信息安全体系结构与信息安全策略课件.ppt
132页
信息安全体系结构信息安全体系结构和信息安全策略和信息安全策略授课人:肖敏授课人:肖敏 课时:课时:专业:信息安全、网络工程专业:信息安全、网络工程 年级:年级:2010 主要内容主要内容信息安全策略信息安全策略信息安全体系结构信息安全体系结构 信息安全体系结构信息安全体系结构 规划与设计规划与设计 信息安全体系结构信息安全体系结构 v建立和应用安全体系结构的目的和意义建立和应用安全体系结构的目的和意义v信息安全体系建立的流程信息安全体系建立的流程vOSI安全体系安全体系 建立和应用安全体系结构的目的和意义建立和应用安全体系结构的目的和意义v将普遍性的系统科学和系统工程理论应用到信息系统将普遍性的系统科学和系统工程理论应用到信息系统安全的实际中,形成满足安全需求的安全体系,避免安全的实际中,形成满足安全需求的安全体系,避免安全短板安全短板v从管理、技术、组织等多个方面完整、准确地落实安从管理、技术、组织等多个方面完整、准确地落实安全策略全策略v做到风险、安全及成本的平衡做到风险、安全及成本的平衡§安全需求和安全策略应尽可能的制约所预见的系统风安全需求和安全策略应尽可能的制约所预见的系统风险及其变化,两个原则:险及其变化,两个原则:n将风险降低到可接受程度。
将风险降低到可接受程度n威胁攻击信息系统的代价大于获得的利益威胁攻击信息系统的代价大于获得的利益 §为系统提供为系统提供经济经济、、有效有效的安全服务,保障的安全服务,保障系统安全系统安全运运行行 信息安全体系建立的流程信息安全体系建立的流程安全需求安全需求安全需求安全需求安全风险安全风险安全风险安全风险安全体系安全体系安全体系安全体系评估评估再进行再进行对抗对抗指导指导导出导出系统资源系统资源系统资源系统资源降低降低 OSIOSI参考模型参考模型参考模型参考模型7 7应用层应用层应用层应用层6 6表示层表示层表示层表示层5 5会话层会话层会话层会话层4 4传输层传输层传输层传输层3 3网络层网络层网络层网络层2 2链路层链路层链路层链路层1 1物理层物理层物理层物理层安全机制安全机制安全机制安全机制加加加加密密密密数数数数字字字字签签签签名名名名访访访访问问问问控控控控制制制制数数数数据据据据完完完完整整整整性性性性数数数数据据据据交交交交换换换换业业业业务务务务流流流流填填填填充充充充路路路路由由由由控控控控制制制制公公公公证证证证安全服务安全服务安全服务安全服务鉴别服务鉴别服务鉴别服务鉴别服务访问控制访问控制访问控制访问控制数据完整性数据完整性数据完整性数据完整性数据保密性数据保密性数据保密性数据保密性抗抵赖抗抵赖抗抵赖抗抵赖OSI安全体系安全体系 nOSI安全体系结构安全体系结构§五类安全服务五类安全服务§安全机制安全机制§安全服务和安全机制的关系安全服务和安全机制的关系§OSI层中的服务配置层中的服务配置§安全体系的安全管理安全体系的安全管理nOSI安全体系框架安全体系框架§技术体系技术体系§组织机构体系组织机构体系§管理体系管理体系OSI安全体系安全体系 n鉴别(或认证,鉴别(或认证,authentication ))Ø对等实体鉴别 由(N)层提供这种服务时,将使(N+1)层实体确信与之打交道的对等实体正是他所需要的(N+1)层实体。
这种服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证实一个或多个实体的身份使用这种服务可以确信(仅仅在使用时间内)一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权的重演实施单向或双向对等实体鉴别是可能的,可以带有效期检验,也可以不带这种服务能够提供各种不同程度的保护OSI安全体系安全体系 n鉴别(或认证,鉴别(或认证,authentication ))Ø数据原发性鉴别 确认所接收到数据的来源是所要求的这种服务当由(N)层提供时,将使(N+1)实体确信数据来源正是所要求的对等(N+1)实体 数据源鉴别服务对数据单元的来源提供确认这种服务对数据单元的重复篡改不提供保护OSI安全体系安全体系 n访问控制访问控制Ø针对越权使用资源和非法访问的防御措施Ø访问控制大体可分为自主访问控制和强制访问控制两类:其实现机制可以是基于访问控制属性的访问控制表(或访问控制路),或基于“安全标签”、用户分类和资源分档的多级访问控制等Ø访问控制安全服务主要位于应用层、传输层和网络层它可以放在通信源、通信目标或两者之间的某一部分Ø这种访问控制要与不同的安全策略协调一致OSI安全体系安全体系 n数据机密性数据机密性§针对信息泄露、窃听等被动威胁的防御措施。
可细分为如下 3种 (1)信息保密•信息保密指的是保护通信系统中的信息或网络数据库数据•而对于通信系统中的信息,又分为面向连接保密和无连接保密和无连接保密连接保密:连接机密性这种服务为一连接上的全部用户数据保证其机密性无连接机密服务为单个无连接的SDU中的全部用户数据保证其机密性OSI安全体系安全体系 v数据机密性数据机密性 (2)数据字段保密数据字段保密•保护信息中被选择的部分数据段;这些字段或处于连接的用户数据中,或为单个无连接的SDU中的字段 (3)业务流保密业务流保密•业务流保密指的是防止攻击者通过观察业务流,如信源、信宿、转送时间、频率和路由等来得到敏感的信息OSI安全体系安全体系 n数据完整性数据完整性§针对非法地篡改和破坏信息、文件和业务流而设置的防范措施,以保证资源的可获得性这组安全服务又细分为如下3种:(1)基于连接的数据完整性•这种服务为连接上的所有用户数据提供完整性,可以检测整个SDU序列中的数据遭到的任何篡改、插人、删除或重放同时根据是否提供恢复成完整数据的功能,区分为有恢复的完整性服务和无恢复的完整性服务OSI安全体系安全体系 n数据完整性数据完整性(2)基于数据单元的数据完整性• 这种服务当由(N)层提供时,对发出请求的(N+1)实体提供数据完整性保证。
它是对无连接数据单元逐个进行完整性保护另外,在一定程度上也能提供对重放数据的单元检测 (3)基于字段的数据完整性基于字段的数据完整性• 这种服务为有连接或无连接通信的数据提供被选字段的完整性服务,通常是确定被选字段是否遭到了篡改OSI安全体系安全体系 n抗抵赖抗抵赖§针对对方进行抵赖的防范措施,可用来证实已发生过的操作这组安全服务可细分为如下 3种 (1)数据源发证明的抗抵赖,它为数据的接收者提供数据来源的证据,这将使发送者谎称未发送过这些数据或否认他的内容的企图不能得逞 (2)交付证明的抗抵赖,它为数据的发送者提供数据交付证据,这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不能得逞 (3)通信双方互不信任,但对第三方(公证方)则绝对信任,于是依靠第三方来证实已发生的操作OSI安全体系安全体系 v为了实现上述为了实现上述5 5种安全服务,种安全服务,ISO 7408-2ISO 7408-2中制定了中制定了支持安全服务的支持安全服务的8 8种安全机制:种安全机制: (1)(1)加密机制加密机制(encipherment mechanisms)(encipherment mechanisms)。
(2)(2)数字签名机制数字签名机制(digital signature mechanisms)(digital signature mechanisms) (3)(3)访问控制机制访问控制机制(access control mechanisms)(access control mechanisms) (4)(4)数据完整性机制数据完整性机制(data integrity mechanisms)(data integrity mechanisms) (5) (5)鉴别交换机制鉴别交换机制(authentication mechanisms)(authentication mechanisms) (6)(6)通信业务填充机制通信业务填充机制(traffic padding mechanisms)(traffic padding mechanisms) (7) (7)路由控制机制路由控制机制(Routing control mechanisms)(Routing control mechanisms) (8)(8)公证机制公证机制(notarization mechanisms)(notarization mechanisms)。
OSI安全体系安全体系 11001110011100111001010001010001000101001010100100101010010001001001000100100100000100000000010000001100111001110011100101000101000100010100101010010010101001000100100100010010010000010000000001000000明文明文明文明文加密加密加密加密解密解密解密解密明文明文明文明文·#·#¥¥¥¥^&(%#^&(%#%$%^&*(!%$%^&*(!#$%*((_%$#$%*((_%$@#$%%^*@#$%%^*&**)%$#@&**)%$#@保证数据在传输途中保证数据在传输途中保证数据在传输途中保证数据在传输途中不被窃取不被窃取不被窃取不被窃取发起方发起方发起方发起方接受方接受方接受方接受方密文密文密文密文①①加密机制加密机制 BobBobAliceAlice假冒的假冒的假冒的假冒的“ “BobBob” ”假冒VPNinternetinternet101011011010110111101001111010011001010010010100私钥签名私钥签名私钥签名私钥签名验证签名,验证签名,验证签名,验证签名,证实数据来源证实数据来源证实数据来源证实数据来源②②数字签名机制数字签名机制 总总总总 部部部部分支机构分支机构分支机构分支机构A A分支机构分支机构分支机构分支机构B B移动用户移动用户移动用户移动用户A A移动用户移动用户移动用户移动用户B B黑黑黑黑 客客客客100100101100100101边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护边界防护100100101100100101Internet 对网络的对网络的对网络的对网络的访问控制访问控制访问控制访问控制1010010110100101③③访问控制机制访问控制机制 HostC HostD Access list 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass1010010101规则匹配成功规则匹配成功n基于源IP地址n基于目的IP地址n基于源端口n基于目的端口n基于时间③③访问控制机制访问控制机制n基于用户n基于流量n基于文件n基于网址n基于MAC地址 发起方发起方发起方发起方接受方接受方接受方接受方10010001100100010101001001010010100001001000010000001101000011011000101010001010100010101000101010010001100100010101001001010010100001001000010000001101000011011000101010001010HashHashHashHash100010101000101010010001100100010101001001010010100001001000010000001101000011011000101010001010是否一样?