专用内部网络安全与信任体系建设.pdfVIP

专用内部网络安全与信任体系建设 姜建国刘 渊王开云 中国工程物理研究院信息安全技术中心 摘要加强信息安全基础设施建设，特别是信任体系建设。是构建信息安 全保障体系的首要前提。本文针对一种专用内部网络环境，提出相关内网安全框 架和信任体系建设的谩计思路．并且特别阐述了内网信任体系建设需要注意的 问题。 关键词信任体系CA中心证书 1．引言 2003年9月，国家有关部门颁发了《国家信息化领导小组关于加强信息安全保障工作 的意见》(中办27号文)，从国家层面上全方位地考虑构建国家信息安全战略体系。27号 文件除明确提出了加强信息安全保障工作的总体要求和主要原则外，还从安全等级保护、 网络信任体系建设、安全监控体系、安全应急处理、安全技术研发、安全产业发展、安全 法制建设、安全人才培养以及安全管理责任制等方面提出了具体要求。而加强信息安全基 础设施建设，注重体系建设、整体设计是构建信息安全保障体系的首要前提。 专用内部网络环境涉及到处理复杂设计、计算及仿真业务的计算机专用网络、科研办 公网络、涉密单机等，各类网络之间、内外网之间都是物理隔离，应用范围也不断深入和 (CAM)等，作为涉密计算机网络，信息资源的共用性和保密管理的限制性成为必须调和 的矛盾。因此，用户权限的划分、多级访问控制、身份鉴别、审计、监控等方面的管理和 控制措施，以及建立相关信息安全技术体系架构成为必备条件，而信任体系建设首当 其冲。 ． 专用内部网络环境有着自身的特点，应用类别多，软硬件环境复杂，可以概括为异 构、海量、黑盒、高集成，高密级等，虽然也采取了一些必要的安全保护措施，但仅仅着 眼于解决单点问题，如强身份认证系统、数据加密系统等，而且不同的安全系统施加在同 一网络环境中，已经出现了产品间的相容和关联、配置和冲突等问题。实际上信息安全技 术措施和对策在实际使用过程中，应该从体系和整体的角度出发，将这些技术有机地结合 起来，才能发挥事半功倍的作用。信息安全绝不等于安全产品的堆砌，简单合并并不能解 决全部问题，甚至会带来新问题，必须从体系高度来探讨整体性信息安全技术架构，为专 用内部网络的安全保障提供整体解决方案和技术路线，从而切实保障信息与信息系统的 专用内部网络安全与信任体系建设1l 安全。 2．专用内网安全框架 信息安全就是要保证信息的保密性、完整性和可用性。后来增加了信息和系统的可控 性、信息行为的不可否认性要求。同时，人们也开始认识到安全的概念已经不局限于信息 的保护，人们需要的是对整个信息和信息系统的保护和防御，于是出现了信息保障的概 念。美国国家安全局制定的《信息保障技术框架》(IATF)则是这个时代的一个典型标志。 in 信息保障的核心思想是纵深防御(DefenseDepth)。所谓纵深防御就是采用一个层次 化的、多样性的安全措施来保障用户信息及信息系统的安全。纵深防御的含义是多方面 的，它试图全面覆盖一个层次化的、多样性的安全保障框架。IATF认为大多数用户的安 全需求不可能在任何单一的技术领域中解决，而是通过多种安全技术的综合来解决的。 根据IATF的思想，需要结合专用内部网络的结构和特点，把握整体的网络与信息安 全需求，以构建稳定、可信赖的网络环境。专用内部网络安全保障框架可以构建如图 所示。 应用环境安全荫护 应用区墟边界安全确护 俺络和通信传输安全侪护 I 物理安全，l 运行安全 边界防护 存储与传输 I 信皇基础设施系统 圈1专用内部网络安全保障框架 图中表示了信息安全体系、应用系统、网络基础设施及其各个环节的主要内容和相互 关系。 其中。安全体系与信息基础设施之间应该是相互支撑的关系。如物理安全(环境、设 备、介质)，运行安全(备份与恢复、病毒防治、电磁兼容)、边界防护、存储