截图
简介
这是一个关于信息安全工程师PPT,主要介绍了信息系统安全工程、风险分析与需求分析、安全体系设计、安全技术体系、安全管理体系、安全运行体系等内容。信息安全工程林英.信息安全课程介绍什么是信息安全:信息是一种资产,同其他重要的商业资产一样,它对一个组织而言具有一定价值,因而需要适当地保护。信息安全是要在很大的范围内保护信息免受各种威胁,从而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。信息可以以多种形式存在。它能被打印或者写在纸上,能够电化存储;也可以由邮局或者用电子方式发送;还可以在电影中展示或者在交谈中提到。无论以任何形式存在,或者以何种方式共享或存储,信息都应当得到恰当的保护。在这里,信息安全特指保护:a) 保密性:确保信息只能够由得到授权的人访问,欢迎点击下载信息安全工程师PPT哦。
信息安全工程师PPT是由红软PPT免费下载网推荐的一款学校PPT类型的PowerPoint.
信息安全工程林英.信息安全课程介绍什么是信息安全: 信息是一种资产,同其他重要的商业资产一样,它对一个组织而言具有一定价值,因而需要适当地保护。信息安全是要在很大的范围内保护信息免受各种威胁,从而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。 信息可以以多种形式存在。它能被打印或者写在纸上,能够电化存储;也可以由邮局或者用电子方式发送;还可以在电影中展示或者在交谈中提到。无论以任何形式存在,或者以何种方式共享或存储, 信息都应当得到恰当的保护。在这里,信息安全特指保护:a) 保密性:确保信息只能够由得到授权的人访问。 b) 完整性:保护信息的正确性和完整性以及信息处理方法。 c) 有效性:保证经授权的用户可以访问到信息。如果需要的话,还能够访问相关资产。 信息安全通过实施一整套的控制达到。这些控制措施可能是策略、做法、程序、组织结构或者软件功能。需要建立这些控制措施以确保实现该机构特殊的安全目标。 信息安全控制通过限制未经授权的个人访问公司的计算资源,能够降低信息泄露的潜在危险。 那么如何限制呢,采用什么手段,以及从什么方面来进行限制呢?这门课程就是从 规划和设计适当安全技术的应用已部署系统的操作和支持过程 这三方面来回答此问题的 通过对本门课程的学习,展示了建立和实施安全策略、标准、指导所涉及的最佳实践的一个从上至下的视图,同时展示了对信息和用户进行分级以便指派权限的过程。指导思想用信息系统安全工程(ISSE)过程控制的方法论指导信息系统安全建设 :信息系统安全工程(ISSE)目前是信息系统安全建设最先进的方法论,它被世界许多先进的国家采用并取得明显的效果 ;信息系统安全工程(ISSE)是发掘用户信息保护需求,然后以经济、精确和简明的方法来设计和制造信息系统的一门技巧和科学,这些需求可能安全地抵抗所遭受的各种攻击。该方法极大的满足用户的安全需求并节省用户的费用。安全体系总体框架 主要内容第一部分——信息系统安全工程(ISSE) 第二部分——风险分析与需求分析 第三部分——安全体系设计 第四部分——安全技术体系 第五部分——安全管理体系 第六部分——安全运行体系 信息系统安全工程信息系统安全工程(ISSE)是信息系统安全建设的方法论,它指导安全建设的全过程。信息系统安全工程是系统工程在安全建设的具体体现。它的主要目的是确定安全风险,并且采用系统工程的方法使安全风险降到最低或得到有效控制。 指导思想以满足用户安全需求为目的;以系统风险分析为基础;以系统工程的方法论为指导;以技术、运行及人为要素;安全技术以纵深防御为支撑(技术);以生命期支持保证运行安全(运行);安全管理以安全实践为基础(人);安全质量以测评认证为依据;质量保证以动态安全原理(PDCA)为方法。信息系统安全工程过程 发掘信息保护需求(发掘需求)确定系统安全要求(确定系统要求)设计系统安全体系结构(设计系统体系结构)开发详细安全设计(开发详细设计)实现系统安全(实现系统)评估信息保护的有效性(评估有效性) 信息系统安全工程过程发掘安全需求是基础 发掘信息保护需求是信息系统安全工程重要的一步,是完成信息系统安全工程的基础。在这一步,我们要和用户一起确定整个信息系统的安全需求。发掘用户需求的目的 :帮助用户确定信息威胁帮助用户把已经识别出来的威胁形成文件,并对这些威胁作出风险分析帮助用户确定信息安全的保护需求准备安全保障体系用的安全策略 发掘安全需求要做的工作包括 :分析信息系统的任务和业务。确定信息和任务的关系以及其重要性。介定法律和法规的要求,确定设计限制,如电子政务的有关要求、国家安全管理机构的相关规定、相应的安全标准以及国际、国家的有关安全标准等;及本行业、本部门的相关规定和标准。