电子政务系统建设与实施讲座(4)

1 电子政务系统建设与实施讲座毛才高倪春洋黎连业 2 电子政务系统建设与实施讲座教材 电子政务系统建设与实施 第1版出版社 2007 3 第4讲 电子政务计算机网络信息安全概念 随着电子政务技术的发展 网络信息安全已成为主要的研究课题 本讲针对电子政务中的计算机网络信息安全 重点讨论以下概念 计算机网络信息安全发展过程 我国计算机网络与信息安全基本对策 计算机网络信息安全的基本对策 计算机网络安全管理 4 计算机网络信息安全发展过程 计算机系统安全技术与标准技术只是实现设计的保证 它是一种解决问题的方法 工具 手段 作为计算机系统安全技术涉及的内容很多 尤其是在网络技术高速发展的今天 从使用角度出发 大有以下方面 实体 指硬件安全 软件 指系统安全 数据 指信息安全 网络 指站点安全 运行 指服务 质量 安全 其核心技术是加密 病毒防治以及安全评价 现从两个方面叙述之 5 1 计算机系统安全技术简述计算机系统安全技术主要表现在 硬件 软件 数据信息 网站 运行 病毒防治 防火墙等8个方面 具体表现为 6 实体硬件安全计算机实体硬件安全主要是指为保证计算机和通讯线路及设施 建筑物 构筑物的安全 预防地震 水灾 火灾 飓风 雷击 满足设备正常运行环境的要求 包括电源供电系统 为保证机房的温度 湿度 清洁度 电磁屏蔽要求而采取的各种方式 方法技术和措施 包括为维护系统正常工作而采取的监测 报警和维护技术及相应高可靠 高技术 高安全的产品 为防止电磁辐射 泄露的高屏蔽 低辐射设备 为保证系统安全可靠的设备备份等 因此 它将涉及到计算机系统的环境安全 计算机的故障诊断技术 抗电磁干扰技术 设备访问控制技术 介质存放管理技术等要求 是计算机系统安全的基本条件 7 软件系统安全软件系统安全主要是针对所有计算机程序和文档资料 保证他们免遭破坏 非法拷贝和非法使用而采取的技术和方法 包括操作系统平台 数据库系统 网络操作系统和所有应用软件的安全 同时还包括口令控制 鉴别技术 软件加密 压缩技术 软件防拷贝 防跟踪技术 软件安全技术还包括掌握高度安全的产品质量标准 选用系统软件和标准工具软件 软件包 对于自己开发使用的软件建立严格的开发 控制 质量保障机制 保证软件满足安全保密技术要求 确保系统安全可靠的运行 8 数据信息安全数据信息安全对于系统越来越重要 其安全保密主要是指为保证计算机系统的数据库 数据文件和所有数据信息的免遭攻击破坏 修改 泄露和窃取 为防止这些威胁和攻击而采取的技术 方法和措施 其中包括对各种用户的身份识别技术 口令 指纹验证技术 存取控制技术和数据加密技术 以及建立备份 紧急处置和系统恢复技术 异地存放 妥善保管技术等 9 网络站点安全网络站点安全是指为了保证计算机系统中的网络通信和所有站点的安全而采取的各种技术措施 除了近几年来兴起的防火墙技术外 还包括报文鉴别技术 数字签名技术 访问控制技术 加压加密技术 密钥管理技术等 为了保证线路安全 传输安全而采取的安全传输介质技术 网络跟踪 监测技术 路由控制隔离技术 流量控制分析技术等等 网络站点的安全是重要的 如果网络站点得不到安全保障 计算机连网就失去了它应有的意义 10 运行服务安全在互联网时代 绝大多数用户之间是相互访问 相互交换信息的服务关系 计算机系统运行服务安全主要是指安全运行的管理技术 它包括系统的使用与维护技术 随机故障维护技术 软件可靠性 可维护性保证技术 操作系统故障分析处理技术 机房环境监测维护技术 系统设备运行状态实测 分析记录等技术 以上技术的实施目的在于 及时发现运行中的异常情况 及时报警 及时提示用户采取措施或进行随机故障维修和进行必要的安全控制 11 病毒防治技术计算机病毒威胁计算机系统安全 已成为一个重要的问题 要保证计算机系统的安全运行 除了运行服务安全技术措施外 还要专门设置计算机病毒检测 诊断 杀毒措施 并要求有一套预防方法 以防止病毒的再入侵 计算机病毒的防治涉及计算机硬件实体 计算机软件 数据信息的压缩的加密解密技术 在下面的章节中还要进行专门的讨论 12 防火墙技术防火墙是介于内部网络与外部网络Internet之间的路由器或计算机 一般叫堡垒主机 目的是提供安全保护 防火墙从本质上说是一种保护装置 是用来保护网络数据 资源和用户声誉的 对于防火墙的有关技术问题 我们将拿出专门的章节进行讨论 作为防火墙技术目前已成为计算机应用安全技术的一个重要分支 13 计算机系统的安全评价不论是网络的安全保密技术 还是站点的安全技术 其核心问题是系统的安全评价 计算机应用系统的安全性是相对的 很难得到一个绝对安全保密的系统 而且为了得到一个相对安全保密的系统效果 必须付出足够的代价 在代价 威胁与风险之间作出综合平衡 不同的系统 不同的任务和功能 不同的规模和不同的工作方式对计算机信息系统的安全要求是不同的 为此 在系统开发之前和系统运行中都需要一个安全保密评价标准 作为安全工作的尺度 14 2 计算机系统安全技术标准讨论计算机系统安全首先遇到是技术标准问题 目前我国已经出台的有 金融电子化系统标准化总体规范 等标准 有关部门也在抓紧做这方面工作 目前 国际上对计算机安全问题是非常重视的 有专门的公司在研制有关产品 也制定了许多标准 下面介绍这方面的信息 15 1 国际标准化组织对安全体系结构的论述国际标准化组织ISO7498 2中描述的开放系统互连OSI安全体系结构的5种安全服务项目是 鉴别 authentication 访问控制 accesscontrol 数据保密 