第十章    政府审计与信息安全

 

第十章    政府审计与信息安全

审计是对财政财务收支资料及其所反映的经济活动的真实性、合法性和效益所进行的独立监督、评价行为。不论是传统审计,还是现代审计,其基本目标之一都是对政府和社会各界赖以决策的经济信息进行独立的、权威的审核与鉴证,以保证信息的安全、完整、及时和准确。在我国城市化、工业化、国际化的成长进程中,信息化作为经济建设与科研进步的引擎,始终伴随着社会发展,且显得越来越重要,但是信息化是双面刃,俗话说“在信息高速公路上开不好要翻车”;这是说的是越来越难驾驭的信息安全问题,由此信息安全也越来越急切地成为当今社会的热点议题——政府审计在维护国家信息安全方面能够大有作为,发挥独特而重要的作用。

 

第一节  政府审计与信息安全概述

一、信息安全的概念界定

信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类生存和发展具有特别重要的意义。从历史文献中了解一个社会的内幕,早已是司空见惯的事情,这是信息最早的作用形式。自20世纪后50年后,纸质记载的方式逐步被电算化方式取代,信息记录的形式日益多样化,信息的作用也越来越大。目前从计算机中了解一个社会的内幕,正变得越来越容易,不管是组织还是个人,正把日益繁多的事情托付给计算机来完成:敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,防空部队通过计算机完成导弹对目标的跟踪和发射……所有这一切,使人们对信息的态度发生了变化,信息资源使用的可靠性的要求急剧上升,因为超级大国差点因为计算机故障而引发人类核战争,历史学家认为由于日本译员的错误翻译导致美国向日本投下原子弹,当今社会因为计算机误报造成调度失灵引发车锅,因为电脑错误导致系统瘫痪引发社会混乱,因为计算机失密造成国家损失等似乎司空见惯,所以,信息社会中人们关心的最重要的问题是,在对非法(非授权)获取(访问)加以有效防范的条件下安全地传输与使用信息,即信息安全的前提下信息化才具有真正的意义。

信息安全的任务,就是要采取措施(技术手段及有效管理)让信息资产免遭威胁,或者将威胁带来的后果降到最低程度,以此维护组织的正常动作。凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。

狭义的信息安全一般指信息网络的硬件软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,信息服务不中断,信息系统各项的功能正常发挥。

广义的信息安全主要是指信息系统的稳定性和有序性。它是指一个国家的社会信息化状态和信息技术体系不受外来的威胁与侵害,以维持国家政治、经济、科技、军事、文化、社会生活等系统不受内外环境威胁、干扰、破坏而正常运行的状态。广义的概念把信息安全上升到国家安全的高度,涵盖了综合国家安全中的各个要素,包括经济、政治、科技、军事、思想文化、社会稳定、生态环境等各个领域,是一个复杂全面的综合性系统。

从宏观上说,信息安全是任何国家、政府、部门、行业都十分重视的宏观问题,是一个不容忽视的国家安全战略。从技术上说,信息安全是一门涉及计算机科学网络技术通信技术密码技术信息安全技术应用数学数论信息论等多种学科的综合性学科,是一个操作性很强的应用性技艺。

信息安全通常强调所谓CIA三元组的目标,即保密性、完整性和可用性。

1.保密性(Confidentiality)—确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。

2完整性(Integrity)—确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。

3可用性(Availability)—确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。

除了CIA,信息安全的其它标准还有一些其他原则,包括可追溯性(Accountability)、不可抵赖性(Non-repudaition)、真实性(authenticity)等,这些都是对CIA原则的细化、补充或加强。

二、信息安全的主要内容

信息技术革命的飞速发展,使得信息网络渗透到了国家社会生活的各个领域,信息安全问题也在各领域逐步显现出来,信息安全的内涵和处延都在以前所未有的速度和规模急剧扩张,目前,信息安全的主要内容包括:

1.政治信息安全

政治活动,对一个国家来说是最重要的活动,关系到公民政治生活、社会稳定、国家安全和经济发展,政治信息往往一个国家最敏感、最重要的信息组成,也是各国最关注的信息资源。电子政务的发展和政治信息公开化的状况一方面推动了现代民主的发展,同时也不可避免地带来了一些负效应,即国家的政局稳定、政府形象极易受到外部势力的侵蚀。敌对势力能够利用先进的媒体手段对一国的政治活动施加有效的影响,甚至控制一个国家的政治舆论走向,因此政治信息安全普遍受到各国高度重视。

2.经济信息安全

经济全球化和信息化的发展使每一个国家的经济系统,如财政、金融、税务、银行、海关、社会保险和航空管制等系统都已经通过信息网络与世界整个经济活动系统紧密联系在一起,这使一个国家获得更多的发展经济的机会的同时,要承受更大的信息风险。经济信息不仅反映国家经济发展状况和经济运行质量,而且也是经济决策和社会管理的重要参数,经济信息安全的意义自不言而喻上.

