1、目录目录 .1前言 .3第一章 信息系统概述 .511 信息系统建设的目标 512 信息系统建设的原则 613 信息系统的构成 71 3 1 主机、网络平台 .81 3 2 系统平台 .91 3 3 信息平台 .91 3 4 应用平台 .101 3 5 用户桌面平台 .101 3 6 安全平台 .10第二章 信息系统安全概述 .1121 安全性概念 1122 安全等级标准介绍 1223 国际常用的安全机制介绍 142 3 1 专用安全机制 .152 3 2 扩展型安全机制 .16第三章 设计目标及原则 .1731 安全体系的设计目标 1732 安全体系的设计原则 1833 安全体系应具备的功能
2、 1834 安全体系设计的范畴 20第四章 安全风险概述 .2141 安全风险的来源 2142 安全风险分析与评估 2143 信息系统安全的脆弱性 224 3 1 物理安全危机 .224 3 2 逻辑安全危机 .234 3 3 网络安全威胁 .234 3 4 信息系统的安全漏洞 .244 3 5 操作系统的脆弱性 .244 3 6 数据库管理系统安全的脆弱性 .254 3 7 缺少安全管理 .2644 信息系统安全损失统计 26信息系统安全方案 14 4 1 因系统停机带来的损失统计 .264 4 2 因数据丢失而带来的损失统计 .264 4 3 因恶意攻击造成的损失 .274 4 4 因计算
3、机病毒造成的损失 .2745 信息系统中各级网络的安全风险与对策 274 5 1 基层网络或终端 .274 5 2 基层公司信息系统 .284 5 3 分中心信息系统 .294 5 4 总中心信息系统 .30第五章 安全体系规划及技术 .3251 安全体系的总体框架 325 1 1 系统安全 .325 1 2 数据安全 .335 1 3 网络安全 .345 1 4 安全管理 .3652 部分产品及技术手段介绍 375 2 1 数据存储管理 .375 2 2 双机热备份和集群系统 .385 2 3 网络主干的冗余 .395 2 4 数据访问控制 .405 2 5 金通计算机通用安全卡( IC 卡
4、认证) 405 2 6 多层病毒防御系统 .424 8 7 CA 认证系统 .425 2 8 防火墙和 VPN 技术与产品 .434 8 9 漏洞扫描与实时监控技术 .445 2 10 主页防篡改系统 .455 2 11 .45信息系统安全方案 2第一章 信息系统概述随着市场经济的不断发展,企业竞争日趋激烈,国际化的合作不断增多,现代大型企业要在未来的国际竞争中占据主动地位,信息是重要的战略资源,其开发与利用已成为企业竞争能力的关键标志和企业发展的重要推动力。在这场经济大潮中企业急待解决的问题是:如何充分有效地利用企业内部、外部的各种信息进行企业整体作业的管理和企业发展战略的决策,极大地提高工
5、作效率,提高管理水平和决策能力,使企业的日常运营纳入高效可靠的轨道。1 1 信息系统建设的目标信息系统的建设是促进现代企业业务发展、提高效率、提高管理能力、提高决策正确性和综合竞争能力的工具和手段,并随企业发展而完善。企业应用是信息系统的核心。信息系统建设的目标是:对信息的综合利用、开发和管理。信息系统的建设将涵盖对信息的采集、加工、处理、分析、利用、决断的全过程。 采 集( 数 据 ) 处 理( 信 息 ) 利 用( 知 识 ) 决 策( 智 慧 )采集:对大量原始数据的采集和存储将是信息系统建设和应用的基础,数据是信息系统的基本元素,没有数据的系统将是一个只有投入没有产出的空架子,信息系统
6、建设的首要任务是对来自企业内部和外部各种相关数据的收集和存储。但这只是信息系统建设的原始阶段,我们得到的也只是各种各样杂乱的数据。采集主要是通过网络、通信设备、人工或智能仪器等来完成。处理:对各种数据的加工、处理将使杂乱的数据成为有序的信息,实现一些基本的信息系统功能。信息是系统发挥效益的基本因素,企业信息系统建设的需求大多是从信息处理出发,而逐步完善。信息处理主要依靠主机、网络、服务器、应用平台及应用来实现。利用:对大量的信息进行分析,发掘其潜在的规律性,以得到企业的商业模型、市场的发展趋势等信息,为企业的业务运作和企业发展积累经验和知识,并在不断的利用过程中校验其正确性,最终形成企业切合自
