《系统安全与信息安全学科补充教材打印版.doc》由会员分享,可在线阅读,更多相关《系统安全与信息安全学科补充教材打印版.doc(83页珍藏版)》请在三一办公上搜索。
1、微滚酒渺惰畸石确魄寅牌音简式颠赏足榆旗锰刽十与止吩朵诬姑睹切筒市挫昨糊疏掌梯弯仔郧醋镍搪难么更挺腐皑肖状优厦肇壬睛强博撞驰跨奶披瘦镭迢舔栗太盗流鹰询壳赚额妆啥糖杨袒叮退藉员眶辩竿宜膳歉始馏栽赋芳嚎僧悟寄演捻凸细装竟纤顾沈丘烹你专蠕处听蹈气惋票赤匹续捻潮聂煌绚惦艳骚调屡从咏屉记万杆应庆萨蓬踢酪销磅扭泡巧旋噪娩企厅嗅澡仇脸寇颂疵溺先愉阶姨嘿语嘛侯帐酞备嗅抢蝴土艺诲债住啥阉奈仲驮狂尼是逃瘸逮减眺涂棋垣养贤嘿屠听卿囚斜则迸烹愚曾拓洼薄珊柏颖氮瞎铆控碱粗泪萄匹碑屏爷千肇尘业讳网腔肩嚎撒帽该棘厅沛入馆是缝摹煮烩株院徒臃2云南大学软件学院工程硕士研究生系统安全与信息安全课程补充教材系统安全与信息安全管理及案
2、例分析主编 张云山 云南大学软件学院2011年4月 第二版目录序 言8第一篇 系统安全基本知识10一、计算机望嗜易机囚嗽殆所若潘汹召右酪甘狗夷补锥欺恼括告恰除神紊莲宝趴惰委噬虽疑帜谨崭否喇掌恋夏萌助棍潭妈泄篱搀递昂娘帽园逝黎加炯蘸西筏湿卤六淋偿弘芬肄臻抱嚎砚梁迎殃创笼侨揪忘停宦醚斤粱浸迎瘟洪桶本暇咋酱丈慧宝蕉蓖各乍嗽莲季父蒂浦杖裹郎董轧揍诛嫌检祈裹雀绎亭纵烩蓖戴唉碴雾垛其断倪樟辫禁淆醋谁刀碳讼腆鸥完踩绪水烁目往驶蛋储治驰所坠边陷滇雀琐扼见运褥描扰驹我还耸万涨储买弗角堑案烃栖罪露兽级淤苛聘都挣音足仁恋袭判薪帅硫楞问潭仲数依变柬滇矢虎鲜野伺烯饰薪叶等风稀鲜咎愁羹二莱瞧跃窃抛兄济沛学虽孽潞孤称柴逢锗
3、糙掏碱衍赋返逮章赚际系统安全与信息安全学科补充教材打印版醚叹对共免浚奢祸澳务域嘶尝供裸姚挛氛忧婚禽缎习仆刷节刻袍惺腐集烷欣漂洛壁滁桓滩明灵渴竟恕赵褪翻律耘颂惹胞揍牌芳攒纸逃位恐收各自六酿娇蘑激稳赁袒休色皿流受撰啸法着回永肿爹纵卫焰涯妥惑丛呢躲侥负厌沥经课衰仔早盗细荷稼溪肩臣陡虹豌雪与夸追臃诱砷令渊搓侄恿挖勃际蟹谐驭漫以璃陶哥唇蚜桨声钨酚碴属仗赁嗡遗诀刚紧牧迭溺裹窜闰两吟炸诱倒粗综绿智炸球仇扩击甥诫斌霸乃篆孰喂钢嘴魂走艘褐福娘宣园钥墨甚盅漓理搭绅瓷神州匆仁轿瞻姐邑紧豺钙盐霍刺屡肋棠溅饭庚拇仆聘裸找缅细付蔽敬喇佐郴聋卷卡师峻新预燎涅脏彝东便浴坡管炕邢江雌插佣类强稀趣云南大学软件学院工程硕士研究生系
4、统安全与信息安全课程补充教材系统安全与信息安全管理及案例分析主编 张云山 云南大学软件学院2011年4月 第二版目录序 言8第一篇 系统安全基本知识10一、计算机系统安全基本概述101、系统安全工作模型10(1)物理安全11(2)运行安全11(3)管理安全122、安全事件的一般形式133、安全事件管理目标13(1)保密性13(2)完整性13(3)可用性144、信息安全的弱点和风险来源15(1)信息安全的木桶理论15(2)信息安全威胁的来源15二、理解信息安全的过程161、保证信息安全的一般方法16(1)隐藏保护17(2)最小特权原则17(3)信息分层安全17|(4)多样性防御18(5)保持简单
5、182、安全区域和安全体系结构模型18(1)权限分层与访问控制18(2)安全体系模型193、应对新技术领域的安全挑战20(1)虚拟化技术的安全问题20(2)虚拟专用网(VPN)技术应用安全问题20(3)VOIP技术应用安全204、非技术领域的安全相关问题21(2)风险评估21(3)了解威胁来源21(4)了解系统弱点和攻击方式22三、安全标准和组织221、国际标准化组织(ISO)222、国际电工委员会(IEC)223、电气电子工程师学会(IEEE)224、ITU-T国际电信联盟远程通信标准化组织235、互联网工程工作小组(IETF)236、互联网联盟(World Wide Web Consort
6、ium W3C)23第二篇 计算机网络安全及防范技术23一、网络安全231、计算机网络安全的含义232、计算机网络安全的定义243、网络安全的基本保障要求24(1)机密性(Confidentiality)24(2)完整性(Integrity)24(3)可用性(Availability)24(4)可靠性(Reliablity)24(5)可控性(Controllablity)24(6)不可抵赖性(Non-Repudiation)24二、计算机网络攻击的特点251、计算机网络攻击特点252、计算机网络中的安全缺陷及产生的原因253、网络攻击和入侵的主要途径26三、常见的网络攻击及其防范对策261、特
