访问控制技术在涉密信息系统中的综合应用
2014-04-29杨冬武
【 摘 要 】 本文以网络分层的体系结构为切入点,逐一分析了网络体系结构各层中的访问控制技术在控制非法接入和访问涉密信息系统过程中的工作方式和作用,从而在整体上提出了保障涉密信息系统信息安全的有效的访问控制手段。
【 关键词 】 访问控制;涉密信息系统;综合应用
1 引言
信息安全是涉密信息系统生存之本,目前军工企业信息安全形势日趋严峻,由于涉密信息系统与其它网络和系统物理隔离,对网络体系结构中各层的访问控制显得尤为重要,因此访问控制成为保障军工企业涉密信息系统信息安全的重点和难点。
2 网络分层体系结构
现代化的信息系统都以计算机网络作为基础运行平台,涉密信息系统也不例外,而计算机网络采用分层的体系结构,国际标准化组织ISO把计算机网络分为七层,即应用层、表示层、会话层、传输层、网络层、数据链路层、物理层,也就是ISO/OSI七层协议的网络体系结构——开放系统互连基本参考模型OSI/RM(Open Systems Interconnection Reference Model)。
但是,目前现实的情况是得到最广泛应用的不是法律上的国际标准OSI,而是非国际标准TCP/IP。TCP/IP成为事实上的国际标准。TCP/IP是一个四层的体系结构,即应用层、运输层、网络层、网络接口层,从实质上讲,TCP/IP只有最上面的三层,因为最下面的网络接口层并没有什么具体内容。因此,结合以上两种体系结构的划分方式,目前大部分实际应用中的网络体系结构可划分为应用层、运输层、网络层、数据链路层、物理层。
由于物理层只是用于实现网络底层的机械和电气特性,本文从应用层、运输层、网络层、数据链路层这四层分析访问控制技术在这四层中的综合运用,并最终建立起对涉密信息系统整体的访问控制防护。
3 访问控制
3.1 交换机端口与MAC地址绑定
数据链路层处于网络体系结构中的第二层,也是网络入侵者必须首先通过的最底层,所以做好数据链路层的访问控制是非常重要的。
MAC(Medium Access Control,媒体访问控制)地址是烧录在网卡中的,也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部,它存储的是传输数据时真正赖以标识发出数据的计算机和接收数据的计算机的地址。这个地址与网络无关,也即无论将带有这个地址的硬件(如网卡、交换机、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。MAC地址的长度为48位,世界上每个以太网设备都具有唯一的MAC地址。
如在交换机的某个端口上绑定合法的MAC地址,则其它未在该端口上绑定的MAC地址全部为非法地址,会在接入该端口时予以屏蔽,这样就保证了只有已经绑定了的合法的MAC地址才能接入该端口,杜绝了非法MAC地址的入侵,这样能够防止非授权计算机从数据链路层接入涉密网。
以Cisco 3560交换机[操作系统版本:Version 12.2(25)SEB2]为例,把MAC地址00:14:c2:59:1c:98绑定在交换机的gigabitEthernet 0/8端口上,并且该端口上只允许来自这一个MAC地址的数据帧通过,操作命令如下:
NC-3560G#configure terminal
NC-3560G(config)#interface gigabitEthernet 0/8
NC-3560G(config-if)#switchport mode access
NC-3560G(config-if)#switchport port-security mac-address 0014.c259.1c98
NC-3560G(config-if)#switchport port-security violation protect
NC-3560G(config-if)#switchport port-security maximum 1
NC-3560G(config-if)#switchport port-security
绑定效果如图1所示。
3.2 主机审计系统阻断非法接入
虽然交换机端口绑定合法MAC地址能够防止非法计算机接入涉密网络,MAC地址一般也是不能修改的,但是目前出现了一些修改MAC地址的软件,入侵者如果将本机MAC地址修改成交换机端口所绑定的合法MAC地址,并把IP地址的VLAN设置成与接入的交换机端口同一VLAN,还是能够侵入涉密网络系统。
