一种信息系统的安全规划与评估方法
发布: 2006-3-27 21:55 | 作者: Allan | 来源: 《深圳赛佛莱特科技有限公司》技术版
国家信息中心 孙大奇
1、引言
随着通信与计算机技术的不断发展,全球信息化已成为人类社会发展的大趋势。任何以计算机为主构成的信息系统都与计算机网络密切相关,计算机系统的安全与网络安全成为有机的整体。同时由于计算机网络具有联结形式多样性、技术复杂性和网络的开放性、互连性等牲征,致使信息系统的安全问题变得更为复杂,更为重要。无论是在局域网还是在广域网中,对于信息系统而言,都存在着自然的和人为的等诸多因素的潜在威胁。因此 ,必须针对各种不同的威胁和系统的脆弱性,全方位地、系统化地制定信息系统的安全措施,这样才能确保信息系统安全性。
2、信息系统安全规划的原则
信息系统所面临的威胁大体可分为两种:一是对系统中信息的威胁;二是对系统中设备(包括软件和硬件)的威胁。影响信息系统安全的因素很多,有些因素可能是有意的,也可能是无意的(如Y2K问题);可能是人为的(如黑客),也可能是非人为的(如设备、线路故障)。但从安全防范角度来分析,信息系统安全规划所涉及的对象可以分为两种类型:重要应用系统和公共支持系统。实践中根据这两种类型的特点来分别制定信息系统安全规划是一种行之有效的办法。
在一个大的信息系统内部通常包含多个应用和多种计算机与网络设备,如果任何应用或设备属于重要应用系统或公共支持系统,那么就必须对其制定专门的安全规划,对于已经运行的系统,则应根据已制定的安全规划定期进行安全评估。对于其他应用无须制定专门的安全规划,这些应用的安全问题可由其运行环境中的公共支持系统的安全控制来保证。一般而言,标准的商用软件,如字处理软件、浏览器、电子邮件软件、工 具软件等均不作为重要应用系统。
制定信息系统安全规划的目标可归结为以下二点:
(1)提出系统安全要求,并描述为满足系统安全要求所采取或应当采取的控制方法。
(2)明确所有对系统进行访问的人员的责任和行为规范。
3、系统的分类
按照重要应用系统和公共支持系统进行分类是制定出可靠、实用的信息系统安全规划的重要步骤。在进行分类时必须考虑到所有的应用和子系统,当一个应用被确定为重要应用系统,同时也由公共支持系统提供一定的安全保障时,通常要在二者的安全控制方法上进行协调。包含、传输、得理秘密或敏感数据的应用,以及需要特别加以保护的关键应用应当确定为重要应用系统。重要应用系统也可能由许多用于完成特定任务的独立的程序、硬件、软件和通信设备构成。
公共支持系统由多个分担公共功能,但又互相联系的资源构成,并且这些资源是在统一、直接的管理控制之下。公共支持系统一般包括硬件、软件、信息、数据、应用、通信、设施和人员,以及各种为用户和应用提供的支持与服务。例如,可能有下面一些公共支持系统:
(1)局域网和智能终端系统;
(2)部门间的骨干网;
(3)广域通信网;
(4)部门的数据处理中心,包括操作和实用程序;
(5)多部门共用的数据处理中心等。
4、重要应用系统安全的运行控制
为保证重要应用系统的安全应从以下几个方面进行规划:
(1)人员安全管理
任何系统都是由人来控制的,除了对于重要岗位的工作人员要进行审查之外,建立严密的管理制度对于系统的安全尤为重要。在制度建立过程中有以下原则:
授权最小化,只授予操作人员为完成本职工作所必须的最小授权,包括对一数据文件的访问,计算机和外设的使用等。
授权分散化,对于关键的任务必须在功能上进行划分,由多人来共同承担,保证没有任何个人具有完成任务的全部授权或信息。
授权规范化,建立起申请,建立,发出和关闭用户授权的严格的制度,以及管理和监督用户操作责任的机制。
(2)物理与环境保护
对于物理与环境保护要考虑以下几方面的内容:
物理访问控制,在重要区域限制人员的进出。重要区域不仅包括机房,也应包括能够接触到内部网络的区域,伛电系统(如UPS),备份介质存放的地点等。
建筑物安全,要考虑建筑物防火、地震,结构坍塌、漏水等造成的风险。
公用设施的保证,为了使系统能够不间断地提供服务及硬件设备不受损害,必须评价供电、供水、空调等设施的可靠性,并提出相应的措施。
