1、安全策略的核心內容是“七定”:定方案、定崗、定位、定員、定目標、定制度、定工作流程。
2、安全策略需要處理好的關系
①安全與應用的依存關系:安全與應用是矛盾統壹的。沒有應用就不會產生相應的安全需求;發生安全問題,就不能更好地開展應用;
②風險度的觀點:信息系統的安全目標定位於“系統永不停機、數據永不丟失、網絡永不癱瘓、信息永不泄密”;
③適度安全的觀點;
④木桶效應的觀點;
⑤信息系統安全等級保護概念。
a、第壹級:用戶自主保護級:通過隔離用戶與數據,使用戶具備自主安全保護的能力;
b、第二級:系統審計保護級:適用於通過內網或國際網進行商務活動,需要保密的非重要單位;
c、第三級:安全標記保護級:具有系統審計保護級的所有功能。適用於地方各級國家機關、金融單位機構、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設鄧單位;
d、第四級:結構化保護級:建立於壹個明確定義的形式安全策略模型之上,要求將第三級中的自主和強制訪問控制擴展到所有主體與客體。適用於中央級國家機關、廣播電視部門、重要物資儲備單位、社會應急服務部門、尖端科技企業集團、國家重點科研單位和國防建設部門;
e、訪問驗證保護級:滿足訪問控制器需求。訪問控制器本身是抗篡改的,必須足夠小,能夠分析和測試。適用於國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位。
安全保護等級由2個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。
3、信息安全系統:是信息系統的壹部分,用於保證“業務應用信息系統”正常運營。用三維空間來反映信息安全系統的體系架構及其組成:
①X軸是“安全機制”。安全機制可以理解為提供某些安全服務,利用各種安全技術和技巧,所形成的壹個較為完善的結構體系;
②Y軸是“OSI網絡參考模型”。信息安全系統的許多技術、技巧都是在網絡的各個層面上實施的,包括物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層;
③Z軸是“安全服務”,從網絡中的各個層次提供給信息應用系統所需要的安全服務支持。
X、Y、Z三個軸形成的信息安全系統三維空間就是信息系統的“安全空間”。包含“認證、權限、完整、加密和不可否認”五大要素,也叫作“安全空間”的五大屬性。
4、安全服務:分為對等實體認證服務(對對方實體的合法性、真實性進行確認,以防假冒)、數據保密服務、數據完整性服務、數據源點認證服務、截止否認服務、犯罪證據提供服務。
5、安全技術:加密技術、數字簽名技術、訪問控制技術、數據完整性技術、認證技術、數據挖掘技術。
6、信息安全系統架構體系
①MIS+S系統:初級信息安全保障系統或基本信息安全保障系統,其特點包括:業務應用系統基本不變、硬件和系統軟件通用、安全設備基本不帶密碼;
②S-MIS系統:標準信息安全保障系統,其特點包括:硬件和系統團建通用,PKI/CA安全保障系統必須帶密碼、業務應用系統必須根本改變、主要的通用的硬件、軟件也要通過PKI/CA認證;
③S2-MIS系統:超安全的信息安全保障系統:其特點為硬件和系統軟件都專用,PKI/CA安全基礎設施必須帶密碼,業務應用系統必須根本改變。
7、ISSE過程:工程過程、風險過程(壹個有害事件由外部威脅、內部脆弱性和影響三個部分組成)和保證過程。
8、PKI(公鑰基礎設施):以不對稱秘鑰加密技術為基礎,以數據機密性、完整性、身份認證和行為不可抵賴性為安全目的,來實施和提供安全服務的具有普適性的安全基礎設施,PKI的基本構件包括:
①數字證書:由認證機構經過數字簽名後發給網上信息交易主體的壹段電子文檔校驗對方的身份真偽,保證交易信息的真實性、完整性、機密性和不可否認性。數字證書是PKI的基礎;
②認證中心:CA是PKI的核心,由公正、權威、可信的第三方認證機構,負責數字證書的簽發、撤銷和生命周期的管理,還提供秘鑰管理和證書在線查詢等服務;
③數字證書註冊審批機構:RA系統是CA的數字證書發放、管理的延伸;
④其它:數字簽名、密鑰和證書管理工具、雙證書體系、PKI的體系架構、PKI信任服務體系、PKI密鑰管理中心。
9、X.509證書標準:版本號、序列號、簽名算法標識符、認證機構、有效期限、主題信息、認證機構的數字簽名、公鑰信息。
