安全体系建设方案.docx
《安全体系建设方案.docx》由会员分享,可在线阅读,更多相关《安全体系建设方案.docx(14页珍藏版)》请在冰豆网上搜索。
安全体系建设方案
1安全体系
根据《数字XX发展纲要》及《XX行业信息化标准体系》,XX行业人力资源系统将依托XX行业信息安全体系设计,采用身份认证技术及对各种应用服务的安全性增强配置服务来保障系统在应用层的安全。
1.1建设原则
XX行业人力资源系统安全保障体系涉及到整个工程的各个层次,网络和信息安全的建设应该遵循以下原则:
1.整体安全
信息化是一个复杂的工程,必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和业务应用系统提供全方位的安全服务。
2.有效管理
网络信息系统所提供的各种安全服务,涉及到各个层次、多个实体和各种安全技术,只有有效的安全管理(如密钥定期更新、防火墙监控、审计日志的分析等),才能保证这些安全控制机制真正有效地发挥作用。
3.合理折衷
在系统建设中,安全与投资、系统性能、易用性、管理的复杂性都是矛盾的,安全保障体系的建设应该在以上四个方面找到一个合理的折衷点,在可接受的风险范围内,以最小的投资换取最大的安全性,同时不因使用和管理的复杂而影响整个系统的快速反应和高效运行的总体目标。
4.适应一致
安全管理模式应该尽量与行业核心需求相一致,既要保证行业上下级之间的统一领导、统一管理,同时乂给基层单位以足够的灵活性,以保障业务系统的高效运行。
5.权责分明
一方面,XX行业的各级系统可以分为三层:
信息网络、计算机系统和应用系统;另一方面,网络和应用系统都有国家、省、市等的分级结构。
因此,应釆用分层、分级管理的模式,各级网络管理中心负责网络的安全可靠运行,为应用信息系统提供安全可靠的网络服务,各级信息中心负责计算机系统和应用系统的安全管理。
6.综合治理
各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合,从社会系统工程的角度综合考虑。
1.2身份认证和授权
1.2.1公开密钥基础设施(PKD
公钥基础设施对于实现电子的或网上的业务处理,使电子政府达到其成熟阶段具有不可或缺的,极为重要的意义。
同时,公钥基础设施也是信息时代所有社会经济活动中所不可缺少的一项基础设施。
公钥基础设施是由硬件、软件、各种产品、过程、标准和人构成的一个一体化的结构,正是由于它的存在,才能在电子事务处理中建立信任和信心。
公钥基础设施可以做到:
确认发送方的身份
保证发送方所发信息的机密性
保证发送方所发信息不被篡改
发送方无法否认已发该信息的事实
公开密钥基础设施(PKl)是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。
PKl必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKl也将围绕着这五大系统来构建。
公开密钥基础设施建设为各种应用系统提供统一的安全服务。
有了PKI系统的支持,才可能广泛使用安全通信协议(如SSL等),才能为多种应用提供统一的认证、数据保密与完整性、数字签名等多种安全服务。
在大规模、分布式网络环境中,利用公钥密码体制在认证、数字签名和密钥管理等多方面的优势,可以提供统一的认证、授权、数字签名、抗抵赖等机制,保证不同安全管理域之间的各种安全技术的互操作性和可扩展性,为大规模公开密钥技术的使用提供了可能。
基于PKI的通信涉及到四种实体:
用户、应用或服务、CA和LJ录服务器。
证书中存放持有者(用户或服务器)的标识信息、公钥、证书的有效期、签发者的数字签名等信息。
证书的签发者是网络通信中可信的第三方,称为CertifiCateAUthOrity(CA)OIJ录服务一般用于发布证书,支持证书的在线检索和管理。
在XX行业人力资源系统安全体系中,涉及到三种类型的证书:
用户证书、服务器证书、CA证书。
用户主要包括管理人员及业务人员,还可以包括其他需要使用本系统的用户。
CA证书是CA本身的证书,最高层CA自签名产生,其他的则由上一级CA签名。
