信息防泄露是信息安全领域的重要内容之一。但长期以来,业界一直用安全理论来解决信息防泄露问题,导致防泄密效果不明显,泄密事件不断发生。近年来,基于基础设施的静态的、被动的防护体系更无法适应新形势下的保密需求。本文从理论研究、技术思路、现行产品等多个角度探讨了集中管控是保密管理发展的趋势,并探讨了集中管控的定义、实现模型、优势及存在的问题。
1 引言
2010年“维基解密”横扫21世纪信息保密的腹地,激起多国“9·11”式外交风暴。2011年5月16日,美国白宫发布《网络空间国际战略》,阐述了美国在“日益以网络相连的世界建立繁荣、增进安全和保护开放”。报告明确树立了网络空间安全在经济、科学、军事、政治和意识形态中的重要地位,倡导发布新的互联网安全规定,就日后美国如何应对互联网安全等事务提出具体方案。
在网络环境下,秘密信息一旦泄露,瞬间即可扩散至全世界。各国法律均规定涉密内网与国际互联网物理隔离,但是借助可移动存储介质,内外网交互时间很短,一旦发生泄密事件,传播极快。要想信息泄露后在外网进行拦截则难度很大,事倍功半。所以加强内网防护,防止涉密信息流出内网,更加有效可行。
对于中国来说,2011年是国家“十二五”开局之年,也是保密工作承前启后,努力实现新发展、新跨越的关键一年。2010年10月新的《中华人民共和国保守国家秘密法》施行,2011年3月28日起新修订的《中国人民解放军保密条例》颁布施行。我国面临着信息化条件下高技术窃密泄密风险大大增加,境内外敌对势力对我间谍情报活动日益加剧的严峻挑战。在信息安全保密行业理论研究、技术研究仍是国外占主导地位的条件下,我国在进行涉密信息保护,防止涉密信息泄露领域,必须探索一条中国人自己的信息安全之路———在国外操作系统及软硬件之上,加一把中国人自己的锁。
2 涉密信息保护的现状
涉密信息保护,数据防泄露是信息安全领域的重要内容之一。但长期以来,业界一直用安全理论来解决数据防泄露问题,导致防泄密效果不明显,泄密事件频发。
2.1理论研究
ISO/IEC27002:2005中定义信息安全:保证信息的保密性、完整性和可用性。可信计算组织TCG定义的可信平台模块TPM,是一种置于计算机中的新的嵌入式安全子系统。假定客户端软件在其使用过程中可能会遭到破坏,通过TPM对客户端提供硬件保护,防止私钥和对称密钥被窃取或被恶意代码使用。
典型的信息保密性模型Bell-LaPadula模型,简称BLP模型,从系统保密性的角度描述不同访问级别的主体和客体之间的联系。BLP模型形式化地定义了系统状态及状态间的转换规则,并制定了一组约束系统状态间转换规则的安全理论。BLP模型采用“向下读,向上写”的机制,保证了低安全级的主体不能读高安全级的数据,阻止高安全级的主体把秘密泄露到一个较低的安全级上,保证信息不会从高保密级别流向低保密级别。
安全模型的目标是控制或管理主体(例如用户和进程)对客体(例如数据和程序)的访问。BLP模型、Biba模型、Lattice模型等,均通过对主体和客体进行分级并添加属性标签,并建立主体级别与客体级别之间的映射关系,从而实现信息的机密性或完整性保护。上述模型的共同问题在于,认为主体级别和客体级别之间存在必然联系,主体的访问权限不是由需要保密的客体决定。而且,存在标签被篡改、数据交叉泄露问题。
作者认为,在信息保密领域,要保密的客体应该处于强制性的主导地位,而主体则处于从属地位。主体能够访问哪些客体,对客体进行哪些操作,均应该由客体属性决定。客体包含多方面的属性,利用这些属性对主体的使用进行主动约束,且必须有效做到属性标签防篡改等。
2.2技术思路
基于安全理论的数据防泄露技术,主要可概括为四大类:即控制类技术、加密类技术、过滤类技术和虚拟化技术。
控制类技术是通过权限的设置,对计算机输入输出进行集中控制和管理,并定期进行检查和事后审计,实现对关键数据的传输进行控制,防止未经授权的数据外泄。
加密类技术是传统的信息安全技术,可分为文件级加密技术、磁盘级加密技术、硬件级加密技术、网络级加密技术。
过滤类技术通过在内网的出口,即网关处安装内容过滤设备,用以分析常见网络协议,并且对协议的内容进行分析及过滤。
虚拟化技术多指计算系统虚拟化及与之相关的虚拟机技术。虚拟可以实现在不同的层面上,包括指令集结构层、硬件抽象层、操作系统层、应用层等。
各种安全产品和解决方案,大都综合运用了多种技术手段。基于虚拟化技术的安全防护研究,成为近年研究热点。
2.3信息防泄露产品
国外安全市场上的数据防泄露(DLP)产品,依据防护对象的不同可概括为:终端防护类、网络防护类、内容安全类。
(1)终端安全产品
终端防护类产品自20世纪80年代计算机病毒出现时起便发展起来,但因安装复杂、管理繁琐、维护成本高昂等而饱受诟病。随着威胁与管理维护成本的增加,单点的安全防护产品已无法满足安全需求,终端成为安全防线最薄弱的环节。
