信息系统安全解决方案-风险评估与安全体系

精品 可修改编辑 目目录录 第一章第一章 信息安全的风险评估信息安全的风险评估.2 2 1.11.1 风险分析风险分析.2 2 1.1.1 攻击的类型.2 1.21.2 网络系统的脆弱性网络系统的脆弱性.3 3 1.2.1 操作系统安全的脆弱性.3 1.2.2 网络安全的脆弱性.4 1.2.3 数据库系统安全的脆弱性.5 1.2.4 防火墙的局限性 .5 1.2.5 其他方面的原因 .5 1.31.3 评估方法评估方法.5 5 1.3.1 常用的评估软件 .6 第二章第二章 信息安全防范体系信息安全防范体系.9 9 2.12.1 信息安全模型信息安全模型.9 9 2.22.2 策略和组织框架策略和组织框架.1212 2.2.1 策略框架.12 安全策略的内容.13 安全策略的制定.13 安全策略的管理.15 2.2.2 组织框架.16 2.32.3 技术框架技术框架.1717 2.3.1 鉴别和认证 .18 2.3.2 访问控制.19 2.3.3 审计和跟踪 .20 2.3.4 响应和恢复 .21 2.3.5 内容安全.22 精品 可修改编辑 第一章第一章 信息安全的风险评估信息安全的风险评估 1.1 风险分析风险分析 随着网络的飞速发展，电子商务在今天的商业环境里的普遍应用，计算机系 统的安全防护已经成为一项极其重要的工作。除了保护服务器、工作站、网络设 备以及数据等硬件资产以外，还需要保护公司的无形资产。信息安全隐患会对公 司的声誉、品牌以及发展规划造成不可估量的恶劣影响。 1.1.1 攻击的类型攻击的类型 在因特网上存在哪些攻击方式呢？主要可分为以下三类：拒绝服务、侵入攻 击和信息盗窃。 1、拒绝服务 拒绝服务攻击是一种以遭受攻击的资源目标不能继续正常提供服务的攻击形 式。换言之，拒绝服务攻击就是使你无法继续使用你的计算机资源，这些资源可 能是邮件服务器、Web 服务器或数据库服务器等。 拒绝服务攻击通常是针对某个特定的系统或网络而实施的恶意攻击行为。 2000 年 2 月针对 Amazon 和 CNN 的分布式拒绝服务攻击就是典型的例子。拒绝 服务攻击通常是使用“信息洪水”的手法实现的，即向某个资源发送超出其处理 能力的数据或 TCP/IP 报文。洪水攻击很容易发起，trinoo 和 tribal 等网上可自由 下载的网络洪水程序更助长了这类攻击的频繁发生，这些程序可以轻易地发起一 次针对某个特定目标的拒绝服务攻击。 其他类型的拒绝服务攻击还包括在故意错误地登录操作后锁死某个帐户或引 起系统的重启动。攻击者故意多次错误地尝试登录某个用户帐户，当攻击者达到 系统允许的尝试次数后，系统就会锁死该帐户，真正的用户将无法上机，只能求 助于系统管理员重设该帐户或等待系统锁死时间过去后该帐户自动重设。 拒绝服务攻击也可能会在意外情况下发生。错误的配置或错误的网络操作都 有可能使资源不能继续使用。流式介质或 Napster 等采用信号接力棒技术的程序 就有可能引起拒绝服务现象，造成网络通信的堵塞，进而使合法的商务信息交流 无法进行。 精品 可修改编辑 常用的拒绝服务攻击方法有很多，如：缓冲区溢出、SYN 攻击、泪珠攻击等。 2、侵入攻击 侵入攻击是最经常遭受到的攻击形式，它会使攻击者窃取到系统的访问权并 盗用计算机资源。 窃取某个系统访问权限的办法多种多样，社交陷阱是最有效的办法之一，它 针对的是安全防护体系里最薄弱的因素人。攻击者可以伪装成一名帮助台的工 作人员，让某个用户去修改自己的口令；也可以伪装成一名复印机维修人员直接 进入办公大楼。 窃取系统访问权的其他办法还包括猜测用户名与口令字组合以及钻研操作系 统和应用程序漏洞等。最常见的手段包括缓冲区溢出、Windows NT 漏洞、Web 服务器软件漏洞等。 3、信息盗窃 信息盗窃攻击指的是攻击者从目标系统里偷走数据的情形，这类攻击有时候 并不需要攻击者拥有目标系统的访问权限。