信息系统安全解决方案

1・1・1信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受外部威胁，因此信息通常要加密。为保障信息安全，要求有信息源认证、访问控制，不能有非法软件驻留，不能有非法操作。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。关于这一部分的具体介绍,详见信息安全专业1・1・2重要性积极推动信息安全等级保护信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的。我国的改革开放带来了各方面信息量的急剧增加，并要求大容量、高效率地传输这些信息。为了适应这一形势，通信技术发生了前所未有的爆炸性发展.目前，除有线通信外，短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时，国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息，运用侦察台、侦察船、侦察机、卫星等手段，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，截取我国通信传输中的信息。从文献中了解一个社会的内幕，早已是司空见惯的事情。在20世纪后50年中，从社会所属计算机中了解一个社会的内幕，正变得越来越容易.不管是机构还是个人，正把信息安全策略日益繁多的事情托付给计算机来完成，敏感信息正经过脆弱的通信线路在计算机系统之间传送，专用信息在计算机内存储或在计算机之间传送，电子银行业务使财务账目可通过通信线路查阅，执法部门从计算机中了解罪犯的前科，医生们用计算机管理病历，所有这一切，最重要的问题是不能在对非法（非授权）获取（访问）不加防范的条件下传输信息.传输信息的方式很多,有局域计算机网、互联网和分布式数据库，有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中，都存在泄密或被截收、窃听、窜改和伪造的可能性.不难看出，单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施，即通过技术的、管理的、行政的手段，实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。目录第一章信息安全的风险评估 TOC\o"1-5"\h\z1・1风险分析 411。1攻击的类型 41・2网络系统的脆弱性 5\o"CurrentDocument"121操作系統安全的脆弱性 51。2。2网络安全的脆弱性 61。23数据库系統安全的脆弱性 7\o"CurrentDocument"124防火墙的局限性 71。25其他方面的原因 71・3评估方法 71,3。1常用的评估软件 8第二章信息安全防范体系・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・102。1信息安全模型 102。2策略和组织框架 1222。1策略框架 122,2,1。1安全策略的内容 12221.2安全策略的制定 132.2。1.3安全策略的管理 152。22组织框架 1523技术框架 162。3。1鉴别和认证 172.3。 2访问控制 172.3。 3审计和跟踪 192。3。4响应和恢复 202。3。5内容安全 20第二章信息安全的风险评估2.1风险分析随着网络的飞速发展，电子商务在今天的商业环境里的普遍应用，计算机系统的安全防护已经成为一项极其重要的工作。除了保护服务器、工作站、网络设备以及数据等硬件资产以外，还需要保护公司的无形资产。信息安全隐患会对公司的声誉、品牌以及发展规划造成不可估量的恶劣影响。2.1.1攻击的类型在因特网上存在哪些攻击方式呢？主要可分为以下三类：拒绝服务、侵入攻击和信息盗窃。1、拒绝服务拒绝服务攻击是一种以遭受攻击的资源目标不能继续正常提供服务的攻击形式.换言之，拒绝服务攻击就是使你无法继续使用你的计算机资源,这些资源可能是邮件服务器、Web服务器或数据库服务器等。拒绝服务攻击通常是针对某个特定的系统或网络而实施的恶意攻击行为。2000年2月针对Amazon和CNN的分布式拒绝服务攻击就是典型的例子.