第1章 信息系统安全概述
21世纪是信息时代,信息系统已成为社会发展的重要战略资源,社会信息化更是被公认为当今世界发展潮流的支柱和核心。而信息系统的安全在信息社会中将扮演极为重要的角色,它直接关系到国家机关的运作、企业经营和人们的日常生活。一般而言,传统观点认为,信息安全是计算机、通信、物理、数学等领域的交叉学科,但在今天的高度信息化的社会里,信息系统在各行各业及社会的不同层面的广泛应用使得信息安全已不再纯粹是技术问题了。要有效地保障信息系统的安全,就需要用新的思维、从新的角度来重新看待、认识、理解信息安全问题。
作为本书的第1章,将从信息系统和信息安全的发展历程开始,介绍信息安全的相关概念、信息系统安全体系等内容。通过学习和理解这些内容,能够整体地了解什么是信息系统,信息系统的安全问题从何而来,信息系统安全体系如何架构等。
1.1 信息安全简介
1.1.1 信息化与信息系统的发展情况
信息安全的目标与计算机的发展密切相关,它并不是一个固定不变的概念,而是伴随着计算机的发展而不断变化的。因此,更多的了解计算机的发展历史将有助于理解信息系统安全目标的演变过程。
信息系统(Information System)是以提供特定信息处理功能、满足特定业务需要为主要目标的计算机应用系统。现代化的大型信息系统都是建立在计算机操作系统和计算机网络不断发展的基础上。因此,一直以来,信息安全的问题都受到操作系统和网络安全特征的影响。下面先回顾一下过去数十年来,计算机与操作系统和网络技术的发展,以及它们的安全特征。
计算机自20世纪40年代诞生以来,在不断发展的过程中,经历了四个重要阶段的飞跃,与此同时操作系统也经历了相应的变化。
(1)第一阶段(20世纪40年代中期至50年代中期)。计算机由大量的继电器和真空管组成,机器的使用是通过在插接板上连线的方式,来控制其基本功能。50年代初出现了穿孔卡片,取代了插接板,程序员将程序写在卡片上,再读入计算机。在这一阶段,计算机体积庞大,只能进行基本的数值运算,没有所谓的编程语言(包括汇编语言),更没有操作系统的概念。此时的计算机无法存储信息,功能极其有限,只用于科学计算,在某一时间段内只能运行一个程序,自然不存在所谓的信息安全问题。
(2)第二阶段(20世纪50年代中期至60年代中期)。计算机由晶体管组成,除了具备运算功能外,由于采用了磁鼓和磁盘作为辅助存储器,才具有了一定的存储能力。因此,计算机不仅继续用于科学计算,在商业和工程中也开始得到应用。此时的计算机体积变小但成本高,为了降低成本,采用了批处理系统方案。批处理系统是现代操作系统的前身。在这一阶段人们开始批量生产中小型计算机,但这种机器的成本仍然很高;它具备一定的运算能力和存储能力;在某一时间段内,程序员输入一批作业后机器开始处理。这时的计算机,只能采用单用户处理模式,因此除了担心物理安全外,只需考虑作业与作业之间出现数据错写的问题,因此计算机面临的风险和威胁都很有限。
(3)第三阶段(20世纪60年代中期至70年代末)。计算机开始发展为由集成电路组成,出现了只读存储设备,计算机技术高速发展,由此计算机也进入了产品大规模生产的发展时期,小型机开始崛起。为了降低成本,人们希望能将原来用于科学工程的数值运算功能和用于商业的存储打印功能结合起来。这时,IBM公司推出了操作系统这一解决思路,希望实现所有的软件都能在所有的计算机上运行。此时的操作系统所实现的关键功能就是“多道程序”和“分时系统”,“分时系统”晚于“多道程序”出现。这两项功能就意味着在同一台机器上,会有多个用户运行着多个进程,分别处理和存储不同的数据。这时的计算机体积进一步变小,成本也大为降低;运行速度和存储能力不断增强,能满足多个用户运行多个程序,处理大量数据。在这一阶段,计算机用户除了考虑物理安全之外,还面临着数据被窃取、用户身份被盗用、不同进程之间的安全影响等问题。在20世纪70年代出现局域网后,安全问题就变得更为复杂了。
(4)第四阶段(20世纪80年代中期至今)。20世纪70年代以后,计算机集成电路的集成度从中小规模迅速发展到大规模、超大规模的水平,微处理器和微型计算机应运而生,各类计算机的性能迅速提高。操作系统也逐渐发展出命令行系统(如MS-DOS)、图形操作界面系统(如 Windows 系统)、网络操作系统和分布式操作系统。同时,计算机网络也从相对封闭的局域网发展为万维网。小型计算机、通用计算机和专用计算机的需求量急速增加,应用范围也相应扩大。人们不仅可以在同一台机器上多用户执行多进程,还能通过网络远程控制和访问其他机器的文件与数据。通过网络传输的信息量也达到惊人的程度。这时的信息系统所面临的风险和威胁是空前复杂的。信息系统安全这一概念也从最初简单狭窄的物理安全、数据安全扩展到其他更广泛的领域,成为当前所理解的“信息安全”。