大多数信息盗窃攻击都出现在配置不 良的系统上，还有一些系统向外界提供的信息本身就已经超出了保密要求的限度。 利用 Telnet 连接到 80 端口通常会告诉你该系统上运行的是哪一种 Web 服务器。 知道了这些，攻击者就可以利用该服务器软件或目标系统上那些已知的漏洞和弱 点进行攻击。信息盗窃攻击通常是侵入攻击的第一步。 信息盗窃攻击最常用的工具是网络嗅探器。攻击者可以利用嗅探器监视网络 上的通信情况，等待用户名/口令字组合的出现。 其他的信息盗窃方法还有电磁泄漏接收、磁盘缓存窥探等。 1.2 网络系统的脆弱性网络系统的脆弱性 尽管近年来计算机网络安全技术取得了巨大进展，但计算机网络系统的安全 性比以往任何时候都更脆弱，主要表现在它极易受到攻击和侵害，它的抗打击力 和防护力很弱。其脆弱性主要有以下几个方面： 精品 可修改编辑 1.2.1 操作系统安全的脆弱性操作系统安全的脆弱性 操作系统不安全，是计算机不安全的根本原因，其不安全性表现在： 1、操作系统结构体制本身的缺陷 操作系统的程序是可以动态连接的，I/O 的驱动程序与系统服务都可以用打 补丁的方式进行动态连接。UNIX 操作系统的版本升级都是采用打补丁的方式进 行的，虽然这些操作需要被授予特权，但这种方法厂商可用，黑客也可用。一个 靠打补丁改进与升级的操作系统是不可能从根本上解决安全问题的。然而，操作 系统支持程序动态连接与数据动态交换是现代系统集成和系统扩展的需要，这显 然与安全有矛盾。 2、操作系统支持在网络上传输文件，在网络上加载与安装程序，包括可执 行文件。 3、操作系统不安全的原因还在于创建进程，甚至可以在网络节点上进行远 程的创建和激活，更为重要的是被创建的进程还要继承创建进程的权利。这样可 以在网络上传输可执行程序，再加上可以远程调用，就能够在远端服务器上安装 “间谍”软件。另外，还可以把这种间谍软件以打补丁的形式加在一个合法用户 上，尤其是一个特权用户，这样可以做到系统进程与作业监视程序都看不到它的 存在。 4、操作系统中，通常有一些守护进程，这种软件实际上是一些系统进程， 它们总是在等待一些条件的出现，一旦这些条件出现，程序便继续运行下去，这 些软件常常被黑客利用。问题的关键是这些守护进程在 UNIX，Windows NT 操 作系统中具有与其他操作系统核心层软件相同的权限。 5、操作系统都提供远程过程调用服务，而提供的安全验证功能却很有限。 6、操作系统提供网络文件系统服务，网络文件系统是一个基于远程过程调 用的网络文件系统，如果网络文件系统设置存在重大问题，则几乎等于将系统管 理权拱手交出。 7、操作系统的 debug 和 wizard 功能，可以让精于 patch 和 debug 的黑客，利 用来作几乎所有想作的事情。 8、操作系统安排的无口令入口，是为系统开发人员提供的边界入口，但这 些入口也能被黑客利用。 精品 可修改编辑 9、尽管操作系统的安全缺陷可以通过版本的不断升级来克服，但系统的某 一个安全漏洞会使系统的所有安全控制毫无意义，即通常所说的“木桶”理论。 1.2.2 网络安全的脆弱性网络安全的脆弱性 由于 Internet/Intranet 的出现，网络的安全问题更加严重。可以说，使用 TCP/IP 网络所提供的 FTP、E-Mail、RPC 和 NFS 都包含许多不安全的因素，存 在着许多漏洞。 同时，网络的普及是信息共享达到了一个新的层次，信息被暴露的机会大大 增多。特别是 Internet 网络就是一个不设防的开放大系统，通过未受保护的外部 环境和线路谁都可以访问系统内部，可能发生随时搭线窃听、远程监控、攻击破 坏。另外，数据处理的可访问性和资源共享的目的性是一个矛盾，它造成了计算 机系统保密性难。拷贝数据信息可以很容易且不留任何痕迹，一台远程终端上的 用户可以通过 Internet 连接其他任何一个站点，在一定条件下可在该站点内随意 进行删改、下载数据乃至破坏。 