【文章內容簡介】 全知識庫的一條龍安全體系架構設計與安全工程的實施。 . 安全整體規(guī)劃 信息與網(wǎng)絡系統(tǒng)的安全工程建設不是一個獨立的項目問題，而是牽涉到網(wǎng)絡系統(tǒng)，甚至是非網(wǎng)絡系統(tǒng)的全面性的問題，需要統(tǒng)籌考慮問題，兼顧本企業(yè)各部門，兼顧系統(tǒng)的各個組成部分，兼顧本企業(yè)的目前狀況與長遠發(fā)展等因素，要著眼全局，放眼未來，統(tǒng)籌規(guī)劃，從政策策略 、組織體系、人力資源、信息支援等方面全方位考慮。 中軟總公司能為本企業(yè)從戰(zhàn)略高度、以發(fā)展眼光提供安全整體規(guī)劃咨詢 10 服務，為本企業(yè)制定信息安全整體發(fā)展規(guī)劃、安全建設綱要、安全總則等戰(zhàn)略性的指導文檔，全面指導本企業(yè)的信息安全工程的建設，為建設本企業(yè)信息安全示范工程，起好步，開好頭。 . 風險分析與評估 信息安全旨在保護信息資產(chǎn)以免受威脅?？紤]到所有類型的威脅，絕對安全是不可能的，只能通過一定的措施把風險降低到一個可接受的程度。 對本企業(yè)來說，解決信息安全的首要問題就是明白本企業(yè)信息與網(wǎng)絡系統(tǒng)目前與未來的風險所在，充分 評估這些風險可能帶來的威脅與影響的程度，即信息與網(wǎng)絡系統(tǒng)的風險分析。本企業(yè)進行安全風險分析與評估，可從以下幾個方面進行： ? 基于機構 /部門之間信息安全和日常工作與應用的區(qū)別，確認最關鍵的資產(chǎn)。 ? 分析本企業(yè)內部或者本企業(yè)和企業(yè)之間的共享互操作性，同時進行信息資產(chǎn)之間的相互依賴性的分析。 ? 基于對關鍵資產(chǎn)的確認和共享互操作性的分析，系統(tǒng)管理員、操作者、安全專家對網(wǎng)絡脆弱性進行評估，進行風險的識別。 ? 風險的度量。 此外，在風險分析過程中，人是最為關鍵的因素，需要詳細考察形形色色的不同類型的人，他們對信息與網(wǎng)絡系統(tǒng)的安 全有著極其重要的影響。 11 . 安全需求分析 不同的企業(yè)信息與網(wǎng)絡系統(tǒng)的安全需求是不同的。對企業(yè)信息與網(wǎng)絡系統(tǒng)的安全需求的理解可以從多側面、多角度入手，企業(yè)信息與網(wǎng)絡系統(tǒng)的安全體系應該是全方位的，而不僅僅是加密，也不僅僅是防火墻或其他安全措施的堆砌，而應著眼于從安全性、可靠性、高效性、可控性和持續(xù)性等多方面落實。 根據(jù)我們多年來的研究和與眾多網(wǎng)絡用戶的接觸和了解，我們認為本企業(yè)可以從以下幾個方面提出信息安全需求： 首先，從國家政策法規(guī)，企業(yè)性質和規(guī)章制度，以及考慮安全生產(chǎn)的方方面面的要求，提出企業(yè)信息與網(wǎng)絡系統(tǒng)總體 的安全要求與安全級別。 其次，根據(jù)企業(yè)信息與網(wǎng)絡系統(tǒng)資產(chǎn)的確認情況，提出不同資產(chǎn)的安全級別需求，這樣，企業(yè)信息與網(wǎng)絡系統(tǒng)的安全問題可以有的放矢。 第三，根據(jù)信息與網(wǎng)絡系統(tǒng)的層次化，分級別提出安全需求，保證按照安全的實施層次化，風險層次化。一般情況下，可以按照管理、物理、系統(tǒng)、網(wǎng)絡和應用五個層次提出安全需求。 