网络安全建议书(防火墙项目)

目录目录1前言3第一章信息系统概述511信息系统建设的目标512信息系统建设的原则613信息系统的构成7131主机、网络平台8132系统平台9133信息平台9134应用平台10135用户桌面平台10136安全平台10第二章信息系统安全概述1121安全性概念1122安全等级标准介绍1223国际常用的安全机制介绍14231专用安全机制15232扩展型安全机制16第三章设计目标及原则1731安全体系的设计目标1732安全体系的设计原则1833安全体系应具备的功能1834安全体系设计的范畴20第四章安全风险概述2141安全风险的来源2142安全风险分析与评估2143信息系统安全的脆弱性22431物理安全危机22432逻辑安全危机23433网络安全威胁23434信息系统的安全漏洞24435操作系统的脆弱性24436数据库管理系统安全的脆弱性25437缺少安全管理2644信息系统安全损失统计26441因系统停机带来的损失统计26442因数据丢失而带来的损失统计26443因恶意攻击造成的损失27444因计算机病毒造成的损失2745信息系统中各级网络的安全风险与对策27451基层网络或终端27452基层公司信息系统28453分中心信息系统29454总中心信息系统30第五章安全体系规划及技术3251安全体系的总体框架32511系统安全32512数据安全33513网络安全34514安全管理3652部分产品及技术手段介绍37521数据存储管理37522双机热备份和集群系统38523网络主干的冗余39524数据访问控制40525金通计算机通用安全卡（IC卡认证）40526多层病毒防御系统42487CA认证系统42528防火墙和VPN技术与产品43489漏洞扫描与实时监控技术445210主页防篡改系统45521145第一章信息系统概述随着市场经济的不断发展，企业竞争日趋激烈，国际化的合作不断增多，现代大型企业要在未来的国际竞争中占据主动地位，信息是重要的战略资源，其开发与利用已成为企业竞争能力的关键标志和企业发展的重要推动力。在这场经济大潮中企业急待解决的问题是如何充分有效地利用企业内部、外部的各种信息进行企业整体作业的管理和企业发展战略的决策，极大地提高工作效率，提高管理水平和决策能力，使企业的日常运营纳入高效可靠的轨道。11信息系统建设的目标信息系统的建设是促进现代企业业务发展、提高效率、提高管理能力、提高决策正确性和综合竞争能力的工具和手段，并随企业发展而完善。企业应用是信息系统的核心。信息系统建设的目标是对信息的综合利用、开发和管理。信息系统的建设将涵盖对信息的采集、加工、处理、分析、利用、决断的全过程。采集（数据）处理（信息）利用（知识）决策（智慧）采集对大量原始数据的采集和存储将是信息系统建设和应用的基础，数据是信息系统的基本元素，没有数据的系统将是一个只有投入没有产出的空架子，信息系统建设的首要任务是对来自企业内部和外部各种相关数据的收集和存储。但这只是信息系统建设的原始阶段，我们得到的也只是各种各样杂乱的数据。采集主要是通过网络、通信设备、人工或智能仪器等来完成。处理对各种数据的加工、处理将使杂乱的数据成为有序的信息，实现一些基本的信息系统功能。信息是系统发挥效益的基本因素，企业信息系统建设的需求大多是从信息处理出发，而逐步完善。信息处理主要依靠主机、网络、服务器、应用平台及应用来实现。利用对大量的信息进行分析，发掘其潜在的规律性，以得到企业的商业模型、市场的发展趋势等信息，为企业的业务运作和企业发展积累经验和知识，并在不断的利用过程中校验其正确性，最终形成企业切合自身的智慧。知识积累和信息利用主要是依靠服务器和应用系统来完成。决断通过对大量的企业积累的知识利用，使之成为正确决断的参考资料，成为决策者智慧的一部分，使信息系统的建设发挥出更大的效益，为企业提高决策正确性提供科学的有力的依据。智能作业和决策支持主要是通过应用系统来实现。12信息系统建设的原则信息系统的建设应采取统一规划、分步实施的原则，以保证网络建设和应用的合理性和顺利完成。根据企业的应用需求及未来的发展进行总体规划，根据企业现行需求情况、投资规模及使用者的接受程度、培训、教育计划、应用水平等因素综合考虑，进行分步实施和推广普及，以达到最有利的分阶段投入产出效益。我们可以按照如下的原则，逐步进行信息系统的规划和实施1、对整体应用需求做综合的分析，以确定网络平台及应用系统的建设规划。2、基于整体的规划和现行的投资规模，分期建设主机平台、网络平台、通讯平台，留出充分的接口，以便下期工程的顺利实施，逐步完成硬件平台的建设。3、在现期硬件平台上，根据现期应用需求，进行应用平台的建设和应用系统的设计，保证现有建设的适用性，为后期应用留有接入点，以便适应将来企业不断发展的应用需求、机构调整和业务扩展等的需要。信息系统在规划和设计时应充分考虑以下原则系统性以系统学的眼光作出整体规划，做到统一设计，分步实施。在系统设计过程中还必须考虑到系统实施的分步性，可以适应各级单位实施过程中的阶段性，并提供逐步实施的具体方法。全面性系统设计应充分考虑所管理信息的全面性，使系统成为全面信息服务的基础。信息的全面性不仅包括内部信息，同时还必须考虑到大量的外部信息。实用性系统必须符合应用特点，并做到易学易用，符合政府使用习惯。