信息系统安全技术.ppt

《信息系统安全技术.ppt》由会员分享，可在线阅读，更多相关《信息系统安全技术.ppt（137页珍藏版）》请在三一办公上搜索。

1、1,信息系统安全,首都医科大学宣武医院尚邦治2011.11,一.信息系统安全的范围,信息系统安全的核心一是保证信息系统正常进行；二是保证信息的安全。信息系统的安全问题对于不同行业有不同要求。信息系统的安全可以分为信息安全和信息系统安全。信息安全指保证信息本身的安全。信息系统安全问题涉及网络安全、服务器组安全、存储设备安全、操作系统安全、备份方案的可靠性、群集技术的可靠性、供电安全、计算机工作环境、计算机病毒问题、防止非法访问、系统管理等问题等。信息系统安全是一项系统工程。,1.影响信息安全的因素,二.信息安全标准,信息安全具有三个特性：保密性（Confidentiality）、完整性（Inte

2、grity）、可用性（Availability）。保密性：保证信息只有被授权的使用者可以访问。完整性：保护信息及其处理方法的准确性和完整性。可用性：保证授权使用者在需要时可以获取信息和使用相关的资源。,医院的信息安全比较简单，主要是保证数据不被非法修改；数据可以长期保存；保证数据不被病毒感染；备份的数据可以正确恢复。在医院这个特定的地域范围内保证数据不被非法修改比较容易实现。数据长期保存问题涉及存储介质、存储方案、数据存储的管理等问题。防止病毒感染数据主要依靠管理。备份数据的正确恢复问题比较复杂，主要是数据正确性的验证问题。信息安全是一个复杂的系统问题，必须以系统的方法解决。建立信息安全管理体

3、系是保证系统信息安全问题的有效方法。国际公认的保证信息安全的最有效的方式是采用系统的方法,即：管理+技术,二.信息安全标准（续1）,二.信息安全标准（续2）,有关信息安全的国家标准是信息技术 信息安全管理实用规则GB/T 19716-2005。该标准对信息安全管理给出建议。为有效的安全管理做法提供公共基础。该标准主要内容包括：安全策略、组织的安全、资产分类和控制、人员安全、物理和环境的安全、通信和操作管理、访问控制、系统开发和维护、业务连续性管理等九部分。,二.信息安全标准（续3）,(一)安全策略1.信息安全策略目的：提供管理方向和支持信息安全。1)信息安全策略文档。策略文档要由管理层批准。策

4、略文档应说明管理承诺，并提出组织的管理信息安全的途径。策略文档包括：a)信息安全定义、其总目标和范围以及在信息共享允许机制下安全的重要性；b)管理层意图的说明，以支持信息安全的目标和原则；c)对组织特别重要的安全策略、原则、标准和符合性要求的简要说明。,二.信息安全标准（续4）,(一)安全策略（续）1.信息安全策略（续）(1)安全教育要求；(2)防范和检测病毒和其它恶意软件；(3)业务连续性管理；(4)安全策略违反的后果；d)安全信息管理的总职责和特定职责的定义；e)引用可以支持策略的文档，例如，特定信息系统的更加详细的安全策略和规程，或用户应遵守的安全规则。2)评审和评价。该策略应有专人负责

5、，他按照所定义的评审过程负责其维护和评审。在风险发生任何变更后，都要重新进行评审。,二.信息安全标准（续5）,(二)组织的安全1.信息安全基础设施目的：管理组织范围内的信息安全。（1）管理信息安全协调小组（2）信息安全协调（3）信息安全职责的分配（4）信息处理设施的授权过程（5）专家的信息安全建议（6）组织之间的合作（7）信息安全的独立评审,二.信息安全标准（续6）,(二)组织的安全（续）2.第三方访问的安全目的：维护被第三方所访问的组织的信息处理设施和信息资产的安全。1）标识第三方访问的风险（1）访问类型。物理访问：访问机房，档案室逻辑访问：访问数据库、信息系统（2）访问的原因（3）现场合同

6、方2）第三方合同中的安全要求,二.信息安全标准（续7）,(二)组织的安全（续）3.外包目的：信息处理的职责是在外包给其他组织时维护信息安全。1）外部合同中的安全要求(1)满足法律要求(2)确保外部所涉及的各方知道其安全职责(3)维护和测试组织的业务资产的完整性和保密性(4)如何控制已授权用户访问业务数据。(5)发生自然灾害，如何维护服务的可用性(6)对外包设备要提供什么等级的物理安全(7)审核的权利,二.信息安全标准（续8）,（三）资产分类和控制1.资产的可核查性目的：维持对组织资产的相应保护，1）资产清单(1)信息资产：数据库、系统文档、用户手册、培训教材；(2)软件资产：应用软件、系统软件

