前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全審計服務(wù)規(guī)范主題范文,僅供參考,歡迎閱讀并收藏。
根據(jù)相關(guān)統(tǒng)計機構(gòu)提供的數(shù)據(jù),目前有60%以上的網(wǎng)絡(luò)人侵和破壞是來自網(wǎng)絡(luò)內(nèi)部的,因為網(wǎng)絡(luò)內(nèi)部的人員對于自己的網(wǎng)絡(luò)更加熟悉,而且有一定的授權(quán),掌握一定的密碼,又位于防火墻的后端,進行入侵或破壞更加得心應(yīng)手。一個內(nèi)部人員不必掌握很多黑客技術(shù)就能夠?qū)ο到y(tǒng)造成重大的損失。因此信息安全審計的功能越發(fā)受到重視。
對于一個信息系統(tǒng)而言,信息安全審計究竟要實現(xiàn)怎樣的功能,要實現(xiàn)到怎樣的程度,目前大多數(shù)的單位并未真正理解,不少單位對于信息安全審計的認(rèn)識還停留在日志記錄的層次。一些信息安全測評認(rèn)證標(biāo)準(zhǔn)可以為我們提供一定的借鑒。
1998年,國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)發(fā)表了《信息技術(shù)安全性評估通用準(zhǔn)則2.0版》(IS0/IEC15408),簡稱CC準(zhǔn)則或CC標(biāo)準(zhǔn)。CC準(zhǔn)則是信息技術(shù)安全性通用評估準(zhǔn)則,用來評估信息系統(tǒng)或者信息產(chǎn)品的安全性。在CC準(zhǔn)則中,對網(wǎng)絡(luò)安全審計定義了一套完整的功能,如:安全審計自動響應(yīng)、安全審計事件生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。
TCSEC(TrustedComputerSystemEvaluationCriteria)準(zhǔn)則俗稱橙皮書,是美國國防部的一個準(zhǔn)則,用于評估自動信息數(shù)據(jù)處理系統(tǒng)產(chǎn)品的安全措施的有效性。它定義了一些基本的安全需求,如:policy、accountability、assurance等。accountability提出了“安全審計”的基本要求,包括:審計信息必須被有選擇地保留和保護,與安全有關(guān)的活動能夠被追溯到負(fù)責(zé)方,系統(tǒng)應(yīng)能夠選擇記錄與安全有關(guān)的信息,以便將審計的開銷降到最小,并可以進行有效的分析。
計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則中,定義了五個級別:第一級:用戶自主保護級;第二級:系統(tǒng)審計保護級;第三級:安全標(biāo)記保護級;第四級:結(jié)構(gòu)化保護級;第五級:訪問驗證保護級。從第二個級別開始就需要基本的審計功能,越高的級別對于審計的要求也越高。第二級別的審計要求就包括:計算機信息系統(tǒng)可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄,并能阻止非授權(quán)的用戶對它訪問或破壞。
具體來說,計算機信息系統(tǒng)可信計算基應(yīng)能記錄下述事件:使用身份鑒別機制;將客體引人用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統(tǒng)管理員或系統(tǒng)安全管理員實施的動作,以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件,審計記錄包含請求的來源(例如:終端標(biāo)識符);對于客體引人用戶地址空間的事件及客體刪除事件,審計記錄包含客體名。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口,可由授權(quán)主體調(diào)用。
從上面可以看出,很多的國際規(guī)范以及國內(nèi)的安全規(guī)定中都將安全審計放在重要的位置,而安全審計并不像許多用戶所理解的只是“日志記錄”的功能。目前絕大部分的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)管系統(tǒng)都有不同程度的日志記錄功能,但是實際上這些日志并不能保障系統(tǒng)的安全,也無法滿足事件的偵察和取證應(yīng)用。各類測評認(rèn)證標(biāo)準(zhǔn)為我們實現(xiàn)完整的信息安全審計提供了指導(dǎo),但是如何建設(shè)審計系統(tǒng)則需要在這些原則的指導(dǎo)下,具體問題具體分析,根據(jù)系統(tǒng)狀況、自身安全需求以及當(dāng)前技術(shù)的支持程度來定制審計系統(tǒng)。
2重要領(lǐng)域信息系統(tǒng)面臨的安全挑戰(zhàn)
隨著信息技術(shù)的迅速發(fā)展,許多單位和部門對信息系統(tǒng)的依賴性日益嚴(yán)重,尤其是一些重要領(lǐng)域(如電子政務(wù)、金融、證券等)的信息系統(tǒng),一旦出現(xiàn)問題將帶來巨大的損失。重要領(lǐng)域的信息系統(tǒng)將面臨來自外部或內(nèi)部的各種攻擊,包括基于偵聽、截獲、竊取、破譯、業(yè)務(wù)流量分析、電磁信息提取等技術(shù)的被動攻擊和基于修改、偽造、破壞、冒充、病毒擴散等技術(shù)的主動攻擊。
信息系統(tǒng)面臨的安全威脅來自多個方面。首先,目前大部分信息系統(tǒng)選用的系統(tǒng)本身存在著安全隱患,如網(wǎng)絡(luò)硬件設(shè)備(服務(wù)器、網(wǎng)絡(luò)設(shè)備等)和操作平臺(操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、通用軟件系統(tǒng)等)存在弱點和漏洞。應(yīng)用軟件系統(tǒng)的脆弱性、應(yīng)用系統(tǒng)的BUG、代碼錯誤、不安全代碼的執(zhí)行模式、不安全設(shè)計、網(wǎng)絡(luò)的脆弱性、網(wǎng)絡(luò)協(xié)議的開放性(TCP/IP協(xié)議棧)、系統(tǒng)的相互依賴性都會導(dǎo)致網(wǎng)絡(luò)的安全風(fēng)險。此外,安全設(shè)計本身的不完備性、網(wǎng)絡(luò)安全管理人員對系統(tǒng)漏洞的置若罔聞都會使攻擊行為得以成功。因此,信息系統(tǒng)的安全方案中要綜合考慮網(wǎng)絡(luò)系統(tǒng)的安全配置、正常運行、安全操作、應(yīng)急響應(yīng)、安全審計等問題。
3重要領(lǐng)域信息系統(tǒng)中的信息安全審計需求
在重要領(lǐng)域信息系統(tǒng)的眾多安全問題中,內(nèi)部的安全違規(guī)問題尤其值得重視。內(nèi)部人員違規(guī)一般有兩種形式:一種是內(nèi)部人員的違規(guī)操作,造成的后果是影響系統(tǒng)的安全;另一種是有目的地竊取資源。
最近幾年網(wǎng)絡(luò)安全領(lǐng)域主要強調(diào)的是如何防范外部人侵,如怎么建網(wǎng)關(guān)、建防火墻、實現(xiàn)內(nèi)外網(wǎng)的物理隔離等,但是堡壘最容易從內(nèi)部攻破,信息最容易從內(nèi)部丟失。解決內(nèi)部人員違規(guī)的一個重要手段是對重要領(lǐng)域信息系統(tǒng)實行高強度的安全審計。所謂的強審計不是簡單的“日志記錄“,而是增強的、全方位、多層次、分布式的安全審計,覆蓋網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、各類應(yīng)用系統(tǒng)(如\^1)、£-11^1、]\(^£3^(;11&1^、081^)等,對各種未授權(quán)或非法的活動實時報警、阻斷等。
安全強審計與一般的安全審計相比在以下幾個方面得到增強:信息收集能力;信息分析能力;適應(yīng)性;防繞過特性;信息保護特性;審計深度和針對性;規(guī)范化、標(biāo)準(zhǔn)化和開放性。
在重要領(lǐng)域信息系統(tǒng)中,信息安全審計的重點如下:
(1)網(wǎng)絡(luò)通信系統(tǒng)
重要領(lǐng)域信息系統(tǒng)的普遍特點是網(wǎng)絡(luò)流量一般不是很高,但是網(wǎng)上傳輸?shù)目赡苁菣C密或敏感的信息,因此除了需要具備一般企業(yè)內(nèi)部網(wǎng)所需要的人侵檢測功能之外,還需要具備以下審計功能,以發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)上的違規(guī)行為:對網(wǎng)絡(luò)流量中典型協(xié)議分析、識別、判斷和記錄;對了61賊、1111?、£-11^1、1^?、網(wǎng)上聊天、文件共享操作的還原和記錄;對網(wǎng)絡(luò)流量進行監(jiān)測以及對異常流量的識別和報警;對網(wǎng)絡(luò)設(shè)備運行進行持續(xù)的監(jiān)測。
⑵重要服務(wù)器
重要領(lǐng)域信息系統(tǒng)中,重要服務(wù)器是信息的集中點,需要對其進行增強的審計,以保護信息資源,對以下事件的審計是最基礎(chǔ)的安全審計功能:服務(wù)器系統(tǒng)啟動、運行情況;管理員登錄、操作情況;系統(tǒng)配置更改(如注冊表、配置文件、用戶系統(tǒng)等);病毒或蠕蟲感染情況;資源消耗情況;硬盤、CPU、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進程等;操作系統(tǒng)安全日志;系統(tǒng)內(nèi)部事件;對重要文件的訪問。
(3)應(yīng)用平臺
僅僅對服務(wù)器系統(tǒng)層次的審計還是不夠的,因為目前大量重要領(lǐng)域信息系統(tǒng)的應(yīng)用平臺在權(quán)限控制方面還有一定的缺陷,因此存在通過應(yīng)用平臺進行違規(guī)操作的可能性,例如:直接操作數(shù)據(jù)庫的行為。因此,應(yīng)用平臺層次的安全審計也是必須的,審計內(nèi)容包括:重要應(yīng)用平臺進程的運行;Web服務(wù)器、Mail服務(wù)器、Lotus、Exchange服務(wù)器、中間件系統(tǒng);各個平臺的健康狀況;重要數(shù)據(jù)庫的操作;數(shù)據(jù)庫的進程;繞過應(yīng)用軟件直接操作數(shù)據(jù)庫的違規(guī)訪問行為;數(shù)據(jù)庫配置的更改操作;數(shù)據(jù)備份操作和其他維護管理操作;對重要數(shù)據(jù)的訪問和更改操作。
(4)重要應(yīng)用系統(tǒng)
由于不少重要領(lǐng)域信息系統(tǒng)中已經(jīng)建立了一系列的應(yīng)用業(yè)務(wù)系統(tǒng),因此對于一般的操作人員來說,業(yè)務(wù)系統(tǒng)是最主要的人機界面,對于有高安全需求的重要領(lǐng)域信息系統(tǒng)來說,還需要加強應(yīng)用系統(tǒng)層次的審計。如對于電子政務(wù)系統(tǒng),針對以下應(yīng)用系統(tǒng)的審計是最基本的:辦公自動化系統(tǒng)、公文流轉(zhuǎn)和操作、網(wǎng)站系統(tǒng)、相關(guān)政務(wù)業(yè)務(wù)系統(tǒng)。
⑶重要網(wǎng)絡(luò)區(qū)域的客戶機
在一般的信息系統(tǒng)中,對客戶機的審計通常不是必要的。但是對于一些安全級別較高的信息系統(tǒng)的重要網(wǎng)絡(luò)區(qū)域,針對客戶機的審計還是必要的,主要審計以下內(nèi)容:病毒感染情況;通過網(wǎng)絡(luò)進行的文件共享操作;文件拷貝、打印操作;通過Modem擅自連接外網(wǎng)的情況;非業(yè)務(wù)異常軟件的安裝和運行。
重要領(lǐng)域信息系統(tǒng)中的安全審計系統(tǒng)建設(shè)的要點
在重要領(lǐng)域信息系統(tǒng)中,一個較為全面的審計系統(tǒng)需要關(guān)注以下幾點:
(1)數(shù)據(jù)的來源
審計系統(tǒng)如何獲取所需的數(shù)據(jù)通常是最關(guān)鍵的,數(shù)據(jù)一般來源于以下幾種方式:來自網(wǎng)絡(luò)數(shù)據(jù)截獲,如各類網(wǎng)絡(luò)監(jiān)聽型的人侵檢測和審計系統(tǒng);來自系統(tǒng)、網(wǎng)絡(luò)、防火墻、中間件等系統(tǒng)的日志(通常通過文件、syslog、SNMP、OPSE等機制獲取日志);通過嵌入模塊,主動收集系統(tǒng)內(nèi)部事件;通過網(wǎng)絡(luò)主動訪問,獲取信息(如掃描,HTTP訪問等);來自應(yīng)用系統(tǒng)、安全系統(tǒng)的審計接口。
在重要領(lǐng)域信息系統(tǒng)中的安全審計系統(tǒng)的建設(shè)中,尤其需要考慮強制獲取數(shù)據(jù)的機制,即:有數(shù)據(jù)源的,通過審計系統(tǒng)來獲取;無數(shù)據(jù)源的,要設(shè)法生成數(shù)據(jù),進行審計。這也是強審計和一般的日志收集系統(tǒng)的區(qū)別之一。目前,各類wrapper技術(shù)是強制生成審計數(shù)據(jù)源的有效手段之一。
另外,在數(shù)據(jù)源方面,還需要關(guān)注所收集數(shù)據(jù)的性質(zhì),有些數(shù)據(jù)是已經(jīng)經(jīng)過分析和判斷的數(shù)據(jù),有些數(shù)據(jù)是未分析的原始數(shù)據(jù),不同的數(shù)據(jù)要采用不同的處理機制。此外在很多系統(tǒng)中可能需要根據(jù)實際情況定制數(shù)據(jù)轉(zhuǎn)化的功能。
(2)審計系統(tǒng)的分析機制
審計系統(tǒng)需具備評判異常、違規(guī)的能力,一個沒有分析機制的審計系統(tǒng)雖然理論上可以獲取和記錄所有的信息,但實際上在需要多層次審計的環(huán)境中是不能發(fā)揮作用的。審計系統(tǒng)的分析機制通常包括:實時分析,提供或獲取數(shù)據(jù)的設(shè)備/軟件應(yīng)具備預(yù)分析能力,并能夠進行第一道篩選;事后分析,維護審計數(shù)據(jù)的機構(gòu)對審計記錄的事后分析,事后分析通常包括統(tǒng)計分析和數(shù)據(jù)挖掘兩種技術(shù)。對于重要領(lǐng)域的信息系統(tǒng)來說,兩方面的分析機制都是需要的,一般情況下審計系統(tǒng)都應(yīng)具備實時分析能力,如果條件允許,也應(yīng)具備事后分析的能力。
⑶與原有系統(tǒng)的關(guān)系