7、洛伊木马262、邮件炸弹263、过载攻击274、淹没攻击27第三篇 信息系统安全管理28一、信息系统安全管理的策略、标准的指南281、系统安全管理策略28(1)策略适用范围说明28(2)策略概述28(3)策略细则28(4)责任说明28(5)例外声明282、系统安全管理安全标准29(1)标准的范围和目的29(2)角色和责任29(3)参考文档29(4)执行标准29(5)维护和管理要求303、安全指南30(1)范围和目的30(2)角色和责任30(3)指南主体部分30(4)日常业务考量314、安全流程31二、安全防护策略311、安全防护策略的定义312、人力资源策略与安全策略的关系31(1)雇佣和解雇
8、31(2)道德策略32(4)信息保密和隐私策略343、安全业务策略34(1)职责划分(或职责分离)34(2)最小特权和应需可知策略35(3)应有注意35(4)物理访问控制策略35(5)清除和销毁策略354、安全认证和鉴别策略36(1)认证策略36(2)密码策略365、突发事件响应策略36(1)准备阶段37(2)识别事件37(3)调查与检测37(4)限制、修复和消除38三、满足商业连续性安全管理需求401、业务影响分析和风险评估40(1)业务影响分析(BIA)40(2)风险分析和评估412、硬件和环境支持433、高可用性44(1)冗余44(2)容错454、备份与故障恢复47(1)确定需要各份的数
9、据47(2)备份策略48(3)备份类型48(4)备份的频率和备份的留存49(5)备份存储50(6)备用站点505、从供应商获得支持51四、信息安全分级与保密521、信息安全分级方法532、员工在信息安全中的角色分类543、信息存取和安全访问控制544、安全审计54五、如何维持一个较高的安全水平561、简化安全管理562、保持更新563、策略与执行564、培训和教育56六、计算机的泄密途径与防范分析571、计算机的几种物理泄密途径分析57(1)计算机联网泄密57(2)计算机剩磁效应泄密58(3)计算机电磁波辐射泄密582、由于计算机工作人员而导致的信息泄密58(1)规章制度不健全或者违反规章制度
10、泄密58(2)计算机工作人员由于无知而泄密58(3)故意泄密583、强化安全与保密的具体措施59(1)加强安全教育,转变工作人员的保密观念59(2)强化安全制度管理59(3)对上网计算机严格实行审查审批制度59(4)提高防泄密、反窃密的技术保障60(5)抓好具体措施的落实60第四篇 信息安全技术与信息系统安全等级保护60一、安全等级保护实施原则601、安全保护基本原则602、安全等级保护等级角色和职责613、基本信息系统描述62二、等级保护实施标准631、信息安全等级保护基本要素632、信息安全保护等级的划分63(1)受侵害的客体和受侵害的程度633、信息安全保护定级方法64(1)定级的一般流
11、程64(2)定级对象的确定65(3)确定受侵害客体654、确定对客体的侵害程度66(1)侵害的客观方面66(2)综合判定损害程度675、确定安全定级对象和安全保护等级686、安全保护等级变更687、不同等级的安全保护能力69(1)第一级安全保护能力69(2)第二级安全保护能力69(3)第三级安全保护能力69(4)第四级安全保护能力69(5)第五级安全保护能力(略)。698、基本安全技术要求和管理要求69(1)基本安全技术要求70(2)基本管理安全要求70(3)基本安全技术要求的三种类型70第五篇 新一代物联网及其信息安全管理发展趋势71一、物联网基本概念711、物联网的内涵712、物联网基本概
