发布时间:2023-07-30 10:17:14
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的安全审计的类型样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
三《条例》限制赔偿政策的事实根据论―答记者问见解的问题性
(一)“特殊立法政策”的内容和事实根据
(二)“特殊立法政策”的事实根据论的问题性
(三) 对其他相关问题的评论
四 放弃现行法律适用原则的必要性和解决法律适用问题的代替方案
(一) 放弃“区分不同案件分别适用法律”原则的必要性
(二) 解决医疗侵权赔偿案件法律适用问题的代替方案
结论
三 《条例》限制赔偿政策的事实根据论―答记者问见解的问题性[44]
如前所述,答记着问强调, 条例“体现了国家对医疗事故处理及其损害赔偿的特殊立法政策”。那么, 答记者问所说的特殊立法政策的内容是什么呢? 在损害赔偿问题的处理上, 条例所体现的立法政策与民法通则所体现的立法政策有什么不同呢? 条例所体现的特殊立法政策又是以什么事实为根据的呢? 被作为根据的那些“事实”是否符合客观现实呢? 即便符合客观现实, 以这些事实为根据, 是否能够证明条例对医疗事故损害赔偿的限制性规定具有政策上的合理性呢? 这些就是本节要检讨的问题。
(一) 条例所体现的特殊立法政策的内容及该政策的事实根据
条例第1条规定,制定条例的目的是“正确处理医疗事故,保护患者和医疗机构及其医务人员的合法权益,维护医疗秩序,保障医疗安全,促进医学科学的发展”。条例起草者卫生部的汇报指出, 修改办法的经济补偿制度的原则是“既要使受损害的患者得到合理赔偿,也要有利于我国医疗卫生事业和医学科学的健康发展”[45]。答记者问的表述与卫生部汇报的见解基本相同, 但更为直截了当。它指出, 条例之所以要对赔偿金额作出限制, 就是“为了推动医疗卫生事业的发展和医疗技术的进步”, 换言之, 如果不对医疗事故的赔偿范围和标准作出现行条例所作出的限制, 如果法院对医疗事故引起的赔偿案件适用体现了实际赔偿原则的民法通则的规定, 那么, 我国医疗事业的发展和医疗技术的进步就会受到不利的影响[46]。由此可见, 答记者问所强调的特殊立法政策的“特殊”之处, 亦即在赔偿政策上条例与民法通则的不同之处,在于条例以保障和促进医疗事业的发展这一公共利益来限制患者或其遗属原本根据民法通则所体现的实际赔偿原则所可能得到的赔偿这一个别利益。笔者在此将该政策简称为“公益限制赔偿政策”。
根据答记者问的说明, 条例所体现的公益限制赔偿政策是以下述被政策制定者所认定的四项事实为根据的。① 医疗行为具有较高的风险性, ② 我国医疗行业具有公共福利性, ③ 我国医疗机构的承受能力有限, ④ 我国的经济发展水平较低。对照条例起草者卫生部的汇报可以发现, 答记者问所提出的事实根据论,除了其中的第①项似乎是答记者问自己的看法(笔者不知道卫生部是否在其他正式场合表达过这样的见解)以外,基本上反映了卫生部在汇报中所表达的见解[47]。
以下, 笔者对“公益限制赔偿政策”的事实根据论进行分析和评论。
(二) “公益限制赔偿政策”的事实根据论的问题性
1. 医疗行为的高风险性不能说明条例限制赔偿的正当性。
答记者问没有说明医疗行为的高风险性与限制赔偿到底有何关系。笔者在此姑且作出两种推测[48],然后分别加以评论。
(1) 答记者问也许是想说: 高风险性这一客观因素的存在, 降低了过失这一医疗侵权的主观因素在赔偿责任构成中的意义。人们应当承认以下两个事实, ① 在医疗过程中, 即使医务人员充分履行了注意义务, 也未必能够完全回避诊疗的失败及由此引起的患者人身损害的发生; ② 即使医务人员在实施医疗行为方面确实存在过失, 损害后果的发生也往往在一定程度上与该项医疗行为固有的风险性存在一定的关系。因此, 在设计医疗事故损害赔偿制度时, 应当考虑到医疗风险这一客观因素在损害形成中所起的作用, 不应当把在客观上应当归因于医疗风险的那部分损失也算在医疗机构的头上。条例对赔偿数额作出限制反映了医疗事故损害与医疗风险之间存在一定程度的关系这一事实, 因此是合情合理的,是正当的。
笔者基于下述理由认为, 上述推论是不能成立的。① 医疗行为具有较高的风险性这一事实认定本身不能反映现实中的医疗行为与医疗风险的关系的多样性。现实情况是,医疗行为不仅种类极其繁多而且存在于医疗过程的各个阶段各个环节,有的可能具有高度的风险( 比如确诊率极低的没有典型早期症状的某些疾病的早期诊断, 成功率极低的涉及人体某一重要器官的复杂手术,对抢救患者生命虽然必要但严重副作用的发生可能性极高的急救措施),有的则可能几乎没有风险(比如在遵守操作规范的情况下的一般注射,常规检验,医疗器械消毒,药房配药,病房发药等)② 这种推论误解了医疗风险与医疗事故民事责任的关系, 因而是根本说不通的。众所周知, 我国的医疗侵权责任制度实行过错责任原则, 而非严格责任原则。既然如此, 那么在医疗损害的发生被证明为与医疗过错和医疗风险(特指与医疗过错无关的风险)[49] 二者都有关系的场合, 医疗机构只应承担与其医疗过错在损害形成中所起的作用相应的赔偿责任。在医疗侵权法上, 风险因素与民事责任不是成正比而是成反比, 风险因素对损害的形成所起的作用越大, 医疗机构因其医疗过错所承担的赔偿责任就越小。医疗行为的高风险性不是增加而是可能减轻医疗机构民事责任的因素。只有在适用严格责任原则的侵权领域, 高风险性才可能成为增加民事责任的因素。
(2) 答记者问也许是想说, 如果事先不通过制定法(比如条例)对赔偿范围和数额作出必要的限制, 那么医疗机构就会因害怕承担其不愿意承担或难以承担的高额赔偿责任而指示其医务人员以风险的有无或大小作为选择治疗方案的主要标准,尽可能选择无风险或较小风险的治疗方案; 医务人员在治疗患者时就会缩手缩脚,不敢为了抢救患者的生命而冒必要的风险, 患者的生命健康利益因此就可能得不到原本应当得到的医疗保障。所以, 条例限制赔偿标准,有助于调动医师救死扶伤的职业积极性, 最终将有利于患者疾病的救治。笔者认为, 这是一个似是而非的、严重脱离实际的推论, 因而也是没有说服力的。
① 在对赔偿数额不作限制(尤其是不作低标准限制), 实行实际赔偿原则的情况下,医师果真会从积极变为消极, 对患者该治的不治, 该救的不救, 该冒的险不敢冒吗? 限制了赔偿数额,医师果真就会因此而积极工作, 勇于担负起治病救人的重任吗? 这一推论符合医疗侵权的实际状况吗? 依笔者之见, 在适用民法通则的实际赔偿原则或赔偿标准高于条例的人身损害赔偿解释的情况下, 医师未必会因害怕出差错•承担较高的赔偿责任而该治的不敢治, 该救的不敢救, 该冒的险不敢冒。因为在许多场合, 采取这种消极回避态度反而会导致医疗不作为或不完全作为所构成的侵权。不仅如此, 因为这种消极态度可能具有放任的性质, 因而在其导致的侵权的违法性程度上也许比工作马虎或医术不良所引起的延误诊疗致人损害的侵权更为严重。② 医疗的宗旨是治病救人, 因而是不考虑风险违规乱干不行, 顾忌风险违规不干也不行的典型行业。医师必须遵循诊疗规范,充分履行注意义务,尽善管理。③ 限制或降低赔偿标准, 就算可能有调动医师积极性减少消极行医的效果, 也免不了产生降低医师的责任感, 纵容违规乱干的严重副作用。④ 按照风险论的逻辑, 条例规定的赔偿制度还不如办法规定的一次性经济补偿制度; 对广大患者而言, 他们的生命健康利益获得医疗保障的程度在条例时代反而会降低, 因为医务人员的救死扶伤的积极性由于条例( 较之办法)加重医疗事故赔偿责任而降低了。
2. 即使我国医疗行业具有公共福利性质, 以此为据限制赔偿也是根本没有说服力的。
答记者问没有(卫生部汇报也没有)具体说明我国医疗行业的公共福利性有何含意, 更未具体说明医疗行业的公共福利性与条例的限制赔偿政策之间有何关系。笔者在此参考有关的政策法规文件和一些文章中的议论[50], 分别对这两个问题的内容作出以下的推测。
