总第2ll期 2012年第1期 舰船电子工程 Ship Electronic Engineering Vol_32 No.1 69 OA应用安全增强系统设计与实现 蔡谊刘东生 北京100841) (西三环中路l9号摘要随着办公信息化建设的不断推进,OA系统已广泛应用于机关及各下属单位,在提高人员工作效率的同时,其自身的安全 性也日益引起高度关注。文章针对现有OA系统的典型T作流程,分析其中存在的脆弱点,在此基础上,设计并实现了一个OA应用安全增 强系统。该系统对上层应用透明,能在不影响应用系统运行效率的前提下,在操作系统内核层,实现用户身份认证及强制访问控制,极大地 提高了应用系统的安全性。 关键词办公自动化;公文流转;身份认证;强制访问控制 TP311 中图分类号Design and Implementation of Security-Enhanced System for OA CAI Yi LI U Dongshcng (No.1 9 Xi }ln Huan Middle Road.Beijing 100841) Abstract With the fast development of information COOSI ruction in the army,more and more units have been using OA system.OA can improve the work efficiency while it also has some security prohlem. I'his I)aper describes a typical workflow of()A and analyzes the vulnera— bilities in it,and then implements a security-enhanced system on()人application.The securily-enhanced system is transparent to the applica— tion and does not affect the efficiency of it.Utilizing identity authentication and MAC in the()S kernel,the security-enhanced system can guarantee the security of application fundamentally. Key Words 0A,workflow,identity authentication,MA【: Class Number TP31] 1 引言 随着信息技术的不断发展,信息化建设也在稳步 向前推进。当前,已有越来越多的机关及下属各单位,部署 了OA(办公自动化)系统。OA系统有力地矫正了行政管 2 OA典型应用及其脆弱性分析 2.1 OA系统典型应用流程 公文流转是OA系统最为主要和典型的应用,公文流 转的整体过程由()A系统的管理员,根据相应的规章制度 进行配置。公文流转过程配置完成后,一般不会再轻易做 出改动,相关人员会遵循固定流程,完成公文的逐级上报与 审批。 理中,可能会出现的随意和混乱现象,实现了办公的流程化 与标准化,有效提高了相关人员的办事效率。 OA系统的主要功能包括:通知通告的公示、电子邮件 的收发、公文的流转以及其它一些在线服务等。现有OA 现有的()A系统大多是基于B/S构架,用户在客户端 系统过多地强调了功能的多样性与复杂性,对自身的安全 性有所忽视,主要表现在:OA系统一般基于Web服务,对 通过浏览器登录OA服务器,然后根据()A系统管理员所 制定的公文流转过程,进行公文的接收与发送,实现办公应 用的规范化操作。下面,以某单位的公文接收过程为例,分 析公文的流转过程,其流程如图1所示。 用户身份认证的安全强度不高;对合法用户没有进行严格 的访问控制,可以进行越权访问_1 ;安全机制集中于系统的 应用层,与底层操作系统结合不紧,存在被旁路的危险,因 此不能从根本上保证应用系统的安全[2 ̄43。 (1)收文L_一(录I 2)日办领导L l_J(3)专呈收文L一(l 4)拟办 收文 针对上述问题,本文以OA系统的典型应用~公文流 转为例,对其中存在的脆弱性问题进行了分析和研究。在 此基础上,给出了OA应用安全增强系统的设计方案,并通 过实际的安全应用部署,证明了方案的可行性以及系统实 (7)收文L__j(6)收文L—1(5)收文 工作人员B 工作人员A 现的可靠性。 图1典型公文流转过程 *收稿日期:2011年7月13日,修回日期:2011年8月26日 作者简介:蔡谊,女,高级工程师,研究方向:信息安全。刘东生,男,高级工程师,研究方向:密码工程。 70 2.2 0A系统典型应用脆弱性分析 蔡谊等:OA应用安全增强系统设计与实现 总第211期 综上所述,现有OA系统的脆弱性主要表现在两个方 面:首先,OA管理员和一般用户的身份认证强度不够,使 得用户身份存在被冒充的可能性:其次,现有的安全机制位 于应用层,存在被旁路的危险。