** 信息系统的安全威胁分成七类,从风险源的角度划分,可以将安全威胁划分为:自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险。**
信息系统安全四个层次:设备安全、数据安全、内容安全、行为安全。数据安全即是传统的信息安全。
- 设备考虑稳定性、可靠性和可用性,除了硬件设备外,软件系统也是一种设备,也要确保软件设备的安全。
- 数据安全考虑其秘密性、完整性和可用性。
- 内容安全是在政治、法律、道德层次上的要求,政治健康、合法、不违背道德;其次,广义上还包括内容保密、信息隐藏、隐私保护、知识产权保护等。
- 行为安全是一种动态安全,强调的是过程安全,当行为过程偏离时,可以及时发现、控制和纠正。行为安全主要包括以下方面:(1)行为的秘密性:行为的过程和结果不能危害数据的秘密性,必要时,行为的过程和结果也应是秘密的。(2)行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。(3)行为的可控性:当行为的过程出现偏离预期时,能够发现、控制或纠正。行为安全强调的是过程安全,体现在组成信息系统的硬件设备、软件设备和应用系统协调工作的程序(执行序列)符合系统设计的预期,这样才能保证信息系统的“安全可控”。
数字签名是指发送方用自己的私钥对数字指纹进行加密后所得的数据,其中包括非对称密钥加密和数字签名两个过程,在可以给数据加密的同时,也可用于接收方验证发送方身份的合法性。采用数字签名时,接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。数字签名实现步骤:
(1)发送方采用摘要算法从报文中生成一个128位的散列值(称为报文摘要);
(2)发送方用RSA算法和私钥对散列值进行加密,产生摘要密文,这就是发送方的数字签名; .
(3)将这个加密后的数字签名作为报文的附件和报文- -起发送给接收方 :
(4)接收方从接收到的原始报文中采用相同的摘要算法计算出128位的散列值;
(5)报文的接收方用RSA算法和发送方的公钥对报文附加的数字签名进行解密;
(6)如果两个散列值相同,那么接收方就能确认报文是由发送方签名的。
最常用的摘要算法叫做MD5(Message Digest 5),它的作者R.L.
1. 信息系统安全策略
信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等。
一个单位的安全策略一定是定制的,都是针对本单位的“安全风险(威胁)”来进行防护的。安全策略的归宿点(立脚点)就是单位的资产得到充分的保护。
安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定流程。
1.2 等级保护的概念
第一级
用户自主保护级。
内网用户
通过隔离用户与数据,使用户具备自主安全保护的能力。保护用户和用户信息,避免其他用户对数据的非法读写与破坏,该级适用于普通内联网用户。
第二级
系统审计保护级。
-外网
实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
第三级
安全标记保护级
地方机关
具有系统审计保护级的所有功能。此外,还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源仕交通运输、大型工商与信息技术企业、重点工程建设等单位。
第四级
结构化保护级
国家机关
建立于一个明确定义的形式安全策略模型之上,要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。
此外,还要考虑隐蔽通道。必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。
该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部月、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
第五级
访问验证保护级。
满足访问控制器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的:必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算机在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和现实时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。
系统具有很高的抗渗透能力。.
该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
1.3 安全策略设计原则:8个总原则+10个特殊原则
8个总原则10个特殊原则
(1) 主要领导人负责原则。
(2) 规范定级原则。
(3) 依法行政原则。
(4) 以人为本原则。
(5) 注重效费比原则(安全需求和现实资源的有限性)
(6) 全面防范、突出重点原则。
(7) 系统、动态原则。
(8) 特殊的安全管理原则(遵循10个特殊原则)
(1) 分权制衡原则
(2) 最小特权原则(对信息和信息系统访问采用最小特权)
(3) 标准化原则
(4) 用成熟的先进技术原则
(5) 失效保护原则(系统运行错误或故障时必须拒绝非授权访问)
(6) 普遍参与原则
(7) 职责分离原则--管理和执行分离
(8) 审计独立原则
(9) 控制社会影响原则
