第15章 信息安全工程

1、第第1515章章 信息安全工程信息安全工程 本章学习目标：本章学习目标：了解信息安全工程的概念了解信息安全工程的概念了解信息安全工程的设计准则了解信息安全工程的设计准则掌握信息安全工程的设计步骤掌握信息安全工程的设计步骤215.1 15.1 信息安全工程概述信息安全工程概述 在在internetinternet发展的发展的历程中历程中，人们对安全的理解，从早期的，人们对安全的理解，从早期的安全就是杀毒防毒，到后来的安全就是安装防火墙，到现在的安全就是杀毒防毒，到后来的安全就是安装防火墙，到现在的购买系列安全产品，在一步一步地加深，这是值得庆贺的一件购买系列安全产品，在一步一步地加深，这是值得庆

2、贺的一件事。但是应该注意到，这些理解依然存在着事。但是应该注意到，这些理解依然存在着“头痛医头，脚痛头痛医头，脚痛医脚医脚”的片面性，没有将网络安全问题作为一个系统工程来考的片面性，没有将网络安全问题作为一个系统工程来考虑、来对待。虑、来对待。 信息安全既不是纯粹的技术，也不是简单的安全产品的堆信息安全既不是纯粹的技术，也不是简单的安全产品的堆砌，而是一项复杂的系统工程。砌，而是一项复杂的系统工程。信息安全工程采用工程的概念、信息安全工程采用工程的概念、原理、技术和方法，来研究、开发、实施与维护企业级信息与原理、技术和方法，来研究、开发、实施与维护企业级信息与网络系统安全的过程，它是将经过时间

3、考验证明是正确的工程网络系统安全的过程，它是将经过时间考验证明是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合实施流程、管理技术和当前能够得到的最好的技术方法相结合的过程。的过程。 315.1 15.1 信息安全工程概述信息安全工程概述 信息安全工程应该注意以下五个因素。信息安全工程应该注意以下五个因素。 1 1）信息安全具有全面性）信息安全具有全面性。信息安全问题需要全面考虑，系统安全程度信息安全问题需要全面考虑，系统安全程度取决于系统最薄弱的环节。取决于系统最薄弱的环节。 2 2）信息安全具有过程性或生命周期性）信息安全具有过程性或生命周期性。 3 3）信息安全具有动态性

4、）信息安全具有动态性。信息技术在发展，黑客水平也在提高，安全信息技术在发展，黑客水平也在提高，安全策略、安全体系、安全技术也必须动态地调整，在最大程度上使安全系统策略、安全体系、安全技术也必须动态地调整，在最大程度上使安全系统能够跟上实际情况的变化发挥效用，使整个安全系统处于不断更新、不断能够跟上实际情况的变化发挥效用，使整个安全系统处于不断更新、不断完善、不断进步的动态过程中。完善、不断进步的动态过程中。 4 4）信息安全具有层次性）信息安全具有层次性。 5 5）安全具有相对性）安全具有相对性。安全是相对的，没有绝对的安全安全是相对的，没有绝对的安全。 安全措施应该与保护的信息与网络系统的价

5、值相称。因此，实施信息安全措施应该与保护的信息与网络系统的价值相称。因此，实施信息安全工程要充分权衡风险威胁与防御措施的利弊与得失，在安全级别与投安全工程要充分权衡风险威胁与防御措施的利弊与得失，在安全级别与投资代价之间取得一个企业能够接受的平衡点。资代价之间取得一个企业能够接受的平衡点。 415.2 15.2 信息安全工程的设计准则信息安全工程的设计准则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照所需的安全服务等因素，参照sse-cmmsse-cmm（系统安全工程能力成熟模型）和（系统安全

6、工程能力成熟模型）和iso 17799iso 17799（信息安全管理标准）等国际标准，综合考虑可实施性、可管理（信息安全管理标准）等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等多个方面，信息安全工程在整性、可扩展性、综合完备性、系统均衡性等多个方面，信息安全工程在整体设计过程中应遵循以下九项原则。体设计过程中应遵循以下九项原则。1 1信息安全的木桶原则信息安全的木桶原则 2 2网络信息安全的整体性原则网络信息安全的整体性原则 3 3安全性评价与平衡原则安全性评价与平衡原则 4 4标准化与一致性原则标准化与一致性原则 5 5技术与管理相结合原则技术与管理相结合原则

