信息系統(tǒng)安全解決方案

1?1?1信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷。信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認(rèn)證、訪問控制，不能有非法軟件駐留，不能有非法操作。信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。關(guān)于這一部分的具體介紹,詳見信息安全專業(yè)1?1?2重要性積極推動信息安全等級保護(hù)信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。信息安全的實質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。根據(jù)國際標(biāo)準(zhǔn)化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題，是一個不容忽視的國家安全戰(zhàn)略。但是,對于不同的部門和行業(yè)來說，其對信息安全的要求和重點卻是有區(qū)別的。我國的改革開放帶來了各方面信息量的急劇增加，并要求大容量、高效率地傳輸這些信息。為了適應(yīng)這一形勢，通信技術(shù)發(fā)生了前所未有的爆炸性發(fā)展.目前，除有線通信外，短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應(yīng)用。與此同時，國外敵對勢力為了竊取我國的政治、軍事、經(jīng)濟、科學(xué)技術(shù)等方面的秘密信息，運用偵察臺、偵察船、偵察機、衛(wèi)星等手段，形成固定與移動、遠(yuǎn)距離與近距離、空中與地面相結(jié)合的立體偵察網(wǎng)，截取我國通信傳輸中的信息。從文獻(xiàn)中了解一個社會的內(nèi)幕，早已是司空見慣的事情。在20世紀(jì)后50年中，從社會所屬計算機中了解一個社會的內(nèi)幕，正變得越來越容易.不管是機構(gòu)還是個人，正把信息安全策略日益繁多的事情托付給計算機來完成，敏感信息正經(jīng)過脆弱的通信線路在計算機系統(tǒng)之間傳送，專用信息在計算機內(nèi)存儲或在計算機之間傳送，電子銀行業(yè)務(wù)使財務(wù)賬目可通過通信線路查閱，執(zhí)法部門從計算機中了解罪犯的前科，醫(yī)生們用計算機管理病歷，所有這一切，最重要的問題是不能在對非法（非授權(quán)）獲取（訪問）不加防范的條件下傳輸信息.傳輸信息的方式很多,有局域計算機網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫，有蜂窩式無線、分組交換式無線、衛(wèi)星電視會議、電子郵件及其它各種傳輸技術(shù)。信息在存儲、處理和交換過程中，都存在泄密或被截收、竊聽、竄改和偽造的可能性.不難看出，單一的保密措施已很難保證通信和信息的安全,必須綜合應(yīng)用各種保密措施，即通過技術(shù)的、管理的、行政的手段，實現(xiàn)信源、信號、信息三個環(huán)節(jié)的保護(hù),藉以達(dá)到秘密信息安全的目的。目錄第一章信息安全的風(fēng)險評估 TOC\o"1-5"\h\z1?1風(fēng)險分析 411。1攻擊的類型 41?2網(wǎng)絡(luò)系統(tǒng)的脆弱性 5\o"CurrentDocument"121操作系統(tǒng)安全的脆弱性 51。2。2網(wǎng)絡(luò)安全的脆弱性 61。23數(shù)據(jù)庫系統(tǒng)安全的脆弱性 7\o"CurrentDocument"124防火墻的局限性 71。25其他方面的原因 71?3評估方法 71,3。1常用的評估軟件 8第二章信息安全防范體系?????????????????????????????????????????????????????????????????????????????????????????102。1信息安全模型 102。2策略和組織框架 1222。1策略框架 122,2,1。1安全策略的內(nèi)容 12221.2安全策略的制定 132.2。1.3安全策略的管理 152。22組織框架 1523技術(shù)框架 162。3。1鑒別和認(rèn)證 172.3。 2訪問控制 172.3。 3審計和跟蹤 192。3。4響應(yīng)和恢復(fù) 202。3。5內(nèi)容安全 20第二章信息安全的風(fēng)險評估2.1風(fēng)險分析隨著網(wǎng)絡(luò)的飛速發(fā)展，電子商務(wù)在今天的商業(yè)環(huán)境里的普遍應(yīng)用，計算機系統(tǒng)的安全防護(hù)已經(jīng)成為一項極其重要的工作。除了保護(hù)服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備以及數(shù)據(jù)等硬件資產(chǎn)以外，還需要保護(hù)公司的無形資產(chǎn)。信息安全隱患會對公司的聲譽、品牌以及發(fā)展規(guī)劃造成不可估量的惡劣影響。2.1.1攻擊的類型在因特網(wǎng)上存在哪些攻擊方式呢？