7、、开发工具；(3)物理资产：计算机设备、通信设备、磁媒体；(4)服务：,二.信息安全标准（续9）,（三）资产分类和控制（续）2.信息分类目的：确保信息资产受到相应等级的保护。1）分类指南信息分类是确定该信息如何予以处理和保护。2）信息标记和处理对每种分类，要定义处理规程，以涵盖信息处理活动。物理标记一般是最合适的标记形式。,二.信息安全标准（续10）,（四）人员安全1.岗位设定和人力资源的安全目的：减少人为差错、盗窃、欺诈或滥用设施的风险。1）在岗位职责中要包含的安全2）人员筛选和策略3）保密性协议4）雇佣条款和条件2.用户培训目的：确保用户知道信息安全威胁和利害关系，并准备好在其正常工作过程

8、中支持职责的安全策略。,二.信息安全标准（续11）,（四）人员安全（续）3.对安全事故和故障的响应目的：使安全事故和故障的损害减到最小，并监督这种事故以及从事故中学习。1）报告安全事故2）报告安全弱点3）报告软件故障4）从事故中学习5）纪律处理,二.信息安全标准（续12）,（五）物理和环境的安全1.安全区域目的：防止对业务办公场所和信息未授权访问、损坏和干扰。1）物理安全周边（边界）(1)安全周边应清晰地予以定义；(2)包含有信息处理设施的建筑物或场地的周边在物理上是安全的。(3)有人管理的接待区域或控制物理访问场地的手段要到位。(4)如果需要，物理屏障应从真正的地板扩展到真正的天花板。(5)

9、安全周边的所有防火门应可发出报警信号，并应紧闭。,二.信息安全标准（续13）,（五）物理和环境的安全（续1）2）物理入口控制3）办公室、房间和设施的安全保护4）在安全区域工作5）交接区域的隔离,二.信息安全标准（续14）,（五）物理和环境的安全（续2）2.设备安全目的：防止资产的丢失、损坏或泄露和业务活动的中断。1）设备安置和保护(1)设备应进行安置，以尽量减少不必要的进入工作区域访问；(2)应把处理敏感数据的信息处理设施和存储设施放在适当的位置，以减少在其使用期间被窥视的风险；(3)要求专门保护的部件要予以隔离，以减低所要求的总体保护等级；(4)应采取控制使包括下列潜在威胁的风险减到最小：偷

10、窃、火灾、爆炸、烟雾、水、尘埃、振动、化学影响、电源干扰、电磁辐射。,二.信息安全标准（续15）,（五）物理和环境的安全（续3）(5)一个组织要考虑关于在信息处理设施附近进食、喝饮料和抽烟的策略；(6)对于可能负面影响信息处理设施运行状态的环境条件要予以监督；(7)对于工业环境中的设备，要考虑使用专门保护方法；(8)在附近建筑物内发生灾难的影响。2）电源获得电源连续性的选项包括：(1)多路馈电，避免电源中单点故障；(2)不间断电源（UPS）(3)备份发电机,二.信息安全标准（续16）,（五）物理和环境的安全（续4）3）布缆安全电源和信号线电缆要免受窃听或损坏。要考虑：(1)进入信息处理设施的电

11、源线和电信线路宜在地下；(2)网络布缆要避免窃听或损坏；(3)为了防止干扰，电源线和通信电缆分开；(4)对于关键系统，要进一步考虑：a.在检查点和终接点安装铠装电缆管道和上锁的房间或盒子；b.使用可替换的路由选择或传输媒体；c.使用光缆；d.清除与电缆连接的未授权装置。,二.信息安全标准（续17）,（五）物理和环境的安全（续5）4）设备维护(1)要按照供应商推荐的服务时间间隔和规范对设备进行维护；(2)只有已授权的维护人员才可对设备进行修理和维护；(3)要保存所有可疑的或实际的故障和所有预防和纠正维护的记录；(4)当送设备到建筑物外维修时要采取合适的控制。,二.信息安全标准（续18）,（五）物

12、理和环境的安全（续6）3.一般控制目的：防止信息和信息处理设施的受损害或被盗窃。1）清理桌面和清空屏幕策略2）财产的转移,二.信息安全标准（续19）,（六）通信和操作管理1.操作规程和职责目的：确保信息处理设施正确和安全的操作。1）文档化的操作规程。该规程应详细规定执行每个作业的说明，其内容包括：(1)信息处理和处置；(2)进度要求，包括与其他系统的相互关系、最早作业开始时间和最后作业完成的期限；(3)在作业执行期间可能出现的处置差错或其他异常情况的说明，包括对使用系统实用程序的限制；(4)在有不期望的操作或技术上的困难的情况下，支持进行联络；(5)特定输出处置说明，包括失败作业输出安全处置的

