第1章 信息系統安全概述
21世紀是信息時代,信息系統已成為社會發展的重要戰略資源,社會信息化更是被公認為當今世界發展潮流的支柱和核心。而信息系統的安全在信息社會中將扮演極為重要的角色,它直接關系到國家機關的運作、企業經營和人們的日常生活。一般而言,傳統觀點認為,信息安全是計算機、通信、物理、數學等領域的交叉學科,但在今天的高度信息化的社會里,信息系統在各行各業及社會的不同層面的廣泛應用使得信息安全已不再純粹是技術問題了。要有效地保障信息系統的安全,就需要用新的思維、從新的角度來重新看待、認識、理解信息安全問題。
作為本書的第1章,將從信息系統和信息安全的發展歷程開始,介紹信息安全的相關概念、信息系統安全體系等內容。通過學習和理解這些內容,能夠整體地了解什么是信息系統,信息系統的安全問題從何而來,信息系統安全體系如何架構等。
1.1 信息安全簡介
1.1.1 信息化與信息系統的發展情況
信息安全的目標與計算機的發展密切相關,它并不是一個固定不變的概念,而是伴隨著計算機的發展而不斷變化的。因此,更多的了解計算機的發展歷史將有助于理解信息系統安全目標的演變過程。
信息系統(Information System)是以提供特定信息處理功能、滿足特定業務需要為主要目標的計算機應用系統。現代化的大型信息系統都是建立在計算機操作系統和計算機網絡不斷發展的基礎上。因此,一直以來,信息安全的問題都受到操作系統和網絡安全特征的影響。下面先回顧一下過去數十年來,計算機與操作系統和網絡技術的發展,以及它們的安全特征。
計算機自20世紀40年代誕生以來,在不斷發展的過程中,經歷了四個重要階段的飛躍,與此同時操作系統也經歷了相應的變化。
(1)第一階段(20世紀40年代中期至50年代中期)。計算機由大量的繼電器和真空管組成,機器的使用是通過在插接板上連線的方式,來控制其基本功能。50年代初出現了穿孔卡片,取代了插接板,程序員將程序寫在卡片上,再讀入計算機。在這一階段,計算機體積龐大,只能進行基本的數值運算,沒有所謂的編程語言(包括匯編語言),更沒有操作系統的概念。此時的計算機無法存儲信息,功能極其有限,只用于科學計算,在某一時間段內只能運行一個程序,自然不存在所謂的信息安全問題。
(2)第二階段(20世紀50年代中期至60年代中期)。計算機由晶體管組成,除了具備運算功能外,由于采用了磁鼓和磁盤作為輔助存儲器,才具有了一定的存儲能力。因此,計算機不僅繼續用于科學計算,在商業和工程中也開始得到應用。此時的計算機體積變小但成本高,為了降低成本,采用了批處理系統方案。批處理系統是現代操作系統的前身。在這一階段人們開始批量生產中小型計算機,但這種機器的成本仍然很高;它具備一定的運算能力和存儲能力;在某一時間段內,程序員輸入一批作業后機器開始處理。這時的計算機,只能采用單用戶處理模式,因此除了擔心物理安全外,只需考慮作業與作業之間出現數據錯寫的問題,因此計算機面臨的風險和威脅都很有限。
(3)第三階段(20世紀60年代中期至70年代末)。計算機開始發展為由集成電路組成,出現了只讀存儲設備,計算機技術高速發展,由此計算機也進入了產品大規模生產的發展時期,小型機開始崛起。為了降低成本,人們希望能將原來用于科學工程的數值運算功能和用于商業的存儲打印功能結合起來。這時,IBM公司推出了操作系統這一解決思路,希望實現所有的軟件都能在所有的計算機上運行。此時的操作系統所實現的關鍵功能就是“多道程序”和“分時系統”,“分時系統”晚于“多道程序”出現。這兩項功能就意味著在同一臺機器上,會有多個用戶運行著多個進程,分別處理和存儲不同的數據。這時的計算機體積進一步變小,成本也大為降低;運行速度和存儲能力不斷增強,能滿足多個用戶運行多個程序,處理大量數據。在這一階段,計算機用戶除了考慮物理安全之外,還面臨著數據被竊取、用戶身份被盜用、不同進程之間的安全影響等問題。在20世紀70年代出現局域網后,安全問題就變得更為復雜了。
(4)第四階段(20世紀80年代中期至今)。20世紀70年代以后,計算機集成電路的集成度從中小規模迅速發展到大規模、超大規模的水平,微處理器和微型計算機應運而生,各類計算機的性能迅速提高。操作系統也逐漸發展出命令行系統(如MS-DOS)、圖形操作界面系統(如 Windows 系統)、網絡操作系統和分布式操作系統。同時,計算機網絡也從相對封閉的局域網發展為萬維網。小型計算機、通用計算機和專用計算機的需求量急速增加,應用范圍也相應擴大。人們不僅可以在同一臺機器上多用戶執行多進程,還能通過網絡遠程控制和訪問其他機器的文件與數據。通過網絡傳輸的信息量也達到驚人的程度。這時的信息系統所面臨的風險和威脅是空前復雜的。信息系統安全這一概念也從最初簡單狹窄的物理安全、數據安全擴展到其他更廣泛的領域,成為當前所理解的“信息安全”。
