信息系统安全相关概念(上)
文章总览:YuanDaiMa2048博客文章总览
- 下篇:信息系统安全相关概念(下)
信息系统安全相关概念[上]
- 信息系统概述
-
- 信息系统
- 信息系统架构
- 信息系统发展趋势:信息系统日趋大型化、复杂化
- 信息系统面临的安全威胁
- 信息系统安全架构设计--以云计算为例
- 信息系统安全需求及安全策略
-
- 自主访问控制策略DAC
- 强制访问控制策略MAC
信息系统概述
信息系统
- 用于收集、存储和处理数据以及传递信息、知识和数字产品的一组集成组件。
- 几种典型的信息系统:决策支持系统、数据处理系统、管理信息系统、电子商务系统和办公自动化系统
信息系统架构
- 单机架构:把Tomcat和数据库部署在一台服务机上
- 第一次演进:Tomcat与数据库分开部署
- Tomcat和数据库分别独占服务器资源,显著提高两者各自性能。
- 第二次演进:引入本地缓存和分布式缓存 (memcached、Redis)
- 在Tomcat服务器增加本地缓存,并在外部增加分布式缓存,缓存热门商品信息或热门商品的HTML页面等。通过缓存能把绝大多数请求在读写数据库前拦截掉,大大降低数据库压力。
- 第三次演进:引入反向代理实现负载均衡 (Nginx、HAProxy)
- 在多台服务器上分别部署Tomcat,使用反向代理软件(Nginx)把请求均匀分发到每个Tomcat中。
- 第四次演进:数据库读、写分离 (Mycat)
- 把数据库划分为读库和写库,读库可以有多个,通过同步机制把写库的数据同步到读库,对于需要查询最新写入数据场景,可通过在缓存中多写一份,通过缓存获得最新数据。
- 第五次演进:数据库按业务分库
- 把不同业务的数据保存到不同的数据库中,降低业务之间的资源竞争,对于访问量大的业务,可以部署更多的服务器来支撑。
- 第六次演进:把大表拆分为小表
- 数据库设计采用这种结构时,已经可以称为分布式数据库,但这只是一个逻辑的数据库整体,数据库里不同的组成部分是由不同的组件单独来实现的。
- 第七次演进:使用LVS或F5使多个Nginx负载均衡
- 第八次演进:通过DNS轮询实现机房间的负载均衡
- 在DNS服务器中可配置一个域名对应多个IP地址,每个IP地址对应到不同的机房里的虚拟IP。当用户访问www.taobao.com时,DNS服务器会使用轮询策略或其他策略,来选择某个IP供用户访问。
- 第九次演进:引入NoSQL数据库和搜索引擎等技术
- 针对特定的场景,引入合适的解决方案。如对于海量文件存储,可通过分布式文件系统HDFS解决,对于key/value类型的数据,可通过HBase和Redis等方案解决,对于全文检索场景,可通过搜索引擎如ElasticSearch解决,对于多维分析场景,可通过Kylin或Druid等方案解决。
- 第十次演进:大应用拆分为小应用
- 按照业务板块来划分应用代码,使单个应用的职责更清晰,相互之间可以做到独立升级迭代。
- 第十一次演进:复用的功能抽离成微服务
- 第十二次演进:引入企业服务总线ESB屏蔽服务接口的访问差异
- 第十三次演进:引入容器化技术实现运行环境隔离与动态服务管理
- 第十四次演进:以云平台承载系统
架构演进涉及技术特点:分布式、高可用、集群、负载均衡、正向代理和反向代理
架构:针对某种特定目标系统的普遍性问题而提供的具有体系性质的、通用的解决方案,是对复杂系统的一种共性的体系抽象,目的是帮助人们能够正确、合理地理解、设计和最终构建复杂的系统。
信息系统体系架构分析的必要性: - 系统的复杂度(可以利用解构来分析)
- 构建大型、复杂的信息系统
信息系统架构复杂性度量(自学):体系结构是信息系统的基本结构,它的复杂性直接影响着系统的复杂性。 - 体系结构复杂性包括结构复杂性和动态复杂性
- 等级层次结构是复杂性的主要根源之一,复杂性与系统的等级层次结构有直接关系,层次越多,越容易产生复杂性。对于系统结构复杂性的度量就可以转换为对体系结构层次结构复杂性的度量。
- 经典结构化程序复杂性度量方法:Halstead 复杂性度量、McCabe度量法
- Halstead给出H的计算公式为:H= n1log2n1 + n2log2n2。(设n1表示程序中不同运算符的个数,n2表示程序中不同操作数的个数,令H表示程序的预测长度)
- McCabe度量用程序流图的圈数(cycloramic number)来测量程序的复杂性
信息系统发展趋势:信息系统日趋大型化、复杂化
- 与大数据结合
- 相关技术:数据采集有 Flume 、Sqoop、Kettle等;数据存储有分布式文件系 统HDFS、FastDFS、NoSQL数据库HBase、MongoDB等;数据分析有Spark技术栈、机器学习算法等。