今天的计算机无论在体积、界面、计算能力方面都跟20世纪80年代的计算机有很大差别,但从计算机结构、软件结构及计算模型等方面看来,今天的计算机系统跟 20多年前的计算机系统的差别并不大。然而,正当计算机系统开始朝着商品化发展时,计算机网络却以更快的速度发展着。廉价的网络设备与网络服务使得网络日益普及,网络服务的渗透也悄然地为大型信息系统的广泛应用创造了前所未有的契机。
网络的发展也对信息安全问题带来很大的冲击。要了解信息安全的内涵,不能不先了解计算机网络技术的发展历程。相比于计算机及操作系统的发展,计算机网络的发展并不完全同步,它也经历了四个阶段。
(1)第一阶段(20世纪60年代末期到70年代初期)。这一阶段是计算机网络的萌芽阶段,计算机发展则处于第三阶段前期,计算机世界被使用分时系统的巨型机所统治。人们通过只含显示器和键盘的终端设备来使用主机。终端设备很像PC,但没有它自己的CPU、内存和硬盘。依靠终端设备,成百上千的用户可以同时访问主机。分时系统将主机时间分成片,给用户分配时间片。因此,终端设备之间无法直接进行通信,所谓的计算机网络还算不上真正意义上的网络。
(2)第二阶段(20世纪70年代中期到70年代末期)。这一阶段是计算机局域网形成阶段,计算机发展则处于第三阶段后期,分时系统从巨型机逐渐应用于中小型计算机,由此计算机之间相互连接,开始形成一定的层次和组织体系,并慢慢地形成了计算机局域网。
(3)第三阶段(20世纪80年代)。这一阶段是计算机局部网络发展的成熟阶段,计算机局部网络开始走向产品化、标准化,形成了开放系统的互联网络。为了使计算机之间的通信连接可靠,建立了分层通信体系和相应的网络通信协议,于是诞生了以资源共享为主要目标的计算机网络。由于网络中的计算机之间具有数据交换的能力,使得在更大范围内,计算机之间能协同工作、实现分布处理甚至并行处理。联网用户之间直接通过计算机网络,进行信息交换的通信能力也大大增强。
20世纪80年代初,随着个人计算机(Personal Computer,PC)应用的推广,PC联网的需求也随之增大,各种基于PC 互联的微机局域网纷纷出现。这个时期的微机局域网系统的典型结构,是在共享媒质通信网平台上的共享文件服务器,即为所有联网 PC设置一台专用的可共享的网络文件服务器。每个PC用户的主要任务仍在自己的PC上运行,仅在需要访问共享磁盘文件时才通过网络访问文件服务器,这体现了在计算机网络中各计算机之间的协同工作。这种基于文件服务器的微机网络对网内计算机进行了分工:PC面向用户,微机服务器专用于提供共享文件资源。所以这种网络实际上就是一种客户机/服务器模式。
计算机网络系统是非常复杂的系统,计算机之间相互通信涉及许多复杂的技术问题。为实现计算机网络通信,计算机网络采用的是分层解决网络技术问题的方法。但是,由于存在不同的分层网络系统体系结构,基于这些体系结构开发的产品之间很难实现互联。为此,国际标准化组织(ISO)在1984年正式颁布了“开放系统互联基本参考模型”OSI国际标准,使计算机网络体系结构实现了标准化。
(4)第四阶段(20世纪90年代至今)。这一阶段是计算机万维网的发展阶段。进入90年代,计算机技术、通信技术及计算机网络技术得到了迅猛的发展。特别是 1993年美国宣布建立国家信息基础设施后,全世界许多国家纷纷制定和建立本国的国家信息基础设施,从而极大地推动了计算机网络技术的发展,使计算机网络发展进入了一个崭新的阶段。在90年代,全球以美国为主导的高速计算机互联网络(即Internet)已经成为人类最重要的、最大的通用计算机网络。即使如此,Internet的发展并没有停下来。美国政府又分别于1996年和1997年开始,研究发展更加快速可靠的互联网2(Internet 2)和下一代互联网(Next Generation Internet)。
时至今日,Internet技术的高度成熟与渗透使得Internet成为各种大型分布式信息系统的系统结构的一部分。网络互联、高速计算机网络及移动网络正成为最新一代计算机网络的发展方向。然而,网络的高渗透与普及得益于Internet的开放特点,可是信息安全的问题也正因为Internet的开放特点而变得越来越严峻。
1.1.2 信息系统安全的发展
从上面的简略介绍可知,随着计算机操作系统和网络的发展,人们所面临的安全问题也在不断变化,信息安全的内涵也相应产生变化。本节将具体地讲述信息安全的发展过程。
