（计算机应用技术专业论文）校园智能卡系统安全防护体系的研究.pdf

摘要 摘要 随着时代的发展，网络的进步，信息技术飞速地发展。与此同时， 黑客、网络病毒等严重威胁信息安全的因素也越来越多。任何基于网 络的信息系统的建立，其信息安全管理一直是一项至关重要的研究课 题，甚至可以看成是该信息系统能否具有使用价值的关键。 本文以校园智能卡系统的信息安全为研究内容，首先阐述了国内 外信息安全体系的研究现状，对信息安全领域的相关技术做了基础性 的介绍。文章中对校园智能卡系统的框架结构以及各子系统业务上独 有的特点进行了仔细的阐述，对该系统的信息保密性、系统脆弱性、 系统威胁以及可能受到的灾害影响进行了详细的分析，在物理层，网 络层和应用层三个层面上对系统采取安全防护措施，对信息进行全面 的安全防护。 在物理层上，主要是对硬件设施以及数据链路方面采取物理上的 保护措施。在网络层上，结合i p 安全协议，采用网络地址转换技术等 网络安全技术来加强系统的保密安全性。在应用层上，对登录系统的 用户采取严格的身份认证控制，对两次登录进行了更好的加密改进， 并实现了一种廉价的实时备份与高效的恢复解决方案。 通过大量的研究和实践工作，本文针对校园智能卡系统制定出了 较完善的信息安全机制，保证了信息的一致性、完整性、保密性，保 障了该系统能够安全稳定地运行，并对信息安全技术在信息系统中做 了部分探索性的应用。 关键词：信息安全，网络安全，身份认证，登录控制，数据备份与恢 复 a b s l r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to ft h i s1 1 m ea n da d v a n c e i t l e n to fn e t w o r k ， i n f o 珊a t j o nt e c h n o l o g yh a sb e e nr a p i d l yd e v e l o p i n g a tt h es a m et i m e ， m o r ea n dm o r ei n f a c t o i ss u c ha sh a c k e ra n dc o m p u t e rv i r u sa r cc o m i n g w h i c hb a d l ym r e a t e nt h es e c u r i t yo fi n f b m a t i o n t oe s t a b l i s ho n e i n f 0 珊a t i o ns y s t e mo n 玎e t w o r k ，i t s i n f o 姗a t i o ns e c u r i t ym a n a g e m e n th a s a l w a y sb e e na ni m p o r t a n tt a s kf o rs t u dy t h a th a se v e nb e e nr e g a r da st h e k e yt h a tw h e t h e ro rn o t t h ei i l f o 丌r i a t i o ns y s t e mh a si t s u s ev a l u e t h i sp a p e td i s c u s s e st h e m f o m a t i o ns e c u r i t yo fi n t e u e c t i v ec a r d s y s t e mf o rac e r t a i nu n i v e r s i t y f i r s t ，w eh a v ei n t r o d u c e dt l l ea c t u a l i t yo f i n f o 皿a t i o ns e c u m ys y s t e mi nt h e r o r l da n ds o m ec o r r e 】a t i v et e c l l n i q u ei i i t h i s 丘e l d j nt h i sp a p e ri c a r e f i l l l ys p e c i f yt h es y s t c m s 丘a m e ，e v e i y s u b s y s t e m so w nc h a r a c t e r i s t i c ，a n da i l a l 弦ek e e p i l l go fs y s t e mi n f 0 珊a t i o n s e c r e c y ，s y s t e m 伍a b i l i t y ，s y s t e mm r e a t e n e ra n di l l f 托d o no fp o t e n t i a l d i s a s l e lt h j ss y s t e mh a sa d o p t e ds o m es e c u r i t yt e c h n i q u eo np h y s i c a l l a y e r ， n e t w o r kl a y e ra d8 p p l i c a t i o nl a y e ft op e r t e c tt 1 1 