终端管理技术的局限及用户的需求要求更好的解决方法。近年来,基于虚拟化和云计算理念的终端管理产品发展迅速,颠覆了传统意义上的终端管理概念。将系统和服务集中在服务器端,使得网络管理人员不必再将维护的重点放在分散的个人终端上,只要维护和加固服务器端便可以实现全网络终端便捷的维护和高安全。并且虚拟化和集中化的应用方式,也可以使用户终端从根本上避免系统瘫痪、软件冲突及误操作等多层面的问题。典型如Invincea公司的全球首个虚拟化浏览器Invincea BrowSer Protection。
(2)网络安全产品
20世纪90年代,学术界称其为网络(NETSEC)安全时代,其时代特征是美国80年代末出现的莫里斯蠕虫事件。网络安全的思路是使组织内网成为一个安全的环境。UTM、防火墙、入侵检测和防护系统、漏洞扫描系统、防病毒系统等先后部署在网络中。但是这些安全产品都只能防范单点或者小范围的安全威胁,各种安全措施无法形成合力,易产生安全漏洞和安全隐患。动态的、主动安全防护需求日益迫切。网络安全态势感知相关研究成为近年来安全领域热点。TimBaSS指出,网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、实现以及预测未来的发展趋势。
(3)内容安全和应用安全
内容安全是建立在基础网络安全设备之上的,针对应用层和内容层的安全策略,不仅防范外部病毒入侵、黑客攻击等威胁,对www.huisheliren.com使用者的行为进行有效管理和控制。内容安全的管理依靠三大技术支撑,即电子邮件过滤、网页过滤、反间谍软件技术。内容安全是许多企业忽视的安全角落。缺乏有效的对关键数据和信息的保护措施,致使所有的人都可以轻而易举地访问这些核心数据,从而为企业机密文件的泄露埋下了隐患。在员工利用即时通讯和访问购物网站的时候,一些恶意软件就会不知不觉地下载到电脑中,接着在企业内部网络中进行传播,进而导致公司信息系统被入侵、机密资料被窃以及公司网络堵塞等问题。
2.4国内法规政策及相关技术产品问题
我国信息安全及涉密信息保护方面的法规主要包括“信息安全等级保护”和“涉及国家秘密的信息系统分级保护”两方面规定。国家标准对于涉密电子信息保护方面的规定,存在三个主要问题。一是保密形式和客观环境发生变化,实践中产生的矛盾和问题需要解决。二是只定义了加密存储和加密传输,对于数据全生命周期保护没有有效的防护。三是现行法规以外部攻击为主要防护对象,而对于内部泄密没有提供有效防护。另外,对于安全产品的测评要求,则是针对不同的安全技术要求,缺乏全局安全视角及一致性。
我国信息安全产品管理理念和模式落后于形势的发展。目前的安全技术、产品和解决方案,是将等级保护和分级保护的安全技术要求割裂开来,分别寻找相应的技术方法,再进行简单的技术堆叠,由于信任链断裂,信任关系无法进行有效的传递,彼此孤立的安全手段无法形成合力,无法对信息内容本身进行有效的防护。我国基础信息网络和重要信息系统的多数核心软、硬件设备和高端服务仍严重依赖于国外,存在不同程度的安全漏洞和隐患。
3 集中管控是网络环境下保密管理的最佳实践
信息化日益深入,人们对网络的依赖性不断增加,安全边界不断扩大,各种应用层出不穷。传统安全防护已无法应对新的安全挑战,应用层和内容层的安全管控成为信息防泄露的有效手段。实践证明,对于应用和数据的集中管控,成为保密管理的发展趋势。
3.1集中管控定义
集中管控,是指在网络环境下,通过对数据及应用的集中管理和控制,达到对涉密电子信息的全生命周期保护,防止涉密信息泄露。
图1 集中管控
集中管控具有如下几层含义。
(1)管控目标:涉密电子信息的全生命周期防护,防止泄密。
(2)管控对象:数据和应用。电子信息的数据和应用分离,涉密信息保护不仅要保护数据,还必须保护相关应用。依据ISO/IEC27034应用安全指南,应用指的是应用软件或应用系统。
(3)管控方式:“集中”相对于“分散”,将原来分散在各处、各个终端、个人手中的秘密集中起来,统一管控。涉密信息使用受控,输出受控。
(4)管控效果:全生命周期防护,涉密信息产生、编辑、保存、传输、交换、使用、销毁等整个过程。
3.2集中管控的实现
传统的组织信息系统的部署情况是,各终端围绕着中心服务器分散部署,终端及服务器上均部署资源(资源是指各种业务应用及数据)。个人终端上部署各种业务应用,保存个人文件,并可设置共享文件夹,通过网络共享给全部或部分组织成员。终端包括台式机、便携电脑、PDA等。终端上存在各种涉密信息,终端成为组织安全边界。如图2所示。
集中管控,是为了保护涉密信息,其仍然服务于组织整体业务发展。从分散管理到集中管控,首先通过“平移”,将原来在终端上进行的各种业务操作平移到后台服务器端,其次通过安全策略的配置,实现安全操作。
