黄异嵘 刘川杰 李汶隆

摘 要：本文面向信息安全领域，就智能系统在等级保护体系下的安全管理关键技术进行了深入分析。通过从智能系统的硬件级、系统级、应用级、云端四个层面逐一研究并提出了相应的安全服务增强技术方案，为基于等级保护的安全应用场景提供了垂直一体化、全方位的安全服务增强能力。

关键词：等级保护;智能系统;安全服务;可信启动;安全应用

中图分类号：X753 文献标识码：A 文章编号：1671-2064（2020）10-0077-02

0引言

近年来，随着计算机、互联网技术的快速发展和广泛应用，我国各行各业建设了大量的信息化系统，信息安全问题也日益突出，信息系统的安全性愈发重要，如何确保信息系统的安全已成为我国高度关注的问题。信息系统等级保护作为我国信息安全重要战略举措[1，4]，不仅是加强国家信息安全保障工作的重要内容，更是一项事关国家安全、社会稳定的政治任务。

1基于等级保护的智能系统发展背景

数字智能时代让人们的生活变得更加便利，碎片化时间得到了充分利用。智能系统[3，10]以其良好的开放性、交互性、友好用户体验性和平台便捷性等特点，越来越受到人们的青睐，在其为我们工作生活带来智慧化的，同时降低安全风险是各行各业越来越重视的问题。

随着网络安全问题的不断涌现，信息安全上升到了国家战略层面，等级保护制度已成为国家网络安全工作的基本制度、基本国策。因此，按照信息系统等级保护技术要求[2]，深入研究信息系统安全体系结构[7，9]、多级安全技术[5，11]，对于解决当前信息系统等级保护工作面临的问题，具有重要的科学理论意义与应用前景。

2基于等级保护的智能系统关键技术研究

智能系统的的安全应用服务增强机制应贯穿于系统体系架构的各个层面[6，8]。本文基于ARM架构的硬件芯片平台，开展ARM TrustZone相关技术的研究，为上层应用的安全性提供保障;在此基础上，还在基于系统内核层和FrameWork层，进行安全属性的增强工作，包括基于虚拟容器进行空间隔离、基于信任链的可信启动、对Android內置数据库的加密处理等;在应用层，通过XMPP协议实现与云端服务系统的互联互通。智能系统安全管理系统总体架构如图1所示。

2.1基于TrustZone架构的硬件级信息存储及权限管理技术

把增强系统安全的措施从CPU内核设计开始，集成到系统的整体设计中，是本方案安全机制的立足点。为此，利用基于ARM芯片平台TrustZone安全扩展机制，实现片上系统的硬件以及软件资源分离，从而保护安全内存、加密块、键盘和屏幕等外设，可确保它们免遭软件攻击。一个Cortex-A核能够虚拟为两个逻辑核：其中一个安全核用于安全执行环境，另外一个普通核用于普通执行环境。通过AMBA3 AXI总线来确保安全环境与普通环境的独立性。

2.2基于对散列值进行非对称加密的可信启动技术

本方案采用校验启动过程中每个阶段的镜像是否安全完整且来源可信，从而保障整个系统启动安全。

对系统启动过程中每一阶段镜像文件采用散列（Hash）函数进行处理，并对散列值采用非对称算法进行签名，同时将签名后的Hash值链接到镜像的头部成为一个新的镜像。在新的镜像启动前，由上一级对该镜像的头部用非对称算法进行解密，确定该镜像的来源，如果能正常解密则视为合法，然后再将镜像内容部分进行散列（Hash）函数处理得到一个新的散列值，将此散列值与用非对称算法进行解密后的旧散列值进行对比，如果两个散列值是相同的，说明该内容没有被修改过，以此来确定各启动阶段内容的完整性，防止被篡改。

2.3 Android内置数据库加解密处理及访问控制技术

当前，Android系统自带的SQLite数据库，并没有提供加密的功能，从而导致用户私人信息或者数据如通讯录、短信、照片等，极易外泄。为此，本文对SQLite源代码进行安全升级，通过实施用户认证、访问控制、数据加密和数据库操作审计等行为，确保数据库数据读写的安全。

在加密功能的实现上，本文通过SQLite预留的接口，采用对称/非对称等加密算法，对进/出数据库的数据进行加解密处理，并将处理后的结果通过JNI接口形式返还给上层应用程序。此外，为避免密钥的外泄，本文不直接采用口令作为密钥，而是通过散列（Hash）函数处理后将其散列值进行存储。由于生成的散列值无法逆向解密，从而保证了用户口令的安全性。