(10) 保护资源和效率原则(风险度的观点和适度安全的观点)
1.4. 信息系统安全方案
1.4.1 信息系统安全方案相关系统组成因素
- 环境(硬件+安全+存储设备+OS+DB)
- +软件平台+安全体系架构--
- 人组织制度流程+供应商选择+应急处理方案
(I)主要硬件设备的选型。
(2)操作系统和数据库的选型。
(3)网络拓扑结构的选型。
(4)数据存储方案和存储设备的选型。
(5)安全设备的选型
(6)应用软件开发平台的选型。
(7)应用软件的系统结构的确定。
(8)供货商和集成商的选择等。
(9)业务运营与安全管理的职责(岗位)
(10)应急处理方案的确定及人员的落实。
1.4.2 信息系统安全方案内容
(1)首先确定采用MIS+S、S-MIS或s2-MIS体系架构。
(2)确定业务和数据存储的方案。
(3)网络拓扑结构。
(4)基础安全设施和主要安全设备的选型。这部分是信息安全保障系统的核心。
(5)业务应用信息系统的安全级别的确定。一旦你确定了安全级别,也就确定了安全的大体方案。
(6)系统资金和人员投入的档次。
系统安全方案与系统的安全策略是密不可分的。没有安全策略就没有安全方案;相反,没有安全方案,也就没有安全策略。
3. 信息安全系统工程
信息安全系统工程就是要建造一个信息安全系统,它是整个信息系统工程的一部分,而且最好是与业务应用信息系统工程同步进行。
信息安全风险评估、信息安全策略制定、
信息安全需求、总体设计、详细设计、系统设备选型、
工程招投标、密钥密码机制、资源界定和授权、
信息安全系统施工中需要注意防泄密问题和施工中后期的信息安全系统测试、运营、维护的安全管理等问题。
辨析:信息安全系统工程不是信息系统安全工程。信息系统安全工程可能会误解为安全地建设--个信息系统,而忽略信息系统中的信息安全问题。目标是信息安全系统,不是信息系统安全。
信息安全系统体系架构
63、 [单选] 关于信息安全系统工程的描述,不正确的是:( ) 。
- A:是信息系统工程的一部分,符合系统工程的一般原则和规律
- B:应吸纳安全管理的成熟规范
- C:信息安全系统工程能力成熟度模型用于信息安全系统实施的风险评估
- D:信息安全工程活动与硬件工程、软件工程、系统工程、测试工程均相关
正确答案:C 你的答案:A
解析:
信息安全系统工程是指为了达到建设好信息安全系统的特殊需要而组织实施的工程。它是信息系统工程的一部分。信息安全系统工程作为信息系统工程的一个子集,其安全体系和策略必须遵从系统工程的一般性原则和规律。
信息安全系统工程应该吸纳安全管理的成熟规范部分,这些安全管理包括: (1)物理安全。 (2)计算机安全。 (3)网络安全。(4)通信安全。(5)输入/输出产品的安全。(6)操作系统安全。(7)数据库系统安全。(8)数据安全。 (9)信息审计安全。(10)人员安全。(11)管理安全。(12)辐射安全。
信息安全系统工程能力成熟度模型(ISSE-CMM)是一种衡量信息安全系统工程实施能力的方法,是使用面向工程过程的一种方法。主要用于指导信息安全系统工程的完善和改进,使信息安全系统工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科
4. 信息安全系统架构体系
1. MIS+S 系统
MIS+S (Management Information System+Security) 系统为“初级信息安全保障系统”或“基本信息安全保障系统”。顾名思义,这样的系统是初等的、简单的信息安全保障系统。其特点如下。
• 业务应用系统基本不变。
• 硬件和系统软件通用。
安全设备基本不带密码。
这里所说的”安全设备”主要是指那些在应用系统之外的信息安全设备,如防火墙、网络隔离、安全路由,以及病毒防治系统、漏洞扫描系统、入侵检测系统、动态口令卡等。不使用PIG/CA 的VPN 设备也属千这个范畴。
- S-MIS 系统架构
S-MIS (Security- Management Information System)系统为“标准信息安全保障系统”。
顾名思义,S-MIS系统一定是涉密系统,即系统中一定要用到密码和密码设备,一定是基于PKI/CA和PMI/AA建立的支撑用户的业务应用信息系统的运营。其特点如下:
硬件和系统软件通用。
PKI/CA安全保障系统必须带密码。
业务应用系统必须根本改变。
主要的通用的硬件、软件也要通过PKI/CA认证。
业务应用系统必须根本改变就是指业务应用系统必须按照PKI/CA的标准重新编制的全新的安全的业务应用信息系统。
- S2-MIS 系统架构
S2-MIS (Super Security-Management Information System)系统为“超安全的信息安全保障系统”。顾名思义,这样的系统是建立在“绝对的”安全的信息安全基础设施上的。它不仅使用世界公认的PKI/CA标准,同时硬件和系统软件都使用专用的、安全产品。主要的硬件和系统软件需要PKJ/CA认证,可以说,这样的系统是集当今所有安全、密码产品之大成。其特点如下。
硬件和系统软件都专用。
PKJ/CA安全基础设施必须带密码。
业务应用系统必须根本改变。
5. 信息安全系统工程体系结构
信息安全系统工程能力成熟度模型( **Information Security System Engineering **Capability Maturity Model, ISSE-CMM) 是一种衡量信息安全系统工程实施能力的方法。
5.1 ISSE-CMM的组织
ISSE-CMM主要适用于工程组织(Engineering Organizations)、获取组织(Acquiring Organizations)和评估组织( Evaluation Organizations)。
