信息系统安全解决方案
第三章 信息安全防范体系
信息安全防范不是孤立的事情,从根本上讲,它是一个过程而不是一个产品,“即买即得”的安全是不存在的。
一个强有力的安全防范体系是由策略、组织和技术三部分组成的,就象一个三条腿的凳子,偏重任何一个方面都会造成整体的失衡和失效。本章描述的信息安全防范体系是在信息安全模型的指导下,从策略、组织和技术三方面建立的。
3.1 信息安全模型
随着全球计算机和信息系统的网络化,信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击,而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。
我们所在的信息环境的基本特征是动态和变化,信息业务的不断发展变化、业务竞争环境的变化、信息技术和安全技术(包括攻击技术)的飞速发展;同时我们系统自身也在不断变化,人员的流动、不断更新升级的系统等等。总之,面对这样一个动态的系统、动态的环境,需要用动态的安全模型、方法、技术和解决方案来应对安全问题。
因应这种需求,在上世纪九十年代提出了PDR动态安全模型,即防护、检测和响应,漏洞扫描和入侵检测(IDS)就是这种模型下发展的动态检测技术和产品。而现在,PDR模型发展成为P2DR模型,相对于前者,P2DR更重视管理层面。
P2DR的含义如上图所示,是策略、防护、检测和响应,策略处于中心地位,其他技术手段和措施围绕它来展开。现代信息安全理论认为,一个良好的完整的
WUHAN GOTOP SYSTEMS ENGINEERING CO.,LTD. 第11页
信息系统安全解决方案
动态安全体系,不仅需要恰当的防护(比如:操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(比如:入侵检测、漏洞扫描等),在发现问题时及时进行响应。整个体系要在统一的、一致的安全策略的指导下实施。P2DR形成了一个完备的闭环自适应体系。
P2DR模型的理论体系基于数学模型作为其论述基础――“Time Based Security”基于时间的安全理论。该理论的最基本原理就是认为,信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。
作为一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt。在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间――检测时间Dt;在检测到入侵后,系统会做出应有的响应动作,这也要花费时间――响应时间Rt。
P2DR模型就可以用一些典型的数学公式来表达安全的要求:
公式1: Pt > Dt + Rt
Pt代表系统为了保护安全目标设置各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。
Dt 代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。
Rt 代表从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。
那么,针对于需要保护的安全目标,上述数学公式必须满足——防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前就能够被检测到并及时处理。
公式2: Et = Dt + Rt, 如果 Pt=0
公式的前提是假设防护时间为0。这种假设对Web Server这样的系统可以成立。
Dt 代表从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。
Rt 代表从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常
WUHAN GOTOP SYSTEMS ENGINEERING CO.,LTD. 第12页
信息系统安全解决方案
状态的时间。比如,对Web Server被破坏的页面进行恢复。
那么,Dt与Rt的和就是该安全目标系统的暴露时间Et。针对于需要保护的安全目标,如果Et越小系统就越安全。
通过上面两个公式的描述,实际上给出了安全一个全新的定义: “及时的检测和响应就是安全” “及时的检测和恢复就是安全”。
而且,这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。
我们提出的信息安全全面解决方案以建立在国际标准(BS7799/ISO17799)上的安全服务方法论(PADIMEE)为基准,该方法论通过对客户的技术及业务需求的分析及对客户信息安全的\生命周期\考虑,在七个核心方面体现信息系统安全的持续循环,并将自身业务和PADIMEE周期中的每个环节紧密地结合起来:
? 策略(Policy) ? 评估(Assessment) ? 设计(Design) ? 执行(Implementation) ? 管理(Management)
? 紧急响应(Emergency Response) ? 教育(Education)
WUHAN GOTOP SYSTEMS ENGINEERING CO.,LTD. 第13页
信息系统安全解决方案
图2-1 信息安全的PADIMEE周期
基于以上论述,我们将安全体系从以下三个方面展开:
1、策略框架――体现整个机构的信息安全方针、标准、制度、规范、指南、用户管理、应急计划、物理和环境安全等。
2、组织框架――建立有效的信息安全组织,为组织中的人员赋予明确的角色和职责,并实施全员的安全教育等。
3、技术框架――对于信息安全技术根据其行为特征予以分类、研究、开发和实施。
3.2 策略和组织框架
3.2.1 策略框架
安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总合,是对信息资源使用、管理规则的正式描述,是企业内所有成员都必须遵守的规则。
在我们的信息安全模型中,安全策略处于核心位置。
WUHAN GOTOP SYSTEMS ENGINEERING CO.,LTD. 第14页
信息系统安全解决方案
3.2.1.1 安全策略的内容
安全策略属于网络信息安全的上层建筑领域,是网络信息安全的灵魂和核心。它为保证信息基础的安全性提供了一个框架,提供了管理网络安全性的方法,规定了各部门要遵守的规范及应负的责任,使得信息网络系统的安全有切实的依据。
安全策略应包含的内容有:
(1)保护的内容和目标:安全策略中要包含信息网络系统中要保护的所有资产(包括硬件及软件)以及每件资产的重要性和其要达到的安全程度,如可以对系统中所有的主机根据其重要性和功能范围进行分类,涉及到核心机密信息或提供关键服务的为A类;含有敏感信息或提供重要服务的为B类;能够访问A类和B类主机且不含敏感信息的为C类,不能够访问A类和B类主机;不含敏感信息且可以从外部访问的为D类;可以从外部访问但不能访问A类、B类、C类和D类主机的为E类。这样的划分,既体现了各类资产的重要程度,又规定了它们的功能范围。
(2)实施保护的方法:明确对信息网络系统中的各类资产进行保护所采用的具体的方法,如对于实体安全可以采用隔离、防辐射、防自然灾害的措施实现,对于数据信息可以采用授权访问技术来实现,对于网络传输可以采用安全隧道技术来实现,等等。另外还要明确采用的具体方法,如使用什么样的算法和产品。
(3)明确的责任:维护信息与网络系统的安全不仅仅是安全管理员的事,一个人或几个人的能力毕竟是有限的,只有调动大家的积极性,集体参与才能真正有效地保护系统的安全。要想有效地组织大家协同工作,就必须明确每个人在安全保护工程中的责任和义务。
(4)破坏的响应:对检测到的入侵和破坏活动,相关责任人员采取预定的行动,尽快恢复系统的正常状态。
(5)事故的处理:为了确保任务的落实,提高大家的安全意识和警惕性,必须规定相关的处罚条款,并组建监督、管理机构,以保证各项条款的严格执行。
3.2.1.2 安全策略的制定
安全策略的制定过程是一个循序渐进、不断完善的过程,因为不可能指定一
WUHAN GOTOP SYSTEMS ENGINEERING CO.,LTD. 第15页