信息系统运行管理员教程6–信息系统安全

第1节 信息系统安全概述

1.信息系统安全的概念

信息系统安全是指保障计算机及其相关设备、设施（含网络）的安全，运行环境的安全，信息的安全，实现信息系统的正常运行。信息系统安全包括实体安全、运行安全、信息安全和人员安全等几个部分。

实体安全： 实体安全也称物理安全，指保护计算机设备、设施及其他载体免遭地震、火灾、水灾、雷电、噪声、外界电磁干扰、电磁信息泄露、有害气体和其他环境事故破坏的措施和过程。包括：环境安全、设备安全、媒体安全。

运行安全： 运行安全的目标是保证系统能连续、正常地运行。包括系统风险管理、审计跟踪、备份与恢复、应急处理四个方面的内容。

信息安全： 信息安全是指防止信息资产被故意或偶然地非法泄露、更改、破坏，或信息被非法辨识、控制，确保信息的保密性、完整性、可用性、可控性、真实性、可审查性。包括：操作系统安全、数据安全、网络安全、病毒防护、访问控制、加密与鉴别七个方面。

人员安全： 人员安全是指计算机使用人员的安全意识、法律意识及安全技能等。

信息安全的任务是确保信息系统功能的正确实现。

2.影响信息系统安全的因素

信息系统安全的影响因素可能来自组织内部、远程接入或者互联网，其安全面临故意威胁和非故意威胁。

产生故意威胁的因素： 盗取、操纵、破坏、依赖、恐怖袭击。

产生非故意威胁的因素： 认为错误、环境灾害、信息系统故障。

3.信息系统安全等级保护标准体系

从基本分类角度看分为：基础类标准、技术类标准、管理类标准；

从对象角度看分为：基础标准、系统标准、产品标准、安全服务标准、安全事件标准；

从等级保护生命周期看分为：通用/基础标准、系统定级用标准、安全建设用标准、等级测评用标准和运行维护用标准等。

4.信息系统安全保护等级

信息系统的安全保护等级分为5级：

等级	损害程度
第一级	会对公民、法人和其他组织的合法权益造成损害；不损害国家安全、社会秩序和公共利益。
第二级	会对公民、法人和其他组织的合法权益造成严重损害，或着对社会秩序和公共利益造成损害；但不损害国家安全。
第三级	会对社会持续和公共利益造成严重损害，或者对国家安全造成损害。
第四级	会对社会持续和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级	会对国家安全造成特别严重损害。

信息系统的安全保障等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

客体包括三个方面：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。

定级方法：

定级的一般流程：确定定级对象、确定受侵害的客体、确定对客体的侵害程度、确定定级对象的安全保护等级。

等级变更： 安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更。

第2节 信息系统硬件的安全运维

1.硬件安全运行的概念

硬件安全运行的含义是保护支撑信息系统业务活动的信息系统硬件资源免遭自然灾害、人为因素及各种计算机犯罪行为导致的破坏。硬件安全包括：环境安全、设备安全和介质安全。

环境安全： 主要指信息系统核心设备的运行环境安全，安全要素包括机房场地选择、机房屏蔽、防水、防火、防雷、防鼠等方面。

设备安全： 指保障设备正常运行，免受威胁。安全要素包括设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电源保护等方面。

介质安全： 包括介质自身安全及介质数据的安全。

2.硬件安全运行的影响因素

硬件安全运行的影响因素主要有：自然及不可抗因素；人为的无意失误；人为的恶意攻击；缺乏完整可靠的安全防线。

3.硬件安全运行的措施

环境安全措施： 机房场地设计；建筑材料防火安全措施；机房供配电、温度安全措施；机房防水、防潮、防静电、防雷击安全措施；机房电磁防护措施。

设备安全措施： 设备的防盗和防毁安全措施；设备安全的可用措施；内外网隔离。

介质安全措施： 采取严格的保护措施，防止被盗、被毁和受损；防止被非法复制。

第3节 信息系统软件的安全运行

1.软件安全运行的概念

软件包括系统软件（操作系统、数据库系统、中间件等）和信息系统应用软件（ERP软件、SCM软件、CRM软件、OA软件等）。

信息系统安全保护能力五个等级：

第一级：用户自主保护级

第二级：系统审计保护级

第三级：安全标记保护级

第四级：结构化保护级

第五级：访问验证保护级

2.软件安全运行的影响因素

影响软件安全运行的因素主要有两种：针对操作系统的安全漏洞实施攻击；针对基于Web的信息系统软件的攻击。

操作系统的安全漏洞包括： 输入输出非法访问；访问控制的混乱；不完全的中介；操作系统后门；操作系统型病毒。

基于Web的信息系统软件攻击包括： 修改Cookie数据进行用户假冒；利用不安全的证书和身份来逃避管理；在动态网页的输入中使用各种非法数据，获取服务器敏感信息等。