7、身的智慧。知识积累和信息利用主要是依靠服务器和应用系统来完成。决断:通过对大量的企业积累的知识利用,使之成为正确决断的参考资料,成信息系统安全方案 3为决策者智慧的一部分,使信息系统的建设发挥出更大的效益,为企业提高决策正确性提供科学的有力的依据。智能作业和决策支持主要是通过应用系统来实现。1 2 信息系统建设的原则信息系统的建设应采取统一规划、分步实施的原则,以保证网络建设和应用的合理性和顺利完成。根据企业的应用需求及未来的发展进行总体规划,根据企业现行需求情况、投资规模及使用者的接受程度、培训、教育计划、应用水平等因素综合考虑,进行分步实施和推广普及,以达到最有利的分阶段投入产出效益。我们
8、可以按照如下的原则,逐步进行信息系统的规划和实施:1、对整体应用需求做综合的分析,以确定网络平台及应用系统的建设规划。2、基于整体的规划和现行的投资规模,分期建设主机平台、网络平台、通讯平台,留出充分的接口,以便下期工程的顺利实施,逐步完成硬件平台的建设。3、在现期硬件平台上,根据现期应用需求,进行应用平台的建设和应用系统的设计,保证现有建设的适用性,为后期应用留有接入点,以便适应将来企业不断发展的应用需求、机构调整和业务扩展等的需要。信息系统在规划和设计时应充分考虑以下原则: 系统性以系统学的眼光作出整体规划,做到统一设计,分步实施。在系统设计过程中还必须考虑到系统实施的分步性,可以适应各级
9、单位实施过程中的阶段性,并提供逐步实施的具体方法。 全面性系统设计应充分考虑所管理信息的全面性,使系统成为全面信息服务的基础。信息的全面性不仅包括内部信息,同时还必须考虑到大量的外部信息。 实用性系统必须符合应用特点,并做到易学易用,符合政府使用习惯。对具有共性的环节统一规划,对各地政府的特殊需求具体分析。 先进性采用先进的设计思想和技术,采用先进成熟的软硬件技术进行设计,保证系统具有较强的生命力,符合当前和未来的发展趋势。 适应性系统应能适应目前和未来可能发生的各种复杂情况,具有灵活的应变能力信息系统安全方案 4和适用性,并且要充分考虑到今后一段时间内部门机构的变化和不同地域的具体需求。系统
10、的规划和设计必须考虑到推广过程中的各种具体情况,使系统从深度和广度上都具有灵活的适应能力。 开放性系统在总体设计和规划时,将充分考虑环境对系统的影响及与外界的联系,使系统有较强的适应能力和扩充能力,同时具有灵活的与外界交流的能力和手段。 安全性系统既要和 Internet 连接,又要与内部办公系统连接,在总体规划时,就应充分考虑网络的安全性问题,进行定期的安全风险评估,制定相应的安全策略和人员安全制度,实时监控网络上的非法和恶意行为。 服务性系统应充分体现信息管理和服务的特点,为政府机关提供方便、快捷的信息检索查询手段。信息种类丰富,来源复杂,系统应将这些信息合理划分、管理,提高用户信息查询效
11、率,使系统成为信息管理核心。 可维护性系统设计应考虑到政府对系统进行日常维护的工作难度,尽量自动完成一些维护管理工作,并实现全系统数据及应用统一管理的目的。1 3 信息系统的构成信息系统建设的前提在于应用信息技术、信息资源、系统科学、管理科学、行为科学等先进的科学技术不断使企业的业务与管理借助于各种设施(主要是指计算机)以达到对企业内部发展的统一管理。信息资源的开发与利用是信息系统建设的根本,以行为科学为指导,以系统科学、管理科学、社会学等为理论基础,以计算机、通讯等信息技术为工具,提供对企业整体作业的操作、管理、宏观调控和辅助分析决策。信息系统的构成包括信息、物理实体、应用等各种因素,从总体
12、框架上看,可以分为以下几个层次:信息系统安全方案 5主 机 、 网 络 平 台 IBM、 HP、 SUN, LAN、 WAN主 机 、 网 络 平 台 、 、 、系 统 平 台 NT、 UNIX、 NOVEL、 SNA系 统 平 台 、 、 、信 息 平 台信 息 平 台文 档 信 息 决 策 信 息结 构 化 信 息Internet MIS OA ERP 政 府 上 网 金 融 电 子 化 电 子 商 务 多 媒 体 应 用政 府 上 网 金 融 电 子 化 电 子 商 务 多 媒 体 应 用应 用 平 台应 用 平 台用 户 桌 面 PC、 TV、 电 器用 户 桌 面 、 、 电 器信息