(1)工程组织。信息安全工程组织包含系统集成商、应用开发商、产品提供商和服务提供商等。
(2)信息安全的获取组织。信息安全的获取组织包含采购系统、产品,以及从外部/内部资源和最终用户处获取服务的组织。
(3)信息安全的评估组织。信息安全的评估组织包含认证组织、系统授权组织、系统和产品评估组织等,他们使用ISSE-CMM作为工作基础,以建立被评组织整体能力的信任度。
ISSE将信息安全系统工程实施过程分解为:工程过程(Engineering Process) 、
风险过程(Risk Process)和
保证过程( Assurance Process)
7. PKI 公钥基础设施
公钥基础设施PKI (Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间邮戳服务、相关信息标准、操作规范等。
认证中心: CA (Certification Authority) 是PKI的核心。它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务。
8. PMI(Privilege management Infrastructure)
PMI (Privilege Management Infrastructure) 即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权统一交由授 权机构进行管理,即由资源的所有者来进行访问控制管理。
PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。
pKI主要进行身份鉴别,证明用户身份,即“你是谁”签证具有属性类别,持有哪才能在该国家进行哪类的活动。护照是身份证明,唯一标识个人信息,只有持有护照才能证明你是一个合法的人。
8.1 访问控制
- 访问控制的概念
访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机信息应用系统在合法范围内使用;访问控制机制决定用户以及代表-定用户利益的程序能做什么及做到什么程度。
访问控制有两个重要过程。
(1)认证过程,通过“鉴别( authentication )来检验主体的合法身份。
(2)授权管理,通过“授权( authorization) ”来赋予用户对某项资源的访问权限。
2.访问控制机制分类
因实现的基本理念不同,访问控制机制可分为强制访问控制(MandatoryAccessControl, MAC)和自主访问控制(**Discretionary **Access Control, DAC)两种。
MAC,用户不能改变他们的安全级别或对象的安全属性。在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识-一个安全等级。访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法。
DAC机制允许对象的属主来制定针对该对象的保护策略。
自主访问控制中,用户针对客体制定自己的保护策略。
每个主体拥有一个用户名并属于一个组或具有-一个角色。每个客体都拥有一个限定主体对其访问权限的访问控制列表(ACL),每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制。
//对资源设置访问控制列表和权限
BLP保密模型, 基于MAC, 基于两种规则:
- 上读(NRU): 主体不可读安全级别高于它的数据。
- 下写(NWD):主体不可写安全级别低于它的数据。
数据和用户由低到高被划分为以下安全等级:公开(Unclassified) →受限(Restricted) →秘密(Unfidential) →机密(Secret) →高密(Top Secret)
- 基干角色的访问控制
基于角色的访问控制中,角色由应用系统的管理员定义。|角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色;而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定。用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。
角色控制比较灵活,根据配置可以使某些角色接近DAC,而某些角色更接近于MAC。
目前我们使用的访问控制授权方案,主要有以下4种。
(1) DAC (Discretionary Access Control) 自主访问控制方式:该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。**//主体设置可访问资源列表**(2) ACL (Access Control List)访问控制列表方式:该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。如果某个用户不在访问控制列表中,则不允许该用户访问这个资源。**//客体资源设置可访问用户列表**
(3) MAC (Mandatory Access Control)强制访问控制方式,该模型在军事和安全部门中应用较多,目标具有一个包含等级的安全标签(如:不保密、限制、秘密、机密、绝密) ;访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标:例如允许访问秘密级信息,这时,秘密级、限制级和不保密级的信息是允许访问的,但机密和绝密级信息不允许访问。
