信息系统安全管理
信息安全管理
信息安全基本知识
信息安全定义
信息安全强调信息(数据)本身的安全属性,主要包括以下内容。
• 秘密性(Confidentiality): 信息不被未授权者知晓的属性。
• 完整性(Integrity): 信息是正确的、真实的、未被篡改的、完整无缺的属性。
• 可用性(Availability): 信息可以随时正常使用的属性。
针对信息系统,安全可以划分为以下四个层次:设备安全、数据安全、内容安全、行为安全。
信息安全属性
信息安全管理的内容
信息系统安全
信息系统安全的概念
信息系统安全属性
信息系统安全管理体系
信息系统安全管理的内容
技术体系
管理体系
物理安全管理
计算机机房与设施安全
技术控制
检测监视系统
人员进/出机房和操作权限范围控制
环境与人身安全
电磁泄漏防护
人员安全管理
安全组织
岗位安全管理
离岗人员安全管理
应用系统安全管理
应用系统安全管理实施
应用系统运行中的安全管理
系统运行安全审查目标
系统运行安全与保密的层次构成
系统运行安全检查与记录
系统运行管理制度
应用软件维护安全管理
应用软件维护活动的类别
应用软件维护的安全管理目标
应用软件维护的工作项
应用软件维护的执行步骤
信息安全等级保护
信息安全保护等级
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级:
- 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
- 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
- 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
- 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
- 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
计算机网络系统安全保护能力等级
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)将计算机信息系统分为以下 5 个安全保护等级。
- 第一级 用户自主保护级。
通过隔离用户与数据,使用户具备自主安全保护的能力。它为用户提供可行的手段,保护用户和用户信息,避免其他用户对数据的非法读写与破 坏,该级适用于普通内联网用户。
- 第二级 系统审计保护级。
实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
- 第三级 安全标记保护级。
具有系统审计保护级的所有功能。此外,还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误。该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
- 第四级 结构化保护级。
建立于一个明确定义的形式安全策略模型之上,要求将第三级系统中的自主和强制访间控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部月、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
- 第五级 访问验证保护级。
满足访问控制器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算机在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和现实时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
信息系统的安全保护等级由两个定级要素决定,等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度
其余安全
信息加密,解密与常用算法
1. 信息加密概念
加密前的原始数据称为明文,加密后的数据称为密文,从明文到密文的过程称为加密(Encryption)。
合法收信者接收到密文后,实行与加密变换相逆的变换, 去掉密文的伪装恢复出明文,这一过程称为解密(Decryption)。
加密技术包括两个元素:算法和密钥。
对称加密以数据加密标准(Data Encryption Standard, DES)算法为典型代表,非对称加密通常以 RSA(Rivest Shamir Adleman)算法为代表。
2. 对称加密技术
对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫作对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难。
3. 非对称加密技术
公开密钥密码的基本思想是将传 统密码的密钥 K 一分为二,分为加密钥 Ke和解密钥 Kd, 用加密钥 Ke控制加密,用解密钥 Kd控制解密,而且由计算复杂性确保由加密钥Ke 在计算上不能推出解密钥氏。这样,即使是将 Ke 公开也不会暴露 Kd, 也不会损害密码的安全。于是便可将 Ke公开,而只对 Kd保密。由于 Ke是公开的,只有 Kd是保密的,所以便从根本上克服了传统密码在密钥分配上的困难。当前公开密钥密码有基于大合数因子分解困难性的 RAS 密码类和基于离 散对数问题困难性的 ELGamal 密码类。