(1)单机单用户时期(20世纪40年代至60年代中期)。这时还处于最简单的情况,即一台机器、一个用户、一个进程。这种情况下就不存在计算机的安全问题,而只有物理安全的问题。但即使是物理安全,在60年代出现中小型机之前,因为计算机体积巨大,用户也不用考虑计算机会被偷走的问题。60年代初计算机出现了多进程运行的情况,但仍不存在真正意义上的信息安全问题,主要还是物理安全问题。计算机安全只需考虑不同进程的保护、防止进程出错、将一个进程的数据错写到另一个进程的地址空间里。因为只有一个用户,即使一个进程可能在另一个进程里修改复制数据,但因为两个进程属于一个用户,没有偷自己数据的必要,就并不用担心数据泄露的问题。为了防止数据错写,操作系统设定一个进程就只能在一个地址空间里写读,超出了规定地址的进程时会被自动终止。因此这时的计算机安全考虑比较简单。
(2)单机多用户时期(20世纪60年代末至80年代末)。从60年代末开始,大型机和分时系统开始应用。此时情况是在同一台机器上多用户运行多进程,共用文件系统、CPU 等资源。因此,人们开始担心这些文件系统、CPU的安全,除了仍然存在进程干扰数据错写的问题之外,还担心一个用户会偷看、复制或篡改另一个用户的数据。
在20世纪90年代初,大学里所有教师、学生都共用一个服务器,来做实验、设计考试题目、交作业论文等,这就很容易产生安全问题。例如,一个学生可能会利用文件系统的漏洞到老师的文件夹里偷看考试题目。为了应对这一情况,这一阶段的安全保护措施主要是把所有数据的保护职责交给了机器,由操作系统来保护数据。操作系统进行用户身份认证和访问控制,它知道所有用户的权限、能访问的文件范围及使用CPU的时限(以前由于CPU资源紧张,对每个用户有使用CPU时间的限制)等。
此时的信息安全采取集中式管理,由操作系统来具体实现,因此,信息安全就相当于是计算机安全。
(3)多机多用户时期(20世纪80年代末至今)。在80年代出现计算机网络后,一般情况变成了多台机器上多用户的多进程之间的交互与访问,还出现了由多台机器构建而成的分布式系统,此时安全问题就更加复杂。例如,在90年代的网上银行系统里,银行用户利用便携式计算机,通过 Internet 网络连上银行的业务服务器,进行网上银行转账查询等操作。当连上网上银行业务服务器后,便携式计算机成了整个网上银行系统的一部分,也就变成网上银行服务信息系统的一个外延模块。但便携式计算机和网上银行服务软件系统分属于不同的主体(Subject),这就是新出现的安全问题。由于出现多台机器分由不同的人员或组织管理,而这些管理人员或组织相互之间并不信任,所以就出现了新的安全问题。
在以上的网上银行系统的案例中,服务器、数据库及账户、金额、用户密码等关键数据由银行进行管理并负责,用户密码及安装在个人计算机上的客户端等由客户自己管理并负责。在进行网上银行交易时,银行要认证用户身份、确认用户权限,然后再执行用户要求;银行还要对所有访问网上银行的用户进行访问控制,不能让用户随意访问业务数据库以修改关键数据,如账户金额等。同时,用户也会担心银行的系统不安全,怕账户数据丢失或者被篡改,面临着财务损失的风险。
当前,正是由于计算机网络和分布式系统的发展,机器由不同的人员或组织进行分布式管理,机器之间的交互、网络上传输的数据量越来越庞大,对人们的影响也越来越巨大,因此信息安全的内涵大为扩充,已经不仅是计算机安全、信息技术的问题,而是扩展为组织安全、业务安全等管理问题。
1.1.3 安全需求的来源
如1.1.2节所说,由于计算机安全管理从集中式的OS(Operating System)处理,变成了多系统多组织的分布式管理;各组织所用的大型分布式信息系统的功能也不仅限于20 世纪 60年代的数值运算和存储打印,因此,信息系统在实际应用中就会面临着千差万别的情况。
同时,信息系统的存在的意义主要是为了支持机构达到其管理目标和业务运营,关键还在于为其业务运行和机构目标服务,在构建信息系统过程中所考虑的各种因素也必须以此为核心。因此,在进行实际的信息系统构建时,技术人员都需进行相应的安全需求分析。信息系统的安全需求是根据信息系统要满足的安全目标而来的,而安全目标又是由其机构和业务的管理目标而来的。
在进行安全需求分析时,先根据数据自身性质(Information Type)确定其安全需求。当安全保护措施被破坏(如数据被篡改、非法获取)时,信息系统和拥有该信息系统的机构将遭受不同程度的负面影响。安全需求分类,就是根据数据安全保护被破坏时所造成的影响对数据进行分类。这是安全需求分类的概念,但如何具体保障安全需求呢?
