监管内部信息行为的方法
来源:中国电子政务网 更新时间:2012-04-15

监管内部信息行为的方法

李素娟

    一、问题背景

    近年来随着信息安全问题的日渐被重视,国内安全界的视点开始真正落到信息目标本身的监管。回顾安全的历史,从网络安全建立到应用数据安全保护的做法真是鳞次栉比,但以各种安全事件的跟踪和统计来看,80%的威胁和内部人员有关。

    分析内部人员在安全事件中的作业特点,不难看出,由于内部人员具备了对计算机系统的操作权限,而授权后的操作往往不再接受限制,即使专用业务系统有一定的流程控制和系统审计措施,对信息目标的流动管理往往在授权之后却没有通用的控制方法,这是由授权机制本身所限制的。对于重要信息的授权人操作行为的忽视往往是信息流失事件多发的根源。

    在没有对操作行为进行有效监管的情况下,大多数的信息流失事件通过简单的人机交互操作完成,因此寻求一种通用方法对授权操作的行为进行监管,控制授权后的信息流失事件,对目前的应用很有现实意义。

    对授权操作行为监管方法的探索,需要对授权行为模式进行分析,寻找可能的通用控制环节,才有可能形成相对通用的监管模型。

    二、授权操作模式

    一般来讲,一个具备操作权限的人对信息的流动性操作过程,往往可分解为以下步骤:
    (1)授权人行为主体身份权限的获取;
    (2)授权人对行为主体的控制;
    (3)行为主体对行为目标的权限获取;
    (4)行为动作的执行;
    (5)行为结果。
    以Windows操作系统中的重要文件拷贝行为为例,其具体过程为:内部人员通过操作系统的身份认证,获得系统应用的使用权(系统核心服务提供的应用如Explore应用程序激活),重要信息的文件读权限(系统文件目录服务对Explore应用程序的权限开放),目标文件拷贝载体(如移动U盘)的访问与权限,当这些权限均被操作者(经过认证后的操作系统当前用户)获得后,操作者利用这些权限实施重要文件向移动U盘的拷贝。

    在通常情况下,这种授权权限在操作系统身份认证后,往往是不再对当前用户进行资源访问的限制,即便一些专用应用进行了文件加密的控制,文件目录的权限控制,但对于已获取控制权的人而言,拷贝的行为以及拷贝的目标存储介质往往是不受约束的。我们可以称这种授权为“开域授权”。目前基于Windows操作系统之上的应用系统,往往难以控制这类“开域授权”后的行为结果,这就是各类信息流失事件的行为模式。

    基于Windows操作系统的开域授权行为,可以总结为以下几类:(1)对文件的访问行为;(2)对移动存储器的访问行为;(3)对网络端口的访问行为;(4)对应用程序的控制;(5)对系统配置的更改行为。

    这几类行为权限的开放性直接导致了被授权人在Windows操作系统控制重要信息的最大行为空间,从对重要信息的安全威胁看,这五类开域授权行为仅仅通过身份认证措施进行权限控制,是非常脆弱的。

    因此寻求一种方法进行对这类开域授权行为进行监管,可以有效抑制授权操作的行为威胁,大大降低授权人员对重要信息流失的操作风险。

    三、监管模型

    从对行为风险的控制能力区分,可以将行为监管控制方法分为保守型和开放型。

    保守型监管模型采用定向控制策略,即控制授权人员对各类行为操作权限的惟一性,控制行为主体的惟一性,控制行为目标的能力,控制行为的执行发挥。

    开放型监管模型是指在不改变现有环境的基础上对行为目标针对性控制,以达到保护行为结果的可预见性,且在不妨碍执行结果的前提下,控制方法对应用者是透明的。

    保守型的控制方法有:经身份认证(生物特征识别),本地硬件或操作系统重构(如网吧的专用操作系统不能对本地硬盘和其他存储器进行写操作,不能下载文件等),文件不进行本地存储(采用网络服务器镜像逻辑盘),封锁本地的各种存储设备的写操作(拆卸软驱、光驱、封闭USB口、COM口)。这些措施往往会带来对现有开放资源的破坏性,往往不能应用于已建的系统基础之上。因此建立开放性控制模型非常必要。

    我们可以构造一种对操作行为进行合规性过滤的监管代理模型,该模型的基本思想是:在现有的操作系统中植入一个行为监管代理程序,对所有行为进行过滤,在行为规则预设的情况下,当行为发生时,操作系统将执行顺序交给监管代理,进行行为合规则性检查,如果通过监管代理则将行为执行顺序还给操作系统,一旦发现违规则由监管代理按照规则设定的策略进行响应的行为控制。

