某部通信实验室信息系统安全防护方案

某部通信实验室信息系统安全防护方案
2010年第8期
计算机光盘软件与应用
ComputerCDSoftwareandApplications软件设计开发
某部通信实验室信息系统安全防护方案
应云龙,郝威
(海军工程大学,武汉430033)
摘要:从某部通信实验室信息系统面临的安全威胁出发,在安全域划分的基础上构建信息系统安全防护体系,提出
具体的安全防护解决方案.
关键词:信息系统安全;安全防护;安全管理
中图分类号:TP39308文献标识码:A文章编号:1007—9599(2010)08—0139—02 CommunicationLaboratoryInformationSystemSecurityCase
yingYunlong,HaoWei
(NavyUniversityofEngineering,Wuhan430033,ChinaJ
Abstract:Communicationslaboratoryinformationsystemsecuritythreatsfacingthestart,in thesecuritydomainbasedonthe divisionofbuildinginformationsystemsecurityprotectionsystem,specificrecommendatio nsforsecuritysolutions.
Keywords:lnformationsystemsecurity;Securityprotection;Safetymanagement
当今世界军队发展与建设的实践表明,一支军队的信息化水
平越高,对信息系统的依赖性就越强,军事信息安全问题就越突
出.某部通信实验室是承担相关军事科研,军事通信的重要场所,
如果该实验室的信息系统安全得不到保障,将会对国防和军队带
来巨大的隐患.
一
,
面临的安全威胁
归纳起来,通信实验室信息网络面临着同一般军事通信网类
似的两类安全威胁.一类是被动攻击,敌方可能以窃取信息为主
要目的,通过搭线窃听,信号侦收,流量分析,协议分析,密码
破译等手段窃取各种信息;另一类是主动攻击,敌方可能通过假冒,伪造,篡改,重放,非授权访问,拒绝服务,恶意代码等方
式,破坏信息网络的正常通信.除上述两类安全威胁外,实验室
信息网络还面临着恶意和非恶意的内部攻击.由于内部人员知道系统的部署,知道有价值的数据存于何处,并且知道已采取的安
全防范措施,因此恶意内部人员攻击是最难检测和防范的.
<豢二毫Z==========::荨=====:鼍::毒………一f,～掺一,
图一XXX通信实验室信息系统安全防护体系
二,安全防护解决方案
(一)安全防护方案设计
安全需求是进行信息系统安全设计的基本依据,分等级保护
是实现信息系统安全保护的有效方法.两者都是按照信息安全等级保护要求进行信息系统安全设计的基础和前提.针对通信实验室信息系统实际使用情况,我们确定以业务系统为中心的安全需求,参考IATF安全域划分的思想,按照"3+1同构性简化"的方
法,对通信实验室信息系统进行安全域的划分,在横向上,把通
信实验室信息网络划分为支撑设施域,网络设施域,边界接入域
和用户域;在纵向上,按照涉密程度和我军的保密法规把通信实
验室信息网络划分为内部,秘密,机密,绝密等不同密级的安全
域.在安全域划分的基础上,我们构建了实验室信息系统的安全
防护体系,如图一,该信息系统的安全防护由"三道防线,一个
中心"组成,三道防线是外网边界安全防护防线,内网通信安全
防护防线,终端/服务器安全防护防线,一个中心是安全管理中心. 第一道防线为上级指挥中心等外部通信系统与通信实验室信息系统互联互通提供安全保密,第二道防线为通信实验室内部业务网
络提供安全防护,第三道防线为计算机终端/服务器提供安全防护,安全管理中心统一制定安全策略,统一管理各类安全设备. 1.外网边界安全防护.
外网边界安全防护是通过在外部通信设备与内部通信业务系
统的入口处部署安全防护设备,实现身份鉴别,访问控制,入侵
检测,安全审计,信道加密等安全防护机制,在外部通信系统与
通信实验室信息系统互连互通时,防止非法连接和网络入侵,提供对外无线通信和有线通信的机密性保护,为外部环境与内部通信系统的互连互通提供安全防护.
2.内网通信安全防护.
内网通信安全防护主要是为通信实验室内部业务网络提供安
全防护,包括:
(1)通过基于安全隔离的受控交换机制,为基于IP的应用
业务系统(如通信综合管理系统,视频会议系统,视频监视系统, 综合业务处理系统等)的网间访问提供安全保障,防止越权访问和网络入侵:
(2)通过入网身份识别,鉴权等安全防护机制,确保通信实
验室内无线通信用户身份的真实性,防止假冒.
