【正文】 在信息戰(zhàn)爭中。僅 98 年就有不下 1000 起惡意攻擊網(wǎng)絡的案件。 INTERNET網(wǎng)絡的防火墻，超過三分之一被突破。 據(jù)美國 FBI 統(tǒng)計，每年因信息網(wǎng)絡安全造成的損失達 75 億美元。 4． 4． 3 因惡意攻擊造成的損失 在高速發(fā)展的網(wǎng)絡世界，即使沒有經(jīng)驗的初學者也能通過各種流行的黑客軟件攻入您的網(wǎng)絡，造成威脅，更不用說那些有蓄謀、有組織、有高超技術(shù)的黑信息系統(tǒng)安全方案 24 客們的惡意攻擊了。而且在數(shù)據(jù)恢復的過程中 ,整個部門實際上是處在癱瘓狀態(tài) —— 在今天激烈的市場競爭中 ,長達42 天的癱瘓足以導致任何一家公司破產(chǎn) ! 目前，計算機的硬盤平均在 3G 左右，如果 3G 的關鍵數(shù)據(jù)丟失，其損失不必計算也可想而知了，因此在美國 PC TODAY 的報 告中提到：“經(jīng)歷史 10 天數(shù)據(jù)丟失災難的公司，其中 65%的公司將因此而推出競爭市場”。但是如果一年按 365 天計算的話，則每年仍然有 18~44 小時的停機時間，這對于那些任何停工都將產(chǎn)生重大損失的關鍵性應用來說還有很大差距。據(jù)統(tǒng)計，一個獨立系統(tǒng)的可用性在 99%以上，如果配用一些系統(tǒng)管理工具，則系統(tǒng)的可用性可以達到 %~%。國內(nèi)許多信息信息系統(tǒng)安全方案 23 系統(tǒng)已經(jīng)使用了許多年了，計算機的系統(tǒng)管理員與用戶的注冊還是缺省狀態(tài)。數(shù)據(jù)庫的安全管理也是建立在分級管理概念上的，也要依靠 TCB 方式，所以 DBMS的安全與也是脆弱的。 另外，操作系統(tǒng)還有隱蔽信道。計算機公司有一批人精于此道。 ? 操作系統(tǒng)的 Debug 與 Wizard。操作系統(tǒng)提供 NFS 服務。問題不在于有沒有 daemon，而在于這種 daemon 在 UNIX、 WINDOWS NT 操作系統(tǒng)上具有與其它操作系統(tǒng)核心層軟件同等的權(quán)力。 ? 操作系統(tǒng)通常都提供 daemon 的軟件，這種軟件實際上都是一些系統(tǒng)進程，它們總在等待一些條件的出現(xiàn)，一旦條件出現(xiàn)，程序便可以運行下去。本條與上一條結(jié)合起來，構(gòu)成在遠端服務器上安裝“間諜”軟件條件。 ? 操作系統(tǒng)支持在網(wǎng)絡上傳輸文件，包括可以執(zhí)行的文件映象，即在網(wǎng)絡上加載程序。一個靠滲透與打補丁開發(fā)的操作系統(tǒng)是不可能從根本解決安全問題的。這種方法廠商可用，“黑客”也可用。雖然做這些操作需要被授予特權(quán)。 ? 層次三：應用程序 該層次的安全威脅來自內(nèi)部網(wǎng)的防火墻的配置、內(nèi)外 Web 站點的服務、網(wǎng)上交易、撥號服務、 E_mail 服務、傳真服務及對數(shù)據(jù)庫的保護。 ? 層次二：操作系統(tǒng) 這一層次的安全問題來自內(nèi)部網(wǎng)采用的各種操作系統(tǒng)，如運行各種UNIX 的操作系統(tǒng)。 服務層 T C P / I P I P X X . 25 E t h e r n e t F DD I R o u t e r C o n f i gur a t i o n s Hub s /S w i t c h e s第一層操作系統(tǒng)層 UN I X M VS W i n do ws 95 OS/ 2 W i n do ws NT DO S M a c i n t o s h VM S第二層應用程序?qū)? Da t a b a s e s W e b S e r v e r I n t e r n e t B r o ws e r M a i n t e n a n c e Of f i c e A uto m a t i o n第三層 ? 