对具有共性的环节统一规划，对各地政府的特殊需求具体分析。先进性采用先进的设计思想和技术，采用先进成熟的软硬件技术进行设计，保证系统具有较强的生命力，符合当前和未来的发展趋势。适应性系统应能适应目前和未来可能发生的各种复杂情况，具有灵活的应变能力和适用性，并且要充分考虑到今后一段时间内部门机构的变化和不同地域的具体需求。系统的规划和设计必须考虑到推广过程中的各种具体情况，使系统从深度和广度上都具有灵活的适应能力。开放性系统在总体设计和规划时，将充分考虑环境对系统的影响及与外界的联系，使系统有较强的适应能力和扩充能力，同时具有灵活的与外界交流的能力和手段。安全性系统既要和INTERNET连接，又要与内部办公系统连接，在总体规划时，就应充分考虑网络的安全性问题，进行定期的安全风险评估，制定相应的安全策略和人员安全制度，实时监控网络上的非法和恶意行为。服务性系统应充分体现信息管理和服务的特点，为政府机关提供方便、快捷的信息检索查询手段。信息种类丰富，来源复杂，系统应将这些信息合理划分、管理，提高用户信息查询效率，使系统成为信息管理核心。可维护性系统设计应考虑到政府对系统进行日常维护的工作难度，尽量自动完成一些维护管理工作，并实现全系统数据及应用统一管理的目的。13信息系统的构成信息系统建设的前提在于应用信息技术、信息资源、系统科学、管理科学、行为科学等先进的科学技术不断使企业的业务与管理借助于各种设施（主要是指计算机）以达到对企业内部发展的统一管理。信息资源的开发与利用是信息系统建设的根本，以行为科学为指导，以系统科学、管理科学、社会学等为理论基础，以计算机、通讯等信息技术为工具，提供对企业整体作业的操作、管理、宏观调控和辅助分析决策。信息系统的构成包括信息、物理实体、应用等各种因素，从总体框架上看，可以分为以下几个层次主机、网络平台IBM、HP、SUN,LAN、WAN主机、网络平台、系统平台NT、UNIX、NOVEL、SNA系统平台、信息平台信息平台文档信息决策信息结构化信息INTERNETMISOAERP政府上网金融电子化电子商务多媒体应用政府上网金融电子化电子商务多媒体应用应用平台应用平台用户桌面PC、TV、电器用户桌面、电器信息系统安全平台信息系统的构成131主机、网络平台主机、网络平台是信息系统建立通信、作业的物理基础。主机是信息系统中建立应用的关键因素，承担着几乎所有信息处理、信息利用的任务，主机的选择关系到整个信息系统的处理能力。网络是信息系统信息交互的通道，网络的设计同样关系到整个信息系统的运行效率。1、目前信息系统中常用的主机主要分为小型机、UNIX工作站、PC服务器，大型机也时常用到，主要来自于IBM、HP、SUN、COMPAQ、DELL等国际著名厂商。信息系统中主机的设计应遵循以下的原则先进性先进性将保证系统具有较强的生命力，有较长期的使用价值，符合当前或未来的趋势。可扩展性目前的选择必须为今后的扩充留有足够的余地，以保护用户的投资可靠性所选系统应具备较高的可靠性，将故障率降为最低，避免因意外使用户遭到重大损失。易用性易于操作，易于管理，使用户可以将更多的精力放到业务上。互联性所选硬件应是标准化的，支持多协议，可以方便地实现互联。2、网络系统可分为局域网、广域网和城域网，随着INTERNET技术的发展，更多的企业在建立自己的INTRANET、INTERNET和EXTRANET网络，一个大型、多级网络的概要图如下PSTNCHINAPCIET总中心MMMMMMMMMMMMMMMMMMCHINAET/PSTN分中心4分中心5分中心3分中心2分中心1信息系统网络示意图广域网的建设通过国家通信基础设施如DDN网、X25网、FR网、ISDN、PSTN等将总中心、各分中心、各下级局域网和终端机进行连接，以实现整个信息系统的通信连接。局域网可以根据自身的需要和投资收益的判断选择以太网、快速以太网、ATM网等。132系统平台主机、网络平台保证物理的连通，系统平台则是信息系统建立应用的基础，所有对信息的存储、处理、和应用都将建立在系统平台之上，系统平台主要包括UNIX操作系统、NOVELL网络操作系统、WINDOWSNT系统，系统平台的选择应综合考虑主机、网络、关键应用、技术素质、培训与系统维护等因素，以确保合理、高效的应用。133信息平台信息平台是各种信息的集散地，是信息综合利用的基础。主要包括文档信息平台、结构信息平台、决策信息平台，通过文档型数据库、结构化数据库、多媒体数据库和多维数据库等技术和产品来实现，以实现企业各类内部及外部的信息的综合处理，为企业信息系统的应用提供科学、有利的数据。134应用平台应用是建立信息系统的目的，根据自身的需求进行合理的投资，建立科学的应用，将使企业得到最大的投资回报。信息系统的应用主要有财务管理系统管理信息系统（）集成制造系统（）办公自动化系统（）企业信息服务系统（）企业资源计划系统（）业务流程重组（）决策支持系统（）客户关系管理市场营销管理电子商务网络营销多媒体呼叫中心INTERNET应用135用户桌面平台信息系统的应用，无论是查询、检索、计算、处理还是分析，最终都要呈现到用户桌面上，目前常用的用户桌面主要有终端机、客户PC机、电视、家用电器等。用户桌面是整个信息系统的末端环节，同时也是用户利用信息系统进行工作的工具。136安全平台安全平台贯穿整个信息系统的所有层次，是信息系统正常运转的保障。