ei n f o h n a t i o na l l - a r o u n d o np h y s i c a ll a y e lt h eh a r d w a r e sa n dd a t al i l l kh a v eb e e np h y s i c a l l y p e n e c t e d o nn e t w o r kl a y e r ，ic o m b i n e di ps a f i yp r o t o c 0 ia n dt o o ks o m e n e t w o r ks e c u r i t y 蛔 h n i q u es u c ha sn e t w o 像a d d r e s st f 卸s l a t o rt os t m n g t h es e c u r i t yo ft l l i ss y s t e m 0 n 印p l i c a t i o nl a y e r u s e r sa u t h e t i c a t i o nt o e n t e rt h es y s t c mh a sb e e ns t i i c n yc o n t r o l l e d ，卸dm i l d 9 0 nh a sb e e n i m p r o v e do ni t s s e c u r i t y al o w - c o s ta n dp m c t i c a ld a t a b a s c 锕i no n l i n e b a c k u pa n dr c s u m es o l u t i o nh a sb e e np u tf o r w o r d t h r o u g ha l o to fr e s e a r c h 粕dp r a c t i c e ，ar e l a t i v e l yc o n s u 衄a t e i n f o 珊a t i o ns c c u m ym e c h a n i s mo fi n t e l l e c t i v ec a r ds y s t e mh a sb e e n d e s i g n e dt og u a r 卸t e ec o n s i s t e n c y i n t e 乒a l i t ya n di n f o m a t i o ns e c r e c y i t a l s 0m a k e st l l es y s t e ms t a b l yr u n n i n g i n t e 斟a t e da p p l i c a t i o no fi n f o r n l a t i o n s e c u i t t yt e c h n i q u e i nt h ei n f o m a “o ns y s t e mh a sb e e n p a t t i a l l y a n d e x p l o r i n g l ya p p i i c a t e d k e yw o r d s ：i n f o 珀n a t i o ns e c u r i t y ，n e t w o r ks e c u r i t y ，a u t h e n t i c a t i o n ，l o g o n c o n t r 0 1 ，d a t ab a c k u pa n dr e s u m e 独创性声明 本人声明，所呈交的学位论文是我个人在导师指导 下进行的研究工作及取得的研究成果。尽本人所知，除 了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得北 京交通大学或其他教学机构的学位或证书而使用过的材 料。与我一起工作的同志对本研究所做的任何贡献已在 论文中作了明确的说明并表示了谢意。 本人签名： 日期：兰年三月上日 关于论文使用授权的说明 本人完全了解北京交通大学有关保留、使用学位论 文的规定，即：学校有权保留送交论文的复印件，允许 论文被查阅和借阅；学校可以公布论文的全部或部分内 容，可以采用影印、缩印或其他复制手段保存论文。论 文中所有创新和成果归北京交通大学计算机与信息技术 学院所有。未经许可，任何单位和个人不得拷贝。版权 所有，违者必究。 本人签名： 殇五 日期：巫年土月生日 1 综述 1 1 研究背景 我国的信息系统安全的研究尚处于起步阶段，宏观安全体系研究 上投入不足，不能从根本上解决我国的网络与信息安全问题。对于具 有不同特点的信息系统，安全防护体系的需求也不相同，所要达到的 目标也不相同。本论文研究的是校园智能卡系统的安全防护体系，目 的是保障师生通过校园智能卡系统能够在校园内进行各种安全的消 费、方便师生和员工的学习和生活。 校园智能卡系统实现了高校管理的信息管理集中化、智能化、高 效化。该智能卡可以用于校内的各种消费，可以用来当作在校师生的 身份证明、医疗证件等。该系统能够对不同种类的卡，如临时卡和正 式卡，进行统一的管理，系统能自动对各种消费进行及时的统计与结 算。 1 2 信息安全的重要性 安全意味着免受攻击或防范偷窃、破坏和毁坏。在人类社会里， 为保护人身和财产免遭攻击、盗窃和损坏，安全职业，如警察和保安 产生了，安全设备，如锁和报警器等发明了。