主要攻击方式：

攻击者经常采用欺骗的方式：IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗、地址欺骗等。

攻击方式：数据篡改和编程攻击。

数据篡改： 数据篡改是常见的攻击手段，自计算机中输入错误的、欺骗性的数据，或者删除、更改现有数据。这种方法常为内容人员使用。

编程攻击： 编程攻击是计算机犯罪常用的一种攻击手段，即利用编程技巧直接或间接修改计算机程序。

编程攻击的方法：

方法	定义
病毒	插入正常程序（或数据）中的秘密指令，这些密码指令可以毁坏或修改数据，并可以在计算机系统内部或不同的系统之间传播。
蠕虫	可以自我复制并渗透到计算机系统中的程序，可以在网络中传播，渗透到所有联网的计算机中。
特洛伊木马	包含在其他程序中的一种非法程序，在特定时间发生前一直保持“沉睡”，被激活后会触发非法程序并造成损失。
逻辑炸弹	用于触发延迟性恶意行为的指令。
拒绝服务	发出大量服务请求，导致网站瘫痪。
嗅探器	用于截取通过互联网传输的数据包中的口令或内容的程序。
伪装欺骗	伪造电子邮件地址或网页，诱骗用户提供信息或汇款。
口令破解	猜解口令密码（成功率很高）。
后门	系统的入侵者设置多个登入点，即使有一个被发现和关闭，他们仍可进入系统。
恶意小程序	滥用计算机资源、修改文件或发送虚假电子邮件的小型Java程序。
数据包监测	通常被认为是一根窃听电话线在计算机网络中的等价物。
ARP攻击	通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

3.软件安全运行的措施

建立安全的操作系统： 构造操作系统的安全模型和实施方法；采用诸如隔离、核化（最小特权等）和环结构（开放设计和完全中介）等安全科学的操作系统设计发放；建立和完善操作系统的评估标准、评价方法和测试质量。

对付操作系统中常见后门的方法： 加强程序开发阶段的安全控制，防止有意破坏并改善软件的可靠性；在程序的使用过程中实行科学的安全控制；制定规范的软件开发标准，加强管理，对相关人员的职责进行有效监督，改善软件的可用性和可维护性。

服务器上的操作系统软件、防病毒软件和防火墙软件的安全：

根据应用软件的需求和服务器硬件架构选择安装合适的操作系统，服务器操作系统软件应当定期更新操作系统的安全升级补丁；

服务器应当安装防病毒软件，系统管理人员要定期更新防病毒软件补丁和病毒特征库；

服务器应当安装防火墙软件，系统管理人员要定期为防火墙软件更新补丁，配置出入操作系统的防火墙安全防护策略，防止可疑访问；

系统管理人员要定期对服务器操作系统进行安全检查（建议每周一次），并出具书面检查报告。

信息系统软件的安全： 为保障信息系统软件的安全，应做到以下4点

因劣质软件而产生安全问题时，从组织上来说，是管理规范出了问题；

为成功实施信息系统软件安全计划，可以雇佣外部的咨询人员来帮助建立一个小组；

对于大型信息系统软件安全的运维，可以找到对操纵信息系统软件最熟悉的人员，投资培养其成为软件安全员，让其负责软件安全；

应用系统服务器安装了信息系统软件，应用服务器密码要由专人负责持有，不得转让他人，密码等要符合复杂性要求且定期修改。

Web应用系统上传漏洞和SQL注入防范： 主要防范技术包括防范上传漏洞和SQL注入防范。

Web应用系统漏洞检测技术： Web应用系统漏洞检测工具采用的技术主要包括以下4种

爬虫技术；Web应用系统软件安全漏洞检测技术；Web系统应用软件安全漏洞验证技术；代码审计。

防火墙技术： 防火墙是放置在本地网络与外界网络之间的一道安全隔离防御系统，是为了防止外部网络用户未经授权的访问，用来阻挡外部不安全因素影响内部的网络屏障。

防火墙的主要作用：可以把未授权用户排除到受保护的网络外，禁止脆弱的服务进入或离开网络，过滤掉不安全服务和非法用户；防止各种IP盗用和路由攻击；防止入侵者接近防御设施；限定用户访问特殊站点；为监视Internet安全提供方便。