拒绝服务攻击通常是使用“信息洪水”的手法实现的,即向某个资源发送超出其处理能力的数据或TCP/IP报文。洪水攻击很容易发起，trinoo和tribal等网上可自由下载的网络洪水程序更助长了这类攻击的频繁发生，这些程序可以轻易地发起一次针对某个特定目标的拒绝服务攻击。其他类型的拒绝服务攻击还包括在故意错误地登录操作后锁死某个帐户或引起系统的重启动。攻击者故意多次错误地尝试登录某个用户帐户，当攻击者达到系统允许的尝试次数后，系统就会锁死该帐户,真正的用户将无法上机,只能求助于系统管理员重设该帐户或等待系统锁死时间过去后该帐户自动重设。拒绝服务攻击也可能会在意外情况下发生。错误的配置或错误的网络操作都有可能使资源不能继续使用。流式介质或Napster等采用信号接力棒技术的程序就有可能引起拒绝服务现象，造成网络通信的堵塞，进而使合法的商务信息交流无法进行。常用的拒绝服务攻击方法有很多，如:缓冲区溢出、SYN攻击、泪珠攻击等.2、侵入攻击侵入攻击是最经常遭受到的攻击形式，它会使攻击者窃取到系统的访问权并盗用计算机资源。窃取某个系统访问权限的办法多种多样，社交陷阱是最有效的办法之一，它针对的是安全防护体系里最薄弱的因素—人.攻击者可以伪装成一名帮助台的工作人员，让某个用户去修改自己的口令；也可以伪装成一名复印机维修人员直接进入办公大楼。窃取系统访问权的其他办法还包括猜测用户名与口令字组合以及钻研操作系统和应用程序漏洞等。最常见的手段包括缓冲区溢出、WindowsNT漏洞、Web服务器软件漏洞等。3、信息盗窃信息盗窃攻击指的是攻击者从目标系统里偷走数据的情形，这类攻击有时候并不需要攻击者拥有目标系统的访问权限。大多数信息盗窃攻击都出现在配置不良的系统上，还有一些系统向外界提供的信息本身就已经超出了保密要求的限度。利用Telnet连接到80端口通常会告诉你该系统上运行的是哪一种Web服务器。知道了这些,攻击者就可以利用该服务器软件或目标系统上那些已知的漏洞和弱点进行攻击。信息盗窃攻击通常是侵入攻击的第一步。信息盗窃攻击最常用的工具是网络嗅探器。攻击者可以利用嗅探器监视网络上的通信情况，等待用户名/口令字组合的出现。其他的信息盗窃方法还有电磁泄漏接收、磁盘缓存窥探等.网络系统的脆弱性尽管近年来计算机网络安全技术取得了巨大进展，但计算机网络系统的安全性比以往任何时候都更脆弱，主要表现在它极易受到攻击和侵害,它的抗打击力和防护力很弱。其脆弱性主要有以下几个方面:2.2.1操作系统安全的脆弱性操作系统不安全，是计算机不安全的根本原因，其不安全性表现在:1、操作系统结构体制本身的缺陷操作系统的程序是可以动态连接的，I/O的驱动程序与系统服务都可以用打补丁的方式进行动态连接.UNIX操作系统的版本升级都是采用打补丁的方式进行的，虽然这些操作需要被授予特权,但这种方法厂商可用，黑客也可用。一个靠打补丁改进与升级的操作系统是不可能从根本上解决安全问题的。然而，操作系统支持程序动态连接与数据动态交换是现代系统集成和系统扩展的需要，这显然与安全有矛盾。2、操作系统支持在网络上传输文件，在网络上加载与安装程序,包括可执行文件.3、操作系统不安全的原因还在于创建进程，甚至可以在网络节点上进行远程的创建和激活，更为重要的是被创建的进程还要继承创建进程的权利。这样可以在网络上传输可执行程序，再加上可以远程调用，就能够在远端服务器上安装“间谍”软件。另外，还可以把这种间谍软件以打补丁的形式加在一个合法用户上，尤其是一个特权用户，这样可以做到系统进程与作业监视程序都看不到它的存在。4、操作系统中，通常有一些守护进程，这种软件实际上是一些系统进程，它们总是在等待一些条件的出现,一旦这些条件出现，程序便继续运行下去，这些软件常常被黑客利用。问题的关键是这些守护进程在UNIX,WindowsNT操作系统中具有与其他操作系统核心层软件相同的权限。5、操作系统都提供远程过程调用服务,而提供的安全验证功能却很有限。6、操作系统提供网络文件系统服务，网络文件系统是一个基于远程过程调用的网络文件系统，如果网络文件系统设置存在重大问题,则几乎等于将系统管理权拱手交出。7、操作系统的debug和wizard功能,可以让精于patch和debug的黑客，利用来作几乎所有想作的事情.8、操作系统安排的无口令入口，是为系统开发人员提供的边界入口，但这些入口也能被黑客利用。