用户和应用服务器用CA的证书来验证该CA所签发证书的有效性。
1.2.2证书管理
公钥证书用来标识用户和服务的身份并验证其真实性,证书的管理工作涉及以下儿个方面:
1.证书的产生
认证中心根据用户(下级认证中心、本管理域的个人或服务器)的申请,填写用户信息,产生密钥对,用CA的私钥进行数字签名,生成公钥证书。
用户的私钥以软盘或IC卡的形式交给用户,并且用口令保护。
2.证书分发
认证中心签发的证书通过□录服务器向整个XX信息网络发布。
用户程序和服务器间通信是可以从Ll录服务器检索到对方的公钥,验证对方的数字签名。
3.证书回收
证书在有效期满自动作废。
证书回收是指在证书到期之前,使证书作废。
证书回收发生在以下三种情况:
(1)怀疑该证书对应的私钥已经被截获,变得不可靠。
(2)证书的持有者不再是本管理域内的授权用户,如人员退休、离职。
(3)证书中的有些内容需要修改。
Ll前证书回收普遍使用的方法是离线(Off-Iine)方式,CA定期通过H录服务器发布证书回收链表(CRL)。
在Ll录服务器之间象证书一样向整个系统通告。
山于证书回收链表有CA数字签名,是不可伪造和篡改的。
1.2.3CA系统
作为信息安全系统的应用基础,CA认证和PKl能够保证以下的安全特性:
1.保密性(Confidentiality):
保密性是信息的拥有者有权保持数据的秘密性,只有被授权者才可获知该信息。
2.完整性(Integrity):
是程序和数据的存在状态应该与它们原来的存在状态相同,信息不能被非法修改,无论这种修改是偶然无意的还是蓄谋恶意的,完整性反映了信息的精确度和可靠性。
3.防抵赖性:
防I匕通信发起者以后否认曾经参与过某次通信的一部分或全部过程。
对参与通信的各方进行审查,鉴定是否曾参与过某次通信过程。
PKl主要是为安全电子邮件系统、安全公文流转系统以及安全拨号系统提供安全支撑。
考虑到具体的用户需求,同时也考虑到系统建设的时间要求及现有条件,本着安全可用的观点,必须具有灵活性和可扩展性。
在整个网络中,CA系统是构建整个安全应用系统的核心。
CA系统由XX行业安全系统统一建设。
在安全系统中,两个实体之间的互操作必须建立在他们之间相互信任的基础之上,而CA系统就是构建这种信任的基石。
双方通过一个信任的独立的笫三方A建立起信任关系。
CA系统是作为一个公正的、独立的第三方,来提供身份验证服务。
它平等的的对待每一个用户,它根据用户的真实身份颁布证书、对应的私钥(对应用户妥善保管,谨防泄露),同时提供更新、作废证书、证书查询下载等功能。
这种信任关系的建立有以下的优点:
•身份识别标志的统一
由于在一个大规模的网络应用系统中,存在多个应用程序,同一用户在不同的应用中,可能有不同的用户名、口令,以及验证方式。
这种方式存在以下的不足:
首先、每个应用中的用户管理部分都要从底层开始各有一套,存在大量冗余;其次、整个系统的用户安全认证水平取决于安全程度最低的那个应用,导致系统综合安全水平的下降;最后、整个系统中的各个应用仍然是孤立的,没有综合考
一个用户可以使用每个应用系统,虽然他在不同的应用中的角色不同,所能作的事不同,但是身份标志、以及识别方式应该是一致的、统一的。
而CA颁发的数字证书就是这样一个统一的身份标志、同时提供了一个统一的身份认证识别机制。
•对应用框架的扩展
CA提供的身份识别机制的另一个优点就是,CA的体系结构、身份标志、身份认证识别机制是与应用无关的。
它仅仅提出了一个身份识别、认证的框架和标准,只要应用遵守这个标准,新的应用就很容易容入到整个系统中。
•验证双方的对等性
由于在CA体系的验证中,参与验证的双方是平等的,他们之间不存在从属关系。
这就避免了典型的C/S结构中,服务器端利用自己的优势地位单向的验证客户方,从而造成的安全隐患(服务器冒充)。
而且,这种验证在分布式应用(邮件)中显得尤为重要。
•良好的互操作性
由于CA体系结构、遵循国际PKIX标准、证书采用X509v3,这样非常方便了应用程序之间的互操作性与相互集成。