主要可分為以下三類：拒絕服務(wù)、侵入攻擊和信息盜竊。1、拒絕服務(wù)拒絕服務(wù)攻擊是一種以遭受攻擊的資源目標(biāo)不能繼續(xù)正常提供服務(wù)的攻擊形式.換言之，拒絕服務(wù)攻擊就是使你無法繼續(xù)使用你的計算機資源,這些資源可能是郵件服務(wù)器、Web服務(wù)器或數(shù)據(jù)庫服務(wù)器等。拒絕服務(wù)攻擊通常是針對某個特定的系統(tǒng)或網(wǎng)絡(luò)而實施的惡意攻擊行為。2000年2月針對Amazon和CNN的分布式拒絕服務(wù)攻擊就是典型的例子.拒絕服務(wù)攻擊通常是使用“信息洪水”的手法實現(xiàn)的,即向某個資源發(fā)送超出其處理能力的數(shù)據(jù)或TCP/IP報文。洪水攻擊很容易發(fā)起，trinoo和tribal等網(wǎng)上可自由下載的網(wǎng)絡(luò)洪水程序更助長了這類攻擊的頻繁發(fā)生，這些程序可以輕易地發(fā)起一次針對某個特定目標(biāo)的拒絕服務(wù)攻擊。其他類型的拒絕服務(wù)攻擊還包括在故意錯誤地登錄操作后鎖死某個帳戶或引起系統(tǒng)的重啟動。攻擊者故意多次錯誤地嘗試登錄某個用戶帳戶，當(dāng)攻擊者達(dá)到系統(tǒng)允許的嘗試次數(shù)后，系統(tǒng)就會鎖死該帳戶,真正的用戶將無法上機,只能求助于系統(tǒng)管理員重設(shè)該帳戶或等待系統(tǒng)鎖死時間過去后該帳戶自動重設(shè)。拒絕服務(wù)攻擊也可能會在意外情況下發(fā)生。錯誤的配置或錯誤的網(wǎng)絡(luò)操作都有可能使資源不能繼續(xù)使用。流式介質(zhì)或Napster等采用信號接力棒技術(shù)的程序就有可能引起拒絕服務(wù)現(xiàn)象，造成網(wǎng)絡(luò)通信的堵塞，進(jìn)而使合法的商務(wù)信息交流無法進(jìn)行。常用的拒絕服務(wù)攻擊方法有很多，如:緩沖區(qū)溢出、SYN攻擊、淚珠攻擊等.2、侵入攻擊侵入攻擊是最經(jīng)常遭受到的攻擊形式，它會使攻擊者竊取到系統(tǒng)的訪問權(quán)并盜用計算機資源。竊取某個系統(tǒng)訪問權(quán)限的辦法多種多樣，社交陷阱是最有效的辦法之一，它針對的是安全防護(hù)體系里最薄弱的因素—人.攻擊者可以偽裝成一名幫助臺的工作人員，讓某個用戶去修改自己的口令；也可以偽裝成一名復(fù)印機維修人員直接進(jìn)入辦公大樓。竊取系統(tǒng)訪問權(quán)的其他辦法還包括猜測用戶名與口令字組合以及鉆研操作系統(tǒng)和應(yīng)用程序漏洞等。最常見的手段包括緩沖區(qū)溢出、WindowsNT漏洞、Web服務(wù)器軟件漏洞等。3、信息盜竊信息盜竊攻擊指的是攻擊者從目標(biāo)系統(tǒng)里偷走數(shù)據(jù)的情形，這類攻擊有時候并不需要攻擊者擁有目標(biāo)系統(tǒng)的訪問權(quán)限。大多數(shù)信息盜竊攻擊都出現(xiàn)在配置不良的系統(tǒng)上，還有一些系統(tǒng)向外界提供的信息本身就已經(jīng)超出了保密要求的限度。利用Telnet連接到80端口通常會告訴你該系統(tǒng)上運行的是哪一種Web服務(wù)器。知道了這些,攻擊者就可以利用該服務(wù)器軟件或目標(biāo)系統(tǒng)上那些已知的漏洞和弱點進(jìn)行攻擊。信息盜竊攻擊通常是侵入攻擊的第一步。信息盜竊攻擊最常用的工具是網(wǎng)絡(luò)嗅探器。攻擊者可以利用嗅探器監(jiān)視網(wǎng)絡(luò)上的通信情況，等待用戶名/口令字組合的出現(xiàn)。其他的信息盜竊方法還有電磁泄漏接收、磁盤緩存窺探等.網(wǎng)絡(luò)系統(tǒng)的脆弱性盡管近年來計算機網(wǎng)絡(luò)安全技術(shù)取得了巨大進(jìn)展，但計算機網(wǎng)絡(luò)系統(tǒng)的安全性比以往任何時候都更脆弱，主要表現(xiàn)在它極易受到攻擊和侵害,它的抗打擊力和防護(hù)力很弱。其脆弱性主要有以下幾個方面:2.2.1操作系統(tǒng)安全的脆弱性操作系統(tǒng)不安全，是計算機不安全的根本原因，其不安全性表現(xiàn)在:1、操作系統(tǒng)結(jié)構(gòu)體制本身的缺陷操作系統(tǒng)的程序是可以動態(tài)連接的，I/O的驅(qū)動程序與系統(tǒng)服務(wù)都可以用打補丁的方式進(jìn)行動態(tài)連接.UNIX操作系統(tǒng)的版本升級都是采用打補丁的方式進(jìn)行的，雖然這些操作需要被授予特權(quán),但這種方法廠商可用，黑客也可用。一個靠打補丁改進(jìn)與升級的操作系統(tǒng)是不可能從根本上解決安全問題的。然而，操作系統(tǒng)支持程序動態(tài)連接與數(shù)據(jù)動態(tài)交換是現(xiàn)代系統(tǒng)集成和系統(tǒng)擴展的需要，這顯然與安全有矛盾。2、操作系統(tǒng)支持在網(wǎng)絡(luò)上傳輸文件，在網(wǎng)絡(luò)上加載與安裝程序,包括可執(zhí)行文件.3、操作系統(tǒng)不安全的原因還在于創(chuàng)建進(jìn)程，甚至可以在網(wǎng)絡(luò)節(jié)點上進(jìn)行遠(yuǎn)程的創(chuàng)建和激活，更為重要的是被創(chuàng)建的進(jìn)程還要繼承創(chuàng)建進(jìn)程的權(quán)利。