导图社区 软考高级-第22章 信息系统安全管理
- 231
- 2
- 1
- 举报
软考高级-第22章 信息系统安全管理
【信息系统安全管理】从信息系统安全策略、安全空间五大属性、PKI公开密钥、PMI权限(授权)管理、信息安全审计这几个方面描述信息系统安全管理
编辑于2022-07-01 14:12:18- PMI
- 安全管理…
- PKI
- 相似推荐
- 大纲
第22章 信息系统安全管理
信息系统安全策略
概念与内容
概念
是指针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的各种管理制度、措施、手段,以及建立的各种管理制度、规章等
安全策略的归宿点就是单位的资产得到充分的保护
安全策略的核心内容:定方案、定岗、定位、定员、定目标、定制度、定工作流程
建立安全策略需要处理好的关系
安全与应用的依存关系
风险度的观点
适度安全的观点
木桶效应的观点
信息系统安全等级保护的概念
第一级:用户自主保护级
通过隔离用户与数据,使用户具备自主安全保护的能力
第二级:系统审计保护级
实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责
该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位
第三级:安全标记保护级
具有系统设计保护级的所有功能
还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力
消除通过测试发生的任何错误
第四级:结构化保护级
建立于一个明确定义的形式安全策略模型之上,要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体
还要考虑隐蔽通道
系统具有相当的抗渗透能力
第五级:访问验证保护级
满足访问控制器需求
访问监控器仲裁主体对客体的全部访问
访问监控器本身是抗篡改的
信息系统安全策略设计原则
8个总原则
主要领导人负责原则
规范定级原则
依法行政原则
以人为本原则
注重效费比原则
全面防范、突出重点原则
系统、动态原则
特殊的安全管理原则
10个特殊原则
分权制衡原则
最小特权原则
标准化原则
用成熟的先进技术原则
失效保护原则
普遍参与原则
职责分离原则
审计独立原则
控制社会影响原则
保护资源和效率原则
信息系统安全方案
与信息系统安全方案有关的系统组成因素
主要硬件设备的选型
操作系统和数据库的选型
网络拓扑结构的选型
数据存储方案和存储设备的选型
安全设备的选型
应用软件开发平台的选型
应用软件的系统结构的确定
供货商和集成商的选择等
业务运营与安全管理的职责(岗位)划分
应急处理方案的确定及人员的落实
确定信息系统安全方案
首先确定采用MIS+S、S-MIS体系架构,不同体系架构差别很大,对后续工作和目标影响很大
确定业务和数据存储的方案
网络拓扑结构
基础安全设施和主要安全设备的选型
业务应用信息系统的安全级别的确定
系统资金和人员投入的档次
信息安全系统工程
概述
信息系统业界又叫作信息应用系统、信息应用管理系统、管理信息系统,简称MIS
信息安全系统服务于业务应用信息系统并与之密不可分,但又不能混为一谈
业务应用信息系统支撑业务运营的计算机应用信息系统
信息系统工程即建造信息系统的工程,包括两个独立且不可分割的部分,即信息安全系统工程和业务应用信息系统工程
信息安全系统工程是指为了达到建设好信息安全系统的特殊需要而组织实施的工程
信息安全系统
概述
信息安全保障系统一般简称为信息安全系统,它是“信息系统”的一个部分,用于保证“业务应用信息系统”正常运营
要建立一个“信息系统”,就必须要建立一个或多个业务应用信息系统和一个信息安全系统
安全空间五大属性
安全机制
第一层:基础设施实体安全
机房安全:包括机房环境、温度、湿度、电磁、噪声、防尘、静电和振动等
场地安全,包括建筑安全,防火、防雷、围墙和门禁系统等
设施安全包括设备可靠性、通信线路安全性和辐射控制与防泄漏等
动力系统安全,包括电源安全和空调等
灾难预防与恢复
第二层:平台安全
操作系统漏洞检测与修复,包括Unix系统、Windows系统、Linux系统和网络协议等