層次一：通訊和服務 該層次的 安全問題主要體現(xiàn)在網(wǎng)絡協(xié)議本身存在的一些漏洞。 4． 1 安全風險的來源 安全風險從不同的 角度看可能來源于各種因素： ? 從信息系統(tǒng)構(gòu)成的特質(zhì) 物理安全風險（主機、電源、網(wǎng)絡設備 ...） 邏輯安全風險（信息、編碼、人員管理 ...） ? 從需要保護的對象 系統(tǒng)安全風險（可用性、連續(xù)性、可靠性） 數(shù)據(jù)安全風險（數(shù)據(jù)的機密性、完整性、可用性、使用合法性） 網(wǎng)絡安全風險（通信的安全性、認證的安全性、惡意攻擊和破壞） 應用安全風險（應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、桌面系統(tǒng)） ? 從網(wǎng)絡集成的架構(gòu) 局域網(wǎng)安全風險 廣域網(wǎng)安全風險 遠程接入安全風險 網(wǎng)絡邊界安全風險 4． 2 安全風險分析與評估 風險分析 對網(wǎng)絡環(huán)境存在的威脅可能造成的損失做定性的和定量的估計，用以指導網(wǎng)絡安全的合理設計 安全評估 對設計好的安全策略，安全目標的實踐結(jié)果進行檢查和評估，從而估價損失，發(fā)現(xiàn)弱點，改善設計、完善安全體系 信息系統(tǒng)安全方案 19 安全風險分析與評估主要考慮因素： ? 哪些資源需要保護？這些資源有多重要？ ? 硬件 工作站、服務器、路由器、數(shù)據(jù)設備、通訊線路、打印機及其他設備 ? 軟件 操作系統(tǒng)、應用軟件、原代碼、實用程序等 ? 數(shù)據(jù) 會內(nèi)和會外數(shù)據(jù)；當前和歷史數(shù)據(jù)；保密和不可再現(xiàn)數(shù)據(jù) ? 安全漏洞及危 機有哪些？安全漏洞及危機是如何造成的？ ? 管理問題 如：人員管理和設備管理上的混亂 ? 數(shù)據(jù)在網(wǎng)上傳輸時被他人截獲 ? 系統(tǒng)配置有錯 如：允許用戶遠程登陸到關鍵服務器上 ? 操作系統(tǒng)及實用程序的安全漏洞 ? 內(nèi)部人員的工作疏忽 如：在上 Inter 時，運行了不安全的下載程序 ? 誰是潛在的 “危害者 ”？ ? 用戶端 包括遠程用戶和本地用戶 ? 主機端 ? ISP 端 ? Inter 上的 “黑客 ” ? 這些“危害者”將如何危害信息系統(tǒng)的安全？ ? 篡改主頁 ? 盜取機密數(shù)據(jù) ? 修改系統(tǒng)設置 ? 使服務器不能正常服務 ? 篡改、破壞數(shù)據(jù) ? 破壞系統(tǒng) ? 冒用他 人的名字 4． 3 信息系統(tǒng)安全的脆弱性 4． 3． 1 物理安全危機 ? 災難：火災、水災、風暴、地震、工業(yè)事故? ? 人為破壞：蓄意破壞、恐怖主義、精神壓抑發(fā)泄、偷盜? ? 人為誤操作：各種各樣的因素可能使工作人員產(chǎn)生誤操作? ? 間諜行為：偷竊、監(jiān)聽、監(jiān)視、廢棄物搜尋、身份識別錯誤? ? 通訊危機：撥號進入、竊聽? ? 硬件故障：主機、電源、開關、存儲設備? ? 網(wǎng)絡故障：網(wǎng)絡接口卡、布線、輻射、網(wǎng)絡設備? ? ?? 信息系統(tǒng)安全方案 20 4． 3． 2 邏輯安全危機 ? 計算機危機：操作系統(tǒng)錯誤、軟件錯誤、文件錯誤? ? 系統(tǒng)危機：口令圈套、口令破解、算法不周、權(quán)限 管理失誤、冒名頂替? ? 數(shù)據(jù)完整性：數(shù)據(jù)丟失、被篡改、數(shù)據(jù)庫錯誤、信息失真? ? 