认证信息安全产品数量变化情况,2001年与20(10年同比增长163%,2002年超过了前两年的总和,2003年与2002年同比增长
20.5%,从2003年到2005年测评认证产品数量呈现稳定趋势。
截止2006年5月,中心已经通过信息安
全测评认证的近500件产品发放了《军用信息安全
产品认证证书》,其中不少产品已在全军指挥自动化
网三期工程和总部、各大单位的技术安全保密防护
手段建设中被选用。
1.2测评认证信息安全产品种类分布
中心目前开展的测评认证的产品主要有:
防火墙、入侵检测、漏洞扫描分析、网络隔离、非法外联监控、安全管理审计、安全管理授权、数字签名、数据备
份与恢复、数据安全保护、视频干扰器、移动电话干
扰器、CA认证、病毒防护、网络安全设备擞据库安
全、操作系统安全、存储介质安全产品、安全计算机、低辐射信息产品、屏蔽机柜、屏蔽室、暗室、屏蔽材料等二十几类,涵盖了信息安全主要领域。
图2各种信息安全产品的测评认证数量
2军队信息安全保密防护产品
目前,军内各种形式的广域网、局域网、内部专网发展迅速,各种网络应用层山不穷,网络系统越来
越庞大,各种安全保密产品也不断的被附加到网络
边界、用户终端和提供服务的应用系统上,由此带来的问题是病毒增大了传播和影响面,各种隐患和漏
洞越来越容易被别有用心的人利用,令许多网络应
用难以开放更多的服务,制约了军队信息化的发展进程。
同时,复杂的网络应用环境和多样的攻击手
一112一
段使军事电子信息系统面临的安全威胁越来越复杂,已有的信息安全产品在一定程度上保障了系统的安全,但是面对复杂多变的网络环境,单一的安全保密产品能够解决局部的安全问题,但是从系统的、
全局的、整体的、动态的角度如何构建军事电子信息
系统安全保障体系?
这已经成为军内信息安全专家和技术人员不得不反复思考的课题。
2.1军队计算机信息系统安全保密产品分析
在通过认证的产品中,由军队单位送检的产品
从军队信息安全测评逢视军事电子信息系统安全保障体系
占全部送检产品的10%左右。
通过比较可知,军队有涉猎。
详见图3。
单位仅在病毒防护方面没有自研产品,其他种类均
图3测评军队信息安全产品种类数量年度变化情况
中心认证的军队单位送检的信息安全产品最初是防火墙、安全管理和网络安全设备,说明在军事电
子信息系统安全保障体系中,军队的信息安全领域的专家和学者从一开始就认识到了军事电子信息系统安全保障体系中最根本的需求是“具有自主的通
联设备”、“实现访问的可控”和“达到管理的可信”。
接下来的一年中,军队单位送检的产品增加了网络隔离和视频干扰器,并延续至今,中心虽然认汪网络隔离产品,但明确规定“该产品不得用于军内涉密网络与因特网之间的隔离”,也就是说隔离产品只能用于内部不同网络之间,因为在军事电子信息系统中明确要求对内部网络与因特网采取的是物理隔绝措施,这也就是安全管理中具有拨号上网功能的产品在后来的几年不断到中心送检的原因;视频干扰器是军队信息化过程中针对电磁辐射泄漏产生的泄密隐患而开发的产品,和随后认证的移动电话干扰器同样是具有军队特色的安全产品。
对这两种干扰器的认证从很大程度推动了该类产品的社会化发展,
由此往后,很多地方单位也开始从事这类产品的研
发,相继通过了中心的认证,并服务应用于军事电子信息系统中。
随着信息安全到信息保障的发展,军队的信息安全专家和技术人员又从被动的防护发展
到主动防御,推出了入侵检测系统、漏洞扫描分析系统和身份认证的产品等。
近两年军队送检的信息安全产品的功能更是出现由单一到综合,由外防到内
查的变化,采用整合+集成技术的信息安全产品有
增加的趋势。
从以上对中心认证的军队信息安全产品的分析来看,信息安全产品的变化正可以映射出在军队信息化过程中对信息安全的认识是一个不断发展变化的过程:
从单一到综合、由被动到主动、先防外后内
控,并且将会随着对信息安全技术、管理的研究而逐
渐深化。
2.2基于安全保密防护产品的信息安全保障架构
根据对信息安全各个层而的分析,我们提出目前最常用的基于安全保密产品的信息安全保障体系框架,详见图4。
其中不仅考虑到硬件设备、操作系统和上层应用,同时涵盖了具体数据、普通用户和管理层面;而军队各大机关单位、研究所、大专院校研发的信息安全保密产品已经涉及到军事电子信息系统中安全保障体系的这些要素,表明军队用户在安全保密防护产品的研发方面已经实现了从无到有的跨越式发展,具备了提供军队所需信息安全保密产品的基本能力,能够搭建成初具规模的信息安全防
一113一
2。
06军事电子信息学术会议论文集
护体系。
图4基于安全保密产品的信息安全保障体系框架
图4中,物理安全产品是指防止电磁声光泄漏,保护计算机信息系统所处环境及其相关设备、设施安全的产品;平台安全产品是指保护计算机信息系统中支撑软硬件平台的安全产品,可以使其免遭破坏和攻ai-;网络安全产品是指防护网络边界、链路、
节点安全,以保证网络正常运行的产品;数据安全产品是指防止数据信息被非授权读写、更改、破坏或被
非法辨识,控制的产品;用户安全产品是指防止用户
对计算机信息系统的非授权使用、滥用、误用以及保证计算机信息系统的正常安全运行的安全产品;管理安全产品是指为保障计算机信息系统正常工作,
而采用的具有强制性监督检查功能的安全保密产品。
3基于免疫终端的信息安全保障体系
是否拥有了安全保密产品就能构成“积极防御,综合防范”的军事电子信息系统安全保障体系呢?