通常一般企業(yè)構(gòu)建安全審計系統(tǒng)時,僅僅采用一些入侵檢測系統(tǒng)就滿足需求了,與原有系統(tǒng)關(guān)系不大。但是在重要領(lǐng)域信息系統(tǒng)中,需要實現(xiàn)多層次多角度的安全強審計,因此審計系統(tǒng)必然和原有的系統(tǒng)有一定的關(guān)系。通常,審計系統(tǒng)與原有系統(tǒng)的關(guān)系包括:完全透明型,原有系統(tǒng)根本察覺不到審計系統(tǒng)的存在;松散嵌入型,基本上不改變原有系統(tǒng);緊密嵌人型,需要原有系統(tǒng)的平臺層和部分應(yīng)用做出較大改變;一體化設(shè)計,系統(tǒng)設(shè)計之初就考慮審計功能,所有模塊都有與審計系統(tǒng)的接口。
如何在實現(xiàn)審計的同時確保原有系統(tǒng)的正常運轉(zhuǎn)是審計系統(tǒng)構(gòu)建的關(guān)鍵,要盡量做到最小修改和影響系統(tǒng)性能最小。
(4)如何保證審計功能不被繞過
有了安全審計的措施,必然會有各類繞過審計系統(tǒng)的手段。而在重要領(lǐng)域的信息系統(tǒng)中,審計系統(tǒng)如果被輕易繞過將導(dǎo)致嚴(yán)重的后果。所以在建設(shè)審計系統(tǒng)時,需要充分考慮審計系統(tǒng)的防繞特性。通常可以采用以下手段增強審計系統(tǒng)的防繞性:通過技術(shù)手段保證的強制審計,如網(wǎng)絡(luò)監(jiān)聽和wrapper機制;通過不同審計數(shù)據(jù)的相互印證,發(fā)現(xiàn)繞過審計系統(tǒng)的行為;通過對審計記錄的一致性檢查,發(fā)現(xiàn)繞過審計系統(tǒng)的行為;采用相應(yīng)的管理手段,從多角度保證審計措施的有力貫徹。
(5)對審計數(shù)據(jù)的有效利用
如果光建立一個審計系統(tǒng),而缺乏對審計數(shù)據(jù)的深度利用將無法發(fā)揮審計系統(tǒng)的作用??梢钥紤]以下的措施:根據(jù)需求,進行二次開發(fā),對審計數(shù)據(jù)進行深人的再分析,可以充分利用成熟的分析系統(tǒng),實現(xiàn)關(guān)聯(lián)分析、異常點分析、宏觀決策支持等高層審計功能;對審計系統(tǒng)中安全事件建立相應(yīng)的處理流程,并加強對事件處理的審計與評估;根據(jù)審計數(shù)據(jù),對不同的安全部件建立有效的響應(yīng)與聯(lián)動措施;針對審計記錄,有目的地進行應(yīng)急處理以及預(yù)案和演習(xí);建立相應(yīng)的管理機制,實現(xiàn)技術(shù)和管理的有機結(jié)合。
關(guān)鍵詞:山區(qū)道路;安全審計;內(nèi)容;步驟
道路安全審計(Road Safely Audits,簡稱RSA)是從預(yù)防交通事故、降低事故產(chǎn)生的可能性和嚴(yán)重性人手,對道路項目建設(shè)的全過程,即規(guī)劃、設(shè)計、施工和服務(wù)期進行全方位的安全審核,從而揭示道路發(fā)生事故的潛在危險因素及安全性能,是國際上近期興起的以預(yù)防交通事故和提高道路交通安全為目的的一項新技術(shù)手段。其目標(biāo)是:確定項目潛在的安全隱患;確保考慮了合適的安全對策;使安全隱患得以消除或以較低的代價降低其負(fù)面影響,避免道路成為事故多發(fā)路段;保障道路項目在規(guī)劃、設(shè)計、施工和運營各階段都考慮了使用者的安全需求,從而保證現(xiàn)已運營或?qū)⒔ㄔO(shè)的道路項目能為使用者提供最高實用標(biāo)準(zhǔn)的交通安全服務(wù)。
1 道路安全審計的起源與發(fā)展
1991年,英國版的《公路安全審計指南》問世,這標(biāo)志著安全審計有了系統(tǒng)的體系。從1991年4月起,安全審計成為英國全境主干道、高速公路建設(shè)與養(yǎng)護工程項目必須進行的程序,使英國成為安全審計的重要發(fā)起與發(fā)展國。而我國則是在20世紀(jì)90年代中期開始發(fā)展安全審計,主要有兩個渠道:①以高等院校為主的學(xué)者通過國際學(xué)術(shù)交流與檢索國外文獻,從理論體系的角度引入道路安全審計的理論;②通過世界銀行貸款項目的配套科研課題。在工程領(lǐng)域開展道路安全審計的實踐。
目前,在澳大利亞、丹麥、英國、冰島、新西蘭和挪威等國已定期地執(zhí)行道路安全審計,德國、芬蘭、法國、意大利、加拿大、荷蘭、葡萄牙、泰國以及美國正處于實驗或試行階段,其他許多國家也在就道路安全審計的引入進行檢驗,比如希臘等國家。國外研究表明,道路安全審計可有效地預(yù)防交通事故,降低交通事故數(shù)量及其嚴(yán)重度,減少道路開通后改建完善和運營管理費用,提升交通安全文化,其投資回報是15~40倍。
道路安全審計在我們道路建設(shè)中的重要性,不僅僅是在提高安全性方面,對經(jīng)濟性也有幫助。而山區(qū)道路的安全比起一般道路來講,就更應(yīng)該引起我們的注意,畢竟山區(qū)道路的崎嶇以及地勢的高低相對與一般道路對駕駛者來說是一個很大的挑戰(zhàn),而且其發(fā)生事故的死亡率也比其他道路高很多,因此,審計對于山區(qū)道路來說是至關(guān)重要的。
2 山區(qū)道路安全審計內(nèi)容
加拿大等國家認(rèn)為,在項目建設(shè)的初步設(shè)計階段進行道路安全審計最重要、最有效,因而早期的道路安全審計主要重點是在項目建設(shè)的初步設(shè)計階段。現(xiàn)世界各國都普遍認(rèn)為可在已運營的道路和擬建道路項目建設(shè)期的全過程實行安全審計,即在規(guī)劃或可行性研究、初步設(shè)計、施工圖設(shè)計、道路通車前期(預(yù)開通)和開通服務(wù)期(后評估階段)都有所側(cè)重地實行審計。山區(qū)道路安全審計同樣與其他道路的安全審計工作內(nèi)容一樣。
3 審計要素
典型的道路安全審計過程為:組建審計組+設(shè)計隊介紹項目情況及提供資料+項目實施考察-安全性分析研究-編寫安全審計報告+審計組介紹項目審計結(jié)果+設(shè)計隊研究、編寫響應(yīng)報告-審計報告及響應(yīng)報告共同構(gòu)成項目安全文件。
整個安全審計的時間一般為兩周左右。為保證安全審計的質(zhì)量,審計組人員的構(gòu)成至關(guān)重要。審計組的人數(shù)依項目的規(guī)模大小一般由26人組成,審計組應(yīng)由不同背景、不同經(jīng)歷、受過培訓(xùn)、經(jīng)驗豐富、獨立的人員(與設(shè)計隊無直接關(guān)聯(lián))組成。審計人員一般應(yīng)具備交通安全、交通工程、交通運行分析、交通心理、道路設(shè)計、道路維護、交通運營及管理、交通法律法規(guī)等方面的知識,應(yīng)保證審計組人員相互間能平等、自由地交流、討論和商議安全問題。審計人員應(yīng)本著對社會(用戶)負(fù)責(zé)的態(tài)度、安全第一的觀點,依據(jù)道路標(biāo)準(zhǔn)規(guī)范,對項目各種設(shè)計參數(shù)、弱勢用戶、氣候環(huán)境等的綜合組合,展開道路安全審計。道路安全審計人員(審計組)與設(shè)計人員(設(shè)計隊)的區(qū)別在于:設(shè)計人員需要綜合考慮項目投資、土地、政治、地理、地形、環(huán)境、交通、安全等方方面面的因數(shù),限于經(jīng)驗、時間的約束,對安全問題難免有所偏頗。而安全審計人員不考慮項目投資、建設(shè)背景等因數(shù),僅僅考慮安全問題,只提安全建議,最后由設(shè)計人員決定:采納、改進或不采納。因而可以說道路安全審計的關(guān)鍵點為:它是一個正式的、獨立進行的審計過程,須由有經(jīng)驗的、有資格的人員從事這一工作,要考慮到道路的各種用戶,最重要的一點是只考慮安全問題。
安全審計報告一般應(yīng)包括:設(shè)計人及審計組簡述、審計過程及日期、項目背景及簡況、圖紙等,對確認(rèn)的每一個潛在危險因素都應(yīng)闡述其地點、詳細(xì)特征、可能引發(fā)的事故(類型)、事故的頻率及嚴(yán)重度評估、改進建議及該建議的可操作性(實用性)等。審計報告應(yīng)易于被設(shè)計人員接受并實施。響應(yīng)報告應(yīng)由項目設(shè)計人員編寫,其內(nèi)容—般應(yīng)包括:對審計報告指出的安全缺陷是否接受,如不接受應(yīng)闡述理由,對每一改進建議應(yīng)一一響應(yīng),采納、部分采納或不采納,并闡明原因。
4 現(xiàn)有山區(qū)道路的安全審計
對現(xiàn)狀山區(qū)道路進行安全審計,主要評估現(xiàn)狀道路潛在事故危險性,同時提出改進措施以降低未來發(fā)生事故的可能性?,F(xiàn)狀道路的安全審計與新建道路相類似,也需進行上面所提到的工作,但現(xiàn)場調(diào)查以及評估資料及文件這兩步與新建道路有所不同。此時事故資料被作為欲審計資料的重要組成部分,同時該資料也包括可能導(dǎo)致事故發(fā)生潛在性的一些不利因素的詳細(xì)資料。
理想的關(guān)于現(xiàn)狀道路網(wǎng)的安全審計應(yīng)該建立在有規(guī)律的基礎(chǔ)之上。它可以以連續(xù)幾年審計的結(jié)果為基礎(chǔ),采用滾動式的審計方式對路網(wǎng)中的每條道路都進行評估。對于里程較長的道路(一般>100km),其安全審計工作可按兩階段進行,即初步審計階段和詳細(xì)審計階段。前者主要對道路總體上進行粗略審計,給出存在的主要問題及所處位置,后者則對找到的問題進行進一步的詳細(xì)分析并提出相應(yīng)的改進建議。對里程較短的道路(
由于欲審計道路已修建完成并已經(jīng)運營,此時現(xiàn)場調(diào)查就顯得非常重要。不管是擬建道路或已建道路、線內(nèi)工程還是線外工程,安全審計工作必須全方位細(xì)致地進行。要考慮不同道路使用者對道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得駕駛員的心理產(chǎn)生恐懼;②半徑太小可能使得駕駛員無法在規(guī)定視距范圍內(nèi)看到對方;③山體的穩(wěn)定性也可能會影響到駕駛員。
另外,現(xiàn)狀山區(qū)道路的安全審計工作還要調(diào)查不同的道路類型,例如白天、黑夜、干燥、潮濕等情況對道路的影響。此外,對現(xiàn)有道路網(wǎng)絡(luò)的安全審計可結(jié)合養(yǎng)護工作同時進行,這樣可減 少相應(yīng)的成本費用。
5 我國山區(qū)道路的審計現(xiàn)狀及問題和解決方法
5.1審計現(xiàn)狀及問題
由于目前審計這個名詞在國內(nèi)還算比較新鮮,國外從起步發(fā)展到現(xiàn)在也不過十來年的時間,各方面都只是處于實驗或者是試行階段,并沒有固定的一套理論依據(jù)。而我國相對外國來說又是落后了好幾年,因此我國現(xiàn)在總體的審計現(xiàn)狀也就處于探索階段,各個方面也是處于起步階段,不可能對各個方面的審計工作做到非常的完善。而道路的審計不過是眾多審計工作中的一小部分,由于其本身的“新鮮性”,又對審計人員的要求較高,西部一些貧困地區(qū)教育跟不上,審計的人才缺乏也不是沒有可能,設(shè)備等亦未全部到位。山區(qū)道路安全審計工作的開展較一般道路可能要更加的困難,因為山區(qū)道路多是停山臨崖,彎道又多,坡度又大等各方面因素是其工作的開展要難與一般道路;更有甚者像那些偏僻地區(qū)的山區(qū)道路,可能路面的質(zhì)量都無法保證,更不要提進行什么安全審計。
5.2解決方法
要改善我國目前的這種安全審計情況,需要全國各個方面的努力與配合,不過政府要有所規(guī)定,我們民間也要有這方面的意識。筆者簡單列出幾項:①國家應(yīng)該頒布相關(guān)的法律制度,嚴(yán)格要求進行安全審計;②地方政府部門要加強管理;③加強對審計人員的培訓(xùn);④提高我國的教育水平和人們的交通安全意識;⑤交通安全部門要深入到偏僻的山區(qū);⑥提高我國的經(jīng)濟實力。
6 結(jié)束語
山區(qū)道路的安全審計工作與其他道路的安全審計總體上應(yīng)該說差不多,當(dāng)然山區(qū)的那種獨特的環(huán)境使得審計工作的重點可能不僅僅局限與一般的道路,不要認(rèn)為山區(qū)道路的流量沒有城市道路那么多而忽視它,我國是個多山的國家,山區(qū)道路對于我國各個地區(qū)的經(jīng)濟往來的作用不言而譽。通過安全審計,加強了全國各地交流。對于我國的經(jīng)濟發(fā)展有百利而無一害。國內(nèi)山區(qū)道路建設(shè)的實際情況對道路安全審計進行了較為系統(tǒng)的分析研究并得出以下結(jié)論:
(1)道路安全審計獨立于設(shè)計和標(biāo)準(zhǔn)。是以安全為核心的審計,其對象為一切與交通安全相關(guān)的工程和設(shè)施,它可分階段、按步驟的實施,審計的結(jié)果為安全審計報告。
隨著信息技術(shù)的飛速發(fā)展,數(shù)據(jù)庫的應(yīng)用愈加廣泛,深入到各個領(lǐng)域,但隨之面來產(chǎn)生了數(shù)據(jù)的安全問題。各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題、敏感數(shù)據(jù)的防竊取和防篡改問題,越來越引起人們的高度重視。
近年來,數(shù)據(jù)庫被攻擊和數(shù)據(jù)竊取事件層出不窮,導(dǎo)致嚴(yán)重的經(jīng)濟問題和社會問題。國內(nèi)也出現(xiàn)企業(yè)級數(shù)據(jù)庫服務(wù)器多次被攻擊,給企業(yè)帶來了經(jīng)濟和聲譽上的損失等等。越來越多的大型企業(yè)意識到了數(shù)據(jù)庫行為審計的重要性,現(xiàn)在采用獨立的數(shù)據(jù)庫審計產(chǎn)品己經(jīng)成為業(yè)界的趨勢。
目前,南車戚墅堰機車有限公司的數(shù)據(jù)庫管理主要面臨以下挑戰(zhàn): 管理風(fēng)險:主要表現(xiàn)為人員的職責(zé)、流程有待完善,內(nèi)部員工的日常操作有待規(guī)范,第二方維護人員的操作監(jiān)控失效等等,離職員工的后門,致使安全事件發(fā)生時,無法追溯并定位真實的操作者。
技術(shù)風(fēng)險:數(shù)據(jù)庫是一個龐大復(fù)雜的系統(tǒng),安全漏洞如溢出、注入層出不窮,每一次的CPU都疲于奔命,面出于穩(wěn)定性考慮,往往對補丁的跟進非常延后,目前的現(xiàn)實狀況是很難通過外部的任何網(wǎng)絡(luò)層安全設(shè)備來阻止應(yīng)用層攻擊的威脅。
審計層面:現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方法,存在諸多的弊端,比如:數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能;數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險、自己的日志審計也難以體現(xiàn)審計信息的有效性和權(quán)威性。此外,對于海量數(shù)據(jù)的挖掘和迅速定位也是任何審計系統(tǒng)必須面對和解決的核心問題之一?;跀?shù)據(jù)庫安全和審計的重要性以及企業(yè)精細(xì)化管理的要求,公司計劃使用第二方權(quán)威的數(shù)據(jù)庫審計產(chǎn)品,對重要數(shù)據(jù)庫服務(wù)器進行統(tǒng)一的審計和管理,滿足企業(yè)信息化建設(shè)的需求。
