网络安全体系建设研究与探讨

时间：2024-05-17

徐智刚

（亚信科技(中国)有限公司，浙江杭州 310003）

随着国内外计算机互联网络的普及应用，网络正逐步改变着人们的工作方式和生活方式，网络的开放性、互联性、共享性给人们带来极大方便的同时，也带来了严重的安全隐患。特别是随着政府信息化、企业信息化、电子商务等的兴起，网络安全问题变得越来越重要。

笔者认为，应该依据以下步骤来进行信息网络安全体系的建设：应用分析→划分适当的安全域→风险分析→以《计算机信息系统安全等级划分准则》为依据，确定相应的安全等级→以安全保护(PDRR)模型为指导，以保护信息的安全为目标，以计算机安全技术、加密技术和安全管理等为方法进行分层保护→构建整体的安全保护保障体系。

1 应用分析

应用分析，应该包括二个方面，一是用途分析；二是对信息网络上的信息资产进行分析。不同的应用，信息资产也是不同的，存在的安全问题也肯定是不同的。试想一个单纯的接人互联网的信息网络(如网吧)与政府的办公网络的安全问题会一样吗?实际上，在同一个信息网络上，流动的信息也是不一样的，它们安全性的要求当然也是不同的。

2 风险分析

在进行了应用分析的基础上，应该对某一用途，或某一级别或类别的信息，或某一安全域进行风险分析。这种分析可用一个二维的表格来实现。首先确定某一信息类别，或一个安全域，以可能发生的风险为X 轴，对应于每一个风险，应该有3 个参数填人到表格中，一个是该风险发生的概率，另一个是该类信息对该风险的容忍程度，再一个是该风险可能发生的频率。

事件止发生的概率，目前可能很难给出量化值，可以给出一个等级标准，如不易发生，易发生和极易发生，而容忍度也只能给出等级，如无所谓、可以容忍，不能容忍和绝对不能容忍等。实际上我们在风险分析时，可以将风险列得更细些，更全面些。如火灾，可分为电气火灾，易燃品引起的火灾，因管理不善导致的火灾；再如人侵，也可以分出好多人侵的种类和目的，对攻击的资源目标，也可以分出许多的子项。就是DDOS 攻击也可以分出好多的种类。笔者在另一篇文章中对电子政务系统的风险进行了分析，列出可能发生的风险有18 类，如果再细分会达到几十种之多。

事件发生的概率，应该结合信息网络的实际情况进行分析，如水灾的发生，对于一个周围绝对没有水源，又是在三楼以上的机房来说，发生的概率就应该是极低的，就应该是不易发生。对一个与互联网没有物理联结的内部网络来说，通过互联网发生的人侵，发生的病毒灾害应该是不易发生的.是小概率事件，而对于一个网站来说，这二者且是极易发生的事件。

事件发生的频率，也不容易用准确的数字来表示，可以表示为独立事件和多发性事件。对象火灾这样的灾害，一般可以认为是独立事件，而病毒和人侵事件则是多发性的。对于多发性事件的防范策略与独立事件的防范策略就要有不同的考虑。

对某事件的容忍度，应该结合网络的用途与信息的安全级别来给出，对于一个只提供互联网接人服务的网络来说，信息的泄露风险就认为是可以容忍的。这样的网络就不该强调机房的电磁辐射问题，更不用说需用屏蔽双绞线了。

3 确定安全等级

在对信息分级和分类基础上，应该依据《计算机信息系统安全等级划分准则》(国标17859)确定相应的安全保护等级。《准则》给出了五个等级标准，每个标准等级都相应的要求。笔者认为不一定完全的套用某一个级别，可以根据风险分析的结果，与准则中的要求进行一定的对应，确定准则中的某一个级别，或以一个级别为基础，在某些方面可做加强，而在另一些方面可以相对减弱。再次强调，保护应该是信息分级为基础，对于不同级别的信息保护强度是不一样，不同等级信息，最好在不同的安全域中加以保护。这样不需要保护的信息就可以不加保护，而需要加强保护的信息，就可以采取相对强度较高的保护措施。但这种保护，必须兼顾到应用，不能因为保护而造成系统的应用障碍不过为了安全牺牲掉一些应用的方便性也是必要的。