实施风险分析。确定安全需求。 发掘安全需求在进行了系统安全需求分析,通过对系统资源的调查和资源的价值的分析、对系统安全威胁以及威胁影响、威胁利用安全漏洞的分析,完成了系统风险的排序。根据排序,最终形成系统的安全策略。 确定安全要求是目标 一般情况下,安全要求是对上一步确定出的保证资产的保密性、完整性和可用性的安全需求的进一步细化,对其保障其需求提出的详细的强度、需要的安全机制等具体要求,并将其划分为三个方面的要求:安全管理要求、安全技术要求和安全运行要求。 在风险分析和需求分析这部分的安全需求报告中包括了安全需求和安全要求的确定。 安全体系是系统安全的保障 首先要考虑系统安全的各个方面,其中包括安全技术的实现、安全管理的实施、安全运行的控制等诸多方面(人、技术和运行)。其次,由于信息系统在不同位置会遇到多种威胁,而在目前的信息安全领域中没有一种安全技术或安全产品能够抵抗如此多的威胁,那么我们就必须在信息系统的安全保障体系中考虑一种切实可行的措施(建立纵深防御体系),即保卫网络及其基础设施、保卫系统边界、保卫计算环境和建立支持性安全基础设施等方面。安全体系第三,信息系统的安全建设涉及该系统的任务和业务否顺利进行的重大问题,因此在实施过程中必须严格管理和控制质量,控制质量包括工程质量和安全质量,实施质量控制的最好方法是实行工程监理和认证认可。第四,众所周知信息安全是相对的,不存在绝对的安全。因此我们为信息系统建立的安全保障体系也是动态的,它随信息安全的攻防技术的不断发展以及安全技术和设备的不断更新得到改进。通过定期进行评估以及PDCA的控制实现信息系统安全保障体系的动态控制。 PDCA过程模型 PDCA要素计划(Plan)(建立安全保障体系):通过信息系统安全需求分析(其中最重要的是安全风险分析)确定信息系统的安全策略和安全要求,进而建立信息系统的安全保障体系 。实行(Do)(设计和实现):进行信息系统的详细安全设计和实施信息系统的安全来充分体现是否根据安全保障体系的框架实现了信息系统的安全要求 PDCA要素检查(Check)(监理和评审和评估)对照制定的安全策略、安全要求和建立的安全保障体系来评审和评估系统的安全设计方案和安全实施。并用信息安全理论和实践经验来量度和评估系统的安全功能和性能并把监理和评审的结果报告给决策者,以便供决策者进行决策 。行动(Act)(改善):决策者根据监理和评审报告决定是否实施纠正和预防活动,以便进一步改善信息系统的安全性能和安全功能 。开发安全保障体系安全保障体系由三部分组成:安全技术体系、安全管理体系和安全运行体系 。安全技术体系安全技术体系是安全体系中最重要的部分之一,充分体现了当代信息安全技术在信息安全建设中的主导地位 。安全管理体系安全管理体系的建设实际是以人为本的管理体系的建立 。安全运行体系安全运行体系是在系统的生命期内确保信息系统安全运行、出现安全问题的及时恢复和应急的措施的集合 。详细安全设计是根本 安全机制 安全设计涉及保证资产的保密性、完整性和可用性。可用性函盖了我们日常所说的可核查性和不可否认性。保密性的保障机制包括:数据加密、访问控制、可信路径和过虑。完整性的保障机制包括:完整性检验、防篡改和物理保护。可用性的保障机制包括:防病毒、入侵检测、恢复、抗拥塞;识别、认证、注册和审计;数字签名。 详细安全设计信息系统的安全方案对不同的信息系统是有很大的区别的,这种区别来自信息系统的规模、网络配置、网络的互联、网络的应用系统等等。但是,它们之间的主要区别还是来自对信息系统的风险分析。下面介绍的许多内容并不一定在任何系统中都能得到应用,我们在这里给出的是在风险分析的基础上供设计者选择的措施 。安全实现是系统安全集成 信息系统安全集成是实现系统安全的重要一步,它是根据详细安全设计的要求的系统安全实现,并在安全监理部门的监理下实现的系统安全集成 。安全实现过程必须按严格过程控制进行,以保证整个系统稳定、顺利、安全地建设。一般情况下包括:项目实施组织机构的确定(如项目领导、项目管理、项目实施责任方的确定)、质量控制(质量控制手段的使用和工程监理方的参与)、项目实施计划、项目实施、系统试运行、验收交付、培训等重要部分 。安全评估是系统安全质量的保证 在安全工程的每一个过程都要进行安全性的评审和评估。只有在每一个过程都进行了安全性的评审和评估才能进入到下一个过程,这样就会使每一个过程是完善的、合理的 。不断地评估系统的安全,找出系统新的威胁和新的安全漏洞,利用新的全技术和相应安全管理措施来提高系统的安全性。这就是我们提出的P-D-C-A的循环改进措施。 这一过程的重要措施就是定期或不定期的安全性评估(也就是PDCA循环的检查(C))过程。然后通过对安全产品的升级、增加新的安全措施和安全管理措施来加固系统的整体安全 。