時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)
認識五大關(guān)鍵核心要素
實現(xiàn)信息化系統(tǒng)安全最基本的出發(fā)點就是認識安全體系中的關(guān)鍵核心要素,然后,圍繞這些要素在系統(tǒng)的每一個環(huán)節(jié)和系統(tǒng)運行中進行安全防護。因此,這里首先說明安全的五大核心要素。
認證(Authentication)。認證是安全的最基本要素。信息系統(tǒng)的目的就是供使用者使用的,但只能給獲得授權(quán)的使用者使用,因此,首先必須知道來訪者的身份。使用者可以是人、設(shè)備和相關(guān)系統(tǒng),無論是什么樣的使用者,安全的第一要素就是對其進行認證。認證的結(jié)果無非是三種:可以授權(quán)使用的對象,不可以授權(quán)使用的對象和無法確認的對象。在信息化系統(tǒng)中,對每一個可能的入口都必須采取認證措施,對無法采取認證措施的入口必須完全堵死,從而防堵每一個安全漏洞。來訪對象的身份得到認證之后,對不可授權(quán)的對象就必須拒絕訪問,對可授權(quán)的對象則進到下一步安全流程,對無法確認的對象則視來訪的目的采取相應(yīng)的步驟。例如,公眾Web的使用和郵件的接收等,雖然對來訪對象無法完全認證,但也不能拒之門外。
授權(quán)(Authorization)。授權(quán)就是授予合法使用者對系統(tǒng)資源的使用權(quán)限并且對非法使用行為進行監(jiān)測。授權(quán)可以是對具體的對象進行授權(quán),例如,某一用戶或某臺設(shè)備可以使用所指定的資源。授權(quán)可以是對具體的對象進行授權(quán),也可以是對某一組對象授權(quán),也可以是根據(jù)對象所扮演的角色授權(quán)。授權(quán)除了授予某種權(quán)利之外,對于非法使用的發(fā)現(xiàn)和管理也是很重要的部分。盡管使用各種安全技術(shù),非法使用并不是可以完全避免的,因此,及時發(fā)現(xiàn)非法使用并馬上采取安全措施是非常重要的。例如,當(dāng)病毒侵入信息系統(tǒng)后,如果不及時發(fā)現(xiàn)并采取安全措施,后果可以是非常嚴(yán)重的。
保密(Confidentiality)。認證和授權(quán)是信息安全的基礎(chǔ),但是光有這兩項是不夠的。保密是要確保信息在傳送過程和存儲時不被非法使用者"看"到。一個典型的例子是,合法使用者在使用信息時要通過網(wǎng)絡(luò),這時信息在傳送的過程中可能被非法"截取"并導(dǎo)致泄密。一般來說,信息在存儲時比較容易通過認證和授權(quán)的手段將非授權(quán)使用者"拒之門外"。但是,數(shù)據(jù)在傳送過程中則無法或很難做到這一點,因此,加密技術(shù)就成為了信息保密的重要手段。
完整性(Integrity)。如果說信息的失密是一個嚴(yán)重的安全問題,那么信息在存儲和傳送過程中被修改則更嚴(yán)重了。例如,A給B傳送一個文件和指令。在其傳送過程中,C將信息截取并修改,并將修改后的信息傳送給B,使B認為被C修改了的內(nèi)容就是A所傳送的內(nèi)容。在這種情況下,信息的完整性被破壞了。信息安全的一個重要方面就是保證信息的完整性,特別是信息在傳送過程中的完整性。
不可否認(Non-repudiation)。無論是授權(quán)的使用還是非授權(quán)的使用,事后都應(yīng)該是有據(jù)可查的。對于非授權(quán)的使用,必須是非授權(quán)的使用者無法否認或抵賴的,這應(yīng)該是信息安全的最后一個重要環(huán)節(jié)。
全方位的安全技術(shù)實現(xiàn)
企業(yè)信息化的安全架構(gòu)就是根據(jù)信息安全的五大要素,從整體上考慮信息的安全防護問題。企業(yè)的信息化安全架構(gòu)應(yīng)該是一個整體統(tǒng)一考慮,將安全的五大要素落實在信息化系統(tǒng)的每一個環(huán)節(jié)之上,從而形成對企業(yè)信息資源的全面保護。
