信息系统的安全威胁分成七类,从风险源的角度划分,可以将安全威胁划分为:自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险。
信息系统安全四个层次:设备安全、数据安全、内容安全、行为安全。数据安全即是传统的信息安全。
数字签名是指发送方用自己的私钥对数字指纹进行加密后所得的数据,其中包括非对称密钥加密和数字签名两个过程,在可以给数据加密的同时,也可用于接收方验证发送方身份的合法性。采用数字签名时,接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。数字签名实现步骤:
(1)发送方采用摘要算法从报文中生成一个128位的散列值(称为报文摘要);
(2)发送方用RSA算法和私钥对散列值进行加密,产生摘要密文,这就是发送方的数字签名; .
(3)将这个加密后的数字签名作为报文的附件和报文- -起发送给接收方 :
(4)接收方从接收到的原始报文中采用相同的摘要算法计算出128位的散列值;
(5)报文的接收方用RSA算法和发送方的公钥对报文附加的数字签名进行解密;
(6)如果两个散列值相同,那么接收方就能确认报文是由发送方签名的。
最常用的摘要算法叫做MD5(Message Digest 5),它的作者R.L.
信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等。
一个单位的安全策略一定是定制的,都是针对本单位的“安全风险(威胁)”来进行防护的。安全策略的归宿点(立脚点)就是单位的资产得到充分的保护。
安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定流程。
第一级 用户自主保护级。 内网用户 |
通过隔离用户与数据,使用户具备自主安全保护的能力。保护用户和用户信息,避免其他用户对数据的非法读写与破坏,该级适用于普通内联网用户。 |
第二级 -外网 |
实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。 该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。 |
第三级 地方机关 |
具有系统审计保护级的所有功能。此外,还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误。 该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源仕交通运输、大型工商与信息技术企业、重点工程建设等单位。 |
第四级 国家机关 |
建立于一个明确定义的形式安全策略模型之上,要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。 此外,还要考虑隐蔽通道。必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。 该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部月、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。 |
第五级 访问验证保护级。 |
满足访问控制器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的:必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算机在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和现实时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。 该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。 |
8个总原则 | 10个特殊原则 |
(1) 主要领导人负责原则。 (2) 规范定级原则。 (3) 依法行政原则。 (4) 以人为本原则。 (5) 注重效费比原则(安全需求和现实资源的有限性) (6) 全面防范、突出重点原则。 (7) 系统、动态原则。 (8) 特殊的安全管理原则(遵循10个特殊原则) |
(1) 分权制衡原则 (2) 最小特权原则(对信息和信息系统访问采用最小特权) (3) 标准化原则 (4) 用成熟的先进技术原则 (5) 失效保护原则(系统运行错误或故障时必须拒绝非授权访问) (6) 普遍参与原则 (7) 职责分离原则--管理和执行分离 (8) 审计独立原则 (9) 控制社会影响原则 (10) 保护资源和效率原则(风险度的观点和适度安全的观点) |
1.4.1 信息系统安全方案相关系统组成因素
(I)主要硬件设备的选型。
(2)操作系统和数据库的选型。
(3)网络拓扑结构的选型。
(4)数据存储方案和存储设备的选型。
(5)安全设备的选型
(6)应用软件开发平台的选型。
(7)应用软件的系统结构的确定。
(8)供货商和集成商的选择等。
(9)业务运营与安全管理的职责(岗位)
(10)应急处理方案的确定及人员的落实。
1.4.2 信息系统安全方案内容
(1)首先确定采用MIS+S、S-MIS或s2-MIS体系架构。
(2)确定业务和数据存储的方案。
(3)网络拓扑结构。
(4)基础安全设施和主要安全设备的选型。这部分是信息安全保障系统的核心。
(5)业务应用信息系统的安全级别的确定。一旦你确定了安全级别,也就确定了安全的大体方案。
(6)系统资金和人员投入的档次。
系统安全方案与系统的安全策略是密不可分的。没有安全策略就没有安全方案;相反,没有安全方案,也就没有安全策略。
信息安全系统工程就是要建造一个信息安全系统,它是整个信息系统工程的一部分,而且最好是与业务应用信息系统工程同步进行。
信息安全需求、总体设计、详细设计、系统设备选型、 工程招投标、密钥密码机制、资源界定和授权、 信息安全系统施工中需要注意防泄密问题和施工中后期的信息安全系统测试、运营、维护的安全管理等问题。 |
辨析:信息安全系统工程不是信息系统安全工程。信息系统安全工程可能会误解为安全地建设--个信息系统,而忽略信息系统中的信息安全问题。目标是信息安全系统,不是信息系统安全。