3.终端/服务器安全防护.
终端/服务器安全防护通过主机监控,网络防病毒,用户身份
认证,主机入侵检测和网络扫描等安全防护机制,为计算机终端和服务器提供主机安全防护,防止终端非法操作,防止网络病毒和主机入侵,阻断非法终端入网访问.
4.安全管理中心.
安全管理中心通过构建实验室统一的安全管理系统,对实验
室的安全设备,证书及安全策略实施统一配置和管理.
安全管理中心提供以下功能:
(1)证书管理能够统一产生,登记,注册,发布,更新,
吊销用户的数字证书,统一获取,管理和下发设备证书,使用数
字签名技术防止证书的盗用和篡改.
(2)安全防护设备管理.统一管理实验室内的网络接入隔离
控制设备和主机安全防护设备等安全防护设备,并支持分级式的管理,远程配置,状态监控,命令下发和维护,给管理人员提供
一
个统一的图形化管理界面,实时把握通信实验室信息系统的全
局安全态势,构建一体化的安全防护体系.
(3)安全策略管理.给管理人员提供一个安全策略管理界面,
使其能够统一编辑,下发安全策略,使各种安全防护设备能够按
照统一的安全策略协同工作,并减轻管理人员的负担.
(4)安全事件管理.统一收集各种安全防护设备上报的安全
事件,对安全事件进行格式化,归并和关联分析,从而在一个较
高的层次发现一些潜在隐蔽的攻击行为.同时能够生成安全事件的报告,支持查询和检索,以图形化的方式展现通信实验室信息
系统的全局安全态势.
软件设计开发
计算机光盘软件与应用ComputerCDSoftwareandApplications2010年第8期
图二XXX实验室信息系统设备部署示意图
(二)设备部署
通信实验室信息系统针对通信系统的安全保密需求,构建了
"三道防线,一个中心"的一体化安全防护体系.通过在实验室
信息系统中部署XXX网络接入隔离控制设备,XXX主机安全防护设备,XXX保密设备和XXX安全管理设备等,部署示意图如图二, 成体系地解决了局域网终端和服务器安全,不同安全等级网络受控互通,外部通信实体无线接入的访问控制,外部通信传输保密
和安全防护设备统一管理等安全问题,成系统地保障了实验室信息系统的通信安全与保密.
(三)面向未来的升级改造
本课题的设计考虑了面向未来的升级改造需求,主要体现在:
1.在安全管理方面.
采用总部统一的安全管理协议,未来可支持总部上一级安全
管理中心的统一管理.
2.网络隔离控制方面.
我们提升了平台性能,预留了接口,能够为更复杂的应用环
境提供扩展基础,同时能适应未来业务扩展的需求.
3.在主机安全防护方面.
我们采用了软件功能模块松耦合设计,能够方便地以动态链
接库等形式加入新的功能模块,适应未来功能扩展的需求.
4.证书管理体制与总部指挥专网证书管理体制相适应.
三,安全管理
(一)完善安全管理规章制度
建立健全的安全管理体制将是信息系统安全得以实现的重要
保证.我们特制定了《x)【)(通信实验室信息系统安全管理细则》, 内容包括信息安全政策,安全组织,信息资产分类管理,安全守
则,设备管理和操作规程等.由专人负责信息安全系统建设制度
和方针的制定,运行管理的监督检查,新购安全软硬件设备的审查,贯彻安全管理方针.?
(二)增强信息安全意识
高素质的信息管理人才和技术队伍是实现安全管理的最基本
的保障.增强通信实验室工作人员的防范意识是在信息安全工作中应该首先着重解决的问题.因此,必须组织开展多层次,多方
位的信息安全宣传和培训,建立一个安全培训机制,增强工作人
员的安全防范意识和防范能力.
四,结束语
系统解决的是目前军事通信所面临的最迫切的安全保密需
求,该课题采用了成熟和先进的技术体制,经专家评估鉴定,系
统组成合理,安全设备配置得当,在操作使用性能,环境适应性,
电磁兼容性,供电和通用化标准化等方面均满足相关指标要求,
能够满足通信实验室信息系统安全防护的基本需要.
