郑添尹 谢文亮

摘  要：以增加高校科研管理系统安全性为目的，对现有高校科研管理系统存在的安全隐患进行了分析，探讨国内对计算机信息系统等级保护标准中各个等级所提出的要求，在此基础上，引入了可信计算平台，提出基于可信计算平台的高校科研管理系统等级保护方案，描述其具体的实施过程，分析结果表明：实施可信计算平台后的高校科研管理系统达到国家信息安全等级保护要求。

关键词：科研管理系统;等级保护;可信计算平台;访问控制;安全策略

中图分类号：TP311.52      文献标识码：A 文章编号：2096-4706（2021）02-0111-03

Abstract：In order to increase the security of scientific research management system in universities，this paper analyzes the security risks existing in the existing scientific research management system in universities，and probes into the domestic requirements for each level in the classified protection standard of computer information system. On this basis，the paper introduces the trusted computing platform，puts forward the hierarchical protection scheme of university scientific research management system based on trusted computing platform，describes its specific implementation process，and the analysis results show that the university scientific research management system after the implementation of trusted computing platform meets the requirements of national information security level protection.

Keywords：scientific research management system;hierarchical protection;trusted computing platform;access control;security policy

0  引  言

高校科研是我国科研的重要组成部分，对高校科研成果要实施严格的管理。当前，我国高校科研管理系统的安全防护普遍存在安全隐患，例如：没有实施访问控制，部门领导可以随意访问科研信息;没有实施系统数据安全存储，一旦系统被攻击，则无法保证科研信息的完整性;更普遍的是，没有事件审计功能，一旦科研信息泄露，无法追踪实施人员。各种安全隐患的存在，给我国的高校科研信息的安全安全带来挑战，一旦出现科研成果信息泄露，特别是事关国家重大经济、政治和技术等科研成果信息被盗窃，将对我国国家安全造成威胁，给国家利益造成严重损失，因此，高校必须重视科研管理系统的安全防护。现阶段，我国政府重视空间网络安全，要求对重要计算机信息系统实施等级安全保护，组织制定了一系列计算机信息系统等级保护的相关安全标准，并在全国范围里推广应用。但在高校科研管理系统实践中，由于高校科研管理人员在思想层面上存在误区，认为信息系统等级保护仅仅是对计算机设置各种密码或密级的保护措施，因此，在实践中高校科研管理系统尚欠缺相应的等级保护实施方案。全国信息安全标准化技术委员会在《计算机信息系统安全保护等级划分准则》（简称《准则》）中对计算机系统的五个等级划分中都强调是在“计算机信息系统可信计算基”下进行的[1]。对于计算机系统可信计算基所采取的具体对象、具体属性以及实施原理尚未有统一的标准。“计算机系统可信计算基”是计算机信息系统内安全保护装置的总体，可信计算基不是单一组成，而是一个负责执行安全策略的组合体，包括硬件、固件、软件等，为用户提供一个可信计算系统所要求的附加用户服务。因此，建立在一个可信计算基上的计算机信息系统安全等级保护，才能真正实现信息系统安全，可信计算平台（Trusted Computing Platform，TCP）[2]是实现计算机系统可信计算基的支撑平台。本文探討将TCP引入到高校科研信息管理系统，实施访问授权、访问控制、审计保护、安全标志保护、结构化保护以及验证保护等，以实现信息系统安全达到国家等级保护要求，确保高校科研管理系统的安全，保护高校科研成果信息的数据安全性、完整性和机密性。

1  我国对信息系统等级保护的要求

1.1  系统等级保护划分标准

我国对信息系统等级保护分为五级[1]，如图1所示。《准则》里的划分标准为：

（1）第一级是用户自主保护级。本级计算机信息系统属于最低的安全级别，是消极的防范措施，即可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。在实际操作上，可信计算基保护用户数据在被访问过程中的基本信息安全，防范和避免非授权用户对数据信息的读写与破坏。高校科研管理系统必须具备第一级的保护。

（2）第二级是系统审计保护级。该保护级在第一级基础上提高一个安全档次，与用户自主保护级相比，除了自主访问保护功能之外，第二级系统等级保护增加了对信息系统的审计功能，即信息系统利用可信计算基对用户访问实施审计控制，信息系统对用户访问过程中的登录规程、数据信息访问过程中的行为安全性和信息系统隔离资源等都作了审计，即审计用户的每一个访问行为。高校科研管理系统面向不同人开放访问，对访问行为审计是系统等级保护的基本要求。

