【正文】 在信息戰(zhàn)爭(zhēng)中病毒對(duì)信息系統(tǒng)的危害不亞于化學(xué)武器對(duì)一個(gè)地區(qū)的災(zāi)難。國(guó)內(nèi)許多信息23 / 41系統(tǒng)已經(jīng)使用了許多年了，計(jì)算機(jī)的系統(tǒng)管理員與用戶(hù)的注冊(cè)還是缺省狀態(tài)。本條與上一條結(jié)合起來(lái)，構(gòu)成在遠(yuǎn)端服務(wù)器上安裝“間諜”軟件條件。4． 1 安全風(fēng)險(xiǎn)的來(lái)源安全風(fēng)險(xiǎn)從不同的角度看可能來(lái)源于各種因素：? 從信息系統(tǒng)構(gòu)成的特質(zhì) 物理安全風(fēng)險(xiǎn)（主機(jī)、電源、網(wǎng)絡(luò)設(shè)備...） 邏輯安全風(fēng)險(xiǎn)（信息、編碼、人員管理...）? 從需要保護(hù)的對(duì)象 系統(tǒng)安全風(fēng)險(xiǎn)（可用性、連續(xù)性、可靠性） 數(shù)據(jù)安全風(fēng)險(xiǎn)（數(shù)據(jù)的機(jī)密性、完整性、可用性、使用合法性） 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)（通信的安全性、認(rèn)證的安全性、惡意攻擊和破壞） 應(yīng)用安全風(fēng)險(xiǎn)（應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、桌面系統(tǒng)）? 從網(wǎng)絡(luò)集成的架構(gòu) 局域網(wǎng)安全風(fēng)險(xiǎn) 廣域網(wǎng)安全風(fēng)險(xiǎn) 遠(yuǎn)程接入安全風(fēng)險(xiǎn) 網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn)4． 2 安全風(fēng)險(xiǎn)分析與評(píng)估風(fēng)險(xiǎn)分析 對(duì)網(wǎng)絡(luò)環(huán)境存在的威脅可能造成的損失做定性的和定量的估計(jì)，用以指導(dǎo)網(wǎng)絡(luò)安全的合理設(shè)計(jì)安全評(píng)估 對(duì)設(shè)計(jì)好的安全策略，安全目標(biāo)的實(shí)踐結(jié)果進(jìn)行檢查和評(píng)估，從而估價(jià)損失，發(fā)現(xiàn)弱點(diǎn)，改善設(shè)計(jì)、完善安全體系19 / 41安全風(fēng)險(xiǎn)分析與評(píng)估主要考慮因素：? 哪些資源需要保護(hù)？這些資源有多重要？? 硬件 工作站、服務(wù)器、路由器、數(shù)據(jù)設(shè)備、通訊線(xiàn)路、打印機(jī)及其他設(shè)備? 軟件 操作系統(tǒng)、應(yīng)用軟件、原代碼、實(shí)用程序等? 數(shù)據(jù) 會(huì)內(nèi)和會(huì)外數(shù)據(jù)；當(dāng)前和歷史數(shù)據(jù)；保密和不可再現(xiàn)數(shù)據(jù)? 安全漏洞及危機(jī)有哪些？安全漏洞及危機(jī)是如何造成的？? 管理問(wèn)題 如：人員管理和設(shè)備管理上的混亂? 數(shù)據(jù)在網(wǎng)上傳輸時(shí)被他人截獲? 系統(tǒng)配置有錯(cuò) 如：允許用戶(hù)遠(yuǎn)程登陸到關(guān)鍵服務(wù)器上? 操作系統(tǒng)及實(shí)用程序的安全漏洞? 內(nèi)部人員的工作疏忽 如：在上 Inter 時(shí)，運(yùn)行了不安全的下載程序? 誰(shuí)是潛在的“危害者”？? 用戶(hù)端 包括遠(yuǎn)程用戶(hù)和本地用戶(hù)? 主機(jī)端? ISP 端? Inter 上的“黑客”? 這些“危害者”將如何危害信息系統(tǒng)的安全？? 篡改主頁(yè)? 盜取機(jī)密數(shù)據(jù)? 修改系統(tǒng)設(shè)置? 使服務(wù)器不能正常服務(wù)? 篡改、破壞數(shù)據(jù)? 破壞系統(tǒng)? 冒用他人的名字4． 3 信息系統(tǒng)安全的脆弱性4．3．1 物理安全危機(jī)? 