信息安全管理与技术

信息安全管理与技术

第一节信息安全管理信息安全保障体系建设是一项复杂的系统工程，包括人员、技术、法律法规、安全管理等内容的建设。随着网络技术和互联网的广泛应用，军事、政治、文化、资源、科技、教育等领域面临的信息安全风险和威胁越来越严重。信息安全已成为国家信息化发展的基本保障，以及全世界关注的热点和难点问题。世界各国都在加强各自的信息安全保障体系建设，以免遭受更大的威胁和外来入侵。在整个信息安全保障体系建设中，信息安全管理发挥着重要作用，它是信息安全体系建设的重要基础。一信息安全管理的方法及手段1.信息安全管理的目标目前，信息安全管理越来越受到关注，对信息安全管理的关注甚至超出了对信息安全技术的关注。概括来讲，信息安全管理的主要目标是使信息资源的拥有者持续地维护所控制的信息，保障信息的可用性、可靠性、准确性、时效性和传播性，防止信息受到无意的或人为的泄露和破坏。信息安全管理一般应包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、安全意识培训等一系列工作。2.信息安全管理的方法所谓信息安全管理方法，是指在信息管理活动中为实现安全管理目标、保证管理活动顺利进行所采取的工作方式，是实现管理目标的途径和手段，一般包括法律方法、行政方法、经济方法和宣传教育方法等内容。（1）法律方法是指通过国家制定和实施各种法规以进行管理的方法。这里的法规包括国家颁布的法律、国家及军队的各级领导机构以及各个管理系统所制定的法令、条例、制度等各种具有法律效力的规范。（2）行政方法是指行政组织机构和领导者运用权力，通过强制性的行政命令、规定、指示等行政手段，按照行政系统和层次，直接指挥下属工作以实施管理的方法。在安全管理过程中，法律方法、经济方法、宣传教育方法等都需要通过行政系统来具体地组织与贯彻实施。（3）经济方法是根据客观经济规律，运用各种经济手段，调节各方面经济利益之间的关系，以获取较高的社会效益与经济效益的管理方法。尤其是对安全技术方法、安全产品采办、安全设施建设、安全人才培养、信息资源共享等方面应给予充分的注意。（4）宣传教育方法是指通过多种形式的教育，全面提高全社会的安全素质。事实证明，很多信息安全事故的发生都和人的思想因素有关。为此，可根据人员的工作性质、分层次有重点、有计划、有步骤地普及一般信息技术以及网络安全保密、无线通信安全保密、电磁辐射泄密防范、信息对抗等知识与技能。3.信息安全管理的手段信息安全管理手段一般包括技术管理手段和行政管理手段两大类。（1）技术管理包括网络的安全管理、保密设备及密钥的安全管理。信息网络的安全管理是指对信息系统与信息资源进行全面管理，包含自动的安全管理功能系统，对信息资源安全利用具有重要意义。正确掌握和利用各种现代技术实现安全管理，是安全管理的重要组成部分。保密设备包括生成密钥的密钥生成器、密钥枪等密钥注入设备、通信保密机等。保密设备的使用应与被保护对象的密级相一致，对密钥的安全管理，可以建立层次式密钥结构，用密钥保护密钥，并经常更换各层次密钥。（2）行政管理手段的重点是设立相关的安全组织机构、安全人事管理、安全标准的强化等。其中安全组织机构由各单位根据具体情况来设立，确定专门的负责人、每个人员的职责、安全规划和应急方案的制定、安全防护策略的制定、安全规章制度的制定等；安全人事管理主要对各工作人员进行认识审查和录用、岗位和责任范围、工作绩效评估、人事档案管理、提升及培训等；时刻关注国际安全标准，加快国内安全标准的制度，对保障信息网络的安全和保密起着重要的作用。二信息安全管理的内容1.信息安全风险管理信息安全管理是一个过程，而不是一个产品，其本质是风险管理。信息安全风险管理可以看成是一个不断降低安全风险的过程，最终目的是使安全风险降低到一个可接受的程度，使用户和决策者可以接受剩余的风险。信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在相关风险，需要采用同样的信息安全风险管理的方法加以控制。信息安全风险管理是为保护信息及其相关资产，指导和控制一个组织相关信息安全风险的协调活动。我国《信息安全风险管理指南》指出，信息安全风险管理包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询六个方面，其中前四项是信息安全风险管理的四个基本步骤，监控与审查和沟通与咨询则贯穿于前四个步骤中。2.设施的安全管理设施的安全管理包括网络的安全管理、保密设备的安全管理、硬件设施的安全管理、场地的安全管理等。（1）管理网络的安全管理。信息管理网络是一个用于收集、传输、处理和存储有关信息系统与网络的维护、运行和管理信息的、高度自动化网络化的综合管理系统。