【文章內(nèi)容簡介】 全知識庫的一條龍安全體系架構(gòu)設(shè)計與安全工程的實施。 . 安全整體規(guī)劃 信息與網(wǎng)絡(luò)系統(tǒng)的安全工程建設(shè)不是一個獨立的項目問題，而是牽涉到網(wǎng)絡(luò)系統(tǒng)，甚至是非網(wǎng)絡(luò)系統(tǒng)的全面性的問題，需要統(tǒng)籌考慮問題，兼顧本企業(yè)各部門，兼顧系統(tǒng)的各個組成部分，兼顧本企業(yè)的目前狀況與長遠(yuǎn)發(fā)展等因素，要著眼全局，放眼未來，統(tǒng)籌規(guī)劃，從政策策略 、組織體系、人力資源、信息支援等方面全方位考慮。 中軟總公司能為本企業(yè)從戰(zhàn)略高度、以發(fā)展眼光提供安全整體規(guī)劃咨詢 10 服務(wù)，為本企業(yè)制定信息安全整體發(fā)展規(guī)劃、安全建設(shè)綱要、安全總則等戰(zhàn)略性的指導(dǎo)文檔，全面指導(dǎo)本企業(yè)的信息安全工程的建設(shè)，為建設(shè)本企業(yè)信息安全示范工程，起好步，開好頭。 . 風(fēng)險分析與評估 信息安全旨在保護(hù)信息資產(chǎn)以免受威脅?？紤]到所有類型的威脅，絕對安全是不可能的，只能通過一定的措施把風(fēng)險降低到一個可接受的程度。 對本企業(yè)來說，解決信息安全的首要問題就是明白本企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)目前與未來的風(fēng)險所在，充分 評估這些風(fēng)險可能帶來的威脅與影響的程度，即信息與網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析。本企業(yè)進(jìn)行安全風(fēng)險分析與評估，可從以下幾個方面進(jìn)行： ? 基于機(jī)構(gòu) /部門之間信息安全和日常工作與應(yīng)用的區(qū)別，確認(rèn)最關(guān)鍵的資產(chǎn)。 ? 分析本企業(yè)內(nèi)部或者本企業(yè)和企業(yè)之間的共享互操作性，同時進(jìn)行信息資產(chǎn)之間的相互依賴性的分析。 ? 基于對關(guān)鍵資產(chǎn)的確認(rèn)和共享互操作性的分析，系統(tǒng)管理員、操作者、安全專家對網(wǎng)絡(luò)脆弱性進(jìn)行評估，進(jìn)行風(fēng)險的識別。 ? 風(fēng)險的度量。 此外，在風(fēng)險分析過程中，人是最為關(guān)鍵的因素，需要詳細(xì)考察形形色色的不同類型的人，他們對信息與網(wǎng)絡(luò)系統(tǒng)的安 全有著極其重要的影響。 11 . 安全需求分析 不同的企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全需求是不同的。對企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全需求的理解可以從多側(cè)面、多角度入手，企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全體系應(yīng)該是全方位的，而不僅僅是加密，也不僅僅是防火墻或其他安全措施的堆砌，而應(yīng)著眼于從安全性、可靠性、高效性、可控性和持續(xù)性等多方面落實。 根據(jù)我們多年來的研究和與眾多網(wǎng)絡(luò)用戶的接觸和了解，我們認(rèn)為本企業(yè)可以從以下幾個方面提出信息安全需求： 首先，從國家政策法規(guī)，企業(yè)性質(zhì)和規(guī)章制度，以及考慮安全生產(chǎn)的方方面面的要求，提出企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)總體 的安全要求與安全級別。 其次，根據(jù)企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)資產(chǎn)的確認(rèn)情況，提出不同資產(chǎn)的安全級別需求，這樣，企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全問題可以有的放矢。 第三，根據(jù)信息與網(wǎng)絡(luò)系統(tǒng)的層次化，分級別提出安全需求，保證按照安全的實施層次化，風(fēng)險層次化。