在信息社会里，有网络 资源、敏感信息和各种网络服务。人们可能会有意或无意地： 非授权访问网络资源； 毁坏信息和网络资源； 改换、插入或修改信息； 向未授权者泄漏信息； 导致网络信息服务崩溃或中断； 有些人可能会有意地去做： 盗窃信息或网络资源； 否认接受服务、和否认发送过或接受过信息； 声称提供过实际并未提供的网络服务，或声称发送过或接受过实际并 1 北京交通大学硕+ 学位论文 未发送和接受的信息； 这种安全攻击的动机可能是商业利益、政治情报、金融利润、报 复或引人注目。因此信息安全产生了。 信息安全( i n f 0 珊a t i 伽s e c u r i t y ) ：是指信息的保密性 ( c o n 和e n t i a l “y ) ，完整性( i n t e 灯i t y ) 和可用性( a v a i l a b i l i t y ) 的保持。 保密性定义为保障信息仪仪为那些被授权使用的人获取。完整性定义 为保护信息及其处理方法的准确性和完整性。可用性定义为保障授权 使用人在需要时可以获取信息和使用相关的资产【1 】。信息的保密性是针 对信息被允许访问( a c c e s s ) 对象的多少而不同，所有人员都可以访问 的信息为公开信息，需要限制访问的信息一般为敏感信息或秘密。秘 密可以根据信息的重要性及保密要求分为不同的密级，例如国家根据 秘密泄露对国家经济，安全利益产生的影响( 后果) 不同，将国家秘 密分为秘密，机密和绝密三个等级，组织可根据其信息安全的实际， 在符合国家保密法的前提下将其信息划分为不同的密级；对于具 体的信息的保密性有时效性，如秘密到期解密等。信息完整性一方面 是指信息在利用，传输，贮存等过程中不被篡改，丢失，缺损等，另 一方面是指信息处理的方法的正确性。不正当的操作，如误删除文件， 有可能造成重要文件的丢失。信息的可用性是指信息及相关的信息资 产在授权人需要的时候，可以立即获得，例如：通信线路中断故障会 造成信息在一段时间内不可用，影响正常的商业运作，这是信息可用 性的破坏。不同类型的信息及相应资产的信息安全在保密性，完整性 及可用性方面关注点不同，如组织的专有技术，市场营销计划等商业 秘密对组织来讲保守机密尤其重要；而对于工业自动控制系统，控制 信息的完整性相对其保密性重要得多。 信息，信息处理过程及对信息超支持作用的信息系统和信息网络 都是重要的商务资产。信息的保密性，完整性和可用性对保持竞争优 势，资金流动，效益，法律符合性和商业形象都是至关重要的。然而， 越来越多的组织及其信息系统和网络面f 陆着包括计算机诈骗，间谍， 蓄意破坏，火灾，水灾等大范围的安全威胁，诸如计算机病毒，计算 机入侵，d 0 s 攻击等手段造成的信息灾难己变得更加普遍，有计划而 2 不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全 威胁的破坏，公共和私人网络的瓦连及信息资源的共享增大了实现访 问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计 的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全 的实现必须得到管理和程序控制的适当支持，确定应采取哪些控制方 式则需要周密计划，并注意细节。信息安全管理至少需要组织中的所 有雇员的参与，此外还需要供应商，顾客或股东的参与和信息安全的 专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑，则 成本会更低，效率会更高。 信息安全的重要性是当今世界的共识，而白宫对这方面的考虑已 经到了无以复加的地步。美国对信息技术极其依赖，所以必须以防止 攻击国家基本信息设施的“信息战”的方式来保护自己。克林顿总统 在1 9 9 6 年7 月1 5 目签署了行政命令，其部分内容如下： 由于信息设施的能力不足或被破坏可能使得美国的国防或经济安 全遭受损害，因而他们的作用至关重要。这类关键设施包括电子通信， 电力系统、石油，天然气的储存、运输、金融、交通，供水系统，紧 急事故服务( 医药、警察、消防和救护) 和政府的连续性。对这些设 施的威胁可以分为两大类：一类是对有形财产的物质性威胁，另一类 是基于电子、无线电、计算机，对控制重要基础设施的信息和通信等 关键机构的威胁。 1 3 论文的组织安排 本文共分为六章，每章的具体内容安排如下： 第一章：综述，介绍了本文的研究背景，阐述了信息安全的概念 及其在各个领域中的重要性，并对本文的内容组织安排进行了描述。 第二章：信息安全的相关知识，对国内外信息安全体系的标准作 了简要的介绍和比较，介绍了信息安全领域的各种常识和常用技术。 第三章：校园智能卡系统及其安全性，对该系统的结构和各子系 统的业务功能以及对系统的今后的业务扩展进行了介绍。并从信息保 3 北京交通大学硕j 一学札论文 密性、系统脆弱性、系统所受威胁、灾害影响方面进行了系统安全性 分析。 第四章：校园智能卡系统三层安全防护体系，首先明确了设计的 原则，接着分别对物理层、网络层、应用层这三层上采取的安全措施 进行了详细的阐述。 第五章：关键技术的实现，分别对数据库的访问控制方面，数据 备份与恢复所采用的实现方法进行具体说明。 