    监管代理模型为:
    F(B,R,A)
    B-行为属性
    R-规则
    A-控制措施

    监管代理执行过程如下:
    行为执行(B)
    代理获得行为属性(S)
    行为检查(F)
    规则检查(R)
    行为控制(A)
    行为结果(O)

    以对授权人对重要文件向移动U盘拷贝行为的监管为例:

    应用场景为:某涉密项目中,具备操作权限的任何人,不得通过U盘    拷贝将机器中的涉密目录中任何文件带离项目现场。

    监管代理的操作过程为:
    事先定义行为规则R1:重要文件特征标识(如存放目录、文件名、文件格式等);
    授权人员对文件访问并将访问的文件写入U盘B1;
    操作系统将文件访问行为提交监管代理程序S1;

    代理程序检查P1:行为目标中的文件属性符合规则R1中约定的目录属性,监管代理进行控制操作A1阻断B1的后续动作,同时提示操作者“禁止将涉密文件带离现场”。

    这样一种监管模式就是开放性的。我们针对Windows操作系统的五类开域授权行为风险分别进行了研究,发现可以通过一个应用代理将这五类行为事件的属性发现集成封装在一个系统驱动中和操作系统的事件服务协同工作,可以形成一个实用的程序,供实际安全监管者安装到需要监管的机器中,作为其行为监管的一个代理看守,可以对Windows开域授权后的操作进行监管。
监管内部信息行为的方法

李素娟

    一、问题背景

    近年来随着信息安全问题的日渐被重视,国内安全界的视点开始真正落到信息目标本身的监管。回顾安全的历史,从网络安全建立到应用数据安全保护的做法真是鳞次栉比,但以各种安全事件的跟踪和统计来看,80%的威胁和内部人员有关。

    分析内部人员在安全事件中的作业特点,不难看出,由于内部人员具备了对计算机系统的操作权限,而授权后的操作往往不再接受限制,即使专用业务系统有一定的流程控制和系统审计措施,对信息目标的流动管理往往在授权之后却没有通用的控制方法,这是由授权机制本身所限制的。对于重要信息的授权人操作行为的忽视往往是信息流失事件多发的根源。

    在没有对操作行为进行有效监管的情况下,大多数的信息流失事件通过简单的人机交互操作完成,因此寻求一种通用方法对授权操作的行为进行监管,控制授权后的信息流失事件,对目前的应用很有现实意义。

    对授权操作行为监管方法的探索,需要对授权行为模式进行分析,寻找可能的通用控制环节,才有可能形成相对通用的监管模型。

    二、授权操作模式

    一般来讲,一个具备操作权限的人对信息的流动性操作过程,往往可分解为以下步骤:
    (1)授权人行为主体身份权限的获取;
    (2)授权人对行为主体的控制;
    (3)行为主体对行为目标的权限获取;
    (4)行为动作的执行;
    (5)行为结果。
    以Windows操作系统中的重要文件拷贝行为为例,其具体过程为:内部人员通过操作系统的身份认证,获得系统应用的使用权(系统核心服务提供的应用如Explore应用程序激活),重要信息的文件读权限(系统文件目录服务对Explore应用程序的权限开放),目标文件拷贝载体(如移动U盘)的访问与权限,当这些权限均被操作者(经过认证后的操作系统当前用户)获得后,操作者利用这些权限实施重要文件向移动U盘的拷贝。

    在通常情况下,这种授权权限在操作系统身份认证后,往往是不再对当前用户进行资源访问的限制,即便一些专用应用进行了文件加密的控制,文件目录的权限控制,但对于已获取控制权的人而言,拷贝的行为以及拷贝的目标存储介质往往是不受约束的。我们可以称这种授权为“开域授权”。目前基于Windows操作系统之上的应用系统,往往难以控制这类“开域授权”后的行为结果,这就是各类信息流失事件的行为模式。

    基于Windows操作系统的开域授权行为,可以总结为以下几类:(1)对文件的访问行为;(2)对移动存储器的访问行为;(3)对网络端口的访问行为;(4)对应用程序的控制;(5)对系统配置的更改行为。

    这几类行为权限的开放性直接导致了被授权人在Windows操作系统控制重要信息的最大行为空间,从对重要信息的安全威胁看,这五类开域授权行为仅仅通过身份认证措施进行权限控制,是非常脆弱的。