一般情況下，可以按照管理、物理、系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用五個層次提出安全需求。 安全需求的提出要充分考慮本企業(yè)的經(jīng)濟(jì)承受能力，同時安全需求要充分考慮本企業(yè)的發(fā)展，本企業(yè)網(wǎng)絡(luò)系統(tǒng)的未來可能出現(xiàn)的需求問題。 . 整體安全策略開發(fā) 安全策略是信息與網(wǎng)絡(luò)系統(tǒng)安全的靈魂與核心，是企業(yè)為發(fā)布、管理 和保護(hù)敏感的信息資源而制定的一組法律、法規(guī)和措施的總和。一個企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)沒有安全策略是不可言喻的。根據(jù)我們的實踐經(jīng)驗，企業(yè)級安全 12 策略可以從三個層面來考慮開發(fā)制定： 一是抽象安全策略。它通常表現(xiàn)為一系列的自然語言描述的文檔，是企業(yè)根據(jù)企業(yè)的任務(wù)、面臨的威脅及風(fēng)險分析、以及上層的制度、法律等制定出來限制用戶使用哪些資源、如何使用資源的一組規(guī)定。 二是全局自動安全策略。它是組織抽象安全策略的子集和細(xì)化，指能夠由計算機(jī)、路由器等設(shè)備自動實施的安全措施的規(guī)則和約束，不能由計算機(jī)實施的安全策略由安全管理制度等物理 環(huán)境安全等其他手段實施。全局自動安全策略主要從安全功能的角度考慮，分為標(biāo)識與認(rèn)證策略、授權(quán)與訪問控制策略、信息保密與完整性策略、數(shù)字簽名與抗抵賴策略、安全審計策略、入侵檢測策略、響應(yīng)與恢復(fù)策略、病毒防范策略、容錯與備份策略等。 三是局部執(zhí)行策略。它是分布在終端系統(tǒng)、中繼系統(tǒng)和應(yīng)用系統(tǒng)中的GASP 的子集，網(wǎng)絡(luò)中所有實體 LESP 的總和是 GASP 的具體實施。局部可執(zhí)行的安全策略是由物理組件與邏輯組件所實施的形式化的規(guī)則，如口令管理策略、防火墻過濾規(guī)則、認(rèn)證系統(tǒng)中的認(rèn)證策略、訪問控制系統(tǒng)中的主體的能力表、資源的訪問 控制鏈表、安全標(biāo)簽等等。每一條具體的規(guī)則都是可以設(shè)置與實施的。 對絕大多數(shù)的企業(yè)來說，沒有必要考慮那么全面。但對于企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)，開發(fā)全面的整體的安全策略是必要的。 在內(nèi)容方面，安全策略必須明確我們要保護(hù)什么，確定保護(hù)的內(nèi)容；明確如何去保護(hù)，確定保護(hù)的方法與技術(shù)手段；明確有誰去實施，承擔(dān)什么責(zé)任，確定責(zé)任與分工；同時，要明確處理問題后如何應(yīng)對，確定后果處理方法等。這些就是安全策略中每一項策略的具體的內(nèi)容。 13 開發(fā)安全策略時，要注意充分考慮制定安全策略的優(yōu)先次序，充分考慮企業(yè)內(nèi)部因素對安全策略的影響，不要指 望能夠制定一個絕對正確和詳細(xì)的策略，我們沒有能力提前預(yù)知問題的所有情況和細(xì)節(jié)。我們既要充分意識到今天好的能夠?qū)嵤┑牟呗员让髂陚ゴ蟛呗砸?，同時還要考慮實現(xiàn)安全策略可能的投資。安全策略力求簡潔，可實施，具有可操作性。一個十分完美的而不可操作的安全策略是沒有任何用處的。制定一個不能夠?qū)嵤┑陌踩呗缘扔跊]有安全策略。 . 安全體系的設(shè)計 企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全策略、技術(shù)標(biāo)準(zhǔn)與管理規(guī)范是企業(yè)進(jìn)行信息與網(wǎng)絡(luò)系統(tǒng)安全設(shè)計與工程的“思想上”的描述，真正要實現(xiàn)信息與網(wǎng)絡(luò)系統(tǒng)的安全，需要落實到具體的“行動上”，需要確定企業(yè)信息 與網(wǎng)絡(luò)系統(tǒng)的安全框架，明確具體的實施領(lǐng)域。 