第六章：结论，对所做的工作进行简要的总结，并提示：不能忽 视信息安全领域的人的管理。 4 信息安全的相关知以 2 信息安全的相关知识 2 1 国内外信息安全体系标准研究现状 国内外已经相继提出了很多不同的信息安全体系的标准： 1 、b s 7 7 9 9 标准是由英国标准协会( b s i ) 制定的信息安全管理标 准，是目前国际上具有代表性的信息安全管理体系标准【2 】。标准包括如 下两部分：b s 7 7 9 9 1 ：1 9 9 9 信息安全管理实施细则；b s 7 7 9 9 2 ：2 0 0 2 信息安全管理体系规范。b s 7 7 9 9 1 ：1 9 9 9 信息安全管理实施细则 是组织建立并实施信息安全管理体系的一个指导性的准则，主要为组 织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化 的最佳惯例。b s 7 7 9 9 - 2 ：2 0 0 2 信息安全管理体系规范规定了建立， 实施和文件化信息安全管理体系( 1 s m s ) 的要求，规定了根据独立组 织的需要应实施安全控制的要求。即本标准适用以下场合：组织按照 本标准要求建立并实施信息安全管理体系，进行有效的信息安全风险 管理，确保商务可持续性发展；作为寻求信息安全管理体系第三方认 证的标准。b s 7 7 9 9 标准第二部分明确提出安全控制要求，标准第一部 分对应给出了通用的控制方法( 措施) ，因此可以说，标准第一部分为 第二部分的具体实施提供了指南。但标准中的控制目标，控制方式的 要求著非信息安全管理的全部，组织可以根据需要考虑另外的控制目 标和控制方式。其中b s 7 7 9 9 1 ：1 9 9 9 于2 0 0 0 年1 2 月通过国际标准化 组织( i s o ) 认可，正式成为国际标准，即i s 0 i e c l 7 7 9 9 ：2 0 0 0 信息 技术信患安全管理实施细则。“组织”这一术语贯穿b s7 7 9 9 标准的 始终，它既包括盈利组织，也包括非盈利组织，如公共部门或公共组 织。 2 、美国t c s e c ( 桔皮书) ：由美国国防部制定，它将安全划分为 四个方面：安全政策、可说明性、安全保障和文档。美国国防部虹系 列( r a i n b o ws e r i e s ) 标准中有详细的描述。该标准将以上4 个方面分 为7 个安全级别，从低到高依次为d 、c 1 、c 2 、b 1 、b 2 、b 3 和a 级 5 北京交通大学硕十学位论文 1 3 j 。 3 、欧洲r r s e c ：l t s e c 和t c s e c 不同，它并不是把保密措施直 接与计算机功能相联系，而是只叙述技术安全的要求，把保密作为安 全增强功能。另外，t c s e c 把保密作为安全的重点，而i t s e c 则把完 整性、可用性与保密性作为同等重要的因素。i t s e c 定义了从e 0 级到 e 6 级的7 个安全等级，并定义了1 0 种功能，其中1 - 5 级对应于t c s e c 的d 到a 。6 1 0 级加上了以下概念：f 6 ，数据和程序的完整性：f 7 ， 系统可用性；f 8 ，数据通信完整性；f 9 ，数据通讯保密性；f 1 0 ，包括 机密性和完整性的网络安全。 4 、加拿大c t c p e c ：该标准将安全需求分为4 个层次：机密性、 完整性、可靠性和可说明性。1 9 8 9 年公布，专为政府需求而设计，与 玎s e c 类似，将安全分为功能性需求和保证性需要两部分。其功能性 需求分为四大类：机密性，完整性，可用性，可控性。在每种安全需 求下又分为很多小类，表示安全上的差别，分级数为0 5 级。 5 、美国联邦准则( f c ) ：该标准参照了c t c p e c 及t c s e c ，其目 的是提供t c s e c 的升级版本，同时保护已有投资，但f c 有很多缺陷， 是一个过渡标准，后来结合r r s e c 发展为联合公共准则f 3 】。 6 、联合公共准则( c c ) ：1 9 9 3 年6 月，美国、加拿大及欧洲四国 经协商同意，起草单一的通用准则( c c ) 并将其推进到国际标准。c c 的目的是建立得到许可进入国际市场时，就不需要再作评价，使用国 只需测试与国家主权和安全相关的安全功能，从而大幅节省评价支出 并迅速推向市场。c c 结合了f c 及r r s e c 的主要特征，充分突出“保 护轮廓”，它强调将安全的功能与保障分离，并将功能需求分为9 类6 3 族，将保障分为7 类2 9 族。1 9 9 9 年1 2 月，i s o 接受c c 为国际标准 l s 0 ，i e c l 5 4 0 8 标准，并正式颁布发行。 7 、i s o 安全体系结构标准：在安全体系结构方面，l s o 制定了国 际标准i s 0 7 4 9 8 - 2 一1 9 8 9 信息处理系统开放系统互连基本参考模型第2 部分安全体系结构，该标准为开放系统互连( o s i ) 描述了基本参考 模型，为协调开发现有的与未来的系统互连标准建立了一个框架，其 任务是提供安全服务与有关机制的一般描述，确定在参考模型内部可 6 信息安全的相关知洪 以提供这些服务与机制的位置。 