【文章內(nèi)容簡介】 庫、多媒體數(shù)據(jù)庫和多維數(shù)據(jù)庫等技術(shù)和產(chǎn)品來實現(xiàn)，以實現(xiàn)企業(yè)各類內(nèi)部及外部的信息的綜合處理，為企業(yè)信息系統(tǒng)的應(yīng)用提供科學、有利的數(shù)據(jù)。7 / 411．3．4 應(yīng)用平臺應(yīng)用是建立信息系統(tǒng)的目的，根據(jù)自身的需求進行合理的投資，建立科學的應(yīng)用，將使企業(yè)得到最大的投資回報。信息系統(tǒng)的應(yīng)用主要有：? 財務(wù)管理系統(tǒng)? 管理信息系統(tǒng)（ＭＩＳ）? 集成制造系統(tǒng)（ＣＩＭＳ）? 辦公自動化系統(tǒng)（ＯＡ）? 企業(yè)信息服務(wù)系統(tǒng)（ＥＩＳ）? 企業(yè)資源計劃系統(tǒng)（ＥＲＰ）? 業(yè)務(wù)流程重組（ＢＰＲ）? 決策支持系統(tǒng)（ＤＳＳ）? 客戶關(guān)系管理? 市場營銷管理? 電子商務(wù)? 網(wǎng)絡(luò)營銷? 多媒體呼叫中心? INTERNET應(yīng)用? ． ． ． ． ． ．1．3．5 用戶桌面平臺信息系統(tǒng)的應(yīng)用，無論是查詢、檢索、計算、處理還是分析，最終都要呈現(xiàn)到用戶桌面上，目前常用的用戶桌面主要有終端機、客戶 PC 機、電視、家用電器等。用戶桌面是整個信息系統(tǒng)的末端環(huán)節(jié)，同時也是用戶利用信息系統(tǒng)進行工作的工具。1．3．6 安全平臺安全平臺貫穿整個信息系統(tǒng)的所有層次，是信息系統(tǒng)正常運轉(zhuǎn)的保障。安全管理則覆蓋信息系統(tǒng)、企業(yè)應(yīng)用的全面，只有將安全技術(shù)、產(chǎn)品和人員的安全管理有機地結(jié)合在一起，才能為信息系統(tǒng)建設(shè)一個比較完善的安全體系。8 / 41第二章 信息系統(tǒng)安全概述今天，幾乎世界上每一個國家都高度依賴于相同的、內(nèi)部連接的通訊、能源、運輸和公用網(wǎng)絡(luò)。不管用國際互聯(lián)網(wǎng)、調(diào)制解調(diào)器或是租用的專線，幾乎每一個這種網(wǎng)絡(luò)都能互相跟蹤。研究表明，75%以上的這些網(wǎng)絡(luò)有相當多的弱點。安全問題是組建網(wǎng)絡(luò)面臨的敏感和重要問題。網(wǎng)絡(luò)提供了信息流通的便利渠道，提供了客戶服務(wù)及信息交流的平臺。但同時也給信息的保密和真實性，系統(tǒng)的正常運行帶來嚴重的挑戰(zhàn)。因此，如何協(xié)調(diào)系統(tǒng)安全和系統(tǒng)的靈活、高效和開放性，保證網(wǎng)絡(luò)的可靠運行，動態(tài)地監(jiān)控和調(diào)節(jié)網(wǎng)絡(luò)性能，是在設(shè)計系統(tǒng)安全體系和選擇網(wǎng)絡(luò)安全管理產(chǎn)品時必須要考慮的問題。2． 1 安全性概念信息系統(tǒng)安全涉及到立法、政府行為、保險與技術(shù)許多方面的問題。 在信息立法方面，國家要在信息系統(tǒng)安全方面進行立法。在尚未信息立法之前，可以考慮先制定一些管理條例。 在政府行為方面，國家要對信息系統(tǒng)安全產(chǎn)品制定安全標準，并且進行技術(shù)監(jiān)督工作。企業(yè)應(yīng)考慮成立國家信息系統(tǒng)運營網(wǎng)管中心，實施較嚴格網(wǎng)絡(luò)管理。 在保險業(yè)務(wù)方面，一些重要的企業(yè)經(jīng)濟信息系統(tǒng)的安全可以購買保險方式進行保護。 在安全技術(shù)方面計算機信息系統(tǒng)的安全包括如下兩個層次的含義：? 信息系統(tǒng)的數(shù)據(jù)與信息的安全與保密? 計算機信息系統(tǒng)的自身的安全 從總的方面來看，信息系統(tǒng)安全要抓住認證、加密、授權(quán)、保護、監(jiān)控與攻擊等方面工作，一般包括如下幾個方面的具體內(nèi)容：? 