数据安全,数据泄露一般有三种途径:直接获取,在传输中截获,通过电磁辐射泄露。对这三种风险要加以充分评估。特别应当注意对便携式计算机建立安全保管制度,如果其中保存了敏感数据应进行加密,避免丢失或被盗时造成数据泄露。
(3)输入/输出控制
对系统的输入/输出信息或介质必须建立管理制度,只有经过授权的人员方可提供或获得系统的输入/输出信息。
(4)制定突发事件的应急计划
必须针对不同的系统故障或灾难制定应急计划,编写紧急故障恢复操作指南,并对每个岗位的工作人员按照所担任角色和负有的责任进行培训和演练。
(5)应用软件维护控制
在应用软件的维护过程中对于所使用的商业软件的版权、来源,应用软件的文档在维护过程是否修改,测试数据的产生与测试结果,是否留有软件测试所建立的陷门或热键等问题需要规划和评估。
(6)数据完整性与有效性控制
数据完整性与有效性控制要保证数据不被更改和破坏。需要规划和评估的内容包括:系统的备份与恢复措施;计算机病毒的防范与检测制度;是否要采用对数据文件计算检查和统计数据记录数等方法定期进行校验;是否要实时监控系统日志文件,记录与系统可用性相关的问题,如对系统的主动攻击,处理速度下降和异常停机等。
(7)文档管理
文档在安全控制中用于说明系统的工作机制,并且规范系统的安全与操作的特定过程。系统文档应包括软件、硬件、政策、标准、过程等的描述,以及相关的应用系统和支持系统的描述。同时文档中还应包括备份措施,突发事件对策,以及用户和操作员的操作说明等内容。重要应用系统的文档应当与公共支持系统和网络管理的文档进行协调,以保证运行管理与操作的一致性。
(8)安全教育与培训
必须建立定期进行信息系统的安全教育与培训的制度,对于与重要应用系统相关的工作人员还应以多种方式,针对特定系统进行安全教育与培训。
5、重要应用系统安全的技术控制
系统安全的技术控制的着眼点在于对计算机系统的控制。安全技术控制可自动防范对系统的非法访问,检测安全侵害,以及支持应用和数据的安全需求。应从以下几个方面进行规划和评估:
(1)用户标识与认证
用户标识与认证是一种用于防止非授权用户进入系统的常规技术措施。用户标识用于用户向系统声明自己的身份,用户标识应具有唯一性,其最常用形式的为用户ID。系统必须根据安全策略,维护所有用户标识。认证用于验证用户向系统声明的身份的有效性,通常有三种方法:用户个人所掌握的秘密信息(如口令字、电子签名密钥、个人标识号PIN等);用户个人所拥有的物品(如磁卡、IC卡等);用户个人的生理特征(如声音、动态手写输入的特征模式、指纹等)。要根据系统的安全需求来确定是单独使用一种方法,还是几种方法组合使用。对下列一些问题要充分加以考虑:
口令字的字符集、长度、有效期;
口令字的修改过程,口令字丢失的处理过程,口令字的修改频度等,分析在这些过程是由用户、系统,还是由管理人员来完成的;
防止其他人员(包括系统管理员)获得用户口令字的保护强度;
确认已修改系统安装时的隐含口令的验证过程;
系统允许用无效口令进行尝试的次数;
对于在执行脚 本(script)文件中可能包含口令字的限制措施;
对于使用可能旁路用户认证过程的技术(如一次性注册,主机-主机通讯,用户组标识等)的控制策略;
利用用户生理特征进行认证的技术手段和所用的设备的来源、技术标准;
密钥的加密标准,密钥的生成、分发、保管、使用、销毁等的过程。
(2)逻辑访问控制
逻辑访问控制是基于系统的安全机制,以确定某人或某个进程对于特定系统资源访问的授权。对下列一些问题在进行系统规划与评估时要分别加以考虑:
根据授于用户能够完成指定任务的最小特权的原则,设定用户的角色和最小特权的范围;
对访问控制表建立定期审核制度,及时取消用户为完成指定任务已不再需要的授权;
对重要任务进行划分,避免个别人具有进行非法活动所必需的全部授权;
限制用户对于操作系统、应用和系统资源进行与本职工作无关的访问;
用户对系统进行非授权访问的尝试,在非工作时间对系统的访问等情况要加以记录;
如果应用系统使用了加密技术,要对加密方法,加密产品的来源,密钥的管理问题等专门进行评估;