7、6 6统筹规划，分步实施原则统筹规划，分步实施原则 7 7等级性原则等级性原则 8 8动态发展原则动态发展原则 9 9易操作性原则易操作性原则 515.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 1 1风险分析与评估风险分析与评估 一个完整的安全体系和安全解决方案是根据网络体系结构一个完整的安全体系和安全解决方案是根据网络体系结构和网络安全形势的具体情况来确定的和网络安全形势的具体情况来确定的。 风险分析与评估是通过一系列的管理和技术手段来检测当风险分析与评估是通过一系列的管理和技术手段来检测当前运行的信息系统所处的安全级别、安全问题、安全漏洞，以前运行的信息系统所处的安全级别

8、、安全问题、安全漏洞，以及当前安全策略和实际安全级别的差别，评估运行系统的风险，及当前安全策略和实际安全级别的差别，评估运行系统的风险，根据审计报告，可制定适合具体情况的安全策略及其管理和实根据审计报告，可制定适合具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。施规范，为安全体系的设计提供参考。 15.3.1 15.3.1 安全风险分析与评估安全风险分析与评估( (续续) ) 615.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 2 2风险分析的内容风险分析的内容 1 1）网络基本情况分析。包括网络规模、网络结构、网络产品、网络出）网络基本情况分析。包括网络规模、

9、网络结构、网络产品、网络出口、网络拓扑结构。口、网络拓扑结构。 2 2）信息系统基本安全状况调查。系统是否遭到过黑客的攻击，是否造）信息系统基本安全状况调查。系统是否遭到过黑客的攻击，是否造成了损失？系统内是否存在违规操作的行为，具体有那些行为？系统内成成了损失？系统内是否存在违规操作的行为，具体有那些行为？系统内成员的安全意识如何，技术人员是否进行过安全技术培训，对一般职员是否员的安全意识如何，技术人员是否进行过安全技术培训，对一般职员是否进行过安全意识的教育工作，采用了什么样的形式，效果如何？进行过安全意识的教育工作，采用了什么样的形式，效果如何？ 3 3）信息系统安全组织、政策情况分析。

10、是否有常设的安全领导小组，）信息系统安全组织、政策情况分析。是否有常设的安全领导小组，其人员构成和职责是什么？现有的网络安全管理的相关规制度有哪些？安其人员构成和职责是什么？现有的网络安全管理的相关规制度有哪些？安全管理人员的编制、职能和责任落实情况怎样？全管理人员的编制、职能和责任落实情况怎样？15.3.1 15.3.1 安全风险分析与评估安全风险分析与评估( (续续) ) 715.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 2 2风险分析的内容风险分析的内容( (续续) ) 4 4）网络安全技术措施使用情况分析。网络资源（人员、数据、媒体、）网络安全技术措施使用情况分析。网

11、络资源（人员、数据、媒体、设备、设施和通信线路）是否进行了密级划分？对不同密级的资源是否采设备、设施和通信线路）是否进行了密级划分？对不同密级的资源是否采取了不同的安全保护措施，采取了哪些具体的措施？目前采取了哪些网络取了不同的安全保护措施，采取了哪些具体的措施？目前采取了哪些网络安全技术措施？哪些措施不能满足网络安全的需求？哪些安全措施没有充安全技术措施？哪些措施不能满足网络安全的需求？哪些安全措施没有充分发挥作用？网络防病毒体系的完整性和有效性如何？分发挥作用？网络防病毒体系的完整性和有效性如何？ 5 5）防火墙布控及外联业务安全状况分析。目前防火墙的布控方式是否）防火墙布控及外联业务安全

12、状况分析。目前防火墙的布控方式是否合理，发挥的作用如何？信息系统对外提供的服务有哪些？以何种形式对合理，发挥的作用如何？信息系统对外提供的服务有哪些？以何种形式对外连接，是否采取了安全防护措施及采取了什么样的安全措施？外连接，是否采取了安全防护措施及采取了什么样的安全措施？ 6 6）动态安全管理状况分析。是否使用过网络扫描软件对网络主机和关）动态安全管理状况分析。是否使用过网络扫描软件对网络主机和关键设备进行安全性分析和风险评估？操作系统和关键网络设备的软件补丁键设备进行安全性分析和风险评估？操作系统和关键网络设备的软件补丁是否及时安装？目前是否使用入侵检测系统对网络系统进行数据流监控和是否及