- 分布式体系架构
- 以数据为中心(分布式计算、库内计算、内存计算)
- 和物联网的结合
- 相关技术:边缘计算(Link Edge)、雾计算
- 和5G的结合
- 和人工智能的结合
- 和工业互联网的结合
信息系统智能化典型代表:中国制造2025、工业互联网平台
信息系统产生安全问题的原因:
- 内部原因:信息系统自身存在脆弱性
- 外部原因:信息系统面临着来自外部的各种威胁
信息系统面临的安全威胁
- 信息系统安全威胁(threat)是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。(最大威胁:卡脖子技术)
- 攻击致命度AL:攻击所具有的固有危害程度[名词解释]
- STIX:描述网络威胁信息的结构化语言[概念解释]
- Structured Threat Information eXpression结构化威胁信息表达式,作为一种用于描述网络威胁信息的结构化语言,提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法,也描述威胁情报中多方面的特征,包括威胁因素、威胁活动、安全事故等。
信息系统的脆弱性(漏洞):信息资产及其安全措施在安全方面的不足和弱点。
- 表现:硬件组件(也可设计后门)、软件组件、网络和通信协议
- 举例:基于“硅元素”的后门、软件代码中的漏洞、TCP/IP协议栈安全漏洞(协议问题)
攻防不对称性:
- 攻击可以在任意时刻发起 防御必须随时警惕
- 攻击可以选择一个薄弱点进行 防御必须全线设防
- 攻击包含了对未知缺陷的探测 防御只能对已知的攻击防御
- 攻击常在暗处,具隐蔽性 防御常在明处,表面看起来完美,使人容易疏忽,丧失警惕
- 攻击可以肆意进行 防御必须遵循一定的规则
5G网络:
- 5G网络使用同一个网络,通过逻辑上的切片组织针对不同业务的专用网络
- 网络切片能够很好地满足各类应用场景对于网络能力的特定需求
- 网络切片带来的安全挑战:切片授权与接入控制、切片间的资源冲突、切片间的安全隔离、切片用户的隐私保护、以切片方式隔离故障网元
- 5G技术推进边缘计算的应用
- 5G安全风险已经从网络空间全面渗透到物理空间
信息系统安全的目标:进不来 拿不走 看不懂 改不了 跑不了
基于信息保障的信息系统安全概念
- 信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
- 信息系统安全保障模型:对信息系统的安全属性及功能、效率进行保障的一系列适当行为或过程
- CMM框架(信息安全保障是一种立体保障)
信息系统安全:信息网络中的硬件软件及其系统中的数据受到保护,不被破坏更改泄露,系统连续可靠正常运行,信息服务不中断。
信息安全的实质:安全=及时的检测和处理
信息系统安全架构设计–以云计算为例
云计算安全架构的最新发展:
- 基于可信根的安全架构:可信节点+ 可信的协调员TC,不可信的云管理员CM,TC受外部可信实体ETE进行维护。
- 基于隔离的安全架构:以Cisco云架构为例
- 安全即服务的安全架构(SOA理念)
- 租户安全需求的多样性,带来安全服务定制化的需求
- 云基础设施面临不同的安全问题
- IBM的SOA通用安全架构:应用即服务、平台即服务、基础设施即服务
- 通过把安全机制设计为安全服务模块,可以实现不同管理域或者安全域内租户的通用性。通过租户的选择,可以形成一个独立的云计算安全服务体系,满足租户在安全方面的个性化需求。
- 可以轻松整合来自不同云计算提供商的安全服务
- 可管、可控、可度量的云计算安全架构。
- 参考SLA(servicelevel agreement)确定系统的度量指标体系。
- 利用模型分析技术,建立系统行为和用户行为的安全模型。
- 通过模型的分析和求解,获得系统需要完善与维护的安全问题以及进一步的安全优化方案。
- 三个主要部分:云计算安全服务/计算/度量框架
拟态主动防御–如何应对攻防不对称性
- 拟态(mimicry),是自然界中一种生物伪装成另一种生物,或伪装成环境中其它物体以获取生存优势的能力。
- 拟态路由器:在其架构中引入多个异构冗余的路由执行体,通过对各个执行体维护的路由表项进行共识裁决,生成拟态路由器的路由表;
- 拟态域名服务器:以遏制域名解析服务漏洞后门的可利用性、建立内生安全防御机制、大幅提高攻击者的攻击难度和代价为出发点,可以在不改变现有域名协议和地址解析设施的基础上,通过拟态防御设备的增量部署,能够有效防御针对域名系统的域名投毒、域名劫持攻击等各种已知和未知域名攻击,能够提供安全可靠的域名解析服务。
