系统安全管理-通软终端安全管理系统-江苏省安全管理系统

ig281

一、本章要点

加密与解密相关操作；身份认证方面，包括数字签名、密钥、口令等；进行访问控制；做好安全保密管理，如防泄漏以及数字水印等；涉及安全协议，像 SSL、PGP、IPSec 等；做好系统备份与恢复工作；防治病毒；制定信息系统安全法规与制度；建立计算机防病毒制度；制定保护私有信息规则。

系统具备访问控制技术，能保障数据的完整性，对数据与文件进行加密，确保通信的安全性，还进行了系统的安全性设计。

二、信息系统安全体系

信息安全包含 5 个要素，分别是机密性，完整性，可用性，可控性以及可审查性。

1、安全系统架构

安全服务指的是计算机网络所提供的安全防护方面的举措。其中包含认证服务，还有访问控制，以及数据机密性服务、数据完整性服务和不可否认服务。

特定的安全机制是用于实施安全服务的机制。其中包括加密机制，它用于对数据进行加密处理；还有数据签名机制，可对数据进行签名；访问控制机制，用于控制对资源的访问；数据完整性机制，保障数据的完整性；认证交换机制，用于进行认证交换；流量填充机制，用于填充流量；路由控制机制，用于控制路由；公证机制，用于提供公证服务。

普遍性的安全机制并非是为特定的某一项服务而特意设置的。它属于安全管理的范畴。此机制分为可信功能度、安全标记、事件检测、安全审计跟踪以及安全恢复。

2、安全保护等级

1）用户自主保护级

2）系统审计保护级

3）安全标记保护级

4）结构化保护级

5）访问验证保护级

3、信息安全保障系统 三种不同架构

MIS+S 系统是初级基本的信息安全保障系统。它的应用基本保持不变，硬件和系统软件是通用的，安全设备基本不带密码。

S-MIS（ - ）系统是标准安全信息安全保障系统，它建立在 PKI/CA 标准之上，其硬件和系统软件具有通用性。PKI/CA 安全保障系统必须配备密码，并且应用系统也必须进行根本改变。

S2-MIS（Super）系统是超安全的信息安全保障系统。它不仅采用 PKI/CA 标准，而且其硬件和系统软件都是专用的安全产品。硬件和系统软件都具有专用性。PKI/CA 安全保障系统必须带有密码。应用系统必须进行根本改变。主要的硬件和系统软件需要 PKI/CA 认证。

可信计算机系统 TCSEC（即可信计算机系统准则）把计算机系统的安全划分成了 4 个等级以及 7 个级别。

D 类为安全等级。其中仅有 D1 这一个级别。它只为文件和用户提供安全保护。适用于本地操作系统或完全没有保护的网络。

C 类为安全等级，包含 C1 和 C2。C1 系统通过将用户与数据分开，以实现安全目的，且系统内所有文档机密性相同。C2 比 C1 加强了可调的审慎控制，借助登录过程、安全事件和资源隔离来增强这种控制。当连接到网络时，C2 系统的用户需为各自行为负责。C2 具备 C1 所有的安全性特征。

B 类为安全等级，包含 B1、B2 和 B3。B 类系统具备强制性保护功能，即若用户未与安全等级相连接，系统便不会允许用户存取对象。B2 系统满足 B1 系统的所有要求，并且其管理员必须以一个明确的、有文档记录的安全策略模式作为系统的可信任运算基础体制。B3 系统满足 B2 系统的所有要求，同时必须设置有安全管理员。

A 类安全等级，其中仅包含 A1 这一个级别。其显著特点在于，系统的设计者必须依据一个正式的设计规范来对系统进行分析。

6. 目前流行的是芯片密码。

当今密码体制是建立在三个基本假设之上的。其一为随机性假设；其二为计算假设；其三为物理假设。

数据加密是对明文按照某种加密算法进行处理，从而形成难以理解的密文，即便截获了密文也难以将其解码。

对称密码体制，也被称作私钥密码体制。在这种体制中，加密和解密使用相同的密钥。它的加密速度较快，常被用于加密大批量的数据。例如 FDEA、IDEA（128）、DES（56）以及三重 DES（56*2）。

