信息系统安全解决方案-风险评估与安全体系(共23页).doc

精选优质文档-倾情为你奉上目录第一章 信息安全的风险评估1.1 风险分析随着网络的飞速发展，电子商务在今天的商业环境里的普遍应用，计算机系统的安全防护已经成为一项极其重要的工作。除了保护服务器、工作站、网络设备以及数据等硬件资产以外，还需要保护公司的无形资产。信息安全隐患会对公司的声誉、品牌以及发展规划造成不可估量的恶劣影响。1.1.1 攻击的类型在因特网上存在哪些攻击方式呢？主要可分为以下三类：拒绝服务、侵入攻击和信息盗窃。1、 拒绝服务拒绝服务攻击是一种以遭受攻击的资源目标不能继续正常提供服务的攻击形式。换言之，拒绝服务攻击就是使你无法继续使用你的计算机资源，这些资源可能是邮件服务器、Web服务器或数据库服务器等。拒绝服务攻击通常是针对某个特定的系统或网络而实施的恶意攻击行为。2000年2月针对Amazon和CNN的分布式拒绝服务攻击就是典型的例子。拒绝服务攻击通常是使用“信息洪水”的手法实现的，即向某个资源发送超出其处理能力的数据或TCP/IP报文。洪水攻击很容易发起，trinoo和tribal等网上可自由下载的网络洪水程序更助长了这类攻击的频繁发生，这些程序可以轻易地发起一次针对某个特定目标的拒绝服务攻击。其他类型的拒绝服务攻击还包括在故意错误地登录操作后锁死某个帐户或引起系统的重启动。攻击者故意多次错误地尝试登录某个用户帐户，当攻击者达到系统允许的尝试次数后，系统就会锁死该帐户，真正的用户将无法上机，只能求助于系统管理员重设该帐户或等待系统锁死时间过去后该帐户自动重设。拒绝服务攻击也可能会在意外情况下发生。错误的配置或错误的网络操作都有可能使资源不能继续使用。流式介质或Napster等采用信号接力棒技术的程序就有可能引起拒绝服务现象，造成网络通信的堵塞，进而使合法的商务信息交流无法进行。常用的拒绝服务攻击方法有很多，如：缓冲区溢出、SYN攻击、泪珠攻击等。2、 侵入攻击侵入攻击是最经常遭受到的攻击形式，它会使攻击者窃取到系统的访问权并盗用计算机资源。窃取某个系统访问权限的办法多种多样，社交陷阱是最有效的办法之一，它针对的是安全防护体系里最薄弱的因素人。攻击者可以伪装成一名帮助台的工作人员，让某个用户去修改自己的口令；也可以伪装成一名复印机维修人员直接进入办公大楼。窃取系统访问权的其他办法还包括猜测用户名与口令字组合以及钻研操作系统和应用程序漏洞等。最常见的手段包括缓冲区溢出、Windows NT漏洞、Web服务器软件漏洞等。3、 信息盗窃信息盗窃攻击指的是攻击者从目标系统里偷走数据的情形，这类攻击有时候并不需要攻击者拥有目标系统的访问权限。大多数信息盗窃攻击都出现在配置不良的系统上，还有一些系统向外界提供的信息本身就已经超出了保密要求的限度。利用Telnet 连接到80端口通常会告诉你该系统上运行的是哪一种Web服务器。知道了这些，攻击者就可以利用该服务器软件或目标系统上那些已知的漏洞和弱点进行攻击。信息盗窃攻击通常是侵入攻击的第一步。信息盗窃攻击最常用的工具是网络嗅探器。攻击者可以利用嗅探器监视网络上的通信情况，等待用户名/口令字组合的出现。其他的信息盗窃方法还有电磁泄漏接收、磁盘缓存窥探等。1.2 网络系统的脆弱性尽管近年来计算机网络安全技术取得了巨大进展，但计算机网络系统的安全性比以往任何时候都更脆弱，主要表现在它极易受到攻击和侵害，它的抗打击力和防护力很弱。其脆弱性主要有以下几个方面：1.2.1 操作系统安全的脆弱性操作系统不安全，是计算机不安全的根本原因，其不安全性表现在：1、 操作系统结构体制本身的缺陷操作系统的程序是可以动态连接的，I/O的驱动程序与系统服务都可以用打补丁的方式进行动态连接。UNIX操作系统的版本升级都是采用打补丁的方式进行的，虽然这些操作需要被授予特权，但这种方法厂商可用，黑客也可用。