1.2.3 数据库系统安全的脆弱性数据库系统安全的脆弱性 当前，大量的信息存储在各种各样的数据库中，这使得它成为攻击的重点之 一。然而，这些数据库系统在安全方面的考虑却很少，而且，数据库管理系统安 全必须与操作系统的安全相配套，例如，DBMS 的安全级别是 B2，那么操作系 统的安全级别也应该是 B2，但实践中往往不是这样做的。 1.2.4 防火墙的局限性防火墙的局限性 尽管利用防火墙可以保护安全网免受外部攻击，但它只是能够提高网络的安 全性，不可能保证网络绝对安全。事实上，防火墙不能防范不经过防火墙的攻击， 也很难防范来自于网络内部的攻击以及病毒的威胁。 1.2.5 其他方面的原因其他方面的原因 1、易受环境和灾害的影响。温度、湿度、供电、火灾、水灾、静电、雷电、 灰尘、强电磁场、电磁脉冲等，均会破坏数据和影响它的正常工作。 精品 可修改编辑 2、剩磁效应和电磁泄漏的不可避免 3、计算机领域中的任何重大技术进步都对安全性构成新的威胁。所有这些 威胁都需要新的技术来消除，而技术进步的速度要比克服威胁的技术进步的速度 快得多。 总之，系统自身的脆弱和不足，是造成计算机网络安全问题的内部根源。但 系统本身的脆弱性、社会对系统应用的依赖性这一对矛盾又将促进计算机网络安 全技术的不断发展和进步。 1.3 评估方法评估方法 风险评估是安全防护体系建立过程中极其关键的一个步骤，它连接着安防重 点和商业需求。通常采用以下特定的步骤来进行风险评估。 表 1-1 风险评估的步骤 第一步：资产清单、定义和要求（所有需要保护的对象都是资产，如：数据库、软件等） 第一阶段 确定企业关键性的商务活动 第二阶段 编制关键性商务活动使用的资产清单 第三阶段 对这些资产进行重要性评估 第二步：脆弱性和威胁评估 第一阶段 运行自动化安防工具软件开始分析工作 第二阶段 人工复查 第三步：安全控制措施评估 认真考虑各种安防控制措施以及实施成本 第四步：分析、决策和文档 第一阶段 各种威胁的安防控制措施及实施成本分析表 第二阶段 针对威胁选定将要实施的安防控制措施 第三阶段 编写评估工作报告，得出结论 第五步：沟通与交流 精品 可修改编辑 与有关方面沟通评估结论 第六步：监督实施 密切注意和分析新的威胁并对安防控制措施作必要的修改。企业的重大变革将导致一次 新的风险评估过程 以上步骤中，第二步脆弱性和威胁评估是比较重要的，它是决定企业安全策 略的基础。目前有许多工具软件能够帮助完成脆弱性和威胁评估的任务。 1.3.1 常用的评估软件常用的评估软件 1、Internet Security Systems 的安全分析软件 Internet Security Systems 公司开发的网络漏洞扫描软件主要由 Internet Scanner 和 Systems Scanner 两部分组成。Internet Scanner 是一个网络扫描器，而 System Scanner 是一个主机扫描器。 Internet Scanner 自带一个缺省的扫描策略，但也允许你自行定制。ISS 扫 描器既可以针对安防配置进行检查，也可以针对已知弱点进行检查。智能化的扫 描报告里给出了修补漏洞所需的信息。Internet Scanner 的最新版本可以自动查找 728 种漏洞，包括： 47 种后门（GetAdmin、SubSeven 等） 50 种守护进程缺陷（rlogin、fingered 等） 38 种 CGI-Bin（ColdFusion、PHP、cgiexec 等） 51 种 NT 补丁（PPTP3、SSL、NT RAS 溢出等） 50 种电子邮件检查（popimap、缓冲区溢出等） 此软件的缺点是运行速度较慢。 