在建设PKl系统时,要考虑到二级PKI系统,并要考虑到将来的交义验证问题。
对于目前二级机构中的省级CA,它作为rootCA将能颁发自身的证书,以及所辖市级CA的证书,还有省级终端用户的证书;而对市级CA,它只能颁发市级终端用户的证书。
•CA系统结构
作为PKl系统一个组成部分的CA系统,CA系统提供内部接口,使得用户透明地通过应用代理系统完成对数字证书的存取,进而在各自的系统中完成对信息的加密、解密,达到抗抵赖、完整性保护的功能。
1.2.4授权管理基础设施PMl
PMl以PKI体系为基础,是建立在XXPKl体系上的授权基础设施,因此,PMl可以看成是PKI体系的扩展,业务应用系统可通过授权管理基础设施(后文简称PMI)来实施授权策略。
同PKl相比,PMl和PKI两者的区别主要在于:
PKI证明用户是谁,而PMl证明这个用户有什么权限,能干什么。
在过去的儿年中,权限管理作为PKl的一个领域得到快速发展,人们已经认识到需要超越当前PKl提供的身份验证和机密性,步入授权验证的领域,提供信息环境的授权管理将成为下一个主要U标。
在PKl的基础上,PMl实际提出了一个新的信息保护基础设施,能够与PKl和Ll录服务紧密的集成。
PMl作为一个基础设施能够系统对认可用户进行特定授权,PMl通过结合授权管理系统和身份认证系统补充了PKl的弱点,提供了将PKl集成到应用讣算环境的模型。
PMl以向用户和应用程序提供权限管理和授权服务为IJ标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性。
PMl以应用系统的资源管理为核心,将对资源的访问控制权统一交山授权机构进行管理,即山资源的所有者一一业务应用系统来进行访问控制。
PMl作为权限管理和授权服务平台,提供了将基于策略的授权管理模型应用于具体应用系统和资源的框架。
作为权限管理和授权服务的基础设施,它能够使用独立于应用的授权框架为它所支持的安全域内类型不同的应用系统提供权限管理和授权服务。
基于PMl平台的应用安全方案主要根据用户和资源的管理方式定制应用系统的安全策略和授权管理策略,并通过AA服务器签发属性证书为用户分配角色对用户进行授权。
使用某种身份认证方式来确认用户的身份后,系统确定用户的角色信息,策略服务器根据策略对角色、请求和访问Ll标进行决策,决定是否授权。
应用系统可以基于PMl的支持实现身份认证、访问控制、数据保密、数据完整性保护和安全审计功能。
作为支撑性的授权平台,可以使用PMl平台支持多种类型不同的应用,并能够兼容原有ACL(ACCeSSContrOlList,访问控制列表),MAC(MandatOryACCeSSControl,强制访问控制)等访问控制方式。
对新的应用系统实施访问控制,只需要在应用系统中使用PMl的访问控制APl处理访问请求建立所谓的策略实施点,而对于权限的管理和访问控制的实现,则由PMI平台根据管理人员设定的策略和授权自动完成。
使用PMl平台构建访问控制系统,能够极大的减少开发周期和费用,使用统一的管理界面减少管理的复杂性,增加系统的可维护性,并可以根据应用的变化更改策略或定制新的策略提高系统的适应性。
PMl基础设施的结构和应用模型略图如下:
1.3系统安全
计算机系统是各种应用系统运行的平台,计算机系统的安全可靠运行是应用信息系统安全的基础。
1.3.1操作系统安全
操作系统是业务和关键信息的主要承载体。
对主机系统的保护成为网络安全防御中的重点之一。
多数的网络攻击和入侵EJ标是网络中的主机系统。
根据XX行业信息化安全建设的要求,对全行业提供公开服务的主机操作系统应满足用户身份认证机制、自主访问控制、审计、保证数据完整性以及可用性的要求。
1.身份认证机制
管理员为系统中的每个用户都设置了一个安全级范馬I,表示用户的安全等级,系统除进行身份和口令的判别外,还进行安全级判别,以保证进入系统的用户具有合法的身份标识和安全级标识。
2.自主访问控制
用于进行按用户意愿的访问控制。
基于这种机制,用户可以说明其私人资源允许系统中哪个(些)用户以何种权限进行共享。