风险分析与需求分析风险分析与需求分析 对于大型信息系统,如何才能保证我们发掘的安全需求是准确的、全面的、完备的?这需要科学的方法、信息安全人员的专业知识,还需要用户的积极配合。安全需求的发掘要对系统的每一个任务、任务的重要性和任务的安全做考虑。我们将其过程分为三个阶段。详细地了解信息系统的情况,为以后的风险分析和安全需求的制定收集所需要的信息,明确企业对信息系统的安全要求。对系统作风险分析。根据风险分析的结果、企业的安全目标、及国家的相关法律法规,制定出系统的安全需求 风险分析和需求分析的过程 用户系统情况调查 系统的安全需求必须是基于用户系统的实际情况产生的。因此作安全设计的前提是详细掌握我们要设计的用户信息系统或子系统的构成和使用情况。 下面介绍的用户系统情况调查内容和方法是针对有普遍性的、并且基于一定假设的条件下提供的,在实际项目运作时必须针对具体情况进行调整。在实际操作时我们也不一定有机会按照以下的步骤一一进行,但尽可能地获取以下的信息对信息安全设计、方案的编写一定会有帮助。 需要调查的内容 了解信息系统基本情况。网络基本情况了解。网络边界。业务应用系统。个人计算机安全。数据库安全。现有的安全措施。调查对象和调查方式 公司领导、高级管理层成员 。系统安全建设负责人 。网络管理员 。业务系统负责人 。业务系统管理员 。数据库管理员 。典型用户 。用户信息系统情况报告情况调查完成后,调查人员需要将收集的信息进行整理并汇总,形成用户信息系统情况报告。把我们了解的情况记录下来经整理形成文档,反馈给客户作二次确认,从而作为下一步风险分析和安全需求确定的基础。作为项目的基础信息储备。当公司项目人员调整,或需要对后续项目实施人员进行工作交接时可以提高信息的准确度和交接效率。对所有项目人员尽快了解系统的基本情况有一定的帮助 。 风险分析 风险分析是信息安全工程中一项重要的方法,其核心目标是帮助相关人员了解信息系统存在的威胁和威胁可能给系统带来的风险,从而确定需要哪些实际的控制和保障措施来把风险降低到可以接受的范围,既确定系统的安全需求和所需的安全措施。对客户信息系统的安全做一个全面的分析和评估,列出所有可能遭受的威胁和系统存在的脆弱性,得出相应风险,为我们针对客户信息系统提出的解决方案提供科学的依据,说明为什么采用确定出的安全技术和安全产品,旨在解决信息系统中存在的什么安全问题。概念介绍威胁:导致非授权访问、修改、泄露或者破坏信息资源,对信息系统或业务应用产生负面效果的可能性事件。脆弱性:使系统更容易受到威胁攻击或攻击更容易成功,造成更大影响的缺陷。如对火灾的脆弱性为使用易燃材料。风险:一个特定的威胁利用一种特定的脆弱性的可能性。风险分析:确定资产、威胁、和风险,确定适当的保护措施的过程。风险分析方法类别完成风险分析的重要保证是选择正确的风险分析的方法。现有的风险分析方法很多,主要分为定量的风险分析和定性风险分两大类 :定量风险分析:定量的风险分析尝试给出风险分析各组成部分资产的货币度量值,把所有的对风险的影响因素量化(资产价值、威胁发生可能性、防护装置的有效性、防护装置成本、不确定性和概率)。定性风险分析:并不给出风险分析组成部分的数字价值,而是按照风险分析实施人员的经验对系统风险进行评定。主观性较强。定性风险分析方法定性风险分析方法是一个用来确定对应用、系统、设施和其它企业资产要求的保护等级的技术。它提供了一个三位一体 “资产——威胁——脆弱性”的研究方法,系统地评估资产、威胁和脆弱性以便确定威胁发生的概率、如果发生威胁,损失的成本以及为了降低威胁和脆弱性达到可接受水平所采取的保护装置和应对措施的价值。采用主观的方式对各种风险因素进行排序。是目前使用最广泛的风险评估方法。风险分析的要素 资产 。威胁 。脆弱性 。威胁产生的影响 。风险 。安全措施 。风险几大要素之间的关系 风险分析过程要完成的任务 收集进行风险分析系统的所有相关信息,如网络拓扑、系统体系结构、业务流程、操作运行情况、未来规划、物理环境等。对系统现有的安全管理和安全技术措施也要有清楚的了解。确定系统内需要进行详细风险分析的关键资产,制定对威胁、脆弱性、影响等定性的标准。风险分析过程要完成的任务确定关键资产受到的威胁种类、威胁发生的可能性及影响;确定系统存在的脆弱性;根据得到的信息进行风险分析,得出系统风险列表和风险等级。按照信息系统可接受的风险尺度确定存在的各个系统风险的风险策略,是需要转移风险、规避风险、降低风险还是接受风险。需转移和规避的风险将分别采取相应的行动,需降低的风险作为安全需求的输入,通过各种安全产品、技术和措施得以实现。可接受的风险在系统安全实施后的评估过程中需确定是在系统的风险尺度之内 。风险分析的操作步骤 确定需要进行风险分析的资产及其敏感性。确定资产存在的威胁。确定威胁等级。确定系统对威胁存在的脆弱性。