1、土壤墑情網絡監測主機的全方位層式安全模型設計及評價         摘  要 土壤墑情網絡監測系統的洪澇、干旱及火災等報警功能關系著生命財產的安全，作為系統核心的監測主機的安全至關重要。通過全面分析監測主機可能面臨的病毒、黑客、硬件故障、操作人員因素、自然災害等安全威脅，以預防和恢復為指導思想，確定具體的安全策略，進而建立起監測主機的全方位層式安全模型。該模型具有預防、恢復、審計追蹤三層，綜合考慮了各種安全威脅，具有全方位的保護作用。采用可信計算機系統評測標準對該安全模型進行了評價，結果表明其安全性能較高

2、。   關鍵詞 安全模型；安全評價；土壤墑情；網絡監測1  引言   土壤墑情是重要的土壤信息，可以預報洪水和干旱，是農作物和森林樹木生長的重要生態因素之一。土壤墑情網絡監測系統通過監測土壤墑情數據，具有預測和預報森林土壤墑情和洪水、干旱及火災等災害的功能。土壤墑情網絡監測主機擔負著數據庫服務器和網絡服務器的功能，一旦其遭到破壞，整個土壤墑情網絡監測系統將癱瘓，失去洪水、干旱及火災等災害的報警功能，可能造成重大的生命財產損失。因此，土壤墑情網絡監測主機的安全保護極其重要。本文通過深入分析土壤墑情網絡監測主機可能面臨的各種安全威脅，提出了一種全方

3、位層式安全模型，并采用美國國防部和國家標準局的可信計算機系統評測標準對該模型進行了評價。2  土壤墑情網絡監測主機可能面臨的安全威脅   一種典型的土壤墑情網絡監測系統的結構如圖1所示。在該系統中，監測主機一方面接收來自溫度、濕度及孔隙度傳感器的數據，通過處理后進行存儲；另一方面作為網絡服務器，通過internet為遠程終端提供監測服務。它擔負著數據庫服務器和網絡服務器的角色，是整個系統最核心的部分。其中安全威脅包括病毒、黑客入侵、計算機硬件故障、操作人員因素、自然災害等，下面進行具體分析。   (1)病毒。與光盤、軟盤、磁盤、U盤，尤其是跟I

4、nternet的交互，可能使系統染上病毒。系統遭到病毒破壞造成的后果可能包括一些重要資料被竊??；系統資源被嚴重占用，系統工作效率低下；操作系統癱瘓，系統完全無法工作；硬件損壞，系統無法正常工作1。   (2)黑客入侵。由于遠程監測的需要，使系統處于風險極大的Internet環境下。由于以太網絡的開放性以及系統的自身缺陷，使系統極容易被黑客入侵。系統被黑客入侵造成的危害可能包括數據文件被刪除；系統被非法操作，甚至生產設備的運作也被控制，測控現場被破壞，造成重大的經濟損失。圖1 一種典型的土壤墑情網絡監測系統的結構   (3)計算機硬件故障。由于老化、燒毀等

5、各種原因，計算機的硬件可能會出現故障。計算機硬件故障造成的破壞是系統的正常工作被暫時中斷。   (4)操作人員因素。由于部分操作人員越權操作或者非規范化的操作可能造成數據的文件的誤刪除；生產設備被錯誤控制等破壞。   (5)自然災害。由于火災、水災、雷擊、臺風、地震等各種自然災害，可能給系統造成破壞，這些破壞可能包括部分硬件損壞；所有硬件損壞；所有數據資源丟失等。3 土壤墑情監測主機的全方位層式安全模型的設計3.1 安全策略   土壤墑情網絡監測主機采取“預防和恢復”相結合的安全策略，對其進行全方位的保護。一方面，盡可能建立穩固的安全

6、防范體系；另一方面在安全防范體系被突破時，能夠迅速恢復系統的正常工作。   下面從以上分析的安全威脅出發，確定土壤墑情網絡監測主機的具體安全策略。   (1)病毒。病毒的防治分四個層次，如圖2所示。第一層是預防1層，防范措施就是給系統裝上防病毒軟件，定期更新防病毒軟件的殺毒庫，這一層可將大部分病毒拒于系統之外，保護系統的基本安全；第二層是預防2層，定期更改系統用戶的密碼，減少“一些重要數據資料被竊取和破壞”的危險，在一定程度上預防突破了預防一層的惡性病毒的影響；第三層是恢復一層，掃描系統和查殺病毒，在這一層，可消除大部分侵入系統的病毒造成的危害；第四層是

7、恢復2層，啟用備用系統，徹底消除殺毒軟件無法殺掉的病毒的影響，同時可恢復病毒造成的系統“硬件損壞”。圖2  病毒的防治   (2)黑客入侵。黑客入侵的防治分三個層次，如圖3所示。第一層是預防一層，通過“被屏蔽子網”，將監測主機與Internet隔離開來，在這一層，可以阻止大部分技術水平一般的黑客入侵；第二層是預防2層，通過控制命令編碼的方式，阻止突破預防1層，進入監測主機的黑客操縱主機，從而減小監測主機的控制功能被濫用的危險；第三層是恢復1層，定期對數據文件進行備份，消除“數據文件被刪除”的危害。圖3  黑客入侵的防治   (3)計算

8、機硬件故障。由于計算機硬件出現故障具有“突發”和“不可預料”性，故計算機硬件故障的預防通常沒有有效的方法。計算機硬件故障的防治只有恢復1層，如圖4所示，通過啟用備用系統，消除“系統的正常工作被暫時中斷”的影響。圖4  計算機硬件故障的防治   (4)操作人員因素。操作人員因素的防護分三個層次，如圖5所示。第一層是預防1層，通過設立角色，并給每個角色指派相應的權限，消除“部分用戶越權”操作而造成的系統損害工作；第二層是預防2層，通過控制命令編碼的方式，防止操作人員因“非規范化的操作”而造成的危害；第三層是恢復1層，通過數據文件的備份，恢復由于操作人員失誤而造成的“數

