信息安全体系结构现状的研究

　　摘要：随着计算机和网络技术应用的日益普及，计算机信息安全显得越来越重要。为此，人们开发了许多针对具体安全问题的技术，例如：加密、认证、防火墙等。但是现代企业的信息安全普遍缺乏管理方面的因素，没有形成安全体系，因此构建信息安全体系是企业必须面对的一个严峻课题。该文认真分析了企业级信息安全体系结构，主要是从组织、策略、技术等措施全方位保护计算机系统的安全。
　　关键词：计算机网络；信息安全；安全体系
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)12-2818-02
　　随着计算机网络技术得到了飞速发展，Internet用户数和商业应用快速增长，对计算机和网络系统的严重依赖使得我们必须确保计算机和网络系统的安全；否则，不仅会造成大量的人力、物力资源的浪费、经济的损失，公司商业机密信息或研究技术文档的被窃，甚至会丢失有关国家的机密，进而危及国家的安全。所有这些信息安全与网上信息对抗的需求，使得如何增强计算机系统和网络系统安全性的研究成了举世瞩目的焦点。
　　1 信息安全对企业的重要性
　　现代社会是一个信息爆炸的社会，信息作为重要的战略资源，其开发与利用已成为企业竞争能力的关键标志和企业发展的重要推动力。建立一套科学的、规范的信息系统是企业发展势在必行的。
　　通过信息化建设，各企业都已建立相关的业务支撑系统、管理信息系统等，计算机的应用已遍布整个企业内部。例如：电信运营公司内部建立了计费系统、营业账务系统、客户关系管理系统等面向用户的各类业务支撑系统；还建立了办公信息系统、资产管理信息系统、人力资源管理系统等面向企业内部的综合管理信息系统。这些计算机信息系统涉及诸如资金、交易、商业机密、个人隐私等信息，因此在信息系统建设中一定要重点考虑整个系统的安全问题。安全性问题覆盖了整个系统中主机、网络、通信、应用、信息、数据的方方面面，以及对网络、设备、通信、操作、人员的安全管理。安全问题能导致信息系统的瘫痪、重要数据的丢失，使企业用户的业务停顿，管理陷入混乱，最终结果是给企业造成严重的经济损失，导致企业竞争力大大下降。因此信息安全问题，已经与企业的生存能力息息相关。
　　2 BS7799和信息安全管理体系(ISMS）
　　信息安全发展至今，人们逐渐认识到安全管理的重要性，为了指导全面的信息安全工作，作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。BS7799是BSI制定的关于信息安全管理方面的标准，包含两个部分：
　　1）第一部分是被采纳为ISO/IEC 17799：2000标准的信息安全管理实施细则，它在10个标题框架下列举定义了127项作为安全控制的惯例，供信息安全实践者选择使用；
　　2）第二部分是建立信息安全管理体系(ISMS)的一套规范，详细说明了建立、实旌和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。
　　作为一套管理标准，BS7799—2指导相关人员怎样去应用ISO/IEC 17799，其最终目的，还在于建立适合企业需要的信息安全管理体系(ISMS)。信息安全管理体系ISMS如图l所示。
　　BS7799提出的ISMS是一个系统化、程序化和文档化的管理体系，技术措施只是作为依据安全需求有选择有侧重地实现安全目标的手段而已。不过，Bs7799对ISMS并没有一个明确的定义，也没有描述ISMS的最终形态，它只对建立ISMS框架的过程和符合体系认证的内容要求有一定的描述。
　　3 信息安全技术体系
　　技术体系部分主要是应用PPDRR模型中PDRR动态自适应的闭环体系，涵盖了防护、检测、响应、恢复等四部分。其主要是通过以下相关技术实现：
　　1）防火墙技术：实现安全系统与外网、内部各网络之间的隔离。利用集中安全监控平台或者独立的防火墙集中管理系统，完成对全网防火墙的集中管理、集中监控与集中策略管理与审核。
　　2）病毒防护：构建具有网络病毒防护能力的病毒防护系统，可以动态升级病毒库。在中心设置防病毒中心服务器，并对所有主机、终端等安装防病毒软件客户端。
