信息系统安全策略
★信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险(安全威胁) 进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等。由此可见,一个单位的安全策略一定是定制的,都是针对本单位的。
★安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
★把信息系统的安全目标定位于“系统永不停机、数据永不丢失、 网络永不瘫痪、信息永不泄密”是错误的,是不现实的也是不可能的。
第三版教材P607
信息系统安全保护等级
《计算机信息系统安全保护等级划分准则》中规定了计算机系统安全保护能力的五个等级:
第一级为用户自主保护级,该级适用于普通内联网用户;
第二级为系统审计保护级,该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位;
第三级为安全标记保护级,该级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位;
第四级为结构化保护级,该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门;
第五级为访问验证保护级,该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
第三版教材P607
助记:主审“机”构访问(自主--审计--标记--结构--访问)
信息系统安全策略设计原则
★我国信息化建设总结出来的宝贵经验有8个总原则和10个特殊原则:
8个总原则:
(1) 主要领导人负责原则。
(2) 规范定级原则。
(3) 依法行政原则。
(4) 以人为本原则。
(5) 注重效费比原则(安全需求和现实资源的有限性)
(6) 全面防范、突出重点原则。
(7) 系统、动态原则。
(8) 特殊的安全管理原则(遵循10个特殊原则)
10个特殊原则:
(1) 分权制衡原则
(2) 最小特权原则(对信息和信息系统访问采用最小特权)
(3) 标准化原则
(4) 用成熟的先进技术原则
(5) 失效保护原则(系统运行错误或故障时必须拒绝非授权访问)
(6) 普遍参与原则
(7) 职责分离原则
(8) 审计独立原则
(9) 控制社会影响原则
(10) 保护资源和效率原则(风险度的观点和适度安全的观点)
信息安全系统
X轴是“安全机制”:为提供某些安全服务,利用各种安全技术和技巧,所形成的一个较为完善的结构体系。如“平台安全”机制,实际上就是指的安全操作系统、安全数据库、应用开发运营的安全平台以及网络安全管理监控系统等。
Y轴是OSI网络参考模型
Z轴是“安全服务”,就是从网络中的各个层次提供给信息应用系统所需要的安全服务支持。如:对等实体认证服务、访问控制服务、数据保密服务等。
认证、权限、完整、加密和不可否认五大要素,也叫做“安全空间” 的五大“属性”。每个轴上的内容越丰富、越深入、越科学,“安全空间”就越大,安全性就越好。
安全服务
(1)对等实体认证服务。用于两个开放系统同等层中的实体建对对方实体的合法性、真实性进行确认,以防假冒。
(2)数据保密服务。
(3)数据完整性服务。数据完整性服务用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失
(4)数据源点认证服务。 数据源点认证服务用于确保数据发自真正的源点,防止假冒。
(5)禁止否认服务。
(6)犯罪证据提供服务。
信息系统安全属性
包括:保密性、完整性、可用性、不可抵赖性
一、保密性:
是应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。 应用系统常用的保密技术如下:
①最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
②防暴露:防止有用信息以各种途径暴露或传播出去。
③信息加密:用加密算法对信息进行加密处理,非法用户无法对信息息进行解密,丛而无法读懂有效信息。
(如加密U盘,或即时加密文件)
④物理保密:利用各种物理方法,如限制、隔离、掩蔽和控制等措施保护信息不被泄露。
二、完整性:
完整性是信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。影响信息完整性的主要因素有设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码)、人为攻击和计算机病毒等。
保障应用系统完整性的主要方法如下:
①协议
②纠错编码方法
③密码校验和方法
④数字签名
⑤公证
三、可用性:
是应用系统信息可被授权实体访问并按需求使用的特性。可用性是应用系统面向用户的安全性能。可用性一般用系统正常使用时间和整个工作时间之比来度量。
四、不可抵赖性:
不可抵赖性也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认己经接收的信息。
PKI
