信息系统安全方案网路安全建议书.doc

目录目录 目录目录 .1 前言前言 .3 第一章第一章 信息系统概述信息系统概述 .5 11 信息系统建设的目标5 12 信息系统建设的原则6 13 信息系统的构成7 131 主机、网络平台.8 132 系统平台.9 133 信息平台.9 134 应用平台.10 135 用户桌面平台.10 136 安全平台.10 第二章第二章 信息系统安全概述信息系统安全概述 .11 21 安全性概念11 22 安全等级标准介绍12 23 国际常用的安全机制介绍14 231 专用安全机制.15 232 扩展型安全机制.16 第三章第三章 设计目标及原则设计目标及原则 .17 31 安全体系的设计目标17 32 安全体系的设计原则18 33 安全体系应具备的功能18 34 安全体系设计的范畴20 第四章第四章 安全风险概述安全风险概述 .21 41 安全风险的来源21 42 安全风险分析与评估21 43 信息系统安全的脆弱性22 431 物理安全危机.22 432 逻辑安全危机.23 433 网络安全威胁.23 434 信息系统的安全漏洞.24 435 操作系统的脆弱性.24 436 数据库管理系统安全的脆弱性.25 437 缺少安全管理.26 44 信息系统安全损失统计26 信息系统安全方案1 441 因系统停机带来的损失统计.26 442 因数据丢失而带来的损失统计.26 443 因恶意攻击造成的损失.27 444 因计算机病毒造成的损失.27 45 信息系统中各级网络的安全风险与对策27 451 基层网络或终端.27 452 基层公司信息系统.28 453 分中心信息系统.29 454 总中心信息系统.30 第五章第五章 安全体系规划及技术安全体系规划及技术 .32 51 安全体系的总体框架32 511 系统安全.32 512 数据安全.33 513 网络安全.34 514 安全管理.36 52 部分产品及技术手段介绍37 521 数据存储管理.37 522 双机热备份和集群系统.38 523 网络主干的冗余.39 524 数据访问控制.40 525 金通计算机通用安全卡（ic卡认证）40 526 多层病毒防御系统.42 487 ca 认证系统.42 528 防火墙和vpn技术与产品.43 489 漏洞扫描与实时监控技术.44 5210 主页防篡改系统.45 5211 .45 信息系统安全方案2 第一章第一章 信息系统概述信息系统概述 随着市场经济的不断发展，企业竞争日趋激烈，国际化的合作不断增多， 现代大型企业要在未来的国际竞争中占据主动地位，信息是重要的战略资源， 其开发与利用已成为企业竞争能力的关键标志和企业发展的重要推动力。 在这场经济大潮中企业急待解决的问题是：如何充分有效地利用企业内部、 外部的各种信息进行企业整体作业的管理和企业发展战略的决策，极大地提高 工作效率，提高管理水平和决策能力，使企业的日常运营纳入高效可靠的轨道。 11 信息系统建设的目标信息系统建设的目标 信息系统的建设是促进现代企业业务发展、提高效率、提高管理能力、提 高决策正确性和综合竞争能力的工具和手段，并随企业发展而完善。企业应用 是信息系统的核心。 信息系统建设的目标是：对信息的综合利用、开发和管理。信息系统建设的目标是：对信息的综合利用、开发和管理。 信息系统的建设将涵盖对信息的采集、加工、处理、分析、利用、决断的 全过程。 采采集集 （数数据据） 处处理理 （信信息息） 利利用用 （知知识识） 决决策策 （智智慧慧） 采集采集：对大量原始数据的采集和存储将是信息系统建设和应用的基础，数据是 信息系统的基本元素，没有数据的系统将是一个只有投入没有产出的空 架子，信息系统建设的首要任务是对来自企业内部和外部各种相关数据 的收集和存储。但这只是信息系统建设的原始阶段，我们得到的也只是 各种各样杂乱的数据。采集主要是通过网络、通信设备、人工或智能仪 器等来完成。 处理：处理：对各种数据的加工、处理将使杂乱的数据成为有序的信息，实现一些基 本的信息系统功能。信息是系统发挥效益的基本因素，企业信息系统建 设的需求大多是从信息处理出发，而逐步完善。信息处理主要依靠主机、 网络、服务器、应用平台及应用来实现。 利用：利用：对大量的信息进行分析，发掘其潜在的规律性，以得到企业的商业模型、 市场的发展趋势等信息，为企业的业务运作和企业发展积累经验和知识， 并在不断的利用过程中校验其正确性，最终形成企业切合自身的智慧。 知识积累和信息利用主要是依靠服务器和应用系统来完成。 决断：决断：通过对大量的企业积累的知识利用，使之成为正确决断的参考资料，成 信息系统安全方案3 为决策者智慧的一部分，使信息系统的建设发挥出更大的效益，为企业 提高决策正确性提供科学的有力的依据。智能作业和决策支持主要是通 过应用系统来实现。 12 信息系统建设的原则信息系统建设的原则 信息系统的建设应采取统一规划、分步实施的原则，以保证网络建设和应 用的合理性和顺利完成。根据企业的应用需求及未来的发展进行总体规划，根 据企业现行需求情况、投资规模及使用者的接受程度、培训、教育计划、应用 水平等因素综合考虑，进行分步实施和推广普及，以达到最有利的分阶段投入 产出效益。