《数据安全策略研究(1)》由会员分享,可在线阅读,更多相关《数据安全策略研究(1)(12页珍藏版)》请在金锄头文库上搜索。
1、从本学科出发,应着重选对国民经济具有一定实用价值和理论意义的课题。课题具有先进性,便于研究生提出新见解,特别是博士生必须有创新性的成果数据安全策略研究(1) 摘 要随着信息技术的迅猛发展,信息的价值与信息扩散的影响与日俱增,在信息系统中安全尤为重要。信息系统由若干个模块与其相连的信息链组成。本文抓住信息链中的重要环节,就数据安全进行剖析,提出系统内部安全、系统间安全及环境安全等方法,保证信息链中的数据安全。 关键词信息链;信道;安全策略;容灾;访问控制 1 引言 随着信息论、控制论的不断演化,通信、计算机、系统工程和人工智能等多种技术发展与融合,人们在信息的获取、传输、存储、处理与施用等方面的
2、能力空前提高,信息技术革命与人们的生活息息相关。尤其是在信息极度膨胀的当今社会,人们对信息的依赖程度越来越紧密,因此对信息系统中的数据的可靠和信息的安全要求也越来越高,越来越迫切。本文着重对以计算机、网络传输等为载体的信息链作简要阐述,对如何保证其安全提供一些方法。 2 基本概念 质量、能量和信息是物质的三大基本属性,是普遍存在于客观世界和人的意识活动中的。所谓信息是指事物存在的方式或运动状态以及这种方式或运动状态的直接或间接表述。信息具有时效性、寄载性、共享性、可计量性和可控性等特征1。 其中信息的可计量性已由信息论奠基人、美国数学家 Shannon和控制论的鼻祖维纳在上个世纪以概率论为工具
3、从数学上证明了平均信息量,即信息熵H(x) H(x)=P(xi ) h(xi ) (i=1,2,n) 由一组xi(i=1,2,n)事件组成的集合为信源,每个事件出现的概率分别是P(x1 )、P(x)、P(x) 、P(xn )且 P(xi )=1 (i=1,2,n)。 定义h(xi) =-P(xi ) (i=1,2,n),h(xi )称为这一事件xi 的平均信息量。 信息的可控性体现了信息的可操作性,同时也增加了信息的复杂性。为了更有效地将信息系统应用到不同的任务和需求中去,应运而生了各种信息技术,如信息的搜索技术、信息的传输技术、信息的存储技术、信息的处理技术、信息的施用技术等。这些技术广泛运
4、用于信息的整个生命周期中,存在于信源、信道、信宿等几个重要环节。 信源是信息的发源地,信息的获取和产生主要依赖于信源;而信道是信息传递的物理通道或媒介,是衔接信息与信宿的桥梁;信宿是信息传输的终点或目的地,是信息的接受者或利用者,是信息的归宿。信源产生消息,而信宿接受消息,信道用于传递消息,因此信息系统产生了信息链。信息链以其网络化、智能化、并行化、集成化、多媒体化为显著特征,每个环节的信息链中各子系统的侧重点不同。而信息在信息链中快速传递与广泛共享大大加强了需求各方对信息的搜集、传递、处理和施用的能力2。 图1 信息系统的流程框图 为了使信息系统内的资源少受或不受自然和人为等有害因素的威胁和
5、危害,必须对信息系统中信息链的各个环节采取有效的安全策略加以保护,使其能够正常、稳定、可靠、高效、安全地运转。信息系统的流程图可参见图1。3 信息链中的数据安全策略 以网络与计算机为载体的信息系统中信息的发生、收集可以采用自动数据采集与人工采集录用相结合的方法,使具有某些特征的数据进入该系统中,并通过网络等传输媒质将数据送至数据中心,再分发到信息处理系统中,通常是高性能的计算机平台进行加工处理,然后将其运算结果发送到数据中心或需要施用数据的部门中去。 上述系统中存在着信息链,存在着若干个模块或子系统。每个模块或子系统又由更小粒度的模块或子系统构成,同时它们之间存在着复杂的关系,有若干个输入/输