确定脆弱性等级。确定风险等级。制定风险策略 。威胁等级 脆弱性等级 风险等级确定 风险分析举例 基本情况 :某省级部门的工资系统采用第三方开发的软件对其业务进行处理。软件使用VB语言,为C/S模式。该系统使用一台应用服务器和一台Oracle数据库服务器。用户包括外部用户和内部用户,内部用户通过局域网连接到业务应用系统,使用口令和密码登录;外部用户通过拨号建立网络连接,使用口令和密码登录业务应用系统。业务应用系统有用户管理模块,管理员通过管理模块对用户帐户进行管理,风险分析举例 并使用用户名为标识设置用户访问权限,访问权限对数据的读、写和使用有具细粒度的规定。业务系统没有日志记录。业务管理员有两个,在各自计算机上装有数据库客户端,可以直接连接到数据库对信息进行管理。两个业务管理员使用同一数据库登录口令和密码登录。以前出现过一个使用拨号连接的用户修改了自己的工资信息,每月给自己多发1000元工资。风险分析报告 风险分析报告详细描述风险分析的方法、过程和结果的形成,对下一步安全需求的确定提供科学的根据。风险分析报告对系统的整体安全状况进行了全面的分析,在风险分析过程中产生的资产清单、存在的威胁和系统脆弱性清单为客户详细了解系统的安全状况、需要哪些方面的提高做出准确的判断。风险分析报告罗列了系统所有的威胁和脆弱性,包含企业的机密信息,报告本身的安全要有保证,客户应对报告的扩散范围作出规定,采取控制,限制有限的人员阅读该报告。确定安全需求 安全需求的来源 :经过风险分析得出的需要降低的风险 法律法规及行业标准的要求 企业业务的目的和要求 安全需求报告 安全需求报告是ISSE信息系统安全工程第一步安全需求发掘过程的输出,体现风险分析和需求分析的工作成果,将作为详细安全设计的输入。安全需求报告对系统的安全状况做了全面、细致的了解和评估,明确了系统面临的威胁、存在的脆弱性,并罗列出了即待解决的安全问题,对系统安全建设提出了具体的安全要求,是系统安全建设的指导性文件。这个报告对企业是很有价值的。安全体系设计 系统的安全体系为保卫大中型信息系统的安全,满足系统的各种安全需求,必须设计系统的安全体系,并以安全体系指导整个系统的安全建设。安全体系需要清楚地反映出采用哪些安全机制和措施,满足了哪些安全需求,并向用户明确地描述出信息系统的哪些方面得到了保护。安全体系的设计需要采用好的体系框架,以此来合理组织各种安全措施。好的框架应该从用户理解的角度来设计,囊括安全的各个方面,显示各个要素实现的功能,并能体现系统生命周期的过程(即动态性)。因此,采用先进的、符合信息系统本身特点的体系框架思想,设计安全体系框架,是非常重要的。 安全技术体系 要解决的问题安全技术体系要解决的问题是 :在当前国内外安全形式下,我们采用什么样的战略来保护我们的信息系统?采用什么样的安全技术体系框架可以让我们比较容易地设计、组织、部署多种安全措施,以满足大中型信息系统复杂的安全需求?有哪些技术、产品可以满足我们的保护需求?有哪些经验和技巧可以帮助我们选择最合适的安全技术措施,设计解决方案? 安全技术体系框架围绕四个技术焦点领域进行组织:保卫网络和基础设施 :主干网络的可用性无线网络安全框架系统互连和虚拟私有网(VPN) 保卫边界 :网络登录保护远程访问多级安全 保卫计算环境 :终端用户环境系统应用程序的安全安全技术体系框架支撑基础设施 :密钥管理基础设施/公共密钥基础设施(KMI/PKI)检测和响应 采用层次化的保护策略并不意味着需要在网络体系结构的各个可能位置实现信息保障机制。通过在主要位置实现适当的保护级别,便能够依据各机构的特殊需要实现有效保护。另外,允许在适当的时候采用低级保障解决方案以便降低信息保障的代价,同时也允许在关键位置明智地使用高级保障解决方案,这需要根据项目的实际特点需求决定。 系统安全规划与调整 按照管理和安全的要求,合理地划分系统的安全区域,使管理员更容易对整个系统进行层次化的系统管理,并可根据机构的组织特征和业务特征,对不同的安全区域实施不同的安全策略;规划并明确安全区域的边界,尽可能保持边界的简单和明确度,合理地配置边界的控制策略,提高边界内部系统的安全性;规划和调整网络和应用系统的配置,提高网络和应用系统的性能;降低其它安全技术措施的部署复杂度和建设成本 安全域规划与调整 安全域是指根据保护等级、组织结构、业务应用系统特点等对整个网络划分的不同安全区域。安全域的划分一般有以下类型 :保护等级:根据保护等级划分安全域。 组织特征:根据机构的组织机构划分安全区域。 业务应用系统特征:一般应重点考虑业务系统的特征在区域划分的安全要求。 安全域间的隔离划分VLAN 在同一个局域网内利用VLAN技术把不同保护策略的区域相对分开,有利于提高安全性,有利于提高网络的性能。