系统安全性分析与设计

Posted 左直拳

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了系统安全性分析与设计相关的知识,希望对你有一定的参考价值。

必须掌握系统安全知识,在进行系统分析与设计时,足够重视安全性分析,根据系统的环境约束和用户要求,结合当前技术的发展,为信息系统构筑铜墙铁壁,确保用户应用和数据的安全。

一、信息系统安全体系

对于一个信息系统网络,必须从总体上规划,建立一个科学全面的信息安全保障体系,从而实现信息系统的整体安全。

1、信息安全威胁

1)系统稳定性和可靠性破坏行为(破坏)
包括从外部网络针对内部网络的攻击入侵行为和病毒破坏等。

2)大量信息设备的使用、维护和管理问题(违规)
包括违反规定的计算机、打印机和其他信息基础设施滥用,以及信息系统违规使用软件和硬件的行为。

3)知识产权和内部机密材料等信息存储、使用和传输的保密性、完整性和可靠性存在可能的威胁,其中尤以信息的保密性存在威胁的可能性最大。(窃密)

2、系统安全的分类
1)实体安全
2)运行安全
3)信息安全
4)人员安全
别误会,是指人要有安全意识、法律意识、安全技能。

3、系统安全体系结构
1)物理环境的安全性
包括通信线路,物理设备和机房安全等。

2)操作系统的安全性
主要表现在:
(1)操作系统本身的缺陷带来的安全风险,包括身份认证,访问控制和系统漏洞等;
(2)操作系统的安全配置问题
(3)病毒

3)网络的安全性
主要体现计算机网络方面的安全性。包括网络身份认证,网络资源访问控制,数据传输的保密与完整性,远程接入、域名、路由、入侵检测等等

4)应用的安全性
由所提供服务的应用软件和数据的安全性产生,包括web服务,电子邮件系统和DNS,也包括病毒对系统的威胁。

5)管理的安全性
包括安全管理制度、组织规章制度、安全技术和设备管理等。

找到一张近似的图

4、安全保护等级

1)第一级(用户自主保护级/自主保护级)

用户自主控制资源访问。

一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息统

信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

2)第二级(系统审计保护级/指导保护级)

访问行为需要被审计。

一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

3)第三级(安全标记保护级/监督保护级)

通过安全标记强制访问控制。

一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。

信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

4)第四级(结构化保护级/强制保护级)

可信计算基结构化,结构化为关键保护元素和非关键保护元素。

可信计算基(英语:Trusted computing base, TCB)是指为实现计算机系统安全保护的所有安全保护机制的集合,机制可以硬件、固件和软件的形式出现。一旦可信计算机基的某个构件出现程序错误或者安全隐患,就对整个系统的安全造成危害。 与之相反,如果除可信计算基之外的系统的其他部分出现问题,也只是泄漏了系统安全策略赋予它们的相关权限而已,这些权限一般都是比较低的。

一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

5)第五级(访问验证保护级/专控保护级)

所有过程都需要被验证。

一般适用于国家重要领域、重要部门中的极端重要系统。

信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统安全等级保护的定级准则和等级划分

5、系统安全保障系统
1)建立统一的身份认证体系
身份认证是信息交换最基础的要素。

2)建立统一的安全管理体系

3)建立规范的安全保密体系

4)建立完善的网络边界防护体系
重要的计算机网络一般会与互联网进行一定程度的分离,在内部信息网络和Internet之间存在一个网络边界。必须建立完善的网络边界防护,既可以内外部网络交流,又能防止外网对内网的攻击。

二、数据安全与保密

为用户提高安全、可靠的保密通信,是信息系统安全最为重要的内容,尽管系统安全不仅仅局限于保密性,但不能提供保密性的系统肯定是不安全的。系统的保密性机制除了为用户提供保密通信外,也是其他安全机制的基础。

1、数据加密技术
对称加密
非对称加密

2、认证技术
信息的完整性一方面是指信息在利用,传输、存储等过程中不被删除、修改、伪造、乱序、重放和插入等,另一方面是指信息处理方法的正确性。

完整性和保密性不同。保密性要求信息不被泄露给未经授权的人,而完整性则要求信息不受到各种原因的破坏。

认证(authentication)又称为鉴别或确认,它是证实某事物是否名符其实或是否有效的一个过程。加密用于确保数据的保密性,阻止对方的被动攻击,例如窃听和截取等;而认证用于确保数据发送者和接收者的真实性和报文的完整性,阻止对手的主动攻击,例如,冒充、篡改和重放等。认证往往是应用系统的第一道防线。