    因此寻求一种方法进行对这类开域授权行为进行监管,可以有效抑制授权操作的行为威胁,大大降低授权人员对重要信息流失的操作风险。

    三、监管模型

    从对行为风险的控制能力区分,可以将行为监管控制方法分为保守型和开放型。

    保守型监管模型采用定向控制策略,即控制授权人员对各类行为操作权限的惟一性,控制行为主体的惟一性,控制行为目标的能力,控制行为的执行发挥。

    开放型监管模型是指在不改变现有环境的基础上对行为目标针对性控制,以达到保护行为结果的可预见性,且在不妨碍执行结果的前提下,控制方法对应用者是透明的。

    保守型的控制方法有:经身份认证(生物特征识别),本地硬件或操作系统重构(如网吧的专用操作系统不能对本地硬盘和其他存储器进行写操作,不能下载文件等),文件不进行本地存储(采用网络服务器镜像逻辑盘),封锁本地的各种存储设备的写操作(拆卸软驱、光驱、封闭USB口、COM口)。这些措施往往会带来对现有开放资源的破坏性,往往不能应用于已建的系统基础之上。因此建立开放性控制模型非常必要。

    我们可以构造一种对操作行为进行合规性过滤的监管代理模型,该模型的基本思想是:在现有的操作系统中植入一个行为监管代理程序,对所有行为进行过滤,在行为规则预设的情况下,当行为发生时,操作系统将执行顺序交给监管代理,进行行为合规则性检查,如果通过监管代理则将行为执行顺序还给操作系统,一旦发现违规则由监管代理按照规则设定的策略进行响应的行为控制。

    监管代理模型为:
    F(B,R,A)
    B-行为属性
    R-规则
    A-控制措施

    监管代理执行过程如下:
    行为执行(B)
    代理获得行为属性(S)
    行为检查(F)
    规则检查(R)
    行为控制(A)
    行为结果(O)

    以对授权人对重要文件向移动U盘拷贝行为的监管为例:

    应用场景为:某涉密项目中,具备操作权限的任何人,不得通过U盘    拷贝将机器中的涉密目录中任何文件带离项目现场。

    监管代理的操作过程为:
    事先定义行为规则R1:重要文件特征标识(如存放目录、文件名、文件格式等);
    授权人员对文件访问并将访问的文件写入U盘B1;
    操作系统将文件访问行为提交监管代理程序S1;

    代理程序检查P1:行为目标中的文件属性符合规则R1中约定的目录属性,监管代理进行控制操作A1阻断B1的后续动作,同时提示操作者“禁止将涉密文件带离现场”。

    这样一种监管模式就是开放性的。我们针对Windows操作系统的五类开域授权行为风险分别进行了研究,发现可以通过一个应用代理将这五类行为事件的属性发现集成封装在一个系统驱动中和操作系统的事件服务协同工作,可以形成一个实用的程序,供实际安全监管者安装到需要监管的机器中,作为其行为监管的一个代理看守,可以对Windows开域授权后的操作进行监管。
监管内部信息行为的方法

李素娟

    一、问题背景

    近年来随着信息安全问题的日渐被重视,国内安全界的视点开始真正落到信息目标本身的监管。回顾安全的历史,从网络安全建立到应用数据安全保护的做法真是鳞次栉比,但以各种安全事件的跟踪和统计来看,80%的威胁和内部人员有关。

    分析内部人员在安全事件中的作业特点,不难看出,由于内部人员具备了对计算机系统的操作权限,而授权后的操作往往不再接受限制,即使专用业务系统有一定的流程控制和系统审计措施,对信息目标的流动管理往往在授权之后却没有通用的控制方法,这是由授权机制本身所限制的。对于重要信息的授权人操作行为的忽视往往是信息流失事件多发的根源。

    在没有对操作行为进行有效监管的情况下,大多数的信息流失事件通过简单的人机交互操作完成,因此寻求一种通用方法对授权操作的行为进行监管,控制授权后的信息流失事件,对目前的应用很有现实意义。