它包括性能管理、配置管理、故障管理、计费管理、安全管理等功能。而安全管理又包括系统的安全管理、安全服务管理、安全机制管理、安全事件处理管理、安全审计管理、安全恢复管理等。（2）硬件设施的安全管理。对硬件设施的安全管理主要考虑配置管理、使用管理、维修管理、存储管理、网络连接管理。常见的网络设备需要防止电磁辐射、电磁泄漏和自然老化。对集线器、交换机、网关设备或路由器，还需防止受到拒绝服务、访问控制、后门缺陷等威胁。对传输介质还需防止电磁干扰、搭线窃听和人为破坏，对卫星信道、微波接力信道等需防止对信道的窃听及人为破坏。对保密设备主要包括保密性能指标的管理、工作状态的管理、保密设备类型、数量、分配、使用者状况的管理、密钥的管理。（3）场地设施的安全管理。机房和场地设施的安全管理需要满足防水、防火、防静电、防雷击、防辐射、防盗窃等国家标准。人员出入控制，需要根据安全等级和涉密范围，采取必要的技术与行政措施，对人员进入和退出的时间及进入理由进行登记等。电磁辐射防护，需要根据技术上的可行性与经济上的合理性，采取设备防护、建筑物防护、区域性防护、磁场防护。3.信息的安全管理根据信息化建设发展的需要，信息包括三个层次的内容：一是在网络和系统中被采集、传输、处理和存储的对象，如技术文档、存储介质等；二是指使用的各种系统和应用软件；三是安全管理手段的密钥和口令等信息。从这种意义上讲，信息的安全管理应该包括软件设施的安全管理、存储介质的安全管理、技术文档的安全管理、密钥和口令的安全管理等四方面内容。（1）软件设施的安全管理。对软件设施的安全管理主要考虑配置管理、使用和维护管理、开发管理、病毒管理。软件设施主要包括操作系统、数据库系统、应用软件、网络管理软件以及网络协议等。操作系统是整个计算机系统的基石，由于它的安全等级不高，需要提供不同安全等级的保护。对数据库系统，需要加强数据库的安全性，并采用加密技术对数据库中的敏感数据加密。由于目前使用最广泛的网络通信协议TCP/IP协议，存在许多安全设计缺陷，常常面临许多威胁，因此网络管理是软件设施管理的重要内容。（2）存储介质的安全管理。存储介质包括：纸介质、磁盘、光盘、磁带、录音/录像带等，它们的安全对信息系统的恢复、信息的保密、防病毒起着十分关键的作用。对不同类别的存储介质，安全管理要求也不尽相同。对存储介质的安全管理主要考虑存储管理、使用管理、复制和销毁管理、涉密介质的安全管理。（3）技术文档的安全管理。技术文档是系统或网络在设计、开发、运行和维护中所有技术问题的文字描述。技术文档按其内容的涉密程度进行分级管理，一般分为绝密级、机密级、秘密级和公开级。对技术文档的安全管理主要考虑文档的使用、备份、借阅、销毁等方面，需要建立严格的管理制度和相关负责人。（4）密钥和口令的安全管理。密钥是加密解密算法的关键，密钥管理就是对密钥的生成、检验、分配保存、使用、注入、更换和销毁等过程所进行的管理。口令是进行设备管理的一种有效手段，对口令的产生、传送、使用、存储、更换均需要有效的管理和控制。4.运行的安全管理对信息系统或网络运行过程的管理，是信息安全管理另一项非常重要的内容。通常，会采用安全审计和安全恢复两种方法。（1）安全审计。安全审计是指对系统或网络运行中有关安全的情况和事件进行记录、分析并采取相应措施的管理活动。目前主要对操作系统及各种关键应用软件进行审计。安全审计工作应该由各级安全机构负责实施管理，安全审计可以采用人工、半自动或自动智能三种方式。人工审计一般通过审计员查看、分析、处理审计记录；半自动审计一般由计算机自动分析处理，再由审计员作出决策和处理；自动智能审计一般由计算机完成分析处理，并借助专家系统作出判断，更能满足不同应用环境的需求。（2）安全恢复。安全恢复是指网络和信息系统在受到灾难性打击或破坏时，为使网络和信息系统迅速恢复正常，并使损失降低到最小而进行的一系列活动。安全恢复的管理主要包括安全恢复策略的确立、安全恢复计划的制定、安全恢复计划的测试和维护、安全恢复计划的执行。三信息安全管理的体系标准信息安全管理标准是信息安全管理的基础和前提。信息安全管理是一个复杂的过程，为了保证信息安全管理的有效性、充分性和适宜性，需要建立信息安全管理体系（Informationsecuritymanagementsystems，简称ISMS）。目前，世界各国都在加紧信息安全管理体系标准的制定和实施。1.国外信息安全管理体系标准在已有安全管理体系标准中，英国标准协会（BSI）制定的BS7799已成为世界上应用较广泛的信息安全标准体系。BS7799作为一项通行的信息安全管理标准，旨在为组织实施信息安全管理体系提供指导性框架。BS7799标准共分两部分，第一部分BS7799-1：1999《信息安全管理实施细则》于2000年采纳为国际标准ISO/IEC17799-1：2000《信息技术—信息安全管理实施细则》。