4 分层保护问题

确定了安全级别之后，在风险分析的基础上，应该以计算机安全保护(PDRR)模型为指导，以《计算机信息系统安全等级划分准则》的依据，以计算机技术、计算机安全保护技术、保密技术和安全管理等为保护手段，以信息的机密性、完整性、可控性、可审计性、可用性和不可否认性等为安全为保护目标，分层分析和制定保护措施。

所谓分层保护，就是要把所列出的那些较为容易发生，且又不能容忍的风险，分解到各个层面上，然后利用计算机技术、计算机安全保护技术、加密技术和安全管理手段尽量的按一定的强度加以保护，以规避相应的风险。如信息抵赖的风险，应该发生在用户层面，可以用对用户的身份认证技术来解决这样的风险。火灾、水灾都应该在物理层面上加以保护。许多风险可能是对应于多个层面，那就应该在多个层面上加以保护，如信息泄露，在所有的层面上都会发生，那就应该在所有的层面加以保护。就用层的安全应该把应用软件开发中可能产生的风险考虑进去，一个是应用软件本身的安全问题，是否有后门，是否有漏洞，本身的BUG 问题等。再有就是应用软件的开发平台本身的安全机制如何，如FOX 类数据库与ORACOL 在安全机制上是无法比的。同时还应该考虑，应用软件与实际的应用环节是否匹配，不应该产生因为这种软件与应用的脱节，而产生新应用机制上的安全问题。其余各层上的安全问题，在这里不详细叙述，但应该考虑BIOS 的风险。BIOS 风险一方面是来自主机生产厂家，另一方面也可能来自应用单位设置上的不合理。这里提到的网络，与七层协议模型中所提到的网络层不是一个概念。它是指一个完整的网络，而不是网络层。

5 构建完整的保障体系

对信息网络进行了分层次的安全保护，好像我们的任务就已经完成了，实际上则不然。信息网络是一个整体，对它的保护也应该是一个整体。

首先，在进行分层保护的策略制定以后，首先应该在整体上进行评估，特别是结合部安全是还存在着问题。如，通过数据库可以获得系统的超级用户权限。其次，我们是以不同的信息资产或不同的安全域来进行分层保护的，而不是整个网络。此时我们应该对不同的信息资产或不同的安全域的分层保护方案进行比较和综合并进行适当的调整，考虑信息网络整体的保护方案。第三是应该选择适当的安全产品或安全技术。

建立安全体系，选用安全产品是必然的，但是这个体系不应该是安全产品的堆砌。特别是选用的安全产品是否符合国家相关部门的要求。还要考虑这些产品是否符合所制定的安全策略，并且要考虑是否符合自己信息网络的发展要求和安全产品本身的发展要求。在安全产品的选择上即要考虑产品本身的先进性，还应该考虑安全产品本身的成熟性，对一些非常重要的信息网络，不要第一个去吃螃蟹。最后还应该考虑对网络中的安全产品实现统一的动态管理和联动，使之能成为一个动态的防范体系，成为一个有机的整体。动态管理应该考虑，安全策略发生错误和失效的修改，以及对安全产品失效的对策，应该有预案。联动，就是使所有使用的安全产品，在发生安全事件时，能够成为一个防范的整体。

整体的安全体系的建立，还应该对安全的措施成本进行核算，国外的信息网络在安全方面的投人可达到系统建设费用的15%-30%，这个费用标准我们可以用来参考。核算措施成本后，还应该对成本效益进行评估，对于保护费用与效益在同一数量级上的花费，则应该考虑是否有必要进行这样的保护。