《信息安全 安全方案設(shè)計》由會員分享，可在線閱讀，更多相關(guān)《信息安全 安全方案設(shè)計（12頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、信息安全概論 第16章 安全方案設(shè)計 第16章 安全方案設(shè)計 學(xué)習和研究安全技術(shù)的根本目的是保護信息網(wǎng)絡(luò)資源的安全，因此，面對具體的信息網(wǎng)絡(luò)應(yīng)用環(huán)境，如何合理地采用安全技術(shù)和產(chǎn)品，構(gòu)造和實施安全方案，就成了本課程的歸宿。 基于這樣的指導(dǎo)意思，本章介紹安全方案設(shè)計的一般原理和方法，并給出一個典型方案實例，以引導(dǎo)讀者學(xué)以致用。本章的內(nèi)容主要是基于作者的經(jīng)驗寫就的，僅是一家之言，有主觀的一面，希望讀者在批判中學(xué)習，在應(yīng)用中發(fā)展。 16.1. 安全方案設(shè)計方法 安全方案設(shè)計與其他方案設(shè)計一樣，都分為需求分析和方案設(shè)計兩個大的階段，不同的是各階段需要分析和設(shè)

2、計的內(nèi)容不同。在安全需求分析階段，主要需要進行資產(chǎn)分析、漏洞分析、威脅分析和需要遵照的標準和政策分析；而在方案設(shè)計階段要考察能滿足需求的技術(shù)、產(chǎn)品及相應(yīng)的工程規(guī)劃，最后形成可實施的方案。如圖16.1。 2. 方案設(shè)計階段 信息資產(chǎn)：文件、數(shù)據(jù) 網(wǎng)絡(luò)資產(chǎn)：設(shè)備、結(jié)構(gòu) 資產(chǎn)分析 漏洞分析 威脅分析 標準、政策析 技術(shù)選擇 產(chǎn)品選擇分析 工程規(guī)劃 實施方案分析 1. 需求分析階段 16.1.1 需求分析 16.1.2.1. 資產(chǎn)分析 安全方案總是以保護一定價值的資產(chǎn)為目的。因此資產(chǎn)的價值決定了方案設(shè)計時考慮的

3、投入強度。一般情況下，不可能用大于資產(chǎn)價值的保護代價去保護資產(chǎn)。目前普遍接受的看法認為，安全投入占資產(chǎn)價值的10-20%是比較合理的。問題是，資產(chǎn)的價值如何確定，尤其是信息資產(chǎn)的價值量化就更模糊。 目前，資產(chǎn)價值的分析有兩種指標，一種價格指標，一種是價值指標。前者可以量化，后者可以分級。在信息網(wǎng)絡(luò)中，網(wǎng)絡(luò)資源（硬件、軟件）的投入是有價格的，但信息資源卻很難用價格來衡量，如，很難說一份絕密文件值多少錢。因此，在資產(chǎn)分析階段，應(yīng)該將網(wǎng)絡(luò)資源和信息資源分別估算。網(wǎng)絡(luò)資源的價格可以初略地認為等同于合同價格，容易確定。關(guān)鍵是信息資源的價值需要探討。 在美國的信息安全保障框架（IATF）中，將信息資產(chǎn)

4、分為V1-V5五個級別，起分級的依據(jù)是信息遭受破壞后的影響程度。V1-V5定義如表16.1所示。 表16.1 IATF信息資產(chǎn)分級 信息級別 分級依據(jù) V1 對信息保護策略的違反造成的負面影響和結(jié)果可以忽略。 V2 對信息保護策略的違反會對安全、保險、金融狀況、組織的基礎(chǔ)設(shè)施造成 不良影響/或小的破壞 V3 :對信息保護策略的違反回造成一定的破壞 V4 對信息保護策略的違反會嚴重破壞安全、保險、金融狀況、組織的基礎(chǔ)設(shè)施 V5 :對信息保護策略的違反回造成異常嚴重的破壞 我國將涉密信息分為絕密、機密、秘密、內(nèi)部和公開五個級別