1)数字签名

2)杂凑算法

3)数字证书

4)身份认证
口令认证,动态口令认证,生物特征识别。

3、密钥管理体制
1)KMI
Key Management Infrastructure,密钥管理基础设施。设定一个密钥分配中心(Key Distribution Center,KDC)。适用于封闭网。

2)PKI
Public Key Infrastructure,公钥基础设施。解决了分发密钥时依赖秘密信道的问题。适用于开放网络。

PKI基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

3)SPK
Seeded public-key,种子化公钥。适用于规模化专用网。多重公钥,组合公钥。

三、通信与网络安全技术

网络安全是系统安全的核心。

没有一种体系结构和通信协议尽善尽美、没有漏洞,利用网络进行的攻击与反攻击、控制与反控制永远不会停止。因此,要熟练掌握网络安全技术,针对网络安全需求,采用相应的措施。

1、防火墙
防火墙(firewall)是一种隔离控制技术,在不同网域之间设置屏障,阻止对信息资源的非法访问,也可以阻止重要信息从内部网络中非法输出。

硬件防火墙本质上还是软件在控制。

1)防火墙的功能
(1)访问控制

(2)内容控制

(3)全面的日志

(4)集中管理
在一个安全体系中,防火墙可能不止一台,因此防火墙应该易于集中管理。

(5)自身的安全和可用性
(6)附加功能
流量控制、NAT、VPN。

2)防火墙的分类
总体上,可分为网络级防火墙和应用级防火墙。网络级防火墙防止外来入侵,应用级防火墙从应用程序来进行接入控制,通常使用应用网关或代理服务器来区分各种应用。

3)防火墙的体系结构
(1)双宿/多宿主机模式

堡垒机有两块或多块网卡,充当代理服务器。必须禁止网络层的路由功能。

(2)屏蔽主机模式
堡垒机在内部网络,并且是外网能直接访问的唯一主机。

(3)屏蔽子网模式
内外网之间建立一个隔离子网,称为内军事区(De-Militarized Zone,DMZ)或周边网(perimeter network)。

内、外网均可访问隔离子网,但禁止穿越隔离子网通信。

4)防火墙的局限性
(1)给用户使用带来不便
(2)对来自网络内部的攻击无能为力
(3)不能防范不经过防火墙的攻击
(4)可能导致传输延迟、瓶颈和单点失效
(5)不能完全防止病毒攻击

2、VPN(虚拟专用网)
VPN是企业网在Internet等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。VPN是一个虚拟信道,它运行在公共网络,通过加密技术保证安全性。

隧道技术是VPN的基本技术。除此而外,还有加解密技术、密钥管理技术、身份认证技术、访问控制技术。

PPP:point to point protocol,点对点协议。

3、安全协议
在保证计算机网络系统的安全中,安全协议起到主要核心作用,其中主要包括
IPSec
SSL
PGP
HTTPS(Hypertext Transfer Protocol Over Secure Socket Layer,安全套接字层上的超文本传输协议)等。

1)SSL
SSL(Secure Socket Layer)是一个传输层的安全协议,用于在Internet上传送机密文件。SSL协议由握手协议、记录协议和警报协议组成。它用于在客户与服务器真正传输应用层数据之前建立安全机制。SSL提供3个方面的服务,分别是

用户和服务器的合法性认证
数据加密传输
保护数据的完整性

TLS(Transpot Layer Securit,传输层安全)。TLS1.0也称为SSL3.1

2)HTTPS
HTTPS实际上应用了SS作为HTTP应用层的子层。HTTPS和SSL支持使用X.509数字认证。

3)PGP
一个基于RSA的邮件加密软件,还可以给邮件加上签名。也可以用于文件存储加密。支持PGP证书和X.509证书。

4)IPSec
Internet Protocol Security,IP协议安全性。工业标准网络安全协议。保护TCP/IP通信免遭窃听和篡改,抵御网络攻击。支持IPV4和IPV6,属于端对端安全模式,即只有发送和接收端掌握加解密方法,网络其他部分只转发,并不需要支持IPSec。

