目 录
1 简介(Introduction)
1.1 目的(Purpose)
针对ASP应用体系的数据安全方面做一个归纳和提供相应的解决方案。
1.2 目标(Object)
打造一个安全的应用平台,和提供可信赖的应用服务。
1.3 范围(Scope)
适用于基于web系统的软件应用
1.4 术语(Definitions)
ASP: Application Server Provider 应用服务提供商
Security Data: 数据安全
SSL: Secure Sockets Layer
1.5 参考资料(References)
2 计算机信息安全
2.1 安全种类
(1)实体安全。设施安全是指计算机设备、设施(含网络)以及其他媒体免遭自然或人为破坏。
(2)数据安全。数据安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,数据安全包括输入/输出数据安全、进入识别、访问控制、加密、审计跟踪、备份与恢复等方面。
(3)运行安全。运行安全包括电源、机房管理、出入控制、数据与介质管理、运行管理等方面。
(4)软件安全。软件安全包括软件开发规程、软件安全测试、软件的修改与复制等方面。
(5)人的安全。人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等。
2.2 特性
(1)保密性
保密性是指网络信息不被泄露给未授权的人,即信息只为授权用户使用。
(2)真实性
真实性是指用户的身份是真实的。如何防范冒充、伪造用户身份的不法行为,是真实性需要解决的问题。
(3)完整性
完整性是指信息在存储或传输过程中保持不被偶然或者蓄意地添加、删除、修改、乱序、重放等破坏和丢失的特性。完整性要求信息保持原样,确保信息的正确生成、正确存储、正确传输。影响信息完整性的主要因素有:设备故障、误码、人为攻击、计算机病毒等。
(4)可靠性
可靠性是指系统能在规定的条件和规定的时间内完成规定的功能的特性。它包括三方面:一是抗毁性,即系统在人为破坏下的可靠性。增强抗毁性可以有效地避免因各种灾害(如战争、地震)造成的大面积瘫痪事件。二是生存性,即系统在随机破坏下的可靠性。随机性破坏是指系统部件因为自然老化等造成的自然失效。三是有效性,它主要反映在网络信息系统的部件失效情况下,满足业务性能的可靠性。
(5)可用性
可用性是指网络信息可被授权用户访问并按需求使用的特性,它是网络信息系统面向用户的安全性能。
(6)不可否认性
不可否认性是指在网络信息系统的信息交互过程中,确信参与者的真实同一性,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。数字签名技术是解决不可否认性的手段之一。
(7)可控性
可控性是对网络信息的传播及内容具有控制能力的特性。可控性是十分重要的特点,比如对于电子政务系统而言,所有需要公开发布的信息必须通过审核后才能发布。
2.3 面临的威胁
威胁不仅来自于外部,也来自于内部。不仅间谍、罪犯可能对系统进行攻击,各种人员、机构出于各自的目的也可能对系统进行攻击。
电子政务面临的安全威胁可以分成两大类:
(1)非人为的安全威胁。非人为的安全威胁分为两种:
① 自然灾害,如地震、水灾等。电子政务系统都是在一定的地理环境下运
行的,自然灾害可能对电子政务系统造成毁灭性的破坏。
② 技术上的局限性。信息技术可能存在的漏洞和缺陷,如系统、硬件、软件的设计漏洞,配置漏洞等。信息系统的高度复杂性和技术的高速发展变化,使得信息系统的技术漏洞问题越来越被重视。
(2)人为的安全威胁。人为的安全威胁根据行为人的主观意思不同,分为两种:
① 非恶意威胁,指行为人没有破坏政务信息系统的故意,但其行为对政务信息系统实际造成了威胁,如内部人员因经验不足、培训不足而进行的错误操作。错误操作的后果可能将敏感数据、文件泄露,也可能造成数据的严重损坏,破坏系统的正常运行。
② 恶意威胁,指出于各种目的对政务系统实施的攻击。人为的恶意威胁根据行为的方式不同,可以分为:
①主动攻击。典型的例子如:
A.恶意修改数据和安全配置参数。
B.恶意建立未授权的网络连接,如拨号连接。非法的网络连接除了会造成信息泄露外,还可能被人用来攻击政务信息系统。
C.恶意的物理损坏。
D.越权访问。这是对政令发布执行、权限管理、责任认定、流程管理最大的威胁之一。
E.利用软件、系统的故障和后门,等等。
②被动攻击。这类攻击主要包括监视、接收、记录开放的通信信道上的信息传递,行为人主要是了解所传递的信息,一般不易被发现。典型的例子如:
A.监视通信数据。
B.通信流量分析。
C.口令截获。口令一旦被截获,很容易被攻击者用来破坏政务信息系统。
③接近攻击。在政务信息系统中,接近攻击容易发生在保安措施不到位的地方,攻击者在地理上尽量接近被攻击的网络、系统和设备,目的是收集、修改信息,或者破坏系统。接近可以是秘密的,也可以是公开的。接近攻击的典型例子如:
A.偷取磁盘后又放回。
B.偷窥屏幕信息。
C.收集作废的打印纸。
D.物理毁坏通信线路。
E.利用电磁辐射和泄露接收信息。
④分发攻击。是指攻击者在政务系统软件、硬件的开发、生产、运输和安装阶段,恶意修改设计、配置的行为。
3 细化的数据安全
3.1 口令安全
1、 需要对口令加密:
防止数据库的密码被恶意盗取
防止运营开发相关人员有意、无意获取口令的明码
加密算法则采用不可逆得算法,如MD5(现在已经不太安全),SHA等。
2、 使用软件盘/u盘
为了防止一些监控键盘的木马程序,可以使用软件盘/u盘输入。
3.2 隐私保护政策
用户的相关隐私在没有用户的允许下,不能随意在网上发布。
3.3 网络传输安全
需要采用ssl传输协议,防止数据在传输过程中被窃取。
3.4 信息的安全等级
对于一些数据敏感的数据,需要把信息保存在访问受限制的计算机系统中,并且该计算机位于受控制的设施中。比如数据库的连接的ip地址过滤。或者数据库与web server之间加一层中间数据层。
3.5 使用 Cookie
如果有使用cookie并且存储在cookie中的信息比较敏感,则这个cookie中的信息需要经过加密。
3.6 数据访问授权
3.7 数据访问跟踪和审计
3.8 对提供的服务接口使用数字签名的加密技术
3.9 数据备份和恢复
1、 双机热备等技术
2、 数据库定期备份
3、 异地热备
3.10 操作系统的安全配置和及时更新补丁
3.11 网路的防火墙配置等