项目网络安全建议书.docx

项目网络安全建议书.docx

《项目网络安全建议书.docx》由会员分享，可在线阅读，更多相关《项目网络安全建议书.docx（51页珍藏版）》请在冰点文库上搜索。

项目网络安全建议书

第一章信息系统概述

随着市场经济的不断发展，企业竞争日趋激烈，国际化的合作不断增多，现代大型企业要在未来的国际竞争中占据主动地位，信息是重要的战略资源，其开发与利用已成为企业竞争能力的关键标志和企业发展的重要推动力。

在这场经济大潮中企业急待解决的问题是：

如何充分有效地利用企业内部、外部的各种信息进行企业整体作业的管理和企业发展战略的决策，极大地提高工作效率，提高管理水平和决策能力，使企业的日常运营纳入高效可靠的轨道。

1．1信息系统建设的目标

信息系统的建设是促进现代企业业务发展、提高效率、提高管理能力、提高决策正确性和综合竞争能力的工具和手段，并随企业发展而完善。

企业应用是信息系统的核心。

信息系统建设的目标是：

对信息的综合利用、开发和管理。

信息系统的建设将涵盖对信息的采集、加工、处理、分析、利用、决断的全过程。

采集：

对大量原始数据的采集和存储将是信息系统建设和应用的基础，数据是信息系统的基本元素，没有数据的系统将是一个只有投入没有产出的空架子，信息系统建设的首要任务是对来自企业内部和外部各种相关数据的收集和存储。

但这只是信息系统建设的原始阶段，我们得到的也只是各种各样杂乱的数据。

采集主要是通过网络、通信设备、人工或智能仪器等来完成。

处理：

对各种数据的加工、处理将使杂乱的数据成为有序的信息，实现一些基本的信息系统功能。

信息是系统发挥效益的基本因素，企业信息系统建设的需求大多是从信息处理出发，而逐步完善。

信息处理主要依靠主机、网络、服务器、应用平台及应用来实现。

利用：

对大量的信息进行分析，发掘其潜在的规律性，以得到企业的商业模型、市场的发展趋势等信息，为企业的业务运作和企业发展积累经验和知识，并在不断的利用过程中校验其正确性，最终形成企业切合自身的智慧。

知识积累和信息利用主要是依靠服务器和应用系统来完成。

决断：

通过对大量的企业积累的知识利用，使之成为正确决断的参考资料，成为决策者智慧的一部分，使信息系统的建设发挥出更大的效益，为企业提高决策正确性提供科学的有力的依据。

智能作业和决策支持主要是通过应用系统来实现。

1．2信息系统建设的原则

信息系统的建设应采取统一规划、分步实施的原则，以保证网络建设和应用的合理性和顺利完成。

根据企业的应用需求及未来的发展进行总体规划，根据企业现行需求情况、投资规模及使用者的接受程度、培训、教育计划、应用水平等因素综合考虑，进行分步实施和推广普及，以达到最有利的分阶段投入产出效益。

我们可以按照如下的原则，逐步进行信息系统的规划和实施：

1、对整体应用需求做综合的分析，以确定网络平台及应用系统的建设规划。

2、基于整体的规划和现行的投资规模，分期建设主机平台、网络平台、通讯平台，留出充分的接口，以便下期工程的顺利实施，逐步完成硬件平台的建设。

3、在现期硬件平台上，根据现期应用需求，进行应用平台的建设和应用系统的设计，保证现有建设的适用性，为后期应用留有接入点，以便适应将来企业不断发展的应用需求、机构调整和业务扩展等的需要。