6、出、信息传输、信息存储、信息处理等模块。因此,需要建立多级安全模型,把系统中所有的主体和客体分别设置需要的登记和范畴,并按照确定的规则设置访问监督器。每当信息链中的一个主体要访问一个客体时,访问监督器根据该主体的安全属性和其要访问客体的安全属性,按照规则进行检查,看其是否具有访问权限。 建立安全的信息防护体系时,必须考虑到危及信息安全的各种因素,它包括信息系统自身存在的脆弱性和来自系统内、外部的各种各样的威胁。 以计算机系统和网络为特征的信息系统存在着固有的弱点和脆弱性,如果利用这些弱点,信息系统中的具有重要价值的信息可以被不留痕迹地窃取,非法访问可以造成系统内信息受到侵害,其脆弱性主要表现在
7、: 电磁辐射泄漏; 存储媒质失控; 数据可访问性; 磁性介质的剩余磁效应; 通信和网络的弱点等。 而对信息安全的主要威胁是非人为因素造成的和人为因素造成的两种。因此我们必须考虑信息系统的健壮性、完整性、可靠性和保密性等。 信息链中的系统安全遵循“木桶原理”,任何一个子系统或模块出现问题,则会殃及全系统的安全。为了保证数据的有效、可靠、完整、安全,必须对系统进行分层安全设计3。根据该思想我们可将系统的安全策略分为环境安全策略、子系统内部安全策略和子系统间的安全策略等。 环境安全策略 系统面临的安全威胁来自多方面,有信息的泄漏,如击键窥探、电磁泄漏窥探、内存空间窥探、磁盘缓存窥探等等,有信息的伪造
8、与篡改,有资源的窃取,有系统遭受蓄意破坏等。为保证系统安全必须首要考虑环境安全,采取有效措施,统筹兼顾,做到: 物理实体的选址考虑; 应急措施与路径冗余; 防电磁辐射泄漏; 媒质的安全如介质的保存、保护与备份等; 防止线路截获,如线路的短路、断路,并联盗窃,感应窃取以及通信干扰等。 系统内部安全策略 信息系统内部常用的安全策略有: 信息系统容灾技术; 安全操作系统及访问控制技术; 数据备份与加密技术等。 容灾基本概念 在考虑信息系统容灾策略时,比较合理的做法是:按照数据的重要性及其所处的地位进行级别的划分,按照划分结果对数据采用不同的备份方法。划分时一般要考虑几个因素: BWO:备份窗口目标,
9、主要是指创建备份数据时所耗费的时间; RPO:即数据恢复点目标,主要指的是系统所能容忍的数据丢失量,针对的是数据丢失; RTO (Recovery Time Objective):即恢复时间目标,指的是能够忍受的服务停止的最长时间,也就是从灾难发生到系统恢复服务所需要的最短时间,针对的是服务丢失。RPO和RTO之间没有必然的联系。 图2 容灾系统的七层架构 容灾系统的每一个层次采用不同的容灾方法,具有不同的数据恢复能力,即RTO与RPO的差别。图3 容灾系统处理能力与代价 而当恢复策略转向更高层时,COST参数将呈指数增长。图3说明了这种关系。因此在选择容灾方案时应该根据实际情况在三个参数之间
10、综合考虑。目前大多数企业的容灾系统处于SHARE中的第2层,仅有少数系统具有“零数据丢失”的能力。 信息系统容灾策略 除了环境安全策略外需要考虑的是信息系统的数据容灾技术。它包括本地容灾策略、异地容灾策略、系统管理和系统恢复策略等3。 本地容灾系统 本地容灾的主要手段是容错,容错的基本思想是在系统体系结构上精心设计,利用外加资源的冗余技术来达到掩蔽故障的影响,从而自动地恢复系统或达到安全停机的目的。容错是依靠外加资源的方法来换取可靠性的,附加资源的方法很多,主要的有附加硬件,附加信息,附加时间和附加软件4。 硬件冗余是指通过硬件的重复使用而提高可靠性的方式,包括:硬件堆积冗余,待命存储冗余,及
