信息安全 安全方案设计.doc

信息安全概论 第16章 安全方案设计第16章 安全方案设计学习和研究安全技术的根本目的是保护信息网络资源的安全，因此，面对具体的信息网络应用环境，如何合理地采用安全技术和产品，构造和实施安全方案，就成了本课程的归宿。 基于这样的指导意思，本章介绍安全方案设计的一般原理和方法，并给出一个典型方案实例，以引导读者学以致用。本章的内容主要是基于作者的经验写就的，仅是一家之言，有主观的一面，希望读者在批判中学习，在应用中发展。16.1. 安全方案设计方法安全方案设计与其他方案设计一样，都分为需求分析和方案设计两个大的阶段，不同的是各阶段需要分析和设计的内容不同。在安全需求分析阶段，主要需要进行资产分析、漏洞分析、威胁分析和需要遵照的标准和政策分析；而在方案设计阶段要考察能满足需求的技术、产品及相应的工程规划，最后形成可实施的方案。如图16.1。2. 方案设计阶段 信息资产：文件、数据 网络资产：设备、结构资产分析漏洞分析威胁分析标准、政策析技术选择产品选择分析工程规划实施方案分析1. 需求分析阶段16.1.1 需求分析. 资产分析 安全方案总是以保护一定价值的资产为目的。因此资产的价值决定了方案设计时考虑的投入强度。一般情况下，不可能用大于资产价值的保护代价去保护资产。目前普遍接受的看法认为，安全投入占资产价值的10-20%是比较合理的。问题是，资产的价值如何确定，尤其是信息资产的价值量化就更模糊。目前，资产价值的分析有两种指标，一种价格指标，一种是价值指标。前者可以量化，后者可以分级。在信息网络中，网络资源（硬件、软件）的投入是有价格的，但信息资源却很难用价格来衡量，如，很难说一份绝密文件值多少钱。因此，在资产分析阶段，应该将网络资源和信息资源分别估算。网络资源的价格可以初略地认为等同于合同价格，容易确定。关键是信息资源的价值需要探讨。在美国的信息安全保障框架（iatf）中，将信息资产分为v1-v5五个级别，起分级的依据是信息遭受破坏后的影响程度。v1-v5定义如表16.1所示。 表16.1 iatf信息资产分级信息级别分级依据v1对信息保护策略的违反造成的负面影响和结果可以忽略。v2对信息保护策略的违反会对安全、保险、金融状况、组织的基础设施造成 不良影响/或小的破坏v3:对信息保护策略的违反回造成一定的破坏v4对信息保护策略的违反会严重破坏安全、保险、金融状况、组织的基础设施v5:对信息保护策略的违反回造成异常严重的破坏我国将涉密信息分为绝密、机密、秘密、内部和公开五个级别，对各级别的重要程度和扩散范围做出了详细规定。虽然对商业信息没有明确的分级依据，但资产拥有者可以根据信息的重要程度和信息被攻击后可能引发的损失程度将信息进行分级。基于这样的认识，我们可以将信息价值划分为五级（其他分级数也可以，但太细的分级可操作性较差），不凡称之为分别成为不重要、一般重要、重要、很重要、特别重要。并分别赋值1-5。这样可以将资产价值分析总结为表16.2。 表16.2 资产价值分析表资产类别资产价值价值评估依据网络资产价格建设合同价（采购、开发、实施、服务、维护等）信息资产1不重要2一般重要3重要4很重要5特别重要根据以上资产分析依据，就可以给资产赋值。从而成为方案设计的一个量化依据。. 漏洞分析在分析了资产价值之后，就要对信息网络的脆弱性进行分析评估。如果信息网络没有漏洞可供攻击者利用，则认为信息网络是安全的。然而，实际的信息网络总有脆弱点存在。而且有些脆弱点是是无法避免的，如，很多服务端口必须开通，为合法访问者提供服务的同时也为攻击者提供了通路。漏洞扫描的目的就是确认信息系统具体存在什么漏洞。这种，通过制定信息系统存在的漏洞的类别和风险级别来指导采取的防范措施。漏洞扫描的有关内容在“脆弱性分析”一章一做了介绍。但在具体应用时，应制定相应的脆弱性分析结果表，如表16.3所示。 