安全管理则覆盖信息系统、企业应用的全面，只有将安全技术、产品和人员的安全管理有机地结合在一起，才能为信息系统建设一个比较完善的安全体系。第二章信息系统安全概述今天，几乎世界上每一个国家都高度依赖于相同的、内部连接的通讯、能源、运输和公用网络。不管用国际互联网、调制解调器或是租用的专线，几乎每一个这种网络都能互相跟踪。研究表明，75以上的这些网络有相当多的弱点。安全问题是组建网络面临的敏感和重要问题。网络提供了信息流通的便利渠道，提供了客户服务及信息交流的平台。但同时也给信息的保密和真实性，系统的正常运行带来严重的挑战。因此，如何协调系统安全和系统的灵活、高效和开放性，保证网络的可靠运行，动态地监控和调节网络性能，是在设计系统安全体系和选择网络安全管理产品时必须要考虑的问题。21安全性概念信息系统安全涉及到立法、政府行为、保险与技术许多方面的问题。1、在信息立法方面，国家要在信息系统安全方面进行立法。在尚未信息立法之前，可以考虑先制定一些管理条例。2、在政府行为方面，国家要对信息系统安全产品制定安全标准，并且进行技术监督工作。企业应考虑成立国家信息系统运营网管中心，实施较严格网络管理。3、在保险业务方面，一些重要的企业经济信息系统的安全可以购买保险方式进行保护。4、在安全技术方面计算机信息系统的安全包括如下两个层次的含义信息系统的数据与信息的安全与保密计算机信息系统的自身的安全从总的方面来看，信息系统安全要抓住认证、加密、授权、保护、监控与攻击等方面工作，一般包括如下几个方面的具体内容要保护系统与系统内的各种资源免遭自然与人为的破坏，具有抗灾害与抗破坏的能力。要防止信息辐射与泄漏。要防止信息系统免遭“信息武器”的攻击。加密与解密算法及其芯片。为计算机等信息设备加设的密钥体制与密钥芯片。反“黑客”攻击的模拟仿真技术反计算机病毒技术防火墙技术身份认证技术安全监视跟踪技术要准备系统安全应急恢复计划与措施。要加强信息系统的安全管理22安全等级标准介绍根据美国国防部的计算机安全标准，可信任计算机标准评估准则（TRUSTENCOMPUTERSTANDARDSEVALUATIONCRITERIA）桔皮书（ORANGEBOOK），一些级别被用于保护硬件、软件和存储的信息免受攻击。这些级别均描述了不同类型的物理安全、用户身份验证（AUTHENTICATION）、操作系统软件的可信任性和用户应用程序。这些标准也限制了什么类型的系统可以连接到系统。安全性等级主要特征1D最低保护等级D非安全保护2C自主保护等级C1自主安全保护自主存取控制，审计功能C2可控存取保护比C1级更强的自主存取控制，审计功能3B强制保护等级B1标记安全保护强制存取控制，敏感度标记B2可结构化保护形式化模型，隐蔽通道约束B3安全区域保护安全内核，高抗渗透能力4A验证保护等级A1可验证保护形式化安全验证，隐蔽通道分析这个评估准则，有许多人认为，对于开放系统的安全，已经相当不够了。该可信计算机评估准则，可以通过如下概念进行描述（1）安全性安全策略SECURITYPOLICY为了实现软件系统的安全而制定的有关管理、保护和发布敏感信息的规定与实施细则。安全策略模型SECURITYPOLICEMODEL实施安全策略的模型。安全服务SECURITYSERVICES根据安全策略与安全模型提供的安全方面的服务。安全机制SECURITYMECHANISM实现安全服务的方法。（2）认证（3）加密（4）授权与保护可信计算机TRUSTEDCOMPUTINGBASETCBTCB是软件、硬件与固件的一个集合，它在存取控制策略的基础上，处理主体S集合对客体0集合的存取，并满足如下的性质1）TCB处理S中的主体对0中的客体的每一个存取。2）TCB是抗篡改的3）TCB足够小，便于分析与测试在实践中，TCB可以是一个安全核，前端安全过滤器或整个系统。更严格的定义，是定义TCB子集M概念，M具有上述特性。主体SUBJECT在操作系统中主要指作业。进程等。客体OBJECT信息实体，例如文件、记录、字段等。最小特权原理LEASTPRIVILEGETHEOREM系统中主体执行授权任务时，应该授予它完成任务所必须的最小特权。自主存取控制DISCRETIONARYACCESSCONTROL基于主体及其所属的身份来限制客体存取的一种方法，具有某类权限的主体能够直接或间接地将其存取权限转移给其它主体。在这种意义上，控制是自主的。强制存取控制MANDATORYACCESSCONTROL基于客体中信息的敏感度而对存取客体实行限制的一种存取控制方法，根据信息的敏感度决定主体客体中队信息存取权限。1、D1级D1级是可用的最低的安全形式。该标准说明整个系统都是不可信任的。对于硬件来说，没有任何保护可用；操作系统容易受到损害；对于用户和他们对存储在计算机上信息的访问权限没有身份验证。该安全级别别典型地指像MSDOS、MSWINDOWS和APPLE的MACINTOSHSYSTEM7X等操作系统。这些操作系统不区分用户，并且没有定义方法来决定谁在敲击键盘。这些操作系统对于计算机硬盘上的什么信息是可以访问的也没有任何控制。2、C1级C级有两个安全子级别CL和C2。CL级、或称自选安全保护（DISCRETIONARYSECURITYPROTECTION）系统，描述了一个典型的UNIX系统上可用的安全级别。