一个靠打补丁改进与升级的操作系统是不可能从根本上解决安全问题的。然而，操作系统支持程序动态连接与数据动态交换是现代系统集成和系统扩展的需要，这显然与安全有矛盾。2、操作系统支持在网络上传输文件，在网络上加载与安装程序，包括可执行文件。3、操作系统不安全的原因还在于创建进程，甚至可以在网络节点上进行远程的创建和激活，更为重要的是被创建的进程还要继承创建进程的权利。这样可以在网络上传输可执行程序，再加上可以远程调用，就能够在远端服务器上安装“间谍”软件。另外，还可以把这种间谍软件以打补丁的形式加在一个合法用户上，尤其是一个特权用户，这样可以做到系统进程与作业监视程序都看不到它的存在。4、操作系统中，通常有一些守护进程，这种软件实际上是一些系统进程，它们总是在等待一些条件的出现，一旦这些条件出现，程序便继续运行下去，这些软件常常被黑客利用。问题的关键是这些守护进程在UNIX，Windows NT操作系统中具有与其他操作系统核心层软件相同的权限。5、 操作系统都提供远程过程调用服务，而提供的安全验证功能却很有限。6、操作系统提供网络文件系统服务，网络文件系统是一个基于远程过程调用的网络文件系统，如果网络文件系统设置存在重大问题，则几乎等于将系统管理权拱手交出。7、操作系统的debug和wizard功能，可以让精于patch和debug的黑客，利用来作几乎所有想作的事情。8、操作系统安排的无口令入口，是为系统开发人员提供的边界入口，但这些入口也能被黑客利用。9、尽管操作系统的安全缺陷可以通过版本的不断升级来克服，但系统的某一个安全漏洞会使系统的所有安全控制毫无意义，即通常所说的“木桶”理论。1.2.2 网络安全的脆弱性由于Internet/Intranet的出现，网络的安全问题更加严重。可以说，使用TCP/IP网络所提供的FTP、E-Mail、RPC和NFS都包含许多不安全的因素，存在着许多漏洞。同时，网络的普及是信息共享达到了一个新的层次，信息被暴露的机会大大增多。特别是Internet网络就是一个不设防的开放大系统，通过未受保护的外部环境和线路谁都可以访问系统内部，可能发生随时搭线窃听、远程监控、攻击破坏。另外，数据处理的可访问性和资源共享的目的性是一个矛盾，它造成了计算机系统保密性难。拷贝数据信息可以很容易且不留任何痕迹，一台远程终端上的用户可以通过Internet连接其他任何一个站点，在一定条件下可在该站点内随意进行删改、下载数据乃至破坏。1.2.3 数据库系统安全的脆弱性当前，大量的信息存储在各种各样的数据库中，这使得它成为攻击的重点之一。然而，这些数据库系统在安全方面的考虑却很少，而且，数据库管理系统安全必须与操作系统的安全相配套，例如，DBMS的安全级别是B2，那么操作系统的安全级别也应该是B2，但实践中往往不是这样做的。1.2.4 防火墙的局限性尽管利用防火墙可以保护安全网免受外部攻击，但它只是能够提高网络的安全性，不可能保证网络绝对安全。事实上，防火墙不能防范不经过防火墙的攻击，也很难防范来自于网络内部的攻击以及病毒的威胁。1.2.5 其他方面的原因1、易受环境和灾害的影响。温度、湿度、供电、火灾、水灾、静电、雷电、灰尘、强电磁场、电磁脉冲等，均会破坏数据和影响它的正常工作。2、剩磁效应和电磁泄漏的不可避免3、计算机领域中的任何重大技术进步都对安全性构成新的威胁。所有这些威胁都需要新的技术来消除，而技术进步的速度要比克服威胁的技术进步的速度快得多。总之，系统自身的脆弱和不足，是造成计算机网络安全问题的内部根源。但系统本身的脆弱性、社会对系统应用的依赖性这一对矛盾又将促进计算机网络安全技术的不断发展和进步。1.3 评估方法风险评估是安全防护体系建立过程中极其关键的一个步骤，它连接着安防重点和商业需求。通常采用以下特定的步骤来进行风险评估。