（3）第三级是安全标志保护级。可信计算基定义系统访问过程中的安全策略，包括对访问主体、访问客体、资源数据进行安全属性标志，并根据安全标志建立起系统访问规则列表，以及主体对客体强制访问控制的非形式化描述。通过访问控制的非形式化描述，实现准确标记输出信息的能力。第三级的重点是安全策略的建立及更新。高校科研管理系统由于科研数据保密要求及访问人员较多，因此要重视安全策略模式的构建。

（4）第四级是结构化保护级。本级计算机信息系统可信计算基在第三级的安全策略模型基础上，定义形式化的安全策略模型。进一步扩展信息系统访问的主体与客体，它要求将自主和强制访问控制的安全控制策略扩展到所有主体与客体;将可信计算基结构化为关键保护元素和非关键保护元素，根据优先级高低，对关键和非关键保护元素采取不同的安全控制策略。本级安全的重点是形式化安全策略，即抛开了具体的案例和规则，定义形式化的抽象安全规则，扩大保护力度。随着人工智能时代的到来，对访问规则的制定将由具体向抽象发展，因此，第四级的结构化保护显得更加重要。对于高校科研管理系统来说，形式化安全策略将扩大科研数据保护范围，并且实现智能全安保护。

（5）第五级是访问验证保护级。本级计算机信息系统可信计算基满足访问监控器需求，监控器仲裁主体具有抗篡改、足够小等特点，用于系统访问验证保护;在构造可信计算基时，排除安全策略实施过程中的非必要代码，将其复杂性降低到最低程度;扩充审计预警机制，当发生网络安全事件时发出警报信号;提供系统恢复机制，系统遭受网络或物理攻击后能及时恢复数据，具有很高的抗渗透能力。第五级的核心是验证保护，即加强了验证审计。对高校科研管理系统来说，严格对系统的访问，扩大验证保护，更好的保护科研成果。

1.2  信息系统等级保护要求分析

不同的数据安全级别要求实施相应等级的信息系统保护策略。每个等级的信息系统保护都要求对用户实施访问控制，身份鉴别，保护数据完整性。访问控制和身份鉴别要求系统对用户访问进行验证，阻止非授权用户读取敏感信息;保护数据完整性要求系统能避免受到非授权用户、病毒、恶意代码等篡改，保证敏感信息免受破坏。第二级以上都要求对事件进行审计，要求系统能保留每一个访问都的日志，并保护日志的安全;第三级以上的都要求提供安全策略模型，强制访问控制[3]，要求信息流只能向高级别流动，从秘密级别到机密级别再到绝密级别，信息永远不能向下流动，除非授权人员决定降低文件的保密等级。第四级要求系统结构化保护，明确定义形式化安全策略模型，第五级要求设置访问监控器，访问监控器的主要功能是监控和审核访问者的身份和访问权限，全部对系统数据的访问都要经过监控器，只有通过监控仲裁的，才能访问系统中的数据，否则一律不能访问，第五级还要求访问监控器能抗篡改，并且能提供系统恢复机制。

2  基于TCP的高校科研管理系统等级保护方案

根据信息系统等级保护的要求，高校科研管理系统可按照“需求模型——安全策略——安全机制”模式来解决问题。科研管理系统的安全需求是：科研成果信息需要严格实行分等级加密，并对系统实施访问控制，没有经过授权不得访问科研信息;科研数据需要保证安全存储，实现分布式或虚拟存储，一旦系统被攻击，科研成果信息仍然能保持完整性;需要提供访问和操作事件审计功能，实现全流程监管，一旦科研信息泄露，能及时定位追踪行为人员。

科研管理信息系统安全策略是访问权限的规则列表，规则列表中必须明确定义保护机制要保护的科研数据信息、访问对象类型、以及对象访问权限控制，即指明什么样的科研用戶可以访问什么样的科研数据[3]。明确了安全策略之后，就可以制定选取相应的安全机制。本文将TCP引入高校科研管理系统的等级保护中，如图2所示，在科研信息管理系统服务器前增加了两部TCP主机，形成一道防火墙，主要的功能是：对内部科研服务器文档进行加密和解决，对外部的访问实施控制。TCP在近年来已经趋于成熟，像Abyss、Citadel系统[4]等都可以作为加密服务器、认证服务器、访问控制服务器、审计服务器以及执行服务器等，将TCP应用于高校科研管理系统中，能实现高校科研管理系统的等级保护需求。