13、系统安全平台 信 息 系 统 的 构 成131 主机、网络平台主机、网络平台是信息系统建立通信、作业的物理基础。主机是信息系统中建立应用的关键因素,承担着几乎所有信息处理、信息利用的任务,主机的选择关系到整个信息系统的处理能力。网络是信息系统信息交互的通道,网络的设计同样关系到整个信息系统的运行效率。1、目前信息系统中常用的主机主要分为小型机、UNIX 工作站、PC 服务器,大型机也时常用到,主要来自于 IBM、HP、SUN、COMPAQ、DELL 等国际著名厂商。信息系统中主机的设计应遵循以下的原则: 先进性先进性将保证系统具有较强的生命力,有较长期的使用价值,符合当前或未来的趋势。 可扩展
14、性目前的选择必须为今后的扩充留有足够的余地,以保护用户的投资 可靠性所选系统应具备较高的可靠性,将故障率降为最低,避免因意外使用户遭到重大损失。 易用性易于操作,易于管理,使用户可以将更多的精力放到业务上。 互联性所选硬件应是标准化的,支持多协议,可以方便地实现互联。信息系统安全方案 62、网络系统可分为局域网、广域网和城域网,随着 INTERNET 技术的发展,更多的企业在建立自己的 INTRANET、INTERNET 和 EXTRANET 网络,一个大型、多级网络的概要图如下:PSTNCHINAPCIET 总 中 心 MM MMMM MMMMMMM MMMMM. . CHINAET /PS
15、TN. . .分 中 心 4 分 中 心 5分 中 心 3分 中 心 2分 中 心 1信 息 系 统 网 络 示 意 图广域网的建设通过国家通信基础设施如 DDN 网、X.25 网、FR 网、ISDN、 PSTN 等将总中心、各分中心、各下级局域网和终端机进行连接,以实现整个信息系统的通信连接。局域网可以根据自身的需要和投资收益的判断选择以太网、快速以太网、ATM 网等。132 系统平台主机、网络平台保证物理的连通,系统平台则是信息系统建立应用的基础,所有对信息的存储、处理、和应用都将建立在系统平台之上,系统平台主要包括 UNIX 操作系统、NOVELL 网络操作系统、Windows NT 系
16、统,系统平台的选择应综合考虑主机、网络、关键应用、技术素质、培训与系统维护等因素,以确保合理、高效的应用。133 信息平台信息平台是各种信息的集散地,是信息综合利用的基础。主要包括文档信息平台、结构信息平台、决策信息平台,通过文档型数据库、结构化数据库、多媒体数据库和多维数据库等技术和产品来实现,以实现企业各类内部及外部的信息的综合处理,为企业信息系统的应用提供科学、有利的数据。信息系统安全方案 7134 应用平台应用是建立信息系统的目的,根据自身的需求进行合理的投资,建立科学的应用,将使企业得到最大的投资回报。信息系统的应用主要有: 财务管理系统 管理信息系统() 集成制造系统() 办公自动
17、化系统() 企业信息服务系统() 企业资源计划系统() 业务流程重组() 决策支持系统() 客户关系管理 市场营销管理 电子商务 网络营销 多媒体呼叫中心 INTERNET应用 135 用户桌面平台信息系统的应用,无论是查询、检索、计算、处理还是分析,最终都要呈现到用户桌面上,目前常用的用户桌面主要有终端机、客户 PC 机、电视、家用电器等。用户桌面是整个信息系统的末端环节,同时也是用户利用信息系统进行工作的工具。136 安全平台安全平台贯穿整个信息系统的所有层次,是信息系统正常运转的保障。安全管理则覆盖信息系统、企业应用的全面,只有将安全技术、产品和人员的安全管理有机地结合在一起,才能为信息
18、系统建设一个比较完善的安全体系。信息系统安全方案 8第二章 信息系统安全概述今天,几乎世界上每一个国家都高度依赖于相同的、内部连接的通讯、能源、运输和公用网络。不管用国际互联网、调制解调器或是租用的专线,几乎每一个这种网络都能互相跟踪。研究表明,75%以上的这些网络有相当多的弱点。安全问题是组建网络面临的敏感和重要问题。网络提供了信息流通的便利渠道,提供了客户服务及信息交流的平台。但同时也给信息的保密和真实性,系统的正常运行带来严重的挑战。因此,如何协调系统安全和系统的灵活、高效和开放性,保证网络的可靠运行,动态地监控和调节网络性能,是在设计系统安全体系和选择网络安全管理产品时必须要考虑的问题
19、。2 1 安全性概念信息系统安全涉及到立法、政府行为、保险与技术许多方面的问题。1、 在信息立法方面,国家要在信息系统安全方面进行立法。在尚未信息立法之前,可以考虑先制定一些管理条例。2、 在政府行为方面,国家要对信息系统安全产品制定安全标准,并且进行技术监督工作。企业应考虑成立国家信息系统运营网管中心,实施较严格网络管理。3、 在保险业务方面,一些重要的企业经济信息系统的安全可以购买保险方式进行保护。4、 在安全技术方面计算机信息系统的安全包括如下两个层次的含义: 信息系统的数据与信息的安全与保密 计算机信息系统的自身的安全从总的方面来看,信息系统安全要抓住认证、加密、授权、保护、监控与攻击
