安全管理体系(五)

5.1 防火墙技术

　　防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

　　防火墙是应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。

　　目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。

　　信息系统是动态发展变化的，确定的安全策略与选择合适的防火墙产品只是一个良好的开端，但它只能解决40%－60%的安全问题，其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等。

5.2 虚拟专用网技术（VPN）

　　虚拟专用网（Virtual Private Network，VPN）不是真的专用网络，但却能够实现专用网络的功能。简单的说，就是在Internet网络中建立一条虚拟的专用通道，让两个远距离的网络客户能在一个专用的网络通道中相互传递资料而不会被外界干扰或窃听，从而保证了资料传送的安全，却不必支付高昂的长途专线费用。

　　所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。

　　客户只需连入所在地的ISP，就完全可以通过由ISP的骨干网，在Internet公网上把遍布全球的企业内部网络连接起来，不但节省了超远程长途专线的费用，也拥有了较好的安全性。

　　如果现在在电信部门租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（Permanent Virtual Circuit，PVC）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像Internet网络，可立即与世界上任何一个使用Internet网络的单位连接。在Internet上，使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。

　　所以可以说，虚拟专用网指的是建筑在Internet上能够自我管理的专用网络，而不是帧中继或ATM等提供虚拟固定线路服务的网络。 以IP为主要通讯协议的VPN，也可称之为IP VPN。

5.3 数据传输加密技术

　　对传输中的数据流加密，用来防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于OSI网络层以下的加密），节点加密，端到端加密（传输前对文件加密，位于OSI网络层以上的加密）。一般常用的是链路加密和端到端加密这两种方式。 链路加密侧重与在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。

　　链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检错、帧头帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。

　　端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据在中央节点不需解密。

5.4 身份鉴别技术

　　身份鉴别是对网络中的主体进行验证的过程，通常有三种方法验证主体身份：

1) 只有该主体了解的秘密，如口令、密钥。口令是相互约定的代码，假设只有用户和系统知道。口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。口令有多种，如一次性口令，系统生成一次性口令的清单，第一次时必须使用X，第二次时必须使用Y，第三次时用Z，这样一直下去；还有基于时间的口令，即访问使用的正确口令随时间变化，变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变，使其更加难以猜测。

2) 主体携带的物品，如智能卡和令牌卡。访问不但需要口令，也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡，一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数（ID）和其它数据的加密形式。ID保证卡的真实性，持卡人就可访问系统。为防止智能卡遗失或被窃，许多系统需要卡和身份识别码（PIN）同时使用。若仅有卡而不知PIN码，则不能进入系统。智能卡比传统的口令方法进行鉴别更好，但其携带不方便，且开户费用较高。

3) 只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器。

5.5 数据完整性技术

　　目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性控制：

1) 报文鉴别。与数据链路层的CRC控制类似，将报文名字段（或域）使用一定的操作组成一个约束值，称为该报文的完整性检测向量ICV（Integrated Check Vector）。然后将它与数据封装在一起进行加密，传输过程中由于侵入者不能对报文解密，所以也就不能同时修改数据并计算新的ICV，这样，接收方收到数据后解密并计算ICV，若与明文中的ICV不同，则认为此报文无效。
2) 校验和。一个最简单易行的完整性控制方法是使用校验和，计算出该文件的校验和值并与上次计算出的值比较。若相等，说明文件没有改变；若不等，则说明文件可能被未察觉的行为改变了。校验和方式可以查错，但不能保护数据。
3) 密校验和。将文件分成小快，对每一块计算CRC校验值，然后再将这些CRC值加起来作为校验和。只要运用恰当的算法，这种完整性控制机制几乎无法攻破。但这种机制运算量大，并且昂贵，只适用于那些完整性要求保护极高的情况。
4) 消息完整性编码MIC（Message Integrity Code）。使用简单单向散列函数计算消息的摘要，连同信息发送给接收方，接收方重新计算摘要，并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此，一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。

5.6 防抵赖技术

　　防抵赖技术包括对源和目的地双方的证明，常用方法是数字签名。
　　数字签名采用一定的数据交换协议，使得通信双方能够满足两个条件：接收方能够鉴别发送方所宣称的身份，发送方以后不能否认他发送过数据这一事实。比如，通信的双方采用公钥体制，发方使用收方的公钥和自己的私钥加密的信息，只有收方凭借自己的私钥和发方的公钥解密之后才能读懂，而对于收方的回执也是同样道理。
　　另外实现防抵赖的途径还有：

1) 采用可信第三方的权标。
2) 使用时戳。
3) 采用一个在线的第三方。
4) 字签名与时戳相结合。

5.7 审计监控技术

　　除使用一般的网管软件和系统监控管理系统外，还应使用目前以较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。

5.8 病毒防治技术

　　病毒防治技术包括预防病毒、检测病毒和消毒三种技术：
1) 预防病毒技术。它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有：加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。
2) 检测病毒技术。通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。
3) 消毒技术。通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。

