高?？蒲泄芾硐到y(tǒng)等級(jí)保護(hù)研究

鄭添尹 謝文亮

摘? 要：以增加高校科研管理系統(tǒng)安全性為目的，對(duì)現(xiàn)有高?？蒲泄芾硐到y(tǒng)存在的安全隱患進(jìn)行了分析，探討國(guó)內(nèi)對(duì)計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)中各個(gè)等級(jí)所提出的要求，在此基礎(chǔ)上，引入了可信計(jì)算平臺(tái)，提出基于可信計(jì)算平臺(tái)的高校科研管理系統(tǒng)等級(jí)保護(hù)方案，描述其具體的實(shí)施過(guò)程，分析結(jié)果表明：實(shí)施可信計(jì)算平臺(tái)后的高?？蒲泄芾硐到y(tǒng)達(dá)到國(guó)家信息安全等級(jí)保護(hù)要求。

關(guān)鍵詞：科研管理系統(tǒng);等級(jí)保護(hù);可信計(jì)算平臺(tái);訪問(wèn)控制;安全策略

中圖分類號(hào)：TP311.52? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2021）02-0111-03

Abstract：In order to increase the security of scientific research management system in universities，this paper analyzes the security risks existing in the existing scientific research management system in universities，and probes into the domestic requirements for each level in the classified protection standard of computer information system. On this basis，the paper introduces the trusted computing platform，puts forward the hierarchical protection scheme of university scientific research management system based on trusted computing platform，describes its specific implementation process，and the analysis results show that the university scientific research management system after the implementation of trusted computing platform meets the requirements of national information security level protection.

Keywords：scientific research management system;hierarchical protection;trusted computing platform;access control;security policy

0? 引? 言

高?？蒲惺俏覈?guó)科研的重要組成部分，對(duì)高校科研成果要實(shí)施嚴(yán)格的管理。當(dāng)前，我國(guó)高?？蒲泄芾硐到y(tǒng)的安全防護(hù)普遍存在安全隱患，例如：沒(méi)有實(shí)施訪問(wèn)控制，部門領(lǐng)導(dǎo)可以隨意訪問(wèn)科研信息;沒(méi)有實(shí)施系統(tǒng)數(shù)據(jù)安全存儲(chǔ)，一旦系統(tǒng)被攻擊，則無(wú)法保證科研信息的完整性;更普遍的是，沒(méi)有事件審計(jì)功能，一旦科研信息泄露，無(wú)法追蹤實(shí)施人員。各種安全隱患的存在，給我國(guó)的高?？蒲行畔⒌陌踩踩珟?lái)挑戰(zhàn)，一旦出現(xiàn)科研成果信息泄露，特別是事關(guān)國(guó)家重大經(jīng)濟(jì)、政治和技術(shù)等科研成果信息被盜竊，將對(duì)我國(guó)國(guó)家安全造成威脅，給國(guó)家利益造成嚴(yán)重?fù)p失，因此，高校必須重視科研管理系統(tǒng)的安全防護(hù)?，F(xiàn)階段，我國(guó)政府重視空間網(wǎng)絡(luò)安全，要求對(duì)重要計(jì)算機(jī)信息系統(tǒng)實(shí)施等級(jí)安全保護(hù)，組織制定了一系列計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)的相關(guān)安全標(biāo)準(zhǔn)，并在全國(guó)范圍里推廣應(yīng)用。但在高?？蒲泄芾硐到y(tǒng)實(shí)踐中，由于高?？蒲泄芾砣藛T在思想層面上存在誤區(qū)，認(rèn)為信息系統(tǒng)等級(jí)保護(hù)僅僅是對(duì)計(jì)算機(jī)設(shè)置各種密碼或密級(jí)的保護(hù)措施，因此，在實(shí)踐中高?？蒲泄芾硐到y(tǒng)尚欠缺相應(yīng)的等級(jí)保護(hù)實(shí)施方案。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（簡(jiǎn)稱《準(zhǔn)則》）中對(duì)計(jì)算機(jī)系統(tǒng)的五個(gè)等級(jí)劃分中都強(qiáng)調(diào)是在“計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基”下進(jìn)行的[1]。對(duì)于計(jì)算機(jī)系統(tǒng)可信計(jì)算基所采取的具體對(duì)象、具體屬性以及實(shí)施原理尚未有統(tǒng)一的標(biāo)準(zhǔn)?！坝?jì)算機(jī)系統(tǒng)可信計(jì)算基”是計(jì)算機(jī)信息系統(tǒng)內(nèi)安全保護(hù)裝置的總體，可信計(jì)算基不是單一組成，而是一個(gè)負(fù)責(zé)執(zhí)行安全策略的組合體，包括硬件、固件、軟件等，為用戶提供一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶服務(wù)。因此，建立在一個(gè)可信計(jì)算基上的計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)，才能真正實(shí)現(xiàn)信息系統(tǒng)安全，可信計(jì)算平臺(tái)（Trusted Computing Platform，TCP）[2]是實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)可信計(jì)算基的支撐平臺(tái)。本文探討將TCP引入到高?？蒲行畔⒐芾硐到y(tǒng)，實(shí)施訪問(wèn)授權(quán)、訪問(wèn)控制、審計(jì)保護(hù)、安全標(biāo)志保護(hù)、結(jié)構(gòu)化保護(hù)以及驗(yàn)證保護(hù)等，以實(shí)現(xiàn)信息系統(tǒng)安全達(dá)到國(guó)家等級(jí)保護(hù)要求，確保高?？蒲泄芾硐到y(tǒng)的安全，保護(hù)高校科研成果信息的數(shù)據(jù)安全性、完整性和機(jī)密性。

