IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置:首頁網(wǎng)絡安全安全防護 → 從信息安全五大要素談安全架構建設

從信息安全五大要素談安全架構建設

時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

整個的互聯(lián)網(wǎng)各種應用有各種各樣安全的威脅,首先是社交網(wǎng)站和Web2.0網(wǎng)站成為了黑客攻擊的目標,其次是僵尸網(wǎng)絡將繼續(xù)繁殖。面對這種情況,我們如何構建更安全的系統(tǒng),涉及到了不斷升級的安全威脅分布在各個角落。作為企業(yè)如何站在安全的角度去設置,而不是頭痛醫(yī)頭,腳痛醫(yī)腳。某種程度上,我們應該看發(fā)生的情況,從更深的層次找到問題的所在。

  認識五大關鍵核心要素

  實現(xiàn)信息化系統(tǒng)安全最基本的出發(fā)點就是認識安全體系中的關鍵核心要素,然后,圍繞這些要素在系統(tǒng)的每一個環(huán)節(jié)和系統(tǒng)運行中進行安全防護。因此,這里首先說明安全的五大核心要素。

  認證(Authentication)。認證是安全的最基本要素。信息系統(tǒng)的目的就是供使用者使用的,但只能給獲得授權的使用者使用,因此,首先必須知道來訪者的身份。使用者可以是人、設備和相關系統(tǒng),無論是什么樣的使用者,安全的第一要素就是對其進行認證。認證的結果無非是三種:可以授權使用的對象,不可以授權使用的對象和無法確認的對象。在信息化系統(tǒng)中,對每一個可能的入口都必須采取認證措施,對無法采取認證措施的入口必須完全堵死,從而防堵每一個安全漏洞。來訪對象的身份得到認證之后,對不可授權的對象就必須拒絕訪問,對可授權的對象則進到下一步安全流程,對無法確認的對象則視來訪的目的采取相應的步驟。例如,公眾Web的使用和郵件的接收等,雖然對來訪對象無法完全認證,但也不能拒之門外。

  授權(Authorization)。授權就是授予合法使用者對系統(tǒng)資源的使用權限并且對非法使用行為進行監(jiān)測。授權可以是對具體的對象進行授權,例如,某一用戶或某臺設備可以使用所指定的資源。授權可以是對具體的對象進行授權,也可以是對某一組對象授權,也可以是根據(jù)對象所扮演的角色授權。授權除了授予某種權利之外,對于非法使用的發(fā)現(xiàn)和管理也是很重要的部分。盡管使用各種安全技術,非法使用并不是可以完全避免的,因此,及時發(fā)現(xiàn)非法使用并馬上采取安全措施是非常重要的。例如,當病毒侵入信息系統(tǒng)后,如果不及時發(fā)現(xiàn)并采取安全措施,后果可以是非常嚴重的。

  保密(Confidentiality)。認證和授權是信息安全的基礎,但是光有這兩項是不夠的。保密是要確保信息在傳送過程和存儲時不被非法使用者"看"到。一個典型的例子是,合法使用者在使用信息時要通過網(wǎng)絡,這時信息在傳送的過程中可能被非法"截取"并導致泄密。一般來說,信息在存儲時比較容易通過認證和授權的手段將非授權使用者"拒之門外"。但是,數(shù)據(jù)在傳送過程中則無法或很難做到這一點,因此,加密技術就成為了信息保密的重要手段。

  完整性(Integrity)。如果說信息的失密是一個嚴重的安全問題,那么信息在存儲和傳送過程中被修改則更嚴重了。例如,A給B傳送一個文件和指令。在其傳送過程中,C將信息截取并修改,并將修改后的信息傳送給B,使B認為被C修改了的內容就是A所傳送的內容。在這種情況下,信息的完整性被破壞了。信息安全的一個重要方面就是保證信息的完整性,特別是信息在傳送過程中的完整性。

  不可否認(Non-repudiation)。無論是授權的使用還是非授權的使用,事后都應該是有據(jù)可查的。對于非授權的使用,必須是非授權的使用者無法否認或抵賴的,這應該是信息安全的最后一個重要環(huán)節(jié)。

  全方位的安全技術實現(xiàn)

  企業(yè)信息化的安全架構就是根據(jù)信息安全的五大要素,從整體上考慮信息的安全防護問題。企業(yè)的信息化安全架構應該是一個整體統(tǒng)一考慮,將安全的五大要素落實在信息化系統(tǒng)的每一個環(huán)節(jié)之上,從而形成對企業(yè)信息資源的全面保護。

  首先是要有一個統(tǒng)一的身份管理系統(tǒng)。統(tǒng)一的身份管理系統(tǒng)不僅僅需要對人進行管理,也要對相應的各種設備的身份進行管理,如自動柜員機、路由器和主機等等。另外,對企業(yè)之外的相關人員和設備也要進行管理,如某個IP地址所代表的設備等。身份的管理也包含了"黑名單"的管理,如垃圾郵件服務器等。