13、时安装？目前是否使用入侵检测系统对网络系统进行数据流监控和行为分析，是否对系统日志进行周期性的审计和分析？行为分析，是否对系统日志进行周期性的审计和分析？15.3.1 15.3.1 安全风险分析与评估安全风险分析与评估( (续续) ) 815.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 2 2风险分析的内容风险分析的内容( (续续) ) 7 7）链路、数据及应用加密情况分析。系统中关键的应用是否采取了应）链路、数据及应用加密情况分析。系统中关键的应用是否采取了应用加密措施？网络综合布线是否符合安全标准？对关键线路是否有备份，用加密措施？网络综合布线是否符合安全标准？对关键线路是

14、否有备份，启用频度如何？在广域网线路方面是否采取了链路层或网络层加密措施，启用频度如何？在广域网线路方面是否采取了链路层或网络层加密措施，应用系统对其有没有加密需求？应用系统对其有没有加密需求？ 8 8）网络系统访问控制状况分析。系统用户是通过什么样的方法手段进）网络系统访问控制状况分析。系统用户是通过什么样的方法手段进行控制的？关键服务器和设备的用户是否得到严格的控制和管理？在访问行控制的？关键服务器和设备的用户是否得到严格的控制和管理？在访问控制方面除了简单的控制方面除了简单的user & passworduser & password认证外，还有没有采取其他的访问控认证外

15、，还有没有采取其他的访问控制措施？主要服务器和关键设备的管理员的权限是否得到了分离？是否有制措施？主要服务器和关键设备的管理员的权限是否得到了分离？是否有内部拨号服务？访问控制措施是否得当？对网络资源的访问，是否有完整内部拨号服务？访问控制措施是否得当？对网络资源的访问，是否有完整的日志和审计功能？的日志和审计功能？ 9 9）模拟攻击测试。分析系统的抗攻击能力，测试系统能否经得住常见）模拟攻击测试。分析系统的抗攻击能力，测试系统能否经得住常见的拒绝服务攻击、渗透入侵攻击？是否有缓冲区漏洞缺陷？对各种攻击的的拒绝服务攻击、渗透入侵攻击？是否有缓冲区漏洞缺陷？对各种攻击的反应如何？反应如何？ 15

16、.3.1 15.3.1 安全风险分析与评估安全风险分析与评估( (续续) ) 915.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 3 3风险分析的步骤风险分析的步骤 1 1）确定要保护的资产及价值。如果不知道要保护什么内容，或者不知）确定要保护的资产及价值。如果不知道要保护什么内容，或者不知道要保护内容的情况，那就谈不上安全了。明确要保护的资产、资产的位道要保护内容的情况，那就谈不上安全了。明确要保护的资产、资产的位置以及资产的重要性是安全风险分析的关键。置以及资产的重要性是安全风险分析的关键。 2 2）分析信息资产之间的相互依赖性。由于某项资产的损失可能会导致）分析信息资产之

17、间的相互依赖性。由于某项资产的损失可能会导致其他资产的失效，因此，在确定资产的时候还要考虑资产之间的关联性。其他资产的失效，因此，在确定资产的时候还要考虑资产之间的关联性。 3 3）确定存在的风险和威胁。确定了要保护的资产后，就应该分析对资）确定存在的风险和威胁。确定了要保护的资产后，就应该分析对资产的潜在威胁以及受此威胁的可能性。威胁可以是任何可能对资产造成损产的潜在威胁以及受此威胁的可能性。威胁可以是任何可能对资产造成损失的个人、对象或事件，威胁也可能是故意的或偶然的。明确存在哪些弱失的个人、对象或事件，威胁也可能是故意的或偶然的。明确存在哪些弱点漏洞及这些弱点漏洞的风险级别，分析资产所面

18、临的威胁、发生的可能点漏洞及这些弱点漏洞的风险级别，分析资产所面临的威胁、发生的可能性以及一旦出现安全问题，可能造成什么样的影响等。性以及一旦出现安全问题，可能造成什么样的影响等。 4 4）分析可能的入侵者。要分析他们存在的数量，进行攻击的可能性，）分析可能的入侵者。要分析他们存在的数量，进行攻击的可能性，进行攻击威胁时有多大等。进行攻击威胁时有多大等。 15.3.1 15.3.1 安全风险分析与评估安全风险分析与评估( (续续) ) 1015.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 1 1制定安全策略制定安全策略 安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律