10、PKI/CA對數字證書的管理:按照數字證書的生命周期實施的,包括證書的安全需求確定、證書申請、證書登記、分發、審計、撤回和更新。
11、CA是壹個受信任的機構,為了當前和以後的事務處理,CA給個人、計算機設備和組織機構頒發證書,以證實他們的身份,並為他們使用證書的壹切行為提供信譽的擔保。
12、PMI即權限管理基礎設施或授權管理基礎設施。PMI授權技術的核心思想是以資源管理為核心,將對資源的訪問控制權統壹交由授權機構進行管理,即由資源的所有者來進行訪問控制管理。
13、PMI與PKI的區別:PMI主要進行授權管理,證明這個用戶有什麽權限,能幹什麽;PKI主要進行身份鑒別,證明用戶身份。
14、訪問控制的基本概念:信息安全保證機制的核心內容之壹。訪問控制是為了限制訪問主體對訪問客體的訪問權限,從而使計算機信息應用系統在合法範圍內使用;訪問控制機制決定用戶以及代表壹定用戶利益的程序能做什麽及做到什麽程度,有兩個重要過程:
①認證過程:通過“鑒別”來檢驗主體的合法身份;
②授權管理:通過“授權”那賦予用戶對某項資源的訪問權限。
15、訪問控制機制分類:強制訪問控制(MAC,用戶不能改變他們的安全級別或對象的安全屬性)和自主訪問控制(DAC-允許對象的屬主來制定針對該對象的保護策略,那限定哪些主體針對哪些客體可以執行什麽操作)。
16、訪問控制的應用:有以下4種:
①DAC,自主訪問控制方式:針對每個用戶指明能夠訪問的資源,對不在指定資源列表總的對象不允許訪問;
②ACL,訪問控制列表方式:目標資源擁有訪問權限列表,指明允許哪些用戶訪問;
③MAC,強制訪問控制方式:目標具有壹個包含等級的安全標簽(不保密、限制、秘密、機密等);訪問者擁有包含等級列表的許可,其中定義了可以單溫哪個級別的目標。多用於軍事和安全部門;
④RBAC,基於角色的訪問控制方式:首先定義壹些組織內的角色,如局長、科長、職員;再根據管理規定給這些角色分配相應的權限,最後對組織內的每個人根據具體業務和職位分配壹個或多個角色。
17、安全審計:記錄、審查主體對客體進行訪問和使用情況,保證安全規則被正確執行,並幫助分析安全事故產生的原因。
①安全審計的內容:采用網絡監控與入侵防護系統,識別網絡各種違規操作與攻擊行為,即時相應並進行阻斷;對信息內容和業務流程進行審計,可以防止內部機密或敏感信息的非法泄露和單位資產的流失。
②信息安全審計系統就是業務應用信息系統的“黑匣子”。即使在整個系統遭到滅頂之災的破壞後,“黑匣子”也能安然無恙,並確切記錄破壞系統的各種痕跡和“現場記錄”。
③信息安全審計系統就是業務應用信息系統的“黑匣子監護神”。隨時對壹切現行的犯罪行為、違法行為進行監視、追蹤、抓捕,同時對暗藏的、隱患的犯罪傾向、違法跡象進行“堵漏”、鏟除。
④安全審計的作用:對潛在的攻擊者起到震懾或警告作用;對於已經發生的系統破壞行為提供有效的追究證據;為系統安全管理員提供有價值的系統使用日誌,從而幫助系統安全管理員及時發現系統入侵行為或潛在的系統漏洞;為系統安全管理員提供系統運行的統計日誌,使系統安全管理員能夠發現系統性能上的不足或需要改進與加強的地方。
⑤安全審計功能:CC標準將安全審計功能分為6個部分:
a、安全審計自動響應功能:定義被測事件指示出壹個潛在的安全攻擊時做出的響應,他是管理審計事件的需要,這些需要包括報警或行動;
b、安全審計數據生成功能:要求記錄與安全相關的事件的出現,包括鑒別審計層次、列舉可被審計的事件類型,以及鑒別由各種審計記錄類型提供的相關審計信息的最小集合;
c、安全審計分析功能:定義了分析系統和審計數據來尋找可能的或真正的安全違規操作(分為潛在攻擊分析、基於模板的異常檢測、簡單攻擊試探、復雜攻擊試探);
d、安全審計瀏覽功能:要求審計系統能夠給使授權的用戶有效地瀏覽審計數據,包括審計瀏覽、有限審計瀏覽、可選審計瀏覽。
e、安全審計事件選擇功能:要求系統管理員能夠維護、檢查或修改審計事件的集合;
f、安全審計事件存儲功能:要求審計系統將提供控制措施,以防止由於資源不可用丟失審計數據。
18、重要應用系統運行情況審計:包括基於主機操作系統代理、基於應用系統代理、基於應用系統獨立程序、基於網絡旁路監控方式。
19、分布式審計系統:由審計中心(對整個審計系統的數據進行集中存儲和管理)、審計控制臺(提供給管理員用於對審計數據進行查閱)和審計Agent(直接同被審計網絡和系統連接的部件,不同的審計Agent完成不同的功能)組成。