对硬件来说存在某种程度的保护，因为它不再那么容易受到损害，尽管这种可能性仍然存在。用户必须通过用户注册名和口令让系统识别他们自己。这种组合用来确定每个用户对程序和信息拥有什么样的访问权限。这些访问权限是文件和目录许可权限PERMISSION。这些自选访问控制DISCRETIONARYACCESSCONTROL使文件或目录的拥有者或者系统管理员，能够阻止某个人或几组人访问那些程序或信息。但是，这并没有阻止系统管理帐户执行活动。结果，不审慎的系统管理员可能容易损害系统安全。另外，许多日常系统管理任务只能由以ROOT注册的用户来只执行。随着现在计算机系统的分散化，随便走进一个组织，你都会发现两三个以上的人知道根口令，这已经是司空见惯的事，由于过去无法区分是DOUG还是MARY对系统所做的改变，所以这本身就是一个问题。3、C2级第二个子级别C2可用来帮助解决这些问题。除C1包含的特征外，C2级还包含其它的创建受控访问环境CONTROLACCESSENVIRONMENT的安全特征。该环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许可权限，而且基于身份验证级别。另外，这种安全级别要求对系统加以审核AUDIT，这包括为系统中发生的每个事件编写一个审核记录。审核用来跟踪记录所有与安全有关的事件，比如那些由系统管理员执行的活动。审核还要求身份验证，因为没有它，如何能够确定实际执行命令的人就是某人呢审核的缺点在于它需要额外的处理器和磁盘子系统资源。使用附加身份验证，对于一个C2系统的用户来说，没有根口令而有权执行系统管理任务是可能的。这使得追踪与系统管理有关的任务有了改观，因为是单独的用户执行了工作而不是系统管理员。这些附加身份验证不能与可应用于程序的SGID和SUID许可权限相混淆，而且它们是允许用户执行特定命令或访问某些核心表的特定身份验证，例如，那些无权浏览进程表的用户，当执行PS命令时，只能看到它们自己的进程。4、B1级B级安全包含三个级别。B1级或标志安全保护LABELEDSECURITYPROTECTION，是支持多级安全比如秘密和绝密的第一个级别，这一级说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其许可权限。5、B2级B2级，叫做结构保护STRUCTUREDPROTECTION，要求计算机系统中所有对象都加标签，而且给设备如磁盘、磁带或终端分配单个或多个安全级别。这是提出较高安全级别的对象与另一个较低安全级别的对象相通讯的第一个级别。6、B3级B3级或安全域级别SECURITYDOMAIN，使用安装硬件的办法来加强域，例如，内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。该级别也要求用户的终端通过一条可信任途径接到系统上。7、A级A级或验证设计VERIFYDESIGN是当前桔皮书中的最高安全级别，它包含了一个严格的设计、控制和验证过程，与前面提到的各级别一样，这一级包含了较低级别的所有特性。设计必须是从数学上经过验证的，而且必须进行对秘密通道和可信任分布的分析。可信任分布TRUSTEDDISTRIBUTION的含义是，硬件和软件在传输过程中已经受到保护，以防止破坏安全系统。23国际常用的安全机制介绍在ISO74982标准中，网络的安全体系被看作为一种层次型的模型结构，模型的最底层是一些由网络的硬件如路由器、智能HUB等和软件提供的安全机制，由这些安全机制组合成某种安全服务，而处于最高层的安全应用程序则是通过调用这些安全服务功能来保证其使用的安全性的。安全机制的设计主要是针对系统和网络所受到的不同类型的侵犯，因而可以从功能上将其划分成两类，一类专门用于安全服务的专用安全机制，另一类则仅是为了增强系统的安全级别，在本文中称为扩展型安全机制。231专用安全机制专用的安全机制分为8类，分列于下1加密机制加密机制可以为数据或所传输的流量信息提供保密的手段。一般说来，加密机制由各种加密算法提供支持。2数字签名机制数字签名是指在信息传递中模仿实际生活中签字化押的形式证实发送方的身份的过程。签名的方式多种多样，常见的方式是发送方先从所传递的消息中随机抽取一部分信息摘要作为签名内容，并用自己的私人密钥不对外公开的密钥对其加密，并与整个消息一齐传送到接收方；接收方收到数据后，分离出签名部分，再用发送方的公开密钥解开其中的签名内容，以此来验证这条消息是否是由发送者发送的。数字签名机制成功与否的关键在于签名部分必需是从发送者的个人信息中产生出来，这样才不会出现纠纷。3访问控制机制访问控制机制通过判别访问者的标识信息或权限决定其是否能访问某项资源，这一机制可以应用在会话的任何一端或会话的中间转发点，用于确定会话发起者是否得到了被访问者的授权。4数据完整性机制数据的完整性既包括一条单独消息的完整性，也包括一段消息序列的完整性信息流完整性，即保障消息传输的顺序。5鉴别信息交换机制身份鉴别信息交换机制通过交换鉴别信息使两个通信实体相互信任，这种机制包括，发送方向接收方提供身份证明信息口令字等，加密技术，以及其它生物标识技术例如使用指纹作为验证手段。这种机制在实际应用中往往要结合“握手”方式以及一次性口令机制一起使用，因为攻击者可以通过复制后重发的手段使身份验证的防护手段完全失去效用。