信息系统在规划和设计时应充分考虑以下原则：

●系统性

以系统学的眼光作出整体规划，做到统一设计，分步实施。

在系统设计过程中还必须考虑到系统实施的分步性，可以适应各级单位实施过程中的阶段性，并提供逐步实施的具体方法。

●全面性

系统设计应充分考虑所管理信息的全面性，使系统成为全面信息服务的基础。

信息的全面性不仅包括内部信息，同时还必须考虑到大量的外部信息。

●实用性

系统必须符合应用特点，并做到易学易用，符合政府使用习惯。

对具有共性的环节统一规划，对各地政府的特殊需求具体分析。

●先进性

采用先进的设计思想和技术，采用先进成熟的软硬件技术进行设计，保证系统具有较强的生命力，符合当前和未来的发展趋势。

●适应性

系统应能适应目前和未来可能发生的各种复杂情况，具有灵活的应变能力和适用性，并且要充分考虑到今后一段时间内部门机构的变化和不同地域的具体需求。

系统的规划和设计必须考虑到推广过程中的各种具体情况，使系统从深度和广度上都具有灵活的适应能力。

●开放性

系统在总体设计和规划时，将充分考虑环境对系统的影响及与外界的联系，使系统有较强的适应能力和扩充能力，同时具有灵活的与外界交流的能力和手段。

●安全性

系统既要和Internet连接，又要与内部办公系统连接，在总体规划时，就应充分考虑网络的安全性问题，进行定期的安全风险评估，制定相应的安全策略和人员安全制度，实时监控网络上的非法和恶意行为。

●服务性

系统应充分体现信息管理和服务的特点，为政府机关提供方便、快捷的信息检索查询手段。

信息种类丰富，来源复杂，系统应将这些信息合理划分、管理，提高用户信息查询效率，使系统成为信息管理核心。

●可维护性

系统设计应考虑到政府对系统进行日常维护的工作难度，尽量自动完成一些维护管理工作，并实现全系统数据及应用统一管理的目的。

1．3信息系统的构成

信息系统建设的前提在于应用信息技术、信息资源、系统科学、管理科学、行为科学等先进的科学技术不断使企业的业务与管理借助于各种设施（主要是指计算机）以达到对企业内部发展的统一管理。

信息资源的开发与利用是信息系统建设的根本，以行为科学为指导，以系统科学、管理科学、社会学等为理论基础，以计算机、通讯等信息技术为工具，提供对企业整体作业的操作、管理、宏观调控和辅助分析决策。

信息系统的构成包括信息、物理实体、应用等各种因素，从总体框架上看，可以分为以下几个层次：

1．3．1主机、网络平台

主机、网络平台是信息系统建立通信、作业的物理基础。

主机是信息系统中建立应用的关键因素，承担着几乎所有信息处理、信息利用的任务，主机的选择关系到整个信息系统的处理能力。

网络是信息系统信息交互的通道，网络的设计同样关系到整个信息系统的运行效率。

1、目前信息系统中常用的主机主要分为小型机、UNIX工作站、PC服务器，大型机也时常用到，主要来自于IBM、HP、SUN、COMPAQ、DELL等国际著名厂商。

信息系统中主机的设计应遵循以下的原则：

☞先进性

先进性将保证系统具有较强的生命力，有较长期的使用价值，符合当前或未来的趋势。

☞可扩展性

目前的选择必须为今后的扩充留有足够的余地，以保护用户的投资

☞可靠性

所选系统应具备较高的可靠性，将故障率降为最低，避免因意外使用户遭到重大损失。

☞易用性

易于操作，易于管理，使用户可以将更多的精力放到业务上。

☞互联性

所选硬件应是标准化的，支持多协议，可以方便地实现互联。

2、网络系统可分为局域网、广域网和城域网，随着INTERNET技术的发展，更多的企业在建立自己的INTRANET、INTERNET和EXTRANET网络，一个大型、多级网络的概要图如下：

广域网的建设通过国家通信基础设施如DDN网、X.25网、FR网、ISDN、PSTN等将总中心、各分中心、各下级局域网和终端机进行连接，以实现整个信息系统的通信连接。

局域网可以根据自身的需要和投资收益的判断选择以太网、快速以太网、ATM网等。

1．3．2系统平台

主机、网络平台保证物理的连通，系统平台则是信息系统建立应用的基础，所有对信息的存储、处理、和应用都将建立在系统平台之上，系统平台主要包括UNIX操作系统、NOVELL网络操作系统、WindowsNT系统，系统平台的选择应综合考虑主机、网络、关键应用、技术素质、培训与系统维护等因素，以确保合理、高效的应用。