为解决这一问题,可以考虑在数据链路层的上一层——网络层采取相关的访问控制措施防止非法接入,在涉密信息系统的每个终端上安装主机审计系统客户端,这样通过服务端可以对每个终端的信息配置、操作行为、I/O接口进行实时监控和管理,定时扫描接入网络的每一个终端,阻断通过修改MAC地址和IP地址接入涉密网而未安装主机审计系统的非法计算机。
对于需要接入涉密网而未安装主机审计的合法计算机,可在服务端先保护需接入的IP地址,确保新接入而未安装主机审计的合法计算机的网络连接不会被阻断,待安装了主机审计系统客户端程序后,服务器端可撤消对该IP地址的保护。
这样可以在网络层有效防止入侵者通过修改计算机MAC地址和IP地址接入涉密网络。
3.3 防火墙访问控制
防火墙是在涉密信息系统内应用最广泛、最为有效的访问控制手段,防火墙工作于网络层和运输层,防火墙是一个位于计算机和它所连接的网络之间的硬件或软件。网内计算机流入流出的所有网络通信均要经过防火墙。
在防火墙中可以配置端到端的访问控制策略,可以控制网内每一台计算机的网络访问请求,可以关闭计算机不使用的端口,从而禁止特定端口的流出通信和其它计算机对该端口的访问,封锁特洛伊木马。可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。防火墙对流经它的网络通信进行扫描,这样能够过滤掉网络入侵者的攻击。endprint
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙,才能连接目标计算机,可以在防火墙内配置各种不同层次的访问控制策略,从而对网内的计算机进行不同的访问控制防护,如限定可以访问目标计算机的合法IP地址或地址组,限制能够访问的端口和服务等。
设置防火墙与入侵检测系统的联动是控制入侵的有效手段,如果入侵检测系统检测到某一计算机的网络流量异常可立刻通知防火墙阻断该计算机的网络连接,从而有效防止入侵者对其它计算机的攻击和入侵。
3.4 身份认证系统身份鉴别
在应用层非法入侵者往往通过窃取合法用户的用户名和口令入侵涉密网络和计算机。为解决这一问题,可在涉密网内建立统一身份认证系统对用户身份进行鉴别和确认。
身份认证系统是基于目录服务,利用PKI/CA(公钥密码体制/认证中心)、数字证书、动态口令、智能卡和生理特征等认证方式,对业务应用系统的用户提供统一身份鉴别和统一用户授权的安全服务机制。
身份认证系统一般由密钥管理中心(KMC)、管理中心(CA)、证书注册审核中心(RA)、证书目录服务系统(LDAP)、加密机等构成。
PKI是基于公钥密码算法技术来确立可信的数字身份的。相对于对称密码算法而言,公钥密码算法也称为非对称密码算法,其加密密钥与解密密钥不同,其中一个是公开的,称为公开密钥,另一个是秘密的,称为私有密钥。
在公钥密码算法体制中,用户被分配给公开/私有密钥对,私钥与公钥之间不能互相推出,私钥由用户自己持有,公钥可以发给任何人。公钥和私钥互为加解密密钥,用户选择公开密钥还是私有密钥用于加密,取决于用户加密的目的。私钥由于其私密性,还可以用于数字签名来实现身份认证。PKI采用证书来管理公钥,将用户的现实身份和公/私密钥对建立联系,并由可信赖的权威认证机构(CA)来管理用户的证书。
统一身份认证系统可用于操作系统和各应用系统登录时对用户进行身份鉴别,从而能够有效防止非法用户从应用层入侵涉密网络和信息系统。
4 综合防护
涉密信息系统是一个整体,采用单一的访问控制技术只能从某一层次防止非法用户的入侵,只有从网络体系的各个层次采取综合的访问控制措施,并使各层的访问控制措施相互配合、相互补充,才能有效地解决整个系统的非法入侵问题。访问控制综合防护体系如图2所示。
5 结束语
涉密信息系统不能仅仅依赖于单一的访问控制措施保障信息安全,而必须结合其它各层的安全保护措施为涉密信息系统提供综合而全面的安全保障。如在数据链路层绑定交换机端口与合法的MAC地址,通过主机审计系统在网络层进行的IP地址与MAC地址的绑定,通过数字身份认证系统在应用层对用户身份进行唯一确定等。只有从网络系统的各层采取相应的访问控制措施,才能够最大限度的控制和防止非法入侵。
参考文献
[1] 谢希仁.计算机网络(第2版). 北京:电子工业出版社,1999.4.
