信息系统安全策略

信息系统安全策略的概念与内容

信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险（安全威胁）进行有效的识别、评估后，所采取的各种措施、手段，以及建立的各种管理制度、规章等。由此可见，一个单位的安全策略一定是定制的，都是针对本单位的“安全风险(威胁)”来进行防护的。
安全策略的核心内容就是“七定”，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
按照系统安全策略“七定”要求，系统安全策略首先要解决定方案，其次就是定岗。

建立安全策略需要处理好的关系

因此把信息系统的安全目标定位于“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”，是错误的，是不现实的,也是不可能的。系统安全是相对的，是一个风险大小的问题。我们不能一厢情愿地追求所谓的绝对安全，而是要将安全风险控制在合理程度或允许的范围内。这就是风险度的观点。
一个好的信息安全保障系统的标志就是有效控制两者的“平衡点”,既能保证安全风险的有效控制，又使安全的代价可以接受。
木桶效应的观点是将整个信息系统比作一个木桶，其安全水平是由构成木桶的最短的那块木板决定的。

信息系统安全等级保护的概念

1. 第一级用户自主保护级。该级适用于普通内联网用户。
2. 第二级系统审计保护级。该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
3. 第三级安全标记保护级。该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
4. 第四级结构化保护级。该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门.
5. 第五级访问验证保护级。该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

信息系统安全策略设计原则

8个总原则

1. 主要领导人负责原则。
2. 规范定级原则。
3. 依法行政原则。
4. 以人为本原则。
5. 注重效费比原则。
6. 全面防范、突出重点原则。
7. 系统、动态原则。
8. 特殊的安全管理原则。

10个特殊原则

1. 分权制衡原则
2. 最小特权原则。
3. 标准化原则。
4. 用成熟的先进技术原则。
5. 失效保护原则。
6. 普遍参与原则。
7. 职责分离原则。
8. 审计独立原则。
9. 控制社会影响原则。
10. 保护资源和效率原则。

信息系统安全方案

信息安全系统工程

信息安全系统工程概述

信息安全系统

我们用一个“宏观”三维空间图来反映信息安全系统的体系架构及其组成，如图22-3所示。

由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。随着网络逐层扩展，这个空间不仅范围逐步加大，安全的内涵也就更丰富，达到具有认证、权限、完整、加密和不可否认五大要素，也叫作“安全空间”的五大属性。

信息安全系统架构体系

信息安全系统大体划分为三种架构体系:MIS+S系统、S-MIS系统和S2-MIS系统。

1. MIS+S系统
   MIS+S(Management Information System+Security)系统为“初级信息安全保障系统”或“基本信息安全保障系统”。顾名思义，这样的系统是初等的、简单的信息安全保障系统。其特点如下。
   • 业务应用系统基本不变。
   • 硬件和系统软件通用。
   • 安全设备基本不带密码。
2. S-MIS系统
   S-MIS(Security- Management Information System)系统为“标准信息安全保障系统”。顾名思义，S-MIS系统一定是涉密系统，即系统中一定要用到密码和密码设备，一定是基于PKI/CA和PMI/AA建立的支撑用户的业务应用信息系统的运营。其特点如下:
   • 硬件和系统软件通用。
   • PKE/CA安全保障系统必须带密码。
   • 业务应用系统必须根本改变。
   • 主要的通用的硬件、软件也要通过PKI/CA认证。
3. S2-MIS系统
   S2-MIS(Super Security-Management Information System）系统为“超安全的信息安全保障系统”。顾名思义，这样的系统是建立在“绝对的”安全的信息安全基础设施上的。它不仅使用世界公认的PKI/CA标准，同时硬件和系统软件都使用专用的、安全产品。主要的硬件和系统软件需要PKICA认证，可以说，这样的系统是集当今所有安全、密码产品之大成。其特点如下。
   • 硬件和系统软件都专用。
   • PKI/CA安全基础设施必须带密码。
   • 业务应用系统必须根本改变。

信息安全系统工程基础

信息安全系统工程体系结

ISSE将信息安全系统工程实施过程分解为:工程过程（Engineering Process）、风险过程（Risk Process）和保证过程(Assurance Process）三个基本的部分
信息安全系统工程与其他工程活动一样，是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。
一个有害事件由威胁、脆弱性和影响三个部分组成。脆弱性包括可被威胁利用的资产性质。如果不存在脆弱性和威胁，则不存在有害事件，也就不存在风险。风险管理是调查和量化风险的过程，并建立组织对风险的承受级别。它是安全管理的一个重要部分。

PKI公开密钥基础设施

公钥基础设施（PKI）基本概念

公钥基础设施PKI(Public Key Infrastructure，公开密钥基础设施)是以不对称密钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的，来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间邮戳服务、相关信息标准、操作规范等。
一个网络的PKI包括以下几个基本的构件。
数字证书:这是由认证机构经过数字签名后发给网上信息交易主体（企业或个人、设备或程序〉的一段电子文档。在这段文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥和私钥信息和其他属性信息等。利用数字证书，配合相应的安全代理软件，可以在网上信息交易过程中检验对方的身份真伪，实现信息交易双方的身份真伪，并保证交易信息的真实性、完整性、机密性和不可否认性。数字证书提供了PKI的基础。
认证中心:CA(Certification Authority）是PKI的核心。它是公正、权威、可信的第三方网上认证机构，负责数字证书的签发、撤销和生命周期的管理，还提供密钥管理和证书在线查询等服务。
X.509证书标准必须包含：

1. 版本号;
2. 序列号;
3. 签名算法标识符;
4. 认证机构;
5. 有效期限;
6. 主题信息;
7. 认证机构的数字签名;
8. 公钥信息;