例如:可以把服务器区域、办公(业务)区域分别设置不同的VLAN;如果需要,还可以分为核心服务器区域、公共服务器区域、办公(业务)区域1-n等 . 设置网段如果不同区域的安全策略差别较大,或者不同区域间相隔较远,可以采用设置不同网段的方法区分不同安全域,安全域之间采用路由器等进行连接,这样可以对不同的网段部署更为严格的安全策略。安全域间的隔离建设不同网络对于保护等级差别较大,应采用分开建设不同网络的方法来区分。例如,外网和内网一般应该是基于完全不同的网络基础设施的(包括布线、网络设备、广域网线路等),及两个物理上隔离的网络。如果不同网络间有少量信息的交换,可以采用安全措施,使这种数据交换在受限的状态下进行。 划分虚拟局域网主要出于三种考虑: 第一是基于网络性能的考虑。 对于大型网络,现在常用的Windows NetBEUI是广播协议,当网络规模很大时,网上的广播信息会很多,会使网络性能恶化,甚至形成广播风暴,引起网络堵塞。那怎么办呢?可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输,因为广播信息是不会跨过VLAN的,可以把广播限制在各个虚拟网的范围内,用术语讲就是缩小了广播域,提高了网络的传输效率,从而提高网络性能。 第二是基于安全性的考虑。 因为各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。在大规模的网络,比如说大的集团公司,有财务部、采购部和客户部等,它们之间的数据是保密的,相互之间只能提供接口数据,其它数据是保密的。我们可以通过划分虚拟局域网对不同部门进行隔离。 第三是基于组织结构上考虑 同一部门的人员分散在不同的物理地点,比如集团公司的财务部在各子公司均有分部,但都属于财务部管理,虽然这些数据都是要保密的,但需统一结算时,就可以跨地域(也就是跨交换机)将其设在同一虚拟局域网之中,实现数据安全和共享。采用虚拟局域网有如下优势:抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。 基于交换式的以太网要实现虚拟局域网主要有三种途径:基于端口的虚拟局域网;基于MAC地址(网卡的硬件地址)的虚拟局域网;基于IP地址的虚拟局域网。 (1)基于端口的虚拟局域网 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。 (2)基于MAC地址的虚拟局域网 在基于MAC地址的虚拟局域网中,交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个虚拟局域网,而无论该站点在网络中怎样移动,由于其MAC地址保持不变,因此用户不需要进行网络地址的重新配置。这种虚拟局域网技术的不足之处是在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个虚拟局域网。 (3)基于IP地址的虚拟局域网 在基于IP地址的虚拟局域网中,新站点在入网时无需进行太多配置,交换机则根据各站点网络地址自动将其划分成不同的虚拟局域网。 在三种虚拟局域网的实现技术中,基于IP地址的虚拟局域网智能化程度最高,实现起来也最复杂。 三层交换技术 传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。 在这种情况下,出现了第三层交换技术, 它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。 在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。 网络和网络基础设施安全 保证广域网为关键应用提供远程传输能力,防止受到拒绝服务的攻击;防止受到保护的信息在发送过程中的时延、误传或未发送,保证网络的通畅;用户数据流保密性;防止数据流分析;保护网络基础设施(通信设备)控制信息 。骨干广域网的安全对于大中型信息系统来说,首先考虑骨干广域网的安全。因为广域网处于系统管理者无法全部控制的区域中,提供广域网线路的服务商也仅仅能提供最基本的可靠性,远远不能达到所要求的安全等级。因此,广域网络以及为其提供支撑的相关基础设施(比如网络管理系统)是必须受到保护的。 网络通信流在网络上,有三种不同的通信流:用户通信流、控制通信流以及管理通信流。用户通信流是用户通过网络传输的信息;控制通信流是在网络设备之间传输的、对建立用户连接非常重要的信息;管理通信流是用来配置网络设备或表明网络设备状态的信息,与其相关的协议包括SNMP、HTTP等,网络管理通信流对于确保网络设备没有被非授权用户改变是非常重要的。骨干网的可用性 最常用的商业化骨干网是电信数据网络和INTERNET网。