总述:系统安全性单独拿出来说是因为安全属性在系统上占有的比重比较大,主要体现在安全事件对信誉方面的影响非常巨大。系统安全性方面一旦发生事故,基本上都是负面的。系统安全设计的资金支持是根据安全事故造成的影响进行评估的,所以这部分成本属于降低损失的。
1、信息系统安全体系
答:信息安全的威胁主要体现在系统稳定性和可靠性面临的额破坏行为、大量信息设备的使用维护管理问题、知识产权和内部机密材料的处理。系统安全主要包括实体安全、信息安全、运行安全、人员安全几个部分。系统安全体系结构由物理环境、操作系统、网络、应用、管理的安全性构成。
根据国标的标准,计算机系统安全保护能力由弱到强依次是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。用户自主保护级适合普通内联网用户。系统审计保护级适用于内联网或国际网进行商务活动,需要保密的非重要单位。安全标记保护级使用与地方国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。结构化保护级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构、国防建设等部门。访问验证保护级适用国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
系统安全保障体系应该包含统一的身份认证体系、统一的安全管理体系、规范的安全保密体系、完善的网络边界防护体系。
2、数据安全与保密
答:数据加密技术主要有对称加密和非对称加密,对称加密的常用算法有IDEA、DES,主要处理大量数据的加密解密,速度快但是加密和解密的密钥是一样的;非对称加密的常用算法有RSA,主要处理少量数据的加密解密,速度慢但加密密钥和解密密钥是不一样的。
认证有称为鉴别或确认,主要是证实某事物是否名实相符或有效的一个过程。常用的认证方法有数字签名、杂凑算法、数字证书、身份认证等。数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。杂凑算法是主要的数字签名算法,利用散列函数对数据进行加密,常见的算法有消息摘要算法(MD5)、安全散列算法(SHA)。数字证书也称为数字标识,有认证中心(CA)签发的对用户公钥的认证,遵循X.509体系标准,内含一系列关键的认证信息。身份认证的常用方法有口令认证、动态口令认证、生物特征识别。
密钥管理是数据安全和加密的关键问题。密钥管理是处理密钥自产生到销毁整个过程的有关问题,包括系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销、销毁等。目前,密钥管理体制主要有三种,分别是适用于封闭网以传统密钥管理中心为代表的KMI(密钥管理基础设施)机制、适用于开放网的PKI(公钥基础设施)机制、适用于规模化专用网的SPK(种子化公钥)机制。
3、通信与网络安全技术
答:网络安全是系统安全的核心。网络安全的基础是安全的网络体系结构和网络通信协议。
防火墙是一种隔离控制技术,在不同的网域之间设置屏障,阻止对信息资源的非法访问,也可组织重要信息冲内部网络非法输出。防火墙是在不同网域之间执行访问控制策略的一个或一组系统,是一类防范措施的总称。防火墙具有访问控制、内容控制、全面日志、集中管理、自身安全和可用性等功能,还附带流量控制、网络地址转换、VPN等功能。总体上,防火墙分为网络防火墙和应用防火墙。网络防火墙是防止整个网络出现外来非法入侵的。应用防火墙是从应用程序进行接入控制,常使用应用网关或代理服务器来区分各种应用。在实际应用中,根据不同应用,防火墙一般分为包过滤型防火墙、电路级网关型防火墙、应用网关型防火墙、代理服务型防火墙、状态检测型防火墙、自适应代理型防火墙。防火墙有多种体系结构,如宿主机模式、屏蔽主机模式、屏蔽子网模式等,可以有多种实现模式。防火墙本身也有一些局限性,如为了安全牺牲速度和息率、被动式防御、不能防御来自内部的攻击、更不上网络病毒或攻击的技术更新速度等。
虚拟专用网(VPN)通过一个私有的通道在公共网络上创建一个安全的私有连接,本质上VPN是一个虚信道,连接两个专用网,以可靠的加密技术保证安全性。VPN的安全性由隧道技术、加解密技术、密钥管理技术、身份认证技术、访问控制技术来保证。隧道技术是类似于点对点连接技术,通过多层协议建立隧道。PPP拨号会话过程分为创建PPP链路、用户验证、PPP回叫控制、调用网络层协议。在用户验证阶段,客户PC会将用户的身份发送给接入服务器(NAS),这个阶段会使用一种安全认证方式,避免第三方窃取或冒充远程客户接管与客户端的连接。大多数PPP方案提供有限的认证方式,包括口令认证协议(PAP)、挑战握手认证协议(CHAP)。