dataconfidentiality 数据完整性 dataintegrity 抗否认 non reputation 16 为了实现以上服务 制定了8种安全机制 它们分别是 加密机制 enciphrementmechanisms 数字签名机制 digitalsignaturemechanisms 访问控制机制 accesscontrolmechanisms 数据完整性机制 dataintegritymechanisms 鉴别交换机制 authenticationmechanisms 通信业务填充机制 trafficpaddingmechanisms 路由控制机制 routingcontrolmechanisms 公证机制 notarizationmechanisms 17 5种安全服务和8种安全机制的关系请参见出版社 电子政务系统建设与实施 2007 第1版的第4章表4 1 18 2 美国国家计算机安全中心 NCSC NCSC领导着计算机和网络的研究工作 其提出的 可信计算机系统评测标准 TCSEC TrustedComputerSystemEvaluationCriteria 将计算机系统的安全分为A B C D 四类7级 不同计算机信息系统可根据需要和可能选用不同安全保密强度的不同标准 如军事 国防为A B类 金融 财贸为B1 C2级或更高级的计算机系统 可信系统评价准则请参见出版社 电子政务系统建设与实施 2007 第1版的第4章表4 2 19 3 其他的重要标准 还有安全电子交易协议 SET SecureElectronicTransactionProtocol 美国国家标准化委员会ANSI的DEI及RSA加密算法标准等 20 安全立法问题 随着计算机系统的广泛应用和社会信息化的发展 信息服务业争相向多样化 综合化 客户化和网络化方向发展 计算机系统安全的立法工作是不可忽视的 目前在我国 与此相关的法律 法规正在规定之中 目前已经有一些这类的法律法规 与信息安全相关的第一类法律法规是指 不是直接针对国际互连网信息安全的法律法规 但它规范和调整的范围与层次 包括了个人 法人的其它组织的有关信息活动涉及国家安全的法律法规 如国家安全法 保密法等 21 第二类是指直接针对计算机安全和国际互连网安全的法规 如 中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 以及出台的暂行办法 中华人民共和国计算机信息网络国际联网安全保护管理办法 等 以后 我国还需要大力强化专门针对信息化社会中的各种法律行为 法律关系和法律责任的 信息安全立法 22 广泛开展计算机安全教育国际信息处理联合会 IFIP InternationalForInformationProcess 每年都组织一次计算机安全年会 从SEC93到SEC98都在会议上倡导要加强计算机安全教育 许多学者纷纷强调安全保密问题和积极性 最近美国成立了 国际强化安全研究含 WISE 研究会的目的在于为工业和政府机构在各种不同类型的法规方面提供训练和咨询 虽然它全面地关注各个方面的安全保密 但它的成立及其所开展的工作 都是对计算机安全教育的 给计算机安全教育带了一好开端 23 1997年 曼哈顿研究计划 ManhattanCyberProject 组织成立 它标志着计算机安全行业的兴起 面向美国公司以及信息化基础设施 美国政府也参与 同年 该组织和我国国家实验室联合召开 信息系统安全研讨会 共同探讨网络安全技术结构 网络安全规范及网络安全审核监控等问题 从2000年开始我国将在大专院校计算机专业普遍开设计算机安全技术课程 加强计算机安全教育 24 安全立法当今社会计算机犯罪活动猖獗 其中一个主要原因在于 名国的计算机安全法都不健全 尤其是有关单位没有制定相应的刑法 民法 诉讼法等法律 惩罚不严 过于宽松 因此使犯罪活动屡禁不止 目前 国外许多政府纷纷制定计算机安全方面的法律 法规 对计算机犯罪活动 进行必要的打击 典型的国家有 美国的 信息自由法 反腐败行为法 伪造访问设备和计算机欺骗与滥用法 计算机安全法 英国的 数据保护法 美国加拿大的 个人隐私法 经济合作发展组织各成员国联合通过的 过境数据流宣言 意大利等国将计算机犯罪与刑法 民法联系起来 修改有关条款 收到了较好的效果 25 我国也在进行计算机安全立法 几年来连续出台了一系列法律 法规 用以规范我们的行动 其中重要的有关法律 法规有 中华人民共和国保守国家秘密法 计算机软件保护条例 中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定及实施办法 中国公众多媒体通信管理办法 计算机病毒控制条例 中华人民共和国计算机信息系统安全检查办法 中华人民共和国计算机信息系统安全申报注册管理办法 26 我国计算机信息系统安全保护等级划分准则我国计算机信息系统安全保护等级及划分准则也称标准 由北京大学 清华大学 中国科学院起草 由国家质量技术监督局于1999年9月13日发布 2001年1月1日起实施 它的范围是 本标准规定了计算机信息系统安全保护能力的五个等级 即 第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级 访问验证保护级 本标准适用于计算机信息系统安全保护技术能力等级的划分 计算机信息系统安全保护能力随着安全保护等级的增设 逐渐增强 27 等级划分准则具体内容为 第一级用户自主保护级本级的计算机信息系统可信计算通过隔离用户与数据 使用户具备自主安全保护的能力 