网络基础设施漏洞检测与修复,包括路由器、交换机和防火墙等
通用基础应用程序漏洞检测与修复,包括数据库、Web、FTP、Email、DNS以及其他各种系统守护进程等
网络安全产品部署,平台安全的实施需要用到市场上常见的网络安全产品,主要包括防火墙、入侵检测、脆弱性扫描和预防病毒产品
第三层:数据安全
介质与载体安全保护
数据访问控制,包括系统数据访问控制检查、标识与鉴别等
数据完整性
数据可用性
数据监控和审计
数据存储与备份安全
第四层:通信安全
通信线路和网络基础设施安全性测试与优化
安装网络加密设施
设置通信加密软件
设置身份鉴别机制
设置并测试安全通道
设置各项网络协议运行漏洞
第五层:应用安全
业务软件的程序安全性测试(BUG分析)
业务交往的防抵赖测试
业务资源的访问控制验证测试
业务实体的身份鉴别检测
业务现场的备份与恢复机制检查
业务数据的唯一性、一致性和防冲突检测
业务数据的保密性测试
业务系统的可靠性测试
业务系统的可用性测试
第六层:运行安全
应急处置机制和配套服务
网络系统安全性监测
网络安全产品运行监测
定期检查和评估
系统升级和补丁提供
跟踪最新安全漏洞及通报
灾难恢复机制与预防,系统改造管理
网络安全专业技术咨询服务
第七层:管理安全
包括人员管理、培训管理、应用系统管理、软件管理、设备关联、文档管理、数据管理、操作管理、运行管理、机房管理
第八层:授权和审计安全
审计安全是指
监控网络内部的用户活动
检测系统中存在的潜在威胁
对日常运行状况的统计和分析
对突发案件和异常事件的事后分析
安全审计是信息安全系统必须支持的功能特性
授权安全
是指以向用户和应用程序提供权限管理和授权服务为节目表,主要负责向业务应用系统提供授权服务管理,提供用户身份到应用授权的映射功能
实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制
第九层:安全防范体系
企业安全防范体系的建立,就是使得企业具有较强的应急事故处理能力,其核心是实现企业信息安全资源的综合管理
企业安全防范体系发挥的六项能力:预警、保护、检测、反应、恢复和反击6个环节
安全服务
对实体认证服务、数据保密服务、数据完整性服务、数据源点认证服务等
安全技术
加密技术
数字签名技术
访问控制技术
数据完整性技术
认证技术
数据挖掘技术
信息安全系统架构体系
MIS+S系统(初级信息安全保障系统)
这样的系统是初等德国、简单的信息安全保障系统
特点是:业务应用系统基本不变、硬件和系统软件通用、安全设备基本不带密码
S-MIS系统(标准信息安全保障系统)
S-MIS一定是涉密系统,即系统中一定要用到密码和密码设备,移动是基于PKI/CA和PMI/AA建立的支撑用户的业务应用信息系统的运营
特点
硬件和系统软件通用
PKI/CA安全保障系统必须带密码
业务应用系统必须根本改变
主要的通用的硬件,软件也要通过PKI/CA认证
S2-MIS系统(超安全的信息安全保障系统)
这样的系统是建立在“绝对的”安全的信息安全基础设施上的
不仅使用世界公认的PKI/CA标准,同时硬件和系统软件都使用专用的、安全产品
特点
硬件和系统软件专用
PKI/CA安全基础设施必须带密码
业务应用系统必须根本改变
系统架构示意图
信息安全系统工程基础
信息安全系统工程与技术工程的关系
硬件工程
软件工程
通信及网络工程
数据存储和灾备工程
系统工程
测试工程
密码工程
企业信息化工程
信息安全系统工程活动离不开这些相关工程
信息安全系统与安全管理的关系
物理安全
计算机安全
网络安全
通信安全
输入/输出产品的安全
操作系统安全
数据库系统安全
数据安全
信息审计安全
人员安全
管理安全
辐射安全
信息安全系统工程体系结构
ISSE-CMM概述
ISSE是一门系统工程学,它的主要内容是确定系统和过程的安全风险,并且使安全风险降到最低或使其得到有效控制
信息安全系统工程能力成熟度模型ISSE-CMM是一种衡量信息安全系统工程实施能力的方法,是使用面向工程过程的一种方法
主要用于指导信息安全系统工程的完善和改进,是信息安全系统工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科
涵盖的几个方面