- 拟态Web虚拟机:利用云平台部署空间上的优势,构建功能等价、多样化、动态化的异构虚拟web服务器池。
- 拟态云服务器
- 拟态防火墙
信息系统安全需求及安全策略
安全需求:就是在设计一个安全系统时期望得到的安全保障
一般性的安全需求:
- 机密性需求,防止信息被泄漏给未授权的用户
- 完整性需求,防止未授权用户对信息的修改
- 可用性需求,保证授权用户对系统信息的可访问性
- 可记账性需求,防止用户对访问过某信息或执行过某一操作以否认
例子:军事安全策略(侧重机密性)、商用安全策略(侧重完整性和可记账性)、电信部门(侧重可用性)
安全策略:针对面临的威胁决定采用何种对策的方法,安全策略为针对威胁而选择和实行对策提供了框架。
信息系统安全策略提供:信息系统保护的内容和目标,信息保护的职责落实,实施信息保护的方法,事故的处理等。
一个信息系统是“安全系统”,指的是该系统达到了当初设计时所制定的安全策略的要求。
安全策略配置步骤
- 创建IPv4 高级ACL 3000:
[Device] acl advanced 3000 - 制订如下规则:允许总裁办在任意时间、财务部在工作时间访问财务数据库服务器,禁止其它部门在任何时间、财务部在非工作时间访问该服务器
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0 [Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work [Device-acl-ipv4-adv-3000] rule deny ip source any destination 192.168.0.100 0 [Device-acl-ipv4-adv-3000] quit - 应用IPv4 高级ACL 3000 对接口GigabitEthernet2/0/0 出方向上的报文进行过滤
[Device] interface gigabitethernet 2/0/0 [Device-GigabitEthernet2/0/0] packet-filter 3000 outbound [Device-GigabitEthernet2/0/0] quit - 在各部门的PC(假设OS均为Windows 7 Professional)上可以使用ping 命令检验配置效果
- 在Device 上可以使用display acl 命令查看ACL 的配置和运行情况:
[Device] display acl 3000
最常用的安全策略:访问控制策略(组成:主体、客体和系统环境(上下文))
- 访问控制策略的相关方
- 主体:是系统内行为的发起者,通常是用户发起的进程(进程、用户/用户组)
- 主体属性/用户特征:[自主]用户ID/组ID、[自主]权能表;[强访问]用户访问许可级别、[强访问]权能表。
- 客体:系统内所有主体行为的直接承担者:一般客体、设备客体、特殊客体
- 客体属性/客体特征:敏感性标签、[自主]访问控制列表
- 主体:是系统内行为的发起者,通常是用户发起的进程(进程、用户/用户组)
- 访问控制策略的描述:访问控制矩阵
自主访问控制策略DAC
-
自主:允许系统中信息的拥有者按照自己的意愿去指定谁可以以何种访问模式去访问该客体。
-
典型方式:标明计算机系统内的用户和由此用户发起的进程对系统内给定信息的访问许可。
-
查看文件和目录的属性:
ls -l -
Windows中的访问控制模型: 两个主要的组成部分:访问令牌(Access Token)和安全描述符(Security Descriptor)。它们分别是访问者和被访问者拥有的东西。
-
典型DAC:访问控制列表ACL
-
访问控制列表ACL是一系列允许或拒绝数据的指令的集合。
-
访问控制列表分类[怎么简单区分标准和扩展ACL:根据编号]
- 标准ACL (ID:1-99):基于源地址s
- 扩展ACL (ID:100-199/2000-2699):基于源地址、目的地址、协议、端口
- 命名ACL: 以列表名代替列表编号来定义IP访问控制列表
-
创建标准ACL(靠近目的地址)[如何写语句]
- 创建ACL:
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ] - 删除ACL:
Router(config)# no access-list access-list-number - 实例:
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0 # 允许192.168.1.0/24和主机192.168.2.2的流量通过