1? 我國(guó)對(duì)信息系統(tǒng)等級(jí)保護(hù)的要求

1.1? 系統(tǒng)等級(jí)保護(hù)劃分標(biāo)準(zhǔn)

我國(guó)對(duì)信息系統(tǒng)等級(jí)保護(hù)分為五級(jí)[1]，如圖1所示?！稖?zhǔn)則》里的劃分標(biāo)準(zhǔn)為：

（1）第一級(jí)是用戶自主保護(hù)級(jí)。本級(jí)計(jì)算機(jī)信息系統(tǒng)屬于最低的安全級(jí)別，是消極的防范措施，即可信計(jì)算基通過(guò)隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。在實(shí)際操作上，可信計(jì)算基保護(hù)用戶數(shù)據(jù)在被訪問(wèn)過(guò)程中的基本信息安全，防范和避免非授權(quán)用戶對(duì)數(shù)據(jù)信息的讀寫與破壞。高?？蒲泄芾硐到y(tǒng)必須具備第一級(jí)的保護(hù)。

（2）第二級(jí)是系統(tǒng)審計(jì)保護(hù)級(jí)。該保護(hù)級(jí)在第一級(jí)基礎(chǔ)上提高一個(gè)安全檔次，與用戶自主保護(hù)級(jí)相比，除了自主訪問(wèn)保護(hù)功能之外，第二級(jí)系統(tǒng)等級(jí)保護(hù)增加了對(duì)信息系統(tǒng)的審計(jì)功能，即信息系統(tǒng)利用可信計(jì)算基對(duì)用戶訪問(wèn)實(shí)施審計(jì)控制，信息系統(tǒng)對(duì)用戶訪問(wèn)過(guò)程中的登錄規(guī)程、數(shù)據(jù)信息訪問(wèn)過(guò)程中的行為安全性和信息系統(tǒng)隔離資源等都作了審計(jì)，即審計(jì)用戶的每一個(gè)訪問(wèn)行為。高?？蒲泄芾硐到y(tǒng)面向不同人開放訪問(wèn)，對(duì)訪問(wèn)行為審計(jì)是系統(tǒng)等級(jí)保護(hù)的基本要求。