5、，對各級別的重要程度和擴散范圍做出了詳細規(guī)定。 雖然對商業(yè)信息沒有明確的分級依據(jù)，但資產(chǎn)擁有者可以根據(jù)信息的重要程度和信息被攻擊后可能引發(fā)的損失程度將信息進行分級。基于這樣的認識，我們可以將信息價值劃分為五級（其他分級數(shù)也可以，但太細的分級可操作性較差），不凡稱之為分別成為不重要、一般重要、重要、很重要、特別重要。并分別賦值1-5。這樣可以將資產(chǎn)價值分析總結(jié)為表16.2。 表16.2 資產(chǎn)價值分析表 資產(chǎn)類別 資產(chǎn)價值 價值評估依據(jù) 網(wǎng)絡(luò)資產(chǎn) 價格 建設(shè)合同價（采購、開發(fā)、實施、服務(wù)、維護等） 信息資產(chǎn) 1 不重要

6、 2 一般重要 3 重要 4 很重要 5 特別重要 根據(jù)以上資產(chǎn)分析依據(jù)，就可以給資產(chǎn)賦值。從而成為方案設(shè)計的一個量化依據(jù)。 16.1.2.2. 漏洞分析 在分析了資產(chǎn)價值之后，就要對信息網(wǎng)絡(luò)的脆弱性進行分析評估。如果信息網(wǎng)絡(luò)沒有漏洞可供攻擊者利用，則認為信息網(wǎng)絡(luò)是安全的。然而，實際的信息網(wǎng)絡(luò)總有脆弱點存在。而且有些脆弱點是是無法避免的，如，很多服務(wù)端口必須開通，為合法訪問者提供服務(wù)的同時也為攻擊者提供了通路。漏洞掃描的目的就是確認信息系統(tǒng)具體存在什么漏洞。這種，通過制定信息系統(tǒng)存在的漏洞的類別和風險級別來指導(dǎo)采取的防范措施。漏洞掃描的有關(guān)內(nèi)容在“脆弱性分析”一章一

7、做了介紹。但在具體應(yīng)用時，應(yīng)制定相應(yīng)的脆弱性分析結(jié)果表，如表16.3所示。 表16.3 漏洞分析結(jié)果樣表 被評估對象 掃描工具 漏洞名稱/編號 漏洞描述 漏洞風險級別* 應(yīng)對措施 WWW服務(wù)器 ISS Scnaner 安裝補丁包 Email服務(wù)器 數(shù)據(jù)庫服務(wù)器 路由器 … * 表中漏洞風險級別分3級： 1-低 2-中 3-高 該表的條目可根據(jù)需要自行增減，樣表16.3只是描述了主要的要素，其中，被評估對象可以是網(wǎng)絡(luò)設(shè)備（

8、如路由器），也可以是主機設(shè)備（如服務(wù)器），可以是操作系統(tǒng)，也可以是具體應(yīng)用；掃描工具有多種，根據(jù)實際情況選用；漏洞名稱和編號常采用CVE公布的規(guī)范，有些尚未列入CVE的漏洞可暫給一個臨時編號；漏洞描述部分是對響應(yīng)漏洞的情況簡單的說明，如，存在什么版本的系統(tǒng)中等；風險級別是反映漏洞可能導(dǎo)致的危險的評價，初略地分為高、中、低三個級別；應(yīng)對措施是指已供認的措施（如安裝補丁程序）和本方案中必須自行提出的防范措施等。 漏洞評估要定期進行。 16.1.2.3. 威脅分析 安全方案的最終是為了阻止威脅，保護信息安全，因此，在方案設(shè)計中，必須先分析被保護系統(tǒng)面臨的威脅種類和來源，提出相應(yīng)的技術(shù)措施。

