基于结构化安全保障技术构建高安全级可信播出环境

  • 优秀论文奖
    •  文章作者:中国新闻技术工作者联合会 2021/12/30-04:43 阅读: loading...

    王晓艳 梁晋春 姚颖颖

    (广播科学研究院)

    摘要: 针对GBl7859—1999结构化保护级的安全保障要求,本文探讨了对高安全级播出系统进行结构化改造的关键技术和方法,从安全保护部件结构化、安全保护部件互联结构化、重要参数结构化三方面确保播出系统安全功能的正确实施,为实现系统结构化保护、进一步建立可信制播体系提供了一种有效途径和手段。关键词:结构化设计 安全保障 强制访问控制

    0 引言

    随着电视台数字化、网络化建设,电视台制播体系IT化发展迅速,对系统互联互通需求越来越强烈,随之而来的信息安全问题也显得更加突出。应对信息系统安全,尽管系统中存在非常完善的安全机制,如为防止外部攻击上了防火墙、入侵监测和病毒防范等技术手段,为防范内部非法操作,实行三权分立,进行审计管理等。但如果信息系统自身是非结构化设计,系统各组成模块接口关系不清晰、逻辑和调用关系混乱,系统内部缺乏隔离控制,那么系统中有可能存在隐蔽通道,致使攻击者绕过系统的安全机制访问系统资源,反而更加重整个系统面临的安全风险。相反,如果信息系统能够明确定义各组成模块功能,建立一个严密层次交互的安全体系结构,并依据该严谨体系结构明确定义模块间接口关系,避免出现隐蔽通道,也就避免系统安全机制被旁路的风险。因此,对于高等级信息系统而言,相比安全功能实现,更难实现的是通过一定方法保证安全功能正确实施的安全保障技术的实现。基于上述原因,本文拟对高安全等级播出系统进行结构化改造的关键技术和方法进行研究,为实现系统结构化保护、进一步建立能够满足高安全等级要求的可信制播体系,提供一种有效途径和手段。

    1 结构化保护级

    计算机信息系统安全保护等级划分准则(GB 17859-1999)是我国第一个信息安全等级的强制性国家标准,该标准是规定了计算机系统安全保护能力的五个等级,计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。依据GB 17859-1999,信息系统安全保护能力四级为“结构化保护级”,结构化保护的目的是提高信息系统的整体安全保障能力,消除安全机制的脆弱性。要求将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。四级系统其本身构造也是结构化的,应具有相当的抗渗透能力,安全保护机制能够使信息系统实施一种系统化的安全保护。根据《广播电视相关信息系统安全等级保护定级指南》(GD/J 037),国家级播出系统为四级。对于四级系统而言,需要满足GB 17859-1999中四级“结构化保护级”以上的安全要求。四级系统以GB 17859-1999等系列标准为基础,其设计是为系统的可用性、完整性、保密性、不可否认性、可追溯性和可控性等安全机制服务的结构化设计。四级应能抵抗熟悉工作流程并且具有一定特权的内部技术人员通过编程等手段进行的攻击。

    2 安全保护环境结构化设计

    在GB/T 25070-2010《信息安全技术 信息系统等级保护安全设计技术要求》中对“四级系统安全保护环境设计目标”的描述中也提到“按照GB 17859-1999对第四级系统的安全保护要求,建立一个明确定义的形式化安全策略模型”,以及“将系统安全保护环境结构化为关键保护元素和非关键保护元素”。在“四级系统安全保护环境设计策略”的描述中也指出应遵循GB 17859-1999的4.4(第四级:结构化保护级)中对结构化要求,通过安全管理中心需明确定义和维护形式化的安全策略模型。依据该模型,进行相关安全保护环境设计,主要从安全保护部件结构化、安全保护部件互联结构化、重要参数结构化等方面入手,实现对重要信息系统的结构化保证。具体思路如图1所示。