20、等方面工作,一般包括如下几个方面的具体内容: 要保护系统与系统内的各种资源免遭自然与人为的破坏,具有抗灾害与抗破坏的能力。 要防止信息辐射与泄漏。 要防止信息系统免遭“信息武器”的攻击。 加密与解密算法及其芯片。 为计算机等信息设备加设的密钥体制与密钥芯片。 反“黑客”攻击的模拟仿真技术 反计算机病毒技术 防火墙技术 身份认证技术 安全监视跟踪技术信息系统安全方案 9 要准备系统安全应急恢复计划与措施。 要加强信息系统的安全管理2 2 安全等级标准介绍根据美国国防部的计算机安全标准,可信任计算机标准评估准则(Trusten Computer Standards Evaluation Crite
21、ria)桔皮书(Orange Book) ,一些级别被用于保护硬件、软件和存储的信息免受攻击。这些级别均描述了不同类型的物理安全、用户身份验证(authentication) 、操作系统软件的可信任性和用户应用程序。这些标准也限制了什么类型的系统可以连接到系统。安全性等级 主要特征1 D 最低保护等级 D 非安全保护2 C 自主保护等级 C1 自主安全保护 自主存取控制,审计功能C2 可控存取保护 比 C1 级更强的自主存取控制,审计功能3 B 强制保护等级 B1 标记安全保护 强制存取控制,敏感度标记B2 可结构化保护 形式化模型,隐蔽通道约束B3 安全区域保护 安全内核,高抗渗透能力4 A
22、 验证保护等级 A1 可验证保护 形式化安全验证,隐蔽通道分析这个评估准则,有许多人认为,对于开放系统的安全,已经相当不够了。该可信计算机评估准则,可以通过如下概念进行描述:(1) 安全性 安全策略 Security Policy 为了实现软件系统的安全而制定的有关管理、保护和发布敏感信息的规定与实施细则。 安全策略模型 Security Police Model 实施安全策略的模型。 安全服务 Security Services 根据安全策略与安全模型提供的安全方面的服务。 安全机制 Security Mechanism 实现安全服务的方法。(2) 认证(3) 加密(4) 授权与保护 可信计
23、算机 Trusted Computing Base(TCB)TCB 是软件、硬件与固件的一个集合,它在存取控制策略的基础上,处理主体 S 集合对客体 0 集合的存取,并满足如下的性质:1) TCB 处理 S 中的主体对 0 中的客体的每一个存取。2) TCB 是抗篡改的3) TCB 足够小,便于分析与测试在实践中,TCB 可以是一个安全核,前端安全过滤器或整个系统。更严信息系统安全方案 10格的定义,是定义 TCB 子集 M 概念,M 具有上述特性。 主体 Subject 在操作系统中主要指作业。进程等。 客体 Object 信息实体,例如文件、记录、字段等。 最小特权原理 Least Pri
24、vilege Theorem 系统中主体执行授权任务时,应该授予它完成任务所必须的最小特权。 自主存取控制 Discretionary Access Control 基于主体及其所属的身份来限制客体存取的一种方法,具有某类权限的主体能够直接或间接地将其存取权限转移给其它主体。在这种意义上,控制是自主的。 强制存取控制 Mandatory Access Control 基于客体中信息的敏感度而对存取客体实行限制的一种存取控制方法,根据信息的敏感度决定主体客体中队信息存取权限。1、D1 级D1 级是可用的最低的安全形式。该标准说明整个系统都是不可信任的。对于硬件来说,没有任何保护可用;操作系统容易
25、受到损害;对于用户和他们对存储在计算机上信息的访问权限没有身份验证。该安全级别别典型地指像 MsDos、Mswindows 和 Apple 的 Macintosh System 7.x 等操作系统。这些操作系统不区分用户,并且没有定义方法来决定谁在敲击键盘。这些操作系统对于计算机硬盘上的什么信息是可以访问的也没有任何控制。2、C1 级C 级有两个安全子级别:Cl 和 C2。 Cl 级、 或称自选安全保护(Discretionary security Protection)系统,描述了一个典型的 Unix 系统上可用的安全级别。对硬件来说存在某种程度的保护,因为它不再那么容易受到损害,尽管这种可