今天的計算機無論在體積、界面、計算能力方面都跟20世紀80年代的計算機有很大差別,但從計算機結構、軟件結構及計算模型等方面看來,今天的計算機系統跟 20多年前的計算機系統的差別并不大。然而,正當計算機系統開始朝著商品化發展時,計算機網絡卻以更快的速度發展著。廉價的網絡設備與網絡服務使得網絡日益普及,網絡服務的滲透也悄然地為大型信息系統的廣泛應用創造了前所未有的契機。
網絡的發展也對信息安全問題帶來很大的沖擊。要了解信息安全的內涵,不能不先了解計算機網絡技術的發展歷程。相比于計算機及操作系統的發展,計算機網絡的發展并不完全同步,它也經歷了四個階段。
(1)第一階段(20世紀60年代末期到70年代初期)。這一階段是計算機網絡的萌芽階段,計算機發展則處于第三階段前期,計算機世界被使用分時系統的巨型機所統治。人們通過只含顯示器和鍵盤的終端設備來使用主機。終端設備很像PC,但沒有它自己的CPU、內存和硬盤。依靠終端設備,成百上千的用戶可以同時訪問主機。分時系統將主機時間分成片,給用戶分配時間片。因此,終端設備之間無法直接進行通信,所謂的計算機網絡還算不上真正意義上的網絡。
(2)第二階段(20世紀70年代中期到70年代末期)。這一階段是計算機局域網形成階段,計算機發展則處于第三階段后期,分時系統從巨型機逐漸應用于中小型計算機,由此計算機之間相互連接,開始形成一定的層次和組織體系,并慢慢地形成了計算機局域網。
(3)第三階段(20世紀80年代)。這一階段是計算機局部網絡發展的成熟階段,計算機局部網絡開始走向產品化、標準化,形成了開放系統的互聯網絡。為了使計算機之間的通信連接可靠,建立了分層通信體系和相應的網絡通信協議,于是誕生了以資源共享為主要目標的計算機網絡。由于網絡中的計算機之間具有數據交換的能力,使得在更大范圍內,計算機之間能協同工作、實現分布處理甚至并行處理。聯網用戶之間直接通過計算機網絡,進行信息交換的通信能力也大大增強。
20世紀80年代初,隨著個人計算機(Personal Computer,PC)應用的推廣,PC聯網的需求也隨之增大,各種基于PC 互聯的微機局域網紛紛出現。這個時期的微機局域網系統的典型結構,是在共享媒質通信網平臺上的共享文件服務器,即為所有聯網 PC設置一臺專用的可共享的網絡文件服務器。每個PC用戶的主要任務仍在自己的PC上運行,僅在需要訪問共享磁盤文件時才通過網絡訪問文件服務器,這體現了在計算機網絡中各計算機之間的協同工作。這種基于文件服務器的微機網絡對網內計算機進行了分工:PC面向用戶,微機服務器專用于提供共享文件資源。所以這種網絡實際上就是一種客戶機/服務器模式。
計算機網絡系統是非常復雜的系統,計算機之間相互通信涉及許多復雜的技術問題。為實現計算機網絡通信,計算機網絡采用的是分層解決網絡技術問題的方法。但是,由于存在不同的分層網絡系統體系結構,基于這些體系結構開發的產品之間很難實現互聯。為此,國際標準化組織(ISO)在1984年正式頒布了“開放系統互聯基本參考模型”OSI國際標準,使計算機網絡體系結構實現了標準化。
(4)第四階段(20世紀90年代至今)。這一階段是計算機萬維網的發展階段。進入90年代,計算機技術、通信技術及計算機網絡技術得到了迅猛的發展。特別是 1993年美國宣布建立國家信息基礎設施后,全世界許多國家紛紛制定和建立本國的國家信息基礎設施,從而極大地推動了計算機網絡技術的發展,使計算機網絡發展進入了一個嶄新的階段。在90年代,全球以美國為主導的高速計算機互聯網絡(即Internet)已經成為人類最重要的、最大的通用計算機網絡。即使如此,Internet的發展并沒有停下來。美國政府又分別于1996年和1997年開始,研究發展更加快速可靠的互聯網2(Internet 2)和下一代互聯網(Next Generation Internet)。
時至今日,Internet技術的高度成熟與滲透使得Internet成為各種大型分布式信息系統的系統結構的一部分。網絡互聯、高速計算機網絡及移動網絡正成為最新一代計算機網絡的發展方向。然而,網絡的高滲透與普及得益于Internet的開放特點,可是信息安全的問題也正因為Internet的開放特點而變得越來越嚴峻。
1.1.2 信息系統安全的發展
從上面的簡略介紹可知,隨著計算機操作系統和網絡的發展,人們所面臨的安全問題也在不斷變化,信息安全的內涵也相應產生變化。本節將具體地講述信息安全的發展過程。
