土壤墒情网络监测主机的全方位层式安全模型设
发布时间:2015-07-09 11:06
摘 要 土壤墒情网络监测系统的洪涝、干旱及火灾等报警功能关系着生命财产的安全,作为系统核心的监测主机的安全至关重要。通过全面分析监测主机可能面临的病毒、黑客、硬件故障、操作人员因素、自然灾害等安全威胁,以预防和恢复为指导思想,确定具体的安全策略,进而建立起监测主机的全方位层式安全模型。该模型具有预防、恢复、审计追踪三层,综合考虑了各种安全威胁,具有全方位的保护作用。采用《可信计算机系统评测标准》对该安全模型进行了评价,结果表明其安全性能较高。
关键词 安全模型;安全评价;土壤墒情;网络监测
1 引言
土壤墒情是重要的土壤信息,可以预报洪水和干旱,是农作物和森林树木生长的重要生态因素之一。土壤墒情网络监测系统通过监测土壤墒情数据,具有预测和预报森林土壤墒情和洪水、干旱及火灾等灾害的功能。土壤墒情网络监测主机担负着数据库服务器和网络服务器的功能,一旦其遭到破坏,整个土壤墒情网络监测系统将瘫痪,失去洪水、干旱及火灾等灾害的报警功能,可能造成重大的生命财产损失。因此,土壤墒情网络监测主机的安全保护极其重要。本文通过深入分析土壤墒情网络监测主机可能面临的各种安全威胁,提出了一种全方位层式安全模型,并采用美国国防部和国家标准局的《可信计算机系统评测标准》对该模型进行了评价。
2 土壤墒情网络监测主机可能面临的安全威胁
一种典型的土壤墒情网络监测系统的结构如图1所示。在该系统中,监测主机一方面接收来自温度、湿度及孔隙度传感器的数据,通过处理后进行存储;另一方面作为网络服务器,通过internet为远程终端提供监测服务。它担负着数据库服务器和网络服务器的角色,是整个系统最核心的部分。其中安全威胁包括病毒、黑客入侵、计算机硬件故障、操作人员因素、自然灾害等,下面进行具体分析。
(1)病毒。与光盘、软盘、磁盘、U盘,尤其是跟Internet的交互,可能使系统染上病毒。系统遭到病毒破坏造成的后果可能包括一些重要资料被窃取;系统资源被严重占用,系统工作效率低下;操作系统瘫痪,系统完全无法工作;硬件损坏,系统无法正常工作[1]。
(2)黑客入侵。由于远程监测的需要,使系统处于风险极大的Internet环境下。由于以太网络的开放性以及系统的自身缺陷,使系统极容易被黑客入侵。系统被黑客入侵造成的危害可能包括数据文件被删除;系统被非法操作,甚至生产设备的运作也被控制,测控现场被破坏,造成重大的经济损失。
图1 一种典型的土壤墒情网络监测系统的结构
(3)计算机硬件故障。由于老化、烧毁等各种原因,计算机的硬件可能会出现故障。计算机硬件故障造成的破坏是系统的正常工作被暂时中断。
(4)操作人员因素。由于部分操作人员越权操作或者非规范化的操作可能造成数据的文件的误删除;生产设备被错误控制等破坏。
(5)自然灾害。由于火灾、水灾、雷击、台风、地震等各种自然灾害,可能给系统造成破坏,这些破坏可能包括部分硬件损坏;所有硬件损坏;所有数据资源丢失等。
3 土壤墒情监测主机的全方位层式安全模型的设计
3.1 安全策略
土壤墒情网络监测主机采取“预防和恢复”相结合的安全策略,对其进行全方位的保护。一方面,尽可能建立稳固的安全防范体系;另一方面在安全防范体系被突破时,能够迅速恢复系统的正常工作。
下面从以上分析的安全威胁出发,确定土壤墒情网络监测主机的具体安全策略。