(1) 我国医疗行业的公共福利性主要表现在以下几个方面。① 在我国医疗服务体系中占主导地位的公立医疗机构,是非营利性医疗机构,是公益事业单位,它们所提供的医疗服务对患者而言, 具有一定的福利性质。② 政府对公共医疗事业的财政投入将随着经济的发展逐年增加。政府的财政投入为公共医疗事业的发展和医疗技术的进步, 从而为广大患者能够享受到更好的医疗服务创造了一定的物质条件。政府对非营利性医疗机构实行税收优惠和合理补助的政策,为这些机构的福利性医疗服务提供了一定的支持。③ 政府为了增进广大人民群众的医疗福利, 减轻患者个人的医疗费用负担, 在城镇为职工建立作为社会保障的基本医疗保险制度, 在农村推行和资助合作医疗制度, 邦助越来越多的农村居民在当地也能得到基本的医疗服务。④ 政府考虑到广大人民群众的负担能力, 对医药品市场价格和非营利性医疗机构的医疗服务价格进行适当的控制。
(2) 医疗行业具有公共福利性这一事实, 决定了因医疗事故而发生的医患之间的法律关系具有以下的特点。① 它是在非自愿( 公共医疗服务的提供者在法律上有义务向需要的患者提供医疗服务, 无正当理由不得拒绝)的并且是非完全等价( 公共医疗服务的提供不以完全的等价有偿为原则 ) 的基础上进行利益交换( 患者仍需支付一定的医疗费用) 的当事者之间发生的赔偿关系, 不同于在完全自愿•等价有偿的基础上进行利益交换的当事人即通常的民事活动当事人之间发生的赔偿关系。② 它是提供医疗服务利益的医疗机构和接受医疗服务利益的患者之间因前者的利益提供行为发生错误导致后者受到损失而引起的赔偿关系, 换言之, 是好心人办错事引起的赔偿关系, 不同于通常的侵犯他人合法权利所引起的赔偿关系。③ 它在事实上又是以作为公共医疗的投资者的政府为第三人( 赔偿问题不仅可能影响到政府投资的效益,而且可能使政府投资本身受到损失)同时以利用该医疗机构的广大患者为第三人( 赔偿问题可能影响到该医疗机构的服务能力,从而影响到利用该医疗机构的广大患者的利益)的赔偿关系, 不同于仅仅涉及当事者双方利益或至多涉及特定私人第三者利益的赔偿关系。
(3) 正是因为医疗行业具有公共福利性这一事实决定了因医疗事故而引起的医患之间的赔偿关系具有不同于通常的债务不履行或通常的侵权所引起的赔偿关系的特征, 所以条例起草者才将该事实作为调整这种赔偿关系的特殊政策的依据之一。如果不考虑医疗行业的公共福利性, 如果不以该事实为依据制定特殊的赔偿政策, 而是完全根据或照搬民法通则所体现的实际赔偿原则, 那么, 医疗事故赔偿的结果, 不仅对于赔偿义务人医疗机构可能是不公正或不公平的, 而且会使国家利益和广大患者群众的利益受到不应有的损害。
笔者认为, 上述见解(假定确实存在), 根本不能说明条例限制赔偿政策的合理性。
(1) 答记者问在论证限制赔偿政策具有合理性时, 只提“我国医疗行业具有公共福利性”这一“事实”,不提我国的医疗行业和医疗服务在相当范围和相当程度上已经市场化和商品化, 我国的绝大多数公民还得不到医疗费负担方面的最基本的社会保障这两个有目共睹的现实。这种论法很难说是实事求是的。“我国医疗行业具有公共福利性”这一事实认定,本身就是非常片面的; 这一“事实”作为答记者问所支持的条例限制赔偿政策的前提之一, 本身就是在很大程度上难以成立的。
① 众所周知, 在条例起草和出台之时, 更不用说在答记者问发表之时, 我国的医疗行业已经在相当范围内和相当程度上实现了市场化。第一, 从我国医疗行业的主体来看, 被官方文件定性为“非营利性公益事业”[51] 单位的公立医疗机构,在我国医疗服务体系中确实依然占据主导地位,它们所提供的基本医疗服务项目, 据说因其价格受到政府的控制, 所以对接受该服务的患者而言,具有一定程度的福利性。但是,在我国的医疗行业, 非公立的完全营利性的医疗机构早已出现, 其数量以及其提供的医疗服务所占有的市场分额均有明显的增长趋势; 民间资本或外资与公立医疗机构的各种形式的合资经营也已经成为常见的现象。它们扩大了完全商品化的医疗服务市场。由于它们所提供的医疗服务, 在价格上是放开的, 所以对接受其服务的患者而言, 没有福利性 ( 除非将来有一天把这类医疗服务也纳入作为社会保障的医疗保险的范围)。此外, 只有非营利性公立医疗机构才是中央或地方财政投入及有关的财税优惠政策的实施对象。营利性医疗机构当然是自筹资金、完全自负盈亏的企业[52] 。第二, 从公立医疗机构提供的医疗服务的价格来看, 首先, 公立医疗机构配售给患者的药品和消耗性材料的价格往往高于或明显高于市场零售价(换言之,实际上往往高于或明显高于医院采购成本和管理成本的总和), 具有明显的营利性(据说其目的在于“以药养医”); 尽管医疗机构所采购的一定范围的药品的市场价格受到政府价格政策的控制(以政府定价或政府指导价的方式), 但这种控制是为了保证基本医药商品的质价相符, 防止生产或销售企业设定虚高价格 (明显高于生产经营成本和合理利润的总和的价格即暴利价格) 谋取不适当的高额利润[53]。因此这种政府控制价格与计划经济时代的计划价格有本质的不同, 并非像有些人所说的那样是低于市场价格的价格即所谓“低价”, 而是比较合理的市场价格。所以, 这种价格控制, 虽然有利于消费者或患者正当利益的保障, 但并没有任何意义上的福利性。其次, 基本诊疗服务项目( 比如普通门诊和急诊; 一定范围的检验和手术; 普通病房等一定范围的医疗设施及设备的利用)的价格, 虽然在一定程度上受到政府价格政策的控制, 因而也许可以被认为具有一定程度的福利性, 但具有明显的收益性或营利性( 即所谓创收 )的医保对象外的五花八门的高收费医疗服务( 比如高级专家门诊、特约诊疗卡服务、特需病房、外宾病房等)在较高等级的许多公立医疗机构(尤其是三级甲等医院)中早已出现并有扩大的趋势。此外, 在许多医疗机构中, 原本属于护理业务范围内的一部分工作也已经由完全按市场价格向患者收费的护工服务所替代。所以, 被官方定性为非营利性公益事业单位的公立医疗机构,在事实上正在愈益广泛地向患者提供没有福利性的甚至完全收益性或营利性的医疗服务。
② 从患者负担医疗费用的情况来看,第一, 加入了基本医保的患者,一般除了必须自付一定比例的医疗费用外,还须支付超出其医保限额的医疗费用。他们选择医保定点医疗机构所提供的医保对象外的医疗服务,或选择定点医保医疗机构以外的医疗机构(包括营利性医疗机构)所提供的医疗服务,因而完全自付医疗费的情况并不少见。同样是享受医保的患者,其享受医保的程度即自付医疗费占实际医疗费的比例可能不同; 符合特殊条件的一小部分患者,则可能基本上或完全免付远远大于一般医保患者所能免付的范围的医疗费[54]。第二, 更为重要的事实是, 我国所建立的社会基本医保制度,不是以全体居民为对象的医疗保险制度(比如日本的国民健康保险制度),而是仅仅以城镇的职工(城镇中的所有用人单位的职工)本人为对象的医保制度[55],加入者的人数至今还不满我国总人口的十分之一[56]。换言之, 我国城镇的相当数量的居民和农村的所有居民是不能享受基本医保的(即完全自费的或几乎完全自费的)社会群体(除非加入了商业医保,但商业医保不具有福利性)。政府虽然已决定在农村建立由农民个人缴费•集体扶持•政府资助的合作医疗制度,但由于种种原因,且不说这一制度才刚刚开始进行个别的试点(更不用说在一些贫困地区,甚至连最基本的医疗服务设施也不存在),就是全面铺开,它为广大农村居民所可能提供的医疗保障的程度也是极其微薄的[57]。要言之, 答记者问和卫生部汇报所强调的医疗行业的公共福利性,对于我国的绝大多数居民来说, 即使在某种意义上(比如公立医疗机构的部分诊疗服务的价格受到政府的控制)也许可以被理解为存在,也只是非常有限的,微不足道的。
