信息安全保障.html.pdf_三一文库31doc.com

资源描述

《信息安全保障.html.pdf》由会员分享，可在线阅读，更多相关《信息安全保障.html.pdf（245页珍藏版）》请在三一文库上搜索。

1、前言随着信息化不断深入，信息安全上升到关系社会稳定、经济发展和公民权益的地位，成为国家安全的重要组成部分。在整个信息安全保障工作中，人是最核心、最活跃的因素，信息安全保障工作最终也是通过人来落实的。因此，加快信息安全人才培养体系建设是发展我国信息安全保障体系必备的基础和先决条件。多年来，国家高度重视我国信息安全人才队伍的培养和建设，明确提出要加强信息安全人才培养。2003年9月，中共中央办公厅、国务院办公厅转发了国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号），提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神。中国信息安全测评中心依据中央赋予的

2、职能，自2002年起，积极推动我国信息安全专业人才培养工作。一方面支持并配合国内多所大学开办了信息安全专业，有力促进了信息安全学历教育的开展；另一方面在原国务院信息化办公室的支持下，开创性地开展了信息安全职业教育与能力认证工作，面向社会提供“注册信息安全专业人员”（CISP）培训服务，十余年来培养专业人才逾万名，为党政军机关和职能部门以及金融、交通、能源等行业和国有大型企业的信息安全保障工作填补了专业人才队伍的空白。教材和知识体系是信息安全职业培训认证工作的核心要素。中国信息安全测评中心在全面考察国际知名信息安全职业教育知识体系的基础上，汇集国内诸多院士、专家和学者智慧，汲取教学实

3、践体验，提出信息安全人才需要全面涵盖理论、技术、管理、工程、标准和法律法规等知识域，在此基础上编撰了信息安全理论与技术、信息安全工程与管理及信息安全标准与法律法规系列教材，于2003年由人民邮电出版社正式出版。该系列教材填补了国内空白，成为信息安全保障工作中的必备参考书。信息安全是动态发展变化的。新技术不断推陈出新，信息安全态势不断演变，需要不断地更新知识。经过十余年的积累，我们编撰了信息安全技术和信息安全保障两本书，这是在原版本系列教材基础上的全面修订，经过了三年试用和多次完善。与上版相比，修订后的教材具有以下三个特点。一是主线更清晰，内容更全面。信息安全技术增加了安全攻击与防

4、护、软件安全开发等章节。信息安全保障新增了信息安全管理基础、信息安全风险管理、信息安全等级保护等章节，进一步充实了信息安全法律、法规和标准体系等方面的内容。整套教材系统地阐述了当前我国信息安全保障体系的主要工作，以及各项工作涵盖的关键技术。二是知识进行了全面更新。在信息安全技术中，增加了云计算、物联网和工业控制系统等新领域的安全防护技术，以及主流安全管理平台、统一威胁管理系统、网络准入控制系统、Web应用安全防护产品的技术原理与应用。在信息安全保障中，信息安全战略、法律、法规、政策及标准更新截至2013年。本套教材全面体现了信息安全领域各方面的最新发展状况，与国外同类信息安全培训教

5、材知识体系总体保持同步。三是吸收了十余年来中国信息安全测评中心在漏洞分析与风险评估等领域的最新科研成果与工作积累，同时，汇聚了知名高校、科研院所、行业及产业信息安全专家的知识与经验。与国外同类信息安全培训教材相比，本套教材更加贴合我国信息安全保障的实际工作要求，技术理论、政策指导与实践应用相结合，满足国家对信息安全人才的深层次需求。本套教材以知识体系的全面性和实用性为原则，涵盖信息安全保障、技术、工程、管理、法律、法规及标准等领域知识，为信息安全管理与技术人员解决实际工作问题提供参考。本套教材主要面向国家部委、重要行业、科研院所及企事业单位的信息安全从业人员，适用于信息技术产品研发

6、测试、信息系统安全规划与建设运维、信息安全服务等方面的专业技术人员，以及信息安全总体规划、策略制度制定、风险评估和监督审计等方面的管理人员。本套教材在修订完善的过程中得到社会各界人士的关心与支持，特别是中国信息安全测评中心刘晖、郭涛、彭勇、张涛、班晓芳、姚轶崭、郭颖、戴忠华、任望、王庆、王星、邹静，上海信息安全工程技术研究中心谢安明，清华大学叶晓俊，北京交通大学李勇，中国科学院软件研究所苏璞睿，华东师范大学张雪芹，北京信息科技大学刘凯，北京江南天安科技有限公司陈冠直、胡杰，北京时代新威信息技术有限公司王连强，上海三零卫士信息安全有限公司邬敏华、陈锡军、陈长松，北京奇虎测腾科技有限公