集中管控将原来分散在各个终端上的涉密信息,以及处理涉密信息的应用,集中到后台服务器上统一管理,涉密边界从终端收缩至服务器,有效降低终端防护压力。将网络划分为资源区、用户区、中间区,通过专用网络隔离与接入设备进行隔离。资源区(服务器端)集中部署数据和应用,数据的存储和计算均在服务器端集中进行;终端远程虚拟访问服务器,实现人机交互,终端上没有涉密信息保存;数据输出(输入)严格受控,打印、刻录、U盘、扫描等受限可控。通过对涉密部位重点防护,并严格控制涉密信息向外流向,有效管控涉密信息,并降低总体防护成本。如图所示。
集中管控示意图
3.3集中管控与基于大型主机的集中计算的区别
计算机系统是由集中计算发展到分布计算,再由分布计算上升到集中计算和管理,这是一种否定之否定的辨证过程。集中管控由集中存储、集中计算、集中管理三个层次组成,不同于20世纪六七十年代的基于大型主机的集中式计算。
上世纪的集中式计算及主机模式,由大型机和多个与之相连的哑终端组成。当时的计算模式为主机/终端模式(即集中计算模式),运行在主机系统上的Unix操作系统是一个多用户、多任务和多进程的操作系统,用户终端仅仅是一个输入/输出接口。由于物理设备的限制,采用这种计算模式的所有计算数据和程序都只能位于主机系统上,从而形成典型的“集中存储、集中计算”模式。
集中管控下的集中计算,是在传统的客户机/服务器模式中插入中间层服务器。客户机只完成基本的显示、输入和输出,或者一些简单的事务处理;中间层服务器完成原来由客户机所进行的数据前后处理工作,并负责为其前台的客户机提供显示服务,同时与后台的一个或多个数据库服务器(应用服务器)进行大量的数据传递。由此,客户机将不再涉密,将其从安全防护压力与运维压力下解脱出来。彻底改变“台台都是涉密机,人人都是机要员”的状况。
随着信息技术及计算设备的快速发展,在螺旋式的上升中集中计算技术日趋走向成熟。目前,集中计算技术已经广泛应用到虚拟计算领域以及云服务领域。基于集中计算的集中管控模式,必将成为保密管理的必然趋势。
3.4集中管控的好处
通过集中存储、集中计算、加密保护、授权使用、精确控制、全程审计等技术手段,实现涉密信息集中管控,具有如下优点。
(1)涉密信息集中管控,可对组织内涉密情况全局把握,涉密信息有多少、在哪里、谁看过、谁带出过等均可控可查,从而保证秘密信息使用的合规性和受控性。
(2)终端不存密,个人不留密,切实做到秘密知悉范围最小。极大缩小涉密范围,减少泄密路径,达到并超越“纸质密”保护效果。
(3)主动防护。事前控制,事中预警,事后审计。对涉密信息进行全生命周期防护,一旦发生泄密事件,责任可追溯。
(4)降低管理成本。由分散管理到集中管理,管理目标明确,维护、管理成本降低。
(5)与云安全一脉相承,具有良好的扩展性。
3.5集中管控面临的问题
基于集中计算的集中管控,本质上是一种“私有云”架构,颠覆了传统终端管理、网络管理等保密管理思想,改变了人们长期以来个人拥有、终端计算的思维及使用习惯。同时面临如下问题:
(1)数据批量失泄密问题;
(2)对于现实管理架构的遵从问题;
(3)集中的数据有效使用、共享、检索等问题;
(4)单点故障、性能瓶颈等问题。
信息防泄露是信息安全领域的重要内容之一。但长期以来,业界一直用安全理论来解决信息防泄露问题,导致防泄密效果不明显,泄密事件不断发生。近年来,基于基础设施的静态的、被动的防护体系更无法适应新形势下的保密需求。本文从理论研究、技术思路、现行产品等多个角度探讨了集中管控是保密管理发展的趋势,并探讨了集中管控的定义、实现模型、优势及存在的问题。
1 引言
2010年“维基解密”横扫21世纪信息保密的腹地,激起多国“9·11”式外交风暴。2011年5月16日,美国白宫发布《网络空间国际战略》,阐述了美国在“日益以网络相连的世界建立繁荣、增进安全和保护开放”。报告明确树立了网络空间安全在经济、科学、军事、政治和意识形态中的重要地位,倡导发布新的互联网安全规定,就日后美国如何应对互联网安全等事务提出具体方案。
在网络环境下,秘密信息一旦泄露,瞬间即可扩散至全世界。各国法律均规定涉密内网与国际互联网物理隔离,但是借助可移动存储介质,内外网交互时间很短,一旦发生泄密事件,传播极快。要想信息泄露后在外网进行拦截则难度很大,事倍功半。所以加强内网防护,防止涉密信息流出内网,更加有效可行。
对于中国来说,2011年是国家“十二五”开局之年,也是保密工作承前启后,努力实现新发展、新跨越的关键一年。2010年10月新的《中华人民共和国保守国家秘密法》施行,2011年3月28日起新修订的《中国人民解放军保密条例》颁布施行。我国面临着信息化条件下高技术窃密泄密风险大大增加,境内外敌对势力对我间谍情报活动日益加剧的严峻挑战。在信息安全保密行业理论研究、技术研究仍是国外占主导地位的条件下,我国在进行涉密信息保护,防止涉密信息泄露领域,必须探索一条中国人自己的信息安全之路———在国外操作系统及软硬件之上,加一把中国人自己的锁。