4、单点登录技术
对于有多个业务系统应用需求的组织,使用单点登录,配套统一的身份认证系统,利于降低系统成本,降低出错几率和,减少受到非法截获和破坏的可能性。同时也减轻用户记忆负担。

单点登录(Single Sign-On,SSO)采用基于数字证书的加密和数字签名技术、统一策略的用户身份认证和授权控制功能,一点登录,多点漫游。

单点登录有Kerberos机制和外壳脚本机制。

四、病毒防治与防闯入

1、病毒防护技术

2、入侵检测技术
【IDS】
入侵检测系统(Intrusion-detection system,IDS)是一种安全策略,可用于不同网络、不同系统。入侵分析模块是IDS的核心模块。

3、入侵防护技术
【IPS】
入侵防护系统(Intrusion Prevention System,IPS)是一种主动的、积极的入侵防范和阻止系统,它部署在网络的进出口处,当检测到攻击企图后,自动将攻击包丢掉或采取措施将攻击源阻断。

4、防火墙 VS 入侵检测系统 VS 入侵防护系统
防火墙实施访问控制策略,对流经的网络流量进行检查,拦截不符合安全策略的数据包。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此对很多入侵攻击仍然无计可施。

IDS通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出警报。

IPS类似IDS,但IPS检测到攻击后会采取行动阻止攻击。

5、网络攻击及预防

1)常见的网络攻击手段
(1)数据链路层
【MAC地址欺骗】将MAC地址改成信任主机的MAC地址

【ARP欺骗】修改IP与MAC地址的映射关系,使数据包发送到另一台控制的机器

(2)网络层
【IP地址欺骗】假冒他人IP地址发送数据包

【泪滴攻击】发送两段或以上的数据包,并使偏移量故意出错,造成接收方崩溃

【ICMP攻击】ICMP,互联网控制消息协议。发送过大的ICMP数据包,进行IP地址扫描,大量的ping命令让对方带宽或资源耗尽

【RIP路由欺骗】声明被控制的路由A可以最快到达路由B,导致发给B的包都经A中转,在A中侦听和篡改等

(3)传输层
【TCP初始化序号预测】
通过预测初始序号来伪造TCP数据包。

【TCP端口扫描】
通过扫描TCP端口来寻找存在安全隐患的应用程序和服务,然后利用应用层手段进行攻击。

【Land攻击】
向目标主机发送一个特别伪造的SYN包,其IP源地址和目标地址都是目标主机,导致目标主机向自身循环发送消息和应答,不断创建空连接,最后资源耗尽。

SYN:同步序列编号,TCP/IP建立连接时使用的握手信号
ACK:请求/应答状态
FIN:结束连线
RST:连线复位

【TCP会话劫持】
接管被欺骗主机和目的主机之间发送的数据报

【SYN flooding】
利用建立TCP连接的第三次握手机制进行攻击,组织完成三次握手。flooding,洪水泛滥。

【RST和FIN攻击】
使欺骗主机和目标主机之间的正常通信突然中断。

(4)应用层
【电子邮件攻击】
大量垃圾邮件,或居心叵测的邮件

【DNS欺骗】
修改DNS,指向攻击者的服务器

【缓冲区溢出攻击】
往程序的缓冲区写入超长的内容,造成缓冲区溢出,从而破坏程序堆栈,使程序转而执行其他指令,达到攻击目的。

2)特洛伊木马

3)拒绝服务攻击
Denial of Service,DoS,拒绝服务,广义上可以指任何导致服务器不能正常提供服务的攻击。基本原理就是使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,不胜负荷,以至于瘫痪,无法提供服务。

DDos,Distributed Denial of Service,分布式拒绝服务攻击。通过很多僵尸机同时发起Dos攻击。

4)端口扫描

5)漏洞扫描

6、计算机犯罪与防范
刑法规定,计算机犯罪的防范

五、系统访问控制技术

访问控制技术是系统安全防范和保护的主要核心策略。它的主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。

