1?1?1信息安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認證、訪問控制，不能有非法軟件駐留，不能有非法操作。信息安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。關于這一部分的具體介紹,詳見信息安全專業(yè)1?1?2重要性積極推動信息安全等級保護信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。信息安全的實質就是要保護信息系統(tǒng)或信息網(wǎng)絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。根據(jù)國際標準化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題，是一個不容忽視的國家安全戰(zhàn)略。但是,對于不同的部門和行業(yè)來說，其對信息安全的要求和重點卻是有區(qū)別的。我國的改革開放帶來了各方面信息量的急劇增加，并要求大容量、高效率地傳輸這些信息。為了適應這一形勢，通信技術發(fā)生了前所未有的爆炸性發(fā)展.目前，除有線通信外，短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應用。與此同時，國外敵對勢力為了竊取我國的政治、軍事、經(jīng)濟、科學技術等方面的秘密信息，運用偵察臺、偵察船、偵察機、衛(wèi)星等手段，形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網(wǎng)，截取我國通信傳輸中的信息。從文獻中了解一個社會的內(nèi)幕，早已是司空見慣的事情。在20世紀后50年中，從社會所屬計算機中了解一個社會的內(nèi)幕，正變得越來越容易.不管是機構還是個人，正把信息安全策略日益繁多的事情托付給計算機來完成，敏感信息正經(jīng)過脆弱的通信線路在計算機系統(tǒng)之間傳送，專用信息在計算機內(nèi)存儲或在計算機之間傳送，電子銀行業(yè)務使財務賬目可通過通信線路查閱，執(zhí)法部門從計算機中了解罪犯的前科，醫(yī)生們用計算機管理病歷，所有這一切，最重要的問題是不能在對非法（非授權）獲取（訪問）不加防范的條件下傳輸信息.傳輸信息的方式很多,有局域計算機網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫，有蜂窩式無線、分組交換式無線、衛(wèi)星電視會議、電子郵件及其它各種傳輸技術。信息在存儲、處理和交換過程中，都存在泄密或被截收、竊聽、竄改和偽造的可能性.不難看出，單一的保密措施已很難保證通信和信息的安全,必須綜合應用各種保密措施，即通過技術的、管理的、行政的手段，實現(xiàn)信源、信號、信息三個環(huán)節(jié)的保護,藉以達到秘密信息安全的目的。目錄第一章信息安全的風險評估 TOC\o"1-5"\h\z1?1風險分析 411。1攻擊的類型 41?2網(wǎng)絡系統(tǒng)的脆弱性 5\o"CurrentDocument"121操作系統(tǒng)安全的脆弱性 51。2。2網(wǎng)絡安全的脆弱性 61。23數(shù)據(jù)庫系統(tǒng)安全的脆弱性 7\o"CurrentDocument"124防火墻的局限性 71。25其他方面的原因 71?3評估方法 71,3。1常用的評估軟件 8第二章信息安全防范體系?????????????????????????????????????????????????????????????????????????????????????????102。1信息安全模型 102。2策略和組織框架 1222。1策略框架 122,2,1。1安全策略的內(nèi)容 12221.2安全策略的制定 132.2。1.3安全策略的管理 152。22組織框架 1523技術框架 162。3。1鑒別和認證 172.3。 2訪問控制 172.3。 3審計和跟蹤 192。3。4響應和恢復 202。3。5內(nèi)容安全 20第二章信息安全的風險評估2.1風險分析隨著網(wǎng)絡的飛速發(fā)展，電子商務在今天的商業(yè)環(huán)境里的普遍應用，計算機系統(tǒng)的安全防護已經(jīng)成為一項極其重要的工作。除了保護服務器、工作站、網(wǎng)絡設備以及數(shù)據(jù)等硬件資產(chǎn)以外，還需要保護公司的無形資產(chǎn)。