我们可以按照如下的原则，逐步进行信息系统的规划和实施： 1、对整体应用需求做综合的分析，以确定网络平台及应用系统的建设规 划。 2、基于整体的规划和现行的投资规模，分期建设主机平台、网络平台、 通讯平台，留出充分的接口，以便下期工程的顺利实施，逐步完成硬件平台的 建设。 3、在现期硬件平台上，根据现期应用需求，进行应用平台的建设和应用 系统的设计，保证现有建设的适用性，为后期应用留有接入点，以便适应将来 企业不断发展的应用需求、机构调整和业务扩展等的需要。 信息系统在规划和设计时应充分考虑以下原则：信息系统在规划和设计时应充分考虑以下原则： 系统性系统性 以系统学的眼光作出整体规划，做到统一设计，分步实施。在系统设计过 程中还必须考虑到系统实施的分步性，可以适应各级单位实施过程中的阶段性， 并提供逐步实施的具体方法。 全面性全面性 系统设计应充分考虑所管理信息的全面性，使系统成为全面信息服务的基 础。信息的全面性不仅包括内部信息，同时还必须考虑到大量的外部信息。 实用性实用性 系统必须符合应用特点，并做到易学易用，符合政府使用习惯。对具有共 性的环节统一规划，对各地政府的特殊需求具体分析。 先进性先进性 采用先进的设计思想和技术，采用先进成熟的软硬件技术进行设计，保证 系统具有较强的生命力，符合当前和未来的发展趋势。 适应性适应性 系统应能适应目前和未来可能发生的各种复杂情况，具有灵活的应变能力 信息系统安全方案4 和适用性，并且要充分考虑到今后一段时间内部门机构的变化和不同地域的具 体需求。系统的规划和设计必须考虑到推广过程中的各种具体情况，使系统从 深度和广度上都具有灵活的适应能力。 开放性开放性 系统在总体设计和规划时，将充分考虑环境对系统的影响及与外界的联系， 使系统有较强的适应能力和扩充能力，同时具有灵活的与外界交流的能力和手 段。 安全性安全性 系统既要和 internet 连接，又要与内部办公系统连接，在总体规划时，就 应充分考虑网络的安全性问题，进行定期的安全风险评估，制定相应的安全策 略和人员安全制度，实时监控网络上的非法和恶意行为。 服务性服务性 系统应充分体现信息管理和服务的特点，为政府机关提供方便、快捷的信 息检索查询手段。信息种类丰富，来源复杂，系统应将这些信息合理划分、管 理，提高用户信息查询效率，使系统成为信息管理核心。 可维护性可维护性 系统设计应考虑到政府对系统进行日常维护的工作难度，尽量自动完成一 些维护管理工作，并实现全系统数据及应用统一管理的目的。 13 信息系统的构成信息系统的构成 信息系统建设的前提在于应用信息技术、信息资源、系统科学、管理科学、 行为科学等先进的科学技术不断使企业的业务与管理借助于各种设施（主要是 指计算机）以达到对企业内部发展的统一管理。信息资源的开发与利用是信息 系统建设的根本，以行为科学为指导，以系统科学、管理科学、社会学等为理 论基础，以计算机、通讯等信息技术为工具，提供对企业整体作业的操作、管 理、宏观调控和辅助分析决策。 信息系统的构成包括信息、物理实体、应用等各种因素，从总体框架上看， 可以分为以下几个层次： 信息系统安全方案5 主主机机、网网络络平平台台 ibm、hp、sun, lan、wan 主主机机、网网络络平平台台 ibm、hp、sun, lan、wan 系系统统平平台台 nt、unix、novell、sna 系系统统平平台台 nt、unix、novell、sna 信信 息息 平平 台台 信信 息息 平平 台台 文文档档信信息息决决策策信信息息结结构构化化信信息息 internet mis oa erp 政政府府上上网网 金金融融电电子子化化 电电子子商商务务 多多媒媒体体应应用用 internet mis oa erp 政政府府上上网网 金金融融电电子子化化 电电子子商商务务 多多媒媒体体应应用用 应应 用用 平平 台台 应应 用用 平平 台台 用用户户桌桌面面 pc、tv、电电器器 用用户户桌桌面面 pc、tv、电电器器 信信 息息 系系 统统 安安 全全 平平 台台 信信息息系系统统的的构构成成 131 主机、网络平台主机、网络平台 主机、网络平台是信息系统建立通信、作业的物理基础。 主机是信息系统中建立应用的关键因素，承担着几乎所有信息处理、信息 利用的任务，主机的选择关系到整个信息系统的处理能力。 网络是信息系统信息交互的通道，网络的设计同样关系到整个信息系统的 运行效率。 1、目前信息系统中常用的主机主要分为小型机、unix 工作站、pc 服务器， 大型机也时常用到，主要来自于 ibm、hp、sun、compaq、dell 等国际著 名厂商。 信息系统中主机的设计应遵循以下的原则：信息系统中主机的设计应遵循以下的原则： 先进性 先进性将保证系统具有较强的生命力，有较长期的使用价值，符合当前或 未来的趋势。 可扩展性 目前的选择必须为今后的扩充留有足够的余地，以保护用户的投资 可靠性 所选系统应具备较高的可靠性，将故障率降为最低，避免因意外使用户遭 到重大损失。 易用性 易于操作，易于管理，使用户可以将更多的精力放到业务上。 互联性 所选硬件应是标准化的，支持多协议，可以方便地实现互联。 