　　3）全漏洞扫描：找出系统中存在的安全漏洞和隐患，扫描对象包括两类：网络设备和主机设备，网络设备主要扫描防火墙、路由器等设备的配置是否存在安全漏洞。
　　4）入侵检测系统：实时监测系统中的数据包，对进出各系统的网络流量进行检测，识别非法连接请求及网络入侵，自动阻断连接，报警并记录日志；通过分析关键服务器上的内核级事件、主机日志和网络活动，执行实时的入侵检测并阻止恶意活动。
　　5）身份认证技术：针对企业口令管理以及静态口令不安全问题，提出动态口令身份认证技术，保护口令的安全。
　　6）系统监控响应：主要通过建立监控管理系统进行监测、响应。监控系统可以将检测到的入侵行为、攻击行为等信息安全事件，进行自动的响应，保护系统的安全。
　　7）备份容灾技术：在企业中构建备份系统和容灾中心，当主数据中心由于各种突发性意外原因导致生产系统崩溃时，备份系统和容灾中心可完全接管全部工作，并能够在极短时间内，恢复业务系统的运行。
　　4 信息安全若干模型的探讨
　　4.1 IS07498—2信息安全模型
　　在IS07498—2中定义的信息系统安全体系结构由5类安全服务及用来支持安全服务的8种安全机制构成。安全服务体现安全体系所包含的主要功能及内容，安全机制规定了与安全需求相对应的可以实现安全服务的技术手段，二者有机结合相互交叉，在安全体系的不同层次发挥作用。这种安全体系，充分体现了层次性和结构性。
　　以下分别介绍ISO 7498—2安全体系结构的5类安全服务、8种安全机制。
　　4.1.1 安全服务
　　1）鉴别服务：可以鉴别参与通讯的对等实体和源；授权控制的基础；提供双向的认证；一般采用高的密码技术来进行身份认证。
　　2）访问控制：控制不同用户对信息资源访问权限；要求有审计核查功能；尽可能地提供细粒度的控制；
　　3）数据完整性：是指通过网上传输的数据应防止被修改、删除、插人替换或重发，以保证合法用户接收和使用该数据的真实性；用于对付主动威胁。
　　4）数据保密性：提供保护，防止数据未经授权就泄露；基于对称密钥和非对称密钥加密的算法；
　　5）抗抵赖：接收方要发送方保证不能否认收到的信息是发送方发出的信息，而不是被他人冒名篡改过的信息；发送方也要求对方不能否认已经收到的信息，防止否认对金融电子化系统很重要。
　　4.1.2 安全机制
　　1）数据加密机制：向数据和业务信息流提供保密性，对其他安全机制起补充作用；
　　2）数据签名机制：对数据单元签名和验证，签名只有利用签名者的私有信息才能产生出来；
　　3）访问控制机制：利用某个实体经鉴别的身份或关于该实体的信息或该实体的权标，进行确定并实旌实体的访问权；可用于通讯连接的任何一端或用在中间连接的任何位置；
　　4）数据完整性机制：两个方面：单个的数据单元或字段的完整性、数据单元串或字段串的完整性；
　　5）鉴别交换机制：通过信息交换以确保实体身份的机制；
　　6）业务填充机制：一种制造假的通讯实例、产生欺骗性数据单元或在数据单元中产生假数据的安全机制；提供对各种等级的保护，防止业务分析；只在业务填充受到保密性服务时有效；
　　7）路由控制机制：路由既可以动态选择，也可以事先安排；携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继站或链路；连接的发起者可以请求回避特定的子网、中继站或链路；
　　
　　8）公证机制：关于在两个或三个实体之间进行通讯的数据的性能，可由公证机制来保证；保证由第三方提供；第三方能得到通讯实体的信任。
　　ISO 7498—2安全体系结构针对的是基于OSI参考模型的网络通信系统，它所定义的安全服务也只是解决网络通信安全性的技术措施，其他信息安全相关领域，包括系统安全、物理安全、人员安全等方面都没有涉及。此外，ISO 7498—2体系关注的是静态的防护技术，它并没有考虑到信息安全动态性和生命周期性的发展特点，缺乏检测、响应和恢复这些重要的环节，因而无法满足更复杂更全面的信息保障的要求。
　　4.2 IATF信息安全模型