13、规程；(6)供万一系统失效用的系统重新起动和恢复规程。,二.信息安全标准（续20）,（六）通信和操作管理（续）1.操作规程和职责（续）2）操作变更控制(1)重大变更的标识和记录；(2)对这种变更潜在影响的评估；(3)对建议的变更的正式批准规程；(4)向所有有关人员传递变更细节；(5)标识放弃不成功和恢复职责的规程。,二.信息安全标准（续21）,（六）通信和操作管理（续）1.操作规程和职责（续）3）事故管理规程(1)安全事故类型i.信息系统故障和服务丢失；ii.拒绝服务；iii.由不完整或不准确的业务数据导致的差错；iv.保密性违规。(2)正常应急计划外的规程i.事故原因的分析和标识；ii.若需

14、要，规划和实施补救，防止再次发生；iii.收集审核踪迹和类似证据；,二.信息安全标准（续21）,（六）通信和操作管理（续）1.操作规程和职责（续）(2)正常应急计划外的规程（续）iv.与受事故影响或涉及从中恢复的人员的联系；v.向相应机构报告此动作。(3)要控制从安全违规中恢复和纠正系统工作的动作。应确保：i.只有明确标识的和已授权的人员才允许访问运转的系统和数据；ii.所采取的全部应急动作详细地形成文档；iii.将应急动作报告给管理层并按有序的方式进行评审。,二.信息安全标准（续22）,（六）通信和操作管理（续）1.操作规程和职责（续）4）开发和运行设施分离分离开发、测试和运行设施是重要的。

15、开发和测试活动可能引起严重的问题。开发和测试活动共享同一计算机环境，可能引起非故意的软件和信息的变更。5）外部设施管理使用外部合同商管理信息设施可能引入潜在的安全泄露。,二.信息安全标准（续23）,（六）通信和操作管理（续）2.系统规划和验收目的：使系统故障的风险减到最小。1）能力规划这里的能力是指信息系统核心部分的处理能力。2）系统验收要建立新信息系统、升级和新版本的验收准则，在验收之前，对系统要进行适当的测试。管理者要确保验收新系统的要求和准则明确的被定义、商定、形成文档和测试。,二.信息安全标准（续24）,（六）通信和操作管理（续）2.系统规划和验收（续）2）系统验收（续）(1)性能和计

16、算机能力的要求；(2)差错恢复和重新启动规程以及应急计划；(3)按照已定义的标准，例行程序操作规程的准备和测试；(4)商定的一组安全控制到位；(5)有效的手动规程；(6)业务连续性安排；(7)新系统的安装对现有系统无负面影响的证据；(8)考虑新系统对组织总体安全影响的证据；(9)新系统的操作和使用方面的培训。,二.信息安全标准（续25）,（六）通信和操作管理（续）3.防范恶意软件目的：保护软件和信息的完整性。1）控制恶意软件(1)要求符合软件许可证和禁止使用未授权软件；(2)防范风险的正式策略，此策略指明采取的保护措施；(3)安装和定期更新防病毒软件；(4)对支持关键业务处理的系统的软件和数据

17、内容进行定期审查；(5)在使用任何文件前要进行病毒、恶意软件的检测和处理；(6)进行防范病毒的培训；(7)从病毒攻击中恢复的业务连续性计划；(8)检测与恶意软件相关的所有信息，并确保报警公告准确。,二.信息安全标准（续26）,（六）通信和操作管理（续）4.内部处理目的：维护信息处理和通信服务的完整性和可用性。1）信息备份要定期产生最重要的业务信息和软件的备份拷贝。要提供足够的备份信息，以确保在灾难或媒体故障之后可以恢复所有最重要业务信息和软件。要定期测试各个系统的备份设备，以确保它们满足业务连续性计划的要求。,二.信息安全标准（续27）,（六）通信和操作管理（续）4.内部处理（续）1）信息备份

18、（续）(1)最低级别的备份信息以及备份拷贝准确完整的记录和文档化的恢复规程要存储在有足够距离的远程地点。(2)对于重要的业务应用至少要保留三代或若干周期的备份信息。(3)要给予备份信息一个合适的物理和环境保护等级。(4)若可行，要定期测试备份媒体，确保当需要应急使用时可以依靠这些备份媒体。(5)要定期检查和测试恢复规程，以确保为恢复时在操作规程所分配的时间内它们是有效的并能完成它们。,二.信息安全标准（续28）,（六）通信和操作管理（续）4.内部处理（续）2）操作员日志(1)系统启动和结束时间；(2)系统出错和采取的纠正动作；(3)对正确处理文件和计算机输出的证实；(4)产生日志文件的人员名字

19、。3）故障记录要报告故障并采取纠正动作。由与信息处理系统或通信系统的问题有关的用户所报告的故障要加以记录。,二.信息安全标准（续28）,（六）通信和操作管理（续）5.网络管理目的：确保护卫网络中的信息和保护支持性基础设施。要求注意可以跨过组织边界的网络的安全管理。1）若合适，网络的操作职责要与计算机操作分开;2)应建立远程设备（包括用户区域内的设备）管理的职责和规程；3)如有必要，要建立专门的控制，以保护在公用网络上传递数据的保密性和完整性，并且保护已连接的系统。为维护所连接的网络服务和计算机的可用性，还可以要求专门的控制；4)为优化对业务的服务和确保在信息处理基础设施上始终如一地应用若干控制