信息系统安全方案6 2、网络系统可分为局域网、广域网和城域网，随着 internet 技术的发展， 更多的企业在建立自己的 intranet、internet 和 extranet 网络，一个 大型、多级网络的概要图如下： pstn chinapac chinanet 总总中中心心 mmmm mm mm m mmmm mmm m mm m . . chinanet /pstn . . . 分分中中心心 4分分中中心心 5 分分中中心心 3分分中中心心 2分分中中心心 1 信息系统网络示意图 广域网的建设通过国家通信基础设施如 ddn 网、x.25 网、fr 网、 isdn、pstn 等将总中心、各分中心、各下级局域网和终端机进行连接，以实 现整个信息系统的通信连接。 局域网可以根据自身的需要和投资收益的判断选择以太网、快速以太网、 atm 网等。 132 系统平台系统平台 主机、网络平台保证物理的连通，系统平台则是信息系统建立应用的基础， 所有对信息的存储、处理、和应用都将建立在系统平台之上，系统平台主要包 括 unix 操作系统、novell 网络操作系统、windows nt 系统，系统平台的 选择应综合考虑主机、网络、关键应用、技术素质、培训与系统维护等因素， 以确保合理、高效的应用。 133 信息平台信息平台 信息平台是各种信息的集散地，是信息综合利用的基础。主要包括文档信息平 台、结构信息平台、决策信息平台，通过文档型数据库、结构化数据库、多媒 体数据库和多维数据库等技术和产品来实现，以实现企业各类内部及外部的信 息的综合处理，为企业信息系统的应用提供科学、有利的数据。 信息系统安全方案7 134 应用平台应用平台 应用是建立信息系统的目的，根据自身的需求进行合理的投资，建立科学 的应用，将使企业得到最大的投资回报。 信息系统的应用主要有：信息系统的应用主要有： 财务管理系统 管理信息系统（） 集成制造系统（） 办公自动化系统（） 企业信息服务系统（） 企业资源计划系统（） 业务流程重组（） 决策支持系统（） 客户关系管理 市场营销管理 电子商务 网络营销 多媒体呼叫中心 internet应用 135 用户桌面平台用户桌面平台 信息系统的应用，无论是查询、检索、计算、处理还是分析，最终都要呈 现到用户桌面上，目前常用的用户桌面主要有终端机、客户 pc 机、电视、家 用电器等。用户桌面是整个信息系统的末端环节，同时也是用户利用信息系统 进行工作的工具。 136 安全平台安全平台 安全平台贯穿整个信息系统的所有层次，是信息系统正常运转的保障。安 全管理则覆盖信息系统、企业应用的全面，只有将安全技术、产品和人员的安 全管理有机地结合在一起，才能为信息系统建设一个比较完善的安全体系。 信息系统安全方案8 第二章第二章 信息系统安全概述信息系统安全概述 今天，几乎世界上每一个国家都高度依赖于相同的、内部连接的通讯、能 源、运输和公用网络。不管用国际互联网、调制解调器或是租用的专线，几乎 每一个这种网络都能互相跟踪。研究表明，75%以上的这些网络有相当多的弱点。 安全问题是组建网络面临的敏感和重要问题。网络提供了信息流通的便利 渠道，提供了客户服务及信息交流的平台。但同时也给信息的保密和真实性， 系统的正常运行带来严重的挑战。因此，如何协调系统安全和系统的灵活、高 效和开放性，保证网络的可靠运行，动态地监控和调节网络性能，是在设计系 统安全体系和选择网络安全管理产品时必须要考虑的问题。 21 安全性概念安全性概念 信息系统安全涉及到立法、政府行为、保险与技术许多方面的问题。 1、在信息立法方面，在信息立法方面，国家要在信息系统安全方面进行立法。在尚未信息立 法之前，可以考虑先制定一些管理条例。 2、在政府行为方面，在政府行为方面，国家要对信息系统安全产品制定安全标准，并且进行 技术监督工作。企业应考虑成立国家信息系统运营网管中心，实施较严 格网络管理。 3、在保险业务方面在保险业务方面，一些重要的企业经济信息系统的安全可以购买保险方 式进行保护。 4、在安全技术方面在安全技术方面 计算机信息系统的安全包括如下两个层次的含义： 信息系统的数据与信息的安全与保密 计算机信息系统的自身的安全 从总的方面来看，信息系统安全要抓住认证、加密、授权、保护、监控与认证、加密、授权、保护、监控与 攻击攻击等方面工作，一般包括如下几个方面的具体内容： 要保护系统与系统内的各种资源免遭自然与人为的破坏，具有抗灾害与 抗破坏的能力。 要防止信息辐射与泄漏。 要防止信息系统免遭“信息武器”的攻击。 加密与解密算法及其芯片。 为计算机等信息设备加设的密钥体制与密钥芯片。 反“黑客”攻击的模拟仿真技术 反计算机病毒技术 防火墙技术 身份认证技术 安全监视跟踪技术 信息系统安全方案9 要准备系统安全应急恢复计划与措施。 要加强信息系统的安全管理 22 安全等级标准介绍安全等级标准介绍 根据美国国防部的计算机安全标准，可信任计算机标准评估准则 （trusten computer standards evaluation criteria）桔皮书（orange book） ，一些级别被用于保护硬件、软件和存储的信息免受攻击。这些级别均描 述了不同类型的物理安全、用户身份验证（authentication） 、操作系统软件的 可信任性和用户应用程序。