    图1 结构化关键技术研究思路图

    在系统结构化设计中,安全保护部件结构化实现系统层次清晰化、系统功能模块化及函数调用单向化,建立严密层次交互结构,防止安全功能被旁路、被篡改;安全保护部件互联结构化是在安全保护部件结构化的基础上,验证各安全保护部件之间可信互联,用于保证安全部件TCB的无缝连接;重要参数结构化,主要实现系统重要参数数据的结构化保护,对于安全策略相关的重要参数数据的数据结构给出明确定义。2.1安全保护部件结构化设计为了实现安全保护部件结构化,需要从两个方面入手,一是需要对整个播出系统进行功能层次划分,建立严密的层次交互结构;二是从单机系统安全部件进行结构化保护。2.1.1系统功能层次化安全保护部件结构化设计框架如图2所示。

    图2 单机系统强制访问控制工作流程

    在上图中,对播出系统进行功能层次划分,明确定义各层次间调用关系接口,禁止从关键系统到非关键系统安全策略相关信息的流动,保证只有符合规定要求格式的信息通道才能完成信息交互,形成严密的层次交互结构,消除部件间的相互干扰,实现部件结构化。根据业务重要程度,播出系统计算环境结构化分解为关键系统和非关键系统,关键系统包括位于核心层的在线播出计算环境和播出控制计算环境。非关键系统包括位于技术支撑层的播出备播计算环境、系统支撑计算环境和对外接口计算环境。在关键系统内,播出公共设备子域向播出公共设备子域发送节目单,播出控制子域向播出视频服务器子域发送播出指令。在关键系统和非关键系统之间,播出视频服务器子域接收播出缓存/应急备播子域传递的媒体文件,播出控制子域分别与公共服务支撑子域进行节目单等信息传递。在非关键系统,播出媒资接收子域、迁移转码子域与播出缓存/应急备播子域进行媒体文件传递,并与公共服务支撑子域进行消息传递。播出媒资接收子域负责接收自播出系统外流经区域边界传递来的媒体文件。公共服务支撑子域的数据库系统通过专门对外接口经过区域边界与系统外进行节目单信息交互。2.1.2单机系统安全部件结构化一个单机系统安全部件主要包括操作系统、数据库系统应用、Email和HTTP等安全服务程序。目前在我国通用的操作系统、数据库系统及安全服务程序在系统设计时没有充分考虑安全结构化的要求,其内部结构还远称不上结构化的,也难以保证强制访问控制策略的实施。所以对于这些难以结构化的安全部件,通过第三方系统加固来实现系统安全部件的安全封装和结构化改造,提供隔离环境,让非结构化部分在隔离环境下仅处理单一安全级别信息,并控制这些隔离环境与外界的信息交互,为这些信息交互添加强制访问控制机制,避免安全机制被旁路。2.1.3形式化安全策略模型形式化安全策略模型是指用形式化的方法来描述如何实现系统的完整性、机密性、可用性、不可否认性、可控性等安全要求。四级系统安全保护环境中各安全保护部件的设计应基于形式化安全策略模型。四级系统的基本安全策略是保密性和完整性相结合的二维多级安全策略模型,该模型对不同安全域赋予不同的安全级别,对由高级别向低级别流动的信息进行保密性检查,防止信息泄露,对由低级别向高级别流动的信息进行完整性检查,防止信息被破坏。多级安全策略模型较为著名的有保密性安全模型BLP模型和完整性安全模型Biba模型,BLP模型用于提供机密性检查,Biba模型用于提供完整性检查,BLP和Biba模型都是形式化的信息流模型,都关心从一个安全等级流向另一个安全等级的数据,并实施强制访问控制机制。2.2安全保护部件互联结构化设计为了实现系统安全部件的结构化互联,需在安全保护部件结构化基础上,从系统环境是否能够提供通信网络可信接入入手,分别采用通信网络隔离和可信接入控制方法实现。2.2.1系统环境不能提供通信网络可信接入当系统环境不能提供通信网络可信接入时,为保护高安全级别系统的安全性,可采用通信网络物理隔离,实现结构化系统内部及外部非结构化系统不同通信网络环境的隔离。一般可采用网闸作为物理隔离设备,当非结构化部件访问结构化部件,首先需通过网闸。通过安全网关由结构化部件向非结构化部件发送客体,或者为非结构化部件中用户代理的主体打上对应的安全标记,实施强制访问控制策略,从而进一步实现结构化互联。2.2.2系统环境能提供通信网络可信接入可信接入技术是基于可信计算技术的不同安全保护部件之间通信网络过程中相互验证对方可信性的操作,确保不同安全保护部件的可信连接。安全部件TCB结构化保证后,完成从安全部件TCB出发,通过可信接入将TCB扩展到整个系统,实现安全部件TCB的无缝连接,进而实现安全部件结构化互联。可信接入可以用于安全管理中心与安全计算环境之间的连接,实现安全管理中心到安全计算环境的可信安全策略管理机制的单向信息流动。也可以用于安全审计与安全计算环境、安全监测与安全环境之间的连接,实现安全计算环境中的审计监测数据到安全审计监测中心的单向信息流动,避免安全计算环境中的用户攻击安全管理中心,避免审计监测数据的泄露。此外,可信接入机制也可以用于运行于终端的客户端程序和安全服务器之间的连接,客户端连接到服务器之后,服务器根据终端的状态确定终端在运行客户端程序,并据此确定终端连接的安全标记,纳入安全标记的统一管理。2.3重要参数结构化设计为实现系统数据的结构化保护,保证安全部件间传输数据的完整性,重要参数结构化设计需要对与安全策略相关的重要参数数据给出明确定义,包括参数类型、描述及用途等,并用可信验证机制确保数据完整性。重要参数数据主要包括安全策略数据和重要业务数据。2.3.1安全策略数据结构化设计1)安全策略数据结构系统安全保护环境设计与安全策略相关的重要数据结构如表1所示。详细数据结构定义参见GB/T 25070-2010 B.3。