1數(shù)據(jù)庫審計系統(tǒng)應(yīng)用目標(biāo)
依據(jù)國資委相關(guān)根據(jù)及南車集團總部信息安全管理規(guī)范化的要求,結(jié)合南車戚墅堰機車有限公司實際的情況,在保證網(wǎng)絡(luò)及業(yè)務(wù)的訪問的安全性、連續(xù)性、穩(wěn)定性的前提下,實現(xiàn)對指定數(shù)據(jù)庫審計并記錄所有的關(guān)鍵信息,保證數(shù)據(jù)庫有效安全地訪問。數(shù)據(jù)庫審計設(shè)備用于公司重要數(shù)據(jù)庫的安全審計,對重要數(shù)據(jù)的增刪改查操作的全方位審計記錄,同時也提供惡意攻擊數(shù)據(jù)庫的防護和監(jiān)控手段,滿足上市公司企業(yè)內(nèi)控的要求。
2數(shù)據(jù)庫審計系統(tǒng)部署
公司通過前期的詳細(xì)調(diào)研和評估,選擇了Imperva的數(shù)據(jù)庫審計系統(tǒng),保護公司核心系統(tǒng)運行的SQL或Oracle等數(shù)據(jù)庫,對數(shù)據(jù)庫操作進行統(tǒng)一監(jiān)控和防護,及時發(fā)現(xiàn)異常行為。
數(shù)據(jù)庫審計系統(tǒng)通過獨立的網(wǎng)絡(luò)硬件設(shè)備,不消耗數(shù)據(jù)庫服務(wù)器處理,內(nèi)存或硬盤資源。單一的Secure Sphere網(wǎng)關(guān)足夠滿足多個數(shù)據(jù)庫服務(wù)器的要求。系統(tǒng)提供豐富的借口和強大的處理能力,同時可以提供所有業(yè)務(wù)功能。
數(shù)據(jù)庫安全監(jiān)控網(wǎng)關(guān),采用偵聽模式的部署方式,簡潔力-便,只需要通過交換機的端口鏡像,將需要保護的服務(wù)器的流量導(dǎo)入到數(shù)據(jù)庫安全保護網(wǎng)關(guān)引擎的業(yè)務(wù)接口即可,網(wǎng)關(guān)完全處于業(yè)務(wù)通道外,對現(xiàn)有系統(tǒng)影響最小。這種部署方式提供了完善的針對數(shù)據(jù)庫的審計功能,實現(xiàn)了對非法的訪問或違反策略的訪問進行實時的告警。
3數(shù)據(jù)庫審計系統(tǒng)的應(yīng)用優(yōu)勢
數(shù)據(jù)庫審計系統(tǒng)使用實時的Kernel方式來處理和分析SQL協(xié)議,盡可能減少硬盤的讀寫,采用將審計信息寫入CSV文件的方式提高記錄審計信息的速度,所有的流量都會經(jīng)過檢測,面不用寫入到文件中。只有相應(yīng)的安全時間和必要的審計信息才寫到硬盤上,這樣就極大地提高了處理效率。
數(shù)據(jù)庫審計系統(tǒng)提供的適合數(shù)據(jù)庫訪問的高性能和特性網(wǎng)關(guān),通過捕獲、分析、審計實時的網(wǎng)絡(luò)流量,并且可以審計來回的雙向流量,發(fā)現(xiàn)高級權(quán)限操作和非法行為,提供實時告警和}實時阻攔,不影響數(shù)據(jù)庫服務(wù)器本身性能,不對現(xiàn)有業(yè)務(wù)造成任何影響。
數(shù)據(jù)庫審計系統(tǒng)可制定靈活的審計策略,可以給任意的數(shù)據(jù)庫設(shè)定任意的審計策略。系統(tǒng)提供了很多任意顆粒度的細(xì)化面靈活的審計規(guī)則,包括JO數(shù)據(jù)庫審計系統(tǒng)的安全策略和審計策略完全分開,可以使得設(shè)備靈活的對流量進行安全檢測,同時進行靈活的審計記錄。出于安全考慮,可以檢測所有的流量不管是不是被審計的,同時可以讓用戶選擇需要記錄下來哪些數(shù)據(jù)庫的訪問作為審計信息,這兩個過程完全是獨立和并行進行的,這樣就在保證了系統(tǒng)對數(shù)據(jù)庫進行全面的安全審查的同時,減少了需要審計和存儲的數(shù)據(jù)庫訪問信息。 數(shù)據(jù)庫審計系統(tǒng)提供了各種靈活的對常用軟件和應(yīng)用,如SAP, Oracle EBS or PeopleSoft特制的報告模板,面細(xì)粒度的靈活的報告設(shè)計結(jié)構(gòu),可以隨意設(shè)置怎樣生成報告和展現(xiàn)數(shù)據(jù),并利用各種圖形和列表方式展現(xiàn)數(shù)據(jù)。
4實際應(yīng)用效果
戚墅堰公司的數(shù)據(jù)庫審計系統(tǒng)目前建立了OA. ERP. PDM.e-HR四個數(shù)據(jù)庫站點,應(yīng)用了相應(yīng)策略,建立了審計機制,并通過實時監(jiān)測,定期出具審計報告。系統(tǒng)的投入應(yīng)用,在公司內(nèi)建立了一套數(shù)據(jù)應(yīng)用系統(tǒng)的預(yù)警、危機防范和事故監(jiān)控加固機制,使管理和訪問人員能對數(shù)據(jù)庫及相關(guān)服務(wù)器的各類操作進行完整記錄和管理并在事故發(fā)生后依據(jù)相關(guān)信息對事故的起源進行可靠、準(zhǔn)確的和快速的分析和判斷,為數(shù)據(jù)庫及相關(guān)系統(tǒng)的正常運行提供加固保障,實現(xiàn)了重要數(shù)據(jù)庫操作都能有據(jù)可查、責(zé)任到人。
5下階段的研究目標(biāo)和方向
(1)擴大數(shù)據(jù)庫審計應(yīng)用的范圍
在現(xiàn)有的幾個列入數(shù)據(jù)庫審計系統(tǒng)的重要數(shù)據(jù)庫之外,逐步將公司其它各類應(yīng)用系統(tǒng)數(shù)據(jù)庫納入到審計范圍內(nèi),使得數(shù)據(jù)庫審計范圍達到基本全覆蓋,得到充分地應(yīng)用。
(2)加強監(jiān)控和審計策略的制定
建立數(shù)據(jù)敏感表,加強對敏感數(shù)據(jù)訪問的審計力度,加強數(shù)據(jù)庫訪問的安全策略的設(shè)定,豐富各類安全事件的報警機制,形成更加詳盡全面的數(shù)據(jù)庫審計報告。
關(guān)鍵詞:信息系統(tǒng);審計;安全;計算機技術(shù)
中圖分類號:F239 文獻標(biāo)識碼:A 文章編號:1007-9599 (2011) 23-0000-01
Information system Audit Content Study Research
Wang Huilin,Wang Zenghui,Guan Ning
(School of Information Science,Jilin Agricultural University,Changchun 130118,China)
Abstract:Information Systems Audit and Control in China despite the late start,but its importance is increasingly apparent.Clear that the Auditor General Liu Jiayi,information systems audit to seize three key points,namely,safety,effectiveness(reliability)and the economy.Therefore,
the content of information systems audit has become a concern of auditors,this paper will analyze the information systems auditing concepts and objectives,summed up the information systems audit institutions to audit the main content.
Keywords:Information system;Audit;Security;Computer technology
一、我國信息系統(tǒng)審計發(fā)展現(xiàn)狀
2005年大連中行員工翟昌平因利用銀行系統(tǒng)漏洞竊取銀行800萬美元現(xiàn)金而落網(wǎng),同年,相繼在黑龍江、重慶類似的案件頻有發(fā)生。這些案件的破獲均是在企業(yè)進行內(nèi)部信息系統(tǒng)審計時發(fā)現(xiàn)的。2006年許霆因利用銀行取款機漏洞竊取銀行17.5萬元現(xiàn)金的落網(wǎng)。特別近兩年以來時有地方政府網(wǎng)站被惡意篡改,2008年荊州市商務(wù)局的網(wǎng)站被“黑”,據(jù)國內(nèi)信息安全機構(gòu)報道,整個2009年,全國平均每天有1%的政府網(wǎng)站被“黑”,其中主要原因是口令過于簡單和文件漏洞太多。
以上種種案件表明,所有案件均是在事后,都是已經(jīng)對國家人民財產(chǎn)造成了危害損失后發(fā)現(xiàn)的,怎樣才能避免這類情況的發(fā)生,信息系統(tǒng)安全防范工作已經(jīng)成為信息時代的主要問題,對信息系統(tǒng)開展安全審計已經(jīng)成為審計機關(guān)保護國家財政財務(wù)安全,充分發(fā)揮審計“免疫系統(tǒng)”功能的重要措施。
二、信息系統(tǒng)審計概念與目標(biāo)
到底信息系統(tǒng)審計應(yīng)如何定義呢?美國信息系統(tǒng)審計學(xué)科的領(lǐng)跑者Ron Weber給信息系統(tǒng)審計做出了如下概括:“收集并評估證據(jù),以判斷一個信息系統(tǒng)是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標(biāo),同時最經(jīng)濟的使用資源”。
根據(jù)信息系統(tǒng)審計的概念,我們可以總結(jié)出審計機關(guān)開展信息系統(tǒng)審計的目標(biāo)是:確認(rèn)資產(chǎn)安全性、保證數(shù)據(jù)完整性、認(rèn)定系統(tǒng)合規(guī)性。
三、審計機關(guān)開展信息系統(tǒng)審計的內(nèi)容
(一)信息系統(tǒng)資產(chǎn)安全性審計
那么信息系統(tǒng)審計需要做那些事情才能有效控制資產(chǎn)安全呢?我們要從以下幾個方面著手:1.對系統(tǒng)基礎(chǔ)設(shè)施及環(huán)境的審計。審計范疇為:硬件環(huán)境與防災(zāi)、主機硬件安全、底層支撐系統(tǒng)安全、通信線路安全、數(shù)據(jù)存儲/IO安全、物理訪問控制。2.網(wǎng)絡(luò)安全審計。目前的網(wǎng)絡(luò)安全審計的解決方案有以下幾類:
日志審計:目的是收集日志,通過SNMP、SYSLOG、OPSEC或者其他的日志接口從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶電腦、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志,進行統(tǒng)一管理、分析和報警。
主機審計:通過在服務(wù)器、用戶電腦或其他審計對象中安裝客戶端的方式來進行審計,可達到審計安全漏洞、審計合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶非工作行為等目的。
網(wǎng)絡(luò)審計:通過旁路和串接的方式實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲,而且進行協(xié)議分析和還原,可達到審計服務(wù)器、用戶電腦、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的審計安全漏洞、合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容、監(jiān)控用戶非工作行為等目的。
(二)信息系統(tǒng)數(shù)據(jù)完整性審計
根據(jù)上述對數(shù)據(jù)完整性的定義,我們可以確定數(shù)據(jù)完整性審計應(yīng)包括以下幾個內(nèi)容:1.應(yīng)用控制審計。應(yīng)用控制審計是直接針對業(yè)務(wù)系統(tǒng)根據(jù)用戶反饋、用例測試結(jié)果、實際業(yè)務(wù)數(shù)據(jù)、代碼分析結(jié)果發(fā)現(xiàn)系統(tǒng)風(fēng)險及其對業(yè)務(wù)的直接影響。2.輸入輸出控制審計:輸入控制審計要點:CONTROL TOTALS、多點錄入、終端訪問控制、Session窗口控制。輸出控制審計要點:訪問控制、緩沖區(qū)安全、派發(fā)路徑安全。3.數(shù)據(jù)審計。通過直接獲取數(shù)據(jù)庫數(shù)據(jù),對實體完整性、用戶定義完整性、參照完整性、域完整性的驗證,來確認(rèn)信息應(yīng)用系統(tǒng)設(shè)計和獲取的完整性。
(三)信息系統(tǒng)合規(guī)性審計
合規(guī)性審查主要包含技術(shù)合規(guī)性。技術(shù)合規(guī)性是指被審計對象開發(fā)技術(shù)是否符合軟件工程國家標(biāo)準(zhǔn),包括基礎(chǔ)標(biāo)準(zhǔn)(ISO 9000標(biāo)準(zhǔn)族)以及開發(fā)標(biāo)準(zhǔn)、文檔標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)(GB標(biāo)準(zhǔn)族)。
系統(tǒng)合規(guī)性的主要審計內(nèi)容就是進行代碼審計輔以數(shù)據(jù)審計,簡單的說就是審計代碼規(guī)范性,代碼安全性(例如,在對某商業(yè)銀行進行審計過程中發(fā)現(xiàn),由于代碼員的經(jīng)驗問題,在撰寫計算還款利息時的公式時發(fā)生錯誤,導(dǎo)致每筆還款利息多計算1分錢),關(guān)鍵處理流程正確性(此處旨在檢查業(yè)務(wù)邏輯是否符合相關(guān)的法律法規(guī)以及規(guī)章制度),后門、調(diào)試與邏輯炸彈,以此來保證系統(tǒng)的正確性和合規(guī)性。
四、總結(jié)
本文通過對國內(nèi)信息系統(tǒng)審計發(fā)展現(xiàn)狀及相關(guān)理論政策研究,推理出審計機關(guān)信息系統(tǒng)審計的概念及目標(biāo),根據(jù)信息系統(tǒng)審計目標(biāo)總結(jié)了在我國審計機關(guān)開展信息系統(tǒng)審計的主要內(nèi)容,即信息系統(tǒng)資產(chǎn)安全性審計、數(shù)據(jù)完整性審計、合規(guī)性審計,并詳細(xì)闡述了這三方面審計的具體內(nèi)容。
參考文獻:
[1]Ron Weber主編.Information Systems Control and Audit.2001
[2]王智玉.信息系統(tǒng)審計是做什么的.