這樣可以在網(wǎng)絡(luò)上傳輸可執(zhí)行程序，再加上可以遠(yuǎn)程調(diào)用，就能夠在遠(yuǎn)端服務(wù)器上安裝“間諜”軟件。另外，還可以把這種間諜軟件以打補丁的形式加在一個合法用戶上，尤其是一個特權(quán)用戶，這樣可以做到系統(tǒng)進(jìn)程與作業(yè)監(jiān)視程序都看不到它的存在。4、操作系統(tǒng)中，通常有一些守護(hù)進(jìn)程，這種軟件實際上是一些系統(tǒng)進(jìn)程，它們總是在等待一些條件的出現(xiàn),一旦這些條件出現(xiàn)，程序便繼續(xù)運行下去，這些軟件常常被黑客利用。問題的關(guān)鍵是這些守護(hù)進(jìn)程在UNIX,WindowsNT操作系統(tǒng)中具有與其他操作系統(tǒng)核心層軟件相同的權(quán)限。5、操作系統(tǒng)都提供遠(yuǎn)程過程調(diào)用服務(wù),而提供的安全驗證功能卻很有限。6、操作系統(tǒng)提供網(wǎng)絡(luò)文件系統(tǒng)服務(wù)，網(wǎng)絡(luò)文件系統(tǒng)是一個基于遠(yuǎn)程過程調(diào)用的網(wǎng)絡(luò)文件系統(tǒng)，如果網(wǎng)絡(luò)文件系統(tǒng)設(shè)置存在重大問題,則幾乎等于將系統(tǒng)管理權(quán)拱手交出。7、操作系統(tǒng)的debug和wizard功能,可以讓精于patch和debug的黑客，利用來作幾乎所有想作的事情.8、操作系統(tǒng)安排的無口令入口，是為系統(tǒng)開發(fā)人員提供的邊界入口，但這些入口也能被黑客利用。9、盡管操作系統(tǒng)的安全缺陷可以通過版本的不斷升級來克服,但系統(tǒng)的某一個安全漏洞會使系統(tǒng)的所有安全控制毫無意義，即通常所說的“木桶"理論.網(wǎng)絡(luò)安全的脆弱性由于Internet/Intranet的出現(xiàn),網(wǎng)絡(luò)的安全問題更加嚴(yán)重.可以說，使用TCP/IP網(wǎng)絡(luò)所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素，存在著許多漏洞。同時，網(wǎng)絡(luò)的普及是信息共享達(dá)到了一個新的層次,信息被暴露的機會大大增多。特別是Internet網(wǎng)絡(luò)就是一個不設(shè)防的開放大系統(tǒng)，通過未受保護(hù)的外部環(huán)境和線路誰都可以訪問系統(tǒng)內(nèi)部，可能發(fā)生隨時搭線竊聽、遠(yuǎn)程監(jiān)控、攻擊破壞.另外，數(shù)據(jù)處理的可訪問性和資源共享的目的性是一個矛盾,它造成了計算機系統(tǒng)保密性難。拷貝數(shù)據(jù)信息可以很容易且不留任何痕跡，一臺遠(yuǎn)程終端上的用戶可以通過Internet連接其他任何一個站點，在一定條件下可在該站點內(nèi)隨意進(jìn)行刪改、下載數(shù)據(jù)乃至破壞。2.2.3數(shù)據(jù)庫系統(tǒng)安全的脆弱性當(dāng)前,大量的信息存儲在各種各樣的數(shù)據(jù)庫中，這使得它成為攻擊的重點之一。然而，這些數(shù)據(jù)庫系統(tǒng)在安全方面的考慮卻很少，而且，數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套，例如，DBMS的安全級別是B2,那么操作系統(tǒng)的安全級別也應(yīng)該是B2,但實踐中往往不是這樣做的。2.2.4防火墻的局限性盡管利用防火墻可以保護(hù)安全網(wǎng)免受外部攻擊，但它只是能夠提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)絕對安全。事實上，防火墻不能防范不經(jīng)過防火墻的攻擊，也很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。2.2.5其他方面的原因1、 易受環(huán)境和災(zāi)害的影響。溫度、濕度、供電、火災(zāi)、水災(zāi)、靜電、雷電、灰塵、強電磁場、電磁脈沖等，均會破壞數(shù)據(jù)和影響它的正常工作。2、 剩磁效應(yīng)和電磁泄漏的不可避免3、 計算機領(lǐng)域中的任何重大技術(shù)進(jìn)步都對安全性構(gòu)成新的威脅。所有這些威脅都需要新的技術(shù)來消除，而技術(shù)進(jìn)步的速度要比克服威脅的技術(shù)進(jìn)步的速度快得多?？傊?，系統(tǒng)自身的脆弱和不足，是造成計算機網(wǎng)絡(luò)安全問題的內(nèi)部根源。但系統(tǒng)本身的脆弱性、社會對系統(tǒng)應(yīng)用的依賴性這一對矛盾又將促進(jìn)計算機網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展和進(jìn)步。