网络等级保护中的边界防护机制.pdfVIP

网络等级保护中的边界防护机制 ·37· 网络等级保护中的边界防护机制 杜皎 北京7227信箱4分箱 摘要：多级安全(MLs)是网络等级保护的实质内容，目前却没有真正的MLs解决方案。现 在等级保护的方法个独立的安全级别(MILs)中，边界防护是最为重要的机制之一。本文较为全 面细致地论述了可以用于MILS的各种边界防护机制，并提出一种综合的边界防护机制一一数据 交筷串心，通过各种机制的合作与联动达到等级保护的良好效果。该综合机制在实际应用中表现 良好。 边界防护机制 关键词：等级防护 多级安全(MLs)多个独立的安全级别(MILs) 一、引言 专用网(VPN)以及对于远程用户的标识与鉴别／ 访问控制；有效的监视机制包括基于网络的入侵检 随着下一代网络与通信设备的广泛采用，网络 测系统(IDS)、脆弱性扫描器与局域网中的病毒检 等级保护越来越成为一个难题。传统的安全策略安 测器。 全对系统和不同安全级的数据进行严格的物理隔 离。但是，物理隔离显然违背了等级保护为不同等 二、边界防护机制 级数据提供通信的初衷，并且随着SDR(Software DesignedRadio)在各个领域中的应用，物理隔离已 某个网络内部的用户可以通过网络连接、专线 经越来越难以实现。 连接或拨号连接来访问外部信息。访问方法有： Level 多级安全(MultiSecuritv．MLS)是网络 等级保护的实质内容。MLS要求一个通信设施能 够同时进行不同安全等级的数据通信，并且某安 有各种代理共同组成的因特网与企业网及主机。这 全级别网络上的数据既要与较低安全级别网络进 样一种涉及多访问级别问题的环境，边界保护非常 行通信，同时也要与较高安全级别的网络进行通 必要，只要网络相互连接，就要为保护网络边界上 信。因此，可互操作性的实现需要一个完善的MLS 的结点实施安全策略。 解决方案，要求对高可靠的硬件和软件进行集成。虽 边界保护主要考虑的问题是如何使某个安全 然可编程密码的实现有望成为一种良好的解决办法， 等级的网络内部不受来自外部的攻击，提供各种机 但现在还没有真正的MLS解决方案。目前等级保护 制防止恶意的内部人员跨越边界实施攻击，防止外 的方法是采用多个独立的安全级别MⅡ，S(Mul石Dle， 部人员通过开放门户／隐通道进入网络内部。边界防 Levels)系统及组件。 IndependentSec嘶ty 护包括许多防御措施，还包括远程访问安全级间互 采用MILS来进行不同网络等级的安全保护， 操作等许多功能。 边界防护是最重要的机制之一。边界防护指的是如 边界防护策略要求对所有进入网络内部的数 何对进出该等级网络的数据进行有效的控制与监 据进行入侵检测，采用足够的措施对高安全级别的 视。有效的控制措施包括防火墙、边界护卫、虚拟 一方实施保护，同时加密技术不得损害检测性能： ·38· 全国计算机安全学术交流会论文集 另外，为某一级别安全网络提供远程访问的系统和 护的环境中隔离不同的利益群体，在不同安全级 网络必须与该等级安全网络的安全策略一致，所支 别的网络中提供逻辑的数据隔离。另外，通过适