2.4基于云端服务系统的MDM远程管理技术

本文采用标准的XMPP协议进行信息推送，实现与智能终端的互联互通，便于用户通过APP或者WEB接入系统。

云端服务系统数据存储部分实现数据同步、备份、恢复和共享等功能。本文参照MDM相关规范实现终端的远程控制，面向企业级用户提供统一的移动设备管理，确保移动设备在下发、部署、使用以及回收这四个环节中的安全性。

云端服务系统的安全性从两个角度着手：一是如何为智能终端提供远程保护;另一方面是如何保障自身的安全，从而避免存储的用户数据被篡改或泄露。基于此，本文采用了严密的系统框架，确保逻辑清晰，从而最大限度减少系统漏洞，通过数据库逻辑分割保证用户间的数据隔离，对用户数据采用云端加密处理及非对称加密传输。

3基于等级保护的智能系统的工程应用

首先，利用TrustZone技术，实现了片上系统的硬件及软件资源分离。将高保密的信息存放在独立的硬件空间，确保任何安全环境中的资源都不会被普通环境中的组件所访问，并且在安全的处理器核上执行健壮的软件系统，从而可确保它们免遭软件攻击。

在此基础上，终端采用逐级信任的方式进行可信启动，利用散列（Hash）函数对每个启动阶段的镜像进行处理得到散列值，并采用非对称加密算法进行签名，将签名后的散列值链接到镜像的头部成为一个新的镜像。通过非对称加密算法对新镜像头部进行解密来验证镜像来源的合法性;将新镜像内容进行散列（Hash）函数处理得到散列值，通过和原有散列值进行比较，可验证镜像文件是否被非法篡改。由此来确定各启动阶段内容的完整性，保障了系统启动安全性。以此建立的信任链，减少了硬件依赖性;通过对散列值进行非对称加密，有效保护了散列值安全性，且保障了系统启动速度。

其次，通过对系统虚拟容器改造，实现了对企业应用与个人应用的完全隔离，让企业应用有一个独立的运行环境和数据存储环境。虚拟容器的Key和认证过程由TrustZone提供保护，有效提高入口Key的安全级别。结合云端服务系统中发布的可信安全应用，基于数字签名机制建立可信的下载、安装途径，有效降低容器内的应用风险。

最后，采用标准的XMPP协议进行数据信息接入与推送，实现云端与智能终端的互联互通，为终端提供了细粒度的数据管理、远程控制功能，实现了智能系统的安全、可控的智能管理。

4结语

为解决基于等级保护的智能系统安全问题，本文重点阐述了智能系统安全架构系统方案及智能系统关键技术，并给出一个针对移动互联智能系统安全应用解决方案。本文基本思想在于，通过从硬件级、系统级、应用级、云端四个层面逐一研究并提出了相应的安全服务增强方案，为基于等级保护的安全应用场景提供了垂直一体化、全方位的安全服务增强能力。本文所提出的安全增强方案主要贯穿“端管云”主要环节，其基本思想考虑了现有智能系统的共性面，可广泛应用于等级保护的移动互联、工控、物联网等应用领域。

参考文献

[1] 王斯梁，冯暄，蔡友保，等.等保2.0下的网络安全态势感知方案研究[J].信息安全研究，2019，5（9）：828-833.

[2] 何占博，王颖，刘军.我国网络安全等级保护现状与2.0标准體系研究[J].信息技术与网络安全，2019，38（3）：9-14+19.

[3] 寇思佳，王琎.信息系统安全等级保护下教育系统网络安全态势研究与分析[J].网络空间安全，2019，10（5）：56-63.

[4] 张纯.计算机网络信息安全防护策略探究[J].电脑知识与技术，2016，12（36）：64-65+71.

[5] 缪彦深.信息安全等级保护定级的方法与应用[J].电脑知识与技术，2017，13（3）：45-46+51.

[6] 王斌.基于等级保护体系下信息安全整改的设计[J].信息技术与信息化，2017（6）：42-44.

[7] 胡江.网络安全防护体系的建设及案例剖析[J].计算机光盘软件与应用，2014，17（13）：165+167.

[8] 许战战.等级保护综合管理信息系统的设计与开发[D].西安：西安建筑科技大学，2014.

[9] 高朝勤.信息系统等级保护中的多级安全技术研究[D].北京：北京工业大学，2012.

[10] 余勇，林为民.基于等级保护的电力信息安全监控系统的设计[J].计算机科学，2012，39（S3）：440-442.

[11] 马遥，黄俊强.信息安全管理体系与等级保护管理要求[J].信息技术，2012，36（6）：140-142.