这些因素都会直接或间接 导致公文流转的应用流程被恶意篡改。 上述公文流转的过程,由各单位根据公文的知悉范围 和相关的保密规定所制定,是一个相对固定的流程。如果 违反相应的规章制度,对流转过程进行篡改,就会导致公文 的安全性面临威胁。对公文流转过程进行篡改,可以利用 OA系统管理员的权限来达到目的,也可以通过对相关数 据包的修改来实现。下面,分别对这两种方式的具体实现 加以说明。 3 OA应用安全增强系统设计 3.1总体拓扑结构 在()A系统中,OA管理员的身份认证大多是基于用户 名和口令式的,安全强度不高。一旦攻击者窃取或破译了 OA管理员的密码,就可以修改公文流转的过程,使得公文 针对现有OA系统在典型应用中存在的脆弱性,本文 设计了OA应用安全增强系统。该系统是在0A服务器的 前端,以桥接模式透明接入前置机,实现对OA服务器请求 流向发生变化,破坏OA系统的安全性。另外,OA管理员 自身也可能会存在违规操作,未经批准,擅自修改固定流 程。利用0A管理员身份,针对上述公文流转过程进行篡 改后的流程如图2所示。 (1)收文L_一(录I ・ 绷办2)领导L-l I一(褂々呈3)收文L I—一(4)收文 l办 睡 锤 (5办1收理文 工作人员B 工作人员C 工作人员A 图2基于系统管理员身份的流程篡改 从图2中可见,以OA管理员身份登录OA系统后,在 流程的第五步和第六步之间添加了一个新的“收文办理”环 节。按照新的工作流程,工作人员A能够直接将收文发送 给工作人员c办理。但在实际工作中,这一违规流程将扩 大公文的知悉范围,造成对公文的越权访问,应当是被禁止 的。 对公文流转过程进行篡改,另外一种间接的方法,是对 相关数据包进行截获分析,并对数据包进行修改,以达到攻 击目的。为达到相同的攻击效果,攻击者会拦截第五步提 交的数据包,并对其中的内容进行修改,修改后流程如图3 所示。 l(1)收文L—一(录l l 目办I2)领导L I_J( 呈 l3)收文L _一(4)收文Il办 I (7)收文1.__J(6)收文1. I(5)收文 稍退f j尸F 转f i 办理 酢 BL一瓣 一 工作人员c 图3基于数据包分析的流程篡改 在实际攻击中,假设攻击者已经获知工作人员C的用 户名和密码,并在网络上截获了工作人员A提交公文所对 应的数据包,对其中的路径内容做如下修改: Javascript:eWorksDoc.ForrcL selectedUserlDs.value一 工作人员C账号; eWorksDoc.Form.selectedFlowlD.value=目标流向ID; eWorksDoc.Form.sendMode.value=1; eWorksDoAction(‘complete’)。 修改完成后,公文流转的过程也会发生相应的变化,使得 本应该只流向工作人员B的公文,同时流向了工作人员C。 数据包的分析与过滤,防止非法访问,确保相关信息流的安 全。前置机所使用的强制访问控制策略由安全管理员在安 全管理中心上进行配置,并以在线的方式下发到前置机上。 OA应用安全增强系统总体拓扑结构如图4所示。 OA应用安全增强系统 在运行中,首先需要由安全 管理中心给合法用户配发相 应的身份钥匙,即US— BKEY:接着在安全管理中 图4 OA应用安全 心,由安全管理员对OA服 增强系统拓扑结构 务器中的资源进行归类,并 对其中的主客体信息进行标记,设定相应的范畴、敏感度及 可信度 ],然后将这些信息作为安全策略,下发到前置 机:前置机上的安全内核模块,会对办公终端访问()A服务 器的请求数据包进行截获与分析,提取相关的主客体信息, 同时根据安全管理中心下发的安全策略,实现操作系统内 核级的强制访问控制。 OA应用安全增强系统利用硬件USB KEY,通过专用 的身份认证协议和鉴别机制,实现对登录到0A系统的用 户身份双因子认证,提高了认证的安全强度;利用前置机的 操作系统内核增强模块,对终端请求的数据包进行截获、分 析和判断,能保证安全机制不会被旁路。 3.2系统主要模块划分 ()A应用安全增强系统 由两大功能组件构成:安全 一一一一一::: 一一. . 管理中心和前置机安全内核 增强模块。安全管理中心由 I…P敬; 增强模块[耍霍条j弓 广I.]1 ;i 动态网页、后台数据库与安 墨 :匿……雠… ……… 全代理构成;前置机的安全 内核增强模块可以分为数据 ‘。 包分析模块、安全代理模块、 访问控制模块以及审计模 图5 OA应用安全增强 块。上述模块的作用及其相 系统模块组成 互之间的关系,如图5所示。 安全管理中心用于对合法用户进行身份注册,配发相 应的USBKEY;根据主客体信息的范畴、敏感度与可信度, 下发相应的安全策略给前置机安全内核增强模块;同时,安 全管理中心还会根据制定好的审计规则,接收由前置机安 全内核上传的相关审计信息,以便于安全管理员进行查看 和分析。 前置机安全内核增强模块用于透明接管终端用户的访 2012年第1期 舰船电子工程 71 问请求,对OA系统的网络数据流进行分析和控制,过滤掉 非法请求,确保0A系统的安全性。