这些标准也限制了什么类型的系统可以连接到系统。 安全性等级主要特征 1d最低保护等级d非安全保护 2c自主保护等级c1自主安全保护自主存取控制，审计功能 c2可控存取保护比 c1 级更强的自主存取控制，审计功 能 3b强制保护等级b1标记安全保护强制存取控制，敏感度标记 b2可结构化保护形式化模型，隐蔽通道约束 b3安全区域保护安全内核，高抗渗透能力 4a验证保护等级a1可验证保护形式化安全验证，隐蔽通道分析 这个评估准则，有许多人认为，对于开放系统的安全，已经相当不够了。这个评估准则，有许多人认为，对于开放系统的安全，已经相当不够了。 该可信计算机评估准则，可以通过如下概念进行描述：该可信计算机评估准则，可以通过如下概念进行描述： （1）安全性安全性 安全策略安全策略 security policy 为了实现软件系统的安全而制定的有关管 理、保护和发布敏感信息的规定与实施细则。 安全策略模型安全策略模型 security police model 实施安全策略的模型。 安全服务安全服务 security services 根据安全策略与安全模型提供的安全方 面的服务。 安全机制安全机制 security mechanism 实现安全服务的方法。 （2）认证认证 （3）加密加密 （4）授权与保护授权与保护 可信计算机可信计算机 trusted computing base(tcb) tcb 是软件、硬件与固件的一个集合，它在存取控制策略的基础上， 处理主体 s 集合对客体 0 集合的存取，并满足如下的性质： 1）tcb 处理 s 中的主体对 0 中的客体的每一个存取。 2）tcb 是抗篡改的 3）tcb 足够小，便于分析与测试 在实践中，tcb 可以是一个安全核，前端安全过滤器或整个系统。更严 信息系统安全方案10 格的定义，是定义 tcb 子集子集 m 概念，概念，m 具有上述特性。具有上述特性。 主体主体 subject 在操作系统中主要指作业。进程等。 客体客体 object 信息实体，例如文件、记录、字段等。 最小特权原理最小特权原理 least privilege theorem 系统中主体执行授权任务时， 应该授予它完成任务所必须的最小特权。 自主存取控制自主存取控制 discretionary access control 基于主体及其所属的身 份来限制客体存取的一种方法，具有某类权限的主体能够直接或间 接地将其存取权限转移给其它主体。在这种意义上，控制是自主的。 强制存取控制强制存取控制 mandatory access control 基于客体中信息的敏感度 而对存取客体实行限制的一种存取控制方法，根据信息的敏感度决 定主体客体中队信息存取权限。 1 1、d1d1 级级 d1 级是可用的最低的安全形式。该标准说明整个系统都是不可信任的。对 于硬件来说，没有任何保护可用；操作系统容易受到损害；对于用户和他们对 存储在计算机上信息的访问权限没有身份验证。该安全级别别典型地指像 ms dos、mswindows 和 apple 的 macintosh system 7.x 等操作系统。 这些操作系统不区分用户，并且没有定义方法来决定谁在敲击键盘。这些 操作系统对于计算机硬盘上的什么信息是可以访问的也没有任何控制。 2 2、c1c1 级级 c 级有两个安全子级别：cl 和 c2。 cl 级、 或称自选安全保护 （discretionary security protection）系统，描述了一个典型的 unix 系统 上可用的安全级别。对硬件来说存在某种程度的保护，因为它不再那么容易受 到损害，尽管这种可能性仍然存在。用户必须通过用户注册名和口令让系统识 别他们自己。这种组合用来确定每个用户对程序和信息拥有什么样的访问权限。 这些访问权限是文件和目录许可权限(permission)。这些自选访问控制 (discretionary access control)使文件或目录的拥有者或者系统管理员，能 够阻止某个人或几组人访问那些程序或信息。但是，这并没有阻止系统管理帐 户执行活动。结果，不审慎的系统管理员可能容易损害系统安全。 另外，许多日常系统管理任务只能由以 root 注册的用户来只执行。随着 现在计算机系统的分散化，随便走进一个组织，你都会发现两三个以上的人知 道根口令，这已经是司空见惯的事，由于过去无法区分是 doug 还是 mary 对系 统所做的改变，所以这本身就是一个问题。 3 3、c2c2 级级 第二个子级别 c2 可用来帮助解决这些问题。除 c1 包含的特征外，c2 级还 包含其它的创建受控访问环境(control-access environment)的安全特征。该 环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许 可权限，而且基于身份验证级别。另外，这种安全级别要求对系统加以审核 (audit)，这包括为系统中发生的每个事件编写一个审核记录。 信息系统安全方案11 审核用来跟踪记录所有与安全有关的事件，比如那些由系统管理员执行的 活动。审核还要求身份验证，因为没有它，如何能够确定实际执行命令的人就 是某人呢？审核的缺点在于它需要额外的处理器和磁盘子系统资源。 