论检察系统的信息安全保障系统的建设
开篇:润墨网以专业的文秘视角,为您筛选了一篇论检察系统的信息安全保障系统的建设范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:针对近年来随着网络的普及以及各大公司企业和政府机构的网络信息系统安全问题频出的状况,该文分析了一般的安全事故种类以及常用的安全技术的基础上,阐述了一个较为完整的信息安全保障系统应具备的功能,结合检察系统的工作实际,提出了检察信息安全保障系统的建设方法。
关键词:防火墙;入侵检测;PKI;数字签名
中图分类号:TP309 文献标识码:A 文章编号:1009-3044(2010)01-45-03
A Construction Method about the Security System of the Prosecutorial Organization
LIU Lian-hao1, LUO Wei1,2
(1.Central-South University College of Information Science and Engineering, Changsha 410083, China; 2.Hunan Provincial People's Procuratorate, Changsha 410001, China)
Abstract: In recent years, with the popularity of the network, the network information system security incidents break out frequent in large companies and government agencies. This paper analyzes the general types of security incidents, as well as common security technology, based on a more elaborated a complete information security system should have the function, combined with the actual prosecutorial work, put forward a construction method about the security system of the prosecutorial organization.
Key words: firewall; intrusion detection; PKI; digital signature
近年来,随着网络的普及,各大公司企业以及政府机构都建成了网络信息系统,大量信息开始在网络上传输,不少数据都属于内部信息。大量网络信息系统的建成使得网络安全保障体系的建设显得极为紧迫。1999年至2008年,国家出台了一系列的规章与标准,逐步开始重视信息安全保障体系的建设。2007年6月四部委联合出台了《信息安全等级保护管理办法》(公通字 [2007]43号),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务;2007年7月,四部委又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。随着全国各级检察机关基础网络平台建设的基本完成,信息化为检察机关提升司法水平、增强法律监督能力提供了很大的帮助。与此同时,信息安全也日益成为各级检察机关非常关注的问题,建设一个可靠的检察系统信息安全保障体系显得日益重要。
1 威胁信息系统的主要方法
在对信息系统的安全威胁中,某些方法被经常和大量使用,因为这些方法具有易学性和易传播性。这些方法的某一实现或某几个实现的组合,会直接导致基本威胁演变为成功的攻击案例。通常黑客常用的方法有以下几种[1]:
1.1 身份欺骗
某个未授权的实体(人或系统)假装成另一个不同的实体,使其相信它是一个合法的用户(比如攻击者截收有效信息甚至是密文,以后在攻击时重放这些消息,达到假冒合法用户的目的),进而非法获取系统访问权利或得到额外的特权。冒充通常与某些别的主动攻击形式一起使用,特别是消息的重放与篡改。攻击者可以假冒管理者命令和调阅密件,或者假冒主机欺骗合法主机及合法用户,然后套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源甚至接管合法用户欺骗系统,占用或支配合法用户资源。
1.2 破坏信息的完整性
一般网络黑客可以从三方面破坏信息的完整性,即改变信息流的次序、时序、流向、内容和形式,删除消息全部或其一部分,或是在消息中插入一些无意义或有害消息。
1.3 破坏系统的可用性
攻击者可以通过使合法用户不能正常访问网络资源、使有严格时间要求的服务不能及时得到响应等方法破坏信息系统的可用性,直至使整个系统瘫痪。
1.4 截收和辐射值测