信息安全隱患會對公司的聲譽、品牌以及發(fā)展規(guī)劃造成不可估量的惡劣影響。2.1.1攻擊的類型在因特網(wǎng)上存在哪些攻擊方式呢？主要可分為以下三類：拒絕服務、侵入攻擊和信息盜竊。1、拒絕服務拒絕服務攻擊是一種以遭受攻擊的資源目標不能繼續(xù)正常提供服務的攻擊形式.換言之，拒絕服務攻擊就是使你無法繼續(xù)使用你的計算機資源,這些資源可能是郵件服務器、Web服務器或數(shù)據(jù)庫服務器等。拒絕服務攻擊通常是針對某個特定的系統(tǒng)或網(wǎng)絡而實施的惡意攻擊行為。2000年2月針對Amazon和CNN的分布式拒絕服務攻擊就是典型的例子.拒絕服務攻擊通常是使用“信息洪水”的手法實現(xiàn)的,即向某個資源發(fā)送超出其處理能力的數(shù)據(jù)或TCP/IP報文。洪水攻擊很容易發(fā)起，trinoo和tribal等網(wǎng)上可自由下載的網(wǎng)絡洪水程序更助長了這類攻擊的頻繁發(fā)生，這些程序可以輕易地發(fā)起一次針對某個特定目標的拒絕服務攻擊。其他類型的拒絕服務攻擊還包括在故意錯誤地登錄操作后鎖死某個帳戶或引起系統(tǒng)的重啟動。攻擊者故意多次錯誤地嘗試登錄某個用戶帳戶，當攻擊者達到系統(tǒng)允許的嘗試次數(shù)后，系統(tǒng)就會鎖死該帳戶,真正的用戶將無法上機,只能求助于系統(tǒng)管理員重設該帳戶或等待系統(tǒng)鎖死時間過去后該帳戶自動重設。拒絕服務攻擊也可能會在意外情況下發(fā)生。錯誤的配置或錯誤的網(wǎng)絡操作都有可能使資源不能繼續(xù)使用。流式介質或Napster等采用信號接力棒技術的程序就有可能引起拒絕服務現(xiàn)象，造成網(wǎng)絡通信的堵塞，進而使合法的商務信息交流無法進行。常用的拒絕服務攻擊方法有很多，如:緩沖區(qū)溢出、SYN攻擊、淚珠攻擊等.2、侵入攻擊侵入攻擊是最經(jīng)常遭受到的攻擊形式，它會使攻擊者竊取到系統(tǒng)的訪問權并盜用計算機資源。竊取某個系統(tǒng)訪問權限的辦法多種多樣，社交陷阱是最有效的辦法之一，它針對的是安全防護體系里最薄弱的因素—人.攻擊者可以偽裝成一名幫助臺的工作人員，讓某個用戶去修改自己的口令；也可以偽裝成一名復印機維修人員直接進入辦公大樓。竊取系統(tǒng)訪問權的其他辦法還包括猜測用戶名與口令字組合以及鉆研操作系統(tǒng)和應用程序漏洞等。最常見的手段包括緩沖區(qū)溢出、WindowsNT漏洞、Web服務器軟件漏洞等。3、信息盜竊信息盜竊攻擊指的是攻擊者從目標系統(tǒng)里偷走數(shù)據(jù)的情形，這類攻擊有時候并不需要攻擊者擁有目標系統(tǒng)的訪問權限。大多數(shù)信息盜竊攻擊都出現(xiàn)在配置不良的系統(tǒng)上，還有一些系統(tǒng)向外界提供的信息本身就已經(jīng)超出了保密要求的限度。利用Telnet連接到80端口通常會告訴你該系統(tǒng)上運行的是哪一種Web服務器。知道了這些,攻擊者就可以利用該服務器軟件或目標系統(tǒng)上那些已知的漏洞和弱點進行攻擊。信息盜竊攻擊通常是侵入攻擊的第一步。信息盜竊攻擊最常用的工具是網(wǎng)絡嗅探器。攻擊者可以利用嗅探器監(jiān)視網(wǎng)絡上的通信情況，等待用戶名/口令字組合的出現(xiàn)。其他的信息盜竊方法還有電磁泄漏接收、磁盤緩存窺探等.網(wǎng)絡系統(tǒng)的脆弱性盡管近年來計算機網(wǎng)絡安全技術取得了巨大進展，但計算機網(wǎng)絡系統(tǒng)的安全性比以往任何時候都更脆弱，主要表現(xiàn)在它極易受到攻擊和侵害,它的抗打擊力和防護力很弱。其脆弱性主要有以下幾個方面:2.2.1操作系統(tǒng)安全的脆弱性操作系統(tǒng)不安全，是計算機不安全的根本原因，其不安全性表現(xiàn)在:1、操作系統(tǒng)結構體制本身的缺陷操作系統(tǒng)的程序是可以動態(tài)連接的，I/O的驅動程序與系統(tǒng)服務都可以用打補丁的方式進行動態(tài)連接.UNIX操作系統(tǒng)的版本升級都是采用打補丁的方式進行的，雖然這些操作需要被授予特權,但這種方法廠商可用，黑客也可用。一個靠打補丁改進與升級的操作系統(tǒng)是不可能從根本上解決安全問題的。然而，操作系統(tǒng)支持程序動態(tài)連接與數(shù)據(jù)動態(tài)交換是現(xiàn)代系統(tǒng)集成和系統(tǒng)擴展的需要，這顯然與安全有矛盾。