是否一样?是否一样?是否一样?防止数据被篡改防止数据被篡改防止数据被篡改防止数据被篡改④④数据完整性机制数据完整性机制 UsernamePasswordPermission郭德纲郭德纲123*abcRliweiy8990R Wguli8668R Eyuhaibo8965R W EServer End user Username=Username=郭德纲郭德纲Password=Password=123*abc123*abc 发起访问请求发起访问请求验证用户名与口令回应访问请求,允许访问回应访问请求,允许访问验证验证通过通过基于口令、用户名的基于口令、用户名的身份认证身份认证⑤⑤鉴别交换机制鉴别交换机制((1)) UsernameFeaturePermissionchenaf1234Rliweiy8990R Wguli8668R EServer Server Workstation Workstation 传送特征信息,发起访问请求验证用户特征信息回应访问请求,允许访问验证通过指纹识别器读取特征信息获得特征信息基于主体特征的身份认证基于主体特征的身份认证⑤⑤鉴别交换机制鉴别交换机制((2)) UsernameInformation Permissionchenaf1234Rliweiy8990R Wguli8668R Eyuhaibo8965R W EServer Server Workstation Workstation 传送身份验证信息,发起访问请求验证用户身份回应访问请求,允许访问验证通过读卡器输入PIN号码插入IC卡读取用户信息获得用户信息基于基于IC卡卡+PIN码的身份认证码的身份认证⑤⑤鉴别交换机制鉴别交换机制((3)) 用户证书服务器证书开始安全通讯基于基于CA证书的身份认证证书的身份认证⑤⑤鉴别交换机制鉴别交换机制((4)) ⑥⑥通信业务填充机制通信业务填充机制 v通信业务填充机制能用来提供各种不同级通信业务填充机制能用来提供各种不同级别的保护,对抗别的保护,对抗通信业务分析通信业务分析。
v这种机制只有在通信业务填充受到这种机制只有在通信业务填充受到机密服机密服务保护务保护时才是有效的时才是有效的 ⑦⑦路由选择机制路由选择机制终端某时刻前,路由为A-B-D服务器某时刻后,路由为A-C-D路由器B路由器A路由器C路由器D ⑧⑧公证机制公证机制CA中心证书发布服务器证书签发服务器用户证书服务器证书开始数字证书签名验证开始数字证书签名验证查找共同可信的CA查找共同可信的CA验证通过开始安全通讯 机制机制机制机制服务服务服务服务加密加密加密加密数字数字数字数字签名签名签名签名访问访问访问访问控制控制控制控制数据完数据完数据完数据完整性整性整性整性鉴别鉴别鉴别鉴别交换交换交换交换通信业通信业通信业通信业务填充务填充务填充务填充路由路由路由路由控制控制控制控制公公公公证证证证对等实体鉴别对等实体鉴别对等实体鉴别对等实体鉴别Y YY YY Y数据原发鉴别数据原发鉴别数据原发鉴别数据原发鉴别Y YY Y访问控制服务访问控制服务访问控制服务访问控制服务Y Y连接保密性连接保密性连接保密性连接保密性Y YY Y无连接保密性无连接保密性无连接保密性无连接保密性Y YY Y选择字段保密性选择字段保密性选择字段保密性选择字段保密性Y Y通信业务流保密性通信业务流保密性通信业务流保密性通信业务流保密性Y YY YY Y带恢复的连接完整性带恢复的连接完整性带恢复的连接完整性带恢复的连接完整性Y YY Y不带恢复的连接完整性不带恢复的连接完整性不带恢复的连接完整性不带恢复的连接完整性Y YY Y选择字段连接完整性选择字段连接完整性选择字段连接完整性选择字段连接完整性Y YY Y无连接完整性无连接完整性无连接完整性无连接完整性Y YY YY Y选择字段无连接完整性选择字段无连接完整性选择字段无连接完整性选择字段无连接完整性Y YY YY Y有数据原发证明的抗抵有数据原发证明的抗抵有数据原发证明的抗抵有数据原发证明的抗抵赖赖赖赖Y YY YY Y有交付证明的抗抵赖有交付证明的抗抵赖有交付证明的抗抵赖有交付证明的抗抵赖Y YY YY Y OSI层中的服务配置层中的服务配置安全服务安全服务协协 议议 层层1234567对等实体鉴别对等实体鉴别YYY数据源发鉴别数据源发鉴别YYY访问控制服务访问控制服务YYY连接机密性连接机密性YYYYYY无连接机密性无连接机密性YYYYY选择字段机密性选择字段机密性Y通信业务流机密性通信业务流机密性YYY带恢复的连接完整性带恢复的连接完整性YY不带恢复的连接完整性不带恢复的连接完整性YY选择字段连接完整性选择字段连接完整性YYY无连接完整性无连接完整性Y选择字段无连接完整性选择字段无连接完整性YYY带数据源发证明的抗抵赖带数据源发证明的抗抵赖Y带数交付证明的抗抵赖带数交付证明的抗抵赖Y OSI层中的服务配置层中的服务配置——说明说明v应用进程本身可以提供安全服务;应用进程本身可以提供安全服务;v表中各项的重要性存在相当大的差别;表中各项的重要性存在相当大的差别;v网络层中安全服务的位置对将被提供的服网络层中安全服务的位置对将被提供的服务的性质与范围有很大影响;务的性质与范围有很大影响;v表示层包含许多支持应用层提供安全服务表示层包含许多支持应用层提供安全服务的安全设施的安全设施 OSI层中的服务配置层中的服务配置——加密位置的选取加密位置的选取v大多数应用将不要求在多个层上加密,加密层大多数应用将不要求在多个层上加密,加密层的选取主要取决于下述的几个主要问题:的选取主要取决于下述的几个主要问题:§如果要如果要求全通信业务流保密性求全通信业务流保密性,那么将选取,那么将选取物理层物理层加密加密,或传输安全手段,或传输安全手段( (例如例如, , 适当的扩频技术适当的扩频技术) )。
足够的物理安全,可信任的路由选择以及在中继上足够的物理安全,可信任的路由选择以及在中继上的类似机制能够满足所有的机密性要求的类似机制能够满足所有的机密性要求§如果要求如果要求高粒度保护高粒度保护( (即对每个应用联系可能提供即对每个应用联系可能提供不同的密钥不同的密钥) ),和,和抗抵赖或选择字段保护抗抵赖或选择字段保护,那么将,那么将选取选取表示层加密表示层加密在表示层中的加密能提供不带恢在表示层中的加密能提供不带恢复的完整性,抗抵赖,以及所有的机密性复的完整性,抗抵赖,以及所有的机密性 OSI层中的服务配置层中的服务配置——加密位置的选取加密位置的选取v大多数应用将不要求在多个层上加密,加大多数应用将不要求在多个层上加密,加密层的选取主要取决于下述的几个主要问密层的选取主要取决于下述的几个主要问题:题:§如果希望的是所有如果希望的是所有端系统到端系统通信的简单端系统到端系统通信的简单块保护块保护,或希望有一个,或希望有一个外部的加密设备外部的加密设备,那么,那么将选取将选取网络层加密网络层加密这也能够提供保密性与不这也能够提供保密性与不带恢复的完整性带恢复的完整性§如果要求如果要求带恢复的完整性带恢复的完整性,同时又具有,同时又具有高粒度高粒度保护保护,那么将选取,那么将选取运输层加密运输层加密。
这能提供保密这能提供保密性,带恢复的完整性或不带恢复的完整性性,带恢复的完整性或不带恢复的完整性§不推荐在数据链路层上加密不推荐在数据链路层上加密 OSI安全管理安全管理vOSI安全管理涉及与安全管理涉及与OSI体系的安全管理以体系的安全管理以及及OSI管理的安全两个方面管理的安全两个方面 vOSI安全管理涉及到安全管理涉及到OSI安全服务的管理与安全服务的管理与安全机制的管理安全机制的管理这样的管理要求给这些这样的管理要求给这些服务与机制分配管理信息,并收集与这些服务与机制分配管理信息,并收集与这些服务和机制的操作有关的信息服务和机制的操作有关的信息例如,密例如,密钥的分配,设置行政管理强加的安全选择钥的分配,设置行政管理强加的安全选择参数,报告正常的与异常的安全事件参数,报告正常的与异常的安全事件(审计审计跟踪跟踪),以及服务的激活与停活等以及服务的激活与停活等 OSI安全管理安全管理v安全管理信息库安全管理信息库(SMIB)存储开放系统所需存储开放系统所需的与安全有关的全部信息,是一个分布式的与安全有关的全部信息,是一个分布式信息库SMIB能有多种实现办法,如能有多种实现办法,如:数据数据表、文卷、嵌入实开放系统软件或硬件中表、文卷、嵌入实开放系统软件或硬件中的数据或规则等。
的数据或规则等v管理协议管理协议,特别是安全管理协议,以及传,特别是安全管理协议,以及传送这些管理信息的通信信道存在着抗攻击送这些管理信息的通信信道存在着抗攻击的脆弱性所以应加以特别关心以确保管的脆弱性所以应加以特别关心以确保管理协议与信息受到保护,不致削弱为通常理协议与信息受到保护,不致削弱为通常的通信实例提供的安全保护的通信实例提供的安全保护 OSI安全管理安全管理vOSI安全管理活动包括安全管理活动包括§系统安全管理系统安全管理§安全服务管理安全服务管理§安全机制管理安全机制管理§OSIOSI管理的安全管理的安全 v系统安全管理涉及总的系统安全管理涉及总的OSI环境安全方面的环境安全方面的管理属于这一类安全管理的典型活动包管理属于这一类安全管理的典型活动包括:括:§总体安全策略管理总体安全策略管理§与别的管理功能的相互作用与别的管理功能的相互作用§安全服务管理和安全机制管理的交互作用安全服务管理和安全机制管理的交互作用§事件处理管理事件处理管理:远程报告安全事件,维护触发事件:远程报告安全事件,维护触发事件报告的阈值报告的阈值OSI安全管理安全管理 v安全审计管理安全审计管理:选择需要记录和采集的事件;:选择需要记录和采集的事件;授予或取消对所选事件进行审计跟踪日志记录授予或取消对所选事件进行审计跟踪日志记录的能力;所选审计记录的远程采集;准备安全的能力;所选审计记录的远程采集;准备安全审计报告。