使用附加身份验证，对于一个 c2 系统的用户来说，没有根口令而有权执 行系统管理任务是可能的。这使得追踪与系统管理有关的任务有了改观，因为 是单独的用户执行了工作而不是系统管理员。 这些附加身份验证不能与可应用于程序的 sgid 和 suid 许可权限相混淆， 而且它们是允许用户执行特定命令或访问某些核心表的特定身份验证，例如， 那些无权浏览进程表的用户，当执行 ps 命令时，只能看到它们自己的进程。 4 4、b1b1 级级 b 级安全包含三个级别。b1 级或标志安全保护(labeled security protection)，是支持多级安全(比如秘密和绝密)的第一个级别，这一级说明一 个处于强制性访问控制之下的对象，不允许文件的拥有者改变其许可权限。 5 5、b2b2 级级 b2 级，叫做结构保护(structured protection)，要求计算机系统中所有 对象都加标签，而且给设备(如磁盘、磁带或终端)分配单个或多个安全级别。 这是提出较高安全级别的对象与另一个较低安全级别的对象相通讯的第一个级 别。 6 6、b3b3 级级 b3 级或安全域级别(security domain)，使用安装硬件的办法来加强域， 例如，内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。 该级别也要求用户的终端通过一条可信任途径接到系统上。 7 7、a a 级级 a 级或验证设计(verify design)是当前桔皮书中的最高安全级别，它包含 了一个严格的设计、控制和验证过程，与前面提到的各级别一样，这一级包含 了较低级别的所有特性。设计必须是从数学上经过验证的，而且必须进行对秘 密通道和可信任分布的分析。可信任分布(trusted distribution)的含义是， 硬件和软件在传输过程中已经受到保护，以防止破坏安全系统。 23 国际常用的安全机制介绍国际常用的安全机制介绍 在 iso74982 标准中，网络的安全体系被看作为一种层次型的模型结构， 模型的最底层是一些由网络的硬件(如路由器、智能 hub 等)和软件提供的安全 机制，由这些安全机制组合成某种安全服务，而处于最高层的安全应用程序则 是通过调用这些安全服务功能来保证其使用的安全性的。 安全机制的设计主要是针对系统和网络所受到的不同类型的侵犯，因而可 以从功能上将其划分成两类，一类专门用于安全服务的专用安全机制，另一类 则仅是为了增强系统的安全级别，在本文中称为扩展型安全机制。 信息系统安全方案12 231 专用安全机制专用安全机制 专用的安全机制分为专用的安全机制分为 8 8 类，分列于下：类，分列于下： (1)(1)加密机制加密机制 加密机制可以为数据或所传输的流量信息提供保密的手段。一般说来，加 密机制由各种加密算法提供支持。 (2)(2)数字签名机制数字签名机制 数字签名是指在信息传递中模仿实际生活中签字化押的形式证实发送方的 身份的过程。签名的方式多种多样，常见的方式是发送方先从所传递的消息中 随机抽取一部分信息(摘要)作为签名内容，并用自己的私人密钥(不对外公开的 密钥)对其加密，并与整个消息一齐传送到接收方；接收方收到数据后，分离出 签名部分，再用发送方的公开密钥解开其中的签名内容，以此来验证这条消息 是否是由发送者发送的。数字签名机制成功与否的关键在于签名部分必需是从 发送者的个人信息中产生出来，这样才不会出现纠纷。 (3)(3)访问控制机制访问控制机制 访问控制机制通过判别访问者的标识信息或权限决定其是否能访问某项资 源，这一机制可以应用在会话的任何一端或会话的中间转发点，用于确定会话 发起者是否得到了被访问者的授权。 (4)(4)数据完整性机制数据完整性机制 数据的完整性既包括一条单独消息的完整性，也包括一段消息序列的完整 性(信息流完整性)，即保障消息传输的顺序。 (5)(5)鉴别信息交换机制鉴别信息交换机制 身份鉴别信息交换机制通过交换鉴别信息使两个通信实体相互信任，这种 机制包括，发送方向接收方提供身份证明信息(口令字等)，加密技术，以及其 它生物标识技术(例如使用指纹作为验证手段)。这种机制在实际应用中往往要 结合“握手”方式以及一次性口令机制一起使用，因为攻击者可以通过复制后 重发的手段使身份验证的防护手段完全失去效用。 (6)(6)流量填充机制流量填充机制 流量填充机制可以通过在所传递的报文中添加填充符来防止信息被流量分 析设备所盗用，填充信息往往需要加密后才能生效。 (7)(7)路由控制机制路由控制机制 路由控制机制是指通过在关键信息中加入安全标签，防止信息被选择到一 条不安全的路由上或者用安全标签区分不同的数据类型，控制路由的走向。在 公共网络的基础上建造专用网络时，路由控制机制往往能提供专用网络必备的 专用传输通道。 信息系统安全方案13 (8)(8)公证机制公证机制 公证机制类似于实际生活中的公证处所起的作用，在两个相互怀疑的实体 之间通信时，需要有一个仲裁机构解决双方的不信任问题。尤其是在处理“拒 绝履行义务”等类型的网络攻击手段时，公证机制可以为纠纷双方提供一个可 以信赖的“第三方”认证机构。 232 扩展型安全机制扩展型安全机制 扩展型安全机制分成扩展型安全机制分成 4 4 类：类： (1)(1)安全标签安全标签 安全标签用于区分不同类型报文的敏感程度和应受到的保护程度。