//主客体设置安全标签,通过安全标签匹配可访问操作
(4) RBAC (Role-Based Access Control)基于角色的访问控制方式:该模型首先定义些组织内的角色,如局长、科长、职员;再根据管理规定给这些角色分配相应的权限,最后对组织内的每个人根据具体业务和职位分配一个或多个角色。
//通过配置可以达到上面任何一种模式的效果
9. 信息安全审计----审计日志
安全审计( Security Audit) 是记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,并帮助分析安全事故产生的原因。
安全审计系统属于安全管理类产品。安全审计产品主要包括主机类、网络类及数据库类和业务应用系统级的审计产品。
安全审计具体包括两方面的内容。
(1)采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并阻断。----监控防范报警
(2)对信息内容和业务流程审计,防止内部机密或敏感信息的非法泄漏和单位资产的流失。------审计行为,防止泄露
安全审计系统采用数据挖掘和数据仓库技术,对历史数据进行分析、处理和追踪,实现在不同网络环境中终端对终端的监控和管理,必要时通过多种途径向管理员发出警告或自动采取排错措施。因此信息安全审计系统被形象地比喻为“黑匣子”和“监护神”。
- 系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。
- 产生的审计数据有以下几方面,每一条审计记录中至少应所含的信息有: 事件发生的日期、时间、事件类型、主题标识、执行结果(成功、失败)、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。
安全审计功能:CC (即Common Criteria ISO/IEC 17859)标准将安全审计功能分为6个部分:
- 自动响应功能(AU-APR); 包括报警或行动。例如实时报警、违例进程终止、中断服务、用户账号的失效等。
- 自动生成功能; 系统定义可审计事件清单,事件级别。产生的审计数据有以下几方面。 (1)对于敏感数据项(如口令等)的访问。(2)目标对象的删除。 (3)访问权限或能力的授予和废除。(4)改变主体或目标的安全属性。 (5)标识定义和用户授权认证功能的使用。(6)审计动能的启动和关闭。
- 分析功能; 审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。
- 浏览功能; (1)审计浏览。提供从审计记录中读取信息的服务。(2)有限审计浏览。除注册用户外,其他用户不能读取信息。(3)可选审计信息。要求审计浏览工具跟进标准选择需浏览的审计数据。
- **事件选择功能(**AU_SEL); 系统管理员能够维护、检查或修改审计事件,选择对哪些安全属性进行审计。例如,与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性,系统管理员将能有选择地审计任何一个用户或多个用户的动作。
- 事件存储功能。保证某个指定量度的审计记录被维护,并不受以下事件的影响。(1)审计存储空间用尽。(2)审计存储故障。(3)非法攻击。(4)其他任何非预期事件。 审计系统能够在审计存储发生故障时采取相应的动作,能够在审计存储即将用尽时采取相应的动作。
9.1 建立安全审计系统
建设安全审计系统的主体方案一般包括利用网络安全入侵监测预警系统实现网络与主机信息监测审计;对重要应用系统运行情况的审计和基于网络旁路监控方式安全审计。
** 1.基于入侵监测预警系统的网络与主机信息监测审计**
** 2.重要应用系统运行情况审计**
目前,应用系统平台主要有Oracle、SQL Server(关系数据库系统)等应用平台本身都内嵌有较为完备的信息审核机制,作为全面审计跟踪服务器上一切活动的工具,它可以实现在数据库的表、视图、目录、文档、列(域field)等不同层次,对进行Open、 Create、 Update、 Delete等细粒度访问操作时的监控。但是,最便捷的解决方法还是寻找可靠、成熟的现有技术解决,以使应用程序开发人员能够专心于程序可用性开发上。截止到目前,从已知的现有技术分析,主要有4种解决方案。
** 1)基于主机操作系统代理**
数据库操作系统(如Oracle、SQL Server)、电子邮件系统(如Microsoft Exchange)在启动自身审计功能之后自动将部分系统审核数据(如用户登录活动、对象访问活动)传送到主机系统审计日志。
2)基于应用系统代理
此方案优点是实时性好,且审计粒度由用户控制,可以减少不必要的审核数据。缺点在于要为每个应用单独编写代理程序,因而与应用系统编程相关,通用性不如前者好。
** 3)基于应用系统独立程序**
在应用系统内部嵌入一个与应用服务同步运行专用的审计服务应用进程,用以全程跟踪应用服务进程的运行。
** 4)基于网络旁路监控方式**
9.2 分布式审计系统
网络安全审计系统是对网络系统多个层次上的全面审计。对于一个地点分散、主机众多、各种连网方式共存的大规模网络,网络安全审计系统应该覆盖整个系统,即网络安全审计系统应对每个子系统都能进行安全审计,这样才能保证整体安全。因此,网络安全审计系统不但是-一个多层次审计系统,还是一个分布式、多Agent结构的审计系统。
分布式审计系统由审计中心、审计控制台和审计Agent组成。
版权归原作者 908486905 所有, 如有侵权,请联系我们删除。