2.3評估方法風(fēng)險評估是安全防護(hù)體系建立過程中極其關(guān)鍵的一個步驟,它連接著安防重點和商業(yè)需求。通常采用以下特定的步驟來進(jìn)行風(fēng)險評估。表1—1風(fēng)險評估的步驟第一步:資產(chǎn)清單、定義和要求（所有需要保護(hù)的對象都是資產(chǎn),如：數(shù)據(jù)庫、軟件等）第一階段確定企業(yè)關(guān)鍵性的商務(wù)活動第二階段編制關(guān)鍵性商務(wù)活動使用的資產(chǎn)清單第三階段對這些資產(chǎn)進(jìn)行重要性評估第二步：脆弱性和威脅評估第一階段運行自動化安防工具軟件開始分析工作第二階段人工復(fù)查第三步：安全控制措施評估認(rèn)真考慮各種安防控制措施以及實施成本第四步：分析、決策和文檔第一階段各種威脅的安防控制措施及實施成本分析表第二階段針對威脅選定將要實施的安防控制措施第三階段編寫評估工作報告，得出結(jié)論第五步:溝通與交流與有關(guān)方面溝通評估結(jié)論第六步:監(jiān)督實施密切注意和分析新的威脅并對安防控制措施作必要的修改。企業(yè)的重大變革將導(dǎo)致一次新的風(fēng)險評估過程以上步驟中，第二步脆弱性和威脅評估是比較重要的，它是決定企業(yè)安全策略的基礎(chǔ)。目前有許多工具軟件能夠幫助完成脆弱性和威脅評估的任務(wù)。2.3.1常用的評估軟件1、InternetSecuritySystems的安全分析軟件InternetSecuritySystems公司開發(fā)的網(wǎng)絡(luò)漏洞掃描軟件主要由InternetScanner和SystemsScanner兩部分組成.InternetScanner是-一個網(wǎng)絡(luò)掃描器，而SystemScanner是一個主機掃描器。InternetScanner自帶一個缺省的掃描策略，但也允許你自行定制。ISS掃描器既可以針對安防配置進(jìn)行檢查，也可以針對已知弱點進(jìn)行檢查。智能化的掃描報告里給出了修補漏洞所需的信息。InternetScanner的最新版本可以自動查找728種漏洞,包括：47種后門(GetAdmin、SubSeven等)50種守護(hù)進(jìn)程缺陷(rlogin、fingered等)38種CGI—Bin（ColdFusion、PHP、cgiexec等）51種NT補?。≒PTP3、SSL、NTRAS溢出等）50種電子郵件檢查（popimap、緩沖區(qū)溢出等）此軟件的缺點是運行速度較慢。圖1-1InternetScannermainwindow2、 WebTrendsSecurityAnalyzer網(wǎng)站安全分析軟件WebTrendsSecurityAnalyzer網(wǎng)站安全分析軟件除可以找出大量隱藏在Linux和Windows服務(wù)器、防火墻和路由器等軟件里的威脅和漏洞,還可以找出Linux和Windows系統(tǒng)上的配置問題和已知漏洞.WebTrendsSecurityAnalyzer生成的HTML格式的報告被認(rèn)為是目前作得最好的,報告里對找出的每個漏洞都有一個說明，還有對消除漏洞的推薦對策。圖1-2WebTrendsSecurityAnalyze3、 CerberusInternetScanner漏洞掃描軟件CerberusInternetScanner是一個功能強大的自由軟件掃描工具，它可以查出126種漏洞，其中包括:21種SMTP漏洞7種FTP漏洞19種SQL服務(wù)器漏洞超過60種NT漏洞圖1-3CerberusInternetScanner第三章信息安全防范體系信息安全防范不是孤立的事情，從根本上講，它是一個過程而不是一個產(chǎn)品,“即買即得”的安全是不存在的.一個強有力的安全防范體系是由策略、組織和技術(shù)三部分組成的，就象一個三條腿的凳子，偏重任何一個方面都會造成整體的失衡和失效。本章描述的信息安全防范體系是在信息安全模型的指導(dǎo)下,從策略、組織和技術(shù)三方面建立的。3.1信息安全模型隨著全球計算機和信息系統(tǒng)的網(wǎng)絡(luò)化,信息系統(tǒng)所面臨的安全問題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標(biāo)發(fā)起攻擊，而且我們的系統(tǒng)還同時要面臨來自外部、內(nèi)部、自然等多方面的威脅。我們所在的信息環(huán)境的基本特征是動態(tài)和變化,信息業(yè)務(wù)的不斷發(fā)展變化、業(yè)務(wù)競爭環(huán)境的變化、信息技術(shù)和安全技術(shù)（包括攻擊技術(shù)）的飛速發(fā)展;同時我們系統(tǒng)自身也在不斷變化,人員的流動、不斷更新升級的系統(tǒng)等等。總之，面對這樣一個動態(tài)的系統(tǒng)、動態(tài)的環(huán)境，需要用動態(tài)的安全模型、方法、技術(shù)和解決方案來應(yīng)對安全問題.因應(yīng)這種需求,在上世紀(jì)九十年代提出了PDR動態(tài)安全模型，即防護(hù)、檢測和響應(yīng)，漏洞掃描和入侵檢測（IDS）就是這種模型下發(fā)展的動態(tài)檢測技術(shù)和產(chǎn)品.