安全标 签可以是报文结构的一部分，如在加密过程中使用特殊的密钥，报文的来源， 指定路由等：还有一些是具有明确的安全意图的标签，它们的作用是为安全检 查进程提供检查手段。 (2)(2)事件检测事件检测 安全事件检测机制不仅要对那些明显的具有侵犯意图的安全事件进行记录， 它还应该记录诸如成功访问(成功登录)等“正常”的网络事件，以便在网络的 日志审查和恢复过程中提供参照数据。 (3)(3)安全审计安全审计 安全审计是指利用日志记录等历史事件审计系统的活动是否符合所制定的 安全策略和操作规范；系统的控制是否充分，以及提出对系统控制和安全策略 的改进意见。安全审计在灾难恢复中起着相当重要的作用。 (4)(4)安全性恢复安全性恢复 安全性恢复机制可以在系统受到破坏后使系统恢复到正常的安全状态，恢 复手段可以是短期的，也可以是长期的。 信息系统安全方案14 第三章第三章 设计目标及原则设计目标及原则 信息系统安全体系主要考虑的是信息、关键数据、管理、工作流的安全性、信息系统安全体系主要考虑的是信息、关键数据、管理、工作流的安全性、 可用性、完整性，以及对信息流、敏感信息的不可篡改、不可否认和不可抵赖。可用性、完整性，以及对信息流、敏感信息的不可篡改、不可否认和不可抵赖。 基于第二章的概述，对系统安全性概念及发展的理解，确立安全体系总体基于第二章的概述，对系统安全性概念及发展的理解，确立安全体系总体 规划和建设的目标和设计原则，以及在信息系统安全体系中应具备的功能，对规划和建设的目标和设计原则，以及在信息系统安全体系中应具备的功能，对 安全体系进行统一规划。安全体系进行统一规划。 本章对信息系统安全体系的设计目标和设计原则进行论述。本章对信息系统安全体系的设计目标和设计原则进行论述。 31 安全体系的设计目标安全体系的设计目标 鉴于信息系统中的信息流、资金流、工作流、敏感信息的重要性，安全体 系的设计、规划和建设应逐步达到以下目标： 保密性保密性 是指静态信息防止非授权访问和动态信息防止被截取解密。信息 的保密性主要指关键信息、交易信息、资金以及信息系统敏感信息的加密、 用户访问权限管理和不因信息泄露而造成损失等。 完整性完整性 是指信息在存储或传输时不被修改、破坏，或信息包的丢失、乱序 等。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息 安全的常用手段。目前，对于动态传输的信息，许多协议确保信息完整性 的方法大多是收错重传、丢弃后续包的方法，但黑客的攻击可以改变信息 包内部的内容。因此，除以上方法还应重点考虑对信息的加密、备份和恢 复机制。信息系统中信息的完整性是系统正常运转的基本保障。 可靠性可靠性 是指信息的可信度，包括信息的完整性、准确性和发送人的身份证 实等方面，可靠性也是信息安全性的基本要素。这一点企业的财务管理、 资源管理、电子交易以及与银行的接口中犹为重要。 实用性实用性 即信息加密密钥不可丢失(不是泄密)，丢失了密钥的信息也就丢 失了信息的实用性，成为垃圾。 可用性可用性 一般是指主机存放静态信息的可用性和可操作性。病毒就常常破 坏信息的可用性，使系统不能正常运行，数据文件面目全非。企业关键服 务器的可用性和连续运转直接影响着信息系统的运行效果。 占有性占有性 是指存储信息的主机、磁盘等信息载体被盗用，导致对信息的占用 权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性，提供 物理和逻辑的存取限制方法；维护和检查有关盗窃文件的审记记录、使用 标签等。信息系统中涉及商业机密、敏感信息、资金、交易信息时，要求 其安全性和占有性很高。 信息系统安全方案15 32 安全体系的设计原则安全体系的设计原则 为了实现上述的安全目标，对于信息系统的安全设计，应基于如下原则： 需求、风险、代价平衡分析的原则需求、风险、代价平衡分析的原则 信息系统中没有绝对的安全，需通过安全风险分析，从系统建设需求、安 全风险、安全投入、收益等方面找到平衡点，来规划安全体系。 多重保护的原则（全局防御的原则）多重保护的原则（全局防御的原则） 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重 保护系统，各重保护相互补充，当一重保护被攻破时，其它重保护仍可保护信 息的安全。 多层次（网络多层次（网络osiosi参考模型中的逻辑层次）保护的原则参考模型中的逻辑层次）保护的原则 安全体系的规划应贯穿osi参考模型的各个层次，如在链路层和网络层实 施包过滤，在表示层实施加密传送，在应用层设置专用程序代码、运行应用层 审计软件，在应用层之上启动代理服务等。 网络分段的原则（物理和逻辑）网络分段的原则（物理和逻辑） 网络分段是保证安全的重要措施。网络分段可分为物理分段和逻辑分段。 网络可从物理上分为若干段，即通过交换器连接各段。对于tcp/ip可进行逻辑 分段，即把网络分成若干ip子网，各子网通过路由器连接，并在路由器上建立 可访问表，来控制各子网间的访问。 设多个安全单元的原则设多个安全单元的原则 把整个网络的安全性赋予多个安全单元，如路由器、屏蔽子网、网关，形 成了多道安全防线。 