20、，应紧密地协调管理活 动。,二.信息安全标准（续29）,（六）通信和操作管理（续）6.媒体处置和安全目的：防止资产损坏和业务活动中断。媒体应受到控制并在物理上受保护。1)信息处置规程a)处置和标记所有媒体;b)标识未授权人员的访问限制；c)维护已授权的数据接收者的正式记录；d)确保输入数据完整，正确完成处理和应用输出确认；e)按照与其敏感性一致的级别，保护等待输出的假脱机数据；f)媒体存储在与制造商规范一致的环境中；g)使分发的数据最少；h)清晰地标记数据所有拷贝，以引起已授权接收者关注；i)定期评审分发列表和已授权接收者列表。,二.信息安全标准（续30）,（六）通信和操作管理（续）6.媒体处

21、置和安全(续)2)系统文档的安全系统 文 档可以包含一系列敏感信息，例如，应用过程的描述、规程、数据结构、授权过程（也见9.1)0要考虑下列控制，以防止系统文档遭受未授权访问。a)要安全地存储系统文档；b)将系统文档的访问列表保持在最小范围，并且由应用责任人授权；c)应妥善地保护保存在公用网络上的或经由公用网络提供的系统文档。,二.信息安全标准（续31）,（七）访问控制1.访问控制的业务要求目的：控制对信息的访问。1）访问控制策略策略应考虑到下列内容：a)各个业务应用的安全要求；b)与业务应用相关的所有信息的标识；c)信息传播和授权的策略，例如，了解原则和安全等级以及信息分类的需求；d)不同系

22、统和网络的访问控制策略和信息分类策略之间的一致性；e)关于保护访问数据或服务的相关法律和合同义务;f)关于通常工作种类的标准用户访问轮廓；g)在认可各种现有连接类型的分布式和网络化环境中访问权利的管理。,二.信息安全标准（续32）,（七）访问控制（续）1.访问控制的业务要求（续）2）访问控制规则在规定访问控制规则时，应注意考虑下列内容：a)区分必须强制的规则和任选的或有条件的规则；b)在前提为“未经允许，必须一律禁止”的基础上建立规则，而不是软弱的“未经明确禁止，一律允许”的规则；c)信息处理设施自动启动的信息标记和用户任意启动的那些信息标记的变更；d)信息系统自动启动的用户许可变更和管理员启

23、动的那些用户许可变更；e)在颁发之前，要求管理员批准的或另一方批准的规则以及无须批准的规则。,二.信息安全标准（续33）,（七）访问控制（续）2.用户访问管理目的：防止未授权访问信息系统。1）用户注册应通过正式的用户注册过程控制访问用户信息服务，控制包括：a)使用唯一用户ID，使得用户可以与其动作链接起来，并对其动作负责。若他们适合于所进行的工作，才允许使用组ID;b)检验用户使用信息系统和服务是否具有该系统拥有者的授权。经管理层单独批准的访问权利 也 是 合 适 的；c)检验所授予的访问级别是否适合于业务目的，以及是否与组织的安全策略一致，例如，它没有放弃责任分割原则;d)给予用户访问权利的

24、书面声明；e)要求用户签署表示理解访问条件的书面声明；f)确保直到已经完成授权规程，服务提供者才提供访问；9)维护注册使用该服务的所有个人的正式记录；h)立即取消已经变更的工作或离开该组织的用户访问权利；i)周期性检验和取消多余的用户ID和账户；1)确保对其他用户不发布多余的用户ID。,二.信息安全标准（续34）,（七）访问控制（续）2.用户访问管理（续）2）特权管理a)应标识出每个系统产品，例如，操作系统、数据库管理系统和每个应用相关的特权，以及需要分配特权的工作人员类别；b)特权应在需要使用的基础上和逐个事件的基础上分配给个人，即，仅当需要时，才为其职能角色分配最低要求；c)应维护所分配的

25、各个特权的授权过程及其记录。直到授权过程完成，才授予特权；d)应促进开发和使用系统例行程序，以避免必需把特权授予用户；e)特权应分配给其身份与正常业务使用的用户身份不同的用户。,二.信息安全标准（续35）,（七）访问控制（续）2.用户访问管理（续）3)用户口令管理口令是一种确认访问信息系统或服务的用户身份的常用手段。口令的分配应通过正式的管理过程加以控制，其方法应：a)要求用户签署一份声明，以保持个人口令的保密性和组口令仅在该组成员范围内使用（这可包括在雇用条款和条件内);b)若要求用户维护其自己的口令，确保他们一开始就具有可强制使其立即变更的临时保密口令。当 用 户 忘 记 其 口令时，在正