安全需求的提出要充分考慮本企業(yè)的經(jīng)濟承受能力，同時安全需求要充分考慮本企業(yè)的發(fā)展，本企業(yè)網(wǎng)絡系統(tǒng)的未來可能出現(xiàn)的需求問題。 . 整體安全策略開發(fā) 安全策略是信息與網(wǎng)絡系統(tǒng)安全的靈魂與核心，是企業(yè)為發(fā)布、管理 和保護敏感的信息資源而制定的一組法律、法規(guī)和措施的總和。一個企業(yè)信息與網(wǎng)絡系統(tǒng)沒有安全策略是不可言喻的。根據(jù)我們的實踐經(jīng)驗，企業(yè)級安全 12 策略可以從三個層面來考慮開發(fā)制定： 一是抽象安全策略。它通常表現(xiàn)為一系列的自然語言描述的文檔，是企業(yè)根據(jù)企業(yè)的任務、面臨的威脅及風險分析、以及上層的制度、法律等制定出來限制用戶使用哪些資源、如何使用資源的一組規(guī)定。 二是全局自動安全策略。它是組織抽象安全策略的子集和細化，指能夠由計算機、路由器等設備自動實施的安全措施的規(guī)則和約束，不能由計算機實施的安全策略由安全管理制度等物理 環(huán)境安全等其他手段實施。全局自動安全策略主要從安全功能的角度考慮，分為標識與認證策略、授權與訪問控制策略、信息保密與完整性策略、數(shù)字簽名與抗抵賴策略、安全審計策略、入侵檢測策略、響應與恢復策略、病毒防范策略、容錯與備份策略等。 三是局部執(zhí)行策略。它是分布在終端系統(tǒng)、中繼系統(tǒng)和應用系統(tǒng)中的GASP 的子集，網(wǎng)絡中所有實體 LESP 的總和是 GASP 的具體實施。局部可執(zhí)行的安全策略是由物理組件與邏輯組件所實施的形式化的規(guī)則，如口令管理策略、防火墻過濾規(guī)則、認證系統(tǒng)中的認證策略、訪問控制系統(tǒng)中的主體的能力表、資源的訪問 控制鏈表、安全標簽等等。每一條具體的規(guī)則都是可以設置與實施的。 對絕大多數(shù)的企業(yè)來說，沒有必要考慮那么全面。但對于企業(yè)信息與網(wǎng)絡系統(tǒng)，開發(fā)全面的整體的安全策略是必要的。 在內容方面，安全策略必須明確我們要保護什么，確定保護的內容；明確如何去保護，確定保護的方法與技術手段；明確有誰去實施，承擔什么責任，確定責任與分工；同時，要明確處理問題后如何應對，確定后果處理方法等。這些就是安全策略中每一項策略的具體的內容。 13 開發(fā)安全策略時，要注意充分考慮制定安全策略的優(yōu)先次序，充分考慮企業(yè)內部因素對安全策略的影響，不要指 望能夠制定一個絕對正確和詳細的策略，我們沒有能力提前預知問題的所有情況和細節(jié)。我們既要充分意識到今天好的能夠實施的策略比明年偉大策略要好，同時還要考慮實現(xiàn)安全策略可能的投資。安全策略力求簡潔，可實施，具有可操作性。一個十分完美的而不可操作的安全策略是沒有任何用處的。制定一個不能夠實施的安全策略等于沒有安全策略。 . 安全體系的設計 企業(yè)信息與網(wǎng)絡系統(tǒng)的安全策略、技術標準與管理規(guī)范是企業(yè)進行信息與網(wǎng)絡系統(tǒng)安全設計與工程的“思想上”的描述，真正要實現(xiàn)信息與網(wǎng)絡系統(tǒng)的安全，需要落實到具體的“行動上”，需要確定企業(yè)信息 與網(wǎng)絡系統(tǒng)的安全框架，明確具體的實施領域。 