編程危機：網(wǎng)絡世界中處處可見代碼炸彈、病毒、黑客程序? ? 網(wǎng)絡危機：服務器危機、不安全的服務、配置及初始化失誤? ? 安全漏洞：網(wǎng)絡的七層協(xié)議上有上千種漏洞，協(xié)議漏洞、服務器漏洞、數(shù)據(jù)庫漏洞、系統(tǒng)漏洞、防火墻漏洞、 Inter/Intra 漏洞? ? 黑客攻擊：口令危機、端口危機、服務危機、特洛伊木馬、非法闖入、篡改、盜取、破壞? ? ?? 4． 3． 3 網(wǎng)絡安全威脅 網(wǎng)絡的開放性和資源共享性是安全問題的主要根源。同時，信息系統(tǒng)建設的重點是對來自內(nèi)外的業(yè)務信息、業(yè)務數(shù)據(jù)、重要信息、安全保密信息的綜合有效的利用和管理，隨著信息的膨脹、網(wǎng)絡技術(shù)及產(chǎn)品的發(fā)展，安全性問題日趨嚴重，信息的泄密、丟失、篡改、毀壞、盜用等等對所有的單位來說都是一種災難。 網(wǎng)絡安全意識只有和網(wǎng)絡安全技術(shù)相互結(jié)合，并且不斷地相互調(diào)整、相互完善，才能真正地實施安全策 略，對網(wǎng)絡進行安全防護。 3． 4 安全體系設計的范疇 安全體系設計包括安全意識和安全技術(shù)的設計： 安全意識 包括各種網(wǎng)絡安全的規(guī)章制度、安全規(guī)范、安全策略、人員安全守則等等，諸如系統(tǒng)管理員安全規(guī)范、用戶安全規(guī)范、系統(tǒng)安全策略、口令規(guī)則、磁盤領用及使用制度、廢紙簍原則、內(nèi)部撥號上網(wǎng)條例等，是從人的 意識和安全管理制度的角度出發(fā)，制定各種安全管理制度和規(guī)范、制定并動態(tài)修改安全策略、用戶的安全教育及培訓，并通過有效的手段實施、監(jiān)督安全制度的執(zhí)行。當發(fā)現(xiàn)攻擊或非法行為時除上述安全策略定義的響應外，還可以修補漏洞，重新設置路由器、防火墻等安全設施的配置，重新制定相應的安全策略，周而復始地對網(wǎng)絡進行安全漏 洞的檢測、監(jiān)控和響應。病毒對信息的危害將體現(xiàn)在對各級服務器（基層網(wǎng)絡服務器、上級網(wǎng)絡服務器、總部網(wǎng)絡服務器）以及整個信息系統(tǒng)的網(wǎng)絡和系統(tǒng)的破壞上，網(wǎng)絡病毒的傳播更加快速、廣泛，任何的信息系統(tǒng)安全方案 17 系統(tǒng)錯誤、數(shù)據(jù)混亂、服務失敗都會給企業(yè)的業(yè)務系統(tǒng)和管理系統(tǒng)帶來損失，因此在信 息系統(tǒng)安全體系中應具備多層次的實時防病毒功能。在信息系統(tǒng)中，各級網(wǎng)絡之間的通信，根據(jù)信息的重要性都應具備安全通信的功能。在信息系統(tǒng)中對交易卡（如信用卡、電子錢包等）的管理，以及對操作人員身份 ID 或 IC 卡的生產(chǎn)、管理、分發(fā)將引入密鑰管理機制。 ? 密鑰管理 信 息加密是保障信息安全的重要途徑，以密文方式在相對安全的信道上傳遞信息，可以讓用戶比較放心地使用網(wǎng)絡，如果密鑰泄露或居心不良者通過積累大量密文而增加密文的破譯機會，都會對通信安全造成威脅。信息系統(tǒng)中 數(shù)字簽名多用于敏感信息、交易數(shù)據(jù)的確認及管理系統(tǒng)中公文、簽報等密文的發(fā)送。保護數(shù)據(jù)完整性 Inter 通信協(xié)議在數(shù)據(jù)傳輸過程中，通常使用數(shù)據(jù)包排序、控制包、校驗碼等差錯控制機制，防止傳輸過程中的突發(fā)錯誤，但對網(wǎng)上黑客們的主動攻擊 (如對信息的惡意增刪、修改 )則顯得無能為力。信 息發(fā)送需用發(fā)送者私人密鑰加密信息，即簽名，信息的接收者利用信息發(fā)送者的公鑰對簽名信息解密，以驗證發(fā)送者身份。