审计报告v安全恢复管理安全恢复管理:维护对可能的安全事故作出反:维护对可能的安全事故作出反应的规则;远程报告对系统安全的明显违反;应的规则;远程报告对系统安全的明显违反;安全管理者的交互作用安全管理者的交互作用OSI安全管理安全管理 v安全服务管理涉及特定安全服务的管理,可能安全服务管理涉及特定安全服务的管理,可能执行的典型活动包括:执行的典型活动包括:§为特定安全服务决定与指派目标安全保护;为特定安全服务决定与指派目标安全保护;§指定与维护选择规则,用以选取为提供所需的安全指定与维护选择规则,用以选取为提供所需的安全服务而使用的特定安全机制;服务而使用的特定安全机制;§对那些需要事先取得管理同意的可用安全机制进行对那些需要事先取得管理同意的可用安全机制进行协商协商§通过适当的安全机制管理功能调用特定的安全机制;通过适当的安全机制管理功能调用特定的安全机制;§与别的安全服务管理功能和安全机制管理功能的交与别的安全服务管理功能和安全机制管理功能的交互作用OSI安全管理安全管理 v安全机制管理涉及的是特定安全机制的管理,安全机制管理涉及的是特定安全机制的管理,典型的安全机制管理功能包括:典型的安全机制管理功能包括:§密钥管理:包括密钥生成;密钥拷贝;密钥分发。
密钥管理:包括密钥生成;密钥拷贝;密钥分发密钥管理:包括密钥生成;密钥拷贝;密钥分发密钥管理:包括密钥生成;密钥拷贝;密钥分发§加密管理:与密钥管理的交互作用;建立密码参加密管理:与密钥管理的交互作用;建立密码参加密管理:与密钥管理的交互作用;建立密码参加密管理:与密钥管理的交互作用;建立密码参数;密码同步数;密码同步数;密码同步数;密码同步§数字签名管理:与密钥管理的交互作用;建立密数字签名管理:与密钥管理的交互作用;建立密数字签名管理:与密钥管理的交互作用;建立密数字签名管理:与密钥管理的交互作用;建立密码参数与密码算法;在通信实体与可能有的第三码参数与密码算法;在通信实体与可能有的第三码参数与密码算法;在通信实体与可能有的第三码参数与密码算法;在通信实体与可能有的第三方之间使用协议方之间使用协议方之间使用协议方之间使用协议OSI安全管理安全管理 v 访问控制管理:安全属性访问控制管理:安全属性(包括口令包括口令)的分配;的分配;对访问控制表或权力表进行修改;在通信实对访问控制表或权力表进行修改;在通信实体与其他提供访问控制服务的实体之间使用体与其他提供访问控制服务的实体之间使用协议。
协议v 数据完整性管理:与密钥管理的交互作用;数据完整性管理:与密钥管理的交互作用;建立密码参数与密码算法;在通信的实体间建立密码参数与密码算法;在通信的实体间使用协议使用协议v 认证管理:认证信息分配;在通信的实体与认证管理:认证信息分配;在通信的实体与其他提供认证服务的实体之间使用协议其他提供认证服务的实体之间使用协议OSI安全管理安全管理 v通信业务填充管理:维护通信业务填充规则,通信业务填充管理:维护通信业务填充规则,包括预定的数据率、指定随机数据率、指定包括预定的数据率、指定随机数据率、指定报文特性、规则的改变报文特性、规则的改变v路由选择控制管理:确定那些按特定准则被路由选择控制管理:确定那些按特定准则被认为是安全可靠或可信任的链路或子网络认为是安全可靠或可信任的链路或子网络v公证管理:分配有关公证的信息、在公证方公证管理:分配有关公证的信息、在公证方与通信的实体之间使用协议、与公证方的交与通信的实体之间使用协议、与公证方的交互作用 OSI安全管理安全管理 v所有所有OSI管理功能的安全管理功能的安全以及以及OSI管理信息管理信息的通信安全的通信安全是是OSI安全的重要部分安全的重要部分v这一类安全管理将借助适当的这一类安全管理将借助适当的OSI安全服务安全服务与机制以确保与机制以确保OSI管理协议与信息获得足够管理协议与信息获得足够的保护。
的保护OSI安全管理安全管理 OSI安全体系框架安全体系框架v依据信息安全的多重保护机制,信息系统依据信息安全的多重保护机制,信息系统安全的安全的总需求总需求是是物理安全、网络安全、信物理安全、网络安全、信息内容安全、应用系统安全息内容安全、应用系统安全的总和,安全的总和,安全的的最终目标最终目标是确保信息的机密性、完整性、是确保信息的机密性、完整性、可用性、可控性和抗抵赖性,以及信息系可用性、可控性和抗抵赖性,以及信息系统主体统主体(包括用户、团体、社会和国家包括用户、团体、社会和国家)对信对信息资源的控制息资源的控制 OSI安全体系框架安全体系框架v从信息系统安全总需求来看,其中的网络从信息系统安全总需求来看,其中的网络安全、信息内容安全等可以通过安全、信息内容安全等可以通过OSI安全体安全体系提供的系提供的安全服务、安全机制及其管理安全服务、安全机制及其管理获获得,但所获得的这些安全特性只解决了与得,但所获得的这些安全特性只解决了与通信和互连通信和互连有关的安全问题,而涉及与有关的安全问题,而涉及与信信息系统构成组件及其运行环境安全有关息系统构成组件及其运行环境安全有关的的其他问题其他问题(如物理安全、系统安全等如物理安全、系统安全等)还需要还需要从从技术措施和管理措施技术措施和管理措施两个方面来考虑解两个方面来考虑解决方案。
决方案 OSI安全体系框架安全体系框架v完整的信息系统安全体系框架由完整的信息系统安全体系框架由技术体系、技术体系、组织机构体系和管理体系组织机构体系和管理体系共同构建共同构建 OSI安全体系框架安全体系框架 OSI安全体系框架安全体系框架——技术体系技术体系v技术体系是全面提供信息系统安全保护的技术保技术体系是全面提供信息系统安全保护的技术保技术体系是全面提供信息系统安全保护的技术保技术体系是全面提供信息系统安全保护的技术保障系统OSIOSI安全体系安全体系安全体系安全体系通过通过通过通过技术管理技术管理技术管理技术管理将将将将技术机制技术机制技术机制技术机制提供的安全服务,在提供的安全服务,在提供的安全服务,在提供的安全服务,在OSIOSI协议层上,为数据、信协议层上,为数据、信协议层上,为数据、信协议层上,为数据、信息内容、通信连接提供机密性、完整性和可用性息内容、通信连接提供机密性、完整性和可用性息内容、通信连接提供机密性、完整性和可用性息内容、通信连接提供机密性、完整性和可用性保护,为通信实体、通信连接、通信进程提供身保护,为通信实体、通信连接、通信进程提供身保护,为通信实体、通信连接、通信进程提供身保护,为通信实体、通信连接、通信进程提供身份鉴别、访问控制、审计和抗抵赖保护,这些份鉴别、访问控制、审计和抗抵赖保护,这些份鉴别、访问控制、审计和抗抵赖保护,这些份鉴别、访问控制、审计和抗抵赖保护,这些安安安安全服务分别作用在全服务分别作用在全服务分别作用在全服务分别作用在通信平台、网络平台和应用平通信平台、网络平台和应用平通信平台、网络平台和应用平通信平台、网络平台和应用平台台台台上。
上v环境保障和系统运行的安全体系是与环境保障和系统运行的安全体系是与环境保障和系统运行的安全体系是与环境保障和系统运行的安全体系是与OSIOSI安全体系安全体系安全体系安全体系不同的技术保障体系该体系由不同的技术保障体系该体系由不同的技术保障体系该体系由不同的技术保障体系该体系由物理安全技术和物理安全技术和物理安全技术和物理安全技术和系统安全技术系统安全技术系统安全技术系统安全技术两类构成两类构成两类构成两类构成 OSI安全体系框架安全体系框架——技术体系技术体系v物理安全技术物理安全技术§通过物理机械强度标准的控制使信息系统的建通过物理机械强度标准的控制使信息系统的建筑物、机房条件及硬件设备条件满足信息系统筑物、机房条件及硬件设备条件满足信息系统的的机械防护安全机械防护安全;;§通过对电力供应设备以及信息系统组件的通过对电力供应设备以及信息系统组件的抗电抗电磁干扰和电磁泄露磁干扰和电磁泄露性能的选择性措施达到两个性能的选择性措施达到两个安全目的:安全目的:• •一是信息系统组件具有一是信息系统组件具有抗击外界电磁辐射或噪声干抗击外界电磁辐射或噪声干扰能力扰能力而保持正常运行;而保持正常运行;• •二是控制信息系统组件二是控制信息系统组件电磁辐射造成的信息泄露电磁辐射造成的信息泄露,,必要时还应从建筑物和机房条件的设计开始就采取必要时还应从建筑物和机房条件的设计开始就采取必要措施,以使电磁辐射指标符合国家相应的安全必要措施,以使电磁辐射指标符合国家相应的安全等级要求。
等级要求 OSI安全体系框架安全体系框架——技术体系技术体系v 系统安全技术系统安全技术§通过对信息系统与安全相关组件的通过对信息系统与安全相关组件的操作系统的操作系统的安全安全性选择措施或自主控制,使信息系统安全性选择措施或自主控制,使信息系统安全组件的软件工作平台达到相应的安全等级组件的软件工作平台达到相应的安全等级• •一方面避免操作平台自身的脆弱性和漏洞引发的风一方面避免操作平台自身的脆弱性和漏洞引发的风险险• •另一方面阻塞任何形式的非授权行为对信息系统安另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权全组件的入侵或接管系统管理权 OSI安全体系框架安全体系框架-技术体系技术体系协议层次协议层次协议层次协议层次应用层应用层应用层应用层传输层传输层传输层传输层网络层网络层网络层网络层链路层链路层链路层链路层物理层物理层物理层物理层安全服务安全服务安全服务安全服务(安全机制)(安全机制)(安全机制)(安全机制)安安安安全全全全管管管管理理理理数数数数字字字字签签签签名名名名访访访访问问问问控控控控制制制制数数数数据据据据完完完完整整整整性性性性数数数数据据据据交交交交换换换换业业业业务务务务流流流流填填填填充充充充路路路路由由由由控控控控制制制制公公公公证证证证系统构成单元系统构成单元系统构成单元系统构成单元物理环境物理环境物理环境物理环境系统平台系统平台系统平台系统平台通信平台通信平台通信平台通信平台网络平台网络平台网络平台网络平台应用平台应用平台应用平台应用平台安安安安全全全全管管管管理理理理加加加加密密密密电电电电磁磁磁磁辐辐辐辐射射射射控控控控制制制制抗抗抗抗电电电电磁磁磁磁干干干干扰扰扰扰鉴鉴鉴鉴别别别别访访访访问问问问控控控控制制制制数数数数据据据据完完完完整整整整性性性性数数数数据据据据保保保保密密密密性性性性抗抗抗抗抵抵抵抵赖赖赖赖审审审审计计计计可可可可靠靠靠靠性性性性可可可可用用用用性性性性安安全全管管理理安安全全管管理理 组织机构体系组织机构体系 v组织机构体系是信息系统安全的组织保障组织机构体系是信息系统安全的组织保障系统,由机构、岗位和人事三个模块构成系统,由机构、岗位和人事三个模块构成一个体系。
