网络与信息安全信息通报系统的研究与设计

２００８年１１月　西安石油大学学报（自然科学版）　Ｎｏｖ．２００８　第２３卷第６期　Ｊｏｕｒｎａｌ　ｏｆ　Ｘｉ　ａｎ　Ｓｈｉｙｏｕ　Ｕｎｉｖｅｒｓｉｔｙ（Ｎａｔｕｒａｌ　Ｓｃｉｅｎｃｅ　Ｅｄｉｔｉｏｎ）　Ｖ０１．２３　Ｎｏ．６　文章编号：１６７３．０６４Ｘ（２００８）０６—００９１—０４　网络与信息安全信息通报系统的研究与设计　Ｒｅｓｅａｒｃｈ　ａｎｄ　ｄｅｓｉｇｎ　ｏｆ　ｔｈｅ　ｉｎｆｏｒｍａｔｉｏｎ　ａｖｉｓｏ　ｓｙｓｔｅｍ　ｆｏｒ　ｎｅｔｗｏｒｋ　ａｎｄ　ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｔａｒｙ　张仙伟　，一，张ｉ景　，黄毓虎２　（１．西安理工大学计算机科学与工程学院，陕西西安７１００４８；２．西安石油大学油气资源学院，陕西西安７１００６５）　摘要：通过建设网络与信息安全信息通报系统，为我国金融、证券、工商、税务等重要部门通报信息　安全信息，促进各部门之间的信息共享．主要介绍了系统的逻辑设计和业务流程，以及其中所涉及　的关键技术．　关键词：网络安全；信息安全；信息通报系统；信息共享；业务流程　中图分类号：ＴＰ３９３．０８　文献标识码：Ａ　随着我国信息化进程的推进，信息化已经渗透　通报系统的总体目标是：以网络与信息安全信　到政治、经济、军事、文化生活等方面．信息化对促进　息的采集、分类、研判、审定、通报和应急指挥为主要　社会经济的发展发挥着重要的作用，同时网络安全　通报业务环节，提供内部办公和对外提供公众服务；　与信息安全已成为影响安全的重要因素．所以通过　构建可信通报专网，确保通报中心与各通报点可信　建设信息通报系统，为我国重要部门通报信息安全　网络的互联和畅通；以信息安全为基础，依托信任服　信息，促进各部门之间的信息共享，为网络与信息领　务体系建设可信业务支撑平台，为通报系统提供全　域的安全提供保障．　网统一的安全保障服务，实现通报系统的全程全网　国家计算机网络应急技术处理协调中心（简称　全业务，并提供用户、资源和业务的综合管理服务；　ＣＮＣＥＲＴ／ＣＣ）是负责协调我国各计算机网络安全　基于可信业务支撑平台部署通报业务系统，在全国　事件应急小组（ＣＥＲＴ）共同处理国家公共互联网上　范围内建设具有战略性、先进性和前瞻性的网络与　的安全紧急事件，为国家公共互联网、国家主要网络　信息安全信息通报系统．　信息应用系统以及关键部门提供计算机网络安全的　１．１逻辑结构设计　监测、预警、应急、防范等安全服务和技术支持，及时　根据通报系统的业务需求和需要提供的支撑服　收集、核实、汇总、发布有关互联网安全的权威性信　务内容，通报系统总体逻辑结构如图１所示．　息，组织国内计算机网络安全应急组织进行国际合　通报系统总体上以通报业务的开展为驱动，在　作和交流的组织【ｌＩ．　可信通报专网提供网络承载服务的基础上将通报业　１信息通报系统的设计与业务流程　务所需的支撑服务归纳为安全支撑、业务支撑和管　理支撑．　根据国内外发展状况，在建设信息通报系统时　（１）通报业务方系统根据通报业务环节，通报业　要基于统一安全保障服务、统一业务支撑和管理支　务系统主要包括信息采集分类、信息研判、信息审　撑服务的考虑而进行总体设计．在总体结构设计方　定、信息发布和信息共享等方面．　面，依据关键技术设计和部署相应的系统．　收稿日期：２００８．０３．１９　基金项目：８６３重点课题（编号：２００７ＡＡ０１０３０５）；陕西省科技计划项目（编号：２００６Ｋ０４．ＧＩＯ）　作者简介：张仙伟（１９７３一），男，工程师，博士研究生，主要从事电子政务和信息安全方面的研究．　