9、尽管操作系统的安全缺陷可以通过版本的不断升级来克服,但系统的某一个安全漏洞会使系统的所有安全控制毫无意义，即通常所说的“木桶"理论.网络安全的脆弱性由于Internet/Intranet的出现,网络的安全问题更加严重.可以说，使用TCP/IP网络所提供的FTP、E-Mail、RPC和NFS都包含许多不安全的因素，存在着许多漏洞。同时，网络的普及是信息共享达到了一个新的层次,信息被暴露的机会大大增多。特别是Internet网络就是一个不设防的开放大系统，通过未受保护的外部环境和线路谁都可以访问系统内部，可能发生随时搭线窃听、远程监控、攻击破坏.另外，数据处理的可访问性和资源共享的目的性是一个矛盾,它造成了计算机系统保密性难。拷贝数据信息可以很容易且不留任何痕迹，一台远程终端上的用户可以通过Internet连接其他任何一个站点，在一定条件下可在该站点内随意进行删改、下载数据乃至破坏。2.2.3数据库系统安全的脆弱性当前,大量的信息存储在各种各样的数据库中，这使得它成为攻击的重点之一。然而，这些数据库系统在安全方面的考虑却很少，而且，数据库管理系统安全必须与操作系统的安全相配套，例如，DBMS的安全级别是B2,那么操作系统的安全级别也应该是B2,但实践中往往不是这样做的。2.2.4防火墙的局限性尽管利用防火墙可以保护安全网免受外部攻击，但它只是能够提高网络的安全性，不可能保证网络绝对安全。事实上，防火墙不能防范不经过防火墙的攻击，也很难防范来自于网络内部的攻击以及病毒的威胁。2.2.5其他方面的原因1、 易受环境和灾害的影响。温度、湿度、供电、火灾、水灾、静电、雷电、灰尘、强电磁场、电磁脉冲等，均会破坏数据和影响它的正常工作。2、 剩磁效应和电磁泄漏的不可避免3、 计算机领域中的任何重大技术进步都对安全性构成新的威胁。所有这些威胁都需要新的技术来消除，而技术进步的速度要比克服威胁的技术进步的速度快得多。总之，系统自身的脆弱和不足，是造成计算机网络安全问题的内部根源。但系统本身的脆弱性、社会对系统应用的依赖性这一对矛盾又将促进计算机网络安全技术的不断发展和进步。2.3评估方法风险评估是安全防护体系建立过程中极其关键的一个步骤,它连接着安防重点和商业需求。通常采用以下特定的步骤来进行风险评估。表1—1风险评估的步骤第一步:资产清单、定义和要求（所有需要保护的对象都是资产,如：数据库、软件等）第一阶段确定企业关键性的商务活动第二阶段编制关键性商务活动使用的资产清单第三阶段对这些资产进行重要性评估第二步：脆弱性和威胁评估第一阶段运行自动化安防工具软件开始分析工作第二阶段人工复查第三步：安全控制措施评估认真考虑各种安防控制措施以及实施成本第四步：分析、决策和文档第一阶段各种威胁的安防控制措施及实施成本分析表第二阶段针对威胁选定将要实施的安防控制措施第三阶段编写评估工作报告，得出结论第五步:沟通与交流与有关方面沟通评估结论第六步:监督实施密切注意和分析新的威胁并对安防控制措施作必要的修改。企业的重大变革将导致一次新的风险评估过程以上步骤中，第二步脆弱性和威胁评估是比较重要的，它是决定企业安全策略的基础。目前有许多工具软件能够帮助完成脆弱性和威胁评估的任务。2.3.1常用的评估软件1、InternetSecuritySystems的安全分析软件InternetSecuritySystems公司开发的网络漏洞扫描软件主要由InternetScanner和SystemsScanner两部分组成.InternetScanner是-一个网络扫描器，而SystemScanner是一个主机扫描器。InternetScanner自带一个缺省的扫描策略，但也允许你自行定制。ISS扫描器既可以针对安防配置进行检查，也可以针对已知弱点进行检查。智能化的扫描报告里给出了修补漏洞所需的信息。InternetScanner的最新版本可以自动查找728种漏洞,包括：47种后门(GetAdmin、SubSeven等)50种守护进程缺陷(rlogin、fingered等)38种CGI—Bin（ColdFusion、PHP、cgiexec等）51种NT补丁（PPTP3、SSL、NTRAS溢出等）50种电子邮件检查（popimap、缓冲区溢出等）此软件的缺点是运行速度较慢。