1 网络应用的信息安全 1
1.1 网络信息的安全需求 1
1.2 网络信息安全需求的层次 2
1.3 网络信息的安全威胁 3
1.4 网络信息的安全威胁评估与安全技术 3
1.5 网络应用系统的安全管理 5
2 网站的信息安全体系 5
2.1 安全策略 5
2.2 安全需求的保证 6
2.2.1 数据物理安全保证 6
2.2.2 数据机密保证 6
2.2.3 数据完整性保证 7
2.2.4 数据可控保证 7
2.2.5 数据可用保证 8
2.2.6 身份鉴别保证 8
2.2.7 数据鉴别保证 9
2.2.8 数据防抵赖保证 9
2.2.9 审计与监测保证 9
2.3 网络信息安全管理规范 9
2.3.1 总则 9
2.3.2 机房出入管理 10
2.3.3 人员管理 10
2.3.4 系统维护管理 11
2.3.5 数据备份管理 11
2.3.6 事件处理管理 12
2.3.7 数据恢复管理 12
2.3.8 安全审计管理 13
2.3.9 用户模型管理 13
2.4 安全技术和安全产品 14
2.4.1 防火墙 14
2.4.2 数据加密 15
2.4.3 病毒防治 16
2.4.4 鉴别与认证 16
2.4.5 检测和紧急响应 17
2.4.6 审计与监控 18
2.4.7 备份与恢复 19
1 网络应用的信息安全
1.1 网络信息的安全需求
在计算机网络应用系统中,对网络信息存在以下安全需求:
1) 物理安全(physical security)。为防范蓄意的和意外的威胁,而对资源提
供物理保护措施。
2) 数据机密(data confidentiality)。使信息不被泄露给非授权的实体(个人
或进程),并不为其所用。
3) 数据完整(data integrity)。确保数据没有遭受以非授权方式所作的篡改或
破坏。
4) 数据可控(data control)。得到授权的实体可以控制其授权范围内的信息流
向及行为方式。
5) 数据可用(data availability)。得到授权的实体在有效的时间内能够访问
和使用其所要求的数据。
6) 身份鉴别(peer-entity authentication)。确保一个实体此时没有试图冒充
别的实体,或没有试图将先前的连接作非授权地重演。
7) 数据鉴别(data origin authentication)。确保接受到的数据出自所要求的
来源。
8) 防抵赖(no repudiation)。避免在一次通信中涉及到的那些实体之一不承认
参加了该通信的全部或一部分。
9) 审计与监测(security audit , monitor and detection)。在一定范围内,
能够对已经或者可能出现的网络安全问题提供调查的依据和手段。
即下列各项要求得到安全保护:
1) 信息与数据(包括软件,以及与安全措施有关的被动数据,例如口令)
2) 通信和数据处理服务
3) 设备与设施
1.2 网络信息安全需求的层次
在计算机网络信息系统中,安全的需求来自不同的层次:
1) 法律/行政手段的保障。需要满足:有法可依、有章可循。
2) 物理安全需求。需要满足:网络环境的规范建设;网络设备的安全设计与防护
;网络媒体的安全管理。
3) 网络接入安全需求。需要满足:内外网安全隔离;内外网用户的访问控制;内
部网的监控;内部网传输数据的保密与鉴别。
4) 内部网络安全需求。需要满足:内外网用户的访问控制;网内节点间的访问控
制;网内的安全审计;内部网的备份与恢复。
5) 节点安全需求。需要满足:网内节点(主机/服务器)的访问控制;操作系统
的访问控制和安全审计;数据库及终端信息资源的访问控制和安全审计;可靠健
壮的系统运行平台;系统配置及数据的备份与恢复。
6) 业务信息安全需求。需要满足:业务资源的访问控制;业务流的完整性保护;
业务数据的保密与鉴别;业务实体的身份鉴别;业务交往的防抵赖;业务现场的
备份与恢复。
1.3 网络信息的安全威胁
在网络应用系统中,信息安全威胁的形式包括:
1) 对通信或其他资源的破坏。
2) 对信息的讹用或篡改。
3) 信息或其他资源的被窃、删除或丢失。
4) 信息的泄露。
5) 服务的中断。
下面简要列举在数据处理与数据通信环境中特别关心的几种攻击。
1) 冒充。就是一个实体假装成一个不同的实体。
2) 重演。当一个消息,或部分消息为了产生非授权效果而被重复时例出现重演。
3) 消息篡改。当数所传送的内容被改变而未发觉,并导致一种非授权后果时例出
现消息篡改。
4) 服务拒绝。当一个实体不能执行它的正当功能,或它的动作妨碍了别的实体执
行它们的正当功能的时候便发生服务拒绝。
5) 内部攻击。当系统的合法用户以非故意或非授权方式进行动作时例出现内部攻
击。
6) 外部攻击。外部攻击可以使用的办法如:a.搭线(主动的与被动的);b.截取辐
射;c.冒充为系统的授权用户,或冒充为系统的组成部分;d.为鉴别或访问控制
机制设置旁路。
7) 陷井门。当系统的实体受到改变致使一个攻击者能对命令,或对预定的事件或
事件序列产生非授权的影响时,其结果就称为陷井门。
8) 特洛伊木马。对系统而言的特洛伊木马,是指它不但具有自己的授权功能,而
