信息系统安全是一个绕不开的话题。从事IT行业，不论何种角色，哪个工种，都需要有所了解。

一、信息系统安全策略

1、概述

信息系统安全策略是指对（本单位）信息系统的安全风险（安全威胁）进行有效的识别、评估后，所采取的各种措施、手段，以及建立的各种管理制度、规章等。

由于事关重大，所以安全策略必须由单位最高领导人授权，全员讨论修订；宣布施行后，任何人不得违反。

安全策略的核心内容是“七定”：
1）定方案
2）定岗
3）定位
就是摆正安全策略的位置。出发点、管辖范围之类吧。

定位：
1．确定事物的名位。
2．一定的规矩或范围。
3．用仪器等对物体所在的位置进行测量。亦指经测量后确定的位置。
4．确定座位次序。

4）定员
5）定目标
6）定制度
7）定工作流程

首要是定方案，其次是定岗。

2、建立安全策略需要处理好的关系

1）安全与应用的依存关系
安全与应用相互依存，但又相互矛盾，需要取得平衡。

2）风险度的观点
没有绝对、永远的安全，安全是相对的，是一个风险大小的问题。

3）适度安全的观点
何为适度？需要经过风险综合评估，才能得出结论。比如威胁、资产、脆弱性、安全措施等。并且要清楚，安全强度越高，付出的代价也越大。

4）木桶效应的观点
短板。

5）信息系统安全登记保护的概念

第一级：
普通内联网用户

第二级：
需要保密的非重要单位

第三级：
适用于地方各级国家机关、金融单位、邮电通信、能源与水源供给、交通运输、大型工商与信息技术企业、重点工程建设等单位

第四级：
中央级国家机关、广播电视、重要物资储备、社会应急、尖端科技、国家重点科研单位、国防建设等部门

第五级：
国防关键部门，依法需要对计算机信息系统实施特殊隔离的单位。

信息系统的安全保护等级由被侵害客体，和对客体的侵害程度构成。

3、信息系统安全策略设计原则

8个总原则和10个特殊原则。

8个总原则里有主要领导人负责原则、注重费效比原则、系统和动态原则等；

10个特殊原则有分权制衡原则、最小特权原则、标准化原则、职责分离原则、审计独立原则等。

4、信息系统安全 方案

1）与信息系统安全方案有关的系统组成因素
包括硬件、操作系统、数据库、网络、数据存储方案和存储设备、软件、应急处理方案等

2）确定信息系统安全方案
（1）首先确定体系架构
（2）确定业务和数据存储的方案
（3）网络拓扑结构
（4）基础安全设施和主要安全设备的选型
（5）确定安全级别
（6）资金和人员等

二、信息安全系统工程

1、概述

信息安全系统工程（而不是信息系统安全工程），这一术语明白无误地表明，信息安全系统工程就是建设一个信息安全系统，而不是一个不受重视，仿佛可有可无的信息系统的安全子系统。

2、信息安全系统

用一个宏观三维空间图来反映信息安全系统的体系架构

3、信息安全系统架构体系

三种不同系统架构的信息安全保障系统适用于不同业务应用系统的需要。它们都很贵，几十万到上千万，甚至更高。

4、信息安全系统工程基础

1）信息安全系统工程与技术工程的关系
信息安全系统工程离不开硬件工程、软件工程、通信及网络工程、数据存储和灾备工程等

2）信息安全系统工程与安全管理的关系
信息安全系统工程应该吸纳安全管理的成熟规范部分，如物理安全、计算机安全、通信安全、操作系统安全、数据库安全、人员安全等等

5、信息安全系统工程体系结构

ISSE是一门系统工程学，主要内容是确定系统和过程的安全风险，并且使安全风险降到最低，或使其得到有效控制。

信息安全系统工程能力成熟度模型（Information Security System Engineering Capability Maturity Model，ISSE-CMM）是一种衡量信息安全系统工程实施能力的方法，使用面向工程过程，是信息安全系统工程实施的度量标准，覆盖整个生命期，博爱阔工程开发、运行、维护和终止，等等。

三、PKI公开密钥基础设施

公开密钥基础设施PKI

四、PMI权限（授权）管理基础设施

PMI（Privilege Management Infrastructure）即权限管理基础设施，或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。

PMI建立在PKI之上，按照PKI体系架构建立，外形相似，内容却大不同。PKI负责身份鉴别，PMI负责授权管理。

1、访问控制的基本概念

访问主体：发起者，是一个主动的实体，如用户、进程、服务
访问客体：需要保护的资源

2、访问控制机制的分类

因实现的思想不同，访问控制机制可分为强制访问控制（Mandatory Access Control，MAC）和自主访问控制（Discretionary Access Control，DAC）两种。

1）强制访问控制MAC
主体和客体都被分配了安全标签，安全标签标识一个安全等级。访问控制执行时，二者的安全级别进行比较，确定本次访问是否合法。MAC是建立和维护访问权限的一种简便方法，尤其是在与大量用户打交道时，只需要为每个资源建立一个级别，为每个用户建立一个级别。

用户不能改变安全级别和对象（客体？）的安全属性。

MAC的一个很好的例子是Windows对管理员，普通用户和来宾的访问级别。

2）自主访问控制DAC
DAC中的每个资源都有一个可以访问它的用户列表。 DAC通过用户身份而不是权限级别来提供访问。

DAC的优点是灵活性。比如有一个2级用户，需要访问某个1级资源，那么你只能提升该用户访问资源的权限级别，到1级，从而所有1级资源他都能访问了；或者如果降低该资源的访问级别到2级，那所有其他的2级用户也都能访问该资源。反正就是不好办。但使用DAC，则只需要将该用户添加到可以访问该资源的人员列表中即可。