2、操作系統(tǒng)支持在網(wǎng)絡上傳輸文件，在網(wǎng)絡上加載與安裝程序,包括可執(zhí)行文件.3、操作系統(tǒng)不安全的原因還在于創(chuàng)建進程，甚至可以在網(wǎng)絡節(jié)點上進行遠程的創(chuàng)建和激活，更為重要的是被創(chuàng)建的進程還要繼承創(chuàng)建進程的權利。這樣可以在網(wǎng)絡上傳輸可執(zhí)行程序，再加上可以遠程調(diào)用，就能夠在遠端服務器上安裝“間諜”軟件。另外，還可以把這種間諜軟件以打補丁的形式加在一個合法用戶上，尤其是一個特權用戶，這樣可以做到系統(tǒng)進程與作業(yè)監(jiān)視程序都看不到它的存在。4、操作系統(tǒng)中，通常有一些守護進程，這種軟件實際上是一些系統(tǒng)進程，它們總是在等待一些條件的出現(xiàn),一旦這些條件出現(xiàn)，程序便繼續(xù)運行下去，這些軟件常常被黑客利用。問題的關鍵是這些守護進程在UNIX,WindowsNT操作系統(tǒng)中具有與其他操作系統(tǒng)核心層軟件相同的權限。5、操作系統(tǒng)都提供遠程過程調(diào)用服務,而提供的安全驗證功能卻很有限。6、操作系統(tǒng)提供網(wǎng)絡文件系統(tǒng)服務，網(wǎng)絡文件系統(tǒng)是一個基于遠程過程調(diào)用的網(wǎng)絡文件系統(tǒng)，如果網(wǎng)絡文件系統(tǒng)設置存在重大問題,則幾乎等于將系統(tǒng)管理權拱手交出。7、操作系統(tǒng)的debug和wizard功能,可以讓精于patch和debug的黑客，利用來作幾乎所有想作的事情.8、操作系統(tǒng)安排的無口令入口，是為系統(tǒng)開發(fā)人員提供的邊界入口，但這些入口也能被黑客利用。9、盡管操作系統(tǒng)的安全缺陷可以通過版本的不斷升級來克服,但系統(tǒng)的某一個安全漏洞會使系統(tǒng)的所有安全控制毫無意義，即通常所說的“木桶"理論.網(wǎng)絡安全的脆弱性由于Internet/Intranet的出現(xiàn),網(wǎng)絡的安全問題更加嚴重.可以說，使用TCP/IP網(wǎng)絡所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素，存在著許多漏洞。同時，網(wǎng)絡的普及是信息共享達到了一個新的層次,信息被暴露的機會大大增多。特別是Internet網(wǎng)絡就是一個不設防的開放大系統(tǒng)，通過未受保護的外部環(huán)境和線路誰都可以訪問系統(tǒng)內(nèi)部，可能發(fā)生隨時搭線竊聽、遠程監(jiān)控、攻擊破壞.另外，數(shù)據(jù)處理的可訪問性和資源共享的目的性是一個矛盾,它造成了計算機系統(tǒng)保密性難?？截悢?shù)據(jù)信息可以很容易且不留任何痕跡，一臺遠程終端上的用戶可以通過Internet連接其他任何一個站點，在一定條件下可在該站點內(nèi)隨意進行刪改、下載數(shù)據(jù)乃至破壞。2.2.3數(shù)據(jù)庫系統(tǒng)安全的脆弱性當前,大量的信息存儲在各種各樣的數(shù)據(jù)庫中，這使得它成為攻擊的重點之一。然而，這些數(shù)據(jù)庫系統(tǒng)在安全方面的考慮卻很少，而且，數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套，例如，DBMS的安全級別是B2,那么操作系統(tǒng)的安全級別也應該是B2,但實踐中往往不是這樣做的。2.2.4防火墻的局限性盡管利用防火墻可以保護安全網(wǎng)免受外部攻擊，但它只是能夠提高網(wǎng)絡的安全性，不可能保證網(wǎng)絡絕對安全。事實上，防火墻不能防范不經(jīng)過防火墻的攻擊，也很難防范來自于網(wǎng)絡內(nèi)部的攻擊以及病毒的威脅。2.2.5其他方面的原因1、 易受環(huán)境和災害的影響。溫度、濕度、供電、火災、水災、靜電、雷電、灰塵、強電磁場、電磁脈沖等，均會破壞數(shù)據(jù)和影響它的正常工作。2、 剩磁效應和電磁泄漏的不可避免3、 計算機領域中的任何重大技術進步都對安全性構成新的威脅。所有這些威脅都需要新的技術來消除，而技術進步的速度要比克服威脅的技術進步的速度快得多?？傊到y(tǒng)自身的脆弱和不足，是造成計算機網(wǎng)絡安全問題的內(nèi)部根源。