它由11大独立的管理要项、39个执行目标和133条控制措施组成，每一个管理要项覆盖了不同的主题和区域，为组织机构提供了一整套信息安全检查方法和控制方法。第二部分BS7799-2《信息安全管理体系规范》详细说明了建立、实施和维护信息安全管理体系的要求，现在已经有二十多个国家引用BS7799-2作为国标。总体来说，要真正将BS7799的要求和指导落到实处，必须参照国际上相关的标准和规范补充必要的可实施内容。美国2002年通过了一部联邦信息安全管理法案（FISMA）。根据该规定，美国国家标准技术协会（NationalInstituteofStandardsandTechnology，简称NIST）负责为美国政府和商业机构提供信息安全管理相关的标准规范。NIST制定的一系列FIPS标准和SpecialPublication800系列（NISTSP800系列）成为指导美国信息安全管理建设的主要标准和参考资料。目前，NISTSP800系列已经出版了近90本与信息安全相关的正式文件，形成了从策略规划、风险管理、安全意识培训、教育、安全技术以及安全控制措施的一整套信息安全管理体系。2005年4月，国际上正式通过了信息安全管理体系系列标准（即ISO/IEC27000系列标准）的开发计划。ISO/IEC27000系列标准以一个组织机构面临的业务风险为起点通过持续改进的PDCA（策划Plan-实施Do-检查Check-处置Act）过程模型，为一个组织建立、实施运行、监视、评审、维护和改进信息安全管理体系提供了指南。该系列标准适用于具有信息安全管理需求的任何类型、规模和业务特性的组织，包括企业和政府部门等ISO/IEC27000系列共包括10个标准，目前正日渐成熟并推广使用。2.国内信息安全管理体系标准由于信息化的发展，我国于2002年4月15日成立了全国信息安全标准化技术委员会（TC260），简称信息安全标委会。信息安全标委会设置10个工作组，其中信息安全管理工作组（WG7）主要负责研究和制定适用于非涉密和敏感领域的安全保障的通用安全管理方法、安全控制措施，以及安全支撑（安全技巧）和服务等方面的标准、规范和指南，主要包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范和安全策略要求与指南。在我国，另一个与信息安全标准有关的组织就是中国通信标准化协会下设的网络与信息安全技术工作委员会，下设四个工作组，即有线网络安全工作组（WG1）、无线网络安全工作组（WG2）、安全管理工作组（WG3）、安全基础设施工作组（WG4）。我国信息安全管理标准化工作起步晚，目前主要是积极学习、结合实际创造具有自主特色的国家标准。近年来，不仅引进了国际上著名的ISO/IEC27001：2005《信息安全管理体系要求》、ISOIEC17799：2005《信息安全管理实用规则》、ISO/IEC15408：1999《IT安全评估准则》、SSE-CMM《系统安全工程能力成熟度模型》等信息安全管理标准，而且还制定了GB17895-1999《计算机信息系统安全保护等级划分准则》和GB/T20269-2006《信息安全技术信息系统安全管理要求》等一批信息安全管理标准。国家、相关部门、行业和地方政府制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《互联网信息服务管理办法》、《电子签名法》等有关信息安全管理的法律法规。WG7工作组成立之初，在我国信息安全管理国家标准几乎空白的情况下，启动了三个重要国际标准的转化工作，分别为：GB/T19716：2005《信息技术信息安全管理实用规则》；GB/T19715-1：2005《信息技术IT安全管理指南第1部分：IT安全概念和模型》；GB/T19715-2：2005《IT安全管理指南第2部分：管理和规划IT安全》。近两年来，WG7工作组对27000系列标准进行了跟踪研究，并对27000系列中的两个基础标准ISO/IEC27001：2005《信息安全管理体系要求》和ISO/IEC17799：2005《信息技术——信息安全管理实用规则》进行了翻译转化，形成了汉化版本。目前，信息安全管理标准化工作中主要的研究热点包括：信息安全国际标准的转化，风险管理指南的标准化工作，以及信息系统评估的标准制定工作，对促进信息安全管理工作起到了良好的推进作用。四信息安全管理平台随着安全威胁的增多，各种网络安全产品，如防火墙、入侵检测、防病毒、VPN等安全设备得到广泛使用。由于攻击手段日新月异，安全事件层出不穷，为了使单位的安全设备发挥作用，有效处理海量安全事件，提高安全管理水平，必须构建相应的信息安全管理平台。