安全协议在网络安全中起到主要的核心作用,包括IPSec、SSL、PGP、HTTPS等。SSL是一个传输层的安全协议,用于互联网上传送机密文件。SSL协议有握手协议、记录协议、警报协议组成。SSL实现通信对话的主要过程有:接通阶段、密码交换阶段、会谈密码阶段、检验阶段、客户认证阶段、结束阶段。HTTPS是一个统一的资源定位符(URI)语法体系,用于安全的HTTP数据传输,语法类同HTTP体系。PGP是一个基于RSA的邮件加密软件,保护邮件以免被非授权者阅读,还可以对邮件附加数字签名。PGP可以用于文件存储的加密,支持两种证书格式,分别是PGP证书和X.509格式。IPSec是一个工业标准网络安全协议,保护TCP/IP通信免遭窃听和篡改,可以抵御网络攻击保持易用性。IPSec要保护IP数据包安全并为抵御网络攻击提供保护措施, 需要结合密码保护服务、安全协议组、动态密钥管理三者来实现。IPSec可以显著减少或防范Sniffer、数据篡改、身份欺骗、中间人攻击、拒绝服务攻击。
单点登录(SSO)技术通过用户一次性认证登录即可获得需要访问系统和应用软件的授权,在此条件下,管理员不需要修改或干涉用户登录就可以实现安全控制。单点登录系统采用基于数字证书的加密和数字签名技术,基于统一策略的用户身份认证和授权控制功能,对用户实现集中、统一的管理和身份认证,作为各应用系统的统一登录入口。单点登录可以由Kerberos机制和外壳脚本机制实现,也可以采用通用安全服务API和分布式环境计算环境实现。
4、病毒防治与防闯入
答:典型的反病毒技术有特征码技术、校验和技术、启发式扫描技术、虚拟机技术、行为监控技术、主动防御技术等。本地化病毒防范策略可以参考信息安全来进行处理。基于网络系统的病毒防护体系需要基于以下策略:全方位多层次防护、网关防毒、有效管理、服务。
入侵检测技术是一种主动保护计算机免受攻击的网络安全技术。入侵检测系统(IDS)是一种可以应用于不同网络环境和不同系统的安全策略,在不同应用环境中具体实现不同。IDS的系统结构至少包含数据提取、入侵分析、响应处理三个部分。IDS可以按照数据源和检测方法两种类型进行分类,基于数据源分为基于主机的IDS和基于网络的IDS,基于检测方法分为异常检测和误用检测。
入侵防护系统IPS是一种主动的、积极的入侵防范和组织系统,部署在网络进出口处,检测到攻击后会自动丢弃攻击包或将攻击源阻断。IPS是基于过滤器机制,技术特征为嵌入式运行、深入分析和控制、入侵特征库、高效处理能力。
网络攻击手段在不同的网络分层会有不同的技术手段。数据链路层的攻击主要有MAC地址欺骗和ARP地址欺骗。网络层的攻击主要有IP地址欺骗、泪滴攻击、ICMP攻击、RIP路由欺骗。传输层的工具主要有TCP初始化序号预测、TCP端口扫描、Land攻击、TCP会话劫持、SYN flooding、RST和FIN攻击。应用层的攻击主要有电子邮件攻击、DNS欺骗、缓冲区溢出攻击。
特洛伊木马是附着在应用程序中或者单独存在的一些恶意程序,可利用网络远程控制安装有服务端程序的计算机。木马程序一般利用TCP/IP协议,采用C/S架构,客户端处于控制者的计算机上运行,服务端在被攻击的计算机上运行。
拒绝服务攻击(DoS)广义上可以是任何导致服务器不能正常提供服务的攻击,狭义上讲是故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源使目标计算机或网络无法提供正常服务。DDoS(分布式拒绝服务)通过大量僵尸机向被攻击计算机发送大量看似合法的网络包,造成网络阻塞或服务器资源耗尽。导致合法用户的网络包无法正常访问服务器的网络资源。DDoS是由黑客集中控制发动的一组DoS攻击的集合。
端口扫描可以检测系统和网络存在的端口和服务,然后做出有针对性的措施。特定的服务有时会关联特定的端口,透过开放的端口可以知道目标计算机上可能存在什么样的服务。漏洞扫描技术是建立在端口扫描之上,第一种方法是通过目标端口和端口上网络服务与漏洞库进行匹配,第二种方法是模拟黑客的攻击手法对目标计算机系统进行攻击性的安全漏洞扫描。
5、系统访问控制技术