2 涉密信息保护的现状
涉密信息保护,数据防泄露是信息安全领域的重要内容之一。但长期以来,业界一直用安全理论来解决数据防泄露问题,导致防泄密效果不明显,泄密事件频发。
2.1理论研究
ISO/IEC27002:2005中定义信息安全:保证信息的保密性、完整性和可用性。可信计算组织TCG定义的可信平台模块TPM,是一种置于计算机中的新的嵌入式安全子系统。假定客户端软件在其使用过程中可能会遭到破坏,通过TPM对客户端提供硬件保护,防止私钥和对称密钥被窃取或被恶意代码使用。
典型的信息保密性模型Bell-LaPadula模型,简称BLP模型,从系统保密性的角度描述不同访问级别的主体和客体之间的联系。BLP模型形式化地定义了系统状态及状态间的转换规则,并制定了一组约束系统状态间转换规则的安全理论。BLP模型采用“向下读,向上写”的机制,保证了低安全级的主体不能读高安全级的数据,阻止高安全级的主体把秘密泄露到一个较低的安全级上,保证信息不会从高保密级别流向低保密级别。
安全模型的目标是控制或管理主体(例如用户和进程)对客体(例如数据和程序)的访问。BLP模型、Biba模型、Lattice模型等,均通过对主体和客体进行分级并添加属性标签,并建立主体级别与客体级别之间的映射关系,从而实现信息的机密性或完整性保护。上述模型的共同问题在于,认为主体级别和客体级别之间存在必然联系,主体的访问权限不是由需要保密的客体决定。而且,存在标签被篡改、数据交叉泄露问题。
作者认为,在信息保密领域,要保密的客体应该处于强制性的主导地位,而主体则处于从属地位。主体能够访问哪些客体,对客体进行哪些操作,均应该由客体属性决定。客体包含多方面的属性,利用这些属性对主体的使用进行主动约束,且必须有效做到属性标签防篡改等。
2.2技术思路
基于安全理论的数据防泄露技术,主要可概括为四大类:即控制类技术、加密类技术、过滤类技术和虚拟化技术。
控制类技术是通过权限的设置,对计算机输入输出进行集中控制和管理,并定期进行检查和事后审计,实现对关键数据的传输进行控制,防止未经授权的数据外泄。
加密类技术是传统的信息安全技术,可分为文件级加密技术、磁盘级加密技术、硬件级加密技术、网络级加密技术。
过滤类技术通过在内网的出口,即网关处安装内容过滤设备,用以分析常见网络协议,并且对协议的内容进行分析及过滤。
虚拟化技术多指计算系统虚拟化及与之相关的虚拟机技术。虚拟可以实现在不同的层面上,包括指令集结构层、硬件抽象层、操作系统层、应用层等。
各种安全产品和解决方案,大都综合运用了多种技术手段。基于虚拟化技术的安全防护研究,成为近年研究热点。
2.3信息防泄露产品
国外安全市场上的数据防泄露(DLP)产品,依据防护对象的不同可概括为:终端防护类、网络防护类、内容安全类。
(1)终端安全产品
终端防护类产品自20世纪80年代计算机病毒出现时起便发展起来,但因安装复杂、管理繁琐、维护成本高昂等而饱受诟病。随着威胁与管理维护成本的增加,单点的安全防护产品已无法满足安全需求,终端成为安全防线最薄弱的环节。
终端管理技术的局限及用户的需求要求更好的解决方法。近年来,基于虚拟化和云计算理念的终端管理产品发展迅速,颠覆了传统意义上的终端管理概念。将系统和服务集中在服务器端,使得网络管理人员不必再将维护的重点放在分散的个人终端上,只要维护和加固服务器端便可以实现全网络终端便捷的维护和高安全。并且虚拟化和集中化的应用方式,也可以使用户终端从根本上避免系统瘫痪、软件冲突及误操作等多层面的问题。典型如Invincea公司的全球首个虚拟化浏览器Invincea BrowSer Protection。
(2)网络安全产品
20世纪90年代,学术界称其为网络(NETSEC)安全时代,其时代特征是美国80年代末出现的莫里斯蠕虫事件。网络安全的思路是使组织内网成为一个安全的环境。UTM、防火墙、入侵检测和防护系统、漏洞扫描系统、防病毒系统等先后部署在网络中。但是这些安全产品都只能防范单点或者小范围的安全威胁,各种安全措施无法形成合力,易产生安全漏洞和安全隐患。动态的、主动安全防护需求日益迫切。网络安全态势感知相关研究成为近年来安全领域热点。TimBaSS指出,网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、实现以及预测未来的发展趋势。
(3)内容安全和应用安全