26、确识别用户之后，才提供临时口令；c)要求以安全的方式将临时口令给予用户。要避免用于第三方或不受保护的（明文）电子邮件报文。用户应确认收到口令。,二.信息安全标准（续36）,（七）访问控制（续）3.用户职责目的：防止未授权用户访问。1）口令使用建议所有用户：a)保密口令；b)避免保留口令的纸记录，除非可以安全地保存；C）每当有任何迹象表明系统或口令可能受到损害时就变更口令；d)选择具有最小长度为6个字符的优质口令，这些口令：i)要易于记忆；ii)不能基于别人可能易于猜出或获得的与使用人相关的信息，例如，名字、电话号码和生日等等；iii)避免连续的相同的字符或全数字或全字母组；,二.信息安全标准（

27、续37）,（七）访问控制（续）3.用户职责（续）目的：防止未授权用户访问。1）口令使用（续）e)定期或以访问次数为基础变更口令（有特权的账户用的口令应比常规口令更频繁地予以变更），并且避免重新使用旧的口令或周期性使用旧的口令；f)在初次登录时更换临时口令；g）在任何自动登录过程（例如，以宏或功能键存储）中，不要包含口令；h）个人的用户口令不要共享。,二.信息安全标准（续38）,（七）访问控制（续）3.用户职责（续）2)无人值守的用户设备用户应确保无人值守的设备具有合适的保护。在用户区域内安装的设备（例如，工作站或文件服务器），在此时间内无人值守时，可以要求特别保护，使其免受未授权访问。所有用户

28、和合同商应了解保护无人值守设备的安全要求和规定以及他们实现这种保护的职责。建议用户应：a)当结束时，终止有效会话，除非利用一种合适的锁定机制使它们安全，例如，有口令保护的屏蔽保护程序；b)当会话结束时退出主计算机（即，不仅仅关掉PC或终端）；c）当不使用设备时，利用带钥匙的锁或等价控制来保护PC或终端不被未授权使用，例如，口令访问。,二.信息安全标准（续39）,（七）访问控制（续）4.网络访问控制目的：保护网络服务。1）使用网络服务的策略a)允许待访问的网络和网络服务；b)确定允许谁访问哪些网络和网络服务的授权规程；c)保护访问网络连接和网络服务的管理控制和规程。2）强制路径需要控制从用户终端

29、到计算机服务的路径。强制路径的目的是防止任何用户选择的路由超出用户终端和授权用户访问该服务之间的路由。这通常要求在路由的不同点处实施许多控制。该原则是为了在网络的每个点上通过预先定义的选择限制路由选择选项。,二.信息安全标准（续40）,（七）访问控制（续）4.网络访问控制（续）3）外部连接的用户鉴别外部连接为未授权访问业务信息提供了可能。因此，远程用户的访问应受鉴别限制。具有不同类型的鉴别方法，例如，基于使用密码技术的方法可以提供强鉴别。重要的是根据风险评估确定所要求的保护级别。这需要选择合适的鉴别方法。4）结点鉴别与远程计算机自动连接的设施可能提供获得对业务应用进行未授权访问的方法。因此，应

30、鉴别与远程计算机系统的连接。如果该连接使用超出组织安全管理控制的网络，这样做特别重要。若远程用户组被连接到安全共享的计算机设施，那么，结点鉴别可用作鉴别他们的可替代手段。,二.信息安全标准（续41）,（七）访问控制（续）4.网络访问控制（续）5）远程诊断端口保护应安全地控制对诊断端口的访问。许多计算机和远程通信系统装配了拨号远程诊断设施，以便供维护工程师使用（目前，很多CT、MRI都安装远程诊断）。如果不受保护，则这些诊断端口提供未授权访问的手段。因此，它们应受到合适的安全机制的保护，例如，带钥匙的锁和规程，以确保只有按照计算机服务管理者和要求访问的硬件软件支持人员之间的安排才可访问它们。,二

31、.信息安全标准（续42）,（七）访问控制（续）4.网络访问控制（续）6）网络分离随着要求互连或共享信息处理设施和网络设施的合伙方的形成，网络正在日益扩充超出传统组织边界范围。这样的扩充可能增加对早已存在使用此网络的信息系统进行未授权访问的风险。在这种环境下，应考虑在网络范围内引入控制以分离信息服务群、用户群和信息系统群。控制大型网络安全的一种方法是将该大型网络分成若干独立的逻辑网络域，每个域均受已定义的安全周边所保护。,二.信息安全标准（续43）,（七）访问控制（续）4.网络访问控制（续）6）网络分离（续）这样的周边可以通过在被互连的两个网络之间安装一个网关来实现，以控制两个域之间的访问和信息

