谈加强网络MSR地研究.pdfVIP

谈加强网络MSR的研究 查义国， 徐小岩‘张毓林2 1．中国电子设备系统工程总公司 北京100840 2．解放军理工大学指挥自动化学院南京210016 摘要：网络的发展对安全提出了更多、更高的要求，如何以最少的投人确保满足网络在各种应用背景下的 最低安全需求(MSR)是一个较新的研究课题，本文在介绍了国内外的研究现状后，着重分析了网络最低安 全需求研究所应采取的方法和要注意的问题 关t词：信息安全需求分析最低功能、最低保证 1引 言 随着网络技术的不断发展，人类的生产、生活正在发生着深刻而根本性的变化．网络的 应用几乎已渗透到了社会的各个领域，今后人们对网络的依赖程度将会越来越大．网络与政 府、军队和企业的结合将更加紧密．而这些部门往往涉及到一些敏感信息，其中有些部门对 安全性有着较高的要求。各工业和科研部门在对网络安全的重要性取得共识之后，明显加大 了安全产品的研制和生产的力度，出现了各类安全产品．在这样的情况下，从政府到军队， 从企业到家庭都能看到由于安全意识的增强而进行了大量的安全加固，那么．这样的安全配 置合理吗?它能够取得最大的效费比吗?是否是安全工具用得越多就越安全呢?到底应当如 何根据用户的不同需求来量身定制安全策略呢?怎样才能确保首先满足系统的最低安全需求 呢?要回答这些问题，涉及到—个共同的问题，即最低安全需求(MSR)问题。 2 MSR研究的基本内涵及其意史 最低安全需求对于不同的对象有着不同的含义，对于一个政府网络最低安全需求意味着 能否确保政府正常网上办公和对外宣传的安全性，对于—个军队网络MSR意味着能否确保 在军事对抗中取得最起码的制信息权或在强对抗中确保战略信息的传输，对于一个62网络 最低安全需求意味着在商业竞争中能否以最低的投人确保最重要的企业信息的安全，以上只 是作了定性的说明．而定量的描述则要结合具体的使用对象、使用环境和使用方法作具体的 分析。 目前．市场上的各种安全产品可谓越来越多，从网络的整体安全性来考虑，并非投人越 (efficienty／cost)的关系。从图中可以看出效费比最高的地方并非是费用投入最多的地方。 而且，一般情况下．系统的安全性的取得总是以牺牲一定的可用性为代价。如果不对系统整 体的最低安全需求有充分的研究．不但会造成不必要的浪费，还可能造成系统安全的假象。 另外．从网络整体的效费比来看．安全不是目标只是手段，如果在系统的安全投入上，投入 与可能出现的回报没有一个科学的比例关系．安全将会失去它的意义。如果对最低安全需求 研究不够，很可能造成安全产品的重复应用．或安全隐患重重。总之，在投有对网络整体的 安全需求作全面而科学的分析之前，很难使网络的安全解决方案能获得最大的安全效费比。 通过以上分析不难看出加强网络最低安全需求研究对于网络的整体发展具有重要的意义。 3国内外MSR研究现状 国外在对最低安全需求研究方面已早有投入，美国在二十世纪80年代就开始研究最低安 ·726· 全需求的问题，并成立了最低安全需求工作组(MSRWG)。在英、德、荷等国也有类似的研 究机构，1992年由美国国家技术与标准局(NIST)等部门联合推出了多用户操作系统的最低 安全功能需求(MSFR)，它对在指定安全等级下的安全需求进行了详细的说明，NIST同时 还开展了最低安全保证需求(MSAR)的研究工作。MSFR主要是面对需传送敏感而非保密 信息的政府和商业部门，为它们提供合理的第一道安全防线，这相当于对象安全的一个最低 门限。我们经常可以看到有些部门配置了许多安全产品．但是作为身份认证的重要手段的口 令设置却很不科学，攻击者可以通过口令攻击进入系统，其它的安全策略很可能就是不攻自 证、访问控制、责任、审计、对象重用、精确性、服务可靠性及数据交换等作了具体的需求 陈述。其对这些需求的说明均具有很强的可操作性。 ．#：：：：：{====：：：：；====：：：：j====：：：：Z：：：：：； 乱 帅 n 箭 i 芑 ∞n 兰 E帅 n 蚴 S托胁 ¨竹∞拍蛇佰叫晒。