（3）第三級(jí)是安全標(biāo)志保護(hù)級(jí)。可信計(jì)算基定義系統(tǒng)訪問(wèn)過(guò)程中的安全策略，包括對(duì)訪問(wèn)主體、訪問(wèn)客體、資源數(shù)據(jù)進(jìn)行安全屬性標(biāo)志，并根據(jù)安全標(biāo)志建立起系統(tǒng)訪問(wèn)規(guī)則列表，以及主體對(duì)客體強(qiáng)制訪問(wèn)控制的非形式化描述。通過(guò)訪問(wèn)控制的非形式化描述，實(shí)現(xiàn)準(zhǔn)確標(biāo)記輸出信息的能力。第三級(jí)的重點(diǎn)是安全策略的建立及更新。高?？蒲泄芾硐到y(tǒng)由于科研數(shù)據(jù)保密要求及訪問(wèn)人員較多，因此要重視安全策略模式的構(gòu)建。

（4）第四級(jí)是結(jié)構(gòu)化保護(hù)級(jí)。本級(jí)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基在第三級(jí)的安全策略模型基礎(chǔ)上，定義形式化的安全策略模型。進(jìn)一步擴(kuò)展信息系統(tǒng)訪問(wèn)的主體與客體，它要求將自主和強(qiáng)制訪問(wèn)控制的安全控制策略擴(kuò)展到所有主體與客體;將可信計(jì)算基結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素，根據(jù)優(yōu)先級(jí)高低，對(duì)關(guān)鍵和非關(guān)鍵保護(hù)元素采取不同的安全控制策略。本級(jí)安全的重點(diǎn)是形式化安全策略，即拋開了具體的案例和規(guī)則，定義形式化的抽象安全規(guī)則，擴(kuò)大保護(hù)力度。隨著人工智能時(shí)代的到來(lái)，對(duì)訪問(wèn)規(guī)則的制定將由具體向抽象發(fā)展，因此，第四級(jí)的結(jié)構(gòu)化保護(hù)顯得更加重要。對(duì)于高?？蒲泄芾硐到y(tǒng)來(lái)說(shuō)，形式化安全策略將擴(kuò)大科研數(shù)據(jù)保護(hù)范圍，并且實(shí)現(xiàn)智能全安保護(hù)。

（5）第五級(jí)是訪問(wèn)驗(yàn)證保護(hù)級(jí)。本級(jí)計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿足訪問(wèn)監(jiān)控器需求，監(jiān)控器仲裁主體具有抗篡改、足夠小等特點(diǎn)，用于系統(tǒng)訪問(wèn)驗(yàn)證保護(hù);在構(gòu)造可信計(jì)算基時(shí)，排除安全策略實(shí)施過(guò)程中的非必要代碼，將其復(fù)雜性降低到最低程度;擴(kuò)充審計(jì)預(yù)警機(jī)制，當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí)發(fā)出警報(bào)信號(hào);提供系統(tǒng)恢復(fù)機(jī)制，系統(tǒng)遭受網(wǎng)絡(luò)或物理攻擊后能及時(shí)恢復(fù)數(shù)據(jù)，具有很高的抗?jié)B透能力。第五級(jí)的核心是驗(yàn)證保護(hù)，即加強(qiáng)了驗(yàn)證審計(jì)。對(duì)高?？蒲泄芾硐到y(tǒng)來(lái)說(shuō)，嚴(yán)格對(duì)系統(tǒng)的訪問(wèn)，擴(kuò)大驗(yàn)證保護(hù)，更好的保護(hù)科研成果。