图1-1InternetScannermainwindow2、 WebTrendsSecurityAnalyzer网站安全分析软件WebTrendsSecurityAnalyzer网站安全分析软件除可以找出大量隐藏在Linux和Windows服务器、防火墙和路由器等软件里的威胁和漏洞,还可以找出Linux和Windows系统上的配置问题和已知漏洞.WebTrendsSecurityAnalyzer生成的HTML格式的报告被认为是目前作得最好的,报告里对找出的每个漏洞都有一个说明，还有对消除漏洞的推荐对策。图1-2WebTrendsSecurityAnalyze3、 CerberusInternetScanner漏洞扫描软件CerberusInternetScanner是一个功能强大的自由软件扫描工具，它可以查出126种漏洞，其中包括:21种SMTP漏洞7种FTP漏洞19种SQL服务器漏洞超过60种NT漏洞图1-3CerberusInternetScanner第三章信息安全防范体系信息安全防范不是孤立的事情，从根本上讲，它是一个过程而不是一个产品,“即买即得”的安全是不存在的.一个强有力的安全防范体系是由策略、组织和技术三部分组成的，就象一个三条腿的凳子，偏重任何一个方面都会造成整体的失衡和失效。本章描述的信息安全防范体系是在信息安全模型的指导下,从策略、组织和技术三方面建立的。3.1信息安全模型随着全球计算机和信息系统的网络化,信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击，而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。我们所在的信息环境的基本特征是动态和变化,信息业务的不断发展变化、业务竞争环境的变化、信息技术和安全技术（包括攻击技术）的飞速发展;同时我们系统自身也在不断变化,人员的流动、不断更新升级的系统等等。总之，面对这样一个动态的系统、动态的环境，需要用动态的安全模型、方法、技术和解决方案来应对安全问题.因应这种需求,在上世纪九十年代提出了PDR动态安全模型，即防护、检测和响应，漏洞扫描和入侵检测（IDS）就是这种模型下发展的动态检测技术和产品.而现在,PDR模型发展成为P2DR模型，相对于前者,P2DR更重视管理层面。P2DR的含义如上图所示，是策略、防护、检测和响应，策略处于中心地位，其他技术手段和措施围绕它来展开。现代信息安全理论认为,一个良好的完整的动态安全体系，不仅需要恰当的防护（比如：操作系统访问控制、防火墙、加密等），而且需要动态的检测机制（比如：入侵检测、漏洞扫描等），在发现问题时及时进行响应。整个体系要在统一的、一致的安全策略的指导下实施。P2DR形成了一个完备的闭环自适应体系。P2DR模型的理论体系基于数学模型作为其论述基础“TimeBasedSecurity"基于时间的安全理论。该理论的最基本原理就是认为，信息安全相关的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt。在入侵发生的同时，检测系统也在发挥作用，检测到入侵行为也要花费时间一一检测时间Dt；在检测到入侵后，系统会做出应有的响应动作，这也要花费时间 响应时间Rt。P2DR模型就可以用一些典型的数学公式来表达安全的要求：公式1：Pt〉Dt+RtPt代表系统为了保护安全目标设置各种保护后的防护时间；或者理解为在这样的保护方式下，黑客（入侵者）攻击安全目标所花费的时间.Dt代表从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间.Rt代表从发现入侵行为开始,系统能够做出足够的响应，将系统调整到正常状态的时间。那么，针对于需要保护的安全目标,上述数学公式必须满足-—防护时间大于检测时间加上响应时间，也就是在入侵者危害安全目标之前就能够被检测到并及时处理.公式2：Et=Dt+Rt,如果Pt=0公式的前提是假设防护时间为0。这种假设对WebServer这样的系统可以成立.Dt代表从入侵者破坏了安全目标系统开始，系统能够检测到破坏行为所花费的时间.Rt代表从发现遭到破坏开始，系统能够做出足够的响应，将系统调整到正常状态的时间。比如，对WebServer被破坏的页面进行恢复.那么，Dt与Rt的和就是该安全目标系统的暴露时间Et。