笔者之所以强调上述两个方面的事实, 并非为了批评现行的医疗福利政策, 而仅仅是为了指出以下两个多样性的存在。第一个多样性是医疗行业或医疗服务与医疗福利的关系的多样性。医疗行业既存在福利因素又存在非福利因素, 既存在公益因素又存在营利因素; 有的医疗服务具有福利性,有的医疗服务则没有福利性; 有的医疗服务具有较高程度的福利性, 有的医疗服务只有较低程度的福利性。第二个多样性是患者与医疗福利政策的关系的多样性。有的患者能够享受较多的医疗福利, 有的患者则只能享受较少的医疗福利, 有的患者则完全不能享受医疗福利; 能够享受医疗福利的患者既有可能选择具有福利性的医疗服务, 也有可能选择没有福利性的医疗服务; 享受基本医保的不同患者所享受的医保利益又可能存在种种差别甚至是巨大的差别。据此, 我们应当承认, 支持医疗事故赔偿限制政策的公共福利论无视这两个方面的多样性, 严重脱离了现实, 因而没有充分的说服力。
(2) 即使医疗行业所具有的公共福利性能够成为限制福利性医疗服务享受者的医疗事故赔偿请求权的正当理由之一, 现行条例关于医疗事故赔偿的规定, 由于没有反映以上笔者所指出的患者与医疗福利政策的关系的多样性这一有目共睹的客观事实, 所以它不仅违反了条例起草者卫生部所主张的公共福利论的逻辑, 而且从公共福利论的观点看, 它又是显失公正和公平的。
① 根据公共福利论的逻辑, 条例原本应当将患者所接受的引起医疗事故的医疗服务与医疗福利的关系(即是否具有福利性, 具有多少程度的福利性)作为确定医疗事故的具体赔偿数额的考虑因素之一, 原本应当采取赔偿数额与自费程度成正比•与福利程度成反比的原则,使得自费程度较低的被害人较之自费程度较高的被害人,部分自费的被害人较之完全自费的被害人,在其他条件同等的情况下,获得较低比例的赔偿数额。换言之, 使后者能够获得较高比例的赔偿数额。令人感到难以理解的是,条例竟然没有作出这样的规定(条例仅将医疗事故等级、医疗过失行为在医疗事故损害后果中的责任程度、医疗事故损害后果与患者原有疾病状况之间的关系作为确定具体赔偿金额时应当考虑的因素(第49条第1款))。
② 公正性是良好的法律制度的基本标准之一。如果答记者问和卫生部汇报所主张的公共福利论, 从所谓“患者能够获得的赔偿数额与该患者自付的医疗费用应当实现某种程度的等价性”的观点看, 确实还带有那么点“公正性或公平性”的意味的话, 那么, 卫生部在以我国医疗具有公共福利性为事实根据之一设计医疗事故的赔偿制度时, 就应当充分注意患者与医疗服务福利性的关系的多样性, 所设计的赔偿制度就应当能够保证各个医疗事故的被害患者都有可能按照所谓“等价性”原则获得相应数额的赔偿。很可惜, 现行条例的赔偿规定在这个问题上犯了严重的一刀切的错误。说的极端一点, 它使得医疗费用自付率百分之百的患者, 在其他条件相同的情况下, 只能获得医疗费用自付率几乎接近于零的患者所能够获得的赔偿数额。
③ 从立法技术论上看, 卫生部的失误在于, 她将医疗服务的福利性这个因案而异•极具多样化和个别化的事实,因而只能在各个案件的处理或裁判时才可能确定的事实,当作她在制定统一适用的赔偿标准时所依据的事实即所谓“立法事实”(具有一般性或唯一性并且在立法之时能够确定或预见的事实)。卫生部显然没有分清什么样的事实属于立法事实,可以被选择作为立法的依据, 什么样的事实不属于立法事实, 因而不应当被作为立法的依据,只能被选择作为法的实施机关在将法规范适用于特定案件时认定或考虑的事实。混淆二者,是立法上的大忌。如果将后者作为前者加以利用而不是作为一个因素或情节指示法的实施机关在处理具体案件时加以认定或考虑, 那么,制定出来的法就不仅会因其事实根据的不可靠而可能成为脱离实际的有片面性的法, 而且在其适用中可能成为不公正的法。如前所述,为了避免条例制定的赔偿标准在适用中引起明显的不公正后果, 卫生部原本(如果她认为在政策上确实有此必要的话)应当将涉及福利性的问题作为医疗事故处理机关在具体确定赔偿数额时应当考虑的因素之一,同医疗事故等级等因素一起,在条例第49条第1款中加以规定。 (3) 即使我国医疗行业具有相当高度的、相当广泛的、对不同的患者而言相当均等的福利性( 比如达到了日本或一些欧州国家的程度), 以其为据限制医疗事故赔偿也是没有说服力的。
① 生命健康权是人的最基本的权利, 理所当然地受到现行宪法和一系列相关法律的保护。充分保障这一权利, 建立具有适当程度的公共福利性的医疗制度和社会保障制度, 使每一位居民, 不论其经济能力如何, 都能得到相当质量的必要的医疗服务, 是政府在宪法上的责任。我国医疗行业保留一定范围和一定程度的公共福利性,政府从财政上给予医疗事业必要的支持, 应当被理解为是人民权利的要求, 是政府对其宪法责任的履行, 而不应当被看成是政府对人民的恩惠。财政对医疗事业的投入, 并非来自政府自己的腰包, 而是人民自己创造的财富。在笔者看来, 以医疗行业的公共福利性为理由的医疗事故赔偿限制论, 似乎缺少人民的宪法权利和政府的宪法义务这一基本的宪法意识, 自觉或不自觉地把医疗行业的公共福利性看成是政府通过医疗机构的服务对百姓患者实施的恩惠。
② 如果说社会福利在有些资本主义国家(比如美国)的一个时期内, 曾被仅仅视为国家对社会的弱势群体的特殊照顾或恩惠(不是被视为福利享受者的法律上的权利)的话, 那么就应当说在社会主义国家,它当然应当被首先理解为国家性质的必然要求。我国只要还坚持宣告自己是社会主义性质的国家, 就必须坚持这种理解。以医疗行业的公共福利性为理由的医疗事故赔偿限制论, 似乎缺少鲜明的社会主义观念, 自觉或不自觉地把医疗福利仅仅理解为政府所采取的一种爱民利民政策。
③ 任何社会福利政策,只有获得了完全意义上的法律保障才可能真正为人民带来切实可靠的福利。笔者在此所说的完全意义上的法律保障是指,不仅福利的提供要有法律保障, 而且在福利的享受者因福利的具体提供者的过错而受到损害的情况下也要有充分的法律救济的保障。 否则, 提供福利的法律保障就失去了充分的现实意义, 人民享受的福利就只能是残缺不全的福利。以医疗行业的公共福利性为理由的医疗事故赔偿限制论, 似乎缺少全面法律保障的观点, 它弱化了法律救济的机能, 使本来就程度很低•范围很窄的医疗福利退化为残缺不全的福利。
④ 治病救人是医疗行业的根本宗旨, 严格遵守医疗规范、尽职尽责为患者服务、关爱患者、 救死扶伤是医务人员的神圣职责和法定义务(执业医师法第3条,第22条)。患者托付给医疗机构和医务人员的是他们作为人的最为宝贵的健康和生命的命运。医疗事故恰恰是起因于医疗机构或医务人员的违规失职, 恰恰是背离了患者的期待和信赖, 恰恰是危害了患者的健康或生命。对性质在总体上如此严重的侵权损害, 如果认为有必要设定赔偿的范围或标准的话, 毫无疑问, 至少不应当在范围上小于、在标准上低于其它侵权损害赔偿的范围和标准。笔者百思不得其解的是, 医疗事故赔偿限制论怎么会如此的“理性”, 理性到无视医疗事故侵权在总体上的严重性质, 理性到搬出诸如医疗的公共福利性、医疗服务的不等价性之类的似是而非的理论( 无论是土产的还是进口的)。这些理论又怎么能够证明限制医疗事故赔偿的合理性或正当性呢?
关键词:道路;交通;安全审计
Abstract: with the rapid growth of China's national economy, China's transportation construction has entered a rapid development stage. Traffic accidentsincrease gradually. In order to improve the level of road traffic safety of the whole traffic system, need to "road traffic safety audit" into the road network planning and design, to prevent traffic accidents, reduce the likelihood and severity of accidents caused.
