2.2 网络信息安全工程基本原理
本节主要内容包括论述网络信息安全工程基本原理及策略,电力系统信息网络安全“三大支柱”内涵,基于主动意识的信息网络安全综合防护等。
2.2.1 网络信息安全工程基本原理
信息网络安全主要涉及网络信息的安全和网络系统本身的安全。在信息网络中存在着各种资源设施,随时存储和传输大量数据;这些设施可能遭到攻击和破坏,数据在存储和传输过程中可能被盗用、暴露或篡改。另外,信息网络本身可能存在某些不完善之处,网络软件也有可能遭受恶意程序的攻击而使整个网络陷于瘫痪。同时网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
网络信息安全工程是实现网络中保证信息内容在存取、处理、传输和服务的保密性(机密性)、完整性和可用性以及信息系统主体的可控性和真实性等特征的系统辨别、控制、策略和过程。保密性主要是指信息只能在所授权的时间、地点暴露给所授权的实体,即利用密码技术对信息进行加密处理,以防止信息泄漏。完整性是指信息在获取、传输、存储和使用的过程中是完整的、准确的和合法的,防止信息被非法删改、复制和破坏,也包括数据摘要、备份等。可用性是指信息与其相关的服务在正当需要时是可以访问和使用的。可控性是指信息网络系统主体可以全程控制信息的流程和服务(如检测、监控、应急、审计和跟踪)。真实性是指信息网络系统主体身份(如人、设备、程序)的真实合法(如鉴别、抗否认)。
信息网络系统本身存在着脆弱性,常被非授权用户利用,他们对计算机信息网络系统进行非法访问,这种非法访问使系统中存储信息的完整性受到威胁,导致信息被破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删除而不留任何痕迹。另外,计算机还易受各种自然灾害和各种误操作的破坏。对系统中下列特征,如存储密度高、数据可访问性、信息聚生性、保密困难性、介质剩磁效应、电磁泄漏性、通信网络的弱点等也要给予足够重视。
信息安全既是一个理论问题,又是一个工程实践问题:网络信息安全工程是一个完整的系统概念。单一的信息安全机制、技术和服务及其简单组合,不能保证网络信息系统安全、有序和有效地运行。忽视信息系统运行、应用和变更对信息安全的影响而制定的安全策略,无法获得对信息系统及其应用发生变化所出现的新的安全脆弱性和威胁的认识,这样的安全策略是不完整的,只有充分考虑并认识到信息系统运行、应用和变更可能产生新的安全风险和风险变化,由此制定的安全策略才是完整的,这就是信息安全的相关性问题。
安全策略必须能根据风险变化进行及时调整。一成不变的静态策略,在信息系统的脆弱性以及威胁技术发生变化时将变得毫无安全作用,因此安全策略以及实现安全策略的安全技术和安全服务,必须具有“风险检测→实时响应→策略调整→风险降低”的良性循环能力,这就是信息安全的动态性问题。
网络信息安全策略的完整实现完全依赖技术并不现实,而且有害。因为信息安全与网络拓扑、信息资源配置、网络设备、安全设备配置、应用业务,用户及管理员的技术水平、道德素养、职业习惯等变化性因素联系密切,因此,强调完整可控的安全策略实现必须依靠管理和技术的结合,这样才符合信息安全自身规律。必要时以牺牲使用方便性、灵活性或性能来换取信息系统整体安全是值得的,同时再完善的网络信息安全方案也有可能出现意想不到的安全问题,这就是网络信息安全的相对性问题。只有经过对网络进行安全规划,对信息进行保护优先级的分类,对信息系统的安全脆弱性(包括漏洞)进行分析,对来自内外部威胁带来的风险进行评估,建立起PP- DRR(策略、保护、检测、响应和恢复)的安全模型,形成人员安全意识、安全政策法律环境、安全管理和技术的安全框架,才是符合信息系统自身实际的科学合理的信息安全体系,这就是信息安全的系统性问题。
2.2.2 网络信息安全工程基本策略
计算机信息网络的发展使信息的共享和应用日益广泛与深入,在建立系统的网络安全之前,必须明确需要保护的资源和服务类型、重要程度和防护对象等。安全策略是由一组规则组成的,对系统中所有与安全相关元素的活动做出一些限制性规定。系统提供的安全服务,其规则基本上都来自安全策略。
1.网络信息安全策略与安全机制
网络信息安全策略的目的是决定一个计算机网络的组织机构怎样来保护自己的网络及其信息,一般来说,保护的政策应包括两部分:一个总的策略和一个具体的规则。总的策略用于阐明安全政策的总体思想,而具体的规则用于说明什么是被允许的,什么是被禁止的。
