工程设计仿真网络环境信息安全技术架构

工程设计仿真网络环境

信息安全技术架构研究

中物院信息安全技术中心姜建国研究意义和应用前景涉密内网虽然与因特网物理隔离，仍同样面临着漏洞、蠕虫、病毒、木马和后门等威胁。

目前，我院各所已建或拟建的工程设计仿真网络是处理复杂设计、计算及仿真业务的计算机网络,正在成为我院武器工程研制的关键基础设施，应用范围也不断深入和拓宽，建立相关信息安全保障体系成为必备条件之一。

工程设计仿真网络环境有自身的特点，应用类别多，软硬件环境复杂，异构、海量、集成，高密级等。信息安全问题自身的复杂性使得单一功能性产品不胜负荷，如何从整体、从顶层设计、从体系的高度来考虑信息和信息系统的保障，是我们急需解决的问题。从体系高度来探讨整体性信息安全技术架构，对于为工程设计仿真环境的安全保障提供整体解决方案和技术路线，解决目前简单堆砌安全产品带来的安全隐患，从而切实保障信息与信息系统的安全，具有重要的科学意义和现实意义。

面向工程设计仿真环境的信息安全技术架构及其系统的研究实现，主要构建高度可信的信任系统、高效的行为监控系统以及相应的数据保护系统等。对于有效防范涉密网络的安全威胁，为实现网络化设计、制造和数字军工提供安全保障，具有重大的工程意义，并可以在我院的各类工程设计仿真网络和各单位的内部科研办公网络提供借鉴和示范。

国内外研究现状分析

90年代后期到现在，人们也开始认识到安全的概念已经不局限于信息的保护，人们需要的是对整个信息和信息系统的保护和防御，包括了保护、检测、反应和恢复能力。于是出现了信息保障的概念。美国国家安全局制定的《信息保障技术框架》（IATF）则是这个时代的一个典型标志。《信息保障技术框架》（IATF）的主要内容可以归纳为“三保卫一支持”，即：保卫网络和基础设施，保卫边界，保卫计算环境，支持必要的安全基础设施。国家主管部门适时推出相应战略举措。我国从国家层面提出了加强信息安全保障的意见（中办发[2003]27号），中办27号文提出了信息安全保障战略方针是积极防御和综合防范。

安全产品从功能性产品向体系化产品的转化成为必然。安全厂商已经开始把握新形势下的网络安全问题和用户的最新需求，正在开发相应的架构体系产品。但是国内信息安全研究和市场发展的重点主要在于因特网、电子政务、金融、军事指挥自动化等领域，而由于工程设计仿真网络环境的复杂性和特殊性，不可能有现成的产品或解决方案能够满足需求。我们必须结合实际网络环境特点，在掌握先进、成熟的国内外技术的基础上大胆探索、适时跟踪、面向实际应用、加强合作交流，通过集成创新，设计实现能够满足需求的安全信任平台，并在此基础上构建网络安全保障体系。

研究目标预期通过集成创新和相关研究，实现下列目标：a）提出适用于工程设计仿真网络的信息安全技术架构和相关网络信任模型。根据IATF的思想，在统一安全策略的基础上，由安全支撑基础设施支持下的三重保障结构构成架构体系（可信的应用操作平台、安全的服务资源边界保护和全程网络通信保护），并提出适用的信任模型。

b）建成一个面向工程设计仿真环境、基于网络信任平台、重点解决行为监控和数据保护关键技术的信息安全架构原型系统。

研究内容

根据应用需求和研究目标，将对以下一些研究方向进行深入研究：

工程设计仿真网络信任体系研究。

研究适合于工程仿真网络的可扩展的信任体系模型；研究适合于封闭内部网的公钥体制及应用；研究基于密码技术的信任管理系统，实现身份认证、授权管理、责任认定等功能；行为监控技术研究。

研究基于行为模式的监控策略表示；

研究与工程仿真网络物理结构和逻辑结构相适应的行为监控体系结构；研究用户行为的监控方法和技术；研究基于行为监控的数据保护方法；

数据保护技术研究。研究工程设计仿真网络数据保护体系结构；

研究工程设计仿真网络中数据安全存储和安全传输技术解决方案。

关键技术

针对应用特点，将现有产品和技术有机结合，形成一个整体解决方案和技术体系，在网络信任基础平台上实现行为监控、数据保护等功能。

如何针对工程设计仿真网络的环境和应用特点，结合相关技术，提出适用的信任模型和认证授权机制。

研究并实现一个可扩展的、分布式的策略框架系统，在异构互连的复杂系统的情况下，管理、发现和协商安全策略，以便管理、控制和发布统一的安全策略。

研究并开发在异构环境中有一定通用性的安全中间件（安全构件）。

技术路线

针对工程设计仿真网络与外部网络物理隔离、各个子网络具有明确物理边界，以及可以采用秘密的或安全的密码传输通道等特点，拟建立由信任体系支撑、统一安全策略管理下的信息安全技术架构。这种体系架构以可信终端（例如新一代可信计算机）为末端设施，与已部署的、将部署的主要安全设施（如防火墙、入侵检测等）密切协同，实现对访问主体行为和被访问客体属性状态的有效监视和/或控制，达到数据保护、网络运行有序和安全保密的目的。针对工程设计仿真网络的特点，项目拟综合应用CPK/PKI技术、多因子身份鉴别技术、基于属性的权限管理技术，完成基于统一安全策略的实体身份鉴别与权限管理，从而建立起工程设计仿真网络信任体系的基础平台。