非对称密码体制，也被称作公钥密码体制，其加密和解密所使用的密钥是不同的。它可以分为三大类，分别是大整数分解问题类、离散对数问题类和椭圆曲线类。其中，RSA（512）主要是被用于数字签名。

PKI 是 CA 安全认证体系的基础部分。CA 安全认证体系由认证中心、证书库、密钥备份及恢复系统、证书作废处理系统以及客户端证书处理系统共同组成。

PKI 能够实现对 CA 和证书的管理；能够进行密钥的备份与恢复；可以实现证书、密钥对的自动更换；能够开展交叉认证；能够分隔加密密钥和签名密钥；能够支持对数字签名的不可抵赖性；能够进行密钥历史的管理等功能。

3）PKI技术主要借助数字签名技术实现以下功能：

（1）认证。是指对网络中信息传递的双方进行身份的确认。

机密性意味着要确保信息不会被泄露给那些未获得授权的用户，也不会被他们所利用。

完整性意味着要防止信息被未经授权的人进行篡改。它要求真实的信息能够从真实的信源无失真地传递到真实的信宿。

（4）抗抵赖性。是指保证信息行为人不能够否认自己的行为。

做数字签名可以确认以下两点：其一，信息是由签名者发送出去的；其二，信息从签发开始到被接收为止，没有进行过任何修改。

数字签名把 Hash 函数与公钥算法相结合，在提供数据完整性的同时，也能保证数据的真实性，其原理如下：

发送者首先把原文通过 Hash 函数进行处理，从而生成一个 128 位的数字摘要。

发送者将自己的私钥用于对摘要进行再次加密，以此形成数字签名，然后把加密后的数字签名添加在准备发送的原文的后面。

（3）发送者将原文和数字签名同时传给对方。

接收者将收到的信息用 Hash 函数进行处理，从而生成新的摘要。与此同时，接收者利用发送者的公开密钥对信息摘要进行解密操作。

把解密后的摘要和新摘要进行对比，要是两者是一致的，那就表明在传送过程中信息没有遭到破坏或者被篡改。

详细过程如下：

发送方 A 对原文信息进行 Hash 运算，得到一个 Hash 值，这个 Hash 值也就是数字摘要 MD 。

发送方 A 运用自身的私钥 PVA，通过非对称的 RSA 算法对数字摘要 MD 进行加密操作，从而得到数字签名 DS。

发送方 A 使用对称算法 DES 的对称密钥 SK 对原文信息进行加密，得到加密后的信息；同时，发送方 A 也用该对称密钥 SK 对数字签名 SD 及发放 A 证书的公钥 PBA 进行加密，得到相应的加密信息 E。

发送方 A 使用接收方 B 的公钥 PBB，通过 RSA 算法把对称密钥 SK 进行加密，从而形成了数字信封 DE。

5）发送方A将加密信息E和数字信封DE一起发送给接收方B。

接收方 B 接收到数字信封 DE 之后，第一步是用自身的私钥 PVB 来对数字信封进行解密操作，接着从中取出对称密钥 SK。

接收方 B 使用对称密钥 SK ，利用 DES 算法对加密信息 E 进行解密操作。通过这一过程，能够还原出原文信息，同时也能还原出数字签名 SD 以及发送方 A 证书的公钥 PBA 。

接收方 B 首先使用发送方 A 的公钥来对数字签名的数字摘要 MD 进行解密，然后验证该数字签名。

接收方 B 会对原文信息进行同样的 Hash 运算，接着就能够求得一个新的数字摘要 MD‘。

接收方把两个数字摘要 MD 和 MD'进行对比，以此来验证原文是否被改动了。

4、PGP（ Good ）

1）是一个基于RSA公钥加密体系的邮件加密软件。

PGP 采用了较为谨慎的密钥管理方式，它是一种由多种算法杂合而成的算法。其中包含一个对称加密算法，即 IDEA；一个非对称加密算法，即 RSA；一个单向散列算法，即 MD5；还有一个随机数产生器。同时，它还具备良好的人机工程设计。