内容安全是建立在基础网络安全设备之上的,针对应用层和内容层的安全策略,不仅防范外部病毒入侵、黑客攻击等威胁,对www.huisheliren.com使用者的行为进行有效管理和控制。内容安全的管理依靠三大技术支撑,即电子邮件过滤、网页过滤、反间谍软件技术。内容安全是许多企业忽视的安全角落。缺乏有效的对关键数据和信息的保护措施,致使所有的人都可以轻而易举地访问这些核心数据,从而为企业机密文件的泄露埋下了隐患。在员工利用即时通讯和访问购物网站的时候,一些恶意软件就会不知不觉地下载到电脑中,接着在企业内部网络中进行传播,进而导致公司信息系统被入侵、机密资料被窃以及公司网络堵塞等问题。
2.4国内法规政策及相关技术产品问题
我国信息安全及涉密信息保护方面的法规主要包括“信息安全等级保护”和“涉及国家秘密的信息系统分级保护”两方面规定。国家标准对于涉密电子信息保护方面的规定,存在三个主要问题。一是保密形式和客观环境发生变化,实践中产生的矛盾和问题需要解决。二是只定义了加密存储和加密传输,对于数据全生命周期保护没有有效的防护。三是现行法规以外部攻击为主要防护对象,而对于内部泄密没有提供有效防护。另外,对于安全产品的测评要求,则是针对不同的安全技术要求,缺乏全局安全视角及一致性。
我国信息安全产品管理理念和模式落后于形势的发展。目前的安全技术、产品和解决方案,是将等级保护和分级保护的安全技术要求割裂开来,分别寻找相应的技术方法,再进行简单的技术堆叠,由于信任链断裂,信任关系无法进行有效的传递,彼此孤立的安全手段无法形成合力,无法对信息内容本身进行有效的防护。我国基础信息网络和重要信息系统的多数核心软、硬件设备和高端服务仍严重依赖于国外,存在不同程度的安全漏洞和隐患。
3 集中管控是网络环境下保密管理的最佳实践
信息化日益深入,人们对网络的依赖性不断增加,安全边界不断扩大,各种应用层出不穷。传统安全防护已无法应对新的安全挑战,应用层和内容层的安全管控成为信息防泄露的有效手段。实践证明,对于应用和数据的集中管控,成为保密管理的发展趋势。
3.1集中管控定义
集中管控,是指在网络环境下,通过对数据及应用的集中管理和控制,达到对涉密电子信息的全生命周期保护,防止涉密信息泄露。
图1 集中管控
集中管控具有如下几层含义。
(1)管控目标:涉密电子信息的全生命周期防护,防止泄密。
(2)管控对象:数据和应用。电子信息的数据和应用分离,涉密信息保护不仅要保护数据,还必须保护相关应用。依据ISO/IEC27034应用安全指南,应用指的是应用软件或应用系统。
(3)管控方式:“集中”相对于“分散”,将原来分散在各处、各个终端、个人手中的秘密集中起来,统一管控。涉密信息使用受控,输出受控。
(4)管控效果:全生命周期防护,涉密信息产生、编辑、保存、传输、交换、使用、销毁等整个过程。
3.2集中管控的实现
传统的组织信息系统的部署情况是,各终端围绕着中心服务器分散部署,终端及服务器上均部署资源(资源是指各种业务应用及数据)。个人终端上部署各种业务应用,保存个人文件,并可设置共享文件夹,通过网络共享给全部或部分组织成员。终端包括台式机、便携电脑、PDA等。终端上存在各种涉密信息,终端成为组织安全边界。如图2所示。
集中管控,是为了保护涉密信息,其仍然服务于组织整体业务发展。从分散管理到集中管控,首先通过“平移”,将原来在终端上进行的各种业务操作平移到后台服务器端,其次通过安全策略的配置,实现安全操作。
集中管控将原来分散在各个终端上的涉密信息,以及处理涉密信息的应用,集中到后台服务器上统一管理,涉密边界从终端收缩至服务器,有效降低终端防护压力。将网络划分为资源区、用户区、中间区,通过专用网络隔离与接入设备进行隔离。资源区(服务器端)集中部署数据和应用,数据的存储和计算均在服务器端集中进行;终端远程虚拟访问服务器,实现人机交互,终端上没有涉密信息保存;数据输出(输入)严格受控,打印、刻录、U盘、扫描等受限可控。通过对涉密部位重点防护,并严格控制涉密信息向外流向,有效管控涉密信息,并降低总体防护成本。如图所示。
集中管控示意图
3.3集中管控与基于大型主机的集中计算的区别
计算机系统是由集中计算发展到分布计算,再由分布计算上升到集中计算和管理,这是一种否定之否定的辨证过程。集中管控由集中存储、集中计算、集中管理三个层次组成,不同于20世纪六七十年代的基于大型主机的集中式计算。
上世纪的集中式计算及主机模式,由大型机和多个与之相连的哑终端组成。当时的计算模式为主机/终端模式(即集中计算模式),运行在主机系统上的Unix操作系统是一个多用户、多任务和多进程的操作系统,用户终端仅仅是一个输入/输出接口。由于物理设备的限制,采用这种计算模式的所有计算数据和程序都只能位于主机系统上,从而形成典型的“集中存储、集中计算”模式。
集中管控下的集中计算,是在传统的客户机/服务器模式中插入中间层服务器。客户机只完成基本的显示、输入和输出,或者一些简单的事务处理;中间层服务器完成原来由客户机所进行的数据前后处理工作,并负责为其前台的客户机提供显示服务,同时与后台的一个或多个数据库服务器(应用服务器)进行大量的数据传递。由此,客户机将不再涉密,将其从安全防护压力与运维压力下解脱出来。彻底改变“台台都是涉密机,人人都是机要员”的状况。