    对授权操作行为监管方法的探索,需要对授权行为模式进行分析,寻找可能的通用控制环节,才有可能形成相对通用的监管模型。

    二、授权操作模式

    一般来讲,一个具备操作权限的人对信息的流动性操作过程,往往可分解为以下步骤:
    (1)授权人行为主体身份权限的获取;
    (2)授权人对行为主体的控制;
    (3)行为主体对行为目标的权限获取;
    (4)行为动作的执行;
    (5)行为结果。
    以Windows操作系统中的重要文件拷贝行为为例,其具体过程为:内部人员通过操作系统的身份认证,获得系统应用的使用权(系统核心服务提供的应用如Explore应用程序激活),重要信息的文件读权限(系统文件目录服务对Explore应用程序的权限开放),目标文件拷贝载体(如移动U盘)的访问与权限,当这些权限均被操作者(经过认证后的操作系统当前用户)获得后,操作者利用这些权限实施重要文件向移动U盘的拷贝。

    在通常情况下,这种授权权限在操作系统身份认证后,往往是不再对当前用户进行资源访问的限制,即便一些专用应用进行了文件加密的控制,文件目录的权限控制,但对于已获取控制权的人而言,拷贝的行为以及拷贝的目标存储介质往往是不受约束的。我们可以称这种授权为“开域授权”。目前基于Windows操作系统之上的应用系统,往往难以控制这类“开域授权”后的行为结果,这就是各类信息流失事件的行为模式。

    基于Windows操作系统的开域授权行为,可以总结为以下几类:(1)对文件的访问行为;(2)对移动存储器的访问行为;(3)对网络端口的访问行为;(4)对应用程序的控制;(5)对系统配置的更改行为。

    这几类行为权限的开放性直接导致了被授权人在Windows操作系统控制重要信息的最大行为空间,从对重要信息的安全威胁看,这五类开域授权行为仅仅通过身份认证措施进行权限控制,是非常脆弱的。

    因此寻求一种方法进行对这类开域授权行为进行监管,可以有效抑制授权操作的行为威胁,大大降低授权人员对重要信息流失的操作风险。

    三、监管模型

    从对行为风险的控制能力区分,可以将行为监管控制方法分为保守型和开放型。

    保守型监管模型采用定向控制策略,即控制授权人员对各类行为操作权限的惟一性,控制行为主体的惟一性,控制行为目标的能力,控制行为的执行发挥。

    开放型监管模型是指在不改变现有环境的基础上对行为目标针对性控制,以达到保护行为结果的可预见性,且在不妨碍执行结果的前提下,控制方法对应用者是透明的。

    保守型的控制方法有:经身份认证(生物特征识别),本地硬件或操作系统重构(如网吧的专用操作系统不能对本地硬盘和其他存储器进行写操作,不能下载文件等),文件不进行本地存储(采用网络服务器镜像逻辑盘),封锁本地的各种存储设备的写操作(拆卸软驱、光驱、封闭USB口、COM口)。这些措施往往会带来对现有开放资源的破坏性,往往不能应用于已建的系统基础之上。因此建立开放性控制模型非常必要。

    我们可以构造一种对操作行为进行合规性过滤的监管代理模型,该模型的基本思想是:在现有的操作系统中植入一个行为监管代理程序,对所有行为进行过滤,在行为规则预设的情况下,当行为发生时,操作系统将执行顺序交给监管代理,进行行为合规则性检查,如果通过监管代理则将行为执行顺序还给操作系统,一旦发现违规则由监管代理按照规则设定的策略进行响应的行为控制。

    监管代理模型为:
    F(B,R,A)
    B-行为属性
    R-规则
    A-控制措施

    监管代理执行过程如下:
    行为执行(B)
    代理获得行为属性(S)
    行为检查(F)
    规则检查(R)
    行为控制(A)
    行为结果(O)

    以对授权人对重要文件向移动U盘拷贝行为的监管为例:

    应用场景为:某涉密项目中,具备操作权限的任何人,不得通过U盘    拷贝将机器中的涉密目录中任何文件带离项目现场。

    监管代理的操作过程为:
    事先定义行为规则R1:重要文件特征标识(如存放目录、文件名、文件格式等);
    授权人员对文件访问并将访问的文件写入U盘B1;
    操作系统将文件访问行为提交监管代理程序S1;

    代理程序检查P1:行为目标中的文件属性符合规则R1中约定的目录属性,监管代理进行控制操作A1阻断B1的后续动作,同时提示操作者“禁止将涉密文件带离现场”。

    这样一种监管模式就是开放性的。我们针对Windows操作系统的五类开域授权行为风险分别进行了研究,发现可以通过一个应用代理将这五类行为事件的属性发现集成封装在一个系统驱动中和操作系统的事件服务协同工作,可以形成一个实用的程序,供实际安全监管者安装到需要监管的机器中,作为其行为监管的一个代理看守,可以对Windows开域授权后的操作进行监管。