PGP 承认两种格式的证书。一种是 PGP 证书，另一种是 X.509 证书。

数字水印技术会把一些标识信息直接嵌入到数字载体当中，然而它不会对原载体的使用价值产生影响，并且也不容易被人的知觉系统所觉察或者注意到。

2）数字水印的特定：安全性、隐蔽性、鲁棒性和水印容量。

空域算法，还有算法，以及变换域算法、压缩域算法、NEC 算法和生理模型算法。

在整体设计网络安全防范体系时，应遵循以下 9 项原则：

1）木桶原则。对信息进行均衡、全面的保护。

整体性原则意味着，当网络遭遇被攻击、被破坏的情况时，必须要以尽可能快的速度让网络信息中心恢复服务，以此来减少损失。

对于任何网络而言，绝对的安全是难以实现的，并且也不一定是必需的。因此，需要构建起合理的、实用的安全性与用户需求的评价体系以及平衡体系。

4）标准化与一致性原则。

5）技术与管理相结合原则。

6）统筹规划，分步实施原则。

7）等级性原则。指安全层次和安全级别。

8）动态发展原则。

9）易操作性原则。

单点登录技术，也就是 Sign-On（SSO）技术，它的作用是让用户只需进行一次性认证登录，之后就能获得访问所需系统和应用软件的授权，并且管理员无需对用户登录进行修改或干涉。

利用 b 机制。v5 是业界的标准网络身份认证协议，其安全机制首先是对发出请求的用户进行身份验证，以确定其是否为合法用户；倘若为合法用户，接着审核该用户是否有权对其所请求的服务或主机进行访问。

系统在分布式计算机环境中得到了广泛应用，具有以下优点：

（1）安全性高。对用户口令惊醒加密后作为用户的私钥。

（2）透明性高。用户仅在登录时需要输入口令。

（3）可扩展性好。为每一个服务提供认证，确保应用安全。

同时也有缺点：

服务器不验证用户的真实性，它假设只有合法用户才拥有口令字，这样就容易形成代码本攻击。

AS 是集中式管理，容易形成瓶颈，系统的性能严重依赖于 AS 的性能；TGS 是集中式管理，容易形成瓶颈，系统的安全严重依赖于 TGS 的安全。

（3）随用户数增加，密钥管理较复杂。

（4）不能保护一台计算机或者服务的可用性。

（5）KDC是一个单一故障点。

密钥需暂时存于用户的工作站上，这样一来，入侵者有获取此密钥的可能。

（7）如果没有应用加密功能，不能保护网络流量。

用户改变密码时，密钥会随之改变。KDC 的用户数据库需要进行更新。

外壳脚本机制。首先通过原始认证进入系统外壳，接着外壳会激发各种专用平台的脚本，以此来激活目标平台的账号以及对资源的访问。

3）一个理想的SSO产品具备以下特征和功能：

（1）常规特征。支持多种系统、设备和接口。

（2）终端用户管理灵活性。

（3）应用管理灵活性。

（4）移动用户管理。

（5）加密和认证。

（6）访问控制。

（7）可靠性和性能。

无线设备的安全性在无线电话和 PDA 上较难实施。主要是因为这些设备的 CPU、内存、带宽以及存储能力都较为有限，所以它们的计算能力也有限。

无线电话用户的认证是数字移动电话最重要的安全特征之一。SIM 卡能够存储用户的认证信息。

机密性方面，安全 WAP（即无线应用协议）借助 SSL（即安全套接字层）以及 WTLS（即无线传输层安全）来对有线连接部分和无线连接部分进行保护。

4、防火墙 防火墙是指建立在内外网络边界上的过滤封锁机制。

网络级防火墙也叫过滤型防火墙。它实际上是一种具有特殊功能的路由器。这种防火墙采用报文动态过滤技术。它能够动态地检查流过的 TCP/IP 报文或分组头。它会根据企业所定义的规则，决定禁止某些报文通过或者允许某些报文通过。允许通过的报文会按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。

- 因为它工作在网络层和传输层，所以与应用层无关。

弱点：

过滤所依据的知识网络层和传输层的信息是有限的，各种安全要求无法得到充分满足。

（2）过滤规则数目有限，数目的增加导致性能下降。

缺少上下文关联信息，无法对 UDP、RPC 之类的协议进行有效过滤。

缺少审计和报警机制，无法对用户身份进行验证，容易遭受地址欺骗型攻击。

（5）对安全管理人员素质要求高。

应用级防火墙也称作应用网关型防火墙。现今大多运用代理服务机制，也就是利用一个网关去管理应用服务，在这个网关上安装与每种服务相对应的特殊代码（代理服务程序），通过此网关对各类应用层服务的网络连接进行控制与监督。