要保護系統(tǒng)與系統(tǒng)內(nèi)的各種資源免遭自然與人為的破壞，具有抗災害與抗破壞的能力。? 要防止信息輻射與泄漏。? 要防止信息系統(tǒng)免遭“信息武器”的攻擊。? 加密與解密算法及其芯片。? 為計算機等信息設(shè)備加設(shè)的密鑰體制與密鑰芯片。? 反“黑客”攻擊的模擬仿真技術(shù)? 反計算機病毒技術(shù)? 防火墻技術(shù)? 身份認證技術(shù)? 安全監(jiān)視跟蹤技術(shù)9 / 41? 要準備系統(tǒng)安全應(yīng)急恢復計劃與措施。? 要加強信息系統(tǒng)的安全管理2． 2 安全等級標準介紹根據(jù)美國國防部的計算機安全標準，可信任計算機標準評估準則（Trusten Computer Standards Evaluation Criteria）——桔皮書（Orange Book） ，一些級別被用于保護硬件、軟件和存儲的信息免受攻擊。這些級別均描述了不同類型的物理安全、用戶身份驗證（authentication） 、操作系統(tǒng)軟件的可信任性和用戶應(yīng)用程序。這些標準也限制了什么類型的系統(tǒng)可以連接到系統(tǒng)。安全性等級 主要特征1 D 最低保護等級 D 非安全保護2 C 自主保護等級 C1 自主安全保護 自主存取控制，審計功能C2 可控存取保護 比 C1 級更強的自主存取控制，審計功能3 B 強制保護等級 B1 標記安全保護 強制存取控制，敏感度標記B2 可結(jié)構(gòu)化保護 形式化模型，隱蔽通道約束B3 安全區(qū)域保護 安全內(nèi)核，高抗?jié)B透能力4 A 驗證保護等級 A1 可驗證保護 形式化安全驗證，隱蔽通道分析這個評估準則，有許多人認為，對于開放系統(tǒng)的安全，已經(jīng)相當不夠了。該可信計算機評估準則，可以通過如下概念進行描述：（1） 安全性? 安全策略 Security Policy 為了實現(xiàn)軟件系統(tǒng)的安全而制定的有關(guān)管理、保護和發(fā)布敏感信息的規(guī)定與實施細則。? 安全策略模型 Security Police Model 實施安全策略的模型。? 安全服務(wù) Security Services 根據(jù)安全策略與安全模型提供的安全方面的服務(wù)。? 安全機制 Security Mechanism 實現(xiàn)安全服務(wù)的方法。（2） 認證（3） 加密（4） 授權(quán)與保護? 可信計算機 Trusted Computing Base(TCB) TCB 是軟件、硬件與固件的一個集合，它在存取控制策略的基礎(chǔ)上，處理主體 S 集合對客體 0 集合的存取，并滿足如下的性質(zhì)：1） TCB 處理 S 中的主體對 0 中的客體的每一個存取。2） TCB 是抗篡改的3） TCB 足夠小，便于分析與測試在實踐中，TCB 可以是一個安全核，前端安全過濾器或整個系統(tǒng)。更嚴10 / 41格的定義，是定義 TCB 子集 M 概念，M 具有上述特性。? 主體 Subject 在操作系統(tǒng)中主要指作業(yè)。進程等。? 客體 Object 信息實體，例如文件、記錄、字段等。? 最小特權(quán)原理 Least Privilege Theorem 系統(tǒng)中主體執(zhí)行授權(quán)任務(wù)時，應(yīng)該授予它完成任務(wù)所必須的最小特權(quán)。? 自主存取控制 Discretionary Access Control 基于主體及其所屬的身份來限制客體存取的一種方法，具有某類權(quán)限的主體能夠直接或間接地將其存取權(quán)限轉(zhuǎn)移給其它主體。在這種意義上，控制是自主的。? 強制存取控制 Mandatory Access Control 基于客體中信息的敏感度而對存取客體實行限制的一種存取控制方法，根據(jù)信息的敏感度決定主體客體中隊信息存取權(quán)限。D1 級D1 級是可用的最低的安全形式。該標準說明整個系統(tǒng)都是不可信任的。