26、能性仍然存在。用户必须通过用户注册名和口令让系统识别他们自己。这种组合用来确定每个用户对程序和信息拥有什么样的访问权限。这些访问权限是文件和目录许可权限(permission)。这些自选访问控制(Discretionary Access Control)使文件或目录的拥有者或者系统管理员,能够阻止某个人或几组人访问那些程序或信息。但是,这并没有阻止系统管理帐户执行活动。结果,不审慎的系统管理员可能容易损害系统安全。另外,许多日常系统管理任务只能由以 root 注册的用户来只执行。随着现在计算机系统的分散化,随便走进一个组织,你都会发现两三个以上的人知道根口令,这已经是司空见惯的事,由于过去无法
27、区分是 Doug 还是 Mary 对系统所做的改变,所以这本身就是一个问题。3、C2 级第二个子级别 C2 可用来帮助解决这些问题。除 C1 包含的特征外,C2 级还包含其它的创建受控访问环境(control-access environment)的安全特征。该环境具有进一步限制用户执行某些命令或访问某些文件的能力,这不仅基于许可权限,而且基于身份验证级别。另外,这种安全级别要求对系统加以审核(audit),这包括为系统中发生的每个事件编写一个审核记录。信息系统安全方案 11审核用来跟踪记录所有与安全有关的事件,比如那些由系统管理员执行的活动。审核还要求身份验证,因为没有它,如何能够确定实际执
28、行命令的人就是某人呢?审核的缺点在于它需要额外的处理器和磁盘子系统资源。使用附加身份验证,对于一个 C2 系统的用户来说,没有根口令而有权执行系统管理任务是可能的。这使得追踪与系统管理有关的任务有了改观,因为是单独的用户执行了工作而不是系统管理员。这些附加身份验证不能与可应用于程序的 SGID 和 SUID 许可权限相混淆,而且它们是允许用户执行特定命令或访问某些核心表的特定身份验证,例如,那些无权浏览进程表的用户,当执行 ps 命令时,只能看到它们自己的进程。4、B1 级B 级安全包含三个级别。B1 级或标志安全保护(Labeled Security Protection),是支持多级安全(
29、比如秘密和绝密)的第一个级别,这一级说明一个处于强制性访问控制之下的对象,不允许文件的拥有者改变其许可权限。5、B2 级B2 级,叫做结构保护(Structured Protection),要求计算机系统中所有对象都加标签,而且给设备(如磁盘、磁带或终端)分配单个或多个安全级别。这是提出较高安全级别的对象与另一个较低安全级别的对象相通讯的第一个级别。6、B3 级B3 级或安全域级别(Security Domain),使用安装硬件的办法来加强域,例如,内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。该级别也要求用户的终端通过一条可信任途径接到系统上。7、A 级A 级或验证设计(V
30、erify Design)是当前桔皮书中的最高安全级别,它包含了一个严格的设计、控制和验证过程,与前面提到的各级别一样,这一级包含了较低级别的所有特性。设计必须是从数学上经过验证的,而且必须进行对秘密通道和可信任分布的分析。可信任分布(Trusted Distribution)的含义是,硬件和软件在传输过程中已经受到保护,以防止破坏安全系统。2 3 国际常用的安全机制介绍在 ISO74982 标准中,网络的安全体系被看作为一种层次型的模型结构,模型的最底层是一些由网络的硬件(如路由器、智能 HUB 等)和软件提供的安全机制,由这些安全机制组合成某种安全服务,而处于最高层的安全应用程序则是通过调
31、用这些安全服务功能来保证其使用的安全性的。安全机制的设计主要是针对系统和网络所受到的不同类型的侵犯,因而可以从功能上将其划分成两类,一类专门用于安全服务的专用安全机制,另一类则仅是为了增强系统的安全级别,在本文中称为扩展型安全机制。信息系统安全方案 12231 专用安全机制专用的安全机制分为 8 类,分列于下:(1)加密机制加密机制可以为数据或所传输的流量信息提供保密的手段。一般说来,加密机制由各种加密算法提供支持。(2)数字签名机制数字签名是指在信息传递中模仿实际生活中签字化押的形式证实发送方的身份的过程。签名的方式多种多样,常见的方式是发送方先从所传递的消息中随机抽取一部分信息(摘要)作为