6流量填充机制流量填充机制可以通过在所传递的报文中添加填充符来防止信息被流量分析设备所盗用，填充信息往往需要加密后才能生效。7路由控制机制路由控制机制是指通过在关键信息中加入安全标签，防止信息被选择到一条不安全的路由上或者用安全标签区分不同的数据类型，控制路由的走向。在公共网络的基础上建造专用网络时，路由控制机制往往能提供专用网络必备的专用传输通道。8公证机制公证机制类似于实际生活中的公证处所起的作用，在两个相互怀疑的实体之间通信时，需要有一个仲裁机构解决双方的不信任问题。尤其是在处理“拒绝履行义务”等类型的网络攻击手段时，公证机制可以为纠纷双方提供一个可以信赖的“第三方”认证机构。232扩展型安全机制扩展型安全机制分成4类1安全标签安全标签用于区分不同类型报文的敏感程度和应受到的保护程度。安全标签可以是报文结构的一部分，如在加密过程中使用特殊的密钥，报文的来源，指定路由等还有一些是具有明确的安全意图的标签，它们的作用是为安全检查进程提供检查手段。2事件检测安全事件检测机制不仅要对那些明显的具有侵犯意图的安全事件进行记录，它还应该记录诸如成功访问成功登录等“正常”的网络事件，以便在网络的日志审查和恢复过程中提供参照数据。3安全审计安全审计是指利用日志记录等历史事件审计系统的活动是否符合所制定的安全策略和操作规范；系统的控制是否充分，以及提出对系统控制和安全策略的改进意见。安全审计在灾难恢复中起着相当重要的作用。4安全性恢复安全性恢复机制可以在系统受到破坏后使系统恢复到正常的安全状态，恢复手段可以是短期的，也可以是长期的。第三章设计目标及原则信息系统安全体系主要考虑的是信息、关键数据、管理、工作流的安全性、可用性、完整性，以及对信息流、敏感信息的不可篡改、不可否认和不可抵赖。基于第二章的概述，对系统安全性概念及发展的理解，确立安全体系总体规划和建设的目标和设计原则，以及在信息系统安全体系中应具备的功能，对安全体系进行统一规划。本章对信息系统安全体系的设计目标和设计原则进行论述。31安全体系的设计目标鉴于信息系统中的信息流、资金流、工作流、敏感信息的重要性，安全体系的设计、规划和建设应逐步达到以下目标保密性是指静态信息防止非授权访问和动态信息防止被截取解密。信息的保密性主要指关键信息、交易信息、资金以及信息系统敏感信息的加密、用户访问权限管理和不因信息泄露而造成损失等。完整性是指信息在存储或传输时不被修改、破坏，或信息包的丢失、乱序等。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的常用手段。目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的方法，但黑客的攻击可以改变信息包内部的内容。因此，除以上方法还应重点考虑对信息的加密、备份和恢复机制。信息系统中信息的完整性是系统正常运转的基本保障。可靠性是指信息的可信度，包括信息的完整性、准确性和发送人的身份证实等方面，可靠性也是信息安全性的基本要素。这一点企业的财务管理、资源管理、电子交易以及与银行的接口中犹为重要。实用性即信息加密密钥不可丢失不是泄密，丢失了密钥的信息也就丢失了信息的实用性，成为垃圾。可用性一般是指主机存放静态信息的可用性和可操作性。病毒就常常破坏信息的可用性，使系统不能正常运行，数据文件面目全非。企业关键服务器的可用性和连续运转直接影响着信息系统的运行效果。占有性是指存储信息的主机、磁盘等信息载体被盗用，导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性，提供物理和逻辑的存取限制方法；维护和检查有关盗窃文件的审记记录、使用标签等。信息系统中涉及商业机密、敏感信息、资金、交易信息时，要求其安全性和占有性很高。32安全体系的设计原则为了实现上述的安全目标，对于信息系统的安全设计，应基于如下原则需求、风险、代价平衡分析的原则信息系统中没有绝对的安全，需通过安全风险分析，从系统建设需求、安全风险、安全投入、收益等方面找到平衡点，来规划安全体系。多重保护的原则（全局防御的原则）任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各重保护相互补充，当一重保护被攻破时，其它重保护仍可保护信息的安全。多层次（网络OSI参考模型中的逻辑层次）保护的原则安全体系的规划应贯穿OSI参考模型的各个层次，如在链路层和网络层实施包过滤，在表示层实施加密传送，在应用层设置专用程序代码、运行应用层审计软件，在应用层之上启动代理服务等。网络分段的原则（物理和逻辑）网络分段是保证安全的重要措施。网络分段可分为物理分段和逻辑分段。网络可从物理上分为若干段，即通过交换器连接各段。对于TCP/IP可进行逻辑分段，即把网络分成若干IP子网，各子网通过路由器连接，并在路由器上建立可访问表，来控制各子网间的访问。设多个安全单元的原则把整个网络的安全性赋予多个安全单元，如路由器、屏蔽子网、网关，形成了多道安全防线。易操作、灵活性的原则（安全措施由人完成）安全措施与网络的灵活性是一对矛盾，安全体系的规划应以不影响系统的正常运转和易操作、灵活性为前提。