精品 可修改编辑 图 1-1 Internet Scanner main window 2、WebTrends Security Analyzer 网站安全分析软件 WebTrends Security Analyzer 网站安全分析软件除可以找出大量隐藏在 Linux 和 Windows 服务器、防火墙和路由器等软件里的威胁和漏洞，还可以找出 Linux 和 Windows 系统上的配置问题和已知漏洞。 WebTrends Security Analyzer 生成的 HTML 格式的报告被认为是目前作得最 好的，报告里对找出的每个漏洞都有一个说明，还有对消除漏洞的推荐对策。 精品 可修改编辑 图 1-2 WebTrends Security Analyze 3、Cerberus Internet Scanner 漏洞扫描软件 Cerberus Internet Scanner 是一个功能强大的自由软件扫描工具，它可以查出 126 种漏洞，其中包括： 21 种 SMTP 漏洞 7 种 FTP 漏洞 19 种 SQL 服务器漏洞 超过 60 种 NT 漏洞 图 1-3 Cerberus Internet Scanner 精品 可修改编辑 第二章第二章 信息安全防范体系信息安全防范体系 信息安全防范不是孤立的事情，从根本上讲，它是一个过程而不是一个产品， “即买即得”的安全是不存在的。 一个强有力的安全防范体系是由策略、组织和技术三部分组成的，就象一个 三条腿的凳子，偏重任何一个方面都会造成整体的失衡和失效。本章描述的信息 安全防范体系是在信息安全模型的指导下，从策略、组织和技术三方面建立的。 2.1 信息安全模型信息安全模型 随着全球计算机和信息系统的网络化，信息系统所面临的安全问题也发生了 很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击， 而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。 我们所在的信息环境的基本特征是动态和变化，信息业务的不断发展变化、 业务竞争环境的变化、信息技术和安全技术（包括攻击技术）的飞速发展；同时 我们系统自身也在不断变化，人员的流动、不断更新升级的系统等等。总之，面 对这样一个动态的系统、动态的环境，需要用动态的安全模型、方法、技术和解 决方案来应对安全问题。 因应这种需求，在上世纪九十年代提出了 PDR 动态安全模型，即防护、检 测和响应，漏洞扫描和入侵检测（IDS）就是这种模型下发展的动态检测技术和 产品。而现在，PDR 模型发展成为 P2DR 模型，相对于前者，P2DR 更重视管理 层面。 精品 可修改编辑 P2DR 的含义如上图所示，是策略、防护、检测和响应，策略处于中心地位， 其他技术手段和措施围绕它来展开。现代信息安全理论认为，一个良好的完整的 动态安全体系，不仅需要恰当的防护（比如：操作系统访问控制、防火墙、加密 等） ，而且需要动态的检测机制（比如：入侵检测、漏洞扫描等） ，在发现问题时 及时进行响应。整个体系要在统一的、一致的安全策略的指导下实施。P2DR 形 成了一个完备的闭环自适应体系。 P2DR 模型的理论体系基于数学模型作为其论述基础“Time Based Security”基于时间的安全理论。该理论的最基本原理就是认为，信息安全相关 的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时 间。因此可以用时间来衡量一个体系的安全性和安全能力。 作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然 攻击成功花费的时间就是安全体系提供的防护时间 Pt。在入侵发生的同时，检 测系统也在发挥作用，检测到入侵行为也要花费时间检测时间 Dt；在检测 到入侵后，系统会做出应有的响应动作，这也要花费时间响应时间 Rt。 