但系統(tǒng)本身的脆弱性、社會對系統(tǒng)應用的依賴性這一對矛盾又將促進計算機網(wǎng)絡安全技術的不斷發(fā)展和進步。2.3評估方法風險評估是安全防護體系建立過程中極其關鍵的一個步驟,它連接著安防重點和商業(yè)需求。通常采用以下特定的步驟來進行風險評估。表1—1風險評估的步驟第一步:資產(chǎn)清單、定義和要求（所有需要保護的對象都是資產(chǎn),如：數(shù)據(jù)庫、軟件等）第一階段確定企業(yè)關鍵性的商務活動第二階段編制關鍵性商務活動使用的資產(chǎn)清單第三階段對這些資產(chǎn)進行重要性評估第二步：脆弱性和威脅評估第一階段運行自動化安防工具軟件開始分析工作第二階段人工復查第三步：安全控制措施評估認真考慮各種安防控制措施以及實施成本第四步：分析、決策和文檔第一階段各種威脅的安防控制措施及實施成本分析表第二階段針對威脅選定將要實施的安防控制措施第三階段編寫評估工作報告，得出結論第五步:溝通與交流與有關方面溝通評估結論第六步:監(jiān)督實施密切注意和分析新的威脅并對安防控制措施作必要的修改。企業(yè)的重大變革將導致一次新的風險評估過程以上步驟中，第二步脆弱性和威脅評估是比較重要的，它是決定企業(yè)安全策略的基礎。目前有許多工具軟件能夠幫助完成脆弱性和威脅評估的任務。2.3.1常用的評估軟件1、InternetSecuritySystems的安全分析軟件InternetSecuritySystems公司開發(fā)的網(wǎng)絡漏洞掃描軟件主要由InternetScanner和SystemsScanner兩部分組成.InternetScanner是-一個網(wǎng)絡掃描器，而SystemScanner是一個主機掃描器。InternetScanner自帶一個缺省的掃描策略，但也允許你自行定制。ISS掃描器既可以針對安防配置進行檢查，也可以針對已知弱點進行檢查。智能化的掃描報告里給出了修補漏洞所需的信息。InternetScanner的最新版本可以自動查找728種漏洞,包括：47種后門(GetAdmin、SubSeven等)50種守護進程缺陷(rlogin、fingered等)38種CGI—Bin（ColdFusion、PHP、cgiexec等）51種NT補?。≒PTP3、SSL、NTRAS溢出等）50種電子郵件檢查（popimap、緩沖區(qū)溢出等）此軟件的缺點是運行速度較慢。圖1-1InternetScannermainwindow2、 WebTrendsSecurityAnalyzer網(wǎng)站安全分析軟件WebTrendsSecurityAnalyzer網(wǎng)站安全分析軟件除可以找出大量隱藏在Linux和Windows服務器、防火墻和路由器等軟件里的威脅和漏洞,還可以找出Linux和Windows系統(tǒng)上的配置問題和已知漏洞.WebTrendsSecurityAnalyzer生成的HTML格式的報告被認為是目前作得最好的,報告里對找出的每個漏洞都有一個說明，還有對消除漏洞的推薦對策。圖1-2WebTrendsSecurityAnalyze3、 CerberusInternetScanner漏洞掃描軟件CerberusInternetScanner是一個功能強大的自由軟件掃描工具，它可以查出126種漏洞，其中包括:21種SMTP漏洞7種FTP漏洞19種SQL服務器漏洞超過60種NT漏洞圖1-3CerberusInternetScanner第三章信息安全防范體系信息安全防范不是孤立的事情，從根本上講，它是一個過程而不是一個產(chǎn)品,“即買即得”的安全是不存在的.一個強有力的安全防范體系是由策略、組織和技術三部分組成的，就象一個三條腿的凳子，偏重任何一個方面都會造成整體的失衡和失效。本章描述的信息安全防范體系是在信息安全模型的指導下,從策略、組織和技術三方面建立的。3.1信息安全模型隨著全球計算機和信息系統(tǒng)的網(wǎng)絡化,信息系統(tǒng)所面臨的安全問題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標發(fā)起攻擊，而且我們的系統(tǒng)還同時要面臨來自外部、內(nèi)部、自然等多方面的威脅。我們所在的信息環(huán)境的基本特征是動態(tài)和變化,信息業(yè)務的不斷發(fā)展變化、業(yè)務競爭環(huán)境的變化、信息技術和安全技術（包括攻擊技術）的飛速發(fā)展;同時我們系統(tǒng)自身也在不斷變化,人員的流動、不斷更新升級的系統(tǒng)等等。