表1-1 风险评估的步骤第一步：资产清单、定义和要求（所有需要保护的对象都是资产，如：数据库、软件等） 第一阶段 确定企业关键性的商务活动第二阶段 编制关键性商务活动使用的资产清单第三阶段 对这些资产进行重要性评估第二步：脆弱性和威胁评估 第一阶段 运行自动化安防工具软件开始分析工作 第二阶段 人工复查第三步：安全控制措施评估 认真考虑各种安防控制措施以及实施成本第四步：分析、决策和文档 第一阶段 各种威胁的安防控制措施及实施成本分析表 第二阶段 针对威胁选定将要实施的安防控制措施 第三阶段 编写评估工作报告，得出结论第五步：沟通与交流 与有关方面沟通评估结论第六步：监督实施 密切注意和分析新的威胁并对安防控制措施作必要的修改。企业的重大变革将导致一次新的风险评估过程以上步骤中，第二步脆弱性和威胁评估是比较重要的，它是决定企业安全策略的基础。目前有许多工具软件能够帮助完成脆弱性和威胁评估的任务。1.3.1 常用的评估软件1、 Internet Security Systems的安全分析软件 Internet Security Systems公司开发的网络漏洞扫描软件主要由Internet Scanner和Systems Scanner两部分组成。Internet Scanner是一个网络扫描器，而System Scanner是一个主机扫描器。 Internet Scanner自带一个缺省的扫描策略，但也允许你自行定制。ISS扫描器既可以针对安防配置进行检查，也可以针对已知弱点进行检查。智能化的扫描报告里给出了修补漏洞所需的信息。Internet Scanner的最新版本可以自动查找728种漏洞，包括：² 47种后门（GetAdmin、SubSeven等）² 50种守护进程缺陷（rlogin、fingered等）² 38种CGI-Bin（ColdFusion、PHP、cgiexec等）² 51种NT补丁（PPTP3、SSL、NT RAS溢出等）² 50种电子邮件检查（popimap、缓冲区溢出等）此软件的缺点是运行速度较慢。图 1-1 Internet Scanner main window2、 WebTrends Security Analyzer网站安全分析软件WebTrends Security Analyzer网站安全分析软件除可以找出大量隐藏在Linux和Windows服务器、防火墙和路由器等软件里的威胁和漏洞，还可以找出Linux和Windows系统上的配置问题和已知漏洞。WebTrends Security Analyzer生成的HTML格式的报告被认为是目前作得最好的，报告里对找出的每个漏洞都有一个说明，还有对消除漏洞的推荐对策。图1-2 WebTrends Security Analyze3、 Cerberus Internet Scanner漏洞扫描软件Cerberus Internet Scanner是一个功能强大的自由软件扫描工具，它可以查出126种漏洞，其中包括：² 21种SMTP漏洞² 7种FTP漏洞² 19种SQL服务器漏洞² 超过60种NT漏洞图1-3 Cerberus Internet Scanner第二章 信息安全防范体系信息安全防范不是孤立的事情，从根本上讲，它是一个过程而不是一个产品，“即买即得”的安全是不存在的。一个强有力的安全防范体系是由策略、组织和技术三部分组成的，就象一个三条腿的凳子，偏重任何一个方面都会造成整体的失衡和失效。本章描述的信息安全防范体系是在信息安全模型的指导下，从策略、组织和技术三方面建立的。2.1 信息安全模型随着全球计算机和信息系统的网络化，信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击，而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。 