信息系统的安全是一个多层次的概念,从底层到高层可分为物理安全、系统软件安全、应用软件的安全及外围的安全几个方面组成。
一、物理安全
硬件在计算机系统中处于最底层,是信息的载体,芯片技术则是其中的核心技术。目前我国还没有掌握计算机CPU芯片核心技术,在大规模集成电路方面与世界先进水平相比也有明显的差距,现状不容乐观。具体表现在集成电路产业规模小,我国集成电路的年销售额只相当于美国一个Intel公司的1/30;技术水平低,我国规模生产主要采用6英寸硅片,1微米工艺,而目前国际主流技术是8英寸硅片、0.25微米工艺,12英寸、0.18微米的技术也已经成熟。我国在计算机硬件核心技术方面严重依赖进口,在国际形势出现重大变化的情况下,敌对国家可以利用这一点对我国进行封锁,这对我国的信息安全极为不利。
物理硬件的安全还表现在由于制造工艺的复杂性及时间和经济的竞争导致仓促推出的硬件可能存在设计缺陷(BUG)。目前最新的Pentium 4主频达到了1.7GHz,采用先进的0.18um制造工艺,集成550万个元器件。这样复杂的设计和制造工艺必须借助计算机辅助设计,不可避免的会存在某些缺陷,在某些特殊的情况下,可能会出现致命的错误。芯片制造业的龙头Intel公司在其芯片中也发现了多起缺陷。
在硬件设计上,某些人为的因素也对安全可能构成威胁。1999年,Intel公司宣布了它的"安全计划":在Pentium 3芯片中引进序列号,以提供认证功能,并进一步考虑把密码算法、证书认证、安全代理服务等集成到CPU芯片中。这一计划引起了轩然大波:只要用户一开机,一上网,那么芯片厂家或安全部门将对电脑用户的信息一览无遗,这不是信息安全而是对信息安全的威胁!我国要求各级政府机关、敏感部门不使用采用Pentium 3芯片的计算机,国内厂家在组装Pentium 3芯片时必须关闭其序列号。由此,我们也联想到:象网卡的唯一的物理地址(MAC地址)是不是也可能被特殊机构用于特殊的目的呢?
计算机存储设备是信息的载体,其安全性问题应引起我们足够的重视。现在主流的计算机硬盘转速达到了7200转/秒,而磁头与磁盘片之间的间隙是非常小的,大概为几十个微米,硬盘在读写数据时的相对运动相当于波音飞机以离地面一米高度高速飞行,任何小小的颤抖都可以导致硬盘盘片的损坏和数据丢失。所以硬盘数据的备份非常重要,以使意外损失最小。众所周知的"千年虫"问题,也是由一个小小的设计缺陷引起的。那么有没有其他的类似的问题呢,这些问题都是我们需要加以关心的。
在物理硬件级,有如下一些可供参考的建议:
● 注重电源建设。稳定、可靠的电源可有效地减少硬件故障,延长设备使用寿命;
● 对于重要系统,可采用双机系统,减少故障几率;
● 注意火、热、湿、磁、电、辐射等对物理硬件的影响,改善机房环境;
● 建立完善的数据备份等制度,避免硬件失效带来的数据损失;
● 对应用在重要系统上的关键产品进行安全测试和评估,这对进口产品尤为重要。
二、系统软件安全
这里的系统软件泛指操作系统、数据库系统、开发工具及其他常用工具软件。
1.操作系统
操作系统是最重要的系统软件,它在信息安全方面的意义包括可靠性和安全性两个方面。可靠性要求保证系统稳定运行,安全性是指系统提供各种安全保护机制,系统本身无安全缺陷或后门。DOS是最早的个人计算机操作系统,它基本上没有提供什么安全机制。WINDOWS在安全性上比DOS要稍好一些,它采用PWL口令文件提供安全保护。而网络操作系统UNIX在可靠性和安全机制方面总体上较前述两种要好。
操作系统软件由于其在设计时的复杂性,不可避免的会存在一些缺陷。微软公司的操作系统WINDOWS2000推出不久,就被报道存在大量的BUG(缺陷)!而此前的WINDOWS NT系统也是漏洞百出,连续出了多个补丁程序,最新的补丁(SERVICE PACK 6)总容量达到36M之多。一些缺陷在应用很长时间后才被发现,而一些缺陷即使被发现后也没能及时得到补救。微软公司虽然在2000年4月19日就发现了WINDOWS NT4服务器的安全漏洞,但是他们直到找到修补措施之后才公布了有关情况。1998年,IIS软件里也发现了与远程数据服务相关的漏洞。据报道,至今仍然有1/4的公司还没有修补这个漏洞。此外,即使象Solaris99等著名的大型操作系统也发现存在多个漏洞。
