系统安全性分析与设计
信息系统安全体系
目前,信息安全威胁主要有以下几个方面:
(1)系统稳定性和可靠性破坏行为,包括从外部网络针对内部网络的攻击入侵行为和病毒破坏等。
(2)大量信息设备的使用、维护和管理问题,包括违反规定的计算机、打印机和其他信息基础设施滥用,以及信息系统违规使用软件和硬件的行为。
(3)知识产权和内部机密材料等信息存储、使用和传输的保密性、完整性和可靠性存在可能的威胁,其中尤其以信息的保密性存在威胁的可能性最大。
1.系统安全的分类
信息系统的安全是一个复杂的综合体,涉及到系统的方方面面,主要包括实体安全、信息安全、运行安全和人员安全等几个部分。
2.系统安全体系结构
根据网络的应用现状情况和结构,可以将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。
(1)物理环境的安全性。物理层的安全包括通信线路、物理设备和机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件和传输介质)、软硬件设备的安全性(替换设备、拆卸设备、增加设备)、设备的备份、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)和不间断电源保障等。
(2)操作系统的安全性。系统层的安全问题来自计算机网络内使用的操作系统的安全,例如,Windows Server和UNIX等。主要表现在三个方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制和系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。
(3)网络的安全性。网络层的安全问题主要体现在计算机网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等。
(4)应用的安全性。应用层的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统和DNS等。此外,还包括病毒对系统的威胁。
(5)管理的安全性。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个计算机网络的安全,严格的安全管理制度、明确的部门安全职责划分与合理的人员角色配置,都可以在很大程度上降低其他层次的安全漏洞。
3.安全保护等级
计算机系统安全保护能力的五个等级,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。系统安全保护能力随着安全保护等级的增高,逐渐增强。
(1)用户自主保护级(第一级)。第一级的计算机信息系统可信计算机通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。第一级适用于普通内联网用户。
(2)系统审计保护级(第二级)。与第二级相比,第二级的计算机信息系统可信计算机实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。第二级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
(3)安全标记保护级(第三级)。第三级的计算机信息系统可信计算机具有系统审计保护级的所有功能。此外,还提供有关安全策略模型、数据标记,以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。第三级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
(4)结构化保护级(第四级)。第四级的计算机信息系统可信计算机建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算机必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制,支持系统管理员和操作员的职能,提供可信设施管理,增强了配置管理控制。系统具有相当的抗渗透能力。第四级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。
(5)访问验证保护级(第五级)。第五级的计算机信息系统可信计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的,而且必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算机在其构造时,排除了那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。第五级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
4.系统安全保障系统
针对当前复杂、技术手段各异的系统安全威胁,要建立一个完整的系统安全保障体系,应该包含以下几个方面的内容:
(1)建立统一的身份认证体系。身份认证是信息交换最基础的要素,如果不能确认交换双方的实体身份,那么系统安全就根本无从得到保证。身份认证的含义是广泛的,其泛指一切实体的身份,包括人、计算机、设备和应用程序等,只有确认了所有这些信息在存储、使用和传输中可能涉及的实体,系统的安全性才有可能得到基本保证。
(2)建立统一的安全管理体系。建立对所有实体有效的管理体系,能够对计算机网络系统中的所有计算机、输出端口、存储设备、网络、应用程序和其他设备进行有效的集中管理,从而有效管理和控制计算机网络中存在的安全风险。安全管理体系的建立主要集中在技术性系统的建立上,同时,也应该建立相应的管理制度,才能使安全管理系统得到有效实施。
(3)建立规范的安全保密体系。信息的保密性将是一个大型信息应用网络不可缺少的需求,所以,必须建立符合规范的信息安全保密体系,这个体系不仅仅应该提供完善的技术解决方案,也应该建立相应的信息保密管理制度。
(4)建立完善的网络边界防护体系。重要的计算机网络一般会与Internet进行一定程度的分离,在内部信息网络和Internet之间存在一个网络边界。必须建立完善的网络边界防护体系,使得内部网络既能够与外部网络进行信息交流,同时也能防止从外网发起的对内部网络的攻击等安全威胁。
数据安全与保密
数据加密技术
加密是指对数据进行编码变换,使其看起来毫无意义,但同时却仍可以保持其可恢复的形式的过程。在这个过程中,被变换的数据称为明文,它可以是一段有意义的文字或者数据,变换后的数据称为密文。