总的信息安全策略是制定一个组织机构的战略性指导方针,并为实现这个方针分配必需的人力和物力。一般由网络组织领导机构和高层领导来主持制定这种政策,以建立该机构的安全计划和基本的框架结构。
2.网络信息安全策略的作用
网络信息安全策略计划的目的和在该机构中设计的范围:把任务分配给具体部门和人员,并且实施这种计划;明确违反政策的行为及其处理措施。针对系统情况,可以有以下一些考虑:①根据全系统的安全性,做统一规划,对安全设备统一选型;②以网络作为安全系统的基本单元;③以网络的安全策略统一管理;④对网络采取访问控制措施;⑤负责安全审计跟踪与安全警告报告;⑥对网络间的数据传输,可以采用加密技术进行保护;⑦整个系统采用统一的密钥管理措施;⑧采用防电磁泄漏技术,特别注意电磁辐射;⑨采取抗病毒入侵和检测消毒措施;⑩采取一切技术和非技术手段来保证系统的安全运行。
3.网络信息安全策略的等级
网络信息安全策略可分为以下4个等级:①不把内部网络和外部网络相联,因此一切都被禁止;②除那些被明确允许之外,一切都被禁止;③除那些被明确禁止之外,一切都将被允许;④一切都被允许,当然也包括那些本来被禁止的。
可以根据实际情况,在这4个等级之间找出符合自己的安全策略。当系统自身的情况发生变化时,必须注意及时修改相应的安全策略。
4.网络信息安全策略的基本内容
网络信息安全策略重点包括如下内容。
(1)网络管理员的安全责任:该策略可以要求在每台主机上使用专门的安全措施,登录用户名称,监测和记录过程等,还可以限制在网络连接中所有的主机不能运行应用程序。
(2)网络用户的安全策略:该策略可以要求用户每隔一段时间改变其口令;使用符合安全标准的口令形式;执行某些检查,以了解其账户是否被别人访问过。
(3)正确利用网络资源:规定谁可以使用网络资源,他们可以做什么,不应该做什么等。对于E-mail和计算机活动的历史,应受到安全监视,告知有关人员。
(4)检测到安全问题时的策略:当检测到安全问题时,应做什么?应该通知什么部门?这些问题都要明确。
5.网络信息的安全机制
网络信息的安全规则就是根据安全策略规定的各种安全机制。如身份认证机制、授权机制、访问控制机制、数据加密机制、数据完整性机制、数字签名机制、报文鉴别机制、路由控制机制、业务流填充机制等。
如授权机制是针对不同用户赋予不同信息资源的访问权限。对授权用户控制的要求有以下几点。
(1)一致性:即对信息资源的控制没有二义性,各种定义之间不冲突。
(2)统一性:对所有信息资源进行集中管理,安全政策统一、连贯。
(3)审计功能:可以对所有授权用户进行审计跟踪检查。
(4)尽可能提供相近粒度的检查。
2.2.3 电力系统信息网络安全“三大支柱”
辽宁电力系统信息安全示范工程,依据网络及信息安全风险评估成果,组织了全省信息网络防护体系、身份认证与授权管理体系(PKI/PMI)、数据备份及灾难恢复体系“三大支柱”工程,在电力信息安全工程中实际应用取得良好效果。
1.电力系统信息网络安全“三大支柱”内涵
网络及信息安全,从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络及信息安全的研究领域。从安全策略体系来说,安全技术标准规范和操作流程、应用程序层、业务系统层和数据层的管理制度和标准,主要业务系统的安全配置标准和制度,业务连续性管理计划,法律的符合性是保证电力系统信息安全的基础。从信息安全工程技术来说,构建电力系统信息安全工程技术“三大支柱”是保证电力系统信息安全的基本条件,信息安全工程技术“三大支柱”的基本内涵包括:网络及信息安全防护体系——解决网络安全问题;身份认证与授权管理体系(PKI/PMI)——解决信息交换与共享安全问题;数据备份及灾难恢复体系——解决数据备份、存储与恢复安全问题。
2.统一集中部署网络及信息安全防护体系
在监视控制中心统一运行管理,主要包括:网络管理系统;防火墙系统;防病毒系统;入侵检测系统;漏洞扫描系统;网络流量分析系统;带宽管理系统;VLAN虚拟网;VPN系统。网络及信息安全防护体系的设计应遵循以下原则。
(1)网络环境综合治理原则。信息网络系统配备齐全、职责分工科学,网络系统管理软件功能完备,管理、控制策略合理灵活,具有较强的网络支撑能力。
(2)网络结构优化先行原则。信息网络包括局域网、城域网、广域网协调配置,办公自动化内部信息网络、外部信息网络、DMZ非军事区、Internet分工明确,网络结构合理。