一般而言,信息安全的理论研究涉及如机密性、完整性、真实性、抗抵赖性等基本属性。安全需求的目标,就是要确保信息系统有足够的保护措施以达到这些基本属性,所以这些基本属性也称为“安全目标”。但这些理论上的定义却不一定能满足实际需要。
机构一般需要从自身的实际情况考虑,在安全风险与系统成本之间做出平衡。因此,不同的组织机构(甚至在同一组织机构的不同部门)都会因为业务特点对某些安全属性更为重视。所以,从属于不同机构的信息系统就很可能有不一样的安全目标。例如,一般企业的电子商务系统和国家部门的电子政务系统之间的安全需求就有很大的区别。信息系统的不同部分又有不一样的安全目标,例如,在信息系统中,业务处理子系统会更关注于业务连续性,而数据库系统会关注于数据的机密性,子系统之间的数据传输部分又会关注于完整性和不可抵赖性。
因此,在构建一个安全信息系统之前,首先,要分析机构对于安全的理解是怎样的,机构的领导者和管理人员希望信息系统能满足机构的哪一方面的安全需求;然后,才能谈安全标准、安全技术等概念的具体实现。
可是,机构的管理人员一般不一定是安全专家或技术专家,那么,如何来获取和分析他们对于安全的需求呢?如何让来自不同领域的人员对信息系统所要实现的安全目标达成共识呢?如何在构建设计信息系统的过程中,对于每一个安全需求是否得到实现和评估效果进行跟踪呢?这些疑问促使信息系统研究者和设计者去寻求一种工具,这种工具将便于他们理解机构的业务目标、信息需求、技术环境现状、解决方案等信息,以实现安全信息系统的建构。
针对这需要,利用企业体系结构(Enterprise Architecture,EA)这个信息管理领域的概念来解决管理人员与技术人员的沟通问题。作为一个信息管理的工具,EA 提供一个抽象描述企业信息体系的多视角的框架,能更有效地把信息安全的问题引入这个多视角的框架里,让不同部门的人员沟通、了解并得到更符合实际需要的分析。本书利用了 EA这一方法来进行安全需求的获取和分析,EA的相关内容将在第 3章中具体讲述。
1.1.4 信息系统安全问题的困境
在了解信息系统的构建过程之前,还需要了解当前信息系统在安全方面所面临的困境。当前大部分的信息系统一般采用分布式的实现结构,因此本节主要讲述分布式系统的安全问题。分布式系统的安全问题至少包括以下四种情况。
(1)监听和篡改。分布式系统内的数据易受监听和篡改,主要是因为现代网络的开放性和缺少集中式的管理。网络的开放性的原因包括网络媒质的物理开放和网络传输协议标准的开放。这些开放性导致数据很容易被不怀好意的人员拦截、窃听,或者被嵌入其他数据以破坏其完整性。
另外,非集中式管理是指在分布式系统中不同的机器通常从属于不同的管理人员,并且常常应用不同的身份认证机制和安全策略,并且不同的服务器之间也无法保证绝对的信任关系。
(2)假冒身份和擅自泄露信息。由于采取非集中式管理,不同的机器有不同的管理人员、身份认证机制和安全策略,因此,用户在登录分布式系统时,可以较轻易地假冒身份或者泄露信息。
(3)程序模块运行在不同机器上,因此信息必须在开放网络间传输。原因是分布式系统在概念上是软件进程的分布,其物理前提是构成系统的大量机器的分布。以网上银行为例,其用户模块在个人 PC 上,业务处理应用模块在银行服务器中,数据库在数据服务器上。因此,各项进程分布在多台机器上,信息通过网络来传输,这就加剧了安全隐患。
(4)系统资源由特定的服务器(Dedicated Server)管理。数据资源、系统资源都由特定的服务器管理,如邮件、数据库等,通过网络使用这些数据也带来很多安全问题。又如,身份认证服务由特定的服务器通过开放的网络提供,这样就会身份认证的机制在一台机器上开始,但却在另一台机器上进行验证,跟身份认证相关的敏感信息就不可避免地需要在开放的网络上传输,从而带来非常棘手的安全问题。同样的问题也存在于数据存储服务过程中,即数据存储在一台机器上,又由另一台机器上的进程来处理。
基于以上的问题和原因,便可知道,单纯依靠操作系统的安全措施是不够的。在理想情况下,分布式系统需要对所有的网络数据包进行加密,每一个交易客户端都需要与服务器端进行双向的身份认证(Two-way Authentication)。分布式系统的安全问题需要强有力的安全保护策略,这与传统的操作系统的保护很不一样。