總之，面對這樣一個動態(tài)的系統(tǒng)、動態(tài)的環(huán)境，需要用動態(tài)的安全模型、方法、技術和解決方案來應對安全問題.因應這種需求,在上世紀九十年代提出了PDR動態(tài)安全模型，即防護、檢測和響應，漏洞掃描和入侵檢測（IDS）就是這種模型下發(fā)展的動態(tài)檢測技術和產(chǎn)品.而現(xiàn)在,PDR模型發(fā)展成為P2DR模型，相對于前者,P2DR更重視管理層面。P2DR的含義如上圖所示，是策略、防護、檢測和響應，策略處于中心地位，其他技術手段和措施圍繞它來展開。現(xiàn)代信息安全理論認為,一個良好的完整的動態(tài)安全體系，不僅需要恰當?shù)姆雷o（比如：操作系統(tǒng)訪問控制、防火墻、加密等），而且需要動態(tài)的檢測機制（比如：入侵檢測、漏洞掃描等），在發(fā)現(xiàn)問題時及時進行響應。整個體系要在統(tǒng)一的、一致的安全策略的指導下實施。P2DR形成了一個完備的閉環(huán)自適應體系。P2DR模型的理論體系基于數(shù)學模型作為其論述基礎“TimeBasedSecurity"基于時間的安全理論。該理論的最基本原理就是認為，信息安全相關的所有活動，不管是攻擊行為、防護行為、檢測行為和響應行為等等都要消耗時間。因此可以用時間來衡量一個體系的安全性和安全能力。作為一個防護體系，當入侵者要發(fā)起攻擊時，每一步都需要花費時間。當然攻擊成功花費的時間就是安全體系提供的防護時間Pt。在入侵發(fā)生的同時，檢測系統(tǒng)也在發(fā)揮作用，檢測到入侵行為也要花費時間一一檢測時間Dt；在檢測到入侵后，系統(tǒng)會做出應有的響應動作，這也要花費時間 響應時間Rt。P2DR模型就可以用一些典型的數(shù)學公式來表達安全的要求：公式1：Pt〉Dt+RtPt代表系統(tǒng)為了保護安全目標設置各種保護后的防護時間；或者理解為在這樣的保護方式下，黑客（入侵者）攻擊安全目標所花費的時間.Dt代表從入侵者開始發(fā)動入侵開始，系統(tǒng)能夠檢測到入侵行為所花費的時間.Rt代表從發(fā)現(xiàn)入侵行為開始,系統(tǒng)能夠做出足夠的響應，將系統(tǒng)調(diào)整到正常狀態(tài)的時間。那么，針對于需要保護的安全目標,上述數(shù)學公式必須滿足-—防護時間大于檢測時間加上響應時間，也就是在入侵者危害安全目標之前就能夠被檢測到并及時處理.公式2：Et=Dt+Rt,如果Pt=0公式的前提是假設防護時間為0。這種假設對WebServer這樣的系統(tǒng)可以成立.Dt代表從入侵者破壞了安全目標系統(tǒng)開始，系統(tǒng)能夠檢測到破壞行為所花費的時間.Rt代表從發(fā)現(xiàn)遭到破壞開始，系統(tǒng)能夠做出足夠的響應，將系統(tǒng)調(diào)整到正常狀態(tài)的時間。比如，對WebServer被破壞的頁面進行恢復.那么，Dt與Rt的和就是該安全目標系統(tǒng)的暴露時間Et。針對于需要保護的安全目標，如果Et越小系統(tǒng)就越安全。通過上面兩個公式的描述，實際上給出了安全一個全新的定義：“及時的檢測和響應就是安全”“及時的檢測和恢復就是安全".而且，這樣的定義為安全問題的解決給出了明確的方向:提高系統(tǒng)的防護時間Pt，降低檢測時間Dt和響應時間Rt。我們提出的信息安全全面解決方案以建立在國際標準（BS7799/ISO17799）上的安全服務方法論（PADIMEE）為基準，該方法論通過對客戶的技術及業(yè)務需求的分析及對客戶信息安全的"生命周期"考慮，在七個核心方面體現(xiàn)信息系統(tǒng)安全的持續(xù)循環(huán)，并將自身業(yè)務和PADIMEE周期中的每個環(huán)節(jié)緊密地結合起來：策略(Policy)?評估(Assessment)?設計(Design)?執(zhí)行(Implementation)管理(Management)緊急響應(EmergencyResponse)教育(Education)圖2—1信息安全的PADIMEE周期基于以上論述，我們將安全體系從以下三個方面展開：1、 策略框架——體現(xiàn)整個機構的信息安全方針、標準、制度、規(guī)范、指南、用戶管理、應急計劃、物理和環(huán)境安全等。