淺談信息系統(tǒng)的安全性設計

摘要:討論了信息安全的目標、策略以及信息系統(tǒng)的不安全因素和預防措施。

關鍵詞:信息系統(tǒng);安全;策略;設計

中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2010)02-292-02

Discussion on Security Design in Information System

JIA Wen-feng

(Modern Educational Technique Center， Luoyang Institute of Science and Technology， Luoyang 471023， China)

Abstract: the target， strategy of information security are discussed in this thesis， and several insecurity factors are listed as well as some preventive measures are proposed.

Key words: information system; security; stratey; design

在信息系統(tǒng)中，如何設計一個安全和穩(wěn)定可靠的架構(gòu)是至關重要的一件事。

1 信息安全的目標

信息安全的根本目標是保障信息的安全，具體地說就是保證信息的保密性、完整性、可用性、真實性、實用性和占用性。其中，前三項尤為重要，被稱為CIA三要素。

所謂保密性，是指系統(tǒng)中的信息必須按照該信息擁用者的要求保證一定的秘密性，不會被未經(jīng)許可的第三方非法獲取。系統(tǒng)必須阻止一切對秘密信息的非授權訪問或泄密。

所謂完整性，是指系統(tǒng)中的信息應當安全、準確、有效，要求數(shù)據(jù)不能被非法改動或刪除。完整性是信息安全的最基本要求。

所謂可用性，是指不論在何種情況下、經(jīng)過何種處理，只要有需要，系統(tǒng)即可使用，而不能因為系統(tǒng)的故障、誤操作等原因妨礙系統(tǒng)的正常使用，或使有嚴格時間要求的系統(tǒng)不能得到及時的響應。系統(tǒng)可用性還包括一些非正常條件下繼續(xù)運行的能力，如在遭到攻擊、病毒感染等情況下，系統(tǒng)仍然要求是可用的。這是一項非常高的要求，一般可以通過為系統(tǒng)配置完善的應急機制來實現(xiàn)。

所謂真實性，是指對信息的發(fā)送者身份的確認或系統(tǒng)中有關主體的身份確認，這樣可以保證信息的可信度。信息的真實性可以通過數(shù)字簽名、公鑰加密等方式來實現(xiàn)。

所謂實用性，是指信息的加密密鑰不得丟失(不是泄露)，如果丟失了密鑰，則被加密的信息就無法正確提取，成為無用的垃圾數(shù)據(jù)，即丟失了信息的實用性。

所謂占有性，是指要保護系統(tǒng)賴以存儲的節(jié)點、介質(zhì)、載體等不被盜用或竊取。保護信息占有性的方法有使用版權、專利、商業(yè)秘密性，提供物理的或邏輯的存取限制方法，維護和檢查有關竊取文件的記錄等。

2 安全策略

安全策略的制定過程是一個循序漸進、不斷完善的過程。安全策略應該由安全專業(yè)人士和來自用戶方不同部門的人員共同研究制定。安全策略在制定時必須兼顧它的可理解性、技術上的可行性。一般來說，企業(yè)級的安全策略可以分為如下三次層次:

1)抽象安全策略。它的通常表現(xiàn)形式是用自然語言描述的文檔，是根據(jù)企業(yè)自身的業(yè)務、面臨的威脅和風險以及公司的規(guī)章制度、相關的法規(guī)等來制定的限制用戶可用資源和使用方式的一組規(guī)定。

2)全局自動安全策略。它是抽象安全策略的具體化，由計算機、網(wǎng)絡設備等自動實施的安全措施的規(guī)則和約束。從安全功能的角度看，全局自動安全策略主要分為身份認證、授權與訪問控制、數(shù)據(jù)加密與完整性、數(shù)字簽名、安全審計、入侵檢測、自動響應、病毒防范、容錯與備份等策略。

3)局部執(zhí)行安全策略。它是分布在終端系統(tǒng)和應用系統(tǒng)中的全局自動安全策略的子集，系統(tǒng)中所有實體局部執(zhí)行的安全策略的總和就是全局自動安全策略的具體實施。局部可執(zhí)行的安全策略是由物理組件與邏輯組件所實施的形式化的安全細則，比如口令管理策略、防火墻過濾規(guī)則、認證系統(tǒng)中的認證策略、訪問控制系統(tǒng)中的訪問能力表、資源的訪問控制表等，每一條具體的規(guī)則都是可以設置與實施的。

另外，安全是對費用和風險的一種均衡。要清楚地了解系統(tǒng)的價值有多大，根據(jù)實際情況制定與系統(tǒng)的價值相適應的安全策略，而沒有必要為一個簡易的小型信息系統(tǒng)花巨資進行安全保護，同樣對一個非常重要的信息系統(tǒng)只進行簡單的口令保護顯然是不夠的。

制定合理的安全策略必須要詳盡地分析系統(tǒng)與數(shù)據(jù)的敏感性和關鍵性，應在目標系統(tǒng)的安全管理原則和信息安全級別選擇的基礎上制定出各個層次的安全對策。安全策略是系統(tǒng)安全計劃的說明，是設計和構(gòu)造系統(tǒng)的安全性、以防御來自內(nèi)部和外部入侵以及阻止系統(tǒng)中信息泄露的具體措施。

安全策略是一個詳細的完備的安全設計方案，一般應包含如下內(nèi)容:

要保護的內(nèi)容和目標:安全策略中應包含信息系統(tǒng)中要保護的所有資源(包括硬件和軟件)以及每項資源的重要性和其要達到的安全程度。

實施保護的方法:明確對信息系統(tǒng)中的各類資源進行保護所采用的具體方法。例如對于實體安全可以采用隔離、防輻射、防自然災害等措施保護，對于數(shù)據(jù)信息可以采用加密、授權、訪問控制等技術保護，對于網(wǎng)絡傳輸可以采用安全協(xié)議來保密等。而且還要明確采用的具體方法，如使用的算法和產(chǎn)品、訪問控制的方法和授權的管理體系等。