简单来说,在开放式系统中,安全需求包括:信息不能被恶意篡改,不能向未经授权方泄露信息,信息传输双方的身份认证可信。要满足这些安全需求,信息系统所实行的安全措施仍基于“加密”和“签名”。一般来说,这些密码模块在身份认证、密钥交换、安全数据交换中的使用,从而确保信息系统安全措施有效地提供基本的安全服务(机密性、身份认证、完整性、不可抵赖性)。然而,必须再三强调的是,这四个方面并不等于安全本身,而仅仅是安全的服务。正如之前解释的,很多现实的信息系统往往针对性地只满足一部分的安全属性。因为在实际情况下,信息系统的安全需求是一个管理与技术需求的平衡。这个平衡的判断在很大程度上受到机构的治理(Governance)、业务、成本与风险等因素的影响。
正是由于当前的分布式系统存在这样的安全问题,有效的安全措施需要由机构多方面获取和分析安全需求,并基于风险考虑来建构和实施能够满足组织和系统安全需求的信息系统。
1.2 信息系统安全基本概念
可以预见将来会有越来越多的信息系统被应用于各种单位、机构中。无论是电子政务、电子商务或者其他业务信息系统,一般都会通过互联网进行分布式的信息交换。可以说,基于网络的新一代大型信息系统必将得到越来越广泛的应用。1.1节从信息系统及信息安全的发展历史、安全需求的来源,以及当前所面临的安全问题等方面,对信息系统和信息安全做了概括性描述。为了能更清晰有序地理解信息安全的概念,本节将进一步介绍安全、信息安全、信息系统、分布式系统、信息系统安全等几个基本概念。
1.2.1 信息安全的相关概念
本节主要探讨信息系统安全所涉及的三个概念:安全、信息安全、信息系统安全。
(1)安全。首先,我们探讨什么是安全?国家标准(GB/T 28001)对“安全”给出的定义是“免除了不可接受的损害风险的状态”,也就是防备危害和其他损害。例如,国家安全是指保护主权、资产、资源和人民安全的多层次系统。这只是广义上的概念性的安全,与安全相对应的,是风险、威胁这两个定义。不同的机构会面临不同的风险和威胁,因此,安全具有不同的具体含义。
(2)信息安全。相对于安全而言,信息安全是一个更为具体的概念,也是在计算机出现之后才特别受到广泛重视的一个概念。由于信息安全在政府和企业系统的普遍重视,众多国内外的标准化组织都把信息安全纳入其标准体系中。然而在不同的标准体系中,信息安全却有不尽相同的定义。这在某程度上也印证了之前提到的问题,就是“安全”没有绝对的定义,而且受环境与业务等因素的影响。
例如,根据美国国家安全系统委员会(Committee on National Security Systems,CNSS)所发布的标准,定义:“信息安全(Information Security)就是保护信息及其关键要素,包括使用、存储以及传输信息的系统和硬件”。CNSS信息安全概念的基础是CIA,即机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。
再如,根据ISO/IEC 27000:2005《信息安全管理体系原理与术语》中对“信息安全”(Information Security)定义为“保护、维持信息的机密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质”。
从具体的需求分析,信息安全则可以涉及物理安全、操作安全、通信安全、系统安全、网络安全、数据安全、安全管理等多个方面的概念。
(3)信息系统安全。然而,以上所提及的信息安全的几个概念等都是理论上的定义,在现实的工程应用中这些理论上的概念与机构的实际需求还可能存在较大的差距。信息系统安全是一个更为具体的实际概念,因为信息系统是为实现不同业务目标的应用系统。因此,在理解信息系统安全时,必须从机构的组织层面、从应用角度来理解。信息系统安全的最终目标还是为了支持、促进所属机构的长远发展,因此在评价信息系统是否安全时,需要考虑以下几个问题:信息系统是否满足机构自身的发展目的或使命要求?信息系统是否能为机构的长远发展提供安全方面的保障?机构在信息安全方面所投入的成本与所保护的信息价值是否平衡?什么程度的信息系统安全保障在给定的系统环境下能保护的最大价值是多少?信息系统如何达到有效地实现安全保障?等等。
机构的安全目标一般是指:信息系统遵守了国家的相关安全法律法规,遵循了行业内的相关标准,能确保机构运转正常,能持续性地提供给支撑业务所需的服务功能。也就是说,信息系统所提供的功能提高了业务的竞争力,能为机构的长远发展提供安全保障和支持,同时,从成本效益角度分析来看,在安全方面所投入的成本与所防范的风险威胁上是平衡的。
为了深入理解信息系统安全与信息安全的差异,下面将对信息系统进行更具体的介绍,信息系统的特征决定了信息系统安全需要考虑的主要内容。
1.2.2 信息系统概述