数字证书的主要内容

数字证书及其生命周期

PKICA对数字证书的管理
PKI/CA对数字证书的管理是按照数字证书的生命周期实施的，包括证书的安全需求确定、证书申请、证书登记、分发、审计、撤回和更新。
CA是一个受信任的机构，为了当前和以后的事务处理，CA给个人、计算机设备和组织机构颁发证书，以证实它们的身份，并为他们使用证书的一切行为提供信誉的担保。

信任模型

应用模式

PMI权限（授权）管理基础设施

PMI(Privilege Management Infrastructure）即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。
PMI建立在PKI基础上,以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用信息系统提供授权服务管理:提供用户身份到应用授权的映射功能;实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制:能极大地简化应用中访问控制和权限管理系统的开发与维护;减少管理成本和复杂性。

PMI与 PKI的区别

PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即“你能做什么”。PKI主要进行身份鉴别,证明用户身份,即“你是谁”。

属性证书定义

访问控制

访问控制是为了限制访问主体(或称为发起者，是一个主动的实体，如用户、进程、服务等）对访问客体（需要保护的资源）的访问权限，从而使计算机信息应用系统在合法范围内使用;访问控制机制决定用户以及代表一定用户利益的程序能做什么及做到什么程度。
访问控制有两个重要过程。
(1）认证过程，通过“鉴别(authentication)”来检验主体的合法身份。
(2）授权管理，通过“授权(authorization)”来赋予用户对某项资源的访问权限。
因实现的基本理念不同，访问控制机制可分为强制访问控制(Mandatory AccessControl，MAC)和自主访问控制（Discretionary Access Control，DAC)两种。
1）强制访问控制
系统独立于用户行为强制执行访问控制(MAC)，用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。
2〉自主访问控制
自主访问控制（DAC)机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作。这样可以非常灵活地对策略进行调整。

基于角色的访问控制

基于角色的访问控制中，角色由应用系统的管理员定义。用户只能被动接受，不能自主地决定。

PMI支撑体系

权限管理、访问控制框架、策略规则共同构成权限管理和访问控制实施的系统平台，或者说构成了属性证书应用支撑框架系统(PMI平台）。
目前我们使用的访问控制授权方案，主要有以下4种。
(1)DAC(Discretionary Access Control)自主访问控制方式:该模型针对每个用户指明能够访问的资源，对于不在指定的资源列表中的对象不允许访问。
(2)ACL(Access Control List)访问控制列表方式:该模型是目前应用最多的方式。目标资源拥有访问权限列表，指明允许哪些用户访问。如果某个用户不在访问控制列表中，则不允许该用户访问这个资源。
(3)MAC(Mandatory Access Control)强制访问控制方式，该模型在军事和安全部门中应用较多，目标具有一个包含等级的安全标签（如:不保密、限制、秘密、机密、绝密）；访问者拥有包含等级列表的许可，其中定义了可以访问哪个级别的目标:例如允许访问秘密级信息，这时，秘密级、限制级和不保密级的信息是允许访问的，但机密和绝密级信息不允许访问。
(4)RBAC(Role-Based Access Control)基于角色的访问控制方式:该模型首先定义一些组织内的角色，如局长、科长、职员:再根据管理规定给这些角色分配相应的权限，最后对组织内的每个人根据具体业务和职位分配一个或多个角色。

PMI 实施

信息安全审计

安全审计概念

安全审计(Security Audit）是记录、审查主体对客体进行访问和使用情况，保证安全规则被正确执行，并帮助分析安全事故产生的原因。
安全审计是信息安全保障系统中的一个重要组成部分，是落实系统安全策略的重要机制和手段，通过安全审计，识别与防止计算机网络系统内的攻击行为，追查计算机网络系统内的泄密行为。安全审计具体包括两方面的内容。
(1）采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应(如报警）并进行阻断。
(2）对信息内容和业务流程进行审计，可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。

安全审计系统主要有以下作用。

(1）对潜在的攻击者起到震慑或警告作用。
(2）对于已经发生的系统破坏行为提供有效的追究证据。
(3）为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。
(4）为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。

网络安全审计的具体内容如下。

(1）监控网络内部的用户活动。
(2）侦察系统中存在的潜在威胁。
(3）对日常运行状况的统计和分析。
(4）对突发案件和异常事件的事后分析。
(5）辅助侦破和取证。

安全审计功能

CC(即 Common Criteria ISO/IEC 17859)标准将安全审计功能分为6个部分:安全审计自动响应功能;安全审计自动生成功能;安全审计分析功能;安全审计浏览功能;安全审计事件选择功能;安全审计事件存储功能。

建立安全审计系统

基于入侵监测预警系统的网络与主机信息监测审计
网络安全入侵监测预警系统基本功能是负责监视网络上的通信数据流和网络服务器系统中的审核信息，捕捉可疑的网络和服务器系统活动，发现其中存在的安全问题,当网络和主机被非法使用或破坏时，进行实时响应和报警;产生通告信息和日志，系统审计管理人员根据这些通告信息、日志和分析结果，调整和更新己有的安全管理策略或进行跟踪追查等事后处理措施。所以，在这个层次上的入侵监测和安全审计是一对因果关系，前者获取的记录结果是后者审核分析资料的来源，或者说前者是手段而后者是目的，任何一方都不能脱离另一方单独工作。作为一个完整的安全审计需要入侵监测系统实时、准确提供基于网络、主机（服务器、客户端）和应用系统的审核分析资料。
入侵监测是指为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。
从安全审计的角度看，入侵检测采用的是以攻为守的策略，它所提供的数据不仅可用来发现合法用户是否滥用特权，还可以为追究入侵者法律责任提供有效证据

分布式审计系统

分布式审计系统由审计中心、审计控制台和审计Agent组成。

；