最小授权的原则（分散权力，降低灾难程度）特权（超级）网络要有制约措施，分散过大的集中权力，以降低灾难程度。综合性原则（设备技术策略管理）计算机网络系统的安全应从物理上、技术上、管理制度（如安全操作乃至计算机病毒的防范等）上以及安全教育上全面采取措施，相互弥补和完善，尽可能地排除安全漏洞。33安全体系应具备的功能ISO在其安全框架文件中，定义了开放环境下系统安全功能，对系统内部各对象的保护方法，保证系统间通信规则，都作了详细说明。根据信息系统安全的设计目标和原则，参考ISO安全框架文件中的说明，我们的安全体系应具备以下功能身份识别是验证通信双方身份的有效手段，用户向其系统请求服务时，要出示自己的身份证明，最简单的方法是输入USERID和PASSWORD。而系统应具备查验用户的身份证明的能力。身份判别是安全系统最重要功能之一，USERID和PASSWORD是最常用也最方便的身份认证方法，也是最不安全的。原因是用户为了便于记忆而使用了生日、电话号码等PASSWORD，使得PASSWORD很容易猜出。因此PASSWORD的管理也成了安全系统非常重要的工作。在信息系统中，考虑信息、管理、业务及交易等系统的多层次、跨地域，情况复杂，我们将采用多种身份识别技术，其中IC卡应用和一次性口令将是身份识别的主流。存取权限控制防止非法用户进入系统及防止合法用户对系统资源的非法使用是存取控制的基本任务。在开放系统中，网上资源的使用应制订一些规定一是定义哪些用户可以访问哪些资源，二是定义可以访问的用户各自具备的权限，这是存取权限控制的主要任务。信息系统中业务管理、物资调配、用户管理、工作控制、以及财务、交易信息等都是极其敏感的资源，存取权限控制将在资源访问方面对这些敏感资源进行保护。数字签名如用RSA等公开密钥算法，生成一对公钥和私钥。信息发送需用发送者私人密钥加密信息，即签名，信息的接收者利用信息发送者的公钥对签名信息解密，以验证发送者身份。在实际应用中，一般是对传送的多个数据包中的一个IP包进行一次签名验证，以提高网络运行效率。保护数据完整性INTERNET通信协议在数据传输过程中，通常使用数据包排序、控制包、校验码等差错控制机制，防止传输过程中的突发错误，但对网上黑客们的主动攻击如对信息的恶意增删、修改则显得无能为力。通过加入一些验证码等冗余信息，用验证函数进行处理，以发现信息是否被非法修改，避免用户或主机被伪信息欺骗。信息系统中数字签名多用于敏感信息、交易数据的确认及管理系统中公文、签报等密文的发送。跟踪审计和信息过滤系统应不断地收集和积累有关的安全事件记录加以分析，有选择地对其中的某些节点或用户进行跟踪审计，以便对发现或可能产生的破坏性行为提供有力的证据，并定期向信息系统各级网络相关的安全系统秘密发送有关消息一般是有害节点地址，其它系统则根据这些消息，更新各自的路由过滤列表，通过信息过滤机制，拒绝接收一切来自过滤列表上IP地址的信息，以杜绝网上的某些节点产生的信息垃圾或不良行为对用户进行信息干扰和信息轰炸。密钥管理信息加密是保障信息安全的重要途径，以密文方式在相对安全的信道上传递信息，可以让用户比较放心地使用网络，如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会，都会对通信安全造成威胁。因此，对密钥的产生、存储、传递和定期更换进行有效地控制而引入密钥管理机制，对增加网络的安全性和抗攻击性也是非常重要的。在信息系统中对交易卡（如信用卡、电子钱包等）的管理，以及对操作人员身份ID或IC卡的生产、管理、分发将引入密钥管理机制。安全通信通信的安全性主要依靠加密技术，包括在网络OSI参考模型的多个逻辑层次上的加密，总的来说可以理解为对信息的加密和对信道的加密，来保证通信中信息的安全性和通信线路的安全性。在信息系统中，各级网络之间的通信，根据信息的重要性都应具备安全通信的功能。实时防病毒网络版和单机版的实时防毒强技术和产品，可以在病毒通过网络或病毒在工作站上启动时被查出并杀除。病毒对信息的危害将体现在对各级服务器（基层网络服务器、上级网络服务器、总部网络服务器）以及整个信息系统的网络和系统的破坏上，网络病毒的传播更加快速、广泛，任何的系统错误、数据混乱、服务失败都会给企业的业务系统和管理系统带来损失，因此在信息系统安全体系中应具备多层次的实时防病毒功能。安全监测在信息系统的总部各下级信息系统中对网络、操作系统、数据库、应用系统进行定期的漏洞检测，发现漏洞并在攻击、破坏发生前修补漏洞，同时，实时监控通过网络的数据包，发现非法行为，向系统管理员或安全管理员报警，并可根据预先定义的安全策略对非法行为记录全部会话、保留犯罪现场、切断连接、提交完整的日志和报告。当发现攻击或非法行为时除上述安全策略定义的响应外，还可以修补漏洞，重新设置路由器、防火墙等安全设施的配置，重新制定相应的安全策略，周而复始地对网络进行安全漏洞的检测、监控和响应。数据存储管理没有绝对的安全，应在安全性和可用性上找到一个平衡点，因此对系统、数据库、应用等的数据备份尤为重要，当因某种因素系统被破坏、应用错误、数据丢失时，可以通过数据存储管理进行及时恢复，以免造成不良影响。