P2DR 模型就可以用一些典型的数学公式来表达安全的要求： 公式公式 1 1： PtPt DtDt + + RtRt Pt 代表系统为了保护安全目标设置各种保护后的防护时间；或者理解为在 这样的保护方式下，黑客（入侵者）攻击安全目标所花费的时间。 Dt 代表从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时 间。 Rt 代表从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正 常状态的时间。 那么，针对于需要保护的安全目标，上述数学公式必须满足防护时间大 于检测时间加上响应时间，也就是在入侵者危害安全目标之前就能够被检测到并 及时处理。 公式公式 2 2： EtEt = = DtDt + + Rt,Rt, 如果如果 Pt=0Pt=0 公式的前提是假设防护时间为 0。这种假设对 Web Server 这样的系统可以成 精品 可修改编辑 立。 Dt 代表从入侵者破坏了安全目标系统开始，系统能够检测到破坏行为所花 费的时间。 Rt 代表从发现遭到破坏开始，系统能够做出足够的响应，将系统调整到正 常状态的时间。比如，对 Web Server 被破坏的页面进行恢复。 那么，Dt 与 Rt 的和就是该安全目标系统的暴露时间 Et。针对于需要保护的 安全目标，如果 Et 越小系统就越安全。 通过上面两个公式的描述，实际上给出了安全一个全新的定义： “及时的检测和响应就是安全及时的检测和响应就是安全” “及时的检测和恢复就是安全及时的检测和恢复就是安全” 。 而且，这样的定义为安全问题的解决给出了明确的方向：提高系统的防护时 间 Pt，降低检测时间 Dt 和响应时间 Rt。 我们提出的信息安全全面解决方案以建立在国际标准（BS7799/ISO17799） 上的安全服务方法论（PADIMEE）为基准，该方法论通过对客户的技术及业务 需求的分析及对客户信息安全的生命周期考虑，在七个核心方面体现信息系统 安全的持续循环，并将自身业务和 PADIMEE 周期中的每个环节紧密地结合起 来： 策略（Policy） 评估(Assessment) 设计(Design) 执行(Implementation) 管理(Management) 紧急响应(Emergency Response) 教育(Education) 精品 可修改编辑 图 2-1 信息安全的 PADIMEE 周期 基于以上论述，我们将安全体系从以下三个方面展开： 1、策略框架体现整个机构的信息安全方针、标准、制度、规范、指南、 用户管理、应急计划、物理和环境安全等。 2、组织框架建立有效的信息安全组织，为组织中的人员赋予明确的角 色和职责，并实施全员的安全教育等。 3、技术框架对于信息安全技术根据其行为特征予以分类、研究、开发 和实施。 2.2 策略和组织框架策略和组织框架 2.2.1 策略框架策略框架 安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和 措施的总合，是对信息资源使用、管理规则的正式描述，是企业内所有成员都必 须遵守的规则。 在我们的信息安全模型中，安全策略处于核心位置。 精品 可修改编辑 安全策略的内容安全策略的内容 安全策略属于网络信息安全的上层建筑领域，是网络信息安全的灵魂和核心。 它为保证信息基础的安全性提供了一个框架，提供了管理网络安全性的方法，规 定了各部门要遵守的规范及应负的责任，使得信息网络系统的安全有切实的依据。 安全策略应包含的内容有： （1）保护的内容和目标：安全策略中要包含信息网络系统中要保护的所有 资产（包括硬件及软件）以及每件资产的重要性和其要达到的安全程度，如可以 对系统中所有的主机根据其重要性和功能范围进行分类，涉及到核心机密信息或 提供关键服务的为 A 类;含有敏感信息或提供重要服务的为 B 类；能够访问 A 类 和 B 类主机且不含敏感信息的为 C 类，不能够访问 A 类和 B 类主机；不含敏感 信息且可以从外部访问的为 D 类；可以从外部访问但不能访问 A 类、B 类、C 类和 D 类主机的为 E 类。