一個信息與網(wǎng)絡系統(tǒng)的安全體系框架，包括安全指導性文檔、安全基礎設施建設和檢查與稽核三個方面，是策略、技術與管理的統(tǒng)一，具有高安全性、高可靠性、高可用性、可操作性、可擴展性與經(jīng)濟實用性。 在安全指導性文檔方面，是前面所述的內容的具體化描述，主要有企業(yè)信息與網(wǎng)絡安全的總體目標與原則，企業(yè)信息與網(wǎng)絡系統(tǒng)的風險分析與需求分析，企業(yè)信息與網(wǎng)絡系統(tǒng)的安全策略、技術標準與管理規(guī)范，企業(yè)信息與網(wǎng)絡系統(tǒng)的安全技術與產(chǎn)品的功能規(guī)范等關鍵文檔組成，是企業(yè)信息與網(wǎng)絡系統(tǒng)安全的理論支撐與核 心。 在實施領域方面，根據(jù)企業(yè)目前信息與網(wǎng)絡系統(tǒng)的具體情況明確安全實 14 施領域制定安全解決方案。安全問題是隨著信息技術發(fā)展逐步出現(xiàn)的問題。很多企業(yè)在當初建立信息與網(wǎng)絡系統(tǒng)時，由于多方面的原因沒有充分考慮安全問題，現(xiàn)在要徹底改變安全現(xiàn)狀，不可能一步到位，從應用與現(xiàn)實的情況來看也不可能一步到位，因為既要要考慮投資規(guī)模，也要考慮安全實施對目前正常業(yè)務的影響等因素。安全實施領域的關鍵在于實施企業(yè)信息網(wǎng)絡安全風險的層次管理，實施領域、實施方法手段的層次化，最大限度地風險管理的層次化，確保信息網(wǎng)絡系統(tǒng)的安全。 至于規(guī)劃設計 一個全新的信息與網(wǎng)絡系統(tǒng)，進行安全規(guī)劃，那就要簡單多了，可以從管理級安全、物理級安全、系統(tǒng)級安全、網(wǎng)絡級安全和應用級安全等五個方面來規(guī)劃設計。這五個方面的實施是全面的安全解決方案，是比較徹底的，但這樣的企業(yè)是少數(shù)。 對于一個信息與網(wǎng)絡系統(tǒng)已經(jīng)建設了一定規(guī)模，運行了相當年月、具有很多成熟應用的企業(yè)來說，不能完全從上述五個方面進行實施，但可以在標準和規(guī)范的指導下，依據(jù)整體安全策略并采用先進適用的綜合技術手段來建立一個統(tǒng)一的網(wǎng)絡安全防護體系。 安全稽核與檢查制度是安全整體框架的一部分，要明確安全檢查的對象、檢查的 方法、手段與工具、數(shù)據(jù)的收集、整理與分析，同時要明確檢查的標準與規(guī)范。 . 安全意識的教育與技術的培訓 企業(yè)的信息與網(wǎng)絡系統(tǒng)的安全問題關鍵的是在于人的因素，人在整個安全過程中起著決定因素，因此，對整個企業(yè)的全體人員乃至全民的廣普的安 15 全意識教育與針對技術人員的安全技術培訓是至關重要的。 不同的企業(yè)可以根據(jù)具體情況建立不同規(guī)模的教育培訓體系，設置不同的培訓課程，制定不同層次的考核方法與標準。企業(yè)還應定期組織各種形式的宣傳活動。培訓與教育工作也要制度化與經(jīng)?；灰俗哌^場。 . 安全系統(tǒng)的評測、稽核與檢查 企業(yè)信息與網(wǎng)絡 系統(tǒng)安全稽核與檢查工作是監(jiān)督企業(yè)安全工作落實情況，保證企業(yè)統(tǒng)一安全策略得到貫徹實施的有效方法與手段。