災(zāi)難：火災(zāi)、水災(zāi)、風(fēng)暴、地震、工業(yè)事故…? 人為破壞：蓄意破壞、恐怖主義、精神壓抑發(fā)泄、偷盜…? 人為誤操作：各種各樣的因素可能使工作人員產(chǎn)生誤操作…? 間諜行為：偷竊、監(jiān)聽(tīng)、監(jiān)視、廢棄物搜尋、身份識(shí)別錯(cuò)誤…? 通訊危機(jī)：撥號(hào)進(jìn)入、竊聽(tīng)…? 硬件故障：主機(jī)、電源、開(kāi)關(guān)、存儲(chǔ)設(shè)備…? 網(wǎng)絡(luò)故障：網(wǎng)絡(luò)接口卡、布線(xiàn)、輻射、網(wǎng)絡(luò)設(shè)備…? ……20 / 414．3．2 邏輯安全危機(jī)? 計(jì)算機(jī)危機(jī)：操作系統(tǒng)錯(cuò)誤、軟件錯(cuò)誤、文件錯(cuò)誤…? 系統(tǒng)危機(jī)：口令圈套、口令破解、算法不周、權(quán)限管理失誤、冒名頂替…? 數(shù)據(jù)完整性：數(shù)據(jù)丟失、被篡改、數(shù)據(jù)庫(kù)錯(cuò)誤、信息失真…? 編程危機(jī)：網(wǎng)絡(luò)世界中處處可見(jiàn)代碼炸彈、病毒、黑客程序…? 網(wǎng)絡(luò)危機(jī)：服務(wù)器危機(jī)、不安全的服務(wù)、配置及初始化失誤…? 安全漏洞：網(wǎng)絡(luò)的七層協(xié)議上有上千種漏洞，協(xié)議漏洞、服務(wù)器漏洞、數(shù)據(jù)庫(kù)漏洞、系統(tǒng)漏洞、防火墻漏洞、Inter/Intra 漏洞…? 黑客攻擊：口令危機(jī)、端口危機(jī)、服務(wù)危機(jī)、特洛伊木馬、非法闖入、篡改、盜取、破壞…? ……4．3．3 網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)的開(kāi)放性和資源共享性是安全問(wèn)題的主要根源。? 密鑰管理　信息加密是保障信息安全的重要途徑，以密文方式在相對(duì)安全的信道上傳遞信息，可以讓用戶(hù)比較放心地使用網(wǎng)絡(luò)，如果密鑰泄露或居心不良者通過(guò)積累大量密文而增加密文的破譯機(jī)會(huì)，都會(huì)對(duì)通信安全造成威脅。根據(jù)信息系統(tǒng)安全的設(shè)計(jì)目標(biāo)和原則，參考 ISO 安全框架文件中的說(shuō)明，我們的安全體系應(yīng)具備以下功能：? 身份識(shí)別　是驗(yàn)證通信雙方身份的有效手段，用戶(hù)向其系統(tǒng)請(qǐng)求服務(wù)時(shí)，要出示自己的身份證明，最簡(jiǎn)單的方法是輸入 UserID 和 Password。? 占有性 是指存儲(chǔ)信息的主機(jī)、磁盤(pán)等信息載體被盜用，導(dǎo)致對(duì)信息的占用權(quán)的喪失。14 / 41第三章 設(shè)計(jì)目標(biāo)及原則信息系統(tǒng)安全體系主要考慮的是信息、關(guān)鍵數(shù)據(jù)、管理、工作流的安全性、可用性、完整性，以及對(duì)信息流、敏感信息的不可篡改、不可否認(rèn)和不可抵賴(lài)。數(shù)字簽名機(jī)制成功與否的關(guān)鍵在于簽名部分必需是從發(fā)送者的個(gè)人信息中產(chǎn)生出來(lái)，這樣才不會(huì)出現(xiàn)糾紛。這些附加身份驗(yàn)證不能與可應(yīng)用于程序的 SGID 和 SUID 許可權(quán)限相混淆，而且它們是允許用戶(hù)執(zhí)行特定命令或訪(fǎng)問(wèn)某些核心表的特定身份驗(yàn)證，例如，那些無(wú)權(quán)瀏覽進(jìn)程表的用戶(hù)，當(dāng)執(zhí)行 ps 命令時(shí)，只能看到它們自己的進(jìn)程。用戶(hù)必須通過(guò)用戶(hù)注冊(cè)名和口令讓系統(tǒng)識(shí)別他們自己。? 主體 Subject 在操作系統(tǒng)中主要指作業(yè)。? 要防止信息輻射與泄漏。1．3．6 安全平臺(tái)安全平臺(tái)貫穿整個(gè)信息系統(tǒng)的所有層次，是信息系統(tǒng)正常運(yùn)轉(zhuǎn)的保障。