如果系统连接到因特网或其他广域网,要分析是否使用了另外的硬件或技术对网络进行安全保护,对于路由器、安全网关、防火墙等的配置,端口的保护措施等进行评估。
(3)公共访问控制
当一个机构的应用系统允许公众进行访问时,面临的主要威胁是来自外部的匿名攻击,必须采取一些额外安全控制措施以保护系统的完整性和敏感的信息内容。应对下列问题加以规划和评估:
公众对数据进行读、写、修改、删除等权力的限制措施;
是否需要建立一个隔离的系统,通过对信息进行复制或镜象等方式来支持公众的访问;
对重要应用系统应禁止公众对"活"的数据库进行访问。
(4)审计与跟踪
审计与跟踪系统维护一个或多个系统运行的日志记录文件,记录系统、应用、和用户活动与事件,是进行系统安全控制的重要手段。在进行规划与评估时要对以下问题加以考虑:
用户活动记录应支持事后对发生的事件进行调查,包括分析事件的原因、时间、相关的用户标识、引发事件的程序或命令等;
应对日志记录文件进行专门的保护,对于联机访问日志记录文件要作严格控制;
审计与跟踪系统的管理措施,是否需要设立安全管理员(而不是系统管理员)来承担这一任务。
6、公共支持系统的运行控制与技术控制
公共支持系统的运行控制是要建立起一种安全机制,这一方法的主要着眼点在于通过人员的管理来实施与执行系统的安全控制,其目的在于改善特定系统(或多个系统)的安全性。在实施过程中需要技术、经验,并经常依赖于管理活动与技术控制。公共支持系统的运行控制所考虑的问题与重要应用系统安全的运行控制类似,即也要从人员控制、物理与环境保护、输入/输出控制、应急计划、硬件与系统软件维护控制、完整性控制、文档管理、系统安全培训、故障处理响应能力等方面进行规划与评估。
公共支持系统的技术控制与重要应用系统的安全控制问题类似,着眼点在于对网络与计算机系统的控制,所考虑的问题与重要应用系统安全的技术控制类似,本文不再详述。
在实际工作中一般根据上述方法建立框架安全文件和一系列表格的方式,将这一系统化的方法在具体的信息系统中实施。信息系统的安全是一个涉及全局系统工程,在工作中采用系统化的思维方式和系统化的方法极为重要。
1、引言
随着通信与计算机技术的不断发展,全球信息化已成为人类社会发展的大趋势。任何以计算机为主构成的信息系统都与计算机网络密切相关,计算机系统的安全与网络安全成为有机的整体。同时由于计算机网络具有联结形式多样性、技术复杂性和网络的开放性、互连性等牲征,致使信息系统的安全问题变得更为复杂,更为重要。无论是在局域网还是在广域网中,对于信息系统而言,都存在着自然的和人为的等诸多因素的潜在威胁。因此 ,必须针对各种不同的威胁和系统的脆弱性,全方位地、系统化地制定信息系统的安全措施,这样才能确保信息系统安全性。
2、信息系统安全规划的原则
信息系统所面临的威胁大体可分为两种:一是对系统中信息的威胁;二是对系统中设备(包括软件和硬件)的威胁。影响信息系统安全的因素很多,有些因素可能是有意的,也可能是无意的(如Y2K问题);可能是人为的(如黑客),也可能是非人为的(如设备、线路故障)。但从安全防范角度来分析,信息系统安全规划所涉及的对象可以分为两种类型:重要应用系统和公共支持系统。实践中根据这两种类型的特点来分别制定信息系统安全规划是一种行之有效的办法。
在一个大的信息系统内部通常包含多个应用和多种计算机与网络设备,如果任何应用或设备属于重要应用系统或公共支持系统,那么就必须对其制定专门的安全规划,对于已经运行的系统,则应根据已制定的安全规划定期进行安全评估。对于其他应用无须制定专门的安全规划,这些应用的安全问题可由其运行环境中的公共支持系统的安全控制来保证。一般而言,标准的商用软件,如字处理软件、浏览器、电子邮件软件、工 具软件等均不作为重要应用系统。
制定信息系统安全规划的目标可归结为以下二点:
(1)提出系统安全要求,并描述为满足系统安全要求所采取或应当采取的控制方法。
(2)明确所有对系统进行访问的人员的责任和行为规范。
3、系统的分类