19、、安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总合，是对信息资源使用、管理规则的正式描述，是企业内法规和措施的总合，是对信息资源使用、管理规则的正式描述，是企业内所有成员都必须遵守的规则。安全策略应该是一个详细的完备的指导方针，所有成员都必须遵守的规则。安全策略应该是一个详细的完备的指导方针，包含的内容有：包含的内容有： 1 1）保护的内容和目标）保护的内容和目标 2 2）实施保护的方法）实施保护的方法 3 3）明确的责任）明确的责任 4 4）事故的处理）事故的处理 2 2进行需求分析进行需求分析 要考虑五个层次的安全需求要考虑五个层次的安全需求：1 1）管理层）管

20、理层；2 2）物理层）物理层；3 3）系统层）系统层；4 4）网络层网络层；5 5）应用层。）应用层。 15.3.2 15.3.2 安全策略和需求分析安全策略和需求分析 1115.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 安全体系是安全工程实施的指导方针和必要依据，是信息安全工程的安全体系是安全工程实施的指导方针和必要依据，是信息安全工程的“建筑图纸建筑图纸”。安全体系的设计是完整的信息安全工程学中的一个环节，。安全体系的设计是完整的信息安全工程学中的一个环节，是以风险分析与评估、安全需求分析为基础的。是以风险分析与评估、安全需求分析为基础的。 一个完整的安全体系应该包含以下

21、几个基本的部分，根据具体情况的一个完整的安全体系应该包含以下几个基本的部分，根据具体情况的不同，可以在此基础上进行修剪或扩展。不同，可以在此基础上进行修剪或扩展。 1 1）风险管理。研究信息系统存在的漏洞缺陷、面临的风险与威胁，这）风险管理。研究信息系统存在的漏洞缺陷、面临的风险与威胁，这可以通过安全风险评估技术来实现可以通过安全风险评估技术来实现; ;对于可能发现的漏洞、风险，规定相应对于可能发现的漏洞、风险，规定相应的补救方法，或者取消一些相应的服务。的补救方法，或者取消一些相应的服务。 2 2）行为管理。对网络行为、各种操作进行实时的监控）行为管理。对网络行为、各种操作进行实时的监控;

22、;对各种行为进对各种行为进行分类管理，规定行为的范围和期限。行分类管理，规定行为的范围和期限。 3 3）信息管理。信息是）信息管理。信息是itit业的重要资产，由于它的特殊性，因此必须采业的重要资产，由于它的特殊性，因此必须采用特殊的方式和方法进行管理，根据具体的实际情况，对不同类型、不同用特殊的方式和方法进行管理，根据具体的实际情况，对不同类型、不同敏感度的信息，规定合适的管理制度和使用方法，禁止不良信息的传播。敏感度的信息，规定合适的管理制度和使用方法，禁止不良信息的传播。15.3.3 15.3.3 设计企业信息系统的安全体系设计企业信息系统的安全体系 1215.3 15.3 信息安全工程

23、的设计步骤信息安全工程的设计步骤 15.3.3 15.3.3 设计企业信息系统的安全体系设计企业信息系统的安全体系( (续续) ) 4 4）安全边界。信息系统与外部环境的连接处是防御外来攻击的关口，）安全边界。信息系统与外部环境的连接处是防御外来攻击的关口，根据企业具体的业务范围，必须规定系统边界上的连接情况，防止非法用根据企业具体的业务范围，必须规定系统边界上的连接情况，防止非法用户的入侵以及系统敏感信息的外泄，如可以利用防火墙对进出的连接情况户的入侵以及系统敏感信息的外泄，如可以利用防火墙对进出的连接情况进行过滤和控制。进行过滤和控制。 5 5）系统安全。操作系统是信息系统运行的基础平台，

24、它的安全也是信）系统安全。操作系统是信息系统运行的基础平台，它的安全也是信息安全的基础。根据具体的安全需求，应该规定所要采用的操作系统类型、息安全的基础。根据具体的安全需求，应该规定所要采用的操作系统类型、安全级别以及使用要求。为了实现这个目的，可以采用不同安全级别的操安全级别以及使用要求。为了实现这个目的，可以采用不同安全级别的操作系统，或者在现有的操作系统上添加安全外壳。作系统，或者在现有的操作系统上添加安全外壳。 6 6）身份认证与授权。信息系统是为广大用户提供服务的，为了区分各）身份认证与授权。信息系统是为广大用户提供服务的，为了区分各个用户以及不同级别的用户组，需要对他们的身份和操作

25、的合法性进行检个用户以及不同级别的用户组，需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。的管理要求。1315.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 15.3.3 15.3.3 设计企业信息系统的安全体系设计企业信息系统的安全体系( (续续) ) 7 7）应用安全。基于网络信息系统的应用有很多，存在的安全问题也很）应用安全。基于网络信息系统的应用有很多，存在的安全问题也很多。为了保证安全，应该根据安全需求规定所使用的应用的种类和范围，多。为了保证