我們經(jīng)過大量的調查發(fā)現(xiàn)，絕大多數(shù)企業(yè)沒有安全稽核與檢查制度，即使有也是流于形式上的檢查，沒有有效的技術方法來進行檢查，對檢查的結果數(shù)據(jù)沒有統(tǒng)一的標準來衡量與評估。 從安全策略上看，稽核與檢查工作和安全基礎設施建設工作，在組織、人員、技術、設備、系統(tǒng)等方面應該是分開，應該是相互制約的，只有這樣企業(yè)信息與網(wǎng)絡系統(tǒng)的安全才能得到保障。 稽核與檢查工作包括調查研究、座談會、微服私訪、工具與方法測試、日志審計、滲透式測 試等多種方法，對安全政策、組織、人員、技術措施、安全意識等方面進行全面的檢查，形成綜合的稽核報告，最大限度地監(jiān)督安全基礎設施的建設與落實，保證企業(yè)信息與網(wǎng)絡系統(tǒng)的安全，保證企業(yè)日常工作與安全生產(chǎn)的順利進行。 . 安全事件的應急響應 當企業(yè)信息與網(wǎng)絡系統(tǒng)發(fā)生緊急情況時，中軟總公司可以提供應急響應 16 服務，幫助企業(yè)啟動緊急救援計劃。中軟總公司將派訓練有素的安全技術人員以最快的反應速度到達現(xiàn)場，恢復系統(tǒng)正常工，協(xié)助檢查入侵來源，提供事故分析報告和安全建議，為企業(yè)提供及時、全面的安全問題解決服務。根據(jù)緊急事件的發(fā)生現(xiàn)象和發(fā) 生原因，所提供的服務分類如下： ? 實時攻擊 當黑客攻擊正在進行時，派安全專家現(xiàn)場進行防范，對黑客進行跟蹤、協(xié)助檢查入侵來源，并對其進行打擊。 ? 災難恢復 當網(wǎng)絡或主機已經(jīng)遭受黑客攻擊，并且造成嚴重后果，安全專家將對受到破壞的數(shù)據(jù)進行恢復，并提出進一步的安全保護方案；同時對系統(tǒng)日志和安全日志進行分析整理，收集黑客攻擊的證據(jù)。 ? 系統(tǒng)異常 當用戶發(fā)現(xiàn)網(wǎng)絡或主機發(fā)生異常情況，比如 WWW服務異常、系統(tǒng)負荷異常、系統(tǒng)非法進程、異常端口激活、非法掃描、加密傳輸異常等異常情況，需要安全專家到現(xiàn)場進行網(wǎng)絡探測、系統(tǒng)分析，找到異常 情況發(fā)生的原因，并采取緊急措施，恢復系統(tǒng)。 ? 病毒發(fā)作 當網(wǎng)絡上發(fā)作病毒時，病毒安全專家將到現(xiàn)場，根據(jù)病毒種類和所造成危害的性質，進行病毒查殺和數(shù)據(jù)恢復。 17 4. 信息與網(wǎng)絡安全解決方案 . 安全解決方案設計目標 有很多安全廠商推出了自己的安全解決方案，都在不同程度地解決了企業(yè)網(wǎng)絡系統(tǒng)的安全問題。隨著信息技術的發(fā)展，很多解決方案不能滿足日益嚴重的信息網(wǎng)絡安全問題的需要。有的只是部分安全解決方案，安全風險越來越大，需要用多種安全技術層次化的化解風險，需要一套整體的從根本上解決安全問題的安全解決方案。 企業(yè)信息與網(wǎng)絡系統(tǒng)的安 全需求是我們安全解決方案，在最小安全投資的前提下，最大限度的滿足企業(yè)網(wǎng)絡系統(tǒng)的安全需求。同時根據(jù)安全投資的情況，按照不同的相對獨立的實施領域，分階段逐步實現(xiàn)企業(yè)網(wǎng)絡系統(tǒng)的安全。具體目標如下： （ 1） 建立本企業(yè)穩(wěn)固的安全邊界，實現(xiàn)本企業(yè)網(wǎng)絡系統(tǒng)與外界網(wǎng)絡系統(tǒng)的安全隔離與訪問控制。 （ 2） 最大限度的控制網(wǎng)絡系統(tǒng)本身固有的安全風險。 目標是定期進行弱點漏洞分析、不當?shù)南到y(tǒng)配置分析，消除網(wǎng)絡系統(tǒng)本身存在大量的弱點漏洞和認為的操作或配置所產(chǎn)生的不當?shù)呐c安全策略相違背的系統(tǒng)配置，減少入侵者可以利用來進行入侵的機會。 （ 3） 實現(xiàn)本企業(yè)網(wǎng)絡 系統(tǒng)入侵行為的檢測與防御。 目標是有效阻止來自外部的攻擊行為，同時也能防止內部職工的違規(guī)操作行為。 （ 4） 控制本企業(yè)敏感信息、技術專利在網(wǎng)絡系統(tǒng)中無序傳播；控制本企 18 業(yè)員工對不合法站點資源的訪問。 （ 5） 保證本企業(yè)網(wǎng)絡系統(tǒng)桌面系統(tǒng)的安全。 （ 6） 提高操作系統(tǒng)的安全級別，實現(xiàn)系統(tǒng)級安全。 （ 7） 實現(xiàn)統(tǒng)一的身份認證與訪問授權。 （ 8） 實現(xiàn)網(wǎng)絡系統(tǒng)病毒的偵測與預防。 （ 9） 實現(xiàn)本企業(yè)網(wǎng)絡系統(tǒng)通信鏈路的安全。 （ 10） 實現(xiàn)本企業(yè)網(wǎng)絡系統(tǒng)敏感數(shù)據(jù)及數(shù)據(jù)庫的安全。 （ 11） 保證本企業(yè)網(wǎng)絡系統(tǒng)中應用系統(tǒng)的安全。 （ 12） 實現(xiàn)本企業(yè)網(wǎng)絡系統(tǒng)的災難恢復與數(shù)據(jù)的備份。 （ 13） 實現(xiàn)本企業(yè)網(wǎng)絡系統(tǒng) 安全系統(tǒng)的集中管理。 以上這些只是本企業(yè)網(wǎng)絡安全需求的一些事例，要全面滿足上述需求，需要制定統(tǒng)一的安全策略，使用適當?shù)陌踩珯C制與安全技術，通過合適的管理才能解決。安全不是技術問題，而是策略、技術與管理的綜合。 . 安全解決方案設計原則 沒有獨立于本企業(yè)應用需求的安全解決方案，中軟總公司在進行安全解決方案設計時遵從以下原則： a) 安全目標和安全行為必須根據(jù)業(yè)務目標和業(yè)務需要，并受業(yè)務管理的指導，這就是安全方案服務于業(yè)務需求的原則。 b) 安全系統(tǒng)必須穩(wěn)定、可靠、可用，不影響應用系統(tǒng)原有的功能與效率，這就是可靠性原則。 c) 安 全系統(tǒng)必須能夠真正保護網(wǎng)絡系統(tǒng)，實現(xiàn)網(wǎng)絡系統(tǒng)穩(wěn)定可靠的運 19 行，保證網(wǎng)絡資源授控合法的使用，這就是安全性原則。 d) 安全系統(tǒng)必須允許增加新的安全組件與安全功能，保證系統(tǒng)安全性不斷增長的需要，這就是可擴展性原則。 e) 安全系統(tǒng)必須經(jīng)濟實用，性能價格比最優(yōu)，這就是經(jīng)濟性原則。 f) 安全系統(tǒng)必須好用、可用與易用，復雜的配置，只有專家能夠使用與維護的安全，對企業(yè)來說是不實際的，這就是易用性原則。 g) 安全系統(tǒng)必須是多層次的、立體的、覆蓋事前事中事后的解決方案，最大限度的保證網(wǎng)絡系統(tǒng)的安全。 . 安全解決方案設計框架 我們深入分析了眾多的