信息安全 安全方案设计.doc
12页
信息安全概论 第16章 安全方案设计第16章 安全方案设计学习和研究安全技术的根本目的是保护信息网络资源的安全,因此,面对具体的信息网络应用环境,如何合理地采用安全技术和产品,构造和实施安全方案,就成了本课程的归宿 基于这样的指导意思,本章介绍安全方案设计的一般原理和方法,并给出一个典型方案实例,以引导读者学以致用本章的内容主要是基于作者的经验写就的,仅是一家之言,有主观的一面,希望读者在批判中学习,在应用中发展16.1. 安全方案设计方法安全方案设计与其他方案设计一样,都分为需求分析和方案设计两个大的阶段,不同的是各阶段需要分析和设计的内容不同在安全需求分析阶段,主要需要进行资产分析、漏洞分析、威胁分析和需要遵照的标准和政策分析;而在方案设计阶段要考察能满足需求的技术、产品及相应的工程规划,最后形成可实施的方案如图16.12. 方案设计阶段 信息资产:文件、数据 网络资产:设备、结构资产分析漏洞分析威胁分析标准、政策析技术选择产品选择分析工程规划实施方案分析1. 需求分析阶段16.1.1 需求分析16.1.2.1. 资产分析 安全方案总是以保护一定价值的资产为目的。
因此资产的价值决定了方案设计时考虑的投入强度一般情况下,不可能用大于资产价值的保护代价去保护资产目前普遍接受的看法认为,安全投入占资产价值的10-20%是比较合理的问题是,资产的价值如何确定,尤其是信息资产的价值量化就更模糊目前,资产价值的分析有两种指标,一种价格指标,一种是价值指标前者可以量化,后者可以分级在信息网络中,网络资源(硬件、软件)的投入是有价格的,但信息资源却很难用价格来衡量,如,很难说一份绝密文件值多少钱因此,在资产分析阶段,应该将网络资源和信息资源分别估算网络资源的价格可以初略地认为等同于合同价格,容易确定关键是信息资源的价值需要探讨在美国的信息安全保障框架( IATF)中,将信息资产分为V1-V5五个级别,起分级的依据是信息遭受破坏后的影响程度V1-V5定义如表16.1所示 表16.1 IATF信息资产分级信息级别分级依据V1对信息保护策略的违反造成的负面影响和结果可以忽略V2对信息保护策略的违反会对安全、保险、金融状况、组织的基础设施造成 不良影响/或小的破坏V3:对信息保护策略的违反回造成一定的破坏V4对信息保护策略的违反会严重破坏安全、保险、金融状况、组织的基础设施V5:对信息保护策略的违反回造成异常严重的破坏我国将涉密信息分为绝密、机密、秘密、内部和公开五个级别,对各级别的重要程度和扩散范围做出了详细规定。
虽然对商业信息没有明确的分级依据,但资产拥有者可以根据信息的重要程度和信息被攻击后可能引发的损失程度将信息进行分级基于这样的认识,我们可以将信息价值划分为五级(其他分级数也可以,但太细的分级可操作性较差),不凡称之为分别成为不重要、一般重要、重要、很重要、特别重要并分别赋值1-5这样可以将资产价值分析总结为表16.2 表16.2 资产价值分析表资产类别资产价值价值评估依据网络资产价格建设合同价(采购、开发、实施、服务、维护等)信息资产1不重要2一般重要3重要4很重要5特别重要根据以上资产分析依据,就可以给资产赋值从而成为方案设计的一个量化依据16.1.2.2. 漏洞分析在分析了资产价值之后,就要对信息网络的脆弱性进行分析评估如果信息网络没有漏洞可供攻击者利用,则认为信息网络是安全的然而,实际的信息网络总有脆弱点存在而且有些脆弱点是是无法避免的,如,很多服务端口必须开通,为合法访问者提供服务的同时也为攻击者提供了通路漏洞扫描的目的就是确认信息系统具体存在什么漏洞这种,通过制定信息系统存在的漏洞的类别和风险级别来指导采取的防范措施漏洞扫描的有关内容在“脆弱性分析”一章一做了介绍。
但在具体应用时,应制定相应的脆弱性分析结果表,如表16.3所示 表16.3 漏洞分析结果样表被评估对象扫描工具漏洞名称/编号漏洞描述漏洞风险级别*应对措施WWW服务器ISS Scnaner安装补丁包Email服务器数据库服务器路由器 …* 表中漏洞风险级别分3级: 1-低 2-中 3-高该表的条目可根据需要自行增减,样表16.3只是描述了主要的要素,其中,被评估对象可以是网络设备(如路由器),也可以是主机设备(如服务器),可以是操作系统,也可以是具体应用;扫描工具有多种,根据实际情况选用;漏洞名称和编号常采用CVE公布的规范,有些尚未列入CVE的漏洞可暂给一个临时编号;漏洞描述部分是对响应漏洞的情况简单的说明,如,存在什么版本的系统中等;风险级别是反映漏洞可能导致的危险的评价,初略地分为高、中、低三个级别;应对措施是指已供认的措施(如安装补丁程序)和本方案中必须自行提出的防范措施等漏洞评估要定期进行16.1.2.3. 威胁分析安全方案的最终是为了阻止威胁,保护信息安全,因此,在方案设计中,必须先分析被保护系统面临的威胁种类和来源,提出相应的技术措施。