信息系統(tǒng)中業(yè)務管理、物資調(diào)配、用戶管理、工作控制、以及財務、交易信息等都是極其敏感的資源，存取權(quán)限控制將在資源訪問方面對這些敏感資源進行保護。 ? 存取權(quán)限控制 防止非法用戶進入系統(tǒng)及防止合法用戶對系統(tǒng)資源的非法使用是存取控制的基本任務。因此 Password 的管理也成了安全系統(tǒng)非常重要的工作。身份判別是安全系統(tǒng)最重要功能之一，信息系統(tǒng)安全方案 16 UserID 和 Password 是最常用也最方便的身份認證方法，也是最不安全的。 根據(jù)信息系統(tǒng)安全的設計目標和原則，參考 ISO 安全框架文件中的說明，我們的安全體系應具備以下功能： ? 身份識別 是驗證通信雙方身份的有效手段，用戶向其系統(tǒng)請求服務時，要出示自己的身份證明，最簡單的方法是輸入 UserID 和 Password。 ? 綜合性原則（設備 技術(shù) 策略 管理） 計算機網(wǎng)絡系統(tǒng)的安全應從物理上、技術(shù)上、管理制度（如安全操作乃至計算機病毒的防范等）上以及安全教育上全面采取措施，相互彌補和完善，盡可能地排除安全漏洞。 ? 易操作、靈活性的原則（安全措施由人完成） 安全措施與網(wǎng)絡的靈活性是一對矛盾，安全體系的規(guī)劃應以不影響系統(tǒng)的正常運轉(zhuǎn)和易操作、靈活性為前提。對于 TCP/IP可進行邏輯分段，即把網(wǎng)絡分成若干 IP子網(wǎng)，各子網(wǎng)通過路由器連接，并在路由器上建立可訪問表，來控制各子網(wǎng)間的訪問。網(wǎng)絡分段可分為物理分段和邏輯分段。 ? 多層次（網(wǎng)絡 OSI參考模型中的邏輯層次）保護的原則 安全體系的規(guī)劃應貫穿 OSI參考模型的各個層次，如在鏈路層和網(wǎng)絡層實施包過濾，在表示層實施加密傳送，在應用層設置專用程序代碼、運行應用層審計軟件，在應用層之上啟動代理服務等。 ? 多重保護的原則（全局防御的原則） 任何安全保護措施都不是絕對安全的，都可能被攻破。信息系統(tǒng)中涉及商業(yè)機密、敏感信息、資金、交易信息時，要求其安全性和占有性很高。 ? 占有性 是指存儲信息的主機、磁盤等信息載體被盜用，導致對信息的占用權(quán)的喪失。病毒就常常破壞信息的可用性，使系統(tǒng)不能正常運行，數(shù)據(jù)文件面目全非。 ? 實用性 即信息加密密鑰不可丟失 (不是泄密 )，丟失了密鑰的信息也就丟失了信息的實用性，成為垃圾。 ? 可靠性 是指信息的可信度，包括信息的完整性、準確性和發(fā)送人的身份證實等方面，可靠性也是信息安全性的基本要素。因此，除以上方法還 應重點考慮對信息的加密、備份和恢復機制。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。信息的保密性主要指關鍵信息、交易信息、資金以及信息系統(tǒng)敏感信息的加密、用戶訪問權(quán)限管理和不因信息泄露而造成損失等。 本章對信息系統(tǒng)安全體系的設計目標和設計原則進行論述。 信息系統(tǒng)安全方案 14 第三章 設計目標及原則 信息系統(tǒng)安全體系主要考慮的是信息、關鍵數(shù)據(jù)、管理、工作流的安全性、可用性、完整性，以及對信息流、敏感信息的不可篡改、不可否認和不可抵賴。安全審計在災難恢復中起著相當重要的作用。 (2)事件檢測 安全事件檢測機制不僅要對那些明顯的具有侵犯意圖的安全事件進行記錄，它還應該記錄諸如成功訪問 (成功登錄 )等“正?！钡木W(wǎng)絡事件，以便在網(wǎng)絡的日志審查和恢復過程中提供參照數(shù)據(jù)。 信息系統(tǒng)安全方案 13 2． 3． 2 擴展型安全機制 擴展型安全機制分成 4 類： (1)安全標簽 安全標簽用于區(qū)分不同類型報文的敏感程度和應受到的保護程