1.2? 信息系統(tǒng)等級(jí)保護(hù)要求分析

不同的數(shù)據(jù)安全級(jí)別要求實(shí)施相應(yīng)等級(jí)的信息系統(tǒng)保護(hù)策略。每個(gè)等級(jí)的信息系統(tǒng)保護(hù)都要求對(duì)用戶實(shí)施訪問(wèn)控制，身份鑒別，保護(hù)數(shù)據(jù)完整性。訪問(wèn)控制和身份鑒別要求系統(tǒng)對(duì)用戶訪問(wèn)進(jìn)行驗(yàn)證，阻止非授權(quán)用戶讀取敏感信息;保護(hù)數(shù)據(jù)完整性要求系統(tǒng)能避免受到非授權(quán)用戶、病毒、惡意代碼等篡改，保證敏感信息免受破壞。第二級(jí)以上都要求對(duì)事件進(jìn)行審計(jì)，要求系統(tǒng)能保留每一個(gè)訪問(wèn)都的日志，并保護(hù)日志的安全;第三級(jí)以上的都要求提供安全策略模型，強(qiáng)制訪問(wèn)控制[3]，要求信息流只能向高級(jí)別流動(dòng)，從秘密級(jí)別到機(jī)密級(jí)別再到絕密級(jí)別，信息永遠(yuǎn)不能向下流動(dòng)，除非授權(quán)人員決定降低文件的保密等級(jí)。第四級(jí)要求系統(tǒng)結(jié)構(gòu)化保護(hù)，明確定義形式化安全策略模型，第五級(jí)要求設(shè)置訪問(wèn)監(jiān)控器，訪問(wèn)監(jiān)控器的主要功能是監(jiān)控和審核訪問(wèn)者的身份和訪問(wèn)權(quán)限，全部對(duì)系統(tǒng)數(shù)據(jù)的訪問(wèn)都要經(jīng)過(guò)監(jiān)控器，只有通過(guò)監(jiān)控仲裁的，才能訪問(wèn)系統(tǒng)中的數(shù)據(jù)，否則一律不能訪問(wèn)，第五級(jí)還要求訪問(wèn)監(jiān)控器能抗篡改，并且能提供系統(tǒng)恢復(fù)機(jī)制。

2? 基于TCP的高?？蒲泄芾硐到y(tǒng)等級(jí)保護(hù)方案

根據(jù)信息系統(tǒng)等級(jí)保護(hù)的要求，高?？蒲泄芾硐到y(tǒng)可按照“需求模型——安全策略——安全機(jī)制”模式來(lái)解決問(wèn)題?？蒲泄芾硐到y(tǒng)的安全需求是：科研成果信息需要嚴(yán)格實(shí)行分等級(jí)加密，并對(duì)系統(tǒng)實(shí)施訪問(wèn)控制，沒(méi)有經(jīng)過(guò)授權(quán)不得訪問(wèn)科研信息;科研數(shù)據(jù)需要保證安全存儲(chǔ)，實(shí)現(xiàn)分布式或虛擬存儲(chǔ)，一旦系統(tǒng)被攻擊，科研成果信息仍然能保持完整性;需要提供訪問(wèn)和操作事件審計(jì)功能，實(shí)現(xiàn)全流程監(jiān)管，一旦科研信息泄露，能及時(shí)定位追蹤行為人員。

科研管理信息系統(tǒng)安全策略是訪問(wèn)權(quán)限的規(guī)則列表，規(guī)則列表中必須明確定義保護(hù)機(jī)制要保護(hù)的科研數(shù)據(jù)信息、訪問(wèn)對(duì)象類型、以及對(duì)象訪問(wèn)權(quán)限控制，即指明什么樣的科研用戶可以訪問(wèn)什么樣的科研數(shù)據(jù)[3]。明確了安全策略之后，就可以制定選取相應(yīng)的安全機(jī)制。本文將TCP引入高?？蒲泄芾硐到y(tǒng)的等級(jí)保護(hù)中，如圖2所示，在科研信息管理系統(tǒng)服務(wù)器前增加了兩部TCP主機(jī)，形成一道防火墻，主要的功能是：對(duì)內(nèi)部科研服務(wù)器文檔進(jìn)行加密和解決，對(duì)外部的訪問(wèn)實(shí)施控制。TCP在近年來(lái)已經(jīng)趨于成熟，像Abyss、Citadel系統(tǒng)[4]等都可以作為加密服務(wù)器、認(rèn)證服務(wù)器、訪問(wèn)控制服務(wù)器、審計(jì)服務(wù)器以及執(zhí)行服務(wù)器等，將TCP應(yīng)用于高校科研管理系統(tǒng)中，能實(shí)現(xiàn)高校科研管理系統(tǒng)的等級(jí)保護(hù)需求。