针对于需要保护的安全目标，如果Et越小系统就越安全。通过上面两个公式的描述，实际上给出了安全一个全新的定义：“及时的检测和响应就是安全”“及时的检测和恢复就是安全".而且，这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间Pt，降低检测时间Dt和响应时间Rt。我们提出的信息安全全面解决方案以建立在国际标准（BS7799/ISO17799）上的安全服务方法论（PADIMEE）为基准，该方法论通过对客户的技术及业务需求的分析及对客户信息安全的"生命周期"考虑，在七个核心方面体现信息系统安全的持续循环，并将自身业务和PADIMEE周期中的每个环节紧密地结合起来：策略(Policy)◊评估(Assessment)◊设计(Design)◊执行(Implementation)管理(Management)紧急响应(EmergencyResponse)教育(Education)图2—1信息安全的PADIMEE周期基于以上论述，我们将安全体系从以下三个方面展开：1、 策略框架——体现整个机构的信息安全方针、标准、制度、规范、指南、用户管理、应急计划、物理和环境安全等。2、 组织框架一一建立有效的信息安全组织，为组织中的人员赋予明确的角色和职责,并实施全员的安全教育等.3、 技术框架一一对于信息安全技术根据其行为特征予以分类、研究、开发和实施.3.2策略和组织框架3.2.1策略框架安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总合，是对信息资源使用、管理规则的正式描述,是企业内所有成员都必须遵守的规则。在我们的信息安全模型中,安全策略处于核心位置。安全策略的内容安全策略属于网络信息安全的上层建筑领域，是网络信息安全的灵魂和核心.它为保证信息基础的安全性提供了一个框架，提供了管理网络安全性的方法，规定了各部门要遵守的规范及应负的责任，使得信息网络系统的安全有切实的依据。安全策略应包含的内容有：（1）保护的内容和目标：安全策略中要包含信息网络系统中要保护的所有资产（包括硬件及软件）以及每件资产的重要性和其要达到的安全程度，如可以对系统中所有的主机根据其重要性和功能范围进行分类，涉及到核心机密信息或提供关键服务的为A类；含有敏感信息或提供重要服务的为B类；能够访问A类和B类主机且不含敏感信息的为C类，不能够访问A类和B类主机；不含敏感信息且可以从外部访问的为D类；可以从外部访问但不能访问A类、B类、C类和D类主机的为E类。这样的划分，既体现了各类资产的重要程度，又规定了它们的功能范围。（2） 实施保护的方法：明确对信息网络系统中的各类资产进行保护所采用的具体的方法，如对于实体安全可以采用隔离、防辐射、防自然灾害的措施实现，对于数据信息可以采用授权访问技术来实现，对于网络传输可以采用安全隧道技术来实现，等等。另外还要明确采用的具体方法，如使用什么样的算法和产品。（3） 明确的责任：维护信息与网络系统的安全不仅仅是安全管理员的事，一个人或几个人的能力毕竟是有限的，只有调动大家的积极性，集体参与才能真正有效地保护系统的安全。要想有效地组织大家协同工作，就必须明确每个人在安全保护工程中的责任和义务。（4） 破坏的响应：对检测到的入侵和破坏活动，相关责任人员采取预定的行动，尽快恢复系统的正常状态。（5） 事故的处理：为了确保任务的落实，提高大家的安全意识和警惕性，必须规定相关的处罚条款，并组建监督、管理机构，以保证各项条款的严格执行。安全策略的制定安全策略的制定过程是一个循序渐进、不断完善的过程，因为不可能指定一个策略就能够完全符合、适应某个信息系统的环境和需求,只能不断地接近目标。安全策略在制定时必须兼顾它的可理解性、技术上的可实现性、组织上的可执行性。企业级安全策略可以从三个层面来考虑开发制定：（1）抽象安全策略它通常表现为一系列的自然语言描述的文档,是企业根据自身的任务、面临的威胁和风险，以及法律、制度等制定出来限制用户使用资源和使用方式的一组规定。全局自动安全策略它是抽象安全策略的子集和细化，指能够由计算机、路由器等设备自动实施的安全措施的规则和约束,不能由计算机实施的安全策略由安全管理制度等其他物理环境安全手段实施。