信息安全及其体系建设概述.doc

信息安全及其体系建设概述目录1 信息安全的相关概念21.1 计算机网络安全21.2 信息安全22 信息安全技术32.1物理安全技术32.2系统安全技术42.3防火墙技术42.3.1 防火墙的作用52.3.2 防火墙一般采取的技术措施52.4认证技术62.4.1 口令认证62.4.2 智能卡令牌卡认证82.4.3 生物特征认证92.4.4数字证书92.4.5单点登录（SSO）112.5 访问控制技术112.6数据加密技术132.7扫描评估技术152.8入侵检测技术162.9审计跟踪技术172.10病毒防护技术191.11备份恢复技术201.12 安全管理技术213 信息安全体系的建设213.1基本概念213.2静态防护体系233.3 P2DR、PDRR动态安全模型243.4信息保障技术框架（IATF）273.5 信息安全管理体系（ISMS）294 信息安全的发展趋势304.1动态、立体的安全体系框架304.2信息安全统一管理平台334.3全生命管理的安全系统工程334.4无线网络安全与云计算安全334 信息安全的相关军用产品335 关于“xx网”信息安全保障的思考341 信息安全的相关概念1.1 计算机网络安全国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于动态意义描述。1.2 信息安全信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义与计算机网络安全基本一致。图1-1 信息安全基本原则信息安全通常强调所谓 CIA 三元组的目标，即保密性、完整性和可用性，如图1-1所示。CIA 概念的阐述源自信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。l 保密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。l 完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。 l 可用性（Availability）： 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。除了 CIA，信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对 CIA原则的细化、补充或加强。 与 CIA三元组相反的有一个 DAD三元组的概念，即泄漏（Disclosure）、篡改（Alteration）和破坏（Destruction），实际上 DAD就是信息安全面临的最普遍的三类风险，是信息安全实践活动最终应该解决的问题。2 信息安全技术与信息安全的发展历程一样，信息安全技术在不同的阶段也表现出不同的特点。在通信安全阶段，针对数据通信的保密性需求，人们对密码学理论和技术的研究及应用逐渐成熟了起来。随着计算机和网络技术的急遽发展，信息安全阶段的技术要求集中表现为 ISO 7498-2标准中陈述的各种安全机制上面，这些安全机制的共同特点就是对信息系统的保密性、完整性和可用性进行静态的防护。到了互联网遍布全球的时期，以 IATF（信息保障技术框架）为代表的标准规范为我们勾画出了更全面更广泛的信息安全技术框架，这时的信息安全技术，已经不再是以单一的防护为主了，而是结合了防护、检测、响应和恢复这几个关键环节在一起的动态发展的完整体系。目前，信息安全的相关技术主要包括以下几个方面：物理安全技术、系统安全技术、网络安全技术、应用安全技术、数据加密技术、认证授权技术、访问控制技术、扫描评估技术、审计跟踪技术、病毒防护技术、备份恢复技术、安全管理技术等等。2.1物理安全技术物理安全（Physical Security），是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致破坏的过程。 物理安全主要包括三个方面：环境安全、设备安全、媒体安全。 保证物理安全可用的技术手段很多，也有许多可以依据的标准，例如，国标 GB 5017393电子计算机机房设计规范、GB 288789计算站场地技术条件、GB 936188计算站场地安全要求，以及其他诸如防辐射防电磁干扰的众多标准。2.2系统安全技术包括操作系统安全与数据库系统的安全。对于操作系统安全来说，通过提供对计算机信息系统的硬件和软件资源的有效控制，能够为所管理的资源提供相应的安全保护。它们或是以底层操作系统所提供的安全机制为基础构作安全模块，或者完全取代底层操作系统，目的是为建立安全信息系统提供一个可信的安全平台。具体措施包括系统加固、系统访问控制等。 数据库安全，一般采用多种安全机制与操作系统相结合，实现对数据库的安全保护。2.3防火墙技术防火墙是一个网络安全的专用词，它是可在内部网（或局域网）和互连网之间，或者是内部网的各部分之间实施安全防护的系统。通常它是由硬件设备路由器、网关、堡垒主机、代理服务器和防护软件等共同组成。