32、流。这种网关要配置成能过滤这些域之间的通信量，并且能按照组织的访问控制策略阻挡未授权访问。这种类型的网关例子是通常称作防火墙的东西。将网络分离成若干域的准则应基于访问控制策略和访问要求，还要考虑到相关成本和加入适合的网络路由选择的性能影响或网关技术。,二.信息安全标准（续44）,（七）访问控制（续）4.网络访问控制（续）7）网络连接控制共享网络特别是扩充跨越组织边界的那些共享网络的访问控制策略要求，可能需要引人控制，以限制用户的连接能力。这样的控制可以通过网关来实现，该网关借助预先定义的表或规则过滤通信量。所应用的限制应基于业务应用的访问策略和要求并应相应地进行维护和更新。,二.信息安全标准（

33、续44）,（七）访问控制（续）4.网络访问控制（续）8）网络路由选择控制共享网络，可以要求引入路由选择控制，特别是扩充跨越组织边界的那些共享网络，以确保计算机连接和信息流不违反业务应用的访问控制策略。对于与第三方（非组织）用户共享的网络，这种控制通常是必需的。路由选择控制应基于确定的源地址和目的地址检验机制。为了隔离网络和阻止路由从某一组织的网络扩展到另一组织的网络，网络地址变换也是一种很有用的机制。它们可以用软件或硬件来实现。实现者要了解所采用的机制的强度。,二.信息安全标准（续45）,（七）访问控制（续）5.操作系统的访问控制目的：防止未授权的计算机访问。1）自动化终端标识为鉴别与特定位置

34、和便携式设备的连接，应考虑自动化终端标识。如果重要的会话只能从特定位置或计算机终端进行启动，那么，自动化终端标识就是一种可以使用的技术。终端的或与终端连接的标识符可用来指示是否允许这个特定终端启动或接收特定事务。将物理保护应用于终端以维护终端标识符的安全，可能是必要的。对于医院，业务系统的终端必须是指定终端。,二.信息安全标准（续46）,（七）访问控制（续）5.操作系统的访问控制（续）2）终端登录规程a)不显示系统或应用标识符，直到登录过程已成功完成为止；b)显示通用告警通知，只有已授权的用户才能访问本计算机；c)在登录过程期间，不提供对未授权用户有辅助作用的帮助消息；d)仅在输入数据后，才确

35、认登录信息。若出现差错，则系统不指出原因；e)限制所允许的不成功登录尝试的次数（推荐3次）并考虑：i)记录不成功的尝试；ii)在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一步的尝试；iii)断开数据链路连接；f)限制登录所允许的最大和最小时间。若超时，则系统应终止登录；g)在成功登录完成时，显示下列信息：i)前次成功登录的日期和时间；ii)自最后成功登录以来，任何不成功登录尝试的细节。,二.信息安全标准（续47）,（七）访问控制（续）5.操作系统的访问控制（续）3）用户标识和鉴别用户（包括技术人员，操作者，网络管理员、系统程序员和数据库管理员）只能使用他们个人的唯一

36、标识符，以便各个活动可以追踪到各责任人。用户ID应不给出用户特权级别的任何指示，例，超级用户。在特殊环境下，如果存在清晰的业务好处，可以使用一群用户或一项特定作业共享的用户ID的用法。对于这样的情况，应将经管理的批准形成文档。为维护可核查性，可以要求附加的控制。有各种鉴别规程，它们可用来证明声称的用户身份。口令是一种很通常的提供标识和鉴别（I&A）的方法，因为它基于只有该用户知道的秘密。使用密码手段和鉴别规程也可以获得同样的结果。用户拥有的智能卡也可以用于I&A。利用个人的唯一特征或属性的生物统计鉴别技术也可用来鉴别个人的身份。机制和技术的安全组合将产生更强的鉴别。,二.信息安全标准（续48）

37、,（七）访问控制（续）5.操作系统的访问控制（续）4）口令管理系统a)强制使用个人口令，以维护可核查性；b)若合适，允许用户选择和变更他们自己的口令，并且包括证实规程，以便考虑到输人出错的情况；c)强制选择优质口令；d)若用户维护他们自己的口令，则强制口令按规定进行变更；e)若用户选择口令，则在第一次登录时强制他们变更临时的口令；f)维护一份先前用户口令的记录，例如之前12个月内，防止重复使用；s)当正在录入时，在屏幕上不显示口令；h)分开存储口令文件和应用系统数据；i)用单向加密算法的加密形式存储口令；j)在软件安装之后，变更默认的厂商口令。,二.信息安全标准（续49）,（七）访问控制（续）

38、5.操作系统的访问控制（续）5）系统使用程序的使用a)对于系统实用程序，使用鉴别规程；b)将系统实用程序和应用软件分开；c)限制系统实用程序的使用，将实际的所信任的、已授权的用户数降到最小；d)应对系统实用程序的特别使用授权；e)限制系统实用程序的可用性；f)记录系统实用程序的所有使用；g)对系统实用程序的权限级别进行定义并形成文档；h)移去基于实用程序和系统软件的所有不必要软件。,二.信息安全标准（续50）,（七）访问控制（续）5.操作系统的访问控制（续）6）终端超时超过一段所定义不活动的时限，应关闭在高风险位置（超出组织安全管理的公共或外部区域）或服务高风险系统的不活动的终端，以防止未授权