全局自动安全策略主要从安全功能的角度考虑，分为标识与认证、授权与访问控制、信息保密与完整性、数字签名与抗抵赖、安全审计、入侵检测、响应与恢复、病毒防范、容错与备份等策略局部执行策略它是分布在终端系统、中继系统和应用系统中的GASP的子集，网络中所有实体LESP的总合是GASP的具体实施。局部可执行的安全策略是由物理组件与逻辑组件所实施的形式化的规则,如口令管理策略、防火墙过滤规则、认证系统中的认证策略、资源的访问控制列表、安全标签等组成。每一条具体的规则都是可以设置与实施的。信息安全策略应该遵循国际标准。英国标准BS7799是一项在欧洲实行了数年的安全标准,这套标准把信息安防策略分为10大部分，内容覆盖信息系统决策和制度制定工作所涉及的一切问题。国际标准化组织也已采纳它为国际标准ISO17799:2000。BS7799/ISO17799的10个组成部分为：◊商务活动减灾恢复计划◊系统访问权限控制系统开发和维护物理和环境的安防考虑遵守法律和规定人为因素的安防考虑企业组织的安防考虑计算机和网络管理资产分类和控制信息安全防范制度根据以上框架制定出来的规章制度将是一个符合企业环境的强有力的安全制度。从头编写安全策略是一项艰巨而又辛苦的工作，完全可以借鉴其他企业的经验和成果。目前最流行的工具是由CharlesCressonWood编写的《InformationSecurityPoliciesMadeEasy》，它提供了几种基本的安全制度框架，企业可以以它为基础对自己的规章制度作进一步的完善.安全策略的管理随着网络发展的规模越来越大、复杂性越来越高，对于在产品上部署实施安全策略，如果采用基于单台设备的配置方法会耗费大量的时间和资源。怎样才能在多系统和多应用环境里实现集中式的授权机制呢？策略管理可以解决这个问题，它把应用软件、Web服务器、数据库和操作系统等结合在了一起，形成了一个对用户的优先级进行定义、管理和审计的机制。概括地讲，策略管理把身份验证和访问控制这两大块功能都集中到一个中央式授权服务器里。其工作过程如下:用户请求一项资源，应用软件把这个请求转发给授权服务器；授权服务器负责核查该用户都有权访问哪些资源，同时把身份验证信息转发给LDAP服务器、RADIUS服务器或者Windows域服务器去;最后，授权服务器把核查出来的结果（准许或者拒绝）返回给应用软件.其工作流程示意图如下：图2—2策略管理工作流程一个好的集中策略管理工具应具有以下特征：•具有强大的图形管理能力•具备基于浏览器的用户界面能分析、解释、部署和监控安全策略状态能验证安全策略的有效性和完整性很多厂商提供策略管理工具，但多数厂商的策略管理产品需要与自己的信息安全产品集成在一起。独立的第三方软件有Netegrity公司的SiteMinder、Securant公司的ClearTrust和InternetDynamics公司的Conclave，这些产品有些是专门设计来与Web应用软件共同工作的，有些则能够与任何应用软件配合工作，但其部署实施并非易事，因为需要给所有的应用软件增加能够与授权服务器进行通信的插件程序或应用软件程序设计接口，而这些工作并不是所有供应商都支持的。3.2.2组织框架信息系统的安全是涉及到整个企业的大事，必须有专门的安全防范机构和人员，同时制定各类人员的岗位责任制。基本上,信息安全人员可分为两类：安全管理人员和安全审计人员.专职的安全管理人员具体负责本系统区域内安全策略的实现，保证安全策略的长期有效；负责软硬件的安装维护、日常操作监视、紧急情况下安全措施的恢复和风险分析等；负责整个系统的安全，对整个系统的授权、修改、口令、违章报告、报警记录处理、控制台日志审阅。安全审计人员监视系统运行情况，收集对系统资源的各种非法访问事件，并对非法事件进行记录、分析和处理。对企业来说面临的最大的安全挑战也许是员工的安全意识。通常情况下，安全策略被视为”讨厌的东西”,并为员工所漠视，因为他们觉得策略的约束性太大。BS7799将用户的安全意识列为遵循标准的一项〃重要控制〃内容，这不仅要求企业要有适当的安全策略,而且要求企业对员工进行规则标准的教育。对员工的良好培训可以培养员工的安全意识，而现代网络技术的发展使得培训的手段更丰富多样.通过公司的内部网和其它基于网页的文档管理工具，企业可以方便地颁布新的安全策略并跟踪员工的阅读情况。安全策略可以从书面文件的形式转换为动态的文档形式，这样员工可以更为方便地对它们进行阅读。