一個信息與網(wǎng)絡(luò)系統(tǒng)的安全體系框架，包括安全指導(dǎo)性文檔、安全基礎(chǔ)設(shè)施建設(shè)和檢查與稽核三個方面，是策略、技術(shù)與管理的統(tǒng)一，具有高安全性、高可靠性、高可用性、可操作性、可擴(kuò)展性與經(jīng)濟(jì)實用性。 在安全指導(dǎo)性文檔方面，是前面所述的內(nèi)容的具體化描述，主要有企業(yè)信息與網(wǎng)絡(luò)安全的總體目標(biāo)與原則，企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析與需求分析，企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全策略、技術(shù)標(biāo)準(zhǔn)與管理規(guī)范，企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全技術(shù)與產(chǎn)品的功能規(guī)范等關(guān)鍵文檔組成，是企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)安全的理論支撐與核 心。 在實施領(lǐng)域方面，根據(jù)企業(yè)目前信息與網(wǎng)絡(luò)系統(tǒng)的具體情況明確安全實 14 施領(lǐng)域制定安全解決方案。安全問題是隨著信息技術(shù)發(fā)展逐步出現(xiàn)的問題。很多企業(yè)在當(dāng)初建立信息與網(wǎng)絡(luò)系統(tǒng)時，由于多方面的原因沒有充分考慮安全問題，現(xiàn)在要徹底改變安全現(xiàn)狀，不可能一步到位，從應(yīng)用與現(xiàn)實的情況來看也不可能一步到位，因為既要要考慮投資規(guī)模，也要考慮安全實施對目前正常業(yè)務(wù)的影響等因素。安全實施領(lǐng)域的關(guān)鍵在于實施企業(yè)信息網(wǎng)絡(luò)安全風(fēng)險的層次管理，實施領(lǐng)域、實施方法手段的層次化，最大限度地風(fēng)險管理的層次化，確保信息網(wǎng)絡(luò)系統(tǒng)的安全。 至于規(guī)劃設(shè)計 一個全新的信息與網(wǎng)絡(luò)系統(tǒng)，進(jìn)行安全規(guī)劃，那就要簡單多了，可以從管理級安全、物理級安全、系統(tǒng)級安全、網(wǎng)絡(luò)級安全和應(yīng)用級安全等五個方面來規(guī)劃設(shè)計。這五個方面的實施是全面的安全解決方案，是比較徹底的，但這樣的企業(yè)是少數(shù)。 對于一個信息與網(wǎng)絡(luò)系統(tǒng)已經(jīng)建設(shè)了一定規(guī)模，運行了相當(dāng)年月、具有很多成熟應(yīng)用的企業(yè)來說，不能完全從上述五個方面進(jìn)行實施，但可以在標(biāo)準(zhǔn)和規(guī)范的指導(dǎo)下，依據(jù)整體安全策略并采用先進(jìn)適用的綜合技術(shù)手段來建立一個統(tǒng)一的網(wǎng)絡(luò)安全防護(hù)體系。 安全稽核與檢查制度是安全整體框架的一部分，要明確安全檢查的對象、檢查的 方法、手段與工具、數(shù)據(jù)的收集、整理與分析，同時要明確檢查的標(biāo)準(zhǔn)與規(guī)范。 . 安全意識的教育與技術(shù)的培訓(xùn) 企業(yè)的信息與網(wǎng)絡(luò)系統(tǒng)的安全問題關(guān)鍵的是在于人的因素，人在整個安全過程中起著決定因素，因此，對整個企業(yè)的全體人員乃至全民的廣普的安 15 全意識教育與針對技術(shù)人員的安全技術(shù)培訓(xùn)是至關(guān)重要的。 不同的企業(yè)可以根據(jù)具體情況建立不同規(guī)模的教育培訓(xùn)體系，設(shè)置不同的培訓(xùn)課程，制定不同層次的考核方法與標(biāo)準(zhǔn)。企業(yè)還應(yīng)定期組織各種形式的宣傳活動。培訓(xùn)與教育工作也要制度化與經(jīng)常化，不宜走過場。 . 安全系統(tǒng)的評測、稽核與檢查 企業(yè)信息與網(wǎng)絡(luò) 系統(tǒng)安全稽核與檢查工作是監(jiān)督企業(yè)安全工作落實情況，保證企業(yè)統(tǒng)一安全策略得到貫徹實施的有效方法與手段。