(1)病毒。病毒的防治分四个层次,如图2所示。第一层是预防1层,防范措施就是给系统装上防病毒软件,定期更新防病毒软件的杀毒库,这一层可将大部分病毒拒于系统之外,保护系统的基本安全;第二层是预防2层,定期更改系统用户的密码,减少“一些重要数据资料被窃取和破坏”的危险,在一定程度上预防突破了预防一层的恶性病毒的影响;第三层是恢复一层,扫描系统和查杀病毒,在这一层,可消除大部分侵入系统的病毒造成的危害;第四层是恢复2层,启用备用系统,彻底消除杀毒软件无法杀掉的病毒的影响,同时可恢复病毒造成的系统“硬件损坏”。
图2 病毒的防治
(2)黑客入侵。黑客入侵的防治分三个层次,如图3所示。第一层是预防一层,通过“被屏蔽子网”,将监测主机与Internet隔离开来,在这一层,可以阻止大部分技术水平一般的黑客入侵;第二层是预防2层,通过控制命令编码的方式,阻止突破预防1层,进入监测主机的黑客操纵主机,从而减小监测主机的控制功能被滥用的危险;第三层是恢复1层,定期对数据文件进行备份,消除“数据文件被删除”的危害。
图3 黑客入侵的防治
(3)计算机硬件故障。由于计算机硬件出现故障具有“突发”和“不可预料”性,故计算机硬件故障的预防通常没有有效的方法。计算机硬件故障的防治只有恢复1层,如图4所示,通过启用备用系统,消除“系统的正常工作被暂时中断”的影响。
图4 计算机硬件故障的防治
(4)操作人员因素。操作人员因素的防护分三个层次,如图5所示。第一层是预防1层,通过设立角色,并给每个角色指派相应的权限,消除“部分用户越权”操作而造成的系统损害工作;第二层是预防2层,通过控制命令编码的方式,防止操作人员因“非规范化的操作”而造成的危害;第三层是恢复1层,通过数据文件的备份,恢复由于操作人员失误而造成的“数据文件被误删除”的危害。
图5 操作人员破坏的防治
(5)自然灾害。自然灾害的防护分三层,如图6所示。第一层是预防1层,使系统处于防火、防潮、防雷、防风、防震的环境,在一定程度上防止自然灾害造成的危害;第二层是恢复1层,通过异地数据文件的备份,恢复监测主机的数据文件;第三层是恢复2层,通过异地存放的硬件系统,恢复由于监测主机硬件损坏造成的危害。
图6 自然灾害的防治
3.2 全方位层式安全模型
根据以上分析,建立土壤墒情网络监测主机的全方位层式安全模型图7所示。
土壤墒情网络监测主机的全方位层式安全模型分三层,分别是预防层、审计追踪层和恢复层。
图7 全方位层式安全模型
在这三层中,预防层走在“最前线”。预防层通过五大“软硬”结合的措施,建立起网络监测主机的牢固安全屏障,抵御几乎所有网络安全监测主机的安全威胁。预防层的五大措施包括:
①给系统装上防病毒软件,定期更新防病毒软件的杀毒库。
②设立角色,并给每个角色指派相应的权限。
③被屏蔽子网。
④控制命令编码。
⑤使系统处于防火、防潮、防雷、防风、防震的环境。
恢复层主要是在预防层失效后进行是事后补救工作。恢复层的里采取的措施有三个:扫描系统查杀病毒是简单的清理工作;数据文件备份保证系统的历史数据不会丢失;硬件系统备份保证系统在硬件受到破坏时可立刻恢复正常工作。
审计追踪层是记录入侵情况,为追究非法入侵者的法律责任提供证明,发现安全漏洞。
4 土壤墒情网络监测主机的安全模型评价
计算机系统中的3类安全性指技术安全性、管理安全性、政策法律安全性。但是,一个安全产品的设计是否符合规范,是否能解决计算机网络的安全问题,不同组织机构各自都制定了一套安全评估标准。一些重要的安全评估准则有:
①美国国防部(DOD)和国家标准局(NIST)的可信计算机系统评估准则。
②欧洲共同体的信息技术安全评估准则(ITSEC)。