信息系統(tǒng)的構(gòu)成包括信息、物理實(shí)體、應(yīng)用等各種因素，從總體框架上看，可以分為以下幾個(gè)層次：5 / 41主 機(jī) 、 網(wǎng) 絡(luò) 平 臺(tái) IBM、 HP、 SUN, LAN、 WAN主 機(jī) 、 網(wǎng) 絡(luò) 平 臺(tái) 、 、 、系 統(tǒng) 平 臺(tái) NT、 UNIX、 NOVEL、 SNA系 統(tǒng) 平 臺(tái) 、 、 、信 息 平 臺(tái)信 息 平 臺(tái)文 檔 信 息 決 策 信 息結(jié) 構(gòu) 化 信 息Inter MIS OA ERP 政 府 上 網(wǎng) 金 融 電 子 化 電 子 商 務(wù) 多 媒 體 應(yīng) 用政 府 上 網(wǎng) 金 融 電 子 化 電 子 商 務(wù) 多 媒 體 應(yīng) 用應(yīng) 用 平 臺(tái)應(yīng) 用 平 臺(tái)用 戶(hù) 桌 面 PC、 TV、 電 器用 戶(hù) 桌 面 、 、 電 器信息系統(tǒng)安全平臺(tái) 　　　　信 息 系 統(tǒng) 的 構(gòu) 成1．3．1 主機(jī)、網(wǎng)絡(luò)平臺(tái)主機(jī)、網(wǎng)絡(luò)平臺(tái)是信息系統(tǒng)建立通信、作業(yè)的物理基礎(chǔ)。信息系統(tǒng)在規(guī)劃和設(shè)計(jì)時(shí)應(yīng)充分考慮以下原則：? 系統(tǒng)性以系統(tǒng)學(xué)的眼光作出整體規(guī)劃，做到統(tǒng)一設(shè)計(jì)，分步實(shí)施。信息系統(tǒng)的建設(shè)將涵蓋對(duì)信息的采集、加工、處理、分析、利用、決斷的全過(guò)程。信息是系統(tǒng)發(fā)揮效益的基本因素，企業(yè)信息系統(tǒng)建設(shè)的需求大多是從信息處理出發(fā)，而逐步完善。對(duì)具有共性的環(huán)節(jié)統(tǒng)一規(guī)劃，對(duì)各地政府的特殊需求具體分析。? 可擴(kuò)展性目前的選擇必須為今后的擴(kuò)充留有足夠的余地，以保護(hù)用戶(hù)的投資? 可靠性所選系統(tǒng)應(yīng)具備較高的可靠性，將故障率降為最低，避免因意外使用戶(hù)遭到重大損失。安全問(wèn)題是組建網(wǎng)絡(luò)面臨的敏感和重要問(wèn)題。? 要加強(qiáng)信息系統(tǒng)的安全管理2． 2 安全等級(jí)標(biāo)準(zhǔn)介紹根據(jù)美國(guó)國(guó)防部的計(jì)算機(jī)安全標(biāo)準(zhǔn)，可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則（Trusten Computer Standards Evaluation Criteria）——桔皮書(shū)（Orange Book） ，一些級(jí)別被用于保護(hù)硬件、軟件和存儲(chǔ)的信息免受攻擊。在這種意義上，控制是自主的。結(jié)果，不審慎的系統(tǒng)管理員可能容易損害系統(tǒng)安全。B3 級(jí)B3 級(jí)或安全域級(jí)別(Security Domain)，使用安裝硬件的辦法來(lái)加強(qiáng)域，例如，內(nèi)存管理硬件用于保護(hù)安全域免遭無(wú)授權(quán)訪(fǎng)問(wèn)或其它安全域?qū)ο蟮男薷摹? (6)流量填充機(jī)制流量填充機(jī)制可以通過(guò)在所傳遞的報(bào)文中添加填充符來(lái)防止信息被流量分析設(shè)備所盜用，填充信息往往需要加密后才能生效。? 完整性 是指信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞，或信息包的丟失、亂序等。但是建立一個(gè)多重保護(hù)系統(tǒng)，各重保護(hù)相互補(bǔ)充，當(dāng)一重保護(hù)被攻破時(shí)，其它重保護(hù)仍可保護(hù)信息的安全。在信息系統(tǒng)中，考慮信息、管理、業(yè)務(wù)及交易等系統(tǒng)的多層次、跨地域，情況復(fù)雜，我們將采用多種身份識(shí)別技術(shù)，其中 IC 卡應(yīng)用和一次性口令將是身份識(shí)別的主流。? 