【正文】 .......................... 34 5． 2． 1 數(shù)據(jù)存儲管理 ..................................................................................................................... 34 5． 2． 2 雙機(jī)熱備份和集群系統(tǒng) .................................................................................................... 35 5． 2． 3 網(wǎng)絡(luò)主干的冗余 ................................................................................................................. 36 5． 2． 4 數(shù)據(jù)訪問控制 ..................................................................................................................... 36 5． 2． 5 金通計算機(jī)通用安全卡（ IC 卡認(rèn)證） ........................................... 錯誤 !未定義書簽。 1． 1 信息系統(tǒng)建設(shè)的目標(biāo) 信息系統(tǒng)的建設(shè)是促進(jìn)現(xiàn)代企業(yè)業(yè)務(wù)發(fā)展、提高效率、提高管理能力、提高決策正確性和綜合競爭能力的工具和手段，并隨企業(yè)發(fā)展而完善。 采集（數(shù)據(jù)）處理（信息）利用（知識）決策（智慧） 采集 ：對大量原始數(shù)據(jù)的 采集和存儲將是信息系統(tǒng)建設(shè)和應(yīng)用的基礎(chǔ)，數(shù)據(jù)是信息系統(tǒng)的基本元素，沒有數(shù)據(jù)的系統(tǒng)將是一個只有投入沒有產(chǎn)出的空架子，信息系統(tǒng)建設(shè)的首要任務(wù)是對來自企業(yè)內(nèi)部和外部各種相關(guān)數(shù)據(jù)的收集和存儲。信息是系統(tǒng)發(fā)揮效益的基本因素，企業(yè)信息系統(tǒng)建設(shè)的需求大多是從信息處理出發(fā)，而逐步完善。 決斷： 通過對大量的企業(yè)積累的知識利用，使之成為正確決斷的參考資料，成為決策者智慧的一部分，使信息系統(tǒng)的建設(shè)發(fā)揮出更大的效益，為企業(yè)提高決策正確性提供科學(xué)的有力的依據(jù)。我們可以按照如下的原則，逐步進(jìn)行信息系統(tǒng)的規(guī)劃和實(shí)施： 對整體應(yīng)用需求做綜合的分析，以確定網(wǎng)絡(luò)平臺及應(yīng)用系統(tǒng)的建設(shè)規(guī)劃。在系統(tǒng)設(shè)計過程中還必須考慮到系統(tǒng)實(shí)施的分步性，可以適應(yīng)各級單位實(shí)施過程中的階段性，并提供逐步實(shí)施的具體方法。對具有共性的環(huán)節(jié)統(tǒng)一規(guī)劃，對各地政府的特殊需求具體分析。 ? 開放性 信息系統(tǒng)安全方案 4 系統(tǒng)在總體設(shè)計和規(guī)劃時，將充分考慮環(huán)境對系統(tǒng)的影響及與外界的聯(lián)系，使系統(tǒng)有較強(qiáng)的適應(yīng)能力和擴(kuò)充能力，同時具有靈活的與外界交流的能力和手段。 ? 可維護(hù)性 系統(tǒng)設(shè)計應(yīng)考慮到政府對系統(tǒng)進(jìn)行日常維護(hù)的工作難度，盡量自動完成一些維護(hù)管理工作，并實(shí)現(xiàn)全系統(tǒng)數(shù)據(jù)及應(yīng)用統(tǒng)一管理的目的。 主機(jī)是信息系統(tǒng)中建立應(yīng)用的關(guān)鍵因素，承擔(dān)著幾乎所有信息處理、信息利用的任務(wù)，主機(jī)的選擇關(guān)系到整個信息系統(tǒng)的處理能力。 ? 可擴(kuò)展性 目前的選擇必須為今后的擴(kuò)充留有足夠的余地，以保護(hù)用戶的投資 ? 