值得关注的是,在微软公司的操作系统中也存在类似Intel这样的"序列号"问题。加拿大软件爱好者发现在WINDOWS中均存在第二个密钥,尤其令人心悸的是在WinNT4.0操作系统中的第二个密钥叫"NSAKEY",而"NSA"正好是美国国家安全局的英文名称缩写,这是一种巧合还是美国当局插手了其中?是在操作系统中故意留下"后门"还是为了提供"安全机制"?微软公司对此的解释是:我们这样做的唯一目的是为了满足美国政府的出口规定,我们的密钥是不公开的,我们没有向任何人提供过密钥!而通过实验证明的事实是存在一种方法可以任意修改微软视窗操作系统的额外密钥。
在操作系统一级,有如下一些减小风险的建议:
● 严格限制超级用户等特殊用户的成员资格。加强对特殊帐户的跟踪,尤其是登录失败和注销失败时;
● 对操作系统安全机制或规则进行的任何权限改变或修改必须进行审计。避免使用缺省权限设置;
● 改变超级帐户的名字,防止黑客对缺省命名的帐户进行攻击。系统管理员在进行特殊任务时建议用这个特殊帐户注册,然后注销;
● 应避免以超级用户等特权用户的身份直接上互联网浏览;
● 紧急修复盘包含系统重要信息,应严格控制对该盘文件的访问;
● 限制远程管理员访问;
● 并存操作系统有可能对其他操作系统构成安全威胁;
● 避免打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权。防止黑客可以利用这个安全漏洞,用一个木马程序替换任何一个打印驱动程序;
● 建议定期制作和保存备份;
● 加强系统的审计,定期检查审计文件;
2. 数据库系统
数据库一般使用多种结构来保护数据:如数据库后备、日志、回滚段和控制文件等。数据库后备是构成数据库的物理文件的后备,当介质故障时利用后备文件恢复毁坏的数据文件或控制文件;每一个数据库实例还提供日志,记录数据库中所作的全部修改;回滚段用于存储正在进行的事务所修改值的旧值,该信息在数据库恢复过程中用于撤消任何非提交的修改;控制文件,一般用于存储数据库的物理结构的状态。
数据库系统还根据角色管理安全性验证用户名称和口令,防止非法用户注册到数据库,对数据库进行非法存取操作;授予用户一定的权限,限制用户操纵数据库的权力;授予用户对数据库实体的创建、修改、查询、删除等存取执行权限,阻止用户访问非授权数据;提供数据库实体存取审计机制,使数据库管理员可以监视数据库中数据的存取情况和系统资源的使用情况;采用视图机制,限制存取基表的行和列集合。
在实际应用中,建议充分利用数据库提供的上述各种安全机制外,还可以采用如下一些安全手段:
● 可以采用双服务器,可在另一服务器上保留一个备份数据库;
● 在操作系统级,使用大容量磁盘阵列,通过磁盘映像技术使每一个数据库文件自动分布于每个物理磁盘。这样,当某个磁盘出现物理损坏时,操作系统会自动引发映像磁盘来取代失效的磁盘,保证数据库的正常运行;
● 在多个不同的物理磁盘上保持多个控制文件的备份。可以确保在出现磁盘故障后,能有可用的控制文件用于数据库恢复;
● 定时进行联机备份操作,备份所有数据文件、所有归档日志文件和控制文件;
三、应用系统的安全
一般讲,应用系统本身的安全性建设可分为四个环节。
1.系统调研设计阶段
系统分析员在应用系统的前期调研分析阶段应同步考虑信息安全问题。这一阶段需要考虑的问题包括信息的敏感程度评估、相关信息的价值评估、信息安全需要的强度评估、信息安全需要的投入、安全方案的总体设计、安全算法或技术的确定等。
2.应用系统的开发阶段
安全方案或算法的实现必须遵循一定的规范,必须和应用系统有机衔接,必须使其对系统的性能影响尽可能减小。此外在实现时,要考虑系统的可维护性,包括系统的整体维护和安全模块的单独升级维护。
3.验收阶段的评估检测
系统开发完毕,应进行软硬件的整体安全性能测试,按照软件工程的规范事先设计测试报告,提出严密的测试计划,记录测试结果,发现问题及时解决。
4.操作过程中的规范
用户在使用时,必须遵循一定的操作规程。
四、外围安全
作为系统整体安全的有机组成部分,计算机系统外围的安全与技术安全手段一样的重要。其安全内容包括:机房的消防安全、系统工作环境安全、相关人员的安全等,建立严格的管理制度