一个体系v机构的设置分为三个层次:决策层、管理机构的设置分为三个层次:决策层、管理层和执行层层和执行层§决策层决策层是信息系统主体单位决定信息系统安全是信息系统主体单位决定信息系统安全重大事宜的领导机构重大事宜的领导机构,由单位主管信息工作的,由单位主管信息工作的负责人为首,有行使国家安全、公共安全、机负责人为首,有行使国家安全、公共安全、机要和保密职能的部门负责人和信息系统主要负要和保密职能的部门负责人和信息系统主要负责人参与组成责人参与组成 组织机构体系组织机构体系 v管理层管理层是决策层的是决策层的日常管理机关日常管理机关,根据决,根据决策机构的决定全面规划并协调各方面力量策机构的决定全面规划并协调各方面力量实施信息系统的安全方案,制定、修改安实施信息系统的安全方案,制定、修改安全策略,处理安全事故,设置安全相关的全策略,处理安全事故,设置安全相关的岗位v执行层执行层是在管理层协调下是在管理层协调下具体负责具体负责某一个某一个或某几个特定安全事务的一个逻辑群体,或某几个特定安全事务的一个逻辑群体,这个群体分布在信息系统的各个操作层或这个群体分布在信息系统的各个操作层或岗位上 组织机构体系组织机构体系 v岗位岗位是信息系统安全管理机关根据系统安是信息系统安全管理机关根据系统安全需要设定的全需要设定的负责某一个或某几个安全事负责某一个或某几个安全事务的职位务的职位,岗位在系统内部可以是具有垂,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列,一个直领导关系的若干层次的一个序列,一个人可以负责一个或几个安全岗位,但人可以负责一个或几个安全岗位,但一个一个人不得同时兼任安全岗位所对应的系统管人不得同时兼任安全岗位所对应的系统管理或具体业务岗位理或具体业务岗位。
因此,岗位并不是一因此,岗位并不是一个机构,它由管理机构设定,由人事机构个机构,它由管理机构设定,由人事机构管理 组织机构体系组织机构体系 v人事机构人事机构是根据管理机构设定的岗位,对是根据管理机构设定的岗位,对岗位上在职、待职和离职的雇员进行岗位上在职、待职和离职的雇员进行素质素质教育、业绩考核和安全监管教育、业绩考核和安全监管的机构v人事机构的全部管理活动在国家有关安全人事机构的全部管理活动在国家有关安全的的法律、法规、政策规定范围内法律、法规、政策规定范围内依法进行依法进行 管理体系管理体系 v管理是信息系统安全的灵魂管理是信息系统安全的灵魂信息系统安全信息系统安全的管理体系由的管理体系由法律管理、制度管理和培训管法律管理、制度管理和培训管理理三个部分组成三个部分组成§法律管理是根据相关的国家法律、法规对法律管理是根据相关的国家法律、法规对信息系信息系统主体及其与外界关联行为的规范和约束统主体及其与外界关联行为的规范和约束§法律管理具有对信息系统主体行为的强制性约束法律管理具有对信息系统主体行为的强制性约束力,并且有明确的管理层次性力,并且有明确的管理层次性§与安全有关的法律法规是信息系统安全的与安全有关的法律法规是信息系统安全的最高行最高行为准则为准则 管理体系管理体系 v制度管理制度管理是信息系统内部依据系统必要的是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列国家、团体的安全需求制定的一系列内部内部规章制度规章制度,主要内容包括:,主要内容包括:§安全管理和执行机构的行为规范安全管理和执行机构的行为规范§岗位设定及其操作规范岗位设定及其操作规范§岗位人员的素质要求及行为规范岗位人员的素质要求及行为规范§内部关系与外部关系的行为规范等内部关系与外部关系的行为规范等v制度管理是法律管理的形式化、具体化,制度管理是法律管理的形式化、具体化,是法律、法规与管理对象的接口。
是法律、法规与管理对象的接口 管理体系管理体系 v培训管理培训管理是确保信息系统安全的是确保信息系统安全的前提前提培训管理的内容包括:训管理的内容包括:§法律法规培训法律法规培训§内部制度培训内部制度培训§岗位操作培训岗位操作培训§普遍安全意识普遍安全意识§与岗位相关的重点安全意识相结合的培训与岗位相关的重点安全意识相结合的培训§业务素质与技能技巧培训等业务素质与技能技巧培训等v培训的对象几乎包括信息系统有关的所有培训的对象几乎包括信息系统有关的所有人员人员(不仅仅是从事安全管理和业务的人员不仅仅是从事安全管理和业务的人员) 应用层传输层网际层网络接口层认证服务访问控制数据完整性数据保密性不可抵赖性数据加密数字签名访问控制数据完整性实体认证流量填充路由控制安全机制安全机制TCP/IP参考模型参考模型安全服务安全服务TCP/IPTCP/IP安全体系安全体系 OSI安全体系结构到安全体系结构到TCP/IP协议层的映射协议层的映射 协议层协议层协议层协议层安全服务安全服务安全服务安全服务网络接口层网络接口层网络接口层网络接口层IPIPIPIP层层层层传输层传输层传输层传输层应用层应用层应用层应用层鉴别鉴别鉴别鉴别对等实体鉴别对等实体鉴别对等实体鉴别对等实体鉴别Y YY YY Y数据源发鉴别数据源发鉴别数据源发鉴别数据源发鉴别Y YY YY Y访问控制访问控制访问控制访问控制访问控制服务访问控制服务访问控制服务访问控制服务Y YY YY Y保密性保密性保密性保密性连接机密性连接机密性连接机密性连接机密性Y YY YY YY Y无连接机密性无连接机密性无连接机密性无连接机密性Y YY YY YY Y选择字段机密性选择字段机密性选择字段机密性选择字段机密性Y Y通信业务流机密性通信业务流机密性通信业务流机密性通信业务流机密性Y YY YY Y完整性完整性完整性完整性带恢复的连接完整性带恢复的连接完整性带恢复的连接完整性带恢复的连接完整性Y YY Y不带恢复的连接完整性不带恢复的连接完整性不带恢复的连接完整性不带恢复的连接完整性Y YY YY Y选择字段连接完整性选择字段连接完整性选择字段连接完整性选择字段连接完整性Y Y无连接完整性无连接完整性无连接完整性无连接完整性Y YY YY Y选择字段无连接完整性选择字段无连接完整性选择字段无连接完整性选择字段无连接完整性Y Y抗抵赖抗抵赖抗抵赖抗抵赖带数据源发证明的抗抵赖带数据源发证明的抗抵赖带数据源发证明的抗抵赖带数据源发证明的抗抵赖Y Y带交付证明的抗抵赖带交付证明的抗抵赖带交付证明的抗抵赖带交付证明的抗抵赖Y Y 协议层安全协议主要实现的安全策略应用层应用层S-HTTP(安全超文本(安全超文本传输传输协议)协议)信息加密、数字签名、数据完整性验证信息加密、数字签名、数据完整性验证SETSET(安全电子交易)(安全电子交易)信息加密、身份认证、数字签名、数据完整性信息加密、身份认证、数字签名、数据完整性验证验证PGP(( Pretty Good Privacy ))信息加密、数字签名、数据完整性验证信息加密、数字签名、数据完整性验证S/MIME(安全的多功(安全的多功能能Internet电子邮件扩充)电子邮件扩充)信息加密、数字签名、数据完整性验证信息加密、数字签名、数据完整性验证Kerberos信息加密、身份认证信息加密、身份认证SSH(安全外壳协议安全外壳协议) )信息加密、身份认证、数据完整性验证信息加密、身份认证、数据完整性验证传输层传输层SSL/TLSSSL/TLS(( 安全套接字安全套接字层层/ / 安全传输层安全传输层 ))信息加密、身份认证、数据完整性验证信息加密、身份认证、数据完整性验证SOCKS(防火墙安全会防火墙安全会话转换协议话转换协议)访问控制、穿透防火墙访问控制、穿透防火墙TCPTCP//IPIP参参考模型的安全考模型的安全协议协议分分层 协议层安全协议主要实现的安全策略网际层网际层IPSec(( IPIP层安全协议层安全协议 ))信息加密、身份认证、数据完整性验证信息加密、身份认证、数据完整性验证网络接口层网络接口层PAP(密码认证协议)(密码认证协议)身份认证身份认证CHAPCHAP(挑战握手认证协议)(挑战握手认证协议)身份认证身份认证PPTPPPTP(点对点隧道协议)(点对点隧道协议)传输隧道传输隧道L2F(第二层转发协议)(第二层转发协议)传输隧道传输隧道L2TPL2TP(第二层隧道协议)(第二层隧道协议)传输隧道传输隧道WEP(有线等效保密(有线等效保密))信息加密、访问控制、数据完整性验证信息加密、访问控制、数据完整性验证WPA(( Wi-Fi网络保护访问)网络保护访问)信息加密、身份认证、访问控制、数据信息加密、身份认证、访问控制、数据完整性验证完整性验证TCPTCP//IPIP参参考模型的安全考模型的安全协议协议分分层 信息安全策略信息安全策略v信息安全策略的目的和意义信息安全策略的目的和意义v什么是信息安全策略什么是信息安全策略v信息安全策略的层次信息安全策略的层次v信息安全策略的制定信息安全策略的制定v执行信息安全策略的过程执行信息安全策略的过程v信息安全策略的内容信息安全策略的内容 v保证保证网络安全网络安全、保护工作的、保护工作的整体性、计划性及规整体性、计划性及规范性范性v保证各项措施和管理手段的正确实施,使网络系保证各项措施和管理手段的正确实施,使网络系统信息数据的机密性、完整性及可用性受到统信息数据的机密性、完整性及可用性受到全面、全面、可靠可靠的保护的保护v信息安全策略(信息安全策略(Information Security Information Security PolicyPolicy)是一个组织机构中解决信息安全问题最)是一个组织机构中解决信息安全问题最重要的部分。