- 创建ACL:
-
创建扩展ACL列表(靠近源地址)
- 扩展ACL的创建命令:
Lab_A(config)#access-list ID号 协议 源地址 目的地址 操作符 端口/服务类型 - 实例:
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.2 eq www #含义:拒绝任何IP地址通过TCP协议访问主机172.16.30.2的www服务。隐含的意思是主机可以访问172.16.30.2的其它服务,限制更为细致。 Lab_A(config)#access-list 110 permit tcp 192.168.10.0 0.0.0.255 host 172.16.30.2 eq 23 log # 含义:允许网段192.168.10.0 255.255.255.0通过TCP协议访问主机172.16.30.2的23端口的服务即Telnet服务,且记录访问日志。 Lab_A(config)#access-list 110 permit ip any any #含义:允许所有使用IP协议的IP访问其它所有IP,即允许所有。
- 扩展ACL的创建命令:
-
如何量化描述一个网段:通配掩码
- 路由器使用IP地址和通配掩码(wildcard-mask)一起来分辨匹配的地址范围,它跟子网掩码刚好相反。
- 通配掩码(wildcard mask)是分成4字节的32bit数,与IP地址位位配对,相应位为0/1,0表示检查相应bit位的值,1表示不检查(忽略)相应位的值。
- any——通配符特殊应用:any 与0.0.0.0 255.255.255.255均表示任意地址
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 #等价于 Router(config)# access-list 1 permit any - host ——通配符特殊应用:表示主机地址
Router(config)# access-list 1 permit 171.30.16.29 0.0.0.0 #等价于 Router(config)# access-list 1 permit host 171.30.16.29
-
-
自主访问控制的优点:访问模式设定灵活、具有较好的适应性,常用与商用OS和应用中
-
自主访问控制的缺点:不能防范木马和某些形式的恶意代码。
强制访问控制策略MAC
- 经典场景:军事机密及其管理(无密级;保密;机密;绝密)
- 强制访问控制,基于上述原型而来
- 主体/客体:贴上标签
- 引用监视器:比较标签,决定是否许可
- 效果:保证完整性或机密性
- Bell-LaPadula保密性模型:是第一个能够提供分级别数据机密性保障的安全策略模型(多级安全)
- 数据和用户被划分为五个安全等级(公开、受限、秘密、机密、高密)
- 两种规则:
- 不上读(NRU)⎯⎯主体不可读安全级别高于它的数据
- 不下写(NWD)⎯⎯主体不可写安全级别低于它的数据
- 信息系统是一个由低到高的层次化结构。
- 举例:防火墙所实现的单向访问机制
- BIBA完整性模型
- 两种规则:
- 不下读(NRU)属性主体不能读取安全级别低于它的数据
- 不上写(NWD)属性主体不能写入安全级别高于它的数据
- 信息在系统中只能自上而下进行流动。
- 举例:Internet上用户的安全级别为“公开”,依照BIBA模型,Web服务器上数据的完整性将得到保障,Internet上的用户只能读取服务器上的数据而不能更改它。因此,任何POST操作将被拒绝。
- 两种规则:
- Chinese Wall模型
- Chinese Wall模型是将保密性与完整性同等考虑的安全策略模型
- Chinese Wall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突
- 举例:远程访问VPN(单向会话只发生在有限的时间内,本安全模型的核心在于:用户选择与其中一方进行通信,则放弃了与另一方会话的权利)
- 同时包括了DAC和MAC的属性:银行家可以选择为谁工作(DAC),但是一旦选定,他只能为该客户工作(MAC)。
- 最显著的特征:全局性和永久性(在多级安全体系中称为“宁静性原则”)
- 存在问题:无法检测高安全级主体和低安全级客体在不违反安全策略的情况下合谋传输秘密信息。
- 设计一种基于Bell-LaPadula模型和BIBA模型的混合模型:SSR安全模型
- SSR安全模型:标签级别的扩充
- SSR安全模型:主体颗粒度扩充