3.军事信息安全

信息技术的普及会在无形之中拆掉以往国家军事信息与外界直接严密的高墙,让国家军事信息面临着前所未有的威胁。以世界上网络信息技术最发达的美国为例,美国军事虽然拥有世界上最发达的信息技术,但是其军事信息仍然难以避免遭受网络黑客和网络病毒的攻击和破坏,给国家的军事信息安全造成巨大的威胁。军事信息往往反映国家军事活动和国防发展,西方国家在吹捧军事透明化的同时,却不断加大对军事信息的保密性和控制性,许多军事信息往往是国家核心机密,事关国家安全和战争胜负。

4.文化信息安全

人类社会信息化程度的提高并未消弥异质文化之间的矛盾与差异。信息网络技术的发展给文化信息的传播、渗透与交流带来了翻天覆地的变化。同时,与文化相互封闭时期相比,文化自我保护的难度也加大了,文化信息的安全也受到前所未有考验。文化信息内容繁多、结构复杂,代表和反映了国家政治经济生活的历史、风俗、科技、人文和价值认同等多层面,文化信息安全主要不是保密问题,而是文化的社会管理问题,是对国家主流文化的认定、高品位文化产品的塑造、社会核心价值观树立,而不受外来不良文化的侵蚀和破坏,使国家传统文化不被异化并得了健康传承。

5.科技信息安全

科技信息是一种重要资源,几乎世界上每个国家都在设法搜集别国的科技信息情报,国家之间也展开激烈的科技信息情报战,科技信息安全不仅关系到知识产权的保护、免遭非法侵害,而且还关系到国家科技的发展和综合国力的提升,关系到国家科技竞争地位的巩固和国防实力的强化等,因此科技信息安全已成为国家信息安全的重要内容。

.管理信息安全

管理是生产力、是战斗力。此处管理既包括微观经济的管理,如企业管理、局部市场管理、地方产业管理等,也包括中观和宏观管理,如国家经济政策的制订、重大能源政策、产业政策的出台、国家财政金融政策的调整等,这些信息具有很高的政治、经济价值,也是各国竞相收集探求的资源,所以管理信息同经济信息一样具有很显著的安全问题,这些信息管理不善会引发诸多经济风险和社会风险。

三、信息安全的基本特征

信息安全是随着信息技术的飞速发展和广泛应用而越来越凸现出来的,因此,与传统的政治、经济、军事安全相比,信息安全具有自己的明显特点。主要表现在以下几个方面:

1.信息安全的高度脆弱性和巨大风险性

随着计算机和网络技术的大面积应用,社会生活的各个领域变得越来越依赖于大型化的网络信息技术系统。如今网络不仅是信息传递的工具,而且是控制系统的中枢,不仅国家政务管理、国防设施要靠网络指挥,而且电话网、油气管道、电力网交通管理系统、金融系统和卫生保健系统等事关国计民生的各个方面,都越来越依赖于网络的正常性和安全性。在一切关键基础设施都依赖于计算机网络来控制和运行的情况下,它的安全、持续正常运转,就成为维系社会秩序的先决技术条件。在严重不公、缺乏合适的国际治理机制的当代,难以控制的信息网络技术漏洞必然会导致不可避免的安全攻击和灾难,在国家治理的环境中,信息安全的风险也会导致灾难性后果,即信息安全具有特有的脆弱性和显著的风险性。

2.信息安全攻击源的多样性和防范对象的不确定性

信息安全攻击源和安全防范对象的模糊性、多元性和广谱性,使安全界限的确定十分困难,并对安全防卫提出了前所未有的挑战。在现代信息社会中,公用和私人网络互联,军用和民用网络互联,各国之间的网络都已联为一体,各类用户数量极大,当攻击发生时,网络化通讯既能增加它们的潜力又能隐藏它们的踪迹,使人很难搞清攻击是来自国内还是国外,是来自国家、组织还是个人,攻击的具体原因是什么。信息安全攻击源的多样性和防范对象的不确定性,使得信息安全面临着巨大的压力。

