OA系统安全体系的设计

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

5．3．7 安全体系的设计
    为了讨论信息安全计划体系，说明业界的较佳实践，下面几节简述了几个关键的安全体系组成部分。其中许多部分将在后面介绍技术控制的章节中详细讨论，这里仅进行概述，因为机构需要这些安全体系组成部分的工作流知识，来达到拥有框架和蓝本的目标。
    1．深层防御
    安全体系的一个基本宗旨是在多个层次上实现安全。这个分层的方法称为深层防御。深层防御要求机构建立充分的安全控制和防卫措施，使入侵者面对多层控制。控制的这些层面可组织为政策、培训和教育，以及技术，就像第1章介绍的每个NSTISSC模式。政策本身无法防止攻击，但是它可以为机构应付攻击做好准备。结合其他的层次，政策就可以阻止攻击。培训和教育是相似的。技术也是在多个层次上实现，使用探测设备与反应技术，在访问控制的机制下进行所有的操作。使用多种技术，预防一台供应链管理系统的故障危害信息的安全，这种情况称为冗余。冗余可以在安全体系中的很多点上实施，比如防火墙、代理服务器和访问控制。图5-16举例说明了建立多层控制的概念，有时有冗余层。此图使用了防火墙，以及使用数据包级规则(在图表中以Header表示)和数据内容分析(图表中以0100101011表示)的入侵检测系统。

2．安全周界
周界指的是一个范围的边界。安全周界确定了机构安全的外部界限和外界之间的边界。安全周界是保护所有内部系统不受外部威胁的第一安全层，如图5—17所示。但是周界无法阻止来自员工威胁的内部攻击或者网站内部的物理威胁。还有电子安全周界和物理安全周界，电子安全周界通常位于机构的外部网络或者因特网的连接上，物理安全周界通常指的是机构办公室的大门。它们都需要周界安全措施的保护。安全周界可以有效地实现为多种技术，将保护的信息与攻击它们的人隔离开。在安全周界内部，机构可以建立安全域，或者是用户可以自由通信的信任区域。这种方案的假设是：如果人员可以访问安全域中的一个OA系统，他们就有权访问这个域中的所有系统。安全周界的存在和其本质是整个安全框架的一个基本要素，实施周界的细节不同，完成的安全蓝本也不同。用于规划周界的关键部分在后面讨论防火墙、DMZ、代理服务器和入侵检测统的几节中介绍。

3．关键技术组件
    在信息安全体系中，另外一些重要的技术组件是防火墙、DMZ、代理服务器和入侵检测系统。
    防火墙是一个将信息选择性地传入或者传出机构的设备。防火墙通常是一个计算设备，或一台特殊配置的计算机，它根据一组预先确定的规则，允许或者阻止信息出入指定的区域。防火墙通常置于安全周界上，在网关路由器的后面，或者作为它的一部分。网关路由器主要用来连接机构的系统与外面的世界，也可用作防御攻击的前线，因为它可以配置为仅允许几种协议进入。防火墙的类型有许多，通常按照它们可过滤的信息等级进行分类。防火墙可以过滤数据包、过滤有状态的数据包，代理级或应用级。防火墙可以是一个单独的设备，也可以是一个防火墙子网，这个子网由多道防火墙组成，在外部网络和内部网络之间建立一个缓冲区。因此，防火墙用于建立如图5—17所示的安全周界。
    防止外部攻击的缓冲区通常称为非军事化区(DMZ)。DMZ是介于内部网络和外部网络之间的无人区，一些机构将Web服务器放在这里。这些服务器提供了对机构Web页的访问，但是不允许Web请求进入内部网络。
    使用防火墙子网或DMZ的一个替代方法是使用代理服务器或代理防火墙。代理服务器以另一个系统的名义来执行动作。如果部署了代理服务器，就把它配置成类似于一个Web服务器，并指定域名，用户可通过它来找到系统和相关的服务。当外部客户发出一个Web页请求时，代理服务器会接收该请求，就好像它是请求的目标，然后向真正的Web服务器(对于请求者而言是一个代理服务器)请求需要的信息，并作为这台真正Web服务器的代理回应该请求。这可以给请求者回应其请求，不必让请求者直接访问内部更敏感的服务器。代理服务器可以固定下来，成为位于网络公共区域的一个防御堡垒；也可以把它放在防火墙子网或DMZ中，加
强保护。对于频繁访问的Web页，代理服务器能够高速缓存或者暂时存储该页，因此代理服务器有时称为缓存服务器。图5-18是机构使用代理服务器的一个典型例子。
    为了在内部网络或者个人机器上检测未授权的行为，机构需要实现入侵检测系统(1DS)。IDS有两个版本。基于主机的IDS通常安装在它们保护的机器上，以监控存储在这些机器中的各种文件。IDS会了解系统的配置，依据各种文件的价值分配优先级，较后向管理员警告可疑的行为。基于网络的IDS查看网络通信的模式，通过前面给出的基线宋检测非正常行为，其中包括通过机构内部机器的地址进入机构网络的数据包(IP欺骗)，大量转到外部地址(数据窃取)或者进入网络(拒绝服务攻击)的通信。这两种IDS都需要一个以前行为的数据库。在基于主机的1DS中，协同系统可建立一个文件属性数据库，维护常见攻击签名的目录。基于网络的IDS可使用一个常见攻击签名的类似目录，开发一个“正常”行为的数据库，与未来行为进行比较。IDS可组合使用，作为网络和系统组的较高安全级别。图5-19是入侵检测系统的一个例子。

这个技术组件的总体概述主要是为了充分理解各种技术组件，让决策者确定采用什么技术，什么时候通过其他的专门技术更好地构思安全设计。第6、7和8章将详细介绍各种详细安全技术的实施。
机构选择了模型，建立了框架，将它转变成可以实施的蓝本之后，就应确保计划包括建立培训和认识计划所需的步骤，积累信息安全知识，拓宽视野，让组织中的人员以安全的方式工作，提高机构信息资产的安全性。