有关威胁分析的一般知识在“安全脆弱性分析”一章中已介绍这里从实际应用的角度进行方法分析针对具体的应用系统,必须先划定保护的边界,然后分析来自保护边界内外的威胁,做出相应的威胁分析和对策表,如表16.4所示表16.4 威胁分析和对策表被保护边界可能面临的威胁可能造成的损失应对措施Internet接口对外服务接口PSTN拨号接口Extranet接口WAN接口子网接口重要服务器…在表中,可以根据被保护网络的具体状况,分析保护边界和威胁,然后采取保护措施16.1.2.4. 标准和政策分析信息安全既是技术问题,也是管理问题作为技术问题,必须遵照相应的技术标准,而作为管理问题,则要符合国家的相关政策因此在方案设计时进行标准和政策分析,制定相应的表格,如表16.5和16.6 表16.5 标准分析表标准名称标准类别标准主要要求方案采纳条款GB17859评估标准将信息系统安全分为5级采用第3级要求CC评估标准安全功能和保障方案设计采用PP/ST模式 ISO17799安全管理对具体的系统管理提出了技术要求参照技术要点… 表16.6 政策要求分析表政策名称政策类别政策主要要求方案采纳条款安全产品管理办法产品资质安全产品必须有销售许可证遵照商用密码产品管理条例密码政策采用国产算法、硬件实现遵照 ISO17799安全管理对具体的系统管理提出了技术要求参照技术要点…16.1.2 方案设计16.1.2.1. 设计原则信息安全方案设计除了遵循一般信息系统方案设计的原则(如先进性、可扩展性等)外,结合信息安全系统自身的特点,还应该遵循以下原则、l 逻辑透明分层原则:安全体系的设计应从具体的物理网和业务网中独立出来,安全网是保护物理网和业务网的一个逻辑网。
因此安全网自身应该是完备的安全网的建设应结合物理网和业务网的具体结构,但又不能拘泥于物理设备和业务类别的限制l 最小安全实体保护原则:安全方案设计中,最重要的是确认威胁产生的根源针对受保护系统的结构和功能状况,根据重要性的不同,将其划分为不同的安全域对不同安全域采取不同的安全策略和措施,把内部不再有安全隐患存在的区域称为最小安全实体,并认为在最小安全实体内部是安全的最小安全实体可能是一个网络、一个子网、一台主机,也可能只是一个目录、一个文件总之,在最小安全实体内部的所有访问都是安全的,而来自最小安全实体之外的访问就可能存在危险因此对来自最小安全实体外部的访问应受到安全措施的控制l 产品与技术分离原则:安全方案的设计不是安全产品的简单应用,更不能局限于现有产品的功能,也不能将不必要的产品堆砌到方案中去安全方案应该根据实际需求,确定技术总目标,然后,为了实现这一目标,选取所需的安全产品在现有安全产品无法满足需求时,考虑开发必要的设备的可能性如果没有可用产品,也无法在现有条件下完成开发,则必须做出规划,或调整方案,或限制应用范围总之,不能因产品的限制设计出不安全的方案,又不能为了产品而增加投入。
而必须以客观需求和技术可行性为依据16.1.2.2. 设计内容安全方案设计的技术和产品部分主要是功能设计和性能设计两个方面而方案实施设计则包括项目管理、进度规划、技术培训、工程验收、维护升级等16.1.2.2.1. 功能设计安全功能的设计是安全方案设计的核心安全功能设计应从安全功能的技术要求、安全功能支撑产品、安全功能实现层次和单元等方面来考虑常见的技术和产品功能设计如表16.7在具体设计时,根据系统的结构选择相应的安全目标,然后选择安全功能及其实现技术、实现位置、所用协议,最后选择可用的支撑产品 表16.7 常见安全技术和产品功能设计表安全目标安全功能实现位置协议或原理安全产品保密性完整性抗否认性加密数字签名消息验证链路层L2TP链路加密机网络层IPSEC网络加密机、VPN传输层SSL系统支持应用层PGP, SMIME, SET,专用协议等加密机,加密卡,加密软件系统安全访问控制网络层包过滤,地址转换防火墙、VPN应用层、支撑系统访问代理防火墙应用系统访问控制操作系统、数据库、专用开发认证网络层IPSecVPN传输层信息认证系统应用层、支撑系统PKI、Kerberos、CHAP、RADIUS等CA证书系统、专用开发、操作系统、数据库等审计网络层IP、时间、通断防火墙应用层、支撑系统登录、访问、连接审计操作系统日志、数据库日志、专用审计日志系统可用性防病毒应用层病毒查杀防病毒软件病毒网关入侵检测网络、系统、应用入侵监测日志分析入侵检测系统漏洞扫描网络、系统、应用漏洞扫描系统…16.1.2.2.2. 性能设计性能设计是安全方案的重要环节,不合理的安全方案经常导致系统性能明显下降甚至瘫痪。
一般的安全方案性能设计主要考虑的要素和指标如表16.8所示表16.8 安全性能设计应用环境指 标允许范围主要影响因素主要影响产品网络吞吐率下降不超过10%加密、过滤、代理防火墙、VPN等延时小于50ms最大允许并发连接数>2。