信息安全管理平台将硬件设备、安全软件与安全管理理念结合在一起，对各种安全设备与安全策略进行管理。它采用统一安全策略、统一安全标准，实现全网统一管理和监控，从而实现设备与系统的集中管理，保障网络安全、稳定、高效地运行，实现全网的互联互通。通过统一的技术方法，将不同位置、不同类型设备，不同安全系统中分散且海量的单一安全事件进行集中汇总、过滤、收集和关联分析，实现日志的集中、分析、审计与报告。同时通过集中的分析审计和评估，发现安全风险事件、潜在的攻击特征和安全发展趋势，形成统一的安全决策，以便对安全事件进行响应和处理，确保任何安全事件、事故得到及时的响应和处理，将安全事件对运行的影响降到最低，帮助用户建立合适的纵深防御体系。同时，平台的使用也降低了安全技术门槛，便于推广和普及。其主要功能一般包括：（1）实现安全策略的统一配置、分发与管理。（2）提供对客户端的网络访问监控、终端行为监控等监管功能，以便对用户的上网行为进行有效管理，提高工作效率，防止泄密事件的发生。（3）提供安全外设使用、安全U盘管理功能，保证U盘、光驱等外设的安全使用。（4）提供安全趋势分析和安全预警，方便了解各种风险并采取明智决策，对全网可能发生的安全事件进行事前预警。（5）提供单一的管理控制台有效监控和管理不断扩充的安全设备和安全系统。目前，一些企业和组织正在进行网络安全管理平台的研发工作，开发的产品通常称为安全运营中心（SOC）。某些平台已经实现了产品化，例如CA公司的eTrust，可以对来源于路由器、交换机、服务器、入侵检测系统、VPN设备、防火墙、工作站、系统日志的安全事件，通过聚合分析和关联分析，结合风险评估信息，对事件信息进行优先级排序，并由安全人员在服务台对事件描述信息进行人工判断。另外还有开放源码的安全信息管理系统（OSSIM），可以对来自入侵检测系统、防火墙等安全产品的事件报告进行基于规则的关联分析和基于统计的异常分析，判断安全事件的性质和发展趋势，提供安全产品的统一管理平台。但是，网络安全管理平台领域仍然缺乏统一的、可行的标准。BS7799提供的诸多信息安全控制措施仅仅是一种目标要求和一些原则性建议；NISTSP800系列标准比较全面详细，但内容多，实施困难；其他组织制定的相关规范通常针对本组织的特定需求，没有形成针对通用安全技术和产品的规范化标准。根据目前网络安全管理平台的发展状况来看，未来的发展方向应该是在遵循BS7799等国际标准的基础上，参考NISTSP800系列标准及其他相关信息安全技术规范，根据安全技术和安全产品的通用特性，建立统一的技术管理规范，并据此研究开发安全运营管理平台及产品。总之，“三分技术、七分管理”是信息安全管理遵循的基本原则。随着信息安全事件的增多和信息化发展的需要，信息安全管理越来越受到企业和单位的重视。而了解和掌握信息安全管理的方法、手段、内容、体系标准和平台是发挥安全管理的前提。在一个有效的信息安全管理体系之上，通过完善信息安全管理机构，综合应用信息安全管理策略和信息安全技术产品，才有可能建立真正意义上的信息安全保障体系。第二节信息安全技术一防火墙技术防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。其总体应用结构如图3-1所示：图3-1防火墙应用示意图防火墙处于网络安全体系中的底层，属于网络层安全技术范畴。作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换—NAT、代理型和监测型。（1）包过滤型。包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。（2）网络地址转化——NAT。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问互联网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。（3）代理型。代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器。而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。（4）监测型。监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。选择防火墙的标准有很多，根据实际情况选择也不完全相同，但最重要的是以下几条：（1）总拥有成本。对于非关键部门，防火墙产品其总拥有成本TCO原则上不应该超过受保护网络系统可能遭受最大损失的成本，例如，一个非关键部门的网络系统总价值为n万元，则该部门所配备防火墙的总成本也不应该超过n万元。