主要技术关关键设计思思路（1）工程程设计仿真真网络的信信任模型在一个有边边界、有中中心、存在在秘密通道道的内部环境中，规规模化的密密钥管理是是可以用简简化的方法法来实现的的，用以建立真正的的信任系统统。实施网络信信任体系的的基础就是是构建身份份认证体系系，需要建建立数字证证书认证中中心，即CA中心，负责责网络上的的身份证、、工作证的的管理。由于我院工工程设计仿仿真网络是是一个高密密级的有组组织的封闭闭内网，根根据其自上上而下的管管理特性，，采用单CA信任模型是是实现最简简单也最有有效的模型型。通过这这种主管方方的单层管管理结构,可以建立立用户和管管理中心的的直接级信信任关系,管理、维维护、操作作十分简便便。CA中心的实现现采用集中中式管理模模式，由主主管部门颁颁发证书。。证书的功能能要求：要要满足提供供包括身份份认证、授授权管理、、责任认定定三个层次次的安全服服务的网络络信任体系系建设的要要求。据了解，2004年年7月，美美军开始使使用一种计计算机身份份证，每名名从事计算算机网络工工作的人员员，都要领领取一种身身份证，内内置含有姓姓名、军衔衔、指纹、、序列号等等信息的计计算机芯片片，CA中心实体A1实体A2实体A3网络工作人员只只有将身份份证插入计计算机终端端设备，才才能访问和和使用网上上授权文件件。此外，，系统可以以跟踪登录录人员，了了解他们使使用的文件件内容、性性质。（2）安全全支撑基础础设施CA中心：结合应用网网络特点，，基于CPK或PKI技术构建。。颁发网络络身份证/工作证。。信任管理系系统：网络中的每每个用户都都持有CA中心颁发的的证书，以以此为基础础可以设计计实现相应应的网络安安全信任管管理系统，，实现身份份认证、授授权管理和和责任认定定。鉴别管理授权与权限管理资源映射监控审计安全服务数据信任管理系统用户网络传输平台安全策略管理系统安全策略管管理系统:一个集成化化的防卫体体系，遵循循P2DR模型，支持持分布式结结构，通过过多种技术术手段的融融合帮助组组织有效达达成在物理理、链路、、操作、网网络、设备备、系统、、应用、数数据及人员员等方面的的安全策略略集中定制制、自动分分发和自动动实现，安全策略较较之证书可可以实现更更细粒度的的访问控制制，比如证证书可以通通过授权，，控制进入入信任域或或服务器，，而通过域域策略或服服务器策略略可以控制制对设备或或文件资源源的访问。。另外，安安全策略可可以更加灵灵活，由安安全管理员员负责，修修改比较方方便。（3）行为为监控管理理系统监控体系结结构：按照行政或或业务隶属属关系，将将工程设计计仿真网络络划分成多多个监管域域，形成成一种树型型监控体系系结构,如如图。监管中心是是行为监控控的管理中中心，对重重要的管理理操作采用用口令分割割、权限分分割等技术术，将单个个管理员的的管理权限限限制到最最小和必需需的程度，，防止单个个管理员的的违法操作作对系统造造成重大损损失。监管管中心体系系结构如图图所示。(4)数数据保护数据保护的的层次结构构：第一层次是是通过物理理安全措施施，实现对对存储介质质物理安全全。通过管管理策略与与技术手段段相结合，，实现对存存储介质的的访问控制制。第二层层次是依据据相关的密密码算法实实现数据存存储的安全全保护和数数据传输过过程中的安安全，如图图。(特别别需要针对对移动存储储介质进行行保护）数据据保保护护体体系系结结构构：与网网络络行行为为监监控控体体系系结结构构合合并并为为网网络络监监管管体体系系结结构构，包括括数数据据保保护护中中心心与与网网络络行行为为监监控控中中心心实实际际合合并并为为网网络络监监管管中中心心。。数据据安安全全存存储储和和安安全全传传输输方方法法：：通通过过建建立立的的仿仿真真网网络络信信任任体体系系提提供供的的相相应应密密码码算算法法和和认认证证机机制制，，实实现现数数据据加加密密存存储储和和加加密密传传输输，，如如图图。。数据据加加密密存存储储和和加加密密传传输输如如图图所所示示的的三三大大模模块块组组成成。。被被监监管管机机代代理理模模块块、、数数据据服服务务器器代代理理模模块块和和通通信信模模块块。。被监监管管机机代代理理模模块块接接收收应应用用程程序序对对数数据据库库接接口口函函数数的的调调用用，，将将这这些些调调用用向向数数据据服服务务器器代代理理进进行行转转发发，，并并接接收收数数据据服服务务器器代代理理送送回回的的执执行行结结果果，，返返回回给给应应用用程程序序。。数据据服服务务器器代代理理模模块块判判断断被被监监管管计计算算机机有有访访问问权权限限后后为为被被监监管管机机代代理理模模块块提提供供访访问问密密文文数数据据库库的的服服务务。。通信信模模块块完完成成数数据据中中心心与与被被监监管管计计算算机机之之间间的的加加密密传传输输。。被监监管管机机代代理理模模块块被监监管管机机端通通信信模模块块数据据服服务务器器代理理模模块块数据据服服务务器