一９２一　西安石油大学学报（自然科学版）　厂　信　信　信　信　信　信　息　息　息　息　息　息　采　分　研　宙　共　预　集　类　定　享　警　系　系　系　系　系　统　统　统　统　统　统　１安全支撑体系　Ｉ管理支撑体系　业务支撑体系ｌ　通报系统可信专网　图１通报系统总体逻辑结构　（２）安全支撑体系　安全支撑主要包括信任服务和基本安全防护两　大方面，信任服务以密码服务为基础，为通报系统整　体上提供身份认证服务、有效授权服务、可信时间和　责任认定服务；基本安全防护包括防火墙、病毒防　治、漏洞扫描、入侵检测等内容，在可信通报专网和　互联网接入方面提供网络安全服务［２－３］．信任服务　需要在证书体系、密码管理方面给予考虑，通报系统　采用的密码设备需要经过主管部门的审批．　（３）业务支撑体系　业务支撑体系为用户和业务系统提供注册服　务、鉴权服务、呼叫代理服务、业务控制服务．并提供　基本网络办公业务服务，包括多媒体业务、网络会　议、业务协同、语音和视频对话的服务．　（４）管理支撑体系　通过对用户资源、网络资源、设备资源、系统资　源的统一管理来提供业务管理支撑服务．通报系统　是一项系统工程，需要将标准化的工作纳入管理支　撑体系，标准化的工作内容有：数据交换规范、数据　存取规范、数据维护管理、数据接口管理、技术标准、　代码规范、业务开发规范等．　１．２具体业务描述　通报业务具体包括信息采集分类，在数据分析、　挖掘的基础上对信息进行研判与审定，面向社会提　供信息发布，面向各通报单位提供信息通报，面向上　级领导部门提供信息上报等服务．具体业务环节如　图２所示．　信息采集分类包括来自互联网和各通报单位的　信息．采集信息的内容包括计算机病毒、网络攻击、　系统漏洞等信息以及网上其他危害安全、影响社会　稳定的不良信息．信息的采集分类是实现通报中心　职能的基础，通报中心要满足重要部门的网络与信　息安全需求，就必须准确、实时、全面的采集分类各　种网络与信息安全信息．　Ｉ信息发布Ｉ　ｌ信息通报Ｉ　Ｉ信息上报Ｉ　＼　／　信息研判与审定　数据分析　数据挖掘　信息共享　—————、　ＩＩ信息采集Ｉ　ｌ信息分类Ｉｌ　ｌｌ信息采集ｌ　Ｉ信息分类ｌｌ　图２通报业务环节示意图　信息共享保证相关的信息在各个部门畅通，实，　现各重要部门之间信息的共享，避免因信息封闭而　造成重大损失．　数据分析和数据挖掘主要是为研判和审定提供　支持，为决策支持提供依据．数据分析就是对采集的　数据进行分析包括其可信程度、危害程度、各条信息　之间的相互关系等等．数据挖掘一方面是指通报中　心工作人员挖掘互联网上的相关网络与信息安全信　息，另一方面为挖掘内部网络与信息安全数据，包括　各种统计数据．　信息研判与审定是对采集的信息进行综合处　理，对其危害程度、事件发展趋势等作出判断，对整　体形势及重点问题的核查、评估，形成对形势和影响　问题危害程度及发展趋势的准确判断．只有对各种　网络与信息安全信息进行准确、合理的研判与审定，　才能够真正地做到决策支持，为处理重大网络与信　息安全事件和应急指挥提供依据．　信息发布是在互联网上发布面向公众的网络与　信息安全权威信息；信息通报是通过通报专网，向信　息通报机制各成员单位和重要信息系统主管部门通　报网络与信息安全信息；信息上报为对重大的网络　与信息安全事件需上报上级领导部门．信息的发布、　通报、上报三者之间的区别主要体现在内容、安全级　别、重要紧急程度的不同，区别还在于面向的对象和　处理的方式的不同．　１．３通报业务流程　根据服务的对象以及各对象不同的功能需求，　网络与信息安全信息通报系统的业务系统分别为信　息的采集、分类、研判、审定、发布、通报、上报，提供　决策支持．通报系统业务流程如图３所示．　（１）通报系统操作于互联网方面的业务流程　信息通报中心对外接收来自于互联网上个人、　企事业单位、机构和其他组织报送来的包括网络安　全事件、知识性的资料、预警等信息，以及通报中心　张仙伟等：网络与信息安全信息通报系统的研究与设计　一９３一　互联网　通报专网　全以及重要部门、行业的网络与信息安全的系统工　上级领导部门　程，其覆盖区域广泛，系统服务对象数量巨大，种类　繁多，系统内部包含有多类业务系统．