但是，对于关键部门则另当别论，必须考虑可能的负面影响和连带损失。（2）防火墙本身是安全的。作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。（3）管理与培训。管理和培训是评价一个防火墙好坏的重要方面。在计算防火墙的成本时，不能只简单地计算购置成本，还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TC中占据较大的比例。优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。（4）可扩充性。在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升，此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性，或扩充成本极高，这便是对投资的浪费。好的产品应该留给用户足够的弹性空间，在安全水平要求不高的情况下，可以只选购基本系统，而随着要求的提高，用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资，对提供防火墙产品的厂商来说，也扩大了产品覆盖面。（5）防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断。即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。通过对国内外防火墙技术现状的研究，可以看出，国内外防火墙的主要差异在于稳定性和可靠性方面，也可以说在于产业化程度方面，功能方面的差别已不大，具体如表3-1所示。本报告认为，国内防火墙产品在硬件化技术方面落后于国外，是造成国内产品的稳定性和可靠性方面落后于国内外防火墙产品的主要原因。总之，防火墙大多作为一个独立的设备，位于内外网络的边界上，作为整个网络系统中重要而又紧密的一个部分，其性能、稳定性和处理速度都制约着网络的整体性能，所以，其性能和稳定、可靠性和自身的安全防护性能成为防火墙使用的关键环节，金融电信等重要领域对这几方面的要求更高。表3-1国内外防火墙主要技术指标对比目前，国内安全厂商的防火墙产品基本上都采用软硬一体化的防火墙结构，即由PC硬件、通用操作系统、防火墙软件组成，纯硬件防火墙产品还不多见，其自身安全性及稳定性和可靠性方面与国外产品还有一定的差距，所以，目前金融电信等重要领域，防火墙市场仍然为国外产品垄断，但随着国内各防火墙厂商，尤其是在近年来国内防火墙在性能、可靠性和稳定性方面的提高和改进，这种现象正在改变。二虚拟专用网络技术虚拟专用网络（VPN）是企业网通过公共网络（一般指互联网）的延伸。公共网是一个共享的公共资源，在两点数据传输时并不能保证数据的安全。要想安全地连接网络的两个接入点，这就必须要确保接入点均获得了认证，虚拟专用网络通过认证和加密建立了安全连接。它在公共网络建立起来的一条安全、稳定的隧道来连接各远程的分支网络和远程用户，构成一个扩展的企业网，该网络的所有主机都如同处于一个网络之中。对企业来说虚拟专用网络不仅有助于减少用于远程网络连接上的费用，提高信息在网络传输中的安全性，而且有助于优化网络布局和管理，便于快速扩展新的分支和用户，为企业网络的发展节约了资金和时间。正是基于众多优点，虚拟专用网络得到了广大企业的青睐得以快速推广开来。虚拟专用网络的运用越来越频繁，如何建立虚拟专用网络成为目前网络工程的热点问题。虚拟专用网络的核心就是利用公共网络建立虚拟私有网，其结构如图3-2所示：图3-2虚拟专用网络连接示意图与普通的IP业务和专网业务相比，虚拟专网技术在安全通信、低成本、可扩展性、便于管理、服务质量保证等方面具有优势，因此它是保障网络安全的常用技术手段之一。归纳起来，其优点主要集中在以下三个方面：（1）减少网络成本支出。虚拟专用网络是利用了现有互联网等公共网络资源为用户创建的安全隧道，不需要架设专门的线路，而专门线路费用通常贵于互联网的费用。如果采用远程拨号进入内部网络，其按时计费也是十分昂贵的。而采用虚拟专用网络技术只需要连接当地互联网就可以安全访问内部网络，不用额外付费。（2）便于网络的扩展。如果采用专线连接，实施起来比较麻烦，随着规模的不断扩大网络结构越来复杂，要不断地修改网络甚至购买新的网络设备。如果采用虚拟专用网络只是在接入点架设虚拟专用网络设备即可利用互联网建立安全的隧道。如果有新的外部分支要加入，只需给新的分支网络配备虚拟专用网络设备，原有内部网络不需要做任何修改。（3）网络安全的保证。虚拟专用网络中可使加密认证技术在远程的内部网络之间建立隧道，能够保证通信数据的机密性和完整性，保证信息不泄漏或暴露给未授权的用户。