这样的划分，既体现了各类资产的重要程度，又规定 了它们的功能范围。 （2）实施保护的方法：明确对信息网络系统中的各类资产进行保护所采用 的具体的方法，如对于实体安全可以采用隔离、防辐射、防自然灾害的措施实现， 对于数据信息可以采用授权访问技术来实现，对于网络传输可以采用安全隧道技 术来实现，等等。另外还要明确采用的具体方法，如使用什么样的算法和产品。 （3）明确的责任：维护信息与网络系统的安全不仅仅是安全管理员的事， 一个人或几个人的能力毕竟是有限的，只有调动大家的积极性，集体参与才能真 正有效地保护系统的安全。要想有效地组织大家协同工作，就必须明确每个人在 安全保护工程中的责任和义务。 （4）破坏的响应：对检测到的入侵和破坏活动，相关责任人员采取预定的 行动，尽快恢复系统的正常状态。 （5）事故的处理：为了确保任务的落实，提高大家的安全意识和警惕性， 精品 可修改编辑 必须规定相关的处罚条款，并组建监督、管理机构，以保证各项条款的严格执行。 安全策略的制定安全策略的制定 安全策略的制定过程是一个循序渐进、不断完善的过程，因为不可能指定一 个策略就能够完全符合、适应某个信息系统的环境和需求，只能不断地接近目标。 安全策略在制定时必须兼顾它的可理解性、技术上的可实现性、组织上的可执行 性。企业级安全策略可以从三个层面来考虑开发制定: (1) 抽象安全策略 它通常表现为一系列的自然语言描述的文档，是企业根 据自身的任务、面临的威胁和风险，以及法律、制度等制定出来限制用户使用资 源和使用方式的一组规定。 (2) 全局自动安全策略 它是抽象安全策略的子集和细化，指能够由计算机、 路由器等设备自动实施的安全措施的规则和约束，不能由计算机实施的安全策略 由安全管理制度等其他物理环境安全手段实施。全局自动安全策略主要从安全功 能的角度考虑，分为标识与认证、授权与访问控制、信息保密与完整性、数字签 名与抗抵赖、安全审计、入侵检测、响应与恢复、病毒防范、容错与备份等策略。 (3) 局部执行策略 它是分布在终端系统、中继系统和应用系统中的 GASP 的子集，网络中所有实体 LESP 的总合是 GASP 的具体实施。局部可执行的安全 策略是由物理组件与逻辑组件所实施的形式化的规则，如口令管理策略、防火墙 过滤规则、认证系统中的认证策略、资源的访问控制列表、安全标签等组成。每 一条具体的规则都是可以设置与实施的。 信息安全策略应该遵循国际标准。英国标准 BS7799 是一项在欧洲实行了数 年的安全标准，这套标准把信息安防策略分为 10 大部分，内容覆盖信息系统决 策和制度制定工作所涉及的一切问题。国际标准化组织也已采纳它为国际标准 精品 可修改编辑 ISO 17799:2000。BS7799/ISO17799 的 10 个组成部分为： 商务活动减灾恢复计划 系统访问权限控制 系统开发和维护 物理和环境的安防考虑 遵守法律和规定 人为因素的安防考虑 企业组织的安防考虑 计算机和网络管理 资产分类和控制 信息安全防范制度 根据以上框架制定出来的规章制度将是一个符合企业环境的强有力的安全制 度。 从头编写安全策略是一项艰巨而又辛苦的工作，完全可以借鉴其他企业的经 验和成果。目前最流行的工具是由 Charles Cresson Wood 编写的Information Security Policies Made Easy，它提供了几种基本的安全制度框架，企业可以以它 为基础对自己的规章制度作进一步的完善。 安全策略的管理安全策略的管理 随着网络发展的规模越来越大、复杂性越来越高，对于在产品上部署实施安 全策略，如果采用基于单台设备的配置方法会耗费大量的时间和资源。怎样才能 在多系统和多应用环境里实现集中式的授权机制呢？ 