2.1? TCP在高?？蒲泄芾硐到y(tǒng)等級(jí)保護(hù)的實(shí)施方案

首先，在TCP運(yùn)行前定義高?？蒲袛?shù)據(jù)安全級(jí)別及相對(duì)應(yīng)級(jí)別訪問(wèn)權(quán)限，按信息等級(jí)保護(hù)系統(tǒng)的要求整理成策略文件，以TCP可識(shí)別的方式導(dǎo)入TCP。其次，對(duì)科研管理信息系統(tǒng)中的科研成果進(jìn)行歸檔[2]，歸檔的方法是對(duì)不同科研數(shù)據(jù)，根據(jù)密級(jí)要求作相應(yīng)的屬性設(shè)置，以及其相應(yīng)的訪問(wèn)權(quán)限控制列表。最后，采用高端TCP保護(hù)數(shù)據(jù)和運(yùn)行，抵御非法訪問(wèn)者的各種入侵行為，包括直接的物理攻擊。在具體實(shí)施過(guò)程中，使用兩臺(tái)TCP得具體作用為：

（1）一臺(tái)TCP運(yùn)行編碼器應(yīng)用程序。編碼器利用TCP的加密能力，使用一個(gè)隨機(jī)對(duì)稱密鑰對(duì)外部提供數(shù)據(jù)快速加密，對(duì)歸檔科研文件進(jìn)行數(shù)字簽名，再將科研歸檔文件與訪問(wèn)策略進(jìn)行綁定，并使用指定解碼器的公開密鑰，對(duì)隨機(jī)對(duì)稱密鑰進(jìn)行加密。

（2）另一臺(tái)TCP運(yùn)行解碼器應(yīng)用程序和審計(jì)應(yīng)用程序。解碼器程序接收一個(gè)已加密的歸檔科研文件和一個(gè)查看歸檔科研文件的請(qǐng)求，審計(jì)應(yīng)用程序要求驗(yàn)證歸檔科研文件的數(shù)據(jù)完整性，然后依據(jù)綁定到歸檔科研文件的訪問(wèn)策略，確定該訪問(wèn)請(qǐng)求是否符合授權(quán)訪問(wèn)情況，是否有該密級(jí)的訪問(wèn)權(quán)限以及是否符合相應(yīng)的操作。如果允許訪問(wèn)，解碼器執(zhí)行相應(yīng)的操作，將請(qǐng)求結(jié)果返回給請(qǐng)求者。審核程序?qū)l(fā)生在TCP解碼器的每一個(gè)事件從請(qǐng)求到返回結(jié)果都進(jìn)行詳細(xì)的審計(jì)記錄。

2.2? 實(shí)施TCP方案的流程及安全性分析

圖3為實(shí)施TCP方案后地對(duì)科研文檔的訪問(wèn)流程。從TCP在科研管理系統(tǒng)實(shí)施過(guò)程可以看出，在TCP的運(yùn)行過(guò)程中，充分考慮了科研信息管理系統(tǒng)等級(jí)保護(hù)的各等級(jí)要求：

（1）用戶請(qǐng)求的身份驗(yàn)證。每個(gè)請(qǐng)求都必須進(jìn)行認(rèn)證，拒絕非授權(quán)用戶的訪問(wèn)請(qǐng)求。

（2）強(qiáng)制訪問(wèn)控制。對(duì)每個(gè)請(qǐng)求TCP都會(huì)對(duì)照與歸檔科研文件綁定的策略文件，確定該請(qǐng)求的用戶是否有權(quán)限查看該文檔。