当然,也包括一系列其它网络,比如无线系统、卫星系统、视频会议系统和声音系统。这些网络由一系列的技术和传输系统构成。 骨干网的可用性与网络、网络设备(如节点机、交换机、路由器、网关)、通信线路(光纤、铜缆等)、典型网络管理中心有密切的联系。骨干网的可用性 骨干网的可用性只关心网络控制信息流和管理信息流的安全,而用户信息流的安全是用户自己需要解决的。骨干网的可用性目前只能由电信服务提供商来保证,但我国对此方面的相关法律和标准都不健全。因此,用户需要同电信服务商签订服务保障协议,以保障骨干网的可用性。虚拟专网VPN安全 有多种租用电信公共基础设施实现虚拟专网的方法。对一个组织的分散机构进行良好的连接,并阻止组织以外的机构对组织内部信息进行访问,同时对通过公共设施的信息进行保护 。对建立在电信公网上的虚拟专网的安全保护手段是采用加密措施,这可以同时实现对骨干网上传输信息的保密性和完整性保护 。骨干网的加密骨干网的加密有两种主要的方法:链路层加密、网络层加密:链路层的加密技术和产品主要包括:DDN加密机、FR加密机、ATM加密机、SDH加密机、ISDN加密机等 IPSec是被广泛应用的IP层加密解决方案 :国家主管部门批准的IPSec加密设备一般称之为IP加密机、TCP/IP网络密码机、安全VPN(SVPN)等 。 边界安全 依据对安全域的规划和边界的规划,边界主要分为局域网特征的区域边界;和以内部网段、VLAN的内部安全域边界。内部安全域之间一般其保护等级和安全策略差别不大,可以采用对边界的安全配置实现。区域边界一般要连接广域网,因此其边界的安全要求更高。我们主要针对区域边界的安全进行设计,内部安全域边界如果需要更高的边界保护策略,可以参考区域边界的设计和配置。 保卫边界保卫边界的目的就是要对流入、流出边界的数据流进行有效的控制和监督。有效地控制措施包括防火墙、安全隔离与交换设备、VPN、标识和鉴别/访问控制等。有效的监督措施包括基于网络的入侵检测系统(IDS)、脆弱性扫描器、局域网上的病毒检测器等。这些机制可以单独使用,也可以结合使用,从而对边界内的各类系统提供保护。虽然边界的主要作用是防止外来攻击,但它也可以来对付某些恶意的内部人员,这些内部人员有可能利用边界环境来发起攻击,通过开放后门/隐蔽通道来为外部攻击提供方便。边界上的访问控制 传统的边界隔离措施是采用防火墙。在大部分情况下,都需要部署防火墙来保护内部网络。另外一种边界隔离措施是安全隔离与交换系统(也称网闸)。安全隔离与交换系统可以部署在内外网之间,实现内外网之间的安全隔离与适度的数据交换。 防火墙 包过滤防火墙 ;状态侦测防火墙 ;应用网关防火 墙;一般应选择支持状态检测包过滤和应用代理的复合型防火墙,并根据系统的情况选择配置类型。一般的配置原则是:在对性能要求高的情况下配置为状态检测包过滤模式;在对安全要求高的情况下配置为应用代理模式。安全隔离与交换系统通过专用的硬件断开内外网络的链路连接,采用专用协议进行数据交换,能够防止外网对内网的攻击。支持内外网络的邮件收发、网页浏览和文件传输等功能。内端机和外端机采用经过安全加固的操作系统。集成入侵检测和防病毒功能,提供完善的日志审计 。比防火墙更坚固的自身防护能力,也往往可以控制得更为深入,实现更高的隔离要求。安全隔离与交换系统 隔离功能:内外网络没有穿过隔离系统的TCP/IP连接。数据交换功能:保证内外网络之间能交换原始的应用数据。支持标准协议:能支持几乎所有流行的标准的应用协议。协议定制功能:能基于协议格式、状态机定制隔离系统可以支持的新协议。日志和审计功能:提供详尽的日志功能;提供对日志数据丰富的审计功能。安全隔离与交换系统防病毒功能:内置的防病毒模块能对来往应用数据进行病毒查杀。模糊查询功能:智能化的关键字过滤能对如“法轮功”等模糊关键词进行查询、过滤。检查功能:能对应用数据的格式和文件后缀的一致性进行检查。比如规则不允许某用户通过隔离系统传输“.exe”文件,此时攻击者即使修改了文件的后缀也不能逃过隔离系统的检查。安全隔离与交换系统访问控制功能:隔离系统提供从IP层到应用层的严密访问控制功能。部分的DoS防御功能:隔离系统能实现对SYN等通常的拒绝服务攻击进行防护。未知攻击防范功能:由于采用了协议分解、提升到应用数据、定制协议传输、标准封装的模式,使隔离系统能将基于TCP/IP协议的漏洞的攻击屏蔽掉。 安全隔离与交换系统本质上来说,安全隔离与交换系统实现了比代理型防火墙更高的安全性。同时,安全隔离与交换系统内外连接采用不同的硬件,在提高边界控制的强度的同时,也极大地提高了系统本身的抗攻击能力。因此,在许多隔离要求高的场所,采用安全隔离与交换系统连接两个安全等级差异较大的网络(例如内网与外网),是非常好的边界控制措施。