重要的部分 在一个小型组织内部,信息安全在一个小型组织内部,信息安全策略的制定者一般应该是该组织的策略的制定者一般应该是该组织的技术管理者技术管理者,,在一个大的组织内部,信息安全策略的制定者可在一个大的组织内部,信息安全策略的制定者可能是由一个能是由一个多方人员组成的小组多方人员组成的小组 信息安全策略的目的和意义信息安全策略的目的和意义 什么是信息安全策略?什么是信息安全策略?v信息安全策略是信息安全策略是一组规则一组规则,它们定义了一,它们定义了一个组织要实现的个组织要实现的安全目标和实现这些安全安全目标和实现这些安全目标的途径目标的途径v信息安全策略可以划分为两个部分:信息安全策略可以划分为两个部分:问题问题策略策略((issue policy)和)和功能策略功能策略(( functional policy))§问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度§功能策略描述如何解决所关心的问题,包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略 什么是信息安全策略?什么是信息安全策略?v信息安全策略必须有清晰和完全的文档描述,必信息安全策略必须有清晰和完全的文档描述,必须有相应的措施保证信息安全策略得到强制执行。
须有相应的措施保证信息安全策略得到强制执行v在组织内部,必须有行政措施在组织内部,必须有行政措施保证制定的信息安保证制定的信息安全策略被不打折扣地执行全策略被不打折扣地执行,管理层不能允许任何,管理层不能允许任何违反组织信息安全策略的行为存在违反组织信息安全策略的行为存在v另一方面,也需要根据业务情况的变化不断地另一方面,也需要根据业务情况的变化不断地修修改和补充改和补充信息安全策略信息安全策略v信息安全策略是原则性的和不涉及具体细节,对信息安全策略是原则性的和不涉及具体细节,对于整个组织提供全局性指导,为具体的安全措施于整个组织提供全局性指导,为具体的安全措施和规定提供一个和规定提供一个全局性框架全局性框架 什么是信息安全策略?什么是信息安全策略?v信息安全策略的描述方式信息安全策略的描述方式§信息安全策略的描述语言应该是信息安全策略的描述语言应该是简洁的、非技术性简洁的、非技术性的和具有指导性的的和具有指导性的§比如一个涉及对敏感信息加密的信息安全策略条目比如一个涉及对敏感信息加密的信息安全策略条目可以这样描述:可以这样描述:条目条目1 “任何类别为机密的信息,无论存贮在计算任何类别为机密的信息,无论存贮在计算机中,还是通过公共网络传输时,必须使用本公司机中,还是通过公共网络传输时,必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保信息安全部门指定的加密硬件或者加密软件予以保护。
护这个叙述没有谈及加密算法和密钥长度,所以当旧这个叙述没有谈及加密算法和密钥长度,所以当旧的加密算法被替换,新的加密算法被公布的时候,的加密算法被替换,新的加密算法被公布的时候,无须对信息安全策略进行修改无须对信息安全策略进行修改 信息安全策略的层次信息安全策略的层次v安全策略是指某个安全区域内用于安全策略是指某个安全区域内用于所有与安全有关的活动的规则,分所有与安全有关的活动的规则,分三级:三级:§安全策略目标§机构安全策略§系统安全策略 安全策略的制定安全策略的制定v制定安全策略的步骤制定安全策略的步骤v制定安全策略的原则制定安全策略的原则v制定安全策略的思想方法制定安全策略的思想方法v安全策略的设计依据安全策略的设计依据v需要保护什么资源需要保护什么资源 v必须防范什么威胁必须防范什么威胁 v需要什么级别的安全需要什么级别的安全 制定安全策略的步骤制定安全策略的步骤v进行安全需求分析进行安全需求分析 v对网络系统资源进行评估对网络系统资源进行评估v对可能存在的风险进行分析对可能存在的风险进行分析v确定内部信息对外开放的种类及发布方式确定内部信息对外开放的种类及发布方式和访问方式和访问方式v明确网络系统管理人员的责任和义务明确网络系统管理人员的责任和义务v确定针对潜在风险采取的安全保护措施的确定针对潜在风险采取的安全保护措施的主要构成方面,制定安全存取、访问规则主要构成方面,制定安全存取、访问规则 制定安全策略的原则制定安全策略的原则v适应性原则适应性原则:在一种情况下实施的安全策略到另:在一种情况下实施的安全策略到另一环境下就未必适合一环境下就未必适合v动态性原则动态性原则:用户在不断增加,网络规模在不断:用户在不断增加,网络规模在不断扩大,网络技术本身的发展变化也很快扩大,网络技术本身的发展变化也很快v简单性原则简单性原则:安全的网络是相对简单的网络:安全的网络是相对简单的网络v系统性原则系统性原则:应全面考虑网络上各类用户、各种:应全面考虑网络上各类用户、各种设备、各种情况,有计划有准备地采取相应的策设备、各种情况,有计划有准备地采取相应的策略略v最小特权原则最小特权原则:每个用户并不需要使用所有的服:每个用户并不需要使用所有的服务;不是所有用户都需要去修改系统中的每一个务;不是所有用户都需要去修改系统中的每一个文件;每一个用户并不需要都知道系统的根口令,文件;每一个用户并不需要都知道系统的根口令,每个系统管理见也没有必要都知道系统的根口令每个系统管理见也没有必要都知道系统的根口令等等 制定安全策略的思想方法制定安全策略的思想方法v凡是没有明确表示允许的就要被禁止。
凡是没有明确表示允许的就要被禁止v凡是没有明确表示禁止的就要被允许凡是没有明确表示禁止的就要被允许v按照第一种方法,如果决定某一台机按照第一种方法,如果决定某一台机器可以提供匿名器可以提供匿名FTPFTP服务,那么可以服务,那么可以理解为除了匿名理解为除了匿名FTPFTP服务之外的所有服务之外的所有服务都是禁止的服务都是禁止的v按照第二种方法,如果决定某一台机按照第二种方法,如果决定某一台机器禁止提供匿名器禁止提供匿名FTPFTP服务,那么可以服务,那么可以理解为除了匿名理解为除了匿名FTPFTP服务之外的所有服务之外的所有服务都是允许的服务都是允许的 制定安全策略的思想方法制定安全策略的思想方法v这两种思想方法所导致的结果是不相同的这两种思想方法所导致的结果是不相同的采用第一种思想方法所表示的策略只规定了采用第一种思想方法所表示的策略只规定了允许用户做什么,而第二种思想方法所表示允许用户做什么,而第二种思想方法所表示的策略只规定了用户不能做什么的策略只规定了用户不能做什么v网络服务类型很多,新的网络服务功能将逐网络服务类型很多,新的网络服务功能将逐渐出现因此,在一种新的网络应用出现时,渐出现。
因此,在一种新的网络应用出现时,对于第一种方法,如允许用户使用,就将明对于第一种方法,如允许用户使用,就将明确地在安全策略中表述出来;而按照第二种确地在安全策略中表述出来;而按照第二种思想方法,如果不明确表示禁止,就意味着思想方法,如果不明确表示禁止,就意味着允许用户使用允许用户使用 制定安全策略的思想方法制定安全策略的思想方法v需要注意的是:在网络安全策略上,一需要注意的是:在网络安全策略上,一般采用第一种方法,即明确地限定用户般采用第一种方法,即明确地限定用户在网络中访问的权限与能够使用的服务在网络中访问的权限与能够使用的服务这符合于规定用户在网络访问的这符合于规定用户在网络访问的"最小最小权限权限"的原则,即给予用户能完成他的的原则,即给予用户能完成他的任务所任务所"必要必要"的访问权限与可以使用的的访问权限与可以使用的服务类型,这样将会便于网络的管理服务类型,这样将会便于网络的管理 需要保护什么资源需要保护什么资源v在完成网络安全策略制定的过程中,在完成网络安全策略制定的过程中,首先要对所有网络资源从安全性的角首先要对所有网络资源从安全性的角度去定义它所存在的风险度去定义它所存在的风险。
RFC 1044 RFC 1044 列出了以下需要定义的网络资源:列出了以下需要定义的网络资源:(1) 硬件 处理器、主板、键盘、终端、工作站、个人计算机、打印机、磁盘、通信数据、终端服务器与路由器2) 软件 操作系统、通信程序、诊断程序、应用程序与网管软件 需要保护什么资源需要保护什么资源(3) (3) 数据数据 存储的数据、离线文档、执 存储的数据、离线文档、执行过程中的数据、在网络中传输的数据、行过程中的数据、在网络中传输的数据、备份数据、数据库、用户登录备份数据、数据库、用户登录4) (4) 用户用户 普通网络用户、网络操作员、网 普通网络用户、网络操作员、网络管理员络管理员(5) (5) 演示程序演示程序 应用软件的演示程序、网络 应用软件的演示程序、网络操作系统的演示程序、计算机硬件与网络操作系统的演示程序、计算机硬件与网络硬件的演示程序与网络软件的演示程序硬件的演示程序与网络软件的演示程序6) (6) 支持设备支持设备 磁带机与磁带、软盘、光驱 磁带机与磁带、软盘、光驱与光盘 需要保护什么资源需要保护什么资源v在设计网络安全策略时,第一步要分析在所要管理的在设计网络安全策略时,第一步要分析在所要管理的网络中有哪些资源,其中网络中有哪些资源,其中哪些资源是重要的,什么人哪些资源是重要的,什么人可以使用这些资源,哪些人可能会对资源构成威胁,可以使用这些资源,哪些人可能会对资源构成威胁,以及如何保护这些资源。
设计网络安全策略的第一步以及如何保护这些资源设计网络安全策略的第一步工作是研究这些问题工作是研究这些问题,并将研究结果用网络资源调查,并将研究结果用网络资源调查表的形式记录下来表的形式记录下来v要求被保护的网络资源被定义之后,就需要对可能要求被保护的网络资源被定义之后,就需要对可能对对网络资源构成威胁的因素网络资源构成威胁的因素下定义,以确定可能造成信下定义,以确定可能造成信息丢失和破坏的潜在因素,确定威胁的类型只有了息丢失和破坏的潜在因素,确定威胁的类型只有了解了对网络资源安全构成威胁的来源与类型,才能针解了对网络资源安全构成威胁的来源与类型,才能针对这些问题提出保护方法对这些问题提出保护方法 必须防范什么威胁必须防范什么威胁v安全威胁:威胁是有可能访问资源并造成破坏的安全威胁:威胁是有可能访问资源并造成破坏的某个人、某个地方或某个事物某个人、某个地方或某个事物v为了保护计算机系统和网络必须对潜在的安全威为了保护计算机系统和网络必须对潜在的安全威胁提高警惕如果理解了安全的确切定义,就能胁提高警惕如果理解了安全的确切定义,就能很敏感地对计算机系统和网络进行风险评估要很敏感地对计算机系统和网络进行风险评估。
