基于标记技术的强制访问控制模型设计与应用

朱涛; 董鹏; 朱贺; 齐胜

doi:10.3969/j.issn.1005-8451.2022.01.09

基于标记技术的强制访问控制模型设计与应用

朱涛¹,
董鹏²,
朱贺^2,,
齐胜²

1.
中国铁路信息科技集团有限公司　研发和建设处，北京　100844
2.
中铁信（北京）网络技术研究院有限公司　网络安全研究室，北京　100044

基金项目: 中国国家铁路集团有限公司科技研究开发计划重大课题（K2019S001）

详细信息

作者简介:
朱　涛，正高级工程师

董　鹏，高级工程师

中图分类号: U29 : TP393
计量
- 文章访问数: 166
- HTML全文浏览量: 213
- PDF下载量: 17
出版历程
- 收稿日期: 2021-05-26
- 刊出日期: 2022-01-27

Mandatory access control model based on marking technology

1.
R&D and Construction Department，China Railway Information Technology Group Co. Ltd., Beijing　100844，China
2.
Network Security Research Office, China Railway Information (Beijing) Network Technology Research Institute Co. Ltd., Beijing　100044, China

摘要

摘要: 为了增强铁路应用在新型计算基础设施环境下的网络安全防护能力，根据《信息安全技术网络安全等级保护基本要求》，在铁路现有的网络架构基础上，设计铁路网络空间安全体系架构，并提出适用于该体系架构的强制访问控制模型。依据该模型，利用标记技术可以实现相同网络空间相同域、相同网络空间不同域和不同网络空间之间的强制访问，并与可信操作系统、数据交换平台和数据交换总线协同工作，能够实现对访问操作的管控，保证数据安全交换，提升铁路网络的安全防护能力。
- 等级保护 /
- 主体 /
- 客体 /
- 标记技术 /
- 强制访问控制 /
- 铁路网络空间
Abstract: In order to enhance the network security protection ability of railway applications in the new type computing infrastructure environment, according to the basic requirements for network security level protection of information security technology, based on the existing railway network architecture, this paper designed the railway cyberspace security system architecture, and put forward the mandatory access control model suitable for the system architecture based on marking technology. According to this model, the marking technology could be used to implement the forced access between the same domain in the same cyberspace, different domains in the same cyberspace and different cyberspace, and work together with trusted operating system, data exchange platform and data exchange bus, so as to implement the control of access operation, ensure data security exchange and improve the security protection ability of railway computing platform.
- classified protection /
- subject /
- object /
- marking technology /
- mandatory access control /
- railway cyber- space

HTML全文

图 1 铁路网络架构

下载: 全尺寸图片幻灯片

图 2 铁路网络空间安全体系架构

下载: 全尺寸图片幻灯片

图 3 铁路网络空间内安全域划分

下载: 全尺寸图片幻灯片

图 4 第1种访问控制模型

下载: 全尺寸图片幻灯片

图 5 第2种访问控制模型

下载: 全尺寸图片幻灯片

图 6 第3种访问控制模型

下载: 全尺寸图片幻灯片

图 7 同一个网络子空间的数据传输示意

下载: 全尺寸图片幻灯片

图 8 跨越网络子空间数据传输示意

下载: 全尺寸图片幻灯片

参考文献(9)

[1]	锁向荣,齐胜,张悦斌,等. 铁路云平台细粒度访问控制方案研究 [J]. 铁路计算机应用,2021,30(4):45-49. DOI: 10.3969/j.issn.1005-8451.2021.04.010
[2]	纪方,田海波,刘鹏宇. 铁路云计算安全标准研究与实践 [J]. 铁路计算机应用,2020,29(9):42-46. DOI: 10.3969/j.issn.1005-8451.2020.09.009
[3]	史天运. 铁路行业信息安全管理面临的挑战及对策探讨 [J]. 铁路计算机应用,2015,24(2):1-4. DOI: 10.3969/j.issn.1005-8451.2015.02.004
[4]	全国信息安全标准化技术委员会. 信息安全技术网络安全等级保护基本要求: GB/T 22239-2019[S]. 北京: 中国标准出版社, 2019.
[5]	鲍连承,赵景波. 访问控制技术综述 [J]. 电气传动自动化,2006(4):1-5,18. DOI: 10.3969/j.issn.1005-7277.2006.04.001
[6]	吴冲. 我国铁路信息化建设现状及发展方向 [J]. 物流工程与管理,2013,35(1):82-84. DOI: 10.3969/j.issn.1674-4993.2013.01.031
[7]	周泽岩. 基于铁路行业的新时代网络安全技术体系的研究[C]//2020年第四届国际科技创新与教育发展学术会议论文集（卷一）. 香港: 香港新世纪文化出版社有限公司, 2020: 3.
[8]	朱贺,齐胜,张悦斌. 安全隔离与信息交换技术研究 [J]. 通讯世界,2021,28(1):105-106. DOI: 10.3969/j.issn.1006-4222.2021.01.053
[9]	雷彦斌,朱贺,齐胜,等. 可信计算技术在铁路即时通讯系统建设中的应用 [J]. 通讯世界,2020,27(12):3-4,7. DOI: 10.3969/j.issn.1006-4222.2020.12.003

施引文献(3)

期刊类型引用(2)

1.	刘为俊. 城市轨道交通云平台网络安全访问控制技术研究. 铁道通信信号. 2024(03): 69-74 . 百度学术
2.	吴昊，梁樑，张月坤，田可心，李申，熊辉. 超大线网标准城轨云及共享数据平台研究. 都市快轨交通. 2022(06): 69-74 . 百度学术