計算機信息系統安全分析
前言:本站為你精心整理了計算機信息系統安全分析范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
【摘要】深入研究當前流行的安全體系模型基礎上,分析各種安全體系標準,建立統一的計算機信息系統安全體系模型,提出了安全管理及安全技術的分級要求,以規范計算機信息系統的安全體系建設。
【關鍵詞】計算機信息系統;安全
隨著計算機技術和網絡通信技術的飛速發展,計算機信息系統規模的不斷擴大,成為了一個龐大的復雜系統。而信息的共享程度越來越高,使系統安全涉及的技術面非常廣,保密性、完整性、真實性和可用性,使我國的計算機信息系統安全體系必須建立統一的框架和實施標準。
1動態縱深防御安全體系模型
1.1計算機信息系統安全發展
計算機信息系統安全涉及的技術面非常廣,其中3D安全框架是一個通用的框架,它提出了一個概念性的框架,涉及ISO/OSI的七個協議層次,應用安全平臺等都是重要的安全“零部件”,是一個立體的、多方位、多層次的系統問題,但并不是簡單地將它們疊加在一起。隨著網絡的深入發展,三維計算機信息系統不能完全適應動態變化的網絡環境,提出了PZDR動態模型,比傳統靜態安全方案有突破性提高,其中引進了時間的概念,特點就是動態性和基于時間的特性,但它忽略了內在的變化因素。這樣,又提出了信息保障技術框架概念,對信息基礎設施進行“深層防御策略”,提供了強健性策略描述,把信息的價值劃分成5級,對無線應用的安全保障方面不足。目前國內外相繼提出了很多安全標準,比如美國TcsEc(桔皮書),歐洲ITSEC,加拿大CTCPEC,聯合公共準則(C)C等,現有標準/規范己經相當細致和深入,但仍有不盡人意的地方,比如有些屬于特定行業規范,有些標準/規范側重于系統安全的某個方面,未包含行政管理安全的評價準則等,沒有針對廣泛存在和應用的網絡環境安全等,因此,分析計算機信息系統安全體系,可以推動我國信息安全產業的發展。
1.2動態縱深防御安全體系模型
在設計安全體系時,安全組件必須根據需要分層次、分布式部署,安全體系應貫徹積極防御的思想,功能模塊應構成一個閉環的動態控制系統,當系統遭到破壞時能及時進行恢復。安全組件之間能夠協同作戰,隨時處置可能出現的黑客或病毒攻擊,進行安全組件的組合與集成。安全體系模型應從多方面考慮,對安全域劃分出不同安全防護層次,以安全域和安全防護層次實現縱深防御,配置入侵檢測系統、脆弱性分析系統等,在設計時應首先考慮邏輯層次的劃分,根據信息的安全級別和服務的重要性來劃分,安全域的劃分不改變系統的任何部分,每個安全域可按物理或邏輯位置的不同劃分,保護計算環境的安全目標。在安全策略的指導下,依靠技術進行操作。明確系統可能出現的安全事件,引進“風險分析”概念,強調信息安全技術的綜合使用,將安全風險降低到預期的范圍內。人員素質是信息安全體系的基石,應努力提高人員的安全意識,各部門要遵守的規范及應負的責任,提供一個集成的安全管理環境,使得安全部件之間能夠協同作戰,風險分析是有效保證信息安全的前提條件,大規模減少安全管理員的手工勞動,避免非法攻擊的進行。
2計算機信息系統安全
安全分析的目的是為不同安全需求的用戶,在普通計算機信息系統、安全系統間建立聯系,為滿足不同的用戶安全需求,根據數據在丟失、破壞及泄露時的不同影響,提出相對應的安全保障級別的概念,根據信息類別和威脅級別的定義,選擇安全防護機制及技術,為不同安全要求的用戶提供解決方案。確定系統中的信息和服務的用途,概括計算機信息系統的業務流程,將計算機信息系統劃分成不同的安全域,當威脅和策略都確定后,通過評價每一種威脅成功實施的可能性,需要制定相應的安全目的。安全功能應清晰地表達,每種安全產品都有一組安全功能,在計算機信息系統安全需求分析中,應以表的形式將安全目的分配,并應適于對抗所有已知的威脅,安全功能的強度要符合相應的保障級別,并通過文檔化的形式單獨列出安全制度。
3安全設計
安全管理是安全體系的保障,建立并保持文件化的安全管理體系,這與安全技術和安全策略密切相關,相應技術要求包括防火墻、服務器、路由器等。防火墻主要有包過濾防火墻和應用級防火墻,路由器是一類專用的網絡設備,網絡服務器以各種服務為基礎。安全檢測系統控制的充分程度,它包括自動響應的分級要求。安全審計數據產生的分級要求都必須包括用戶自主選擇,能生成實時報警信息,使用身份鑒別機制,審計記錄應包含客體名及客體的安全級別;安全審計分析的分級要求應能用一系列規則去監控審計事件,應維護用戶所具有的質疑等級,檢測對安全功能實施有重大威脅的簽名事件;安全審計查閱的分級要求提供從審計記錄中讀取信息的能力,提供從審計記錄中讀取信息的能力,選擇要查閱的審計數據的功能;安全審計事件存儲的分級要求審計蹤跡的存儲受到應有的保護;網絡環境安全審計的分級要求建立分布式安全審計系統,實時收集各安全程序的審計信息,設置跨平臺的安全審計機制,給出智能化審計報告及趨向報告。防止計算機和網絡病毒的入侵,嚴格控制各種外來介質的使用,應設置病毒管理中心,應將防病毒與網絡管理相結合,阻止病毒的擴散和傳播。提供數據加解密和密鑰管理,確定相應的密碼分級,應對不同級別的密鑰實施不同管理。
參考文獻:
[1]段云所,陳鐘.信息網絡安全目標、技術和方法[J].網絡安全技術與應用,2001(01).
[2]胡華平,黃遵國,龐立會.網絡安全縱深防御與保障體系[J].計算機工程與科學,2002(6).
[3]胡華平,陳海濤,黃辰林.入侵檢測系統的研究現狀與發展趨勢[J].計算機工程與科學,2001,23(02).
[4]GA/TT389-2002.計算機信息系統安全等級保護數據庫管理系統技術要求[S].2006.
[5]劉寶旭,徐著,徐榕生.黑客入侵防護體系研究與設計[J].計算機工程與應用,2001,37(8).
作者:胡霏帆 單位:吉林省人民政府國有資產監督管理委員會績效考評中心