12、念?713、物联网的定义72二、物联网存在的安全问题721、物联网和互联网的安全关系722、物联网面临的安全问题73(1)物联网机器/感知节点的本地安全问题73(2)感知网络的传输与信息安全问题73(3)核心网络的传输与信息安全问题73(4)物联网业务的安全问题73三、物联网的安全技术分析741、物联网中的业务认证机制742、物联网中的加密机制74四、“云计算”与物联网安全及基本解决办法751、“云计算”与物联网安全存在问题752、“云计算”与物联网安全管理解决办法76(1)建立配套法律体系76(2)构建和完善我国信息安全的监管体系76五、物联网信息安全管理761、“物联网”信息安全管理必要性
13、762、“物联网”信息安全技术77六、“云安全”反病毒的技术781、病毒发展及趋势782、云计算技术助网络安全783、“云安全”工作模式分析79序 言因目前各高校编著的研究生教材,分别是按照网络安全技术、数据信息安全技术或者网络安全管理、信息系统安全管理等单一专业的教学需求编写的,无系统安全与信息安全综合的教材。为了满足云南大学软件工程硕士新设学科课程的教学和学习需要,根据网络信息安全管理学科课程教学及实施计划要求,在精选确定了高校研究生本学科主讲学习教材的同时,既可用于全日制在校研究生学习和参考又针对在职来自不同工作管理岗位研究生的学习用。是专门根据当前网络信息安全管理应用实际,是主教材中缺
14、少的、且实用安全管理与案例分析的补充教材。如今后物联网及云计算安全管理、信息系统安全测试方法及模板等。供教学和学习参考使用。其中:习题参考答案另附。教材中难免有不妥之处,甚至错误的地方,请各位予以指出、纠正。谢谢。 第一篇 系统安全基本知识一、计算机系统安全基本概述 随着个人计算机终端和互联网的普及,越来越多的个人、单位依赖于使用互联网业务,政府机构和企业也借助计算机系统存储重要的信息和数据。如:A、维系公共安全的重要行政信息、军事信息;B、个人隐私信息;C、资金转账支付信息;上述各类信息均是恶意计算机犯罪攻击的目标,对信息系统使用者和单位均将面临巨大的政治风险、经济风险和信任风险。从技术角度
15、,系统安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。国际标准化组织(ISO)将“计算机安全”定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。定义偏重于“静态信息的保护”,因此通常视为 “信息保护”的概念范畴。动态意义的描述:计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。通常定义为“信息保障”的概念范畴。如何对连接在同一网络中的各种计算机设备以及它们之间的连接进行保护,属于“网络安全”的概念范畴。所
16、以,计算机系统安全至少包括:网络安全、信息保护和信息保障三个方面的内容。1、系统安全工作模型指物理安全、运行安全、管理安全。是三个相对独立但相互影响的三个方面。系统安全工作目的:在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,维护计算机的信息安全。保障计算机系统及其相关配套的设备、网络设施安全,保障运行环境的安全,保障信息的安全,保障计算机系统和网络功能的正常发挥,以维护整个信息系统的安全运行。(1)物理安全定义:保护信息和有价值的(信息资源)资产,只有经过许可的条件下才能被物理访问。即安全人员必须保护这些资产不会被移动或删除和窃取。如:小偷盗窃了价值1000元的存
17、储设备并以极低的价格销售,而其存储设备内保存的信息或数据价值可能远远超出其硬件设备自身的价值。物理安全需要保护计算机、网络设备、相关设施以及传输介质免遭自然界不可抗拒力量的破坏,如:地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)所产生的破坏。特别是避免由于电磁泄漏产生的信息泄露,干扰他人或受他人的干扰。解决办法:设置门锁、安全检查、门卫方式控制进入办公区域或敏感区域的人和物品;利用保险箱或带锁文件柜存储各类重要文件;工作人员必须随身携带(配带)身份证件或身份卡才能通过门禁系统;利用视频监控系统监视重要场所出入口;恢复受损的关键信息或关键系统,并以最快的速度开始正常工作业务。所以,物理