對于硬件來說，沒有任何保護可用；操作系統(tǒng)容易受到損害；對于用戶和他們對存儲在計算機上信息的訪問權(quán)限沒有身份驗證。該安全級別別典型地指像 Ms—Dos、Ms—windows 和 Apple 的 Macintosh System 等操作系統(tǒng)。這些操作系統(tǒng)不區(qū)分用戶，并且沒有定義方法來決定誰在敲擊鍵盤。這些操作系統(tǒng)對于計算機硬盤上的什么信息是可以訪問的也沒有任何控制。C1 級C 級有兩個安全子級別：Cl 和 C2。 Cl 級、 或稱自選安全保護（Discretionary security Protection）系統(tǒng)，描述了一個典型的 Unix 系統(tǒng)上可用的安全級別。對硬件來說存在某種程度的保護，因為它不再那么容易受到損害，盡管這種可能性仍然存在。用戶必須通過用戶注冊名和口令讓系統(tǒng)識別他們自己。這種組合用來確定每個用戶對程序和信息擁有什么樣的訪問權(quán)限。這些訪問權(quán)限是文件和目錄許可權(quán)限(permission)。這些自選訪問控制(Discretionary Access Control)使文件或目錄的擁有者或者系統(tǒng)管理員，能夠阻止某個人或幾組人訪問那些程序或信息。但是，這并沒有阻止系統(tǒng)管理帳戶執(zhí)行活動。結(jié)果，不審慎的系統(tǒng)管理員可能容易損害系統(tǒng)安全。另外，許多日常系統(tǒng)管理任務(wù)只能由以 root 注冊的用戶來只執(zhí)行。隨著現(xiàn)在計算機系統(tǒng)的分散化，隨便走進一個組織，你都會發(fā)現(xiàn)兩三個以上的人知道根口令，這已經(jīng)是司空見慣的事，由于過去無法區(qū)分是 Doug 還是 Mary 對系統(tǒng)所做的改變，所以這本身就是一個問題。C2 級第二個子級別 C2 可用來幫助解決這些問題。除 C1 包含的特征外，C2 級還包含其它的創(chuàng)建受控訪問環(huán)境(controlaccess environment)的安全特征。該環(huán)境具有進一步限制用戶執(zhí)行某些命令或訪問某些文件的能力，這不僅基于許可權(quán)限，而且基于身份驗證級別。另外，這種安全級別要求對系統(tǒng)加以審核(audit)，這包括為系統(tǒng)中發(fā)生的每個事件編寫一個審核記錄。11 / 41審核用來跟蹤記錄所有與安全有關(guān)的事件，比如那些由系統(tǒng)管理員執(zhí)行的活動。審核還要求身份驗證，因為沒有它，如何能夠確定實際執(zhí)行命令的人就是某人呢？審核的缺點在于它需要額外的處理器和磁盤子系統(tǒng)資源。使用附加身份驗證，對于一個 C2 系統(tǒng)的用戶來說，沒有根口令而有權(quán)執(zhí)行系統(tǒng)管理任務(wù)是可能的。這使得追蹤與系統(tǒng)管理有關(guān)的任務(wù)有了改觀，因為是單獨的用戶執(zhí)行了工作而不是系統(tǒng)管理員。這些附加身份驗證不能與可應(yīng)用于程序的 SGID 和 SUID 許可權(quán)限相混淆，而且它們是允許用戶執(zhí)行特定命令或訪問某些核心表的特定身份驗證，例如，那些無權(quán)瀏覽進程表的用戶，當執(zhí)行 ps 命令時，只能看到它們自己的進程。B1 級B 級安全包含三個級別。B1 級或標志安全保護(Labeled Security Protection)，是支持多級安全(比如秘密和絕密)的第一個級別，這一級說明一個處于強制性訪問控制之下的對象，不允許文件的擁有者改變其許可權(quán)限。B2 級B2 級，叫做結(jié)構(gòu)保護(Structured Protection)，要求計算機系統(tǒng)中所有對象都加標簽，而且給設(shè)備(如磁盤、磁帶或終端)分配單個或多個安全級別。這是提出較高安全級別的對象與另一個較低安全級別的對象相通訊的第一個級別。B3 級B3 級或安全域級別(Security Domain)，使用安裝硬件的辦法來加強域，例如，內(nèi)存管理硬件用于保護安全域免遭無授權(quán)訪問或其它安全域?qū)ο蟮男薷摹Ｔ摷墑e也要求用戶的終端通過一條可信任途徑接到系統(tǒng)上。