9、據文件被誤刪除”的危害。圖5  操作人員破壞的防治   (5)自然災害。自然災害的防護分三層，如圖6所示。第一層是預防1層，使系統處于防火、防潮、防雷、防風、防震的環境，在一定程度上防止自然災害造成的危害；第二層是恢復1層，通過異地數據文件的備份，恢復監測主機的數據文件；第三層是恢復2層，通過異地存放的硬件系統，恢復由于監測主機硬件損壞造成的危害。圖6  自然災害的防治          3.2  全方位層式安全模型   根據以上分析，

10、建立土壤墑情網絡監測主機的全方位層式安全模型圖7所示。土壤墑情網絡監測主機的全方位層式安全模型分三層，分別是預防層、審計追蹤層和恢復層。圖7  全方位層式安全模型   在這三層中，預防層走在“最前線”。預防層通過五大“軟硬”結合的措施，建立起網絡監測主機的牢固安全屏障，抵御幾乎所有網絡安全監測主機的安全威脅。預防層的五大措施包括：   給系統裝上防病毒軟件，定期更新防病毒軟件的殺毒庫。   設立角色，并給每個角色指派相應的權限。   被屏蔽子網。   控制命令編碼。 

11、0; 使系統處于防火、防潮、防雷、防風、防震的環境。   恢復層主要是在預防層失效后進行是事后補救工作。恢復層的里采取的措施有三個：掃描系統查殺病毒是簡單的清理工作；數據文件備份保證系統的歷史數據不會丟失；硬件系統備份保證系統在硬件受到破壞時可立刻恢復正常工作。   審計追蹤層是記錄入侵情況，為追究非法入侵者的法律責任提供證明，發現安全漏洞。4  土壤墑情網絡監測主機的安全模型評價   計算機系統中的3類安全性指技術安全性、管理安全性、政策法律安全性。但是，一個安全產品的設計是否符合規范，是否能解決計算機網絡的安全問題，不同

12、組織機構各自都制定了一套安全評估標準。一些重要的安全評估準則有：   美國國防部(DOD)和國家標準局(NIST)的可信計算機系統評估準則。   歐洲共同體的信息技術安全評估準則(ITSEC)。   ISO/IEC國際標準。   美國聯邦標準。   其中，美國國防部和國家標準局的可信計算機系統評測標準TCSEC/TDI將系統劃分為4組7個等級，如表1所示。   以美國國防部和國家標準局的可信計算機系統評測標準來評價實時數據庫的安全性能。   可信計算機系統

13、評測標準規定的安全等級從 D 到 A1，要求逐漸變得越來越苛刻，安全處理所需費用也相應提高。安全團體一般都認為，從一個通用的商業 OS 中得到 C2 級安全已經足夠好了；還有一些更高等級的系統，大多是用于非常專業的環境中。表1  安全級別組安全級別定義1A1可驗證安全設計：提供B3級保護，同時給出系統的形式化隱秘通道分析和非形式化代碼一致性驗證2B3安全域：該級的TCB必須滿足訪問監控器的要求，提供系統恢復過程B2結構化安全保護：建立形式化的安全策略模型，并對系統內的所有主體和客體實施自主訪問和強制訪問控制B1標志安全保護：對系統的數據加以標志，并對標志的主體和客體實施強制存取控制3

14、C2受控訪問控制：實際上是安全產品的最低檔次，提供受控的存取保護，存取控制以用戶為單位C1只提供非常初級的自主安全保護，能實現對用戶和數據的分析，進行自主存取控制，數據的保護以用戶組為單位4D最低級別，保護措施很小，沒有安全功能   土壤墑情網絡監測主機的多方位層式安全模型符合可信計算機系統評測標準的規定有：   (1)符合B2等級中“建立形式化的安全策略模型”的規定：分析了土壤墑情網絡監測主機可能面臨的所有安全威脅，然后針對這些安全威脅提出了防治方法，在這個基礎上，建立起全方位的層式安全模型。   (2)符合B2等級中“對系統內的所

15、有主體和客體實施自主訪問和強制訪問控制”的規定：設立角色，并給每個角色指派相應的權限，控制系統內所有主體對客體的操作；通過非屏蔽子網控制系統外主體的對系統內客體的操作。   (3)符合B2等級中“TCB應結構化為關鍵保護元素和非關鍵保護元素區分關鍵”的規定：由危險程度確定控制功能的保護最為關鍵，并采取了控制命令編碼的保護措施。   (4)符合B2等級中“應具備相當的抗滲透能力”的規定：通過安裝防病毒軟件和定期更新病毒庫，抵抗病毒的滲透；通過非屏蔽子網，抵抗黑客的滲透。   (5)符合B3等級中“提供系統恢復過程”的規定：通過數據文件備份，可對丟失和損壞的數據文件進行恢復；通過硬件系統的備份，可解決硬件損壞的問題。根據以上分析，可知土壤墑情網絡監測主機的安全等級介于B2和B3等級，具有較高的安全性能。5  結束語   建立的全方位層式安全模型不僅適用于土壤墑情網絡監測主機，而且對建立其他網絡環境下的計算機系統的安全模型具有重要的參考作用。下一步需要對土壤墑情監測主機的全方位層式安全模型中提到的關鍵技術進行深入研究，比如網絡環境下的數據備份技術、控制命令編碼技術、被屏蔽子網的應用。