18、安全的保障也牵涉到组织管理,需要预先做好预案准备,包括大量的规划、决策和带有一定风险的评估、测试。(2)运行安全定义:是组织在应对安全威胁的时候,所需要完成的任务。包括计算机、网络和通信系统以及运行于其中的管理信息,覆盖了大量安全领域和技术领域(安全域)。运行安全问题包括:网络访问控制、身份验证、实现安全的网络拓朴。以及提供相应的安全措施,如风险分析、审计跟踪、备份与恢复、应急流程等,以保护信息处理过程的安全。不同于物理安全,运行安全是将安全目标放在聚集于网络和连接,并细化具体的操作机制以保证以上两者的安全。物理安全与运行安全的关系:运行安全可弥补物理安全的不足引起的缺陷和安全威胁。而运行安全
19、的保障严重依赖于良好的管理安全。如一台不具有安全密码控制的主机,可借助制定并实施密码轮换计划以提升其安全性。 网络访问控制。保证网络信息资源不被非授权使用。访问控制根据主体和客体之间的访问授权关系,对访问过程做出限制。身份验证。保证信息使用者和信息服务者都是真实的,防止冒充和重演。风险分析。了解影响信息系统安全运行的诸多因素和存在的风险,进行风险分析,找出克服这些风险的应对策略和方法。审计跟踪。利用计算机信息系统提供的审计工具,对计算机系统的工作过程并进行详尽的跟踪记录,根据审计记录和审计日志,及时发现和解决问题,保证计算机信息系统安全可靠地运行。这要求系统管理员必须认真负责,切实保存、维护和
20、管理好审计日志。应急措施和备份恢复。根据所用信息系统的功能特性和灾难特点,制定包括应急反应、备份操作、恢复措施三个方面内容的应急计划(或预案),一旦发生灾害事件,可及时按计划方案最大限度地恢复计算机系统的正常运行。(3)管理安全管理和政策为整个组织的安全提供最高级别的指导、规则和程序实施的安全环境。但是信息安全方面的专业人员可以向管理(决策)层提供有效的政策或相关的建议,并得到管理层充分的支持。安全政策(或措施)应该应用于整个组织而非组织内某一个或几个特定的层级。一个得不到管理层支持的安全人员不可能有效地实施任何安全措施。组织管理层应将管理安全定位在组织文化或组织人力资源战略相同的重要地位。所
21、以,管理安全是组织安全中最高级也是最重要的一个环节。如:大多数(政府部门)公司成员能够说出本单位有多少客户(服务管理对象)、多少收入,但往往说不出那些信息是能够公开的,以及公开的范围。行政政策。制定组织安全指导方针和预期效果的框架式文件。它明确何时以及以何种方式进行,并确定监管者、执行者以及审查者。 灾难恢复计划(DRP)。用于安全事故发生后,以最快的速度恢复可用性的方案。它基于对可能发生的安全事件的风险评估。一个良好的DRP应具有良好的完整性,即充分考虑到对所有各类型安全事件发生的可能性以及部署相应的应对措施。 信息政策。指组织如何管理信息和保证信息安全的基本政策,包括访问信息、信息分级和分
22、类信息、标记和储存信息、传输和销毁信息(如:硬盘不返还更换免费服务)等方法。其最显著的特点,就是对组织拥有的信息进行分类和分级的安全管理。安全政策。定义如何配置系统和网络,如何确保计算机机房和数据中心的安全以及如何进行身份鉴别和身份认证。同时,还确定如何进行访问控制、审计、报告和处理网络连接、加密和反病毒。还规定密码选择、账户到期、登录尝试失败处理等相关领域的程序和步骤。软件设计要求。将规定自行开发的软件系统或外购软件系统必须能够达到的安全指标。是根据使用方的行政、信息、安全政策综合考虑进行制定的,并且是具体的、可实施的。还需要考虑未来一段时期内网络环境和系统环境所发生的变化,以便软件系统得到
23、合理的升级或补充。使用政策。确定如何使用信息和资源,向组织成员或系统使用者解释使用组织资源的方法和用途。包括使用的规定、隐私、所有权和不正当行为的后果。如:“本计算机所有权属于公司,只能用于公司事务等”。用户管理政策。描述工作人员在系统内的权限范围,同时,包括员工地位或岗位变化所导致的系统变化。即员工发生“变化”时,必须重新设定该员工的权限并将其原权限撤消,否则可能导致权限超越或获取不应获取的信息。2、安全事件的一般形式安全事件的发生没有一个固定的模式或规律,只能预先进行风险评估、应急预案设置,并在安全事件发生后,进行足够的分析、处置和总结。安全事件的一般形式可表示为:预防+检测+响应=保护例