1．3．3信息平台

信息平台是各种信息的集散地，是信息综合利用的基础。

主要包括文档信息平台、结构信息平台、决策信息平台，通过文档型数据库、结构化数据库、多媒体数据库和多维数据库等技术和产品来实现，以实现企业各类内部及外部的信息的综合处理，为企业信息系统的应用提供科学、有利的数据。

1．3．4应用平台

应用是建立信息系统的目的，根据自身的需求进行合理的投资，建立科学的应用，将使企业得到最大的投资回报。

信息系统的应用主要有：

Ø财务管理系统

Ø管理信息系统（ＭＩＳ）

Ø集成制造系统（ＣＩＭＳ）

Ø办公自动化系统（ＯＡ）

Ø企业信息服务系统（ＥＩＳ）

Ø企业资源计划系统（ＥＲＰ）

Ø业务流程重组（ＢＰＲ）

Ø决策支持系统（ＤＳＳ）

Ø客户关系管理

Ø市场营销管理

Ø电子商务

Ø网络营销

Ø多媒体呼叫中心

ØINTERNET应用

Ø．．．．．．

1．3．5用户桌面平台

信息系统的应用，无论是查询、检索、计算、处理还是分析，最终都要呈现到用户桌面上，目前常用的用户桌面主要有终端机、客户PC机、电视、家用电器等。

用户桌面是整个信息系统的末端环节，同时也是用户利用信息系统进行工作的工具。

1．3．6安全平台

安全平台贯穿整个信息系统的所有层次，是信息系统正常运转的保障。

安全管理则覆盖信息系统、企业应用的全面，只有将安全技术、产品和人员的安全管理有机地结合在一起，才能为信息系统建设一个比较完善的安全体系。

第二章信息系统安全概述

今天，几乎世界上每一个国家都高度依赖于相同的、内部连接的通讯、能源、运输和公用网络。

不管用国际互联网、调制解调器或是租用的专线，几乎每一个这种网络都能互相跟踪。

研究表明，75%以上的这些网络有相当多的弱点。

安全问题是组建网络面临的敏感和重要问题。

网络提供了信息流通的便利渠道，提供了客户服务及信息交流的平台。

但同时也给信息的保密和真实性，系统的正常运行带来严重的挑战。

因此，如何协调系统安全和系统的灵活、高效和开放性，保证网络的可靠运行，动态地监控和调节网络性能，是在设计系统安全体系和选择网络安全管理产品时必须要考虑的问题。

2．1安全性概念

信息系统安全涉及到立法、政府行为、保险与技术许多方面的问题。

1、在信息立法方面，国家要在信息系统安全方面进行立法。

在尚未信息立法之前，可以考虑先制定一些管理条例。

2、在政府行为方面，国家要对信息系统安全产品制定安全标准，并且进行技术监督工作。

企业应考虑成立国家信息系统运营网管中心，实施较严格网络管理。

3、在保险业务方面，一些重要的企业经济信息系统的安全可以购买保险方式进行保护。

4、在安全技术方面

计算机信息系统的安全包括如下两个层次的含义：

●信息系统的数据与信息的安全与保密

●计算机信息系统的自身的安全

从总的方面来看，信息系统安全要抓住认证、加密、授权、保护、监控与攻击等方面工作，一般包括如下几个方面的具体内容：

●要保护系统与系统内的各种资源免遭自然与人为的破坏，具有抗灾害与抗破坏的能力。

●要防止信息辐射与泄漏。

●要防止信息系统免遭“信息武器”的攻击。

●加密与解密算法及其芯片。

●为计算机等信息设备加设的密钥体制与密钥芯片。

●反“黑客”攻击的模拟仿真技术

●反计算机病毒技术

●防火墙技术

●身份认证技术

●安全监视跟踪技术

●要准备系统安全应急恢复计划与措施。

●要加强信息系统的安全管理

2．2安全等级标准介绍

根据美国国防部的计算机安全标准，可信任计算机标准评估准则（TrustenComputerStandardsEvaluationCriteria）——桔皮书（OrangeBook），一些级别被用于保护硬件、软件和存储的信息免受攻击。