我們經(jīng)過大量的調(diào)查發(fā)現(xiàn)，絕大多數(shù)企業(yè)沒有安全稽核與檢查制度，即使有也是流于形式上的檢查，沒有有效的技術(shù)方法來進(jìn)行檢查，對檢查的結(jié)果數(shù)據(jù)沒有統(tǒng)一的標(biāo)準(zhǔn)來衡量與評估。 從安全策略上看，稽核與檢查工作和安全基礎(chǔ)設(shè)施建設(shè)工作，在組織、人員、技術(shù)、設(shè)備、系統(tǒng)等方面應(yīng)該是分開，應(yīng)該是相互制約的，只有這樣企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全才能得到保障。 稽核與檢查工作包括調(diào)查研究、座談會、微服私訪、工具與方法測試、日志審計、滲透式測 試等多種方法，對安全政策、組織、人員、技術(shù)措施、安全意識等方面進(jìn)行全面的檢查，形成綜合的稽核報告，最大限度地監(jiān)督安全基礎(chǔ)設(shè)施的建設(shè)與落實，保證企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全，保證企業(yè)日常工作與安全生產(chǎn)的順利進(jìn)行。 . 安全事件的應(yīng)急響應(yīng) 當(dāng)企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)發(fā)生緊急情況時，中軟總公司可以提供應(yīng)急響應(yīng) 16 服務(wù)，幫助企業(yè)啟動緊急救援計劃。中軟總公司將派訓(xùn)練有素的安全技術(shù)人員以最快的反應(yīng)速度到達(dá)現(xiàn)場，恢復(fù)系統(tǒng)正常工，協(xié)助檢查入侵來源，提供事故分析報告和安全建議，為企業(yè)提供及時、全面的安全問題解決服務(wù)。根據(jù)緊急事件的發(fā)生現(xiàn)象和發(fā) 生原因，所提供的服務(wù)分類如下： ? 實時攻擊 當(dāng)黑客攻擊正在進(jìn)行時，派安全專家現(xiàn)場進(jìn)行防范，對黑客進(jìn)行跟蹤、協(xié)助檢查入侵來源，并對其進(jìn)行打擊。 ? 災(zāi)難恢復(fù) 當(dāng)網(wǎng)絡(luò)或主機(jī)已經(jīng)遭受黑客攻擊，并且造成嚴(yán)重后果，安全專家將對受到破壞的數(shù)據(jù)進(jìn)行恢復(fù)，并提出進(jìn)一步的安全保護(hù)方案；同時對系統(tǒng)日志和安全日志進(jìn)行分析整理，收集黑客攻擊的證據(jù)。 ? 系統(tǒng)異常 當(dāng)用戶發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)發(fā)生異常情況，比如 WWW服務(wù)異常、系統(tǒng)負(fù)荷異常、系統(tǒng)非法進(jìn)程、異常端口激活、非法掃描、加密傳輸異常等異常情況，需要安全專家到現(xiàn)場進(jìn)行網(wǎng)絡(luò)探測、系統(tǒng)分析，找到異常 情況發(fā)生的原因，并采取緊急措施，恢復(fù)系統(tǒng)。 ? 病毒發(fā)作 當(dāng)網(wǎng)絡(luò)上發(fā)作病毒時，病毒安全專家將到現(xiàn)場，根據(jù)病毒種類和所造成危害的性質(zhì)，進(jìn)行病毒查殺和數(shù)據(jù)恢復(fù)。 17 4. 信息與網(wǎng)絡(luò)安全解決方案 . 安全解決方案設(shè)計目標(biāo) 有很多安全廠商推出了自己的安全解決方案，都在不同程度地解決了企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全問題。隨著信息技術(shù)的發(fā)展，很多解決方案不能滿足日益嚴(yán)重的信息網(wǎng)絡(luò)安全問題的需要。有的只是部分安全解決方案，安全風(fēng)險越來越大，需要用多種安全技術(shù)層次化的化解風(fēng)險，需要一套整體的從根本上解決安全問題的安全解決方案。 企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安 全需求是我們安全解決方案，在最小安全投資的前提下，最大限度的滿足企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全需求。