为了满足不同　网络主体之间可信的呼叫需求，满足呼叫手段实时　～…Ｌ～　性的要求，以及开展多种下一代网络业务的要求，在　知识娄、…一一．　．…一反馈信息Ｉ　－｛—　　｝审定信息　—｛　　～…　系统中必须采用可信的呼叫控制技术．　Ｉ　＝ｒ二。　可信授权服务技术通过数字证书实现了用户身　丁…　Ｉ　－Ｉ　高　份的统一管理，在数字证书的基础上，通过职属证书　实现了用户职务属性的统一管理，而授权服务系统　ｊｉ　将用户职务属性和业务系统资源相关联，为业务系　统的资源拥有者提供资源管理、用户管理、资源授　权、授权裁决服务［４－６Ｊ．　图３通报系统业务流程图　图４是授权服务系统在通报系统中的部署图．　人员搜索的相关指定的网站的信息，进行数据的取　授权服务系统部署在通报专网中，在认证网关、职属　舍和分类、汇总，并提交最终结果到中心数据库，供　证书查询验证系统的配合下，为通报系统提供统一　通报中心的信息安全研判处和安全技术分析处进行　的用户管理、资源管理、资源授权和授权裁决服务．　下一步信息研判．　信息通报中心对研判后的非审定结果（相关知　识性、学习类、信息安全事件等）直接发布在互联网　上，或通过电话、电子邮件、传真等方式定期发布给　ｃ　＝一　个体用户、企事业单位．对需要审定的研判结果送领　导处审定，对重要事件（重大网络事件、违法犯罪事　件、破坏经济事件等）需报送上级领导部门，由上级　领导部门将最终结果传回通报中心，然后由通报中　图４可信授权服务系统的网络部署　心向互联网发布．　资源拥有者通过授权服务系统统一管理各自的　（２）通报系统操作于通报专网的业务流程　资源，并根据实际应用要求把资源操作权限与用户　通报专网互联各个通报单位和上级领导部门，　职务属性关联起来，在授权服务系统生成授权状，作　在整个专网中实现互联互通的信息交互．通报中心　为授权裁决的依据．　采集来自各个通报单位的报送信息（网络安全事件、　授权状规定了一个访问资源的用户集合，如果　知识性的资料、预警等），对每个分类信息进行专题　用户职务属性如部门、职务、职级、级别等属性值在　式和紧急情况下的类型研判．对通报中心可以作研　授权状规定的职务属性值范围内，用户即可访问到　判的信息由通报中心人员直接给出结果，作为通报　该资源．　中心对各个通报单位的决策支持．通报中心以及时　通过授权服务系统的裁决服务决定用户对资源　通报、普刊、增刊的方式把不同级别的研判信息结果　的操作权限，业务系统只需要完成资源注册和资源　通报给各个通报单位．对需要审定的研判信息由领　授权，通过调用授权服务系统的裁决服务实现访问　导确定研判结果，对某些难以研判审定的信息和应　控制．　急事件信息由通报中心上报给上级领导部门决策．　２．２可信的责任认定服务技术　最后将决策结果传回通报中心并向各个通报部门发　可信的责任认定服务技术是指通过对用户与业　布．　务系统的关键行为和关键状态的可信采集、可信存　２关键技术　储、统计、分析，获得可信的证据和确定责任者，其关　键是可信的实时状态和即时信息．　２．１可信的授权服务技术　可信的责任认定服务技术通过采集可信网络环　信息通报系统的建设是一项关系到国家信息安　境中实时状态信息、关键行为的即时信息一起作为　・－－－——９４・・・－——　西安石油大学学报（自然科学版）　责任认定的证据，通过统计和分析存储的数据为管　息通道和技术平台，是一个通过保证信息通报和联　理部门提供责任认定服务．　络渠道畅通来实现信息采集分类、信息研判及审定、　责任认定系统主要由责任认定客户端、责任认　信息通报、信息共享和应急指挥等流程，使各类平台　定服务模块、数据管理服务模块和密码服务模块组　的用户具有信息互操作和端对端能力的全方位信息　成，系统结构如图５所示　通报系统．