这些级别均描述了不同类型的物理安全、用户身份验证（authentication）、操作系统软件的可信任性和用户应用程序。

这些标准也限制了什么类型的系统可以连接到系统。

安全性等级

主要特征

1

D

最低保护等级

D

非安全保护

2

C

自主保护等级

C1

自主安全保护

自主存取控制，审计功能

C2

可控存取保护

比C1级更强的自主存取控制，审计功能

3

B

强制保护等级

B1

标记安全保护

强制存取控制，敏感度标记

B2

可结构化保护

形式化模型，隐蔽通道约束

B3

安全区域保护

安全内核，高抗渗透能力

4

A

验证保护等级

A1

可验证保护

形式化安全验证，隐蔽通道分析

这个评估准则，有许多人认为，对于开放系统的安全，已经相当不够了。

该可信计算机评估准则，可以通过如下概念进行描述：

（1）安全性

●安全策略SecurityPolicy为了实现软件系统的安全而制定的有关管理、保护和发布敏感信息的规定与实施细则。

●安全策略模型SecurityPoliceModel实施安全策略的模型。

●安全服务SecurityServices根据安全策略与安全模型提供的安全方面的服务。

●安全机制SecurityMechanism实现安全服务的方法。

（2）认证

（3）加密

（4）授权与保护

●可信计算机TrustedComputingBase（TCB）

TCB是软件、硬件与固件的一个集合，它在存取控制策略的基础上，处理主体S集合对客体0集合的存取，并满足如下的性质：

1）TCB处理S中的主体对0中的客体的每一个存取。

2）TCB是抗篡改的

3）TCB足够小，便于分析与测试

在实践中，TCB可以是一个安全核，前端安全过滤器或整个系统。

更严格的定义，是定义TCB子集M概念，M具有上述特性。

●主体Subject在操作系统中主要指作业。

进程等。

●客体Object信息实体，例如文件、记录、字段等。

●最小特权原理LeastPrivilegeTheorem系统中主体执行授权任务时，应该授予它完成任务所必须的最小特权。

●自主存取控制DiscretionaryAccessControl基于主体及其所属的身份来限制客体存取的一种方法，具有某类权限的主体能够直接或间接地将其存取权限转移给其它主体。

在这种意义上，控制是自主的。

●强制存取控制MandatoryAccessControl基于客体中信息的敏感度而对存取客体实行限制的一种存取控制方法，根据信息的敏感度决定主体客体中队信息存取权限。

1、D1级

D1级是可用的最低的安全形式。

该标准说明整个系统都是不可信任的。

对于硬件来说，没有任何保护可用；操作系统容易受到损害；对于用户和他们对存储在计算机上信息的访问权限没有身份验证。

该安全级别别典型地指像Ms—Dos、Ms—windows和Apple的MacintoshSystem7.x等操作系统。

这些操作系统不区分用户，并且没有定义方法来决定谁在敲击键盘。

这些操作系统对于计算机硬盘上的什么信息是可以访问的也没有任何控制。

2、C1级

C级有两个安全子级别：

Cl和C2。

Cl级、或称自选安全保护（DiscretionarysecurityProtection）系统，描述了一个典型的Unix系统上可用的安全级别。

对硬件来说存在某种程度的保护，因为它不再那么容易受到损害，尽管这种可能性仍然存在。

用户必须通过用户注册名和口令让系统识别他们自己。

这种组合用来确定每个用户对程序和信息拥有什么样的访问权限。

这些访问权限是文件和目录许可权限（permission）。

这些自选访问控制（DiscretionaryAccessControl）使文件或目录的拥有者或者系统管理员，能够阻止某个人或几组人访问那些程序或信息。

但是，这并没有阻止系统管理帐户执行活动。

结果，不审慎的系统管理员可能容易损害系统安全。

另外，许多日常系统管理任务只能由以root注册的用户来只执行。

随着现在计算机系统的分散化，随便走进一个组织，你都会发现两三个以上的人知道根口令，这已经是司空见惯的事，由于过去无法区分是Doug还是Mary对系统所做的改变，所以这本身就是一个问题。