7、司张，南京翰海源信息技术有限公司方兴，在此表示衷心的感谢。教材中不妥或错误之处恳请广大读者批评指正。第1章信息安全保障基础阅读提示本章主要介绍信息安全保障背景、概念与模型等方面的内容，使读者理解信息安全问题产生的根源，信息安全的内涵与外延，以及各个发展阶段的特点，了解P2DR、IATF等信息安全保障相关模型的基本思想和原理，掌握信息系统安全保障模型的保障目标、保障周期和保障要素。 1.1 信息安全保障背景进入20世纪下半叶，信息技术飞速发展，成为最活跃的生产力要素，促使生产模式发生重大变革，引发了全球信息化浪潮。这场信息化浪潮的特点是利用信息技术，开发信息资源，促进信息交流，

8、推动知识的传播与共享，加快了经济增长，从而推进社会发展转型。进入21世纪，经济全球化浪潮席卷各国，信息化成为经济全球化的倍增器，对经济发展、政府治理、社会变革、文化激荡、军事变革都起到了巨大的推动作用。随着信息化在国家发展中的重要性和地位的不断上升，信息安全事件不断增多，所造成的后果日益严重，信息安全逐渐得到国家重视。 1.1.1 信息安全的内涵和外延信息安全是一门涉及计算机科学、网络技术、通信技术和密码技术等多个领域的交叉学科，它关注信息系统在安全方面存在的问题和面临的威胁，贯穿于信息系统中信息生命周期的整个过程。 1.信息与信息安全信息是有意义的数据，同其他重要的商业资产一样，

9、是具有价值、需要适当保护的一种资产。信息可以以多种方式存在，可以打印或书写在纸张上，以电子文档或其他电子化形式存储及传播。信息及其所处环境如图1-1所示。如今信息已经成为组织的核心资产之一，保护信息安全需要从保护信息载体，乃至载体所处的环境着手。图1-1 信息及其所处环境在ISO/IEC127000信息安全管理体系概述和术语中，信息安全是指保持信息的保密性、完整性、可用性，有时也包括真实性、可核查性、不可否认性和可靠性等。信息安全的目标是保证信息的一系列安全属性得到保持、不被破坏，从而达到对组织业务运营能力的支撑作用。信息安全是一个广泛而抽象的概念，关注的是信息自身的安全。信息安全

10、的任务是保护信息资产（信息及信息系统）免受未经授权的访问使用、披露、破坏、修改、查看、记录及销毁。信息本身应具有的安全属性主要有3个方面。保密性：信息不泄露给未授权的访问者、实体和进程，或被其利用。完整性：信息在存储或者传输过程中保持未经授权不能改变的特性，即对抗主动攻击，保持数据一致，防止数据被非法用户修改和破坏。可用性：信息可被授权者访问并按需求使用的特性，即保证合法用户对信息和资源的使用不会被不合理地拒绝。信息的以上3个基本安全属性习惯上简称为CIA（Confidentiality-Integrity-Availability）。 2.特征与范畴与传统安全相比，信息安全有

11、4个鲜明特征：系统性、动态性、无边界性和非传统性。（1）信息安全是系统的安全信息安全问题是复杂的。信息化发展以巨大的力量推动着人类社会生存方式的重大变革，这一变革使我们面对前所未有的复杂环境：一个无所不在、全球互连互通的国际化网络空间，无数广域覆盖的、大规模复杂专用网络信息系统，品种多样的海量计算设备与信息处理终端。在这个“人-机”、“人-网”紧密结合的复杂系统中，某一分支或某一要害受到损害，均可能引发全局性的系统危机。从这个角度而言，我们不能孤立地从单一维度或者单个安全因素来看待信息安全，也不能将之视为单纯的技术问题或者管理问题，而是要系统地从技术、管理、工程和标准法规等各层面综

12、合保障信息安全。（2）信息安全是动态的安全信息安全问题具有变化性。首先，信息系统从规划设计，到集成实施，再到运营维护，最后到废弃，在整个生命周期中，信息系统面临着不同的安全问题，因此不能用固化的视角看待。其次，信息系统所面临的风险是动态变化的，新的漏洞和攻击手段都会对系统的安全状况产生影响。此外，云计算、物联网、大数据和移动互联网等新技术在带给人们便利的同时，也产生了各种新的威胁和安全风险。综上所述，对信息安全不能抱有一劳永逸的思想，而是应该根据风险的变化，在信息系统的整个生命周期中采取相应的安全措施来控制风险。信息安全的动态特性决定了信息安全问题与实践密切相关。信息安全已经从病