而現(xiàn)在,PDR模型發(fā)展成為P2DR模型，相對于前者,P2DR更重視管理層面。P2DR的含義如上圖所示，是策略、防護(hù)、檢測和響應(yīng)，策略處于中心地位，其他技術(shù)手段和措施圍繞它來展開?，F(xiàn)代信息安全理論認(rèn)為,一個良好的完整的動態(tài)安全體系，不僅需要恰當(dāng)?shù)姆雷o(hù)（比如：操作系統(tǒng)訪問控制、防火墻、加密等），而且需要動態(tài)的檢測機制（比如：入侵檢測、漏洞掃描等），在發(fā)現(xiàn)問題時及時進(jìn)行響應(yīng)。整個體系要在統(tǒng)一的、一致的安全策略的指導(dǎo)下實施。P2DR形成了一個完備的閉環(huán)自適應(yīng)體系。P2DR模型的理論體系基于數(shù)學(xué)模型作為其論述基礎(chǔ)“TimeBasedSecurity"基于時間的安全理論。該理論的最基本原理就是認(rèn)為，信息安全相關(guān)的所有活動，不管是攻擊行為、防護(hù)行為、檢測行為和響應(yīng)行為等等都要消耗時間。因此可以用時間來衡量一個體系的安全性和安全能力。作為一個防護(hù)體系，當(dāng)入侵者要發(fā)起攻擊時，每一步都需要花費時間。當(dāng)然攻擊成功花費的時間就是安全體系提供的防護(hù)時間Pt。在入侵發(fā)生的同時，檢測系統(tǒng)也在發(fā)揮作用，檢測到入侵行為也要花費時間一一檢測時間Dt；在檢測到入侵后，系統(tǒng)會做出應(yīng)有的響應(yīng)動作，這也要花費時間 響應(yīng)時間Rt。P2DR模型就可以用一些典型的數(shù)學(xué)公式來表達(dá)安全的要求：公式1：Pt〉Dt+RtPt代表系統(tǒng)為了保護(hù)安全目標(biāo)設(shè)置各種保護(hù)后的防護(hù)時間；或者理解為在這樣的保護(hù)方式下，黑客（入侵者）攻擊安全目標(biāo)所花費的時間.Dt代表從入侵者開始發(fā)動入侵開始，系統(tǒng)能夠檢測到入侵行為所花費的時間.Rt代表從發(fā)現(xiàn)入侵行為開始,系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時間。那么，針對于需要保護(hù)的安全目標(biāo),上述數(shù)學(xué)公式必須滿足-—防護(hù)時間大于檢測時間加上響應(yīng)時間，也就是在入侵者危害安全目標(biāo)之前就能夠被檢測到并及時處理.公式2：Et=Dt+Rt,如果Pt=0公式的前提是假設(shè)防護(hù)時間為0。這種假設(shè)對WebServer這樣的系統(tǒng)可以成立.Dt代表從入侵者破壞了安全目標(biāo)系統(tǒng)開始，系統(tǒng)能夠檢測到破壞行為所花費的時間.Rt代表從發(fā)現(xiàn)遭到破壞開始，系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時間。比如，對WebServer被破壞的頁面進(jìn)行恢復(fù).那么，Dt與Rt的和就是該安全目標(biāo)系統(tǒng)的暴露時間Et。針對于需要保護(hù)的安全目標(biāo)，如果Et越小系統(tǒng)就越安全。通過上面兩個公式的描述，實際上給出了安全一個全新的定義：“及時的檢測和響應(yīng)就是安全”“及時的檢測和恢復(fù)就是安全".而且，這樣的定義為安全問題的解決給出了明確的方向:提高系統(tǒng)的防護(hù)時間Pt，降低檢測時間Dt和響應(yīng)時間Rt。我們提出的信息安全全面解決方案以建立在國際標(biāo)準(zhǔn)（BS7799/ISO17799）上的安全服務(wù)方法論（PADIMEE）為基準(zhǔn)，該方法論通過對客戶的技術(shù)及業(yè)務(wù)需求的分析及對客戶信息安全的"生命周期"考慮，在七個核心方面體現(xiàn)信息系統(tǒng)安全的持續(xù)循環(huán)，并將自身業(yè)務(wù)和PADIMEE周期中的每個環(huán)節(jié)緊密地結(jié)合起來：策略(Policy)?評估(Assessment)?設(shè)計(Design)?執(zhí)行(Implementation)管理(Management)緊急響應(yīng)(EmergencyResponse)教育(Education)圖2—1信息安全的PADIMEE周期基于以上論述，我們將安全體系從以下三個方面展開：1、 策略框架——體現(xiàn)整個機構(gòu)的信息安全方針、標(biāo)準(zhǔn)、制度、規(guī)范、指南、用戶管理、應(yīng)急計劃、物理和環(huán)境安全等。2、 組織框架一一建立有效的信息安全組織，為組織中的人員賦予明確的角色和職責(zé),并實施全員的安全教育等.3、 技術(shù)框架一一對于信息安全技術(shù)根據(jù)其行為特征予以分類、研究、開發(fā)和實施.3.2策略和組織框架3.2.1策略框架安全策略是為發(fā)布、管理和保護(hù)敏感的信息資源而制定的一組法律、法規(guī)和措施的總合，是對信息資源使用、管理規(guī)則的正式描述,是企業(yè)內(nèi)所有成員都必須遵守的規(guī)則。