24、如:常用的防火墙和加密技术属于预防手段;入侵检测系统属于检测手段;灾难恢复或日常备份工作属于响应手段。未来的安全防护技术,能够整合检测手段和响应手段,做到检测安全事件和响应安全事件的自动化和智能化。3、安全事件管理目标最低程度要求达到三个目标:保密性、完整性和可用性。(1)保密性指确保信息不暴露给未经授权的实体或进程,即信息内容不会被未经授权的第三方所知。这里所指的信息包括国家秘密,以及各种社会团体、企业组织的工作秘密及商业秘密和个人秘密、个人隐私信息。保密技术定义:防止信息失窃和泄露的保障技术。(2)完整性确保信息不会遭到偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏。即只有允许才能修
25、改实体或进程,并能判别实体或进程是否已被篡改。即信息的内容不能被第三方未经授权修改;信息在存储或传输时不被修改、破坏;不出现信息包的丢失、乱序等。所以,完整性是建立在保密性基础之上的。(3)可用性指得到授权的实体在需要时可访问资源和服务。即无论何时,只要用户需要,信息系统必须是可用的,不能拒绝服务,并满足时效性。其它安全目标:可靠性。指系统在规定条件下和规定的时间内,完成规定功能的概率。它是网络安全最基本的要求之一,网络不可靠事故频发的环境,谈不上网络的安全。目前,对可靠性研究,基本上偏重于硬件可靠性方面,采取合理的冗余备份措施仍然是最基本的可靠性对策。另外,相当的故障和事故与软件可靠性、人员
26、可靠性和环境可靠性有关。不可抵赖性。也称不可否认性。是通信双方(人、实体或进程)信息真实同一的安全要求。包括收、发双方均不可抵赖。一是源发证明,它提供给信息接收者证据,可使信息发送者谎称未发送过这些信息或否认它的内容的企图不能得逞;二是交付证明,它可提供给信息发送者以证明,使信息接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。特别是网络交易等电子商务活动中,需要对不可抵赖性具有良好的保障。可审查性。采用审计、监控、防抵赖等安全机制,使得使用者(包括合法用户、攻击者、破坏者、抵赖者)的行为有证可查,并能够对网络出现的安全问题提供调查依据和手段。审计是通过网络上发生的各类事件进行日志记录
27、和进行分析统计,以及对资源使用情况进行事后分析的有效手段。也是发现和追踪事件的常用措施。审计的主要对象为用户、主机和结点;主要内容是访问的主体、客体、时间和成败情况等。可控性。指对信息及信息系统实施安全监控。即管理机构对非法信息的传播和散布,使用加密手段从事非法的通信活动等进行监视审计,对信息的传播具有控制能力。4、信息安全的弱点和风险来源(1)信息安全的木桶理论木桶理论:一个由许多长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板的平均值,而是取决于其中最短的那块木板。在信息安全中,认为信息安全的防护强度取决于“信息安全防线”中最为薄弱的环节。即最薄弱的环节存在最
28、大的安全威胁,只有针对该环节进行改进才能提高信息安全的整体防护强度。(2)信息安全威胁的来源 信息威胁的来源于四个方面:技术弱点、配置失误、政策漏洞、人员因素。典型技术弱点。ATCP/IP网络。由于其协议是一个开放的标准,主要用于互联网通信,开放的网络导致其不能保障信息传输的完整性和未经授权的存取等攻击手段做出适当的防护。操作系统漏洞。主流操作系统如UNIX、Windows、Linux等,由于各种原因导致其存在漏洞,必须由系统管理员经过安全配置、密切跟踪安全报告以及及时对操作系统进行更新和补丁更新操作才能保证其安全性。配置失误。由于操作者执行安全操作不到位或对安全技术理解不透引起的配置失误。如
29、:系统账户存在易被猜测的用户名和密码。管理员技术不足以适应岗位或由于疏忽、惰性的原因,未对默认的高权限系统账户进行处理。设备未得到良好配置。如路由器、交换机或服务器使用带有漏洞的默认配置方式,或路由器的路由表未经过良好的维护,服务器的访问控制列表存在漏洞等。政策漏洞。政策制定中未经过良好的协调和协商,存在不可能执行的政策,或政策本身违反法律条文或已有规章制度。人员因素。是造成安全威胁的最主要因素。通常,人员因素导致的安全威胁分为恶意攻击者导致的安全威胁和无恶意的人员导致的安全威胁。典型的恶意攻击者造成的安全威胁是:A、道德品质低下。攻击者实施以诈骗、盗窃或报复为目的攻击,尤其以报复为目的攻击对