当然，任何技术都有其不足之处，归纳起来，虚拟专用网络的主要缺点包括：（1）虚拟专用网络扩展了机构的安全边界，将远程的网络包括其中。远程接入网络的安全性的强弱成为整个网络的瓶颈，如果远程支点网络安全性较薄弱，那么虚拟专用网络可能会是一个入侵者的突破口，因此，需要严格的策略和审计功能，以保证机构的整体安全。当两个部门使用虚拟专用网络接入网络时，每一网点的安全策略都是十分重要的。两个部门都要对用户的访问做不同的限制以减少安全风险，而这个过程需要花费大量的时间和工作量。（2）数据的处理量超过虚拟专用网络设备处理的最大负载将导致数据的丢失和延时。较之于普通线路虚拟专用网络设备对网络中的数据实施了加密解密工作，因此对数据的处理要求远高于普通线路。但随着技术的发展虚拟专用网络设备的处理能力会越来越强，此类问题会逐渐消失。（3）网络的扩张导致所使用的私有IP地址冲突或者IP不够用。当两个内部网络通过虚拟专用网络连接时，当使用的私有IP段相同，就有可能会出现地址冲突，要解决此类情况只有重新设计内部网络地址，或者做其他处理，如启动NAT等来解决问题。目前，应用比较多的有两种虚拟专网技术：IPSecVPN技术和SSLVPN技术。这两种主流VPN技术的性能相对比较分析如表3-2所示。表3-2两种主流VPN技术性能对比表（1）IPSec（InternetProtocolSecurity）是IETF提供Internet安全通信的一系列规范，它提供私有信息通过公用网的安全保障。IPSec组件包括安全协议认证头（AH）和封装安全载荷（ESP）、密钥交换（IKE）、安全联盟（SA）及加密和验证算法等。IPSec是在网络层实现数据加密和验证，提供端到端的网络安全方案，可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务。（2）SSL（SecureSocketsLayer安全套接层）是由网景（Netscape）公司提出的基于Web应用的安全协议，它指定了一种在应用程序协议（如Http、Telnet、SMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSI协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。通过比较分析可看出，这两种VPN技术各具特色，互有长短。IPSecVPN可以为所有的应用提供安全访问，在实现Lan到Lan的安全连接方面的作用是不可替代的，但它不具有QoS机制。SSLVPN主要是面向基于Web方式的应用，给用户的访问权限作了很多限制，且其本身也具有QoS机制，不过随着提高SSL握手协议性能和WebQoS技术的发展，SSLVPN的应用范围将更加广泛。因此，在实际选择VPN时，应根据实际需求，以某种VPN技术为主，结合其他技术，充分发挥它们各自的优势。三入侵检测系统技术入侵检测系统IDS（IntrusionDetectionSystems）是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，它可以防止或减轻对网络的威胁。在本质上，入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。其响应流程如图3-3所示：图3-3入侵检测系统响应流程示意图入侵监测系统处于防火墙之后对网络活动进行实时检测，可以记录和禁止网络活动，可以和防火墙和路由器配合工作。入侵监测系统IDS与系统扫描器（systemscanner）不同。系统扫描器是根据“攻击特征数据库”来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击。IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，并提供实时报警。入侵检测是检测计算机网络和系统以发现违反安全策略事件的过程。作为入侵检测的系统至少应该包括三个功能模块：提供事件记录流的信息源、发现入侵迹象的分析引擎和基于分析引擎的响应部件CIDF阐述了一个入侵检测系统的通用模型，即入侵检测系统可分为四个组件：事件产生器、事件分析器响应单元和事件数据库。CIDF将需要分析的数据统称为事件，它可以是网络中的数据，也可以是从系统日志等其他途径得到的信息。近年来，入侵检测系统得到了快速发展。国外有很多实验室和公司在从事入侵检测系统的研究和开发工作，已经完成了原形系统和产品，如思科公司的NetRanger，ISS公司的RealSecure等。国内的研究机构和从事网络安全产品的公司也进行了相关的研究开发，国内的入侵检测产品比较少，典型的产品有东软公司的NetEyeIDS，清华紫光的UNISIDS入侵检测系统等。