我们所在的信息环境的基本特征是动态和变化，信息业务的不断发展变化、业务竞争环境的变化、信息技术和安全技术（包括攻击技术）的飞速发展；同时我们系统自身也在不断变化，人员的流动、不断更新升级的系统等等。总之，面对这样一个动态的系统、动态的环境，需要用动态的安全模型、方法、技术和解决方案来应对安全问题。 因应这种需求，在上世纪九十年代提出了PDR动态安全模型，即防护、检测和响应，漏洞扫描和入侵检测（IDS）就是这种模型下发展的动态检测技术和产品。而现在，PDR模型发展成为P2DR模型，相对于前者，P2DR更重视管理层面。 P2DR的含义如上图所示，是策略、防护、检测和响应，策略处于中心地位，其他技术手段和措施围绕它来展开。现代信息安全理论认为，一个良好的完整的动态安全体系，不仅需要恰当的防护（比如：操作系统访问控制、防火墙、加密等），而且需要动态的检测机制（比如：入侵检测、漏洞扫描等），在发现问题时及时进行响应。整个体系要在统一的、一致的安全策略的指导下实施。P2DR形成了一个完备的闭环自适应体系。 P2DR模型的理论体系基于数学模型作为其论述基础“Time Based Security”基于时间的安全理论。该理论的最基本原理就是认为，信息安全相关的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。 作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt。在入侵发生的同时，检测系统也在发挥作用，检测到入侵行为也要花费时间检测时间Dt；在检测到入侵后，系统会做出应有的响应动作，这也要花费时间响应时间Rt。 P2DR模型就可以用一些典型的数学公式来表达安全的要求： 公式1： Pt > Dt + Rt Pt代表系统为了保护安全目标设置各种保护后的防护时间；或者理解为在这样的保护方式下，黑客（入侵者）攻击安全目标所花费的时间。 Dt 代表从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间。 Rt 代表从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。 那么，针对于需要保护的安全目标，上述数学公式必须满足防护时间大于检测时间加上响应时间，也就是在入侵者危害安全目标之前就能够被检测到并及时处理。 公式2： Et = Dt + Rt, 如果 Pt=0 公式的前提是假设防护时间为0。这种假设对Web Server这样的系统可以成立。 Dt 代表从入侵者破坏了安全目标系统开始，系统能够检测到破坏行为所花费的时间。 Rt 代表从发现遭到破坏开始，系统能够做出足够的响应，将系统调整到正常状态的时间。比如，对Web Server被破坏的页面进行恢复。 那么，Dt与Rt的和就是该安全目标系统的暴露时间Et。针对于需要保护的安全目标，如果Et越小系统就越安全。 通过上面两个公式的描述，实际上给出了安全一个全新的定义：“及时的检测和响应就是安全”“及时的检测和恢复就是安全”。 而且，这样的定义为安全问题的解决给出了明确的方向：提高系统的防护时间Pt，降低检测时间Dt和响应时间Rt。 我们提出的信息安全全面解决方案以建立在国际标准（BS7799/ISO17799）上的安全服务方法论（PADIMEE）为基准，该方法论通过对客户的技术及业务需求的分析及对客户信息安全的"生命周期"考虑，在七个核心方面体现信息系统安全的持续循环，并将自身业务和PADIMEE周期中的每个环节紧密地结合起来： ² 策略（Policy） ² 评估(Assessment) ² 设计(Design) ² 执行(Implementation) ² 管理(Management) ² 紧急响应(Emergency Response) ² 教育(Education) 图2-1 信息安全的PADIMEE周期基于以上论述，我们将安全体系从以下三个方面展开： 1、策略框架体现整个机构的信息安全方针、标准、制度、规范、指南、用户管理、应急计划、物理和环境安全等。 