【www.gbppp.com--经典美文】
第6章 系统安全体系设计
6.1概述
在泉州公安交通指挥中心整修升级项目的整个安全体系建设过程中,需要综合考虑安全要素,主要包含贯穿始终的安全策略、安全评估和安全管理;而在技术层面上需要考虑实体的物理安全,网络的基础结构、网络层的安全、操作系统平台的安全、应用平台的安全,以及在此基础之上的应用数据的安全。这几个方面,既是一种防护基础,也是相互促进的,同时是一个循环递进的工程,需要不断的自我完善和增强,才能够形成一套合理有效的整体安全防护系统。
具体请参照下图:
整体防护安全拓扑图
6.2安全策略
公安交通指挥中心采用安装安全隔离网闸(根据交警支队网络管理实际需求情况,另议),实现了物理传导上使内、外网络物理隔断,同时确保信息在支队内部之间交换,同时防止内部网信息通过网络连接泄漏到外部网。
对于将来如有业务确须和非公安系统连接时,主要采用防火墙+安全隔离网
闸+入侵检测系统加以隔离、防护,内部局域网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。据统计在网络安全事件中,70%是来自内部。因此内部网的安全风险更严重。内部人员对自身网络结构、应用比较熟悉,将可能成为导致系统受攻击的安全威胁。
因此制订安全管理策略和措施,采用“远程控制、集中管理”的方式对网络中的安全设备和系统进行管理,以确保安全策略的一致性。
6.3安全措施
6.3.1 IP地址和MAC地址的绑定和身份认证
为了防止使用未经登记的设备访问网络服务,在主交换上配置IP地址和MAC地址的对应关系,当终端机访问网络服务时,判断其合法性。
在交换机的端口限制MAC地址,可以有效地防止非法用户的入侵。
绝大多数的用户都是合法用户。但是,如果有非法用户使用自带的笔记本电脑连入计算机网络系统,并使用网络系统所给的合法帐号上网,那么就能取 得服务器的资料,甚至破坏服务器。
每个工作站上网时,交换机在自己的内存中查找所有被允许的MAC,如果能够匹配,交换机就允许该工作站上网,否则交换机自动禁用该端口,使非法工作站无法上网。
6.3.2 VLAN划分及其访问控制
在主交换机上将全单位内网环境按照部门、楼宇划分不同的VLAN。在主交换机上配置了VLAN之间的访问控制,除提供信息服务的VLAN之外,禁止了其它VLAN之间的访问。通过这项措施,使得不同楼宇、不同办公区的同一部门使用网络如同在一起办公。有效地阻止了网络广播的大量散发,通过访问控制限制了各个部门之间的相互干扰。
6.3.3 访问控制列表
Cisco路由器上的访问控制由Access list(访问控制列表)功能实现。Access list选择路由器的端口作为控制点,检查每一个进出的数据包。Access list是基于网络层协议的,支持IP、IPX等多种协议。对于IP,Access list可检查IP包的源地址、目的地址、TCP和UDP、TCP和UDP上的端口号等深层信息,提供了良好的控制能力。Cisco 的Access list,可分离不同部门的不同应用,保证局域网的内部访问安全性。
中心交换机可以隐蔽并保护信息中心服务器群,可以保护重点计算机,可以有效防止对不当资源的访问,如TELNET、FTP等等。
6.3.4 安全审计
安全审计是一个安全的网络必须支持的功能特性,审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据,为网络犯罪行为及泄密行为提供取证基础。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
网络系统作为企业网络信息系统也应具备安全审计措施。并通过多层次的审计手段,形成一个功能较完备的安全审计系统。具体而言,网络的审计系统应该由三个层次组成,分别是:
网络层层次的安全审计:主要利用网络监控系统来实现。 如针对性的
漏洞扫描。
系统的安全审计。主要是利用各种操作系统和应用软件系统的审计功能
实现。包括,用户访问时间、操作记录、系统运行信息、资源占用等。 对信息内容的安全审计,属高层审计。
a) 采用各层次的安全审计措施是网络安全系统的重要组成部分。
该项工作需要购置部门级网络安全审计系统。主要达到以下目的:
阻止内网终端拨号上网或提供拨号服务;
阻止计算机运行嗅探程序或有扫描软件扫描端口;
阻止并阻断黑客攻击和侵入,并能记录来源;
阻止木马攻击;
防堵因系统原因造成的网络漏洞;
特殊情况下,控制台可完全接管终端;