(3)网络及信息安全防护网络化原则。根据电网公司是网络化的特点,建立网络化2-3级信息安全监视与管理系统,包括:性能监视与管理(网络管理、网络流量分析、带宽管理软件等)、安全防护与管理(防火墙系统、防病毒系统、VPN系统、VLAN系统等)、安全检测与管理(漏洞扫描系统、入侵检测等)。
(4)集中管理与分级控制原则。根据信息网络系统的规模和企业管理体制的实际情况,确定信息网络及应用系统的安全直接管辖以及管理范围。例如,省公司信息中心负责安全直接管辖并运行维护的本级局域网或主干网络系统及其所属设备,负责安全管理的本级与下一级连接的边界路由器和防火墙以及需要直接管辖的系统。
(5)根据企业性质和任务,建立的信息安全总体框架及管理体系、技术体系,应遵循统一领导、统一规划、统一标准、分级组织实施原则。
3.身份认证与授权管理体系(PKI/PMI)的基本原理
1)PKI-CA
PKI(Public Key Infrastructure,公钥基础设施)体系是计算机软硬件、权威机构及应用系统的结合,用来实现电子证书的注册、签发、证书发布、密钥管理和在线证书状态查询等功能,被称为公钥基础设施。其目标是向网络用户和应用程序提供公开密钥的管理服务。为了使用户在不可靠的网络环境中获得真实的公开密钥,PKI引入公认可信的第三方;同时避免在线查询集中存放的公开密钥产生的性能瓶颈,PKI引入电子证书。可信的第三方是PKI的核心部件,正是由于它的中继,系统中任意两个实体才能建立安全联系。
CA(Certificate Authority,证书授权中心)作为电子证务中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。
2)PMI
属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现属性证书的产生、管理、存储、分发和撤销等功能,被称为权限管理基础设施(Privilege Management Infrastructure)。其目标是向网络用户和应用程序提供授权管理服务。PMI是信息安全基础设施的一个重要组成部分,其目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相应的、与具体应用系统开发管理无关的授权和访问控制机制,简化具体应用系统的开发与维护,提高系统整体安全级别。
PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请,签发,发布,注销,验证过程对应着传统的权限申请,产生,存储,撤销和使用的过程。
4.数据备份及灾难恢复体系基本原理
传统数据备份通常是指把计算机硬盘驱动器中的数据复制到磁带或光盘上,本机磁盘存储、直接附加存储(DAS)和手工备份。企业级数据备份是指对精确定义的数据进行复制,无论数据的组织形式是文件、数据库,还是逻辑卷或磁盘,管理保存上述副本的备份介质,以便需要时能迅速、准确地找到任何目标数据的任何备份,并准确追踪大量介质。提供复制已备份数据的机制,以便进行离站存档或灾难防护。准确追踪所有目标数据的所有备份位置。
对数据存储、备份和恢复实行集中管理,可以合理分配存储资源,避免存储资源的浪费,提高资源的利用率。同时,统一的自动备份和恢复解决方案,可以节约人力,提高系统的安全性,保证数据的高可用性。灾备就像企业为自己的信息购买的一项保险一样,企业要生存和发展,就必须考虑如何完善地保存它的数据。
这就要求对企业的核心业务数据有一套完整的备份方案,以保证企业中最重要的资源—各业务系统数据的安全。一旦发生不可预知的系统灾难时,能够保证数据资料不会丢失,同时能在最短的时间内恢复系统运行,将企业的损失减少到最小程度。建立一个覆盖全部操作系统平台的应用及数据库备份系统,实现全省数据中心各主要系统的自动化数据备份和各地市的主要系统的自动化备份和恢复,以及省中心对各地市数据的远程灾难备份和恢复,备份的管理采用内部备份管理和全省远程集中管理相结合的方式。
2.2.4 基于主动意识的信息网络安全综合防护
为了保证信息网络的安全性,降低信息网络所面临的安全风险,单一的安全技术是不够的。根据信息系统面临的不同安全威胁以及不同的防护重点和出发点,有对应的不同网络安全防护方法。下面分析一些有效的网络安全防护思路。
1.基于主动防御的边界安全控制
以内网应用系统保护为核心,在各层的网络边缘建立多级的安全边界,从而进行安全访问的控制,防止恶意的攻击和访问。这种防护方式更多的是通过在数据网络中部署防火墙、入侵检测、防病毒等产品来实现的。
2.基于攻击检测的综合联动控制