易操作、灵活性的原则（安全措施由人完成）易操作、灵活性的原则（安全措施由人完成） 安全措施与网络的灵活性是一对矛盾，安全体系的规划应以不影响系统的 正常运转和易操作、灵活性为前提。 最小授权的原则（分散权力，降低灾难程度）最小授权的原则（分散权力，降低灾难程度） 特权（超级）网络要有制约措施，分散过大的集中权力，以降低灾难程度。 综合性原则（设备综合性原则（设备 技术技术 策略策略 管理）管理） 计算机网络系统的安全应从物理上、技术上、管理制度（如安全操作乃至 计算机病毒的防范等）上以及安全教育上全面采取措施，相互弥补和完善，尽 可能地排除安全漏洞。 33 安全体系应具备的功能安全体系应具备的功能 iso 在其安全框架文件中，定义了开放环境下系统安全功能，对系统内部 各对象的保护方法，保证系统间通信规则，都作了详细说明。 根据信息系统安全的设计目标和原则，参考根据信息系统安全的设计目标和原则，参考 isoiso 安全框架文件中的说明，安全框架文件中的说明， 我们的安全体系应具备以下功能：我们的安全体系应具备以下功能： 身份识别身份识别 是验证通信双方身份的有效手段，用户向其系统请求服务时， 要出示自己的身份证明，最简单的方法是输入 userid 和 password。而系统 信息系统安全方案16 应具备查验用户的身份证明的能力。身份判别是安全系统最重要功能之一， userid 和 password 是最常用也最方便的身份认证方法，也是最不安全的。 原因是用户为了便于记忆而使用了生日、电话号码等 password，使得 password 很容易猜出。因此 password 的管理也成了安全系统非常重要的工 作。在信息系统中，考虑信息、管理、业务及交易等系统的多层次、跨地 域，情况复杂，我们将采用多种身份识别技术，其中 ic 卡应用和一次性口 令将是身份识别的主流。 存取权限控制存取权限控制 防止非法用户进入系统及防止合法用户对系统资源的非法 使用是存取控制的基本任务。在开放系统中，网上资源的使用应制订一些 规定：一是定义哪些用户可以访问哪些资源，二是定义可以访问的用户各 自具备的权限，这是存取权限控制的主要任务。信息系统中业务管理、物 资调配、用户管理、工作控制、以及财务、交易信息等都是极其敏感的资 源，存取权限控制将在资源访问方面对这些敏感资源进行保护。 数字签名数字签名 如用 rsa 等公开密钥算法，生成一对公钥和私钥。信息发送需 用发送者私人密钥加密信息，即签名，信息的接收者利用信息发送者的公 钥对签名信息解密，以验证发送者身份。在实际应用中，一般是对传送的 多个数据包中的一个 ip 包进行一次签名验证，以提高网络运行效率。保护 数据完整性 internet 通信协议在数据传输过程中，通常使用数据包排序、 控制包、校验码等差错控制机制，防止传输过程中的突发错误，但对网上 黑客们的主动攻击(如对信息的恶意增删、修改)则显得无能为力。通过加 入一些验证码等冗余信息，用验证函数进行处理，以发现信息是否被非法 修改，避免用户或主机被伪信息欺骗。信息系统中数字签名多用于敏感信 息、交易数据的确认及管理系统中公文、签报等密文的发送。 跟踪审计和信息过滤跟踪审计和信息过滤 系统应不断地收集和积累有关的安全事件记录加以 分析，有选择地对其中的某些节点或用户进行跟踪审计，以便对发现或可 能产生的破坏性行为提供有力的证据，并定期向信息系统各级网络相关的 安全系统秘密发送有关消息(一般是有害节点地址)，其它系统则根据这些 消息，更新各自的路由过滤列表，通过信息过滤机制，拒绝接收一切来自 过滤列表上 ip 地址的信息，以杜绝网上的某些节点产生的信息垃圾或不良 行为对用户进行信息干扰和信息轰炸。 密钥管理密钥管理 信息加密是保障信息安全的重要途径，以密文方式在相对安全 的信道上传递信息，可以让用户比较放心地使用网络，如果密钥泄露或居 心不良者通过积累大量密文而增加密文的破译机会，都会对通信安全造成 威胁。因此，对密钥的产生、存储、传递和定期更换进行有效地控制而引 入密钥管理机制，对增加网络的安全性和抗攻击性也是非常重要的。在信 息系统中对交易卡（如信用卡、电子钱包等）的管理，以及对操作人员身 份 id 或 ic 卡的生产、管理、分发将引入密钥管理机制。 安全通信安全通信 通信的安全性主要依靠加密技术，包括在网络 osi 参考模型的 多个逻辑层次上的加密，总的来说可以理解为对信息的加密和对信道的加 密，来保证通信中信息的安全性和通信线路的安全性。在信息系统中，各 级网络之间的通信，根据信息的重要性都应具备安全通信的功能。 实时防病毒实时防病毒 网络版和单机版的实时防毒强技术和产品，可以在病毒通过 网络或病毒在工作站上启动时被查出并杀除。病毒对信息的危害将体现在 对各级服务器（基层网络服务器、上级网络服务器、总部网络服务器）以 信息系统安全方案17 及整个信息系统的网络和系统的破坏上，网络病毒的传播更加快速、广泛， 任何的系统错误、数据混乱、服务失败都会给企业的业务系统和管理系统 带来损失，因此在信息系统安全体系中应具备多层次的实时防病毒功能。 