《信息安全技术体系设计_IBM》由会员分享,可在线阅读,更多相关《信息安全技术体系设计_IBM(24页珍藏版)》请在金锄头文库上搜索。
1、. . . .1.1 信息安全技术体系设计根据对塔里木油田信息安全技术需求的总结,参考IBM企业安全技术架构方法,提出塔里木油田安全技术架构框架。安全技术架构框架覆盖了塔里木油田未来3年所需要的安全技术功能服务组件。每个定义的安全技术功能服务组件,都能够形成独立安全服务平台,用于实现塔里木油田的安全技术目标。安全技术功能服务组件框架同时也是塔里木油田的安全技术功能服务组件库,便于塔里木油田的安全技术人员从组件库中选取所需的安全服务组件,以规范一致的方式来进行的安全技术解决方案设计。图 42 信息安全技术体系框架针对服务模块所实现的安全机制在数据安全、应用安全、主机系统安全、网络安全、物理环境安
2、全方面有不同体现,展示如下:1.1.1 安全技术功能服务组件目录定义与安全架构方法模型中的五个安全域相对应,定义了五个安全技术功能服务组件目录,分别是身份与信任管理目录、访问控制目录、信息流控制目录、完整性管理目录和安全审计管理目录。以下是每个安全服务组件目录的定义。身份与信任管理目录该目录定义了身份和信任管理方面的功能服务组件,它们能够对企业范围内的用户身份的识别、验证进行管理控制,提供对用户身份和信任凭证生命周期的管理。在本目录中包含的安全服务组件有集中用户管理、统一用户目录、数字证书服务、双因素认证、电子签章服务。访问控制目录该目录定义了对IT资源(包括网络资源、平台系统资源、应用系统资
3、源、数据资源等)进行访问控制的功能服务组件,它们负责企业范围内的IT资源访问的管理控制。在本目录中包含的安全服务组件有集中身份认证及单点登录、统一统一授权服务、终端准入控制、远程访问控制、视频监控、物理门禁。信息流控制目录该目录定义了对网络信息流进行安全控制的功能服务组件,它们负责对企业范围内的信息流进行把关控制,保证信息流的机密保护、完整准确和合理可达。在本目录中包含的安全服务组件有数据防泄漏、入侵检测防护、信息流内容检测过滤、防火墙、DDOS防护(拒绝服务防护)。完整性管理目录该目录定义了保障IT实体(包括网络、平台系统、应用系统、数据等)完整性的功能服务组件,它们负责对企业范围内IT实体
4、正确、完整、可靠运行提供管理控制。在本目录中包含的安全服务组件有电子文档加密服务、网页防篡改策略符合性管理、终端桌面管理、防病毒服务、补丁管理、可用性保障服务。安全审计管理目录该目录定义了对安全审计管理的功能服务组件,它们负责对企业范围内的IT安全事件进行记录和监控,保证IT安全事件的可追溯和及时响应。在本目录中包含的安全服务组件有安全事件统一监控管理、日志审计系统、操作行为审计、安全符合性检查和安全弱点管理。1.2 安全技术功能服务组件定义1.2.1 身份与信任管理目录身份与信任管理目录包含以下的安全技术功能服务组件。每个安全技术功能服务组件的说明如下。集中用户管理服务名称 版本归属集中用户
5、管理服务1.0身份与信任管理描述集中用户管理服务能够为企业用户提供集中统一的用户账号管理服务,管理企业用户使用各种企业IT系统时的用户账号。本服务有利于降低用户管理的成本,有利于强化用户账号安全策略实施。关键服务集中用户管理服务应该为塔里木油田信息系统提供以下的管理服务:组织管理,实现对塔里木油田组织结构的管理,使得企业能够按照自身情况以部门或者地域进行组织结构的定义,管理内部用户在塔里木油田的组织结构的分布;账号管理,实现对塔里木油田所有内部用户自然人身份的主账号的管理,包括创建,激活、中止,废除、修改和删除,以及主账号与用户在目标IT系统的账号的关联同步管理;用户审批管理,实现对塔里木油田