在我們的信息安全模型中,安全策略處于核心位置。安全策略的內(nèi)容安全策略屬于網(wǎng)絡(luò)信息安全的上層建筑領(lǐng)域，是網(wǎng)絡(luò)信息安全的靈魂和核心.它為保證信息基礎(chǔ)的安全性提供了一個框架，提供了管理網(wǎng)絡(luò)安全性的方法，規(guī)定了各部門要遵守的規(guī)范及應(yīng)負(fù)的責(zé)任，使得信息網(wǎng)絡(luò)系統(tǒng)的安全有切實的依據(jù)。安全策略應(yīng)包含的內(nèi)容有：（1）保護(hù)的內(nèi)容和目標(biāo)：安全策略中要包含信息網(wǎng)絡(luò)系統(tǒng)中要保護(hù)的所有資產(chǎn)（包括硬件及軟件）以及每件資產(chǎn)的重要性和其要達(dá)到的安全程度，如可以對系統(tǒng)中所有的主機根據(jù)其重要性和功能范圍進(jìn)行分類，涉及到核心機密信息或提供關(guān)鍵服務(wù)的為A類；含有敏感信息或提供重要服務(wù)的為B類；能夠訪問A類和B類主機且不含敏感信息的為C類，不能夠訪問A類和B類主機；不含敏感信息且可以從外部訪問的為D類；可以從外部訪問但不能訪問A類、B類、C類和D類主機的為E類。這樣的劃分，既體現(xiàn)了各類資產(chǎn)的重要程度，又規(guī)定了它們的功能范圍。（2） 實施保護(hù)的方法：明確對信息網(wǎng)絡(luò)系統(tǒng)中的各類資產(chǎn)進(jìn)行保護(hù)所采用的具體的方法，如對于實體安全可以采用隔離、防輻射、防自然災(zāi)害的措施實現(xiàn)，對于數(shù)據(jù)信息可以采用授權(quán)訪問技術(shù)來實現(xiàn)，對于網(wǎng)絡(luò)傳輸可以采用安全隧道技術(shù)來實現(xiàn)，等等。另外還要明確采用的具體方法，如使用什么樣的算法和產(chǎn)品。（3） 明確的責(zé)任：維護(hù)信息與網(wǎng)絡(luò)系統(tǒng)的安全不僅僅是安全管理員的事，一個人或幾個人的能力畢竟是有限的，只有調(diào)動大家的積極性，集體參與才能真正有效地保護(hù)系統(tǒng)的安全。要想有效地組織大家協(xié)同工作，就必須明確每個人在安全保護(hù)工程中的責(zé)任和義務(wù)。（4） 破壞的響應(yīng)：對檢測到的入侵和破壞活動，相關(guān)責(zé)任人員采取預(yù)定的行動，盡快恢復(fù)系統(tǒng)的正常狀態(tài)。（5） 事故的處理：為了確保任務(wù)的落實，提高大家的安全意識和警惕性，必須規(guī)定相關(guān)的處罰條款，并組建監(jiān)督、管理機構(gòu)，以保證各項條款的嚴(yán)格執(zhí)行。安全策略的制定安全策略的制定過程是一個循序漸進(jìn)、不斷完善的過程，因為不可能指定一個策略就能夠完全符合、適應(yīng)某個信息系統(tǒng)的環(huán)境和需求,只能不斷地接近目標(biāo)。安全策略在制定時必須兼顧它的可理解性、技術(shù)上的可實現(xiàn)性、組織上的可執(zhí)行性。企業(yè)級安全策略可以從三個層面來考慮開發(fā)制定：（1）抽象安全策略它通常表現(xiàn)為一系列的自然語言描述的文檔,是企業(yè)根據(jù)自身的任務(wù)、面臨的威脅和風(fēng)險，以及法律、制度等制定出來限制用戶使用資源和使用方式的一組規(guī)定。全局自動安全策略它是抽象安全策略的子集和細(xì)化，指能夠由計算機、路由器等設(shè)備自動實施的安全措施的規(guī)則和約束,不能由計算機實施的安全策略由安全管理制度等其他物理環(huán)境安全手段實施。全局自動安全策略主要從安全功能的角度考慮，分為標(biāo)識與認(rèn)證、授權(quán)與訪問控制、信息保密與完整性、數(shù)字簽名與抗抵賴、安全審計、入侵檢測、響應(yīng)與恢復(fù)、病毒防范、容錯與備份等策略局部執(zhí)行策略它是分布在終端系統(tǒng)、中繼系統(tǒng)和應(yīng)用系統(tǒng)中的GASP的子集，網(wǎng)絡(luò)中所有實體LESP的總合是GASP的具體實施。局部可執(zhí)行的安全策略是由物理組件與邏輯組件所實施的形式化的規(guī)則,如口令管理策略、防火墻過濾規(guī)則、認(rèn)證系統(tǒng)中的認(rèn)證策略、資源的訪問控制列表、安全標(biāo)簽等組成。每一條具體的規(guī)則都是可以設(shè)置與實施的。信息安全策略應(yīng)該遵循國際標(biāo)準(zhǔn)。英國標(biāo)準(zhǔn)BS7799是一項在歐洲實行了數(shù)年的安全標(biāo)準(zhǔn),這套標(biāo)準(zhǔn)把信息安防策略分為10大部分，內(nèi)容覆蓋信息系統(tǒng)決策和制度制定工作所涉及的一切問題。國際標(biāo)準(zhǔn)化組織也已采納它為國際標(biāo)準(zhǔn)ISO17799:2000。BS7799/ISO17799的10個組成部分為：?商務(wù)活動減災(zāi)恢復(fù)計劃?