这就如同“医”和“药”的关系,“无药可医”常常用来
比喻病症的严重性,连药都没有了,医生只能束手无
策;就好比一个军事电子信息系统,存在安全问题的
疾病,却没有安全保密产品当药,那这个系统的生存
期恐怕不会长了。
反过来说,我们有很多好药,却没有医生束开药方,由着人乱吃药,这个人估计没病也得折腾出病来;一个刚刚建成的网络应用系统,花大
价钱购进了信息安全保密产品,还没用试用两天就一114一
死机了,由此可见好的安全保密产品还以应遵照正
确的安全策略才能发挥其应有的效能。
3.1终端安全是构建信息安全保障体系的基石
医生诊断病人讲究的是“望、闻、问、切”,以此判
断病情,才会下医嘱,开药方。
构建信息安全保障体系同样可以采取类似的方法。
病人最可能得的是什
么病?
对于一个军事电子信息系统来说,就是这个信息系统所面fl矗i的威胁是什么?
无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。
按照威胁作用的目标来分,可分为对信息的威胁和对设备的威胁;考虑威胁的操纵者,可分为有意或无意,人为或非人为;根据威胁
使用的手段可分为窃听、假冒、重放攻击、流量分析、破坏完整性、拒绝服务攻击、行为否认、非法访问、利
用陷阱、施放木马、传播病毒等;按照威胁的动机可
分为竞争对手、国家利益、打击报复、扬名、恶作剧、无知。
不管按照什么来区分,笔者认为在军事电子
信息系统安全保障体系中威胁可以这样理解:
“对脆
弱性的潜在利用。
造成军事电子信息系统的失常或数据失泄密等”。
病人只有接近了病源才会感染的疾病?
俗话说
“病从口人”,对于军事电子信息系统来说,终端就是
网络与用户的人口,据统计,网络上超过一半的安全问题来自网络用户终端,例如,攻击者可以通过终端非法访问网络、偷窃或破坏信息所有权或涉密信息、
传播恶意代码、占用网络资源、非法享受业务/服务、
攻陷更多的终端、甚至使网络瘫痪,其目的就是“搞破坏”或“窃密”。
积极的防御就应该是主动防止此类行为的发生,从客户终端的操作平台开始加载安全策略,实施防范措施,把不安全因素控制在源头。
3.2基于免疫终端的信息安全保障体系结构
终端在网络中间同人生活在社会环境中一样,
必须具有“免疫”能力,否则很难生存下去;只是人的免疫分为自然免疫和获得免疫;而网络中的终端,由于网络先天的开放性、共享性、自由性、交互性、隐蔽性等特点使其并不具备先天的免疫功能,导致终端极易被利用,成为信息安全保障体系中的短板。
那
么我们如何让终端具备后天的免疫能力呢?
在免疫
从军队信息安全刺评透视军事电子信息系统安全保障体系
学中最重要的观点就是识别“自我”和“非我”,这一理论最早是应用于病毒防护产品和入侵检测产品,主要是从识别“非我”的角度来防范病毒或入侵行为,也因此导致病毒库、特征库越来越庞大;在终端中,我们强调的是“自我”的识别。
对于一个具体的操作系统来说,查看进程和服务既可以知道固定的调用,因为任何调用都会占用内存和CPU。
这样就可
以通过控制操作系统的底层驱动,只加载系统必要
的程序和规定允许的程序,即“自我”行为,凡是不必
要的程序或新程序,即“非我”行为都不允许发生。
所以免疫终端的主要思想就是“只执行自我的程
序”,主要目标就是防止各种恶意代码(如病毒发作
和未知攻击)等非法进程的运行。
免疫终端可以解决防病毒、防木马的问题,只是解决了人是不是一个“健康人”的问题,但是人因其
社会性必须考虑“身份证件”、因其独立性还需考虑“私密性”等,而且健康人同样需要定期体榆;对应免
疫终端进入网络的情况,就需要考虑免疫终端的认证授权和信息保密;另外还要解决好网络配置缺陷、软件漏洞后门、电子设备电磁辐射泄漏等问题,杜绝
这些可能的安全隐患;同时,由于网络上各组成单位
设备较为复杂,应用种类较多.还需要使用网络检测评估产品,定期进行检测,以便及时发现新的安全漏洞,进一步升级安全策略,最终达到保障整个军事电子信息系统安全的目标。
图5基于免疫终端的信息安全保障体系结构
参考文献
[1]《第六届中国信息安全发展趋势与战略高层研讨会文集》。
信息安全与通信保密杂志社,2006.4[2]《第五届中国信息安全发展趋势与战略高层研讨会文集》,信息安全与通信保密杂志社,2005.4[3]《计算机安全》.信息产业部基础产品发展研究中心,2006.10[4]《技术安全保密文摘》,网络信息安全专集,2006.1[5]《技术安全保密文摘》,网络人侵检测专集,2005.17
作者联系方式
通信地址:
北京95信箱50分箱邮政编码:
100075
联系电话:
0201—323584
从军队信息安全测评透视军事电子信息系统安全保障体系作者:
作者单位:
李娜,周学锋,杨凤瑞本文链接:
授权使用:
国家保密局(isstec,授权号:
245a8fc8-eb4a-4245-8a62-9eb1010ff630下载时间:
2011年3月25日