8 、l s o 信息安全管理标准：英围标准协会于1 9 9 5 年制定了b s 7 7 9 9 信息安全管理标准，2 0 0 0 年通过国际标准化组织认可，成为 i s 0 1 7 7 9 9 ，该标准是一个组织全面或部分信息安全管理体系评估的基 础。它规定了建立，实施和文件化信息安全管理体系的要求，以及根 据独立组织的需要实施安全控制的需要。它主要提供了有效地实施安 全管理的意见，介绍了安全管理的方法和程序。 9 、g b 厂r9 3 8 7 2 1 9 9 5 ：信息处理系统开放系统互连基本参考模型 第2 部分：安全体系结构，该标准等同于l s o7 4 9 8 2 1 9 8 9 。 1 0 、g b1 7 8 5 9 1 9 9 9 ：计算机信息系统安全保护等级划分准则， 该标准将计算机信息系统安全分为5 个等级，分别是：自主保护级、 系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。 主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、 隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可 信恢复等，这些指标涵盖了不同级别的安全要求。 1 1 、g b 厂r 1 8 3 3 6 2 0 0 1 ：信息技术安全技术信息技术安全评估准 则，该标准等同于i s 0 l e c1 5 4 0 8 1 9 9 9 ( c c ) 。 1 2 、g a ，t 3 9 0 一2 0 0 2 ：计算机信息系统安全等级保护通用技术要 求，该标准作为计算机信息系统安全等级保护技术要求系列标准的基 础性标准，详细说明了计算机信息系统为实现g b l 7 8 5 9 所提出的安全 等级保护要求应采取的通用的安全技术，以及为确保这些安全技术所 实现的安全功能达到其应具有的安全性而采取的保证措施，并将 g b l 7 8 5 9 对计算机信息系统五个安全保护等级每一级的要求，从技术 要求方面进行详细描述。 1 3 、g a 仃3 9 1 2 0 0 2 ：计算机信息系统安全等级保护管理要求， 该标准吸收了i s 伽e ct r1 3 3 3 5 的管理概念，并结合计算机信息系统 安全过程提出了比i s 0 i e ct r1 3 3 3 5 更详细的过程要求，对i s o i e c 1 7 7 9 9 的有关内容进行了提炼，并从安全过程和安全行政管理的总体要 求进行了论述。该标准明确提出了管理层、物理层、网络层、系统层、 应用层和运行层的安全管理要求，并将管理要求落实到五个等级上， 7 北京交通大学硕士学位论文 有利于对安全管理的继承、理解、分工实施，有利于对安全管理的评 估和检查。 总之，现有标准规范已经相当细致和深入，几乎覆盖了所有的安 全方面，包括安全产品、密码模块、安全机制、物理安全、安全管理、 风险评估、安全策略的制定等等。但目前尚无完整的标准规范能对计 算机信息系统的整体安全设计进行有效指导，因为现有的标准仍有如 下几方面的不足： 1 ) 有些属于特定行业规范如关于银行的安全系统设计，其针 对性太强，很难适用于其它计算机信息系统的安全设计： 2 ) 有些标准，规范侧重于系统安全的某个方面或者安全产品； 3 ) c c 标准尽管也致力于计算机信息系统安全分析和设计，但由 于其未包含行政管理安全的评价准则、电磁泄露、行政管理方法学和 合法授权的结构、系统评价结果的使用授权、密码算法质量的评价等 方面而限制颇多； 4 ) 以上安全评估准则为代表的安全体系模型，主要是针对单机系 统环境而定制的，没有针对目前广泛存在和应用的网络环境安全给予 指导。虽然他们也有相关的网络解释，但是目前还没有依照此类模型 的成功安全网络实例。 2 2 好的安全模型的准则 一个好的安全模型必须： l 、正确且精确地反映出安全策略。 2 、完整且全面地表达出安全策略的关键和细节。 3 、充分且准确地反映出安全问题的本质；通过清晰分类、准确表 达和性质证明有助于深入理解安全策略。 4 、支持安全分析：模型必须能回答在模型系统中是否存在某些状 态没有保护特定的安全属性，并且这个决策在计算上不是太复杂。不 幸的是，模型都大力宣扬安全上的能力，而弱化它安全上的弱点。如 果为了满足安全决策两限制模型，它将不能足够精确的表达安全策略。 8 信息安全的相关知识 5 、支持系统建设和系统验证：安全模型必须为创建安全系统提供 一个好的基础。一个基于模型的系统必须被合理的创建，并让人满意 的运行，必须对系统是否真正实现了模型提供一个令人信服的论点。 如果模型是形式化的，并且系统设计也是形式化的，论点的一些步骤 能被数学证明。这种形式化的证明增强了对系统安全性的信任。t c s b c 标准要求在最高安全级别上必须进行形式化的证明。所以对模型来说， 精确的数学术语表达和在此形式上的详细的设计和最终代码实现是它 的优点。但形式化表示模型以使证明过程被计算机执行，已被证明相 当的困难。 6 、支持系统拆分和组合：部分地对复杂系统进行建模，最后将它 们合并是可能的；每个部分都比整个模型简单，容易理解。形式上的 分类和证明也可能是正确的，因为它们比较简单。同时，模型的部分 可以在系统发展分类改变时得到重用。对部分建模，安全属性的形式 化模型必须是可组合的，并且系统也能组合在一起，由此产生的组合 化复杂系统也具有这个安全属性。 