4. Hash 函数的概念
Hash 函数将任意长的报文 M 映射为定长的 Hash 码 h。Hash 函数的目的就是要产生文件、报文或其他数据块的”指纹”—-Hash 码。Hash 函数可提供保密性、报文认证以及数字签名功能。
5. 数字签名的概念
签名是证明当事者的身份和数据真实性的一种信息。在以信息化环境下,以网络为信息传输基础的事物处理中,事物处理各方应采用电子形式的签名,即数字签名。
完善的数字签名体系应满足以下 3 个条件:
(1)签名者事后不能抵赖自己的签名。
(2)任何其他人不能伪造签名。
(3)如果当事的双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪。
利用 RSA 密码可以同时实现数字签名和数据加密。
6. 认证的概念
认证又称鉴别、确认,它是证实某事是否名副其实或是否有效的一个过程。认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如截取、窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
认证系统常用的参数有口令、标识符、密钥、信物、智能卡、指纹、视网纹等。
认证和数字签名技术都是确保数据真实性的措施,但两者有着明显的区别:
(1)认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性,而数字签名中用于验证签名的数据是公开的。
(2)认证允许收发双方互相验证其真实性,不准许第三者验证,而数字签名允许收发双方和第三者都能验证。
(3)数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力,而认证则不一定具备。
信息系统安全
1. 计算机设备安全 保证计算机设备的运行安全,是信息系统安全最重要的内容之一。计算机设备安全主要包括计算机实体及其信息的完整性、机密性、抗否认性、可用性、可审计性、可靠性等几个关键因素。
计算机设备安全包括:1)物理安全、2)设备安全、3)存储介质安全、4)可靠性技术。
2. 网络安全
常见的网络威胁包括:
(1)网络监听。
(2)口令攻击。
(3)拒绝服务攻击(Dos)。
(4)漏洞攻击,例如利用 WEP 安全漏洞和 OpenSSL 安全漏洞实施攻击。
(5)僵尸网络(Botnet)。
(6)网络钓鱼(Phishing)。
(7)网络欺骗,主要有 ARP 欺骗、DNS 欺骗、IP 欺骗、Web 欺骗、Email 欺骗等。
(8)网站安全威胁,主要有 SQL (Structured Query Language)注入攻击、跨站攻击、旁注攻击等。
网络安全防御技术
1)防火墙。
防火墙是一种较早使用、实用性很强的网络安全防御技术,它阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术。在策略中涉及的网络访问行为可以实施有效管理,而策略之外的网络访问行为则无法控制。防火墙的安全策略由安全规则表示。
2)入侵检测与防护
入侵检测与防护的技术主要有两种;入侵检测系统和入侵防护系统。
入侵检测系统(IDS)注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。因此绝大多数 IDS 系统都是被动的。
入侵防护系统(IPS) 则倾向于提供主动防护,注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
3)VPN
VPN(虚拟专用网络),它是依靠 ISP(Internet 服务提供商)和其他 NSP(网络服务提供商),在公用网络中建立专用的、安全的数据通信通道的技术。VPN 可以认为是加密和认证技术在网络传输中的应用。
4)安全扫描
5)网络蜜罐技术
蜜罐技术是一种主动防御技术,是入侵检测技术的一个重要发展方向,也是一个“诱捕”攻击者的陷阱。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。攻击者往往在蜜罐上浪费时间,延缓对真正目标的攻击。
3. 操作系统安全
针对操作系统的安全威胁按照行为方式划分,通常有下面四种:
(1)切断,这是对可用性的威胁。
(2)截取,这是对机密性的威胁。
(3)篡改,这是对完整性的攻击。
(4)伪造,这是对合法性的威胁。
按照安全威胁的表现形式来分,操作系统面临的安全威胁有以下几种:
(1)计算机病毒。
(2)逻辑炸弹。
(3)特洛伊木马
(4)后门。
(5)隐蔽通道。
4. 数据库系统安全
一般而言,数据库安全涉及以下这些问题:
(1)物理数据库的完整性。
(2)逻辑数据库的完整性。
(3)元素安全性。
(4)可审计性。
(5)访问控制。
(6)身份认证。
(7)可用性。
(8)推理控制。
(9)多级保护。
5. 应用系统安全
当前 Web 面临的主要威胁包括:可信任站点的湍洞;浏览器和浏览器插件的漏洞;