它具有多种形式的控制能力 对用户实施访问控制 即为用户提供可行的手段 保护用户和用户组信息 避免其他用户对数据的非法读写与破坏 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问 实施机制 例如 访问控制表 允许命名用户以用户和 或 用户组的身份规定并控制客体的共享 阻止非授权用户读取敏感信息 28 身份鉴别计算机信息系统可信计算基初始执行时 首先要求用户标识自己的身份 并使用保护机制 例如 口令 来鉴别用户的身份 阻止非授权用户访问用户身份鉴别数据 29 数据完整性计算机信息系统可信计算基通过自主完整性策略 阻止非授权用户修改或破坏敏感信息 30 第二级系统审计保护级与用户自主保护级相比 本级的计算机信息系统可信计算实施了粒度更细的自主访问控制 它能过登录规程 审计安全性相关事件和隔离资源 使用对自己的行为负责 31 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问 实施机制 例如 访问控制表 允许命名用户以用户和 或 用户组的身份规定控制客体的共享 阻止非授权用户读取敏感信息 并控制访问权限扩散 自主访问控制机制根据用户指定方式或默认方式 阻止非授权用户访问客体 访问控制的粒度是单个用户 没有存取权的用户只允许由授权用户指定对客体的访问权 32 身份鉴别计算机信息系统可信计算基初始执行时 首先要求用户标识自己的身份 并使用保护机制 例如 口令 来鉴别用户的身份 阻止非授权用户访问身份鉴别数据 通过为用户提供唯一标识 计算机信息系统可信计算基能够使用户对自己的行为负责 计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力 33 客体重用在计算机信息系统可信计算基的空闲存储客体空间中 对客体初始指定 分配或再分配一个主体之前 撤销该客体所含信息的所有授权 当主体获得对一个已被释放和客体的访问权时 当前主体不能获得原主体活动所产生的任何信息 34 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录 并能阻止非授权的用户对它访问或破坏 计算机信息系统可信计算基能记录下述事件 使用身份鉴别机制 将客体引入用户地址空间 例如 打开文件 程序初始化 删除客体 由操作员 系统管理员或 和 系统安全管理员实施和动作 以及其他与系统安全有关的事件 对于每一事件 其审计记录包括 事件的日期和时间 用户 事件类型 事件是否成功 对于身份鉴别事件 审计记录包含请求的来源 例如 终端标识符 对于引入用户地址空间的事件及客体删除事件 审计记录包含体名 对不能由计算机信息系统可信计算基独立分辨的审计事件 审计机制提供审计记录接口 可由授权主体调用 这些审计记录区别于计算机信息系统可信计算基独立分辨和审计记录 35 数据完整性计算机信息系统可信计算基通过自主完整性策略 阻止非授权用户修改或破坏敏感信息 36 第三级安全标记保护级本级的计算机信息系统可信计算基具有系统审计保护级的所有功能 此外 还需提供有关安全策略模型 数据标记以及主体对客体强制访问的非形式化描述 具有准确地标记输出信息的能力 消除通过测试发现的任何错误 37 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问 实施机制 例如 访问控制表 允许命名用户以用户和 或 用户组和身份规定并控制客体的共享 阻止非授权用户读取敏感信息 并控制访问权限扩散 自主访问控制机制根据用户指定方式或默认方式 阻止非授权用户访问客体 访问控制的粒度是单个用户 没有存取权的用户只允许由授权用户指定对客体的访问权 阻止非授权用户读取敏感信息 38 强制访问控制计算机信息系统可信计算基对所有主体及其所控制的客体 例如 进程 文件 段 设备 实施强制访问控制 为这些主体及客体指定敏感标记标记 这些标记是等级分类和非等级类别的组合 它们是实施强制访问控制的依据 计算机信息系统可信计算基支持两种或两种以上成分组成的安全级 计算机信息系统可信计算基控制的所有主体对客体的访问应满足 仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类 且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别 主体才能读客体 仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类 且主体安全级中的非等级类别包含于客体安全级中的非等级类别 主体才能写一个客体 计算机信息系统可信计算基使用身份和鉴别数据 鉴别用户的身份 并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制 39 标记计算机信息系统可信计算基应维护与主体及其控制的存储客体 例如 进程 文件 段 设备 相关的敏感标记 这些标记是实施强制访问的基础 为了输入未加安全标记的数据 计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别 且可由计算机信息系统可信计算基审计 40 身份鉴别计算机信息系统可信计算基初始执行时 首先要求用户标识自己的身份 而且 计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据 计算机信息系统可计算基使用这些数据鉴别用户身份 