(1)單機單用戶時期(20世紀40年代至60年代中期)。這時還處于最簡單的情況,即一臺機器、一個用戶、一個進程。這種情況下就不存在計算機的安全問題,而只有物理安全的問題。但即使是物理安全,在60年代出現中小型機之前,因為計算機體積巨大,用戶也不用考慮計算機會被偷走的問題。60年代初計算機出現了多進程運行的情況,但仍不存在真正意義上的信息安全問題,主要還是物理安全問題。計算機安全只需考慮不同進程的保護、防止進程出錯、將一個進程的數據錯寫到另一個進程的地址空間里。因為只有一個用戶,即使一個進程可能在另一個進程里修改復制數據,但因為兩個進程屬于一個用戶,沒有偷自己數據的必要,就并不用擔心數據泄露的問題。為了防止數據錯寫,操作系統設定一個進程就只能在一個地址空間里寫讀,超出了規定地址的進程時會被自動終止。因此這時的計算機安全考慮比較簡單。
(2)單機多用戶時期(20世紀60年代末至80年代末)。從60年代末開始,大型機和分時系統開始應用。此時情況是在同一臺機器上多用戶運行多進程,共用文件系統、CPU 等資源。因此,人們開始擔心這些文件系統、CPU的安全,除了仍然存在進程干擾數據錯寫的問題之外,還擔心一個用戶會偷看、復制或篡改另一個用戶的數據。
在20世紀90年代初,大學里所有教師、學生都共用一個服務器,來做實驗、設計考試題目、交作業論文等,這就很容易產生安全問題。例如,一個學生可能會利用文件系統的漏洞到老師的文件夾里偷看考試題目。為了應對這一情況,這一階段的安全保護措施主要是把所有數據的保護職責交給了機器,由操作系統來保護數據。操作系統進行用戶身份認證和訪問控制,它知道所有用戶的權限、能訪問的文件范圍及使用CPU的時限(以前由于CPU資源緊張,對每個用戶有使用CPU時間的限制)等。
此時的信息安全采取集中式管理,由操作系統來具體實現,因此,信息安全就相當于是計算機安全。
(3)多機多用戶時期(20世紀80年代末至今)。在80年代出現計算機網絡后,一般情況變成了多臺機器上多用戶的多進程之間的交互與訪問,還出現了由多臺機器構建而成的分布式系統,此時安全問題就更加復雜。例如,在90年代的網上銀行系統里,銀行用戶利用便攜式計算機,通過 Internet 網絡連上銀行的業務服務器,進行網上銀行轉賬查詢等操作。當連上網上銀行業務服務器后,便攜式計算機成了整個網上銀行系統的一部分,也就變成網上銀行服務信息系統的一個外延模塊。但便攜式計算機和網上銀行服務軟件系統分屬于不同的主體(Subject),這就是新出現的安全問題。由于出現多臺機器分由不同的人員或組織管理,而這些管理人員或組織相互之間并不信任,所以就出現了新的安全問題。
在以上的網上銀行系統的案例中,服務器、數據庫及賬戶、金額、用戶密碼等關鍵數據由銀行進行管理并負責,用戶密碼及安裝在個人計算機上的客戶端等由客戶自己管理并負責。在進行網上銀行交易時,銀行要認證用戶身份、確認用戶權限,然后再執行用戶要求;銀行還要對所有訪問網上銀行的用戶進行訪問控制,不能讓用戶隨意訪問業務數據庫以修改關鍵數據,如賬戶金額等。同時,用戶也會擔心銀行的系統不安全,怕賬戶數據丟失或者被篡改,面臨著財務損失的風險。
當前,正是由于計算機網絡和分布式系統的發展,機器由不同的人員或組織進行分布式管理,機器之間的交互、網絡上傳輸的數據量越來越龐大,對人們的影響也越來越巨大,因此信息安全的內涵大為擴充,已經不僅是計算機安全、信息技術的問題,而是擴展為組織安全、業務安全等管理問題。
1.1.3 安全需求的來源
如1.1.2節所說,由于計算機安全管理從集中式的OS(Operating System)處理,變成了多系統多組織的分布式管理;各組織所用的大型分布式信息系統的功能也不僅限于20 世紀 60年代的數值運算和存儲打印,因此,信息系統在實際應用中就會面臨著千差萬別的情況。
同時,信息系統的存在的意義主要是為了支持機構達到其管理目標和業務運營,關鍵還在于為其業務運行和機構目標服務,在構建信息系統過程中所考慮的各種因素也必須以此為核心。因此,在進行實際的信息系統構建時,技術人員都需進行相應的安全需求分析。信息系統的安全需求是根據信息系統要滿足的安全目標而來的,而安全目標又是由其機構和業務的管理目標而來的。
在進行安全需求分析時,先根據數據自身性質(Information Type)確定其安全需求。當安全保護措施被破壞(如數據被篡改、非法獲取)時,信息系統和擁有該信息系統的機構將遭受不同程度的負面影響。安全需求分類,就是根據數據安全保護被破壞時所造成的影響對數據進行分類。這是安全需求分類的概念,但如何具體保障安全需求呢?