26、安全，应该根据安全需求规定所使用的应用的种类和范围，以及每一种应用的使用管理制度。以及每一种应用的使用管理制度。 8 8）数据库安全。保护数据库的安全一直是一个核心问题。为了达到这）数据库安全。保护数据库的安全一直是一个核心问题。为了达到这个目的，需要规定所采用的数据库系统的类型、管理、使用制度与方式。个目的，需要规定所采用的数据库系统的类型、管理、使用制度与方式。 9 9）链路安全。链路层是网络协议的下层协议，针对它的攻击一般是破）链路安全。链路层是网络协议的下层协议，针对它的攻击一般是破坏链路通信，窃取传输的数据。为了防御这些破坏、攻击，需要规定可以坏链路通信，窃取传输的数据。为了防御这些

27、破坏、攻击，需要规定可以采取的安全措施，如链路加密机。采取的安全措施，如链路加密机。 1010）桌面系统安全。桌面系统包含着用户能够直接接触到的信息、资）桌面系统安全。桌面系统包含着用户能够直接接触到的信息、资源，也是访问信息系统的一个入口，对它的管理和使用不当也会造成敏感源，也是访问信息系统的一个入口，对它的管理和使用不当也会造成敏感信息的泄露。所以，需要对各个用户提出使用桌面系统的安全要求，进行信息的泄露。所以，需要对各个用户提出使用桌面系统的安全要求，进行必要的安全保护。必要的安全保护。1415.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 15.3.3 15.3.3 设计

28、企业信息系统的安全体系设计企业信息系统的安全体系( (续续) ) 1111）病毒防治。随着网络技术和信息技术的发展，各种各样的病毒泛滥）病毒防治。随着网络技术和信息技术的发展，各种各样的病毒泛滥成灾，严重威胁着信息财产的安全。为了避免因为病毒而造成的损失，必须成灾，严重威胁着信息财产的安全。为了避免因为病毒而造成的损失，必须制定严格的病毒防护制度，减少、关闭病毒的来源，周期性对系统中的程序制定严格的病毒防护制度，减少、关闭病毒的来源，周期性对系统中的程序进行检查，利用病毒防火墙对系统中的进程进行实时监控。进行检查，利用病毒防火墙对系统中的进程进行实时监控。 1212）灾难恢复与备份。不存在绝对

29、安全的安全防护体系，为了减少由于）灾难恢复与备份。不存在绝对安全的安全防护体系，为了减少由于安全事故造成的损失，必须规定必要的恢复措施，能够使系统尽快地恢复正安全事故造成的损失，必须规定必要的恢复措施，能够使系统尽快地恢复正常的运转，并对重要的信息进行周期性的备份。常的运转，并对重要的信息进行周期性的备份。 1313）集中安全管理。为了便于安全体系的统一运转，发挥各个功能组件）集中安全管理。为了便于安全体系的统一运转，发挥各个功能组件的功能，必须对体系实施集中的管理。因此，需要制定科学的管理制度，成的功能，必须对体系实施集中的管理。因此，需要制定科学的管理制度，成立相应的管理机构。立相应的管理

30、机构。 1515.3 15.3 信息安全工程的设计步骤信息安全工程的设计步骤 15.3.4 15.3.4 安全工程的实施与监理安全工程的实施与监理 安全工程的实施是为信息与网络系统设计实现安全防护体系的最后一个安全工程的实施是为信息与网络系统设计实现安全防护体系的最后一个阶段的任务，这个阶段做不好，以前所有的工作（制定安全策略、风险分析阶段的任务，这个阶段做不好，以前所有的工作（制定安全策略、风险分析与评估、需求分析等）等于徒劳。安全工程的实施也是一个系统化的过程，与评估、需求分析等）等于徒劳。安全工程的实施也是一个系统化的过程，包含了很多领域的内容，需要认真、仔细地对待。最关键的一点是要保证安包含了很多领域的内容，需要认真、仔细地对待。最关键的一点是要保证安全工程的质量，避免重复建设和垃圾工程。全工程的质量，避免重复建设和垃圾工程。 为了保证安全工程的质量，有三个方面的工作必须得到重视：一是选择为了保证安全工程的质量，有三个方面的工作必须得到重视：一是选择一个科学、合适的实施方案作为工程实施的指导；二是选择一个工程能力可一个科学、合适的实施方案作为工程实施的指导；