并使用保护机制 例如 口令 来鉴别用户的身份 阻止非授权用户访问用户身份鉴别数据 通过为用户提供唯一标识 计算机信息系统可信计算基能够使用户对自己的行为负责 计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力 41 客体重用在计算机信息系统可计算基的空闲存储客体空间中 对客体初始指定 分配或再分配一个主体之前 撤销客体所含信息的所有授权 当主体获得对一个已被释放和客体的访问权时 当前主体不能获得原主体活动所产生的任何信息 42 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录 并能阻止非授权的用户对它访问或破坏 计算机信息系统可信计算基能记录下述事件 使用身份鉴别机制 将客体引入用户地址空间 例如打开文件 程序初始化 删除客体 由操作员 系统管理员或 和 系统安全管理员实施和动作 以及其他与系统安全有关的事件 对于每一事件 其审计记录包括 事件的日期和时间 用户 事件类型 事件是否成功 对于身份的鉴别事件 审计记录包含请求和来源 例如 终端标识符 对于客体引入用户地址空间的事件及客体删除事件 审计记录包含客体名及客体的安全级别 此外 计算机信息系统可信极为计算基具有审计更改可读输出记号的能力 对不能由计算机信息系统可信计算基独立分辨的审计事件 审计机制提供审计记录接口 可由授权主体调用 这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录 43 数据完整性计算机信息系统可信计算基通过自主和强制完整性策略 阻止非授权用户修改或破坏敏感信息 在网络环境中 使用完整性敏感标记来确信信息在传送中未受损 44 第四级结构化保护级本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上 它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体 此外 还要考虑隐蔽通道 本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素 计算机信息系统可信计算基的接口也必须明确定义 使其设计与实现能经受更充分的测试和更完整的复审 加强了鉴别机制 支持系统管理员和操作员的职能 提供可信设施管理 增强了配置管理控制 系统具有相当的渗透能力 45 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问 实施机制 例如 访问控制表 允许命名用户和 或 以用户组的身份规定并控制客体的共享 阻止非授权用户读取敏感信息 并控制访问权限扩散 自主访问控制机制根据用户指定方式或默认方式 阻止非授权用户访问客体 访问控制的粒度的单个用户 没有存取权的用户只允许由授权用户指定对客体的访问权 46 强制访问控制计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源 例如 主体 存储客体和输入输出资源 实施强制访问控制 为这些主体及客体指定敏感标记 这些标记是等级分类和非等级类别的组合 它们是实施强制访问控制的依据 计算机信息系统可信计算基支持两种或两种以上成分组成的安全级 计算机信息系统可信计算基外部的所有主体对客体的直接或间接的访问应满足 仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类 且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别 主体才能读客体 仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类 且主体安全级中的非等级类别包含于客体安全级中的非等级类别 主体才能写一个客体 计算机信息系统可信计算基使用身份和鉴别数据 鉴别用户的身份 保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制 47 标记计算机信息系统可信计算基维护与可被外部主体直接或间接访问到的计算机信息系统资源 例如 主体 存储客体 只读存储器 相关的敏感标记 这些标记是实施强制访问的基础 为了输入未加安全标记的数据 计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别 且可由计算机信息系统可信计算基审计 48 身份鉴别计算机信息系统可信计算基初始执行时 首先要求用户标识自己的身份 而且 计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据 计算机信息系统可信计算基使用这些数据 鉴别用户身份 并使用保护机制 例如 口令 来鉴别用户的身份 阻止非授权用户访问用户身份鉴别数据 通过为用户提供唯一标识 计算机信息系统可信计算基能够使用户对自己的行为负责 计算机信息系统可信计 49 算基还具备将身份标识与该用户所有可审计行为相关联的能力 50 客体重用在计算机信息系统可信的计算基的空闲存储客体空间中 对客体初始指定 分配或再分配一个主体之前 撤销客体所含信息的所有授权 当主体获得对一个已被释放和客体的访问权时 当前主体不能获得原主体活动所产生的任何信息 51 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录 