34安全体系设计的范畴安全体系设计包括安全意识和安全技术的设计安全意识包括各种网络安全的规章制度、安全规范、安全策略、人员安全守则等等，诸如系统管理员安全规范、用户安全规范、系统安全策略、口令规则、磁盘领用及使用制度、废纸篓原则、内部拨号上网条例等，是从人的意识和安全管理制度的角度出发，制定各种安全管理制度和规范、制定并动态修改安全策略、用户的安全教育及培训，并通过有效的手段实施、监督安全制度的执行。安全技术主要指认证的安全和通信的安全，以及数据完整性，如包过滤路由器技术、防火墙技术、IC卡技术、动态口令技术、生物特性身份认证技术、密码技术、数据源加密、链路加密技术、实时监控技术、电子屏蔽技术、防病毒技术、数据备份与恢复技术等，从技术实现的角度探讨对网络的安全防护。网络安全意识只有和网络安全技术相互结合，并且不断地相互调整、相互完善，才能真正地实施安全策略，对网络进行安全防护。第四章安全风险概述在信息系统建设中充满安全危机，一个小小的硬件故障或误操作都有可能造成网络出现停滞或瘫痪，使业务蒙受损失。同时，信息系统建设的重点是对来自内外的业务信息、业务数据、重要信息、安全保密信息的综合有效的利用和管理，随着信息的膨胀、网络技术及产品的发展，安全性问题日趋严重，信息的泄密、丢失、篡改、毁坏、盗用等等对所有的单位来说都是一种灾难。我们可能将面对财政损失、人力、物力耗费、遗失机会、内部责任推诿、信誉下降等各种问题。41安全风险的来源安全风险从不同的角度看可能来源于各种因素从信息系统构成的特质物理安全风险（主机、电源、网络设备）逻辑安全风险（信息、编码、人员管理）从需要保护的对象系统安全风险（可用性、连续性、可靠性）数据安全风险（数据的机密性、完整性、可用性、使用合法性）网络安全风险（通信的安全性、认证的安全性、恶意攻击和破坏）应用安全风险（应用系统、数据库系统、桌面系统）从网络集成的架构局域网安全风险广域网安全风险远程接入安全风险网络边界安全风险42安全风险分析与评估风险分析对网络环境存在的威胁可能造成的损失做定性的和定量的估计，用以指导网络安全的合理设计安全评估对设计好的安全策略，安全目标的实践结果进行检查和评估，从而估价损失，发现弱点，改善设计、完善安全体系安全风险分析与评估主要考虑因素哪些资源需要保护这些资源有多重要硬件工作站、服务器、路由器、数据设备、通讯线路、打印机及其他设备软件操作系统、应用软件、原代码、实用程序等数据会内和会外数据；当前和历史数据；保密和不可再现数据安全漏洞及危机有哪些安全漏洞及危机是如何造成的管理问题如人员管理和设备管理上的混乱数据在网上传输时被他人截获系统配置有错如允许用户远程登陆到关键服务器上操作系统及实用程序的安全漏洞内部人员的工作疏忽如在上INTERNET时，运行了不安全的下载程序谁是潜在的“危害者”用户端包括远程用户和本地用户主机端ISP端INTERNET上的“黑客”这些“危害者”将如何危害信息系统的安全篡改主页盗取机密数据修改系统设置使服务器不能正常服务篡改、破坏数据破坏系统冒用他人的名字43信息系统安全的脆弱性431物理安全危机灾难火灾、水灾、风暴、地震、工业事故人为破坏蓄意破坏、恐怖主义、精神压抑发泄、偷盗人为误操作各种各样的因素可能使工作人员产生误操作间谍行为偷窃、监听、监视、废弃物搜寻、身份识别错误通讯危机拨号进入、窃听硬件故障主机、电源、开关、存储设备网络故障网络接口卡、布线、辐射、网络设备432逻辑安全危机计算机危机操作系统错误、软件错误、文件错误系统危机口令圈套、口令破解、算法不周、权限管理失误、冒名顶替数据完整性数据丢失、被篡改、数据库错误、信息失真编程危机网络世界中处处可见代码炸弹、病毒、黑客程序网络危机服务器危机、不安全的服务、配置及初始化失误安全漏洞网络的七层协议上有上千种漏洞，协议漏洞、服务器漏洞、数据库漏洞、系统漏洞、防火墙漏洞、INTERNET/INTRANET漏洞黑客攻击口令危机、端口危机、服务危机、特洛伊木马、非法闯入、篡改、盗取、破坏433网络安全威胁网络的开放性和资源共享性是安全问题的主要根源。信息系统所受到的威胁主要有来自内部的窃密和破坏内部涉密人员有意或无意泄密、更改记录信息内部非授权人员有意窃取机密信息、更改记录信息内部人员破坏信息系统非法访问非法用户进入网络或系统合法用户越权操作破坏信息的完整性篡改改变信息流的次序、时序或流向，更改信息的内容或形式删除删除某条数据或数据的某些部分插入在数据中插入一些信息冒充冒充超级管理员，调阅秘密文件冒充主机欺骗合法主机及合法用户冒充网络控制程序套取或修改使用权限、通行字、密钥等信息，越权使用网络设备和资源接管合法用户，欺骗系统，占用合法用户的资源破坏系统的可用性使合法用户不能正常访问网络资源、使有严格时间要求的服务不能及时得到响应摧毁系统重演截收并录制信息，然后在必要时重发或反复发送这些信息抵赖事后否认曾经发送过某条消息或某条消息的内容事后否认曾经收到过某条消息或某条消息的内容其他安全威胁计算机病毒电磁泄露各种灾害操作失误434信息系统的安全漏洞根据网络构造，可以把网络安全问题具体定位在以下三个层次上信息系统层次MODEMACSROUTERCOMSTHEWORLDTHEWORLD通讯服务层TCP/IIX25ETHERNETFDIROUTERCONFIGURATIONSHBS/SWITCHES第一层操作系统层UNIXMVSWINDOWS95O/2ISNTDSMACINTOSHVM第二层应用程序层DATBASEWESERVERINTERNETBROWSERMAITEANCEOFICEAUTOMATION第三层层次一通讯和服务该层次的安全问题主要体现在网络协议本身存在的一些漏洞。