2、 組織框架一一建立有效的信息安全組織，為組織中的人員賦予明確的角色和職責,并實施全員的安全教育等.3、 技術框架一一對于信息安全技術根據(jù)其行為特征予以分類、研究、開發(fā)和實施.3.2策略和組織框架3.2.1策略框架安全策略是為發(fā)布、管理和保護敏感的信息資源而制定的一組法律、法規(guī)和措施的總合，是對信息資源使用、管理規(guī)則的正式描述,是企業(yè)內(nèi)所有成員都必須遵守的規(guī)則。在我們的信息安全模型中,安全策略處于核心位置。安全策略的內(nèi)容安全策略屬于網(wǎng)絡信息安全的上層建筑領域，是網(wǎng)絡信息安全的靈魂和核心.它為保證信息基礎的安全性提供了一個框架，提供了管理網(wǎng)絡安全性的方法，規(guī)定了各部門要遵守的規(guī)范及應負的責任，使得信息網(wǎng)絡系統(tǒng)的安全有切實的依據(jù)。安全策略應包含的內(nèi)容有：（1）保護的內(nèi)容和目標：安全策略中要包含信息網(wǎng)絡系統(tǒng)中要保護的所有資產(chǎn)（包括硬件及軟件）以及每件資產(chǎn)的重要性和其要達到的安全程度，如可以對系統(tǒng)中所有的主機根據(jù)其重要性和功能范圍進行分類，涉及到核心機密信息或提供關鍵服務的為A類；含有敏感信息或提供重要服務的為B類；能夠訪問A類和B類主機且不含敏感信息的為C類，不能夠訪問A類和B類主機；不含敏感信息且可以從外部訪問的為D類；可以從外部訪問但不能訪問A類、B類、C類和D類主機的為E類。這樣的劃分，既體現(xiàn)了各類資產(chǎn)的重要程度，又規(guī)定了它們的功能范圍。（2） 實施保護的方法：明確對信息網(wǎng)絡系統(tǒng)中的各類資產(chǎn)進行保護所采用的具體的方法，如對于實體安全可以采用隔離、防輻射、防自然災害的措施實現(xiàn)，對于數(shù)據(jù)信息可以采用授權訪問技術來實現(xiàn)，對于網(wǎng)絡傳輸可以采用安全隧道技術來實現(xiàn)，等等。另外還要明確采用的具體方法，如使用什么樣的算法和產(chǎn)品。（3） 明確的責任：維護信息與網(wǎng)絡系統(tǒng)的安全不僅僅是安全管理員的事，一個人或幾個人的能力畢竟是有限的，只有調(diào)動大家的積極性，集體參與才能真正有效地保護系統(tǒng)的安全。要想有效地組織大家協(xié)同工作，就必須明確每個人在安全保護工程中的責任和義務。（4） 破壞的響應：對檢測到的入侵和破壞活動，相關責任人員采取預定的行動，盡快恢復系統(tǒng)的正常狀態(tài)。（5） 事故的處理：為了確保任務的落實，提高大家的安全意識和警惕性，必須規(guī)定相關的處罰條款，并組建監(jiān)督、管理機構，以保證各項條款的嚴格執(zhí)行。安全策略的制定安全策略的制定過程是一個循序漸進、不斷完善的過程，因為不可能指定一個策略就能夠完全符合、適應某個信息系統(tǒng)的環(huán)境和需求,只能不斷地接近目標。安全策略在制定時必須兼顧它的可理解性、技術上的可實現(xiàn)性、組織上的可執(zhí)行性。企業(yè)級安全策略可以從三個層面來考慮開發(fā)制定：（1）抽象安全策略它通常表現(xiàn)為一系列的自然語言描述的文檔,是企業(yè)根據(jù)自身的任務、面臨的威脅和風險，以及法律、制度等制定出來限制用戶使用資源和使用方式的一組規(guī)定。全局自動安全策略它是抽象安全策略的子集和細化，指能夠由計算機、路由器等設備自動實施的安全措施的規(guī)則和約束,不能由計算機實施的安全策略由安全管理制度等其他物理環(huán)境安全手段實施。全局自動安全策略主要從安全功能的角度考慮，分為標識與認證、授權與訪問控制、信息保密與完整性、數(shù)字簽名與抗抵賴、安全審計、入侵檢測、響應與恢復、病毒防范、容錯與備份等策略局部執(zhí)行策略它是分布在終端系統(tǒng)、中繼系統(tǒng)和應用系統(tǒng)中的GASP的子集，網(wǎng)絡中所有實體LESP的總合是GASP的具體實施。局部可執(zhí)行的安全策略是由物理組件與邏輯組件所實施的形式化的規(guī)則,如口令管理策略、防火墻過濾規(guī)則、認證系統(tǒng)中的認證策略、資源的訪問控制列表、安全標簽等組成。每一條具體的規(guī)則都是可以設置與實施的。信息安全策略應該遵循國際標準。英國標準BS7799是一項在歐洲實行了數(shù)年的安全標準,這套標準把信息安防策略分為10大部分，內(nèi)容覆蓋信息系統(tǒng)決策和制度制定工作所涉及的一切問題。國際標準化組織也已采納它為國際標準ISO17799:2000。