并能阻止非授权的用户对它访问或破坏 计算机信息系统可信计算基能记录下述事件 使用身份鉴别机制 将客体引入用户地址空间 例如 打开文件 程序初始化 删除客体 由操作员 系统管理员或 和 系统安全管理员实施和动作 以及其他与系统安全有关的事件 对于每一事件 其审计记录包括 事件的日期和时间 用户 事件类型 事件是否成功 对于身份鉴别事件 审计记录包含请求的来源 例如 终端标识符 对于客体引入用户地址空间的事件及客体删除事件 审计记录包含客体名及客体的安全级别 此外 计算机信息系统可信计算基具有审计更改可读输出记号的能力 对不能由计算机信息系统可信计算基独立分辨的审计事件 审计机制提供审计记录接口 可由授权主体调用 这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录 计算机信息系统可信计算基能够审计隐蔽存储信道时可能被使用的事件 52 数据完整性计算机信息系统可信计算基通过自主和强制完整性策略 阻止非授权用户修改或破坏敏感信息 在网络环境中 使用完整性敏感标记来确信信息在传送中未受损 53 隐蔽信道分析系统开发者应彻底搜索隐蔽存储信道 并根据实际测量或工程估算确定每一个被标识信道的最大带宽 54 可信路径对用户的初始登录和鉴别 计算机信息系统可信计算基在它与用户之间提供可信通信路径 该路径上的通信只能由该用户初始化 55 第五级访问验证保护级本级的计算机信息系统可信计算基满足访问监控器需求 访问监控器仲裁主体对客体的全部访问 访问监控器本身抗篡改的 必须足够小 能够分析和测试 为了满足访问监控器需求 计算机信息系统可信计算基在其构造时 排除那些对实施安全策略来说并非必要的代码 在设计和实现时 从系统工程角度将其性降低到最小程度 支持安全管理员职能 扩充审计机制 当发生与安全相关的事件时发出信号 提供系统恢复机制 系统具有很高的渗透能力 56 自主访问控制计算机信息系统可信计算基定义并控制系统中命名用户对命名客体的访问 实施机制 例如 访问控制表 允许命名用户和 或 以用户组的身份规定并控制客体的共享 阻止非授权用户读取敏感信息 并控制访问权限扩散 自主访问控制机制根据用户指定方式或默认方式 阻止非授权用户访问客体 访问控制的粒度是单个用户 访问控制能够为每个命名客体指定使用户和用户组 并规定他们对客体的访问模式 没有存取权的用户只允许由授权用户指定对客体的访问权 57 强制访问控制计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源 例如 主体 存储客体和输入输出资源 实施强制访问控制 为这些主体及客体指定敏感标记 这些标记是等级分类和非等级类别的组合 它们是实施强制访问控制的依据 计算机信息系统可信计算基支持两种或两种以上成分组成的安全级 计算机信息系统可信计算基外部的所有主体对客体的直接或间接的访问应满足 仅当主体安全级中的全部非等级类别 主体才能读客体 仅当主体安全级中的非等级类别 主体才能写一个客体 计算机信息系统可信计算基使用身份和鉴别数据 鉴别用户的身份 保证用户创建和计算机信息系统或信计算基外部主体的安全级和授权受该用户的安全级和授权的控制 58 标记计算机信息系统可信计算基维护与可被外部主体直接或间接访问到的计算机信息系统资源 例如 主体 存储客体 只读存储器 相关的敏感标记 这些标记是实施强制访问的基础 为了输入未加安全标记的数据 计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别 且可由计算机信息系统可信计算基审计 59 身份鉴别计算机信息系统可信计算基初始执行时 首先要求用户标识自己的身份 而且 计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据 计算机信息系统可信计算基使用这些数据 鉴别用户身份 并使用保护机制 例如 口令 来鉴别用户的身份 阻止非授权用户访问用户身份鉴别数据 通过为用户提供唯一标识 计算机信息系统可信计算基能够使用户对自己的行为负责 计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力 60 客体重用在计算机信息系统可信计算基的空闲存储客体空间中 对客体初始指定 分配或再分配一个主体之前 撤销客体所含信息的所有授权 当方体获得对一个已被释放和客体和访问权时 当前主体不能获得原主体活动所产生的任何信息 61 审计计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录 并能阻止非授权的用户对它访问或破坏 计算机信息系统可信计算基能记录下述事件 使用身份鉴别机制 将客体引入用户地址空间 例如 打开文件 程序初始化 删除客体 由操作员 系统管理员或 和 系统安全管理员实施和动作 以及其他与系统安全有关的事件对于每一事件 其审计记录包括 事件和日期和时间 用户 事件类型 事件是否成功 对于身份鉴别事件 审计记录包含客体名及客体的安全级别 此外 计算机信息系统可信计算基具有审计更改可读输出记号的能力 62 对不能由计算机信息系统可信计算基独立分辨的审计事件 审计机制提供审计记录接口 可由授权主体调用 这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录 计算机信息系统可信计算基能够审计利用隐蔽信道时可能被使用的事件 计算机信息系统可信计算基包含能够监狱监控可审计安全事件发生与积累的机制 