9、 有關(guān)威脅分析的一般知識在“安全脆弱性分析”一章中已介紹。這里從實際應(yīng)用的角度進行方法分析。針對具體的應(yīng)用系統(tǒng)，必須先劃定保護的邊界，然后分析來自保護邊界內(nèi)外的威脅，做出相應(yīng)的威脅分析和對策表，如表16.4所示。 表16.4 威脅分析和對策表 被保護邊界 可能面臨的威脅 可能造成的損失 應(yīng)對措施 Internet接口 對外服務(wù)接口 PSTN撥號接口 Extranet接口 WAN接口 子網(wǎng)接口 重要服務(wù)器 … 在表中，可以根據(jù)被保護網(wǎng)絡(luò)的具體狀況，分析保護邊界和威

10、脅，然后采取保護措施。 16.1.2.4. 標準和政策分析 信息安全既是技術(shù)問題，也是管理問題。作為技術(shù)問題，必須遵照相應(yīng)的技術(shù)標準，而作為管理問題，則要符合國家的相關(guān)政策。 因此在方案設(shè)計時進行標準和政策分析，制定相應(yīng)的表格，如表16.5和16.6。 表16.5 標準分析表 標準名稱 標準類別 標準主要要求 方案采納條款 GB17859 評估標準 將信息系統(tǒng)安全分為5級 采用第3級要求 CC 評估標準 安全功能和保障 方案設(shè)計采用PP/ST模式 ISO17799 安全管理 對具體的系統(tǒng)管理提出了技術(shù)

11、要求 參照技術(shù)要點 … 表16.6 政策要求分析表 政策名稱 政策類別 政策主要要求 方案采納條款 安全產(chǎn)品管理辦法 產(chǎn)品資質(zhì) 安全產(chǎn)品必須有銷售許可證 遵照 商用密碼產(chǎn)品管理條例 密碼政策 采用國產(chǎn)算法、硬件實現(xiàn) 遵照 ISO17799 安全管理 對具體的系統(tǒng)管理提出了技術(shù)要求 參照技術(shù)要點 … 16.1.2 方案設(shè)計 16.1.2.1. 設(shè)計原則 信息安全方案設(shè)計除了遵循一般信息系統(tǒng)方案設(shè)計的原則（如先進性、可擴展性等）外，結(jié)合信息安全系統(tǒng)自身的特點，還應(yīng)該

12、遵循以下原則、 l 邏輯透明分層原則：安全體系的設(shè)計應(yīng)從具體的物理網(wǎng)和業(yè)務(wù)網(wǎng)中獨立出來，安全網(wǎng)是保護物理網(wǎng)和業(yè)務(wù)網(wǎng)的一個邏輯網(wǎng)。因此安全網(wǎng)自身應(yīng)該是完備的。安全網(wǎng)的建設(shè)應(yīng)結(jié)合物理網(wǎng)和業(yè)務(wù)網(wǎng)的具體結(jié)構(gòu)，但又不能拘泥于物理設(shè)備和業(yè)務(wù)類別的限制。 l 最小安全實體保護原則：安全方案設(shè)計中，最重要的是確認威脅產(chǎn)生的根源。針對受保護系統(tǒng)的結(jié)構(gòu)和功能狀況，根據(jù)重要性的不同，將其劃分為不同的安全域。對不同安全域采取不同的安全策略和措施，把內(nèi)部不再有安全隱患存在的區(qū)域稱為最小安全實體，并認為在最小安全實體內(nèi)部是安全的。最小安全實體可能是一個網(wǎng)絡(luò)、一個子網(wǎng)、一臺主機，也可能只是一個目錄、一個文件。總之，