且还有非授权功能。
1.4 网络信息的安全威胁评估与安全技术
系统的安全特性通常会提高系统的造价,并且可能使该系统难于使用。所以,在
设计一个安全系统之前,应该明确哪些具体威胁需要保护措施来对付,这叫做安
全威胁的评估。
威胁评估大致来说包括:
1) 明确该系统的薄弱环节。
2) 分析利用这些薄弱环节进行威胁的可能性。
3) 评估如果每种威胁都成功所带来的后果。
4) 估计每种攻击的代价。
5) 估算出可能的应付措施的费用。
6) 选取恰当的安全机制(可能要使用价值效益分析)。
技术上要做到完全的安全保护好比要做到完全的物理保护,同样是不可能。所以
,目标应该是,使攻击所花的代价足够高,从而把风险降低到可接受的程度。
1.5 网络应用系统的安全管理
网络信息的安全管理包括以下四类活动:
1) 系统安全管理。
2) 安全服务管理。
3) 安全机制管理。
4) 安全管理本身涉及信息的安全。
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应
的管理制度或采用相应的规范。具体工作是:
1) 根据工作的重要程度,确定该系统的安全等级。
2) 根据确定的安全等级,确定安全管理的范围。
3) 制订相应的机房出入管理制度。对于安全等级要求较高的系统,要实行分区控
制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识
别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。
4) 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责
,不能超越自己的管辖范围。
5) 制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据
备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、
维护内容和维护前后的情况要详细记录。
6) 制订应急措施。要制订系统在紧急情况下,如何尽快恢复的应急措施,使损失
减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的
授权。
2 网站的信息安全体系
2.1 安全策略
安全的整个领域既复杂又广泛。任何一个相当完备的分析都将引出许许多多不同
的细节,使人望而生畏。一个恰当的安全策略应该把注意力集中到最高权力机关
认为须得注意的那些方面。
由于策略是很一般性的,因而这一策略如何与某一具体应用紧密结合,在开始是
完全不清楚的。完成这一结合的最好办法经常是让这一策略经受一个不断精确化
的改进过程,在每个阶段加进从应用中来的更多的细节。
目前,对于新建网络的网络,必须解决网络的安全保密问题,考虑技术难度及经
费等因素,设计时应遵循如下思想:
1) 保证可接受的系统安全性和保密性。
2) 保证网络运行的性能,对网络的协议和传输具有很好的透明性。
3) 易于操作、维护,并便于自动化管理。
4) 便于系统及系统功能的扩展。
5) 有较好的性能价格比。
6) 安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监
督。
2.2 安全需求的保证
2.2.1 数据物理安全保证
1) “数据物理安全保证”是指:为了防范“数据的物理安全威胁”,而对“网络
系统物理设备”采取“数据的物理保护措施”。
2) “数据的物理安全威胁”指:
(1) 计算机场地或机房环境的事故(包括火灾)。
(2) 计算机系统物理设备的事故(包括对设备的盗窃或毁坏、电磁信息辐射泄漏
、线路截获、电磁干扰、电源失效)。
(3) 计算机系统媒体介质的事故(盗窃、毁坏、非法访问或非法复制)。
3) “网络系统的物理设备”是指:
(1) 机房场地环境
(2) 通信线路和网络设备
(3) 存储媒体
(4) 主机、服务器、终端及各类外设
4) “数据的物理保护措施”指:
(1) 符合规范的计算机场地和机房。
(2) 计算机设备置于专门的屏蔽室中。
(3) 采用光电转换接口和光缆。
(4) 采用低辐射终端设备。
(5) 采用信息扩散干扰设备。
(6) 掌握并运用与计算机安全相关的法律。
(7) 制定并遵循信息安全管理规范。
(8) 实施设备的访问控制机制。
(9) 实施数据加密机制。
5) 以如下方式来提供数据物理安全保证:
(1) 将应用服务器和数据服务器托管在规范建设和维护的机房里。
(2) 制定并遵循《信息安全管理规范》。
(3) 提供数据机密保证(参见第2.2.2条)。
2.2.2 数据机密保证
1) “数据机密保证”是指:“非预期实体”不能获取其不应获取的数据和数据服
务。
2) “非预期实体”是指:在数据通信或数据访问中,不应作为参与者的人、计算
机设备或计算机代码。
3) 以如下方式来提供数据机密保证:
(1) 采用加密机,使数据以密文传输。
(2) 网站有独立域名。
(3) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系