系統(tǒng)訪問權(quán)限控制系統(tǒng)開發(fā)和維護(hù)物理和環(huán)境的安防考慮遵守法律和規(guī)定人為因素的安防考慮企業(yè)組織的安防考慮計算機和網(wǎng)絡(luò)管理資產(chǎn)分類和控制信息安全防范制度根據(jù)以上框架制定出來的規(guī)章制度將是一個符合企業(yè)環(huán)境的強有力的安全制度。從頭編寫安全策略是一項艱巨而又辛苦的工作，完全可以借鑒其他企業(yè)的經(jīng)驗和成果。目前最流行的工具是由CharlesCressonWood編寫的《InformationSecurityPoliciesMadeEasy》，它提供了幾種基本的安全制度框架，企業(yè)可以以它為基礎(chǔ)對自己的規(guī)章制度作進(jìn)一步的完善.安全策略的管理隨著網(wǎng)絡(luò)發(fā)展的規(guī)模越來越大、復(fù)雜性越來越高，對于在產(chǎn)品上部署實施安全策略，如果采用基于單臺設(shè)備的配置方法會耗費大量的時間和資源。怎樣才能在多系統(tǒng)和多應(yīng)用環(huán)境里實現(xiàn)集中式的授權(quán)機制呢？策略管理可以解決這個問題，它把應(yīng)用軟件、Web服務(wù)器、數(shù)據(jù)庫和操作系統(tǒng)等結(jié)合在了一起，形成了一個對用戶的優(yōu)先級進(jìn)行定義、管理和審計的機制。概括地講，策略管理把身份驗證和訪問控制這兩大塊功能都集中到一個中央式授權(quán)服務(wù)器里。其工作過程如下:用戶請求一項資源，應(yīng)用軟件把這個請求轉(zhuǎn)發(fā)給授權(quán)服務(wù)器；授權(quán)服務(wù)器負(fù)責(zé)核查該用戶都有權(quán)訪問哪些資源，同時把身份驗證信息轉(zhuǎn)發(fā)給LDAP服務(wù)器、RADIUS服務(wù)器或者Windows域服務(wù)器去;最后，授權(quán)服務(wù)器把核查出來的結(jié)果（準(zhǔn)許或者拒絕）返回給應(yīng)用軟件.其工作流程示意圖如下：圖2—2策略管理工作流程一個好的集中策略管理工具應(yīng)具有以下特征：?具有強大的圖形管理能力?具備基于瀏覽器的用戶界面能分析、解釋、部署和監(jiān)控安全策略狀態(tài)能驗證安全策略的有效性和完整性很多廠商提供策略管理工具，但多數(shù)廠商的策略管理產(chǎn)品需要與自己的信息安全產(chǎn)品集成在一起。獨立的第三方軟件有Netegrity公司的SiteMinder、Securant公司的ClearTrust和InternetDynamics公司的Conclave，這些產(chǎn)品有些是專門設(shè)計來與Web應(yīng)用軟件共同工作的，有些則能夠與任何應(yīng)用軟件配合工作，但其部署實施并非易事，因為需要給所有的應(yīng)用軟件增加能夠與授權(quán)服務(wù)器進(jìn)行通信的插件程序或應(yīng)用軟件程序設(shè)計接口，而這些工作并不是所有供應(yīng)商都支持的。3.2.2組織框架信息系統(tǒng)的安全是涉及到整個企業(yè)的大事，必須有專門的安全防范機構(gòu)和人員，同時制定各類人員的崗位責(zé)任制?；旧?信息安全人員可分為兩類：安全管理人員和安全審計人員.專職的安全管理人員具體負(fù)責(zé)本系統(tǒng)區(qū)域內(nèi)安全策略的實現(xiàn)，保證安全策略的長期有效；負(fù)責(zé)軟硬件的安裝維護(hù)、日常操作監(jiān)視、緊急情況下安全措施的恢復(fù)和風(fēng)險分析等；負(fù)責(zé)整個系統(tǒng)的安全，對整個系統(tǒng)的授權(quán)、修改、口令、違章報告、報警記錄處理、控制臺日志審閱。安全審計人員監(jiān)視系統(tǒng)運行情況，收集對系統(tǒng)資源的各種非法訪問事件，并對非法事件進(jìn)行記錄、分析和處理。對企業(yè)來說面臨的最大的安全挑戰(zhàn)也許是員工的安全意識。通常情況下，安全策略被視為”討厭的東西”,并為員工所漠視，因為他們覺得策略的約束性太大。BS7799將用戶的安全意識列為遵循標(biāo)準(zhǔn)的一項〃重要控制〃內(nèi)容，這不僅要求企業(yè)要有適當(dāng)?shù)陌踩呗?而且要求企業(yè)對員工進(jìn)行規(guī)則標(biāo)準(zhǔn)的教育。對員工的良好培訓(xùn)可以培養(yǎng)員工的安全意識，而現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展使得培訓(xùn)的手段更豐富多樣.通過公司的內(nèi)部網(wǎng)和其它基于網(wǎng)頁的文檔管理工具，企業(yè)可以方便地頒布新的安全策略并跟蹤員工的閱讀情況。安全策略可以從書面文件的形式轉(zhuǎn)換為動態(tài)的文檔形式，這樣員工可以更為方便地對它們進(jìn)行閱讀。還可通過一些軟件以在線的〃用戶測試題”來衡量員工的對策略的理解程度。這些工具為企業(yè)提供一個集中的web頁面管理他們的安全策略，并將分析報告提交給管理人員和檢查人員。3.3技術(shù)框架我們的目標(biāo)是開發(fā)多層次的縱深安全防護(hù)體系，即使某個層次被突破了，后面還有幾個層次可以繼續(xù)為珍貴的信息資產(chǎn)提供保護(hù)，同時為入侵檢測和響應(yīng)提供寶貴的時間。