（3）設(shè)置訪問(wèn)監(jiān)控器。對(duì)每個(gè)訪問(wèn)請(qǐng)求，無(wú)論允許查看文檔與否，TCP都進(jìn)行審核，只有通過(guò)TCP驗(yàn)證，才授權(quán)相應(yīng)的文檔操作。

（4）保護(hù)數(shù)據(jù)完整性。由于TCP的物理安全特性，如果有試圖非法入侵訪問(wèn)，TCP或是拒絕訪問(wèn)（如果使用一般的網(wǎng)絡(luò)攻擊手段），或是自動(dòng)銷毀科研數(shù)據(jù)（如果攻擊者嘗試物理攻擊）。

（5）全程審計(jì)。審計(jì)程序一直運(yùn)行，保證訪問(wèn)日志的完整記錄，并且TCP日志保存在TCP中，可以確保數(shù)據(jù)安全。

（6）快速恢復(fù)。一旦攻擊者物理攻擊成功，結(jié)果是數(shù)據(jù)被銷毀，將備份文件直接重新導(dǎo)入TCP就可完成恢復(fù)。

3? 結(jié)? 論

在高校科研管理系統(tǒng)中引入TCP實(shí)現(xiàn)系統(tǒng)等級(jí)保護(hù)，既保證科研管理系統(tǒng)本身的數(shù)據(jù)安全，又保證用戶訪問(wèn)的身份驗(yàn)證，更對(duì)科研數(shù)據(jù)訪問(wèn)的權(quán)限和信息流向進(jìn)行嚴(yán)格的控制和審計(jì)，確保科研管理系統(tǒng)能夠滿足信息系統(tǒng)等級(jí)保護(hù)的各個(gè)等級(jí)的要求。從高校內(nèi)部管理來(lái)說(shuō)，規(guī)范了訪問(wèn)行為;從國(guó)家層面來(lái)說(shuō)，保護(hù)我國(guó)在經(jīng)濟(jì)、政治和技術(shù)等方面的重大科研成果的安全，更好地維護(hù)國(guó)家的利益。

參考文獻(xiàn)：

[1] 中華人民共和國(guó)公安部.計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則：GB 17859-1999 [S].北京：中國(guó)標(biāo)準(zhǔn)出版社，1999.

[2] 肖國(guó)煜.信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)實(shí)踐 [J].信息網(wǎng)絡(luò)安全，2011（7）：86-88.

[3] 于慧龍，李萍.大型信息系統(tǒng)安全域劃分和等級(jí)保護(hù) [J].計(jì)算機(jī)安全，2006（7）：7-8.

[4] 楊磊，郭志博.信息安全等級(jí)保護(hù)的等級(jí)測(cè)評(píng) [J].中國(guó)人民公安大學(xué)學(xué)報(bào)（自然科學(xué)版），2007，13（1）：50-53.

[5] 何占博，王穎，劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究 [J].信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（3）：9-14+19.

[6] SMITH S W.可信計(jì)算平臺(tái)：設(shè)計(jì)與應(yīng)用 [M].馮國(guó)登，徐震，張立武，譯.北京：清華大學(xué)出版社，2006：130-132.

[7] ANDERSON R J.信息安全工程 [M].蔣佳，劉新喜，等譯.北京：機(jī)械工業(yè)出版社，2003：106-110.

[8] WHITE S R，WEINGART S H，AMOLD W C，et al. Introduction to the Citadel Architecture：Security in Physically Exposed Environments [R].Yorktown Heights：IBM，1991.

作者簡(jiǎn)介：鄭添尹（1982—），女，漢族，廣東陽(yáng)江人，碩士研究生，研究方向：公共管理;謝文亮（1979—），男，漢，廣東潮州人，副編審，碩士生導(dǎo)師，碩士，研究方向：公共管理。