整个生命周期,包括工程开发、运行、维护和终止
管理、组织和工程活动等的组织
与其他规范如系统、软件、硬件、人的隐性、测试工程、系统管理、运行和维护等规范并行的相互作用
与其他组织的相互作用
ISSE过程
工程过程
包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程
风险过程
主要目标是降低信息系统运行的风险
保证过程
保证过程是指安全需求得到满足的可信程度
ISSE体系结构
基本模型
域维/安全过程域
汇集一个域中的相关活动,以便于使用
就是有关有价值的信息安全工程服务
可在整个组织生命周期中应用
能在多个组织和多个产品范围内实现
能作为一个独立过程进行改进
能够由类似过程兴趣组进行改进
包括所有需要满足过程域目标的基本实施BP
能力维/公共特性
能力级别
能力级别的重点与能力特点
PKI公开密钥基础设施
基本概念
PKI的总体架构
公钥基础设施PKI是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施
基本构件
数字证书
这是由机构经过数字签名后发给网上信息交易主体(企业或个人、设备或程序)的一段电子文档
这段文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥和私钥信息和其他属性信息等
利用数字证书,配合相应的安全代理软件,可以在网上信息交易过程中检验对方的身份真伪,实现信息交易双方的身份真伪,并保证交易信息的真实性、完整性、机密性和不可否认性
数字证书提供了PKI的基础
认证中心CA
CA是PKI的核心,它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务
数字证书注册审批机构RA
RA系统是CA的数字证书发放、管理的延伸
负责数字证书申请者的信息录入、审核以及数字证书发放等工作
对发放的数字证书完成相应的管理功能
数字签名
利用发信者的私钥和可靠的密码算法对待发信息或其电子摘要进行加密处理,这个过程和结果就是数字签名
收信者可以用发信者的公钥对收到的信息进行解密从而辨别真伪
经过数字签名后的信息具有真实性和不可否认(抵赖)性
密钥和证书管理工具
管理和审计数字证书的工具,认证中心使用它来管理在一个CA上的证书
双证书体系
PKI采用双证书体系,非对称算法支持RSA和ECC算法,对称密码算法支持国家密码管理委员会指定的算法
PKI的体系架构
分为信任服务体系和密钥管理中心
PKI信任服务体系:是为整个业务应用系统提供基于PKI数字证书认证机制的实体身份鉴别服务,包括认证机构、注册机构、证书库、证书撤销和教程认证等
PKI密钥管理中心提供密钥管理服务,向授权管理部门提供应急情况下的特殊密钥回复功能
包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等
双证书、双密钥机制
一对密钥用于签名(签名密钥对),一对密钥用于加密(加密密钥对)
加密密钥在密钥管理中心生成及备份,签名密钥由用户自行生成并保存
双密钥证书的生成过程
用户使用客户端产生签名密钥对
用户的签名私钥保存在客户端
用户将签名密钥对的公钥传送给CA中心
CA中心为用户的公钥签名,产生签名证书
CA中心将签名证书传回客户端进行保存
KMC(密钥管理中心)为用户生成加密密钥对
在KMC中备份加密密钥以备以后进行密钥恢复
CA中心为加密密钥对生成加密证书
CA中心将用户的加密私钥和加密证书打包成标准格式PKCS#12
将打包后的文件传回客户端
用户的客户端装入加密公钥和加密私钥
X.509证书标准
版本号:用来区分X.509的不同版本号
序列号:由CA给每一个证书分配唯一的数字型编号,当证书被取消时,实际上是将此证书的序列号放入由CA签发的CRL中,这也是序列号唯一的原因
签名算法标识符:用来指定用CA签发证书时所使用的签名算法
认证机构:即发出该证书的机构唯一的CA的X.500规范用名
有效期限:证书有效的时间包括两个日期,即证书开始生效期和证书失效的日期和时间,在所指定的这两个时间之间有效
主题信息:证书持有人的姓名、服务处所等信息
认证机构的数字签名:以确保这个证书在发放之后没有被改过