可靠性 所選系統(tǒng)應(yīng)具備較高的可靠性，將故障率降為最低，避免因意外使用戶遭到重大損失。 局域網(wǎng)可以根 據(jù)自身的需要和投資收益的判斷選擇以太網(wǎng)、快速以太網(wǎng)、ATM 網(wǎng)等。 信息系統(tǒng)安全方案 7 1． 3． 4 應(yīng)用平臺 應(yīng)用是建立信息系統(tǒng)的目的，根據(jù)自身的需求進(jìn)行合理的投資，建立科學(xué)的應(yīng)用，將使企業(yè)得到最大的投資回報。安全管理則覆蓋信息系統(tǒng)、企業(yè)應(yīng)用的全面，只有將安全技術(shù)、產(chǎn)品和人員的安全管理 有機(jī)地結(jié)合在一起，才能為信息系統(tǒng)建設(shè)一個比較完善的安全體系。 安全問題是組建網(wǎng)絡(luò)面臨的敏感和重要問題。 2． 1 安全性概念 信息系統(tǒng)安全涉及到立法、政府行為、保險與技術(shù)許多方面的問題。企業(yè)應(yīng)考慮成立國家信息系統(tǒng)運(yùn)營網(wǎng)管中心，實(shí)施較嚴(yán)格網(wǎng)絡(luò)管理。 ? 要防止信息系統(tǒng)免遭“信息武器”的攻擊。 信息系統(tǒng)安全方案 9 ? 要加強(qiáng)信息系統(tǒng)的安全管理 2． 2 安全等級標(biāo)準(zhǔn)介紹 根據(jù)美國國防部的計算機(jī)安全標(biāo)準(zhǔn)，可信任計算機(jī)標(biāo)準(zhǔn)評估準(zhǔn)則（ Trusten Computer Standards Evaluation Criteria） —— 桔皮書（ Orange Book），一些級別被用于保護(hù)硬件、軟件和存儲的信息免受攻擊。 該可信計算機(jī)評估準(zhǔn)則，可以通過如下概念進(jìn)行描述： （ 1） 安全性 ? 安全策略 Security Policy 為了實(shí)現(xiàn)軟件系統(tǒng)的安全而制定的有關(guān)管理、保護(hù)和發(fā)布敏感信息的規(guī)定與實(shí)施細(xì)則。 （ 2） 認(rèn)證 （ 3） 加密 （ 4） 授權(quán)與保護(hù) ? 可信計算機(jī) Trusted Computing Base(TCB) TCB 是軟件、硬件與固件的一個集合，它在存取控制策略的基礎(chǔ)上，處理主體 S 集合對客體 0 集合的存取，并滿足如下的性質(zhì)： 1） TCB 處理 S 中的主體對 0 中的客體的每一個存取。進(jìn)程等。在這種意義上，控制是自主的。對于硬件來說，沒有任何保護(hù)可用；操作系統(tǒng)容易受到損害；對于用戶和他們對存儲在計算機(jī)上信息的訪問權(quán)限沒有身份驗(yàn)證。 C1級 C 級有兩個安全子級別： Cl 和 C2。這種組合用來確定每個用戶對程序和信息擁有什么樣的訪問權(quán)限。結(jié)果，不審慎的 系統(tǒng)管理員可能容易損害系統(tǒng)安全。除 C1包含的特征外， C2 級還包含其它的創(chuàng)建受控訪問環(huán)境 (controlaccess environment)的安全特征。審核還要求身份驗(yàn)證，因?yàn)闆]有它，如何能夠確定實(shí)際執(zhí)行命令的人就是某人呢？審核的缺點(diǎn)在于它需要額外的處理器和磁盤子系統(tǒng)資源。 B1級 B 級安全包含三個級別。 B3級 B3 級或安全域級別 (Security Domain)，使用安裝硬件的辦法來加強(qiáng)域，例如，內(nèi)存管理硬件用于保護(hù)安全域免遭無授權(quán)訪問或其它安全域?qū)ο蟮男薷??？尚湃畏植?(Trusted Distribution)的含義是，硬件和軟件在傳輸過程中已經(jīng)受到保護(hù)，以防止破壞安全系統(tǒng)。一般說來，加密機(jī)制由各種加密算法提供支持。 (3)訪問控制機(jī)制 訪問控制機(jī)制通過判別訪問者的標(biāo)識信息或權(quán)限決定其是否能訪問某項(xiàng) 資源，這一機(jī)制可以應(yīng)用在會話的任何一端或會話的中間轉(zhuǎn)發(fā)點(diǎn)，用于確定會話發(fā)起者是否得到了被訪問者的授權(quán)。 (6)流量填充機(jī)制 流量填充機(jī)制可以通過在所傳遞的報文中添加填充符來防止信息被流量分析設(shè)備所盜用，填充信息往往需要加密后才能生效。尤其是在處理“拒絕履行義務(wù)”等類型的網(wǎng)絡(luò)攻擊手段時，公證機(jī)制可以為糾紛雙方提供一個可以信賴的“第三方”認(rèn)證機(jī)構(gòu)。 (3)安全審計 安全審計是指利用日志記錄等歷史事件審計系統(tǒng)的活動是否符合所制定的安全策略和操作規(guī)范；系統(tǒng)的控制是否充分，以及提出對系統(tǒng)控制和安全策略的改進(jìn)意見。 基于第二章的概述，對系統(tǒng)安全性概念及發(fā)展的理解，確立安全體系總體規(guī)劃和建設(shè)的目標(biāo)和設(shè)計原則，以及在信息系統(tǒng)安全體系中應(yīng)具備的功能，對安全體系進(jìn)行統(tǒng)一規(guī)劃。 ? 完整性 是指信息在存儲或傳輸時不被修改、破壞，或信息包的丟失、亂序等。信息系統(tǒng)中信息的完整性是系統(tǒng)正常運(yùn)轉(zhuǎn)的基本保障。 ? 可用性 一般是指主機(jī)存放靜態(tài)信息的可用性和可操作性。保護(hù)信息占有性的方法有使用版權(quán)、專利、商業(yè)秘密性，提供物理和邏輯的存取限制方法；維護(hù)和檢查有關(guān)盜竊文件的審記記錄、使用標(biāo)簽等。但是建立一個多重保護(hù)系統(tǒng)，各重保護(hù)相互補(bǔ)充，當(dāng)一重保護(hù)被攻破時，其它重保護(hù)仍可保護(hù)信息的安全。網(wǎng)絡(luò)可從物理上分為若干段，即通過交換器連接各段。 ? 最小授權(quán)的原則（分散權(quán)力，降低災(zāi)難程度） 特 權(quán)（超級）網(wǎng)絡(luò)要有制約措施，分散過大的集中權(quán)力，以降低災(zāi)難程度。而系統(tǒng)應(yīng)具備查驗(yàn)用戶的身份證明的能力。在信息系統(tǒng)中，考慮信息、管理、業(yè)務(wù)及交易等系統(tǒng)的多層次、跨地域，情況復(fù)雜， 我們將采用多種身份識別技術(shù)，其中 IC 卡應(yīng)用和一次性口令將是身份識別的主流。 ? 數(shù)字簽名 如用 RSA 等公開密鑰算法，生成一對公鑰和私鑰。通過加入一些驗(yàn)證碼等冗余信息，用驗(yàn)證函數(shù)進(jìn)行處理，以發(fā)現(xiàn)信息是否被非法修改，避免用戶或主機(jī)被偽信息欺騙。因此，對密鑰的產(chǎn)生、存儲、傳遞和定期更換進(jìn)行有效地控制而引入密鑰管理機(jī)制，對增加網(wǎng)絡(luò)的安全性和抗攻擊性也是非常重要的。 ? 實(shí)時防病毒 網(wǎng)絡(luò)版和單機(jī)版的實(shí)時防毒強(qiáng)技術(shù)和產(chǎn)品，可以在病毒通過網(wǎng)絡(luò)或病毒在工作站上啟動時被查出并殺除。 ? 數(shù)據(jù)存儲管理 沒有絕對的安全，應(yīng)在安全性和可用性上找到一個平衡點(diǎn)，因此對系統(tǒng)、數(shù)據(jù)庫、應(yīng)用等的數(shù)據(jù)備份尤為重要，當(dāng)因某種因素系統(tǒng)被破壞、應(yīng)用錯誤、數(shù)據(jù)丟失時，可以通過數(shù)據(jù)存儲管理進(jìn)行及時恢復(fù)，以免造成不良影響。 信息系統(tǒng)安全方案 18 第四章 安全風(fēng)險概述 在信息系統(tǒng)建設(shè)中充滿安全危機(jī)，一個小小的硬件故障或誤操作都有可能造成網(wǎng)絡(luò)出現(xiàn)停滯或癱瘓，使業(yè)務(wù)蒙受損失。信息系統(tǒng)所受到的威脅主要有 ： ? 來自內(nèi)部的竊密和破壞： ? 內(nèi)部涉密人員有意或無意泄密、更改記錄信息 ? 內(nèi)部非授權(quán)人員有意竊取機(jī)密信息、更改記錄信息 ? 內(nèi)部人員破壞信息系統(tǒng) ? 非法訪問： ? 非法用戶進(jìn)入網(wǎng)絡(luò)或系統(tǒng) ? 合法用戶越權(quán)操作 ? 破壞信息的完整性： ? 篡改：改變信息流的次序、時序或流向，更改信息的內(nèi)容或形式 ? 刪除：刪除某條數(shù)據(jù)或數(shù)據(jù)的某些部分 ? 插入：在數(shù)據(jù)中插入一些信息 ? 冒充： ? 冒充超級管理員，調(diào)閱秘密文件 ? 冒充主機(jī)欺騙合法主機(jī)及合法用戶 ? 冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、通行字、密鑰等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源 ? 接管合法用戶，欺騙系統(tǒng)，占 用合法用戶的資源 ? 