在网络中它可对信息进行分析、隔离、限制，既可限制非授权用户访问敏感数据，又可允许合法用户自由地访问网络资源，从而保护网络的运行安全。防火墙就内部网和互连网的连接，见图2-1。图2-1 防火墙与内部网和互联网之间的联接2.3.1 防火墙的作用防火墙一般具有以下作用：（1）取消或拒绝任何未被明确允许的软件包通过；（2）将外部用户保持在内部网之外，即对外部用户访问内部网做出限制，如互连网用户确实需要访问某些文件（如公司的公共文件），则这些文件可置于防火墙之外的互连网一侧；（3）强制执行注册、审计和报警等。即对通过防火墙的信息注册、审计，在发现某人试图闯过防火墙时，及时发出警报。防火墙无能为力的是：访问限制、后门威胁（Modem或RAS服务器）和对于内部的黑客攻击。2.3.2 防火墙一般采取的技术措施防火墙所采取的主要技术有包过滤技术、代理技术、状态监视技术等。（1）包过滤（Packet Filter）技术依据系统事先设定的过滤规则，检查数据流中每个数据包，根据数据包的源地址、目的地址、TCP端口、路径状态等来确定是否允许数据包通过。包过滤器可在路由器之外单独设置，也可与路由器做成一体，在路由设备上实现包过滤，还可在工作站上用软件进行包过滤。（2）代理（Proxy）技术代理服务是在网络中专门设置的代理服务器上的专用程序。代理服务可按安全管理员的设置，允许或拒绝特定的数据或功能。一般和包过滤器、应用网关等共同使用，将外部信息流阻挡在内部网的结构和运行之外，使内部网与外部网的数据交换只在代理服务器上进行，从而实现内部网与外部网的隔离。此外，代理服务还可完成数据流监控、过滤、记录、报告等功能。（3）状态监视技术状态监视可通过提取相关数据来对网络通信的各层实施监视并作为决策时的依据。监视功能支持多种网络协议，可以方便地实现应用和服务的扩充，特别是可监视RPC（远程进程调用）和UDP（用户数据报文）端口信息，这是其它安全服务所不能完成的。2.4认证技术身份认证是对网络中的主体进行验证的过程，主要包括口令密码认证技术、智能卡令牌卡认证技术、生物特征认证技术、数字证书技术等。2.4.1 口令认证口令密码是最为常见的身份认证技术，包括静态口令认证和动态口令认证两种技术。（1）静态口令认证静态口令是使用最早、最广泛的认证手段。因其实现简单、使用方便，得到了广泛的应用。它的基本原理是：用户在注册阶段生成用户名和初始口令，系统在其数据库中保存用户的信息列表(用户名ID+MD5加密口令)。当用户登录认证时，将自己的用户名和口令上传给服务器，服务器通过查询用户信息数据库来验证用户上传的认证信息是否和数据库中保存的用户列表信息相匹配。如果匹配则认为用户是合法用户，否则拒绝服务，并将认证结果回传给客户端。用户定期改变口令，以保证安全性。口令泄露是口令认证系统面临的最大威胁。用户口令通常是一组字符串，长度不会太长，为了记忆方便常选择有规律或有意义的字符串，如生日、人名、电话号码等，另外，口令明文传输和不加密存放使得静态口令认证系统的安全性很差。主要存在以下问题：1）网络窃听：很多网络服务在询问和验证远程用户认证信息时，认证信息都是以明文形式进行传输，如大量的通信协议如Telnet、FTP、HTTP等都使用明文传输，这意味着网络中的窃听者只需使用协议分析器就能查看到认证信息，从而分析出用户的口令。2）截取重放：有的系统会将服务器中用户信息加密后存放，用户在传输认证信息时也先进行加密，这样虽然能防止窃听者直接获得口令，但使用截取重放攻击，攻击者只要在新的登录请求中将截获的信息提交给服务器，就可以冒充登录。3）字典攻击：某些攻击者利用用户口令使用生日，人名等有意义的单词或数字的特点，使用字典的单词来尝试用户的口令，这就是所谓的字典攻击。因此，许多系统都建议用户在口令中加入特殊字符，以增加口令的安全性。4）穷举攻击：如果用户口令较短，攻击者就会使用字符串的全集作为字典，来对用户口令进行猜测。它是字典攻击的一种特殊形式。5）伪造服务器攻击：最常见的是网络钓鱼。即攻击者通过伪造服务器来骗取用户认证信息，然后冒充用户进行正常登录。6）口令泄露：攻击者通过窥探、社交工程、垃圾搜索、植入木马等手段，窃得用户口令。或用户自己不慎将口令告诉别人或将口令写在其他地方被别人看到，造成口令的泄露。由于静态口令存在的缺陷，基于静态口令的身份认证正逐渐退出历史舞台。（2）动态口令认证动态口令也叫一次性口令，它的基本原理是：在用户登录过程中，基于用户口令加入不确定因子，对用户口令和不确定因子进行单向散列函数变换，所得的结果作为认证数据提交给认证服务器。认证服务器接收到用户的认证数据后，把用户的认证数据和自己用同样的散列算法计算出的数值进行比对，从而实现对用户身份的认证。散列函数在认证过程中起着至关重要的作用，它把可变输入长度串(预映射)转换成固定长度输出串(散列值)且单方向运行，即从预映射的值很容易计算散列值，但要从散列值推出预映射值非常困难，使得攻击者通过网络窃听截取登录信息却无法反推出用户口令。