信息系统是以提供特定信息处理功能、满足特定业务需要为主要目标的计算机应用系统。现代化的大型信息系统都是建立在计算机操作系统和计算机网络不断发展的基础上的,典型的信息系统都属于分布式系统中的一种。一般而言,分布式系统的定义是“一个硬件或软件组件分布在网络计算机上,通过消息传递进行业务处理和操作协调的系统”。这个简单的定义基本覆盖了所有网络化的信息系统。同一个网络中的计算机可能在空间上存在一定距离,可能在同一栋楼或同一个房间,但也有可能位于不同的五大洲上。一般而言,分布式系统具有以下几个典型特征。
(1)物理分布。同一个信息系统内,不同的硬件、软件和固件会被布置在不同的计算机上,大型的信息系统的这些计算机会被部署在不同的物理地点。这是分布式系统的一个最基本的特征。
当不同计算机面临物理分布的情况时,进程间进行必需的通信交互、数据传输、信息管理、时间同步时,就会面临诸多安全问题。
(2)环境多变。大型的信息系统会由于机构的业务不同而被部署在不同的位置和环境下,因此,分布式信息系统会面临应用环境不同的现状。例如,信息系统或者其中的某一部分,在应用于税务电子政务时,作为网上办税的客户终端可能被布置在公众办税大厅中;当被用做存储公众的税务信息的数据中心时,可能被放在实现物理保护的安全机房里。分布式信息系统由于机构业务和要实现的功能不同,应用于不同的环境,则会面临不同的安全问题。
比如,尝试考虑输入信息的完整性问题。当信息系统位于公众办税大厅时,理论上在办税大厅的任何人都有可能利用客户终端输入一些数据。如果对于数据输入功能没有进行授权和限制,那么这种情况下的数据完整性问题就要比位于安全机房并实现了门禁管理的信息系统的情况要更多地加以关注。
由此可见,即使是同一套信息系统,当部署在不同的环境中时,就会面临不同的风险威胁。因此,机构需要针对信息系统的具体情况分析其安全需求,并做出相应的安全策略和保护措施。
(3)分布式管理。一般而言,信息系统的不同机器都有可能由不同的组织或人员管理。由于是分布式管理,因此无法确保每个机器上的输入都受到同样适当的授权和限制的保护。
具体来说,如果分布式信息系统内的不同机器是由不同的组织或人员管理,这些管理者都会在他们所管理的计算机内采取不同的具体安全策略与机制来限制和约束数据输入功能。例如,对于由部门 A 负责的计算机,相应的安全管理制度要求是:“必须要经过部门负责人批准后,才能由专门负责信息数据输入的工作人员进行相关操作;在输入的同时,需要有两名以上的人员进行监督;输入和修改的数据要有具体的日志记录以便事后进行责任追究。”与此同时,部门B所负责的计算机没有实行与部门A相同的安全策略,并且部门内部共用一个公开的计算机用户名和用户密码,也没有安排专人负责输入,也没有监督和事后追究的措施。很明显部门B的管理缺乏适当的授权、限制和监督。因此,如果部门A的机器需要依靠部门B的人员在部门B的机器上做数据输入,即使部门A采用了更强的安全保护也是于事无补的。
可见,信息系统的分布式部署就可能产生相应的分布式管理的问题,而不同的管理就有可能会有宽严程度不一的管理措施,在管理要求不高的部门内,就会存在对信息输入的授权、监督和追究所缺乏的安全漏洞。
与此相应的是,分布式管理也存在责任追究的问题。正是由于不同的管理可能会有宽严程度不一的管理要求,在有些管理要求不高的部门,由于缺乏对于信息输入的授权和监督,缺少相关的日志文档记录,自然就很难实现对事后的责任追究。
1.2.3 大型网络信息系统的安全挑战
以上简要介绍了信息系统由于自身的分布式特征所面临的安全挑战。然而,信息系统安全又不仅限于此。当前的信息系统多为大型信息系统,也多用于支撑和促进大型机构的业务运作与长远发展。例如,政府部门、学校、大型企业等,这种应用也就意味着大型信息系统所面临的安全挑战并非仅仅是信息系统本身的安全挑战和风险,它也可以影响到整个机构的管理与运作。
因此,信息系统安全的构建和管理应从业务运营乃至机构管理的角度来看待这一问题。从这些角度看安全问题的本质,除了之前提到的业务风险外,还需要考虑以下几个主要的风险因素:法律风险、财务风险和商誉风险。
(1)法律风险。试用电子银行系统或电子政务等现实例子来理解法律风险的问题。当信息系统用于支持电子银行或电子政务时,信息系统必定会在业务处理过程中收集一些必要的用户或客户信息。一般来说,用户都不会太担心这些信息会被泄露或者滥用,因为一般的银行服务或政务服务都有相关的法律保护用户的权益。通常法律条文会要求服务机构的信息系统妥当地保护用户信息,以确保用户的隐私不会泄露。一旦这些信息被泄露后,用户或客户就可以依据相关的法律追究拥有信息系统的机构的责任。可见机构所面临的风险并非是信息系统本身的安全风险,也不是纯粹技术上的风险,而是机构需要承担的法律责任。因此,在当前这个越来越重视个人隐私的环境下,威胁会导致机构遭受损失,甚至会由于系统漏洞而面临法律风险。在作者曾经参与过的多个电子银行和电子政务安全信息系统项目里,从其实践的经验便明确地告诉我们,绝大部分的机构领导对系统安全的首要目标就是确保信息系统提供的电子服务能依从相关的法律法规要求,避免承担日后可能面对的法律责任。