但入侵检测系统在技术上还有许多问题有待解决。四身份认证技术身份认证是信息安全技术的—个重要方面，是其他安全机制的基础。登录电子邮件系统收发邮件时，需要输入用户名和口令，这是最常见的身份认证。目前，几乎所有的安全网络系统均会部署身份认证系统（如图3-4所示）。常见的身份认证技术主要包括三类：基于口令的认证方式、基于物理证件的认证方式和基于硬件信息的认证方式。图3-4身份认证系统应用示意图（1）基于口令的认证方式。传统的认证技术主要采用基于口令的认证方法。这种认证方法很简单，系统事先保存每个用户的二元组信息。进入系统时用户输入IDPW，系统根据保存的用户信息和用户输入的信息相比较，从而判断用户身份的合法性。这种认证方法的优点在于：一般的系统都提供了对口令认证的支持，对于封闭的小型系统来说不失为一种简单可行的方法。但由于用户经常选择姓名、生日等易被猜测破解的口令，使得这种技术变得极不安全；口令以明文形式在网络传输，使得攻击者很容易通过搭线窃听获取用户口令；另外，攻击者可能利用系统漏洞获取并破解系统保留的用户口令文件，整个系统的安全性就受到了威胁。为提高该技术的安全强度，通常使用密码算法对口令进行加密保存和加密传输，但对重传和假冒攻击毫无抵抗能力。（2）基于物理证件的认证方式。基于物理证件的认证方式是一种利用用户所拥有的某种东西进行认证的方式。主要的物理证件有智能卡和目前流行的USBKey。智能卡具有硬件加密功能，有较高的安全性。基于智能卡的用户身份认证方式结合了用户所知和用户所拥有两个方面，用户信息存在物理证件中，AS中存入某个事先由用户选择的某个随机数。用户访问系统资源时，用户输入。系统首先判断智能卡的合法性，然后由智能卡鉴别用户身份，若用户身份合法，再将智能卡中的随机数送给AS进一步认证。（3）基于硬件信息的认证方式。基于硬件信息的认证方式是最新发展起来的。它是通过计算机本身的唯一硬件特征来标识使用者的身份。结合PIN码的使用，可以实现一种高强度的双因子认证。这种认证依然是建立在公钥密码体制之上的。它的基本假定就是：对于固定的用户，其使用的计算机也是相对固定的（在公用的计算机上是不应该执行任何涉及个人机密操作的，否则安全根本得不到任何保障），那么，通过对这台计算机的识别，加上对当时使用计算机的用户识别，就可以实现对用户的远程认证。其难点和重点在于识别计算机的唯一硬件特征。每块网卡都有—个全球唯一的MAC地址，网卡生产商都遵循统一的规定，按照统一的分配来给自己生产的网卡指定MAC地址。同样的，对于CPU、硬盘、主板等其他计算机部件，都存在着相应的协议和规范。而这些参数的联合，足够构成—个全球唯一的硬件标识号码。其工作原理是：首先对合法用户的计算机进行硬件特征采集。通过对于硬件标识号码的实时获取，可以实时地认证一台具有唯一特征值的计算机是否是已经注册的合法使用者。目前，在网络应用系统中应用最为广泛的技术是静态口令的身份认证技术。这种身份认证方法操作十分简单，但同时又最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，同时由于口令的明文传输使得系统攻击者很容易通过搭线窃听方法窃取用户口令。五数字签名技术数字签名（DigitalSignature，又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名技术是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。其原理如图3-5所示：图3-5数字签名技术原理示意图数字签名技术的主要功能有保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。基于公钥密码体制和私钥密码体制都可以获得数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。（1）普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA，椭圆曲线数字签名算法和有限自动机数字签名算法等。（2）特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门禁签名、具有消息恢复功能的签名等，它与具体应用环境密切相关。显然，数字签名的应用涉及法律问题，美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准（DSS）。六加密技术加密技术是密码学研究的重要成果，是解决信息安全问题的核心技术之一，要实现信息的保密性、完整性、可控性和不可否认性等安全要求，都离不开加密技术。