在认证过程中，用户口令不在网络上传输、不直接用于验证用户的身份，用户口令和不确定因子使用散列算法生成的数据才是直接用于用户身份认证的数据，且每次都采用不同的不确定因子来生成认证数据，从而每次提交的认证数据都不相同，提高了登录过程的安全性。一次性口令系统允许用户每次登录时使用不同的口令。它使用一种称作口令发生器的设备，设备是手携式的，并有一个加密程序和惟一的内部加密密钥。系统在用户登录时给用户提供一个随机数，用户将这个随机数送入口令发生器，口令发生器用户的密钥对随机数加密，然后用户再将口令发生器输出的加密口令送入系统，系统将用户输入的口令，与它用相同的加密程序，密钥和随机数产生的口令比较，如果二者相同，允许用户访系统。其优点是：用户可每次敲人不同的口令，因此不需要口令保密，只有口令发生器需要安全保护。为了增加安全性，有些系统甚至不需联机保存密钥，实际的密钥可保存在有线连接于系统的一个特殊加密计算机中。在用户登录期间，加密计算机将为用户产生随机数和加密口令。这样一种系统的优点是，口令实际不由用户输人，系统中也不保存密钥，即使是加密格式的密钥也可保存于系统中。其不足之处类似于标记识别方法，每个用户必须携带口令发生器，如果要脱机保存密钥，还需要有一个特殊硬件。2.4.2 智能卡令牌卡认证访问不但需要口令，也需要使用物理智能卡。在允许其进人系统之前检查是否允许其接触系统。智能卡大小形如信用卡，一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个惟一数（ID）和其他数据的加密形式。ID保证卡的真实性，持卡人就可访问系统。为防止智能卡遗失或被窃，许多系统需要卡和身份识别码（PIN） 同时使用。若仅有卡而不知PIN码，则不能进人系统。智能卡比传统的口令方法进行认证更好，但其携带不方便，且开户费用较高。2.4.3 生物特征认证利用个人特征进行认证的方式具有很高的安全性。目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器。这些识别系统能够检测如指印，签名，声音，零售图案这样的物理特征。但大多数这样的系统极具实验性，价格昂贵而且不是百分之百的可靠。任何一个送数据到远程系统去核实的系统有被搭线窃听的危险，非法入侵者只须记录下送去系统的校验信息，以后再重显示这些信息，就能窃密。当然这同样也是标记识别系统的一个问题。2.4.4数字证书数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决我是谁的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。 数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。 数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密，如图2-3所示。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。 用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点： （1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否认； （2）保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。图2-3 数字证书工作情况使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。 数字证书可用于：发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。 数字证书的格式一般采用X.509国际标准。目前，数字证书主要分为安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。数字证书存储方式；（1）存贮成文件，也就是我们通常所说的文件证书，通过申请，CA会发放PFX形式的证书，在windows下通过双击可以导入到操作系统里，为保证安全性，私钥是加密存放，需要用到私钥的时候须输入密码才能使用。（2）USBKEY，USBKEY是基于USB接口的身份认证产品，可以存储X.509数字证书、密钥和其它机密信息，能够用有效的、简化的配置，提供给最终用户以进行安全的、便捷的用户鉴定，从而减少成本。2.4.5单点登录（SSO）单点登录SSO（Single Sign-On）是身份管理中的一部分。SSO的一种较为通俗的定义是：SSO是指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。目前常见的单点登录技术包括：基于目录服务技术、基于数据库实现等。2.5 访问控制技术1、访问控制相关概念、目标和类型访问控制概念：是针对越权使用资源的防御措施。访问控制的基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。