Keywords: road; traffic safety audit;
中图分类号:E232.6文献标识码:A文章编号:2095-2104(2013)
一、引言
随着我国国民经济的迅速增长, 我国的交通建设也进入了快速发展阶段。到2012年底,全国已建成通车的公路总里程达到423.75万公里,其中高速公路通车里程已达9.6万公里。与此同时, 公路、特大型桥梁的整体设计施工技术水平也有了跨越式的提高, 并广受世人瞩目。公路交通已由制约国民经济发展的阶段向基本适应转化。我国的公路建设只用10 余年的时间就走过了西方发达国家几十年的发展里程, 成绩斐然。
但是, 与西方发达国家经过的历程一样, 伴随着经济的迅猛增长, 我国的道路交通安全形势也十分严峻。随着机动车数量的不断增长,公路交通事故频发已成为社会的一大公害。以2011年为例,全国共接报涉及人员伤亡的道路交通事故210812起,共造成62387人死亡,直接财产损失达数十亿元。交通死亡事故总数近几年一直排名世界第一。而对于治理道路交通安全问题的措施,在道路建设中实行道路安全审计则是有效预防交通事故的重要手段之一。
二、交通安全审计的定义
道路安全审计是从预防交通事故、降低事故产生的可能性和严重性入手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能。道路安全审计可定义为;由公正独立、有资质的人员对涉及使用者的道路项目(已建或将建项目)进行的正式审查,以确定对道路使用者任何潜在的不安全特性或构成威胁的运营安排。安全审计的目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保证道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求。因而可以说道路安全审计的目的就是:保证现已运营或将建设的道路项目都能为使用者提供较高实用标准的交通安全服务。
三、道路安全审计的意义和经济效益
国内外大量研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重程度,降低道路交通事故的人身赔偿费用,减少道路开通后改建完善和运营管理费用,提高路网的安全性;提升交通安全文化,提高道路管理部门和设计者的安全意识。
道路安全审计的最大效益在于“只需用铅笔改变设计线,而不是到建成后再去搬动混凝土;即使是建成后的道路需要搬动混凝土,那么至少可以避免或减少搬动撞毁的汽车和伤亡的人员”。道路安全审计的费用和改变设计所花的费用,要远远低于在项目建成以后才采取治理措施所需的费用。如果一条道路设计中有明显的安全问题,那么事故耗费将可能成为该项目的整个经济寿命中费用的最主要部分;如果一条新建道路有安全问题,又因为采取改动措施耗资巨大,而采取了其他的补救措施,这将带来一些不良后果——要么是持续的事故损失,要么是由于通行量和车速受到限制而带来的持续的经济损失。对社会而言,在建造之前就避免问题的发生将是最经济的。对于公路建设项目,尽可能减少治理措施。将会降低预算开支,并且使资金的使用更为有效。另外,对现有道路的安全评价将会大大降低事故的损失代价,从而明显地节省开支。工程规范及指南为一个好的设计提供了一个好的开端。
道路安全审计,应当被视为用来减少事故风险的整个道路安全工程的一部分。资料表明,审计1个大型的新建工程,会增加设计成本的 4 %~10 %。由于设计成本仅占工程投资的 5 %~6 %,所以这部分投资的增加是很小的。道路安全审计的收益表现在减少交通事故上,这些收益主要是指因为交通事故的避免和事故严重程度的减轻,大大降低了交通事故的赔偿费用和道路建成后的维护改进费用。
四、道路安全审计的内容及步骤
(一)道路安全审计是从道路因素方面着手,预防交通事故、降低事故产生的可能性和严重性 ,对道路项目建设的全过程进行全方位的安全审核 ,从而揭示道路发生事故的潜在危险因素及安全性能 ,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段.
(二)道路安全审计是指对现有道路、未来道路、交通工程以及与道路使用者有关的工程进行正式的审计。审计的对象既包括拟建的道路项目,又包括已有各种不同类型的道路及设施;既可以是大型的、综合性的高速公路项目,又可以是小型的,如1个道路交叉口或1个限速槛。
(三)道路安全审计要贯穿于项目的规划、设计、施工和营运期的整个过程中。道路设计建设程序可将拟建道路安全审计划分为五个阶段:可行性阶段、初步设计阶段、施工图设计阶段、预通车阶段和通车后安全审计。其中每个阶段审计均是一次完整的审计过程,每个阶段都应严格按照安全审计的实施步骤并参照审计条目来执行。审计清单是作为道路安全审计的辅助手段,是有关道路方面知识和经验的综合产物,可使审计者在安全审计时免于遗漏某些重要的东西,同时也可使设计者在设计时发现潜在安全问题。道路安全审计表单内容的关联因素具体表现为道路及其环境因素对交通安全的影响,与交通安全相关的道路及其环境因素有许多,项目通过不同等级公路、在不同道路影响因素的各个方面进行了分析与研究。研究结果表明:道路的种类与规格、路线和线形、路基路面、交通工程设施等与道路交通安全的关联紧密。因此,对道路进行安全审计时,应当分别从工程的整体情况、路线线形、路基路面、桥梁涵洞、平面交叉、立体交叉、隧道、交通工程及沿线设施、环境因素、道路使用者、出入口和周边开发地区等方面来进行。
(四)道路安全审计的每个实施阶段都是一个完整的审计过程,应当依次执行选择审计队伍、收集背景信息、开工会议、评价分析、现场考察、编写审计报告、完工会议、跟踪测评的步骤。每个步骤中的工作内容必须与具体审计项目的性质和规模相适应。对于规模较小、交通安全问题较清楚的项目,有的步骤可以简化,但不能省略,且总的流程次序不能改变。例如,对一些小规模项目的审计就不需要召开专门的开工会议,只需几个电话通知联络一下即可,而且审计组提交的书面报告也应当尽可能的简洁;而对于一个大型道路项目的安全审计,其过程可能会包括若干次会议、大量的计划以及详细的最终审计报告。
关键词:数据库;安全审计;安全插件
中图分类号:TP311.13
数据库系统信息规模化发展势头强劲,数据库的应用日益广泛,涉及到铜矿产业方方面面,给公司带来了实实在在的收益,同时也深刻反映了公司对信息系统的巨大依赖性,对产业研究和生产起到了重要的引导作用,当今数据库的安全问题变得尤为重要。
1 数据库安全总体架构
1.1 数据库系统设计思路
数据库安全系统的重点是解决安全审计和安全插件问题,对来自网络和本地的用户对数据库的操作行为进行审计,及时识别和发现其中是否对数据库系统构成威胁,系统提出了用安全插件来提高数据库安全性的设计方案。安全插件采用阻断非法用户访问进入系统来保障数据库信息的安全性和可控性。
1.2 数据库系统设计目标
(1)高安全性:对于一些重要的机密的数据,足够的加密强度,在共享环境下保证数据所有者的安全。
(2)统一审计:对日志数据库进行统一审计、客户端访问数据库集中控制;事后可以整合信息分析导致数据库出现异常的一系列行为,追踪攻击者的来源提供依据。
(3)权限管理:将管理权限集中管理,由系统安全审计引擎统一进行设置、解析。
1.3 方案总体设计
数据库安全系统总体构架见图1
图1
数据库安全审计系统是通过以网络审计为主,兼容数据库本地审计的方式。数据库审计监管系统将从网上采集到的信息包发送到前台审计监管平台上的数据库日志,通过后台的审计监管服务器对数据包进行分析,为管理者和系统管理员提供及时、准确、详细的数据异动信息,发现工作中的越权、违规、过失、恶意篡改等操作反馈在审计监管管理平台上,实现对数据库系统安全状况的全面审计,从而保障数据库的安全.
安全插件是在数据库管理系统外的安全防护罩,登陆数据库系统的用户访问应用服务器时,系统自动弹出提示,用户按照提示安装安全插件。安全插件截获数据库各种访问接口的访问请求,对用户访问控制进行安全审核,将允许访问的命令送到数据库管理系统,系统插件自动对用户访问行为做出安全级别的评价,根据安全级别评价的提示对用户进行认证和监控控制。如果系统发现非法用户的指令,则安全插件将自动切断用户对数据库的。
1.4 数据库系统技术路线
数据库安全系统是采用自主研发安全插件与数据库安全审计,并与传统系统相结合的路线,解决支路安全设备的阻断问题。
(1)系统安全插件可自动获取用户的IP地址、MAC、PC名以及操作系统类别和系统软件等信息,监控中心发出指令,防止非授权的用户访问数据库系统。安全插件具有超高安全性,卸载、删除安全插件系统将自动弹出预警提示,防止非法操作破坏系统的安全性。
(2)解决旁路安全产品的阻断问题
本系统采用数据库审计系统和安全插件的技术,可以成功解决旁路安全设备的阻断问题。即在用户访问数据库前假设个“关卡”,所有要访问数据库的操作都需先经过审计监控系统,只有审计监控系统授权才能够对数据库进行访问。安全插件接收监控系统的指令,阻止非授权的用户对数据库服务器的访问。与数据库审计系统进行联动,对数据库用户的越权访问进行阻断和报警。
(3)系统集成与安全审计和安全插件的联合应用
数据库系统安全创新之处在于:数据库集成与安全审计和安全插件管理系统相结合,做到系统兼容、风格一致、界面协调。集成后的系统操作界面由两部分组成:数据库审计子系统和数据库用户管理子系统,两个子系统相得益彰,用户操作快捷,方便系统管理。
(4)系统的联动
通过数据库系统管理平成前、后台审计的安全策略和若干审计引擎设置相结合的管理方式,操作简便快捷和安全性高。审计引擎作为数据库安全的重要组成部分与审计监管系统联动,对个别服务器终端作相应的共享。
1.5 数据库系统功能实现
(1)支持对SQL Server、Oracle、informix、MYSQL数据库类型的审计监控分析。
(2)系统提供用户需要配置条件。不同性质的用户可按一定的范围对特定主机和特定网段进行监控,从而保证用户能够按照自己的需求实施监控。
(3)系统支持数据库服务器的事件统计、安全报警功能。
(4)数据库系统可生成安全报表:直观、简洁、丰富。
(5)系统采用多级用户管理体系,包括系统管理员、普通管理员、一般用户三种权限用户,不同级别的用户之间彼此制衡,保证了系统安全性和可控性.