2、组织框架建立有效的信息安全组织，为组织中的人员赋予明确的角色和职责，并实施全员的安全教育等。 3、对于信息安全技术根据其行为特征予以分类、研究、开发和实施。 2.2 策略和组织框架2.2.1 策略框架安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总合，是对信息资源使用、管理规则的正式描述，是企业内所有成员都必须遵守的规则。在我们的信息安全模型中，安全策略处于核心位置。2.2.1.1 安全策略的内容安全策略属于网络信息安全的上层建筑领域，是网络信息安全的灵魂和核心。它为保证信息基础的安全性提供了一个框架，提供了管理网络安全性的方法，规定了各部门要遵守的规范及应负的责任，使得信息网络系统的安全有切实的依据。安全策略应包含的内容有：（1）保护的内容和目标：安全策略中要包含信息网络系统中要保护的所有资产（包括硬件及软件）以及每件资产的重要性和其要达到的安全程度，如可以对系统中所有的主机根据其重要性和功能范围进行分类，涉及到核心机密信息或提供关键服务的为A类;含有敏感信息或提供重要服务的为B类；能够访问A类和B类主机且不含敏感信息的为C类，不能够访问A类和B类主机；不含敏感信息且可以从外部访问的为D类；可以从外部访问但不能访问A类、B类、C类和D类主机的为E类。这样的划分，既体现了各类资产的重要程度，又规定了它们的功能范围。（2）实施保护的方法：明确对信息网络系统中的各类资产进行保护所采用的具体的方法，如对于实体安全可以采用隔离、防辐射、防自然灾害的措施实现，对于数据信息可以采用授权访问技术来实现，对于网络传输可以采用安全隧道技术来实现，等等。另外还要明确采用的具体方法，如使用什么样的算法和产品。（3）明确的责任：维护信息与网络系统的安全不仅仅是安全管理员的事，一个人或几个人的能力毕竟是有限的，只有调动大家的积极性，集体参与才能真正有效地保护系统的安全。要想有效地组织大家协同工作，就必须明确每个人在安全保护工程中的责任和义务。（4）破坏的响应：对检测到的入侵和破坏活动，相关责任人员采取预定的行动，尽快恢复系统的正常状态。（5）事故的处理：为了确保任务的落实，提高大家的安全意识和警惕性，必须规定相关的处罚条款，并组建监督、管理机构，以保证各项条款的严格执行。2.2.1.2 安全策略的制定安全策略的制定过程是一个循序渐进、不断完善的过程，因为不可能指定一个策略就能够完全符合、适应某个信息系统的环境和需求，只能不断地接近目标。安全策略在制定时必须兼顾它的可理解性、技术上的可实现性、组织上的可执行性。企业级安全策略可以从三个层面来考虑开发制定:(1) 抽象安全策略 它通常表现为一系列的自然语言描述的文档，是企业根据自身的任务、面临的威胁和风险，以及法律、制度等制定出来限制用户使用资源和使用方式的一组规定。(2) 全局自动安全策略 它是抽象安全策略的子集和细化，指能够由计算机、路由器等设备自动实施的安全措施的规则和约束，不能由计算机实施的安全策略由安全管理制度等其他物理环境安全手段实施。全局自动安全策略主要从安全功能的角度考虑，分为标识与认证、授权与访问控制、信息保密与完整性、数字签名与抗抵赖、安全审计、入侵检测、响应与恢复、病毒防范、容错与备份等策略。(3) 局部执行策略 它是分布在终端系统、中继系统和应用系统中的GASP的子集，网络中所有实体LESP的总合是GASP的具体实施。局部可执行的安全策略是由物理组件与逻辑组件所实施的形式化的规则，如口令管理策略、防火墙过滤规则、认证系统中的认证策略、资源的访问控制列表、安全标签等组成。每一条具体的规则都是可以设置与实施的。信息安全策略应该遵循国际标准。英国标准BS7799是一项在欧洲实行了数年的安全标准，这套标准把信息安防策略分为10大部分，内容覆盖信息系统决策和制度制定工作所涉及的一切问题。