终端用户的安全策略不健全;携带恶意软件的移动存储设备;网络钓鱼;僵尸网络;带 有键盘记录程序的木马等。
Web 威胁防护技术主要包括:
1) Web 访问控制技术。
2)单点登录(Single Sign-On, SSO)技术。
3)网页防篡改技术。
4) Web 内容安全
1. 信息系统安全策略的概念与内容
信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等。
安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
2. 建立安全策略需要处理好的关系
1)安全与应用的依存关系
2)风险度的观点
3)适度安全的观点
4)木桶效应的观点
3. 信息系统安全策略设计原则
8 个总原则
(1)主要领导人负责原则。 (2)规范定级原则。 (3)依法行政原则。 (4)以人为本原则。 (5)注重效费比原则。 (6)全面防范、突出重点原则。 (7)系统、动态原则。 (8)特殊的安全管理原则。
10 个特殊原则
(1)分权制衡原则。 (2)最小特权原则。 (3)标准化原则。 (4)用成熟的先进技术原则。 (5)失效保护原则。 (6)普遍参与原则。 (7)职责分离原则。 (8)审计独立原则。 (9)控制社会影响原则。 (10)保护资源和效率原则。
信息安全系统工程
1. 信息安全系统工程概述
信息系统业界又叫作信息应用系统、信息应用管理系统、管理信息系统。信息安全系统服务于业务应用信息系统并与之密不可分,但又不能混为一谈。
信息系统工程即建造信息系统的工程,包括两个独立且不可分割的部分,即信息安全系统工程和业务应用信息系统工程。 信息安全系统工程是指为了达到建设好信息安全系统的特殊需要而组织实施的工程。它是信息系统工程的一部分。
2. 信息安全系统
随着网络逐层扩展,安全的内涵也就更丰富,达到具有认证、权限、完整、加密和不可否认五大要素,也叫作“安全空间”的五大属性。
3. 信息安全系统架构体系
信息安全系统大体划分为三种架构体系:MIS+S系统、S-MIS系统和S2-MIS系统。
- MIS+S 系统(Management Information System+Security)系统为“初级信息安全保障系统”或“基本信息安全保障系统”。
- S-MIS 系统架构(Security- Management Information System)系统为“标准信息安全保障系统”。
- S2-MIS 系统架构(Super Security-Management Information System)系统为“超安全的信息安全保障系统”。
4. 信息安全系统工程基础
信息安全系统工程活动离不开以下相关工程。
(1)硬件工程。 (2)软件工程。 (3)通信及网络工程。 (4)数据存储和灾备工程。 (5)系统工程。 (6)测试工程。 (7)密码工程。 (8)企业信息化工程。
信息安全系统工程应该吸纳安全管理的成熟规范部分,这些安全管理包括:
(1)物理安全。 (2)计算机安全。 (3)网络安全。 (4)通信安全。 (5)输入/输出产品的安全。 (6)操作系统安全。 (7)数据库系统安全。 (8)数据安全。 (9)信息审计安全。 (10)人员安全。 (11)管理安全。 (12)辐射安全。
5. 信息安全系统工程体系结构
信息安全系统工程能力成熟度模型(Information Security System Engineering Capability Maturity Model,ISSE-CMM)是一种衡量信息安全系统工程实施能力的方法,是使用面向工程过程的一种方法。
ISSE 将信息安全系统工程实施过程分解为:工程过程、风险过程和保证过程三个基本的部分。
PKI 公开密钥基础设施
1. 公钥基础设施(PKI)基本概念
公钥基础设施 PKI(Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间邮戳服务、相关信息标准、操作规范等。
认证中心:CA (Certification Authority)是 PKI 的核心。它是公正、权威、可信的第三方网上认证机构。
在 PKI/CA 架构中,一个重要的标准就是 X.509 标准,数字证书就是按照 X.509 标准制作的。
2. 数字证书的生命周期:
阶段一:安全需求确定。
阶段二:证书登记。
阶段三:证书分发
阶段四:证书撤回。
阶段五:证书更新。
阶段六:证书审计。
3. 信任模型
X.509 规范中给出了适于我们目标的定义:如果实体 A 认为实体 B 严格地按 A 所期望的那样行动,则 A 信任 B。因此,信任涉及假设、预期和行为。这明确地意味着信任是不可能被定量侧量的,信任是与风险相联系的,而且信任的建立不可能总是全自动的。然而信任模型的概念是有用的,因为它显示了 PKI 中信任最初是怎样建立的,允许人们对基础结构的安全性以及被这种结构所强加的种种限制进行更详尽的推理,以确定 PKI的可信任程度。
4. 应用模式
(1)电子商务。 (2)电子政务。 (3)网上银行。 (4)网上证券。 (5)其他应用。
PMI 权限(授权)管理基础设施