1. MIS+S 系统
MIS+S (Management Information System+Security) 系统为“初级信息安全保障系统”或“基本信息安全保障系统”。顾名思义,这样的系统是初等的、简单的信息安全保障系统。其特点如下。
• 业务应用系统基本不变。
• 硬件和系统软件通用。
安全设备基本不带密码。
这里所说的”安全设备”主要是指那些在应用系统之外的信息安全设备,如防火墙、网络隔离、安全路由,以及病毒防治系统、漏洞扫描系统、入侵检测系统、动态口令卡等。不使用PIG/CA 的VPN 设备也属千这个范畴。
2. S-MIS 系统架构
S-MIS (Security- Management Information System)系统为“标准信息安全保障系统”。
顾名思义,S-MIS系统一定是涉密系统,即系统中一定要用到密码和密码设备,一定是基于PKI/CA和PMI/AA建立的支撑用户的业务应用信息系统的运营。其特点如下:
硬件和系统软件通用。
PKI/CA安全保障系统必须带密码。
业务应用系统必须根本改变。
主要的通用的硬件、软件也要通过PKI/CA认证。
业务应用系统必须根本改变就是指业务应用系统必须按照PKI/CA的标准重新编制的全新的安全的业务应用信息系统。
3. S2-MIS 系统架构
S2-MIS (Super Security-Management Information System)系统为“超安全的信息安全保障系统”。顾名思义,这样的系统是建立在“绝对的”安全的信息安全基础设施上的。它不仅使用世界公认的PKI/CA标准,同时硬件和系统软件都使用专用的、安全产品。主要的硬件和系统软件需要PKJ/CA认证,可以说,这样的系统是集当今所有安全、密码产品之大成。其特点如下。
硬件和系统软件都专用。
PKJ/CA安全基础设施必须带密码。
业务应用系统必须根本改变。
信息安全系统工程能力成熟度模型( Information Security System Engineering Capability Maturity Model, ISSE-CMM) 是一种衡量信息安全系统工程实施能力的方法。
5.1 ISSE-CMM的组织
ISSE-CMM主要适用于工程组织(Engineering Organizations)、获取组织(Acquiring Organizations)和评估组织( Evaluation Organizations)。
(1)工程组织。信息安全工程组织包含系统集成商、应用开发商、产品提供商和服务提供商等。
(2)信息安全的获取组织。信息安全的获取组织包含采购系统、产品,以及从外部/内部资源和最终用户处获取服务的组织。
(3)信息安全的评估组织。信息安全的评估组织包含认证组织、系统授权组织、系统和产品评估组织等,他们使用ISSE-CMM作为工作基础,以建立被评组织整体能力的信任度。
ISSE将信息安全系统工程实施过程分解为:工程过程(Engineering Process) 、 风险过程(Risk Process)和 保证过程( Assurance Process) |
公钥基础设施PKI (Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间邮戳服务、相关信息标准、操作规范等。
认证中心: CA (Certification Authority) 是PKI的核心。它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务。
PMI (Privilege Management Infrastructure) 即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权统一交由授 权机构进行管理,即由资源的所有者来进行访问控制管理。
PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。
pKI主要进行身份鉴别,证明用户身份,即“你是谁”签证具有属性类别,持有哪才能在该国家进行哪类的活动。护照是身份证明,唯一标识个人信息,只有持有护照才能证明你是一个合法的人。
1. 访问控制的概念
访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机信息应用系统在合法范围内使用;访问控制机制决定用户以及代表-定用户利益的程序能做什么及做到什么程度。
访问控制有两个重要过程。
(1)认证过程,通过“鉴别( authentication )来检验主体的合法身份。
(2)授权管理,通过“授权( authorization) ”来赋予用户对某项资源的访问权限。
2.访问控制机制分类
因实现的基本理念不同,访问控制机制可分为强制访问控制(MandatoryAccessControl, MAC)和自主访问控制(Discretionary Access Control, DAC)两种。
MAC,用户不能改变他们的安全级别或对象的安全属性。在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识-一个安全等级。访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法。 |
DAC机制允许对象的属主来制定针对该对象的保护策略。 自主访问控制中,用户针对客体制定自己的保护策略。 每个主体拥有一个用户名并属于一个组或具有-一个角色。每个客体都拥有一个限定主体对其访问权限的访问控制列表(ACL),每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制。 //对资源设置访问控制列表和权限 |
BLP保密模型, 基于MAC, 基于两种规则:
|
3. 基干角色的访问控制
基于角色的访问控制中,角色由应用系统的管理员定义。|角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色;而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定。用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。
