構造積極防御的安全保障框架

一、對當前信息安全系統

的反思

當前大部分信息安全系統主要是由防火墻、入侵監測和病毒防范等組成常規的安全手段只能是在網絡層（IP）設防，在外圍對非法用戶和越權訪問進行封堵，以達到防止外部攻擊的目的對訪問者源端不加控制操作系統的不安全導致應用系統的各種漏洞層出不窮，無法從根本上解決封堵的辦法是捕捉黑客攻擊和病毒入侵的行為特征，其特征是已發生過的滯后信息

惡意用戶的攻擊手段變化多端,防護者只能:防火墻越砌越高入侵檢測越做越復雜惡意代碼庫越做越大導致：誤報率增多，安全投入不斷增加維護與管理更加復雜和難以實施信息系統的使用效率大大降低對新的攻擊入侵毫無防御能力（如沖擊波）反思：老三樣、堵漏洞、作高墻、防外攻、防不勝防

產生安全事故的技術原因：PC機軟、硬件結構簡化，導致資源可任意使用，尤其是執行代碼可修改，惡意程序可以被植入病毒程序利用PC操作系統對執行代碼不檢查一致性弱點，將病毒代碼嵌入到執行代碼程序，實現病毒傳播黑客利用被攻擊系統的漏洞竊取超級用戶權限，肆意進行破壞更為嚴重的是對合法的用戶沒有進行嚴格的訪問控制，可以進行越權訪問，造成不安全事故如果從終端操作平臺實施高等級防范，這些不安全因素將從終端源頭被控制。這種情況在工作流程相對固定的重要信息系統顯得更為重要而可行。在電子政務的內外網中政務內網與政務外網物理隔離，政務外網與Internet邏輯隔離要處理的工作流程都是預先設計好的操作使用的角色是確定的應用范圍和邊界都是明確的這類工作流程相對固定的生產系統與Internet網是有隔離措施的，外部網絡的用戶很難侵入到內部網絡來

，其最大的威脅是來自內部人員的竊密和破壞。據統計，80%的信信息安全事事故為內部部人員和內內外勾結所所為，而且且呈上升的的趨勢。因因此我們應應該以““防內為主主、內外兼兼防”的模模式，從提提高使用節節點自身的的安全著手手，構筑積積極、綜合合的安全防防護系統。。應該：強機制、高高可信、控控使用、防防內外，積積極防御二、可信賴賴計算環境境為了解決PC機結構構上的不安安全，從根根本上提高高其安全性性，在世界界范圍內推推行可信計計算技術1999年年由Compaq、、HP、IBM、Intel和Microsoft牽頭頭組織TCPA(TrustedComputingPlatformAlliance)，目前已已發展成員員190家家，遍布全全球各大洲洲主力廠商商TCPA專專注于從計計算平臺體體系結構上上增強其安安全性，2001年年1月發布布了標準規規范（v1.1），，2003年3月改改組為TCG(TrustedComputingGroup)其目的是在在計算和通通信系統中中廣泛使用用基于硬件件安全模塊塊支持下的的可信計算算平臺，以以提高整體體的安全性性。可信計算終終端基于可可信賴平臺臺模塊（TPM）,以密碼技技術為支持持、安全操操作系統為為核心（如如圖1所示示）安全應用組件安全操作系統安全操作系統內核密碼模塊協議棧主板可信賴BIOSTPM(密碼模塊芯片)圖1：可信賴計算平臺具有以下功功能：確保用戶唯唯一身份、、權限、工工作空間的的完整性/可用性確保存儲、、處理、傳傳輸的機密密性/完整整性確保硬件環環境配置、、操作系統統內核、服服務及應用用程序的完完整性確保密鑰操操作和存儲儲的安全確保系統具具有免疫能能力，從根根本上防止止病毒和黑黑客安全操作系系統是可信信計算終端端平臺的核核心和基礎礎，沒有安安全的操作作系統，就就沒有安全全的應用，，也不能使使TPM發發揮應有的的作用三、安全技技術保障框框架對工作流程程相對固定定的重要信信息系統主要由應用用操作、共共享服務和和網絡通信信三個環節節組成。如如果信息系系統中每一一個使用者者都通過可可信終端認認證和授權權，其操作作都是符合合規定的，，網絡上也也不會被竊竊聽和插入入，那么就就不會產生生攻擊性共共享服務資資源的事故故，就能保保證整個信信息系統的的安全可信終端確確保用戶的的合法性和和資源的一一致性，使使用戶只能能按照規定定的權限和和訪問控制制規則進行行操作，能能做到什么么樣權限級級別的人只只能做與其其身份規定定的訪問操操作，只要要控制規則則是合理的的，那么整整個信息系系統資源訪訪問過程是是安全的。。可信終端端奠定了系系統安全的的基礎應用安全邊邊界設備（（如VPN安全網關關等）保護護共享服務務資源，其其具有身份份認證和安安全審計功功能，將共共享服務器器（如數據據庫服務器器、WEB服務器、、郵件服務務器等）與與非法訪問問者隔離，，防止意外外的非授權權用戶的訪訪問（如非非法接入的的非可信終終端）。這這樣共享服服務端主要要增強其可可靠性，如如雙機備份份、容錯、、災難恢復復等，而不不必作繁重重的訪問控控制，從而而減輕服務務器的壓力力，以防拒拒絕服務攻攻擊采用IPSec實實現網絡通通信全程安安全保密。。IPSec工作在在操作系統統內核，速速度快，幾幾乎可以達達到線速處處理，可以以實現源到到目的端的的全程通信信安全保護護，確保傳傳輸連接的的真實性和和數據的機機密性、一一致性，防止非法法的竊聽和和插入綜上所述，，可信的應應用操作平平臺、安全全的共享服服務資源邊邊界保護和和全程安全全保護的網網絡通信，，構成了工工作流程相相對固定的的生產系統統的信息安安全保障框框架。（如如圖2所示示）圖2：工作流程相對固定的生產系統安全解決方案全程IPSec