2 。3 信息安全体系分层模型 网络的安全性就是保障网络信息的保密性、完整性、网络服务可 用性和可审查性，即要求网络保证其信息系统资源的完整性、准确性 和有限的传播范围，并要求网络能向所有的用户有选择地及时提供各 自应得到的网络服务。从整体上看，i n t e m e t 网络安全问题可分为5 个 层次，即操作系统层、用户层、应用层、网络层( 路由器) 和数据链 路层，如图2 1 所示。 由于网络是一个层次结构，因此，网络安全体系也应是分层次的。 i n t e m e t 使用1 p p 协议，分为网络接口层、h l t e m e t 层、传输层、应 用层这四层。各层的网络安全考虑的着重点不同，方案也不同。t c p i p 与i s o o s l 标准的对应关系及各层安全方案的着重点如表2 1 。 网络接口层的安全性一般用硬件实现，主要通过选择相应的数据 通道和采用符合安全性要求的网络设备来解决。i l l t e m e t 层、传输层的 9 北京交通大学硕士学位论文 安全性有用硬件实现的，也有用软件实现的。应用层的安全性一般都 用软件实现。 源 网络层 数据链路层安全 操作系统层安全 应用层安全 合法用户 非法用户 目的 网络层 数据链路层安全 操作系统层安全 应用层安全 合法用户 非法用户 图2 1 网络安全的5 个层次 表2 1 各层安全方案着重点 i s q 0 s lt c m p 安全方案着重点 应用层 身份认证 表示层 应用层 访问控制 数据加密 会话层 传输层 传输层 端到端加密 网络层i n t e m e t 层网络服务可用性 数据链路层点到点链路加密 网络接口层 物理层安全物理信道 所渭分层保护，就是要把所列出的那些较为容易发生，且又不能 容忍的风险，分解到各个层面上，然后利用计算机技术、计算机安全 1 0 令 信息安全的相关知识 保护技术、加密技术和安全管理手段尽量按一定的强度加以保护，以 规避相应的风险。如信息抵赖的风险，应该发生在用户层面，可以用 对用户的身份认证技术来解决这样的风险。火灾、水灾都应该在物理 层面上加以保护。许多风险可能是列应于多个层面，那就应该在多个 层面上加以保护，如信息泄露，在所有的层面上都会发生，那就应该 在所有的层面加以保护。应用层的安全应该把应用软件开发中可能产 生的风险考虑进去，一个是应用软件本身的安全问题，是否有后门， 是否有漏洞，本身的b u g 问题等。 辱rz g 弭 甩户 应用 数据库及中越件 摄信系统 网j 磬 耪裂屡 耋 季 蓁 囊 图2 2 信息网络分层保护模型 2 4 信息安全体系的特征 鑫 雾 鬟 为了保证安全体系的实用性，在设计安全体系时，必须遵循以下 四项原则1 4 】： 1 、体系的安全性：设计安全体系的最终目的是为安全工程提供一 个可靠的依据和指导，保护信息与网络系统的安全，所以安全性成为 首要目标。要保证体系的安全性，必须保证体系的可理解性、完备性 和可扩展性。 2 、体系的可行性：设计体系不能纯粹地从理论角度考虑，再完美 的方案，如果不考虑实际因素，那么也只能是一些废纸。设计安全体 系的目的是指导安全工程的实施，它的价值也体现在所设计的工程上， l l 北京交通大学硕十学位论文 如果工程的难度太大以至于无法实施，那么体系本身也就没有了实际 价值。 3 、系统的高效性：信息与网络系统对安全提出要求的目的是能保 证系统的正常运行，如果安全影响了系统的运行，那么就需要进行权 衡了。信息网络系统的安全体系包含一些软件和硬件，它们也会占用 信息网络系统的一些资源。因此，在设计安全体系时必须考虑系统资 源的开销，要求安全防护系统本身不能妨碍信息网络系统的正常运转。 4 、体系的可承担性：安全体系从设计到工程实施以及安全系统的 后期维护、安全培训等各个方面的工作都是由对象单位来支持的，单 位要为此付出一定的代价和开销。如果单位要付出的代价比从安全体 系中获得的利益还要多，那么单位就不会采用这个方案。所以，在设 计安全体系时，必须考虑单位的实际承受能力。 因此，综上所述，一个好的安全防护体系应尽量包括以下几个特 点：结构的合理性及可扩展性、内容的完备性、组织上的可行性与安 全性。对安全体系的质量进行评估也就是检验体系是否达到了这几项 要求。世界上没有一个通用的安全体系某个信息网络系统的安全体 系是针对该系统本身而言的，它不能用于另外的某个系统。所以，在 设计安全体系对，在一定的理论指导下，要结合具体的实际情况进行 研究分析。要考察的实际情况主要是风险分析与评估、安全需求分析 的内容，安全体系的设计是完整的信息安全工程学中的一个环节，是 以风险分析与评估、安全需求分析为基础的【5 l o 综上所述，企业无论大小，信息与网络系统的安全问题同等重要。 安全问题不仅是技术的问题，安全是策略、技术与管理的综合过程， 是一项系统工程。因此，建立企业信息与网络系统的安全体系，实施 企业信息与网络系统安全工程不能单纯从安全技术与产品出发，需要 综合考虑风险分析、需求分析、管理规范、体系架构、工程监理等问 题，充分在范围与目标、标准与规范、体系与架构、技术与管理等方 面进行深入细致的研究与综合分析，只有这样，才能建立一个积极的、 高效的、性能价格比最佳的安全防护体系。 