控制台的数据及报警记录的管理、分析。
6.4 系统安全
6.4.1 系统审计措施
在部署好主机/服务器的安防措施之后,需要对它们的配置情况进行审计以保证主机/服务器系统得到了有效的保护。系统审计的策略和方法有很多,所网的系统管理员应该根据具体的情况制订恰当的审计策略并选择合适的审计工具。
6.4.2 对数据中心的重点保护
安装百兆防火墙和部署百兆入侵探测系统,对信息中心的服务器进行重点保护,隐藏其真实的IP地址,开放有限的端口,对流经的IP包进行强度扫描和过滤。
6.4.3 漏洞扫描和探测
通过和网络规划联动,将提供服务和重要的计算机划分不同的VLAN,定期对这些设备进行漏洞扫描和探测。
6.4.4 病毒防护措施
病毒是网络上另一个不可轻视的安全问题。由于病毒自身普遍具有较强的再生机制,并且网络上各种信息的交换频繁,从而大大增加了病毒接触不同用户的
机会,病毒如果不被有效地控制,它对计算机的影响将是灾难性的。考虑到病毒的上述特性,网络的病毒防护系统必须具备集中式的管理功能,并且能够覆盖从桌面计算机到服务器系统的所有平台。
6.4.5 重点计算机防护措施
如前所述,采取的措施之一是在防火墙上设置对重点计算机的保护;措施之二是安装安全审计系统客户端。除了这两点之外,还可以安装符合个人特点的防火墙。这些措施的结合可以在防止不合适的人访问重点计算机的内容,甚至攻击。
6.4.6 重点计算机密级文件的加密措施
在重点计算机上,配置专用的加密设施,达到以下目的:
计算机中的文件离开本机后,因为是加密后的密文,不可用;
应用的对象可以是部分盘符,也可以是部分文件夹;
加密文件传递后,可采用对等解密。
6.4.7 CA/PKI身份验证措施
全单位网络访问的用户配置唯一的用户证书和唯一的一对公钥/私钥,在应用过程中进行基于身份的加密传输和加密存储。
6.4.8 数据备份
目前,需要购买数据备份产品,来满足网络在数据备份与恢复方面的基本需求。另外,可以实施了异地备份策略,进一步保障了系统的数据安全。
6.4.9 安全防护系统的维护和监控
设计和部署防护系统的体系结构只是建立安防体系的第一步。当一切都安装部署到位并开始进入实际使用阶段之后,安防工作的重点将转移到维护和监控工作上来。维护和监控的目标是让自己的系统和网络跟上形式的发展变化,按照实
软件信息系统安全设计
内容摘要
1、物理安全设计
2、网络安全设计
3、主机安全设计
4、应用安全设计
5、数据安全设计
一、 物理安全设计
1. 设计规范
GB 50174-2008《电子信息系统机房设计规范》
GB/T2887-2000《电子计算机场地通用规范》
GB6650-86《计算机机房活动地板技术条件》
GB50016—2006《建筑设计防火规范》【系统安全设计】
GB 50343-2004《建筑物电子信息系统防雷技术规范》
GB 50054-95《低压配电设计规范》
GB 50057-2000《建筑物防雷设计规范》
ITU.TS.K21:1998《用户终端耐过电压和过电流能力》
GB50169-2006《电气装置安装工程接地施工及验收规范》
GB50210-2001《建筑装饰工程施工及验收规范》
GB50052-95《供配电系统设计规范》;
GB50034-2004《建筑照明设计标准》;
GB50169-2006《电气装置安装工程接地装置施工及验收规范》;
2. 物理位置的选择
a) 机房选择在具有防6级地震、防8级风和防橙色大雨等能力的建筑内; b) 机房场地选择在2-4层建筑内,以及避开用水设备的下层或隔壁。 c) 水管安装,不得穿过机房屋顶和活动地板下;
d) 防止雨水通过机房窗户、屋顶和墙壁渗透;
3. 物理访问控制
a) 机房出入口安排专人值守配置门卡式电子门禁系统,控制、鉴别和记录
进入的人员,做到人手一卡,不混用,不借用;
b) 进入机房的来访人员需要经过申请和审批流程,并限制和监控其活动范
围,来访人员在机房内需要有持卡人全程陪同;
c) 进入机房之前需带鞋套等,防尘,防静电措施;
d) 机房采用防火门为不锈钢材质,提拉式向外开启;
4. 照明系统
a) 照度选择
机房按《电子计算机机房设计规范》要求,照度为400Lx;电源室及其它辅助功能间照度不小于300Lx;机房疏散指示灯、安全出口标志灯照度大于1Lx;应急备用照明照度不小于30Lx;
b) 照明系统