  在統(tǒng)一的身份管理的基礎上,實現(xiàn)統(tǒng)一的認證機制和認證系統(tǒng)。認證系統(tǒng)負責對所有來訪對象進行認證以確認來訪者的合法身份。一旦來訪者的身份獲得認證之后,來訪者取得合法的身份證并獲得對資源訪問的通行證。

  然而,有了通行證并不能夠對信息資源進行無限制的訪問和使用。對某一個具體資源的使用權則需要相應的授權管理機制和系統(tǒng)。因此,建立一個統(tǒng)一的授權管理機制和系統(tǒng)也是非常重要的。而且,認證機制和授權機制之間的匹配問題也是必須要考慮的,例如,是按組織機構還是按照角色進行授權就決定了"身份證"或"通行證"所必須提供的不同身份信息。

  統(tǒng)一的信息保密技術和完整性保護技術也是在安全架構體系下必須考慮的問題。PKI技術的廣泛使用已經(jīng)為信息保密技術和完整性保護提供了標準化的技術。另外,針對安全問題的日志和審計系統(tǒng)也是非常重要的。

  有了統(tǒng)一的身份管理、認證管理、授權管理,以及統(tǒng)一的信息保密技術和完整性保護技術,信息化的安全架構雛形就基本形成。接下來的問題就是怎樣與各個具體的資源管理和使用系統(tǒng)相結合,從而形成完整嚴密的信息安全體系。例如,企業(yè)內的認證需針對桌面系統(tǒng)用戶,業(yè)務應用系統(tǒng)(基于Web或傳統(tǒng)的)用戶以及網(wǎng)絡上直接的來訪者,統(tǒng)一的認證體系一方面要利用統(tǒng)一的方式給合法用戶"最大的方便",另一方面要將統(tǒng)一認證的技術與具體的資源環(huán)境相結合。

  企業(yè)的安全架構就是要制定出這些統(tǒng)一的安全機制和系統(tǒng)體系,同時考慮在信息化的各個環(huán)節(jié)的具體實施方法。

  安全架構的形成也是制定企業(yè)安全標準體系的一個不可缺少的途徑。在安全架構之下,結合國家和國際的安全標準建立起一套完整的企業(yè)安全規(guī)范。

  安全涉及到人/技術/操作三個方面

  無論什么樣的安全技術都不可能十全十美,更何況,在安全技術的利用上也不可能盡善盡美。因此,僅僅靠技術手段建立起來的安全體系過于單薄,真正的安全必須是技術與管理并重。

  安全管理的首先第一條就是安全管理的組織保障。安全管理的組織機構要保證安全政策的制定和執(zhí)行,以及對安全問題的應急響應和支援處理。一支強有力的安全應急處理隊伍是非常重要的,安全應急處理隊伍由技術和管理人員組成。當信息系統(tǒng)受到攻擊或出現(xiàn)安全隱患時,安全應急處理隊伍能快速反應,在出現(xiàn)真正危機時排除安全隱患,或盡量減少因安全問題帶來的損失。

  很多安全問題的出現(xiàn)并不一定是技術上的漏洞,更多的是人為的原因。因此,安全規(guī)章制度的建立和安全意識的培養(yǎng)是信息化安全的重要組成部分。有了安全規(guī)章制度和安全意識的培養(yǎng)機制之后,對規(guī)章制度落實情況的檢查是必須的。例如,有些企業(yè)對系統(tǒng)進行定期的模擬攻擊就是一種很好的辦法。

關鍵詞標簽:安全架構,信息安全

相關閱讀

文章評論
發(fā)表評論

熱門文章 網(wǎng)絡安全管理軟件-PCHunter使用教程網(wǎng)絡安全管理軟件-PCHunter使用教程虛擬主機中ASPX一些安全設置虛擬主機中ASPX一些安全設置“和諧”內網(wǎng)保護神——ProVisa內網(wǎng)安全管理“和諧”內網(wǎng)保護神——ProVisa內網(wǎng)安全管理Discuz!配置文件中的安全設置Discuz!配置文件中的安全設置

相關下載

人氣排行 xp系統(tǒng)關閉445端口方法_ 教你如何關閉xp系統(tǒng)445端口網(wǎng)絡安全管理軟件-PCHunter使用教程企業(yè)網(wǎng)絡安全事件應急響應方案什么是IPS(入侵防御系統(tǒng))linux iptables如何封IP段騰訊QQ密碼防盜十大建議隱藏ip地址增加網(wǎng)絡信息的安全性Windows Server 2008利用組策略的安全設置