1 2 信息安全的 日关知识 2 5 风险分析 风险分析是在进行了应用分析的基础上，对某用途，或某一级 别或类别的信息，或某一安全域进行的。这种分析可用一个二维的表 格来实现。首先确定某一信息类别，或一个安全域，以可能发生的风 险为x 轴，对应于每一个风险，应该有3 个参数填入到表格中，一个 是该风险发生的概率，另一个是该类信息对该风险的容忍程度，再一 个是该风险可能发生的频率，如表2 - 2 所示。 表2 2 风险分析示意表 火灾入侵病毒 概率频率容忍度概率频率容忍度概率频率容忍度 事件发生的概率，目前可能很难给出量化值，可以给出一个等级 标准，如不易发生，易发生和极易发生，而容忍度也只能给出等级， 如无所谓、可以容忍，不能容忍和绝对不能容忍等。表2 2 只是个示意， 实际上我们在风险分析时，可以将风险列得更细些，更全面些。如火 灾，可分为电气火灾，易燃品引起的火灾，因管理不善导致的火灾； 再如入侵，也可以分出好多入侵的种类和目的，对攻击的资源目标， 也可以分出许多的子项。就是d o s 攻击也可以分出好多的种类。 事件发生的概率，应该结合信息网络的实际情况进行分析，如水 灾的发生，对于一个周围绝对没有水源，又是在三楼以上的机房来说， 发生的概率就应该是极低的，就应该是不易发生。对一个与互联网没 有物理连接的内部网络来说，通过互联网发生的入侵，发生的病毒灾 害应该是不易发生的，是小概率事件。丽对于一个网站来说，这二者 且是极易发生的事件。事件发生的频率，也不容易用准确的数字来表 示，但可以表示为独立事件和多发性事件。对象火灾这样的灾害，一 1 3 北京交通大学硕士学位论文 般可以认为是独立事件，丽病毒和入侵事件则是多发性的。对于多发 性事件的防范策略与独立事件的防范策略就要有不同的考虑。对某事 件的容忍度，应该结合网络的用途与信息的安全级别来给出，对于一 个只提供互联网接入服务的网络来说，信息的泄露风险就认为是可以 容忍的。这样的网络就不该强调机房的电磁辐射问题，更不用说需用 屏蔽双绞线了。 2 6 安全防护的常用技术 2 6 1 访问控制 根据访问者的身份和有关信息，决定实体的访问权限。访问控制机 制的实现常常基于一种或几种措旅，如访问控制信息库，认证信息和 安全标签等【6 j 。针对不同类型的网络应该采用不同的访问控制，比如： 1 、外网的访问控制：可设定l i l t e m e t 用户对门户网站的访问规则 以及部门内部人员对i i l t e m e t 的访问规则。 2 、内网访问控制：应设置各级内网的相互访问的控制，可设置为 允许指定用户访问指定的信息，非指定用户不得访问未经授权的信息。 3 、个人信息保护：部门内部人员的个人终端中的信息必须采取有 效的保护措施，使得涉密信息不被泄漏。 2 6 2 安全的网关 a 安全网美的组成 作为内网与外网的唯一通道接口，安全网关负责内外网的通信控 制。主要由以下三部分功能组成： 1 、用户流量的实时记录：即完成计费原始数据的采集功能。 2 、基于用户的访问控制：针对不同用户采取不同的许可策略。 3 、独立于用户的网络访问控制：即防火墙包过滤功能。 对于用户和l p 地址的管理：比如限定用户账号只在某个网段内有 效，管理员借此可以开设机房、实验室专用账号，上机人员虽然知道 1 4 信息安全的相关知i 账号和密码，但离开了机房或实验室却不能够继续使用。这种功能也 可以在某种程度上解决公共账号盗用的问题。 b 安全网关包过滤与n 御、 通用包过滤功能同基于用户的访问控制功能相比，数据包的处理 与具体的用户无关，因此，像其它包过滤防火墙一样，可用来设置全 局的安全策略。可以根据如下字段属性配置包过滤规则：从安全网关 的角度来看，包的进入外出方向；源地址和目的地址；网络协议：源 端口和目的端口；l c m p ( i t e l e tc o n t t o lm e s s a 叠ep t o d c 0 1 ) 类型和代 码值；时间。 n a t ( n e 忉o r k a d d r e s st r a n s l a t i o n ) 的功能，就是指在一个网络内 部，根据需要可以随意自定义的l p 地址，而不需要经过申请。在网络 内部，各计算机间通过内部的i p 地址进行通讯。而当内部的计算机要 与外部i n t e m e t 网络进行通讯时，具有n a t 功能的设备( 比如：路由 器) 负责将其内部的i p 地址转换为合法的i p 地址( 即经过申请的i p 地址) 进行通信。即在内网中可以使用私网地址，从而节省购买，租用 1 p 地址的费用。n a = r 设置可以分为静态地址转换、动态地址转换、复 用动态地址转换： 1 、静态地址转换 静态地址转换将内部本地地址( 即分配给内部网络中的计算机的 内部i p 地址) ，与内部合法地址( 即对外进入i p 通信时，代表一个或 多个内部本地地址的合法i p 地址，需要申请才可取得的l p 地址) ，进 行一对一地转换，且需要指定和哪个合法地址进行转换。如果内部网 络有e 哪a i l 服务器或f r p 服务器等可以为外部用户提供服务，则这些 服务器的i p 地址必须采用静态地址转换，以便外部用户可以使用这些 服务。 