服務器安全邊界設備可信客戶端可信客戶端

全程IPSec

安全域一可信客戶端可信客戶端安全域二安全隔離設備全程IPSec要實現上述述終端、邊邊界和通信信有效的保保障，還需需要授權管管理的管理理中心以及及可信配置置的密碼管管理中心的的支撐從技術層面面上可以分分為以下五五個環節：：應用環境安安全應用區域邊邊界安全網絡和通信信傳輸安全全安全管理中中心密碼管理中中心即：兩個中中心支持下下的三重保保障體系結結構對于復雜系系統：構成三縱（（公共區域域、專用區區域、涉密密區域）三三橫（應用用環境、應應用區域邊邊界、網絡絡通信）和和兩個中心心的安全防防御框架。。（如圖3所示）圖3：信息息安全技術術保障框架架應用環境安安全：包括單機、、C/S、、B/S模模式，采用用身份認證證、訪問控控制、密碼碼加密、安安全審計等等機制，構構成可信應應用環境應用區域邊邊界安全：：通過部署邊邊界保護措措施控制對對內部局域域網的訪問問，實現局局域網與廣廣域網之間間的安全。。采用安全全網關、防防火墻等隔隔離過濾機機制，保護護共享資源源的可信連連接網絡和通信信傳輸安全全：包括實現局局域網互聯聯過程的安安全，旨在在確保通信信的機密性性、一致性性和可用性性。采用密密碼加密、、完整性校校驗和實體體鑒別等機機制，實現現可信連接接和安全通通信安全管理中中心：提供認證、、授權、實實施訪問控控制策略等等服務務密碼管理中中心：提供互聯互互通密碼配配置、公鑰鑰證書和傳傳統的對稱稱密鑰的管管理，為信信息系統提提供密碼服服務三種不同性性質的應用用區域在各各自采用相相應的安全全保障措施施之后，互互相之間有有一定的溝溝通，需要要采用安全全隔離和信信息交換設設備進行連連接目前我國信信息安全建建設正處在在一個關鍵鍵時期，我我們必須把把握住正確確的研究方方向，制定定相應的發發展戰略，，走符合我我國國情的的發展道路路，利用國國際先進技技術，開發發安全高效效，具有自自主知識產產權的信息息安全產品品，從而滿滿足我國各各行各業的的迫切需要要，促進我我國信息安安全事業的的發展。結束語語9、靜夜夜四無無鄰，，荒居居舊業業貧。。。12月月-2212月月-22Thursday,December29,202210、雨中黃黃葉樹，，燈下白白頭人。。。14:20:4914:20:4914:2012/29/20222:20:49PM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2214:20:4914:20Dec-2229-Dec-2212、故人江江海別，，幾度隔隔山川。。。14:20:4914:20:4914:20Thursday,December29,202213、乍見翻疑夢夢，相悲各問問年。。12月-2212月-2214:20:4914:20:49December29,202214、他他鄉鄉生生白白發發，，舊舊國國見見青青山山。。。。29十十二二月月20222:20:49下下午午14:20:4912月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月222:20下下午午12月月-2214:20December29,202216、行動動出成成果，，工作作出財財富。。。2022/12/2914:20:4914:20:4929December202217、做前，能能夠環視四四周；做時時，你只能能或者最好好沿著以腳腳為起點的的射線向前前。。2:20:49下午午2:20下午午14:20:4912月-229、沒有失敗，，只有暫時停停止成功！。。12月-2212月-22Thursday,December29,202210、很多事情努努力了未必有有結果，但是是不努力卻什什么改變也沒沒有。。14:20:5014:20:5014:2012/29/20222:20:50PM11、成功功就是是日復復一日日那一一點點點小小小努力力的積積累。。。12月月-2214:20:5014:20Dec-2229-Dec-2212、世世間間成成事事，，不不求求其其絕絕對對圓圓滿滿，，留留一一份份不不足足，，可可得得無無限限完完美美。。。。14:20:5014:20:5014:20Thursday,December29,202213、不知香積寺寺，數里入云云峰。。12月-2212月-2214:20:5014:20:50December29,202214、意意志志堅堅強強的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。29十十二二月月20222:20:50下下午午14:20:5012月月-2215、楚塞塞三湘湘接，，荊門門九派派通。。。。十二月月222:20下下午午12月月-2214:20December29,202216、少年十五五二十時，，步行奪得得胡馬騎。。。2022/12/2914:20:5014:20:5029December202217、空山新新雨后，，天氣晚晚來秋。。。2:20:50下午午2:20下午午14:20:5012月-229、楊柳柳散和和風，，青山山澹吾吾慮。。。12月月-2212月月-22Thursday,December29,202210、閱讀一一切好書書如同和和過去最最杰出的的人談話話。14:20:5014:20:5014:2012/29/20222:20:50PM11、越是沒有有本領的就就越加自命命不凡。12月-2214:20:5014:20Dec-2229-Dec-2212、越是無能的的人，越喜歡歡挑剔別人的的錯兒。14:20:5014:20:5014:20Thursday,December29,202213、知知人人者者智智，，自自知知者者明明。。勝勝人人者者有有力力，，自自勝勝者者強強。。12月月-22