13、毒传播、黑客入侵、技术故障等局部性、个别性和偶发性的问题，逐步转变为网络犯罪、网络恐怖主义等全球性的普遍问题，成为攻守双方在高新技术领域内展开的一场激烈较量。（3）信息安全是无边界的安全互联网是一个全球互连互通的国际化网络空间。信息化的重要特点是开放性和互通性，信息关键基础设施都是广域覆盖的大规模复杂信息系统，与互联网通过各种方式连接，例如金融、税务、电子政务系统等。同时，各系统之间也逐步实现互连互通，这使得信息安全威胁超越了现实地域的限制。此外，互联网具有传播速度快、覆盖面广、隐蔽性强和无国界等特点，违法犯罪活动不断向互联网渗透，这对信息安全保障提出了更高的要求。（4）信息安

14、全是非传统的安全与军事安全、政治安全等传统安全相比，信息安全涉及的领域和影响范围十分广泛。如果信息安全得不到保障，虽然国家没有受到武力攻击，没有明确的敌对国家，领土和主权是完整的，但人们却感受到威胁的存在。传统维护安全的军事和治安手段无法应对信息安全问题，必须采用新方法来治理信息与互联网安全。第一，信息安全是一个技术问题，如设备故障、系统本身存在的安全漏洞、系统配置不合理和黑客攻击等。互联网时代信息分布在网络中，大数据技术使信息的收集和整理变得越来越便捷，个人及单位信息容易暴露在网络中，网络泄密、窃密等现象严重，有效的安全技术措施是保护信息安全最直接的手段。第二，信息安全是一个组

15、织管理问题。信息安全的最终目标是保障信息系统所承载业务的安全。业务的引入使信息安全不仅仅是技术问题，它是人、技术系统和组织内部环境等综合因素产生的问题。对于组织而言，一方面，信息化促进了组织的工作效率提高、业务处理流程改进和人力成本降低，有效提升了组织的竞争力和效益；另一方面，由于业务日益依赖信息技术，技术故障、网络攻击和违规操作等给业务带来的损失也日益突出，极端情况下所造成的信息丢失和破坏甚至可能影响到组织的生存与发展。有效的信息安全管理能弥补单纯技术手段的不足。第三，信息安全问题常常波及公众，社会影响面广。网络已经成为一种与报纸、电视等传统传媒共存的新兴传媒，并以其及时性、互动

16、性等特有的优点，发挥着其他传媒所不具备的作用。网络的这个特点，使得网络成为民情汇聚之处、舆论汇聚之处、网民沟通之处。网络对社会稳定起着放大器的作用。一方面，网络是问政于民的有效手段，另一方面，网络也会将社会热点事件的影响快速扩散放大，如不能及时有效应对，容易造成群体事件，影响社会稳定。网络的普及，对政府治理提出了更高的要求，通过网络舆论手段，弘扬健康网络文化，培养良好的网络环境，将有助于形成良好的社会道德风尚。第四，信息安全问题关系到社会稳定和国计民生，危及军事、经济等领域安全。当前关键基础设施广泛使用信息技术，尤其是交通运输、水利、供水、核设施、能源（包括电力、石油化工）和钢铁等工

17、业控制领域，信息技术成为提高生产效率的核心手段。这些关键基础设施的工业控制系统一旦遭受安全攻击，将给人们生产生活造成严重影响。此外，网络攻击也日益成为国家之间外交纠纷的来源。各国已将其作为国家安全的组成部分，建立危机处理机制，加强互联网管控，通过法律手段打击网络犯罪，从源头上遏制网络犯罪蔓延势头。 1 国际电工委员会（International Electrotechnical Commission，IEC）。 1.1.2 信息安全问题根源技术故障、黑客攻击、病毒和漏洞等原因都可以引发信息安全问题，信息安全问题产生的根源可以从内因和外因两个方面加以分析。内因是信息系统自身存在脆弱性

18、。信息系统过程、结构和应用环境的复杂性导致系统本身不可避免地存在脆弱性。换句话说，信息系统的脆弱性是一种客观存在。信息系统生命周期的各个阶段都可能引入安全缺陷。在需求分析和设计阶段，由于用户对安全重视不足，安全需求不明确，开发人员在设计过程中会优先考虑系统功能、易用性、代码大小和执行效率等因素，将安全放在次要位置。在实现阶段，尚未普遍使用软件安全开发工程，开发的软件存在安全缺陷。在使用和运行阶段，安全管理不到位，运维人员意识薄弱或能力不足，容易导致系统操作失误，或被恶意攻击。外因是信息系统面临着众多威胁。这些威胁包括人为因素和非人为因素（也称为环境因素）两大类。人为因素可以分为个人