一般而言,信息安全的理論研究涉及如機密性、完整性、真實性、抗抵賴性等基本屬性。安全需求的目標,就是要確保信息系統有足夠的保護措施以達到這些基本屬性,所以這些基本屬性也稱為“安全目標”。但這些理論上的定義卻不一定能滿足實際需要。
機構一般需要從自身的實際情況考慮,在安全風險與系統成本之間做出平衡。因此,不同的組織機構(甚至在同一組織機構的不同部門)都會因為業務特點對某些安全屬性更為重視。所以,從屬于不同機構的信息系統就很可能有不一樣的安全目標。例如,一般企業的電子商務系統和國家部門的電子政務系統之間的安全需求就有很大的區別。信息系統的不同部分又有不一樣的安全目標,例如,在信息系統中,業務處理子系統會更關注于業務連續性,而數據庫系統會關注于數據的機密性,子系統之間的數據傳輸部分又會關注于完整性和不可抵賴性。
因此,在構建一個安全信息系統之前,首先,要分析機構對于安全的理解是怎樣的,機構的領導者和管理人員希望信息系統能滿足機構的哪一方面的安全需求;然后,才能談安全標準、安全技術等概念的具體實現。
可是,機構的管理人員一般不一定是安全專家或技術專家,那么,如何來獲取和分析他們對于安全的需求呢?如何讓來自不同領域的人員對信息系統所要實現的安全目標達成共識呢?如何在構建設計信息系統的過程中,對于每一個安全需求是否得到實現和評估效果進行跟蹤呢?這些疑問促使信息系統研究者和設計者去尋求一種工具,這種工具將便于他們理解機構的業務目標、信息需求、技術環境現狀、解決方案等信息,以實現安全信息系統的建構。
針對這需要,利用企業體系結構(Enterprise Architecture,EA)這個信息管理領域的概念來解決管理人員與技術人員的溝通問題。作為一個信息管理的工具,EA 提供一個抽象描述企業信息體系的多視角的框架,能更有效地把信息安全的問題引入這個多視角的框架里,讓不同部門的人員溝通、了解并得到更符合實際需要的分析。本書利用了 EA這一方法來進行安全需求的獲取和分析,EA的相關內容將在第 3章中具體講述。
1.1.4 信息系統安全問題的困境
在了解信息系統的構建過程之前,還需要了解當前信息系統在安全方面所面臨的困境。當前大部分的信息系統一般采用分布式的實現結構,因此本節主要講述分布式系統的安全問題。分布式系統的安全問題至少包括以下四種情況。
(1)監聽和篡改。分布式系統內的數據易受監聽和篡改,主要是因為現代網絡的開放性和缺少集中式的管理。網絡的開放性的原因包括網絡媒質的物理開放和網絡傳輸協議標準的開放。這些開放性導致數據很容易被不懷好意的人員攔截、竊聽,或者被嵌入其他數據以破壞其完整性。
另外,非集中式管理是指在分布式系統中不同的機器通常從屬于不同的管理人員,并且常常應用不同的身份認證機制和安全策略,并且不同的服務器之間也無法保證絕對的信任關系。
(2)假冒身份和擅自泄露信息。由于采取非集中式管理,不同的機器有不同的管理人員、身份認證機制和安全策略,因此,用戶在登錄分布式系統時,可以較輕易地假冒身份或者泄露信息。
(3)程序模塊運行在不同機器上,因此信息必須在開放網絡間傳輸。原因是分布式系統在概念上是軟件進程的分布,其物理前提是構成系統的大量機器的分布。以網上銀行為例,其用戶模塊在個人 PC 上,業務處理應用模塊在銀行服務器中,數據庫在數據服務器上。因此,各項進程分布在多臺機器上,信息通過網絡來傳輸,這就加劇了安全隱患。
(4)系統資源由特定的服務器(Dedicated Server)管理。數據資源、系統資源都由特定的服務器管理,如郵件、數據庫等,通過網絡使用這些數據也帶來很多安全問題。又如,身份認證服務由特定的服務器通過開放的網絡提供,這樣就會身份認證的機制在一臺機器上開始,但卻在另一臺機器上進行驗證,跟身份認證相關的敏感信息就不可避免地需要在開放的網絡上傳輸,從而帶來非常棘手的安全問題。同樣的問題也存在于數據存儲服務過程中,即數據存儲在一臺機器上,又由另一臺機器上的進程來處理。
基于以上的問題和原因,便可知道,單純依靠操作系統的安全措施是不夠的。在理想情況下,分布式系統需要對所有的網絡數據包進行加密,每一個交易客戶端都需要與服務器端進行雙向的身份認證(Two-way Authentication)。分布式系統的安全問題需要強有力的安全保護策略,這與傳統的操作系統的保護很不一樣。