2 系统应用效果
自数据库安全系统运行以来,自动提示用户安装的安全插件近70多个,能够对保护的数据库服务器的访问进行审计和监控。数据库安全系统对于科研和生产发挥了巨大的作用,取得了很好的效果。
数据库安全系统的实施较好地解决了信息资源的安全问题和可控问题,主要体现在以下四个方面:
(1)在数据库系统的外网增加了一道安全屏障,实时监控分析,拦截非法用户的入侵,通过数据库系统审计平台管理,有效防止重要数据的破坏和泄漏。
控制非法用户对数据库系统强行的访问,全面记录用户对数据库的所有操作行为,通过系统安全插件提前预警,杜绝用户违规操作的问题。
数据库系统提供用户查询权限范围内的数据信息,通过日志列表查询和事件列表查询,对每条事件信息进行审计,监控分析用户的具体操作行为是否对数据库系统构成威胁,并且导出系统原始数据为管理人员全面掌握数据库资源安全使用情况提供科学的依据.
可按时间周期来评定系统审计事件的强、中、弱三个级别的数量,以及日志数和会话的信息。
3 结语
数据库安全系统伴随着网络的更高层次利用,需要进一步加强信息资源安全审计和监控,数据库系统安全管理是一项长期而艰巨的工作。信息安全是涉及公司产业发展和公司安全的重大问题。数据库安全系统部署了审计数据处理中心、安全管理系统控制台、多台数据库审计系统、及大量的数据库安全插件,保障数据库信息的有效性和合法性。规范了用户访问行为,加强了安全审计、风险级别评价工作,从而更有力保障数据库系统的安全。
参考文献:
[1]王永祥.论企业数据安全保护方案[J].网络安全技术与应用,2011(61):13-14.
【关键词】网络安全边界
一、基础设施安全
全网系统基础设施安全就是网络平台全部子系统的安全。为确保全网系统网络平台的长期稳定运行,建议部署网络管理系统,对整全网系统网络平台进行统一的管理。同时需要对网络设备进行安全配置。
1.1网络管理中心
为了全网系统网络在日常维护和处理事件时能做到全面、直观、及时。能够对网络进行统一的管理,需要有一个统一的网络安全管理平台,能够内嵌和调用相关产品的监管系统,通过远程对不同设备进行实时监控和分析,监控这些设备的硬件状态、网络流量、异常、故障等状态信息,并提取这些信息,按既定的策略进行分析,最终以直观的方式展示出来,使管理者实时直观的了解全网运行情况。同时还可以设定相关的报警功能,设定一定的策略,当出发策略被激活后自动以各种方式进行报警,并及时自动通知和提示管理者的问题所在及相应的决策支持信息。
一套完全集成的、能够支持多平台基础结构、能够容纳第三方产品并且提供开放标准的管理工具是网络监管所必须的。目前流行的网管平台有两种类型,即基于SNMP的网管平台和基于CMIP的网管平台,其中前者主要用于计算机网络和系统的管理,后者用于电信网络的管理。
1.2核心入侵检测
由于全网上传输的信息数据量大,带宽要求高,同时对各级核心IDS的性能和稳定要求也非常的高,所以对于IDS检测引擎要求必须选型为千兆的高速引擎,并且部署方式为分布式,支持IDS管理中心的统一管理。通过采用千兆的核心IDS系统,可以在漏报率极低的情况下进行实时检测,保证全网系统各级中心主干网的安全。各级核心IDS的部署是保证全网系统的基础网络安全的基本监控措施。
二、全网边界安全
边界安全措施是任何一个信息系统的基本安全措施,也是保障全网系统安全的第一步。全网系统的边界安全措施主要包括三个方面:边界的定义、边界的隔离和访问控制、边界的入侵检测。
2.1边界定义
安全访问控制的前提是必须合理的建立安全域,根据不同的安全需求建立不同的安全域。安全域的建立可以从物理上和逻辑上分别划分安全域。在物理上将信息系统从地域上独立出来,划分不同物理区域。在逻辑上将信息系统或用户分组,指定不同的访问权限。
安全域边界定义对目前及日后全网系统的安全运行都是非常重要的因素,同时也是建立全网系统等级保护安全保障体系的基础措施。只有合理的划分了安全域,才能有效的采取系统分域技术手段保证全网系统的安全。
2.2边界隔离和访问控制
安全域定义完成后,就是如何设计各安全域间的边界控制问题。一般对于边界的控制主要有两种,物理隔离和逻辑隔离。针对全网的信息交换需求,安全域间通过防火墙实现边界隔离。这是用在信任网络和不信任网络之间的一种访问控制技术,主要有应用、包过滤两种形式的防火墙设备。
利用防火墙的目的主要有两个:一是控制全网系统各级网络用户之间的相互访问,规划网络的信息流向,另一个目的是起到一定的隔离作用,一旦某一子网发生安全事故,避免波及其他子网。
2.3边界入侵行为检测
由于我国信息化起步较晚,在网络安全概念里,许多人都认为网络安全就是为网络增配配防火墙,至今许多单位依然是这样实施的。这种想法是不全面的,防火墙的部署,仅能在网络边界起到安全作用,防火墙是主要是为了防止网络外部的入侵,等同于网络的第一道关卡。只能阻止来自外部的部分通用型攻击;不能对内部进行防范,而堡垒往往是从内部攻破的,而这去正好是防火墙的盲区。这就需要有专用设备弥补不足,在全网的关键位置部署入侵防御系统(IPS),对所有通过的数据进行监控和分析,为网络安全提供既时有效的入侵防范,并采取有针对性的有效防护手段。
关键词: 涉密网络;安全审计;主机审计;系统设计
1 引 言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
涉密网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[ 1 ] 。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2 安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2 ] 。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3 ] 。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架( IA TF) 中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2Dept h St rategy) ”,对安全审计系统提出了参与主动保护和主动响应的要求[4 ] 。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复( PDRR) 动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3 主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,涉密系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,涉密网络的主机审计在设计时就应该全方位进行考虑。
3. 1 体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/ S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows ,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP 协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为) 是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网PC 机) 通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面PC 或笔记本) 通过外置磁介质(如U 盘、移动硬盘) 接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL 加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、IP 地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。[ hi138\Com]
3. 3 审计主机范围。
涉密信息系统中的主机有联网主机、单机等。常用操作系统包括Windows 98 ,Windows2000 ,Windows XP ,Linux ,Unix 等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙) 实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3. 4 主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、USB 接口等) ,对USB 设备进行分类管理,如USB 存储设备(U 盘,活动硬盘) 、USB 输入设备(USB 键盘、鼠标) 、USB2KEY以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备) 泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,涉密信息必须有密级标识) ,拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机) 被系统自动将所有文档读到计算机上。
3. 5 综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机IDS、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(WORD、HTML 、文本文件等) 输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个涉密网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4 结束语
涉密系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。
参考文献
[1 ] 网络安全监控平台技术白皮书。 北京理工大学信息安全与对抗技术研究中心,2005.
[2 ] 王雪来。 涉密计算机信息系统的安全审计。 见:中国计算机学会信息保密专业委员会论文集,13 :67 - 72.
