安全空間

? ? ? ?信息安全保障系統(tǒng)是一個(gè)在網(wǎng)絡(luò)上，集成各種硬件、軟件和密碼設(shè)備，以保障其他業(yè)務(wù)應(yīng)用信息系統(tǒng)正常運(yùn)行的專用的信息應(yīng)用系統(tǒng)，以及與之相關(guān)的崗位、人員、策略、制度和規(guī)程的總和。

? ? ? ? 從國(guó)外發(fā)展來看，積極打造以PKI/CA為核心的業(yè)務(wù)應(yīng)用信息系統(tǒng)，使得PKI/CA不僅從技術(shù)發(fā)展越來越完善，實(shí)用化的程度也越來越廣泛。而國(guó)際上知名的系統(tǒng)硬件和系統(tǒng)軟件廠商，都在積極推出一代又一代支持PKI/CA及其應(yīng)用規(guī)范的產(chǎn)品，更為這一發(fā)展趨勢(shì)注入動(dòng)力。比如微軟從WIN2000就開始支持PKI/CA；ORACLE從8i版本就開始支持PKI/CA；CA公司積極打造支持PKI/CA的身份認(rèn)證體統(tǒng)和業(yè)務(wù)運(yùn)行管理系統(tǒng)。

? ? ? ? 而國(guó)內(nèi)發(fā)展卻恰恰相反，基本上業(yè)務(wù)應(yīng)用信息系統(tǒng)都處于MIS+S的階段，基于PKI/CA開發(fā)的業(yè)務(wù)應(yīng)用信息系統(tǒng)可以說是鳳毛麟角，實(shí)用化信息安全保障系統(tǒng)發(fā)展緩慢，大大影響業(yè)務(wù)應(yīng)用信息系統(tǒng)的蓬勃發(fā)展，對(duì)當(dāng)前迅猛的電子政務(wù)、電子商務(wù)的發(fā)展來說，信息安全問題成為其向前發(fā)展的一大瓶頸。

1、“安全空間”

? ? ? ? 如上圖：X、Y、Z三個(gè)軸形成空間就是信息系統(tǒng)的“安全空間”，這個(gè)空間具有五個(gè)要素：認(rèn)證、權(quán)限、完整、加密和不可否認(rèn)。顯然，每個(gè)“軸”上的內(nèi)容越豐富，越深入，越科學(xué)，“安全空間”就越大，安全性越好。

Y軸：OSI（開放式系統(tǒng)互連）網(wǎng)絡(luò)參考模型；

X軸：安全機(jī)制：

第一層：基礎(chǔ)設(shè)施實(shí)體安全：機(jī)房安全、設(shè)施安全、動(dòng)力系統(tǒng)安全、災(zāi)難預(yù)防與恢復(fù)；

第二層：平臺(tái)安全：操作系統(tǒng)、網(wǎng)絡(luò)設(shè)施、應(yīng)用程序、安全產(chǎn)品；

第三層：數(shù)據(jù)安全：介質(zhì)和載體安全、數(shù)據(jù)訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)監(jiān)控和審計(jì)、數(shù)據(jù)存儲(chǔ)和備份；

第四層：通信安全：

包括：

⊙通信線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性測(cè)試與優(yōu)化；

⊙安裝網(wǎng)絡(luò)機(jī)密設(shè)施；

⊙設(shè)置通信加密軟件；

⊙設(shè)置身份鑒別機(jī)制；

⊙設(shè)置并測(cè)試安全通道；

⊙測(cè)試各項(xiàng)網(wǎng)絡(luò)協(xié)議運(yùn)行漏洞；

第五層：應(yīng)用安全：安全性測(cè)試、防抵賴測(cè)試、安全驗(yàn)證測(cè)試、身份鑒別測(cè)試、恢復(fù)機(jī)制檢查、保密性測(cè)試、可靠性測(cè)試、可用性測(cè)試；

第六層：運(yùn)行安全：

包括：

⊙應(yīng)急處置機(jī)制和配套服務(wù)；

⊙網(wǎng)絡(luò)系統(tǒng)安全性檢測(cè)；

⊙網(wǎng)絡(luò)安全產(chǎn)品運(yùn)行檢測(cè)；

⊙定期檢查和評(píng)估；

⊙系統(tǒng)升級(jí)和補(bǔ)丁提供；

⊙跟蹤最新安全漏洞及通報(bào)；

⊙災(zāi)難恢復(fù)機(jī)制與預(yù)防；

⊙系統(tǒng)改造管理；

⊙網(wǎng)絡(luò)安全專業(yè)技術(shù)咨詢服務(wù)；

第七層：管理安全：

包括：人員管理、培訓(xùn)管理、應(yīng)用系統(tǒng)管理，軟件管理，設(shè)備管理，文檔管理，文檔管理、數(shù)據(jù)管理、操作管理、運(yùn)行管理、機(jī)房管理；