还可通过一些软件以在线的〃用户测试题”来衡量员工的对策略的理解程度。这些工具为企业提供一个集中的web页面管理他们的安全策略，并将分析报告提交给管理人员和检查人员。3.3技术框架我们的目标是开发多层次的纵深安全防护体系，即使某个层次被突破了，后面还有几个层次可以继续为珍贵的信息资产提供保护，同时为入侵检测和响应提供宝贵的时间。这种多层次的防护体系，从网络边界的安全防护措施开始，逐层深入直到所有的服务器和主机及其上的应用系统被保护起来。目前的信息安全技术可以归结到以下五个安全行为（IAARC）：◊鉴别和认证Identification&Authentication◊访问控制AccessControl◊审计和跟踪AuditTrail◊响应和恢复Response&Recovery◊内容安全ContentSecurity图2-3IAARC技术框架3.3.1鉴别和认证安全的服务对象通常可以抽象为访问的主体和被访问的客体.I&A鉴别和认证是通过对IT系统中的主客体进行鉴别，并且给这些主客体赋予恰当的标志、标签、证书等。主要的处理都是针对实体进行的.用一个动作来描述鉴别和认证的操作特点就是“贴标签Labeling”•鉴别和认证就是为了解决主体的信用问题和客体的信任问题。这些问题的解决就是通过各种形式的标签来实现的。鉴别和认证赋予主客体的“标签"常常在访问控制和审计跟踪中被使用,对于主客体的鉴别是访问控制做出判断的依据。可以归结到鉴别和认证类型的典型技术包括：序号技术技术说明1用户名/口令机制最典型、最经济的鉴别机制，在各种系统中缺省使用这个机制2SmartCard鉴别机制强鉴别机制3生物鉴别机制4PKI公开密钥机制通过一对不相同的加解密密钥，结合密钥管理体系完成对于持有密钥人的鉴别和认证功能5IP地址和域名IP地址和域名作为鉴别访问者和被访问者的标志，虽然比较容易冒用和篡改，但在一个安全要求一般的网络中，可以接受6硬件序列号通过硬件设备中的板块、部件的一些序列号组成一个鉴别体。如：CPU序列号、网卡MAC地址・・・表2—1I＆A的典型技术3.3.2访问控制访问控制都是以ReferenceMonitor的形式工作，或者说都是类似网关、接口和边界的形式。图2-3RM模型一个有效的ReferenceMonitor（RM机制）必须要满足二个条件：1） 不可旁路：主体对客体的访问不能绕过RM,都必须经过RM机制的控制和检查.2） 抗篡改：RM应当是一个抗攻击的体系，不能被攻破;RM以及配合的规则库应当被正确地配置;另外该机制的特权管理、规则库等不能被侵入。由于访问控制采用的是RM机制,为了满足“不可旁路"的要求，所有访问和业务流程都必须通过访问控制AccessControl这个关口才能进行正常工作。因此从机制上就可能带来单点故障。因此为了保证整个系统的可用性和可靠性，需要运用HA高可用技术来进行补充（属于响应和恢复部分的技术）.由于RM机制的访问控制系统有抗篡改和正确配置的要求，但是这方面仅仅依靠其自身是很难完成的，因此一般通过审计和跟踪技术来补充访问控制者方面的不足。可以归结到访问控制类型的典型技术包括：序号技术技术说明1ACL访问控制列表广泛应用的控制方法，如路由器中的ACL就是典型的例子2主机操作系统加固寻找可能旁路的路径然后通过补丁和配置将其弥补；加强操作系统自身的强壮性不被一般的攻击破坏;检查各项规则的合理性和有效性等3Firewall防火墙典型的网络隔离和网络访问控制方法和工具4VPN虚拟专用网结合运用了防火墙技术、加密技术、密钥管理技术等方面结合的安全信道系统，这个安全信道可以理解为两个网络区域之间的一个接口和管道5应用系统访问控制通过调用底层的操作系统访问控制功能或数据库管理系统访问控制功能；一些比较通用的应用系统，可以通过专用的应用系统访问控制系统完成其功能・・・表2-2访问控制的典型技术审计和跟踪审计和跟踪的主要实现机制是通过Standby/Sniffer类型的工作方式实现.这种机制一般情况下并不干涉和直接影响主业务流程,而是对主业务进行记录、检查、监控等功能来完成以审计要求Accountability、完整性Integrity等要求为主的安全功能。审计和跟踪需要鉴别和认证功能的配合，以便有效地控制被审计对象的识别粒度和准确性。比如一般网络上，我们可能进行