未授权的访问包括：非法用户进入系统以及合法用户对系统资源的非法使用。访问控制涉及到三个基本概念，即主体、客体和访问授权。主体：是一个主动的实体，它包括用户、用户组、终端、主机或一个应用，主体可以访问客体。客体：是一个被动的实体，它可以是一个字节、字段、记录、程序、文件，或者是一个处理器、存贮器、网络接点等。授权访问：指主体访问客体的允许，授权访问对每一对主体和客体来说是给定的。针对不同的客体，访问控制分为不同的类型：（1）网络访问控制，控制网络外部主体对网络的访问；（2）系统（主机）访问控制，控制主体对操作系统（或主机）的访问；（3）数据库访问控制，对数据库访问操作权限的控制；（4）应用层的访问控制，实现终端用户对应用层的功能模块、资源数据的访问权限的控制。2、访问控制策略访问控制通常有三种策略：自主访问控制 （ Discretionary Access Control ）、强制访问控制 （ Mandatory Access Control ）和基于角色的访问控制 （ Ro1e-Based Access Control ）。各种访问控制策略之间并不相互排斥，现存计算机系统中通常都是多种访问控制策略并存，系统管理员能够对安全策略进行配置使其达到安全政策的要求。（1）自主访问控制 （DAC）自主访问控制，又称为随意访问控制，根据用户的身份及允许访问权限决定其访问操作，只要用户身份被确认后，即可根据访问控制表上赋予该用户的权限进行限制性用户访问。使用这种控制方法，用户或应用可任意在系统中规定谁可以访问它们的资源，这样，用户或用户进程就可有选择地与其他用户共享资源。它是一种对单独用户执行访问控制的过程和措施。由于DAC对用户提供灵活和易行的数据访问方式，能够适用于许多的系统环境，所以DAC被大量采用。然而，DAC提供的安全保护容易被非法用户绕过而获得访问。例如，若某用户A有权访问文件F，而用户B无权访问F，则一旦A获取F后再传送给B，则B也可访问F，其原因是在自由访问策略中，用户在获得文件的访问后，并没有限制对该文件信息的操作，即并没有控制数据信息的分发。所以DAC提供的安全性还相对较低，不能够对系统资源提供充分的保护。（2）强制访问控制 （MAC）与DAC相比，在强制访问控制中，每个用户及文件都被赋予一定的安全级别，用户不能改变自身或任何客体的安全级别，即不允许单个用户确定访问权限，只有系统管理员可以确定用户和组的访问权限。系统通过比较用户和访问的文件的安全级别来决定用户是否可以访问该文件。此外，强制访问控制不允许一个进程生成共享文件，从而访止进程通过共享文件将信息从一个进程传到另一进程。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略，即实行强制访问控制。强制访问控制具有以下特点：1）将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。2）其访问控制关系分为：上读/下写 ，下读/上写。下读（read down）：用户级别人于文件级别的读操作；上写（write up）：用户级别低于文件级别的写操作；下写（write down）：用户级别大于文件级别的写操作；上读（read up）：用户级别低于文件级别的读操作。上述读写方式都保证了信息流的单向性，上读/写方式保证了数据的完整性（integrity），上写/下读方式则保证了信息的秘密性。3）通过安全标签实现单向信息流通模式。安全标签是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息。（3）角色访问控制 （RBAC）角色访问策略是根据用户在系统里表现的活动性质而定的，活动性质表明用户充当一定的角色，用户访问系统时，系统必须先检查用户的角色。一个用户可以充当多个角色、一个角色也可以由多个用户担任。角色访问策略具有以下优点：便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，从而保证了安全性；便于根据工作需要分级，如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分；便于赋予最小特权，如即使用户被赋予高级身份时也未必一定要使用，以便减少损失。只有必要时方能拥有特权；便于任务分担，不同的角色完成不同的任务；便于文件分级管理，文件本身也可分为个同的角色，如信件、账单等，由不同角色的用户拥有。角色访问策略是一种有效而灵活的安全措施。通过定义模型各个部分，可以实现DAC和MAC所要求的控制策略。3、访问控制实现机制通过用户/资源的访问对应关系表实现访问控制，实现的方法包括：（1）访问控制矩阵：行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。由于访问控制矩阵的复杂度随着资源和用户的数量增长成乘积增长，且为0 的元素过多，一般应用比较少。（2）访问控制表(ACL)：每个客体附加一个它可以访问的主体的明细表。（3）访问能力表(CL)：每个主体都附加一个该主体可访问的客体的明细表。