发布时间 : 星期二 文章涉密信息系统工程课程报告heu更新完毕开始阅读8fed98bbf8c75fbfc67db242
图1
图2
5
三.技术路线的分析与确定
(一)主机系统建设
在涉密信息系统系统的建设中,作为该系统的中心处理主机的选择,我们首先应从其系统性能人手,通过客观的分析比较,确定一款或一系列具有令人满意的主频处理速度、I/O吞吐速率的小型机完成系统的处理任务。从大学实验室的核心工作的情况来看,为达到能同时满足对各类信息的管理、统计和实时处理,则唯有选择一类具有高处理速度和I/O吞吐速率的主机才能最终适应于系统负载量。对于大数据存储量,要求我们所确定的主机系统,其海量存储技术的实现应能保证多级存储、可靠读取、方便查询等要求,使系统运行起来无满载之忧。在主机系统设计中,我们强调本系统不能仅仅着眼于本阶段业务处理的需求,而且要考虑到今后实验室的发展,另外一定要保证符合相关保密规定。
作为集中放置的数据载体的主机系统,一旦出现数据丢失或差错,不仅对系统的个体利益造成难以挽回的经济损失,也将造成极坏的社会影响,从而有可能对整个学校的工作产生负面效果,这是无法估量的损失。此外,作为整个业务的数据中心和处理中心,因为主机系统故障停机而导致整个系统的瘫痪,同样是无法忍受的情况。因此我们在主机系统选型和系统配置时,应该充分考虑到系统可靠性在今后系统运行时的重要地位。作为一名系统规划工作人员,在考虑主机系统建设时:一方面应选择系统运行可靠性高、技术成熟的机型;另一方面,在系统设计和配置中应发挥系统的容错特性,诸如磁带备份,磁盘镜像,以及不可缺少的双机热备份系统。
随着实验室的各方面工作不断发展,信息化所担负的工作将越来越多。在未来这样的 发展情况下,要求我们在确定主机产品时,也要充分保证基于系统本身的扩展性和今后多种行之有效的开发途径。之所以有这样的要求,首先是系统本身发展的需要。其次,学校在进行如此大规模的系统投资时,最关心的是系统建成后的投入产出比。因此在系统建设之初,应首先立足当前应用进行系统配置,以系统扩展性能保证未来发展。只有采用具有高可扩展性主机系统,才能保证大学的系统投资不至于因日益增长的业务需求而在几年内便不得不面临更新和淘汰的局面。
因此我们要求系统的几个关键组成能够满足机密性、先进性、可靠性、扩充灵活性、开放性及性能价格比和投资保护等方面。
(二)数据库
涉密信息系统安全中十分重要的一点就是要保真数据库的安全,保证机密性、完整性、可用性。为了保证数据库的安全,以下几个数据库安全机制是涉密信息系统所必要的。 (1) 标识与认证
标识是指用户告诉系统自己的身份证明,向系统输入己的ID和密码是其中最常用的方法。而认证则是指用户让系统验证自己的身份。将用户ID与进程或程序相联系是标识的过程,而将用户ID与真正的合法用户相关联是认证过程的任务。用户在访问DBMS的第一步就是标识与认证。最近几年来以生物认证,智能卡验证以及口令验证为代表的认证技术发展速度非常快。
(2) 访问控制
6
访问控制的过程就是指当主体发出对客体的访问请求时,系统通过判断主休的组和用户的标识符、特权和安全级与客体的安全级、访问权限和存取访问规则。访问控制有三种类型:强制访问控制(MAC)、自主访问控制(DAC)、基于角色的访问控制(RBAC)。 (3) 数据加密
数据加密的原理是按照一定的加密算法把原始可读的数据(明文)变换成不能直接识别的数据(密文),这样用户要得到数据
信息必须拥有该算法的密码体制和密钥,否则将无法得到该数据信息。用户在访问数据时,很多数据库产品都具有加密功能,其过程是:首先要知道系统密码,再由系统对其进行译码。用户可以根据自己的信息的密度来决定是否对数据进行加密存储。 (4) 审计功能
在审计日志中记录了与数据库安全性有关的一切操作记录。系统安全员通过检测审计记录就可以掌握数据库的访问和操作状况。通过审计数据就能够发现检测内部和外部攻击者非法访问活动,重新找出造成系统出现状况的事件,来分析发现系统存在的安全漏洞,找出相关的非法入侵者。 (5) 数据备份
数据备份是有效避免数据丢失的一种手段,一旦系统受到不可恢复的攻击或瘫痪时,采用了数据备份技术后就可以利用已备份的数据来恢复被破坏的信息,可以从最大程度上减少系统的风险。考虑到敏感数据分布于涉密信息系统的各个服务器,作者指定了专门用于管理数据备份和恢复的服务器,通过备份和恢复系统软件的使用,实现数据的在线二级备份:完全备份结合增量备份;定期将敏感数据的完全备份拷贝到离线存储介质,如:磁带或移动硬盘。这些离线存储介质保存到安全的远程仓库。定期测试数据备份的恢复情况,确保备份可以满足公司的恢复需求。
(三).操作系统