公钥信息:包括被证明有效的公钥值和加上使用这个公钥的方法名称
每一个版本必须包含的信息
公开密钥证书的标准扩展
密钥和政策信息
主体和发证人属性,包括主体代用名、发证者代用名、主体检索属性
证书通路约束,包括基本约束、指明其他的证书认证机构
与CRL有关的补充
数字证书的主要内容
数字证书的主要内容
数字证书及其生命周期
PKI/CA对数字证书的管理
包括证书的安全需求确定、证书申请、证书登记、分发、审计、撤回和更新
数字证书的生命周期
阶段一:安全需求确定
标识需要证书的应用程序
确定所需的安全级别
标识需要证书的用户、计算机和服务
确定如何保护私有密钥
阶段二:证书登记
生成
一个密钥对
收集登记信息
申请证书申请人发送一个证书申请
用CA的公开密钥对申请进行加密,然后把加密的申请发送给CA
验证信息
创建证书
发送或邮寄证书
阶段三:证书分发
阶段四:证书撤回
破坏了颁发证书的CA的安全
证书的接受者离开了单位,或者接受者的雇用状态已发生重大变化
破坏了证书的私有密钥
通过欺骗的方式得到一个证书
证书颁发给某个人,但是此人不再是一个受信任的伙伴
发生这些情况需要撤回证书
阶段五:证书更新
规划CA证书的生命周期
规划证书更新
阶段六:证书审计
映射证书到用户的账户
把一个证书映射到一个用户账户中
使用映射的用户账户对用户进行身份验证
用户接受由用户账户允许的特权和权限
一对一映射
把由一个CA颁发的所有证书映射到一个用户账户中
使用映射的用户账户对用户进行身份验证
用户接受经过用户账户允许的特权和权限
多对一映射
信任模型
PKI/CA的信任结构
层次信任结构
认证机构(CA)的严格层次结构可以描绘为一倒转的树,根在顶上,树枝向下伸展,树叶在下面
分布式信任结构
把信任分散到两个或更多个(或许是很多个)CA上
Web模型
以用户为中心的信任模型
实体命名DN信任机制
应用模式
电子商务
电子政务
网上银行
网上证券
PMI权限(授权)管理基础设施
PMI概念
PMI即权限管理基础设施或授权管理基础设施
PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权统一交由授权机构进行管理,即由资源的所有者来进行访问控制管理
PMI与PKI的区别
PMI和PKI逐项比较
属性证书及其管理中心
PKI信任源有时被称为根CA,而PMI信任源被称为权威源SOA
属性证书定义
属性证书的格式
版本号
持有者
颁发者
签名算法
序列号
有效期
属性
扩展项
签名信息
属性证书的特点
分立的发行机构
基于属性,而不是基于身份进行访问控制
属性证书与身份证书的相互关联
时效短
属性证书的使用
第一种是推模式
第二种是拉模式
访问控制
基础概念
认证过程,通过“鉴别”来检验主体的合法身份
授权管理,通过“授权”来赋予用户对某项资源的访问权限
访问控制机制分类
访问控制机制可分为强制访问控制MAC和自主访问控制DAC
强制访问控制
系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性
自主访问控制
自主访问控制机制允许对象的属主来制定针对该对象的保护策略
通常自主访问控制通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作
访问控制安全模型
Bell-LaPadula访问控制安全模型
该模型基于强制访问控制系统,以敏感度来划分资源的安全级别,将数据划分为多安全级别与敏感度
数据和用户由低到高被划分为:公开-受限-秘密-机密-高密
上读NRU:主体不可读安全级别高于它的数据
下写NWD:主体不可写安全级别低于它的数据
Biba完整模型
该模型对数据提供分级别的完整性保证,类似BLP保密性模型,Biba模型也使用强制控制访问控制系统
Biba完整性模型是对主体和客体按照强制访问控制系统的模型
数据和用户被划分为的安全等级:公开-受限-秘密-机密-高密
下读NRU属性:主体不能读取安全级别低于它的数据
上写NWD属性:主体不能写入安全级别高于它的数据
基于角色的访问控制
角色由应用系统的管理员定义
角色成员的增减也只能由应用系统的管理员来执行
授权规定是强加给用户的,用户只能被动接受,不能自主地决定