攻击者通过搭线窃听和对电磁辐射探测等方法截获机密信息,或者从流量、流向、通信总量和长度等参数分析出有用信息。
1.5 后门程序
在某个(硬件或软件)系统或某个文件中设置的“机关”,使得当提供特定的输入条件(或某一信号,或某一信息)时,允许违反安全策略而产生非授权的影响。一个典型的例子是口令的有效性可能被修改,使得除了其正常效力之外也使攻击者的口令生效。例如,一个登录处理子系统允许处理一个特定的用户识别号,可以绕过通常的口令检查。“后门”一般是在程序或系统设计时插入的一小段程序,用来测试这个模块或者将来为程序员提供一些方便。通常在程序或系统开发后期会去掉这些“后门”,但是由于种种原因,“后门”也可能被保留下来,一旦被人利用,将会带来严重的安全后果。利用“后门”可以在程序中建立隐蔽通道,植入一些隐蔽的病毒程序,还可以使原来相互隔离的网络信息形成某种隐蔽的关联,进而可以非法访问网络,达到窃取、更改、伪造和破坏信息资料的目的,甚至可能造成系统的大面积瘫痪。
1.6 特洛伊木马
特洛伊木马指的是一类恶意的妨害安全的计算机程序或者攻击手段。它是指一个应用程序表面上在执行一个任务,实际上却在执行另一个任务。同一般应用程序一样,能实现任何软件的任何功能,例如拷贝、删除文件、格式化硬盘,甚至发电子邮件,而实际上往往会导致意想不到的后果,如用户名和密码的泄露等。例如,它有时在用户合法登录前伪造一登录现场,提示用户输入账户和口令,然后将账户和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。用户还以为自己错了,再试一次时,已经是正常的登录了,用户也就不会有怀疑,其实,特洛伊木马已完成用户登录信息的窃取,更为恶性的特洛伊木马则会对系统进行全面破坏。
1.7 抵赖
抵赖行为并非来自于攻击者,而是来自于网络的通信双方,即通信双方中的某一方出于某种目的而否认自己曾经做过的动作,比如发信者事后否认曾经发送过某些消息或收信者事后否认曾经接收过某些消息等。
2 目前安全保障体系中信息安全常用技术
通常我们建设安全保障体系的时候,会从两个方面去进行考虑,即以防火墙、入侵检测技术为代表的网络访问控制技术和以PKI体系、数字签名技术为代表的身份认证技术。
2.1 防火墙技术
防火墙用于对网络之间交换的信息流进行过滤,执行每个网络的访问控制策略。防火墙常常保护内部的“可信”网络,使之免遭“不可信”的外来者的攻击。它是信息的唯一出入口,能根据安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙实现网与网之间的访问隔离,以保护整个网络抵御来自其它网络的入侵者。防火墙按实现的技术手段总的来说可以分为以下几种类型:
1)包过滤防火墙
通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。其特点是:速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2)应用级防火墙
工作在应用层,又称为应用级网关,它此时也起到一个网关的作用。应用级防火墙检查进出的数据包,通过自身(网关)复制传递数据,防止在受信主机与非受信主机间直接建立联系。其特点是:访问控制能力强,但对每种应用协议都需提供相应的程序,同时网络性能比较低。
3)混合型防火墙
既具有包过滤防火墙以及应用级防火墙的特点,同时增加了一些其它功能,如具有状态检测技术、应用、NAT、VPN等功能。无论何种类型防火墙,从总体上看,都应具有以下基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务和端口;网络地址转换;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警[2]。
2.2 入侵检测技术
利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充,入侵检测系统就是最好的安全产品。入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail),从而防止针对网络的攻击与犯罪行为。入侵检测系统通过监控来自网络内部的用户活动,侦察系统中存在的现有和潜在的威胁,对与安全活动相关的信息进行识别、记录、存储和分析[3]。入侵检测系统可以对突发事件进行报警和响应,通过对计算机网络或计算机系统中的若干关键信息的收集和分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象;通过对安全事件的不断收集、积累、加以分析后,可有选择性地对其中的某些特定站点或用户进行详细跟踪,为发现或防止破坏网络或系统安全的行为提供有力的安全决策依据。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用于制定及管理所有探测器(网络引擎)。探测器(网络引擎)用于监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此入侵检测系统的应用不会对网络系统性能造成多大影响,根据检测业务流量的多少可选用千兆或百兆入侵监测系统。