19、威胁、组织威胁和国家威胁3个层面，根据掌握的资源，这3个层面所具备的威胁能力依次递增，如表1-1所示。非人为因素（如雷击、地震、火灾和洪水等自然灾害及极端天气）也容易引发信息安全问题。表1-1 外部威胁人为因素 1.1.3 信息技术与信息安全发展阶段日益增加的信息化需求，愈演愈烈的信息安全事件，使信息安全技术和管理的概念不断发展深化，驱动人们对信息安全的认识也逐步加深。从最初关注通信安全发展到目前关注信息系统基础设施的信息保障，信息安全伴随着信息技术的变化而不断发展。 1.信息技术发展阶段人类进行通信的历史悠久。早在远古时期，人们就开始通过简单的语言等方式交换信息。随着文字的诞生，

20、几千年来，书信一直是人们远程通信的主要手段。19世纪中叶以后，随着电磁技术的发展，诞生了电报和电话，人类通信手段有了飞跃，开始进入新时代。1837年，美国人摩尔斯（Morse）发明了电报机，将信息转换成电脉冲传向目的地，到达目的地后再转换为原来的信息，从而实现了长途电报通信。1875年，贝尔发明了电话机。他于1878年在相距300公里的波士顿和纽约之间进行了首次长途电话实验，获得了成功。1906年，美国物理学家费森登成功地研究出无线电广播。法国人克拉维尔建立了英法第一条商用无线电线路，推动了无线电技术的进一步发展。进入20世纪，尤其是在第二次世界大战时期，军事和外交方面的巨大需求，使

21、得无线通信技术得到飞速发展，用于传递军事情报、作战指令和外交政策等各种关键信息。 20世纪发明的计算机，极大地改变了信息处理方式和效率，信息技术从此进入计算机阶段。1946年，美国研制出电子数字积分计算机（Electronic Numerical Integrator And Computer，ENIAC），标志着数字电子计算机的诞生。ENIAC重30吨，用了18000个电子管。计算机经历了电子管、晶体管、集成电路（Integrated Circuit，IC）等阶段。20世纪70年代，随着个人计算机的普及，人们开始使用计算机处理各种业务。计算机在处理、存储信息数据等方面应用越来越广泛。

22、计算机网络，尤其是互联网的出现，是信息技术发展历程中的一个里程碑事件，它将通信技术和计算机技术结合起来。在网络阶段，安全需求的核心是实现信息资产生成、处理、传输和存储等各阶段的保密性、完整性和可用性。随着网络的普及，人们的工作、生活和学习已经越来越离不开网络，国家的经济发展和社会治理也都依赖网络。“网络空间”（Syberspace）成为与现实社会相对应的虚拟社会，进入网络化社会阶段，这个阶段的特征是各行业、各组织的业务越来越依赖于网络。信息技术的发展，对个人、组织、经济发展、社会稳定和国家安全都产生了巨大影响。 2.信息安全发展阶段人们对信息技术各个发展阶段涌现出的信息安全问题进行

23、了探索与研究，以对抗各个阶段的威胁。信息安全的发展经历了通信安全（Communication Security，COMSEC）、计算机安全（Computer Security，COMPUSEC）、信息系统安全（Information Systems Security，INFOSEC）和信息安全保障（Information Assurance，IA）4个阶段。在通信安全阶段，信息安全主要面临的威胁是攻击者对通信内容的窃取。有线通信容易被搭线窃听，无线传播由于电磁波在空间传播易被监听。这使得保密成为通信安全阶段的核心安全需求。因此，这一阶段主要是通过密码技术加密通信内容，保证数据的保密性

24、和完整性。进入20世纪70年代，美国国家标准局（National Bureau of Standards，NBS）公布了数据加密标准（Data Encryption Standard，DES），标志着信息安全由通信保密阶段进入计算机安全阶段。这个时期，计算机网络尚未大规模普及。计算机阶段的主要威胁来自非授权用户对计算资源的非法使用，以及对信息的非授权修改和破坏。计算机安全的主要目的是确保信息系统的保密性、完整性和可用性，典型的安全措施是通过操作系统的访问控制技术来防止非授权用户的访问。1985 年，美国国防部（Department of Defense，DoD）发布可信计算机系统评估准则