A 級A 級或驗證設(shè)計(Verify Design)是當前桔皮書中的最高安全級別，它包含了一個嚴格的設(shè)計、控制和驗證過程，與前面提到的各級別一樣，這一級包含了較低級別的所有特性。設(shè)計必須是從數(shù)學上經(jīng)過驗證的，而且必須進行對秘密通道和可信任分布的分析?？尚湃畏植?Trusted Distribution)的含義是，硬件和軟件在傳輸過程中已經(jīng)受到保護，以防止破壞安全系統(tǒng)。2． 3 國際常用的安全機制介紹在 ISO7498—2 標準中，網(wǎng)絡(luò)的安全體系被看作為一種層次型的模型結(jié)構(gòu)，模型的最底層是一些由網(wǎng)絡(luò)的硬件(如路由器、智能 HUB 等)和軟件提供的安全機制，由這些安全機制組合成某種安全服務(wù)，而處于最高層的安全應(yīng)用程序則是通過調(diào)用這些安全服務(wù)功能來保證其使用的安全性的。安全機制的設(shè)計主要是針對系統(tǒng)和網(wǎng)絡(luò)所受到的不同類型的侵犯，因而可以從功能上將其劃分成兩類，一類專門用于安全服務(wù)的專用安全機制，另一類則僅是為了增強系統(tǒng)的安全級別，在本文中稱為擴展型安全機制。12 / 41 2．3．1 專用安全機制專用的安全機制分為 8 類，分列于下： (1)加密機制加密機制可以為數(shù)據(jù)或所傳輸?shù)牧髁啃畔⑻峁┍Ｃ艿氖侄巍Ｒ话阏f來，加密機制由各種加密算法提供支持。 (2)數(shù)字簽名機制數(shù)字簽名是指在信息傳遞中模仿實際生活中簽字化押的形式證實發(fā)送方的身份的過程。簽名的方式多種多樣，常見的方式是發(fā)送方先從所傳遞的消息中隨機抽取一部分信息(摘要)作為簽名內(nèi)容，并用自己的私人密鑰(不對外公開的密鑰)對其加密，并與整個消息一齊傳送到接收方；接收方收到數(shù)據(jù)后，分離出簽名部分，再用發(fā)送方的公開密鑰解開其中的簽名內(nèi)容，以此來驗證這條消息是否是由發(fā)送者發(fā)送的。數(shù)字簽名機制成功與否的關(guān)鍵在于簽名部分必需是從發(fā)送者的個人信息中產(chǎn)生出來，這樣才不會出現(xiàn)糾紛。 (3)訪問控制機制訪問控制機制通過判別訪問者的標識信息或權(quán)限決定其是否能訪問某項資源，這一機制可以應(yīng)用在會話的任何一端或會話的中間轉(zhuǎn)發(fā)點，用于確定會話發(fā)起者是否得到了被訪問者的授權(quán)。 (4)數(shù)據(jù)完整性機制數(shù)據(jù)的完整性既包括一條單獨消息的完整性，也包括一段消息序列的完整性(信息流完整性)，即保障消息傳輸?shù)捻樞颉? (5)鑒別信息交換機制身份鑒別信息交換機制通過交換鑒別信息使兩個通信實體相互信任，這種機制包括，發(fā)送方向接收方提供身份證明信息(口令字等)，加密技術(shù)，以及其它生物標識技術(shù)(例如使用指紋作為驗證手段)。這種機制在實際應(yīng)用中往往要結(jié)合“握手”方式以及一次性口令機制一起使用，因為攻擊者可以通過復制后重發(fā)的手段使身份驗證的防護手段完全失去效用。 (6)流量填充機制流量填充機制可以通過在所傳遞的報文中添加填充符來防止信息被流量分析設(shè)備所盜用，填充信息往往需要加密后才能生效。 (7)路由控制機制路由控制機制是指通過在關(guān)鍵信息中加入安全標簽，防止信息被選擇到一條不安全的路由上或者用安全標簽區(qū)分不同的數(shù)據(jù)類型，控制路由的走向。在公共網(wǎng)絡(luò)的基礎(chǔ)上建造專用網(wǎng)絡(luò)時，路由控制機制往往能提供專用網(wǎng)絡(luò)必備的專用傳輸通道。13 / 41 (8)公證機制公證機制類似于實際生活中的公證處所起的作用，在兩個相互懷疑的實體之間通信時，需要有一個仲裁機構(gòu)解決雙方的不信任問題。尤其是在處理“拒絕履行義務(wù)”等類型的網(wǎng)絡(luò)攻擊手段時，公證機制可以為糾紛雙方提供一個可以信賴的“第三方”認證機