3、访问控制安全模型

1）Bell-LaPadula（BLP）访问控制安全模型

BLP保密模型基于两种规则来保障数据的机密度与敏感度：
上读（NRU）：主体不可读安全级别高于它的数据
下写（NWD）：主体不可写安全级别低于它的数据

2）Biba完整性模型
Biba模型基于两种规则来保障数据的完整性的保密性：
下读（NRU）：主体不可读安全级别低于它的数据
上写（NWD）：主体不可写安全级别高于它的数据

3）BLP和Biba的比较
BLP模型保障保密性，Biba保障数据的完整性。

Biba模型的一个应用例子是web服务的访问。web服务器上发布的资源安全级别为秘密，internet上的用户级别为公开。按照Biba模型，internet用户只能读取服务器上的数据而不能更改。WEB服务器上的数据的完整性将得到保障。

4、基于角色的访问控制

基于角色的访问控制（Role-Based Access Control）技术，有效克服传统访问控制技术中存在的不足之处。

RBAC与MAC的区别在于，MAC是基于多级安全需求的，而RBAC不是。军用系统（MAC是面向军用系统的？）主要防止信息从高安全级别流向低安全级别；而基于角色控制的系统，主要关心保护信息的完整性，即谁可以对什么信息执行何种动作。

角色由管理员定义，用户属于什么角色，只能被动接收，不能自主决定；也不能将权限传给他人，因此是一种非自主型访问控制。

5、PMI支撑体系

【访问控制的应用】
（1）DAC（Discretionary Access Control）自主访问控制
对每个用户指明能够访问的资源，不在指定的资源列表中的对象不允许访问。

（2）ACL（Access Control List）访问控制列表方式
目标资源拥有访问权限列表，指明允许哪些用户访问。

（3）MAC（Mandatory Access Control）强制访问控制
在军事和安全部门中应用较多，目标具有一个包含等级的密级标签，同时访问者拥有等级列表许可，需要相应匹配才能访问。

（4）RBAC（Role-Based Access Control）强制访问控制方式
人员属于角色；为角色分配权限。

6、PMI实施

单位或组织实施PMI，建议采取的步骤为建立属性权威，制定授权策略、进行授权、访问控制和审计的程序编制与应用实施。

建立属性权威：
我的理解是规划授权管理计划，建立一个授权权威中心。属性权威的建立要考虑到系统的管理方便性，总的投资额度，用户和资源的数量以及更新对AA效率的影响。

五、信息安全审计

1、安全审计概念

安全审计（Security Audit）是记录、审查主体对客体进行访问和使用情况，保证安全规则被正确执行，并帮助分析安全事故产生的原因。

2、建立安全审计系统

在计算机网络环境下，建立信息安全审计系统是一个全方位、多层次的复杂系统工程，要深入到计算机应用的每一个领域与技术核心。它按一定规则， 在不同层次获取并分析各种记录、日志、报告等信息资源，以如实反映系统安全情况和那里发生的所有事件。

其中，网络与主机信息监测审计、应用系统信息监测审计、网络安全系统设备信息审计和系统安全评估报告应作为安全审计系统的主体，而物理安全日志记录则主要为重要场所提供直接的现场审计记录和监控，可作为安全审计系统的辅助系统。

建设安全审计系统的主体方案一般包括：

利用网络安全入侵监测预警系统实现网络与主机信息监测审计
对重要应用系统运行情况的审计和基于网络旁路监控方式安全审计

1）基于入侵监测预警系统的网络与主机信息监测审计
入侵监测是指对计算机和网络资源被恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。

网络安全入侵监测预警系统基本功能是负责监视网络上的通信数据流和网络服务器系统中的审核信息，捕捉可疑活动，发现安全问题，发出预警，产生日志。入侵监测和安全审计是因果关系。

2）重要应用系统运行情况审计
主要有4种解决方案
（1）基于主机操作系统代理

操作系统分析系统审计日志。优点通用性、实时性好，但审计粒度较粗，并且无法对违规行为即时进行阻断即。（2）基于应用系统代理审计日志传给代理，再由代理传给操作系统处理。优点是实时性好，可控制性高，缺点是与应用系统绑定较紧，通用性不强。（3）基于应用系统独立程序
在应用系统内部嵌入一个与应用服务同步运行专用的审计服务应用进程，用以全程跟踪应用服务进程的运行。这种解决方案实际上是基于应用程序代理方案的扩充。

（4）基于网络旁路监控方式

优点很多，不对应用程序造成影响是其中之一。

3、分布式审计系统

分布式、多agent（坐席？客户端？）多层次的网络安全审计系统，不仅能对网络数据通信操作系统进行底层审计（如网络上的各种Internet协议），还能对系统和平台（包括操作系统和应用平台）进行中层审计，以及为应用软件服务提供高层审计。

分布式审计系统由审计中心、审计控制台、审计agent组成。
审计中心：对整个审计系统的数据进行存储和管理，并进行应急响应
审计控制台：管理员对审计数据进行查阅，设置审计规则，实现报警功能
审计Agent：审计系统与应用系统的连接件。分为网络监听型、系统嵌入型、主动信息获取型。

相关文章：
公开密钥基础设施PKI
系统安全性分析与设计
Web安全
系统安全
各种数字签名
WEB项目的安全性注意事项