所有的安全威胁都体现为攻击者的一些恶意网络行为,通过对网络攻击行为特征的检测,从而对攻击进行有效的识别,通过安全设备与网络设备的联动进行有效控制,从而防止攻击的发生。这种方式主要是通过部署漏洞扫描、入侵检测等产品,并实现入侵检测产品和防火墙、路由器、交换机之间的联动控制。
3.基于源头控制的统一接入管理
绝大多数的攻击都是通过终端的恶意用户发起,通过对接入用户的有效认证,以及对终端的检查可以大大降低信息网络所面临的安全威胁。这种防护通过部署桌面安全代理,并在网络端设置策略服务器,从而实现与交换机、网络宽带接入设备等联动实现安全控制。
4.基于安全融合的综合威胁管理
未来的大多数攻击将是混合型的攻击,某种功能单一的安全设备将无法有效地对这种攻击进行防御,快速变化的安全威胁形势促使综合性安全网关成为安全市场中增长最快的领域。这种防护通过部署融合防火墙、防病毒、入侵检测、VPN等为一体的UTM设备来实现。
5.基于资产保护的闭环策略管理
信息安全的目标就是保护资产,信息安全的实质是“三分技术、七分管理”。在资产保护中,信息安全管理将成为重要的因素,制定安全策略、实施安全管理并辅以安全技术配合将成为资产保护的核心,从而形成对企业资产的闭环保护。目前典型的实现方式是通过制定信息安全管理制度,同时采用内网安全管理产品以及其他安全监控审计等产品,从而实现技术支撑管理。
6.信息网络安全防护策略
“魔高一尺,道高一丈”,信息网络的不断普及,网络攻击手段不断复杂化、多样化,随之产生的信息安全技术和解决方案也在不断发展变化,安全产品和解决方案也更趋于合理化、适用化。经过多年的发展,安全防御体系已从如下几个方面进行变革:由“被动防范”向“主动防御”发展,由“产品叠加”向“策略管理”过渡,由“保护网络”向“保护资产”过渡。
根据对信息网络安全威胁以及安全技术发展趋势的现状分析,并综合各种安全防护思路的优点,信息网络安全防护可以按照三阶段演进的策略,通过实现每一阶段所面临的安全威胁和关键安全需求,逐步构建可防、可控、可信的信息网络架构。
7.信息网络安全防护演进策略
信息网络安全防护演进将分为以下三个阶段。
第一阶段:以边界保护、主机防毒为特点的纵深防御阶段。
纵深防御网络基于传统的攻击防御的边界安全防护思路,利用经典的边界安全设备来对网络提供基本的安全保障,采取堵漏洞、作高墙、防外攻等防范方法。比如通过防火墙对网络进行边界防护,采用入侵检测系统对发生的攻击进行检测,通过主机病毒软件对受到攻击的系统进行防护和病毒查杀,以此达到信息网络核心部件的基本安全。防火墙、入侵检测系统、防病毒成为纵深防御网络常用的安全设备,被称为“老三样”。
随着攻击技术的发展,纵深防御的局限性越来越明显。网络边界越来越模糊,病毒和漏洞种类越来越多,使得病毒库和攻击特征库越来越庞大。新的攻击特别是网络病毒在短短的数小时之内足以使整个系统瘫痪,纵深防御的网络已经不能有效解决信息网络面临的安全问题。这个阶段是其他安全管理阶段的基础。
第二阶段:以设备联动、功能融合为特点的安全免疫阶段。
该阶段采用“积极防御,综合防范”的理念,结合多种安全防护思路,特别是基于源头抑制的统一接入控制和安全融合的统一威胁管理,体现为安全功能与网络设备融合以及不同安全功能的融合,使信息网络具备较强的安全免疫能力。例如,网络接入设备融合安全控制的能力,拒绝不安全终端接入,对存在安全漏洞的终端强制进行修复,使之具有安全免疫能力;网络设备对攻击和业务进行深层感知,与网络设备进行全网策略联动,形成信息网络主动防御能力。
功能融合和全网设备联动是安全免疫网络的特征。与纵深防御网络相比,具有明显的主动防御能力。安全免疫网络是目前业界网络安全的主题。在纵深防御网络的基础上,从源头上对安全威胁进行抑制,通过功能融合、综合管理和有效联动,克服了纵深防御的局限性。
第三阶段:以资产保护、业务增值为特点的可信增值阶段。
可信增值网络基于信息资产增值的思想,在基于资产保护的闭环策略管理的安全防护思路的基础上,通过建立统一的认证平台,完善的网络接入认证机制,保证设备、用户、应用等各个层面的可信,从而提供一个可信的网络环境,促进各种杀手级应用的发展,实现信息网络资产的增值。
在可信增值网络中,从设备、终端以及操作系统等多个层面确保终端可信,确保用户的合法性和资源的一致性,使用户只能按照规定的权限和访问控制规则进行操作,做到具有权限级别的人只能做与其身份规定相应的访问操作,建立合理的用户控制策略,并对用户的行为分析建立统一的用户信任管理。