统)建立权限管理机制,对专门的网络资源定义专门的权限角色。
(4) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系
统)建立身份鉴别机制,保障使用网络资源的是合法的实体(人、计算机设备或
计算机代码)。
(5) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系
统)建立访问控制机制,保障网络资源不被非法访问。
(6) 利用病毒防治技术。
(7) 利用网络安全审计技术和网络安全检测技术。
(8) 制定并遵循《信息安全管理规范》。
2.2.3 数据完整性保证
1) “数据完整性保证”是指:数据没有遭受“非预期行为”所作的修改。
2) “非预期行为”是指:在数据通信或数据访问中,获得数据或数据服务是非法
参与者,或合法参与者实施了不合法的行为。
3) 以如下方式来提供数据完整性保证:
(1) 提供数据机密保证(参见第2.2.2条)。
(2) 利用数据校验技术,防止数据在传输过程中被篡改。
(3) 利用数字签名技术和数字时间戳技术,防止对已存档数据的篡改。
(4) 提供审计与监测保证(参见第2.2.9条)。
(5) 制定并遵循《信息安全管理规范》。
2.2.4 数据可控保证
1) “数据可控保证”是指:得到授权的实体可以控制其授权范围内的数据和数据
服务。
2) 以如下方式来提供数据可控保证:
a) 在交付业务系统同时,提供建立“业务系统用户模型”的培训。
b) “业务系统用户模型”是指:开展业务时所依赖的关于业务数据的权限管理机
制(角色定义表、资源权限定义表、角色资源权限矩阵)、身份鉴别机制(用户
识别定义表)和访问控制机制(用户角色矩阵、用户资源权限矩阵)。
c) 在业务系统用户模型中,用户分布在不同的应用空间中,在不同的应用空间中
各类用户可以拥有不同类型的权限。
d) 在业务系统用户模型中,业务数据库分为若干相对独立的部分。
e) 在未得到授权的情况下, 任何实体对业务系统用户模型不具有任何查询和修
改能力。
f) 在未得到授权的情况下,任何实体对业务数据不具有任何查询和修改能力。
g) 在未得到授权的情况下,任何实体对业务数据不具有任何复制、备份、恢复、
事件处理和安全审计的权利。
2.2.5 数据可用保证
1) “数据可用保证”是指:得到授权的实体在“有效的时间内”能够访问和使用
其所要求的数据和数据服务。
2) “有效的时间内”是指:在固定的时间区域内系统失效的次数和每次失效的持
续时间被控制在一个固定的阀值内。
3) 以如下方式来提供数据可用保证:
(1) 可靠的硬件/软件选型。
(2) 建立有独立域名的Web站点。
(3) 正确可靠的节点参数配置(主机、服务器、终端及各类外设)。
(4) 正确可靠的平台参数配置(操作系统、数据库管理系统、系统工具)。
(5) 专业的系统安装与维护人员。
(6) 对应用服务器和数据服务器进行双机备份。
(7) 数据中心在业务部门的协作下规范实施事件处理和数据恢复。
(8) 利用病毒防治技术,防止病毒对系统的攻击。
(9) 利用防火墙技术,防止入侵者对系统的攻击。
(10) 利用网络安全审计技术和网络安全检测技术,发现系统异常情况,同时防止
入侵者对系统的攻击。
(11) 制定并遵循《信息安全管理规范》,确保安全审计、数据备份、事件处理和
数据恢复能被规范实施。
2.2.6 身份鉴别保证
1) “身份鉴别保证”是指:确保一个实体此时没有试图冒充别的实体,或没有试
图将先前的连接作非授权地重演。
2) 以如下方式来提供身份鉴别保证:
(1) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系
统)建立用户识别定义表,检查使用网络资源的实体的合法性。
(2) 利用防火墙技术,实现网络节点的身份鉴别,限制信息往来地址,防止网络
地址的假冒。
(3) 业务系统用户模型保障:只有被授权的合法用户才能使用业务系统功能和访
问业务数据;任何用户只能访问其授权范围的业务资源。
(4) 利用数字凭证技术来标识各业务部门。
(5) 各业务部门之间进行双向身份鉴别。
(6) 制定并遵循《信息安全管理规范》,确保业务资源只能被授权者访问和使用
。
2.2.7 数据鉴别保证
1) “数据鉴别保证”是指:确保接受到的数据出自所要求的来源。
2) 以如下方式来提供数据鉴别保证:
(1) 实现身份鉴别保证(参见2.2.6条)和数据完整性保证(参见2.2.3条)。
(2) 利用数字签名技术来标识数据的来源。
2.2.8 数据防抵赖保证
1) “数据防抵赖保证”是指:避免在一次数据通信或数据访问中涉及到的那些实
体之一不承认参加了该数据通信或数据访问的全部或一部分。
2) 以如下方式来提供数据防抵赖保证:
(1) 实现数据鉴别保证(参见2.2.7条)和数据完整性保证(参见2.2.3条)。
(2) 实现审计与监测保证(参见2.2.9条)。
(3) 制定并遵循《信息安全管理规范》。
2.2.9 审计与监测保证
