信息安全系统自防护通用结构的研究.pdfVIP

·306· 全国计算机安全学术交流会论文集 信息安全系统自防护通用结构研究 胡光俊 黄长慧 周辛 公安部第一研究所 摘要：通过对信息安全系统面临威胁进行分析，总结了其安全需求，然后提出了一个通用自防 护结构模型：自防护通用结构模型=安全防护机制+安全监测机制+安全响应机制+安全策略。根据 此模型，设计了信息安全系统自防护通用结构。 关键争}信息安全系统 自防护 一、引言 二、信息安全系统概述 信息安全系统是信息系统的一个组成部分，其 要构建信息安全系统自防护通用结构模型， 目标是保障信息系统的安全运行。但是信息安全系 首先需对信息安全系统本身有全面的了解。根据 统自身往往具备若干内在脆弱点，面对攻击者的破 安全分层控制原则，信息安全系统可以分为外部 坏很容易瘫痪，从而导致整个被保护信息系统暴露 网络传输控制层类、内外网间访问控制类、内网 在威胁之下，甚至引起信息系统失效和崩溃的严重 访问控制类、操作系统及应用软件类和数据存储 后果。因此，自身安全是信息安全系统的一个重要 类。以下将对信息安全系统按照以上分类进行概 特性，自防护能力成为信息安全系统重要性能指 述： 标。 1．外部网络传输控制层类 信息安全系统种类众多，如防火墙、防病毒、 外部网络是指被保护网络边界之外的公用网， 入侵检测、UTM等等，目前已经有一些产品初步 通常用到达本网络的最后一个路由器进行划分。针 具备自防护能力，如对登陆用户身份进行认证，对 对外部网络传输控制的信息安全系统主要包括虚 通讯数据进行加密，但是由于目前信息安全系统采 拟专用网(VPN)系统、身份认证系统、网络隔离 用自防护技术单一，与系统自身耦合度过高，导致 系统等。 一旦某脆弱点防护被突破，整个系统将失去保护， 2．内外网间访问控制类 甚至引起系统崩溃。另外，虽然不同信息安全系统 内外网问访问控制类信息安全系统主要包括 功能、结构、所采用的构建技术不同，但他们作为 防火墙系统、防病毒网关系统、统一威胁管理 信息处理系统，工作流程相似，面临的威胁也具有 (UTM)系统、代理服务器系统、安全扫描系统、 通用性。所以，研究信息安全系统通用、独立的自 网络入侵检测系统等。 防护结构，不但可以帮助不同信息安全系统构建立 3．内网访问控制类 体、动态防御体系，而且避免了重复设计和实现， 在网络内部，使用者的违规操作和恶意行为将 节省时间和精力。 对网络安全构成极大威胁。通常内网访问控制类系 信息安全系统自防护通用结构研究 统包括身份认证系统(如智能卡、证书系统等)、 工作进程被杀死 终端安全防护系统(如个人防火墙)、入侵检测、 AcL控制、权限管理系统、数据加密系统、信息防 泄密系统、安全检查系统等。 信息输入过程 4．操作系统及应用软件类 操作系统安全是信息系统安全的基础，在操作 系统上运行的软件系统的安全决定了对外提供业 信 务是否安全可用。此类信息安全系统主要包括安全 息 一一一一一一一一一