网络安全域划分与信息流向控制的探讨.docxVIP

□ 杨瑞华向导余艳张林陈乐孟庆惠刘琴华中国工程物理研究院核物理与化学研究所摘要：简要分析了安全域划分的现状和必要性，叙述了信息流向控制的管理方法和技术措施，结论认为控制信息的知悉范围是流向控制的根本。关键词：安全域；流向控制；密级；知悉范围；信息交换1 引言络使用者的感觉就是接入网络的计算机都是同一密级，进而导致信息随意发送。另外，与计算机对应人 员的涉密程度也无法界定。笔者认为，要满足国家要求，就要控制信息的知 悉范围，安全域管理才是逐渐满足这一要求的办法。 不能仅仅从形式上遵从信息流向要求，还要结合要求 采取有效措施满足实际需要。另一方面，无论网络是同一种密级还是不同密 级，都需要进行密级信息的流向控制，这才是管理和 技术要求的根本。基于以上几点，有必要在此对网络安全域和信息在同一个网络中，内部涉密网络是按照不同密级进行安全域划分的。国家要求在进行网络测评时， 必 须 采 取 技 术 措 施 禁 止 高 密 级 信 息 流 向 低 密 级 计 算机。因为这一要求没有特别有效的解决办法，于是 用户普遍将所有接入网络的低密级计算机提升密级， 也就是说整个网络为同一密级。这样做的好处是显然 的，网络可以通过测评。但其带来的后患也是显然的， 提升密级的计算机自身需要更多的防护，同时带给网54 | 保密科学技术 | 2010 年 9 月网络 安 全 域 划 分与信息流向控制的探讨学术交流A c a d e m i c E x c h a n g e s流向控制作个探讨。通，也可以参照此方法，将信息系统所在的集团公司和军工企业分别划分到不同的安全域。 基于地域分布划分安全域主要适用于涉密信息系统跨公共区域的情形。 基于业务类别划分安全域主要适用于信息系统内多个业务应用系统的使用人员范围交叉比较少的 情形，比如财务系统只有财务人员使用，设计类应用 系统只有设计人员使用等，把没有信息交换需求的计 算机信息系统划分到不同安全域。划分安全域可以综合上述多种安全域划分方法。 如果涉密信息系统是一个园区内的网络，存在涉密人 员需要操作、使用、访问多个业务应用系统的情形， 可以综合信息密级和业务类别划分安全域。2 安全域划分要求关于安全域的划分，标准提出了明确的要求，涉密信息系统可根据信息密级、系统重要性和安全策略 划分不同的安全域。安全域之间的边界应划分明确，所有数据通信都 应安全可靠，禁止高密级信息由高等级安全域流向低 等级安全域。明确须进行安全保密防护的边界，在明确的安全 域边界应实施有效的访问控制策略和机制，安全域之 间的数据访问都应通过安全边界完成。不同的安全域可单独确定等级，并按照相应等级 的保护要求进行保护；同一等级的不同安全域也可根 据风险分析的结果和实际安全需求，选择采用不同的 保护要求进行保护。应根据信息安全对抗技术的发展，在系统或安全 域边界的关键点采用安全防护措施；机密级增强型网 络要求还要求采用安全隔离与信息交换系统进行边 界防护。3.2 明确边界一个物理联通的网络如果划分了多个安全域，各安全域之间需要有清晰的边界，在明确的安全域边界 需要有访问控制策略和机制，安全域之间的数据访问 都应通过安全边界完成。划分安全域后，需要基于安全域的划分方法，如 果有必要，就适当调整网络布线，通过交换机、防火 墙、安全网关和安全域访问控制系统等明确各安全域 边界；再通过设置交换机、防火墙、安全网关和安全 域访问控制系统的访问控制策略，实现安全域之间的 数据访问控制。网络层面的访问控制和基于业务应用 系统自身的访问控制都需要通过安全域边界完成。3 安全域划分需求3.1 划分方法涉密信息系统中互联互通的计算机、应用系统 和服务器等需要基于处理信息最高密级、行政级别、 地域分布、业务类别等划分安全域。基于处理信息的最高密级划分安全域主要适用 于如下情形：每台计算机与服务器产生、传递、使用、 处理和存储的信息密级比较明确；处理相同密级信息 的计算机、服务器相对比较集中；涉密信息的传递、 共享（知悉范围）主要在同一等级安全域内。基于行政级别划分安全域在电子政务信息系统 中比较适用。但如果是军工集团的信息系统互联互3.3 信息传递涉密信息在各安全域之间传递和交换，需要采取 技术措施，以禁止高密级信息由高等级安全域流向低 等级安全域。这需要实现涉密信息不可篡改的电子密级标识， 并需要实现基于密级标识的访问控制和信息流控制。 目前市场上没有基于信息密级标识的访问控制和信 息流控制类的产品，也没有完全实现基于密级标识的 访问控制和信息流控制的业务应用系统。2010 年 9 月 | 保密科学技术 | 55学术交流A c a d e m i c E x c h a n g e s4 信息