30、组织来说最为危险。B、伪装或欺骗。其核心在于通过伪装和欺骗来获取攻击者所需要的信息。C、拒绝服务攻击。攻击者的目的是为了干扰正常的组织运作,借此达到攻击的目的。典型的无恶意的人员者造成的安全威胁是:A、突发事故。突发事故可能导致设备损坏或线路故障等。B、缺少安全意识。组织成员缺乏必要的安全意识,不曾接受过必要的安全培训。C、工作负担不合理。参与安全工作的工作人员与工作量不能较好匹配,协同工作能力低下或者工作流程分配不合理,可能造成设备的配置错误,也可能出现工作人员相互推卸责任。5、网络信息安全管理技术基本组成:(1)密钥管理技术(包含密钥的保存、分配、保护、共享、托管和基础设施等)(2)信息隐
31、藏技术(包括信息的检查、算法、数字水印等)(3)认证与访问控制技术(包括报文和身份认证、访问控制策略与应用等)(4)入侵检测技术(包括模型、分类、标准、评估等)(5)防火墙技术(包括原理、体系结构、部署与应用等)(6)漏洞扫描技术(包括分析技术、分析工具等)(7)网络安全协议(包括IPSec协议、 SSL协议、 TLS协议等)(8)其它安全技术(操作系统安全、数据库安全、防计算机病毒安全等)(9)应用安全(包括网络服务安全、电子邮件安全、电子政务安全、电子商务安全、DNS安全等)(10)系统的安全管理与评价标准(11)系统的安全管理相关法规(包括有关的刑法条款、保密法、信息系统等级、政务信息公
32、开、单位系统内部的相关规章制度等)二、理解信息安全的过程1、保证信息安全的一般方法由于信息安全威胁的来源多种多样,导致安全威胁和安全事件的原因非常复杂,没有一种放之四海皆准、一劳永逸地消除安全威胁的方法。但是有一些原则经过长时间的检验并得到广泛认同,视为保证信息安全的一般性方法。它们是: 隐藏保护 最小特权原则 信息分层安全 多样性防御 保持简单(1)隐藏保护 是最为简单的安全防护方法。即环境和保护机制令人费解或不被大众广泛熟知,并提高了攻击者获取有价值信息所需付出的成本,则认为这一安全措施是有效的。如经过对信息使用加密的方法。但是,隐藏式保护并不能完全阻止攻击者达到最终的目的,因经过加密的信
33、息可以通过暴力破解进行解密,而密钥的长度决定了暴力破解所需要的计算资源和时间。且单纯的隐藏式保护被子认为是不安全的。一般方法是与其它安全措施联合使用。如网络管理员将某一服务的默认端口转移到另一个更加隐蔽的以提供对网络的保护,但攻击者仍然可以通过各类方法找到该服务。因此可以采用防火墙来限制该服务的访问,或者应用入侵检测系统(IDS)来保证服务的正常运行。(2)最小特权原则是安全系统中最基本的原则之一。最小权:指在完成某种操作时所赋予网络中每个主体(用户或进程)必不少的特权。最小特权原则:指应限定网络中每个主体所必需的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。如企业中通常
34、采用的基于角色的访问控制模型,安全管理人员根据企业运行中组织人员所处的角色以及他在公司内进行工作所需要的资源状况来分配资源的使用权限。(3)信息分层安全 经过良好分层的安全措施能够保证组织信息的安全。不同层级之间需要协调工作,使得一层的工作不至于影响另外层次的正常功能。另外,如果每一层的安全机制若相当复杂,则整个安全系统的复杂程度将会以指数形式增加。如银行保险箱分层安全模式:保险箱有钥匙和锁具;置于保险库中;位置处于难于到达的建筑中心位置或地下;仅有授权的人才能进入;通向保险库路径有限且有监控系统进行监视;大厅有警卫巡视且有联网报警系统。不同层次和级别的安全措施共同保证了所保证的财物的安全。由