当超过阈值时 能够向安全管理员发出报警 并且 如果这些与安全相关的事件继续发生或积累 系统应以最小的代价中止它们 63 数据完整性计算机信息系统可信计算基通过自主和强制完整性策略 阻止非授权用户修改或破坏敏感信息 在网络环境中 使用完整性敏感标记来确信信息在传送中未受损 64 隐蔽信息分析系统开发者应彻底搜索隐蔽信道 并根据实际测量或工程估算确定每一个被标识信道的最大带宽 65 可信路径当连接用户时 如注册 更改主体安全级 计算机信息系统可信计算基提供它与用户之间的可信通信路径 可信路径上的通信只能由该用户或计算机信息系统可信计算基激活 且在逻辑上与其他路径上的通信相隔离 且能正确地加以区分 66 可信恢复计算机信息系统可信计算基提供过程和机制 保证计算机信息系统失效或中断后 可以进行不损害任何安全保护性能的恢复 上述内容 节录于 GB17859 1999中华人民共和国国家标准 并作了序号调整 67 我国在计算机网络与信息安全方面的现状 计算机网络与信息安全在我国一直在被重视 除了政府已经分布的有关法规文件外 有关部门还在加紧制定有关标准与新的法规 信息安全方面成立了专门的研究机构 同时还有众多的公司从事这方面的工作 总体说来 国内是相当重视的 但是研究的面较狭 说的就是网络反病毒产品 如KILL和VRV的网络防火墙产品 但大多数只是 服务器用户 单机用户 的简单杀毒组合 并不具备真正意义上的网络防守实力 曾宪勇先生曾说过这样的看法 如果从杀毒软件方面看 68 瑞星 KV300和KILL三足鼎立的格局已然形成 下一个更大的市场便是网络版的市场 因为从发展方向来看 网络杀毒产品必将是未来市场的一个主流 这里有两个原因 一个因为网络杀毒软件产品的产值要比单机版要高得多 利润空间也是非常的可观 作为需要赢利的企业 必然要投入相当的关注 另外一个是因为在历史上 国内企业用户对网络版的应用并不是很重视 而近来出现的许多网络方面的事故 引起了有关方面的重视 国内企业必将在这个方面相当的投入 这个市场将会扩大 日前 随着中国电子商务浪潮的风行 许多企业用户也正在由单机防护应用逐步过渡到企业级的防护 企业防病毒软件的市场无疑将来会越来越大 因此 目前杀毒软件网络版产品将是一个很好的方向 我们注意到国内的一些厂商瑞星等近日也即将推出其最新的病毒防火墙产品 加入到网络版产品竞争的战团 69 如果从技术上来看 防病毒软件的发展方向还在于 1 要能够适应各种产流的数据压缩格式 能对藏于每个文件压缩包内的病毒均可以进行检查和清除 2 实时监控技术今天已经成为防病毒软件必须具备的主流技术 传统的手动杀毒 定时杀毒等方法已不能适应现在病毒无时不在 无孔不入的特点 根据国际计算机安全协会的调查 现在新增30 以上的病毒是通过Internet传播 可以说Internet上的防毒能力成为防杀病毒软件的关键技术 在这方面 国外的杀毒软件要超前些 而我们国内的厂商则相对滞后一些 有待努力 70 另外 近来出现的 在线杀毒 的方式也是一个很好的方向 这种方式具有免下载 免等待 病毒码随时更新等特性 可以省去下载最新病毒代码的时间 并且因为不用安装 所以不会占用任何电脑系统资源 一般防毒软件基本杀毒功能线上杀毒都能提供 另外因为对于厂商而言 在线杀毒 不需要传统杀毒所需要的介质的费用 而且减少了产品在流通环节所消耗的费用 这使它的成本和价位都能够降低很多 它的缺点是目前只支持文件型病毒的查毒与杀毒动作 不能清除内存里的病毒 而传统的防毒软件可以做到这一点 71 如果从服务上看 杀毒软件的竞争应该不只是在软件杀毒能力本身的竞争 在服务质量等方面的竞争也必须注重 尤其是对于单机版产品 如果作为一款主要面向一般消费人群的单机版产品 除杀毒能力之外的其它的几个方面 如易用性 速度 资源占用情况 升级的更新频率及步骤简繁等方面也是非常重要的 非专业人群不会认可一款不易操作 影响整机系统性能 升级反应差 杀毒速度很慢 仅仅杀毒效果很佳的杀毒软件产品 对于一些业内人士认为的 作为一种反病毒产品 其主要目的是为了对抗计算机病毒 因此 反病毒软件的检测率 清除率 误报率 以及对病毒处理的可靠性等方面理应是该款反病毒产品的主要特征和评测目标 笔者认为 这里可能要涉及到一款非企业类杀毒软件产品的评测方法究竟以什么为依据的问题 是否将其与企业级杀毒软件产品的评测标准相分离 这需要有关方面作一定的考虑 72 据 每周电脑报 的市场调查研究部徐余征同志的文章认为 目前 在杀毒软件方面 知名度由高至低的杀毒软件分别是 KV300 瑞星 KILL Norton Pc cillin VRV和AV95 KV300的认识比率高达93 另外瑞星和KILL的认知率也较高 分别为88 8 和82 3 在杀毒软件的使用比率方面 前九位排名也一致 KV300的使用比率在被访企业中占80 在网络安全产品生产商和网络安全服务供应商和知名度排名中 排名第一位的是瑞星 71 1 其次是江民 47 2 CA 44 5 冠群金辰 28 3 和赛门铁克 13 7 73 对于国产网络安全产品的看法 被访企业的代表认为国内产品的看法 被访企业的代表认为国内产品在与国外产品的竞争中 价格低廉是最大的优势 70 8 的被访者认同该点 另外 技术并不逊于国外产品 34 3 良好的售后服务 30 0 和政策支持 23 8 也是国产网络安全产品的优势 仍有8 5 的被访者明确表示国产网络安全产品同国外同类产品比较并没有优势可言 74 优势是存在的 但同时总量也不可忽视 被访者认为国产网络安全产品目前存在的主要总量有以下三点 