公钥基础设施PKI(Public Key Infrastructure, 公开密钥基础设施),它是以不对称密钥加密技术为基础以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。
★一个网络的PKI包括以下几个基本的构件:
- 数字证书。这是由认证机构经过数字签名后发给网上信息交易主体(企业或个人、设备或程序)的一段电子文档。
数字证书提供了PKI的基础。 - 认证中心:CA (Certification Authority) 是PKI的核心。它是公正、权威、可信的第三方网上认证机构
- 数字证书注册审批机构:RA (Registration Authority) 系统是CA的数字证书发放、管理的延伸。
- 数字签名:利用发信者的私钥和可靠的密码算法对待发信息或其电子摘要进行加密处理,这个过程和结果就是数字签名。经过数字签名后的信息具有真实性和不可否认(抵赖)性。
- 密钥和证书管理工具:管理和审计数字证书的工具,认证中心使用它来管理在一个CA上的证书。
- 双证书体系:PKI采用双证书体系, 非对称算法支持RSA和ECC算法。包括签名证书和加密证书。
- PKI的体系架构:宏观来看, PKI概括为两大部分, 即信任服务体系和密钥管理中心。
- PKI信任服务体系:是为整个业务应用系统(如电子政务、电子商务等) 提供基于PKI数字证书认证机制的实体身份鉴别服务,它包括认证机构、注册机构、证书库、证书撤销和交叉认证等。
- PKI密钥管理中心(Key Management Center, KMC) 提供密钥管理服务, 向授权管理部门提供应急情况下的特殊密钥回复功能。它包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。
数字证书和CA
数字证书,是PKI的基础:
这是由认证机构经过数字签名后发给网上信息交易主体(企业或个人、设备或程序)的一段电子文档。在这段文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥和私钥信息和其他属性信息等。利用数字证书,配合相应的安全代理软件,可以在网上信息交易过程中检验对方的身份真伪,实现信息交易双方的身份真伪, 并保证交易信息的真实性、完整性、机密性和不可否认性。数字证书提供了PKI的基础。
CA(Certification Authority)认证中心, 是PKI的核心
它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务。可用在电子商务、网上银行等交易中实现身份认证
如几大CA认证中心:
中国人民银行联合12家银行建立的金融CFCA安全认证中心
中国电信认证中心(CTCA)
海关认证中心(SCCA)
国家外贸部EDI中心建立的国富安CA安全认证中心
广东电子商务认证中心(以后称广东CA)为首的“网证通”认证体系
SHE CA(上海CA) 为首的UCA协卡认证体系
PMI权限(授权)管理基础设施
PMI(privilege management infrastructure)即权限管理基础设施或授权管理基础设施。
PMI授权技术的核心思想是以资源管理为核心, 将对资源的访问控制权统一交由授权机构进行管理, 即由资源的所有者来进行访问控制管理。PMI主要进行授权管理, 证明这个用户有什么权限,能干什么,即“你能做什么”
PKI主要进行身份鉴别, 证明用户身份, 即“你是谁”
它们之间的关系如同签证和护照的关系。签证具有属性类别,持有哪一类别的签证才能在该国家进行哪一类的活动(你能做什么)护照是身份证明,唯一标识个人信息,只有持有护照才能证明你是一个合法的人(你是谁)
访问控制
访问控制是信息安全保障机制的核心内容之一, 它是实现数据保密性和完整性的主要手段之一。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限, 从而使计算机信息应用系统在合法范围内使用;
访问控制机制 决定用户以及代表一定用户利益的程序能做什么及做到什么程度。
访问控制的两个重要过程
(1)认证过程)通过“鉴别 (authentication) ”来检验主体的合法身份。
(2)授权管理,通过“授权 (authorization) ” 来赋予用户对某项资源的访问权限,访问权限随不同的业务应用有不同的规范,一般至少包括读取数据、更改数据、运行程序和发起网络连接等基本操作。
因实现的基本理念不同,访问控制机制可分为以下两种:
- 强制访问控制 (Mandatory AccessControl, MAC)
用户不能改变他们的安全级别或对象的安全属性。~这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识一个安全等级。访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法。 (比如将军军衔的人可以访问部队的绝密数据,校尉级的只能访问部队命令数据) - 自主访问控制(Discretionary AccessControl, DAC)