机房照明采用2种:普通照明、断电应急照明。普通照明采用3*36W嵌入式格栅灯盘(600*1200),功率108W;应急照明主要作用是停电后,可以让室内人员看清道路及时疏散、借以维修电气设备,应急照明灯功率9W/个。灯具正常照明电源由市电供给,由照明配电箱中的断路器、房间区域安装于墙面上的跷板开关控制。
5. 防盗窃和防破坏
c) 主要设备放置在主机房内;
d) 设备或主要部件进行固定在地板上,并在机器的左上角标贴资产编号; e) 通信线缆铺设在地下;
f) 设置机房电子防盗报警系统;
g) 机房设置全景监控报警系统,做到无死角监控。
6. 防雷击及电磁
a) 电源线和通信线缆隔离铺设,避免互相干扰;
b) 机房接地防雷及电磁
机房采用4*40mm2紫铜排沿墙设一周闭合带的均压环,成“田”字状。整个机房铺设网格地线(等电位接地母排),网格网眼尺寸与防静电地板尺寸一致,交叉点使用线卡接在一起(必须牢靠)。抗静电地板按放射状多点连接,通过多股铜芯线接于铜排上。将各电子设备外壳接地端通过4mm2纯铜多股导线与铜排连接。
从样板带综合接地网采用95 mm2多股铜芯接地线,加套金属屏蔽管,固定在外墙,连接在300*80*6 mm2铜排制作的接地端子上,将均压环铜排用60mm2与样板带综合接地网相连。
c) 线路防雷
防雷系统设计为四级防雷:大楼配电室为第一级防雷(此级防雷在建设时大楼机电方完成),ATS配电柜进线端为第二级防浪涌保护,一层UPS输出柜进线端为第三级防浪涌保护,二层机房设备前端设计第四级防浪涌保护。这种防雷系统设计,可有效保护设备免遭雷电电磁感应高电压的破坏,防止因线路过长而感应出过电压和因线路过长而感应出过电压,对保证机房网络设备及后端计算机信息系统设备的稳定、安全运行有重要作用。
7. 防火
机房设置火灾自动消防系统,可以自动检测火情、自动报警,并自动灭火;机房灭火系统使用气体灭火剂;对于其它无重要电子设备的区域,可以使用灭火系统。灭火剂为FM200气体,无色、无味、不导电、无
二次污染,并且对臭氧层的耗损值为零,符合环保要求,该灭火剂灭火效能高、对设备无污染、电绝缘性好、灭火迅速。防护区内的气体灭火喷头要求分两层布置,即在工作间内、吊顶各布置一层喷头,当对某一防护区实施灭火时,该防护区内两层喷头同时喷射灭火剂。所有气体灭火保护区域围护结构承受内压的允许压强,不低于1.2Kpa ;防护区围护结构及门窗的耐火极限均不低于0.5h
8. 防静电
机房采用防静电地板;
机房铺设活动地板主要有两个作用:首先,在活动地板下形成隐蔽空间,可以在地板下铺设电源线管、线槽、综合布线、消防管线等以及一些电气设施(插座、插座箱等);其次,活动地板的抗静电功能也为计算机及网络设备的安全运行提供了保证。
机房采用抗静电全钢活动地板(整体静电电阻率大于109欧姆),地板规格600*600*35mm。强度高,耐冲击力强,集中载荷≥34KG,耐磨性优于1000转。防静电地板铺设高度为0.3米,安装过程中,地板与墙面交界处,活动地板需精确切割下料。切割边需封胶处理后安装。地板安装后,地板与墙体交界处用不锈钢踢脚板封边。活动地板必须牢固,稳定,紧密。不能有响动、摇摆和噪音。
防静电地板主要由两部分组成。A)抗静电活动地板板面;B)地板支承系统,主要为横梁支角(支角分成上、下托,螺杆可以调节,以调整地板面水平)。易于更换,用吸板器可以取下任何一块地板,方便地板下面的管线及设备的维护保养及修理。
9. 温湿度控制
空调功能:主机房内要维持正压,与室外压差大于9.8帕,送风速度不小于3米/秒,空气含尘浓度在静态条件下测试为每升空气中大于或等于0.5微米的尘粒数小于10000粒,并且具有新风调节系统。机房的空调设备采用机房专用精密空调机组(风冷、下送风),确保7*24小时机房的环境温湿度在规定的范围内;新风调节系统按照机房大小满足机房的空气调节需要。
为保证空调的可靠运行,要采用市电和发电机双回路的供电方式。 数据中心机房空气环境设计参数:
夏季温度 23±2℃ 冬季温度 20±2℃
夏季湿度 55±10% 冬季湿度 55±10%
10. 电力供应
设计为“市电+柴油发电机+UPS”的高可靠性的供电方式。此设计既可保证给设备提供纯净的电源,减少对电网的污染,延长设备的使用寿命,又可保证在市电停电后的正常工作,从而更充分地保障服务器的正常运行。
UPS不间断电源。包括UPS主机和免维护电池两组,此设备是设计先进、技术成熟的国际知名品牌EMERSON产品。UPS选用纯在线、双变换式,内置输出隔离变压器。电池选用国际知名品牌非凡牌,为铅酸免维护型,使用寿命长达10年以上。