實(shí)時(shí)防病毒 網(wǎng)絡(luò)版和單機(jī)版的實(shí)時(shí)防毒強(qiáng)技術(shù)和產(chǎn)品，可以在病毒通過(guò)網(wǎng)絡(luò)或病毒在工作站上啟動(dòng)時(shí)被查出并殺除。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序等帶來(lái)的威脅。? 操作系統(tǒng)提供遠(yuǎn)程過(guò)程調(diào)用（RPC）服務(wù)。下表是因系統(tǒng)停機(jī)而造成損失的參考：行業(yè)種類(lèi) 商業(yè)操作 平均損失(每小時(shí))經(jīng)紀(jì)人業(yè)務(wù) $ Million信用卡 $ Million金融ATM $14,500按次數(shù)收費(fèi) $150,000中介服務(wù)遠(yuǎn)程售票 $69,000零售業(yè) 家庭電視購(gòu)物 $113,000航空定票 $89,500運(yùn)輸包裹運(yùn)輸 $28,0004．4．2 因數(shù)據(jù)丟失而帶來(lái)的損失統(tǒng)計(jì)據(jù)美國(guó)國(guó)家計(jì)算機(jī)安全（NCSA）調(diào)查，企業(yè) 20M 的重要信息丟失或損壞及恢復(fù)的代價(jià)，對(duì)于市場(chǎng)營(yíng)銷(xiāo)部門(mén)來(lái)說(shuō),恢復(fù)其被摧毀的數(shù)據(jù)至少需要 19 天,耗資17000 美元；對(duì)于財(cái)務(wù)部門(mén)來(lái)說(shuō),這一過(guò)程至少需要 21 天 ,耗資 19000 美元；而對(duì)于工程部門(mén)來(lái)說(shuō),這一過(guò)程將延至 42 天,耗資達(dá) 98000 美元。4． 5 信息系統(tǒng)中各級(jí)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)與對(duì)策4．5．1 基層網(wǎng)絡(luò)或終端基層網(wǎng)絡(luò)或終端是整個(gè)信息系統(tǒng)的末端，也是安全性最為薄弱的環(huán)節(jié)，對(duì)于信息系統(tǒng)的攻擊與危害主要來(lái)源于這里，由于其覆蓋面廣、跨地域性強(qiáng)，各地應(yīng)用水平和人員素質(zhì)參差不齊，因此對(duì)其安全風(fēng)險(xiǎn)和防護(hù)應(yīng)重點(diǎn)考慮。據(jù)美車(chē)金融時(shí)報(bào)報(bào)道，平均每 20 秒就發(fā)生一次入侵 INTERNET 計(jì)算機(jī)事件。? 操作系統(tǒng)安排的無(wú)口令入口，實(shí)際上它是為系統(tǒng)開(kāi)放人員提供便捷入口。這種動(dòng)態(tài)連接也是計(jì)算機(jī)病毒產(chǎn)生的環(huán)境。安全技術(shù)主要指認(rèn)證的安全和通信的安全，以及數(shù)據(jù)完整性，如包過(guò)濾路由器技術(shù)、防火墻技術(shù)、IC 卡技術(shù)、動(dòng)態(tài)口令技術(shù)、生物特性身份認(rèn)證技術(shù)、密碼技術(shù)、數(shù)據(jù)源加密、鏈路加密技術(shù)、實(shí)時(shí)監(jiān)控技術(shù)、電子屏蔽技術(shù)、防病毒技術(shù)、數(shù)據(jù)備份與恢復(fù)技術(shù)等，從技術(shù)實(shí)現(xiàn)的角度探討對(duì)網(wǎng)絡(luò)的安全防護(hù)。在實(shí)際應(yīng)用中，一般是對(duì)傳送的多個(gè)數(shù)據(jù)包中的一個(gè) IP 包進(jìn)行一次簽名驗(yàn)證，以提高網(wǎng)絡(luò)運(yùn)行效率。? 設(shè)多個(gè)安全單元的原則把整個(gè)網(wǎng)絡(luò)的安全性賦予多個(gè)安全單元，如路由器、屏蔽子網(wǎng)、網(wǎng)關(guān)，形成了多道安全防線(xiàn)。這一點(diǎn)企業(yè)的財(cái)務(wù)管理、資源管理、電子交易以及與銀行的接口中猶為重要。