国际标准化组织也已采纳它为国际标准ISO 17799:2000。BS7799/ISO17799的10个组成部分为：² 商务活动减灾恢复计划² 系统访问权限控制² 系统开发和维护² 物理和环境的安防考虑² 遵守法律和规定² 人为因素的安防考虑² 企业组织的安防考虑² 计算机和网络管理² 资产分类和控制² 信息安全防范制度根据以上框架制定出来的规章制度将是一个符合企业环境的强有力的安全制度。从头编写安全策略是一项艰巨而又辛苦的工作，完全可以借鉴其他企业的经验和成果。目前最流行的工具是由Charles Cresson Wood 编写的Information Security Policies Made Easy，它提供了几种基本的安全制度框架，企业可以以它为基础对自己的规章制度作进一步的完善。2.2.1.3 安全策略的管理随着网络发展的规模越来越大、复杂性越来越高，对于在产品上部署实施安全策略，如果采用基于单台设备的配置方法会耗费大量的时间和资源。怎样才能在多系统和多应用环境里实现集中式的授权机制呢？策略管理可以解决这个问题，它把应用软件、Web服务器、数据库和操作系统等结合在了一起，形成了一个对用户的优先级进行定义、管理和审计的机制。概括地讲，策略管理把身份验证和访问控制这两大块功能都集中到一个中央式授权服务器里。其工作过程如下：用户请求一项资源，应用软件把这个请求转发给授权服务器；授权服务器负责核查该用户都有权访问哪些资源，同时把身份验证信息转发给LDAP服务器、RADIUS服务器或者Windows域服务器去；最后，授权服务器把核查出来的结果（准许或者拒绝）返回给应用软件。其工作流程示意图如下：图2-2 策略管理工作流程一个好的集中策略管理工具应具有以下特征：l 具有强大的图形管理能力l 具备基于浏览器的用户界面l 能分析、解释、部署和监控安全策略状态l 能验证安全策略的有效性和完整性很多厂商提供策略管理工具，但多数厂商的策略管理产品需要与自己的信息安全产品集成在一起。独立的第三方软件有Netegrity公司的SiteMinder、Securant公司的ClearTrust和Internet Dynamics公司的Conclave，这些产品有些是专门设计来与Web应用软件共同工作的，有些则能够与任何应用软件配合工作，但其部署实施并非易事，因为需要给所有的应用软件增加能够与授权服务器进行通信的插件程序或应用软件程序设计接口，而这些工作并不是所有供应商都支持的。2.2.2 组织框架信息系统的安全是涉及到整个企业的大事，必须有专门的安全防范机构和人员，同时制定各类人员的岗位责任制。基本上，信息安全人员可分为两类：安全管理人员和安全审计人员。专职的安全管理人员具体负责本系统区域内安全策略的实现，保证安全策略的长期有效；负责软硬件的安装维护、日常操作监视、紧急情况下安全措施的恢复和风险分析等；负责整个系统的安全，对整个系统的授权、修改、口令、违章报告、报警记录处理、控制台日志审阅。安全审计人员监视系统运行情况，收集对系统资源的各种非法访问事件，并对非法事件进行记录、分析和处理。对企业来说面临的最大的安全挑战也许是员工的安全意识。通常情况下，安全策略被视为"讨厌的东西"，并为员工所漠视，因为他们觉得策略的约束性太大。BS7799将用户的安全意识列为遵循标准的一项"重要控制"内容，这不仅要求企业要有适当的安全策略，而且要求企业对员工进行规则标准的教育。对员工的良好培训可以培养员工的安全意识，而现代网络技术的发展使得培训的手段更丰富多样。通过公司的内部网和其它基于网页的文档管理工具，企业可以方便地颁布新的安全策略并跟踪员工的阅读情况。安全策略可以从书面文件的形式转换为动态的文档形式，这样员工可以更为方便地对它们进行阅读。还可通过一些软件以在线的"用户测试题"来衡量员工的对策略的理解程度。