柴油发电机。本项目选用的柴油发电机机组额定功率为250KW。主要用于保证所有UPS负荷,包括机房的计算机设备、数据设备、应急照明及部分PC机等。以备市电中断时使用。
二、 网络安全设计
1. 结构安全
为保证网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;网络各个部分的带宽满足业务高峰期需要;设计采用三线百兆光纤双路由接入分别为联通、电信、铁通。接入后按实际当前运行情况绘制相符的网络拓扑结构图;通过vlan或协议隔离将重要网段与其他网段之间隔离;重要网段在网络边界处添加防火墙设备,按照对业务服务的重要次序来指定带宽分配优先级别做出网络均衡,保证在网络发生拥堵的时候优先保护重要主机。
采用安全套接层协议SSL,SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。
SSL握手协议用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。
SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。 SSL警报协议用来在客户和服务器之间传递SSL出错信息。
应用系统安全方案设计与实现
【摘要】:随着网络的普及,网络安全问题日益突出,并已成为制约网络发展的重要因素。本文以下内容将对应用系统安全方案的设计与实现进行研究和探讨,以供参考。
【关键词】:应用系统;安全;方案设计;实现
1、前言
21 世纪生活,全球向网络化发展,网络正以惊人的速度应用于各行各业。尤其是Internet,已经深入到了我们生活、工作的方方面面。随着网络的普及,网络安全问题日益突出,并已成为制约网络发展的重要因素。安全策略是指一个系统工作时必须遵守的安全规则的精确规范。它不是一个统一的标准,而是在对特定的系统进行彻底分析的基础上制定的切实的策略。安全策略的内容应该包括系统安全隐患的分析以及应对的措施。本文以下内容将对应用系统安全方案的设计与实现进行研究和探讨,以供参考。
2、网络安全方案总体设计原则
网络安全方案总体设计原则为:第一,综合性、整体性原则。应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度以及专业措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。第二,需求、风险、代价平衡的原则。对任意网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施。第三,一致性原则。一致性原则主要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。第四,易操作性原则。安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。第五,分布实施原则。由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。第六,多重保护原则。任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它保护仍可保护信息的安全。第七,可评价性原则。如何预先评价一个安全设计并验证其网络的安全性,需要通过国家有关网络信息安全测评认证机构的评估来实现。
3、应用系统安全体系结构
具体的安全控制系统由以下几个方面组成:物理安全、网络平台安全、系统安全、信息和数据安全、应用安全和安全管理。第一,物理安全。可采用多种手
系统安全保护设施设计方案
随着信息化的高速发展,信息安全已成为网络信息系统能否正常运行所必须面对的问题,它贯穿于网络信息系统的整个生命周期。是保障系统安全的重要手段,通过安全检测,我们可以提前发现系统漏洞,分析安全风险,及时采取安全措施。
1物理安全保护措施
物理安全是信息系统安全中的基础,如果无法保证实体设备的安全,就会使计算机设备遭到破坏或是被不法分子入侵,计算机系统中的物理安全,首先机房采用“门禁系统”配合“监控系统”等控制手段来控制机房出入记录有效的控制接触计算机系统的人员,由专人管理周记录、月总结。确保计算机系统物理环境的安全;其次采取设备线路准确标记、计算机设备周维护、月巡检以及机房动力环境监测短信报警等安全措施,确保计算机设备的安全。另外,通信线路是网络信息系统正常运行的信息管道,物理安全还包括通信线路实体的安全。检测网络信息系统物理安全的主要方法采用现场检查、方案审查等。