参考文献:
【1】黄月江,祝世雄.信息安全与保密,北京:国防工业出版社【M】.2008 『21韦文思,徐津.信息安全防御技术与实施,北京:电子工业出版社[M】.2009
作者简介
应云龙,硕士,研究领域:军事通信;郝威,副教授,硕士研究
生导师,研究领域:军事通信.
(上接第138页)
性质或模式,它的相似度匹配方式与关系数据库SQL查询相
似.搜索的模版可以根据用户的需求进行编辑修改.其中主特征
属性包含的种类有冲突的类型,发生冲突的特征名称和约束.辅
特征属性则包含编号,名称及设计参数.主和辅的特征属性共同
构成了事例检索的模型.其中主特征属性是必须出现的,辅特征
属性可以更具具体的情况进行删减.
这里通过点击途中"冲突信息描述"后得到冲突的标准化描
述.包括图案的名称,图案组件名,图案特征的名称,冲突的类
型,约束表达式,约束描述,冲突主体等等.通过冲突的信息描
述完成冲突的规范化,从而可以应用数据库中的事例模型.
(三)事例推理
事例推理需要依靠冲突管理的数据库.冲突管理的数据库维
护与规则维护相关联,约束规则库约束的是存储约束规则的包括
表达式,预处理规则等相关的信息库.冲突消解事例库中对之前
冲突解决方案的事例,并且得到领域的专家认可的方案进行存储,
作为冲突过程中的事例检测和索引的相关操作.冲突关系的规则
库则存储着协同设计过程中系统内部的冲突关系的相关信息,规
则库中还包含冲突应当遵循的解决顺序的数据,这也是冲突解决
的依据.本文的数据规则库可以根据系统的需要进行动态的添加
和删除,以便于对规则库的更新.对于某些特殊的领域规则库,
可以根据需要单独对系统里面添加.
点击事例推理按钮进行推理,系统会对相似事例库进行检测,
如果存在相似事例,则显示检测出的相似事例及其相似程度,并
给出相似事例的具体描述,单击"选择相似事例"按钮,可将所
需的事例信息提取出来,消解的结果可以为冲突的消解提供一定的参考.
(四)冲突的消解
冲突消解过程中,首先冲突判断首先会进入冲突检测的模块,
通过读取冲突约束规则库对冲突进行检测,得到冲突后对冲突进行登记后形成冲突登记表.冲突登记表分别为冲突分类表,冲突
关系表和冲突顺序调节提供登记的信息.冲突关系表根据冲突关系规则库来判断冲突关系,反馈的结果直接进入冲突顺序调节器. 冲突顺序调节器依靠冲突顺序规则库里面的规则对冲突顺序进行调节.冲突消解模块通过读取冲突顺序调解器中的冲突顺序和冲突分类表对冲突进行消解.在消解的过程中,首先应用事例推理
的策略,然后遵循冲突消解规则库中的规则和冲突分类,利用回溯,知识推理,约束松弛和协商仲裁的方法对冲突进行消解.
设计者根据相似事例提供的冲突消解的建议,然后针对本冲
突的实际情况,在对该冲突消解建议修改的基础上得到冲突的消解方案,该冲突消解方案通过检测后进行发布,直接用于冲突的
消解.
姣冲突消解前冲突消解后
上图为冲突消解前后的效果图.冲突消解前,图案的种类太
多和所占画布比例过大,整幅图案显得较乱.通过事例推理后得
到相似事例的处理方式,通过应用减少图案数量为4种和删除中间位置图案后,图形冲突得到消解,冲突消解后的图案显得规则
大方,符合审美习惯.
三,本章小结
本章通过一个图案设计在协同设计过程中的冲突检测和应用冲突消解策略进行论述,主要包括了冲突的检测,冲突的描述, 相似事例推理,冲突消解四个过程,对协同设计中的冲突检测和消解提供了解决的思路.
参考文献:
…李详,王东哲等.协同设计过程中的冲突消解研究.科技成果,2001,1:32-25
『21黄镇谨.协同设计中冲突管理的研究.科技信息(学术版).2008,4:21-22
作者简介'
杨永亮(1982-),男,山东淄博人,山东丝绸纺织职业学院教师,
中国海洋大学在职研究生,研究方向:计算机网络技术.
一
14O一。