这些工具为企业提供一个集中的web页面管理他们的安全策略，并将分析报告提交给管理人员和检查人员。2.3 技术框架我们的目标是开发多层次的纵深安全防护体系，即使某个层次被突破了，后面还有几个层次可以继续为珍贵的信息资产提供保护，同时为入侵检测和响应提供宝贵的时间。这种多层次的防护体系，从网络边界的安全防护措施开始，逐层深入直到所有的服务器和主机及其上的应用系统被保护起来。目前的信息安全技术可以归结到以下五个安全行为（IAARC）：² 鉴别和认证 Identification & Authentication ² 访问控制 Access Control² 审计和跟踪 Audit Trail² 响应和恢复 Response & Recovery ² 内容安全 Content Security图2-3 IAARC技术框架2.3.1 鉴别和认证 安全的服务对象通常可以抽象为访问的主体和被访问的客体。I&A鉴别和认证是通过对IT系统中的主客体进行鉴别，并且给这些主客体赋予恰当的标志、标签、证书等。主要的处理都是针对实体进行的。用一个动作来描述鉴别和认证的操作特点就是“贴标签Labeling”。鉴别和认证就是为了解决主体的信用问题和客体的信任问题。这些问题的解决就是通过各种形式的标签来实现的。 鉴别和认证赋予主客体的“标签”常常在访问控制和审计跟踪中被使用，对于主客体的鉴别是访问控制做出判断的依据。 可以归结到鉴别和认证类型的典型技术包括：序号技术技术说明1用户名/口令机制最典型、最经济的鉴别机制，在各种系统中缺省使用这个机制2SmartCard鉴别机制强鉴别机制3生物鉴别机制4PKI公开密钥机制通过一对不相同的加解密密钥，结合密钥管理体系完成对于持有密钥人的鉴别和认证功能5IP地址和域名IP地址和域名作为鉴别访问者和被访问者的标志，虽然比较容易冒用和篡改，但在一个安全要求一般的网络中，可以接受6硬件序列号通过硬件设备中的板块、部件的一些序列号组成一个鉴别体。如：CPU序列号、网卡MAC地址表2-1 I&A的典型技术2.3.2 访问控制 访问控制都是以Reference Monitor的形式工作，或者说都是类似网关、接口和边界的形式。图2-3 RM模型一个有效的Reference Monitor(RM机制)必须要满足二个条件：1) 不可旁路：主体对客体的访问不能绕过RM，都必须经过RM机制的控制和检查。 2) 抗篡改：RM应当是一个抗攻击的体系，不能被攻破；RM以及配合的规则库应当被正确地配置；另外该机制的特权管理、规则库等不能被侵入。 由于访问控制采用的是RM机制，为了满足“不可旁路”的要求，所有访问和业务流程都必须通过访问控制Access Control这个关口才能进行正常工作。因此从机制上就可能带来单点故障。因此为了保证整个系统的可用性和可靠性，需要运用HA高可用技术来进行补充（属于响应和恢复部分的技术）。 由于RM机制的访问控制系统有抗篡改和正确配置的要求，但是这方面仅仅依靠其自身是很难完成的，因此一般通过审计和跟踪技术来补充访问控制者方面的不足。 可以归结到访问控制类型的典型技术包括： 序号技术技术说明1ACL访问控制列表广泛应用的控制方法，如路由器中的ACL就是典型的例子2主机操作系统加固寻找可能旁路的路径然后通过补丁和配置将其弥补；加强操作系统自身的强壮性不被一般的攻击破坏；检查各项规则的合理性和有效性等3Firewall防火墙典型的网络隔离和网络访问控制方法和工具4VPN虚拟专用网结合运用了防火墙技术、加密技术、密钥管理技术等方面结合的安全信道系统，这个安全信道可以理解为两个网络区域之间的一个接口和管道5应用系统访问控制通过调用底层的操作系统访问控制功能或数据库管理系统访问控制功能；一些比较通用的应用系统，可以通过专用的应用系统访问控制系统完成其功能表2-2 访问控制的典型技术2.3.3 审计和跟踪 审计和跟踪的主要实现机制是通过Standby/Sniffer类型的工作方式实现。