本涉密信息系统的操作系统完全基于微软的Windows平台,服务器使用WindowsServer 2003 企业版,客户端使用Windows XP Pro SP3。所有服务器和客户端都位于同一个Windows域中,结合组策略的设置,可以很方便的实现操作系统的安全控制方案。进行Windows域中组策略的配置。
对于涉密信息系统的安全策略,有如下的规定:
(1)BIOS设置:应按照国家保密局发布的《涉及国家秘密的计算机信息系统保密技术要求》规定设置BIOS、系统开机密码以且在BIOS里面设置计算机第一引导必须是本地硬盘,切启用BIOS密码,密码长度不得少于6位。 (2)操作系统安全设置:
秘密级涉密计算机系统密码不少于8位,一个月更改一次;
设置屏保密码,屏保时间建议设置10分钟左右;开机密码输入错误5次即锁定计算机,8小时候自动解锁。
(3)定期做好涉密计算机的系统补丁、中高级风险补丁确保3个月内升级一次。 杀毒软件病毒库升级应在15天以内升级一次,每次升级之后进行一次全盘查杀。 涉密计算机安装瑞星杀毒软件,涉密中间机和非涉密中间机安装金山毒霸杀毒软件。
(4)涉密计算机以及信息系统不经过管理部门的书面许可,不得随意改变其软硬件环境:不经过保密办公室的允许,不得删除涉密计算机的使用记录、不得重新安装计算机的操作系统,不得更改计算机的硬件配置。
7
(5)红黑隔离:凡是和涉密计算机及信息系统连接的都为红导体,其余的导体和偶然导体都为黑导体,要保持红黑隔离且红黑导体之间的最短距离为1米。 涉密计算机及系统电源要经过红黑隔离(滤波)电源插座。
(6)一台计算机只能有一个超级管理员用户(具有administrator权限),其他的用户只能为一般用户,并且把一般用户的文件访问权限设置为私有。 超级管理员用户名和密码由部门安全保密管理员掌握,其他人员只能是一般用户。
(四)网络平台
在网络平台上,其安全主要取决于经典ISO模型中的数据链路层和网络层,本节对这两个层次下的安全问题进行讨论。 1、数据链路层的风险分析
在以太网环境中,数据链路层使用 MAC 地址定位、CSMA/CD 协议传输数据,工 作在数据链路层的网络设备有二层交换机、HUB 等。其所面临的威胁包括:MAC 地址 欺骗、设备口令暴力破解、交换机系统自身漏洞等。为此,需要采取诸如 MAC 地址与 交换机端口绑定、身份识别与验证、漏洞扫描与修复等安全控制措施,降低上述可能得 风险。
2、网络层的风险分析
网络层使用 IP 地址定位、TCP/IP 协议传输数据,工作在该层上的网络设备有三层 交换机、路由器等。其所面临的威胁有:IP 地址欺骗、IP 嗅探、协议分析等。为降低上 述风险,需要采用 IP 地址绑定、ACL、加密等安全控制措施。 3、网络平台上预防控制措施
实验室环境内既有涉密网,也有外部网(如:互联网),为降低涉密网被外部渗透的风险,满足国家对涉密网的建设要求,涉密网与外部网络进行物理隔离,以保障涉密信息系统的的安全;所有涉密信息都在加密后在涉密网上传输,防止窃听或截获;通过关闭闲置交换机端口、正在使用的交换机端口实行 MAC 地址、IP 地址绑定,防止涉密网端口被非法访问;通过 VLAN 和 ACL 的使用,按职能和业务将涉密网进一步细分,保障涉密信息的传播范围。
网络的数据是动态,对网络层的活动检测是网络安全的重点控制措施,而网络的数 据量又是巨大的,通过人工的方式来检测是不可想象的,于是就产生了许多网络安全的 检测工具和技术。当前主流的检测工具和技术包括:防火墙、入侵检测等。
防火墙是网络安全最基本的安全措施。防火墙作为网络安全屏障,多安装在不同网络或者安全域之间,隔离并控制不同网络或者安全域之间的访问。防火墙可以对所有的访问行为进行检查、过滤,防范不安全的访问行为进入内部受保护网络或者主机。通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出网络的服务和访问的审计和控制。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称 IDS)。根据处理对象的不同,入侵检测系统分为两类:网络入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)。前者更适用于较大型的网络。它通过安装在特定的网络节点,监听流过此节点的信息进行异常行为的识别和报警。目前主流的 IDS 基本都可以采用通用入侵检测框架(CIDF)进行描述,CIDF 是为了解决不同 IDS 的互操作性和共存问题而提出的入侵检测框架。作为通用的入侵检测系统模型,CIDF 主要由四个部分组成(如图3所
8