32、签名内容,并用自己的私人密钥(不对外公开的密钥)对其加密,并与整个消息一齐传送到接收方;接收方收到数据后,分离出签名部分,再用发送方的公开密钥解开其中的签名内容,以此来验证这条消息是否是由发送者发送的。数字签名机制成功与否的关键在于签名部分必需是从发送者的个人信息中产生出来,这样才不会出现纠纷。(3)访问控制机制访问控制机制通过判别访问者的标识信息或权限决定其是否能访问某项资源,这一机制可以应用在会话的任何一端或会话的中间转发点,用于确定会话发起者是否得到了被访问者的授权。(4)数据完整性机制数据的完整性既包括一条单独消息的完整性,也包括一段消息序列的完整性(信息流完整性),即保障消息传输的顺
33、序。(5)鉴别信息交换机制身份鉴别信息交换机制通过交换鉴别信息使两个通信实体相互信任,这种机制包括,发送方向接收方提供身份证明信息(口令字等),加密技术,以及其它生物标识技术(例如使用指纹作为验证手段)。这种机制在实际应用中往往要结合“握手”方式以及一次性口令机制一起使用,因为攻击者可以通过复制后重发的手段使身份验证的防护手段完全失去效用。(6)流量填充机制流量填充机制可以通过在所传递的报文中添加填充符来防止信息被流量分析设备所盗用,填充信息往往需要加密后才能生效。(7)路由控制机制路由控制机制是指通过在关键信息中加入安全标签,防止信息被选择到一条不安全的路由上或者用安全标签区分不同的数据类型
34、,控制路由的走向。在公共网络的基础上建造专用网络时,路由控制机制往往能提供专用网络必备的专用传输通道。信息系统安全方案 13(8)公证机制公证机制类似于实际生活中的公证处所起的作用,在两个相互怀疑的实体之间通信时,需要有一个仲裁机构解决双方的不信任问题。尤其是在处理“拒绝履行义务”等类型的网络攻击手段时,公证机制可以为纠纷双方提供一个可以信赖的“第三方”认证机构。232 扩展型安全机制扩展型安全机制分成 4 类:(1)安全标签安全标签用于区分不同类型报文的敏感程度和应受到的保护程度。安全标签可以是报文结构的一部分,如在加密过程中使用特殊的密钥,报文的来源,指定路由等:还有一些是具有明确的安全意
35、图的标签,它们的作用是为安全检查进程提供检查手段。(2)事件检测安全事件检测机制不仅要对那些明显的具有侵犯意图的安全事件进行记录,它还应该记录诸如成功访问(成功登录)等“正常”的网络事件,以便在网络的日志审查和恢复过程中提供参照数据。(3)安全审计安全审计是指利用日志记录等历史事件审计系统的活动是否符合所制定的安全策略和操作规范;系统的控制是否充分,以及提出对系统控制和安全策略的改进意见。安全审计在灾难恢复中起着相当重要的作用。(4)安全性恢复安全性恢复机制可以在系统受到破坏后使系统恢复到正常的安全状态,恢复手段可以是短期的,也可以是长期的。信息系统安全方案 14第三章 设计目标及原则信息系统
36、安全体系主要考虑的是信息、关键数据、管理、工作流的安全性、可用性、完整性,以及对信息流、敏感信息的不可篡改、不可否认和不可抵赖。基于第二章的概述,对系统安全性概念及发展的理解,确立安全体系总体规划和建设的目标和设计原则,以及在信息系统安全体系中应具备的功能,对安全体系进行统一规划。本章对信息系统安全体系的设计目标和设计原则进行论述。3 1 安全体系的设计目标鉴于信息系统中的信息流、资金流、工作流、敏感信息的重要性,安全体系的设计、规划和建设应逐步达到以下目标: 保密性 是指静态信息防止非授权访问和动态信息防止被截取解密。信息的保密性主要指关键信息、交易信息、资金以及信息系统敏感信息的加密、用户
37、访问权限管理和不因信息泄露而造成损失等。 完整性 是指信息在存储或传输时不被修改、破坏,或信息包的丢失、乱序等。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。目前,对于动态传输的信息,许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的方法,但黑客的攻击可以改变信息包内部的内容。因此,除以上方法还应重点考虑对信息的加密、备份和恢复机制。信息系统中信息的完整性是系统正常运转的基本保障。 可靠性 是指信息的可信度,包括信息的完整性、准确性和发送人的身份证实等方面,可靠性也是信息安全性的基本要素。这一点企业的财务管理、资源管理、电子交易以及与银行的接口中犹为重要。