　　IATF是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架，它提出了信息保障时代信息基础设施的全套安全需求。IATF提出了信息保障依赖于人、操作和技术来共同实现组织职能、业务运作的思想，对技术、信息基础设施的管理也离不开这三个要素。人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标，这就是IATF最核心的理念。IATF定义了实现信息保障目标的工程过程和信息系统各个方面的安全需求。在此基础上，对信息基础设施就可以做到多层防护，这样的防护被称为“深度保护战略”，IATF核心恩想如图2所示。
　　不过，尽管信息安全保障体系框架IATF提出了以人为核心的思想，但整个体系的阐述还是以技术为侧重的，对于安全管理的内容则很少涉及。IATF为我们指出了设计、构建和实施信息安全解决方案的一个技术框架，概括了信息安全应该关注的领域和范围、途径和方法、可选的技术性措施，但并没有指出信息安全最终的表现形态。
　　4.3 P2DR动态自适应的信息安全模型
　　P2DR动念自适应安全模型是美国国际互联网安全系统公司(1SS)最先提出的，即Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)。按照P2DR的观点，一个完整的动态安全体系，不仅需要恰当的防护(如操作系统访问控制、防火墙、加密等)，而且需要动态的检测机制(如入侵检测、漏洞扫描等)，在发现问题时还需要及时响应，这样的体系需要在统一的、一致的安全策略指导下实施，形成一个完备的、闭环的动态自适应安全体系。
　　P2DR模型是建立在基于时间的安全理论基础之上的：Pt：攻击成功所需时间被称作安全体系能够提供的防护时间：Dt：在攻击发生的同时，检测系统发挥作用，攻击行为被检测出来需要的时间；Rt：检测到攻击之后，系统会做出应有的响应动作，所需时间被称作响应时问；Et：系统暴露时间，即系统处于不安全状况的时间(Et=Dt+Rt-Pt)要实现安全，必须让防护时间大于检测时间加上响应时间，即：Pt>Dt+Rt。
　　P2DR模型基本上体现了比较完整的信息安全体系的思想，勾画出信息安全体系建立之后一个良好的表现形态。近十年来，该模型被普遍使用。
　　P2DR动态自适应安全体系模型针对的是基于时间的安全理论构建的闭环的动态体系结构，也只是解决信息安全的技术措施，其他信息安全相关领域，包括系统安全、物理安全、人员安全等方面都没有涉及。此外，P2DR动态自适应安全体系虽然已经关注信息安全动态性和生命周期性的发展特点，但缺乏恢复的环节，因而无法满足更复杂更全面的信息保障的要求。
　　4.4 PPDRR的信息安全模型
　　在P2DR模型中，恢复(Recovery)环节是包含在响应(Response)环节中的，作为事件响应之后的一项处理措施，不过，随着人们对业务连续性和灾难恢复愈加重视，尤其是911恐怖事件发生之后，人们对P2DR模型的认识也就有了新的内容，于是，PPDRR模型就应运而生了。PPDRR模型，或者叫P2DR2，与P2DR唯一的区别就是把恢复环节提到了和防护、检测、响应等环节同等的高度。在PPDRR模型中，安全策略、防护、检测、响应和恢复共同构成了完整的信息安全体系。PPDRR也是基于时间的动态模型，其中，恢复环节对于信息系统和业务活动的生存起着至关重要的作用，组织只有建立并采用完善的恢复计划和机制，其信息系统才能在重大灾难事件中尽快恢复并延续业务。
　　基于PPDRR的安全体系模型针对的同样是基于时间的安全理论构建的闭环的动态体系结构，仍没涉及其他信息安全相关领域，包括系统安全、物理安全、人员安全等方面都没有涉及。因而无法满足更复杂更全面的信息保障的要求。
　　5 结束语
　　本文作者主要对信息安全体系结构领域中现有的各种体系模型进行了综述和分析，详细地讨论了各种体系模型的优缺点。使我们能够从整体上把握信息安全体系结构领域的研究和发展方向，为我们以后的研究工作奠定了必要的理论基础。
　　参考文献：
　　[1]