13、在最小安全實體內(nèi)部的所有訪問都是安全的，而來自最小安全實體之外的訪問就可能存在危險。因此對來自最小安全實體外部的訪問應(yīng)受到安全措施的控制。 l 產(chǎn)品與技術(shù)分離原則：安全方案的設(shè)計不是安全產(chǎn)品的簡單應(yīng)用，更不能局限于現(xiàn)有產(chǎn)品的功能，也不能將不必要的產(chǎn)品堆砌到方案中去。安全方案應(yīng)該根據(jù)實際需求，確定技術(shù)總目標，然后，為了實現(xiàn)這一目標，選取所需的安全產(chǎn)品。在現(xiàn)有安全產(chǎn)品無法滿足需求時，考慮開發(fā)必要的設(shè)備的可能性。如果沒有可用產(chǎn)品，也無法在現(xiàn)有條件下完成開發(fā)，則必須做出規(guī)劃，或調(diào)整方案，或限制應(yīng)用范圍?？傊?，不能因產(chǎn)品的限制設(shè)計出不安全的方案，又不能為了產(chǎn)品而增加投入。而必須以客觀需求和技術(shù)可行性為

14、依據(jù)。 16.1.2.2. 設(shè)計內(nèi)容 安全方案設(shè)計的技術(shù)和產(chǎn)品部分主要是功能設(shè)計和性能設(shè)計兩個方面。而方案實施設(shè)計則包括項目管理、進度規(guī)劃、技術(shù)培訓(xùn)、工程驗收、維護升級等。 16.1.2.2.1. 功能設(shè)計 安全功能的設(shè)計是安全方案設(shè)計的核心。安全功能設(shè)計應(yīng)從安全功能的技術(shù)要求、安全功能支撐產(chǎn)品、安全功能實現(xiàn)層次和單元等方面來考慮。常見的技術(shù)和產(chǎn)品功能設(shè)計如表16.7。在具體設(shè)計時，根據(jù)系統(tǒng)的結(jié)構(gòu)選擇相應(yīng)的安全目標，然后選擇安全功能及其實現(xiàn)技術(shù)、實現(xiàn)位置、所用協(xié)議，最后選擇可用的支撐產(chǎn)品。 表16.7 常見安全技術(shù)和產(chǎn)品功能設(shè)

15、計表 安全目標 安全功能 實現(xiàn)位置 協(xié)議或原理 安全產(chǎn)品 保密性 完整性 抗否認性 加密 數(shù)字簽名 消息驗證 鏈路層 L2TP 鏈路加密機 網(wǎng)絡(luò)層 IPSEC 網(wǎng)絡(luò)加密機、VPN 傳輸層 SSL 系統(tǒng)支持 應(yīng)用層 PGP, SMIME, SET，專用協(xié)議等 加密機，加密卡，加密軟件 系統(tǒng)安全 訪問控制 網(wǎng)絡(luò)層 包過濾，地址轉(zhuǎn)換 防火墻、VPN 應(yīng)用層、 支撐系統(tǒng) 訪問代理 防火墻 應(yīng)用系統(tǒng)訪問控制 操作系統(tǒng)、數(shù)據(jù)庫、專用開發(fā) 認證 網(wǎng)絡(luò)層 IPSec VPN 傳輸層 信息

16、認證 系統(tǒng) 應(yīng)用層、 支撐系統(tǒng) PKI、Kerberos、 CHAP、RADIUS等 CA證書系統(tǒng)、專用開發(fā)、操作系統(tǒng)、數(shù)據(jù)庫等 審計 網(wǎng)絡(luò)層 IP、時間、通斷 防火墻 應(yīng)用層、 支撐系統(tǒng) 登錄、訪問、連接審計 操作系統(tǒng)日志、數(shù)據(jù)庫日志、專用審計日志 系統(tǒng)可用性 防病毒 應(yīng)用層 病毒查殺 防病毒軟件 病毒網(wǎng)關(guān) 入侵檢測 網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用 入侵監(jiān)測 日志分析 入侵檢測系統(tǒng) 漏洞掃描 網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用 漏洞掃描系統(tǒng) … 16.1.2.2.2. 性能設(shè)計 性能設(shè)計是安全方案的重要環(huán)節(jié)，不合理的安全方