角色控制比较灵活,根据配置可以使某些角色接近DAC,而某些角色更接近于MAC。
目前我们使用的访问控制授权方案,主要有以下4种。
(1) DAC (Discretionary Access Control) 自主访问控制方式:该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。//主体设置可访问资源列表
(2) ACL (Access Control List)访问控制列表方式:该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。如果某个用户不在访问控制列表中,则不允许该用户访问这个资源。//客体资源设置可访问用户列表
(3) MAC (Mandatory Access Control)强制访问控制方式,该模型在军事和安全部门中应用较多,目标具有一个包含等级的安全标签(如:不保密、限制、秘密、机密、绝密) ;访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标:例如允许访问秘密级信息,这时,秘密级、限制级和不保密级的信息是允许访问的,但机密和绝密级信息不允许访问。//主客体设置安全标签,通过安全标签匹配可访问操作
(4) RBAC (Role-Based Access Control)基于角色的访问控制方式:该模型首先定义些组织内的角色,如局长、科长、职员;再根据管理规定给这些角色分配相应的权限,最后对组织内的每个人根据具体业务和职位分配一个或多个角色。//通过配置可以达到上面任何一种模式的效果
安全审计( Security Audit) 是记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,并帮助分析安全事故产生的原因。
安全审计系统属于安全管理类产品。安全审计产品主要包括主机类、网络类及数据库类和业务应用系统级的审计产品。
安全审计具体包括两方面的内容。
(1)采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并阻断。----监控防范报警
(2)对信息内容和业务流程审计,防止内部机密或敏感信息的非法泄漏和单位资产的流失。------审计行为,防止泄露
安全审计系统采用数据挖掘和数据仓库技术,对历史数据进行分析、处理和追踪,实现在不同网络环境中终端对终端的监控和管理,必要时通过多种途径向管理员发出警告或自动采取排错措施。因此信息安全审计系统被形象地比喻为“黑匣子”和“监护神”。
安全审计功能:CC (即Common Criteria ISO/IEC 17859)标准将安全审计功能分为6个部分:
- 自动响应功能(AU-APR); 包括报警或行动。例如实时报警、违例进程终止、中断服务、用户账号的失效等。
- 自动生成功能; 系统定义可审计事件清单,事件级别。产生的审计数据有以下几方面。
(1)对于敏感数据项(如口令等)的访问。(2)目标对象的删除。
(3)访问权限或能力的授予和废除。(4)改变主体或目标的安全属性。
(5)标识定义和用户授权认证功能的使用。(6)审计动能的启动和关闭。- 分析功能; 审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。
- 浏览功能; (1)审计浏览。提供从审计记录中读取信息的服务。(2)有限审计浏览。除注册用户外,其他用户不能读取信息。(3)可选审计信息。要求审计浏览工具跟进标准选择需浏览的审计数据。
- 事件选择功能(AU_SEL); 系统管理员能够维护、检查或修改审计事件,选择对哪些安全属性进行审计。例如,与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性,系统管理员将能有选择地审计任何一个用户或多个用户的动作。
- 事件存储功能。保证某个指定量度的审计记录被维护,并不受以下事件的影响。(1)审计存储空间用尽。(2)审计存储故障。(3)非法攻击。(4)其他任何非预期事件。
审计系统能够在审计存储发生故障时采取相应的动作,能够在审计存储即将用尽时采取相应的动作。
建设安全审计系统的主体方案一般包括利用网络安全入侵监测预警系统实现网络与主机信息监测审计;对重要应用系统运行情况的审计和基于网络旁路监控方式安全审计。
1.基于入侵监测预警系统的网络与主机信息监测审计
2.重要应用系统运行情况审计
目前,应用系统平台主要有Oracle、SQL Server(关系数据库系统)等应用平台本身都内嵌有较为完备的信息审核机制,作为全面审计跟踪服务器上一切活动的工具,它可以实现在数据库的表、视图、目录、文档、列(域field)等不同层次,对进行Open、 Create、 Update、 Delete等细粒度访问操作时的监控。但是,最便捷的解决方法还是寻找可靠、成熟的现有技术解决,以使应用程序开发人员能够专心于程序可用性开发上。截止到目前,从已知的现有技术分析,主要有4种解决方案。
1)基于主机操作系统代理
数据库操作系统(如Oracle、SQL Server)、电子邮件系统(如Microsoft Exchange)在启动自身审计功能之后自动将部分系统审核数据(如用户登录活动、对象访问活动)传送到主机系统审计日志。
2)基于应用系统代理
此方案优点是实时性好,且审计粒度由用户控制,可以减少不必要的审核数据。缺点在于要为每个应用单独编写代理程序,因而与应用系统编程相关,通用性不如前者好。
3)基于应用系统独立程序
在应用系统内部嵌入一个与应用服务同步运行专用的审计服务应用进程,用以全程跟踪应用服务进程的运行。
4)基于网络旁路监控方式
9.2 分布式审计系统
网络安全审计系统是对网络系统多个层次上的全面审计。对于一个地点分散、主机众多、各种连网方式共存的大规模网络,网络安全审计系统应该覆盖整个系统,即网络安全审计系统应对每个子系统都能进行安全审计,这样才能保证整体安全。因此,网络安全审计系统不但是-一个多层次审计系统,还是一个分布式、多Agent结构的审计系统。
分布式审计系统由审计中心、审计控制台和审计Agent组成。