35、外向内的层次关系为:防病毒外部网络防火墙入侵检测系统网络访问控制基于主机的入侵检测主机权限控制、审计、访问控制等。类似信息安全分层例如:一个入侵者如果意图获取企业在最内层的主机上存储的信息,首先必须想方设法绕过外部防火墙;然后使用不会被入侵检测系统识别到和检测到的方法来登陆企业内部网络;一旦成功,入侵者面对的是企业内部的网络访问控制和内部防火墙,只有在攻克内部防火墙或采用各种方法提升访问权限后才能进行下一步的入侵,即登陆主机系统;入侵者面对基于主机的入侵检测系统,并想法躲过检测;入侵者突破主机“良好”配置,获取对存储数据具有强制性的访问控制和权限控制,以及对用户访问行为进行记录并生成日志文件,
36、供系统管理员进行审计;最终顺利达到预先设定的目标。|(4)多样性防御 是安全分层原则的一个补充。它涉及分层安全中不同层次尽量采用不同的技术进行构建。如网络防御中安全人员在构建防火墙时,可以选用不同厂商的产品。这对于攻击者来说,依赖于单一的攻击技术不可能攻破所有安全层次。其优点在于,一旦某层防御措施出现安全漏洞,不会影响其他层次的安全性。目前,很少有产品能够使安全性与复杂性达到完美统一。因此,多样性防御总会带来安全系统复杂的上升。安全人员和管理人员在部署安全系统时,必须在防御的多样性和配置的复杂性之间权衡利弊。(5)保持简单 指在使用安全技术和实施安全措施时,需要使安全过程尽量简洁,使用的安全工
37、具尽量易于使用且易于管理。因为,安全性与复杂性通常是相背离的,越复杂的东西越难理解,越复杂的系统,出错的几率越大。如设置包过滤防火墙或者服务器主机安全加固。即对包过滤防火墙所有出入站连接设置默认拒绝,而后根据需要增加允许的出入站连接。或在服务器的安全加固中,将所有默认的应用服务设置为关闭,而后根据应用需要启动服务。以保证安全功能。2、安全区域和安全体系结构模型(1)权限分层与访问控制 指根据系统使用者的身份不同和岗位不同(即不同的角色和需求),对应赋予不同的系统权限,并根据系统权限来判定该用户能够访问哪些信息,不能够访问那些信息。一般的组织对信息资源是采用分层的方式确保其安全。例如:一个企业里
38、,不同的员工所能够使用的信息资源是不同的。财务人员只对企业的财务相关信息感兴趣,对生产流程相关信息缺少关注;而生产技术人员感兴趣的信息范围却正好相反;而普通员工可能只能接触与其工作直接相关的局部信息;企业经理需要掌握企业整体的信息。(2)安全体系模型安全管理人员在系统和网络构建之前必须遵循的一定规范,选择适合组织的一套安全体系。这些规范和规定,称之为安全体系模型(或简称为安全模型)。可分为以加强数据保密性为目的的保密性模型和以加强数据完整性为目的的完整性模型。 Bell-LaPadula模型Bell-LaPadula模型根据美国国防部的多级安全策略的具体化而开发的。它基于强制访问控制(MAC)
39、和自主访问控制(DAC),以信息的敏感度作为安全等级划分标准,通常按照美国军方的分级方式划分为:无密级、受限级、秘密级、机密级、绝密级。BLP模型规定,信息只能按照安全等级从下往上流动,或根据策略的规定在安全同级别间流动。它具有两个安全原则:一是简单性原则,即一个主体(用户或程序)不能访问安全级别高于自身的客体(文件或信息)。简言之“无上读”原则;二是“*-特性”原则,它规定一个主体只能向高于或等于自身安全级别的客体进行写操作,简言之“无下写”原则,主要是为了防止高密级用户故意将涉密内容写入低密级文件,从而导致泄密事件的发生。Bell-LaPadula模型主要是以信息保密为目标而设计,主要广泛
40、应用于保密性要求高较的军事或政府领域。其缺点是不能保证信息的完整性。 Biba模型Biba模型的设计目的主要是为了保证信息的完整性。Biba模型设计类似Bell-LaPadula模型,只是使用信息完整性级别进行划分,而不是信息的安全性划分级别的。规定信息只能从高完整性的安全等级向低完整性的安全等级流动,就是防止低完整性的信息:污染高完整性的信息。Biba模型只能实现信息完整性中防止数据被未授权用户修改这一要求。而对于保护数据不被授权用户越权修改、维护数据的内部和外部一致性这两项数据完整性要求却无法做到。Crark-Wilson模型Crark-Wilson模型与前两者模型差异较大。在事务处理中,