2网络安全保护措施
网络的开放性带来了方便的可用性,但也使其更容易受到外界的攻击和威胁。入侵者可以利用系统中的安全漏洞,采用恶意程序来攻击网络,篡改、窃取网络信息,从而导致网络瘫痪、系统停止运行。在网络维护过程中,我们采用深信服多级防设备严格的与网络攻防行为对抗,保障网络安全。
2.1网络结构安全保护措施
网络信息系统为了保证内部网络拓扑信息不被非法获得,在不对性能造成影响的前提下,采用VPN虚拟专用网络并以多重身份认证系统隔离内部网络;在
网络信息系统内部采用使用加密设备以及划分VLAN的方法来防止非法窃听;采取监控、隔离的措施来保护重要的服务器。
2.2网络系统设备安全保护措施
网络系统的网络设备配备防火墙、入侵检测系统、以及行为审计系统等。
1)防火墙,防火墙的抗攻击能力特别强,它是不同网络以及网络安全域信息交换的唯一出入口,功能包括:网络数据包过滤功能、访问控制功能、网络访问行为功能以及安全审计、安全告警功能;
2)入侵检测系统,入侵检测系统可以它可以协助系统对付网络攻击,主动保护自己免受攻击,使信息安全基础的结构更加的完整。入侵检测系统功能包括:实时监测网络上的数据流,分析处理和过滤生成的审计数据;联动功能和自动响应功能是否正常;身份认识功能是否合理有效,什么权限的授权人员才有资格设置入侵管理规则,才能查阅、统计、管理以及维护日志记录,其他人不能任意的更改或删除日志记录;
3)病毒防范系统。病毒防范系统功能包括:病毒防范功能、病毒特征库更新功能以及审计数据生成与管理。病毒防范系统安全检测包括:能控制病毒侵入途径,控制并阻断病毒在系统内传播;系统能在病毒侵入时应及时的隔离、清除病毒,在日志上详细记录病毒时间的发生及处理过程;病毒特征库定期更新,定期统计和分析病毒的相关日志记录,及时的对病毒防范策略进行调整;
4)漏洞扫描仪。漏洞扫描仪可定期扫描系统,发现系统漏洞,防范于未然。系统漏洞信息具有双面性,维护人员尽早发现它可采取措施填补,不法份子也可利用它搞破坏。只有授权人员才能对漏洞扫描器进行查阅、管理、统计、维护扫描报告,只有授权人员才能制定扫描规则,比如说定义攻击类型、标准服务类型
以及IP地址,授权使用者要定期的更新扫描特征数据库,并及时的调整安全策略,更新反病毒数据库或设置更高的保护级别。
5)安全审计系统。审计数据是系统根据设置的审计规则产生的,审计系统功能包括:审计查阅功能、选择性审计功能。只有授权人才有权查阅审计系统的
日志记录;采取加密保护措施来确保日志的安全,任何人不得随意更改日志记录。
2.3网络系统可用性保护措施
网络系统的可用性是网络信息系统安全要求的重要组成部分,保证网络系统安全的技术手段有:网络冗余、技术方案验证、网络管理和监控等方面。其中,网络冗余是解决网络故障的重要措施,备份重要的网络设备和网络线路,实时监控网络的运行状态,一旦网络出现故障或是信息流量突变可以及时的切换分配,确保网络的正常运行。我们适当的采用网络监控系统、网络管理系统这些网络管理和监控手段,运用网络故障发现、网络异常报警等功能来确保网络运行的安全。才用深信服全网监测设备实时监控网络设备运行状态。
3运行安全措施
信息系统的安全与运行密不可分,网络信息系统的运行安全主要包括以下几个方面的内容:
3.1备份与恢复
为了使数据保持一致和完整,我们对网络系统的数据进行备份,以此来确保整体网络系统数据的安全。备份和恢复的检测方案是:
1)如果系统的硬件或存储媒体发生故障,使用系统自带的备份功能,进行单机备份,然后将数据存储到其他存储设备;
2)在建立系统时要进行设备备份冗余备份。局域网内存在备份服务器,备
份的数据保存在本地和异地;为了确保备份的高效性,要采用磁带机加存储的方法共同执行的方法;采用RAID等技术,确保备份的容错性。
3.2恶意代码
恶意代码是指没有作用却会带来危险的代码。恶意代码本身是程序,通过执行可能会利用网络信息系统的漏洞来攻击和破坏系统。处理恶意代码我们采用:系统应审查所有从外界获取的文件;在一定范围内建立防恶意代码体系,具有防恶意代码工具,在造成损失之前彻底清除恶意代码。
3.3入侵检测
入侵检测可以实时保护和防范网络恶意攻击以及误操作,它能够提前拦截和响应系统的入侵。
1)可分析处理和过滤安全事件报警记录,全方位的反映系统的安全情况;
2)支持用户根据系统安全需求定义用户规则模板;
3)能实时监测系统活动,寻找敏感或可疑的系统活动;