25、（Trusted Computer System Evaluation Criteria，TCSEC），将操作系统安全分级。后来，安全方面的评估准则发展为彩虹系列。信息系统安全也称网络安全，主要是保护信息在存储、处理和传输过程中免受非授权访问，防止授权用户遭受拒绝服务，同时检测、记录和对抗此类威胁。为了抵御这些威胁，人们开始使用防火墙、防病毒工具、公钥基础设施（Public Key Infrastructure，PKI）和虚拟专用网（Virtual Private Network，VPN）等安全产品。此阶段的主要标志是发布了信息技术安全性评估通用准则，此准则即通常所说的通用准则（Comm

26、on Criteria，CC），后转变为国际标准ISO/IEC 15408。我国等同采纳此国际标准为国家标准GB/T 18336。 1996年美国国防部第5-3600.1号指令（DoDD 5-3600.1）第一次提出了信息安全保障（也称“信息保障”）的概念。当信息化从网络阶段进入网络空间阶段后，信息安全威胁来源从个人上升到犯罪组织，甚至国家力量。在这个阶段，人们认识到信息安全保障不能仅仅依赖于技术措施，开始意识到管理的重要性和信息系统的动态发展性，信息安全保障的概念逐渐形成和成熟。信息安全保障把信息安全从技术扩展到管理，从静态扩展到动态，通过技术、管理和工程等措施的综合融合，形成对信息

27、、信息系统乃至业务使命的保障。信息安全每个阶段所面临的典型威胁不断发生变化，每个阶段所采取的安全措施也有所不同，如表1-2所示。表1-2 信息安全发展各阶段进入21世纪后，尤其是从2008年起，在美国带动下，世界各国信息安全政策、技术和实践发生明显变革，纷纷将网络安全问题上升到国家安全的高度。2008年1月，美国发布国家网络安全综合倡议（Comprehensive National Cybersecurity Initiative，CNCI），号称网络安全“曼哈顿项目”，提出网络威慑概念。2009年5月29日美国发布网络空间政策评估：确保信息和通讯系统的可靠性和韧性报告。与信息安全

28、保障相比，新的发展趋势是强调“威慑”概念，将防御、威慑和利用结合成三位一体的信息安全保障/网络空间安全（Information Security/Cyberspace Security，IA/CS）。 1.2 信息安全保障概念与模型信息技术发展到网络化社会阶段，信息安全作为一个日益重要而尖锐的问题，涉及面越来越宽，众多因素和变量均处于“不确定”状态，在这种情况下只能维持一种动态、可控的安全状态，信息安全保障就是这样一种安全理念。 1.2.1 信息安全保障概念为了满足现代信息系统和应用的安全保障需求，除了防止信息泄露、修改和破坏，还应当检测入侵行为；计划和部署针对入侵行为的防御措施；同

29、时，采用安全措施和容错机制，在遭受攻击的情况下，保证机密性、私密性、完整性、抗抵赖性、真实性、可用性和可靠性；修复信息和信息系统所遭受的破坏。这被称作“信息安全保障”，它能够不受安全威胁的影响，在分布式和不同种类计算和通信环境中，传递可信、正确、及时的信息。通过保证信息和信息系统的可用性、完整性、保密性及抗抵赖性来保护信息和信息系统，包括通过综合保护、检测和响应等能力为信息系统提供修复。同传统的信息安全和信息系统安全的概念比较，不难看出信息安全保障的概念更加广泛。首先，传统信息安全的重点是保护和防御，而信息安全保障的概念是保护、检测和响应的综合。其次，传统信息安全的概念不太关注检测和

30、响应，但是信息安全保障非常关注这两点。再次，攻击后的修复不在传统信息安全概念的范围之内，但是它是信息安全保障的重要组成部分。最后，传统信息安全的目的是为了防止攻击的发生，而信息安全保障的目的是为了保证当有攻击发生时，信息系统始终能保证维持特定水平的可用性、完整性、真实性、机密性和抗抵赖性。毋庸置疑，信息安全保障包含许多学科，有多种方面，如策略、法规、道德、管理、评估和技术。同传统的信息安全实践相比，信息安全保障不仅包含设计和改进各种新安全技术，还包括多种应急策略、法规、道德、社会、经济、管理、评估和保障问题，信息安全保障加快了人们对信息安全实践的步伐。 1.2.2 信息安全保障相关

31、模型信息安全保障相关模型能准确描述安全的重要方面与系统行为的关系，提高对成功实现关键安全需求的理解层次，“计划- 执行-检查-改进”（Plan Do Check Act，PDCA）模型和信息保障技术框架是信息安全管理和信息安全保障技术实施过程遵循的方法和思想。 1.P2DR模型防护-检测-响应（Protection Detection Response，PDR）模型的基本思想是承认信息系统中存在漏洞，正视系统面临的威胁，通过适度防护并加强检测，落实安全事件响应，建立威胁源威慑，保障系统安全。该模型认为，任何安全防护措施都是基于时间的，超过该时间段，这种防护措施就可能被攻破。该模型给出