但安全隔离与交换系统的性能要比防火墙差,配置灵活性也较弱,技术成熟度也远远不如防火墙。 远程接入安全 对远程访问进入内部网络边界的保护。其相应的安全措施有:工作站的保护:介质加密、数据加密、强口令;通道的保护:链路层加密、IP层加密;入口边界的保护:强制身份认证、访问控制、检测和响应(含病毒、入侵等) 目前较先进的技术是采用基于IPsec的安全远程接入系统,这种系统实现单机对网络的VPN,并支持工作站文件的加密存储;结合边界的其它访问控制和检测措施,可以实现完善的安全远程接入,且适应多种传输线路或通道,总体采购成本也相对较低。远程接入安全安全远程接入系统包括三个部分:中心端的IP加密机、密钥管理中心,用户端的安全模块。中心端的IP加密机具有完整的防火墙功能,可以实施强制的访问控制功能,限定对网络资源的访问区域;用户端的安全模块能实施对工作站的加密存储和强口令认证,支持数字证书功能,作为合法用户的入网身份认证;安全模块同网络端的中心端的IP加密机建立基于IPSec的安全VPN通道,可以有效保证远程接入通道的安全;密钥管理中心实施对整个安全接入系统中各个密码设备的管理,并实施严格的安全策略。 边界处的检测与响应网络入侵检测 。网关防病毒 :一般有两种防病毒系统:在网关处保护网络的防病毒网关(或称为网络防病毒);在服务器和工作站上保护本机的主机防病毒系统(服务器版、单机版)。 虽然主机防病毒可以检测得更彻底,但当病毒已经进入网络的时候,病毒有可能在网络中蔓延,使所有的主机都忙于查杀病毒的工作中,致使网络和主机性能急剧下降。因此,对于需要大量的外部数据交换(特别是接入互联网)的情况,通过部署防病毒网关,可以有效地把大部分病毒挡在网络边界之外。边界处的检测与响应边界上的漏洞扫描扫描器则是一种预防性措施。一般情况下,它们定期工作(或按需工作),检查系统中可被别人利用的网络漏洞,衡量基础设施系统的保护有效性。 目前可供选择的基于网络的漏洞扫描工具并不很多,比较成熟的如ISS的Internet Scanner提供了非常强大的功能。Internet Scanner通过对网络安全弱点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。Internet Scanner对所有附属在网络中的设备进行扫描,检查它们的弱点,将风险分为高,中,低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。 不同保护等级网络互联 边界保护策略通常禁止在保护等级差距很大的情况下,两个网络(如专网和公网)之间进行数据交换。但在许多情况下,存在着许多数据交换的需求(例如电子政务内网和外网)。专用的数据交换系统可以实现在密级不同的网络间受控的数据交换,能够提供跨越安全边界的桥接。这些保护措施使用各式各样的处理,包括数据标识和鉴别技术、数据过滤和阻塞技术等,以便提供网络上的数据净化(例如降级)或隔离。 局域网与应用安全 局域网与应用安全是安全体系中最重要、最复杂的。 局域网与应用安全涉及网络的多个层次,主要包括局域网环境的安全(基于主机的检测和响应)、关键业务应用系统的安全。 基于主机的检测和响应 主机入侵检测 主机防病毒 :传播途径和方式见图。病毒感染对象 :到目前为止,病毒主要感染和破坏的对象还是象DOS, Windows3x/95/98, Windows NT/2000, OS/2,Machintosh,NOVELL等操作系统以及基于群件系统如Domino/Lotus Notes、MS Exchange的应用,对于Unix操作系统,构不成什么破坏。虽然Unix系统本身不会受病毒的影响,但是一些基于Unix系统的应用会起到传播病毒的作用,如在Unix平台下的邮件服务器,它会把带病毒的邮件转发到内部网络的客户端。 基于主机的检测和响应主机漏洞扫描 :一般来说主机漏洞扫描可以细分为对通用服务器的漏洞扫描器、对数据库系统的漏洞扫描器(例如ISS的System Scanner和Database Scanner)。System Scanner包括引擎和控制台两个部分。引擎必须分别装在被扫描的服务器内部,在一台集中的服务器上安装控制台。控制台集中对各引擎管理,引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查,并对操作系统中是否有黑客特征进行检测,其扫描结果可生成报告,并对不安全的文件属性生成可执行的修改脚本。 基于主机的检测和响应完整性检测:文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字摘要数据库,每次检查时,它重新计算文件的数字摘要并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。