有四种类型，分别是双穴主机网关、屏蔽主机网关、屏蔽子网网关以及应用代理服务器。

5、入侵检测

入侵检测是一种网络安全技术。它可以检测到损害系统机密性的行为。它也可以检测到损害系统完整性的行为。它还可以检测到损害系统可用性的行为。它能够检测到任何企图损害系统这些方面的行为。

要解决两个基本问题：其一，怎样充分且可靠地提取描述行为特征的数据；其二，怎样依据特征数据，高效且准确地判断行为的性质。

从系统构成方面来看，包含了数据源（也就是原始数据）、分析引擎（通过一场检测或者误用检测来进行分析）以及响应（针对分析结果采取必要且适当的措施）。

4）入侵检测技术：

特征检测也被称作误用检测。如果入侵者的活动能够用一种特定的模式来进行表示，那么系统的目标就是去检测主体的活动是否与这些模式相符合。

（2）异常检测。假设是入侵者活动异常于正常主体的活动。

入侵检测系统常用的检测方法包含：其一为特征检测；其二是统计检测；其三乃专家系统。

有两种途径可用于实时分析庞大的信息量。一种途径是分割事件流，另一种途径是使用外围网络传感器。

虚拟专用网提供了一种连接方式，这种方式能通过公用网络安全地对企业内部专用网络进行远程访问。它也被称为虚拟专用网络（  ）。

2）实现虚拟专用网络的关键技术如下：

（1）安全隧道技术。

（2）加解密技术。

（3）密钥管理技术。

（4）身份认证技术。

（5）访问控制技术。

隧道技术有以 2 层隧道协议为基础的情况，也有以 3 层隧道协议为基础的情况。2 层是以帧作为数据交换单位的。PPTP、L2TP 和 L2F 都属于第 2 层隧道协议。3 层是以包作为数据交换单位的，IPSec 隧道模式属于第 3 层隧道协议。

IPSec 是一个工业标准的网络安全协议。它能为 IP 网络通信提供透明的安全服务。可保护 TCP/IP 通信免受窃听和篡改。还能有效抵御网络攻击。并且能保持易用性。

IPSec 有两个基本目标，其一为保护 IP 数据包的安全，其二为为抵御网络攻击提供防护措施。

IPSec 通过结合密码保护服务，利用安全协议组合进行动态密钥管理，以此来实现上述目标。

IPSec 采用一种端对端的安全模式，它是以数据包为单位进行加密的。其主要特征是能够支持 IP 级所有流量的加密或认证，并且可以在 IP 层提供安全服务。这种安全模式被称为安全模式。

防范攻击包括数据篡改、身份欺骗（盗用口令）、应用层攻击、中间人攻击以及拒绝服务攻击。

- IPSec 组策略可用于配置 IPSec 安全服务，能为不同类型的数据流提供各种不同级别的保护。

SSL 是一个安全协议，属于传输层。它可以用来传送机密文件。

SSL 协议包含 SSL 警报协议。

3）SSL协议主要提供三方面的服务：

（1）用户和服务器的合法性认证。

（2）加密数据以隐藏被传送的数据。

（3）保护数据的完整性。

2、SET（  ，安全电子交易）

SET 协议为基于信用卡进行电子交易的应用提供了一些规则，这些规则可以实现安全措施。

SET 支付系统包含持卡人、商家、发卡行、收单行、支付网关和认证中心这 6 个部分。其中，持卡人是该系统的使用者之一；商家是提供商品或服务的一方；发卡行负责为持卡人发行银行卡并处理相关交易；收单行则与商家合作，处理交易资金的结算；支付网关起到连接各方的作用；认证中心负责对交易参与者进行身份认证等工作。

SET 与 SSL 进行比较。其一，早期的 SSL 没有提供商家身份认证机制，并且 SSL3.0 依然无法实现多方认证。其二，SET 的安全要求相对较高，参与交易的各个成员都必须申请数字证书来进行身份识别。