主机系统应具有访问控制表(ACL,ACCeSSCOntrOlLiSt)形式的自主访问控制,使用户可以说明系统中每个用户、每组用户对其私有资源的访问方式。
系统中的每个文件、消息列队、信号量集合、共享存储区、目录、特别文件和管道都可以具有一个ACL,说明允许系统中用户对该资源的访问方式。
3.审计
用于监视和记录系统中有关安全性的活动。
系统管理员可以有选择地设置哪些用户、哪些操作(命令或系统调用)、对哪些敬感信息的访问等需要审计,这些事件就会在系统中留下痕迹,事件的类型、用户的身份、操作的时间、参数和状态等构成一个审计记录记入审计日志。
这样,系统管理员就可以根据审计日志,检查系统中有无危害安全性的活动。
4.数据完整性
主要是主机操作系统数据在存储和处理过程中是否保持一致,系统的进程是否出现异常。
5.可用性
主机操作系统可用性特性包括:
1)事件管理:
能够访问关键事件信息,用于管理和调节系统,从而加快问题诊断的速度。
2)动态调节:
要求系统运行期间进行调节,从而使正常运行时间和可用性都达到了最大限度。
3)路径可选:
为每个存储设备或网络设备均提供多条路径,从而消除了单点故障并提高了可用性。
4)多用户路径:
支持在系统不停机的情况下安装补丁,进而提高了正常运行时间和可用性。
5)动态内存隔离:
系统能够隔离出现故障的内存,从而减少了计•划外的停机时间。
6)对操作系统这一层次需要功能全面、智能化的检测,以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。
系统管理员要不断跟踪有关操作系统漏洞的发布,及时下载补丁来进行防范,同时要经常对关键数据和文件进行备份和妥善保存。
随时留意系统文件的变化。
为了加强主机系统的安全,还应釆用基于主机的入侵检测技术。
系统入侵检测技术监控主机的系统事件,从中检测出攻击的可疑特征,并给出响应和处理。
另外,为了保证重要部门信息安全,防止因通用操作系统存在漏洞而引起信息泄漏、病毒及黑客攻击,建议这些部门可釆用国内自主版权的安全操作系统。
1.3.2数据库系统安全
数据库系统存储着全部资料数据,是安全保障系统的核心。
其安全性是各应用系统稳定运行的关键。
数据库的安全威胁集中的体现在:
系统认证:
口令强度不够,过期帐号,登录攻击等;
系统授权:
权限设置不当,登录时间超时等;
系统完整性:
系统文件受到恶意修改,本身存在安全漏洞等。
同时考虑到计算机安全性的三个方面:
完整性、保密性和可用性,与数据库管理系统都有关系。
因此数据库安全可以从以下儿个方面考虑:
1.物理上的数据库完整性
预防数据库数据物理方面的问题;如掉电以及当被灾祸破坏后能重构数据库。
2.逻辑上的数据库完整性
保持数据的结构。
比如:
一个字段的值的修改不至于影响其他字段。
3.元素的完整性
包含在每个元素中的数据是准确的。
4.可审计性
能够追踪到谁访问修改过数据的元素。
5.用户身份认证
确保每个用户身份被正确地识别,既便于审讣追踪也为了限制对特定的数据进行访问。
6.访问控制
允许用户只访问被允许的数据,以及限制不同的用户有不同的访问权限,如读或写。
7.可获(用)性
用户应该可以访问所有被允许访问的数据。
8.数据库数据的备份
提供数据库的增量备份功能,以便数据库可以及时恢复,保证数据库中的数据确实有效,防止错误的发生。
1.3.3病毒防治
病毒的防范是信息网络系统安全建设中的重要环节。
系统的防病毒措施主要包括管理和技术两个方面。
管理方面采取的措施包括集中控制,分级管理,采取多重防护措施来查、杀、防病毒。
在技术上,对于一个大规模的网络系统来说,则要从网络的各个层次、各个方面来防杀病毒,构成网络防病毒体系。
包括对工作站的磁盘、可移动磁盘、光盘以及网络所收发文件和电子邮件的防护,对文件服务器的网络共享文件的防护,对邮件服务器中的邮件附件病毒的防护等。
它应该对网络中运行在不同操作系统平台上的不同版本的防病毒软件进行集中统一管理。
集中管理包括下面五个方面:
1.集中安装,统一策略配置,分组管理
通过网络大面积集中安装防病毒软件是非常重要的,统一策略配置可使网络中的防病毒软件具有相同的配置,使得全网具有一致的安全防范水平。