17、案經(jīng)常導(dǎo)致系統(tǒng)性能明顯下降甚至癱瘓。一般的安全方案性能設(shè)計主要考慮的要素和指標如表16.8所示。 表16.8 安全性能設(shè)計 應(yīng)用環(huán)境 指 標 允許范圍 主要影響因素 主要影響產(chǎn)品 網(wǎng)絡(luò) 吞吐率 下降不超過10% 加密、過濾、 代理 防火墻、VPN等 延時 小于50ms 最大允許并發(fā)連接數(shù) >20萬 應(yīng)用 運行速度 下降不超過10% 駐留軟件 訪問控制 防病毒軟件、 基于主機的入侵檢測等 系統(tǒng)資源占用 要留有足夠的資源空間給應(yīng)用系統(tǒng)使用 …

18、 16.1.2.2.3. 方案實施設(shè)計 方案實施設(shè)計應(yīng)該考慮項目管理、實施內(nèi)容、進度計劃、培訓(xùn)計劃、測試方案、驗收和交付、維護和升級等內(nèi)容，并考慮業(yè)主和施工方的責任和義務(wù)，以確保項目順利進行。 項目管理：應(yīng)設(shè)立明確的雙方責任人，包括項目管理人員、項目協(xié)調(diào)人員、項目施工人員、項目責任和質(zhì)量保障人員等，一人可以承擔多個角色，但一定要明確其工作內(nèi)容和責任。 實施內(nèi)容：明確列出項目實施中需要完成的工作內(nèi)容，包括產(chǎn)品購置與驗收、開發(fā)、安裝、調(diào)試、測試、文檔管理、質(zhì)量控制、項目協(xié)調(diào)等，制定詳細表格。 進度計劃：明確列出每一項子任務(wù)的其止時間，尤其是當某些子受其他子任務(wù)制約時，要列出制約因素和進度。

19、子任務(wù)是實施內(nèi)容中規(guī)定的任務(wù)的分解。 培訓(xùn)計劃：通常在項目移交給用戶前，都要對用戶進行培訓(xùn)，培訓(xùn)內(nèi)容可以是知識和原理培訓(xùn)、也可能是技能培訓(xùn)、使用培訓(xùn)等，根據(jù)實際情況確定。 測試方案：項目實施過程中或投入運行前，都需要進行測試，以確保項目與設(shè)計目標符合，確保運行穩(wěn)定。測試包括功能測試和性能測試，必須列出詳細的測試大綱和測試方案，并做測試記錄。測試方案要考慮測試目標、測試內(nèi)容、測試手段和方法、測試人員、測試時間等。 驗收與交付：項目實施和測試后，就要考慮驗收并交付業(yè)主。驗收方案要考慮驗收方式（如鑒定、運行觀察等）、驗收內(nèi)容、驗收時間、驗收人員、驗收結(jié)論等。驗收后，就要交付用戶使用，應(yīng)考慮交付

20、責任人、交付時間、交付方式、交付簽收等。 維護和升級：良好的維護和升級服務(wù)是確保項目正常運行的必要組成部分。維護和升級方案應(yīng)考慮維護方式、應(yīng)答時間周期、緊急響應(yīng)措施、升級內(nèi)容和責任、商務(wù)協(xié)調(diào)等。 總之，項目實施方案是確保項目正常開展的重要計劃，必須認真對待。 16.2. 安全方案設(shè)計實例 下面針對目前常見的信息網(wǎng)絡(luò)接入方式和應(yīng)用給出一個參考安全方案。 假設(shè)信息網(wǎng)絡(luò)結(jié)構(gòu)如圖16.1所示。 核心數(shù)據(jù)庫 備份數(shù)據(jù)庫 交換機 應(yīng)用服務(wù)器 二級交換機 磁盤 陣列 應(yīng)用服務(wù)器 客戶機 路由器 廣域網(wǎng) Internet 主要安全技術(shù)措施： （1）邊界保護：