38、实用性 即信息加密密钥不可丢失(不是泄密),丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。 可用性 一般是指主机存放静态信息的可用性和可操作性。病毒就常常破坏信息的可用性,使系统不能正常运行,数据文件面目全非。企业关键服务器的可用性和连续运转直接影响着信息系统的运行效果。 占有性 是指存储信息的主机、磁盘等信息载体被盗用,导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性,提供物理和逻辑的存取限制方法;维护和检查有关盗窃文件的审记记录、使用标签等。信息系统中涉及商业机密、敏感信息、资金、交易信息时,要求其安全性和占有性很高。信息系统安全方案 153 2 安全体系的设
39、计原则为了实现上述的安全目标,对于信息系统的安全设计,应基于如下原则: 需求、风险、代价平衡分析的原则信息系统中没有绝对的安全,需通过安全风险分析,从系统建设需求、安全风险、安全投入、收益等方面找到平衡点,来规划安全体系。 多重保护的原则(全局防御的原则)任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各重保护相互补充,当一重保护被攻破时,其它重保护仍可保护信息的安全。 多层次(网络OSI参考模型中的逻辑层次)保护的原则安全体系的规划应贯穿OSI参考模型的各个层次,如在链路层和网络层实施包过滤,在表示层实施加密传送,在应用层设置专用程序代码、运行应用层审计软件,在应用
40、层之上启动代理服务等。 网络分段的原则(物理和逻辑)网络分段是保证安全的重要措施。网络分段可分为物理分段和逻辑分段。网络可从物理上分为若干段,即通过交换器连接各段。对于TCP/IP可进行逻辑分段,即把网络分成若干IP子网,各子网通过路由器连接,并在路由器上建立可访问表,来控制各子网间的访问。 设多个安全单元的原则把整个网络的安全性赋予多个安全单元,如路由器、屏蔽子网、网关,形成了多道安全防线。 易操作、灵活性的原则(安全措施由人完成)安全措施与网络的灵活性是一对矛盾,安全体系的规划应以不影响系统的正常运转和易操作、灵活性为前提。 最小授权的原则(分散权力,降低灾难程度)特权(超级)网络要有制约
41、措施,分散过大的集中权力,以降低灾难程度。 综合性原则(设备 技术 策略 管理)计算机网络系统的安全应从物理上、技术上、管理制度(如安全操作乃至计算机病毒的防范等)上以及安全教育上全面采取措施,相互弥补和完善,尽可能地排除安全漏洞。3 3 安全体系应具备的功能ISO 在其安全框架文件中,定义了开放环境下系统安全功能,对系统内部各对象的保护方法,保证系统间通信规则,都作了详细说明。根据信息系统安全的设计目标和原则,参考 ISO 安全框架文件中的说明,我们的安全体系应具备以下功能: 身份识别 是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,最简单的方法是输入 UserI
42、D 和 Password。而系统信息系统安全方案 16应具备查验用户的身份证明的能力。身份判别是安全系统最重要功能之一,UserID 和 Password 是最常用也最方便的身份认证方法,也是最不安全的。原因是用户为了便于记忆而使用了生日、电话号码等 Password,使得Password 很容易猜出。因此 Password 的管理也成了安全系统非常重要的工作。在信息系统中,考虑信息、管理、业务及交易等系统的多层次、跨地域,情况复杂,我们将采用多种身份识别技术,其中 IC 卡应用和一次性口令将是身份识别的主流。 存取权限控制 防止非法用户进入系统及防止合法用户对系统资源的非法使用是存取控制的基
43、本任务。在开放系统中,网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源,二是定义可以访问的用户各自具备的权限,这是存取权限控制的主要任务。信息系统中业务管理、物资调配、用户管理、工作控制、以及财务、交易信息等都是极其敏感的资源,存取权限控制将在资源访问方面对这些敏感资源进行保护。 数字签名 如用 RSA 等公开密钥算法,生成一对公钥和私钥。信息发送需用发送者私人密钥加密信息,即签名,信息的接收者利用信息发送者的公钥对签名信息解密,以验证发送者身份。在实际应用中,一般是对传送的多个数据包中的一个 IP 包进行一次签名验证,以提高网络运行效率。保护数据完整性 Internet 通信协