分组管理则应根据网络中不同部门、不同地域防病毒工作的实际情况,分组设置不同的管理模式,以满足不同需求。
2.集中定期检查,远程控制
上级部门应定期检查下级单位的防病毒工作,发现问题后,及时通过网络进行远程控制(慎用)。
3.及时升级防病毒软件
网络防病毒软件升级包括两步:
笫一步是及时获取防病毒厂商的病毒升级库,第二步是尽快将病毒升级库分发到所有工作站上,保证全网的统一升级。
4.病毒事件报警,应急响应,综合日志分析,疫情通报
当网络中检测到病毒时,防病毒软件除了要进行相应的处理,防止病毒进一步传播外,还应能够将有关信息通知管理员,对病毒情况进行通报,使管理员能够及时掌握网络当前的安全状况,并及时安排下一步防病毒工作。
5.单机(包括手提电脑)管理
网络中还存在部分未联入网络的电脑和不经常联入网络的手提电脑,对于这些流动电脑的管理也是非常重要的。
除了在制度上规范操作人员的行为外,还应在技术上采取一定措施,加强管理。
1.4安全管理
1.4.1安全管理体制
为保证各项安全技术的实施与管理,国家局需要具备以下三种职能:
1、认证中心和密钥管理中心职能:
为用户和应用服务器签发证书,统一管理用于各种网络设备的密码算法和密钥:
2、安全管理与监控职能,管理各种安全和安全机制的有效性,对网络各种监控设备管理;
3、应用系统安全管理职能,负责应用系统的安全可靠运行,并负责用户的授权和维护工作。
对于省XX局,需要有安全管理与监控职能,管理各种安全和安全机制的有效性,对网络各种监控设备管理。
1.4.2管理制度建设
为保证各项安全措施的实施并真正发挥作用,必须制定以下各项规章制度:
1.人员安全管理
安全审查制度、岗位安全考核制度、安全培训制度、安全保密管理制度、离岗人员安全制度等。
2.文档管理制度
3.系统运行环境安全管理
机房出入控制、环境条件保障管理、自然灾害防护及应急设备管理等。
4.软硬件系统选购、使用与维护
硬件:
设备选型、设备购置、安全检测、设备安装、设备使用、设备维护、设备保管等制度。
软件:
软件购置、安全检测与验收、软件安全跟踪与报告、软件版本管理、软件使用和维护等管理制度。
5.应用系统运行安全管理
操作安全管理、操作权限管理、操作规范管理、操作责任管理、操作监督管理、操作恢复管理,系统启用安全审查管理、应用软件稽核管理,应用软件版本安全管理、应用软件更改管理、应用系统管理。
6.系统开发安全管理
开发平台安全管理、开发环境安全管理、开发人员安全管理、开发系统安全管理、开发系统安全检测、开发系统安全移交管理。
1.5应用安全
人力资源应用系统的安全山XX行业应用安全支撑平台提供的安全服务实现,主要涉及以下儿个方面:
(1)实现身份认证和单点登录控制,确保应用系统用户身份的真实性和合法性;
(2)根据授权和访问控制策略,实现应用系统对信息资源的访问控制,确保信息资源受控、安全、合法使用;
(3)通过数字签名和验证技术,保证数据交换、存储和使用中的完整性、真实性;
(4)通过加密和解密技术,保证数据交换、存储和使用中的保密;
(5)通过签发具有数字签名的回执,防止通信双方对数据交换行为和数
据内容的抵赖;
(6)通过应用安全支撑平台的接口向安全管理平台提交安全审计信息,实现应用系统安全事件的安全审计;
(7)通过代码签名和验证技术,确保安全控件、应用软件的完整性和真实性;
(8)通过数字签名、时间戳等,实现用户行为的责任认定。
人力资源系统的安全由应用安全支撑平台支撑。
应用安全支撑平台为XX行业所有应用系统提供标准、统一、规范的应用安全开发接口和安全软件模块,山各应用系统软件调用,进行客户端口令验证、用户证书读取、证书验证、访问控制决策、数字签名和验证、数据加密和解密、安全事件审计等。
应用安全支撑平台为应用系统安全提供安全支撑的服务框架如下图所示。
应用安全支撑平台使用安全基础设施系统提供的证书发布验证、授权管理和安全审计等服务,通过安全中间件和安全客户端提供的安全接口和安全模块,分别在应用系统的服务器端和客户端提供安全功能和密码功能的调用,实现应用系统的安全。
升级会员 