安全监测安全监测 在信息系统的总部各下级信息系统中对网络、操作系统、数据 库、应用系统进行定期的漏洞检测，发现漏洞并在攻击、破坏发生前修补 漏洞，同时，实时监控通过网络的数据包，发现非法行为，向系统管理员 或安全管理员报警，并可根据预先定义的安全策略对非法行为记录全部会 话、保留犯罪现场、切断连接、提交完整的日志和报告。当发现攻击或非 法行为时除上述安全策略定义的响应外，还可以修补漏洞，重新设置路由 器、防火墙等安全设施的配置，重新制定相应的安全策略，周而复始地对 网络进行安全漏洞的检测、监控和响应。 数据存储管理数据存储管理 没有绝对的安全，应在安全性和可用性上找到一个平衡点， 因此对系统、数据库、应用等的数据备份尤为重要，当因某种因素系统被 破坏、应用错误、数据丢失时，可以通过数据存储管理进行及时恢复，以 免造成不良影响。 34 安全体系设计的范畴安全体系设计的范畴 安全体系设计包括安全意识和安全技术的设计：安全体系设计包括安全意识和安全技术的设计： 安全意识安全意识包括各种网络安全的规章制度、安全规范、安全策略、人员安全 守则等等，诸如系统管理员安全规范、用户安全规范、系统安全策略、口令规 则、磁盘领用及使用制度、废纸篓原则、内部拨号上网条例等，是从人的意识 和安全管理制度的角度出发，制定各种安全管理制度和规范、制定并动态修改 安全策略、用户的安全教育及培训，并通过有效的手段实施、监督安全制度的 执行。 安全技术安全技术主要指认证的安全和通信的安全，以及数据完整性，如包过滤路 由器技术、防火墙技术、ic 卡技术、动态口令技术、生物特性身份认证技术、 密码技术、数据源加密、链路加密技术、实时监控技术、电子屏蔽技术、防病 毒技术、数据备份与恢复技术等，从技术实现的角度探讨对网络的安全防护。 网络安全意识只有和网络安全技术相互结合，并且不断地相互调整、相互 完善，才能真正地实施安全策略，对网络进行安全防护。 信息系统安全方案18 第四章第四章 安全风险概述安全风险概述 在信息系统建设中充满安全危机，一个小小的硬件故障或误操作都有可能 造成网络出现停滞或瘫痪，使业务蒙受损失。同时，信息系统建设的重点是对 来自内外的业务信息、业务数据、重要信息、安全保密信息的综合有效的利用 和管理，随着信息的膨胀、网络技术及产品的发展，安全性问题日趋严重，信 息的泄密、丢失、篡改、毁坏、盗用等等对所有的单位来说都是一种灾难。我 们可能将面对财政损失、人力、物力耗费、遗失机会、内部责任推诿、信誉下 降等各种问题。 41 安全风险的来源安全风险的来源 安全风险从不同的角度看可能来源于各种因素：安全风险从不同的角度看可能来源于各种因素： 从信息系统构成的特质从信息系统构成的特质 物理安全风险（主机、电源、网络设备.） 逻辑安全风险（信息、编码、人员管理.） 从需要保护的对象从需要保护的对象 系统安全风险（可用性、连续性、可靠性） 数据安全风险（数据的机密性、完整性、可用性、使用合法性） 网络安全风险（通信的安全性、认证的安全性、恶意攻击和破坏） 应用安全风险（应用系统、数据库系统、桌面系统） 从网络集成的架构从网络集成的架构 局域网安全风险 广域网安全风险 远程接入安全风险 网络边界安全风险 42 安全风险分析与评估安全风险分析与评估 风险分析风险分析 对网络环境存在的威胁可能造成的损失做定性的和定量的估计，用以 指导网络安全的合理设计 安全评估安全评估 对设计好的安全策略，安全目标的实践结果进行检查和评估，从而估 价损失，发现弱点，改善设计、完善安全体系 信息系统安全方案19 安全风险分析与评估主要考虑因素：安全风险分析与评估主要考虑因素： 哪些资源需要保护？这些资源有多重要？哪些资源需要保护？这些资源有多重要？ 硬件硬件 工作站、服务器、路由器、数据设备、通讯线路、打印机及其他设 备 软件软件 操作系统、应用软件、原代码、实用程序等 数据数据 会内和会外数据；当前和历史数据；保密和不可再现数据 安全漏洞及危机有哪些？安全漏洞及危机是如何造成的？安全漏洞及危机有哪些？安全漏洞及危机是如何造成的？ 管理问题管理问题 如：人员管理和设备管理上的混乱 数据在网上传输时被他人截获数据在网上传输时被他人截获 系统配置有错系统配置有错 如：允许用户远程登陆到关键服务器上 操作系统及实用程序的安全漏洞操作系统及实用程序的安全漏洞 内部人员的工作疏忽内部人员的工作疏忽 如：在上 internet 时，运行了不安全的下载程序 谁是潜在的谁是潜在的“危害者危害者”？ 用户端用户端 包括远程用户和本地用户 主机端主机端 ispisp 端端 internetinternet 上的上的“黑客黑客” 这些这些“危害者危害者”将如何危害信息系统的安全？将如何危害信息系统的安全？ 篡改主页篡改主页 盗取机密数据盗取机密数据 修改系统设置修改系统设置 使服务器不能正常服务使服务器不能正常服务 篡改、破坏数据篡改、破坏数据 破坏系统破坏系统 冒用他人的名字冒用他人的名字 43 信息系统安全的脆弱性信息系统安全的脆弱性 431 物理安全危机物理安全危机 灾难：火灾、水灾、风暴、地震、工业事故 人为破坏：蓄意破坏、恐怖主义、精神压抑发泄、偷盗 人为误操作：各种各样的因素可能使工作人员产生误操作 间谍行为：偷窃、监听、监视、废弃物搜寻、身份识别错误 通讯危机：拨号进入、窃听 硬件故障：主机、电源、开关、存储设备 网络