1) “审计与监测保证”是指:主动检查网络系统的运行情况和使用情况,以期考
评系统的安全性能和发现系统的异常状态。
2) 以如下方式来提供审计与监测保证:
(1) 实施安全审计:记录网络运行日志、操作系统运行日志、数据库访问日志、
业务应用系统运行日志,并定期给出安全审计报告。
(2) 利用网络安全检测技术,定期扫描分析网络系统,检查报告系统存在的弱点
和漏洞。
(3) 制定并遵循《信息安全管理规范》,确保规范实施安全审计工作。
2.3 网络信息安全管理规范
2.3.1 总则
1) 信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。
2) 信息安全管理将不同层次(网络、操作系统、数据库管理系统、应用系统)上
进行。
3) 信息安全管理由专门的信息安全管理部门来负责。
4) 信息安全管理规范包括:
(1) 机房出入管理
(2) 人员管理
(3) 系统维护管理
(4) 数据备份管理
(5) 事件处理管理
(6) 数据恢复管理
(7) 安全审计管理
(8) 用户模型管理
2.3.2 机房出入管理
1) 必须对出入机房的人员进行身份鉴别(如佩带机房出入证或安装自动识别系统
)。
2) 必须登记出入机房的情况,《机房出入记录》包括:身份标识(如名称或卡号
)、进入时间、离开时间、进入事由、违规记录。
2.3.3 人员管理
在以下活动中,需要定义专门的岗位:
1) 访问控制使用证件的发放与回收。
2) 信息处理系统使用的媒介发放与回收。
3) 处理保密信息。
4) 硬件和软件的维护。
5) 系统软件的设计、实现和修改。
6) 重要程序和数据的删除和销毁等。
在人员定岗时可以采用以下原则:
1) 多人负责原则。每一项与安全有关的活动,都必须有两人或多人在场。这些人
应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作
情况记录以证明安全工作已得到保障。
2) 任期有限原则。任何人不长期担任与安全有关的职务,以免使他认为这个职务
是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强
制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行
。
3) 职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的
任何与安全有关的事情,除非系统主管领导批准。
4) 权限随岗原则。根据岗位变动情况及时调整相应的授权,做到:在岗有权、离
岗失权。
5) 应编制《安全岗位定义表》,给出:岗位名称、负责对象、工作内容、岗位权
限、任期限制、上级岗位名称。
6) 应编制《安全岗位分配表》,给出:岗位名称、人员名称、到岗时间、离岗时
间、任命者、任命原因、在岗表现。
7) 《安全岗位定义表》和《安全岗位分配表》属于保密内容,由安全管理的主管
人员维护和保管。
出于对安全的考虑,下面每组内的两项信息处理工作应当由不同的人来负责:
1) 计算机操作与计算机编程。
2) 机密资料的接收和传送。
3) 安全管理和系统管理。
4) 应用程序和系统程序的编制。
5) 访问证件的管理与其它工作。
6) 计算机操作与信息处理系统使用媒介的保管等。
2.3.4 系统维护管理
系统维护是对系统配置进行修改或升级的过程。
系统配置包括:
1) 网络的拓朴、构件、布线和参数。
2) 主机、服务器、终端及各类外设的构件和参数。
3) 操作系统、编译系统、数据库管理系统、系统工具的选件与参数。
4) 业务应用系统的选件与参数。
对系统进行维护时,应遵守以下原则:
1) 针对不同配置(网络、节点、操作系统、数据库、业务应用)的维护工作分别
设立不同的岗位。
2) 维护时要首先经主管部门批准,并有安全管理人员在场。
3) 维护前应采取数据保护措施,如数据备份。
4) 在《系统维护记录》中给出:维护原因、维护的内容、维护前系统情况、维护
后系统情况、维护起止时间、维护者、批准者。
2.3.5 数据备份管理
数据中心定期定时备份业务现场:
1) 对数据备份及其存储介质的保管设立专门的岗位。
2) 数据备份方式为:场地内增量式冷备份。
3) 数据备份周期取决于:业务数据的流量和业务数据的重要性,因此将随系统运
行情况灵活调整数据备份周期。
4) 数据备份周期为:每月执行一次完全备份,每周执行一次差分备份,每天执行
一次增量备份。
5) 对保存数据备份的存储介质(磁盘/磁带/光盘/硬盘),应统一编码,并存放
在专门的保密箱/柜中。
6) 在《数据备份记录》中给出:备份方式、备份内容、原数据的存储路径、备份
数据存储介质的标识、备份起止时间、备份者。
2.3.6 事件处理管理
事件处理指:当业务系统的运行平台发生故障或遭受攻击时,为保障业务系统能
够处于正常状态,数据中心与业务部门按照约定方式采取相应措施。
为了能及时处理事件,应遵循以下原则:
1) 数据中心和业务部门均设立专门岗位来负责事件处理。双方应保证能够随时(
24小时*7日)建立联络,以确保对事件的快速响应能力。