用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制
PMI支撑体系
PMI平台
权限管理、访问控制框架、策略规则共同沟通权限管理和访问控制实施的系统平台,或者说构成了属性证书应用支撑框架系统(PMI平台)
策略规则
应用系统中的所有用户和资源信息
用户和资源信息的组织管理方式
用户和资源信息之间的权限关系
保证安全的管理授权约束
保证系统安全的其他约束
权限管理
对象
对象可以是被保护的资源
在一个访问控制应用中,受保护资源就是对象,例如数据库、网页等
对象又称为“客体”
访问者
访问者也就是权限声明者声称拥有某种权限,并要求访问受保护对象
访问者可以是人、程序或设备等
访问者又称为“主体”
权限验证者
权限验证者对访问者的访问动作进行验证和鞠策,以决定访问者的权限对于使用内容来说是否充分
访问者的权限
权限策略
当前环境变量
对象方法的敏感度
权限验证者可以根据这4个条件决定访问通过还是失败
访问控制的应用
访问控制授权方案
DAC自主访问控制方式
ACL访问控制列表方式
MAC自主访问控制方式
RBAC基于角色的访问控制方式
访问控制决策的基本因素
访问者,应用中支持哪些用户--确定了用户的范围
目标,策略哟啊保护的是哪些目标--确定了受保护的资源的范围
动作,应用中限定访问者可以对目标设施的操作--确定了权限的范围
权限信任源,应用信任什么机构发布的权限信息
访问规则,访问者具有什么权限才能够访问目标
基于角色的访问控制
访问者
访问者是一个实体
策略
策略是一个信息库,包含着策略决策所需要的所有信息
策略决策
也称作授权策略服务器,它接收和评价授权请求,根据具体策略做出不同的决策
策略实施
策略实施点可能是应用程序内部中进行访问控制的一段代码,也可能是安全的应用服务器,或者是进行访问控制的安全应用网关
PMI实施
建立属性权威
使用嵌入式属性权威管理
在单位内部建立属性权威
建立属性权威中心
制定授权策略
制定授权策略可以针对安全域内的人员和资源的组织进行分析入手,抓住业务应用的需要,制定系统的授权策略
授权
授权和访问控制是具体实现已经制定号的“授权策略”主要环节
访问控制
审计
PMI实施的工作流程
使用用户管理工具注册应用系统用户信息
使用资源管理工具注册资源信息
使用测量定制工具制定应用系统的权限管理和访问控制策略
使用权限分配工具签发策略证书、角色定义证书
属性权威针对用户签发属性证书
启动策略实施点,使用指定的策略和相关信息初始化策略决策服务器
用户登录时,策略实施点验证用户身份,并根据下一个步骤获取权限信息
如果是推模式,直接从用户提供的属性证书中获得权限信息
如果是拉模式,根据用户身份信息从属性证书库中检索并返回用户的权限信息
对每个访问请求,策略实施点根据权限、动作和目标信息生成决策请求
策略实施点向策略决策点发出决策请求
策略决策点根据策略对请求进行判断,返回决策结果
策略实施点根据结果决定是否进行访问
如果要停止运行,就关闭策略实施点,由策略实施点通知策略决策服务器停止
信息安全审计
基本概念
安全审计
采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即响应并进行阻断
对信息内容和业务流程进行审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失
安全审计具体包含的内容
安全审计的作用
对潜在的攻击者起到震慑或警告作用
对于已经发生的系统破坏行为提供有效的追究证据
为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞
为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方
安全审计功能
安全审计自动响应功能
安全审计数据生成功能
安全审计分析功能
安全审计事项选择功能
安全审计事件存储功能
建立安全审计系统
基于入侵监测预警系统的网络与主机信息监测审计
系统配置拓扑结构
工作原理及连接配置
重要应用系统运行情况审计
分布式审计系统
审计中心
审计控制台
审计Agent
网络监听型Agent
系统嵌入型Agent
主动信息获取型Agent