這種多層次的防護(hù)體系，從網(wǎng)絡(luò)邊界的安全防護(hù)措施開始，逐層深入直到所有的服務(wù)器和主機及其上的應(yīng)用系統(tǒng)被保護(hù)起來。目前的信息安全技術(shù)可以歸結(jié)到以下五個安全行為（IAARC）：?鑒別和認(rèn)證Identification&Authentication?訪問控制AccessControl?審計和跟蹤AuditTrail?響應(yīng)和恢復(fù)Response&Recovery?內(nèi)容安全ContentSecurity圖2-3IAARC技術(shù)框架3.3.1鑒別和認(rèn)證安全的服務(wù)對象通?？梢猿橄鬄樵L問的主體和被訪問的客體.I&A鑒別和認(rèn)證是通過對IT系統(tǒng)中的主客體進(jìn)行鑒別，并且給這些主客體賦予恰當(dāng)?shù)臉?biāo)志、標(biāo)簽、證書等。主要的處理都是針對實體進(jìn)行的.用一個動作來描述鑒別和認(rèn)證的操作特點就是“貼標(biāo)簽Labeling”?鑒別和認(rèn)證就是為了解決主體的信用問題和客體的信任問題。這些問題的解決就是通過各種形式的標(biāo)簽來實現(xiàn)的。鑒別和認(rèn)證賦予主客體的“標(biāo)簽"常常在訪問控制和審計跟蹤中被使用,對于主客體的鑒別是訪問控制做出判斷的依據(jù)?？梢詺w結(jié)到鑒別和認(rèn)證類型的典型技術(shù)包括：序號技術(shù)技術(shù)說明1用戶名/口令機制最典型、最經(jīng)濟的鑒別機制，在各種系統(tǒng)中缺省使用這個機制2SmartCard鑒別機制強鑒別機制3生物鑒別機制4PKI公開密鑰機制通過一對不相同的加解密密鑰，結(jié)合密鑰管理體系完成對于持有密鑰人的鑒別和認(rèn)證功能5IP地址和域名IP地址和域名作為鑒別訪問者和被訪問者的標(biāo)志，雖然比較容易冒用和篡改，但在一個安全要求一般的網(wǎng)絡(luò)中，可以接受6硬件序列號通過硬件設(shè)備中的板塊、部件的一些序列號組成一個鑒別體。如：CPU序列號、網(wǎng)卡MAC地址???表2—1I＆A的典型技術(shù)3.3.2訪問控制訪問控制都是以ReferenceMonitor的形式工作，或者說都是類似網(wǎng)關(guān)、接口和邊界的形式。圖2-3RM模型一個有效的ReferenceMonitor（RM機制）必須要滿足二個條件：1） 不可旁路：主體對客體的訪問不能繞過RM,都必須經(jīng)過RM機制的控制和檢查.2） 抗篡改：RM應(yīng)當(dāng)是一個抗攻擊的體系，不能被攻破;RM以及配合的規(guī)則庫應(yīng)當(dāng)被正確地配置;另外該機制的特權(quán)管理、規(guī)則庫等不能被侵入。由于訪問控制采用的是RM機制,為了滿足“不可旁路"的要求，所有訪問和業(yè)務(wù)流程都必須通過訪問控制AccessControl這個關(guān)口才能進(jìn)行正常工作。因此從機制上就可能帶來單點故障。因此為了保證整個系統(tǒng)的可用性和可靠性，需要運用HA高可用技術(shù)來進(jìn)行補充（屬于響應(yīng)和恢復(fù)部分的技術(shù)）.由于RM機制的訪問控制系統(tǒng)有抗篡改和正確配置的要求，但是這方面僅僅依靠其自身是很難完成的，因此一般通過審計和跟蹤技術(shù)來補充訪問控制者方面的不足。可以歸結(jié)到訪問控制類型的典型技術(shù)包括：序號技術(shù)技術(shù)說明1ACL訪問控制列表廣泛應(yīng)用的控制方法，如路由器中的ACL就是典型的例子2主機操作系統(tǒng)加固尋找可能旁路的路徑然后通過補丁和配置將其彌補；加強操作系統(tǒng)自身的強壯性不被一般的攻擊破壞;檢查各項規(guī)則的合理性和有效性等3Firewall防火墻典型的網(wǎng)絡(luò)隔離和網(wǎng)絡(luò)訪問控制方法和工具4VPN虛擬專用網(wǎng)結(jié)合運用了防火墻技術(shù)、加密技術(shù)、密鑰管理技術(shù)等方面結(jié)合的安全信道系統(tǒng)，這個安全信道可以理解為兩個網(wǎng)絡(luò)區(qū)域之間的一個接口和管道5應(yīng)用系統(tǒng)訪問控制通過調(diào)用底層的操作系統(tǒng)訪問控制功能或數(shù)據(jù)庫管理系統(tǒng)訪問控制功能；一些比較通用的應(yīng)用系統(tǒng)，可以通過專用的應(yīng)用系統(tǒng)訪問控制系統(tǒng)完成其功能???表2-2訪問控制的典型技術(shù)審計和跟蹤審計和跟蹤的主要實現(xiàn)機制是通過Standby/Sniffer類型的工作方式實現(xiàn).這種機制一般情況下并不干涉和直接影響主業(yè)務(wù)流程,而是對主業(yè)務(wù)進(jìn)行記錄、檢查、監(jiān)控等功能來完成以審計要求Accountability、完整性Integrity等要求為主的安全功能。審計和跟蹤需要鑒別和認(rèn)證功能的配合，以便有效地控制被審計對象的識別粒度和準(zhǔn)確性。比如一般網(wǎng)絡(luò)上，我們可能進(jìn)行