2) 数据中心和业务部门双方共同建立和维护《事件处理岗位定义表》,其中定义
以下内容:人员所在方、人员名称、岗位责任、到岗时间、离岗时间、电话、手
机、呼机、传真、电子邮箱。双方应将本方变更情况及时通知给对方。所有变更
情况都应被保存。
3) 数据中心应能及时感知并记录事件的现场情况,在《事件状态记录》上给出以
下内容:发现时间、发现地点、发现者、系统异常状态、记录时间、记录者。
4) 在发现业务中断或业务流程不畅时,业务部门应及时向数据中心发出《事件状
态记录》,描述现场情况。
5) 数据中心应及时判断事件原因,并采取措施以使业务处理尽快恢复正常运行。
在《事件处理记录》中给出:事件性质(故障、破坏、误操作)、涉及的系统组
成(硬件/操作系统/数据库/业务系统/人员)、处理结果、处理起止时间、处理
者、记录时间、记录者。
6) 数据中心在需要中断业务、备份特定业务现场或恢复业务现场时,应首先通知
相应的业务部门,并等待业务部门认可后方可实施。
7) 数据中心和业务部门在联络时,应进行双向身份鉴别。
8) 数据中心和业务部门的所有联络内容均应有正式存储记录(电话录音、文件/
文档、传真、电子邮件等),同时应保证这些记录不被篡改。
2.3.7 数据恢复管理
数据中心在恢复业务现场时,应遵循以下原则:
1) 对数据恢复设立专门的岗位,亦可与数据备份岗位合并。
2) 数据恢复时要首先经主管部门批准,并有安全管理人员在场。
3) 数据恢复前应通知相应业务部门的事件处理人员。
4) 若需要业务部门参与(如模拟重演某个时段的业务处理),则数据中心应为相
应的业务部门提供详细的操作流程,双方协同完成数据恢复。
5) 在《数据恢复记录》中给出:恢复原因、恢复内容、原数据的存储路径、备份
数据存储介质的标识、恢复起止时间、恢复者、批准者。
2.3.8 安全审计管理
安全审计的内容包括:
1) 网络运行日志
2) 操作系统运行日志
3) 数据库访问日志
4) 业务应用系统运行日志
对安全审计进行如下管理:
1) 针对不同内容(网络、操作系统、数据库、业务应用)的安全审计工作分别设
立不同的岗位。
2) 按需要选择将被记录和被远程收集的访问行为或执行行为。
3) 按需要授予或取消对所选行为进行审计跟踪日志记录的能力。
4) 给出《安全审计记录》,详细给出访问行为或执行行为的:起止时间、对象(
IP地址、执行单位或数据单位)、实体(用户或进程)、实体所在IP地址、操作
、结果。
5) 当日志超过设定的统计阀值(依据时间或容量)时,统计出《安全审计报告》
。《安全审计报告》可以依据不同的字段(时间、对象、实体)来生成。
6) 当日志超过设定的卸出阀值(依据时间或容量)时,卸出当前《安全审计记录
》,创建新的《安全审计记录》。
7) 安全审计的内容应放在专门的安全审计存储区中。在安全审计存储区中,分为
网络目录、操作系统目录、数据库目录和应用系统目录,每个目录有分为安全审
计记录和安全审计报告两个子目录。
8) 《安全审计记录》和《安全审计报告》应遵循一致的文件命名规则,文件名应
能反映出文件形成的性质。
9) 在分析《安全审计记录》或《安全审计报告》时,若发现正在、可能或已经危
害到系统安全的行为,则应及时报告安全管理的主管人员。
10) 《安全审计记录》和《安全审计报告》应该加密存储,并且设置访问权限,
确认只有授权的管理人员才可能访问它们。
2.3.9 用户模型管理
“用户模型”是指:关于某类(或某个)资源的权限管理机制(角色、资源、权
限的关联)、身份鉴别机制(用户识别、鉴别标识的关联)和访问控制机制(用
户、角色、资源、权限的关联)。
在网络应用系统中,可以建立各级不同网络资源(网络设备、节点设备、操作系
统、系统工具、数据库管理系统、业务系统)的用户模型。
用户模型是概念上的、逻辑上的信息集合,其中的各种内容可以表现为:文档、
数据表、数据、或隐含于系统部件中的规则和约束。
为了明确表达一个资源的用户模型,可以使用以下表格:
1) 《角色定义表》,定义:角色标识、角色名、角色等级、角色描述。
2) 《资源定义表》,定义:资源标识、资源名、资源描述。
3) 《权限定义表》,定义:权限标识、权限名、权限描述。
4) 《角色资源权限矩阵》,定义:角色标识、资源标识、权限标识。
5) 《用户定义表》,定义:用户标识,用户名、用户描述。
6) 《用户识别定义表》,定义:用户标识、鉴别标识。
7) 《用户角色矩阵》,定义:用户标识、角色标识。
8) 《用户资源权限矩阵》,定义:用户标识、资源标识、权限标识。
需要说明的是,用户模型中的大部分内容应由特定的人员来制定和维护、并按特
定的保密等级来保存和管理。
2.4 安全技术和安全产品
2.4.1 防火墙
防火墙可以被设置在不同网络(如可信任的企业内部网和不可信的公共网)或网
络安全域之间。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业
的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗
攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可以提供如下能力:
1) 过滤进出网络的数据
2) 管理进出网络的访问行为
3) 封堵禁止的业务
4) 应用代理
5) 防止IP欺骗
6) 截断攻击
7) 三端口应用(DMZ)
8) 虚拟专用网(VPN)
9) 地址转换(NAT)
10) 负载均衡
11) 计费
12) 透明接入
13) 流量统计与控制
14) 实时监控
15) 审计与日志
16) 检测与告警
17) 安全管理(包括远程安全管理)
选择防火墙产品可以考虑以下因素:
1) 能否满足功能需求
2) 能否满足性能需求
3) 价格(注意是否有点数限制)
4) 能否方便配置和管理
5) 是否有健全的状态监视手段(日志、报警)
6) 防火墙自身是否安全
国内较著名防火墙产品包括:
天融信的“网络卫士NG-FW” http://www.talentit.com.cn
东方龙马的“东方龙马OLM” http://www.olm.com.cn/
中科网威的“长城NetPower” http://www.netpower.com.cn
清华得实的“WebST” http://www.th-dascom.com.cn/
天网的“天网” http://sky.net.cn
国外较著名防火墙产品包括:
NetScreen的“NetScreen” http://www.ns100.com.cn
CheckPoint的”FireWall-1″ http://www.checkpoint.com.cn
Cisco的“PIX” http://www.cisco.com.cn
CA的“eTrust” http://www.cai.com.cn
以下网址有以上产品的白皮书,可以作为参考:http://www.nsfocus.com
2.4.2 数据加密
对传输中的数据流加密,用来防止通信线路上的窃听、泄漏、篡改和破坏。如果
以加密实现的通信层次来区分,加密可以在通信的三个不同层次来实现,即链路
加密(位于OSI网络层以下的加密),节点加密,端到端加密(传输前对文件加密
,位于OSI网络层以上的加密)。
专门的加密机可以在链路层和IP层实现硬件加密,但只适用于通信双方都使用加
密机的情况。若要在互连网上实现广泛的信息交流,端到端的加密或许是当前最
可行的办法。为了实现端到端的加密,也需要通信双方使用遵循相同加密协议的
工具。
网络上传输的信息包括访问控制信息和数据。TCP/IP协议本身没有加密的特性,
访问控制信息和数据均被明文传输,使用网络嗅探器(sniffer)可以查看到一个
网段内大量敏感信息,如e-mail、FTP和telnet的登录名和口令,以及通信过程中
的所有内容。
端对端的加密工具可以提供以下能力:
1) 安全登录,使访问控制信息不能被解读
2) 加密被传输的数据
密码的使用涉及到法律允许的问题,一些加密算法被美国政府限制出口。
SSL协议被用来加密和认证网络服务,如在WWW服务器端设置支持SSL,客户端的浏
览器也支持SSL(IE和Netscape的较新版本),则WEB应用就可以实现远程安全登
录和安全数据传输了。
SSH协议被用来实现telnet的加密访问。利用SSH工具(如SecureCRT)可以实现F
TP的加密访问。
目前,一个信息加密工具“PGPi”被广泛使用,使用它的好处在于:
1) 免费的代码
2) 完全开放的源代码,经多年使用,未发现后门
3) 先进的加密算法和实现技术
4) 不受美国出口限制(加密位数是1024-4096)
5) 多平台版本
6) 使用简便,支持命令行管理和窗口管理
7) 无须向任何人申请任何东西,即可建立自己的密钥中心
目前PGPi版本(http://www.phpi.org V6.2.8)的功能包括:
1) 密钥的创建和管理
2) 窗口信息(包括e-mail)加密与签名
3) 文件的加密与签名
4) 文件的传统加密和归档
5) 文件和磁盘的安全清除
密码机制的存在意味着使用密钥管理,密钥管理包括:
1) 间歇性地产生与所要求的安全级别相称的合适密钥
2) 根据访问控制的要求,对于每个密钥决定哪个实体应该接受密钥的拷贝。
3) 用可靠办法使这些密钥对开放系统中的实体实例是可用的,或将这些密钥分配
给它们。
2.4.3 病毒防治
病毒防治技术包括预防病毒、检测病毒和消毒三种技术:
1) 预防病毒技术。它通过自身常驻系统内存,优先获得系统的控制权,监视和判
断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破
坏。这类技术有:加密可执行程序、引导区保护、系统监控与读写控制(如防病
毒卡等)。
2) 检测病毒技术。通过对计算机病毒的特征来进行判断的技术,如自身校验、关
键字、文件长度的变化等。
3) 消毒技术。通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件
的软件。
网络病毒防治技术的具体实现方法包括:对网络服务器中的文件进行频繁地扫描
和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
