IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全安全防護(hù) → 從信息安全五大要素談安全架構(gòu)建設(shè)

從信息安全五大要素談安全架構(gòu)建設(shè)

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

  整個(gè)的互聯(lián)網(wǎng)各種應(yīng)用有各種各樣安全的威脅,首先是社交網(wǎng)站和Web2.0網(wǎng)站成為了黑客攻擊的目標(biāo),其次是僵尸網(wǎng)絡(luò)將繼續(xù)繁殖。面對(duì)這種情況,我們?nèi)绾螛?gòu)建更安全的系統(tǒng),涉及到了不斷升級(jí)的安全威脅分布在各個(gè)角落。作為企業(yè)如何站在安全的角度去設(shè)置,而不是頭痛醫(yī)頭,腳痛醫(yī)腳。某種程度上,我們應(yīng)該看發(fā)生的情況,從更深的層次找到問題的所在。

  認(rèn)識(shí)五大關(guān)鍵核心要素

  實(shí)現(xiàn)信息化系統(tǒng)安全最基本的出發(fā)點(diǎn)就是認(rèn)識(shí)安全體系中的關(guān)鍵核心要素,然后,圍繞這些要素在系統(tǒng)的每一個(gè)環(huán)節(jié)和系統(tǒng)運(yùn)行中進(jìn)行安全防護(hù)。因此,這里首先說明安全的五大核心要素。

  認(rèn)證(Authentication)。認(rèn)證是安全的最基本要素。信息系統(tǒng)的目的就是供使用者使用的,但只能給獲得授權(quán)的使用者使用,因此,首先必須知道來訪者的身份。使用者可以是人、設(shè)備和相關(guān)系統(tǒng),無論是什么樣的使用者,安全的第一要素就是對(duì)其進(jìn)行認(rèn)證。認(rèn)證的結(jié)果無非是三種:可以授權(quán)使用的對(duì)象,不可以授權(quán)使用的對(duì)象和無法確認(rèn)的對(duì)象。在信息化系統(tǒng)中,對(duì)每一個(gè)可能的入口都必須采取認(rèn)證措施,對(duì)無法采取認(rèn)證措施的入口必須完全堵死,從而防堵每一個(gè)安全漏洞。來訪對(duì)象的身份得到認(rèn)證之后,對(duì)不可授權(quán)的對(duì)象就必須拒絕訪問,對(duì)可授權(quán)的對(duì)象則進(jìn)到下一步安全流程,對(duì)無法確認(rèn)的對(duì)象則視來訪的目的采取相應(yīng)的步驟。例如,公眾Web的使用和郵件的接收等,雖然對(duì)來訪對(duì)象無法完全認(rèn)證,但也不能拒之門外。

  授權(quán)(Authorization)。授權(quán)就是授予合法使用者對(duì)系統(tǒng)資源的使用權(quán)限并且對(duì)非法使用行為進(jìn)行監(jiān)測。授權(quán)可以是對(duì)具體的對(duì)象進(jìn)行授權(quán),例如,某一用戶或某臺(tái)設(shè)備可以使用所指定的資源。授權(quán)可以是對(duì)具體的對(duì)象進(jìn)行授權(quán),也可以是對(duì)某一組對(duì)象授權(quán),也可以是根據(jù)對(duì)象所扮演的角色授權(quán)。授權(quán)除了授予某種權(quán)利之外,對(duì)于非法使用的發(fā)現(xiàn)和管理也是很重要的部分。盡管使用各種安全技術(shù),非法使用并不是可以完全避免的,因此,及時(shí)發(fā)現(xiàn)非法使用并馬上采取安全措施是非常重要的。例如,當(dāng)病毒侵入信息系統(tǒng)后,如果不及時(shí)發(fā)現(xiàn)并采取安全措施,后果可以是非常嚴(yán)重的。

  保密(Confidentiality)。認(rèn)證和授權(quán)是信息安全的基礎(chǔ),但是光有這兩項(xiàng)是不夠的。保密是要確保信息在傳送過程和存儲(chǔ)時(shí)不被非法使用者"看"到。一個(gè)典型的例子是,合法使用者在使用信息時(shí)要通過網(wǎng)絡(luò),這時(shí)信息在傳送的過程中可能被非法"截取"并導(dǎo)致泄密。一般來說,信息在存儲(chǔ)時(shí)比較容易通過認(rèn)證和授權(quán)的手段將非授權(quán)使用者"拒之門外"。但是,數(shù)據(jù)在傳送過程中則無法或很難做到這一點(diǎn),因此,加密技術(shù)就成為了信息保密的重要手段。

  完整性(Integrity)。如果說信息的失密是一個(gè)嚴(yán)重的安全問題,那么信息在存儲(chǔ)和傳送過程中被修改則更嚴(yán)重了。例如,A給B傳送一個(gè)文件和指令。在其傳送過程中,C將信息截取并修改,并將修改后的信息傳送給B,使B認(rèn)為被C修改了的內(nèi)容就是A所傳送的內(nèi)容。在這種情況下,信息的完整性被破壞了。信息安全的一個(gè)重要方面就是保證信息的完整性,特別是信息在傳送過程中的完整性。

  不可否認(rèn)(Non-repudiation)。無論是授權(quán)的使用還是非授權(quán)的使用,事后都應(yīng)該是有據(jù)可查的。對(duì)于非授權(quán)的使用,必須是非授權(quán)的使用者無法否認(rèn)或抵賴的,這應(yīng)該是信息安全的最后一個(gè)重要環(huán)節(jié)。

  全方位的安全技術(shù)實(shí)現(xiàn)