表16.3 漏洞分析结果样表被评估对象扫描工具漏洞名称/编号漏洞描述漏洞风险级别*应对措施www服务器iss scnaner安装补丁包email服务器数据库服务器路由器 * 表中漏洞风险级别分3级： 1-低 2-中 3-高该表的条目可根据需要自行增减，样表16.3只是描述了主要的要素，其中，被评估对象可以是网络设备（如路由器），也可以是主机设备（如服务器），可以是操作系统，也可以是具体应用；扫描工具有多种，根据实际情况选用；漏洞名称和编号常采用cve公布的规范，有些尚未列入cve的漏洞可暂给一个临时编号；漏洞描述部分是对响应漏洞的情况简单的说明，如，存在什么版本的系统中等；风险级别是反映漏洞可能导致的危险的评价，初略地分为高、中、低三个级别；应对措施是指已供认的措施（如安装补丁程序）和本方案中必须自行提出的防范措施等。漏洞评估要定期进行。. 威胁分析安全方案的最终是为了阻止威胁，保护信息安全，因此，在方案设计中，必须先分析被保护系统面临的威胁种类和来源，提出相应的技术措施。有关威胁分析的一般知识在“安全脆弱性分析”一章中已介绍。这里从实际应用的角度进行方法分析。针对具体的应用系统，必须先划定保护的边界，然后分析来自保护边界内外的威胁，做出相应的威胁分析和对策表，如表16.4所示。表16.4 威胁分析和对策表被保护边界可能面临的威胁可能造成的损失应对措施internet接口对外服务接口pstn拨号接口extranet接口wan接口子网接口重要服务器在表中，可以根据被保护网络的具体状况，分析保护边界和威胁，然后采取保护措施。. 标准和政策分析信息安全既是技术问题，也是管理问题。作为技术问题，必须遵照相应的技术标准，而作为管理问题，则要符合国家的相关政策。因此在方案设计时进行标准和政策分析，制定相应的表格，如表16.5和16.6。 表16.5 标准分析表标准名称标准类别标准主要要求方案采纳条款gb17859评估标准将信息系统安全分为5级采用第3级要求cc评估标准安全功能和保障方案设计采用pp/st模式iso17799安全管理对具体的系统管理提出了技术要求参照技术要点 表16.6 政策要求分析表政策名称政策类别政策主要要求方案采纳条款安全产品管理办法产品资质安全产品必须有销售许可证遵照商用密码产品管理条例密码政策采用国产算法、硬件实现遵照iso17799安全管理对具体的系统管理提出了技术要求参照技术要点16.1.2 方案设计. 设计原则信息安全方案设计除了遵循一般信息系统方案设计的原则（如先进性、可扩展性等）外，结合信息安全系统自身的特点，还应该遵循以下原则、l 逻辑透明分层原则：安全体系的设计应从具体的物理网和业务网中独立出来，安全网是保护物理网和业务网的一个逻辑网。因此安全网自身应该是完备的。安全网的建设应结合物理网和业务网的具体结构，但又不能拘泥于物理设备和业务类别的限制。l 最小安全实体保护原则：安全方案设计中，最重要的是确认威胁产生的根源。针对受保护系统的结构和功能状况，根据重要性的不同，将其划分为不同的安全域。对不同安全域采取不同的安全策略和措施，把内部不再有安全隐患存在的区域称为最小安全实体，并认为在最小安全实体内部是安全的。最小安全实体可能是一个网络、一个子网、一台主机，也可能只是一个目录、一个文件。总之，在最小安全实体内部的所有访问都是安全的，而来自最小安全实体之外的访问就可能存在危险。因此对来自最小安全实体外部的访问应受到安全措施的控制。l 产品与技术分离原则：安全方案的设计不是安全产品的简单应用，更不能局限于现有产品的功能，也不能将不必要的产品堆砌到方案中去。安全方案应该根据实际需求，确定技术总目标，然后，为了实现这一目标，选取所需的安全产品。在现有安全产品无法满足需求时，考虑开发必要的设备的可能性。如果没有可用产品，也无法在现有条件下完成开发，则必须做出规划，或调整方案，或限制应用范围。总之，不能因产品的限制设计出不安全的方案，又不能为了产品而增加投入。而必须以客观需求和技术可行性为依据。. 设计内容安全方案设计的技术和产品部分主要是功能设计和性能设计两个方面。而方案实施设计则包括项目管理、进度规划、技术培训、工程验收、维护升级等。.1. 功能设计安全功能的设计是安全方案设计的核心。安全功能设计应从安全功能的技术要求、安全功能支撑产品、安全功能实现层次和单元等方面来考虑。常见的技术和产品功能设计如表16.7。在具体设计时，根据系统的结构选择相应的安全目标，然后选择安全功能及其实现技术、实现位置、所用协议，最后选择可用的支撑产品。 