第1章信息安全保障与信息安全工程

1信息安全工程与管理1参考资料信息安全工程与管理唐成华西安电子科技大学出版社2013金融信息安全工程李改成机械工业出版社2009信息安全工程与管理(信息安全保障体系和测评认证（培训）中国信息安全产品测评认证中心（CNITSEC）www.itsec.gov.cn2祖向荣zuxrmail@163.com2第1章信息安全工程1.1信息安全的概念1.2信息安全保障体系1.3信息安全保障与信息安全工程本章小结31948年，美国贝尔实验室数学研究员、信息论的奠基人克劳德·香农(ClaudeElwoodShannon，1916—2001)，在题为《通信的数学理论》的一篇论文中，给出了信息的数学定义，认为“信息是能够用来消除随机不确定性的东西”。同年，美国著名数学家、控制论的创始人诺伯特·维纳(NorbertWiener，1894—1964)在《控制论》一书中指出，“信息就是信息，既非物质，也非能量”。1.1信息安全的概念4信息的实质是通过信号、指令等实现对物质和能量的调节与控制。在当今社会，信息已成为与物质、能源同样重要的国家主要财富和重要战略资源，对信息优势的夺取，是衡量一个国家综合实力的重要参数，对信息的开发、利用和控制也已经成为国家利益争夺的重要目标。而对信息优势的夺取，直接表现为信息安全与对抗。能否有效地保护好已有的信息资源并争夺更优势的信息资源，保证信息化进程健康、有序、可持续发展，直接关乎国家安危、民族兴亡。因此，信息安全已成为国家安全、社会安全和人民生活安全的重要组成部分。51.1.1信息安全的基本范畴信息安全的基本范畴，包括信息资源、信息价值、信息作用、信息损失、信息载体、信息环境等。信息资源，即信息的资源化或资源化的信息，是经过主观处理或加工，能够传输或传播，可对社会生活发挥作用的信息总和。按照该作用的促进方向，信息资源可分为有价值信息和中性信息。信息价值，是信息资源优势的反映，可分为积极价值和消极价值。信息安全的基本范畴是建立在信息资源优势改变或信息价值损失的基础上的，即信息作用以对信息价值的影响来衡量，信息损失以信息价值的损失为量度。6信息作用，是指信息资源在实现信息价值过程中，所发生的对周围环境或自身的影响或改变。这些影响或改变，与人的主观意愿无关，但可以为人的主观意愿服务，可以被敌我双方利用，实现积极作用或消极作用。信息损失，是指信息价值的损失，是在消极信息作用影响下的信息资源的价值降低的量度。信息损失是信息安全范畴里的重要负面计算指标，以定量、定性或概率的方式来评估主体活动与信息安全的影响与程度。7信息载体，是指信息在传输或传播中携带信息的媒介，即用于记录、传输和保存信息的软、硬件实体，包括以能源和介质为特征，运用声、光、电等传递信息的无形载体和以实物形态记录为特征，运用纸张、胶片、磁带或磁盘等传递和贮存信息的有形载体。信息环境，是与信息活动有关的外部环境的集合，包括机房、电力、温度、湿度、防火、防水、防震、防辐射等硬环境，也包括国家法律法规、部门规章、政治经济、社会文化、教育培训、人员素质、监督管理等软环境。81.1.2信息安全工程的概念信息安全工程研究如何建立能够面对错误、攻击和灾难的可靠信息系统。许多信息系统都有严格的安全保障要求，否则，一旦发生安全问题和处理不当，会产生严重的甚至灾难性的后果。例如，核安全控制系统失败，会危及人类生存和环境；航空安全系统失败，会严重影响机组安全；ATM银行系统失败，会破坏经济生活秩序；股票交易系统失败，会损害用户权利；网上支付系统失败，会阻碍网络经济的发展；财务报账系统失败，会扰乱经费管理体系。9一般认为，软件工程是要保证某些事情能够发生(如“能提供pdf格式文档的报表输出功能”)，而安全工程是要确保某些事情不能发生(如“要提供pdf格式文档的防拷贝功能”)。不同的系统工程建设与不同的设计目标和要求有关，而其中安全工程的建设尤其复杂。对于信息安全工程，需要考虑到特定信息系统的安全保护需求、可能存在的安全隐患以及相应的解决方法等。