首先是要有一個統(tǒng)一的身份管理系統(tǒng)。統(tǒng)一的身份管理系統(tǒng)不僅僅需要對人進行管理,也要對相應(yīng)的各種設(shè)備的身份進行管理,如自動柜員機、路由器和主機等等。另外,對企業(yè)之外的相關(guān)人員和設(shè)備也要進行管理,如某個IP地址所代表的設(shè)備等。身份的管理也包含了"黑名單"的管理,如垃圾郵件服務(wù)器等。
在統(tǒng)一的身份管理的基礎(chǔ)上,實現(xiàn)統(tǒng)一的認證機制和認證系統(tǒng)。認證系統(tǒng)負責(zé)對所有來訪對象進行認證以確認來訪者的合法身份。一旦來訪者的身份獲得認證之后,來訪者取得合法的身份證并獲得對資源訪問的通行證。
然而,有了通行證并不能夠?qū)π畔①Y源進行無限制的訪問和使用。對某一個具體資源的使用權(quán)則需要相應(yīng)的授權(quán)管理機制和系統(tǒng)。因此,建立一個統(tǒng)一的授權(quán)管理機制和系統(tǒng)也是非常重要的。而且,認證機制和授權(quán)機制之間的匹配問題也是必須要考慮的,例如,是按組織機構(gòu)還是按照角色進行授權(quán)就決定了"身份證"或"通行證"所必須提供的不同身份信息。
統(tǒng)一的信息保密技術(shù)和完整性保護技術(shù)也是在安全架構(gòu)體系下必須考慮的問題。PKI技術(shù)的廣泛使用已經(jīng)為信息保密技術(shù)和完整性保護提供了標(biāo)準(zhǔn)化的技術(shù)。另外,針對安全問題的日志和審計系統(tǒng)也是非常重要的。
有了統(tǒng)一的身份管理、認證管理、授權(quán)管理,以及統(tǒng)一的信息保密技術(shù)和完整性保護技術(shù),信息化的安全架構(gòu)雛形就基本形成。接下來的問題就是怎樣與各個具體的資源管理和使用系統(tǒng)相結(jié)合,從而形成完整嚴(yán)密的信息安全體系。例如,企業(yè)內(nèi)的認證需針對桌面系統(tǒng)用戶,業(yè)務(wù)應(yīng)用系統(tǒng)(基于Web或傳統(tǒng)的)用戶以及網(wǎng)絡(luò)上直接的來訪者,統(tǒng)一的認證體系一方面要利用統(tǒng)一的方式給合法用戶"最大的方便",另一方面要將統(tǒng)一認證的技術(shù)與具體的資源環(huán)境相結(jié)合。
企業(yè)的安全架構(gòu)就是要制定出這些統(tǒng)一的安全機制和系統(tǒng)體系,同時考慮在信息化的各個環(huán)節(jié)的具體實施方法。
安全架構(gòu)的形成也是制定企業(yè)安全標(biāo)準(zhǔn)體系的一個不可缺少的途徑。在安全架構(gòu)之下,結(jié)合國家和國際的安全標(biāo)準(zhǔn)建立起一套完整的企業(yè)安全規(guī)范。
安全涉及到人/技術(shù)/操作三個方面
無論什么樣的安全技術(shù)都不可能十全十美,更何況,在安全技術(shù)的利用上也不可能盡善盡美。因此,僅僅靠技術(shù)手段建立起來的安全體系過于單薄,真正的安全必須是技術(shù)與管理并重。
安全管理的首先第一條就是安全管理的組織保障。安全管理的組織機構(gòu)要保證安全政策的制定和執(zhí)行,以及對安全問題的應(yīng)急響應(yīng)和支援處理。一支強有力的安全應(yīng)急處理隊伍是非常重要的,安全應(yīng)急處理隊伍由技術(shù)和管理人員組成。當(dāng)信息系統(tǒng)受到攻擊或出現(xiàn)安全隱患時,安全應(yīng)急處理隊伍能快速反應(yīng),在出現(xiàn)真正危機時排除安全隱患,或盡量減少因安全問題帶來的損失。
很多安全問題的出現(xiàn)并不一定是技術(shù)上的漏洞,更多的是人為的原因。因此,安全規(guī)章制度的建立和安全意識的培養(yǎng)是信息化安全的重要組成部分。有了安全規(guī)章制度和安全意識的培養(yǎng)機制之后,對規(guī)章制度落實情況的檢查是必須的。例如,有些企業(yè)對系統(tǒng)進行定期的模擬攻擊就是一種很好的辦法。
關(guān)鍵詞標(biāo)簽:安全架構(gòu),信息安全
相關(guān)閱讀
熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議
人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置