1.对称加密算法
对称加密算法也称为私钥加密算法,是指加密密钥和解密密钥相同,或者虽然不同,但从其中的任意一个可以很容易地推导出另一个。其优点是具有很高的保密强度,但密钥的传输需要经过安全可靠的途径。对称加密算法有两种基本类型,分别是分组密码和序列密码。
常见的对称加密算法包括瑞士的国际数据加密算法(International Data Encryption Algorithm,IDEA)和美国的数据加密标准(Date Encryption Standard,DES)。
2.非对称加密算法
非对称加密算法也称为公钥加密算法,是指加密密钥和解密密钥完全不同,其中一个为公钥,另一个为私钥,并且不可能从任何一个推导出另一个。它的优点在于可以适应开放性的使用环境,可以实现数字签名与验证。最常见的非对称加密算法是RSA。
认证技术
认证(authentication)又称为鉴别或确认,它是证实某事物是否名符其实或是否有效的一个过程。认证和加密的区别在于,加密用以确保数据的保密性,阻止对手的被动攻击;而认证用以确保数据发送者和接收者的真实性和报文的完整性,阻止对手的主动攻击。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
1.数字签名
数字签名是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如,接收者)进行伪造。
基于对称加密算法和非对称加密算法都可以获得数字签名,但目前主要是使用基于非对称加密算法的数字签名,包括普通数字签名和特殊数字签名。数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。因此,不管使用哪种算法,数字签名必须保证以下三点:
(1)接收者能够核实发送者对数据的签名,这个过程称为鉴别。
(2)发送者事后不能抵赖对数据的签名,这称为不可否认。
(3)接收者不能伪造对数据的签名,这称为数据的完整性。
2.杂凑算法
杂凑算法是主要的数字签名算法,它是利用散列(Hash)函数(哈希函数、杂凑函数)进行数据的加密。单向Hash函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长的字符串,这个返回的字符串称为消息摘要(Message Digest,MD),也称为Hash值或散列值。
(1)消息摘要算法。消息摘要算法(Message Digest algorithm 5,MD5)用于确保信息传输完整一致,经MD2、MD3和MD4发展而来。它的作用是让大容量信息在用数字签名软件签署私人密钥前被“压缩”成一种保密的格式,即将一个任意长度的字节串变换成一个定长的大数)。不管是MD2、MD4还是MD5,它们都需要获得一个随机长度的信息并产生一个128位的消息摘要。MD5以512位分组来处理输入的信息,且每个分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由4个32位分组组成,将这4个32位分组级联后,将生成一个128位的散列值。
(2)安全散列算法。安全散列算法(Secure Hash Algorithm,SHA)能计算出一个数字信息所对应的长度固定的字符串(消息摘要),它对长度不超过264位的消息产生160位的消息摘要。这些算法之所以称作“安全”,是基于以下两点,第一,由消息摘要反推原输入信息,从计算理论上来说是很困难的;第二,想要找到两组不同的信息对应到相同的消息摘要,从计算理论上来说也是很困难的;任何对输入信息的变动,都有很高的概率导致其产生的消息摘要不同。
3.数字证书
数字证书又称为数字标识,是由认证中心(Certificate Authority,CA)签发的对用户的公钥的认证。数字证书的内容应包括CA的信息、用户信息、用户公钥、CA签发时间和有效期等。
任何一个用户只要得到CA的公钥,就可以得到CA为该用户签署的数字证书。因为证书是不可伪造的,因此,对于存放证书的目录无须施加特别的保护。如果两个用户使用的是不同CA发放的证书,则无法直接使用证书;但如果两个CA之间已经安全地交换了公开密钥,则可以使用证书链来完成通信。当数字证书到了有效期、用户私钥已泄露、用户放弃使用原CA的服务、CA私钥泄露等,都需要吊销证书,这时,CA会维护一个证书吊销列表(Certificate Revocation List,CRL),供用户查询。
4.身份认证
计算机网络系统中常用的身份认证方式主要有以下几种:
(1)口令认证。用户名/密码是最简单也是最常用的身份认证方法,密码是由用户自己设定的,只有用户自己才知道。只要能够正确输入密码,计算机就认为操作者就是合法用户。
(2)动态口令认证。动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。
(3)生物特征识别。生物特征识别是通过可测量的身体或行为等生物特征进行身份认证的一种技术。
密钥管理体制
密钥是加密算法中的可变部分,在采用加密技术保护的信息系统中,其安全性取决于密钥的保护,而不是对算法或硬件保护。密钥管理是指处理密钥自产生到销毁的整个过程中的有关问题,包括系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等。
主要的密钥管理体制有三种,分别是适用于封闭网、以传统的密钥管理中心为代表的KMI(Key Management Infrustructure,密钥管理基础设施)机制,适用于开放网的PKI(Public Key Infrustructure,公钥基础设施)机制和适用于规模化专用网的SPK(Seeded public-Key,种子化公钥)机制。
1.KMI机制
KMI设定一个密钥分配中心(Key Distribution Center,KDC)来负责发放密钥,这种结构经历了从静态分发到动态分发的发展过程,是密钥管理的重要手段。
2.PKI机制
PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等服务,以及所必需的密钥和证书管理体系。PKI机制解决了分发密钥时依赖秘密信道的问题。
完整的PKI系统必须具有CA、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口等基本构成部分。PKI的基础
最低0.47元/天 解锁文章
8531
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