安全内核增强模块的 构成及其相互间关系是: 1)安全代理模块:接收由安全管理中心下发的安全策 略,将安全策略传递给访问控制模块;接收由审计模块产生 的审计信息,将审计信息上报给安全管理中心。 2)数据包分析模块:根据OA系统的应用协议对终端 发出的请求数据包进行分析,从用户登录数据包中提取主 体信息,从URL串中提取客体资源信息,并将这些主客体 信息传递给访问控制模块。 3)访问控制模块:接收由数据包分析模块传递的主客 体信息,根据安全管理中心下发的安全策略,对主体的访问 权限进行控制,防止非法用户的非授权访问以及合法用户 的越权访问。 4)审计模块:用于记录所有用户对OA服务器的操作 信息,以及错误信息,便于安全管理员进行统计和分析,利 于事后审查与追踪。 3.3安全内核增强模块功能实现 OA应用安全增强系统核心模块的功能主要包括:安 全策略的下载以及操作系统内核级的强制访问控制_8 ]。 1)安全策略下载 前置机的安全代理模块读取本地网络配置文件,获取 安全管理中心的IP地址和端口,向安全管理中心进行注 册。在注册成功后,请求并接收安全管理中心下发的安全 策略。策略下载流程如图6所示。 前置机安全代理将接 收到的安全策略存入缓冲 区,在接收完成后,安全代 理会在本地计算安全策略 的hash值,并将其与安全 管理中心下发的hash值相 比较,验证安全策略的完整 性。如果策略下载完整,则 安全策略保存到本地磁盘, 否则给出相应的提示并退 出。 2)强制访问控制 前置机的安全内核在 实现强制访问控制时,首先 图6策略下载流程 需要在操作系统内核中加 载钩子函数l1 ,对数据包进行分析和过滤,提取所需的主 客体相关信息。然后根据下载的安全策略,决定是否转发 数据包。强制访问控制的具体流程如图7所示。 安全内核中的钩子函数对截获的数据包进行分析,判 断当前用户的操作行为是否与公文流转相关,如果不相关 则让数据通过。如果相关,则记录下当前登录用户的 SSID,并将SSID写入对应主体链表节点内。 分析用户发起的是公文流转,还是公文浏览。如果是 公文的流转,则查找目的用户,比较源用户和目的用户是否 在同一范畴内,如果在同一范畴,则允许数据包通过,如果 出现越级现象,则进行审计并丢弃数据包。 如果用户进行的是公文浏览操作,则记录当前公文的 图7强制访问控制流程 标识。接着,以安全管理中心下发的安全策略为依据,比较 用户及公文的可信度、敏感度与范畴,如果满足安全策略, 则允许数据包通过,否则进行审计并丢弃数据包。 4 结语 本文通过对现有OA系统的脆弱性进行分析,有针对 性的增强了用户身份认证机制,使得用户的身份不易被窃 取和冒充。同时,在前置机的操作系统内核层实现强制访 问控制,确保用户无法进行违规操作。 在实际应用部署中,OA应用安全增强系统无需对应 用服务器进行修改,由安全管理中心进行安全策略配置,所 有访问服务器的数据都要经过前置机,实施内核级的强制 访问控制。测试表明,该系统在不影响OA服务器正常工 作的前提下,能够较好实现对上层应用的安全透明支撑与 保障。 参考文献 [1]沈昌祥.基于积极防御的安全保障框架[J].中国信息导报, 2003(10):50-51. [2]n Baker.Building Upon Sand[J].Proceedings of the New Se— curity Paradigms Workshop,1996:25—27. [3]Peter A.Loscocco,Stephen n Smalley,Patrick A.Muckel bauer,et a1.The Inevitability Of Failure:The Flawed As— sumption of Security in Modern Computing Environment[C]// Proceedings of the 21st National Information Systems Security Conference,1998:303—314. [4]沈昌祥.关于加强信息安全保障体系的思考口].信息安全与通 信保密,2002(24):11—14. [5]n E.Bell,L.J.LaPadula.Secure Computer System:Mathe— matical Foundation[EB/OI ].http://citeseer.ist.psu.edu/ 548063.html,2002,6. [6]M.Abrams,I .Lapadula,K.Eggers,et a1.A Generalized Framework for Access Control:an Informal Description[c]// Proceedings of the 13h National Computer Security Confer— ence,1990:134—143. (下转第94页) 94 3.3确定要评价的因素集 刘海军等:基于模糊评价的补给策略优选研究 表3补给方案性能指标 总第211期 根据图1,确定本评价体系的因素集如表1所示。 