簡單來說,在開放式系統中,安全需求包括:信息不能被惡意篡改,不能向未經授權方泄露信息,信息傳輸雙方的身份認證可信。要滿足這些安全需求,信息系統所實行的安全措施仍基于“加密”和“簽名”。一般來說,這些密碼模塊在身份認證、密鑰交換、安全數據交換中的使用,從而確保信息系統安全措施有效地提供基本的安全服務(機密性、身份認證、完整性、不可抵賴性)。然而,必須再三強調的是,這四個方面并不等于安全本身,而僅僅是安全的服務。正如之前解釋的,很多現實的信息系統往往針對性地只滿足一部分的安全屬性。因為在實際情況下,信息系統的安全需求是一個管理與技術需求的平衡。這個平衡的判斷在很大程度上受到機構的治理(Governance)、業務、成本與風險等因素的影響。
正是由于當前的分布式系統存在這樣的安全問題,有效的安全措施需要由機構多方面獲取和分析安全需求,并基于風險考慮來建構和實施能夠滿足組織和系統安全需求的信息系統。
1.2 信息系統安全基本概念
可以預見將來會有越來越多的信息系統被應用于各種單位、機構中。無論是電子政務、電子商務或者其他業務信息系統,一般都會通過互聯網進行分布式的信息交換。可以說,基于網絡的新一代大型信息系統必將得到越來越廣泛的應用。1.1節從信息系統及信息安全的發展歷史、安全需求的來源,以及當前所面臨的安全問題等方面,對信息系統和信息安全做了概括性描述。為了能更清晰有序地理解信息安全的概念,本節將進一步介紹安全、信息安全、信息系統、分布式系統、信息系統安全等幾個基本概念。
1.2.1 信息安全的相關概念
本節主要探討信息系統安全所涉及的三個概念:安全、信息安全、信息系統安全。
(1)安全。首先,我們探討什么是安全?國家標準(GB/T 28001)對“安全”給出的定義是“免除了不可接受的損害風險的狀態”,也就是防備危害和其他損害。例如,國家安全是指保護主權、資產、資源和人民安全的多層次系統。這只是廣義上的概念性的安全,與安全相對應的,是風險、威脅這兩個定義。不同的機構會面臨不同的風險和威脅,因此,安全具有不同的具體含義。
(2)信息安全。相對于安全而言,信息安全是一個更為具體的概念,也是在計算機出現之后才特別受到廣泛重視的一個概念。由于信息安全在政府和企業系統的普遍重視,眾多國內外的標準化組織都把信息安全納入其標準體系中。然而在不同的標準體系中,信息安全卻有不盡相同的定義。這在某程度上也印證了之前提到的問題,就是“安全”沒有絕對的定義,而且受環境與業務等因素的影響。
例如,根據美國國家安全系統委員會(Committee on National Security Systems,CNSS)所發布的標準,定義:“信息安全(Information Security)就是保護信息及其關鍵要素,包括使用、存儲以及傳輸信息的系統和硬件”。CNSS信息安全概念的基礎是CIA,即機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。
再如,根據ISO/IEC 27000:2005《信息安全管理體系原理與術語》中對“信息安全”(Information Security)定義為“保護、維持信息的機密性、完整性和可用性,也可包括真實性、可核查性、抗抵賴性、可靠性等性質”。
從具體的需求分析,信息安全則可以涉及物理安全、操作安全、通信安全、系統安全、網絡安全、數據安全、安全管理等多個方面的概念。
(3)信息系統安全。然而,以上所提及的信息安全的幾個概念等都是理論上的定義,在現實的工程應用中這些理論上的概念與機構的實際需求還可能存在較大的差距。信息系統安全是一個更為具體的實際概念,因為信息系統是為實現不同業務目標的應用系統。因此,在理解信息系統安全時,必須從機構的組織層面、從應用角度來理解。信息系統安全的最終目標還是為了支持、促進所屬機構的長遠發展,因此在評價信息系統是否安全時,需要考慮以下幾個問題:信息系統是否滿足機構自身的發展目的或使命要求?信息系統是否能為機構的長遠發展提供安全方面的保障?機構在信息安全方面所投入的成本與所保護的信息價值是否平衡?什么程度的信息系統安全保障在給定的系統環境下能保護的最大價值是多少?信息系統如何達到有效地實現安全保障?等等。
機構的安全目標一般是指:信息系統遵守了國家的相關安全法律法規,遵循了行業內的相關標準,能確保機構運轉正常,能持續性地提供給支撐業務所需的服務功能。也就是說,信息系統所提供的功能提高了業務的競爭力,能為機構的長遠發展提供安全保障和支持,同時,從成本效益角度分析來看,在安全方面所投入的成本與所防范的風險威脅上是平衡的。
為了深入理解信息系統安全與信息安全的差異,下面將對信息系統進行更具體的介紹,信息系統的特征決定了信息系統安全需要考慮的主要內容。
1.2.2 信息系統概述