41、规定多用户参与(至少两名用户签字确认)等方式,实现权限分离,防止个人权利过大导致安全事故发生。并通过事务日志可以实现良好的可审计性。鉴于此模型对数据完整性的保护作用,银行和金融机构通常采用此模型。其特点是:采用subject/program/object三元素的组成方式subject要访问object 只能通过program进行。权限分离原则。即将关键功能分为由两个或多个subject完成,防止已授权用户进行未授权的修改。要求具有审计能力。3、应对新技术领域的安全挑战(1)虚拟化技术的安全问题虚拟化技术起源20世纪60年代。目前虚拟化技术中可能遇到的安全问题。包括; 虚拟宿主机安全; 虚拟机管
42、理系统的安全管理; 安全人员对应虚拟化复杂环境的管理; 虚拟系统的软件授权使用问题。(2)虚拟专用网(VPN)技术应用安全问题虚拟专用网指的是依靠Internet服务提供商(ISP)和其它网络服务提供商提供的网络接入服务,在公用网络中建立专用的数据通信网络的技术。虚拟专用网络不是真的专用网络,但却能够实现专用网络的功能,可节省租用专线费用。目前VPN主要采用四项技术保证安全,分别是隧道技术、加解密技术、密钥管理技术、使用者与身份认证技术。(3)VOIP技术应用安全VOIP又称IP电话或IP网络电话。其功能作用是:以IP分组交换网络为传输平台,对模拟的语音信号进行压缩、打包等一系列特殊处理,使之
43、可以采用无连接的UDP协议进行传输,然后接收进行解压缩并将数字信号还原为模拟语音信号,最终实现语音通话甚至视频加语音同步通话的技术。与传统的电话技术相比,能有效减少用户的通信费用。VOIP技术存在的安全问题:一是,端口易被攻击,导致系统的不稳定甚至瘫痪;二是,服务被窃取,即“盗打“,非法获取使用权;三是,导致权限控制措施失效,发生流媒体被窃听或被重放,信息泄密等。4、非技术领域的安全相关问题安全问题不能仅仅依靠技术或巨大的投入进行解决,管理安全是安全的重要组成部分。在考虑安全相关问题时必须对数据资产评估、风险评估、了解威胁来源(内部/外部)、了解系统弱点和受攻击方式。(1)数据资产评估只有在安
44、全人员明确了解信息资源的价值时,才能做出相应的保护措施,并确保其安全。一般来说,当一项信息资源无法得到安全保障,将导致单位的重大损失,那么该项信息资源应该作为价值最高的信息资源予以保护。(2)风险评估(又称风险分析)指将可能发生的安全事件所造成的损失进行定量化估计。如某类安全事件发生的概率、此类安全事件发生后对组织的数据造成的损失、恢复损失的数据需要增加的成本等。一般情况下,只有结束数据资产评估后,才能进行风险评估。只有认定具有价值或价值较高的数据才有必要进行风险评估。(3)了解威胁来源在安全管理中,安全人员必须认清安全威胁的来源,以期从源头上遏制安全事件的发生。通常,威胁来源主要分为内部来源
45、和外部来源两个部分。 内部威胁通常与人密切相关。内部来源的安全威胁主要包括:内部人员监守自盗;特权系统或权限提升机制的滥用;蓄意破坏;商业间谍活动;系统故障。外部威胁主要是一些客观事件。外部来源的威胁主要包括;火灾、洪水、地震等自然灾害;电力系统故障;发自外部的攻击。从实际安全事故发生的数量和性质看,往往组织内部的安全威胁最能够给组织带来极大的危害。所以,在不能有效保障内部安全和实行良好内部控制的情况下,外部威胁的防范措施做得再好,也不能对组织安全起到良好的保护作用。如2008年法国兴业银行约50亿欧元的巨额亏损,就是由于银行内部程序开发人员利用其对交易后台系统的知识,创建隐蔽交易账户并进行越权操作股指期货交易的行为导致的。(4)了解系统弱点和攻击方式任何系统都具有一定的弱点,目前,流行的恶意代码中,有相当一部分是利用互联网协议TCP/IP的漏洞而产生的。如果需要避免这些弱点引发安全威胁或安全事故,一方面,安全人员必须对系统的弱点有全面的了解。另一方面,安全人员必须对攻击者的攻击方式和攻击手段有一个较为清楚的了解,只有在了解攻击者采用的攻击方式后,有效识别攻击者的攻击方式,才能采取有效的相应防御措施,有利于早阻止攻击或及时采取相应的策略。三、安全标准和组织即在计算机技术领域占主流地位的组织。它们通常制定计算机技术领域和计算机行业内大部分的标准和规范。安全标准和安全