3、C2级

第二个子级别C2可用来帮助解决这些问题。

除C1包含的特征外，C2级还包含其它的创建受控访问环境（control-accessenvironment）的安全特征。

该环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许可权限，而且基于身份验证级别。

另外，这种安全级别要求对系统加以审核（audit），这包括为系统中发生的每个事件编写一个审核记录。

审核用来跟踪记录所有与安全有关的事件，比如那些由系统管理员执行的活动。

审核还要求身份验证，因为没有它，如何能够确定实际执行命令的人就是某人呢？

审核的缺点在于它需要额外的处理器和磁盘子系统资源。

使用附加身份验证，对于一个C2系统的用户来说，没有根口令而有权执行系统管理任务是可能的。

这使得追踪与系统管理有关的任务有了改观，因为是单独的用户执行了工作而不是系统管理员。

这些附加身份验证不能与可应用于程序的SGID和SUID许可权限相混淆，而且它们是允许用户执行特定命令或访问某些核心表的特定身份验证，例如，那些无权浏览进程表的用户，当执行ps命令时，只能看到它们自己的进程。

4、B1级

B级安全包含三个级别。

B1级或标志安全保护（LabeledSecurityProtection），是支持多级安全（比如秘密和绝密）的第一个级别，这一级说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其许可权限。

5、B2级

B2级，叫做结构保护（StructuredProtection），要求计算机系统中所有对象都加标签，而且给设备（如磁盘、磁带或终端）分配单个或多个安全级别。

这是提出较高安全级别的对象与另一个较低安全级别的对象相通讯的第一个级别。

6、B3级

B3级或安全域级别（SecurityDomain），使用安装硬件的办法来加强域，例如，内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。

该级别也要求用户的终端通过一条可信任途径接到系统上。

7、A级

A级或验证设计（VerifyDesign）是当前桔皮书中的最高安全级别，它包含了一个严格的设计、控制和验证过程，与前面提到的各级别一样，这一级包含了较低级别的所有特性。

设计必须是从数学上经过验证的，而且必须进行对秘密通道和可信任分布的分析。

可信任分布（TrustedDistribution）的含义是，硬件和软件在传输过程中已经受到保护，以防止破坏安全系统。

2．3国际常用的安全机制介绍

在ISO7498—2标准中，网络的安全体系被看作为一种层次型的模型结构，模型的最底层是一些由网络的硬件（如路由器、智能HUB等）和软件提供的安全机制，由这些安全机制组合成某种安全服务，而处于最高层的安全应用程序则是通过调用这些安全服务功能来保证其使用的安全性的。

安全机制的设计主要是针对系统和网络所受到的不同类型的侵犯，因而可以从功能上将其划分成两类，一类专门用于安全服务的专用安全机制，另一类则仅是为了增强系统的安全级别，在本文中称为扩展型安全机制。

2．3．1专用安全机制

专用的安全机制分为8类，分列于下：

（1）加密机制

加密机制可以为数据或所传输的流量信息提供保密的手段。

一般说来，加密机制由各种加密算法提供支持。

（2）数字签名机制

数字签名是指在信息传递中模仿实际生活中签字化押的形式证实发送方的身份的过程。

签名的方式多种多样，常见的方式是发送方先从所传递的消息中随机抽取一部分信息（摘要）作为签名内容，并用自己的私人密钥（不对外公开的密钥）对其加密，并与整个消息一齐传送到接收方；接收方收到数据后，分离出签名部分，再用发送方的公开密钥解开其中的签名内容，以此来验证这条消息是否是由发送者发送的。

数字签名机制成功与否的关键在于签名部分必需是从发送者的个人信息中产生出来，这样才不会出现纠纷。

（3）访问控制机制

访问控制机制通过判别访问者的标识信息或权限决定其是否能访问某项资源，这一机制可以应用在会话的任何一端或会话的中间转发点，用于确定会话发起者是否得到了被访问者的授权。