配套服务不够 50 8 产品线不全 45 7 和安全漏洞多 34 7 当然也有7 8 的被访者认为中外产品差距在一年以内 19 7 的被访者认为差距在一至两年 18 0 的被访者认为差距在两至三年 14 4 的被访者认为差距在三年或更长的时间 这一方面源于我国总体应用技术开发滞后 另一方面国内网络用户在实际应用范围和水平上都还比较低 网络安全防范意识在相当多的用户头脑中淡漠或完全的管理造成极大的障碍 对于网络信息安全 作者认为 国内的人士现对网络安全的认识是高的 国内做防火墙的厂商就有150多家 拥有自己产品的厂家大约有20家左右 技术水平各有千秋 75 计算机网络信息安全的基本对策 连网的计算机 特别是连接Internet的主机 比没有连网的主机会暴露出更大更广的安全问题 全世界几乎每天都有闯入 break in 和安全侵犯 securityviolation 行为发生 这些侵犯者并不仅仅是Internet的破坏者 他们包括为了个人目的或恶意地偷窃计算机信息或政法服务的雇员 76 安全级别根据美国国防部开发的计算机安全标准 可信任计算机标准评估准则 TrustedComputerStandardsEvaluationCriteria 桔黄皮书 OrangeBook 一此级别是被用于保护硬件 软件和存储的信息免受攻击 并描述了不同类型的物理安全 用户身份验证 authentication 操作系统软件的可信任性和用户应用程序 这些标准也限制了什么类型的系统可以连接到你的系统 77 说明 桔黄皮书自从1985年成为美国国防部的标准以来 一直没有改变过 它多年来一直是评估多用户主机和和小型操作系统的主要方法 其它子系统 比如数据库和网络 也一直是通过桔黄皮书的解释来评估的 例如 可信任数据库解释 TrustedDatabaseInterpretation 和可信任网络解释 TrustedNetworkInterpretation 78 对计算机安全划分为7个等级 它们是 1 D1级D1级是可用的最低的安全形式 该标准说明整个系统都是不可信任的 对于硬件来说 没有任何保护可用 操作系统容易受到损害 对于用户和他们对存储在计算机上信息的访问权限没有身份验证 该安全级别典型地指像MS DOS MS Windows和Apple的MacintoshSystem7 x等操作系统 这些操作系统不区分用户 并且没有定义方法来决定谁在敲击键盘 这些操作系统对于计算机硬盘上的什么信息是可以访问的也没有任何控制 79 2 C1级C级有两个安全子级别 C1和C2 C1级 或称自选安全保护 DiscretionarySecurityProtection 系统 描述了一个典型的Unix系统上可用的安全级 对硬件来说存在某种程度的保护 因为它不再那么容易受到损害 尽管这种可能性仍然存在 用户必须通过用户注册名和口令让系统识别他们自己 这种组合用来确定每个用户对程度和信息拥有什么样的访问权限 这些访问权限是文件的目录许可权限 permission 这些自选访问控制 DiscretionaryAccessControls 使文件或目录的拥有者或者系统管理员 能够阻止某个人或几组个访问那些程度或信息 但是 这并没有阻止系统管理帐户执行活动 结果 不审慎的系统管理员可以容易损害系统安全 另外 许多日常系统管理任务只能由以root注册的用户来执行 随着现在计算机系统的分散化 随便走进一个组织 你都会发现两三个以上的人知道根口令 这已经是司空见惯的事 由于过去无法区分是Dong还是Mary对系统所做的改变 所以这本身就是一个问题 80 3 C2级第三个子级别C2可用来帮助解决这些问题 除C1包含的特征外 C2级还包含其它的创建受控访问环境 controlled accessenvironment 的安全特征 该环境具有进一步限制用户执行某些命令或访问某些文件的能力 这不仅基于许可权限 而且基于身份验证级别 另外 这种安全级别要求系统加以审核 audit 这包括为系统中发生的每个事件编写一个审核记录 审核用来跟踪记录所有与安全有关的事件 比如那些由系统管理员执行的活动 审核还要求身份验证 因为没有它 如何能够确定实际执行命令的人就是某人呢 审核的缺点在于它需要额外的处理器和磁盘子系统资源 使用附加身份验证 对于一个C2系统的用户来说 没有根口令而有权执行系统管理任务是可能的 这使得追踪与系统管理有关的任务有了改观 因为是单独的用户执行了工作而不是系统管理员 这些附加身份验证不能与可应用于程序的SGID和SUID许可权限相混淆 而且它们是允许用户执行特定命令或访问某些核心表的特定身份验证 例如 那些无权浏览进程表的用户 当执行ps命令时 只能看到它们自己的进程 81 4 B1级B级安全包含三个级别 B1级或标志安全保护 LabeledSecurityProtection 是支持多级安全 比如秘密和绝密 的第一个级别 这一级说明一个处于强制性访问控制之下的对象 不允许文件的拥有者改变其许可权限 82 5 B2级B2级 叫做结构保护 StructuredProtection 要求计算机系统中所有对象都加标签 而且给设备 如磁盘 磁带或终端 分配单个或多个安全级别 这是提出较高安全级别的对象与另一个较低安全级别的对象相通讯的第一个级别 83 6 B3级B3级或安全域级别 SecurityDomain 使用安装硬件的办法来加强域 例如 内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改 