2.6数据加密技术数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加 密来保障其安全性，这是一种主动安全防御策略，用很小的代价即可为信息提供相当大 的安全保护。数据加密可在网络OSI七层协议的多层上实现、所以从加密技术应用的逻辑位置看，有三种方式: （1）链路加密：通常把网络层以下的加密叫链路加密，主要用于保护通信节点间传输的数 据，加解密由置于线路上的密码设备实现。根据传递的数据的同步方式又可分为同步通 信加密和异步通信加密两种，同步通信加密又包含字节同步通信加密和位同步通信加密 。 （2）节点加密：是对链路加密的改进。在协议传输层上进行加密，主要是对源节点和目标节点之间传输数据进行加密保护，与链路加密类似.只是加密算法要结合在依附于节点的加密模件中，克服了链路加密在节点处易遭非法存取的缺点。 （3）端对端加密：网络层以上的加密称为端对端加密。是面向网络层主体。对应用层的数据信息进行加密，易于用软件实现，且成本低，但密钥管理问题困难，主要适合大型网络系统中信息在多个发方和收方之间传输的情况。加密类型可以简单地分为三种：单向加密技术、私用密钥加密技术和公开密钥加密技术。下面分别介绍：（1）单向加密技术单向加密技术主要是针对一些像口令加密这样的类型，它只需要被加密，而无需解密，并与以前的加密进行比较，如MD4、MD5加密等。（2）私用密钥加密技术私用密钥加密也称之为对称加密算法，利用一个密钥对数据进行加密，对方接收到数据后，需要用同一密钥来进行解密。这种加密技术的特点是数学运算量小，加密速度快，其主要弱点在于密钥管理困难，而且一旦密钥泄露则直接影响到信息的安全性。 对称密钥加密技术中最具有代表性的算法是IBM公司提出的DES(Data Encryptiorn Stan dard)算法，该算法于1977年被美国国家标准局NBS颁布为商用数据加密标准。DES正式公布后，世界各国的许多公司都推出自己实现DES的软硬件产品。 三重DES(Triple DES)则是DES的加强版。是一种比较新的加密算法，它能够使用多个密钥，主要是对信息逐次作三次加密。 随机化数据加密标准(RDES)算法是日本密码学家Nakao Y.Kaneko T等人于1996年初提出的一种新的DES改进算法。它只是在每轮迭代前的右半部增加了一个随机置换，其他均与DES相同,目前看来它比DES安全性要好。 新一代加密算法IDEA (International Data Encryption Algorithm)是一种国际信息加密算法。它是1991年的瑞士ETH Zurich由James Massey 和Xueiia Lai发明的)，于l992年正式公开，是一个分组大小为64位，密钥为l28位，迭代轮数为八轮的迭代型密码体制。密钥主要是通过二元和，模216加及216+l乘三种运算来完成，IDEA另一特点是用户可以根据需求选用64位或128位密钥以满足所需的安全要求。（3）公开密钥加密技术公开密钥加密技术也称之为非对称加密技术。l976年，Diffie和Hellman首次提出公开密钥加密体制，即每个人都有一对密钥，其中一 个为公开的，一个为私有的。发送信息时用对方的公开密钥加密，收信者用自己的私用密钥进行解密。公开密钥加密算法的核心是运用一种特殊的数学函数一单向陷门函数，即从一个方向求值是容易的。但其逆向计算却很困难，从而在实际上成为不可行的。公 开密钥加密技术它不仅保证了安全性又易于管理。其不足是加密和解密的时间长。 公开密钥算法有很多，一些算法如著名的背包算法和McELiece算法都被破译，目前公认比较安全的公开密钥算法主要就是RSA算法及其变种Rabin算法，离散对数算法等。 公开密钥加密技术在密钥管理上的优势使它越来越受到人们的重视，应用也日益广泛。2.7扫描评估技术对于一个复杂的多层结构的系统和网络安全规划来说，隐患扫描是一项重要的组成元素。隐患扫描能够模拟黑客的行为，对系统设置进行攻击测试，以帮助管理员在黑客攻击之前，找出网络中存在的漏洞。这样的工具可以远程评估你的网络的安全级别，并生成评估报告，指出系统存在的弱点，提出补救措施和建议，为提高网络安全整体水平提供重要依据。安全扫描是一种主动检测的技术，是对以防护为主的安全技术体系的重要补充。漏洞扫描的位置包括：网络、防火墙、服务器（WEB服务器，应用服务器，数据库服务器）、应用程序等。漏洞扫描的技术主要包括：基于网络的、基于主机的、基于代理的、C/S模式的扫描技术。监听方式包括：主动扫描技术和被动的扫描技术。2.8入侵检测技术入侵检测系统IDS（IntrusionDetectionSystem）通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。IDS系统主要2大职责：实时检测和安全审计。实时监测实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；安全审计通过对IDS系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据。