SET 协议把整个商务活动的流程进行了规范；SSL 仅仅对持卡人和商店端之间的信息交换进行了加密保护。

SSL 是一种基于传输层的通用安全协议。SET 位于应用层，并且对网络上的其他各层也有涉及。

SSL 主要的工作场景是和 Web 应用一起；SET 是为了给信用卡交易提供安全保障。

SSL 协议实现起来较为简单，它独立于应用层协议，是一个面向连接的协议，并且仅能提供客户端与服务器之间的双方认证。SET 在保留对客户信用卡进行认证的基础上，又增加了对商家身份的认证。

CA 是电子商务体系中的核心环节，在电子交易中起着信赖的基础作用。

2）CA的功能有证书发放、证书更新、证书撤销和证书验证。

六、安全管理

信息安全管理体系指的是一组相互关联或相互作用的要素，通过计划、组织、领导和控制等措施来实现组织的信息安全目标，它是组织建立信息安全方针和目标并达成这些目标的体系。

这些要素包含信息安全组织机构，还有信息安全管理体系文件，以及控制措施、操作过程和程序，同时也包含相关资源。

安全管理的实施包含三个方面，一是安全策略与指导方针，二是对信息进行分类，三是风险管理。

安全策略基于以下一些安全模型：Bell-（BLP）模型、Biba 模型以及 Clark-模型。

Bell 对安全状态进行了定义，这个基于机密性的访问模型使用了特殊转换函数，能够将系统从一个安全状态转换到另一个安全状态。

Biba 有基于完整性的访问模型，这个模型能防止未被授权的用户对信息进行修改。

Clark 基于完整性访问模型，它能够阻止未授权用户对信息进行修改；能够维护内部和外部的一致性；还能够阻止授权用户对信息进行不适当的修改。

5. 拥有日志审计系统。

安全审计包含两个方面。其一，运用网络监控与入侵防范系统，能够识别出网络里的各种违规操作以及攻击行为，并且可以即时做出响应并实施阻断。其二，对信息内容和业务流程进行审计，这样就能防止内部的机密或敏感信息被非法泄漏，同时也能避免单位资产出现流失的情况。

安全审计功能包含 6 个部分。其一为安全审计自动响应；其二是安全审计数据生成；其三是安全审计分析；其四是安全审计浏览；其五是安全审计事件选择；其六是安全审计时间存储。

使用陷阱来对威胁进行真实的评估，并且不会将个人和组织暴露在危险之中。

2）使用陷阱的好处：

（1）陷阱提供了真实世界的信息，入侵者意识不到陷阱的存在。

（2）精心设计的陷阱能够安全地提供一些测量手段。

（3）陷阱能够用于延缓将来的攻击。

3）一个陷阱的三个组成部分：诱饵、触发机关以及圈套。

    1）持续性规划包含的工作：

建立一个工程组，这个工程组是实施恢复规划所需要的；同时建立相应的支撑基础设施。

实施管理评估，对攻击行为以及风险进行评估。通过这样的评估，来识别这些攻击行为以及风险是否是恢复规划所需解决的问题。

实施业务影响分析，目的是判定业务的时间急迫性，同时确定最大可忍受停工期。

（4）恢复规划的保存和实施。

（5）建立并采用一种可实施的测试和维护策略。

2）主体流程框架由4部分组成：

（1）灾难恢复规划（  ，DRP）。

（2）业务恢复规划（  ，BRP）。

（3）危机管理规划（  ，CMP）。

（4）持续可用性（ ，CA）。

灾难恢复规划指的是设计这样一些活动和流程，这些活动和流程能将信息系统从因灾难而导致的故障或瘫痪状态恢复至可正常运行的状态，同时也能将其所支持的业务功能从灾难造成的不正常状态恢复到可接受的状态。

2）信息系统的危机处理及灾难恢复主要可以分为：

（1）与日常生产及运行息息相关的关键性系统。

（2）部分机构的重心系统，采用类似的架构。

（3）在另一地区设计规模较小但架构相同的系统。

（4）利用备份工具，包括磁带、磁盘和光盘等。