检测与响应作为全网的检测与响应基础设施是实现网络对抗攻击的基础。目前的信息技术还无法保证网络和系统的绝对安全,能够避免所以的威胁,因此集中的检测与响应基础设施就显得非常必要。在每个区域内部可以部署基于主机的检测与响应传感器(或系统):主机防病毒、主机入侵检测、主机漏洞扫描、文件完整性检测等;检测与响应在每个区域边界可以部署基于网络的检测与响应传感器(或系统)。这些传感器(或系统)都各自独立的工作着,可以为当地的系统管理员、网络管理员或安全管理员提供支持。作为全网的检测与响应基础设施可以监控所有的这些传感器并对其采集的数据进行更高层次、更综合的分析,并对出现的异常快速制订响应计划。作为全网的检测与响应基础设施还可以根据最新的技术动态和安全形式管理、配置全网的检测与响应系统,保持对抗新的威胁的能力。关键应用系统安全 对关键业务应用系统的保护策略包括以下的几个方面: 工具安全 标准应用的安全 设计要求 潜在的攻击保护措施关键业务应用系统安全体系 安全体系在局域网的应用模式集中提供应用安全服务的模式 支撑基础设施支持性的基础设施能够为全网提供安全服务、并对整个安全体系提供支撑。所提供的安全服务不仅是许多安全解决方案实现的基础,而且可以实现对全网的集中安全管理。目前纵深防御策略定义了两个支持性的基础设施;密钥管理基础设施/公钥基础设施(KMI/PKI):用于产生、发布和管理密钥与证书等安全凭证;安全监控系统 。 安全监控系统网络管理一般分为五大发展方向:网管系统、应用性能管理、桌面管理、员工行为管理、安全管理。安全监控系统主要是在网管系统、桌面管理、员工行为管理这三个方面,对网络的状态、安全设备的状态、个人工作站的行为和安全状态进行管理。安全监控系统安全监控系统可以实现以下三个部分的功能:网管系统:网管系统主要是针对网络设备进行监测、配置和故障诊断。主要功能有自动拓扑发现、远程配置、性能参数监测、故障诊断。员工行为管理:员工行为管理包括两部份,一部分是员工网上行为管理,另一部分是员工桌面行为监测。定制因特网访问策略,根据用户、团组、部门、工作站或网络设置不同的因特网访问策略 。安全监控系统桌面管理:桌面管理环境是由最终用户的电脑组成,这些电脑运行Windows系统。桌面管理是对计算机及其组件管理,主要是资产管理(如网管员通过管理端及桌面系统上驻留的代理程序相互配合完成员工桌面系统上的故障诊断)、软件派送(完成内部软件的统一安装)和远程控制。桌面管理系统通过以上功能,一方面减少了网管员的劳动强度,另一方面增加系统维护的准确性、及时性。 安全管理体系 安全管理体系框架安全管理体系框架安全政策和制度 国外标准 ISO 17799:2000《信息安全管理体系国际标准》; ISO 13335:1996《IT安全管理指南》; BS7799-2《信息安全管理体系规范》; BS7799-1《信息安全管理实践规范》 安全政策和制度国内标准:国家标准GB9361—1988《计算站场地安全要求》;国家标准GB50174—1993《电子计算机机房设计规范》;国家保密指南BMZ1—2000《涉及国家秘密的计算机信息系统保密技术要求》;国家保密指南BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案 设计指南》(秘密);中华人民共和国保密指南BMZ3《涉及国家秘密的计算机信息系统安全保密测评指南》… 安全运行体系 安全运行体系安全运行体系就是从操作这个层面上保证信息系统的运行安全。 安全运行框架 安全运行框架安全运行框架由三层次的功能构成: 最低层为基础运行系统。基础运行安全系统是整个运行安全体系的最重要组成部分,安全系统的日常运行、维护均由基础运行安全系统负责直接完成. 之上是运行分析系统,该系统的主要职责是利用安全管理和安全技术对基础运行系统收集、产生的运行数据进行整理与分析,一方面监督整个体系的安全运行,即时发现问题,保证整个信息系统安全策略的严格有效执行 . 安全运行框架 另一方面,则根据新发现的安全问题,向运行安全决策系统提交相关数据及报告,帮助运行决策系统及时对安全问题作出有效的应对决策;反过来改进和完善安全管理体系、安全技术体系。运行安全决策系统是整个运行安全系统的“大脑”,该系统负责对整个信息系统的安全进行决策,根据系统的运行情况、信息技术的最新发展、安全威胁的变化,提出对策,并付诸实施。 安全运行框架 设备运行管理操作安全 操作权限管理操作规范管理 操作责任管理 操作监控管理 误操作恢复管理 安全监控 政策监控 网络监控 审计日志的监控 :检查日志文件最有效的方法是通过自动化的过程 安全漏洞监控应急响应与计划 事件响应小组 事件确认 :日志文件、网络信息流、系统配置 控制措施 事件根除 事件文档 应急计划
展开