破壞系統(tǒng)的可用性： ? 使合法用戶不能正常訪問網(wǎng)絡(luò)資源、使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng) ? 摧毀系統(tǒng) ? 重演： ? 截收并錄制信息，然后在必要時重發(fā)或反復(fù)發(fā)送這些信息 信息系統(tǒng)安全方案 21 ? 抵賴： ? 事后否認(rèn)曾經(jīng)發(fā)送過某條消息或某條消息的內(nèi)容 ? 事后否認(rèn)曾經(jīng)收到過某條消息或某條消息的內(nèi)容 ? 其他安全威脅： ? 計算機(jī)病毒 ? 電磁泄露 ? 各種災(zāi)害 ? 操作失誤 4． 3． 4 信息系統(tǒng)的安全漏洞 根據(jù)網(wǎng)絡(luò)構(gòu)造，可以把網(wǎng)絡(luò)安全問題具體定位在以下三個層次上： 信息系統(tǒng)層次M o d e mA c c e s sRo u t e rCo m m sT h e W o rl dT h e W o rl d 通訊 amp。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序等帶來的威脅。信息系統(tǒng)安全方案 22 許多 UNIX 操作系統(tǒng)的版本進(jìn)化開發(fā)，都是采用打補(bǔ)丁的方式進(jìn)行開發(fā)的。然而操作系統(tǒng)支持程序動態(tài)連接與數(shù)據(jù)動態(tài)交換是現(xiàn)代系統(tǒng)集成和系統(tǒng)擴(kuò)展的 需要，顯然這與安全是有矛盾的。再加上第一條，還可以把這種間諜軟件以打補(bǔ)丁的方式打在一個合法的用戶上，尤其打在一個特權(quán)用戶上，可以做到系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序都看不到它的存在。 ? 操作系統(tǒng)提供遠(yuǎn)程過程調(diào)用（ RPC）服務(wù)。許多搞系統(tǒng)軟件的人員，他們的基本技能就是 patching +系統(tǒng) debug，有了這兩樣技術(shù)，幾乎可以做“黑客”的所有事情 。 ? …… 4． 3． 6 數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性 首先，數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全進(jìn)行配套，例如 DBMS的安全級別是 B2 級，那么操作系統(tǒng)的安全級別也應(yīng)當(dāng)是 B2 級的。 4． 4 信息系統(tǒng)安全損失統(tǒng)計 4． 4． 1 因系統(tǒng)停機(jī)帶來的損失統(tǒng)計 由于計算機(jī)技術(shù)的飛速發(fā)展，硬件服務(wù)器平臺已經(jīng)有了相當(dāng)好的可用性。 下表是因系統(tǒng)停機(jī)而造成損失的參考： 行業(yè)種類 商業(yè)操作 平均損失 (每小時 ) 金融 經(jīng)紀(jì)人業(yè)務(wù) $ Million 信用卡 $ Million ATM $14,500 中介服務(wù) 按次數(shù)收費(fèi) $150,000 遠(yuǎn)程售票 $69,000 零售業(yè) 家庭電視購物 $113,000 運(yùn)輸 航空定票 $89,500 包裹運(yùn)輸 $28,000 4． 4． 2 因數(shù)據(jù)丟失而帶來的損失統(tǒng)計 據(jù)美國國家計算 機(jī)安全（ NCSA）調(diào)查，企業(yè) 20M 的重要信息丟失或損壞及恢復(fù)的代價，對于市場營銷部門來說 ,恢復(fù)其被摧毀的數(shù)據(jù)至少需要 19 天 ,耗資17000 美元；對于財務(wù)部門來說 ,這一過程至少需要 21 天 ,耗資 19000 美元；而對于工程部門來說 ,這一過程將延至 42 天 ,耗資達(dá) 98000 美元。 具 WarRoom 的調(diào)查表明，因內(nèi)部及外部攻擊造成的影響在不斷增長： 45％以上的內(nèi)部攻擊導(dǎo)致大于 200,000 美元的損失； 15％以上的內(nèi)部攻擊造成大于1,000,000美元的損失； 50％以上的外部攻擊導(dǎo)致大于 200,000美元的損失； 17％以上的外部攻擊造成大于 1,000,000 美元的損失。在我國也發(fā)生了入侵 INTERNET 的事