關(guān)鍵詞:服務(wù)器運維;安全審計;日志查詢
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1009-3044(2014)16-3734-03
Abstract: With the improvement of social information, a variety of servers, switches, routers and other hardware devices are more and more, we need to build the centralized maintenance for management and audit the system permissions, We need to standardize the operating behavior of the servers, and upgrade information system operation and maintenance operation of regulatory capacity, improve the network and information security management.
Key words: server maintenance;security audit ; log query
信息化是當(dāng)今經(jīng)濟社會發(fā)展的大趨勢,信息化水平的高低,已經(jīng)成為衡量一個高等學(xué)校競爭力的重要因素。隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)和通信技術(shù)的發(fā)展和應(yīng)用,高校信息化已成為高校實現(xiàn)可持續(xù)化發(fā)展和提高市場競爭力的重要保障。
1 服務(wù)器安全審計系統(tǒng)的研究意義
在高校信息化建設(shè)的過程中,逐步的配置了大量的服務(wù)器、網(wǎng)絡(luò)設(shè)備,而針對這些設(shè)備運用、維護、管理和數(shù)據(jù)保護等等這些問題,都是非常重要的。運用目前廣泛使用的遠(yuǎn)程登錄方式,不需要直接跑到機房,通過 PC 機就可以進行應(yīng)用系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、服務(wù)器的配置、修改、上線等,過程簡單便利,但也帶來了很多安全隱患問題。
1)密碼管理:所有管理人員通過口口相傳的方式得知設(shè)備帳號和密碼,非常容易讓人非法獲得設(shè)備帳號和密碼,從而對網(wǎng)絡(luò)設(shè)備進行非法訪問和攻擊,導(dǎo)致敏感數(shù)據(jù)被竊取或破壞。
2)對設(shè)備的操作:管理人員對網(wǎng)絡(luò)設(shè)備的操作過程使用手寫筆記記錄,無法知道運維人員的筆記可信性和完整性,從而無法知道運維人員對網(wǎng)絡(luò)設(shè)備的運維操作情況,出現(xiàn)故障也無法跟蹤責(zé)任人。
3)管理人員權(quán)限:缺乏網(wǎng)絡(luò)設(shè)備授權(quán)平臺,容易導(dǎo)致管理人員越權(quán)訪問,非法操作等,增大了信息泄密風(fēng)險。對用戶的操作行為難以評估。
4)安全審計:網(wǎng)絡(luò)設(shè)備缺乏審計系統(tǒng),會造成設(shè)備被非法操作、誤操作無法阻斷,對于安全事件,因為缺乏審計記錄,事后也無法檢查、監(jiān)督。
所以,對校園網(wǎng)絡(luò)運維具有以下迫切需求:
?有效保護校園網(wǎng)內(nèi)部服務(wù)器重要保密數(shù)據(jù)不被竊取和修改;
?解決共享帳號密碼的問題,使操作者與操作行為一一對應(yīng);
?簡化密碼管理,提高密碼管理的安全性;
?集中管理各種操作行為,提高操作管理效率;
?有效監(jiān)管管理員或者設(shè)備廠商/代維廠商對設(shè)備的操作;
?有效審計操作行為(實時監(jiān)控、真實記錄、查詢回放、非法操作阻斷);
針對這些運維安全問題應(yīng)運而生的運維安全審計系統(tǒng),它是一款通過對密碼集中管理,對每一個操作人員建立賬號,設(shè)定操作人員訪問設(shè)備權(quán)限,記錄每一位運維人員對設(shè)備的操作,并提供實時監(jiān)控和回放進行審計,集認(rèn)證、授權(quán)、審計為一體的信息安全系統(tǒng)。
2 服務(wù)器審計系統(tǒng)的設(shè)計和實現(xiàn)
2.1服務(wù)器的管理模式
目前各大高校由于工作需要購買了各種類型、數(shù)量繁多的服務(wù)器,為了安全性的考慮多數(shù)采用集中式管理,通常集中放在校園網(wǎng)絡(luò)中心機房,這樣可以帶來如下好處:
1) 集中管理可保證無塵環(huán)境,統(tǒng)一的溫度濕度控制,減少服務(wù)器故障率;
2) 集中管理可以實時查看服務(wù)器的運行狀況,及時發(fā)現(xiàn)故障;
3) 中心機房的不間斷電力系統(tǒng),可以保證系統(tǒng)穩(wěn)定工作;
4) 發(fā)揮中心機房網(wǎng)絡(luò)速度優(yōu)勢,服務(wù)器上的應(yīng)用能夠快速訪問;
2.2服務(wù)器審計系統(tǒng)設(shè)計
在服務(wù)器集中管理的狀況下,各個服務(wù)器的使用人員或者管理員,不需要來到中心機房,直接通過遠(yuǎn)程來訪問相應(yīng)的服務(wù)器,由于中心機房管理著少則幾十臺多則幾百臺服務(wù)器,有時很難判斷某臺服務(wù)器出故障時的原因,因此采取統(tǒng)一密碼管理制度,使用者并不知道服務(wù)器的登錄密碼,他只需要通過瀏覽器登錄到WEB頁面,輸入相應(yīng)的用戶和密碼就可以實現(xiàn)對自己要維護的服務(wù)器進行操作管理。審計系統(tǒng)能夠?qū)τ脩舻男袨檫M行跟蹤記錄。
網(wǎng)站的設(shè)計是基于B/S架構(gòu),采用J2EE+MYSQL編程。
系統(tǒng)的結(jié)構(gòu),如下圖所示:
管理員登錄:可以設(shè)置各種角色,可以添加刪除用戶,對用戶進行授權(quán)或者分配服務(wù)器管理權(quán)限,添加設(shè)備、設(shè)置訪問協(xié)議,可以為設(shè)備批量添加管理人員。
一般用戶登錄:登錄后只能看到自己管理的服務(wù)器列表和已登錄的服務(wù)器日志,點擊直接進入服務(wù)器操作界面,服務(wù)器用戶名和密碼對一般用戶來說不可見,有管理員統(tǒng)一管理。一般用戶的操作將被服務(wù)器全程記錄,寫入日志,生成日志報表。
服務(wù)器審計:一般用戶和管理員都可以進行服務(wù)器審計,管理員可以看到所有的服務(wù)器和所有用戶的使用情況,可以訪問日志報表,查看服務(wù)器訪問記錄。服務(wù)器訪問記錄以視頻的形式錄像,管理員可以回放,然后進行異常處理。對敏感數(shù)據(jù)的操作一旦出錯,可以查找原因,對相關(guān)責(zé)任人追責(zé)。
2.3多遠(yuǎn)程管理協(xié)議
本系統(tǒng)提供了 RDP、Telnet、SSH、VNC、HTTP、FTP 等協(xié)議的支持。對于Windows 系列服務(wù)器提供RDP和FTP 協(xié)議的支持;對于 Unix 或 Linux系列服務(wù)器,提供Telnet、SSH 和 VNC 協(xié)議的支持;路由器、交換機等支持其使用 Telnet、SSH 作為訪問方式。
2.3.1 RDP協(xié)議
遠(yuǎn)程桌面協(xié)議(remote desktop protocol, RDP)是一種構(gòu)建于Windows系列操作系統(tǒng)的終端服務(wù)網(wǎng)絡(luò)通信協(xié)議。它采用了典型的C/S架構(gòu),共分為兩個部分:運行在遠(yuǎn)程設(shè)備上的客戶端和運行在服務(wù)器上的終端服務(wù)器。作為微軟公司的一個工業(yè)標(biāo)準(zhǔn),該協(xié)議應(yīng)用于Windows系列服務(wù)器。
2.3.2 Telnet協(xié)議/ SSH協(xié)議
Telnet 協(xié)議是 TCP/IP 協(xié)議族中的一員,是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式,它為用戶提供了在本地計算機上完成遠(yuǎn)程主機工作的能力。SSH為 Secure Shell 的縮寫,由IETF 的網(wǎng)絡(luò)工作小組(Network Working Group)所制定;SSH為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。SSH 是目前較可靠,專為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用 SSH 協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題。
所以,本系統(tǒng)除了支持Telnet協(xié)議外,也支持較為安全的SSH協(xié)議,使其能非常好的對 Unix或Linux系統(tǒng)的服務(wù)器、路由器、交換機等網(wǎng)絡(luò)設(shè)備提供訪問和審計。
2.3.3 VNC協(xié)議
VNC 是一款優(yōu)秀的遠(yuǎn)程控制工具,VNC是在基于UNIX和Linux操作系統(tǒng)的軟件,遠(yuǎn)程控制能力強大,高效實用,其性能可以和Windows中的任何遠(yuǎn)程控制軟件媲美。為了方便對UNIX、Linux系統(tǒng)的圖形化XWINDOWS的訪問本系統(tǒng) 提供了VNC對UNIX、Linux系統(tǒng)服務(wù)器的訪問的支持。
2.4服務(wù)器運維安全審計
對運維人員對設(shè)備的操作過程進行全過程監(jiān)控,操作人員在操作設(shè)備的過程中,任何操作都會被記錄,并提供實時監(jiān)控功能,及時進行操作指導(dǎo)或糾正操作錯誤。在事后進行查詢,通過審計回放,讓操作過程都有跡可查。使運維人員的運維工作更輕松、機密數(shù)據(jù)更安全、安全事故責(zé)任更明確。
2.4.1審計數(shù)據(jù)的采集
把目標(biāo)設(shè)備的啟動和關(guān)閉、目標(biāo)設(shè)備操作系統(tǒng)的操作、目標(biāo)設(shè)備的文件使用、一切鍵盤輸入操作等等操作過程都記錄下來,并生成完整的審計數(shù)據(jù)。審計記錄會被存在到數(shù)據(jù)庫中,方便用戶查閱、檢索,讓所有操作過程都有跡可查。
2.4.2審計數(shù)據(jù)的回放
提供完善的審計回放功能,讓系統(tǒng)管理員輕松完成運維監(jiān)督、安全事故預(yù)防等工作。審計回放包括:圖形回放、命令回放、鍵盤輸入顯示。
2.4.3日志查閱
為系統(tǒng)管理員提供的可查詢?nèi)罩景ǎ旱卿浫罩尽⒉僮魅罩?、審計回放日志等等。提供靈活的日志查詢設(shè)置,使系統(tǒng)管理員可以根據(jù)日志日期范圍、運維人員姓名、設(shè)備名稱、設(shè)備IP等條件查詢?nèi)罩尽?/p>
2.4.4審計日志報表
提供各種報表,包括系統(tǒng)使用情況、設(shè)備使用情況等生成報表,統(tǒng)計設(shè)備被訪問次數(shù)和訪問的時間,大大簡化了日志分析工作。系統(tǒng)還支持報表導(dǎo)出功能,導(dǎo)出報表的格式為Excel。
3 小結(jié)
有了服務(wù)器審計系統(tǒng),就不會出現(xiàn)服務(wù)器長期沒有人管理的問題,不僅可以看到用戶什么時候登錄,做了些什么操作,還可以定期督促用戶做好數(shù)據(jù)備份、服務(wù)器整理、安全防護等工作。在服務(wù)器數(shù)據(jù)出問題時,可以采用視頻回放,查找非法操作或者錯誤操作的原因。還可以生成日志報表,對服務(wù)器的使用有一個全面的了解,對使用率很低的服務(wù)器可以在上面添加新的應(yīng)用,負(fù)載高的服務(wù)器減少應(yīng)用,達到一個負(fù)載平衡。
參考文獻:
[1] 陳剛.Eclipse從入門到精通[M].北京:北京清華大學(xué)出版社,2007.
[2] 鄔繼成.J2EE開源編程精要15講[M].北京:電子工業(yè)出版社,2008.
[3] ,周峰,孫更新. J2EE 經(jīng)典案例設(shè)計與實現(xiàn)[M].北京:電子工業(yè)出版社,2007.
[4] 劉汝悼.計算機審計技術(shù)和方法[M].北京:清華大學(xué)出版社,2004.