表1因素集 安全“ 自然环境、危险物“ 敌方攻击力量U12 满足度“2快速性“21 及时性U22 经济U3 固定成本U31 运输成本U32 如果编队导弹消耗达到3O%而不能进行补给时取补 给及时性为较好,当导弹全部消耗完时才能进行补给时取 及时性为较差,其余对照处理。 以0 ̄8000海里作为目标区域,得到计算结果为: 0 4 0 3 O 2 o】 O 3.4指标权重的计算 指标权重的确定直接直接影响评价结果的准确度,因 此权重的取值必须具有可靠性和权威性。鉴于此,本文运 用文献Er]确定各因素的权重值如表2所示。 表2各评估指标权重表 二级指标 指标代码权重 0.32 经济因素 三级指标 指标代码权重 0.4 0.6 图2 0 ̄8000海里补给策略选择模型计算结果 临界点分别为1800海里、3600海里。当里程L<1800 0.48 0.4 0.6 海里时,选择方案1作为补给策略,当1800海里<L<3600 海里时,选择方案3作为补给策略,当L>3600海里时,选 择方案2作为补给策略。 0.2 0.35 0.65 3.: 下语集的确定 5 结语 通过验证,本模型可以方便、有效地解决随着航行距离 增加补给策略选择问题。但是随着任务环境的改变,影响 理论上评语的等级分得越细,评价结果越准确,但实际 过程会过于繁琐,有时等级划分太多反而使评价对象无法 人手,结果不一定理想,所以评语等级要选择适当。根据评 因素会发生很大变化,影响因素权重也会相应改变,对模型 计算复杂度有着重要的影响。如何完善模型在计算复杂任 务环境下的补给策略选择问题,将成为下一阶段目标。 参考文献 价目标和参考国内外专家常用的评价等级划分方法,将评 语集 定义为五个等级,用V一{72 , z,va,V4,v5}一{好,较 好,中等,较差,差}来表示在不同因素的影响下航线的优劣 程度。 [1]刘元丰,唐兴莉.基于模糊综合评判方法的船舶航行安全评价 _J].重庆交通学院学报,2004,23(3):123—126. 4 修q 以一舰艇编队为例,舰艇额定装载导弹200枚,日消耗 E2]杨纶标,高英仪.模糊数学原理及应用EM].广州:华南理工大 学出版社,2005. 20枚(主要是用于训练、执勤),为保证编队安全,导弹数量 不得低于装载量的3O 。一艘综合补给舰可携带导弹600 枚,当编队舰艇导弹消耗达到一定程度时向编队补充导弹 至满载。可用补给方案有:1)当综合补给舰导弹消耗完后 返回港口补充,然后再返回编队;2)接力补给舰从港口驶 出,向已经空载的综合补给舰补充导弹600枚;3)满载 600枚导弹的综合补给舰驶向编队,编队内空载综合补给 舰返回港口。和平时期海上安全程度较高,补给编队有护 航舰艇,故各补给方案性能指标如表3所示。 {!: ;..带!; 乖 矫 乔 ! 不 不 不 乔 乖 乖 乖 尔 [3]沈继红,付肖燕,赵玉新.模糊综合评估模型的改进EJ].模糊系 统与数学,2011,25(3):127—133. [43林瑞群.船舶海上安全因素分析及评价[J].中国水运,2011 (5):28—32. [5]张欣欣,席永涛,黄常海,等.基于证据推理的沿海水域交通安 全评估LJ].上海海事大学学报,2011,32(2):37—42. E6]徐岩山,杨军,邹晓建.ANP在评估编队海上运输补给能力中 的应用EJJ.军事交通学院学报,2007,9(1):32—35. [7]曹阳,金凯,单鑫,等.基于模糊理论的导弹系统性能群评价模 型EJ].战术导弹技术,2011,23(1):12—16. 环 尔 尔 绵 尔 看 舔 舔 尔 (上接第71页) [7]蔡谊,沈昌祥,郑志蓉.多级安全策略的二维标识模型_J].计算 机学报,2004(5):619—624. Flask Security Architecture:System Support for Diverse Secu— rity Policies[c]//Proceedings of the 8th USENIX Security Symposium,1999:242—247. E8]S.Jajodia,P.Samarati,V.Subrahmanian,et a1.A Unified Framework for Enforcing Multiple Access Control Policies ElO]Chirs Wright,Crispin Cowan,et a1.Linux Security Module Framework[J].Proceedings of the 2002 Ottawa Linux Sym— posium,2002:303—314. [c]//Proceedings of SIGMOD,1997:474—485. E9]Ray Spencer,Stephen Smalley,Peter Loscacco,et a1.The