    表1 重要数据结构

    编号数据结构名称用途
    1用户身份信息列表用户身份、密钥等信息列表
    2主体安全标记列表以此表为依据,可以利用用户身份查询其标记信息
    3客体安全标记列表以此表为依据,可以利用客体名查询其标记信息
    4自主访问控制列表确定了主体能自主访问的客体
    5级别调整策略列表确定了主体能特权操作的客体
    6审计策略列表确定了系统的审计策略,即需要对哪些安全事件进行审计
    7审计记录格式审计日志

    2)数据完整性保护

    策略数据完整性保护以密码算法(HASHH-MAC)为核心,借助安全管理中心系统管理员统一下发数字证书,基于数据签名机制实现对安全策略数据信息的完整性保护。2.3.2业务数据结构化设计业务数据主要包括播出控制相关业务、节目单、消息结果等信息类数据和媒体类数据,上述各类业务数据采用专用协议、私有端口明确定义数据结构,采用数据包格式过滤和完整性检验实现业务数据的结构化。并采用由密码技术支持的完整性校验机制,检测数据完整性。

    3 结语

    本文对高安全级别播出系统结构化改造的关键技术和方法进行了研究,主要从安全保护部件结构化、安全保护部件互联结构化、重要参数结构化三方面入手进行了研究,其中部件结构化能够防止安全功能被旁路、被篡改,连接结构化能够防止由网络中恶意用户引起的非法连接、数据泄露和篡改,重要参数结构化能够防止用户间非授权信息流动。只有将上述三个层面的结构化在系统层面整合成为一个有机的整体,才能对播出系统中的安全功能构成实质性支撑,保障系统安全可信、可靠运行。 编辑:中国新闻技术工作者联合会

    评论 点击评论