如PING炸弹可使一台主机宕机、无需口令通过RLOGIN以ROOT身份登录到一台主机等，都是利用了TCP/IP协议本身的漏洞。层次二操作系统这一层次的安全问题来自内部网采用的各种操作系统，如运行各种UNIX的操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序等带来的威胁。层次三应用程序该层次的安全威胁来自内部网的防火墙的配置、内外WEB站点的服务、网上交易、拨号服务、E_MAIL服务、传真服务及对数据库的保护。435操作系统的脆弱性操作系统不安全，也是计算机系统不安全的根本原因操作系统不安全首要的原因是操作系统结构体制造成的，操作系统的程序是可以动态连接的，包括I/0的驱动程序与系统服务，都可以用打补丁的方式进行动态连接。虽然做这些操作需要被授予特权。许多UNIX操作系统的版本进化开发，都是采用打补丁的方式进行开发的。这种方法厂商可用，“黑客”也可用。这种动态连接也是计算机病毒产生的环境。一个靠渗透与打补丁开发的操作系统是不可能从根本解决安全问题的。然而操作系统支持程序动态连接与数据动态交换是现代系统集成和系统扩展的需要，显然这与安全是有矛盾的。操作系统支持在网络上传输文件，包括可以执行的文件映象，即在网络上加载程序。操作系统不安全的原因还在于可以创建进程，甚至支持在网络的结点上进行远程进程的创建与激活，更加重要的是被创建进程还继承创建进程的权力。本条与上一条结合起来，构成在远端服务器上安装“间谍”软件条件。再加上第一条，还可以把这种间谍软件以打补丁的方式打在一个合法的用户上，尤其打在一个特权用户上，可以做到系统进程与作业的监视程序都看不到它的存在。操作系统通常都提供DAEMON的软件，这种软件实际上都是一些系统进程，它们总在等待一些条件的出现，一旦条件出现，程序便可以运行下去。这些软件通常都是“黑客”利用的手段。问题不在于有没有DAEMON，而在于这种DAEMON在UNIX、WINDOWSNT操作系统上具有与其它操作系统核心层软件同等的权力。操作系统提供远程过程调用（RPC）服务。操作系统提供NFS服务。一个NFS系统是一个基于RPC网络文件系统的应用。操作系统的DEBUG与WIZARD。许多搞系统软件的人员，他们的基本技能就是PATCHING系统DEBUG，有了这两样技术，几乎可以做“黑客”的所有事情。计算机公司有一批人精于此道。操作系统安排的无口令入口，实际上它是为系统开放人员提供便捷入口。另外，操作系统还有隐蔽信道。436数据库管理系统安全的脆弱性首先，数据库管理系统安全必须与操作系统的安全进行配套，例如DBMS的安全级别是B2级，那么操作系统的安全级别也应当是B2级的。数据库的安全管理也是建立在分级管理概念上的，也要依靠TCB方式，所以DBMS的安全与也是脆弱的。437缺少安全管理现有的信息系统，绝大多数都缺少安全管理员，缺少信息系统安全管理的技术规范，没有定期的安全测试与检查，更没有安全监控。国内许多信息系统已经使用了许多年了，计算机的系统管理员与用户的注册还是缺省状态。44信息系统安全损失统计441因系统停机带来的损失统计由于计算机技术的飞速发展，硬件服务器平台已经有了相当好的可用性。据统计，一个独立系统的可用性在99以上，如果配用一些系统管理工具，则系统的可用性可以达到995998。从表面上看，这种可用性已经很好了，对于一些可用性要求不高的应用来说应该是能满足要求的了。但是如果一年按365天计算的话，则每年仍然有1844小时的停机时间，这对于那些任何停工都将产生重大损失的关键性应用来说还有很大差距。下表是因系统停机而造成损失的参考行业种类商业操作平均损失每小时经纪人业务645MILLION信用卡26MILLION金融ATM14,500按次数收费150,000中介服务远程售票69,000零售业家庭电视购物113,000航空定票89,500运输包裹运输28,000442因数据丢失而带来的损失统计据美国国家计算机安全（NCSA）调查，企业20M的重要信息丢失或损坏及恢复的代价，对于市场营销部门来说,恢复其被摧毁的数据至少需要19天,耗资17000美元；对于财务部门来说,这一过程至少需要21天,耗资19000美元；而对于工程部门来说,这一过程将延至42天,耗资达98000美元。而且在数据恢复的过程中,整个部门实际上是处在瘫痪状态在今天激烈的市场竞争中,长达42天的瘫痪足以导致任何一家公司破产目前，计算机的硬盘平均在3G左右，如果3G的关键数据丢失，其损失不必计算也可想而知了，因此在美国PCTODAY的报告中提到“经历史10天数据丢失灾难的公司，其中65的公司将因此而推出竞争市场”。可见数据的安全和完整性对信息系统的正常运转有着重大意义。443因恶意攻击造成的损失在高速发展的网络世界，即使没有经验的初学者也能通过各种流行的黑客软件攻入您的网络，造成威胁，更不用说那些有蓄谋、有组织、有高超技术的黑客们的恶意攻击了。具WARROOM的调查表明，因内部及外部攻击造成的影响在不断增长45以上的内部攻击导致大于200,000美元的损失；15以上的内部攻击造成大于1,000,000美元的损失；5