  企業(yè)信息化的安全架構(gòu)就是根據(jù)信息安全的五大要素,從整體上考慮信息的安全防護(hù)問題。企業(yè)的信息化安全架構(gòu)應(yīng)該是一個(gè)整體統(tǒng)一考慮,將安全的五大要素落實(shí)在信息化系統(tǒng)的每一個(gè)環(huán)節(jié)之上,從而形成對(duì)企業(yè)信息資源的全面保護(hù)。

  首先是要有一個(gè)統(tǒng)一的身份管理系統(tǒng)。統(tǒng)一的身份管理系統(tǒng)不僅僅需要對(duì)人進(jìn)行管理,也要對(duì)相應(yīng)的各種設(shè)備的身份進(jìn)行管理,如自動(dòng)柜員機(jī)、路由器和主機(jī)等等。另外,對(duì)企業(yè)之外的相關(guān)人員和設(shè)備也要進(jìn)行管理,如某個(gè)IP地址所代表的設(shè)備等。身份的管理也包含了"黑名單"的管理,如垃圾郵件服務(wù)器等。

  在統(tǒng)一的身份管理的基礎(chǔ)上,實(shí)現(xiàn)統(tǒng)一的認(rèn)證機(jī)制和認(rèn)證系統(tǒng)。認(rèn)證系統(tǒng)負(fù)責(zé)對(duì)所有來訪對(duì)象進(jìn)行認(rèn)證以確認(rèn)來訪者的合法身份。一旦來訪者的身份獲得認(rèn)證之后,來訪者取得合法的身份證并獲得對(duì)資源訪問的通行證。

  然而,有了通行證并不能夠?qū)π畔①Y源進(jìn)行無限制的訪問和使用。對(duì)某一個(gè)具體資源的使用權(quán)則需要相應(yīng)的授權(quán)管理機(jī)制和系統(tǒng)。因此,建立一個(gè)統(tǒng)一的授權(quán)管理機(jī)制和系統(tǒng)也是非常重要的。而且,認(rèn)證機(jī)制和授權(quán)機(jī)制之間的匹配問題也是必須要考慮的,例如,是按組織機(jī)構(gòu)還是按照角色進(jìn)行授權(quán)就決定了"身份證"或"通行證"所必須提供的不同身份信息。

  統(tǒng)一的信息保密技術(shù)和完整性保護(hù)技術(shù)也是在安全架構(gòu)體系下必須考慮的問題。PKI技術(shù)的廣泛使用已經(jīng)為信息保密技術(shù)和完整性保護(hù)提供了標(biāo)準(zhǔn)化的技術(shù)。另外,針對(duì)安全問題的日志和審計(jì)系統(tǒng)也是非常重要的。

  有了統(tǒng)一的身份管理、認(rèn)證管理、授權(quán)管理,以及統(tǒng)一的信息保密技術(shù)和完整性保護(hù)技術(shù),信息化的安全架構(gòu)雛形就基本形成。接下來的問題就是怎樣與各個(gè)具體的資源管理和使用系統(tǒng)相結(jié)合,從而形成完整嚴(yán)密的信息安全體系。例如,企業(yè)內(nèi)的認(rèn)證需針對(duì)桌面系統(tǒng)用戶,業(yè)務(wù)應(yīng)用系統(tǒng)(基于Web或傳統(tǒng)的)用戶以及網(wǎng)絡(luò)上直接的來訪者,統(tǒng)一的認(rèn)證體系一方面要利用統(tǒng)一的方式給合法用戶"最大的方便",另一方面要將統(tǒng)一認(rèn)證的技術(shù)與具體的資源環(huán)境相結(jié)合。

  企業(yè)的安全架構(gòu)就是要制定出這些統(tǒng)一的安全機(jī)制和系統(tǒng)體系,同時(shí)考慮在信息化的各個(gè)環(huán)節(jié)的具體實(shí)施方法。

  安全架構(gòu)的形成也是制定企業(yè)安全標(biāo)準(zhǔn)體系的一個(gè)不可缺少的途徑。在安全架構(gòu)之下,結(jié)合國家和國際的安全標(biāo)準(zhǔn)建立起一套完整的企業(yè)安全規(guī)范。

  安全涉及到人/技術(shù)/操作三個(gè)方面

  無論什么樣的安全技術(shù)都不可能十全十美,更何況,在安全技術(shù)的利用上也不可能盡善盡美。因此,僅僅靠技術(shù)手段建立起來的安全體系過于單薄,真正的安全必須是技術(shù)與管理并重。

  安全管理的首先第一條就是安全管理的組織保障。安全管理的組織機(jī)構(gòu)要保證安全政策的制定和執(zhí)行,以及對(duì)安全問題的應(yīng)急響應(yīng)和支援處理。一支強(qiáng)有力的安全應(yīng)急處理隊(duì)伍是非常重要的,安全應(yīng)急處理隊(duì)伍由技術(shù)和管理人員組成。當(dāng)信息系統(tǒng)受到攻擊或出現(xiàn)安全隱患時(shí),安全應(yīng)急處理隊(duì)伍能快速反應(yīng),在出現(xiàn)真正危機(jī)時(shí)排除安全隱患,或盡量減少因安全問題帶來的損失。

  很多安全問題的出現(xiàn)并不一定是技術(shù)上的漏洞,更多的是人為的原因。因此,安全規(guī)章制度的建立和安全意識(shí)的培養(yǎng)是信息化安全的重要組成部分。有了安全規(guī)章制度和安全意識(shí)的培養(yǎng)機(jī)制之后,對(duì)規(guī)章制度落實(shí)情況的檢查是必須的。例如,有些企業(yè)對(duì)系統(tǒng)進(jìn)行定期的模擬攻擊就是一種很好的辦法。

關(guān)鍵詞標(biāo)簽:安全架構(gòu),信息安全

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關(guān)下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置