11、混合冗余等。时间冗余是通过消耗时间资源来达到容错目的的,例如:程序卷回,指令复执等。信息冗余是靠增加信息的多余度来提高可靠性的,附加的信息应具有如下功能:当代码中某些信息位发生错误时能及时发现错误或恢复原来的信息,一般来说,附加的信息位越多,其检错纠错能力越强5。软件冗余包括两个方向:研究无错软件,研究容错软件。 异地容灾系统 异地容灾是指在相隔较远的异地,建立两套或多套功能相同的IT系统,当主系统因意外停止工作时,备用系统可以接替工作,保证系统的不间断运行。异地容灾中涉及的一个重要概念是数据复制,数据复制的主要目的是确保异地间各个系统关键数据和状态参数的一致。它可分为同步复制和异步复制。 同
12、步复制的工作过程如下:当主系统主机向本地的存储设备发送一个I/O请求时,这个请求同时被传送到备份系统的存储设备中,等到两个存储设备都处理完成后,才向主系统主机返回确认信号。这样确保两个存储设备中数据的一致性。但是,当两个系统距离较远或者通讯效率不够时,向容灾系统发送I/O请求,会造成主系统明显的延迟,甚至会使主机无法正常工作。 异步复制是指主系统内主机与存储设备间的I/O处理与数据复制过程无关,即主机无须等待远端存储设备完成数据复制就开始下一次I/O操作。这样主系统与备份系统之间数据复制的通讯效率高,不会影响到主系统内部的处理能力,但是这样可能产生两系统中数据不一致问题。 管理软件主要用于广域
13、网范围的远程故障切换和故障诊断。当故障发生时,确保快速的反应和迅速的业务接管。在管理软件的控制下,广域网范围的高可用能力与本地系统的高可用能力形成一个整体,实现多级的故障切换和恢复机制,确保系统在各个范围的可靠与安全。 容灾系统运行过程 一个完整的容灾系统工作过程如下:在正常情况下,主系统和备份系统都处于运行状态,但业务处理程序只在主系统中进行;而数据的任何修改,都会同步地复制到备份系统。当主系统的某些部件发生故障,冗余部件将接替工作,直到损坏部件修复,在整个过程中,系统不受影响正常运行。当自然灾难发生,主系统瘫痪时,备份系统将启动业务应用系统,保证业务的正常运行。主系统修复后,将备份系统的当
14、前数据复制回主系统,然后将应用系统切回到主系统,备份系统重新回到备份状态;或者主系统修复后,作为备份系统使用,而备份系统作为主系统。这样能够很好应付各种软硬件故障、人为或自然灾害对计算机处理系统的影响,保护业务系统的不间断运行。 安全操作系统及访问控制技术 操作系统的安全与健壮是信息系统安全可靠的基础,只有这样它才能对整个计算机信息系统的硬件和软件资源进行有效的控制与管理,并为所管理的资源提供相应的安全保护。设计一个安全操作系统通常采用下列关键技术: 隔离性设计; 核心设计; 结构设计。 一个安全操作系统必须保证系统控制和管理数据的存取、程序的运行、I/O设备的正常运转时以最小的负载对系统效率
15、的影响,对系统中的数据库也可以采用安全策略,如安全管理策略、存储控制策略、库内加密、整个数据库加密、硬件加密等方法,来实现数据库的安全与保密。 为了有效地管理所属资源,实施访问控制是行之有效的措施之一。访问控制是对处理状态下的信息进行保护,是系统安全机制的核心之一,它保护被访问的客体,并对访问权限进行确定、授予和实施,在保证系统安全的前提下,最大限度地共享资源。一般访问控制机制应遵循下列原则: 最小特权原则; 对存取访问的监督检查原则; 实体权限的实效性原则; 访问控制的可靠性原则; 存取权分离原则; 最小共享存取原则; 设计的安全性原则; 用户的承受能力与经济性原则等。 访问控制可以保护系统信息,保证重要信息的机密性,维护系统信息的完整性,减少病毒感染的机会,延缓