PMI (Privilege Management Infrastructure)即权限管理基础设施或授权管理基础设施。PMI 授权技术的核心思想是以资源管理为核心,将对资源的访问控制权统一交由授权机构进行管理,即由资源的所有者来进行访问控制管理。
1. PMI 与 PKI 的区别
PMI 主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。
PKI 主要进行身份鉴别,证明用户身份,即“你是谁”。
2. 属性证书定义
对一个实体权限的绑定是由一个被数字签名了的数据结构来提供的,这种数据结构称为属性证书,由属性证书管理中心签发并管理。一些应用使用属性证书来提供基于角色的访问控制。
3. 访问控制
访问控制是为了限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机信息应用系统在合法范围内使用;访问控制机制决定用户以及代表一定用户利益的程序能做什么及做到什么程度。
访问控制有两个重要过程:
(1)认证过程,通过“鉴别(authentication) ”来检验主体的合法身份。
(2)授权管理,通过“授权(authorization)”来赋予用户对某项资源的访问权限。
访问控制机制可分为强制访问控制(Mandatory Access Control,MAC)和自主访问控制(Discretiona1y Access Control,DAC)两种。
- 强制访问控制:系统独立于用户行为强制执行访问控制, 用户不能改变他们的安全级别或 对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。
- 自主访问控制:允许对象的属主来制定针对该对象的保护策略。通常 DAC 通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作。 这样可以非常灵活地对策略进行调整。
4. 基于角色的访问控制
基于角色的访问控制 RBAC(Role-Based Access Control)技术,有效地克服了传统访问控制技术中存在的不足之处。
用户不能自主地将访问权限授给别的用户,这是 RBAC 与 DAC 的根本区别所在。
基于角色的访问控制中,角色由应用系统的管理员定义。
5. PMI 支撑体系
目前我们使用的访问控制授权方案,主要有以下 4 种。
(1)DAC 自主访问控制方式:该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。
(2)ACL (Access Control List)访问控制列表方式:该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。如果某个用户不在访问控制列表中,则不允许该用户访问这个资源。
(3)MAC 强制访问控制方式,该模型在军事和安全部门中应用较多,目标具有一个包含等级的安全标签(如:不保密、限制、秘密、机密、绝密);访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标:例如允许访问秘密级信息,这时,秘密级、限制级和不保密级的信息是允许访问的,但机密和绝密级信息不允许访问。
(4)RBAC 基于角色的访问控制方式:该模型首先定义一些组织内的角色,如局长、科长、职员;再根据管理规定给这些角色分配相应的权限,最后对组织内的每个人根据具体业务和职位分配一个或多个角色。
信息安全审计
1. 安全审计概念
安全审计(Security Audit)是记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,并帮助分析安全事故产生的原因。 安全审计是信息安全保障系统中的一个重要组成部分,是落实系统安全策略的重要机制和手段,通过安全审计,识别与防止计算机网络系统内的攻击行为,追查计算机网络系统内的泄密行为。安全审计具体包括两方面的内容:
(1)采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断。
(2)对信息内容和业务流程进行审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
因此信息安全审计系统被形象地比喻为“黑匣子”和“监护神”。
安全审计功能:
1)安全审计自动响应功能。 2)安全审计数据生成功能。 3)安全审计分析功能。 4)安全审计浏览功能。
2. 建立安全审计系统
建设安全审计系统的主体方案一般包括利用网络安全入侵监测预警系统实现网络与主机信息监测审计;对重要应用系统运行情况的审计和基于网络旁路监控方式安全审计等。
3. 分布式审计系统
分布式审计系统由审计中心、审计控制台和审计 Agent 组成。
- 审计中心是对整个审计系统的数据进行某中存储和管理,并进行应急响应的专用软件,它基于数据库平台,采用数据库方式进行审计数据管理和系统控制,并在无人看守情况下长期运行。
- 审计控制台是提供给管理员用于对审计数据进行查阅,对审计系统进行规则设置,实现报警功能的界面软件,可以有多个审计控制台软件同时运行。
- 审计 Agent 主要可以分为网络监听型 Agent、系统嵌入型 Agent、主动信息获取型 Agent 等。