信息系統是以提供特定信息處理功能、滿足特定業務需要為主要目標的計算機應用系統。現代化的大型信息系統都是建立在計算機操作系統和計算機網絡不斷發展的基礎上的,典型的信息系統都屬于分布式系統中的一種。一般而言,分布式系統的定義是“一個硬件或軟件組件分布在網絡計算機上,通過消息傳遞進行業務處理和操作協調的系統”。這個簡單的定義基本覆蓋了所有網絡化的信息系統。同一個網絡中的計算機可能在空間上存在一定距離,可能在同一棟樓或同一個房間,但也有可能位于不同的五大洲上。一般而言,分布式系統具有以下幾個典型特征。
(1)物理分布。同一個信息系統內,不同的硬件、軟件和固件會被布置在不同的計算機上,大型的信息系統的這些計算機會被部署在不同的物理地點。這是分布式系統的一個最基本的特征。
當不同計算機面臨物理分布的情況時,進程間進行必需的通信交互、數據傳輸、信息管理、時間同步時,就會面臨諸多安全問題。
(2)環境多變。大型的信息系統會由于機構的業務不同而被部署在不同的位置和環境下,因此,分布式信息系統會面臨應用環境不同的現狀。例如,信息系統或者其中的某一部分,在應用于稅務電子政務時,作為網上辦稅的客戶終端可能被布置在公眾辦稅大廳中;當被用做存儲公眾的稅務信息的數據中心時,可能被放在實現物理保護的安全機房里。分布式信息系統由于機構業務和要實現的功能不同,應用于不同的環境,則會面臨不同的安全問題。
比如,嘗試考慮輸入信息的完整性問題。當信息系統位于公眾辦稅大廳時,理論上在辦稅大廳的任何人都有可能利用客戶終端輸入一些數據。如果對于數據輸入功能沒有進行授權和限制,那么這種情況下的數據完整性問題就要比位于安全機房并實現了門禁管理的信息系統的情況要更多地加以關注。
由此可見,即使是同一套信息系統,當部署在不同的環境中時,就會面臨不同的風險威脅。因此,機構需要針對信息系統的具體情況分析其安全需求,并做出相應的安全策略和保護措施。
(3)分布式管理。一般而言,信息系統的不同機器都有可能由不同的組織或人員管理。由于是分布式管理,因此無法確保每個機器上的輸入都受到同樣適當的授權和限制的保護。
具體來說,如果分布式信息系統內的不同機器是由不同的組織或人員管理,這些管理者都會在他們所管理的計算機內采取不同的具體安全策略與機制來限制和約束數據輸入功能。例如,對于由部門 A 負責的計算機,相應的安全管理制度要求是:“必須要經過部門負責人批準后,才能由專門負責信息數據輸入的工作人員進行相關操作;在輸入的同時,需要有兩名以上的人員進行監督;輸入和修改的數據要有具體的日志記錄以便事后進行責任追究。”與此同時,部門B所負責的計算機沒有實行與部門A相同的安全策略,并且部門內部共用一個公開的計算機用戶名和用戶密碼,也沒有安排專人負責輸入,也沒有監督和事后追究的措施。很明顯部門B的管理缺乏適當的授權、限制和監督。因此,如果部門A的機器需要依靠部門B的人員在部門B的機器上做數據輸入,即使部門A采用了更強的安全保護也是于事無補的。
可見,信息系統的分布式部署就可能產生相應的分布式管理的問題,而不同的管理就有可能會有寬嚴程度不一的管理措施,在管理要求不高的部門內,就會存在對信息輸入的授權、監督和追究所缺乏的安全漏洞。
與此相應的是,分布式管理也存在責任追究的問題。正是由于不同的管理可能會有寬嚴程度不一的管理要求,在有些管理要求不高的部門,由于缺乏對于信息輸入的授權和監督,缺少相關的日志文檔記錄,自然就很難實現對事后的責任追究。
1.2.3 大型網絡信息系統的安全挑戰
以上簡要介紹了信息系統由于自身的分布式特征所面臨的安全挑戰。然而,信息系統安全又不僅限于此。當前的信息系統多為大型信息系統,也多用于支撐和促進大型機構的業務運作與長遠發展。例如,政府部門、學校、大型企業等,這種應用也就意味著大型信息系統所面臨的安全挑戰并非僅僅是信息系統本身的安全挑戰和風險,它也可以影響到整個機構的管理與運作。
因此,信息系統安全的構建和管理應從業務運營乃至機構管理的角度來看待這一問題。從這些角度看安全問題的本質,除了之前提到的業務風險外,還需要考慮以下幾個主要的風險因素:法律風險、財務風險和商譽風險。
(1)法律風險。試用電子銀行系統或電子政務等現實例子來理解法律風險的問題。當信息系統用于支持電子銀行或電子政務時,信息系統必定會在業務處理過程中收集一些必要的用戶或客戶信息。一般來說,用戶都不會太擔心這些信息會被泄露或者濫用,因為一般的銀行服務或政務服務都有相關的法律保護用戶的權益。通常法律條文會要求服務機構的信息系統妥當地保護用戶信息,以確保用戶的隱私不會泄露。一旦這些信息被泄露后,用戶或客戶就可以依據相關的法律追究擁有信息系統的機構的責任。可見機構所面臨的風險并非是信息系統本身的安全風險,也不是純粹技術上的風險,而是機構需要承擔的法律責任。因此,在當前這個越來越重視個人隱私的環境下,威脅會導致機構遭受損失,甚至會由于系統漏洞而面臨法律風險。在作者曾經參與過的多個電子銀行和電子政務安全信息系統項目里,從其實踐的經驗便明確地告訴我們,絕大部分的機構領導對系統安全的首要目標就是確保信息系統提供的電子服務能依從相關的法律法規要求,避免承擔日后可能面對的法律責任。