策略管理可以解决这个问题，它把应用软件、Web 服务器、数据库和操作 精品 可修改编辑 系统等结合在了一起，形成了一个对用户的优先级进行定义、管理和审计的机制。 概括地讲，策略管理把身份验证和访问控制这两大块功能都集中到一个中央 式授权服务器里。其工作过程如下：用户请求一项资源，应用软件把这个请求转 发给授权服务器；授权服务器负责核查该用户都有权访问哪些资源，同时把身份 验证信息转发给 LDAP 服务器、RADIUS 服务器或者 Windows 域服务器去；最 后，授权服务器把核查出来的结果（准许或者拒绝）返回给应用软件。其工作流 程示意图如下： 图 2-2 策略管理工作流程 一个好的集中策略管理工具应具有以下特征： 具有强大的图形管理能力 具备基于浏览器的用户界面 能分析、解释、部署和监控安全策略状态 能验证安全策略的有效性和完整性 很多厂商提供策略管理工具，但多数厂商的策略管理产品需要与自己的信息 精品 可修改编辑 安全产品集成在一起。独立的第三方软件有 Netegrity 公司的 SiteMinder、Securant 公司的 ClearTrust 和 Internet Dynamics 公司的 Conclave，这些产品有些是专门设 计来与 Web 应用软件共同工作的，有些则能够与任何应用软件配合工作，但其 部署实施并非易事，因为需要给所有的应用软件增加能够与授权服务器进行通信 的插件程序或应用软件程序设计接口，而这些工作并不是所有供应商都支持的。 2.2.2 组织框架组织框架 信息系统的安全是涉及到整个企业的大事，必须有专门的安全防范机构和人 员，同时制定各类人员的岗位责任制。基本上，信息安全人员可分为两类：安全 管理人员和安全审计人员。 专职的安全管理人员具体负责本系统区域内安全策略的实现，保证安全策略 的长期有效；负责软硬件的安装维护、日常操作监视、紧急情况下安全措施的恢 复和风险分析等；负责整个系统的安全，对整个系统的授权、修改、口令、违章 报告、报警记录处理、控制台日志审阅。 安全审计人员监视系统运行情况，收集对系统资源的各种非法访问事件，并 对非法事件进行记录、分析和处理。 对企业来说面临的最大的安全挑战也许是员工的安全意识。通常情况下，安 全策略被视为讨厌的东西，并为员工所漠视，因为他们觉得策略的约束性太大。 BS7799 将用户的安全意识列为遵循标准的一项重要控制内容，这不仅要 求企业要有适当的安全策略，而且要求企业对员工进行规则标准的教育。 对员工的良好培训可以培养员工的安全意识，而现代网络技术的发展使得培 训的手段更丰富多样。通过公司的内部网和其它基于网页的文档管理工具，企业 可以方便地颁布新的安全策略并跟踪员工的阅读情况。安全策略可以从书面文件 的形式转换为动态的文档形式，这样员工可以更为方便地对它们进行阅读。 精品 可修改编辑 还可通过一些软件以在线的用户测试题来衡量员工的对策略的理解程度。 这些工具为企业提供一个集中的 web 页面管理他们的安全策略，并将分析报告 提交给管理人员和检查人员。 2.3 技术框架技术框架 我们的目标是开发多层次的纵深安全防护体系，即使某个层次被突破了，后 面还有几个层次可以继续为珍贵的信息资产提供保护，同时为入侵检测和响应提 供宝贵的时间。这种多层次的防护体系，从网络边界的安全防护措施开始，逐层 深入直到所有的服务器和主机及其上的应用系统被保护起来。 目前的信息安全技术可以归结到以下五个安全行为（IAARC）： 鉴别和认证 Identification & Authentication 访问控制 Access Control 审计和跟踪 Audit Trail 响应和恢复 Response & Recovery 内容安全 Content Security 精品 可修改编辑 图 2-3 IAARC 技术框架 2.3.1 鉴别和认证鉴别和认证 安全的服务对象通常可以抽象为访问的主体和被访问的客体。