32、了信息系统攻防时间表，攻击时间指的是系统采取某种防守措施，使用不同的攻击手段攻破该防守措施所需要的时间。防守时间指的是对于某种固定攻击采取不同的安全防护措施，该防护措施所能坚守的时间。PDR模型直观、实用，但对系统的安全隐患和安全措施采取相对固定的假设前提，难以适应网络安全环境的快速变化。在PDR模型基础上，增加策略要素便形成了“策略-防护-检测-响应”（Policy Protection Detection Response，P2DR/PPDR）模型，即“策略-防护-检测-响应”。该模型的核心是信息系统所有防护、检测和响应都是依据安全策略实施的，如图1-2所示。图1-2 P2DR

33、模型在P2DR模型中，策略指信息系统的安全策略，包括访问控制、加密通信、身份认证和备份恢复等，策略体系的建立包括安全策略的制订、评估与执行等。防护指通过部署和采用安全技术来提高信息系统的防护能力，如访问控制、防火墙、入侵检测、加密和身份认证等技术。检测指利用信息安全检测工具，监视、分析、审计网络活动，了解信息系统的安全状态。检测使安全从被动防护演进为主动防御，体现了模型的动态性，主要方法包括实时监控、检测和报警等。响应指检测到安全漏洞和事件时，及时通过响应措施将信息系统的安全性调整到风险最低的状态，其主要方法包括关闭服务、跟踪反击、消除影响、启动备份系统，以及恢复系统功能和数据等。

34、在P2DR模型中，可以将各个环节所需时间与防护时间相比较，判断信息系统在面临各种威胁时是否安全。假设系统S的防护、检测和响应时间分别是Pt、Dt和Rt，系统被对手成功攻击后的暴露时间为Et，那么可以根据下面两个关系式来判断系统S是否安全：如果PtDtRt，那么S是安全的；如果PtDtRt，那么Et（DtRt）-Pt。 P2DR模型的核心思想是：在统一安全策略的控制下，综合运用防护工具，使用检测工具检测、评估系统的安全状态，及时通过响应措施将系统调整到安全风险最低的状态。与PDR模型相比，P2DR模型更突出控制和对抗，即强调系统安全的动态性，并且以安全检测、漏洞监测和自适应填充“安

35、全间隙”为循环来提高网络安全。P2DR模型还考虑了管理因素，强调安全管理的持续性，关注检测的重要性，通过实时监视网络活动，发现威胁和弱点来修补安全漏洞。目前，P2DR模型又有了新的发展，形成“策略-防护-检测-响应-恢复”（Policy Protection Detection Response Recovery，P2DR2/PPDRR）模型。P2DR2是一种动态的、自适应的安全处理模型。在进行风险处理时可参考此模型，以适应安全风险和安全需求的不断变化，提供持续的安全保障。PPDRR模型包括策略、防护、检测、响应和恢复5个主要部分，防护、检测、响应和恢复构成一个完整的、动态的安全循环

36、，在安全策略的指导下共同实现安全保障。不同等级的信息系统的安全保护要求不同，因而可采用不同的风险处理模型。对于安全保护等级为4及以上的信息系统，建议采用PPDRR，安全保护等级为3的信息系统，建议参考PPDRR模型，安全保护等级为2及以下的信息系统，可不做要求。风险处理的需求来自机构信息系统的安全要求和风险评估结果。针对不同的风险处理需求，应采取不同的风险处理措施。表 1-3根据PPDRR模型列出了主要的风险处理需求及其相应的风险处理措施。表1-3 主要的风险处理需求及其相应的风险处理措施 2.信息安全保障技术框架信息安全保障技术框架（Information Assurance Te

37、chnical Framework，IATF）由美国国家安全局（National Security Agency，NSA）发布，最初是为美国政府和工业信息基础设施提供安全保障的技术指南。IATF提出了深度防御的战略思想，首先，人、技术和操作（也称“运行维护”）是深度防御的3个主要层面，即讨论人在技术支持下运行维护的信息安全保障问题，这三者之间的关系如图1-3所示，深度防御措施如表1-4所示；其次，在技术上深度防御战略将信息系统的安全保护解构为保护计算环境、保护区域边界、保护网络和基础设施，以及支持性基础设施建设4个方面，并描述了这4个方面分层多点的技术安全保障方案。图1-3 深度防御