2.4.4 鉴别与认证
鉴别与认证技术是为了实现以下目的:
1) 身份鉴别。通常有三种方法验证主体身份:只有该主体了解的秘密,如口令、
密钥。口令是相互约定的代码,假设只有用户和系统知道;主体携带的物品,如
智能卡和令牌卡;只有该主体具有的独一无二的特征或能力,如指纹、声音、视
网膜或签字等。
2) 数据完整性控制。可是采用以下措施:报文鉴别、校验和、密校验和、消息完
整性编码(消息摘要)。
3) 防抵赖。包括对源和目的地双方的证明,常用方法是数字签名。数字签名采用
一定的数据交换协议,使得通信双方能够满足两个条件:接收方能够鉴别发送方
所宣称的身份,发送方以后不能否认他发送过数据这一事实。
使用PGPi工具也可以实现鉴别和认证的目的:
1) 用户用自己的私钥对信息进行签名,做到“防假冒”
2) 工具生成信息摘要,做到“防篡改”
3) 实现签名和信息摘要,即做到“防抵赖”
更完善的鉴别和认证需要建立公证机制。两个或多个实体之间通信的数据的性质
,如它的完整性、原发、时间和目的地等,能够借助公证机制而得到确保。这种
保证是由第三方公证人提供的。公证人被通信实体所信任,并掌握必要信息,以
一种可证实方式提供实体所需的保证。通信事例可使用数字签名、加密和完整性
机制,以适应公证人提供的此种服务。
坚强可信的公证机制是电子商务应用的核心技术之一。
典型的公证机制即所谓CA系统,提供的服务有:签发证书、修改和吊销证书、证
书查询、存储/备份证书、对证书进行监察和审计。
证书的类型包括:个人证书、服务器证书、开发者证书。
较有名的CA类站点包括:
国富安电子商务认证中心 http://www.cacenter.com.cn
VeriSign公司 http://www.verisign.com
2.4.5 检测和紧急响应
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最
薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络
系统进行安全性分析,及时发现并修正存在的弱点和漏洞。
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方
法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补求措施和安全策
略,达到增强网络安全性的目的。当然,网络安全检测工具同时又是破坏者手中
的探测器。
网络安全检测的内容包括:
1) 系统入侵检测(系统帐户、系统日志、后门进程、木马程序、本地溢出程序、
信任主机、攻击来源)
2) 用户安全检测(控制台安全、用户口令安全、用户文件及目录许可权限安全)
3) 操作系统安全检测(系统日志/审计策略、受信主机安全、安全终端设置、系
统文件完整性及存取许可安全、SUID/SGID许可程序安全)
4) 网络服务检测(HTTP服务安全、DNS服务安全、网络文件系统NFS安全、Telne
t服务安全、FTP服务安全、SMTP服务安全、POP服务安全、Finger服务安全、X w
indow系统安全、RPC服务安全、Wins服务安全、共享服务安全、Proxy服务安全)
5) 系统程序安全检测(后门程序检测、危险程序访问权限)
安全检测完毕需要:弥补漏洞、总结安全检测报告。
当主机或网络正遭到攻击或发现入侵成功的痕迹,应当实施紧急响应措施,其过
程为:
1) 发现并解决问题
2) 保存可能的记录证据
3) 追查问题来源
4) 总结紧急响应报告
安全检测和紧急响应都需要:
1) 雇佣专业的安全管理人员进行方案的设计和实施。
2) 安全管理人员还要实时追踪网络应用各个环节的最新安全通报。
一般的公司/企业/机构是无法做到这一点的。因此一般的做法是与专业的网络安
全公司签定安全服务的合同。
目前较有名的网络安全公司有:
中联绿盟 http://www.nsfocus.com
东方龙马安全响应中心 http://www.cns911.com
网络安全评估中心 http://www.cnns.net
天网安全阵线 http://sky.net.cn
网安 http://www.weguardnet.com
中国计算机安全 http://www1.infosec.org.cn
2.4.6 审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重
要工具。安全审计跟踪机制的价值在于:经过事后的安全审计可以检测和调查安
全的漏洞:
1) 它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。
2) 对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。
3) 系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的
重要依据。
4) 通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站