關(guān)鍵詞:高安全操作系統(tǒng);分區(qū)內(nèi)核;SKPP;安全功能性需求
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1007-9599 (2012) 20-0000-02
隨著嵌入式操作系統(tǒng)的使用越來越廣泛,它的安全性也越來越受關(guān)注。分區(qū)內(nèi)核作為嵌入式系統(tǒng)的一個重要組成部分,對其安全性的要求也越來越高。SKPP(Protection Profile for Separation Kernels,分區(qū)內(nèi)核保護框架)作為一種專門針對分區(qū)內(nèi)核提出的安全需求標(biāo)準(zhǔn),可滿足分區(qū)內(nèi)核對高安全性的需要。使用SKPP的分區(qū)內(nèi)核給任務(wù)關(guān)鍵的嵌入式系統(tǒng)的系統(tǒng)服務(wù)和應(yīng)用的創(chuàng)建提供了高健壯性保障以及給安全相關(guān)策略的執(zhí)行提供高可靠性支持。目前,使用SKPP標(biāo)準(zhǔn)設(shè)計出來的分區(qū)內(nèi)核產(chǎn)品只有美國綠山公司的INTEGRITY-178B多級安全實時操作系統(tǒng)和風(fēng)河公司的VXWorks MILS2,而國內(nèi)對SKPP的使用還在探索階段。本文通過對SKPP的內(nèi)容進行深入理解,提出了與SKPP安全功能性需求相對應(yīng)的訪問控制機制的實施策略。
1 SKPP概述
2007年,美國NSA的信息可靠性理事會了一種用于描述高健壯性操作系統(tǒng)的安全需求規(guī)范——SKPP,它適用于經(jīng)常處于安全威脅中的分區(qū)內(nèi)核。SKPP要求產(chǎn)品的開發(fā)過程和形式化分析都十分嚴(yán)格,所以,開發(fā)者和用戶通過SKPP評估而得到的可靠性在計算機信息安全領(lǐng)域達到了前所未有的高度,在歷史上第一次使軟件系統(tǒng)能夠可信的保護財政記錄,客戶私人信息,國家秘密等重要信息[1]。因此,用它作為高安全機載操作系統(tǒng)的分區(qū)內(nèi)核設(shè)計標(biāo)準(zhǔn)能極大提高系統(tǒng)的安全性和可靠性。
傳統(tǒng)安全內(nèi)核是在一個安全操作系統(tǒng)中執(zhí)行所有可信功能,而分區(qū)內(nèi)核與此不同,系統(tǒng)中的所有對象和資源都應(yīng)由安全策略控制,分區(qū)內(nèi)部或者分區(qū)間的信息流也需由安全策略控制。在SKPP中,系統(tǒng)給軟件提供了高可靠性分區(qū)以及信息流控制策略,給多種結(jié)構(gòu)系統(tǒng)提供了可配置的可信環(huán)境。例如,在一組安全系統(tǒng)結(jié)構(gòu)中,軟件在分區(qū)內(nèi)核安全策略的約束之下執(zhí)行應(yīng)用層安全策略。這里所說的軟件包括與多級安全相關(guān)的監(jiān)視器,Guard,設(shè)備驅(qū)動,文件管理系統(tǒng),傳送信息服務(wù)以及傳統(tǒng)操作系統(tǒng),中間件,虛擬機等[1]。
SKPP為分區(qū)內(nèi)核的架構(gòu)和評估提供了安全功能性需求和安全保證性需求。安全功能性需求指的是由操作系統(tǒng)執(zhí)行的安全策略。例如,一個使用SKPP標(biāo)準(zhǔn)的操作系統(tǒng)必須保證惡意程序不會對系統(tǒng)造成包括拒絕服務(wù)、竊取信息等在內(nèi)的威脅。安全保證性需求反映了創(chuàng)建滿足高健壯性的安全可信環(huán)境所需的功能[2]。圖1說明了組成安全系統(tǒng)的各個部分。其中,配置功能,系統(tǒng)加載功能,初始化功能以及可信傳輸功能都應(yīng)按照可靠性需求的要求來設(shè)計,它們建立了安全功能的初始安全狀態(tài)。在初始化結(jié)束之后,由安全功能來執(zhí)行安全策略[3]。安全功能性需求是本文討論的重點。從在系統(tǒng)中的位置來看安全功能性需求主要包括配置數(shù)據(jù)的要求,軟件運行時的要求以及硬件要求;從在安全分區(qū)內(nèi)核中功能劃分的角度來看,它分為安全審計、用戶數(shù)據(jù)保護、識別和鑒定、安全管理、安全功能保護以及資源利用六個部分。
圖1.安全系統(tǒng)組成
2 安全功能性需求主要內(nèi)容
SKPP中的功能性需求是針對分區(qū)內(nèi)核中安全功能的需求,它規(guī)定了由分區(qū)內(nèi)核執(zhí)行的安全策略。安全功能性需求從審計、數(shù)據(jù)保護、身份的識別和鑒定、安全功能的管理、安全功能的保護以及資源的利用[1]等六個方面全面的規(guī)定了建立安全分區(qū)內(nèi)核中所需的安全功能應(yīng)遵循的要求。
SKPP的安全審計部分規(guī)定了進行安全審計的時機,安全審計事件的選擇原則以及安全審計的審查方法。安全審計需求記錄、存儲和分析與安全相關(guān)活動的信息,通過檢查審計記錄結(jié)果可判斷發(fā)生了哪些安全相關(guān)活動以及哪些用戶需要對這些活動負(fù)責(zé)。
用戶數(shù)據(jù)保護部分給與用戶數(shù)據(jù)有關(guān)的系統(tǒng)安全功能和系統(tǒng)安全功能策略規(guī)定了要求。它定義了信息流控制策略,主要規(guī)定了策略控制下的主體,策略控制下的信息,引起受控信息流入、流出的主體操作,策略的控制范圍以及某些特定功能的規(guī)則。用戶數(shù)據(jù)保護部分還提出對殘余信息進行保護的要求。
識別和鑒定部分?jǐn)⑹隽私⒑秃藢嵳埱笥脩羯矸莸墓δ苄枨?,確保了用戶與恰當(dāng)?shù)陌踩珜傩韵嗦?lián)系。授權(quán)用戶身份的正確識別,用戶和主體之間安全屬性的正確鏈接對既定安全策略的實施至關(guān)重要。識別和鑒定部分解決用戶身份的確定和核實,明確用戶在安全分區(qū)內(nèi)核中的權(quán)限,賦予授權(quán)用戶與權(quán)限相匹配的安全屬性。用戶的正確識別和鑒定是其它部分(如:用戶數(shù)據(jù)保護,安全審計)實施的基礎(chǔ)。
安全分區(qū)內(nèi)核必須給各種類型的安全管理功能提供固定的支持,而且,安全管理部分規(guī)定必須由被授權(quán)的管理者實施初始化參數(shù)定義,可信初始化,分區(qū)信息流策略的定義和執(zhí)行,錯誤檢測以及反饋,可信修復(fù),分區(qū)內(nèi)核系統(tǒng)重配置。在安全分區(qū)內(nèi)核中,分區(qū)信息流安全功能策略是根據(jù)配置向量決定的,所以只有授權(quán)主體才能夠改變配置數(shù)據(jù)。
在安全功能保護部分,SKPP主要描述了使分區(qū)內(nèi)核處于安全狀態(tài)的方法。具體說來,安全功能保護規(guī)定了運行系統(tǒng)安全狀態(tài)測試的時機,配置數(shù)據(jù)改變的規(guī)則,重新建立安全態(tài)需要遵守的規(guī)則,系統(tǒng)保存安全狀態(tài)的時機,以及當(dāng)系統(tǒng)處于非安全狀態(tài)時應(yīng)做的操作。系統(tǒng)的安全狀態(tài)和分區(qū)信息流策略都是由配置數(shù)據(jù)生成的配置向量決定的,所以當(dāng)配置數(shù)據(jù)改變時,系統(tǒng)應(yīng)重新建立安全態(tài)并按照配置數(shù)據(jù)的說明執(zhí)行分區(qū)信息流策略[4]。如圖2所示,分區(qū)內(nèi)核系統(tǒng)通過配置工具把從用戶處獲得的配置數(shù)據(jù)轉(zhuǎn)換成配置向量,再經(jīng)過一些中間步驟的轉(zhuǎn)化變成安全功能的內(nèi)部配置向量,通過這些配置向量安全功能確定分區(qū)信息流控制策略,建立分區(qū)內(nèi)核的安全狀態(tài)。
圖2.配置數(shù)據(jù)轉(zhuǎn)化過程
資源利用部分規(guī)定了分區(qū)能夠使用的系統(tǒng)內(nèi)存和處理時間的限額,以及其他可預(yù)測的受限執(zhí)行行為的處理時間和存儲資源的使用情況。
應(yīng)用于分區(qū)內(nèi)核安全的SKPP涉及分區(qū)信息保護,避免未經(jīng)授權(quán)的信息的泄漏、修改和無法使用的情況發(fā)生,保護內(nèi)核及信息的機密性、完整性、可用性、可審查性和抗抵賴性。SKPP安全功能性需求為實現(xiàn)安全功能規(guī)定了詳細(xì)的要求,通過這些要求可以從現(xiàn)有的方法中得出一套安全機制。只有實現(xiàn)這些安全機制,才能保證安全功能的有效性,從而保護目標(biāo)系統(tǒng)的安全性。其中,訪問控制機制是分區(qū)內(nèi)核實施安全功能最主要的手段,因此,訪問控制機制的實現(xiàn)與分區(qū)內(nèi)核中安全功能的聯(lián)系是最緊密的,下面我們來討論訪問控制機制與SKPP安全功能性需求的關(guān)系。
3 安全功能性需求與訪問控制機制實施策略
在分區(qū)內(nèi)核上,訪問控制技術(shù)的應(yīng)用是為了保證分區(qū)外的用戶或分區(qū)內(nèi)的用戶對分區(qū)資源的訪問以及對敏感信息的訪問方式而組織的安全策略[5]。訪問控制機制將防止非授權(quán)用戶使用分區(qū)內(nèi)資源或以不正當(dāng)?shù)姆绞绞褂檬跈?quán)資源。如圖3所示,當(dāng)主體需要訪問分區(qū)資源時,先向系統(tǒng)發(fā)出訪問資源的請求,由系統(tǒng)驗證主體的權(quán)限,驗證通過后才允許主體訪問相應(yīng)的分區(qū)資源。
圖3.訪問控制原理
分區(qū)內(nèi)核訪問控制機制的建立涉及SKPP中用戶數(shù)據(jù)保護部分的內(nèi)容。其中,通過信息流控制策略部分的要求確定了信息流控制策略的控制范圍,比如可控制所有分區(qū)或者所有客體;通過信息流控制功能部分的要求確定了信息流控制策略的特定功能規(guī)則,比如明確了授權(quán)的通信模式等。為了保證被訪問客體的可用性,還涉及資源利用部分的內(nèi)容,描述系統(tǒng)內(nèi)存和處理時間的限額。
應(yīng)用SKPP的安全內(nèi)核,為了判斷一個主體是否具有對某客體的訪問權(quán)限,訪問控制機制須鑒別主體的身份,這涉及SKPP中識別和鑒定部分的內(nèi)容。它規(guī)定了分區(qū)、主體以及與安全功能相關(guān)的資源的屬性,明確了各自的信息流權(quán)限,通過身份的識別和鑒定得出該身份所對應(yīng)的訪問權(quán)限。在確認(rèn)主體的身份之后,訪問控制機制可以通過該主體已被鑒別的身份使用該主體的信息(比如該主體的從屬關(guān)系信息)或者使用該主體的所擁有的權(quán)限。這涉及SKPP中安全管理部分安全屬性管理的要求,它定義了授權(quán)主體可以使用的權(quán)限,如圖4所示。
圖4.主體權(quán)限使用流程
綜上所述,訪問控制機制能夠涵蓋SKPP安全功能性需求的用戶數(shù)據(jù)保護部分、識別與鑒定部分、安全管理部分以及資源利用部分,但是不涉及安全審計和安全功能保護部分的需求。目前在機載領(lǐng)域,可以應(yīng)用健康監(jiān)控和系統(tǒng)重構(gòu)技術(shù)來覆蓋安全審計和安全功能保護部分的需求,但是在實施細(xì)節(jié)上還需進一步探討。
4 結(jié)論
在SKPP中,系統(tǒng)給軟件提供了高可靠性分區(qū)以及信息流控制策略,給多種結(jié)構(gòu)的系統(tǒng)提供了可配置的可信基礎(chǔ)。本文在作者深入理解SKPP內(nèi)涵的基礎(chǔ)上的介紹了SKPP所包含的各個需求領(lǐng)域,并提出了能夠涵蓋SKPP大部分安全功能性需求的安全分區(qū)內(nèi)核訪問控制機制的實施策略。對滿足SKPP的高安全機載操作系統(tǒng)的研究和設(shè)計具有一定的指導(dǎo)意義。
參考文獻:
[1]Information Assurance Directorate, National Security Agency, Fort George G. Meade. U.S. Government Protection Profile for Separation Kernels in Environments Requiring High Robustness, June 2007.
[2]Thuy D,Timothy E.Levin,Cynthia E.Irvine.TCX Project:High Assurance for Secure Embedded Systems. Proceedings of the IEEE International Conference on Security and Cryptography,2008.
[3]Kevin Elaphinstone,Gerwin Klein,Philip Derrin,et al.Kernel Development for High .2008.7.
[4]Timothy E. Levin, Cynthia E. Irvine, and Thuy D. Nguyen. Least privilege in separation kernels. In Proceedings of the IEEE International Conference on Security and Cryptography, Setubal, PT, August 2006.
[5]宋成勇.CC功能要求映射于系統(tǒng)安全措施的方法研究.成都:四川大學(xué),2005.