静态地址转换基本配置步骤： ( i ) 在内部本地地址与内部合法地址之间建立静态地址转换，在 全局设置状态下输入： l pn a ti l l s i d es o u r c es t a t j c 内部本地地址内部合法地址 北京交通大学 i 砸士学位论文 ( 2 ) 指定连接内部网络的内部端口，在端口设置状态下输入： i pn a “n s i d e ( 3 ) 指定连接外部网络的外部端口，在端口设置状态下输入： i pn a to u t s i d e ( 注：可以根据实际需要定义多个内部端口及多个外部端口。) 2 、动态地址转换 动态地址转换也是将内部本地地址与内部合法地址一对一地转 换，但是动态地址转换是从内部合法地址池中动态地选择一个未使用 的地址来对内部本地地址进行转换的。 动态地址转换基本配置步骤： ( 1 ) 在全局设置模式下，定义内部合法地址池： i p 衄t p 0 0 l 地址池名称起始i p 地址终止i p 地址子网掩码 其中地址池名称可以任意设定。 ( 2 ) 在全局设置模式下，定义一个标准的a c c e s s l i s t 规则以允许 哪些内部地址可以进行动态地址转换： a c c e s s 1 i s t 标号p e 锄“源地址通配符 其中标号为1 9 9 之间的整数。 ( 3 ) 在全局设置模式下，将由a c o e s s l i s t 指定的内部本地地址与 指定的内部合法地址池进行地址转换： i pn a ti n s i d es o u r c ei i s t 访问列表标号p 0 0 l 内部合法地址池名字 ( 4 ) 在端口设置状态下指定与内部网络相连的内部端口： i pn a l i l l s i d e ( 5 ) 在端口设置状态下指定与外部网络相连的外部端口： i pn a t o u b i d e 3 、复用动态地址转换 复用动态地址转换首先是一种动态地址转换，但是它可以允许多 个内部本地地址共用一个内部合法地址。这种转换对只申请到少量l p 地址但却经常同时有多个用户上外部网络的情况极为有用。 复用动态地址转换配置步骤： ( 1 ) 在全局设置模式下，定义内部合法地址池： 1 6 信息安全的相关知识 i pn a t p 0 0 1 地址池名字起始i p 地址终止i p 地址子网掩码 其中地址池名字可以任意设定。 ( 2 ) 在全局设置模式下，定义一个标准的a c c e s s l i s t 规则以允许 哪些内部本地地址可以进行动态地址转换： a c c e s s l i s 标号n e 肿i t 源地址通配符 其中标号为1 9 9 之间的整数。 ( 3 ) 在全局设置模式下，设置在内部本地地址与内部合法地址池 间建立复用动态地址转换： i pn a t 硫女d e u r c el 随访问列表标号p o o l 内部合法地址池名字 o v e r l o a d ( 4 ) 在端口设置状态下，指定与内部网络相连的内部端口： i p a ti n s i d e ( 5 ) 在端口设置状态下，指定与外部网络相连的外部端口： i dn a to u t s i d e c 网关防病毒 计算机病毒的迅猛发展促使不少厂家相继推出了集成病毒检测模 块的安全网关产品，他们宣称能实时对邮件病毒进行检测，还可以检 测j 趟，a 类病毒、l 订m l 类病毒等等。其做法是在数据进出防火墙的时 候直接对病毒代码进行检测和分析。 从网关或防火墙的位置来看，它处于多个网络区域的汇集点，通 过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有 效管理，因此性能是安全网关至关重要的因素。而对于普通的计算机 病毒而言，病毒检测需要对进出的应用层数据进行病毒代码的匹配。 如果病毒代码不是包括在单个的数据报文中，那就需要临时保存前面 的报文，等到与后继的报文集中在一起复原成足以检测病毒代码的数 据块后再进行处理。病毒代码的复原、检测和处理过程要比状态检测 模块消耗更多的系统资源，占用大量的内存和c p u 等，可能严重影响 安全网关的性能。 防病毒产品需要不断地更新防病毒引擎和病毒代码，因此，如果 1 7 北京交通大学硕士学位论文 在安全网关中集成病毒检测，就需要不断地更新与升级，这一方面影 响到系统的稳定性，另一方面预留的病毒升级接口又给系统的安全性 留下了隐患。目前国际上通用的网关防病毒方式是，将网关上的数据 报文引导至另外的专门进行病毒检测的服务器上进行，像f i r e w a i 】- l 等 就是这样做的，两不是直接在网关上进行病毒检测。 2 6 3 合理的存储方案 随着各行各业电子化建设的迅猛发展，系统中保存的关键数据的 量愈来愈大，许多数据要保存应用数十年以上，甚至是永久性保存。 关键业务数据成了企业生存的命脉和宝贵的资源，数据安全性问题愈 来愈突出。合理的存储方案不仅可以节省大量的资金投入，而且可以 保持数据的完整性、可靠性以及信息的可用性。 制定合理的存储方案需要考虑以下几个方面： 1 、硬件配置 系统采用的是何种机型：小型机或者是服务器，还是单机。存储 设备的选择，比如磁带、光盘或者硬盘阵列等。 2 、网络环境 针对不同的网络环境可以采用不同的存储方案，比如：分散式存储 方案，集中存储方案，集中与分散相结合的存储方案，本地备份，异 地备份等。 3 、存储周期 选择一个恰当的时间间隔作为存储周期，可以最大限度的保证系统 的性能。 4 、存储类别：全备份、差分备份