4)和防火墙机及其他网络设备联动,实施阻断连接。
3.4应急响应
应急响应的目的是在发生紧急事件或是安全事件时,确保系统不中断或紧急恢复。
应急响应方案应包括的措施有:
1)与多家网络公司合作能够在发生安全事件或是紧急事件时及时的做出影响分析,并组成应急小组,在法定时间内对发生的事件做出响应;
2)具有完善的应急计划和多种切实可行的备选方案,有由外地和本地专家组成的应急小组,在法定时间内对发生的事件做出响应。
3.5系统维护
维护的目的是确保系统的正常运行,减少安全风险,不同信息系统的安全要求不同,其维护安全的要求也会不同,对所有系统进行一周一次的一般性的检测和维护。对特殊的设备进行日巡检维护。
4系统软件安全措施
软件安全是网络信息安全应考虑的一部分。软件安全是指确保计算机软件的完整性以及不被破坏或是泄漏。软件的完整性指的是系统应用软件、数据库管理软件等相关资料的完整性,系统软件在保证网络系统正常运行中发挥着重要的作用。
4.1系统软件安全措施与验收
定期检查软件,对软件进行有效管理,及时的发现安全隐患,针对存在的问题来适当的改进现行的软件,以保证软件的安全。
在正式对软件进行加载之前,先检测软件,确定软件和其他应用软件之间是否兼容,对检测结果的真实性、准确性负责,对检测软件的结果应做好完整的记录。
4.2软件安全措施
在计算机中安装两份软件,一份运行,一份备份,当运行的软件出现问题影响到系统的正常运行时,就运行备份软件。比较这两个软件,如果备份软件也在运行中出现问题,则说明该软件存在造成网络信息系统出现故障的隐患,面临着安全的威胁;如果备份软件在运行过程中是正常的,就将备份软件复制一份,再进行相同的检测。
系统的访问控制技术
8 . 2 访问控制技术
ISO所定义的5 大安全服务功能是:认证、访问控制、数据保密性、数据完整性和防止否认服务。其中访问控制服务在系统安全体系结构中起着不可替代的作用。 访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法。它是针对越权使用资源的防御措施,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏.从而保证系统资源受控地、合法地被使用。用户只能在自己的权限内访问系统资源,不得越权访问。访问控制技术通常和身份认证密切联系,但并不能取代身份认证,它是建立在身份认证的基础之上的,通俗地说,身份认证解决的是‘你是谁,你是否真的具有你所声称的身份”,而访问控制技术解决的是‘你能做什么,你有什么样的权限”这个问题。 访问控制系统一般包括主体(subject)、客体(object)及安全访问政策几个实体。访问控制的目的是:限制主体对访问客体的访问权限,从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。
8 . 2 . 1 访问控制的实现方法
访问控制的常见实现方法有访问控制矩阵、访问能力表、访问控制表和授权关系表等几种。 1 .访问控制矩阵 从数学角度看,访问控制可以表示为一个矩阵的形式,其中行表示客体(各种资源),列表示主体(通常为用户),行和列的交叉点表示某个主体对某个客体的访问权限(如读、写、执行、修改、删除等)。 2 .访问能力表 访问控制矩阵虽然直观,但并非每个主体和客体之间都存在着权限关系,相反,实际的系统中虽然可能有很多的主体和客体,但主体和客体之间的权限关系可能并不多,这样就存在着很多空白项。为了减轻系统的开销与浪费,我们从主体(行)出发,用访问能力表达矩阵某一行的信息;也可以从客体(列)出发,用访问控制表(Access Control List)表达矩阵某一列的信息。 能力(capacity)是受一定机制保护的客体标志,标记了客体以及主体(访问者)对客体的访问权限。只有当一个主体对某个客体拥有访问的能力时,它才能访问这个客体。在访问能力表中,由于它着眼于某一主体的访问权限,并以主体为出发点描述控制信息,所以很容易获得一个主体所被授权可以访问的客体及其权限,但如果要求获得对某一特定客体有特定权限的所有主体就比较困难。在一个安全系统中,正是客体本身需要得到可靠的保护,访问控制服务应该能够控制可访问某一客体的主体集合,并能够授予或取消主体的访问权限,于是出现了以客体为出发点的实现方式― ACL(访问控制表),现代的操作系统大都采用基于ACL 的方法。 3 .访问控制表 访问控制表是目前采用最多的一种实现方式。