[作者簡介]
我國的信息安全架構(gòu)是我國信息安全領(lǐng)域有關(guān)部門和專家學(xué)者經(jīng)過多年研究,基于我國國情并充分借鑒國外先進經(jīng)驗,提出的分等級保護策略,用于解決我國信息安全問題。由公安部和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員提出,公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息化工作辦公室等部門聯(lián)合制定,下發(fā)了關(guān)于信息安全等級保護的相關(guān)標(biāo)準(zhǔn)、意見等,涉及基礎(chǔ)標(biāo)準(zhǔn)類、應(yīng)用類(系統(tǒng)定級、保護實施、安全建設(shè)、等級測評等)、產(chǎn)品類(操作系統(tǒng)、路由器、防火墻、服務(wù)器、PKI〔公鑰基礎(chǔ)設(shè)施〕等)、其他標(biāo)準(zhǔn)類(風(fēng)險評估、事件管理等)等標(biāo)準(zhǔn)規(guī)范,為信息系統(tǒng)的安全建設(shè)、提高網(wǎng)絡(luò)與信息安全保障水平提供了技術(shù)和管理依據(jù),同時隨著網(wǎng)絡(luò)安全問題的日益突出及信息技術(shù)發(fā)展,也在逐步更新標(biāo)準(zhǔn)規(guī)范中的相關(guān)內(nèi)容,進一步完善信息安全認(rèn)證認(rèn)可體系,加強信息安全系統(tǒng)建設(shè)工作,為保障國家信息安全做出了重大貢獻。參考《信息系統(tǒng)安全等級保護體系框架》(GA/T708-2007),信息系統(tǒng)安全的組成如圖1所示。物理安全提供基本的計算機和網(wǎng)絡(luò)硬件設(shè)備、設(shè)施、介質(zhì)及其環(huán)境等方面的安全支持;網(wǎng)絡(luò)安全提供安全的網(wǎng)絡(luò)軟件、安全的網(wǎng)絡(luò)協(xié)議,確保數(shù)據(jù)傳輸?shù)谋C苄?、完整性、可用性等;系統(tǒng)安全提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng),以實現(xiàn)系統(tǒng)所存儲、傳輸和處理數(shù)據(jù)的安全保護;應(yīng)用安全提供部署在計算機硬件環(huán)境基礎(chǔ)上的應(yīng)用軟件安全、支撐軟件安全、工具軟件安全等保障信息系統(tǒng)安全的運行環(huán)境;安全管理是指對組成信息系統(tǒng)安全的物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全的管理,通過技術(shù)手段、管理制度等方式保障信息系統(tǒng)的正常運行。信息安全架構(gòu)要求信息系統(tǒng)建設(shè)和使用單位,根據(jù)其單位的重要程度、信息系統(tǒng)承載業(yè)務(wù)的重要程度、信息內(nèi)容的重要程度、系統(tǒng)遭到攻擊破壞后造成的危害程度等安全需求及安全成本因素,根據(jù)國家規(guī)定的等級劃分標(biāo)準(zhǔn),設(shè)定其保護等級,自主進行信息系統(tǒng)安全建設(shè)和安全管理,提高安全保護的科學(xué)性、整體性、實用性。
2信息安全架構(gòu)分析
2.1風(fēng)險分析
1)網(wǎng)絡(luò)安全風(fēng)險分析
信息傳輸依賴于網(wǎng)絡(luò),信息的安全很大程度上依賴于網(wǎng)絡(luò)的安全。數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中可能會被竊取、非法篡改,真實性和完整性遭到破壞,從而造成信息泄漏。影響網(wǎng)絡(luò)安全運行的風(fēng)險主要包括:a)網(wǎng)絡(luò)結(jié)構(gòu)存在單點故障,設(shè)備性能不足以支撐業(yè)務(wù)系統(tǒng)需求等原因造成網(wǎng)絡(luò)堵塞,業(yè)務(wù)丟包率較高。b)由于網(wǎng)絡(luò)互連引起越權(quán)訪問、惡意攻擊、病毒入侵等原因,使得網(wǎng)絡(luò)邊界存在安全隱患。c)缺乏必要的身份鑒別、安全防范、安全審計等技術(shù)手段,容易造成設(shè)備的無權(quán)限訪問和惡意更改設(shè)備參數(shù)。d)缺乏必要的網(wǎng)絡(luò)安全檢測、主動防御設(shè)備,使得惡意攻擊、非法訪問、網(wǎng)絡(luò)病毒、DOS(拒絕服務(wù))/DDOS攻擊、網(wǎng)頁篡改等時常發(fā)生,無法有效阻止網(wǎng)絡(luò)攻擊而造成網(wǎng)絡(luò)癱瘓。
2)主機安全風(fēng)險分析
主機安全主要指終端設(shè)備、服務(wù)器的系統(tǒng)安全。目前的操作系統(tǒng)無論是Windows還是Linux都可能存在安全漏洞,影響主機運行安全的風(fēng)險主要有:a)缺乏必要的身份鑒別、安全審計等手段,容易造成設(shè)備的無權(quán)限訪問和惡意更改設(shè)備參數(shù)。b)系統(tǒng)中殘存有未及時刪除的過期賬號、測試賬號、共享賬號、默認(rèn)用戶等可非法入侵的賬戶信息。c)操作系統(tǒng)存在安全漏洞、安全設(shè)置不當(dāng)、用戶權(quán)限設(shè)置不當(dāng)?shù)惹闆r,使得文件信息、數(shù)據(jù)庫信息、敏感信息等被用戶非法獲取。d)病毒入侵導(dǎo)致信息泄漏、文件丟失、機器死機等不安全因素。
3)應(yīng)用安全風(fēng)險分析
應(yīng)用的安全性是動態(tài)的、不斷變化的,應(yīng)用安全需要從軟件開發(fā)階段進行安全防護,保護應(yīng)用軟件的健壯性。影響應(yīng)用系統(tǒng)運行安全的風(fēng)險主要有:a)用戶賬號被非法使用,冒用他人身份非法訪問信息系統(tǒng),導(dǎo)致數(shù)據(jù)被非法竊取、非授權(quán)訪問、惡意篡改等非法操作。b)缺乏必要的操作行為記錄及審計手段,無法為查獲違法操作者提供必要的數(shù)據(jù)證據(jù),使操作者逃避責(zé)任處罰。c)應(yīng)用軟件存在漏洞或在開發(fā)過程中存在后門,為黑客留下入侵的可操作性;同時軟件進程資源可能未設(shè)置最大、最小限額以及多重并發(fā)訪問限制,軟件資源被迅速占用,導(dǎo)致系統(tǒng)資源被耗盡而無法訪問。
4)數(shù)據(jù)安全及備份恢復(fù)
數(shù)據(jù)是信息系統(tǒng)的核心,當(dāng)關(guān)鍵數(shù)據(jù)被非法竊取或未做備份而無法及時恢復(fù)時,將對信息系統(tǒng)造成極大的經(jīng)濟損失和惡劣影響。影響數(shù)據(jù)安全及備份恢復(fù)的風(fēng)險主要有:a)在數(shù)據(jù)傳輸過程中無法檢測用戶數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等在傳輸過程中是否受到破壞或者被非法竊取。b)因數(shù)據(jù)泄露時未加密,而被非法解密后使用。c)因關(guān)鍵數(shù)據(jù)未及時備份,在主節(jié)點遭到破壞后無法及時進行數(shù)據(jù)恢復(fù)。
5)管理安全風(fēng)險分析
責(zé)權(quán)不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險,不僅要防范外部的非法入侵,同時也要做好內(nèi)部人員管理,防止內(nèi)部人員無意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)、用戶名/密碼等。影響管理安全的風(fēng)險主要有:a)沒有相應(yīng)的安全管理組織,缺少安全管理人員編制,安全管理組織不健全會造成上下級管理混亂,遇到突況時無法及時有效地進行應(yīng)急響應(yīng)。b)缺少必要的安全運維管理系統(tǒng),不能實時監(jiān)控機房工作、網(wǎng)絡(luò)連接、系統(tǒng)運行狀態(tài),不能及時發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件。c)人員安全意識淡薄,在日常工作中無意泄露系統(tǒng)口令、隨意放置操作員卡、私接外網(wǎng)、非法拷貝系統(tǒng)信息、私自安裝/卸載程序、違規(guī)操作、擅離崗位等均會造成安全隱患。d)人員分工和職責(zé)不明,缺乏必要的監(jiān)督、約束、獎罰制度等造成的潛在管理風(fēng)險。e)缺乏必要的人員安全培訓(xùn),缺少對系統(tǒng)故障、信息泄露等突發(fā)事件的及時應(yīng)對措施,錯過事件的最佳處置時間。
2.2需求分析
2.2.1網(wǎng)絡(luò)安全需求
網(wǎng)絡(luò)安全策略包括防火墻安全策略、入侵防御系統(tǒng)安全策略、入侵檢測系統(tǒng)安全策略、交換機安全策略、數(shù)據(jù)交換安全策略等;網(wǎng)絡(luò)安全不僅需要進行整體防護、綜合分析,而且各分區(qū)安全也需考慮各區(qū)的業(yè)務(wù)特點進行針對性防護。a)結(jié)構(gòu)安全要求:采用冗余架構(gòu)模式,考慮設(shè)備性能、業(yè)務(wù)需求、性能需求,并預(yù)留一定的冗余量,從整體上保障網(wǎng)絡(luò)架構(gòu)的彈性。b)訪問控制策略:交換機應(yīng)進行端口MAC(媒體控制接入)地址綁定和VLAN(虛擬局域網(wǎng))設(shè)置,開啟防火墻上的ACL(訪問控制列表)、QoS保障策略等,實現(xiàn)設(shè)備認(rèn)證、用戶身份鑒別、非法接入識別等功能,同時根據(jù)IP地址、端口、協(xié)議等控制數(shù)據(jù)流大小、網(wǎng)絡(luò)連接數(shù)量。c)安全審計:需啟用相關(guān)設(shè)備的系統(tǒng)日志功能,通過應(yīng)用層檢測分析設(shè)備對進出網(wǎng)絡(luò)的數(shù)據(jù)進行七層包捕捉和綜合分析;通過采集安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的日志及網(wǎng)絡(luò)安全事件,實現(xiàn)對用戶網(wǎng)絡(luò)行為、網(wǎng)絡(luò)傳輸內(nèi)容的監(jiān)控,并進行統(tǒng)計分析和安全審計。d)邊界完整性檢查:需對終端設(shè)備進行802.1x接入認(rèn)證管理,防止設(shè)備的非法接入;同時需開啟各區(qū)域邊界安全設(shè)備的訪問策略,實現(xiàn)各區(qū)之間的邊界安全。e)入侵防范:需對網(wǎng)絡(luò)數(shù)據(jù)包進行過濾、分析,針對網(wǎng)絡(luò)異常行為進行報警,并將攻擊行為阻擋在安全區(qū)域之外。f)惡意代碼防護:需實現(xiàn)對網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)漏洞的主動掃描,及時發(fā)現(xiàn)安全漏洞并進行修補。g)網(wǎng)絡(luò)設(shè)備防護:需對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份認(rèn)證、權(quán)限認(rèn)證、行為審計等,需實現(xiàn)用戶登錄地址限定、會話數(shù)限制、登錄失敗處理等功能,避免惡意攻擊或遠(yuǎn)端系統(tǒng)的意外崩潰導(dǎo)致系統(tǒng)資源被獨占;需根據(jù)信息重要性劃分系統(tǒng)安全域,并按照最小授權(quán)原則對用戶權(quán)限進行劃分,避免合法用戶的非法訪問。
2.2.2主機安全需求
a)身份鑒別:需實現(xiàn)對主機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的集中管理,定期更換各設(shè)備登錄口令且滿足復(fù)雜度要求,避免非法用戶的登錄,同時啟用登錄失敗功能,對無效口令的用戶名進行鎖定;針對Linux、Windows等操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)開啟密碼監(jiān)控策略、賬戶鎖定閾值、賬戶鎖定時間、賬戶鎖定策略等功能。b)訪問控制:需實現(xiàn)對敏感信息的標(biāo)記,嚴(yán)格限制系統(tǒng)賬戶和權(quán)限,刪除過期的、多余的賬戶,禁用或鎖定系統(tǒng)默認(rèn)賬戶,對不同管理員設(shè)置最小的合理權(quán)限,盡量避免合法用戶的非法訪問和非法用戶的訪問。c)安全審計:借助相關(guān)審計系統(tǒng)及時發(fā)現(xiàn)違規(guī)操作和非法訪問情況,提高安全防護能力。d)剩余信息保護:操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶使用前需得到有效刪除,及時清除服務(wù)器內(nèi)的殘余信息,保障數(shù)據(jù)不被非法使用。e)入侵防范:操作系統(tǒng)的安裝應(yīng)遵循最小安裝原則,僅安裝必要的組件和應(yīng)用程序,關(guān)閉多余服務(wù)等;僅開放業(yè)務(wù)需要的服務(wù)端口,刪除默認(rèn)的共享路徑,并對不需要的組件進行手動卸載;需定期進行主機掃描、數(shù)據(jù)庫掃描等,及時發(fā)現(xiàn)外部、內(nèi)部滲透的攻擊行為并告警。f)惡意代碼防范:在所有終端和服務(wù)器上需部署防病毒軟件,控制終端接入設(shè)備類型及接入準(zhǔn)則,及時升級惡意代碼軟件版本以及惡意代碼庫,提高主機防范能力。g)資源控制:需實時監(jiān)控設(shè)備CPU、內(nèi)存、磁盤空間等重要資源狀況,及時發(fā)現(xiàn)設(shè)備故障和異常行為,同時限制單個用戶對系統(tǒng)資源的最大或最小使用限度。
2.2.3應(yīng)用安全需求
a)身份鑒別:需對用戶進行口令、數(shù)字證書的雙因素身份認(rèn)證,保證用戶身份的真實性,通過設(shè)定嘗試登錄次數(shù)和登錄時間閾值來限制用戶登錄,并采用結(jié)束會話、鎖定賬戶等安全措施。b)訪問控制:對不同帳戶分配業(yè)務(wù)所需的最小權(quán)限,嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限,同時需將系統(tǒng)管理和審計等特權(quán)權(quán)限分配給不同的用戶;嚴(yán)格控制對應(yīng)用系統(tǒng)的文件、數(shù)據(jù)庫等資源的訪問,避免越權(quán)非法使用。c)安全審計:需實現(xiàn)對重要安全事件的日期、時間、發(fā)起者信息、類型、描述、結(jié)果、操作等進行保護,需保證應(yīng)用系統(tǒng)無法單獨中斷審計進程,并阻止非法刪除、修改或覆蓋審計記錄。d)剩余信息保護:需保障用戶鑒別信息、密鑰、文件、目錄、數(shù)據(jù)庫記錄等敏感信息所在的存儲空間被釋放或再分配給其他用戶使用前得到完全清除。e)通信完整性:需防止數(shù)據(jù)在傳輸過程中被非法竊取或篡改。f)通信保密:數(shù)據(jù)在傳輸前需進行加密,防止非法用戶的讀取。g)抗抵賴:需為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)或接收證據(jù),防止用戶為其非法操作而逃避責(zé)任處罰。h)軟件容錯:應(yīng)用軟件應(yīng)具備數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求,并可提示用戶內(nèi)容輸入格式。i)資源控制:需實現(xiàn)會話自動結(jié)束并釋放資源、會話限制、登錄條件限制、超時鎖定、用戶可用資源閾值限制、用戶服務(wù)優(yōu)先級設(shè)置等功能,防止造成資源耗盡、服務(wù)中斷等后果。