随着信息技术及计算设备的快速发展,在螺旋式的上升中集中计算技术日趋走向成熟。目前,集中计算技术已经广泛应用到虚拟计算领域以及云服务领域。基于集中计算的集中管控模式,必将成为保密管理的必然趋势。
3.4集中管控的好处
通过集中存储、集中计算、加密保护、授权使用、精确控制、全程审计等技术手段,实现涉密信息集中管控,具有如下优点。
(1)涉密信息集中管控,可对组织内涉密情况全局把握,涉密信息有多少、在哪里、谁看过、谁带出过等均可控可查,从而保证秘密信息使用的合规性和受控性。
(2)终端不存密,个人不留密,切实做到秘密知悉范围最小。极大缩小涉密范围,减少泄密路径,达到并超越“纸质密”保护效果。
(3)主动防护。事前控制,事中预警,事后审计。对涉密信息进行全生命周期防护,一旦发生泄密事件,责任可追溯。
(4)降低管理成本。由分散管理到集中管理,管理目标明确,维护、管理成本降低。
(5)与云安全一脉相承,具有良好的扩展性。
3.5集中管控面临的问题
基于集中计算的集中管控,本质上是一种“私有云”架构,颠覆了传统终端管理、网络管理等保密管理思想,改变了人们长期以来个人拥有、终端计算的思维及使用习惯。同时面临如下问题:
(1)数据批量失泄密问题;
(2)对于现实管理架构的遵从问题;
(3)集中的数据有效使用、共享、检索等问题;
(4)单点故障、性能瓶颈等问题。
信息防泄露是信息安全领域的重要内容之一。但长期以来,业界一直用安全理论来解决信息防泄露问题,导致防泄密效果不明显,泄密事件不断发生。近年来,基于基础设施的静态的、被动的防护体系更无法适应新形势下的保密需求。本文从理论研究、技术思路、现行产品等多个角度探讨了集中管控是保密管理发展的趋势,并探讨了集中管控的定义、实现模型、优势及存在的问题。
1.引言
2010年“维基解密”横扫21世纪信息保密的腹地,激起多国“9·11”式外交风暴。2011年5月16日,美国白宫发布《网络空间国际战略》,阐述了美国在“日益以网络相连的世界建立繁荣、增进安全和保护开放”。报告明确树立了网络空间安全在经济、科学、军事、政治和意识形态中的重要地位,倡导发布新的互联网安全规定,就日后美国如何应对互联网安全等事务提出具体方案。
在网络环境下,秘密信息一旦泄露,瞬间即可扩散至全世界。各国法律均规定涉密内网与国际互联网物理隔离,但是借助可移动存储介质,内外网交互时间很短,一旦发生泄密事件,传播极快。要想信息泄露后在外网进行拦截则难度很大,事倍功半。所以加强内网防护,防止涉密信息流出内网,更加有效可行。
对于中国来说,2011年是国家“十二五”开局之年,也是保密工作承前启后,努力实现新发展、新跨越的关键一年。2010年10月新的《中华人民共和国保守国家秘密法》施行,2011年3月28日起新修订的《中国人民解放军保密条例》颁布施行。我国面临着信息化条件下高技术窃密泄密风险大大增加,境内外敌对势力对我间谍情报活动日益加剧的严峻挑战。在信息安全保密行业理论研究、技术研究仍是国外占主导地位的条件下,我国在进行涉密信息保护,防止涉密信息泄露领域,必须探索一条中国人自己的信息安全之路———在国外操作系统及软硬件之上,加一把中国人自己的锁。
2 涉密信息保护的现状
涉密信息保护,数据防泄露是信息安全领域的重要内容之一。但长期以来,业界一直用安全理论来解决数据防泄露问题,导致防泄密效果不明显,泄密事件频发。
2.1理论研究
ISO/IEC27002:2005中定义信息安全:保证信息的保密性、完整性和可用性。可信计算组织TCG定义的可信平台模块TPM,是一种置于计算机中的新的嵌入式安全子系统。假定客户端软件在其使用过程中可能会遭到破坏,通过TPM对客户端提供硬件保护,防止私钥和对称密钥被窃取或被恶意代码使用。
典型的信息保密性模型Bell-LaPadula模型,简称BLP模型,从系统保密性的角度描述不同访问级别的主体和客体之间的联系。BLP模型形式化地定义了系统状态及状态间的转换规则,并制定了一组约束系统状态间转换规则的安全理论。BLP模型采用“向下读,向上写”的机制,保证了低安全级的主体不能读高安全级的数据,阻止高安全级的主体把秘密泄露到一个较低的安全级上,保证信息不会从高保密级别流向低保密级别。
安全模型的目标是控制或管理主体(例如用户和进程)对客体(例如数据和程序)的访问。BLP模型、Biba模型、Lattice模型等,均通过对主体和客体进行分级并添加属性标签,并建立主体级别与客体级别之间的映射关系,从而实现信息的机密性或完整性保护。上述模型的共同问题在于,认为主体级别和客体级别之间存在必然联系,主体的访问权限不是由需要保密的客体决定。而且,存在标签被篡改、数据交叉泄露问题。