IDS系统的优点是：l 实时检测网络系统的非法行为；l 网络IDS系统不占用系统的任何资源；l 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；l 它既是实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证。l 主机IDS系统运行于保护系统之上，可以直接保护、恢复系统。l 通过与防火墙的联动，可以更有效地阻止非法入侵和破坏。IDS系统的缺点是：l 交换器的大量使用，使网络IDS失去对全部网络的控制；l 网络IDS会因为处理速度慢而丢失重要的网络数据；l 主机IDS会占用主机系统的资源。IDS系统的实现技术主要包括：网络IDS和主机IDS。（1）网络IDS 网络IDS是网络上的一个监听设备（或一个专用主机），通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。根据判断方法的不同，基本分为2大类：基于知识的数据模式判断方法和基于行为的行为判断方法，前者大量用于商业IDS系统，后者多在研究系统中采用。（2）主机IDS主机IDS运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源主要包括：网络、文件、进程、系统日志等。处理的方式包括：截获分析本系统的网络数据、扫描或者监听本地的磁盘文件操作、监听系统的进程及其参数和查询系统各种日志文件。运行于被保护主机的系统之上的主机IDS，是安全体系结构中最后一道保护防线，同时由于加密、认证、访问控制等方式的采用，外部检测往往失效，或者已经被欺骗的情况下，主机IDS仍然是一个难以逾越的防线。主机IDS由于运行于主机之上，随着系统的不同而采用不同的开发和应用技术，分为系统级IDS（如微软NT的IDS、unix系统的IDS等）和应用级IDS（如oracle数据库的IDS、web的IDS等）。2.9审计跟踪技术安全审计，即对网络和系统中出现的各种访问活动进行监视和记录，通过日志分析和活动检测等手段来审查资源的受访情况是否符合安全策略的设定。同时，审计也是发现和追踪安全事件的重要措施，是事件响应和后续处理的依据。安全审计是一个安全网络必须支持的功能特性，安全审计及告警处理一般分为以下几个阶段：（1）检测阶段，检测相关的安全事件；（2）鉴定阶段，对安全相关的事件做出初步分析，决定是否要将事件记录在安全审计迹内或引发告警；（3）告警处理阶段，发出安全告警或安全审计信息；（4）分析阶段，安全相关事件与先前的检测，并将记录在审计迹内的事件一起评估，以决定下一步行动；（5）聚合阶段，分散的安全审计收录至单一的安全审计迹内；（6）报表产生阶段，根据安全审计记录生成审计报表；（7）归档阶段，归档安全审计记录。安全审计可以分为：网络审计、主机审计、数据库审计、应用审计和综合审计，下面分别介绍：（1）网络审计网络审计是指通过捕捉被审计网络的数据包，监听网络行为并进行分析，记录敏感的网络操作，发现是否有违规行为发生的系统。目前网络审计主要包括HTTP审计、TELNET审计、邮件服务审计、FTP审计、流量审计和端口连接审计。（2）主机审计获取、记录被审计主机的状态信息和敏感操作，并从已有的主机系统审计记录中提取信息，依据审计规则分析判断是否有违规行为。主机审计主要包括基本系信息（系统版本号、补丁版本号、主机名称、IP地址、CPU资源占用率、内存占用率等等）、文件与目录操作审计、账户审计、外部设备使用审计、主机网络访问行为审计和主机拨号连接审计等。（3）数据库审计实时获取被审计数据库系统的状态信息和行为，并从已有的数据库审计记录中提取信息进行分析，记录针对数据库的敏感操作，发现是否有违规行为。数据库审计包括数据库直接访问审计和数据库网络访问审计。（4）应用审计获取、记录被审计应用系统的状态信息和敏感操作，依据设计规则判断是否有违规行为。应用审计可以由应用系统自身完成，也可以给第三方审计系统提供审计接口，由第三方审计系统完成。（5）综合审计综合审计是指获取并记录网络、主机、数据库、应用系统、安全保密设备自身产生的审计信息等，进行统一分析，依据审计规则判断是否有违规行为。实现方式可以通过在系统中增加一些安全审计设备，获取各种审计信息并进一步综合统计分析，在一个管理中心平台就可以看到各种审计信息，对整个系统状况有一个综合的反映。安全审计也是发现和追踪安全事件的重要措施，为事件响应和后续处理的提供重要的依据。2.10病毒防护技术计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能自我复制的一组计算机指令或者程序代码。关于计算机病毒的危害、特征、传播途径、分类等，这里不详细介绍。这里主要讨论大型网络系统如何防范计算机病毒。目前，计算机病毒及其传播性日趋多样化，大型网络系统的防病毒工作已不再是简单的、单台计算机的检测及清除，而需要建立多层次的、立体的病毒防护体系，而且要具备完善的管理体系来设置和维护病毒的防护策略。