加密技术往往会与数字签名技术一同使用，一般包括加密和解密两个互逆过程。其中，加密是指运用加密算法将普通信息（明文）转换成难以理解的资料（密文）的过程。解密则是由密文转换回明文。其基本原理如图3-6所示：图3-6加密技术原理示意图目前常见的加密技术主要有三种：分组密码、流密码、公开密钥密码。前两种一般用于加密文本、图形和其他信息，后一种用于身份验证和完整性检查。（1）分组密码。分组密码取用明文的一个区块和钥匙，输出相同大小的密文区块。由于信息通常比单一区块还长，因此有了各种方式将连续的区块编织在一起。DES和AES是美国联邦政府核定的分组密码标准（AES将取代DES）。尽管将从标准上废除，DES依然很流行（triple-DE变形仍然相当安全），被使用在非常多的应用上，从自动交易机、电子邮件到远端存取。也有许多其他的区块加密被发明、释出，品质与应用上各有不同，但其中不乏被破解者。（2）流密码。相对于区块加密，制造一段任意长的钥匙原料，与明文依位元或字符结合，有点类似一次垫。输出的串流根据加密时的内部状态而定。在一些流密码上由钥匙控制状态的变化。RC4是相当有名的流密码。密码杂凑函数（有时称作消息摘要函数，杂凑函数又称散列函数或哈希函数）不一定使用到钥匙，但和许多重要的密码算法相关。它将输入资料（通常是一整份文件）输出成较短的固定长度杂凑值，这个过程是单向的，逆向操作难以完成，而且碰撞（两个不同的输入产生相同的杂凑值）发生的几率非常小。信息认证码或押码很类似密码杂凑函数。（3）公开密钥密码体系。公开密钥密码体系，简称公钥密码体系，又称非对称密钥密码体系，相对于对称密钥密码体系，最大的特点在于加密和解密使用不同的密钥。传统的加密方法是加密、解密使用同样的密钥，由发送者和接收者分别保存，在加密和解密时使用，采用这种方法的主要问题在于密钥的生成、注入、存储、管理、分发等很复杂，特别是随着用户的增加，密钥的需求量成倍增加。在网络通信中，大量密钥的分配是一个难以解决的问题。第三节信息安全工程信息安全是一个综合、交叉学科，其中涉及数学、物理、通信和计算机等诸多学科的理论知识。它既不是安全技术产品的简单堆砌，也不是等同于若干管理制度和安全标准，而是一项复杂的系统工程——信息安全工程。信息安全工程就是以信息技术为基础，以信息安全管理为手段，以信息安全法律法规为保障的系统工程。信息安全工程作为系统工程的一个子集，是系统安全工程、系统工程和系统获取在信息系统安全方面的具体体现。用系统工程的观点、方法，综合运用计算机、网络、信息技术、信息安全技术与防护、安全策略、信息安全管理、信息安全法律法规、计算机犯罪等不同领域理论，来对待、处理并解决信息安全问题。其总的指导思想是将安全工程与信息系统开发集成起来。信息安全工程具有清晰的研究范畴，具体包括信息安全工程的目标、原则域范围，信息安全风险分析与评估的方法、手段、流程，信息安全需求分析方法，安全策略，安全体系结构，安全实施领域及安全解决方案，安全工程的实施规范，安全工程的测试与运行，安全意识的教育与技术培训，应急响应技术、方法与流程等。信息安全工程的观点认为，信息系统的各个环节必须进行统一的综合考虑、规划和构架，并要实施兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。仅凭着一时的需要，想当然地制定一些控制措施或其他行为，难免会顾此失彼，无法提高安全水平，甚至引发安全问题。安全体系结构的设计、安全解决方案的提出必须是基于信息安全工程理论。对信息系统建设部门而言，在建立与实施企业级的信息与网络系统安全体系时，必须考虑信息安全的方方面面，必须兼顾信息网络的风险评估与分析、信息网络的整体安全策略、安全模型、安全体系结构的开发、信息网络安全的技术标准与规范的制定、信息安全工程的实施各个方面。对工程实施单位，必须严格按照信息安全工程理论规范实施过程。对管理部门来说，应该采用信息安全工程能力成熟度模型（SSE-CMM）对信息系统建设部门安全工程的质量、安全工程实施单位的实施能力进行评价，只有这样才能实现真正意义上的信息安全。一信息安全工程建设流程和生命周期1.建设流程信息安全工程是一种复杂的工程，包括复杂的建设过程。它是一项涉及产品或系统整个生命周期的安全工程活动，包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止等过程。其主要流程如图3-7所示。图3-7信息安全工程建设流程图2.生命周期安全工程的生命周期主要包括：发掘信息保护需求、定义系统安全要求、设计系统安全体系结构、开展详细的安全设计、实现系统的安全、评估信息保护的有效性、工程实施、开发和制造、生产和部署，运行和支持、淘汰。二系统安全工程能力