(2)財務風險。財務風險仍然是從機構的管理角度來看待這一問題的。以上市公司的信息系統為例,上市公司的年度或季度財務報表在正式公布之前,在公司內都屬于機密數據,因為一旦在正式公布之前泄露給外界,便很可能造成公司股價極大的波動,可能使得公司遭受極大的財務風險。
(3)商譽風險。商譽風險是指,如果機構的信息系統存在一些風險或面臨挑戰,會對機構本身的業務信譽或名聲造成一定的影響。仍以網上銀行為例,假設某一銀行的網上銀行系統存在漏洞被黑客攻擊,造成了客戶賬上的金額被盜竊或者轉移。這時銀行一般有兩種處理辦法可以選擇:一是承認網上銀行系統本身存在漏洞,銀行需要為客戶的損失承擔責任,并由銀行來賠償客戶財產上的損失。如果信息系統面臨這樣的黑客威脅,銀行就必然面臨著財務風險。二是銀行會選擇盡可能證明網上銀行系統不存在安全漏洞的問題,堅持是客戶自己對銀行賬號管理不善或者錯誤操作等原因導致自己的財產損失。如果銀行長期這么做,這家銀行的商譽就必定受到很大的影響。因此,特別是對用于電子商務系統的機構而言,信息系統的安全挑戰中也面臨著商譽風險。
由此可見,從機構層面來看,信息系統所面臨的安全風險,并不是單純幾個抽象理論的安全屬性,而是實實在在的與機構目標相關、為機構業務服務、實現機構利益的過程中所面臨的風險。工程人員在構建信息系統的過程中,切不可忘了這一前提。
1.3 信息系統安全體系概述
以上內容概述性地介紹了信息系統和信息安全的相關歷史和概念及現狀。為了更深入系統地了解信息系統安全的基本概念,本節主要介紹信息系統安全體系的概念及組成,這將有助于從技術、管理、標準、法規等方面來理解信息系統安全。
1.3.1 信息系統安全體系
機構為了實現其管理目標,需要構建和部署符合機構發展需要的信息系統。信息系統需要符合機構在業務、信息、解決方案及技術等方面多個維度的目標。其中,安全目標是技術方面的目標之一。為了實現安全目標,信息系統需要部署與安全相關的物理組件和邏輯組件。而這些與安全相關的組件便構成了常見的信息系統安全體系(Information Systems Security Architecture, ISSA)。
一般而言,ISSA主要包括四個方面:
· 信息系統安全技術體系;
· 信息系統安全管理體系;
· 信息系統安全標準體系;
· 信息系統安全法律法規。
圖 1-1所示的信息系統安全體系框架顯示了這幾個方面的關系。這一框架將有助于信息系統安全的全面實現,完整的信息系統安全體系應圍繞著以上四個方面展開。具體而言,即以法律法規作為安全目標和安全需求的依據;以標準規范體系作為檢查、評估和測評的依據;以管理體系作為風險分析與控制的理論基礎與處理框架;以技術體系作為風險控制的手段與安全管理的工具。
圖1-1 信息系統安全體系框架
在接下來的幾節中將逐一介紹這幾個與安全相關的體系,以及它們在構建安全信息系統時的相互關系。
1.3.2 信息系統安全技術體系
信息系統安全技術體系是對實現安全信息系統所采用的安全技術的構建框架,包括:信息系統安全的基本屬性,信息系統安全的組成與相互關系,信息系統安全等級劃分,信息系統安全保障的基本框架,信息系統風險控制手段及其技術支持等。
從具體的應用軟件構建劃分,信息系統安全技術體系分為傳輸安全、系統安全、應用程序安全和軟件安全。一個常見的理解是信息系統安全技術體系的角度。根據所涉及技術的不同,可將信息系統安全技術體系粗略地分為以下幾項技術:
· 信息系統硬件安全;
· 操作系統安全;
· 密碼算法技術;
· 安全協議技術;
· 訪問控制管理;
· 安全通信技術;
· 應用程序安全;
· 身份識別和認證管理技術;
· 入侵監測技術;
· 防火墻技術等安全信息系統的構建技術。
這些技術都是構建安全信息系統的必要模塊,而且必須合理有序地連接起來,形成一個支撐安全信息系統的技術平臺。
圖1-2所示的信息系統安全技術體系框架,可以幫助了解這些安全模塊在實際構建安全信息系統時它們之間的相互關系。
圖1-2 信息系統安全技術體系
1.3.3 信息系統安全管理體系
一個機構的信息系統安全管理體系,是從機構的安全目標出發,利用機構體系結構這一工具分析并理解機構自身的管理運行架構,并納入安全管理理念,對實現信息系統安全所采用的安全管理措施進行描述,包括信息系統的安全目標、安全需求、風險評估、工程管理、運行控制和管理、系統監督檢查和管理等方面,以期在整個信息系統開發生命周期內實現機構的全面可持續的安全目標。其中,機構體系結構將在第3章詳細介紹,信息系統開發生命周期將在第16章詳細介紹。