(2)财务风险。财务风险仍然是从机构的管理角度来看待这一问题的。以上市公司的信息系统为例,上市公司的年度或季度财务报表在正式公布之前,在公司内都属于机密数据,因为一旦在正式公布之前泄露给外界,便很可能造成公司股价极大的波动,可能使得公司遭受极大的财务风险。
(3)商誉风险。商誉风险是指,如果机构的信息系统存在一些风险或面临挑战,会对机构本身的业务信誉或名声造成一定的影响。仍以网上银行为例,假设某一银行的网上银行系统存在漏洞被黑客攻击,造成了客户账上的金额被盗窃或者转移。这时银行一般有两种处理办法可以选择:一是承认网上银行系统本身存在漏洞,银行需要为客户的损失承担责任,并由银行来赔偿客户财产上的损失。如果信息系统面临这样的黑客威胁,银行就必然面临着财务风险。二是银行会选择尽可能证明网上银行系统不存在安全漏洞的问题,坚持是客户自己对银行账号管理不善或者错误操作等原因导致自己的财产损失。如果银行长期这么做,这家银行的商誉就必定受到很大的影响。因此,特别是对用于电子商务系统的机构而言,信息系统的安全挑战中也面临着商誉风险。
由此可见,从机构层面来看,信息系统所面临的安全风险,并不是单纯几个抽象理论的安全属性,而是实实在在的与机构目标相关、为机构业务服务、实现机构利益的过程中所面临的风险。工程人员在构建信息系统的过程中,切不可忘了这一前提。
1.3 信息系统安全体系概述
以上内容概述性地介绍了信息系统和信息安全的相关历史和概念及现状。为了更深入系统地了解信息系统安全的基本概念,本节主要介绍信息系统安全体系的概念及组成,这将有助于从技术、管理、标准、法规等方面来理解信息系统安全。
1.3.1 信息系统安全体系
机构为了实现其管理目标,需要构建和部署符合机构发展需要的信息系统。信息系统需要符合机构在业务、信息、解决方案及技术等方面多个维度的目标。其中,安全目标是技术方面的目标之一。为了实现安全目标,信息系统需要部署与安全相关的物理组件和逻辑组件。而这些与安全相关的组件便构成了常见的信息系统安全体系(Information Systems Security Architecture, ISSA)。
一般而言,ISSA主要包括四个方面:
· 信息系统安全技术体系;
· 信息系统安全管理体系;
· 信息系统安全标准体系;
· 信息系统安全法律法规。
图 1-1所示的信息系统安全体系框架显示了这几个方面的关系。这一框架将有助于信息系统安全的全面实现,完整的信息系统安全体系应围绕着以上四个方面展开。具体而言,即以法律法规作为安全目标和安全需求的依据;以标准规范体系作为检查、评估和测评的依据;以管理体系作为风险分析与控制的理论基础与处理框架;以技术体系作为风险控制的手段与安全管理的工具。
图1-1 信息系统安全体系框架
在接下来的几节中将逐一介绍这几个与安全相关的体系,以及它们在构建安全信息系统时的相互关系。
1.3.2 信息系统安全技术体系
信息系统安全技术体系是对实现安全信息系统所采用的安全技术的构建框架,包括:信息系统安全的基本属性,信息系统安全的组成与相互关系,信息系统安全等级划分,信息系统安全保障的基本框架,信息系统风险控制手段及其技术支持等。
从具体的应用软件构建划分,信息系统安全技术体系分为传输安全、系统安全、应用程序安全和软件安全。一个常见的理解是信息系统安全技术体系的角度。根据所涉及技术的不同,可将信息系统安全技术体系粗略地分为以下几项技术:
· 信息系统硬件安全;
· 操作系统安全;
· 密码算法技术;
· 安全协议技术;
· 访问控制管理;
· 安全通信技术;
· 应用程序安全;
· 身份识别和认证管理技术;
· 入侵监测技术;
· 防火墙技术等安全信息系统的构建技术。
这些技术都是构建安全信息系统的必要模块,而且必须合理有序地连接起来,形成一个支撑安全信息系统的技术平台。
图1-2所示的信息系统安全技术体系框架,可以帮助了解这些安全模块在实际构建安全信息系统时它们之间的相互关系。
图1-2 信息系统安全技术体系
1.3.3 信息系统安全管理体系
一个机构的信息系统安全管理体系,是从机构的安全目标出发,利用机构体系结构这一工具分析并理解机构自身的管理运行架构,并纳入安全管理理念,对实现信息系统安全所采用的安全管理措施进行描述,包括信息系统的安全目标、安全需求、风险评估、工程管理、运行控制和管理、系统监督检查和管理等方面,以期在整个信息系统开发生命周期内实现机构的全面可持续的安全目标。其中,机构体系结构将在第3章详细介绍,信息系统开发生命周期将在第16章详细介绍。