同時根據(jù)安全投資的情況，按照不同的相對獨立的實施領(lǐng)域，分階段逐步實現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全。具體目標(biāo)如下： （ 1） 建立本企業(yè)穩(wěn)固的安全邊界，實現(xiàn)本企業(yè)網(wǎng)絡(luò)系統(tǒng)與外界網(wǎng)絡(luò)系統(tǒng)的安全隔離與訪問控制。 （ 2） 最大限度的控制網(wǎng)絡(luò)系統(tǒng)本身固有的安全風(fēng)險。 目標(biāo)是定期進(jìn)行弱點漏洞分析、不當(dāng)?shù)南到y(tǒng)配置分析，消除網(wǎng)絡(luò)系統(tǒng)本身存在大量的弱點漏洞和認(rèn)為的操作或配置所產(chǎn)生的不當(dāng)?shù)呐c安全策略相違背的系統(tǒng)配置，減少入侵者可以利用來進(jìn)行入侵的機(jī)會。 （ 3） 實現(xiàn)本企業(yè)網(wǎng)絡(luò) 系統(tǒng)入侵行為的檢測與防御。 目標(biāo)是有效阻止來自外部的攻擊行為，同時也能防止內(nèi)部職工的違規(guī)操作行為。 （ 4） 控制本企業(yè)敏感信息、技術(shù)專利在網(wǎng)絡(luò)系統(tǒng)中無序傳播；控制本企 18 業(yè)員工對不合法站點資源的訪問。 （ 5） 保證本企業(yè)網(wǎng)絡(luò)系統(tǒng)桌面系統(tǒng)的安全。 （ 6） 提高操作系統(tǒng)的安全級別，實現(xiàn)系統(tǒng)級安全。 （ 7） 實現(xiàn)統(tǒng)一的身份認(rèn)證與訪問授權(quán)。 （ 8） 實現(xiàn)網(wǎng)絡(luò)系統(tǒng)病毒的偵測與預(yù)防。 （ 9） 實現(xiàn)本企業(yè)網(wǎng)絡(luò)系統(tǒng)通信鏈路的安全。 （ 10） 實現(xiàn)本企業(yè)網(wǎng)絡(luò)系統(tǒng)敏感數(shù)據(jù)及數(shù)據(jù)庫的安全。 （ 11） 保證本企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)用系統(tǒng)的安全。 （ 12） 實現(xiàn)本企業(yè)網(wǎng)絡(luò)系統(tǒng)的災(zāi)難恢復(fù)與數(shù)據(jù)的備份。 （ 13） 實現(xiàn)本企業(yè)網(wǎng)絡(luò)系統(tǒng) 安全系統(tǒng)的集中管理。 以上這些只是本企業(yè)網(wǎng)絡(luò)安全需求的一些事例，要全面滿足上述需求，需要制定統(tǒng)一的安全策略，使用適當(dāng)?shù)陌踩珯C(jī)制與安全技術(shù)，通過合適的管理才能解決。安全不是技術(shù)問題，而是策略、技術(shù)與管理的綜合。 . 安全解決方案設(shè)計原則 沒有獨立于本企業(yè)應(yīng)用需求的安全解決方案，中軟總公司在進(jìn)行安全解決方案設(shè)計時遵從以下原則： a) 安全目標(biāo)和安全行為必須根據(jù)業(yè)務(wù)目標(biāo)和業(yè)務(wù)需要，并受業(yè)務(wù)管理的指導(dǎo)，這就是安全方案服務(wù)于業(yè)務(wù)需求的原則。 b) 安全系統(tǒng)必須穩(wěn)定、可靠、可用，不影響應(yīng)用系統(tǒng)原有的功能與效率，這就是可靠性原則。 c) 安 全系統(tǒng)必須能夠真正保護(hù)網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠的運 19 行，保證網(wǎng)絡(luò)資源授控合法的使用，這就是安全性原則。 d) 安全系統(tǒng)必須允許增加新的安全組件與安全功能，保證系統(tǒng)安全性不斷增長的需要，這就是可擴(kuò)展性原則。 e) 安全系統(tǒng)必須經(jīng)濟(jì)實用，性能價格比最優(yōu)，這就是經(jīng)濟(jì)性原則。 f) 安全系統(tǒng)必須好用、可用與易用，復(fù)雜的配置，只有專家能夠使用與維護(hù)的安全，對企業(yè)來說是不實際的，這就是易用性原則。 g) 安全系統(tǒng)必須是多層次的、立體的、覆蓋事前事中事后的解決方案，最大限度的保證網(wǎng)絡(luò)系統(tǒng)的安全。 . 安全解決方案設(shè)計框架 我們深入分析了眾多的