这种机制一般情况下并不干涉和直接影响主业务流程，而是对主业务进行记录、检查、监控等功能来完成以审计要求Accountability、完整性Integrity等要求为主的安全功能。 审计和跟踪需要鉴别和认证功能的配合，以便有效地控制被审计对象的识别粒度和准确性。比如一般网络上，我们可能进行通过IP地址进行访问者的鉴别，那么审计功能就不再识别该地址是否被冒用，或者该地址是那个用户在使用。 审计和跟踪常常要和访问控制和响应恢复功能密切配合，形成一个动态的安全闭环。这个闭环可以在P2DR模型的指导下运转。 可以归结到审计跟踪类型的典型技术包括： 序号技术技术说明1Log 日志是最基本的审计跟踪功能，一般的系统都具有此功能。对于一个安全的系统需要开启足够的日志和审计功能。2IDS 入侵检测是专门为了对付非正常访问和异常操作的监控和审计系统。一些非法入侵者（黑客）为了绕过系统访问控制和回避日志的记录常常采用了一些非正规手法和技术，IDS系统就是为了检查这些异常行为而设计的。不管是基于网络的IDS还是基于主机的IDS都是游离于系统业务之外的监控功能。3漏洞扫描和评估可以检查当前系统中可能存在的不足和缺陷。可以很好地加固访问控制系统和其他基础系统的安全性。4一致性检查系统的一致性检查和数据的一致性检查常常是一个非常有效的、简单的安全方法。可以察觉系统和数据可能存在的篡改现象。5蜜罐和陷阱通过虚假的和虚拟的系统环境，诱骗入侵者误入歧途，以便达到及时发现攻击企图并且获得证据的目的。表2-3 审计跟踪的典型技术2.3.4 响应和恢复 从过程上看，响应和恢复是异常、故障、事故、入侵等发生后做出的反应；但从根本的实现上看，在事前的准备才是该技术的关键。这方面的技术主要表现在冗余、准备、应急等方面。 从管理层面看，这方面的技术解决方案结合管理方面的措施，形成了企业的业务可持续管理的体系。 响应和恢复一般不会单独出现，而是和其他技术配合在一起完成异常状态的准备和处理工作。比如： 访问控制需要配合HA能力来应付故障出现导致的系统中断。可以归结到响应恢复类型的典型技术包括：序号技术技术说明1HA技术高可用技术常常通过冗余设备来完成。一些具体的技术包括：热备份、Cluster技术等。2路径冗余网络的HA常常通过冗余的路径来实现，当一个线路中断后，其他冗余的路径可以保证网络不会整体完全中断。3数据备份和恢复当系统出现问题数据遭到破坏时，可以通过对备份数据的恢复来保证系统的继续运转。4信息销毁和恢复当数据被非法窃取，非法访问时，可以通过信息自毁技术使得数据失效。另外，对应的就是如何恢复被毁坏的数据。表2-4 响应和恢复的典型技术2.3.5 内容安全内容安全主要是直接保护在系统中传输和存储的数据（信息）。在做内容安全工作中，主要是对信息和内容本身做一些变形和变换，或者对具体的内容进行检查。我们也可以将内容安全理解为在内容和应用的层次上进行的安全工作，一些系统层次的安全功能在这个层次都有对应和类似的功能。可以归结到内容安全类型的典型技术包括： 序号技术技术说明1加密（保密性、完整性、抗抵赖等是一个非常传统，但又一直是一个非常有效的技术2内容过滤对于企业关心的一些主题进行内容检查和过滤，技术可能用关键字技术，也可能使用基于知识库语义识别过滤系统。3防病毒计算机病毒一般都隐藏在程序和文档中。目前典型的防病毒技术就是对信息中的病毒特征代码进行识别和查杀。4VPN加密信道虚拟专用网VPN需要通过不可信的公用网络来建立自己的安全信道，因此加密技术是重要的选择。5水印技术水印技术是信息隐藏技术的一种。一般信息都是要隐藏在有一定冗余量的媒体中，比如图像、声音、录像等多媒体信息，在文本中进行隐藏比较少。水印技术是可以替代一般密码技术的保密方法。表2-5 内容安全的典型技术专心-专注-专业