网站安全体系
1 网络应用的信息安全 1
1.1 网络信息的安全需求 1
1.2 网络信息安全需求的层次 2
1.3 网络信息的安全威胁 3
1.4 网络信息的安全威胁评估与安全技术 3
1.5 网络应用系统的安全管理 5
2 网站的信息安全体系 5
2.1 安全策略 5
2.2 安全需求的保证 6
2.2.1 数据物理安全保证 6
2.2.2 数据机密保证 6
2.2.3 数据完整性保证 7
2.2.4 数据可控保证 7
2.2.5 数据可用保证 8
2.2.6 身份鉴别保证 8
2.2.7 数据鉴别保证 9
2.2.8 数据防抵赖保证 9
2.2.9 审计与监测保证 9
2.3 网络信息安全管理规范 9
2.3.1 总则 9
2.3.2 机房出入管理 10
2.3.3 人员管理 10
2.3.4 系统维护管理 11
2.3.5 数据备份管理 11
2.3.6 事件处理管理 12
2.3.7 数据恢复管理 12
2.3.8 安全审计管理 13
2.3.9 用户模型管理 13
2.4 安全技术和安全产品 14
2.4.1 防火墙 14
2.4.2 数据加密 15
2.4.3 病毒防治 16
2.4.4 鉴别与认证 16
2.4.5 检测和紧急响应 17
2.4.6 审计与监控 18
2.4.7 备份与恢复 19
1 网络应用的信息安全
1.1 网络信息的安全需求
在计算机网络应用系统中,对网络信息存在以下安全需求:
1) 物理安全(physical security)。为防范蓄意的和意外的威胁,而对资源提供物理保护措施。
2) 数据机密(data confidentiality)。使信息不被泄露给非授权的实体(个人或进程),并不为其所用。
3) 数据完整(data integrity)。确保数据没有遭受以非授权方式所作的篡改或破坏。
4) 数据可控(data control)。得到授权的实体可以控制其授权范围内的信息流向及行为方式。
5) 数据可用(data availability)。得到授权的实体在有效的时间内能够访问和使用其所要求的数据。
6) 身份鉴别(peer-entity authentication)。确保一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重演。
7) 数据鉴别(data origin authentication)。确保接受到的数据出自所要求的来源。
8) 防抵赖(no repudiation)。避免在一次通信中涉及到的那些实体之一不承认参加了该通信的全部或一部分。
9) 审计与监测(security audit , monitor and detection)。在一定范围内,能够对已经或者可能出现的网络安全问题提供调查的依据和手段。
即下列各项要求得到安全保护:
1) 信息与数据(包括软件,以及与安全措施有关的被动数据,例如口令)
2) 通信和数据处理服务
3) 设备与设施
1.2 网络信息安全需求的层次
在计算机网络信息系统中,安全的需求来自不同的层次:
1) 法律/行政手段的保障。需要满足:有法可依、有章可循。
2) 物理安全需求。需要满足:网络环境的规范建设;网络设备的安全设计与防护;网络媒体的安全管理。
3) 网络接入安全需求。需要满足:内外网安全隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的保密与鉴别。
4) 内部网络安全需求。需要满足:内外网用户的访问控制;网内节点间的访问控制;网内的安全审计;内部网的备份与恢复。
5) 节点安全需求。需要满足:网内节点(主机/服务器)的访问控制;操作系统的访问控制和安全审计;数据库及终端信息资源的访问控制和安全审计;可靠健壮的系统运行平台;系统配置及数据的备份与恢复。
6) 业务信息安全需求。需要满足:业务资源的访问控制;业务流的完整性保护;业务数据的保密与鉴别;业务实体的身份鉴别;业务交往的防抵赖;业务现场的备份与恢复。
1.3 网络信息的安全威胁
在网络应用系统中,信息安全威胁的形式包括:
1) 对通信或其他资源的破坏。
2) 对信息的讹用或篡改。
3) 信息或其他资源的被窃、删除或丢失。
4) 信息的泄露。
5) 服务的中断。
下面简要列举在数据处理与数据通信环境中特别关心的几种攻击。
1) 冒充。就是一个实体假装成一个不同的实体。
2) 重演。当一个消息,或部分消息为了产生非授权效果而被重复时例出现重演。
3) 消息篡改。当数所传送的内容被改变而未发觉,并导致一种非授权后果时例出现消息篡改。
4) 服务拒绝。当一个实体不能执行它的正当功能,或它的动作妨碍了别的实体执行它们的正当功能的时候便发生服务拒绝。
5) 内部攻击。当系统的合法用户以非故意或非授权方式进行动作时例出现内部攻击。
6) 外部攻击。外部攻击可以使用的办法如:a.搭线(主动的与被动的);b.截取辐射;c.冒充为系统的授权用户,或冒充为系统的组成部分;d.为鉴别或访问控制机制设置旁路。
7) 陷井门。当系统的实体受到改变致使一个攻击者能对命令,或对预定的事件或事件序列产生非授权的影响时,其结果就称为陷井门。
8) 特洛伊木马。对系统而言的特洛伊木马,是指它不但具有自己的授权功能,而且还有非授权功能。