按照重要应用系统和公共支持系统进行分类是制定出可靠、实用的信息系统安全规划的重要步骤。在进行分类时必须考虑到所有的应用和子系统,当一个应用被确定为重要应用系统,同时也由公共支持系统提供一定的安全保障时,通常要在二者的安全控制方法上进行协调。包含、传输、得理秘密或敏感数据的应用,以及需要特别加以保护的关键应用应当确定为重要应用系统。重要应用系统也可能由许多用于完成特定任务的独立的程序、硬件、软件和通信设备构成。
公共支持系统由多个分担公共功能,但又互相联系的资源构成,并且这些资源是在统一、直接的管理控制之下。公共支持系统一般包括硬件、软件、信息、数据、应用、通信、设施和人员,以及各种为用户和应用提供的支持与服务。例如,可能有下面一些公共支持系统:
(1)局域网和智能终端系统;
(2)部门间的骨干网;
(3)广域通信网;
(4)部门的数据处理中心,包括操作和实用程序;
(5)多部门共用的数据处理中心等。
4、重要应用系统安全的运行控制
为保证重要应用系统的安全应从以下几个方面进行规划:
(1)人员安全管理
任何系统都是由人来控制的,除了对于重要岗位的工作人员要进行审查之外,建立严密的管理制度对于系统的安全尤为重要。在制度建立过程中有以下原则:
授权最小化,只授予操作人员为完成本职工作所必须的最小授权,包括对一数据文件的访问,计算机和外设的使用等。
授权分散化,对于关键的任务必须在功能上进行划分,由多人来共同承担,保证没有任何个人具有完成任务的全部授权或信息。
授权规范化,建立起申请,建立,发出和关闭用户授权的严格的制度,以及管理和监督用户操作责任的机制。
(2)物理与环境保护
对于物理与环境保护要考虑以下几方面的内容:
物理访问控制,在重要区域限制人员的进出。重要区域不仅包括机房,也应包括能够接触到内部网络的区域,伛电系统(如UPS),备份介质存放的地点等。
建筑物安全,要考虑建筑物防火、地震,结构坍塌、漏水等造成的风险。
公用设施的保证,为了使系统能够不间断地提供服务及硬件设备不受损害,必须评价供电、供水、空调等设施的可靠性,并提出相应的措施。
数据安全,数据泄露一般有三种途径:直接获取,在传输中截获,通过电磁辐射泄露。对这三种风险要加以充分评估。特别应当注意对便携式计算机建立安全保管制度,如果其中保存了敏感数据应进行加密,避免丢失或被盗时造成数据泄露。
(3)输入/输出控制
对系统的输入/输出信息或介质必须建立管理制度,只有经过授权的人员方可提供或获得系统的输入/输出信息。
(4)制定突发事件的应急计划
必须针对不同的系统故障或灾难制定应急计划,编写紧急故障恢复操作指南,并对每个岗位的工作人员按照所担任角色和负有的责任进行培训和演练。
(5)应用软件维护控制
在应用软件的维护过程中对于所使用的商业软件的版权、来源,应用软件的文档在维护过程是否修改,测试数据的产生与测试结果,是否留有软件测试所建立的陷门或热键等问题需要规划和评估。
(6)数据完整性与有效性控制
数据完整性与有效性控制要保证数据不被更改和破坏。需要规划和评估的内容包括:系统的备份与恢复措施;计算机病毒的防范与检测制度;是否要采用对数据文件计算检查和统计数据记录数等方法定期进行校验;是否要实时监控系统日志文件,记录与系统可用性相关的问题,如对系统的主动攻击,处理速度下降和异常停机等。
(7)文档管理
文档在安全控制中用于说明系统的工作机制,并且规范系统的安全与操作的特定过程。系统文档应包括软件、硬件、政策、标准、过程等的描述,以及相关的应用系统和支持系统的描述。同时文档中还应包括备份措施,突发事件对策,以及用户和操作员的操作说明等内容。重要应用系统的文档应当与公共支持系统和网络管理的文档进行协调,以保证运行管理与操作的一致性。
(8)安全教育与培训
必须建立定期进行信息系统的安全教育与培训的制度,对于与重要应用系统相关的工作人员还应以多种方式,针对特定系统进行安全教育与培训。
5、重要应用系统安全的技术控制
系统安全的技术控制的着眼点在于对计算机系统的控制。安全技术控制可自动防范对系统的非法访问,检测安全侵害,以及支持应用和数据的安全需求。应从以下几个方面进行规划和评估:
(1)用户标识与认证