关键词:企业安全审计系统;模块设计;测试模型
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)22-0049-02
1 概述
随着国家改革开放的不断深入,互联网的应用深入到了企业工作中的各个方面,企业发展面临着前所未有的挑战。企业员工通过互联网办公的行为越来越多,互联网在方便企业员工的同时,也带来了员工工作效率低下、容易泄露企业秘密,造成企业的网络安全没有保障,企业的信息资源网络泄密等风险。企业安全扫描过程漫长、排查隐患不合理、问题定位不精确、扫描缺乏深度、安全结论模糊等一系列业技术难题。这在很大程度上影响了公司的进一步发展。本系统正是在这种背景之下提出的。集中表现在以下几个方面:
1)提高了企业的经营质量和效率。
2)提高企业员工办公的工作效率,加强企业互联网使用制度管理。
3)降低企业的人员管理成本,减少人为因素和管理缺失造成的关键业务停顿造成的损失。
4)降低企业泄密事件风险,为企业的互联网环境提供安全保障。
5)管理部门应加强对员工互联网通信数据和通话内容的监管、审计。
2 企业安全审计系统的需求分析与设计
通过调查,要求系统需要有以下功能;1)有良好的人机界面,有较好权限管理;2)系统操作简单,容易学习,容易理解,快速上手使用系统;3)系统数据安全加密、系统具有数据备份和数据还原功能;4) 方便的全方位的数据查询;5)审计数据的浏览和下载;6)企业工作电话的通话内容录制;7)非工作互联网网络站点的访问;8)企业员工网络数据浏览的统计和分析。
通过对企业需求的分析得出,需要设计的模块为:系统状态监控、设置向导、员工网络行为监控、员工通话记录、员工上网行为过滤、员工网络数据统计分析、系统管理七大模块。
3 企业安全审计系统的模块规划与详细设计
安全审计系统是一个典型的数据库开发与应用的程序,能够通过互联网上网的技术手段对员工互联网行为进行监督、审计和管理,避免企业重要信息资源泄露,以及发生泄密事件后能够溯源找到相关证据和原因提供技术层面的支持。其相关的模块等部分是本系统的重要组成部分,特此规划本系统的功能模块如下:
系统状态监控模块
该模块主要负责系统的接入方式、数据来源的管理状况;员工网络行为监控的状态和现在的工作模式;员工通话记录的监控的启用和停止状态;员工上网行为过滤的启用和停止状态。
设置向导模块
该模块主要负责系统监管内容设置、系统互联网接入方式设置、系统用户使用权限设置、员工互联网数据监控设置、员工通话记录设置、员工上网行为过滤设置。
员工网络行为监控
该模块主要负责对员工网络行为监控的基本设置;启用和停止监控;网络行为的回放、审计和下载――支持对上网时间、IP、URL、MAC、关键字、上网账号、上网电话、邮件类型进行回放、审计和下载。支持对http上传、http下载、https、smtp、pop3、telnet、ftp、qq、msn、skype、微信、飞信、qq传输文件、web邮件传输、web网站访问、sohu微博、sina微博、其他未知协议跟踪等具体的按协议分类的回放、审计和下载;员工上网身份查询;员工网络行为实时回放、审计和下载。
员工通话记录模块
该模块主要负责员工办公室固定电话通话内容回放;通话内容记录启用和停止设置。
员工上网行为过滤模块
该模块主要负责员工上网行为过滤规则的设置――支持对ip、mac、端口、url、http、组合策略(ip+端口、mac+端口)等规则进行过滤和放行;过滤行为启用和停止设置。
员工网络数据统计和分析模块
该模块主要负责员工网络数据时间统计和分析――支持对ip、mac、账号的统计和分析;员工网络数据轨迹统计和分析――支持对ip、mac、账号的统计和分析;
系统管理模块
该模块主要负责权限管理、数据备份、数据还原、版本升级、设备状态、关闭设备、工具下载、操作日志审查。
其他功能模块
该模块主要负责系统版本信息、重新登录、退出系统。
4 软件开发过程
本系统的开发结合软件信息系统的开发阶段分为下面4个子阶段:需求分析阶段、架构设计阶段、程序编码阶段、系统测试和调试阶段。
1)分析阶段
进行需求分析(requirement analysis):理解问题需求,包括程序是否需要和用户进行交互,是否操纵数据,是否有输出结果以及输出结果的格式等等。如果程序需要对数据进行操作,开发人员必须了解数据类型及它们的表示方法。这时候可能会接触一些样本数据。如果程序有输出信息,必须确定它们所生成的结果及输出格式等;如果需要解决的问题过于复杂,可以把它分解为多个子问题,在对每个子问题做相应的需求分析。
2)设计阶段
结构化设计方法
将一个问题分解为若干个子问题的方法叫做结构化设计方法。结构化设计方法又叫做自顶向下的设计方法、逐步求精方法和模块化程序设计方法。在结构化设计方法中,问题被分解为若干子问题,然后分别对每个子问题进行分析和求解。所有子问题的解合并起来就是原始问题的解。使用结构化设计方法进行编程就叫做结构化程序设计。
面向对象设计方法
在面向对象设计方法中,求解问题的首要步骤是识别称为“对象”的组件(它是运用该方法求解问题的基础)和确定对象之间如何进行交互。对象包括数据和在数据上执行的操作。对象可以看作数据和其上操作的统一体。使用面向对象方法编程,最终的程序是交互对象的集合。实现面向对象设计方法的编程语言叫做面向对象程序设计语言。
3)编程阶段
在编程阶段,编写和编译程序代码,以实现在设计阶段分析得到的类和函数。
4)测试和调试
系统测试是保证软件开发质量的主要手段,测试目的不在于找出错误,而在于遍历软件系统各功能和边界条件,保障软件系统的正常工作和运行,是评价系统软件质量的重要方法之一。
5 软件开发模型(方法)
本系统开发采用增量的软件开发模型来实现系统各功能模块。
1)瀑布模型
该模型严格按照需求分析、软件设计、程序编码、系统测试、运行和维护一级一级的向下执行,每个阶段必须经过阶段性评审,并通过评审,再进入下一个开发阶段。
2)原型方法模型
在开发的早期阶段,系统需求不确定时采用。通过一个简单的功能实现系统再进一步确认系统将要实现的各功能的一种开发模型。
3)增量模型(渐增模型)
结合了原型方法模型和瀑布模型的基本软件开发阶段,该模型首先通过早期的原型系统建立的模型,再进一步按照瀑布模型的各阶段完成系统开发。再次迭代原型系统模型和阶段开发模型直至系统所有功能满足用户需求。
6 软件测试与维护
1)软件测试:
测试这个术语表示检测程序的正确性,即检查程序是不是完成了需要完成的工作。而调试一词指,如果程序存在错误,如何找到并修改错误。在每写完一个函数或算法后,接下来应该验证它是否正确工作。在复杂的大型程序中,错误是一定存在的。为了提高程序的可靠性,必须在交付用户前发现并修改其中的错误。
测试有两类方法,即:黑盒测试和白盒测试。使用黑盒测试方法时,您不需要知道算法或函数的内部实现,只需要知道程序的功能即可黑盒测试是基于输入输出的方法。它的测试用例通过创建等价类来选取。如果程序对于等价类中的某个输入的输出结果是正确的话,那么就认为对应该等价类中其他输入也会输出同样的正确结果。白盒测试法需要测试人员遍历测试程序的内部逻辑结构和业务处理流程的一种测试方法。常见的白盒测试方法有:基本路径测试、循环覆盖测试、逻辑覆盖测试,测试的重点在于检验内部逻辑结构和业务实现流程。
2)软件维护:软件开发的工作的结果就是交付一个满足用户需求的软件产品。软件产品一旦投入应用,产品的缺陷就会逐渐的暴露出来,运行的环境会逐渐发生变化,新的用户也会不断地浮出水面。软件维护就是要针对这些问题而对软件产品进行相应的修改或演化,从而真正的修改错误,改善性能或其他特征。
软件维护是整个软件开发生命周期历时最长得工作,主要是为了保障软件系统的正常工作和运行直至软件使用消亡或更新换代。软件的维护主要可分为三种:改正性维护(纠正软件存在的错误和缺陷)、适应性维护(适应内、外部环境)、完善性维护(添加、扩容和升级新的软件功能)。
参考文献:
[1] 沈备军.软件工程原理[M]. 北京:高等教育出版社,2013.
[2] 张海藩,倪宁.软件工程[M].北京:人民邮电出版社,2010.
[3] 陈明.软件工程导论[M].3版.北京:机械工业出版社,2010.
[4] 钱晓明,朱健江,王晓勇.软件工程[M].北京:中国铁道出版社,2007.
[5] 吕云翔,王昕鹏.软件工程[M]. 北京:人民邮电出版社,2009.
[6] Carig Larman.UML和模式应用[M]. 3版. 北京:机械工业出版社,2006.
[7] Grady Booch.Object-Oriented Analysis and Design with Applications[M]. Addison Wesley Longman Publishing Co., Inc, 2003.
