奥运安保与信息安全保障.pdfVIP

21 2009．o·I匿圜I 如果移动存储设备需要携带外出与其他系统进行信息交 模型控制。监视用户各种操作，可根据用户行为自动改变用户 流，移动存储介质中的内容须经过控制中心格式转换后方可 的级别状态，根据安全策略动态控制系统资源的访问。 进行。 2．网络动态物理隔离。动态监控交换机依据多级安全 多级可信的网络计算平台 策略实现主机与外网以及网内主机|’日J的物理隔离。用户和系 现有的局域网通过打补丁或者补漏洞的方法无法从根本 统资源(文件、设备、网络等)被分为多级，用户从低级资源 上解决安全问题。要从计算机网络计算结构和信息处理模式 向高级资源访问后，不能再访问低级资源。终端关闭重启后， 上进行探索，构建既方便信息资源利用，又便于信息资源安全 用户回到最低级别，可再访问低级资源。例如，用户开机时 管理的网络计算体系。清华大学研制的多级可信网络系统在 级别为低级，当其访问低级互联网资源后又访问高级的秘密 这方面进行了有益探索。通过“动态监控交换机”连接可信终 信息，此时系统将随用户访问级别的变化而变化，这样该用 端和各种服务器，将所有的操作系统和数据，实施集中统一 户将不能再访问互联网。由于关机后终端上的所有信息全部 管理。提高了用户操作系统的安全性，保证敏感信息在网络 清除，重新启动后访问互联网也无法泄漏系统的秘密信息。 中得到安全处理和存储。真正实现了信息和计算资源可控。 3．终端计算资源的主动控制。终端上OS来自系统服务 采用透明计算技术的“可信终端”运行来自系统服务器 器，用户无法修改；服务器还可对终端的用户进程进行监控。 上的操作系统，保证操作系统始终处于良好的“健康状态”。 将所有的用户终端软件进行注册，没有经过注册的软件将无 用户的程序和数据不在可信终端中保存。终端启动时，全部 法运行。 程序和数据由“系统服务器”提供，终端关闭后所有数据和程 4．基于角色的访问控制。系统可以安全地保护所访问 序将全部清除。 的客体，主体也能够得到应有的访问权限。 “动态监控交换机，’是系统关键的设备，功能是控制监视 、5．历史审计与实时监控。审计监控是内网安全管理中 可信终端的网络通信，实现动态的网络隔离；对可信终端进 必要的技术手段，系统对每台机器的操作进行审计j 行访问和控制，实现多级安全访问控制模型；网络资源的集 6．基于多级安全策略的安全电子邮件系统。 中监控，包括监视可信终端的各种数据访问行为，实施基于 多级可信网络计算平台的特点： 角色的访问控制。 1．与传统的网络系统不同，可信终端用户采用独立权限 “系统服务器”为可信终端提供可靠的操作系统和应用程 管理，用户只能使用自身权限范围内的资源，任意网络信息交 序；统一存储，集中管理各种资源。“数据服务器”为用户存 换将受到控制。 放数据。在“动态监控交换机”的可靠控制下，服务器中的系 2．在多极可信网络环境下’涉密用户的行为受到控制， 统和数据不能被非法访问。 非受权的用户访问、修改和设定文件，在这个系统里被严格控 “应用系统服务器”可提供多种网络服务如内网的Web制。 信息系统、打印服务器、邮件服务器等。此外，还可以提供 3．系统中程序运行受到控制，恶意程序被禁止运行。 其它基于内网的服务。在提高系统安全性的前提下保证系统 4．多极可信网络系统的安全性经过严格的形式化证明。 ㈣性。