信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等。
一个单位的安全策略一定是定制的,都是针对本单位的“安全风险(威胁)”来进行防护的。安全策略的归宿点(立脚点)就是单位的资产得到充分的保护。
安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定流程。
安全策略设计原则:8个总原则+10个特殊原则
| 8个总原则 | 10个特殊原则 |
| (1) 主要领导人负责原则。 (2) 规范定级原则。 (3) 依法行政原则。 (4) 以人为本原则。 (5) 注重效费比原则(安全需求和现实资源的有限性) (6) 全面防范、突出重点原则。 (7) 系统、动态原则。 (8) 特殊的安全管理原则(遵循10个特殊原则) | (1) 分权制衡原则 (2) 最小特权原则(对信息和信息系统访问采用最小特权) (3) 标准化原则 (4) 用成熟的先进技术原则 (5) 失效保护原则(系统运行错误或故障时必须拒绝非授权访问) (6) 普遍参与原则 (7) 职责分离原则--管理和执行分离 (8) 审计独立原则 (9) 控制社会影响原则 (10) 保护资源和效率原则(风险度的观点和适度安全的观点) |
2.1 信息系统安全方案相关系统组成因素
(I)主要硬件设备的选型。
(2)操作系统和数据库的选型。
(3)网络拓扑结构的选型。
(4)数据存储方案和存储设备的选型。
(5)安全设备的选型
(6)应用软件开发平台的选型。
(7)应用软件的系统结构的确定。
(8)供货商和集成商的选择等。
(9)业务运营与安全管理的职责(岗位)
(10)应急处理方案的确定及人员的落实。
2.1 信息系统安全方案内容
(1)首先确定采用MIS+S、S-MIS或s2-MIS体系架构。
(2)确定业务和数据存储的方案。
(3)网络拓扑结构。
(4)基础安全设施和主要安全设备的选型。这部分是信息安全保障系统的核心。
(5)业务应用信息系统的安全级别的确定。一旦你确定了安全级别,也就确定了安全的大体方案。
(6)系统资金和人员投入的档次。
系统安全方案与系统的安全策略是密不可分的。没有安全策略就没有安全方案;相反,没有安全方案,也就没有安全策略。
| 信息安全系统工程就是要建造一个信息安全系统,它是整个信息系统工程的一部分,而且最好是与业务应用信息系统工程同步进行。
信息安全需求、总体设计、详细设计、系统设备选型、 工程招投标、密钥密码机制、资源界定和授权、 信息安全系统施工中需要注意防泄密问题和施工中后期的信息安全系统测试、运营、维护的安全管理等问题。 |
辨析:信息安全系统工程不是信息系统安全工程。信息系统安全工程可能会误解为安全地建设--个信息系统,而忽略信息系统中的信息安全问题。目标是信息安全系统,不是信息系统安全。
| 信息安全系统体系架构 |
1. MIS+S 系统
MIS+S (Management Information System+Security) 系统为“初级信息安全保障系统”或“基本信息安全保障系统”。顾名思义,这样的系统是初等的、简单的信息安全保障系统。其特点如下。
• 业务应用系统基本不变。
• 硬件和系统软件通用。
安全设备基本不带密码。
这里所说的”安全设备”主要是指那些在应用系统之外的信息安全设备,如防火墙、网络隔离、安全路由,以及病毒防治系统、漏洞扫描系统、入侵检测系统、动态口令卡等。不使用PIG/CA 的VPN 设备也属千这个范畴。
2. S-MIS 系统架构
S-MIS (Security- Management Information System)系统为“标准信息安全保障系统”。
顾名思义,S-MIS系统一定是涉密系统,即系统中一定要用到密码和密码设备,一定是基于PKI/CA和PMI/AA建立的支撑用户的业务应用信息系统的运营。其特点如下:
硬件和系统软件通用。
PKI/CA安全保障系统必须带密码。
业务应用系统必须根本改变。
主要的通用的硬件、软件也要通过PKI/CA认证。
业务应用系统必须根本改变就是指业务应用系统必须按照PKI/CA的标准重新编制的全新的安全的业务应用信息系统。
3. S2-MIS 系统架构
S2-MIS (Super Security-Management Information System)系统为“超安全的信息安全保障系统”。顾名思义,这样的系统是建立在“绝对的”安全的信息安全基础设施上的。它不仅使用世界公认的PKI/CA标准,同时硬件和系统软件都使用专用的、安全产品。主要的硬件和系统软件需要PKJ/CA认证,可以说,这样的系统是集当今所有安全、密码产品之大成。其特点如下。
5. 信息安全系统工程体系结构硬件和系统软件都专用。
PKJ/CA安全基础设施必须带密码。
业务应用系统必须根本改变。
信息安全系统工程能力成熟度模型( Information Security System Engineering Capability Maturity Model, ISSE-CMM) 是一种衡量信息安全系统工程实施能力的方法。
5.1 ISSE-CMM的组织
ISSE-CMM主要适用于工程组织(Engineering Organizations)、获取组织(Acquiring Organizations)和评估组织( Evaluation Organizations)。
(1)工程组织。信息安全工程组织包含系统集成商、应用开发商、产品提供商和服务提供商等。
(2)信息安全的获取组织。信息安全的获取组织包含采购系统、产品,以及从外部/内部资源和最终用户处获取服务的组织。
(3)信息安全的评估组织。信息安全的评估组织包含认证组织、系统授权组织、系统和产品评估组织等,他们使用ISSE-CMM作为工作基础,以建立被评组织整体能力的信任度。
| ISSE将信息安全系统工程实施过程分解为:工程过程(Engineering Process) 、 风险过程(Risk Process)和 保证过程( Assurance Process) |
公钥基础设施PKI (Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。
其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间邮戳服务、相关信息标准、操作规范等。
认证中心: CA (Certification Authority) 是PKI的核心。它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务。
PMI (Privilege Management Infrastructure) 即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权统一交由授 权机构进行管理,即由资源的所有者来进行访问控制管理。
PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。
pKI主要进行身份鉴别,证明用户身份,即“你是谁”签证具有属性类别,持有哪才能在该国家进行哪类的活动。护照是身份证明,唯一标识个人信息,只有持有护照才能证明你是一个合法的人。
1. 访问控制的概念
访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机信息应用系统在合法范围内使用;访问控制机制决定用户以及代表-定用户利益的程序能做什么及做到什么程度。
访问控制有两个重要过程。
(1)认证过程,通过“鉴别( authentication )来检验主体的合法身份。
(2)授权管理,通过“授权( authorization) ”来赋予用户对某项资源的访问权限。
2.访问控制机制分类
因实现的基本理念不同,访问控制机制可分为强制访问控制(MandatoryAccessControl, MAC)和自主访问控制(Discretionary Access Control, DAC)两种。
| MAC,用户不能改变他们的安全级别或对象的安全属性。在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识-一个安全等级。访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法。 | DAC机制允许对象的属主来制定针对该对象的保护策略。自主访问控制中,用户可以针对被保护对象制定自己的保护策略。每个主体拥有一个用户名并属于一个组或具有-一个角色。每个客体都拥有一个限定主体对其访问权限的访问控制列表(ACL),每次访问发生时都会基于访问控制列表检查用户标志以实现对其访问权限的控制。 //对资源设置访问控制列表和权限 |
BLP保密模型, 基于MAC, 基于两种规则:
| |
3. 基干角色的访问控制
基于角色的访问控制中,角色由应用系统的管理员定义。|角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色;而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定。用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。
角色控制比较灵活,根据配置可以使某些角色接近DAC,而某些角色更接近于MAC。
9. 信息安全审计目前我们使用的访问控制授权方案,主要有以下4种。
(1) DAC (Discretionary Access Control) 自主访问控制方式:该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。//主体设置资源列表
(2) ACL (Access Control List)访问控制列表方式:该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。如果某个用户不在访问控制列表中,则不允许该用户访问这个资源。//客体资源设置用户列表
(3) MAC (Mandatory Access Control)自主访问控制方式,该模型在军事和安全部门中应用较多,目标具有一个包含等级的安全标签(如:不保密、限制、秘密、机密、绝密) ;访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标:例如允许访问秘密级信息,这时,秘密级、限制级和不保密级的信息是允许访问的,但机密和绝密级信息不允许访问。
(4) RBAC (Role-Based Access Control)基于角色的访问控制方式:该模型首先定义些组织内的角色,如局长、科长、职员;再根据管理规定给这些角色分配相应的权限,最后对组织内的每个人根据具体业务和职位分配一个或多个角色。
安全审计( Security Audit) 是记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,并帮助分析安全事故产生的原因。
安全审计系统属于安全管理类产品。安全审计产品主要包括主机类、网络类及数据库类和业务应用系统级的审计产品。
CC (即Common Criteria ISO/IEC 17859)标准将安全审计功能分为6个部分:
安全审计自动响应功能; 安全审计自动生成功能; 安全审计分析功能; 安全审计浏览功能;
安全审计事件选择功能; 安全审计事件存储功能。
- 系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。产生的审计数据有以下几方面。
- 每一条审计记录中至少应所含的信息有:事件发生的日期、时间、事件类型、主题标识、执行结果(成功、失败)、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。
9.1 建立安全审计系统
建设安全审计系统的主体方案一般包括利用网络安全入侵监测预警系统实现网络与主机信息监测审计;对重要应用系统运行情况的审计和基于网络旁路监控方式安全审计。
1.基于入侵监测预警系统的网络与主机信息监测审计
2.重要应用系统运行情况审计
目前,应用系统平台主要有Oracle、SQL Server(关系数据库系统)等应用平台本身都内嵌有较为完备的信息审核机制,作为全面审计跟踪服务器上一切活动的工具,它可以实现在数据库的表、视图、目录、文档、列(域field)等不同层次,对进行Open、 Create、 Update、 Delete等细粒度访问操作时的监控。但是,最便捷的解决方法还是寻找可靠、成熟的现有技术解决,以使应用程序开发人员能够专心于程序可用性开发上。
截止到目前,从已知的现有技术分析,主要有4种解决方案。
1)基于主机操作系统代理
数据库操作系统(如Oracle、SQL Server)、电子邮件系统(如Microsoft Exchange)在启动自身审计功能之后自动将部分系统审核数据(如用户登录活动、对象访问活动)传送到主机系统审计日志。
2)基于应用系统代理
此方案优点是实时性好,且审计粒度由用户控制,可以减少不必要的审核数据。缺点在于要为每个应用单独编写代理程序,因而与应用系统编程相关,通用性不如前者好。
3)基于应用系统独立程序
在应用系统内部嵌入一个与应用服务同步运行专用的审计服务应用进程,用以全程跟踪应用服务进程的运行。
4)基于网络旁路监控方式
9.2 分布式审计系统
网络安全审计系统是对网络系统多个层次上的全面审计。对于一个地点分散、主机众多、各种连网方式共存的大规模网络,网络安全审计系统应该覆盖整个系统,即网络安全审计系统应对每个子系统都能进行安全审计,这样才能保证整体安全。因此,网络安全审计系统不但是-一个多层次审计系统,还是一个分布式、多Agent结构的审计系统。
分布式审计系统由审计中心、审计控制台和审计Agent组成。