③ISO/IEC国际标准。
④美国联邦标准。
其中,美国国防部和国家标准局的《可信计算机系统评测标准》TCSEC/TDI将系统划分为4组7个等级,如表1所示。
以美国国防部和国家标准局的《可信计算机系统评测标准》来评价实时数据库的安全性能。
《可信计算机系统评测标准》规定的安全等级从 D 到 A1,要求逐渐变得越来越苛刻,安全处理所需费用也相应提高。安全团体一般都认为,从一个通用的商业 OS 中得到 C2 级安全已经足够好了;还有一些更高等级的系统,大多是用于非常专业的环境中。
表1 安全级别
组
安全
级别
定义
1
A1
可验证安全设计:提供B3级保护,同时给出系统的形式化隐秘通道分析和非形式化代码一致性验证
2
B3
安全域:该级的TCB必须满足访问监控器的要求,提供系统恢复过程
B2
结构化安全保护:建立形式化的安全策略模型,并对系统内的所有主体和客体实施自主访问和强制访问控制
B1
标志安全保护:对系统的数据加以标志,并对标志的主体和客体实施强制存取控制
3
C2
受控访问控制:实际上是安全产品的最低档次,提供受控的存取保护,存取控制以用户为单位
C1
只提供非常初级的自主安全保护,能实现对用户和数据的分析,进行自主存取控制,数据的保护以用户组为单位
4
D
最低级别,保护措施很小,没有安全功能
土壤墒情网络监测主机的多方位层式安全模型符合《可信计算机系统评测标准》的规定有:
(1)符合B2等级中“建立形式化的安全策略模型”的规定:分析了土壤墒情网络监测主机可能面临的所有安全威胁,然后针对这些安全威胁提出了防治方法,在这个基础上,建立起全方位的层式安全模型。
(2)符合B2等级中“对系统内的所有主体和客体实施自主访问和强制访问控制”的规定:设立角色,并给每个角色指派相应的权限,控制系统内所有主体对客体的操作;通过非屏蔽子网控制系统外主体的对系统内客体的操作。
(3)符合B2等级中“TCB应结构化为关键保护元素和非关键保护元素区分关键”的规定:由危险程度确定控制功能的保护最为关键,并采取了控制命令编码的保护措施。
(4)符合B2等级中“应具备相当的抗渗透能力”的规定:通过安装防病毒软件和定期更新病毒库,抵抗病毒的渗透;通过非屏蔽子网,抵抗黑客的渗透。
(5)符合B3等级中“提供系统恢复过程”的规定:通过数据文件备份,可对丢失和损坏的数据文件进行恢复;通过硬件系统的备份,可解决硬件损坏的问题。
根据以上分析,可知土壤墒情网络监测主机的安全等级介于B2和B3等级,具有较高的安全性能。
5 结束语
建立的全方位层式安全模型不仅适用于土壤墒情网络监测主机,而且对建立其他网络环境下的计算机系统的安全模型具有重要的参考作用。下一步需要对土壤墒情监测主机的全方位层式安全模型中提到的关键技术进行深入研究,比如网络环境下的数据备份技术、控制命令编码技术、被屏蔽子网的应用。
参考文献
[1] 李珍辉,唐北平,刘铮.基于网络数据安全的入侵检测系统分析[J].信息技术,2003,27(9):62-64
丁明柱,李井杰,孙晓生.基于现代存储技术的数字化测绘生产数据存储备份[J].测绘科学,2004,28:126-128
王亚平,刘强等.数据库系统工程师教程[M].清华大学出版社,2004:365-366
卢加元,汤志军,郭红健.基于防火墙技术的内网数据安全保护方案[J].网络技术,2005(10):69-72
韩德志,江洋,李怀阳.远程备份及关键技术[J].计算机工程,2004,30(22):34-37