2.2.4數(shù)據(jù)安全及備份恢復(fù)需求
a)數(shù)據(jù)完整性:應(yīng)用系統(tǒng)應(yīng)支持調(diào)用相關(guān)接口對重要數(shù)據(jù)在存儲和處理過程中進行保密性和完整性保護;當(dāng)管理、業(yè)務(wù)等數(shù)據(jù)受到破壞時,應(yīng)能夠根據(jù)數(shù)據(jù)重傳、存儲冗余機制等方式保障數(shù)據(jù)的校驗恢復(fù)。b)數(shù)據(jù)保密性:綜合運用隧道封裝、認(rèn)證、加密、訪問控制等多種網(wǎng)絡(luò)安全技術(shù),防止數(shù)據(jù)在傳輸過程中被篡改。c)備份和恢復(fù):重要交換機、網(wǎng)絡(luò)安全設(shè)備需實現(xiàn)雙機熱備;需實現(xiàn)對操作系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的實時備份,當(dāng)遇到故障時需能夠及時進行數(shù)據(jù)恢復(fù),保障系統(tǒng)的正常運行。
2.2.5管理安全需求
a)安全管理機構(gòu):明確安全管理機構(gòu)中各個部門和崗位的職責(zé)、分工、技能要求,配置專職安全管理員,制定安全審核和安全檢查制度,規(guī)范安全審核和安全檢查工作。b)人員安全管理:制定相關(guān)制度,定期對各個崗位的人員進行安全技能及安全認(rèn)知的考核,并對考核結(jié)果進行記錄和保存。c)系統(tǒng)建設(shè)管理:根據(jù)信息系統(tǒng)的等級劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)架構(gòu)、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案,并形成配套文件。d)系統(tǒng)運維管理:制定相關(guān)制度,對終端計算機、便攜計算機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理。
3信息安全防護架構(gòu)及解決方案
一個信息系統(tǒng)通常參照數(shù)據(jù)分區(qū)域保護原則進行區(qū)域劃分,做到各區(qū)域數(shù)據(jù)的安全隔離及針對不同數(shù)據(jù)分別做到針對性保護。分區(qū)域保護需要做到重點明確,將有效的安全資源投入到最需要保護的部分,并且由各個不同區(qū)域組成多層次的立體防護體系。安全域是由一組具有相同安全保護需求并且相互信任的系統(tǒng)組成的邏輯區(qū)域,同一安全域中的系統(tǒng)應(yīng)具有相同的安全防護策略。安全域劃分的目的是把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題,以系統(tǒng)行為和業(yè)務(wù)角度為主,輔以安全角度等因素劃分為更小區(qū)域,以較小的代價完成安全域劃分并保障其安全性。網(wǎng)絡(luò)安全的防護系統(tǒng)基本由網(wǎng)絡(luò)安全設(shè)備(防火墻等)、身份鑒別系統(tǒng)(數(shù)字認(rèn)證系統(tǒng)等)、安全防范系統(tǒng)(IDS、防病毒網(wǎng)關(guān)等)、安全審計系統(tǒng)(網(wǎng)絡(luò)行為審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等)、安全監(jiān)控系統(tǒng)(終端安全管理與監(jiān)控系統(tǒng)、漏洞掃描系統(tǒng)等)、安全運維系統(tǒng)(運維堡壘機、IT/IP系統(tǒng)等)等安全類系統(tǒng)組成。根據(jù)常規(guī)業(yè)務(wù)情況將網(wǎng)絡(luò)劃分為9個區(qū)域,每個區(qū)域中部署具有同一安全等級保護的信息系統(tǒng),同時根據(jù)信息系統(tǒng)特點以及分權(quán)分域原則等制定針對性防護策略。各區(qū)域的主要功能情況如下:a)核心交換區(qū):用于連接網(wǎng)絡(luò)中與內(nèi)部互通區(qū)域和對外連接區(qū)域的設(shè)備;部署IDS(入侵檢測系統(tǒng))、網(wǎng)絡(luò)流量分析儀、網(wǎng)絡(luò)行為審計系統(tǒng)等安全設(shè)備。b)應(yīng)用服務(wù)區(qū):部署內(nèi)部網(wǎng)絡(luò)應(yīng)用所需的各種信息系統(tǒng)(應(yīng)用軟件系統(tǒng));部署數(shù)據(jù)庫審計系統(tǒng)、WAF(Web應(yīng)用防火墻)、防垃圾郵件網(wǎng)關(guān)等安全設(shè)備。c)安全管理區(qū):部署保障整個網(wǎng)絡(luò)架構(gòu)安全的安全設(shè)備和安全系統(tǒng),其中等級保護2級以上要求具備SOC(安全管理平臺)系統(tǒng);部署4A服務(wù)器、漏洞掃描系統(tǒng)、惡意代碼檢測系統(tǒng)、數(shù)據(jù)加解密系統(tǒng)、主機審計系統(tǒng)、終端安全管理及監(jiān)控系統(tǒng)、防病毒系統(tǒng)等安全系統(tǒng)。d)網(wǎng)絡(luò)資源管理區(qū):實現(xiàn)運維人員的安全接入,通過身份鑒別、權(quán)限控制、安全審計后對網(wǎng)絡(luò)中的設(shè)備進行監(jiān)控、維護、管理等操作;部署IT管理系統(tǒng)、IP管理系統(tǒng)、運維堡壘機等安全設(shè)備和系統(tǒng)。e)集中備份/異地災(zāi)備區(qū):數(shù)據(jù)安全及數(shù)據(jù)備份區(qū)域,其中等級保護2級要求建設(shè)集中備份區(qū),等級保護3級要求建設(shè)異地災(zāi)備區(qū)。f)本地終端用戶接入?yún)^(qū):為搭建網(wǎng)絡(luò)環(huán)境所在機房或辦公樓中的用戶提供網(wǎng)絡(luò)接入環(huán)境,滿足終端用戶訪問信息系統(tǒng)或互聯(lián)網(wǎng)的需求。g)內(nèi)部網(wǎng)絡(luò)遠(yuǎn)程訪問區(qū):為同屬該網(wǎng)絡(luò)架構(gòu)內(nèi)的異地小型辦公網(wǎng)或接入點的遠(yuǎn)程接入提供網(wǎng)絡(luò)接入環(huán)境,滿足異地用戶訪問內(nèi)部應(yīng)用系統(tǒng)、內(nèi)部資源服務(wù)的需求。h)DMZ(隔離區(qū))區(qū):內(nèi)部網(wǎng)絡(luò)對外網(wǎng)用戶提供服務(wù)的區(qū)域,便于互聯(lián)網(wǎng)用戶直接訪問內(nèi)部網(wǎng)絡(luò)對外提供的一些信息資源;部署WAF防火墻、數(shù)據(jù)庫審計系統(tǒng)、網(wǎng)絡(luò)行為審計系統(tǒng)、防病毒網(wǎng)關(guān)、防垃圾郵件網(wǎng)關(guān)等安全設(shè)備,為了防止DMZ區(qū)的外網(wǎng)用戶對內(nèi)部網(wǎng)絡(luò)的沖擊,兩個區(qū)域之間的資源交互通過2臺網(wǎng)閘進行安全隔離,以最大程度保障內(nèi)部網(wǎng)絡(luò)的安全性。i)互聯(lián)網(wǎng)/VPN(虛擬專用網(wǎng))接入?yún)^(qū):為內(nèi)部網(wǎng)絡(luò)員工訪問互聯(lián)網(wǎng)及有特殊需求的用戶(VPN、專線等方式接入內(nèi)部網(wǎng)絡(luò))提供網(wǎng)絡(luò)接入環(huán)境;部署防DDOS(分布式拒絕服務(wù))系統(tǒng)、UTM(統(tǒng)一威脅管理)等安全設(shè)備,主動防御進入網(wǎng)絡(luò)的病毒、服務(wù)攻擊等。各個區(qū)域之間的邊界安全通過邊界防火墻進行安全防護,安全管理區(qū)中的安全設(shè)備為進入網(wǎng)絡(luò)的用戶和數(shù)據(jù)提供身份鑒別、安全認(rèn)證、安全檢測、數(shù)據(jù)加解密、安全防范、安全監(jiān)控、安全事件綜合分析等網(wǎng)絡(luò)及系統(tǒng)安全保護,同時與網(wǎng)絡(luò)中各分區(qū)的安全設(shè)備進行聯(lián)動,加強網(wǎng)絡(luò)的整體安全性,最大程度地保護進入網(wǎng)絡(luò)中的用戶身份合法性、數(shù)據(jù)安全性。安全設(shè)備在制定安全策略時需根據(jù)其設(shè)備特點、功能制定不同的安全防護策略,以縱深防御方式保障網(wǎng)絡(luò)的整體安全。
4結(jié)束語
【關(guān)鍵詞】軟件測試;安全測試;測試要點;策略
軟件開發(fā)的完善給測試人員帶來巨大的壓力,從開發(fā)至軟件投入使用,都不缺測試工程師的身影。其中過程需要六大質(zhì)量特性的測試、性能測試、甚至安全測試。針對安全保密性方面,測試工程師需要利用資源進行測試要點的收集及測試用例的設(shè)計,從而更多的發(fā)現(xiàn)軟件運行時可能出現(xiàn)的安全漏洞。
一、數(shù)據(jù)庫安全的測試策略
數(shù)據(jù)庫安全是整個系統(tǒng)的核心,系統(tǒng)中所有用戶的信息全依靠數(shù)據(jù)庫的校驗。在數(shù)據(jù)庫測試策略中,針對B/S架構(gòu)軟件最常用的有身份鑒別、安全審計、漏洞安全等三方面。
(一)身份鑒別:為的是測試數(shù)據(jù)庫系統(tǒng)賬戶口令和傳輸?shù)陌踩?,?zhí)行過程中主用SELECT * FROM DBA_PROFILES命令,其中包涵的內(nèi)容有:1.數(shù)據(jù)庫系統(tǒng)密碼復(fù)雜度函數(shù)必須實現(xiàn)配置,以避免密碼被破解而導(dǎo)致用戶敏感信息泄露。2.用戶登錄系統(tǒng)失敗有處理機制,以避免有意人員利用會話失敗,進行用戶并發(fā)攻擊數(shù)據(jù)庫,致使數(shù)據(jù)庫崩潰。3.在用戶連接數(shù)據(jù)庫后閑置超時,必須有配置自動退出,以避免用戶敏感信息被惡意抓包。
(二)安全審計:對數(shù)據(jù)庫系統(tǒng)日志審計的安全性進行測試,保證數(shù)據(jù)庫審計策略配置必須達到基線要求。
(三)漏洞安全:同樣是對數(shù)據(jù)庫系統(tǒng)日志審計的安全進行測試,保證數(shù)據(jù)庫能達到安全配置要求:1.數(shù)據(jù)庫必須存在拒絕服務(wù)攻擊配置。2.不能有遠(yuǎn)程溢出等安全漏洞。3.數(shù)據(jù)庫組件必須安全配置完備,無漏洞。4.數(shù)據(jù)庫內(nèi)核漏洞均已修復(fù)。
二、WEB應(yīng)用安全:B/S架構(gòu)已成為市場信息系統(tǒng)開發(fā)的主流,而WEB應(yīng)用的安全防護更需要謹(jǐn)而慎之,下面羅列出針對WEB應(yīng)用安全的常見的測試策略
(一)密鑰管理:要求根據(jù)某個指定的標(biāo)準(zhǔn)規(guī)定的算法和密鑰長度來生成密鑰。操作步驟:1.進入Web應(yīng)用系統(tǒng),打開密碼修改功能;2.查看Web應(yīng)用的密碼修改功能是否需要輸入原密碼。3.設(shè)置簡單密碼123456,記錄返回結(jié)果。期望結(jié)果:修改密碼是需要輸入原密碼,并且不能設(shè)置簡單密碼。
(二)輸出到TSF控制之外:經(jīng)由本功能輸出的用戶數(shù)據(jù)輸出時沒有輸出相關(guān)的安全屬性。操作步驟:1.使用webscarab對登錄操作進行抓包;2.查看數(shù)據(jù)包內(nèi)容是否為明文傳輸。期望結(jié)果:數(shù)據(jù)包中的密碼已進行加密處理。
(三)信息流控制功能:對每一個操作,主體和信息的安全屬性之間必須支持基于安全屬性的關(guān)系,TSF應(yīng)允許信息在受控主體和受控信息之間經(jīng)由受控操作流動。操作步驟:1.打開appscanweb安全掃描軟件;2.新建任務(wù);3.輸入域名;4.開始掃描;5.記錄掃描結(jié)果。期望結(jié)果:不存在注入漏洞及跨站漏洞。
(四)TOE內(nèi)部傳送:數(shù)據(jù)在傳輸過程中,期間的所有設(shè)備都必須對傳輸數(shù)據(jù)的完整性座監(jiān)視。操作步驟:1.使用webscarab進行抓包;2.修改數(shù)據(jù)包中內(nèi)容;3.查看返回信息。期望結(jié)果:無法修改數(shù)據(jù)包中內(nèi)容
(五)殘余信息保護(TSF數(shù)據(jù)管理):確保系統(tǒng)內(nèi)文件、目錄等資源所在的存儲空間,被釋放或重新分配給其它用戶前得到完全清除。
(六)訪問控制功能:提供訪問控制功能,依據(jù)安全策略控制用戶組對系統(tǒng)功能、文件、數(shù)據(jù)庫表等客體的訪問。
(七)鑒別失敗:檢測系統(tǒng)對用戶多次嘗試登錄失敗,系統(tǒng)做出相應(yīng)的處理。操作步驟:1.連續(xù)輸入十次賬號密碼;2.查看系統(tǒng)對該賬號是否鎖定。期望結(jié)果:賬號被鎖定。
(八)用戶標(biāo)識:在登錄網(wǎng)站前要求用戶必須輸入用戶名。操作步驟:1.打開web登錄頁面;2.查看是否需要輸入用戶名和密碼才可登錄。期望結(jié)果:必須輸入用戶名和密碼。
(九)不可觀察性:要求功能或資源的使用不能被規(guī)定的用戶或主體觀察到,規(guī)定用戶隱私有關(guān)的信息在評估對象內(nèi)是分布式的。期望結(jié)果:1.進入應(yīng)用系統(tǒng)-使用最高權(quán)限管理員登錄系統(tǒng),在用戶管理中查看有哪些級別用戶和用戶的權(quán)限;2.退出系統(tǒng)使用普通用戶登錄系統(tǒng),去訪問非授權(quán)資源,和查看非授權(quán)的信息。期望結(jié)果:無敏感信息泄露。
(十)時間戳:評估對象的安全功能需為它自己的使用提供可靠的時間源。
(十一)評估對象訪問旗標(biāo):在建立一個用戶會話之前,評估對象安全功能應(yīng)顯示有關(guān)未授權(quán)使用評估對象的一個勸告性警示信息。
(十二)會話鎖定:在一定時間內(nèi),用戶沒有做任何操作,系統(tǒng)則自動鎖屏或顯示一個非重要功能的頁面,當(dāng)用戶再次使用時,需要重新登錄。操作步驟:1.進入web系統(tǒng);2.閑置5-10分鐘;3.刷新頁面;4.記錄返回結(jié)果。期望結(jié)果:賬戶已自動退出。
三、主機安全:主機是系統(tǒng)客戶端與數(shù)據(jù)庫進行數(shù)據(jù)交換的中心,在其上的安全跟數(shù)據(jù)庫安全相同,需要針對身份鑒別、安全審計、漏洞安全進行探察
(一)身份鑒別:1.系統(tǒng)配置避免重復(fù)UID策略。2.系統(tǒng)配置密碼安全策略。
(二)安全審計:操作系統(tǒng)中必須開啟安全審計策略。
(三)漏洞安全:系統(tǒng)不存在高風(fēng)險安全漏洞。
總之上述只是簡單常見的安全測試要點,安全測試涉及的知識面很廣,不同的軟件領(lǐng)域需要的測試點不同,此時則需要我們在實際工作過程中自我總結(jié)出屬于自己并適合公司的測試要點。
參考文獻:
[1]GB-T 16260.1-2006 軟件工程 產(chǎn)品質(zhì)量.