6、用户账号建立、变动的审批管理;角色管理,定义和管理在塔里木油田企业用户的工作岗位/角色,提高企业用户管理的效率和灵活性。通过角色定义,可以将某类角色和不同目标系统上的账号进行对应,实现基于角色的企业用户管理;基于角色的访问管理:通过角色定义,可以将某类角色和目标系统上的资源进行对应,支持基于角色的访问授权。当前实施情况目前,塔里木油田虽然建立了统一授权与单点登录系统,但仅覆盖部分应用系统,且未覆盖主机系统及数据库层面。部分应用系统在账号管理方面采用了竖井式的建设,未使用统一的企业用户目录,独立管理自身的账号。统一用户目录名称 版本归属统一用户目录1.0身份与信任管理描述统一用户目录能够为企业用
7、户该提供集中的用户基础数据信息管理和存储服务。关键服务统一用户目录服务应该为塔里木油田信息系统提供以下的管理服务:企业用户目录:实现将塔里木油田所有用户信息存储在企业用户目录,企业用户目录设计需要反映出塔里木油田的组织结构;一般来讲,企业用户目录的设计应该具备高效处理的扁平结构。其中企业用户目录中对用户的标识可以为员工工号、邮件地址、HR系统中员工编号等。信任凭证安全存储:实现所有用户的敏感的信任凭证信息的安全存储,建议采用不可逆的加密算法实现对敏感的信任凭证的加密存储。目录整合与数据同步:实现塔里木油田企业用户目录的良好整合功能,能够整合企业已有系统的非规范用户信息,实现与已有系统的用户信息
8、的同步。其中目录整合须建立企业用户目录系统与其他系统间的用户信息对应关系;双方数据的同步接口将遵循该对应关系,实现一次性或定期的数据同步。目录复制与恢复:实现企业用户目录的复制与恢复,有效保障用户目录信息的高可用性。当前实施情况目前,塔里木油田没有统一的企业用户目录机制。数字证书服务名称 版本归属数字证书服务1.0身份与信任管理描述数字证书服务是一种增强性的用户信任凭证服务,该服务提供企业用户和应用的数字证书的管理和验证。关键服务数字证书系统是加强塔里木油田应用安全的重要手段,需要采用可靠的方式,实现联网应用用户的强身份鉴别和认证,支持网络应用的信息传输保护,提高业务应用的抗抵赖性。数字证书服
9、务应该为塔里木油田信息系统提供以下的管理服务:证书策略管理:根据企业的安全策略,设定数字证书的策略,使得证书的管理满足企业的业务安全要求;证书申请:系统接受用户输入的信息并提供一系列证书模块,供用户根据自己的需要选择并申请,系统验证用户信息,如果成功,系统向用户返回下载证书所需的凭证。证书签发:根据证书策略,对于通过审核的证书申请,生成数字证书;并将签发成功的证书发布到LDAP,或企业用户目录中。证书下载:验证用户的下载凭证,对验证通过的用户,提供证书下载服务。证书验证:向企业的用户或者应用提供统一的证书有效性验证; 证书撤销:根据企业证书策略,对不安全的证书实行撤销,撤销后证书将失效。证书更
10、新:根据企业证书策略,对正在使用中的证书进行有效期等更新。证书冻结:根据企业证书策略,可以对短期内不会使用的证书进行冻结操作,在冻结期内证书被限定不可使用。被冻结的证书可通过解冻操作恢复使用。证书解冻:相对于证书冻结操作,此功能将冻结的证书解冻,使得证书可以重新使用。当前实施情况目前,塔里木油田的大部分应用系统已经实现与数字证书身份认证系统的接口改造,初步实现了系统安全登录,下一步将不断强化数字证书的应用,完全取消用户名/口令,统一采用数字证书登录系统。双因素认证服务名称 版本归属双因素认证服务1.0身份与信任管理描述采用时间同步技术的双因素认证系统,它能够用强大的用户认证系统替代基本的口令安