入侵检测技术： 入侵检测技术是指对计算机网络资源的恶意使用行为（包括系统外部的入侵和内部用户的非授权行为）进行识别和相应处理。

常用的入侵检测手段：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

第4节 信息系统数据的安全

1.数据安全的概念

数据安全是指保护数据不会被意外或故意地泄露给未经授权的人员，以及免遭未经授权的修改或破坏。

数据安全两个基本原则：最低特权；最少透露。

数据安全技术包括：保持数据完整性为目的的数据加密、访问控制、备份等技术，也包括数据销毁和数据恢复技术。

2.数据安全的影响因素

物理环境的威胁；病毒与非法访问的威胁；对数据库的错误使用与管理不到位；数据库系统自身的安全缺陷。

3.保证数据安全的措施

容灾与数据备份：

容灾系统：业务处理连续能力最高的是容灾系统。

高可用群集系统：其业务连续性处理比容灾系统地。

智能存储系统：智能存储系统不仅仅是一个外置阵列系统，它还具有很多独特的功能，在进行数据备份、数据采集、数据挖掘和灾难恢复时不会影响业务系统的连续性。

备份系统：数据备份及灾难恢复是信息安全的重要组成部分，应与网络建设同期实时。

身份认证： 常见的系统身份认证方式主要有入网访问控制和权限控制。

数据加密： 加密是实现数据存储和传输保密的一种重要手段。

数据加密方法有对称密钥加密和非对称密钥加密。

4.云环境下的数据安全

云环境下的数据安全策略： 建立以数据为中心的安全系统；重视加密方法和使用策略规则；完善认证与身份管理体系。

云环境下的数据安全： 数据生成阶段；数据迁移阶段；数据使用阶段；数据共享阶段；数据存储阶段；数据销毁阶段。

第5节 信息系统安全管理

信息安全管理体系的三要素是：人，制度和技术。其中技术是基础，只有在技术有效时，制度和人才是关键。

1.信息安全管理体系

信息管理过程：

确定信息安全管理方针和信息安全管理体系的范围；

进行风险分析；

根据风险分析，建立信息安全管理体系（制度和技术体系）；

建立业务持续计划并实施安全管理体系。

2.灾难备份与灾难恢复

灾难可能在没有任何预警的情况下发生，最好的防御就是做好充分的准备，所以在任何安全系统重，制定业务连贯性计划，也叫灾难恢复计划，是一项重要的措施。

灾难恢复 是指为了将信息系统从灾难造成的不可运行状态恢复到可以接受的状态而设计的活动或流程。

灾难备份 的目的是确保关键业务持续运行及减少非计划宕机时间。灾难备份是灾难恢复的前提和基础，灾难恢复是灾难备份的具体应用。

灾难备份与灾难恢复的类型： 同城灾备与异地灾备。

制定灾难恢复计划的主要观点： 灾难恢复计划是指通过保护和恢复来确保业务连贯性的流程。

灾难恢复策略的制定： 灾难恢复策略一般围绕支持灾难恢复各个等级所需的七个资源要素进行描述，组织应更具灾难恢复目标，按照成本风险平衡原则，确定这些资源要素的获取方式及要求。

灾难备份与灾难恢复系统的衡量指标： 恢复点目标、恢复时间目标；恢复可靠性指标、恢复完整性指标。

灾难备份与灾难恢复的等级： 按照国际标准，信息系统灾难备份与恢复分为七个等级。

大多数数据中心只能达到2-3级备份；国家机关、金融部门等重要信息部门，数据中心的备份级别要求必须达到4级以上；一些特别重要的应用，在灾难发生时要保持业务的连续性，要求达到6级的标准。

数据灾难恢复的规范与标准：

国际标准：国际标准分为7个容灾等级。

国家标准：国家标准分为6个等级。

3.涉密信息系统安全管理

涉密信息系统的级别划分： 秘密级、机密级、绝密级。

涉密信息系统的管理要求： 信息化条件下的保密管理要做到“集中管控、终端不存、个人不留”，这已经成为涉密信息系统重要的安全保密标准之一。

涉密信息系统分级保护的管理过程： 涉密信息系统分级保护的管理过程分为8个阶段。

系统定级阶段；安全规划方案设计阶段；安全工程实施阶段；信息系统测评阶段；系统审批阶段；安全运行及维护阶段；定期评测与检查阶段；系统隐退终止阶段。

涉密信息系统安全运行的隐患与防范： 运行及维护过程的不可控性及随意性，往往是涉密信息系统安全运行的重大隐患。必须通过运行管理和控制、变更管理和控制，对安全状态进行监控，对发生的安全事件及时响应，在流程上对系统的运行维护进行规范，从而确保涉密信息系统正常运行。