[2] 罗晓沛,侯炳辉.系统分析师教程.北京:清华大学出版社,2008.4.
[3] Catalyst 6500 Series Switch Command Reference. [M]. Cisco Systems,Inc ,2003.
[4] (美)拉默尔(Lammle.T.L.). CCNA学习指南.北京:电子工业出版社,2008.2.
作者简介:
杨冬武(1975-),男,湖南株洲人,工程师;主要研究方向和关注领域:计算机网络安全。endprint
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙,才能连接目标计算机,可以在防火墙内配置各种不同层次的访问控制策略,从而对网内的计算机进行不同的访问控制防护,如限定可以访问目标计算机的合法IP地址或地址组,限制能够访问的端口和服务等。
设置防火墙与入侵检测系统的联动是控制入侵的有效手段,如果入侵检测系统检测到某一计算机的网络流量异常可立刻通知防火墙阻断该计算机的网络连接,从而有效防止入侵者对其它计算机的攻击和入侵。
3.4 身份认证系统身份鉴别
在应用层非法入侵者往往通过窃取合法用户的用户名和口令入侵涉密网络和计算机。为解决这一问题,可在涉密网内建立统一身份认证系统对用户身份进行鉴别和确认。
身份认证系统是基于目录服务,利用PKI/CA(公钥密码体制/认证中心)、数字证书、动态口令、智能卡和生理特征等认证方式,对业务应用系统的用户提供统一身份鉴别和统一用户授权的安全服务机制。
身份认证系统一般由密钥管理中心(KMC)、管理中心(CA)、证书注册审核中心(RA)、证书目录服务系统(LDAP)、加密机等构成。
PKI是基于公钥密码算法技术来确立可信的数字身份的。相对于对称密码算法而言,公钥密码算法也称为非对称密码算法,其加密密钥与解密密钥不同,其中一个是公开的,称为公开密钥,另一个是秘密的,称为私有密钥。
在公钥密码算法体制中,用户被分配给公开/私有密钥对,私钥与公钥之间不能互相推出,私钥由用户自己持有,公钥可以发给任何人。公钥和私钥互为加解密密钥,用户选择公开密钥还是私有密钥用于加密,取决于用户加密的目的。私钥由于其私密性,还可以用于数字签名来实现身份认证。PKI采用证书来管理公钥,将用户的现实身份和公/私密钥对建立联系,并由可信赖的权威认证机构(CA)来管理用户的证书。
统一身份认证系统可用于操作系统和各应用系统登录时对用户进行身份鉴别,从而能够有效防止非法用户从应用层入侵涉密网络和信息系统。
4 综合防护
涉密信息系统是一个整体,采用单一的访问控制技术只能从某一层次防止非法用户的入侵,只有从网络体系的各个层次采取综合的访问控制措施,并使各层的访问控制措施相互配合、相互补充,才能有效地解决整个系统的非法入侵问题。访问控制综合防护体系如图2所示。
5 结束语
涉密信息系统不能仅仅依赖于单一的访问控制措施保障信息安全,而必须结合其它各层的安全保护措施为涉密信息系统提供综合而全面的安全保障。如在数据链路层绑定交换机端口与合法的MAC地址,通过主机审计系统在网络层进行的IP地址与MAC地址的绑定,通过数字身份认证系统在应用层对用户身份进行唯一确定等。只有从网络系统的各层采取相应的访问控制措施,才能够最大限度的控制和防止非法入侵。
参考文献
[1] 谢希仁.计算机网络(第2版). 北京:电子工业出版社,1999.4.