【关键词】电子政务;平台安全;建设中图分类号:TP39
文献标识码:A
文章编号:1006-0278(2015)02-112-02
一、基于安全的平台物理构架
数据安全的定义存在对立的两个层而:一是针对数据本身的安全,数据本身的安全可以通过使用独特的不为外人所知的密码算法对数据信息进行加密;二是数据防护层而的安全,它的主要方法是利用先进的储存方式对数据进行防护,目前常用的储存方式有磁盘阵列、数据备份、异地容灾等。通过对信息进行加密算法传输,并且采取先进的储存方式,一般来讲可以保证数据的安全。
在数据的处理过程中可能会出现因为电路故障引起的硬件障碍,服务中断、程序的错误进行,以及人为的错误操作,或者外部网络的黑客入侵、病毒感染等问题而导致数据丢失或者数据库受到破坏。同时不同的数据只有拥有权限的人员才能浏览,而有些不具备权限的人员进行浏览之后,可能会出现数据外泄的情况。
数据储存也应该具备安全性。一些数据库的运行是公开的,这方而的编程人员通过一些常规手段,都能够对数据库中的信息进行浏览或阅读,如果这些人中有人对数据进行了修改也是很正常的。而一旦这些信息落入了非法访问者手中,那么就会使内部信息外泄,给整个系统带来重大的威胁。
数据安全具备以下特点:
1.机密性(Confidentiality)。机密性,又称保密性,是指信息的获取需要一点的权限,不能被随意获得。在电脑程序中,网络浏览器和一些网站都有加密设置,这样的目的是为了保证用户信息的安全;2完整性(Integrity)。完整性是指数据在传送和储存的过程中,数据信息不被非法用户篡改或获取,它是信息安全的二个基本要点之一。完整性和保密性往往容易被混淆。以普通RSA对数值信息加密为例,非法用户如果没有获得授权,也能够通过保密文件的线性计算来对数值的信息进行更改。为保证信息的安全,通过散列函数和数字签名可以对文件进行保护;3可用性(Availability)。数据可用性是指数据的可读性,它的设计理念是以使用者为中心,它的重点是根据使用者的要求对产品进行相应的设计。
对信息安全的认识经历了的数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和信息保障时代(强调不能被动地保护,需要有保护
检测
反应
恢复四个环节)。
二、平台网络安全威胁
能够对数据的安全带来威胁的因素是五花八门的,而以下几而方而的威胁是最为普遍的:
(一)硬盘驱动器损坏
硬盘驱动器一旦损坏,通过这一驱动器运行的数据就会丢失。而设备运行过程中的损耗、运行环境的破坏和存储媒介的失效甚至是人为损害都会引起硬盘驱动器损坏。
(二)人为错误
人为操作错误的因素有可能造成系统运行参数的改变,误删除一些重要文件。
(三)黑客
黑客通过远程操作计算机可能对电脑进行一些不安全的更改,从而威胁计算机数据的安全。
(四)病毒
病毒是大家目前熟悉的一种安全威胁,病毒能够对计算机系统造成很大的破坏。这几年各种病毒的产生,是大家对于病毒的危害的理解越来越深刻,病毒的强感染性和强的传播性是其成为了威胁系统安全的主要元凶。
(五)信息窃取
信息的窃取是导致数据安全的又一大原因,因为复制、盗取等手段会对计算机的数据造成威胁。
(六)自然灾害
地震、火灾等无法预料的自然灾害会造成整个系统的覆灭,从而带来无法挽回的损失。
(七)电源故障
电力的不稳,例如突然的断电等故障会使硬盘设施中的数据丢失。
(八)磁干扰
磁性较强的东西会对计算机数据造成毁灭性的的伤害。
三、平台数据安全防护措施
电子数据安全审计是一个操作记录,主要记录的是用户在系统中进行的操作,这种做法的目的是为了在发现违规操作后,能够追查到责任人。
电子数据安全审计过程可分成二步来实现:第一步,整理用户对系统进行的操作,对操作过程进行记录;第二步,根据操作的记录分析是否存在违规行为;第三步,发现问题,采取处理措施。
电子数据安全审计工作同防火墙等手段的意义是一样的。用户在系统内的计算机上进行的所有行为包括上下机的时间,与系统内的敏感的信息。数据的接触都能够在日志文件中查找到,这一措施是为了对操作行为进行分析同时一旦发现了不安全因素便于查找并确定事故责任,这也为增强系统安全提供了预防作用。
(一)审计技术
电子数据安全审计技术可分二种:系统技术的了解,验证处理技术和处理结果的验证。
1了解系统技术。审计人员可以借助阅读相关的技术介绍和查阅程序表和控制流程来了解系统技术。
2.验证处理技术。系统指令能够正确的执行主要取决于这一技术。该技术由实际测试和性能测试两部分组成,实现方法主要有:
(1)事务选择。根据制定的审计标准的不同,审计人员可以选择不同的事务样板来进行认真的了解。样板的选择可以是随机的,也可以通过操作系统的事务管理部件自动引用。
(2)测试数据。测试数据是程序测试的扩展,系统自动生成了准备处理的事务。审计人员可以通过一些方法来预测结果的正确性,并将得出的结果与实际的结果相对比。使用这种方法的时候,审计人员必须通过系统来检验处理过的检测的数据。除了上述的方法,还可以使用事务标志、跟踪、综合测试等方法。
(3)并行仿真。审计人员主要借助某一应用程序来模拟操作系统的主要功能。将模拟出的数据和给出的实际的数据相比较。仿真的成本较高,可以通过高级语言使仿真模拟与实际的应用相接近。
(4)验证处理结果技术。在这一过程中,审计人员的工作重点不是对于数据的处理而是数据本身,这里有两个方而需要重点考虑:一是数据的选取。将审计数据收集技术结合到应用程序审计模块中,应用程序审计模块的功能是依据给定的标准来收集数据;建立全部的审计跟踪;借用于日志恢复的备份库;借助审计库的记录来抽取设施,它能够随机的选择属性值相似的文件进行记录,并将其放在工作文件中,为以后的分析提供便利;利用数据库管理系统的查询设施抽取用户数据。二是数据内容的寻找目标。一旦选定了数据,审计人员可以对控制信息进行检查;检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在整个应用系统中,审计是与其他系统独立的。审计主要涉及的范围是对操作系统和其他应用系统的审计。
对操作系统进行审计是为了检测和判定操作对系统的渗透程度并且对误操作进行识别。这一过程的基本功能为:选择审计对象;对审计的文件进行分类并且完成自动转换;对文件的系统完整性进行定时检测;对信息储存的格式和输出的媒介进行审计;报警阀值的设置与选择;对每日操作行为进行审计并对数据的安全性进行保护等。
应用程序审计子系统的主要功能是:针对被作为审计对象的应用程序的某些操作进行监控并且进行记录,对记录的记过进行分析,用以判断是否应用程序是否受到攻击并别修改,同时能够判断程序和数据的完整性;采用身份验证和口令验证等方法来保证应用程序的正常运行。
(三)审计跟踪
审计跟踪与日志恢复从本质上来讲是有区别的,但是经常可以结合在一起使用。它们的主要区别是审计跟踪能够进行记录,而日志恢复通常不对操作进行记录;但根据实际的需要,审计跟踪可以从日记恢复中得到所需要的审计信息。如果将告警功能与审计功能结合起来,那么就可以在违规的或者不合法的操作进行的当时向程序人员发出警告,以使他们能够以最快的速度做出反应,及时的采取解决的对策,使损失降到最低。审计记录所包含的内容主要有:操作进行的地点和时间;进行操作的用户;事件的类型;事件结果。
根据访问控制的类型,数据库对于审计跟踪的请求不加以限定。独立的审计跟踪保密性更强,审计人员可以对时间进行限定,但是成本比较高。
(四)审计的流程
关键词:高安全操作系统;分区内核;SKPP;安全功能性需求
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-02
随着嵌入式操作系统的使用越来越广泛,它的安全性也越来越受关注。分区内核作为嵌入式系统的一个重要组成部分,对其安全性的要求也越来越高。SKPP(Protection Profile for Separation Kernels,分区内核保护框架)作为一种专门针对分区内核提出的安全需求标准,可满足分区内核对高安全性的需要。使用SKPP的分区内核给任务关键的嵌入式系统的系统服务和应用的创建提供了高健壮性保障以及给安全相关策略的执行提供高可靠性支持。目前,使用SKPP标准设计出来的分区内核产品只有美国绿山公司的INTEGRITY-178B多级安全实时操作系统和风河公司的VXWorks MILS2,而国内对SKPP的使用还在探索阶段。本文通过对SKPP的内容进行深入理解,提出了与SKPP安全功能性需求相对应的访问控制机制的实施策略。
1 SKPP概述
2007年,美国NSA的信息可靠性理事会了一种用于描述高健壮性操作系统的安全需求规范——SKPP,它适用于经常处于安全威胁中的分区内核。SKPP要求产品的开发过程和形式化分析都十分严格,所以,开发者和用户通过SKPP评估而得到的可靠性在计算机信息安全领域达到了前所未有的高度,在历史上第一次使软件系统能够可信的保护财政记录,客户私人信息,国家秘密等重要信息[1]。因此,用它作为高安全机载操作系统的分区内核设计标准能极大提高系统的安全性和可靠性。