要进行有效的安全评估,就必须明确进行有效的安全评估,就必须明确安全威胁安全威胁、、漏漏洞的产生洞的产生,以及,以及威胁威胁、、安全漏洞安全漏洞和和风险风险三者之间三者之间的关系的关系 威胁类型示 例自然和物理自然和物理的的火灾、水灾、风暴、地震、停电火灾、水灾、风暴、地震、停电无无 意意 的的不知情的员工、不知情的顾客不知情的员工、不知情的顾客故故 意意 的的攻击者、恐怖分子、工业间谍、政府、恶意攻击者、恐怖分子、工业间谍、政府、恶意代码代码对计算机环境的威胁对计算机环境的威胁网络中基本上存在者两种威胁网络中基本上存在者两种威胁偶然的威胁偶然的威胁有意图的威胁有意图的威胁被动的威胁被动的威胁主动的威胁主动的威胁必须防范什么威胁必须防范什么威胁 安全漏洞:安全漏洞: 安全漏洞是资源容易遭受攻击的位置它可以被视为是一个弱点 安全漏洞是资源容易遭受攻击的位置它可以被视为是一个弱点安全漏洞类型示 例物物 理理 的的未锁门窗未锁门窗自自 然然 的的灭火系统失灵灭火系统失灵硬件和软件硬件和软件防病毒软件过期防病毒软件过期媒媒 介介电干扰电干扰通通 信信未加密协议未加密协议人人 为为不可靠的技术支持不可靠的技术支持对计算机环境中的漏洞对计算机环境中的漏洞必须防范什么威胁必须防范什么威胁 主主 要要 威威 胁胁 内部窃密和破坏内部窃密和破坏 窃听和截收窃听和截收 非法访问非法访问(以未经授权的方式使用网络资源以未经授权的方式使用网络资源) 破坏信息的完整性破坏信息的完整性(通过篡改、删除和插入等方式通过篡改、删除和插入等方式破坏信息的完整性破坏信息的完整性) 冒充冒充(攻击者利用冒充手段窃取信息、入侵系统、攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。
破坏网络正常通讯或欺骗合法主机和合法用户) 流量分析攻击流量分析攻击(分析通信双方通信流量的大小,以分析通信双方通信流量的大小,以期获得相关信息期获得相关信息) 其他威胁其他威胁(病毒、电磁泄漏、各种自然灾害、战争、病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等失窃、操作失误等)必须防范什么威胁必须防范什么威胁 需要什么级别的安全需要什么级别的安全v橘橘 皮皮 书书 (Trusted (Trusted Computer Computer System System Evaluation Evaluation Criteria—TCSEC)Criteria—TCSEC)是是计计算算机机系系统统安安全全评评估估的的第第一一个个正正式式标标准准,,具具有有划划时时代代的的意意义义它它于于19701970年年由由美美国国国国防防科科学学委委员员会会提提出出,,并并于于19851985年年1212月月由由美美国国国国防防部部公公布布TCSECTCSEC最最初初只只是是军军用用标标准准,,后后来来延延至至民民用用领领域域TCSECTCSEC将将计计算算机机系系统统的的安安全全划划分分为为四四个个等等级级、、七七个个安安全全级级别别( (从低到高依次为从低到高依次为D D、、C1C1、、C2C2、、B1B1、、B2B2、、B3B3和和A A级级) )。
需要什么级别的安全需要什么级别的安全vD D级级和和A A级级暂暂时时不不分分子子级级每每级级包包括括它它下下级级的的所所有有特特性性,,从从最最简简单单的的系系统统安安全全特特性性直直到到最最高高级级的的计计算算机机安安全全模模型型技技术术,,不不同同计计算算机机信信息息系系统统可可以以根根据据需需要要和和可可能能选选用不同安全保密程度的不同标准用不同安全保密程度的不同标准 需要什么级别的安全需要什么级别的安全 1)D1)D级级D D级级是是最最低低的的安安全全形形式式,,整整个个计计算算机机是是不不信信任任的的,,只只为为文文件件和和用用户户提提供供安安全全保保护护D D级级系系统统最最普普通通的的形形式式是是本本地地操操作作系系统统,,或或者者是是一一个个完完全全没没有有保保护护的的网网络络 拥拥有有这这个个级级别别的的操操作作系系统统就就像像一一个个门门户户大大开开的的房房子子,,任任何何人人可可以以自自由由进进出出,,是是完完全全不不可可信信的的对对于于硬硬件件来来说说,,是是没没有有任任何何保保护护措措施施的的,,操操作作系系统统容容易易受受到到损损害害,,没没有有系系统统访访问问限限制制和和数数据据限限制制,,任任何何人人不不需需要要任任何何账账户户就就可可以以进进入入系统,不受任何限制就可以访问他人的数据文件。
系统,不受任何限制就可以访问他人的数据文件 需要什么级别的安全需要什么级别的安全v A级也称为验证保护或验证设计级也称为验证保护或验证设计(Verity Design)级别,是级别,是当前的最高级别,它包括一个严格的设计、控制和验证过当前的最高级别,它包括一个严格的设计、控制和验证过程与前面提到的各级别一样,这一级别包含了较低级别程与前面提到的各级别一样,这一级别包含了较低级别的所有特性设计必须是从数学角度上经过验证的,而且的所有特性设计必须是从数学角度上经过验证的,而且必须进行秘密通道和可信任分布的分析可信任分布必须进行秘密通道和可信任分布的分析可信任分布(Trusted Distribution)的含义是硬件和软件在物理传输过的含义是硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统程中已经受到保护,以防止破坏安全系统v可信计算机安全评价标准主要考虑的安全问题大体上还局可信计算机安全评价标准主要考虑的安全问题大体上还局限于信息的保密性,随着计算机和网络技术的发展,对于限于信息的保密性,随着计算机和网络技术的发展,对于目前的网络安全不能完全适用目前的网络安全不能完全适用 需要什么级别的安全需要什么级别的安全v计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB 17859-1999) v本标准规定了计算机信息系统安全保护能力的五本标准规定了计算机信息系统安全保护能力的五个等级,即:个等级,即: §第一级:用户自主保护级; §第二级:系统审计保护级; §第三级:安全标记保护级; §第四级:结构化保护级; §第五级:访问验证保护级; v本标准适用于计算机本标准适用于计算机信息系统安全保护技术能力信息系统安全保护技术能力等级的划分等级的划分.计算机信息系统安全保护能力随着安计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
全保护等级的增高,逐渐增强 执行信息安全策略的过程执行信息安全策略的过程v确定应用范围确定应用范围v获得管理支持获得管理支持v进行安全分析进行安全分析v会见关键人员会见关键人员v制订策略草案制订策略草案v开展策略评估开展策略评估v发布安全策略发布安全策略v随需修订策略随需修订策略 确定应用范围确定应用范围v在制订安全策略之前一个必要的步在制订安全策略之前一个必要的步骤是确认该策略所应用的范围,例骤是确认该策略所应用的范围,例如是在整个组织还是在某个部门如是在整个组织还是在某个部门如果没有明确范围就制订策略无异如果没有明确范围就制订策略无异于无的放矢于无的放矢 获得管理支持获得管理支持v事实上任何项目的推进都无法离开管理层的支事实上任何项目的推进都无法离开管理层的支持,安全策略的实施也是如此先从管理层获持,安全策略的实施也是如此先从管理层获得足够的承诺有很多好处,可以为后面的工作得足够的承诺有很多好处,可以为后面的工作铺平道路,还可以了解组织总体上对安全策略铺平道路,还可以了解组织总体上对安全策略的重视程度,而且与管理层的沟通也是将安全的重视程度,而且与管理层的沟通也是将安全工作进一步导向更理想状态的一个契机。
工作进一步导向更理想状态的一个契机 进行安全分析v这是一个经常被忽略的工作步骤,同时也是安这是一个经常被忽略的工作步骤,同时也是安全策略制订工作中的一个重要步骤这个步骤全策略制订工作中的一个重要步骤这个步骤的主要目标是的主要目标是§确定需要进行保护的信息资产,及其对组织的绝对和相对价值,在决定保护措施的时候需要参照这一步骤所获得的信息进行这项工作时需要考虑的关键问题包括需要保护什么,需要防范哪些威胁,受到攻击的可能性,在攻击发生时可能造成的损失,能够采取什么防范措施,防范措施的成本和效果评估等等 会见关键人员v通常来说至少应该与负责技术部门通常来说至少应该与负责技术部门和负责业务部门的人员进行一些会和负责业务部门的人员进行一些会议,在这些会议上应该向这些人员议,在这些会议上应该向这些人员灌输在分析阶段所得出的结论并争灌输在分析阶段所得出的结论并争取这些人员的认同如果有其它属取这些人员的认同如果有其它属于安全策略应用范围内的业务单位,于安全策略应用范围内的业务单位,那么也应该让其加入到这项工作那么也应该让其加入到这项工作 制订策略草案v一旦就应用范围内的采集的信息达一旦就应用范围内的采集的信息达成一致并获得了组织内部足够的支成一致并获得了组织内部足够的支持,就可以开始着手建立实际的策持,就可以开始着手建立实际的策略了。
这个策略版本会形成最终策略了这个策略版本会形成最终策略的框架和主要内容,并作为最后略的框架和主要内容,并作为最后的评估和确认工作的基准的评估和确认工作的基准 开展策略评估v在之前已经与管理层及与安全策略执在之前已经与管理层及与安全策略执行相关的主要人员进行了沟通,而该行相关的主要人员进行了沟通,而该部分工作在之前的基础上进一步与所部分工作在之前的基础上进一步与所有风险承担者一同对安全策略进行确有风险承担者一同对安全策略进行确认,从而最终形成修正后的正式的策认,从而最终形成修正后的正式的策略版本在这个阶段会往往会有更多略版本在这个阶段会往往会有更多的人员参与进来,应该进一步争取所的人员参与进来,应该进一步争取所有相关人员的支持,至少应该获得足有相关人员的支持,至少应该获得足够的授权以保障安全策略的实施够的授权以保障安全策略的实施 发布安全策略v当安全策略完成之后还需要在组织当安全策略完成之后还需要在组织内成功的进行发布,使组织成员仔内成功的进行发布,使组织成员仔细阅读并充分理解策略的内容可细阅读并充分理解策略的内容可以通过组织主要的信息发布渠道对以通过组织主要的信息发布渠道对安全策略进行广泛发布,例如组织安全策略进行广泛发布,例如组织的内部信息系统、例会、培训活动的内部信息系统、例会、培训活动等等。
等等 随需修订策略v随着应用环境的变化,信息安全策随着应用环境的变化,信息安全策略也必须随之变化和发展才能继续略也必须随之变化和发展才能继续发挥作用通常组织应该每季度进发挥作用通常组织应该每季度进行一次策略评估,每年至少应该进行一次策略评估,每年至少应该进行一次策略更新行一次策略更新 安全策略的具体内容安全策略的具体内容v信息安全策略的制定者综合风险评估、信息安全策略的制定者综合风险评估、信息对业务的重要性,管理考虑、组信息对业务的重要性,管理考虑、组织所遵从的安全标准,制定组织的信织所遵从的安全标准,制定组织的信息安全策略,可能包括下面的内容:息安全策略,可能包括下面的内容:§加密策略----描述组织对数据加密的安全要求§使用策略 ---描述设备使用、计算机服务使用和雇员安全规定、以保护组织的信息和资源安全 安全策略的具体内容安全策略的具体内容v线路连接策略线路连接策略------描述诸如发送和接收、描述诸如发送和接收、模拟线路与计算机连接、拨号连接等安全要求模拟线路与计算机连接、拨号连接等安全要求v反病毒策略反病毒策略------给出有效减少计算机病毒对组给出有效减少计算机病毒对组织的威胁的一些指导方针,明确在哪些环节必织的威胁的一些指导方针,明确在哪些环节必须进行病毒检测须进行病毒检测v应用服务提供策略应用服务提供策略------定义应用服务提供者必定义应用服务提供者必须遵守的安全方针。