所谓的多层次的病毒防护体系是指网络中每台台式机安装台式机的反病毒软件，在服务器上安装服务器的反病毒软件，在网关上安装基于网关的反病毒软件。对于整个网络来说，防止病毒攻击并不是保护某一台服务器或台式机，而是从工作站到服务器到网关的全面保护，这样才能保证整个网络不受计算机病毒的侵害。在大型跨地区的广域网内，要保证整个广域网内安全无毒，首先保证每一个局域网内安全无毒。应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。从总部到分支机构，由上到下，各个局域网的防病毒体系相结合，最终形成一个立体的完整的广域网病毒防护体系。在大型的网络中，为了保证防病毒系统的一致性、完整性和自升级能力，必须有一个完善的病毒防护体系，负责防病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络范围内病毒防护体系的一致性和完整性。一个好的病毒防护体系需要考虑一下几个方面：（1）完整的产品体系应该能够覆盖到每一种需要的平台，一般需要考虑一下几类平台：客户端；服务器，包括邮件服务器、文件服务器、数据库服务器、应用服务器等等；网关（包括代理服务器、防火墙等）。（2）功能完善的反病毒软件控制台所悟网络防病毒所讲的不仅仅是可以对网络服务器进行病毒防范，更重要的是能够对防病毒软件通过网络进行集中的管理和配置。一个能够完成集中分发软件、进行病征特征码升级的控制台是非常必要的。控制台的选族需要考虑容量问题，即每个控制台能够管理客户端的数目。（3）通过广域网进行管理的流量考虑在广域网中，要考虑带宽的限制，防病毒软件的安装，升级的所占用的流量需要考虑，尽量减少升级管理所占用的额带宽。（4）方便易用的报表功能通过了解网络中病毒的活动情况，管理员可以了解那些病毒比较频繁，那些计算机或用户文件比较容易感染病毒以及发现及清除情况。以便修改边度防护策略。（5）对计算机病毒的实时防范能力（6）快速及时的病毒特征码升级。1.11备份恢复技术灾难恢复技术，也称为业务连续性技术，是信息安全领域一项重要的技术。它能够为重要的计算机系统提供在断电、火灾等各种意外事故发生时，甚至在如洪水、地震等严重自然灾害发生时保持持续运行的能力。对关系重大的计算机系统都应当采用灾难恢复技术予以保护。 进行灾难恢复的前提是对数据的备份，之所以要进行数据备份，是因为现实世界中有种种人为因素造成的意外的或不可预测的灾难发生。一个完整的备份及灾难恢复方案应该从必须的硬件、软件、策略以及灾难恢复计划等多方面入手，才能保证快速、有效的数据备份及恢复。数据备份恢复分为以下四个等级：（1）第0级：本地备份本地保存的冷备份只在本地进行数据备份，并且被备份的数据磁带只在本地保存，没有送往异地，这是恢复能力最弱的一种备份。（2）第1级：本地备份异地保存的冷备份在本地将关键数据进行备份，然后送往异地进行保存，灾难发生后按照预定数据恢复程序恢复系统和数据。（3）热备份站点备份在异地建立一个热备份站点，通过网络进行备份。也就是通过网络以同步或异步方式，把主站点的数据备份到备份站点，在主站点正常工作时，只备份数据，不承担业务。当出现灾难时，备份站点接替主站点的业务，从而维护业务运行的连续性。（4）活动互援备份备份方案与热备份站点备份方案差不多，不同的是主从站点不再是固定的，而是互为对方的备份系统。两个数据中心分布在较远的地方，都处于工作状态，并互相数据备份，当某一个数据站点发生灾难时，另一个单独工作。通常这两个系统的光纤设备连接中还提供冗余通道，以备工作通道出现故障时接替工作，采取该方案需要雄厚的资金作为支撑。根据实际要求和投入资金的多少，又可以分为两种：两个数据中心只限于关键数据的备份；两个数据中心互为镜像，即零数据丢失。1.12 安全管理技术计算机和网络系统的安全管理是指对所有计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调，进而从整体上提高计算机网络的防御入侵、抵抗攻击的能力。 安全管理包括两个方面的内容，一个是人员管理、制度管理和安全策略规范等方面的内容，另一方面是从技术上建立高效的管理平台，协调各个安全技术和产品的统一管理，为实现安全策略和度量安全效果提供便利。3 信息安全体系的建设3.1基本概念就像建造一座大厦需要事先设计蓝图一样，进行信息安全建设，也需要有一个实施依据，这就是整体上考虑的信息安全体系。信息安全要做成什么“模样”？信息安全建设应该考虑到哪些方面？到底什么才是全面而完整的信息安全？这就是信息安全体系需要解决的问题。只有在整体的安全体系指导下，信息安全建设所需的技术、产品、人员和操作等材料才能真正发挥各自的效力。 做为信息安全建设的指导方针，安全体系的设计应该体现出可靠性、完备性、可行性和可扩展性等项原则。l 可靠性：在安全体系设计中，应该考虑保护措施的多重性，这是安全建设可靠性的重要体现。任何保护措施都不是十全十美的，对某个单元的保护，应该考虑多种措施互为补充，这样才不至于单点被突破则出现全盘崩溃的恶劣后果。