机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体计对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。(比如网络管理员指定数据访问控制)。
角色的访问控制RBAC(Role-Based AccessControl) :基于角色的访问控制中, 角色由应用系统的管理员定义。角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色。而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定。用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。 (比如很多ERP产品通过系统管理员给角色授权)
MAC强制访问控制、DAC自主访问控制与RBAC的区别:
- RBAC不是基于多级安全需求的(关心谁可以对何种信息执行何种动作) ; MAC是基于多级安全需求的(关心谁可以读/写什么信息,防止信息从高安全级流向低安全级) 。角色控制比较灵活。
- 用户不能自主地将访问权限授给别的用户, 这是RBAC和DAC的根本区别。
安全审计
安全审计是记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,并帮助分析安全事故产生的原因。安全审计具体包括两方面的内容。
(1)采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应 (如报警)并进行阻断。
(2)对信息内容和业务流程进行审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
安全审计系统采用数据挖掘和数据仓库技术,对历史数据进行分析、处理和追踪,实现在不同网络环境中终端对终端的监控和管理,必要时通过多种途径向管理员发出警告或自动采取排错措施。因此信息安全审计系统被形象地比喻为“黑匣子”和“监护神”
安全审计产品主要包括主机类、网络类及数据库类和业务应用系统级的审计产品。
安全审计的主要作用:
- 对潜在的攻击者起到震慑或警告作用。
- 对于已经发生的系统破坏行为提供有效的追纠证据。
- 为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。
- 为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。
网络安全审计的具体内容:
- 监控网络内部的用户活动。
- 侦察系统中存在的潜在威胁。
- 对日常运行状况的统计和分析。
- 对突发案件和异常事件的事后分析。
- 辅助侦破和取证。
安全审计功能分为6个部分:
- 安全审计自动响应功能;
- 安全审计自动生成功能;
- 安全审计分析功能;
- 安全审计浏览功能;
- 安全审计事件选择功能;
- 安全审计事件存储功能
网络攻击-补充知识
1.窃取:通过数据窃听的手段获得敏感信息。攻击者通过搭线窃听或电子辐射探测等手段截获机密信息,或通过信息流量的变化、流向的变化以及通信总量等参数分析出有用信息。
2.截取:非法用户通过特殊手段首先获得信息,再将此信息发送给真实接收者(也可以不给)
3.篡改或伪造:非法用户通过截取手段事先获得信息,然后把篡改或伪造后的信息发送给真实接收者,用户获取的是经过修改后的虚假信息。
4.冒充:非法用户假装成合法用户,并设法使系统相信他就是所扮演的角色,进而非法获得系统访问权或其他权力。
☆5.拒绝服务攻击:拒绝服务攻击是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。广义上讲,任何能够导致用户的服务器不能正常提供服务的攻击都属于拒绝服务攻击
比如:向对方的计算机和路由器等发送不正当的数据使其陷入不能使用。
IDS:入侵检测
6.行为否认:合法用户否认已经发生的行为。
7.非授权访问:未经系统授权而使用网络或计算机资源。
8.传播病毒:通过网络传播计算机病毒,其破坏性高且用户难于防范。
熊猫烧香-->蠕虫病毒
9.暴力攻击:是试图用穷举法来破解密码。
10.木马病毒:通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,远程操控被种者的电脑,使施种者可以任意毁坏、窃取被种者的文件
11.缓存溢出攻击:是是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,溢出的数据就会覆盖在合法的数据上
12.IP欺骗:是指行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。
13.会话劫持(Session Hijack) ,就是结合了嗅探以及欺骗技术在内的攻击手段。例如,在一次正常的会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶意数据,也可以在双方的会话当中进行监听,甚至可以是代替某一方主机接管会话。