该级别也要求用户的终端通过一条可信任途径连接到系统上 84 7 A级A级或验证设计 VerifyDesign 是当前桔黄皮书中最高安全级别 它包含了一个严格的设计 控制和验证过程 与前面提到的各级别一样 这一级包含了较低级别的所有特性 设计必须是从数学上经过验证的 而且必须进行对秘密通道和可信任分布的分析 可信任分布 TrustedDistribution 的含义是 硬件和软件在传输过程是已经受到保护 以防止破坏安全系统 85 加拿大安全 加拿大下令已经着手设计它自己的可信任计算标准 trustedcomputingstandard 这些标准包括两个部分 加拿大可信任计算机产品评估标准 CanadianTrustedComputerProductEvaluationCriteria CTCPEC 和普通标准 CommonCriteria CTCPEC提出了在开发或评估过程中产品的功能 functionality 和保证 assurance 功能包括机密 confidentiality 完整性 integrity 可用性 availability 和可说明性 accountability 保证集中于产品用以实现组织的安全策略的可信程度 普通标准是美国 加拿大 法国 德国和英国联合调查与研究的结果 该文档包含了选择适当的IT安全措施的要求 普通级别有7种保证级 EAL 1到EAL 7 以下几节分别讲述这些标准 86 EAL 1EAL 1是最低的保证级别 它对开发人员和消费者来说是有意义的 它定义了最小程度的保证 并且是以对产品安全性能分析为基础的 它使用功能和接口设计来理解安全行为 87 EAL 2EAL 2是在不需要强加级产品开发人员除EAL 1要求和任务之外的附加任务的情况下 可被授予的最高的保证级别 它执行对功能和接口规范的分析 以及对产品子系统的高级设计检查 88 EAL 3EAL 3描述了一种中间的独立确定的安全级别 意味着安全由外部源来证实 该级别允许阶段给予最大的保证 而在测试过程中几乎不加修改 最大保证指的是设计时已经考虑到了安全问题 而不是设计完之后再实现安全性 开发人员必须提供测试证据 包括易受攻击的分析 它们有选择地加以验证 这也是包括配置管理评价的第一个级别 89 EAL 4EAL 4是改进已有生产线的可行的最高保证级别 一个保证级别为EAL 4的产品是一个在设计 测试和检查方面都井井有条的产品 它的消费者提供了最高的安全级别 这是以很好的商业软件开发经验为基础的 使用这些经验可以帮助排除困扰项目的一般软件设计问题 除了EAL 3级的内容之外 EAL 4也包括对产品的易受攻击性进行独立的搜索 90 EAL 5EAL 5级对现有的产品来说是不容易达到的 因为这必须有意为了完成该标准来设计和创建产品 这里开发人员必须应用商业软件开发经验及特殊的安全工程技术 该级别试用于那些在严格的开发方法中要求较高保证级别的开发人员和用户 在这一级别上开发人员也必须提出设计规范和如何在产品中从功能上实现这些规范 91 EAL 3EAL 3级包含一个半正式的验证设计和测试主件 该级别包括EAL 5级的所有内容 另外还要求提出实现的结构化表示 另外 产品要戏受高低设计检查 而且必须保证具有调度的抗攻击性能 EAL 3级出保证在设计循环中使用结构化的开发过程 开发控制和配置管理控制 92 EAL 7EAL 7级只用于最高级别的安全应用程序 那里违反安全的高度危险性证明了开发代价的合理性 当然这些代价是由消费者来承担的 该级别包含完整的独立和正式的设计检查 有一个验证 设计和测试阶段 开发人员必须测试产品的每一个方面 寻找明显的或隐藏的易受攻击的地方 这都可以由一个独立的源来全部加以验证 这是一个耗费精力和时间的过程 从思想的形成到产品的最终完成 评估代理商必须全身心地投入进去 93 局部安全问题除了其它组织开发的安全产品和规则之外 用户必须能够解决那些局部的 或仅限于用户的组织或组织内部某个部门的安全问题 这些局部安全问题包括安全策略和口令控制 对于局部安全问题 我们将下述五个方面进行讨论 94 安全策略在考虑用户的站点安全性的策略时 可以采用两个主要观点 这两个主要的观点形成了所有其它与安全有关的策略和基础 并且控制着实现它们的过程 第一 没有明确允许的就是禁止的 这是研究安全问题的第一个观点 它意味着用户的组织提供了一个明确的和记录在案的服务集合 所有其它的都在禁止之列 例如 如果用户决定允许匿名FTP传输到一台特殊的机器或从其传输出来 但是拒绝telnet服务 就明确地用文档说明支持FTP 拒绝telnet 第二 没有明确禁止的就是允许的 这意味着 除非用户明确指出一种服务不可用 则所有服务都是可用的 例如 你没有明确说明禁止对一台给定主机的telnet会话 那么就必须允许之 不管是第一种还是第二种观点 定义一种安全策略背后的原因是 在一个组织的安全受到损害的情况下 必须决定应当采取什么行动 这种策略也描述了哪些行动是可以容忍的 哪些不行的 安全策略决定了安全性的程度 95 口令文件防卫非授权访问系统的第一道防线是 etc password文件 口令文件包括一些行或记录 每行被 分成7个域 例如 chare u7mHuh5R4UmVo 105 100 ChrisHare u chare bin kshusername encryptedpassword UID comment homedirectory loginshell我们用表4 3解释上述例子的每个字段内容和典型值 请参见出版社 电子政务系统建设与实施 2007