2.1  TCP在高校科研管理系统等级保护的实施方案

首先，在TCP运行前定义高校科研数据安全级别及相对应级别访问权限，按信息等级保护系统的要求整理成策略文件，以TCP可识别的方式导入TCP。其次，对科研管理信息系统中的科研成果进行归档[2]，归档的方法是对不同科研数据，根据密级要求作相应的属性设置，以及其相应的访问权限控制列表。最后，采用高端TCP保护数据和运行，抵御非法访问者的各种入侵行为，包括直接的物理攻击。在具体实施过程中，使用两台TCP得具体作用为：

（1）一台TCP运行编码器应用程序。编码器利用TCP的加密能力，使用一个随机对称密钥对外部提供数据快速加密，对归档科研文件进行数字签名，再将科研归档文件与访问策略进行绑定，并使用指定解码器的公开密钥，对随机对称密钥进行加密。

（2）另一台TCP运行解码器应用程序和审计应用程序。解码器程序接收一个已加密的归档科研文件和一个查看归档科研文件的请求，审计应用程序要求验证归档科研文件的数据完整性，然后依据绑定到归档科研文件的访问策略，确定该访问请求是否符合授权访问情况，是否有该密级的访问权限以及是否符合相应的操作。如果允许访问，解码器执行相应的操作，将请求结果返回给请求者。审核程序将发生在TCP解码器的每一个事件从请求到返回结果都进行详细的审计记录。

2.2  实施TCP方案的流程及安全性分析

图3为实施TCP方案后地对科研文档的访问流程。从TCP在科研管理系统实施过程可以看出，在TCP的运行过程中，充分考虑了科研信息管理系统等级保护的各等级要求：

（1）用户请求的身份验证。每个请求都必须进行认证，拒绝非授权用户的访问请求。

（2）强制访问控制。对每个请求TCP都会对照与归档科研文件绑定的策略文件，确定该请求的用户是否有权限查看该文档。

（3）设置访问监控器。对每个访问请求，无论允许查看文档与否，TCP都进行审核，只有通过TCP验证，才授权相应的文档操作。

（4）保护数据完整性。由于TCP的物理安全特性，如果有试图非法入侵访问，TCP或是拒绝访问（如果使用一般的网络攻击手段），或是自动销毁科研数据（如果攻击者尝试物理攻击）。

（5）全程审计。审计程序一直运行，保证访问日志的完整记录，并且TCP日志保存在TCP中，可以确保数据安全。

（6）快速恢复。一旦攻击者物理攻击成功，结果是数据被销毁，将备份文件直接重新导入TCP就可完成恢复。

3  结  论

在高校科研管理系统中引入TCP实现系统等级保护，既保证科研管理系统本身的数据安全，又保证用户访问的身份验证，更对科研数据访问的权限和信息流向进行严格的控制和审计，确保科研管理系统能够满足信息系统等级保护的各个等级的要求。从高校内部管理来说，规范了访问行为;从国家层面来说，保护我国在经济、政治和技术等方面的重大科研成果的安全，更好地维护国家的利益。

参考文献：

[1] 中华人民共和国公安部.计算机信息系统 安全保护等级划分准则：GB 17859-1999 [S].北京：中国标准出版社，1999.

[2] 肖国煜.信息系统等级保护测评实践 [J].信息网络安全，2011（7）：86-88.

[3] 于慧龙，李萍.大型信息系统安全域划分和等级保护 [J].计算机安全，2006（7）：7-8.

[4] 杨磊，郭志博.信息安全等级保护的等级测评 [J].中国人民公安大学学报（自然科学版），2007，13（1）：50-53.

[5] 何占博，王颖，刘军.我国网络安全等级保护现状与2.0标准体系研究 [J].信息技术与网络安全，2019，38（3）：9-14+19.

[6] SMITH S W.可信计算平台：设计与应用 [M].冯国登，徐震，张立武，译.北京：清华大学出版社，2006：130-132.

[7] ANDERSON R J.信息安全工程 [M].蒋佳，刘新喜，等译.北京：机械工业出版社，2003：106-110.

[8] WHITE S R，WEINGART S H，AMOLD W C，et al. Introduction to the Citadel Architecture：Security in Physically Exposed Environments [R].Yorktown Heights：IBM，1991.

作者简介：郑添尹（1982—），女，汉族，广东阳江人，硕士研究生，研究方向：公共管理;谢文亮（1979—），男，漢，广东潮州人，副编审，硕士生导师，硕士，研究方向：公共管理。