◆岳 阳 王晓宇 孙懿峰

应用区域边界安全模型设计

◆岳 阳1王晓宇1孙懿峰2

（1.91977部队 北京 100841；2.91991部队 浙江 316000）

本文对应用区域边界的风险进行了分析，设计了应用区域边界安全模型，并在该模型的指导下，给出了信息系统安全应用框架。

应用区域边界；安全；模型

信息系统中每个系统组件，包括保护组件，都可能包含未知的、可利用的安全漏洞，因此需要采用分层防御战略对系统进行保护。

分层防御战略将安全需求划分为以下四个基本方面：保护应用区域环境、保护应用区域边界、保护网络和保护支撑性基础设施。与上述安全需求相对应，一个有效的信息安全保障技术框架由以下四部分组成：应用区域环境安全、应用区域边界安全、网络与通信传输安全、安全管理中心。

研究信息系统应用区域边界安全模型，能够为信息系统中各种应用区域边界的安全保护提供指导，实现各类信息的受控交换和安全保护，抵御来自内部或外部的各种网络攻击，阻止信息的泄露。

1 应用区域边界安全风险分析

应用区域边界安全风险是应用区域边界系统的脆弱性和漏洞，以及以应用区域边界系统为目标的威胁的总和。

1.1 应用区域边界系统的脆弱性

应用区域边界系统安全隐患[1]主要来源于以下几个方面。

（1）硬件组件

目前信息系统应用区域边界计算节点及各种网络设备硬件组件（包括CPU、主板、BIOS）普遍采用国外产品，这些硬件组件中存在未知的安全漏洞及陷门，一旦被攻击者利用，将造成整个信息系统被控制甚至瘫痪。

（2）软件组件

软件组件可分为系统平台软件、通用服务软件、应用支持软件和上层应用软件。

攻击者可利用操作系统、应用系统的漏洞、越权访问文件、数据或其他资源，通过恶意代码或木马程序对操作系统、应用系统进行攻击，利用非法手段获得授权用户的鉴别信息或密码介质，访问系统或者应用软件、文件和数据等。

（3）网络和通信协议

目前信息系统使用的TCP/IP协议存在缺乏对用户身份的鉴别、缺乏对路由协议的鉴别认证、TCP/UDP的设计缺陷等安全隐患，而各种应用层服务协议（如Finger、FTP、Telnet、E-mail、DNS、SNMP等）本身也存在涉及鉴别、访问控制、完整性和机密性等方面安全隐患，极易引起针对基于TCP/IP应用服务协议和程序安全缺陷的攻击。

1.2 应用区域边界面临的安全威胁

应用区域边界面临的安全威胁[2]包括针对应用区域边界的各种攻击、入侵、植入木马和病毒，边界设备的后门、漏洞被受控启用，造成信息失控、设备故障；内外勾结造成的信息丢失、失控等。

（1）与公用网络的连接

这种连接容易使信息系统遭受病毒侵袭，从而危及信息系统的安全。连接公共网络的另一种风险是越来越多地使用移动代码，用户在没有意识到的情况下就可能在信息系统中引入不安全的代码。

（2）不同安全等级网络的连接

边界控制设计不充分的情况下，高安全等级信息会渗透到低安全等级网络中；同时也存在进入高安全等级网络的低安全等级代码和数据已被恶意篡改的风险。

（3）无线网络的安全漏洞

无线网络容易遭受电子欺骗、干扰和空中截获电子信号等攻击。当无线网络需要与有线网络连接时，如果接入设备安全性不够，有可能将无线网络的一些安全风险引入到有线网络中，从而威胁整个信息系统的安全。

2 应用区域边界安全模型设计

应用区域边界安全模型设计如图1所示。由可信操作系统平台、多级安全隔离、多级安全传输、安全接入、安全管理和证书管理组成。

（1）可信平台

可信平台[3]部署在应用区域内终端、服务器、网络设备、应用区域边界安全设备上，为相应的计算节点提供基础可信的运行环境。

（2）多级安全隔离

多级安全隔离[4]部署在物理应用区域之间，控制不同应用区域间信息安全的互联互通。

多级安全隔离包括物理隔离、安全隔离、防火墙、安全网关等安全防护技术手段。具体采用何种安全防护措施由应用区域的安全防护等级决定。对重要应用区域采用物理隔离或安全隔离等高安全等级防护技术手段；对内部和一般应用区域采用防火墙、安全网关等一般安全等级防护技术手段。