38、战略层面表1-4 深度防御人、技术、操作在IATF深度防御战略中，人、技术和操作3个层面强调技术，并提供一个框架进行多层保护，以此防范信息系统面临的各种威胁，该方法使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。 IATF深度防御战略的基本原理是采用层次化保护策略，但不意味着需要在网络体系结构的各个可能位置实现信息安全保障机制，通过在主要位置实现适当的保护级别，便能够依据需要实现有效保护。另外，分层策略允许在适当的时候采用低安全级的保障解决方案，降低信息安全保障成本，同时也允许在关键位置（例如区域边界）使用高安全级保障解决方案，确保系统的安全性。 IATF通过一个通用框

39、架，对复杂信息系统进行解构和描述，然后再以此框架讨论信息系统的安全保护问题。IATF将信息系统的安全保障技术分为以下4部分：本地的计算环境、区域边界（本地计算环境的外缘）、网络和基础设施，以及支撑性基础设施，如图1-4所示。在深度防御技术方案中使用多点防御和分层防御原则。（1）多点防御由于对手可以从内部或外部多点攻击一个目标，必须在多点应用防护机制以抵御攻击。最低限度，需要防护以下3类“焦点区域”：网络和基础设施、区域边界，以及计算环境。图1-4 信息安全保障技术框架范围 1）对网络和基础设施的保护包括：保护本地和广域网络以抵抗拒绝服务攻击（Denial of Service，Do

40、S），确保网络的可用性；对网络上传送的数据提供机密性保护，用加密和信息流安全手段对抗被动监听，防止用户信息流和网络基础设施控制信息被监听和泄露；对网络上传送的数据提供完整性保护，防止数据篡改、伪造和重放攻击，以及由于环境因素（如电磁干扰等）引起的数据突变。 2）对区域边界的保护包括：在区域边界处部署防火墙和入侵检测系统（Intrusion Detection System，IDS）等安全设备，抵抗和检测网络主动攻击，保证物理和逻辑边界能受到适当的保护；保证区域间交换的数据或通过远程访问交换的数据能够受到保护，避免不适当的泄露；对那些由于技术或配置问题不能保护自己区域内信息的系统提供边

41、界保护；对流过区域边界的重要信息进行风险评估以确定相应的保护措施；对可能破坏内部区域的外部系统或力量进行防范；对从区域外进行访问的用户进行强身份认证。对计算环境的保护包括：提供对客户机和服务器的访问控制以便抵抗来自内部人员的各种攻击和破坏，保证客户机、服务器以及应用系统能够抵抗拒绝服务攻击，防止客户机、服务器和应用系统的非授权使用，保证数据免遭非授权泄露和篡改；保证对客户机和服务器的操作遵循配置指南并及时安装所有适用的补丁；维持所有客户机和服务器的配置管理，对所有变更进行管理和控制。（2）分层防御在敌手和它的目标之间配备多种安全机制，每种机制都应包括保护和检测两种手段，这些手段

42、增加了敌手被检测出来的几率，减少了他们成功攻击或渗透的机会。在网络外部和内部边界部署嵌套防火墙（与入侵检测结合）是分层防御的典型实例，其中内部防火墙支持更细粒度的访问控制和数据过滤。表1-5列出了常见攻击类型的分层防御方法。这种分层防御机制提高了安全防护的坚固性，加大了攻击成功的难度，延长了有效防护时间，能显著提升信息安全保障能力。表1-5 分层防御示例 1.3 信息系统安全保障概念与模型满足不同需求具有各种功能的信息系统是信息化社会构成的基础，信息系统安全是确保信息系统结构与相关元素的安全，以及与此相关的各种安全技术、安全服务和安全管理的总和。与信息安全相比，信息系统安全更具有体

43、系性、可设计性、可实现性和可操作性。 1.3.1 信息系统安全保障概念信息系统安全保障是在信息系统的整个生命周期中，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。 1.信息系统信息系统是具有集成性的系统，每一个组织中信息流动的总和都构成了一个信息系统。可以认为，信息系统是根据一定的需要来进行输入、系统控制、数据处理、数据存储与输出等活动所涉及的所有因素的综合体，如图1-5所示。现代信息系统是以计算机为基础，包括人员、硬件、软件、数据4种基本资源。图1-5 信息系统人员包括系统用户