用户标识与认证是一种用于防止非授权用户进入系统的常规技术措施。用户标识用于用户向系统声明自己的身份,用户标识应具有唯一性,其最常用形式的为用户ID。系统必须根据安全策略,维护所有用户标识。认证用于验证用户向系统声明的身份的有效性,通常有三种方法:用户个人所掌握的秘密信息(如口令字、电子签名密钥、个人标识号PIN等);用户个人所拥有的物品(如磁卡、IC卡等);用户个人的生理特征(如声音、动态手写输入的特征模式、指纹等)。要根据系统的安全需求来确定是单独使用一种方法,还是几种方法组合使用。对下列一些问题要充分加以考虑:
口令字的字符集、长度、有效期;
口令字的修改过程,口令字丢失的处理过程,口令字的修改频度等,分析在这些过程是由用户、系统,还是由管理人员来完成的;
防止其他人员(包括系统管理员)获得用户口令字的保护强度;
确认已修改系统安装时的隐含口令的验证过程;
系统允许用无效口令进行尝试的次数;
对于在执行脚 本(script)文件中可能包含口令字的限制措施;
对于使用可能旁路用户认证过程的技术(如一次性注册,主机-主机通讯,用户组标识等)的控制策略;
利用用户生理特征进行认证的技术手段和所用的设备的来源、技术标准;
密钥的加密标准,密钥的生成、分发、保管、使用、销毁等的过程。
(2)逻辑访问控制
逻辑访问控制是基于系统的安全机制,以确定某人或某个进程对于特定系统资源访问的授权。对下列一些问题在进行系统规划与评估时要分别加以考虑:
根据授于用户能够完成指定任务的最小特权的原则,设定用户的角色和最小特权的范围;
对访问控制表建立定期审核制度,及时取消用户为完成指定任务已不再需要的授权;
对重要任务进行划分,避免个别人具有进行非法活动所必需的全部授权;
限制用户对于操作系统、应用和系统资源进行与本职工作无关的访问;
用户对系统进行非授权访问的尝试,在非工作时间对系统的访问等情况要加以记录;
如果应用系统使用了加密技术,要对加密方法,加密产品的来源,密钥的管理问题等专门进行评估;
如果系统连接到因特网或其他广域网,要分析是否使用了另外的硬件或技术对网络进行安全保护,对于路由器、安全网关、防火墙等的配置,端口的保护措施等进行评估。
(3)公共访问控制
当一个机构的应用系统允许公众进行访问时,面临的主要威胁是来自外部的匿名攻击,必须采取一些额外安全控制措施以保护系统的完整性和敏感的信息内容。应对下列问题加以规划和评估:
公众对数据进行读、写、修改、删除等权力的限制措施;
是否需要建立一个隔离的系统,通过对信息进行复制或镜象等方式来支持公众的访问;
对重要应用系统应禁止公众对"活"的数据库进行访问。
(4)审计与跟踪
审计与跟踪系统维护一个或多个系统运行的日志记录文件,记录系统、应用、和用户活动与事件,是进行系统安全控制的重要手段。在进行规划与评估时要对以下问题加以考虑:
用户活动记录应支持事后对发生的事件进行调查,包括分析事件的原因、时间、相关的用户标识、引发事件的程序或命令等;
应对日志记录文件进行专门的保护,对于联机访问日志记录文件要作严格控制;
审计与跟踪系统的管理措施,是否需要设立安全管理员(而不是系统管理员)来承担这一任务。
6、公共支持系统的运行控制与技术控制
公共支持系统的运行控制是要建立起一种安全机制,这一方法的主要着眼点在于通过人员的管理来实施与执行系统的安全控制,其目的在于改善特定系统(或多个系统)的安全性。在实施过程中需要技术、经验,并经常依赖于管理活动与技术控制。公共支持系统的运行控制所考虑的问题与重要应用系统安全的运行控制类似,即也要从人员控制、物理与环境保护、输入/输出控制、应急计划、硬件与系统软件维护控制、完整性控制、文档管理、系统安全培训、故障处理响应能力等方面进行规划与评估。
公共支持系统的技术控制与重要应用系统的安全控制问题类似,着眼点在于对网络与计算机系统的控制,所考虑的问题与重要应用系统安全的技术控制类似,本文不再详述。
在实际工作中一般根据上述方法建立框架安全文件和一系列表格的方式,将这一系统化的方法在具体的信息系统中实施。信息系统的安全是一个涉及全局系统工程,在工作中采用系统化的思维方式和系统化的方法极为重要。