作者认为,在信息保密领域,要保密的客体应该处于强制性的主导地位,而主体则处于从属地位。主体能够访问哪些客体,对客体进行哪些操作,均应该由客体属性决定。客体包含多方面的属性,利用这些属性对主体的使用进行主动约束,且必须有效做到属性标签防篡改等。
2.2技术思路
基于安全理论的数据防泄露技术,主要可概括为四大类:即控制类技术、加密类技术、过滤类技术和虚拟化技术。
控制类技术是通过权限的设置,对计算机输入输出进行集中控制和管理,并定期进行检查和事后审计,实现对关键数据的传输进行控制,防止未经授权的数据外泄。
加密类技术是传统的信息安全技术,可分为文件级加密技术、磁盘级加密技术、硬件级加密技术、网络级加密技术。
过滤类技术通过在内网的出口,即网关处安装内容过滤设备,用以分析常见网络协议,并且对协议的内容进行分析及过滤。
虚拟化技术多指计算系统虚拟化及与之相关的虚拟机技术。虚拟可以实现在不同的层面上,包括指令集结构层、硬件抽象层、操作系统层、应用层等。
各种安全产品和解决方案,大都综合运用了多种技术手段。基于虚拟化技术的安全防护研究,成为近年研究热点。
2.3信息防泄露产品
国外安全市场上的数据防泄露(DLP)产品,依据防护对象的不同可概括为:终端防护类、网络防护类、内容安全类。
(1)终端安全产品
终端防护类产品自20世纪80年代计算机病毒出现时起便发展起来,但因安装复杂、管理繁琐、维护成本高昂等而饱受诟病。随着威胁与管理维护成本的增加,单点的安全防护产品已无法满足安全需求,终端成为安全防线最薄弱的环节。
终端管理技术的局限及用户的需求要求更好的解决方法。近年来,基于虚拟化和云计算理念的终端管理产品发展迅速,颠覆了传统意义上的终端管理概念。将系统和服务集中在服务器端,使得网络管理人员不必再将维护的重点放在分散的个人终端上,只要维护和加固服务器端便可以实现全网络终端便捷的维护和高安全。并且虚拟化和集中化的应用方式,也可以使用户终端从根本上避免系统瘫痪、软件冲突及误操作等多层面的问题。典型如Invincea公司的全球首个虚拟化浏览器Invincea BrowSer Protection。
(2)网络安全产品
20世纪90年代,学术界称其为网络(NETSEC)安全时代,其时代特征是美国80年代末出现的莫里斯蠕虫事件。网络安全的思路是使组织内网成为一个安全的环境。UTM、防火墙、入侵检测和防护系统、漏洞扫描系统、防病毒系统等先后部署在网络中。但是这些安全产品都只能防范单点或者小范围的安全威胁,各种安全措施无法形成合力,易产生安全漏洞和安全隐患。动态的、主动安全防护需求日益迫切。网络安全态势感知相关研究成为近年来安全领域热点。TimBaSS指出,网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、实现以及预测未来的发展趋势。
(3)内容安全和应用安全
内容安全是建立在基础网络安全设备之上的,针对应用层和内容层的安全策略,不仅防范外部病毒入侵、黑客攻击等威胁,对www.huisheliren.com使用者的行为进行有效管理和控制。内容安全的管理依靠三大技术支撑,即电子邮件过滤、网页过滤、反间谍软件技术。内容安全是许多企业忽视的安全角落。缺乏有效的对关键数据和信息的保护措施,致使所有的人都可以轻而易举地访问这些核心数据,从而为企业机密文件的泄露埋下了隐患。在员工利用即时通讯和访问购物网站的时候,一些恶意软件就会不知不觉地下载到电脑中,接着在企业内部网络中进行传播,进而导致公司信息系统被入侵、机密资料被窃以及公司网络堵塞等问题。
2.4国内法规政策及相关技术产品问题
我国信息安全及涉密信息保护方面的法规主要包括“信息安全等级保护”和“涉及国家秘密的信息系统分级保护”两方面规定。国家标准对于涉密电子信息保护方面的规定,存在三个主要问题。一是保密形式和客观环境发生变化,实践中产生的矛盾和问题需要解决。二是只定义了加密存储和加密传输,对于数据全生命周期保护没有有效的防护。三是现行法规以外部攻击为主要防护对象,而对于内部泄密没有提供有效防护。另外,对于安全产品的测评要求,则是针对不同的安全技术要求,缺乏全局安全视角及一致性。
我国信息安全产品管理理念和模式落后于形势的发展。目前的安全技术、产品和解决方案,是将等级保护和分级保护的安全技术要求割裂开来,分别寻找相应的技术方法,再进行简单的技术堆叠,由于信任链断裂,信任关系无法进行有效的传递,彼此孤立的安全手段无法形成合力,无法对信息内容本身进行有效的防护。我国基础信息网络和重要信息系统的多数核心软、硬件设备和高端服务仍严重依赖于国外,存在不同程度的安全漏洞和隐患。
3 集中管控是网络环境下保密管理的最佳实践