21、在該網(wǎng)絡(luò)中，根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)和安全威脅級別，可將網(wǎng)絡(luò)劃分為Internet接口、撥號接入接口、廣域網(wǎng)接口等。 Internet接口：是內(nèi)部網(wǎng)與Internet連接的邊界，內(nèi)部網(wǎng)絡(luò)通過該接口可訪問Internet，來自Internet的訪問也可以到達內(nèi)部網(wǎng)。顯然Internet上的安全策略和內(nèi)部網(wǎng)的安全策略是完全不同的，因此形成安全邊界。 在Internet接口，主要采用的安全策略和措施如下： 設(shè)立兩道防火墻、建立非軍事區(qū)、設(shè)置入侵檢測探測器。如下圖： 靠近Internet一側(cè)的外防火墻采用包過濾型主要安全策略設(shè)置如下： l 允許所有從內(nèi)到外的訪問通過； l 拒絕來自Interne

22、t的除針對DMZ公用服務(wù)的訪問； l 記錄通過防火墻的所有訪問事件（無論成?。?。 靠近內(nèi)部網(wǎng)一側(cè)的內(nèi)防火墻采用應(yīng)用代理型。重要安全策略如下： l 代理（可能需要認證）來自允許內(nèi)部網(wǎng)的訪問請求； l 拒絕來自Internet或DMZ的訪問請求； l 記錄訪問日志。 非軍事區(qū)的安全策略如下： l 提供來自Internet的訪問的服務(wù)響應(yīng)； l 允許來自本地（本機或內(nèi)部網(wǎng)）的管理和更新； l 允許來自Internet的經(jīng)授權(quán)的數(shù)據(jù)上栽； l 拒絕一切來自Internet的非授權(quán)更改。 為此，通常在DMZ的服務(wù)器上需要采取主機或服務(wù)保護措施，如網(wǎng)頁保護系統(tǒng)。 代理型防火

23、墻 包過濾防火墻 外部服務(wù)器 DMZ 基于網(wǎng)絡(luò)的入侵檢測 Internet 內(nèi)部網(wǎng) 撥號接入接口：在共網(wǎng)上的移動用戶通過公用電話網(wǎng)（PSTN）或其他通信網(wǎng)撥號接入本地NAS服務(wù)器，從而可訪問內(nèi)部網(wǎng)。由于無法對移動用戶的信任進行保障，因此內(nèi)部網(wǎng)和系統(tǒng)用戶處于不同的安全域中，其訪問必然形成安全邊界。 廣域網(wǎng)接口：通常較大的單位都通過專網(wǎng)將分布在不同地理位置的網(wǎng)絡(luò)連接起來，這些分散的網(wǎng)絡(luò)大多屬于不同行政區(qū)劃或不同業(yè)務(wù)級別，彼此間有很密切的業(yè)務(wù)交流，但又有不同的業(yè)務(wù)范圍和責任，因此形成不同安全策略的邊界。 服務(wù)器保護： 網(wǎng)絡(luò)安全監(jiān)測： 數(shù)據(jù)存

24、儲保護： 數(shù)據(jù)傳輸保護： 主機保護： 資源整合： 日志審計： 漏洞檢查： 普通客戶端 交換機 安全客戶端 Internet 外部服務(wù)器 撥號認證服務(wù)器 撥號接入服務(wù)器 專網(wǎng) 異地 相關(guān)單位 普通客戶端 骨干局域網(wǎng) NIDS NIDS 過濾型防火墻 代理型防火墻 路由器 路由器 密碼機 防火墻 防火墻 防火墻 撥號用戶 核心業(yè)務(wù)服務(wù)器 普通業(yè)務(wù)服務(wù)器 中心交換機 業(yè)務(wù)服務(wù)器 普通子網(wǎng) 交換機 普通客戶端 重要業(yè)務(wù)服務(wù)器 重要子網(wǎng) 漏洞掃描系統(tǒng) DMZ 交換機 CA或KDC HIDS HIDS HIDS 病毒服務(wù)器 密碼機 PSTN 12