信息系统安全管理体系范围广阔,主要包括以下内容:
· 安全目标确定;
· 安全需求获取与分类;
· 风险分析与评估;
· 风险管理与控制;
· 安全计划制定;
· 安全策略与机制实现;
· 安全措施实施。
信息系统安全管理体系框架图如图1-3所示。
图1-3 信息系统安全管理体系
信息系统的构建主要基于安全目标和风险。因为作为一套为机构业务提供服务的信息系统,在它的构建过程中,工程人员首先要考虑信息系统在安全方面需要满足哪些安全目标,然后再分析评估所面临的风险。因此,信息系统安全管理体系要建构在安全目标和风险管理的基础之上。
信息系统安全管理体系各组成部分的关系具体如下:
(1)信息系统的安全目标由与国家安全相关的法律法规、机构组织结构、机构的业务需求等因素确定;
(2)将安全目标细化、规范化为安全需求,安全需求再按照信息资产(如业务功能、数据)的不同安全属性和重要性进行分类;
(3)安全需求分类后,要分析系统可能受到的安全威胁和面临的各种风险,并对风险的影响和可能性进行评估,得出风险评估结果;
(4)根据风险评估结果,选择不同的应对措施和策略,以便管理和控制风险;
(5)制定安全计划;
(6)设定安全策略和相应的实现策略的机制;
(7)实施安全措施。
很明显,在信息系统安全管理体系的组成部分里,有很多的管理概念与管理过程并不属于技术的范畴,但同时却是选择技术手段的依据。例如,信息资产的重要性、风险影响的评估、应对措施的选择等问题,都需要机构的最高管理层对机构的治理、业务的需要、信息化的成本效益、开发过程管理等问题上做出管理决策。所以,从机构目标的角度看,信息安全管理并不是单纯的技术管理,它也涉及整个机构长远发展的管理(Administration)。
在本书中,由于篇幅所限,安全管理主要围绕着安全需求和风险两个关键概念进行阐述,分别在第2~7章中介绍相关的信息系统安全管理的内容。
1.3.4 信息系统安全标准体系
标准是技术发展的产物,它又进一步推进技术的发展。完整的信息系统安全标准体系,是建立信息系统安全体系的重要组成部分,也是信息系统安全体系实现规范化管理的重要保证。
信息系统安全标准体系是对信息系统安全技术和安全管理的机制、操作和界面的规范,是从技术和管理方面以标准的形式对有关信息安全的技术、管理、实施等具体操作进行的规范化描述。
除了安全标准体系能对信息安全的技术、管理、实施进行规范之外,国家及行业的相关安全标准规范也明确地规定了安全的根本目标和安全需求。因此,机构在构建信息系统之前,必须先明确机构的安全目标和安全需求,确保将要实现的信息系统安全特性真正地符合机构的目标,此时,国家法律法规和标准规范就将作为制定目标和需求的依据。信息系统安全标准体系框架如图1-4所示。
图1-4 信息系统安全标准体系框架
1.3.5 信息系统安全法律法规
信息系统安全法律法规是信息系统安全体系中极为重要的组成部分,也是信息系统安全必须遵循的基线。
为了控制机构保密和安全风险,了解一个机构的法律责任和道德义务至关重要。现代社会中,法律诉讼案件极为常见,为了避免刑事惩罚,降低民事责任所带来的财务损失,机构所构建的信息系统在设计、实施和管理上必须遵守机构所在国家的信息安全相关的法律法规,以及相关国家标准和行业标准。
因此,信息安全从业人员必须理解当前的法律环境,及时了解出台的相关法律、规则。只有符合法律规定和标准要求,适当地使用信息技术和信息安全技术,才能使信息系统为实现机构的首要目标起到积极作用。
信息系统安全法律法规的具体内容将在第5部分“信息系统安全标准规范与法律法规”中的第13、14章详细介绍。
1.4 小结
前面从技术、管理、标准、法律法规等四个体系介绍了信息系统安全体系的各组成部分和作用。至此,信息系统安全体系可以通过一个包含以上四个体系的整体框架来描述、理解。
图 1-1所示的是信息系统安全体系框架,深入理解这一框架,将有助于信息系统安全的全面实现。完整的信息系统安全体系应围绕着以上四个方面展开。具体而言,即以法律法规作为安全目标和安全需求的依据;以标准规范体系作为检查、评估和测评的依据;以管理体系作为风险分析与控制的理论基础与处理框架;以技术体系作为风险控制的手段与安全管理的工具。
作为本书的第1章,本章从信息系统和信息安全的发展历程开始,让读者了解信息安全的相关概念、信息系统安全体系等内容。通过学习和理解这些内容,我们能够整体地了解什么是信息系统,信息系统的安全问题从何而来,信息系统安全体系大致如何。本章也简要介绍了本书的目标、范围和阅读对象,这也便于读者能对本书有全面的认识。