信息化日益深入,人们对网络的依赖性不断增加,安全边界不断扩大,各种应用层出不穷。传统安全防护已无法应对新的安全挑战,应用层和内容层的安全管控成为信息防泄露的有效手段。实践证明,对于应用和数据的集中管控,成为保密管理的发展趋势。
3.1集中管控定义
集中管控,是指在网络环境下,通过对数据及应用的集中管理和控制,达到对涉密电子信息的全生命周期保护,防止涉密信息泄露。
图1 集中管控
集中管控具有如下几层含义。
(1)管控目标:涉密电子信息的全生命周期防护,防止泄密。
(2)管控对象:数据和应用。电子信息的数据和应用分离,涉密信息保护不仅要保护数据,还必须保护相关应用。依据ISO/IEC27034应用安全指南,应用指的是应用软件或应用系统。
(3)管控方式:“集中”相对于“分散”,将原来分散在各处、各个终端、个人手中的秘密集中起来,统一管控。涉密信息使用受控,输出受控。
(4)管控效果:全生命周期防护,涉密信息产生、编辑、保存、传输、交换、使用、销毁等整个过程。
3.2集中管控的实现
传统的组织信息系统的部署情况是,各终端围绕着中心服务器分散部署,终端及服务器上均部署资源(资源是指各种业务应用及数据)。个人终端上部署各种业务应用,保存个人文件,并可设置共享文件夹,通过网络共享给全部或部分组织成员。终端包括台式机、便携电脑、PDA等。终端上存在各种涉密信息,终端成为组织安全边界。如图2所示。
集中管控,是为了保护涉密信息,其仍然服务于组织整体业务发展。从分散管理到集中管控,首先通过“平移”,将原来在终端上进行的各种业务操作平移到后台服务器端,其次通过安全策略的配置,实现安全操作。
集中管控将原来分散在各个终端上的涉密信息,以及处理涉密信息的应用,集中到后台服务器上统一管理,涉密边界从终端收缩至服务器,有效降低终端防护压力。将网络划分为资源区、用户区、中间区,通过专用网络隔离与接入设备进行隔离。资源区(服务器端)集中部署数据和应用,数据的存储和计算均在服务器端集中进行;终端远程虚拟访问服务器,实现人机交互,终端上没有涉密信息保存;数据输出(输入)严格受控,打印、刻录、U盘、扫描等受限可控。通过对涉密部位重点防护,并严格控制涉密信息向外流向,有效管控涉密信息,并降低总体防护成本。如图所示。
集中管控示意图
3.3集中管控与基于大型主机的集中计算的区别
计算机系统是由集中计算发展到分布计算,再由分布计算上升到集中计算和管理,这是一种否定之否定的辨证过程。集中管控由集中存储、集中计算、集中管理三个层次组成,不同于20世纪六七十年代的基于大型主机的集中式计算。
上世纪的集中式计算及主机模式,由大型机和多个与之相连的哑终端组成。当时的计算模式为主机/终端模式(即集中计算模式),运行在主机系统上的Unix操作系统是一个多用户、多任务和多进程的操作系统,用户终端仅仅是一个输入/输出接口。由于物理设备的限制,采用这种计算模式的所有计算数据和程序都只能位于主机系统上,从而形成典型的“集中存储、集中计算”模式。
集中管控下的集中计算,是在传统的客户机/服务器模式中插入中间层服务器。客户机只完成基本的显示、输入和输出,或者一些简单的事务处理;中间层服务器完成原来由客户机所进行的数据前后处理工作,并负责为其前台的客户机提供显示服务,同时与后台的一个或多个数据库服务器(应用服务器)进行大量的数据传递。由此,客户机将不再涉密,将其从安全防护压力与运维压力下解脱出来。彻底改变“台台都是涉密机,人人都是机要员”的状况。
随着信息技术及计算设备的快速发展,在螺旋式的上升中集中计算技术日趋走向成熟。目前,集中计算技术已经广泛应用到虚拟计算领域以及云服务领域。基于集中计算的集中管控模式,必将成为保密管理的必然趋势。
3.4集中管控的好处
通过集中存储、集中计算、加密保护、授权使用、精确控制、全程审计等技术手段,实现涉密信息集中管控,具有如下优点。
(1)涉密信息集中管控,可对组织内涉密情况全局把握,涉密信息有多少、在哪里、谁看过、谁带出过等均可控可查,从而保证秘密信息使用的合规性和受控性。
(2)终端不存密,个人不留密,切实做到秘密知悉范围最小。极大缩小涉密范围,减少泄密路径,达到并超越“纸质密”保护效果。
(3)主动防护。事前控制,事中预警,事后审计。对涉密信息进行全生命周期防护,一旦发生泄密事件,责任可追溯。
(4)降低管理成本。由分散管理到集中管理,管理目标明确,维护、管理成本降低。
(5)与云安全一脉相承,具有良好的扩展性。
3.5集中管控面临的问题
基于集中计算的集中管控,本质上是一种“私有云”架构,颠覆了传统终端管理、网络管理等保密管理思想,改变了人们长期以来个人拥有、终端计算的思维及使用习惯。同时面临如下问题:
(1)数据批量失泄密问题;
(2)对于现实管理架构的遵从问题;
(3)集中的数据有效使用、共享、检索等问题;
(4)单点故障、性能瓶颈等问题。