为了更好地理解信息系统安全工程的需求、隐患、方法，及其工程化概念，首先来了解以下三个领域的信息系统实例：银行、机场、家庭。10例一：银行因为业务的需要，银行需要运行大量的对安全要求很苛刻的计算机系统。银行信息系统包括银行综合业务系统、银行渠道系统、网上银行系统、跨行支持系统、中国银联支持系统等。在中国，通过中国国家金融通信网络(CNFN，ChinaNationalFinancialNetwork)将中央银行、各商业银行和其他金融机构连接在一起，构成全国性的金融专用网络系统。11(1)银行业务的核心是记账系统。它保存客户的主账目信息和记录每日业务的分类账目。由于该系统一般由银行员工进行操作，要求遵守相应的法律、规章制度和操作程序等，因此，对该系统的威胁主要来自银行内部员工利用职务便利和系统漏洞进行的违法犯罪行为。例如，冒用客户身份的信用卡诈骗、伪造并使用伪造的银行票据等；当然也包括银行员工无意的操作失误、违反规定的越权操作行为，如每次借贷记录的正负数字不匹配、大额转账的私自认可等。12所以，对于银行记账系统，要求有账户及操作权限控制策略、异常交易监控及报警系统、严格的银行内部网络访问控制规章制度等。(2)银行ATM机是安全与方便的“博弈”。不管是在行式，还是离行式，ATM机都大大方便了客户自行进行账户资金的处理，但同时也经常出现漏洞和异常，例如，账户信息被偷窃、异常吞卡或吐钞、网络故障造成的服务异常中断、网络通信中的信息泄露等。因此，这就要求有高强度的ATM与银行的通讯信息加密系统、客户身份认证系统、服务异常的应急响应系统、客户行为记录与取证系统等的安全支持。13(3)大部分银行都有保险箱的金融保障服务，但也存在一些突出的安全问题，如在硬件老化、设备配置不足、软硬件功能存在缺陷的情况下，可能诱发内部员工作案的动机或使外部盗窃有机可乘，导致客户财物失窃、毁损，同时银行还可能面临商业信誉下降、客户提出巨额赔偿等。因此，应该整体规划，优化保险箱系统，加强报警系统安全防护能力，加密监控信息防伪造功能，增加系统稽核功能和预警功能，提高安保人员素质，增加异地监控等。14(4)由于技术发展和扩展业务的需要，目前“网上银行”发展迅速，客户足不出户就能够便捷地管理存款、支票、信用卡及进行个人投资等非现金交易。网上银行使银行内部网络向互联网敞开了大门。网上银行系统的安全关系到银行内部整个金融网络的安全，应当防止黑客攻击网络修改记账系统，要求设立防火墙来隔离相关网络，采用高安全级的Web应用服务器，24小时实时安全监控，进行有身份识别的CA认证，实施网络通讯的安全加密，进行用户证书的安全管理和网络银行个人认证介质的管理等。15例二：机场当地时间2011年1月24日16时32分，俄罗斯莫斯科多莫杰多沃机场抵达大厅内发生自杀式炸弹爆炸，造成35人死亡，130余人受伤。而据美国合众国际社报道，美国政府2011年7月13日发布的两篇报告中显示，过去10年间，美国机场共出现超过25 000个安全漏洞。(1)安检与旅客隐私的冲突。很多安全漏洞是安检时没有执行系统扫描或扫描错误等造成的。16采用“全身扫描安检技术”，如果使用得当，可以提高机场的安检水平，但同时该技术会显露旅客的身体轮廓，过于侵犯个人隐私。因此，人们都在期待第二代“人体扫描仪”，该信息检测系统平时只显示黑屏，只在发现可疑物品时才发出警报并显示可疑部位，另外，扩大安全半径，例如以色列在通往特拉维夫本-古里安国际机场的主要道路上就开始设置安检站，使安检系统真正发挥作用，而不成为摆设，从制度和技术上建立一套“综合检查机制”。(2)航空指挥系统是保证航空安全的重要技术手段。17航空运输时间紧、任务急、航线多、部门多、层次多，需要建立各级指挥职能系统，同时，在指挥调度室内按指挥区域可分为航行指挥、客机坪现场指挥，以及各有关业务部门的调度室或值机组，这些不同层次和级别的指挥系统间的信息传输与执行，要求信息的准确性、保密性和实时性，这涉及到信息系统的通信协议安全技术、数字加密技术、数字签名与认证技术、数据优化技术等。