第八層：授權(quán)和審計(jì)安全：

授權(quán)安全是指：以向用戶和應(yīng)用程序提供權(quán)限管理和授權(quán)服務(wù)為目標(biāo)，主要負(fù)責(zé)向業(yè)務(wù)應(yīng)用系統(tǒng)提供授權(quán)服務(wù)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能，實(shí)現(xiàn)與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的訪問機(jī)制。

審計(jì)安全是指：

⊙監(jiān)控網(wǎng)絡(luò)內(nèi)部的用戶活動(dòng)；

⊙偵察系統(tǒng)中存在的潛在威脅；

⊙對(duì)日常運(yùn)行狀況的統(tǒng)計(jì)和分析；

⊙對(duì)突發(fā)案件和異常事件的事后分析；

⊙輔助偵破和取正；

安全審計(jì)是信息安全系統(tǒng)必須支持的功能特性。

第九層：安全防范體系：

核心：實(shí)現(xiàn)企業(yè)信息安全資源的綜合管理，即EISRM

六項(xiàng)能力：預(yù)警、保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)和反擊；

WPDRRC能力模型：從人員、技術(shù)和政策三大要素來構(gòu)成宏觀的信息網(wǎng)絡(luò)安全保障體系結(jié)構(gòu)的框架；

Z軸：安全服務(wù)：

⊙對(duì)等實(shí)體認(rèn)證服務(wù)；

⊙數(shù)據(jù)保密服務(wù)；

⊙數(shù)據(jù)完整性服務(wù)；

⊙數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)；

⊙禁止否認(rèn)服務(wù)；

⊙犯罪證據(jù)提供服務(wù)；

當(dāng)今常用的安全技術(shù)：

1、加密技術(shù)：加密是確保數(shù)據(jù)安全性的基本方法；

2、數(shù)字簽名技術(shù)：數(shù)字簽名是確保數(shù)據(jù)真實(shí)性的基本方法；

3、訪問控制技術(shù)：訪問控制按照事先確定的規(guī)則決定主體對(duì)客體的訪問是否合法。

4、數(shù)據(jù)完整性技術(shù)：包括數(shù)據(jù)單元的完整性和數(shù)據(jù)單元序列的完整性；

5、認(rèn)證技術(shù)：主要有站點(diǎn)認(rèn)證、報(bào)文認(rèn)證、用戶和進(jìn)程認(rèn)證等；多數(shù)認(rèn)證過程采用密碼技術(shù)和數(shù)字簽名技術(shù)。

6、數(shù)據(jù)挖掘技術(shù)：數(shù)據(jù)挖掘技術(shù)是及早發(fā)現(xiàn)隱患、將犯罪扼殺在萌芽階段并及時(shí)修補(bǔ)不健全的安全防范體系的重要技術(shù)。

2、信息安全保障系統(tǒng)的三種不同系統(tǒng)架構(gòu)：

1）MIS+S系統(tǒng)架構(gòu)：初級(jí)信息安全保障系統(tǒng)；

特點(diǎn)：

⊙業(yè)務(wù)應(yīng)用系統(tǒng)基本不變；

⊙硬件和系統(tǒng)軟件通用；

⊙安全設(shè)備基本不帶密碼；

2）S-MIS系統(tǒng)架構(gòu)：標(biāo)準(zhǔn)信息安全保障系統(tǒng)；

特點(diǎn)：

⊙硬件和系統(tǒng)軟件通用；

⊙PKI/CA安全保障系統(tǒng)必須帶密碼；

⊙業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變；

⊙主要的通用的硬件、軟件也要通過PKI/CA認(rèn)證；

3）S2-MIS系統(tǒng)架構(gòu)：超安全的信息安全保障系統(tǒng)；

⊙意見和系統(tǒng)軟件都專用；

⊙PKI/CA安全基礎(chǔ)設(shè)施必須帶密碼；

⊙業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變；

⊙主要的硬件和系統(tǒng)軟件需要PKI/CA認(rèn)證。

? ? ? ? 因此，保障我們的信息安全，才能更好的保障我們的“無形資產(chǎn)”！

打卡