11、全机制,帮助消除因口令欺诈而导致的损失,防止恶意入侵者或员工对资源的破坏,能够解决由口令泄密导致的所有入侵问题。关键服务双因素身份验证系统主要由三个部分组成:产生动态口令、认证代理和身份管理服务器。1产生动态口令由物理介质-令牌将动态口令提供给用户。那么很多人都对动态口令是如何产生的非常感兴趣。它产生实现原理一般是采用特定的运算函式或流程,即基本函数,加上具有变动性的一些参数,即基本元素。利用基本元素经过基本函数的运算流程得到结果,产生的内容再转换为使用的密码,由于基本元素具有每次变化的特性,因此每次产生的密码都会不相同,所以称为动态口令。2认证代理认证代理是实现认证功能的中间组件,它部署在应
12、用服务器上,用来实施动态口令的安全策略。常用的应用服务包括活动目录服务器、Web Services、远程访问服务器、VPN集中器等。主要功能是将具体应用的身份认证请求通过安全的通道传输给身份管理服务器,并通知用户验证结果。3身份管理服务器 管理服务器是双因素认证系统的核心。其主要作用为:验证用户口令的有效性、向用户签发口令令牌、签发可信代理主机证书、实时监控,创建日志信息等。计算机管理系统、局域网、远程拨号、Internet/VPN连接或Intranet/Extranet应用中的用户认证,所有这一切都可以通过双因素认证完成。当前实施情况目前,塔里木油田未实现对重要主机系统、网络设备的双因素认证
13、管理。电子签章服务名称 版本归属电子签章服务1.0身份与信任管理描述电子印章是运用印章图像,将电子签章的操作转化为与纸质文件盖章操作相同的可视效果。用户用电子签章对申请书进行签章操作时,可以看到电子版申请书上会显示红色的图章图像,同纸质的盖章效果一样。是随着计算机技术和互联网应用的发展而产生的一项新兴技术,在电子商务和电子政务中用以身份识别、授权管理、责任认定等。中华人民共和国电子签名法明确规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。关键服务电子签章特点:安全可靠 1、采用标准的RSA算法产生公钥和密钥,并生成ITU-TX509国际标准定义的电子证书; 2、用电子证书和位图图
14、章绑定,确保电子印章来源可靠; 3、在电子印章中绑定数字水印,防止非法拷贝印章位图; 4、采用标准的散列算法(HASH)产生数字摘要,确保电子签章和被签文件紧密绑定; 5、采用标准的DES算法加密电子签章实体数据; 6、采用电子钥匙(硬件设备,例如EKey、智能卡等)存储密钥,和软件联合控制签章权限; 7、可结合指纹认证、虹膜认证、签名认证等生物验证技术确保用户身份可靠。 8、通过签章记录可追溯从原始签章到当前签章的全过程功能强大 1、可在文件上添加电子签章,就像我们常用的纸质公文上的签章效果; 2、可在线(Internet)或离线签章; 3、可将电子签章和文件紧密绑定(整个文件或文件部分),
15、一旦绑定区域被篡改,电子签章将失效; 4、可随时对电子签章的可靠性及其绑定的部分的完整性进行验证; 5、对特定平台(例如Word等)可控制文件打印权限及打印份数,以及可随时锁定文件; 6、可通过浏览器管理电子签章服务器(管理员)或修改的个人信息(用户)。 标准规范 1、根据国家行政机关公文格式(GB/T9704-1999)生成位图图章; 2、根据国际标准ITU-TX509生成电子证书; 3、采用标准的DES(Data Encryption Standard)算法; 4、采用标准的RAS(R. Rivest、A. Shamir、L. Adleman)算法; 5、采用标准的Secure Hashing Algorithm (SHA-1)散列算法。 使用方便 1、采用浮动菜单的样式放置功能按钮,轻轻一点就可在文件上添加签章; 2、可通过浏览器维护电子签章服务器或修改个人的信息; 3、B/S模式访问服务器,即使您在外地,也可通过互联网对文件签章; 4、所有应用平台采用同样的签章界面,您