信息系統安全管理體系范圍廣闊,主要包括以下內容:
· 安全目標確定;
· 安全需求獲取與分類;
· 風險分析與評估;
· 風險管理與控制;
· 安全計劃制定;
· 安全策略與機制實現;
· 安全措施實施。
信息系統安全管理體系框架圖如圖1-3所示。
圖1-3 信息系統安全管理體系
信息系統的構建主要基于安全目標和風險。因為作為一套為機構業務提供服務的信息系統,在它的構建過程中,工程人員首先要考慮信息系統在安全方面需要滿足哪些安全目標,然后再分析評估所面臨的風險。因此,信息系統安全管理體系要建構在安全目標和風險管理的基礎之上。
信息系統安全管理體系各組成部分的關系具體如下:
(1)信息系統的安全目標由與國家安全相關的法律法規、機構組織結構、機構的業務需求等因素確定;
(2)將安全目標細化、規范化為安全需求,安全需求再按照信息資產(如業務功能、數據)的不同安全屬性和重要性進行分類;
(3)安全需求分類后,要分析系統可能受到的安全威脅和面臨的各種風險,并對風險的影響和可能性進行評估,得出風險評估結果;
(4)根據風險評估結果,選擇不同的應對措施和策略,以便管理和控制風險;
(5)制定安全計劃;
(6)設定安全策略和相應的實現策略的機制;
(7)實施安全措施。
很明顯,在信息系統安全管理體系的組成部分里,有很多的管理概念與管理過程并不屬于技術的范疇,但同時卻是選擇技術手段的依據。例如,信息資產的重要性、風險影響的評估、應對措施的選擇等問題,都需要機構的最高管理層對機構的治理、業務的需要、信息化的成本效益、開發過程管理等問題上做出管理決策。所以,從機構目標的角度看,信息安全管理并不是單純的技術管理,它也涉及整個機構長遠發展的管理(Administration)。
在本書中,由于篇幅所限,安全管理主要圍繞著安全需求和風險兩個關鍵概念進行闡述,分別在第2~7章中介紹相關的信息系統安全管理的內容。
1.3.4 信息系統安全標準體系
標準是技術發展的產物,它又進一步推進技術的發展。完整的信息系統安全標準體系,是建立信息系統安全體系的重要組成部分,也是信息系統安全體系實現規范化管理的重要保證。
信息系統安全標準體系是對信息系統安全技術和安全管理的機制、操作和界面的規范,是從技術和管理方面以標準的形式對有關信息安全的技術、管理、實施等具體操作進行的規范化描述。
除了安全標準體系能對信息安全的技術、管理、實施進行規范之外,國家及行業的相關安全標準規范也明確地規定了安全的根本目標和安全需求。因此,機構在構建信息系統之前,必須先明確機構的安全目標和安全需求,確保將要實現的信息系統安全特性真正地符合機構的目標,此時,國家法律法規和標準規范就將作為制定目標和需求的依據。信息系統安全標準體系框架如圖1-4所示。
圖1-4 信息系統安全標準體系框架
1.3.5 信息系統安全法律法規
信息系統安全法律法規是信息系統安全體系中極為重要的組成部分,也是信息系統安全必須遵循的基線。
為了控制機構保密和安全風險,了解一個機構的法律責任和道德義務至關重要。現代社會中,法律訴訟案件極為常見,為了避免刑事懲罰,降低民事責任所帶來的財務損失,機構所構建的信息系統在設計、實施和管理上必須遵守機構所在國家的信息安全相關的法律法規,以及相關國家標準和行業標準。
因此,信息安全從業人員必須理解當前的法律環境,及時了解出臺的相關法律、規則。只有符合法律規定和標準要求,適當地使用信息技術和信息安全技術,才能使信息系統為實現機構的首要目標起到積極作用。
信息系統安全法律法規的具體內容將在第5部分“信息系統安全標準規范與法律法規”中的第13、14章詳細介紹。
1.4 小結
前面從技術、管理、標準、法律法規等四個體系介紹了信息系統安全體系的各組成部分和作用。至此,信息系統安全體系可以通過一個包含以上四個體系的整體框架來描述、理解。
圖 1-1所示的是信息系統安全體系框架,深入理解這一框架,將有助于信息系統安全的全面實現。完整的信息系統安全體系應圍繞著以上四個方面展開。具體而言,即以法律法規作為安全目標和安全需求的依據;以標準規范體系作為檢查、評估和測評的依據;以管理體系作為風險分析與控制的理論基礎與處理框架;以技術體系作為風險控制的手段與安全管理的工具。
作為本書的第1章,本章從信息系統和信息安全的發展歷程開始,讓讀者了解信息安全的相關概念、信息系統安全體系等內容。通過學習和理解這些內容,我們能夠整體地了解什么是信息系統,信息系統的安全問題從何而來,信息系統安全體系大致如何。本章也簡要介紹了本書的目標、范圍和閱讀對象,這也便于讀者能對本書有全面的認識。