须遵守的安全方针 安全策略的具体内容安全策略的具体内容v审计策略审计策略------描述信息审计要求,包括审计小描述信息审计要求,包括审计小组的组成、权限、事故调查、安全风险估计、组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求动进行监控等活动的要求 v电子邮件使用策略电子邮件使用策略------描述内部和外部电子邮描述内部和外部电子邮件接收、传递的安全要求件接收、传递的安全要求v数据库策略数据库策略----------描述存储、检索、更新等管描述存储、检索、更新等管理数据库数据的安全要求理数据库数据的安全要求 安全策略的具体内容安全策略的具体内容v非武装区域策略非武装区域策略--------定义位于定义位于““非军事区域非军事区域””((Demilitarized ZoneDemilitarized Zone)的设备和网络分区的设备和网络分区v第三方的连接策略第三方的连接策略------定义第三方接入的安全定义第三方接入的安全要求v敏感信息策略敏感信息策略------对于组织的机密信息进行分对于组织的机密信息进行分级,按照它们的敏感度描述安全要求。
级,按照它们的敏感度描述安全要求 安全策略的具体内容安全策略的具体内容v内部策略内部策略------描述对组织内部的各种活动安全描述对组织内部的各种活动安全要求,使组织的产品服务和利益受到充分保护要求,使组织的产品服务和利益受到充分保护vInternetInternet接入策略接入策略------定义在组织防火墙之外定义在组织防火墙之外的设备和操作的安全要求的设备和操作的安全要求v口令防护策略口令防护策略--------定义创建,保护和改变口令定义创建,保护和改变口令的要求的要求v远程访问策略远程访问策略--------定义从外部主机或者网络连定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求接到组织的网络进行外部访问的安全要求 安全策略的具体内容安全策略的具体内容v路由器安全策略路由器安全策略——定义组织内部路由器和交换定义组织内部路由器和交换机的最低安全配置机的最低安全配置v服务器安全策略服务器安全策略------定义组织内部服务器的最定义组织内部服务器的最低安全配置低安全配置vVPNVPN安全策略安全策略--------定义通过定义通过VPNVPN接入的安全要求接入的安全要求。
v无线通讯策略无线通讯策略--------定义无线系统接入的安全要定义无线系统接入的安全要求 安全策略实例安全策略实例v第五章第五章 电子邮件电子邮件 v第二十五条第二十五条 电子邮件已成为常用的通信方式,但电子邮件电子邮件已成为常用的通信方式,但电子邮件导致病毒传播、数据泄露,垃圾邮件消耗系统资源、降低导致病毒传播、数据泄露,垃圾邮件消耗系统资源、降低工作效率等安全问题日益严重,员工在使用电子邮件时应工作效率等安全问题日益严重,员工在使用电子邮件时应作好相应安全防范工作作好相应安全防范工作 v第二十六条第二十六条 根据用途和数据安全等因素建立邮箱分类使用根据用途和数据安全等因素建立邮箱分类使用策略:策略: §1) 收发公司业务数据时使用公司内部OA邮箱; §2) 公务处理和私人邮箱分开;§3) 网站注册用户时提供不重要的邮箱作为联系邮箱等, 安全策略实例安全策略实例v第二十七条第二十七条 为经常使用的邮箱和重要邮箱设置优质的密码,为经常使用的邮箱和重要邮箱设置优质的密码,并定期修改,建议每季度修改一次不同用途的邮箱设置并定期修改,建议每季度修改一次不同用途的邮箱设置不同的密码。
不同的密码 v第二十八条第二十八条 防范电子邮件传播病毒的基本要求:防范电子邮件传播病毒的基本要求: §1) 在收发电子邮件前,应确认防病毒软件实时监控功能已开启; §2) 对每次收到的电子邮件,使用前均检查病毒; §3) 在收到来自公司内部员工发来的含有病毒的邮件,除自己进行杀毒外,还应及时通知对方杀毒;§4) 不打开可疑邮件、垃圾邮件、不明来源邮件等提供的附件或网址,对这类邮件直接删除; 安全策略实例安全策略实例v第二十九条第二十九条 防范垃圾邮件的基本要求:防范垃圾邮件的基本要求: §1) 经常使用的邮箱,尤其是公司内部邮箱,应尽量避免在互联网上公开例如:网上调查表填写、网站用户注册、BBS论坛中 §2) 不要回复可疑邮件、垃圾邮件、不明来源邮件 v第三十条第三十条 防范数据泄露的基本要求:防范数据泄露的基本要求: §1) 收发公司业务相关的邮件时,必须使用公司内部邮箱,并尽量要求对方使用对方公司内部邮箱 §2) 发送敏感数据时,应采用加密邮件方式发送§3) 不要在免费邮箱上保存敏感数据 信息安全策略模板信息安全策略模板目目 录录 v1. 目的和范围目的和范围 v2. 术语和定义术语和定义 v3. 引用文件引用文件 v4. 职责和权限职责和权限 v5. 信息安全策略信息安全策略 §5.1. 信息系统安全组织 §5.2. 资产管理 §5.3. 人员信息安全管理 §5.4. 物理和环境安全 §5.5. 通信和操作管理 §5.6. 信息系统访问控制 §5.7. 信息系统的获取、开发和维护安全 §5.8. 信息安全事故处理 §5.9. 业务连续性管理 §5.10. 符合性要求 v1 附件附件 v网络与信息系统总体结构初步分析网络与信息系统总体结构初步分析v信息安全需求分析信息安全需求分析v信息安全体系结构的设计目标、指导思想与设信息安全体系结构的设计目标、指导思想与设计原则计原则v安全策略的制定与实施安全策略的制定与实施信息安全体系结构规划与设计信息安全体系结构规划与设计 网络与信息系统总体结构初步分析网络与信息系统总体结构初步分析v校园网络的建设校园网络的建设1、特点:由于用户规模的、特点:由于用户规模的限制,这些网络属于中小型系统,以园区限制,这些网络属于中小型系统,以园区局域网为主。
局域网为主v2网络结构图:网络结构图: 信息安全需求分析信息安全需求分析v1、贯穿在信息安全体系结构设计与实施的、贯穿在信息安全体系结构设计与实施的整个过程中,因此需求是非常之重要的一整个过程中,因此需求是非常之重要的一个环节v2、需求分析涉及的层面:、需求分析涉及的层面:物理安全、系统物理安全、系统安全、网络安全、数据安全、应用安全和安全、网络安全、数据安全、应用安全和安全管理安全管理 信息安全需求分析信息安全需求分析v1、什么是信息安全需求?、什么是信息安全需求? v2、信息安全需求来源、信息安全需求来源 v3、信息安全需求分析、信息安全需求分析 什么是信息安全需求?什么是信息安全需求?•信息安全需求是对抗和消除安全风险的必要信息安全需求是对抗和消除安全风险的必要方法和措施,安全需求是制定和实施安全策方法和措施,安全需求是制定和实施安全策略的依据略的依据•通过安全需求分析明确需要保护哪些信息资通过安全需求分析明确需要保护哪些信息资产产?需要投入多大力度需要投入多大力度?应该达到怎样的保护应该达到怎样的保护程度程度? 2 信息安全信息安全需求分析信息安全需求分析来源•法律法规、合同条约的要求法律法规、合同条约的要求 •组织自身的信息安全要求组织自身的信息安全要求 •风险评估的结果风险评估的结果 风险评估是获得信息安全需求的主要来源。
风险评估是获得信息安全需求的主要来源 安全需求信息安全需求分析信息安全需求分析系•把风险降低到可以接受的程度;把风险降低到可以接受的程度;•威胁和威胁和/或攻击信息系统(如非法获取或修改或攻击信息系统(如非法获取或修改数据)所花的代价大于入侵信息系统后所获数据)所花的代价大于入侵信息系统后所获得的现实的和潜在的信息系统资源的价值得的现实的和潜在的信息系统资源的价值 1. 信息系统的脆弱性是安全风险产生的内因,威胁和攻击是信息系统的脆弱性是安全风险产生的内因,威胁和攻击是安全风险产生的外因安全风险产生的外因2. 人们对安全风险有一个认识过程,一般地,安全需求总是人们对安全风险有一个认识过程,一般地,安全需求总是滞后于安全风险的发生滞后于安全风险的发生3. 零风险永远是追求的极限目标,所以信息系统安全体系的零风险永远是追求的极限目标,所以信息系统安全体系的成功标志是风险的最小化、收敛性和可控性,而不是零风险成功标志是风险的最小化、收敛性和可控性,而不是零风险 3 信息安信息安全需求分析信息安全需求分析求分析•物理安全物理安全•系统安全系统安全•网络安全网络安全•数据安全数据安全•应用安全应用安全•安全管理安全管理 物理安全(基础)v1、意义:从外界环境、基础设施、运行硬、意义:从外界环境、基础设施、运行硬件、介质等方面为信息系统安全运行提供件、介质等方面为信息系统安全运行提供基本的底层支撑和保障。
基本的底层支撑和保障v2.主要目的:保障存放计算机与网络设备的主要目的:保障存放计算机与网络设备的机房、信息系统设备和数据存储介质等免机房、信息系统设备和数据存储介质等免受物理环境、自然灾害以及人为操作失误受物理环境、自然灾害以及人为操作失误和恶意操作等各种所产生的攻击和恶意操作等各种所产生的攻击 物理安全物理安全物理安全需求物理安全需求描描 述述物理位置选择物理位置选择考虑周围的外部环境以及所选物理位置能否为信息系统正常运行提供考虑周围的外部环境以及所选物理位置能否为信息系统正常运行提供物理上的基本保障物理上的基本保障物理访问控制物理访问控制控制内部授权用户和临时外部人员进出系统物理环境控制内部授权用户和临时外部人员进出系统物理环境防盗窃和破坏防盗窃和破坏考虑机房内的设备、介质和通信线缆等的安全性,如设置监控报警装考虑机房内的设备、介质和通信线缆等的安全性,如设置监控报警装置防雷电防雷电考虑雷电对设备造成的不利影响考虑雷电对设备造成的不利影响防静电防静电考虑静电对设备和人员造成的伤害考虑静电对设备和人员造成的伤害防火灾防火灾考虑防范火灾的措施考虑防范火灾的措施温度和湿度控制温度和湿度控制保证各种设备正常运行的温度和湿度范围。