（3）多级安全传输

多级安全传输[5]实现物理应用区域内以及物理应用区域间交互信息的安全保护，这些交互信息的计算节点形成逻辑应用区域。

多级安全传输主要隔离穿越物理应用区域边界的不同安全等级信息。

（4）安全接入

安全接入[6]部署于物理应用区域，完成接入节点设备和用户的身份认证和访问控制，保证接入节点跨越专用网络与物理应用区域内其他节点间交互信息的机密性、完整性和不可否认性。

（5）安全管理

安全管理中心[7]实施多层次安全防护策略，将应用区域边界各种安全防护技术纳入统一的管理控制下，使各种安全技术彼此补充、相互配合，形成一个安全策略集中管理、安全检查机制分散布置的分布式安全防护体系结构，从而达到对应用区域边界安全保护和管理的目的。

安全管理中心包括用户管理、设备管理、安全策略配置管理和审计管理等。对进出应用区域边界的用户策略统一配置管理，对不同级别用户赋予不同的访问权限；对应用区域边界安全设备统一管理；实现相关安全策略的统一下发；从整个应用区域边界收集和分析安全事件信息，及时检测到安全事件并采取相应的处理措施。

（6）证书管理

证书管理[8]为可信操作系统平台、多级安全隔离、多级安全传输、安全接入提供证书注册与制作、证书在线查询、证书认证等服务。

图1 应用区域边界安全模型

3 应用区域边界安全模型在信息系统中的应用

应用区域边界安全模型在信息系统中的应用如图2所示。

图2 应用区域边界安全模型在信息系统中应用示意图

根据本文提出的应用区域边界安全模型，结合信息系统应用区域边界安全现状，对信息系统应用区域边界安全提出以下几点建议。

（1）采用可信计算技术加强主机安全

目前信息系统主机主要是采用基于Windows的操作系统。采用的安全技术手段包括身份认证、登录控制、病毒防治、数字签名、行为控制、外设控制以及信息加密等技术手段。建议采用可信计算技术，为各种主机安全技术手段建立安全基础，防止这些安全机制被篡改和旁路。

（2）基于密码技术解决应用区域边界多级安全

不同安全等级信息穿越应用区域边界时，使用不同强度的密码进行加密是数据隔离的有效手段。建议采用基于密码技术的安全隔离设备解决高安全等级应用区域边界的安全防护问题。

（3）研制高效的无线安全接入设备

建议研制高效的无线安全接入控制设备，分析信息系统有线和无线网络通信关系、通信特点，对各类通信手段的安全性威胁进行分析评估，提出解决各类无线接入安全性问题的解决方案。

（4）合理部署网络监控手段

建议在各应用区域之间边界接入点处和应用区域内关键的应用网段上部署安全监控和审计系统，安全监控的范围应覆盖到整个网络行为，包括网络行为监控、网络异常流量监控、主机访问流量监控、入侵攻击和病毒攻击监控等。

（5）增强应用区域边界核心安全控制系统自身的安全性

建议从安全模型和体系结构上研究如何基于密码技术控制应用区域边界核心安全控制部件不被绕过，不被非法控制，使内外应用区域数据通道唯一、安全和高效。

4 结束语

本文根据应用区域边界安全需求，提出了应用区域边界安全模型，该模型对应计算节点、物理应用区域、逻辑应用区域三个层面，包括可信平台、多级安全隔离、多级安全传输、安全接入、安全管理和证书管理等组件。其中可信平台提供基础安全环境，是整个模型的基础。多级安全隔离解决物理应用区域间的信息交互，多级安全传输和安全接入解决逻辑应用区域边界安全。安全管理、证书管理是模型的安全保障基础设施。

[1]Dr Roger R. Schell and Michael Thompson. Platform Security: What is Lacking?[R], Information Security Technical Report, Vol 5, No.1, 2000.

[2]沈昌祥.关于加强信息安全保障体系的思考[J].信息安全与通信保密，2002.

[3]沈昌祥.基于可信平台构筑积极防御的信息安全保障框架[J].信息安全与通信保密，2004.

[4]William Stallings.Network Security Essentials: Applications and Standards[M].Prentice-Hall, Inc., 2002,6.

[5]谢希任.计算机网络（第4版）[M].电子工业出版社，2003.

[6]刘荫铭，等.计算机安全技术[M].清华大学出版社，2002.

[7]美国国家安全局发布，信息安全国家重点实验室组织翻译.信息保障技术框架[M].北京中软电子出版社，2001.

[8]Hwang,Ren-Junn,Su,Feng-fu. A new efficeient authentication protocotol for mobile networks[J]. Computer Standards & Interfaces, 2006.