BS7799/ISO17799的10個組成部分為：?商務活動減災恢復計劃?系統(tǒng)訪問權限控制系統(tǒng)開發(fā)和維護物理和環(huán)境的安防考慮遵守法律和規(guī)定人為因素的安防考慮企業(yè)組織的安防考慮計算機和網(wǎng)絡管理資產(chǎn)分類和控制信息安全防范制度根據(jù)以上框架制定出來的規(guī)章制度將是一個符合企業(yè)環(huán)境的強有力的安全制度。從頭編寫安全策略是一項艱巨而又辛苦的工作，完全可以借鑒其他企業(yè)的經(jīng)驗和成果。目前最流行的工具是由CharlesCressonWood編寫的《InformationSecurityPoliciesMadeEasy》，它提供了幾種基本的安全制度框架，企業(yè)可以以它為基礎對自己的規(guī)章制度作進一步的完善.安全策略的管理隨著網(wǎng)絡發(fā)展的規(guī)模越來越大、復雜性越來越高，對于在產(chǎn)品上部署實施安全策略，如果采用基于單臺設備的配置方法會耗費大量的時間和資源。怎樣才能在多系統(tǒng)和多應用環(huán)境里實現(xiàn)集中式的授權機制呢？策略管理可以解決這個問題，它把應用軟件、Web服務器、數(shù)據(jù)庫和操作系統(tǒng)等結合在了一起，形成了一個對用戶的優(yōu)先級進行定義、管理和審計的機制。概括地講，策略管理把身份驗證和訪問控制這兩大塊功能都集中到一個中央式授權服務器里。其工作過程如下:用戶請求一項資源，應用軟件把這個請求轉發(fā)給授權服務器；授權服務器負責核查該用戶都有權訪問哪些資源，同時把身份驗證信息轉發(fā)給LDAP服務器、RADIUS服務器或者Windows域服務器去;最后，授權服務器把核查出來的結果（準許或者拒絕）返回給應用軟件.其工作流程示意圖如下：圖2—2策略管理工作流程一個好的集中策略管理工具應具有以下特征：?具有強大的圖形管理能力?具備基于瀏覽器的用戶界面能分析、解釋、部署和監(jiān)控安全策略狀態(tài)能驗證安全策略的有效性和完整性很多廠商提供策略管理工具，但多數(shù)廠商的策略管理產(chǎn)品需要與自己的信息安全產(chǎn)品集成在一起。獨立的第三方軟件有Netegrity公司的SiteMinder、Securant公司的ClearTrust和InternetDynamics公司的Conclave，這些產(chǎn)品有些是專門設計來與Web應用軟件共同工作的，有些則能夠與任何應用軟件配合工作，但其部署實施并非易事，因為需要給所有的應用軟件增加能夠與授權服務器進行通信的插件程序或應用軟件程序設計接口，而這些工作并不是所有供應商都支持的。3.2.2組織框架信息系統(tǒng)的安全是涉及到整個企業(yè)的大事，必須有專門的安全防范機構和人員，同時制定各類人員的崗位責任制?；旧?信息安全人員可分為兩類：安全管理人員和安全審計人員.專職的安全管理人員具體負責本系統(tǒng)區(qū)域內(nèi)安全策略的實現(xiàn)，保證安全策略的長期有效；負責軟硬件的安裝維護、日常操作監(jiān)視、緊急情況下安全措施的恢復和風險分析等；負責整個系統(tǒng)的安全，對整個系統(tǒng)的授權、修改、口令、違章報告、報警記錄處理、控制臺日志審閱。安全審計人員監(jiān)視系統(tǒng)運行情況，收集對系統(tǒng)資源的各種非法訪問事件，并對非法事件進行記錄、分析和處理。對企業(yè)來說面臨的最大的安全挑戰(zhàn)也許是員工的安全意識。通常情況下，安全策略被視為”討厭的東西”,并為員工所漠視，因為他們覺得策略的約束性太大。BS7799將用戶的安全意識列為遵循標準的一項〃重要控制〃內(nèi)容，這不僅要求企業(yè)要有適當?shù)陌踩呗?而且要求企業(yè)對員工進行規(guī)則標準的教育。對員工的良好培訓可以培養(yǎng)員工的安全意識，而現(xiàn)代網(wǎng)絡技術的發(fā)展使得培訓的手段更豐富多樣.通過公司的內(nèi)部網(wǎng)和其它基于網(wǎng)頁的文檔管理工具，企業(yè)可以方便地頒布新的安全策略并跟蹤員工的閱讀情況。安全策略可以從書面文件的形式轉換為動態(tài)的文檔形式，這樣員工可以更為方便地對它們進行閱讀。還可通過一些軟件以在線的〃用戶測試題”來衡量員工的對策略的理解程度。這些工具為企業(yè)提供一個集中的web頁面管理他們的安全策略，并將分析報告提交給管理人員和檢查人員。