为了统一业务系统的开发、部署和配置，　即时状态管理系统　Ｉ　Ｉ密码服务ｌ　方便系统的维护，提供业务的灵活性，系统有必要利　圈Ｉ客户端模块Ｉ　卜　ｌ　用可信业务控制技术，对内涵的多类业务系统进行　有效的控制和管理．　注册代理服务系统为数字化网络会议、数字化　图５责任认定系统结构　网络办公、ＩＰ电话和即时消息以及其他多媒体业务　可信责任认定技术提供了对可信的信息通报网　提供呼叫代理、注册、定位和重定向服务，为通报系　络进行可信、权威、公正的管理手段，是确保网络环　统实现全网唯一注册和统一呼叫控制提供支　境安全的另一个关键技术．　撑Ｅ７－９１．　２．３可信的注册代理服务技术　注册代理服务系统的系统结构如图６所示．　信息通报系统是基于互联网、通报中心内网及　１Ｊ　１Ｊ注册代理服务系统由智能客户端、注册服务模　外网等各类信息平台建立的各国家网络与信息安全　块、重定向服务器模块、呼叫代理服务模块、密　协调小组成员单位和重要信息系统主管部门间的信　码服务模块５个部分组成．　可信呼叫　控制系统１　注册服务　呼叫代理　模块　服务模块　ｌ　工　王　密码服务　重定向　模块　服务模块　图６注册代理服务系统结构　版社，２００７．　３结束语　信息安全工程技术研究中心．电子政务总体设计与技　术实现［Ｍ］．北京：电子工业出版社，２００３．　随着网络应用不断深入人们的生活，网络与信　Ａｎｄｒｅｗ　Ｎａｓｈ．公钥基础设施（ＰＫＩ）一实现和管理电子　息安全日趋引起关注和重视．网上有害信息传播、病　安全［Ｍ］．北京：清华大学出版社，２００２．　毒入侵和黑客攻击等问题对网络与信息安全构成严　陈彦学．信息安全理论与实务［Ｍ］．北京：中国铁道出　重的威胁．而建立信息通报系统就是为了实现信息　版社，２００１．　共享，一旦一个地方发现问题，可以通报大家，使大　Ｚａｏ　Ｊ，Ｋｅｎ　Ｓ，Ｇａｈｍ　Ｊ，ｅｔ　ａ１．Ａ　ｐｕｂｌｉｃ－Ｋｅｙ　ｂａｓｅｄ　ｓｅｃｕｒｅ　家能够做出实时的处理，以减少损失，取得了良好的　Ｍｏｂｉｌｅ　ＩＰ［Ｊ］．Ｗｅｒｅｌｅｓｓ　Ｎｅｔｗｏｒｋｓ，１９９９，５：３７３．３９０．　Ｅｌｇａｍａｌ　Ｔ．Ａ　Ｐｕｂｌｉｃ—ｋｅｙ　Ｃｒｙｐｔｏｓｙｓｔｅｍ　ａｎｄ　ａ　ｓｉｌａｇｅ　社会效益和经济效益．　ｓｃｈｅｍｅ　ｂａｓｅｄ　ｏｎ　ｄｉｓｃｒｅｔｅ　ｌｏｇａｒｉｔｈｍｓ［Ｊ］．ＩＥＥＥ　Ｔｒａｍ，ＯＤ　网络与信息安全的通报系统的建设是把网络与　Ｉｎｆｏｒｍａｔｉｏｎ　Ｔｈｅｏｒｙ，１９９４，Ｉ１ｒ３１（１）：４６９．４７２．　信息安全提高到一个重要的高度，是各个重要部门　Ｃｈｅｓｗｉｃｋ，Ｗｉｌｌｉａｍ　Ｒ．ａｎｄ　Ｓｔｅｖｅｎ　Ｍ．Ｂｅｌｌｏｖｉｎ．Ｆｉｒｅｗａｌｌｓ　和广大群众的网络与信息安全的重要保障．信息通　ａｎｄ　Ｉｎｔｅｒｎｅｔ　Ｓｅｃｕｒｉｔｙ：Ｒｅｐｅｌｌｉｎｇ　ｔｈｅ　Ｗｉｌｙ　Ｈａｃｋｅｒ．Ｒｅａｄ—　报中心是单位信息处理的核心，起着承上启下的作　ｉｇｎ［Ｍ］．Ｍａｓｓ：Ａｄｄｉｓｏｎ－Ｗｅｓｌｅｙ，１９９５．　用，确保广大群众、各通报单位、通报中心和信息领　Ｇａｄｉｎｋｅｌ　Ｓ，Ｇｅｎｅ　Ｓｐａｆｆｏｒｄ．Ｐｒａｃｔｉｃａｌ　ＵＮＩＸ＆Ｉｎｔｅｍｅｔ　Ｓｅｃｕｒｉｔｙ［Ｍ］．２ｎｄ　Ｅｄ．［Ｓ．１．］：Ｏ’Ｒｅｉｌｌｙ＆ＡＳＳ，（￣ｆｌｔ鹤．　导单位的信息畅通，信息共享，发生紧急事件时能够　Ｉｎｃ，１９９６．　做出及时处理．　Ｇａｒｆｉｎｋｅｌ　Ｓ．ＰＧＰ　Ｐｒｅｔｔｙ　Ｇｏａｔ　Ｐｒｉｖａｃｙ［Ｍ］．［Ｓ．１．］：０’　参考文献’：　Ｒｅｉｌｌｙ＆Ａｓｓｏｃｉａｔｅｓ，Ｉｎｃ，１９９５．　［１］陈广山．网络与信息安全技术［Ｍ］．北京：机械工业出　编辑　张新宝　Ｌ！ｌ　］Ｊ