保证各种设备正常运行的温度和湿度范围电力供应电力供应防止电源故障、电力波动范围过大的措施防止电源故障、电力波动范围过大的措施电磁防护电磁防护防止电磁辐射可能造成的信息泄漏或被窃取的措施防止电磁辐射可能造成的信息泄漏或被窃取的措施 2. 系统安全(中坚力量)v1、含义:又称主机系统安全,主要是提供、含义:又称主机系统安全,主要是提供安全的操作系统和安全的数据库管理系统,安全的操作系统和安全的数据库管理系统,以实现操作系统及数据库系统的安全运行以实现操作系统及数据库系统的安全运行v2、系统安全是保障信息系统安全的中坚力、系统安全是保障信息系统安全的中坚力量 系统安全系统安全需求系统安全需求描描 述述操作系统、数据库、操作系统、数据库、服务器的安全需求服务器的安全需求根据信息系统的定级要求,选择满足相应级根据信息系统的定级要求,选择满足相应级别的操作系统、数据库系统和服务器别的操作系统、数据库系统和服务器基于主机的入侵检基于主机的入侵检测测检测针对主机的未授权使用、误用和滥用的检测针对主机的未授权使用、误用和滥用的情况基于主机的漏洞扫基于主机的漏洞扫描描周期性运行以检测主机的脆弱性并评估其安周期性运行以检测主机的脆弱性并评估其安全性的防御方法。
全性的防御方法基于主机的恶意代基于主机的恶意代码检测与防范码检测与防范检测主机中的恶意代码并进行删除、报警等检测主机中的恶意代码并进行删除、报警等处理基于主机的文件完基于主机的文件完整性检查整性检查周期性运行以检验文件的完整性以及文件更周期性运行以检验文件的完整性以及文件更改的时间改的时间容灾、备份与恢复容灾、备份与恢复确保系统对灾害、攻击和破坏具有一定的抵确保系统对灾害、攻击和破坏具有一定的抵抗能力 3. 网络安全v1、作用:为信息系统提供安全的网络运行、作用:为信息系统提供安全的网络运行环境表现在两个方面:一是,确保网络环境表现在两个方面:一是,确保网络系统安全运行,提供有效地网络服务;二系统安全运行,提供有效地网络服务;二是,确保在网上传输数据的机密性、完整是,确保在网上传输数据的机密性、完整性和可用性性和可用性v2、安全需求:传输、网络边界防护、网络、安全需求:传输、网络边界防护、网络上的检查与响应安全需求上的检查与响应安全需求 3. 网络安全网络安全需求网络安全需求描描 述述传输安全传输安全考虑传输线路上的信息泄露、搭线窃考虑传输线路上的信息泄露、搭线窃听、篡改和破坏等安全需求。
听、篡改和破坏等安全需求网络边界防护安网络边界防护安全全限制外部非授权用户对内部网络的访限制外部非授权用户对内部网络的访问基于网络的入侵基于网络的入侵检测检测检测针对网络的未授权使用、误用和检测针对网络的未授权使用、误用和滥用的情况滥用的情况基于网络的恶意基于网络的恶意代码检测和防范代码检测和防范检测网络中的恶意代码并进行删除、检测网络中的恶意代码并进行删除、报警等处理报警等处理网络漏洞扫描网络漏洞扫描周期性运行以检测网络的脆弱性并评周期性运行以检测网络的脆弱性并评估其安全性的防御方法估其安全性的防御方法 数据安全数据安全v1、关注对象:信息系统中存储、传输和处理等过程中的数据安全v2、安全需求§数据机密性数据机密性§数据完整性数据完整性§数据可控性数据可控性§数据的不可否认性数据的不可否认性§数据备份和恢复数据备份和恢复 应用安全应用安全v1、意义:主要保障信息系统的各种业务应用程序安全运行v2、安全需求:主要涉及口令机制和关键业务系统的对外接口§对外接口包括:电子邮件、文件传输、语音通对外接口包括:电子邮件、文件传输、语音通信、视屏点播、信、视屏点播、WebWeb网站等网站等v3、相关技术:加密、数字签名、访问控制、认证、密钥恢复、网络监控管理和行政管理 应用安全应用安全v典型业务应用程序的安全需求典型业务应用程序的安全需求§1、电子邮件§2、文件传输§3、语音通信§4、视屏会议与视屏点播§5、Web网站 安全管理安全管理v1、信息系统的生命周期主要包括五个阶段:初级阶段、、信息系统的生命周期主要包括五个阶段:初级阶段、采购采购/开发阶段、实施阶段、运行维护阶段、废弃阶段。
开发阶段、实施阶段、运行维护阶段、废弃阶段v安全管理主要基于三个原则安全管理主要基于三个原则 :§多人负责原则;§任期有限原则 ;§职责分离原则 v2、安全管理的安全需求、安全管理的安全需求§1)、安全管理制度§2)、安全管理机构§3)、人员安全管理§4)、系统建设管理§5)、系统维护管理 信息安全体系结构的设计目标、指导思信息安全体系结构的设计目标、指导思想与设计原则想与设计原则v设计目标设计目标v指导思想指导思想v设计原则设计原则 设计目标设计目标v针对所要保护的信息系统资源,假设资源攻击者针对所要保护的信息系统资源,假设资源攻击者及其攻击的目的、技术手段和造成的后果,分析及其攻击的目的、技术手段和造成的后果,分析系统所受到的已知的、可能的各种威胁,进行信系统所受到的已知的、可能的各种威胁,进行信息系统的安全风险分析,并形成信息系统的安全息系统的安全风险分析,并形成信息系统的安全需求v安全需求和据此制定的安全策略应尽可能地抵抗安全需求和据此制定的安全策略应尽可能地抵抗所预见的安全风险信息系统安全体系结构的目所预见的安全风险信息系统安全体系结构的目标就是从管理和技术上保证安全策略完整准确地标就是从管理和技术上保证安全策略完整准确地得到实现,安全需求全面准确地得到满足,包括得到实现,安全需求全面准确地得到满足,包括必需的安全服务、安全机制和技术管理的确定,必需的安全服务、安全机制和技术管理的确定,以及它们在系统上的合理部署和配置。
以及它们在系统上的合理部署和配置 2.3.2 指导思想指导思想v遵从国家有关信息安全的政策、法令和法遵从国家有关信息安全的政策、法令和法规,根据业务应用的实际需要,结合信息规,根据业务应用的实际需要,结合信息安全技术与产品的研究与研发现状、近期安全技术与产品的研究与研发现状、近期的发展目标和未来的发展趋势,吸取国内的发展目标和未来的发展趋势,吸取国内外的先进经验和成熟技术,采用科学的设外的先进经验和成熟技术,采用科学的设计方法,力争在设计中融入具有自己知识计方法,力争在设计中融入具有自己知识产权的技术与产品,鼓励技术与产品创新产权的技术与产品,鼓励技术与产品创新 2.3.3 设计原则设计原则v1、需求明确、需求明确v2、代价平衡、代价平衡v3、标准优先、标准优先v4、技术成熟、技术成熟v5、管理跟进、管理跟进v6、综合防护、综合防护 作作业v某某某某IT IT 公司总部位于某省会城市的高新科技园区,公司总部位于某省会城市的高新科技园区,公司总部位于某省会城市的高新科技园区,公司总部位于某省会城市的高新科技园区,并在四川、辽宁、河北、广东设有分公司企业并在四川、辽宁、河北、广东设有分公司。
企业并在四川、辽宁、河北、广东设有分公司企业并在四川、辽宁、河北、广东设有分公司企业信息网络承载了企业的信息网络承载了企业的信息网络承载了企业的信息网络承载了企业的OA OA 、财务管理系统、、财务管理系统、、财务管理系统、、财务管理系统、FTP FTP 服务和企业商务网站、邮件服务等数据通信服务和企业商务网站、邮件服务等数据通信服务和企业商务网站、邮件服务等数据通信服务和企业商务网站、邮件服务等数据通信业务该网络拓扑如图业务该网络拓扑如图业务该网络拓扑如图业务该网络拓扑如图 所示 作作业v(1)(1)企企企企业总业总部局域网通部局域网通部局域网通部局域网通过过一台核心三一台核心三一台核心三一台核心三层层交交交交换换机机机机实现实现各部各部各部各部门门网网网网络间络间数据的高速交数据的高速交数据的高速交数据的高速交换换v(2) (2) 企企企企业总业总部分部分部分部分别别租用网通、租用网通、租用网通、租用网通、电电信信信信线线路路路路连连接到本地接到本地接到本地接到本地ISP ISP ,各分公司通,各分公司通,各分公司通,各分公司通过过网通或网通或网通或网通或电电信信信信ADSL ADSL 线线路路路路连连接接接接到本地到本地到本地到本地ISP ISP ,企,企,企,企业总业总部与分公司通部与分公司通部与分公司通部与分公司通过过Internet Internet 实实现现网网网网络络互互互互联联。
v(3) (3) 企企企企业总业总部部部部Web Web 服服服服务务器器器器( (内部地址内部地址内部地址内部地址: 10. O. 1. 10 / : 10. O. 1. 10 / 24 24 外部地址外部地址外部地址外部地址: 192.168. 0.10 / 28) : 192.168. 0.10 / 28) 、企、企、企、企业总业总部部部部邮邮件服件服件服件服务务器器器器( (内部地址内部地址内部地址内部地址: 10. O. 1. 11 / 24 : 10. O. 1. 11 / 24 外部地址址址址:192.168.0.11 / 28) :192.168.0.11 / 28) 可供内外网用可供内外网用可供内外网用可供内外网用户访问户访问企业总业总部部部部FTP FTP 服服服服务务器(器(器(器(10. O. 1. 12 / 24) 10. O. 1. 12 / 24) 仅仅供企供企供企供企业业内网用内网用内网用内网用户访问户访问 作作业企业网络安全需求企业网络安全需求1.1.允许网管员远程访问网络设备查看配置,使用允许网管员远程访问网络设备查看配置,使用debug debug 命令监命令监视设备运行,但不能修改配置视设备运行,但不能修改配置2. 2. 企业总部各部门都能访问网络中心服务器和企业总部各部门都能访问网络中心服务器和Internet Internet ,外,外网不可以发起对内网的连接网不可以发起对内网的连接3. 3. 公司领导、财务部网络可以互访,但总部其他部门不能主公司领导、财务部网络可以互访,但总部其他部门不能主动发起对这几个部门的连接请求动发起对这几个部门的连接请求4. 4. 在内网与外网之间过滤非法流量,并能进行常见网络攻击在内网与外网之间过滤非法流量,并能进行常见网络攻击的监测与防护的监测与防护5. 5. 实现企业内部网络到外部网络的地址转换,使企业总部各实现企业内部网络到外部网络的地址转换,使企业总部各部门都可以访问部门都可以访问Internet Internet 资源,同时公网也能访问企业总资源,同时公网也能访问企业总部的部的Web Web 、、Mail Mail 服务器服务器6. 6. 保护公司财务部与各分公司财务部的通信安全保护公司财务部与各分公司财务部的通信安全 v请为该请为该企企业业网网络设计络设计一个整体的安全方案一个整体的安全方案 。