答:访问控制技术是系统安全防范和保护的主要核心策略,规定主体对客体的访问限制,并在身份识别的基础上根据身份对提出资源访问的请求进行控制。访问控制包括主体、客体、控制策略三个要素。访问控制策略包括登录访问控制、操作权限控制、目录安全控制、属性安全控制、服务器安全控制等方面的内容。
访问控制模型是一种从访问控制角度描述系统安全,建立安全模型的方法。BLP模型是第一个正式的安全模型,基于强制访问控制(MAC)系统,是典型的信息保密性多级安全模型,主要应用于军事系统中。BLP模型是上读和下写的。Lattice模型通过划分安全边界对BLP模型进行扩充,将用户和资源进行分类并允许它们之间交换信息,是多边安全体系的基础。Lattice模型是实现安全分级系统的基础,适用于对信息资源分类的系统。Biba访问控制模型对数据提供了分级别的完整性保证,基于MAC系统,基于下读和上写规则保障数据完整性与保密性。
常见的访问控制机制主要有自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制、基于对象的访问控制等。目前我国大多数信息系统的访问控制模块是借助自主访问控制表实现的,但这种方法不能控制间接访问。基于角色的访问控制在大型DBMS的权限管理中得到普遍应用。基于任务的访问控制适用于工作流、分布式处理、多点访问控制的信息处理和事务管理系统,代表性应用是安全工作流管理系统。
6、容灾和业务持续
答:容灾系统就是异地灾难备份系统,灾难备份是对数据、数据处理系统、网络系统、基础设施、技术支持能力、运行管理能力进行备份的过程。灾难恢复有两个关键指标,恢复点目标(RPO)和恢复时间目标(RTO)。RPO是容灾系统可以恢复到灾难发生前的时间点,可衡量企业在灾难发生后丢失数据的指标;RTO是灾难发生后,系统从业务停顿到业务正常运营之间的时间,可描述企业容忍的恢复时间。以国标为准,灾难恢复等级分为基本支持、备用场地支持、电子传输和部分设备支持、电子传输及完整设备支持、实时数据传输及完整设备支持、数据零丢失和远程集群支持。容灾系统根据回复效果来分,可分为数据容灾和应用容灾。
灾难恢复是一个持续改进的周期性过程,包括灾难恢复需求确定、灾难恢复策略的制定和实现、灾难恢复预案制定、落实和管理。灾难恢复需求确定的主要任务有风险分析、业务影响评估、确定灾难恢复目标。支持灾难恢复需要的资源分别是数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术支持能力、运行维护管理能力、灾难恢复预案,要平衡恢复需要的资源和资源使用成本,根据不同的业务采用不同的恢复策略。灾难恢复策略包括灾难资源的获取方式和灾难恢复等级各要素的具体要求。灾难恢复策略的实现包括灾难备份系统技术方案的实现、灾难备份中心的选择和建设、技术支持能力的实现、运行维护管理能力的实现、灾难恢复预案的实现。灾难恢复预案的制定过程有起草、评审、测试、修订、审核和批准。
业务持续性规划(BCP)是在非计划的业务中断情况下,使业务继续恢复其关键功能的一系列预定义过程。大致上,企业推动BCP需要经过8个主要阶段,分别是项目启动、风险评估与削减、业务影响分析、业务持续性策略、开发BCP、人员培训与训练、测试与演练、BCP的持续维护、变更管理。BCP本身也可以看做是一个流程,企业范围内BCP流程主体框架主要由灾难恢复规划(DRP)、业务恢复规划(BRP)、危机管理规划(CMP)、持续可用性(CA)组成。
7、安全管理措施
答:安全管理体系是企业在整体或特定范围内建立的系统安全方针、目标、实现这些目标采用的方法和手段等组成的体系,是安全管理活动的直接结果,可表示为策略、原则、目标、方法、程序、资源等总体集合。密码管理、网络管理、设备管理、人员管理是安全管理体系采用的手段。
安全审计是审计人员根据有关法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下有关活动或行为进行系统的、独立的检查验证,并进行评价。安全审计对主体访问和客体使用情况进行记录和审查,保证安全规则被正确执行并帮助分析安全事故产生原因。安全审计是落实系统安全策略的重要机制和手段,通过安全审计,识别与防止系统内的攻击行为、追查系统内的泄密行为。安全审计的四个基本要素是控制目标、安全漏洞、控制措施、控制测试。根据ISO提出的CC(通用准则),安全审计分为自动响应、数据生成、分析、浏览、事件选择、事件存储六个部分。
在实际应用中,造成个人私有信息泄露的途径有以下几个方面:利用操作系统和应用软件的漏洞、网络系统设置、程序安全性、拦截数据包、假冒正常商业网站、用户自身因素等。