传统安全内核是在一个安全操作系统中执行所有可信功能,而分区内核与此不同,系统中的所有对象和资源都应由安全策略控制,分区内部或者分区间的信息流也需由安全策略控制。在SKPP中,系统给软件提供了高可靠性分区以及信息流控制策略,给多种结构系统提供了可配置的可信环境。例如,在一组安全系统结构中,软件在分区内核安全策略的约束之下执行应用层安全策略。这里所说的软件包括与多级安全相关的监视器,Guard,设备驱动,文件管理系统,传送信息服务以及传统操作系统,中间件,虚拟机等[1]。
SKPP为分区内核的架构和评估提供了安全功能性需求和安全保证性需求。安全功能性需求指的是由操作系统执行的安全策略。例如,一个使用SKPP标准的操作系统必须保证恶意程序不会对系统造成包括拒绝服务、窃取信息等在内的威胁。安全保证性需求反映了创建满足高健壮性的安全可信环境所需的功能[2]。图1说明了组成安全系统的各个部分。其中,配置功能,系统加载功能,初始化功能以及可信传输功能都应按照可靠性需求的要求来设计,它们建立了安全功能的初始安全状态。在初始化结束之后,由安全功能来执行安全策略[3]。安全功能性需求是本文讨论的重点。从在系统中的位置来看安全功能性需求主要包括配置数据的要求,软件运行时的要求以及硬件要求;从在安全分区内核中功能划分的角度来看,它分为安全审计、用户数据保护、识别和鉴定、安全管理、安全功能保护以及资源利用六个部分。
图1.安全系统组成
2 安全功能性需求主要内容
SKPP中的功能性需求是针对分区内核中安全功能的需求,它规定了由分区内核执行的安全策略。安全功能性需求从审计、数据保护、身份的识别和鉴定、安全功能的管理、安全功能的保护以及资源的利用[1]等六个方面全面的规定了建立安全分区内核中所需的安全功能应遵循的要求。
SKPP的安全审计部分规定了进行安全审计的时机,安全审计事件的选择原则以及安全审计的审查方法。安全审计需求记录、存储和分析与安全相关活动的信息,通过检查审计记录结果可判断发生了哪些安全相关活动以及哪些用户需要对这些活动负责。
用户数据保护部分给与用户数据有关的系统安全功能和系统安全功能策略规定了要求。它定义了信息流控制策略,主要规定了策略控制下的主体,策略控制下的信息,引起受控信息流入、流出的主体操作,策略的控制范围以及某些特定功能的规则。用户数据保护部分还提出对残余信息进行保护的要求。
识别和鉴定部分叙述了建立和核实请求用户身份的功能需求,确保了用户与恰当的安全属性相联系。授权用户身份的正确识别,用户和主体之间安全属性的正确链接对既定安全策略的实施至关重要。识别和鉴定部分解决用户身份的确定和核实,明确用户在安全分区内核中的权限,赋予授权用户与权限相匹配的安全属性。用户的正确识别和鉴定是其它部分(如:用户数据保护,安全审计)实施的基础。
安全分区内核必须给各种类型的安全管理功能提供固定的支持,而且,安全管理部分规定必须由被授权的管理者实施初始化参数定义,可信初始化,分区信息流策略的定义和执行,错误检测以及反馈,可信修复,分区内核系统重配置。在安全分区内核中,分区信息流安全功能策略是根据配置向量决定的,所以只有授权主体才能够改变配置数据。
在安全功能保护部分,SKPP主要描述了使分区内核处于安全状态的方法。具体说来,安全功能保护规定了运行系统安全状态测试的时机,配置数据改变的规则,重新建立安全态需要遵守的规则,系统保存安全状态的时机,以及当系统处于非安全状态时应做的操作。系统的安全状态和分区信息流策略都是由配置数据生成的配置向量决定的,所以当配置数据改变时,系统应重新建立安全态并按照配置数据的说明执行分区信息流策略[4]。如图2所示,分区内核系统通过配置工具把从用户处获得的配置数据转换成配置向量,再经过一些中间步骤的转化变成安全功能的内部配置向量,通过这些配置向量安全功能确定分区信息流控制策略,建立分区内核的安全状态。
图2.配置数据转化过程
资源利用部分规定了分区能够使用的系统内存和处理时间的限额,以及其他可预测的受限执行行为的处理时间和存储资源的使用情况。
应用于分区内核安全的SKPP涉及分区信息保护,避免未经授权的信息的泄漏、修改和无法使用的情况发生,保护内核及信息的机密性、完整性、可用性、可审查性和抗抵赖性。SKPP安全功能性需求为实现安全功能规定了详细的要求,通过这些要求可以从现有的方法中得出一套安全机制。只有实现这些安全机制,才能保证安全功能的有效性,从而保护目标系统的安全性。其中,访问控制机制是分区内核实施安全功能最主要的手段,因此,访问控制机制的实现与分区内核中安全功能的联系是最紧密的,下面我们来讨论访问控制机制与SKPP安全功能性需求的关系。
3 安全功能性需求与访问控制机制实施策略
在分区内核上,访问控制技术的应用是为了保证分区外的用户或分区内的用户对分区资源的访问以及对敏感信息的访问方式而组织的安全策略[5]。访问控制机制将防止非授权用户使用分区内资源或以不正当的方式使用授权资源。如图3所示,当主体需要访问分区资源时,先向系统发出访问资源的请求,由系统验证主体的权限,验证通过后才允许主体访问相应的分区资源。
图3.访问控制原理
分区内核访问控制机制的建立涉及SKPP中用户数据保护部分的内容。其中,通过信息流控制策略部分的要求确定了信息流控制策略的控制范围,比如可控制所有分区或者所有客体;通过信息流控制功能部分的要求确定了信息流控制策略的特定功能规则,比如明确了授权的通信模式等。为了保证被访问客体的可用性,还涉及资源利用部分的内容,描述系统内存和处理时间的限额。
应用SKPP的安全内核,为了判断一个主体是否具有对某客体的访问权限,访问控制机制须鉴别主体的身份,这涉及SKPP中识别和鉴定部分的内容。它规定了分区、主体以及与安全功能相关的资源的属性,明确了各自的信息流权限,通过身份的识别和鉴定得出该身份所对应的访问权限。在确认主体的身份之后,访问控制机制可以通过该主体已被鉴别的身份使用该主体的信息(比如该主体的从属关系信息)或者使用该主体的所拥有的权限。这涉及SKPP中安全管理部分安全属性管理的要求,它定义了授权主体可以使用的权限,如图4所示。
图4.主体权限使用流程
综上所述,访问控制机制能够涵盖SKPP安全功能性需求的用户数据保护部分、识别与鉴定部分、安全管理部分以及资源利用部分,但是不涉及安全审计和安全功能保护部分的需求。目前在机载领域,可以应用健康监控和系统重构技术来覆盖安全审计和安全功能保护部分的需求,但是在实施细节上还需进一步探讨。
4 结论
在SKPP中,系统给软件提供了高可靠性分区以及信息流控制策略,给多种结构的系统提供了可配置的可信基础。本文在作者深入理解SKPP内涵的基础上的介绍了SKPP所包含的各个需求领域,并提出了能够涵盖SKPP大部分安全功能性需求的安全分区内核访问控制机制的实施策略。对满足SKPP的高安全机载操作系统的研究和设计具有一定的指导意义。
参考文献:
[1]Information Assurance Directorate, National Security Agency, Fort George G. Meade. U.S. Government Protection Profile for Separation Kernels in Environments Requiring High Robustness, June 2007.
[2]Thuy D,Timothy E.Levin,Cynthia E.Irvine.TCX Project:High Assurance for Secure Embedded Systems. Proceedings of the IEEE International Conference on Security and Cryptography,2008.
[3]Kevin Elaphinstone,Gerwin Klein,Philip Derrin,et al.Kernel Development for High .2008.7.
[4]Timothy E. Levin, Cynthia E. Irvine, and Thuy D. Nguyen. Least privilege in separation kernels. In Proceedings of the IEEE International Conference on Security and Cryptography, Setubal, PT, August 2006.
[5]宋成勇.CC功能要求映射于系统安全措施的方法研究.成都:四川大学,2005.
[作者简介]