3.3技術框架我們的目標是開發(fā)多層次的縱深安全防護體系，即使某個層次被突破了，后面還有幾個層次可以繼續(xù)為珍貴的信息資產(chǎn)提供保護，同時為入侵檢測和響應提供寶貴的時間。這種多層次的防護體系，從網(wǎng)絡邊界的安全防護措施開始，逐層深入直到所有的服務器和主機及其上的應用系統(tǒng)被保護起來。目前的信息安全技術可以歸結到以下五個安全行為（IAARC）：?鑒別和認證Identification&Authentication?訪問控制AccessControl?審計和跟蹤AuditTrail?響應和恢復Response&Recovery?內(nèi)容安全ContentSecurity圖2-3IAARC技術框架3.3.1鑒別和認證安全的服務對象通?？梢猿橄鬄樵L問的主體和被訪問的客體.I&A鑒別和認證是通過對IT系統(tǒng)中的主客體進行鑒別，并且給這些主客體賦予恰當?shù)臉酥?、標簽、證書等。主要的處理都是針對實體進行的.用一個動作來描述鑒別和認證的操作特點就是“貼標簽Labeling”?鑒別和認證就是為了解決主體的信用問題和客體的信任問題。這些問題的解決就是通過各種形式的標簽來實現(xiàn)的。鑒別和認證賦予主客體的“標簽"常常在訪問控制和審計跟蹤中被使用,對于主客體的鑒別是訪問控制做出判斷的依據(jù)。可以歸結到鑒別和認證類型的典型技術包括：序號技術技術說明1用戶名/口令機制最典型、最經(jīng)濟的鑒別機制，在各種系統(tǒng)中缺省使用這個機制2SmartCard鑒別機制強鑒別機制3生物鑒別機制4PKI公開密鑰機制通過一對不相同的加解密密鑰，結合密鑰管理體系完成對于持有密鑰人的鑒別和認證功能5IP地址和域名IP地址和域名作為鑒別訪問者和被訪問者的標志，雖然比較容易冒用和篡改，但在一個安全要求一般的網(wǎng)絡中，可以接受6硬件序列號通過硬件設備中的板塊、部件的一些序列號組成一個鑒別體。如：CPU序列號、網(wǎng)卡MAC地址???表2—1I＆A的典型技術3.3.2訪問控制訪問控制都是以ReferenceMonitor的形式工作，或者說都是類似網(wǎng)關、接口和邊界的形式。圖2-3RM模型一個有效的ReferenceMonitor（RM機制）必須要滿足二個條件：1） 不可旁路：主體對客體的訪問不能繞過RM,都必須經(jīng)過RM機制的控制和檢查.2） 抗篡改：RM應當是一個抗攻擊的體系，不能被攻破;RM以及配合的規(guī)則庫應當被正確地配置;另外該機制的特權管理、規(guī)則庫等不能被侵入。由于訪問控制采用的是RM機制,為了滿足“不可旁路"的要求，所有訪問和業(yè)務流程都必須通過訪問控制AccessControl這個關口才能進行正常工作。因此從機制上就可能帶來單點故障。因此為了保證整個系統(tǒng)的可用性和可靠性，需要運用HA高可用技術來進行補充（屬于響應和恢復部分的技術）.由于RM機制的訪問控制系統(tǒng)有抗篡改和正確配置的要求，但是這方面僅僅依靠其自身是很難完成的，因此一般通過審計和跟蹤技術來補充訪問控制者方面的不足?？梢詺w結到訪問控制類型的典型技術包括：序號技術技術說明1ACL訪問控制列表廣泛應用的控制方法，如路由器中的ACL就是典型的例子2主機操作系統(tǒng)加固尋找可能旁路的路徑然后通過補丁和配置將其彌補；加強操作系統(tǒng)自身的強壯性不被一般的攻擊破壞;檢查各項規(guī)則的合理性和有效性等3Firewall防火墻典型的網(wǎng)絡隔離和網(wǎng)絡訪問控制方法和工具4VPN虛擬專用網(wǎng)結合運用了防火墻技術、加密技術、密鑰管理技術等方面結合的安全信道系統(tǒng)，這個安全信道可以理解為兩個網(wǎng)絡區(qū)域之間的一個接口和管道5應用系統(tǒng)訪問控制通過調(diào)用底層的操作系統(tǒng)訪問控制功能或數(shù)據(jù)庫管理系統(tǒng)訪問控制功能；一些比較通用的應用系統(tǒng)，可以通過專用的應用系統(tǒng)訪問控制系統(tǒng)完成其功能???表2-2訪問控制的典型技術審計和跟蹤審計和跟蹤的主要實現(xiàn)機制是通過Standby/Sniffer類型的工作方式實現(xiàn).這種機制一般情況下并不干涉和直接影響主業(yè)務流程,而是對主業(yè)務進行記錄、檢查、監(jiān)控等功能來完成以審計要求Accountability、完整性Integrity等要求為主的安全功能。審計和跟蹤需要鑒別和認證功能的配合，以便有效地控制被審計對象的識別粒度和準確性。比如一般網(wǎng)絡上，我們可能進行