開發(fā)安全策略時，要充分考慮制定安全策略的優(yōu)先次序，充分考慮信息系統(tǒng)內(nèi)部因素對安全策略的影響。安全策略力求明確、可實施、具有可操作性。一個十分完美而不可操作的安全策略是沒有實際意義的，一個不能實施的安全策略等于沒有安全策略。

3 不安全因素與預防措施

要設計一個安全的系統(tǒng)，除了要了解常用的保護手段和技術措施外，還要對系統(tǒng)中可能出現(xiàn)的安全問題或存在的安全隱患有充分的認識，這樣才能對系統(tǒng)的安全做到有針對性的設計和強化。

3.1 物理安全問題與設計

物理安全包括物理設備本身是否安全可靠，還包括設備的位置與環(huán)境的安全、限制物理訪問、地域因素等幾個方面。

信息系統(tǒng)的所有重要的物理設備、設施都應放在專門的區(qū)域，并盡可能集中，同時嚴格限制外來人員來訪，盡可能減少未經(jīng)授權的訪問。

物理安全還要求在設計中注意物理設備的冗余備份，比如核心設備或部件都應該是熱備份系統(tǒng)，具有實時或準實時切換的能力。

物理安全還要求嚴格限制對網(wǎng)絡信息點、線纜等網(wǎng)絡基礎設施及其所在地進行物理訪問，要想訪問必須經(jīng)過專門的授權。

物理安全還包括環(huán)境方面的因素，要求在設計之初就要對信息系統(tǒng)中的溫度、濕度、灰塵、振動、雷電、電力等方面的參數(shù)都要有明確的要求，要對自然災害有充分的考慮，還要對電磁泄露等方面的要求作明確的定義。設計系統(tǒng)的時候要對這些因素全盤考慮，并采取適當?shù)姆雷o措施或強化手段。比如，機房這種重要的地點，除了所在的建筑物要有防雷系統(tǒng)外，還可以加裝一套專用的防雷系統(tǒng)。這樣可以保證即使建筑物遭到雷擊時，萬一建筑物的避雷系統(tǒng)未能充分保護好昂貴的信息系統(tǒng)，那么單獨為機房安裝的專用避雷系統(tǒng)也能保障機房設備免受損失。

3.2 方案設計中避免安全隱患

有一些安全問題其實是在系統(tǒng)中考慮不周而留下缺陷導致的。比如為了實現(xiàn)異構(gòu)的網(wǎng)絡、系統(tǒng)、數(shù)據(jù)庫等之間的互連和共享，往往要借助許多開放的機制，而這種開放又容易引進若干安全隱患。

再如，在多級安全系統(tǒng)中，也要謹慎地設計各個用戶和資源的權限控制邏輯，才能保證系統(tǒng)的充分安全。

因此，在保證系統(tǒng)的開放性、先進性的同時，一定要有嚴格的授權和訪問控制策略、完備的加密機制等保護措施，保證只有合法用戶以合法的方式才能使用系統(tǒng)。

3.3 系統(tǒng)的安全漏洞與防護措施

隨著計算機在生產(chǎn)生活中擔負著越來越重要的任務，軟件系統(tǒng)的規(guī)模也在不斷擴大，復雜性也不斷增加。同時，系統(tǒng)中也就不可避免地存在漏洞，這也對信息系統(tǒng)及應用軟件的基礎安全構(gòu)成了威脅，從而影響信息系統(tǒng)整體的安全性。

比如許多病毒和木馬程序就是利用操作系統(tǒng)的漏洞進行傳播或竊取機密信息的。還有不少黑客攻擊是利用系統(tǒng)的溢出來獲得超級用戶的權限從而獲得控制權進行破壞活動的。

針對這些情況，在建設信息系統(tǒng)時，必須采取安裝補丁、升級包、關閉不需要的服務等措施對系統(tǒng)的安全性進行強化。

3.4 TCP/IP協(xié)議的不安全性

TCP/IP協(xié)議由于其靈活、開放迅速普及，不僅在Internet上使用，而且還在絕大多數(shù)的其他網(wǎng)絡中被采用。但是TCP/IP協(xié)議在安全可靠、服務質(zhì)量、帶寬等方面都頗為薄弱，缺乏強健的安全機制，存在很大的安全隱患。由于TCP/IP協(xié)議的廣泛使用，所以它的不安全性也直接影響到基于TCP/IP協(xié)議的應用系統(tǒng)的安全。

比如，由于TCP/IP協(xié)議自身工作方式的原因，導致它很容易受到DoS攻擊，由于缺乏對源地址的檢驗會被非法攔截，而這些都會影響到所有基于TCP/IP協(xié)議工作的軟件系統(tǒng)，比如Web站點。

針對這種情況，對安全要求較高的系統(tǒng)，對通信協(xié)議就不能簡單地使用普通的TCP/IP協(xié)議，而應當從IPSec、SSL、SHTTP、S/MIME、SET等當中選擇合適的協(xié)議來進行系統(tǒng)通信，另外還可以使用PGP、VPN等方式來增強通信的安全性。

4 結(jié)論

在設計和建設信息系統(tǒng)時，必須對系統(tǒng)的安全性進行專門的設計，采取必要的技術措施和設計方法，才有可能避免各種意外事故、有效地保障信息系統(tǒng)的安全。

參考文獻:

[1] 張世永.網(wǎng)絡安全原理與應用[M].北京:科學出版社，2003.

[2] 袁家政.計算機網(wǎng)絡安全與應用技術[M].北京:清華大學出版社，2002.