表16.7 常见安全技术和产品功能设计表安全目标安全功能实现位置协议或原理安全产品保密性完整性抗否认性加密数字签名消息验证链路层l2tp链路加密机网络层ipsec网络加密机、vpn传输层ssl系统支持应用层pgp, smime, set，专用协议等加密机，加密卡，加密软件系统安全访问控制网络层包过滤，地址转换防火墙、vpn应用层、支撑系统访问代理防火墙应用系统访问控制操作系统、数据库、专用开发认证网络层ipsecvpn传输层信息认证系统应用层、支撑系统pki、kerberos、chap、radius等ca证书系统、专用开发、操作系统、数据库等审计网络层ip、时间、通断防火墙应用层、支撑系统登录、访问、连接审计操作系统日志、数据库日志、专用审计日志系统可用性防病毒应用层病毒查杀防病毒软件病毒网关入侵检测网络、系统、应用入侵监测日志分析入侵检测系统漏洞扫描网络、系统、应用漏洞扫描系统.2. 性能设计性能设计是安全方案的重要环节，不合理的安全方案经常导致系统性能明显下降甚至瘫痪。一般的安全方案性能设计主要考虑的要素和指标如表16.8所示。表16.8 安全性能设计应用环境指 标允许范围主要影响因素主要影响产品网络吞吐率下降不超过10%加密、过滤、代理防火墙、vpn等延时小于50ms最大允许并发连接数20万应用运行速度下降不超过10%驻留软件访问控制防病毒软件、基于主机的入侵检测等系统资源占用要留有足够的资源空间给应用系统使用.3. 方案实施设计方案实施设计应该考虑项目管理、实施内容、进度计划、培训计划、测试方案、验收和交付、维护和升级等内容，并考虑业主和施工方的责任和义务，以确保项目顺利进行。项目管理：应设立明确的双方责任人，包括项目管理人员、项目协调人员、项目施工人员、项目责任和质量保障人员等，一人可以承担多个角色，但一定要明确其工作内容和责任。实施内容：明确列出项目实施中需要完成的工作内容，包括产品购置与验收、开发、安装、调试、测试、文档管理、质量控制、项目协调等，制定详细表格。进度计划：明确列出每一项子任务的其止时间，尤其是当某些子受其他子任务制约时，要列出制约因素和进度。子任务是实施内容中规定的任务的分解。培训计划：通常在项目移交给用户前，都要对用户进行培训，培训内容可以是知识和原理培训、也可能是技能培训、使用培训等，根据实际情况确定。测试方案：项目实施过程中或投入运行前，都需要进行测试，以确保项目与设计目标符合，确保运行稳定。测试包括功能测试和性能测试，必须列出详细的测试大纲和测试方案，并做测试记录。测试方案要考虑测试目标、测试内容、测试手段和方法、测试人员、测试时间等。验收与交付：项目实施和测试后，就要考虑验收并交付业主。验收方案要考虑验收方式（如鉴定、运行观察等）、验收内容、验收时间、验收人员、验收结论等。验收后，就要交付用户使用，应考虑交付责任人、交付时间、交付方式、交付签收等。维护和升级：良好的维护和升级服务是确保项目正常运行的必要组成部分。维护和升级方案应考虑维护方式、应答时间周期、紧急响应措施、升级内容和责任、商务协调等。总之，项目实施方案是确保项目正常开展的重要计划，必须认真对待。16.2. 安全方案设计实例下面针对目前常见的信息网络接入方式和应用给出一个参考安全方案。假设信息网络结构如图16.1所示。核心数据库备份数据库交换机应用服务器二级交换机磁盘阵列应用服务器客户机路由器广域网internet主要安全技术措施： （1）边界保护：在该网络中，根据不同的网络结构和安全威胁级别，可将网络划分为internet接口、拨号接入接口、广域网接口等。internet接口：是内部网与internet连接的边界，内部网络通过该接口可访问internet，来自internet的访问也可以到达内部网。显然internet上的安全策略和内部网的安全策略是完全不同的，因此形成安全边界。在internet接口，主要采用的安全策略和措施如下：设立两道防火墙、建立非军事区、设置入侵检测探测器。如下图：靠近internet一侧的外防火墙采用包过滤型主要安全策略设置如下：l 允许所有从内到外的访问通过；l 拒绝来自internet的除针对dmz公用服务的访问；l 记录通过防火墙的所有访问事件（无论成败）。靠近内部网一侧的内防火墙采用应用代理型。重要安全策略如下：l 代理（可能需要认证）来自允许内部网的访问请求；l 拒绝来自internet或dmz的访问请求；l 记录访问日志。非军事区的安全策略如下：l 提供来自intern