39、个人访问。超过一段所定义不活动的时限，该超时设备应清空终端屏幕，并关闭应用和网络会话。超时延迟应反映该区域和终端用户的安全风险。对某些清空其屏幕并防止未授权访问，但没有关闭应用或网络会话的PC机可以提供一种受限制的终端超时设备形式。7）连接时间的限制a）使用预先定义的时隙，例，对成批文件传输或短持续期的定期交互会话；b)如果对超出时间或延长时间的操作没有要求，则将连接时间限于正常办公时间。,二.信息安全标准（续51）,（七）访问控制（续）6.应用访问控制目的：防止未授权访问保存在信息系统中的信息。1）信息访问限制a)提供控制访问应用系统功能的选单；b）使用适当编辑用户文档来限制用户对未授权访问

40、的信息或应用系统功能的了解；c）控制用户的访问权利，例如，读、写、删除和执行；d)确保处理敏感信息的应用系统的输出仅包含与使用输出相关的信息，并且仅发送给已授权的终端和地点，包括周期性评审这种输出，以确保去掉多余信息。,二.信息安全标准（续52）,（七）访问控制（续）6.应用访问控制（续）2）敏感系统隔离敏感系统可能要求一种专用的（隔离的）计算环境。某些应用系统对信息的可能丢失十分敏感，因此要求特别处理这些信息。敏感性可以指示该应用系统应运行在专用的计算机上、仅与可信的应用系统共享资源或该应用系统没有任何限制。下列考虑适用：a)应由应用拥有者显式地标识出应用系统的敏感性，并将其形成文档;b)当

41、敏感应用在共享的环境中运行时，与其共享资源的应用系统应予以标识并与敏感应用的拥有者商定。,二.信息安全标准（续53）,（七）访问控制（续）7.对系统访问和使用的监督目的：检测未授权活动。1）事件记录审核日志应包括：a)用户ID;b)登录和退出的日期和次数；c)若有可能，终端身份或位置；d)成功的和被拒绝的对系统尝试访问的记录；e)成功的和被拒绝的对数据以及其他资源尝试访问的记录。,二.信息安全标准（续54）,（七）访问控制（续）7.对系统访问和使用的监督（续）2）对系统使用的监督(1)风险规程和区域a)已授权的访问，包括诸如下列细目：i）用户ID;ii)关键事件的日期和时间；iii)事件的类型

42、；iv)所访问的文件；v)所使用的程序/实用程序；,二.信息安全标准（续55）,（七）访问控制（续）7.对系统访问和使用的监督（续）2）对系统使用的监督（续）(1)风险规程和区域（续）b）所有有特权的操作，诸如：i)超级用户账户的使用；ii)系统启动和停止；iii)I/O设备连接断开；c）未授权访问尝试，诸如：i)失败的尝试；ii)对于网关和防火墙的访问策略违规和通知；iii)来自专有的入侵检测系统的警报；,二.信息安全标准（续56）,（七）访问控制（续）7.对系统访问和使用的监督（续）2）对系统使用的监督（续）(1)风险规程和区域（续）d）系统警报或故障，诸如：i)控制台警报或消息；ii)系

43、统日志异常；iii)网络管理报警。,二.信息安全标准（续57）,（七）访问控制（续）7.对系统访问和使用的监督（续）2）对系统使用的监督（续）(2)风险因素监督活动的结果应定期评审。评审的频度取决于所涉及的风险。应考虑的风险因素包括：a)应用进程的关键程度；b)所涉及信息的价值、敏感性或关键程度；c)过去的系统被渗入和滥用经历；d)系统互连（特别是公共网络）的程度。,二.信息安全标准（续58）,（七）访问控制（续）7.对系统访问和使用的监督（续）2）对系统使用的监督（续）（3）事件的记录和评审系统日志通常包含大量的信息，其中许多与安全监督无关。为帮助标识出对安全监督目的有重要意义的事件，应考虑

44、将相应的报文类型自动地拷贝到第二份日志，和或使用适合的系统实用程序或审核工具执行文件询问。当分配日志评审的职责时，在承担评审的人员和监督其活动的人员之间的角色应考虑分开。应特别注意记录设施的安全，因为如果篡改记录设施，就可能提供错误的安全断定。控制应瞄准防止未授权变更和操作问题。,二.信息安全标准（续59）,（七）访问控制（续）7.对系统访问和使用的监督（续）3）时钟同步正确设置计算机时钟对确保审核记录的准确性是重要的。审核日志可用于调查或作为法律或法律案例的证据。不准确的审核日志可能妨碍调查，并损害这种证据的可信性。若计算机或通信设备有能力运行实时时钟，则时钟应置为商定的标准，例如，世界协调