關(guān)鍵詞:信息安全;體系建設(shè);方案
中圖分類號:TP309.2文獻標(biāo)識碼:A文章編號:1009-3044(2008)36-2846-02
The Implementation Program of an Information Security System for an Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.
Key words: information security; system construction; program
1 引言
信息安全的體系建設(shè)就是讓企業(yè)建立安全的組織架構(gòu),同時建立一套管理規(guī)范來規(guī)范成員的行為,并建立起安全的平臺為企業(yè)提供安全支撐同時為企業(yè)創(chuàng)造效益。本文根據(jù)一些企業(yè)現(xiàn)在實際情況,針對其信息安全現(xiàn)狀提出總體的實施步驟。企業(yè)在具體的實施過程中可參照這些步驟考慮實施。
下文將根據(jù)組織建設(shè)、管理建設(shè)和技術(shù)建設(shè)三個方面展開闡述。同時,在對技術(shù)建設(shè)闡述時,將從基礎(chǔ)設(shè)施建設(shè)和系統(tǒng)建設(shè)兩個方面分開闡述。
2 信息安全體系建設(shè)總體步驟
具體的實施步驟如圖1所示,具體包括:組織建設(shè)、團隊建設(shè)、管理規(guī)范、基礎(chǔ)環(huán)境、資產(chǎn)定級和評估、支撐系統(tǒng)和服務(wù)運維。以上組成部分都可歸結(jié)為組織建設(shè)、管理建設(shè)和技術(shù)建設(shè)三個方面。
圖1 信息安全體系建設(shè)步驟
實施步驟中有的步驟是可以同時進行的,如圖2所示。但有相對的優(yōu)先級,優(yōu)先級高的環(huán)節(jié)相應(yīng)的應(yīng)該放在優(yōu)先考慮的位置。有些環(huán)節(jié)鑒于完成的周期較長,建議可以同步進行,避免信息安全實施周期過長,影響企業(yè)的目標(biāo)達成。
3 組織建設(shè)
信息安全體系建設(shè)要做好,組織建設(shè)是關(guān)鍵。組織建設(shè)是所有其它建設(shè)的前提。而組織建設(shè)的第一步就是做好組織調(diào)整。組織調(diào)整就是把信息安全運營管理分為兩個部門,一個是生產(chǎn)部門,一個是管理部門。
3.1 信息安全管理部門
信息安全管理部門有權(quán)對其它部門進行安全考核,同時信息安全生產(chǎn)部門是由信息安全的管理部門直接管理指揮的。信息安全管理部門的職責(zé)決定其管理部門對企業(yè)信息安全有著全局的管控能力,負(fù)責(zé)信息安全全局任務(wù)下達和監(jiān)督,安全戰(zhàn)略目標(biāo)的建議以及政府、公安、司法等安全外聯(lián)。
3.2 信息安全生產(chǎn)部門
信息安全生產(chǎn)的部門,其信息安全生產(chǎn)內(nèi)容包括三個部分,對內(nèi)是企業(yè)信息安全的支撐、對外提供企業(yè)信息安全服務(wù)和公眾信息安全服務(wù),接受安全管理部門的領(lǐng)導(dǎo)的管理和考核,和其他生產(chǎn)部門屬平級關(guān)系。
4 管理建設(shè)
4.1 管理制度頒布
對于管理制度,必須對管理規(guī)范和流程進行規(guī)范定義,在管理制定頒布之前應(yīng)該作以下的事情:由安全管理部門牽頭召開各個部門參與的管理制定內(nèi)容研究討論會,收集各方建議;根據(jù)各個建議對管理制度進行修訂;修訂后管理制度,再次召集各個部門討論并基本通過;安全管理部門頒布管理制度并確定管理制度的實施的開始時間;在制度實施開始時間之前,進行制度宣灌,組織各個部門參加學(xué)習(xí),并進行相關(guān)學(xué)習(xí)的考試;管理制度開始實施。
4.2 管理制度落實
信息安全管理制度落實是由信息安全管理部門的管控部執(zhí)行的,管控部包括考核、質(zhì)檢、審計三個小組共同組成,考核各個部門管理制度的落實情況。如何對各個部門的信息安全情況進行考核呢?不同時期有不同的做法,分為兩個階段:
一是SOC(信息安全運維中心)建設(shè)階段。SOC建設(shè)階段由于安全生產(chǎn)組織和安全支撐系統(tǒng)還不夠健全,對安全的支撐十分有限,因此這個階段的質(zhì)檢、審計、考核多以手工為主,信息安全審計和信息安全質(zhì)檢以部門抽樣檢查為主,無法做到全面的普查。信息安全質(zhì)檢組定期進行各個部門的信息安全檢查,主要工作是定期的信息安全巡檢工作。信息安全審計組對各個部門的工作日志進行定期的審計工作,特別是出現(xiàn)信息安全事件后的審計工作。信息安全生產(chǎn)部門配合管理部門進行信息安全質(zhì)檢工作和審計工作,同時信息安全生產(chǎn)部門承擔(dān)著SOC支撐系統(tǒng)建設(shè)的需求分析、項目監(jiān)督、系統(tǒng)驗收等工作。
二是SOC運維階段。SOC運維階段,由于各個信息安全支撐系統(tǒng)已經(jīng)較為完備,而且人員組織逐漸成熟,對信息安全的管控能力將實現(xiàn)一個質(zhì)的飛越,信息安全質(zhì)檢組可隨時對考核部門進行信息安全巡檢,巡檢可采用面向全網(wǎng)的信息安全自動巡檢,全面系統(tǒng)的分析全網(wǎng)的安全狀況,信息安全審計可分手工和自動相結(jié)合的方式進行審計,根據(jù)不同的業(yè)務(wù)應(yīng)用、訪問控制等進行審計分析,快速高效的進行審計。信息安全管控從抽樣管理到全面管理,從靜態(tài)管理到動態(tài)管理,從事后響應(yīng)到事前預(yù)防。
5 基礎(chǔ)設(shè)施建設(shè)及相關(guān)建設(shè)
信息安全基礎(chǔ)設(shè)施建設(shè)的目的主要是實現(xiàn)對現(xiàn)有生產(chǎn)網(wǎng)資源的集中和優(yōu)化,提高系統(tǒng)運行效率,并同時進行局部的信息安全加固和改進,使得在信息安全支持系統(tǒng)尚未建成時,使現(xiàn)有生產(chǎn)網(wǎng)系統(tǒng)的信息安全性和可用性提高到一個新的水準(zhǔn)。其內(nèi)容主要包括結(jié)構(gòu)調(diào)整、優(yōu)化整合和安全集成。結(jié)構(gòu)調(diào)整主要是對信息安全體系存在重大影響的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的調(diào)整;優(yōu)化整合是對信息安全可用性和保密性的關(guān)鍵因素進行改進,如操作通道的加密;安全集成是根據(jù)企業(yè)信息安全需要綜合分析后,得出在現(xiàn)有生產(chǎn)網(wǎng)上所要建設(shè)和購置的信息安全系統(tǒng)及產(chǎn)品。
此外,在經(jīng)過資產(chǎn)的等級劃分之后,并進行的相關(guān)信息資產(chǎn)的優(yōu)化整合后,全網(wǎng)中大量的信息安全問題和隱患將被排除,但是還會有許多的薄弱點,這些薄弱點是在優(yōu)化整合后還沒有解決的或疏忽的問題,找出這些薄弱點就需要一次系統(tǒng)的信息安全評估過程,把目前安全存在的問題進行分析。信息安全評估的是根據(jù)信息資產(chǎn)的本身的所處的網(wǎng)絡(luò)環(huán)境和信息資產(chǎn)價值有直接的關(guān)系,信息安全評估的目的不是要求企業(yè)把所有的問題一概而論的解決掉,而是告訴企業(yè)有這些一些問題值得關(guān)注,至于解決的問題的要投入的人力物力是根據(jù)信息資產(chǎn)的本身的價值而定。
6 系統(tǒng)建設(shè)
信息安全系統(tǒng)建設(shè)也即最后的信息安全體系建設(shè)的最后步驟,是具體實施的過程。在面上主要表現(xiàn)為依照信息安全體系建設(shè)規(guī)劃方案進行采購與部署。這里的采購對象包括:產(chǎn)品采購類、服務(wù)產(chǎn)品類和研發(fā)產(chǎn)品類。
6.1 產(chǎn)品采購類
在建設(shè)信息安全支撐和信息安全服務(wù)系統(tǒng)過程中會涉及到許多安全產(chǎn)品的采購,如防火墻、黑洞、入侵檢測、安全檢測工具產(chǎn)品、成熟的安全集成產(chǎn)品等等采購,因此我們將這部分不需要太多定制開發(fā)可直接購買或集成的產(chǎn)品定義為產(chǎn)品采購類。其采用的原則是:
1)安全產(chǎn)品的本身應(yīng)該具備的功能要求;2)安全產(chǎn)品本身應(yīng)該具備的性能要求;3)安全產(chǎn)品本身應(yīng)該具備的安全要求;4)安全產(chǎn)品應(yīng)該具體的管理要求;5)安全產(chǎn)品的可擴展性要求。
6.2 服務(wù)產(chǎn)品類
圖2 信息安全體系建設(shè)并行建設(shè)步驟
服務(wù)產(chǎn)品類,主要是針對對外安全服務(wù)的產(chǎn)品類,對外服務(wù)的產(chǎn)品類包括集成產(chǎn)品和服務(wù)內(nèi)容。服務(wù)產(chǎn)品定義主要是根據(jù)市場運營所推出相應(yīng)服務(wù)而定義。服務(wù)產(chǎn)品的實施原則如下:
1)產(chǎn)品市場潛力;2)產(chǎn)品的產(chǎn)出比戰(zhàn)略研究;3)產(chǎn)品相關(guān)的信息安全等級評估;4)產(chǎn)品相關(guān)的信息安全策略;5)產(chǎn)品相關(guān)的響應(yīng)團隊;6)產(chǎn)品宣傳渠道和策略分析;7)產(chǎn)品相關(guān)的增值服務(wù);8)產(chǎn)品創(chuàng)造價值的統(tǒng)計分析。
6.3 研發(fā)產(chǎn)品類
信息安全支撐系統(tǒng)和信息安全服務(wù)系統(tǒng)建設(shè)中,一定有一些系統(tǒng)需要進行定制開發(fā),這些定制開發(fā)的產(chǎn)品我們定義為研發(fā)類產(chǎn)品。研發(fā)類產(chǎn)品建設(shè)原則如下:
1)產(chǎn)品能夠滿足現(xiàn)有生產(chǎn)的功能要求;2)產(chǎn)品具有良好的可靠性和擴展性;3)產(chǎn)品具有一定先進性,能滿足3-5年企業(yè)IT發(fā)展要求;4)產(chǎn)品要預(yù)留信息安全管理接口,能對系統(tǒng)日志進行采集和審計。
7 結(jié)束語
文章針對在企業(yè)信息化程度越來越高的情況下,信息安全成為關(guān)乎企業(yè)生命的重要因素,提出了一種針對企業(yè)的信息安全體系建設(shè)實施方案。在具體的實施過程中,可以基于具體情況分步驟或者同時進行相關(guān)建設(shè)。此方案對于指導(dǎo)企業(yè)的信息安全體系建設(shè)有一定的參考意義。
參考文獻:
[1] 周學(xué)廣,劉藝. 信息安全學(xué)[M]. 北京: 機械工業(yè)出版社,2003.
[2] 韓祖德. 計算機信息安全基礎(chǔ)教程[M]. 北京: 人民郵電出版社, 2005.
[3] 陸廣能. 淺析數(shù)字化檔案信息安全問題[J]. 電腦知識與技術(shù), 2005, (10):30-32.
[4] 李娟. 淺談如何構(gòu)建檔案信息安全防護體系[J].河南職業(yè)技術(shù)師范學(xué)院學(xué)報, 2004, (4):20-25.
[5] 范開菊. 網(wǎng)絡(luò)環(huán)境下檔案信息安全問題探微[J]. 科技情報開發(fā)與經(jīng)濟, 2005, (2):47.