它可以对某一特定资源指定任意一个用户的访问权限,还可以将有相同权限的用户分组,并授予组的访问权, ACL的优点在于它的表述直观、易于理解,而目比较容易查出对某一特定资源拥有访问权限的所有用户,以便有效实施授权管理。在一些实际应用中还对ACL 进行了扩展,从而进一步控制用户的合法访问时间,是否需要审计等。 尽管ACL灵活方便,但将它应用到网络规模较大、需求复杂的企业内部网络时,就暴露出了一些问题: 1.ACL需对每个资源指定可以访问的用户或组以及相应的权限。当网络中资源很多时,需要在ACL设定大量的表项。而且,当用户的职位、职责发生变化时,为反映这些变化,管理员需要修改用户对所有资源的访问权限。另外,在许多组织中,服务器一般是彼此独立的,各自设置自己的ACL ,为了实现整个组织范围内的一致的控制政策,需要各管理部门的密切合作。所有这些,都会使得访问控制的授权管理变得费力而繁琐,且容易出错。 2.单纯使用ACL ,不易实现最小权限原则及复杂的安全政策。
4 .授权关系表 授权关系表弥补了基于ACL 和基于访问能力表的方法的不足,它的每一行(或称一个元组)都表示主体和客体的一个权限关系。如果该表按客体进行排序就拥有访问能力表的优势,如果按主体进行排序就拥有了访问控制表的好处。这种实现方式也特别适合采用关系数据库。
8 . 2 . 2 访问控制策略
自主访问控制、强制访问控制和基于角色的访问控制是系统中常用的3种访问控制策略,其中前两种(DAC 和MAC )属于传统的访问控制策略。 以上每种策略不是绝对互斥的,我们可以把几种策略综合起来应用,以获得更好、更安全的系统保护效果。当使用多重策略的时候,只有各种策略的交集策略被允许,访问才被许可。当然,在某些场合下,也可能存在着一些冲突,比如被某一策略许可的访问被另一策略所禁止,这样就产生了冲突,这种情况需要在管理层通过协商来协调。 1 .自主访问控制 自主访问控制(DAC)是目前计算机系统中使用最多的访问控制机制,它是在确认主体身份以及(或)它们所属组的基础上对访问进行限制的一种方法,称其为自主型是因为在DAC 系统中,一个拥有一定访问权限的主体可以直接或间接地将权限传给其他主体。其基本思想是:允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。Windows、UNIX系统都采用了自主型的访问控制技术。 自主访问控制根据访问者的身份和授权来决定访问模式,主体访问者对访问的控制有一定的权利。但正是这种权利使得信息在移动过程中的访问权限关系会被改变。如用户A 可以将其对客体目标O 的访问权限传递给用户B ,从而使不具备对0 访问权限的B 也可以访问O ,这样就很容易产生安全漏洞,所以自主访问控制的安全级别很低。 2 .强制访问控制 强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。MAC 主要用于多层次安全级别的军事应用当中,它预先将主体和客体分级,即定义用户的可信任级别及信息的重要程度(安全级别,比如可以分成绝密级、机密级、秘密级、无密级等),然后根据主体和客体的级别标记来决定访问模式,用户的访问必须遵守安全政策划分的安全级别以及有关访问权限的设定。当用户提出访问请求时,系统对主客体两者进行比较以确定访问是否合法。 在典型应用中,MAC 的访问控制关系可以分为两种:用上读/下写来保证数据完整性以及利用下读/上写来保证数据的保密性。它们都是通过梯度安全标签来实现信息的单向流通的。 强制访问控制(MAC)的优势最主要在于它能阻止“特洛伊木马”。一个“特洛伊木马”是在一个执行某些合法功能的程序中隐藏的代码,它利用运行此程序的主体权限违反安全策略,通过伪装成有用的程序在进程中泄漏信息。一个“特洛伊木马”能够以直接与非直接泄漏两种方式泄漏信息。对于前者,“特洛伊木马”使信息的安全表示不正确并泄漏给非授权用户;对于后者,“特洛伊木马”通过编制返回给一个主体的合法信息中的方式非直接泄露信息,例如,可能表面上某些提问需要回答,而实际上用户回答的内容被传送给了“特洛伊木马”。 阻止“特洛伊木马”的策略是基于非循环信息流,所以在一个级别上读信息的主体一定不能在另一个违反非循环规则的安全级别上写。同样,在一个安全级别上写信息的主体一定不能在另一个违反非循环规则的安全级别上读。由于MAC 策略是通过梯度安全标签实现信息的单向流通,因而它可以很好地阻止“特洛伊木马”的泄密。 