45、时（UCT）或本地标准时。当已知某些时钟随时间漂移，应有一个校验和校准任何重大偏差的规程。,二.信息安全标准（续60）,（七）访问控制（续）8.移动计算和远程工作目的：确保使用移动计算和远程工作设施时的信息安全。1)移动计算当使用移动计算设施时，例如，笔记本机和移动电话，应特别小心确保业务信息不被泄露。2)远程工作远程工作使用通信技术，使员工在其组织之外的一个固定地点能远程工作。远程工作场地的合适保护应到位，以防止偷窃设备和信息、未授权泄露信息、未授权远程访问组织内部系统或滥用设施等。重要的是远程工作要由管理层授权和控制以及对远程工作方法要有到位的合适安排。组织应考虑制订策略、规程和标准，以控

46、制远程工作的活动。,二.信息安全标准（续61）,（八）系统开发和维护1.系统的安全要求目的：确保构建在信息系统内的安全。1）安全要求分析和规范新系统或现有系统增强部分的业务要求的说明应规定控制的要求。这种规范应考虑在系统中所包含的自动化控制以及支持人工控制的需要。当评价业务应用的软件包时，应进行类似的考虑。如果认为合适，管理层可能更愿意使用已独立评价和认证的产品。安全 要 求 和控制应反映出所涉及信息资产的业务价值和潜在的业务损坏，这可能是由于安全失败或缺少安全引起的。分析安全要求和标识（满足安全要求的）控制的框架是风险评估和风险管理。在设计阶段引入控制其实施和维护的费用明显低于实现期间或实现

47、后所包含的控制费用。,二.信息安全标准（续62）,（八）系统开发和维护（续）2.应用系统的安全目的：防止丢失、修改或滥用应用系统中的用户数据。1）数据输入确认输入到应用系统的数据应予以确认，以确保它是正确的和合适的。应考虑下列控制：a)双输人或其他输人检验，以检测下列差错：i)范围之外的值；ii)数据字段中的无效字符；iii)丢失或不完整的数据；iv)超过数据的上下容量极限；v)未授权的或不相容的控制数据；,二.信息安全标准（续63）,（八）系统开发和维护（续）2.应用系统的安全（续）1）数据输入确认（续）b)周期性评审关键字段或数据文件的内容，以证实其有效性和完整性；c）检查硬拷贝输人文档是

48、否有任何未授权的变更输入数据（输人文档的所有变更均应予以授权）；d)响应确认差错的规程；e)测试输人数据真实性的规程；f)定义在数据输人过程中所涉及的全部人员的职责。,二.信息安全标准（续64）,（八）系统开发和维护（续）2.应用系统的安全（续）2）内部处理的控制(1)风险区域已经正确录人的数据可能由于处理差错或故意动作所损坏。应在系统中加人确认检验，以检测这种损坏。应用的设计应确保实施若干限制，以使处理故障导致完整性被损坏的风险减至最小。考虑的特定风险区域包括：a)使用和定位程序中的增加和删除功能，以实现数据变更；b)防止程序以错误次序运行或在前面正在处理的故障下仍在运行的规程;c）使用从失

49、效中恢复的正确程序，以确保正确处理数据。,二.信息安全标准（续65）,（八）系统开发和维护（续）2.应用系统的安全（续）2）内部处理的控制（续）(2)检验和控制a）会话或批量控制，以便在事务处理更新之后调解数据文件平衡；b)平衡控制，对照先前的封闭平衡来检验开放平衡，即：i)运行至运行的控制；ii）文件（file）更新总量；iii)程序至程序的控制；c）确认系统生成的数据;d)检验在中央计算机和远程计算机之间所下载或上载的数据或软件的完整性,二.信息安全标准（续66）,（八）系统开发和维护（续）2.应用系统的安全（续）2）内部处理的控制（续）(2)检验和控制（续）e）求记录和文件的散列函数值总

50、量；f)检验是否确保应用程序在正确时刻运行；g）检验程序是否确保以正确的次序运行并且在故障情况下终止；进一步处理被停止，直到解决问题为止。,二.信息安全标准（续67）,（八）系统开发和维护（续）2.应用系统的安全（续）3）报文鉴别报 文 鉴 别是一种技术，它用来检测未授权的变更或损坏所发送的电子报文内容。它可以用硬件或支持物理报文鉴别器件的软件或软件算法实现。对于有安 全要求的应用，例如，非常重要的电子资金转移、规范、合同、建议等或其他类似的电子数据交换，应考虑报文鉴别，以保护报文内容的完整性。应进行安全风险评估，以确定是否要求报文鉴别，并且标识出最合适的实现方法。不将报文鉴别设计成防止未授权