2.3 PKI/CA技术
公钥基础设施(PKI)是利用公钥密码理论和技术建立的提供安全服务的基础设施。PKI的简单定义是指一系列基础服务,这些服务主要用来支持以公开密钥为基础的数字签名和加密技术的广泛应用。PKI以公钥加密技术为基本技术手段来实现安全性,它将公钥密码和对称密码结合起来,希望从技术上解决身份认证、信息的完整性和不可抵赖性等安全问题,为网络应用提供可靠的安全服务。PKI最基本的元素是数字证书,所有的操作都是通过证书来实现的。一个完整的PKI/CA体系包括签署数字证书的认证中心CA(Certificate Authority),登记和批正证书签署的登记机构RA(Registration Authority),数字证书库CR(Certificate Repository),密钥备份及恢复系统,证书作废系统,应用接口等基本构成部分。其中,认证中心CA和数字证书是PKI/CA体系的核心。CA是数字证书的申请及签发机关,它是PKI/CA的核心执行机构,主要是标识和验证证书的身份,保证了交易的安全性;数字证书是一个经CA数字签名的、包含证书申请人信息及公开密钥的电子文件,可以保证信息在传输过程中不被除发送方和接收方以外的其他人窃取和篡改[4]。
基于PKI的数字签名技术类似于现实中的签名或印章,保证了传输数据的真实性、完整性和不可否认性。其签名和验证过程如下(假设签名方是A,验证方是B):
步骤1:A使用对称密钥将文件加密生成密文,然后使用单向散列函数得到待签名文件的散列值1;
步骤2:A用自己的私钥将此散列值1转换成数字签名,同时用B的公钥加密对称密钥算法中的密钥;
步骤3:A将密文、数字签名、加密密钥和时间戳放置到数字信封,发送给B;
步骤4:B使用自己的私钥解密A发送的加密文件的对称密钥;再用A的公钥解密A发送的数字签名得到文件的散列值1;
步骤5:B用获得的对称密钥解密文件,并使用相同的单向散列函数生成散列值2,若该值与A发送的散列值1相等,则签名得到验证。
该签名方法可在很大的可信PKI域中进行相互认证(或交叉认证),扩展了隶属于不同CA的实体间的认证范围。
3 完善的检察信息安全保障系统的构成
目前,我国的检察系统已经建成了一套覆盖全国各级检察院的信息网络体系,同时,检察业务对信息系统的依赖性也越来越强,在检察系统信息网络体系中存在着较多的敏感信息,而这些信息通常是控制在一定范围内的人员才可查看的(如办案干警、主管领导等),因此对系统的保密性要求很高,一旦对数据库中的数据进行非法访问与操作,会造成很大的影响。应用系统中的数据信息将决定业务工作能否顺利开展,例如案卡信息等数据一旦被篡改会,将会对办案干警的工作造成重大影响,甚至可能出现错案,因此对应用系统的数据完整性要求也很高。结合检察系统的工作实际,检察系统信息安全保障体系应由以下几个方面共同组建而成,其构成如下:
3.1 身份认证系统
全国检察系统应建立一套基于PKI/CA技术的统一身份认证系统,结合目前检察系统信息系统中开展的各项应用,严格定义和识别信息系统内每个用户的访问权限,及时发现并阻止非法用户的越权限访问。
3.2 防火墙和入侵检测系统
各级检察院应在其本院网络对外的接口处部署防火墙以及入侵检测系统,利用防火墙用来阻止非法用户进入内部网络系统,入侵检测系统则是利用审计跟踪数据监视入侵活动。
3.3 安全的操作系统
针对检察干警普遍使用微软操作系统的实际情况,应在全国检察信息系统中部署一套微软操作系统补丁分发系统,为各类服务器提供安全运行的平台,保障操作系统本身是无漏洞的。
3.4 容灾备份系统
针对服务器系统可能崩溃以及硬件可能发生损坏等情况,建立容灾备份相当有必要,容灾备份系统要能够把数据恢复到损坏发生前的状态。较为安全的容灾系统应在相隔较远的异地建立多套功能相同的系统,进行监视和功能切换。数据容灾是信息安全战略中非常重要的一个环节。
3.5 防病毒系统
针对目前网络上病毒泛滥的实际情况,给整个体系中的所有服务器及客户终端安装病毒防护软件相当的有必要。
4 结束语
该文着重介绍了两个方面的安全保障技术以及检察信息安全保障体系在技术上需要达到的一些基本要求,但要真正建立起一个完善的安全保障系统,只从技术手段方面着手是远远不够的,只有拥有安全的运行环境、规范化的管理、高素质的人员配备再辅以完善的技术,才能真正建立起一套完整的安全保障体系。
参考文献:
[1] 严伟.成都市保密专用网络安全设计[D].四川:四川大学,2003.
[2] 朱革娟,周传华,赵保华.网络安全与新型防火墙技术[J].计算机工程与技术,2001,1(22):16-19.
[3] Michael Wenstrom.管理Cisco网络安全[M].北京:人民邮电出版社,2001:557-583.
[4] 刘平.电子政务中PKI的应用及其互操作性的研究[D].厦门:厦门大学,2007.