强制访问控制(MAC)的主要缺陷在于实现工作量太大、管理不便、不够灵活,而且MAC 由于过于偏重保密性,对其他方面如系统连续工作能力、授权的可管理性等考虑不足。 3 .基于角色的访问控制 20 世纪如年代出现的一种基于角色的访问控制(RBAC)技术有效地克服了传统访问控制技术的不足,可以减少授权管理的复杂性,降低管理开销,而且还能为管理者提供一个比较好的安全实现政策的环境,从而成为了实施面向企业的安全策略的一种有效的访问控制方式。 角色是一个或一群用户在组织内可执行的操作组合。用户在一定的部门中具有一定的角色,其所执行的操作与其所扮演的角色的职能相匹配,这正是基于角色的访问控制的基本特征、即依据RBAC 策略,系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能被赋予相应的角色,一旦某个用户成为某个角色的成员,则此用户可以完成该角色所具有的职能。 RBAC 根据用户在组织内所处的角色进行授权与访问控制。也就是说,传统的访问控制直接将访问主体(发出访问操作、存取要求的主动方)和客体(被调用的程序或欲存取的数据访问)相联系,而RBAC在中间加入了角色,通过角色沟通主体与客体。在RBAC 中,用户标识对于身份认证以及审计记录是十分有用的,但真正决定访问权限的是用户对应的角色标识。由于用户与客体无直接联系,他只有通过角色才能享有该角色所对应的权限,从而访问相应的客体,因此用户不能自主地将访问权限授予别的用户,这是RBAC与DAC的根本区别。RBAC 与MAC 的区别在于:MAC 是基于多级安全需求的,而RBAC 则不是,因为军用系统主要关心的是防止信息从高安全级流向低安全级,即限制“谁可以读/写什么信息”,而RBAC 的系统主要关心的是保护信息的完整性,即“谁可以对什么信息执行何种动作”.角色控制比较灵活,根据配制可以使某些角色接近DAC ,而某些角色更接近于MAC。
角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,即只有系统管理员有权定义和分配角色,而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,用户也不能自主地将访问权限转而赋予他人,这是一种非自主型访问控制。最后要指出的是角色和组的区别。组通常仅仅作为用户的集合,而角色一方面是用户的集合,另一方面又是权限的集合,作为中间媒介将用户和权限连接起来。当然角色可以在组的基础上实现,这样就对保持原有系统非常有利。此时角色就成为了一个策略部件,与组织的授权、责任关系相联系,而组成为实现角色的工具,两者间是策略与实现机制的关系。
数据的完整性
8 . 4 数据完整性
数据完整性要求禁止未经授权的数据篡改,它同数据机密性紧密相连,也是更进一步的信息安全目标。保护数据完整性的方法有很多:可以通过访问控制的方法阻止数据未经授权的篡改;可以通过时间戳来判断数据最后一次修改的时间;可以通过数据校验或消息摘要的方法来判断数据是否已经被篡改。Biba 修改了Bell-Lapadula 模型,针对数据完整性建立了Biba 数据完整性模型。本节首先简要介绍Biba模型,然后详细介绍报文摘要算法。
8 . 4 . 1 Biba完整性模型
Biba模型规定: ( l )如果主体的安全级别高于或等于客体的安全级别,那么主体可以对该客体写访问。 ( 2 )如果一个主体仅可以读访问一个客体。则对于另外一个客体p 来说,如果p 的安全级别低于或等于o的级别,那么该主体对于p 可以有写访问的权限。 Biha 模型可以概括为: ( l )读访问策略同Bell-Lapadula模型一样: ( 2 )主体不能够更改安全级别比它高的客体。这也就保证高级别客体的完整性。Biba 模型同Bell-Lapadula模型一样,虽然都可以从理论上证明其安全性,但在实际应用中很难完全满足模型的要求,所以Biba 模型也仅是一个理论上的模型。
8 . 4 . 2 杂凑函数与消息摘要
所谓杂凑函数H 是一个公开的函数,杂凑函数可以将任意长的消息M 映射为较短的、固定长度的一个值H(M),我们称H(M)为杂凑码或消息摘要。因为杂凑码是消息中所有比特的函数,所以杂凑函数可以提供错误检测的能力,改变消息中任何一个比特或几个比特都会使杂凑码发生改变。这种错误检测方法可以判断数据是否被篡改,从而
本文来源:http://www.gbppp.com/jd/460022/
推荐访问:安全系统工程课程设计 安全仪表系统设计规范