18(3)航班信息管理与显示系统是机场保障旅客正常流程的重要环节，是机场直接面向旅客提供公众服务的重要手段，同时又是机场与旅客进行沟通的窗口，主要以多种显示设备为载体，显示面向公众发布的航班信息、公告信息、服务信息等，为旅客、楼内工作人员和航空公司地面代理提供及时、准确、友好的信息服务。因此，对航班数据的准确性提出了较高的要求，要求有实时动态数据的防篡改功能，同时对众多显示设备运行状况要进行严格监控，要有设备监测与故障诊断能力，保证系统的高效、稳定和安全运行。19例三：家庭现在，越来越多的普通家庭都应用了广泛的分布式信息系统服务。(1)家庭可以通过电子商务系统进行网上购物，通过网上银行进行水、电、气、电话等费用的在线支付。另外，很多家庭使用了汽车GPS系统、汽车遥控防盗系统、通过手机的汽车控制信息系统、卫星及数字电视接收系统等。只要使用了这些系统，安全问题就会随之而来，诸如网上诈骗、支付失败、遥控信息被劫持、系统链接数据异常等都能带来损失或伤害。20因此，需要采用严格的网络信息存储、传送、加密、认证等方法，同时要求用户进行正确的操作，并完善相应的法律法规，来规避或约束这些威胁风险。(2)许多家庭开始使用家庭理财管理信息系统，统计家庭的房产、家居、电器等实物财产，统计家庭每月的薪资、租金等现金或银行存款收入，以及统计家庭的还贷、保险、教育、疾病、水、电、气、电话、手机、交通、汽油、食用油、米、菜、盐、牛奶、水果等支出，由此来培养珍惜自己劳动的好习惯，享受积累财富的乐趣。21家庭理财管理信息系统甚至可以与网上消费系统进行无缝链接，因此，在使用家庭理财管理信息系统时，除了自身的家庭信息安全之外，还要考虑这些信息暴露在互联网上时的数据保密性、完整性和可控性等要求。(3)智能家居控制系统可担当家庭的信息家电控制中心的角色，把诸如电视机、空调、热水器、室内监控器、VCD(DVD、录像机)、功放等多种家用电器的控制功能分门别类地储存起来，22在需要的时候随时调用，实现了多种家电在相同或不同时间段的自动运行，极大地提升了生活质量。这种数字化家庭信息系统是一个智能家庭综合监、控、管平台，对整合的各个相关设备的信息处理要求有较高的保密性、准确性和可控性等。在数据统一协调过程中容易受到攻击是系统的弱点，要避免设备运行或联动时产生失败、紊乱、被劫持等后果。从以上实例可以看出，各领域的信息系统安全与安全需求、安全隐患、解决方法紧密相关。解决信息安全问题，不能简单地依靠纯粹的技术，也不是安全产品的堆砌，而是要依赖于复杂的信息安全系统工程。23在工程上，信息安全是与风险相联系的概念，通过风险管理与控制来实现。信息安全风险是信息价值、系统脆弱性和系统威胁等三个变量的函数，如图1-1所示。24图1-1信息安全风险25系统脆弱性是指可以被用来获取、利用、损坏、颠覆信息资源的方式。系统威胁是指利用系统脆弱性，可能造成某个有害结果的事件或对系统造成危害的潜在事实。而安全风险就是某种威胁利用系统脆弱性对组织或机构的信息价值造成损失的潜在的可能性。信息安全风险管理与控制是一个信息风险的测量、识别、控制及其最小化的过程，即在给定的信息损失约束下，协调信息价值、系统脆弱性和系统威胁之间关系的过程。26信息安全工程是采用系统工程的概念、原理、技术和方法，来研究、设计、开发、实施、管理、维护和评估信息系统安全的过程，是将经过时间考验证明是正确的工程实践流程、管理技术和当前能够得到的最好的技术方法相结合的过程。目前信息安全工程存在于广泛的信息系统的应用中。对于任何一个应用，考虑和确定安全需求、找出安全隐患或系统脆弱性、制定并执行面对系统威胁的安全策略、评估其所承受的安全风险等，都是很有必要的。27信息安全工程正在变成一个日益重要的学科，它不仅用于信息系统和应用程序的设计、开发、集成、操作、管理、维护和评估，也适用于企业和商业信息产品的开发、发布和评估。因此，信