[2] 罗晓沛,侯炳辉.系统分析师教程.北京:清华大学出版社,2008.4.
[3] Catalyst 6500 Series Switch Command Reference. [M]. Cisco Systems,Inc ,2003.
[4] (美)拉默尔(Lammle.T.L.). CCNA学习指南.北京:电子工业出版社,2008.2.
作者简介:
杨冬武(1975-),男,湖南株洲人,工程师;主要研究方向和关注领域:计算机网络安全。endprint
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙,才能连接目标计算机,可以在防火墙内配置各种不同层次的访问控制策略,从而对网内的计算机进行不同的访问控制防护,如限定可以访问目标计算机的合法IP地址或地址组,限制能够访问的端口和服务等。
设置防火墙与入侵检测系统的联动是控制入侵的有效手段,如果入侵检测系统检测到某一计算机的网络流量异常可立刻通知防火墙阻断该计算机的网络连接,从而有效防止入侵者对其它计算机的攻击和入侵。
3.4 身份认证系统身份鉴别
在应用层非法入侵者往往通过窃取合法用户的用户名和口令入侵涉密网络和计算机。为解决这一问题,可在涉密网内建立统一身份认证系统对用户身份进行鉴别和确认。
身份认证系统是基于目录服务,利用PKI/CA(公钥密码体制/认证中心)、数字证书、动态口令、智能卡和生理特征等认证方式,对业务应用系统的用户提供统一身份鉴别和统一用户授权的安全服务机制。
身份认证系统一般由密钥管理中心(KMC)、管理中心(CA)、证书注册审核中心(RA)、证书目录服务系统(LDAP)、加密机等构成。
PKI是基于公钥密码算法技术来确立可信的数字身份的。相对于对称密码算法而言,公钥密码算法也称为非对称密码算法,其加密密钥与解密密钥不同,其中一个是公开的,称为公开密钥,另一个是秘密的,称为私有密钥。
在公钥密码算法体制中,用户被分配给公开/私有密钥对,私钥与公钥之间不能互相推出,私钥由用户自己持有,公钥可以发给任何人。公钥和私钥互为加解密密钥,用户选择公开密钥还是私有密钥用于加密,取决于用户加密的目的。私钥由于其私密性,还可以用于数字签名来实现身份认证。PKI采用证书来管理公钥,将用户的现实身份和公/私密钥对建立联系,并由可信赖的权威认证机构(CA)来管理用户的证书。
统一身份认证系统可用于操作系统和各应用系统登录时对用户进行身份鉴别,从而能够有效防止非法用户从应用层入侵涉密网络和信息系统。
4 综合防护
涉密信息系统是一个整体,采用单一的访问控制技术只能从某一层次防止非法用户的入侵,只有从网络体系的各个层次采取综合的访问控制措施,并使各层的访问控制措施相互配合、相互补充,才能有效地解决整个系统的非法入侵问题。访问控制综合防护体系如图2所示。
5 结束语
涉密信息系统不能仅仅依赖于单一的访问控制措施保障信息安全,而必须结合其它各层的安全保护措施为涉密信息系统提供综合而全面的安全保障。如在数据链路层绑定交换机端口与合法的MAC地址,通过主机审计系统在网络层进行的IP地址与MAC地址的绑定,通过数字身份认证系统在应用层对用户身份进行唯一确定等。只有从网络系统的各层采取相应的访问控制措施,才能够最大限度的控制和防止非法入侵。
参考文献
[1] 谢希仁.计算机网络(第2版). 北京:电子工业出版社,1999.4.
[2] 罗晓沛,侯炳辉.系统分析师教程.北京:清华大学出版社,2008.4.
[3] Catalyst 6500 Series Switch Command Reference. [M]. Cisco Systems,Inc ,2003.
[4] (美)拉默尔(Lammle.T.L.). CCNA学习指南.北京:电子工业出版社,2008.2.
作者简介:
杨冬武(1975-),男,湖南株洲人,工程师;主要研究方向和关注领域:计算机网络安全。endprint