1.4 网络信息的安全威胁评估与安全技术
系统的安全特性通常会提高系统的造价,并且可能使该系统难于使用。所以,在设计一个安全系统之前,应该明确哪些具体威胁需要保护措施来对付,这叫做安全威胁的评估。
威胁评估大致来说包括:
1) 明确该系统的薄弱环节。
2) 分析利用这些薄弱环节进行威胁的可能性。
3) 评估如果每种威胁都成功所带来的后果。
4) 估计每种攻击的代价。
5) 估算出可能的应付措施的费用。
6) 选取恰当的安全机制(可能要使用价值效益分析)。
技术上要做到完全的安全保护好比要做到完全的物理保护,同样是不可能。所以,目标应该是,使攻击所花的代价足够高,从而把风险降低到可接受的程度。
1.5 网络应用系统的安全管理
网络信息的安全管理包括以下四类活动:
1) 系统安全管理。
2) 安全服务管理。
3) 安全机制管理。
4) 安全管理本身涉及信息的安全。
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:
1) 根据工作的重要程度,确定该系统的安全等级。
2) 根据确定的安全等级,确定安全管理的范围。
3) 制订相应的机房出入管理制度。对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。
4) 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
5) 制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
6) 制订应急措施。要制订系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
2 网站的信息安全体系
2.1 安全策略
安全的整个领域既复杂又广泛。任何一个相当完备的分析都将引出许许多多不同
的细节,使人望而生畏。一个恰当的安全策略应该把注意力集中到最高权力机关
认为须得注意的那些方面。
由于策略是很一般性的,因而这一策略如何与某一具体应用紧密结合,在开始是
完全不清楚的。完成这一结合的最好办法经常是让这一策略经受一个不断精确化
的改进过程,在每个阶段加进从应用中来的更多的细节。
目前,对于新建网络的网络,必须解决网络的安全保密问题,考虑技术难度及经
费等因素,设计时应遵循如下思想:
1) 保证可接受的系统安全性和保密性。
2) 保证网络运行的性能,对网络的协议和传输具有很好的透明性。
3) 易于操作、维护,并便于自动化管理。
4) 便于系统及系统功能的扩展。
5) 有较好的性能价格比。
6) 安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监
督。
2.2 安全需求的保证
2.2.1 数据物理安全保证
1) “数据物理安全保证”是指:为了防范“数据的物理安全威胁”,而对“网络系统物理设备”采取“数据的物理保护措施”。
2) “数据的物理安全威胁”指:
(1) 计算机场地或机房环境的事故(包括火灾)。
(2) 计算机系统物理设备的事故(包括对设备的盗窃或毁坏、电磁信息辐射泄漏、线路截获、电磁干扰、电源失效)。
(3) 计算机系统媒体介质的事故(盗窃、毁坏、非法访问或非法复制)。
3) “网络系统的物理设备”是指:
(1) 机房场地环境
(2) 通信线路和网络设备
(3) 存储媒体
(4) 主机、服务器、终端及各类外设
4) “数据的物理保护措施”指:
(1) 符合规范的计算机场地和机房。
(2) 计算机设备置于专门的屏蔽室中。
(3) 采用光电转换接口和光缆。
(4) 采用低辐射终端设备。
(5) 采用信息扩散干扰设备。
(6) 掌握并运用与计算机安全相关的法律。
(7) 制定并遵循信息安全管理规范。
(8) 实施设备的访问控制机制。
(9) 实施数据加密机制。
5) 以如下方式来提供数据物理安全保证:
(1) 将应用服务器和数据服务器托管在规范建设和维护的机房里。
(2) 制定并遵循《信息安全管理规范》。
(3) 提供数据机密保证(参见第2.2.2条)。
2.2.2 数据机密保证
1) “数据机密保证”是指:“非预期实体”不能获取其不应获取的数据和数据服务。
2) “非预期实体”是指:在数据通信或数据访问中,不应作为参与者的人、计算机设备或计算机代码。
3) 以如下方式来提供数据机密保证:
(1) 采用加密机,使数据以密文传输。
(2) 网站有独立域名。
(3) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系
统)建立权限管理机制,对专门的网络资源定义专门的权限角色。
(4) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系统)建立身份鉴别机制,保障使用网络资源的是合法的实体(人、计算机设备或计算机代码)。
(5) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系统)建立访问控制机制,保障网络资源不被非法访问。
(6) 利用病毒防治技术。
(7) 利用网络安全审计技术和网络安全检测技术。