I&A 鉴别和 认证是通过对 IT 系统中的主客体进行鉴别，并且给这些主客体赋予恰当的标志、 标签、证书等。主要的处理都是针对实体进行的。用一个动作来描述鉴别和认证 的操作特点就是“贴标签 Labeling” 。鉴别和认证就是为了解决主体的信用问题 和客体的信任问题。这些问题的解决就是通过各种形式的标签来实现的。 鉴别和认证赋予主客体的“标签”常常在访问控制和审计跟踪中被使用，对 于主客体的鉴别是访问控制做出判断的依据。 可以归结到鉴别和认证类型的典型技术包括： 序号技术技术说明 1 用户名/口令机制最典型、最经济的鉴别机制，在各种系统中缺 省使用这个机制 2 SmartCard 鉴别机制强鉴别机制 3 生物鉴别机制 4 PKI 公开密钥机制通过一对不相同的加解密密钥，结合密钥管理 体系完成对于持有密钥人的鉴别和认证功能 5 IP 地址和域名IP 地址和域名作为鉴别访问者和被访问者的标 志，虽然比较容易冒用和篡改，但在一个安全 要求一般的网络中，可以接受 6 硬件序列号通过硬件设备中的板块、部件的一些序列号组 成一个鉴别体。如：CPU 序列号、网卡 MAC 地 址 表 2-1 I&A 的典型技术 精品 可修改编辑 2.3.2 访问控制访问控制 访问控制都是以 Reference Monitor 的形式工作，或者说都是类似网关、接口 和边界的形式。 图 2-3 RM 模型 一个有效的 Reference Monitor(RM 机制)必须要满足二个条件： 1)不可旁路：主体对客体的访问不能绕过 RM，都必须经过 RM 机制的控 制和检查。 2)抗篡改：RM 应当是一个抗攻击的体系，不能被攻破；RM 以及配合的 规则库应当被正确地配置；另外该机制的特权管理、规则库等不能被侵 入。 由于访问控制采用的是 RM 机制，为了满足“不可旁路”的要求，所有访问 和业务流程都必须通过访问控制 Access Control 这个关口才能进行正常工作。因 此从机制上就可能带来单点故障。因此为了保证整个系统的可用性和可靠性，需 要运用 HA 高可用技术来进行补充（属于响应和恢复部分的技术） 。 由于 RM 机制的访问控制系统有抗篡改和正确配置的要求，但是这方面仅仅 依靠其自身是很难完成的，因此一般通过审计和跟踪技术来补充访问控制者方面 的不足。 精品 可修改编辑 可以归结到访问控制类型的典型技术包括： 序号技术技术说明 1 ACL 访问控制列表广泛应用的控制方法，如路由器中的 ACL 就是 典型的例子 2 主机操作系统加固寻找可能旁路的路径然后通过补丁和配置将其 弥补；加强操作系统自身的强壮性不被一般的 攻击破坏；检查各项规则的合理性和有效性等 3 Firewall 防火墙典型的网络隔离和网络访问控制方法和工具 4 VPN 虚拟专用网结合运用了防火墙技术、加密技术、密钥管理 技术等方面结合的安全信道系统，这个安全信 道可以理解为两个网络区域之间的一个接口和 管道 5 应用系统访问控制通过调用底层的操作系统访问控制功能或数据 库管理系统访问控制功能；一些比较通用的应 用系统，可以通过专用的应用系统访问控制系 统完成其功能 表 2-2 访问控制的典型技术 2.3.3 审计和跟踪审计和跟踪 审计和跟踪的主要实现机制是通过 Standby/Sniffer 类型的工作方式实现。这 种机制一般情况下并不干涉和直接影响主业务流程，而是对主业务进行记录、检 查、监控等功能来完成以审计要求 Accountability、完整性 Integrity 等要求为主的 安全功能。 审计和跟踪需要鉴别和认证功能的配合，以便有效地控制被审计对象的识别 粒度和准确性。比如一般网络上，我们可能进行通过 IP 地址进行访问者的鉴别， 那么审计功能就不再识别该地址是否被冒用，或者该地址是那个用户在使用。 审计和跟踪常常要和访问控制和响应恢复功能密切配合，形成一个动态的安 精品 可修改编辑 全闭环。这个闭环可以在 P2DR 模型的指导下运转。 可