（4）数据完整性机制

数据的完整性既包括一条单独消息的完整性，也包括一段消息序列的完整性（信息流完整性），即保障消息传输的顺序。

（5）鉴别信息交换机制

身份鉴别信息交换机制通过交换鉴别信息使两个通信实体相互信任，这种机制包括，发送方向接收方提供身份证明信息（口令字等），加密技术，以及其它生物标识技术（例如使用指纹作为验证手段）。

这种机制在实际应用中往往要结合“握手”方式以及一次性口令机制一起使用，因为攻击者可以通过复制后重发的手段使身份验证的防护手段完全失去效用。

（6）流量填充机制

流量填充机制可以通过在所传递的报文中添加填充符来防止信息被流量分析设备所盗用，填充信息往往需要加密后才能生效。

（7）路由控制机制

路由控制机制是指通过在关键信息中加入安全标签，防止信息被选择到一条不安全的路由上或者用安全标签区分不同的数据类型，控制路由的走向。

在公共网络的基础上建造专用网络时，路由控制机制往往能提供专用网络必备的专用传输通道。

（8）公证机制

公证机制类似于实际生活中的公证处所起的作用，在两个相互怀疑的实体之间通信时，需要有一个仲裁机构解决双方的不信任问题。

尤其是在处理“拒绝履行义务”等类型的网络攻击手段时，公证机制可以为纠纷双方提供一个可以信赖的“第三方”认证机构。

2．3．2扩展型安全机制

扩展型安全机制分成4类：

（1）安全标签

安全标签用于区分不同类型报文的敏感程度和应受到的保护程度。

安全标签可以是报文结构的一部分，如在加密过程中使用特殊的密钥，报文的来源，指定路由等：

还有一些是具有明确的安全意图的标签，它们的作用是为安全检查进程提供检查手段。

（2）事件检测

安全事件检测机制不仅要对那些明显的具有侵犯意图的安全事件进行记录，它还应该记录诸如成功访问（成功登录）等“正常”的网络事件，以便在网络的日志审查和恢复过程中提供参照数据。

（3）安全审计

安全审计是指利用日志记录等历史事件审计系统的活动是否符合所制定的安全策略和操作规范；系统的控制是否充分，以及提出对系统控制和安全策略的改进意见。

安全审计在灾难恢复中起着相当重要的作用。

（4）安全性恢复

安全性恢复机制可以在系统受到破坏后使系统恢复到正常的安全状态，恢复手段可以是短期的，也可以是长期的。

第三章设计目标及原则

信息系统安全体系主要考虑的是信息、关键数据、管理、工作流的安全性、可用性、完整性，以及对信息流、敏感信息的不可篡改、不可否认和不可抵赖。

基于第二章的概述，对系统安全性概念及发展的理解，确立安全体系总体规划和建设的目标和设计原则，以及在信息系统安全体系中应具备的功能，对安全体系进行统一规划。

本章对信息系统安全体系的设计目标和设计原则进行论述。

3．1安全体系的设计目标

鉴于信息系统中的信息流、资金流、工作流、敏感信息的重要性，安全体系的设计、规划和建设应逐步达到以下目标：

✧保密性　是指静态信息防止非授权访问和动态信息防止被截取解密。

信息的保密性主要指关键信息、交易信息、资金以及信息系统敏感信息的加密、用户访问权限管理和不因信息泄露而造成损失等。

✧完整性是指信息在存储或传输时不被修改、破坏，或信息包的丢失、乱序等。

信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的常用手段。

目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的方法，但黑客的攻击可以改变信息包内部的内容。

因此，除以上方法还应重点考虑对信息的加密、备份和恢复机制。

信息系统中信息的完整性是系统正常运转的基本保障。

✧可靠性是指信息的可信度，包括信息的完整性、准确性和发送人的身份证实等方面，可靠性也是信息安全性的基本要素。

这一点企业的财务管理、资源管理、电子交易以及与银行的接口中犹为重要。

✧实用性　即信息加密密钥不可丢失（不是泄密），丢失了密钥的信息也就丢失了信息的实用性，成为垃圾。

✧可用性　一般是指主机存放静态信息的可用性和可操作性。

病毒