　　网络病毒防治技术的具体实现方法包括：对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。

5.9 网络安全检测技术

　　网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。
　　网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补求措施和安全策略，达到增强网络安全性的目的。

5.10 备份与恢复技术

　　备份系统为一个目的而存在：尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。

　　备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。

根据系统安全需求可选择的备份机制有：
1) 场地内高速度、大容量自动的数据存储、备份与恢复。
2) 场地外的数据存储、备份与恢复。
3) 对系统设备的备份。

一般的数据备份操作有三种：
1) 全盘备份。即将所有文件写入备份介质。
2) 增量备份。只备份那些上次备份之后更改过的文件，是最有效的备份方法。
3) 差分备份。备份上次全盘备份之后更改过的所有文件，其优点是只需两组磁带就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。

　　确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份。有"冷备份"和"热备份"两种：

1) 热备份。是指"在线"的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。
2) 冷备份。是指"不在线"的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。

　　热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非工作运行空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比较昂贵。

　　冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。

　　在进行备份的过程中，常使用备份软件，它一般应具有以下功能：
1) 保证备份数据的完整性，并具有对备份介质的管理能力。
2) 支持多种备份方式，可以定时自动备份，还可设置备份自动启动和停止日期。
3) 支持多种校验手段（如字节校验、CRC循环冗余校验、快速磁带扫描），以保证备份的正确性。
4) 提供联机数据备份功能。
5) 支持RAID容错技术和图像备份功能。

6 网络应用系统的信息安全等级

　　网络信息安全可以被划分为不同的等级。
　　以下介绍我国的《计算机信息系统安全保护等级划分准则》、美国的《可靠计算机标准评估准则》TCSEC、欧洲的《信息技术安全评估准则》ITSEC。

　　另外，还有通用标准（CC ，Common Criteria）可供借鉴。（资料有限，在此不作介绍）

6.1 我国的《计算机信息系统安全保护等级划分准则》

　　我国将于2001年1月1日实施《计算机信息系统安全保护等级划分准则》，其将计算机信息系统的安全等级划分为五级：

1) 第一级：用户自主保护级
2) 第二级：系统审计保护级
3) 第三级：安全标记保护级
4) 第四级：结构化保护级
5) 第五级：访问验证保护级

6.2 美国的《可靠计算机标准评估准则》（TCSEC）

　　美国国防部制定了TCSEC（可靠计算机标准评估准则，Trusted Computing Standards Evaluation Criteria），给出一套标准来定义满足特定安全等级所需的安全功能及其保证的程度。

　　TCSEC橘皮书（Orange book）定义了系统安全的五个要素：
1) 系统的安全策略
2) 系统的可审计机制
3) 系统安全的可操作性
4) 系统安全的生命期保证
5) 针对以上系统安全要素而建立并维护的相关文件
同时，TCSEC橘皮书定义了系统安全等级来描述以上所有要素的安全特性：
1) D：最低保护（minimal protection）。如未加任何实际的安全措施。
2) C：被动的自主访问策略（disretionary access policy enforced）。
3) B：被动的强制访问策略（mandatory access policy enforced）。
4) A：形式化证明的安全（formally proven security）。

　　 每个等级之内还可以细分。这些标准能够被用来衡量计算机平台（如操作系统及其基于的硬件）的安全性。如标准的UNIX（只有login口令、文件保护等安全措施）被定为C1级，DOS被定为D1级。目前很少有操作系统能够符合B级标准。

　　在TCSEC彩皮书（Rainbow Books）中，给出标准来衡量系统组成（如加密设备、LAN部件）和相关数据库管理系统的安全性。

6.3 欧洲的《信息技术安全评估准则》（ITSEC）

　　由英国、德国和法国共同组成的欧洲委员会统一了它们的信息技术安全评估准则（Information Technology Security Evaluation Criteria，ITSEC）。

　　在ITSEC中，一个基本观点是：应当分别衡量安全的功能和安全的保证，而不应象TCSEC那样混合考虑安全的功能和安全的保证。因此，ITSEC对每个系统赋予两种等级："F"（functionality）即安全功能等级，"E"（European assurance）即安全保证等级。

　　这样，一个系统可能有最高等级所需的所有安全功能（F6），但由于某些功能不能保证到最高等级，从而使该系统的安全保证等级较低（E4），此系统的安全等级将是：F6/E4。

　　在ITSEC中，另一个观点是：被评估的应是整个系统（硬件、操作系统、数据库管理系统、应用软件）而不只是计算平台。因为一个系统的安全等级可能比其每个组成部分的安全等级都高（或低）。另外，某个等级所需的总体安全功能可能分布在系统的不同组成中，而不是所有组成都要重复这些安全功能。

 <<< 上一页

 >>> 下一页