1、访问控制概述
1)访问控制的要素
【主体】对其他实体施加动作的主动实体,用户、计算机终端、手持终端等

【客体】接受其他实体访问的被动实体,信息、文件、记录、硬件设施等

【控制策略】主体对客体的操作行为集合约束条件集(访问规则集)。访问策略体现了一种授权行为,也就是客体对主体的权限允许,但这种允许不超越规则集。

2)访问控制的策略
登录访问、操作权限、目录安全、属性安全、服务器安全控制策略。

2、访问控制模型
访问控制一般基于安全策略和安全模型。访问控制模型是一种从访问控制的角度出发,描述系统安全,建立安全模型。

3、访问控制分类
1)自主访问控制(DAC)
目前计算机系统中实现最多的访问控制机制。在确认主体身份以及它们所属组的基础上,对访问进行限定的一种方法。DAC有一个明显的特点,是它的控制是自主的,能够控制主体对客体的直接访问,但不能控制间接访问,即A可以访问B,B可以访问C,则A可访问C这种问题。

2)强制访问控制(MAC)
主、客体均有安全属性,主体能否对客体能否执行特定的操作取决于二者安全属性之间的关系。MAC一般用在分时操作系统(Mulitics系统)

3)基于角色的访问控制(RBAC)
用户与角色相联系,角色与许可权相联系。特别适用于用户数量庞大,系统功能不断扩展的大型系统。

4)基于任务的访问控制(TBAC)
对象的访问权限不是静止不变的,而是随着执行任务的上下文环境发生变化,是一个动态安全模型。典型应用是工作流。

5)基于对象的访问控制(OBAC)
将ACL与受控对象及其属性相关联,并将访问控制选项设计成为用户、组或角色及其相应权限的集合。适合信息量巨大、信息内容更新频繁的管理信息系统。

六、容灾与业务持续

当应用系统的一个完整环境因灾难性事件遭到破坏时,为了迅速恢复应用系统的数据和环境,是应用系统恢复运行,需要异地灾难备份系统,也称为容灾系统。灾难备份是指为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。

1、灾难恢复技术

1)灾难恢复的技术指标
恢复点目标RPO和恢复时间目标RTO。RPO可简单描述为企业能容忍的最大数据丢失量;RTO可简单描述为企业能容忍的恢复时间。

2)灾难恢复等级

3)容灾技术的分类
可分为数据容灾和应用容灾。数据容灾较为基础,应用容灾在此基础上,再将执行应用处理能力复制一份。

2、灾难恢复规划
灾难恢复工作包括灾难恢复规划和灾难备份中心的日常运行,还包括灾难发生后的应急响应、关键业务功能在灾难备份中心的恢复和重续运行、主系统的灾后重建和回退工作。

灾难恢复规划是一个周而复始、持续改进的过程,包含灾难恢复需求的确定、灾难恢复策略的制定和实现,以及灾难恢复预案的制定、落实和管理。

3、业务持续性规划
业务持续性规划(Business Continuity Planning,BCP)是在非计划的业务中断情况下,使业务继续或恢复其关键功能的一系列预定义的过程。BCP可以帮助企业确认影响业务发展的关键性因素及其可能面临的威胁,由此拟订的一系列计划与步骤。BCP的目标是确定并减少风险可能带来的损失,有效保障业务的连续性。

七、安全管理措施

1、安全管理的内容
1)密码管理
2)网络管理
3)设备管理
4)人员管理
人员管理是信息系统安全管理的关键。提高相关人员的技术水平、道德品质和安全意识。

2、安全审计
安全审计涉及4个基本要素,分别是控制目标、安全漏洞、控制措施和控制测试。

3、私有信息保护
造成个人私有信息泄露的途径可能有以下几个方面:
1)利用操作系统和应用软件的漏洞
2)网络系统设置
3)程序的安全性
4)拦截数据包
5)假冒正常的网站
6)用户自身的因素
密码泄露,网上泄露自身信息,没有安全意识。

参考文章
系统安全

加密机制Kerberos原理

以上是关于系统安全性分析与设计的主要内容,如果未能解决你的问题,请参考以下文章

软考 - 01 考试范围及知识点

软考 系统架构设计师系统安全分析与设计⑤ 安全防范体系的层次和信息安全体系结构

[10]系统安全与保密性设计

软考 系统架构设计师系统安全分析与设计③ 网络安全

CISSP-OSG-要点总结梳理

系统架构设计 - 系统安全性和保密性设计