点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
安全审计跟踪将考虑:
1) 要选择记录什么信息。
2) 在什么条件下记录信息。
3) 为了交换安全审计跟踪信息所采用的语法和语义定义。
收集审计跟踪的信息,通过列举被记录的安全事件的类别(例如对安全要求的明
显违反或成功操作的完成),能适应各种不同的需要。已知安全审计的存在可对
某些潜在的侵犯安全的攻击源起到威摄作用。
安全审计的内容包括:网络运行日志(路由器日志、防火墙日志)、操作系统运
行日志、数据库访问日志、业务应用系统运行日志。
除使用一般的网管软件和系统监控管理系统外,还应使用目前以较为成熟的网络
监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查
、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
多数网络设备和核心软件一般都自带审计和监控功能。
也有专门的审计和监控工具,可以:
1) 专门针对一类事物(如某个脆弱UNIX命令)进行跟踪记录或监控
2) 根据用户设定的要求,过滤审计结果,以提取和突出重要信息
3) 对审计结果进行分类加工,以多种形式(表格、直方图、饼图)输出报表。
目前有很多针对网站系统的审计与监控软件,如:
WebTrends公司的“Log Analyser” http://www.webtrends.com
微软公司的Site Server http://www.microsoft.com
net.Genesis公司的”net.Analysis”
Marketwave公司的”Hit List”
中科院化治所计算机室的“LogExplorer”http://lcc.icm.ac.cn/logexplorer
2.4.7 备份与恢复
备份系统为一个目的而存在:尽可能快地全盘恢复运行计算机系统所需的数据和
系统信息。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵
者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾
难恢复的前提之一。
根据系统安全需求可选择的备份机制有:
1) 场地内高速度、大容量自动的数据存储、备份与恢复。
2) 场地外的数据存储、备份与恢复。
3) 对系统设备的备份。
一般的数据备份操作有三种:
1) 全盘备份。即将所有文件写入备份介质。
2) 增量备份。只备份那些上次备份之后更改过的文件,是最有效的备份方法。
3) 差分备份。备份上次全盘备份之后更改过的所有文件,其优点是只需两组磁带
就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。
在确定备份的指导思想和备份方案之后,就要选择安全的存储媒介和技术进行数
据备份。有”冷备份”和”热备份”两种:
1) 热备份。是指”在线”的备份,即下载备份的数据还在整个计算机系统和网络中
,只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。
2) 冷备份。是指”不在线”的备份,下载的备份存放到安全的存储媒介中,而这种
存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新
安装,有一部分原始的数据长期保存并作为查询使用。
热备份的优点是投资大,但调用快,使用方便,在系统恢复中需要反复调试时更
显优势。热备份的具体做法是:可以在主机系统开辟一块非工作运行空间,专门
存放备份数据,即分区备份;另一种方法是,将数据备份到另一个子系统中,通
过主机系统与子系统之间的传输,同样具有速度快和调用方便的特点,但投资比
较昂贵。
冷备份弥补了热备份的一些不足,二者优势互补,相辅相成,因为冷备份在回避
风险中还具有便于保管的特殊优点。
在进行备份的过程中,常使用备份软件,它一般应具有以下功能:
1) 保证备份数据的完整性,并具有对备份介质的管理能力。
2) 支持多种备份方式,可以定时自动备份,还可设置备份自动启动和停止日期。
3) 支持多种校验手段(如字节校验、CRC循环冗余校验、快速磁带扫描),以保
证备份的正确性。
4) 提供联机数据备份功能。
5) 支持RAID容错技术和图像备份功能。
安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作是
应用一组规则的结果。这种恢复动作可能有三种:立即的、暂时的、长期的。例
如:立即动作可能造成操作的立即放弃,如断开。暂时动作可能使一个实体暂时
无效。长期动作可能是把一个实体记入“黑名单”,或改变密钥。
安全恢复的规范化包括恢复动作的协议,以及安全恢复管理的协议。
目前市场上有相当多成熟的备份与恢复软/硬件系统。用户需要做的是:
1) 应根据自己的需求设计备份与恢复方案
2) 购买必要的设备和软件
3) 设定专门的岗位来实施备份与恢复方案