安全標(biāo)簽可以是報(bào)文結(jié)構(gòu)的一部分，如在加密過(guò)程中使用特殊的密鑰，報(bào)文的來(lái)源，指定路由等：還有一些是具有明確的安全意圖的標(biāo)簽，它們的作用是為安全檢查進(jìn)程提供檢查手段。安全機(jī)制的設(shè)計(jì)主要是針對(duì)系統(tǒng)和網(wǎng)絡(luò)所受到的不同類(lèi)型的侵犯，因而可以從功能上將其劃分成兩類(lèi)，一類(lèi)專(zhuān)門(mén)用于安全服務(wù)的專(zhuān)用安全機(jī)制，另一類(lèi)則僅是為了增強(qiáng)系統(tǒng)的安全級(jí)別，在本文中稱(chēng)為擴(kuò)展型安全機(jī)制。另外，這種安全級(jí)別要求對(duì)系統(tǒng)加以審核(audit)，這包括為系統(tǒng)中發(fā)生的每個(gè)事件編寫(xiě)一個(gè)審核記錄。這些操作系統(tǒng)不區(qū)分用戶(hù)，并且沒(méi)有定義方法來(lái)決定誰(shuí)在敲擊鍵盤(pán)。? 安全服務(wù) Security Services 根據(jù)安全策略與安全模型提供的安全方面的服務(wù)。在尚未信息立法之前，可以考慮先制定一些管理?xiàng)l例。1．3．3 信息平臺(tái)信息平臺(tái)是各種信息的集散地，是信息綜合利用的基礎(chǔ)。? 服務(wù)性系統(tǒng)應(yīng)充分體現(xiàn)信息管理和服務(wù)的特點(diǎn)，為政府機(jī)關(guān)提供方便、快捷的信息檢索查詢(xún)手段。1． 2 信息系統(tǒng)建設(shè)的原則信息系統(tǒng)的建設(shè)應(yīng)采取統(tǒng)一規(guī)劃、分步實(shí)施的原則，以保證網(wǎng)絡(luò)建設(shè)和應(yīng)用的合理性和順利完成。目錄目錄 ...........................................................................................................................................................1前言 ...........................................................................................................................................................3第一章 信息系統(tǒng)概述 .............................................................................................................................51．1 信息系統(tǒng)建設(shè)的目標(biāo) ..................................................................................................................51．2 信息系統(tǒng)建設(shè)的原則 ..................................................................................................................61．3 信息系統(tǒng)的構(gòu)成 ..........................................................................................................................71． 3． 1 主機(jī)、網(wǎng)絡(luò)平臺(tái) ...............................................................................................................81． 3． 2 系統(tǒng)平臺(tái) ....................