内网信息安全的实质是要对内网信息流和数据流进行全生命周期的有效管理,构建安全的信息应用、存储和交互环境,实现对内网信息数据的全面安全保护。本文结合我国信息化发展进程中内网信息安全的需求,针对当前内部网络中日益严重的涉密信息外泄和流失问题,基于可信计算理论,通过增强终端平台的安全性,对内网信息进程监控、加密存储和传输保护,实现可信计算支持的内网接入、内网信息安全保护和信息安全管理,使内部网络的信息资源、计算机、服务提供者和用户有机连接在一起,构建计算机、文件、用户三位一体的可信内网信息安全体系,防止内网中的重要信息从各种途径被非法泄漏和破坏,实现对内网数据资源的有效控制和保护。具体内容包括:1.内网信息安全的可信计算体系针对内网信息传输和存储的安全性要求,结合可信计算的特点,将可信平台模块和可信软件协议栈集成,构建了面向内网信息安全保护的可信计算体系结构。通过建立从信任根-硬件平台-操作系统-应用程序的信任链,实现级与级之间的认证和信任,并扩展到整个内网计算环境中,从而确保整个内网信息传输和存储的可信性。2.可信内网信息安全模型将可信计算理论与传统获取-授权安全模型相结合,在获取-授权安全模型中引入可信主体,限制获取和授权操作只能被可信主体使用,并为模型增加可信验证规则,从而简化了模型控制,防止了不诚实主体间合谋窃取非授权信息。通过定义各实体的数据共享安全策略和通信机制,形成一个比较完整的安全策略体系,增强了内网信息安全机制自身的安全性和可信性。3.内网信息的安全保护机制通过对内网信息安全需求的讨论,根据内网信息安全模型,围绕实现内网信息的安全传输、安全存储和安全控制,研究了可信内网环境下信息安全的保护机制,包括信任链建立、进程可信保护、用户终端接入认证、动态加解密、数据信息的安全存储等技术。4.内网信息安全系统的设计与实现基于可信计算体系和内网信息安全模型,综合利用信任链建立技术、进程可信保护技术、存储安全技术和网络接入认证技术,实现了终端系统的安全增强。通过构造逻辑上的内部可信安全域,集成身份认证、网络监控、分级管理等措施,从保护文件的底层着手,对内网中的敏感文件实施动态加密,设计并实现了内网信息安全系统,实现对内网资源进行有效的控制。