l 完备性：安全体系的设计必须是充分而完备的，这是安全体系作为整体的信息安全工程蓝图的最直接的要求。l 可行性：对安全体系的设计不能只从理论角度出发，而应该考虑到工程实施的可行性，只有技术理论与实际操作紧密结合（比如产品的选型、安装配置等），这样的安全建设工程才具有真正的价值和意义。l 可扩展性：安全体系的设计应该具有一定的灵活性，安全建设并非一成不变的模式，其动态发展的特征要求安全体系具备可扩展的特点。l 经济实用性：安全体系的设计应该考虑到组织的实际承受能力，如果需要付出的代价比从安全体系中获得的利益还要多，这种体系设计就是失败的。 设计安全体系的目的在于：从管理和技术上保证安全策略得以完整准确地实现，安全需求得以全面准确地满足。从具体内容上来看，安全体系应该包含实现信息安全所必须的功能或服务、安全机制和技术、管理和操作，以及这些因素在整个体系中的合理部署和相互关系。安全体系应该是多层次多方面的，必须能够完整描述信息安全建设所要实现的最终形态。 从以往人们对安全体系的研究来看，体系的表述可以通过多种途径来进行，比如非常具体的框架，或者是比较抽象的模型，无论表现形式如何，安全体系都应该能为信息安全的解决方案和工程实施提供依据和参照。3.2静态防护体系早在 1989 年，ISO组织就发布了一个 ISO 7498-2 标准，即信息处理系统开放系统互连基本参考模型第 2 部分：安全体系结构，这个标准提供了安全服务与相关机制的一般描述，确定在参考模型内部可以提供这些服务与机制的位置。ISO 7498-2 被引入国内，成为GB/T 9387.2-1995标准。实际上 ISO 7498-2 标准充分体现了 INFOSEC 时期人们对信息安全体系的关注焦点，即以防护技术为主的静态的信息安全体系。ISO 7498-2 安全体系结构由 5 类安全服务（Security Services）及用来支持安全服务的 8种安全机制（Security Mechanisms）构成，安全服务体现了安全体系所包含的主要功能及内容，是能够定位某类威胁的安全措施，而安全机制则规定了与安全需求相对应的可以实现安全服务的技术手段，一种安全服务可以通过某种安全机制单独提供，也可以通过多种安全机制联合提供；而一种安全机制可以提供一种或者多种安全服务。安全服务和安全机制有机结合相互交叉，在安全体系的不同层次发挥作用，除了 OSI 七层协议中第五层（会话层）外，其他各层都能提供相应的安全服务。此外，ISO 7498-2还对安全管理进行了描述，但这里的安全管理范围比较狭窄，只是对安全服务和安全机制进行的管理，即将管理信息分配到相关的安全服务和安全机制中去，并收集与其操作相关的信息。ISO 7498-2这种安全体系，充分体现了信息安全层次性和结构性的特点。 ISO 7498-2 定义的安全服务包括： l 认证（Authetication，包括实体认证 entity authentication 和来源认证 origin l authentication） l 访问控制（Access Control） l 数据保密性（Data Confidentiality） l 数据完整性（Data Integrity） l 抗抵赖性（Non-repudiation） 上述安全服务可以通过以下安全机制来实现： l 加密机制（Encipherment） l 数字签名（Digital Signature） l 访问控制机制（Access Control Mechanisms） l 数据完整性机制（Data Integrity Mechanisms） l 认证交换（Authentication Exchanges） l 业务流填充（Traffic Padding） l 路由控制（Routing Control） l 公证（Notarisation） 图3-1 所示就是 ISO 7498-2 安全体系结构的三维形态。ISO 7498-2 安全体系结构针对的是基于 OSI 参考模型的网络通信系统，它所定义的安全服务也只是解决网络通信安全性的技术措施，其他信息安全相关领域，包括系统安全、物理安全、人员安全等方面都没有涉及。此外，ISO 7498-2体系关注的是静态的防护技术，它并没有考虑到信息安全动态性和生命周期性的发展特点，缺乏检测、响应和恢复这些重要的环节，因而无法满足更复杂更全面的信息保障的要求。图3-1 ISO 7498-2 安全体系结构的三维形态3.3 P2DR、PDRR动态安全模型面对业务活动不断变化、技术飞速发展、系统不断升级和人员经常流动的动态的信息环境，单纯的防护技术很容易导致盲目建设，也难以对新的安全威胁进行有效应对，这个时候，自然需要借助动态的安全体系、模型和方法来解决不断涌现的安全问题。从二十世纪九十年代开始，随着以漏洞扫描和入侵检测（IDS）为代表的动态检测技术及产品的发展，人们对动态安全模型的研究也逐渐深入成型，P2DR 模型就是动态安全模型的典型代表。P2DR 模型源自美国国际互联网安全系统公司（ISS）提出的自适应网络安全模型