(8) 制定并遵循《信息安全管理规范》。
2.2.3 数据完整性保证
1) “数据完整性保证”是指:数据没有遭受“非预期行为”所作的修改。
2) “非预期行为”是指:在数据通信或数据访问中,获得数据或数据服务是非法参与者,或合法参与者实施了不合法的行为。
3) 以如下方式来提供数据完整性保证:
(1) 提供数据机密保证(参见第2.2.2条)。
(2) 利用数据校验技术,防止数据在传输过程中被篡改。
(3) 利用数字签名技术和数字时间戳技术,防止对已存档数据的篡改。
(4) 提供审计与监测保证(参见第2.2.9条)。
(5) 制定并遵循《信息安全管理规范》。
2.2.4 数据可控保证
1) “数据可控保证”是指:得到授权的实体可以控制其授权范围内的数据和数据服务。
2) 以如下方式来提供数据可控保证:
a) 在交付业务系统同时,提供建立“业务系统用户模型”的培训。
b) “业务系统用户模型”是指:开展业务时所依赖的关于业务数据的权限管理机制(角色定义表、资源权限定义表、角色资源权限矩阵)、身份鉴别机制(用户识别定义表)和访问控制机制(用户角色矩阵、用户资源权限矩阵)。
c) 在业务系统用户模型中,用户分布在不同的应用空间中,在不同的应用空间中各类用户可以拥有不同类型的权限。
d) 在业务系统用户模型中,业务数据库分为若干相对独立的部分。
e) 在未得到授权的情况下, 任何实体对业务系统用户模型不具有任何查询和修改能力。
f) 在未得到授权的情况下,任何实体对业务数据不具有任何查询和修改能力。
g) 在未得到授权的情况下,任何实体对业务数据不具有任何复制、备份、恢复、事件处理和安全审计的权利。
2.2.5 数据可用保证
1) “数据可用保证”是指:得到授权的实体在“有效的时间内”能够访问和使用其所要求的数据和数据服务。
2) “有效的时间内”是指:在固定的时间区域内系统失效的次数和每次失效的持续时间被控制在一个固定的阀值内。
3) 以如下方式来提供数据可用保证:
(1) 可靠的硬件/软件选型。
(2) 建立有独立域名的Web站点。
(3) 正确可靠的节点参数配置(主机、服务器、终端及各类外设)。
(4) 正确可靠的平台参数配置(操作系统、数据库管理系统、系统工具)。
(5) 专业的系统安装与维护人员。
(6) 对应用服务器和数据服务器进行双机备份。
(7) 数据中心在业务部门的协作下规范实施事件处理和数据恢复。
(8) 利用病毒防治技术,防止病毒对系统的攻击。
(9) 利用防火墙技术,防止入侵者对系统的攻击。
(10) 利用网络安全审计技术和网络安全检测技术,发现系统异常情况,同时防止
入侵者对系统的攻击。
(11) 制定并遵循《信息安全管理规范》,确保安全审计、数据备份、事件处理和数据恢复能被规范实施。
2.2.6 身份鉴别保证
1) “身份鉴别保证”是指:确保一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重演。
2) 以如下方式来提供身份鉴别保证:
(1) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系统)建立用户识别定义表,检查使用网络资源的实体的合法性。
(2) 利用防火墙技术,实现网络节点的身份鉴别,限制信息往来地址,防止网络地址的假冒。
(3) 业务系统用户模型保障:只有被授权的合法用户才能使用业务系统功能和访问业务数据;任何用户只能访问其授权范围的业务资源。
(4) 利用数字凭证技术来标识各业务部门。
(5) 各业务部门之间进行双向身份鉴别。
(6) 制定并遵循《信息安全管理规范》,确保业务资源只能被授权者访问和使用。
2.2.7 数据鉴别保证
1) “数据鉴别保证”是指:确保接受到的数据出自所要求的来源。
2) 以如下方式来提供数据鉴别保证:
(1) 实现身份鉴别保证(参见2.2.6条)和数据完整性保证(参见2.2.3条)。
(2) 利用数字签名技术来标识数据的来源。
2.2.8 数据防抵赖保证
1) “数据防抵赖保证”是指:避免在一次数据通信或数据访问中涉及到的那些实体之一不承认参加了该数据通信或数据访问的全部或一部分。
2) 以如下方式来提供数据防抵赖保证:
(1) 实现数据鉴别保证(参见2.2.7条)和数据完整性保证(参见2.2.3条)。
(2) 实现审计与监测保证(参见2.2.9条)。
(3) 制定并遵循《信息安全管理规范》。
2.2.9 审计与监测保证
1) “审计与监测保证”是指:主动检查网络系统的运行情况和使用情况,以期考评系统的安全性能和发现系统的异常状态。
2) 以如下方式来提供审计与监测保证:
(1) 实施安全审计:记录网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志,并定期给出安全审计报告。
(2) 利用网络安全检测技术,定期扫描分析网络系统,检查报告系统存在的弱点和漏洞。
(3) 制定并遵循《信息安全管理规范》,确保规范实施安全审计工作。
2.3 网络信息安全管理规范
2.3.1 总则
1) 信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。