44、和系统专业人员。系统用户是信息系统的使用者，他们是利用信息系统或通过它产生信息的人；系统专业人员包括系统分析人员、程序编写人员与系统操作人员。系统分析人员根据用户的信息需求设计对应的信息系统；程序编写人员根据分析人员的说明书准备计算机程序；系统操作人员主要负责对信息系统的操作。硬件资源包括计算机系统和载体。计算机系统包括中央处理器及其相关的外部设备，如图像监控、磁盘驱动器、打印机和扫描仪等；载体包括数据资源的存储介质材料，如硬盘、磁带和光盘等。软件资源包括所有信息处理调用的指令，包括指示和控制计算机硬件的操作性指令（程序）和信息处理中使用的过程指令。程序包括操作系统程序、电子表格程

45、序、文字处理程序等。过程包括数据输入流程、错误改正流程、数据传送流程等。数据资源包括：由数字、字母以及其他字符组成，描述组织活动和其他事情的字母数字型数据；句子与段落组成的文本数据；图形和图表形式的图像数据；记录人与其他声音的音频数据。满足不同需求的、具有各种功能的信息系统构成了信息化社会的基础，它提高了社会各个行业和部门的生产和管理效率，方便了人类的日常生活，推动了社会的发展前进。 2.信息系统安全保障信息系统处于不断变化的过程，在任何一个时间点上，系统安全状态与其过去的历史密切相关，过去决定现在。因此，信息系统安全保障是与信息系统的规划、设计、实现和运行等生命周期密切相关的。这

46、些活动包括覆盖系统全生命周期的管理活动，系统从无到有的工程活动，系统从概念到设计的架构活动等。图1-6说明信息系统安全保障中相关概念之间的关系。图1-6 信息系统安全保障相关概念和关系（1）风险信息安全风险产生的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境中存在具有特定威胁动机的威胁源，通过使用各种攻击方法，利用信息系统的各种脆弱性，对信息系统造成一定的不良影响，由此引发信息安全问题和事件。（2）保障信息安全保障就是针对信息系统在运行环境中所面临的各种风险，制定信息安全保障策略，在策略指导下，设计并实现信息安全保障架构或模型，采取技术、管理等安全保

47、障措施，将风险控制到可接受的范围和程度，从而实现其业务使命。（3）使命描述了信息系统在设计、执行、测试、运行、维护、废弃整个生命周期中运行的需求和目标。信息系统的使命与其安全保障密不可分，需要通过信息系统安全措施来保障目标的正确执行。随着信息系统面临的威胁及运行环境的变化，安全保障也需要提供相应的保障措施，从而保障信息系统的正确运行。风险管理是信息安全保障工作的基本方法。信息安全保障应当以风险管理为基础，针对可能存在的各种威胁和自身弱点，采取有针对性的防范措施。信息安全不是追求绝对的安全，追求的是可管控的安全风险。最适宜的信息安全策略就是最优的风险管理对策，这是一个在有限资源前提

48、下的最优选择问题。信息系统防范措施不足会造成直接损失，会影响业务系统的正常运行，也会造成不良影响和损失。也就是说，信息安全保障的问题就是安全的效用问题，要从经济、技术、管理的可行性和有效性上做出权衡和取舍。 1.3.2 信息系统安全保障模型在国家标准信息系统安全保障评估框架第一部分：简介和一般模型（GB/T 20274.12006）中描述了信息系统安全保障模型，该模型包含保障要素、生命周期和安全特征3个方面，如图1-7所示。图1-7 信息系统安全保障模型其中，安全特征是指信息系统是信息产生、传输、存储和处理的载体，信息系统保障的基本目标就是保证其所创建、传输、存储和处理信息的保密

49、性、完整性和可用性；生命周期是指信息系统安全保障应贯穿信息系统的整个生命周期，包括规划组织、开发采购、实施交付、运行维护和废弃5个阶段，以获得信息系统安全保障能力的持续性；保障要素是指信息系统安全保障需要从技术、工程、管理和人员4个领域进行综合保障，由合格的信息安全专业人员，使用合格的信息安全技术和产品，通过规范、可持续性改进的工程过程能力和管理能力进行建设及运行维护，保障信息系统安全。由图1-7可以看出，该信息系统安全保障模型将风险和策略作为信息系统安全保障的基础和核心。首先，强调信息系统安全保障持续发展的动态安全模型，即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程；其次，强调综合保障的观念，信息系统的安全保障是通过综合技术、管理、工程与人员的安全保障来实施和实现信息系统的安全保障目标，通过对信息系统的技术、管理、工程和人员的评估，提供对信息系统安全保障的信心；第三，以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征，达到保障组织机构执行其使命的根本目的。在这个模型中，更强调信息系统所处的运行环境、信息系统的生命周期和信息系统安全保障的概念。信息系统生命周期有各

展开阅读全文