44、议在数据传输过程中,通常使用数据包排序、控制包、校验码等差错控制机制,防止传输过程中的突发错误,但对网上黑客们的主动攻击(如对信息的恶意增删、修改)则显得无能为力。通过加入一些验证码等冗余信息,用验证函数进行处理,以发现信息是否被非法修改,避免用户或主机被伪信息欺骗。信息系统中数字签名多用于敏感信息、交易数据的确认及管理系统中公文、签报等密文的发送。 跟踪审计和信息过滤 系统应不断地收集和积累有关的安全事件记录加以分析,有选择地对其中的某些节点或用户进行跟踪审计,以便对发现或可能产生的破坏性行为提供有力的证据,并定期向信息系统各级网络相关的安全系统秘密发送有关消息(一般是有害节点地址),其它系
45、统则根据这些消息,更新各自的路由过滤列表,通过信息过滤机制,拒绝接收一切来自过滤列表上 IP 地址的信息,以杜绝网上的某些节点产生的信息垃圾或不良行为对用户进行信息干扰和信息轰炸。 密钥管理 信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会,都会对通信安全造成威胁。因此,对密钥的产生、存储、传递和定期更换进行有效地控制而引入密钥管理机制,对增加网络的安全性和抗攻击性也是非常重要的。在信息系统中对交易卡(如信用卡、电子钱包等)的管理,以及对操作人员身份 ID 或 IC 卡的生产、管理
46、、分发将引入密钥管理机制。 安全通信 通信的安全性主要依靠加密技术,包括在网络 OSI 参考模型的多个逻辑层次上的加密,总的来说可以理解为对信息的加密和对信道的加密,来保证通信中信息的安全性和通信线路的安全性。在信息系统中,各级网络之间的通信,根据信息的重要性都应具备安全通信的功能。 实时防病毒 网络版和单机版的实时防毒强技术和产品,可以在病毒通过网络或病毒在工作站上启动时被查出并杀除。病毒对信息的危害将体现在对各级服务器(基层网络服务器、上级网络服务器、总部网络服务器)以信息系统安全方案 17及整个信息系统的网络和系统的破坏上,网络病毒的传播更加快速、广泛,任何的系统错误、数据混乱、服务失败
47、都会给企业的业务系统和管理系统带来损失,因此在信息系统安全体系中应具备多层次的实时防病毒功能。 安全监测 在信息系统的总部各下级信息系统中对网络、操作系统、数据库、应用系统进行定期的漏洞检测,发现漏洞并在攻击、破坏发生前修补漏洞,同时,实时监控通过网络的数据包,发现非法行为,向系统管理员或安全管理员报警,并可根据预先定义的安全策略对非法行为记录全部会话、保留犯罪现场、切断连接、提交完整的日志和报告。当发现攻击或非法行为时除上述安全策略定义的响应外,还可以修补漏洞,重新设置路由器、防火墙等安全设施的配置,重新制定相应的安全策略,周而复始地对网络进行安全漏洞的检测、监控和响应。 数据存储管理 没有
48、绝对的安全,应在安全性和可用性上找到一个平衡点,因此对系统、数据库、应用等的数据备份尤为重要,当因某种因素系统被破坏、应用错误、数据丢失时,可以通过数据存储管理进行及时恢复,以免造成不良影响。3 4 安全体系设计的范畴安全体系设计包括安全意识和安全技术的设计:安全意识包括各种网络安全的规章制度、安全规范、安全策略、人员安全守则等等,诸如系统管理员安全规范、用户安全规范、系统安全策略、口令规则、磁盘领用及使用制度、废纸篓原则、内部拨号上网条例等,是从人的意识和安全管理制度的角度出发,制定各种安全管理制度和规范、制定并动态修改安全策略、用户的安全教育及培训,并通过有效的手段实施、监督安全制度的执行
49、。安全技术主要指认证的安全和通信的安全,以及数据完整性,如包过滤路由器技术、防火墙技术、IC 卡技术、动态口令技术、生物特性身份认证技术、密码技术、数据源加密、链路加密技术、实时监控技术、电子屏蔽技术、防病毒技术、数据备份与恢复技术等,从技术实现的角度探讨对网络的安全防护。网络安全意识只有和网络安全技术相互结合,并且不断地相互调整、相互完善,才能真正地实施安全策略,对网络进行安全防护。信息系统安全方案 18第四章 安全风险概述在信息系统建设中充满安全危机,一个小小的硬件故障或误操作都有可能造成网络出现停滞或瘫痪,使业务蒙受损失。同时,信息系统建设的重点是对来自内外的业务信息、业务数据、重要信息、安全保密信息的综合有效的利用和管理,随着信息的膨胀、网络技术及产品的发展,安全性问题日趋严重,信息的泄密、丢失、篡改、毁坏、