3.信息安全威胁的潜伏性和突发性

网络的虚拟性和伪装攻能导致在信息安全领域所遭受的危害往往难以为人察觉。传统的国家安全遭受的威胁,其的酝酿过程较为漫长、,遭受安全威胁的国家有比较充分的时间来应对威胁不同,信息安全的威胁与此不同,可能是长时间潜伏而在没有任何征兆的前提下突然进攻并迅速蔓延,能够在较短的时间内导致一个信息安全系统完全瘫痪。正是拥有这样一个特征,信息安全的防范与日常监控管理显得尢为重要,需要随时防范可能发生的各类信息安全问题,信息安全的这一特征使得信息安全防范具有长期性、细致性、严密性和复杂性

4.信息安全的高智能性

与以往的信息安全大多数依赖于物理手段大为不同的是,网络信息环境下信息安全更多地依赖于现代高科技信息技术,显现出明显的高智能性。信息安全的高智能性给信息安全防范进出了非常高的要求,要求掌握最新的高科技信息技术,以高科技的信息技术手段来实现保障信息安全的目的,即以高科技对付高科技,占领科技的制高点。

5.信息安全的广适性

在当代网络信息环境下,各国的信息安全系统都通过互联网而连接为一个整体,全球信息安全体系构成了一个史无前例的实时连接的系统,信息网络跨国界、跨平台、跨领域。国家信息安全几乎是每一个国家都要面对的问题,做好这方面的功课将在未来的国际竞争中取得先机,同时信息安全也是一个国家各行业、各部门、各领域所面对的现实问题,信息安全事关行业、部门和领域的生存与发展。

四、信息安全管理策略

1.制定国家信息安全战略,确定信息安全的战略任务和目标

信息安全问题的模糊性和跨界性使国家安全问题显得越来越综合。在全球背景下,国家安全的挑战和威胁将会来自于不同的渠道和不同的方面。这就使得某些在过去或许不是国家安全关注的焦点问题和领域,也会越来越多地呈现出具有国家安全的性质,因此国家信息安全战略必须立足于综合和全面,这是战略性思考的基础。

由于网络攻击和威胁目标的不确定性,以及后果的严重性,国家战略主要强调预防和降低危害,信息安全的目标应该是:首先,防止针对关键设施的网络攻击;其次,减少可能遭受攻击的安全漏洞;第三,减少损失,缩短对网络攻击的反应时间。根据这一目标,建立多层次、全方位的防御体系是信息时代国家安全战略的基本内容。

2.构建完备的信息安全法律体系

信息化的社会秩序主要由三个基础层面的内容所构成,即信息社会活动的公共需求,信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会活动的公共需求是往往以政府意志的形式代为表现的社会公众的共同意愿,其主要包括国家信息化建设的基本目标、发展纲领、建设规划、行动策略、工作计划等等,是指导国家信息化发展的基本内容,也是国家信息化建设的公共需求;信息社会生活的基本支柱是由信息化的技术属性所决定的、国家信息化建设赖以萌牙、生成和发展的信息技术及其应用,包括计算机技术、网络技术、通信技术、安全技术、电子商务技术等等,它是信息社会生活必不可少的基本支柱;信息社会所特有的社会关系是指在国家信息化建设的过程中,参与其中的各个主体之间由于其信息化活动而产生的各种社会关系,具体将表现为相应的法律关系,其中主要包括信息民事法律关系、信息刑事法律关系、信息经济法律关系、信息行政法律关系、信息科技法律关系以及信息社会所特有的各种法律关系。与之相适应,国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律规范等三项内容共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体系。

3.完善信息安全基础设施保障体系

建立国家信息安全基础保障体系,包括风险管理、入侵检测、内容安全与监管等;发挥密码在保障体系中的基础和核心作用,加强密码基础设施的建设;建立国家安全事件应急响应体系,包括病毒、安全事件、国际协同等,建立信息安全事件应急响应中心、数据备份和灾难恢复设施;在国家执法部门建立高技术刑事侦查队伍,提高对高技术犯罪的预防和侦破能力;建立国家信息安全认证体系,推行信息安全等级保护制度,加强标准化和统一认证认可的评估评测工作。

通过划分信息安全等级,加强安全管理。在各级安全设施中,核心的是机密军事网络和重要的金融网络,其次是非机密军事网络、通讯情报系统、其他金融网络和信息传输中心,再次是电信网络、电力网、企业信息系统和非重要军事信息网络,最后是个人信息和通讯等非重要信息网络。在核心网络中要采取最严密的安全措施,在一般的网络中,则采取一般安全措施。

4.重视信息安全专业人才的培养和使用

信息安全人才是保障国家信息安全的重要基础。拥有一支高水平的信息安全专业人才队伍对于有效保障国家信息安全起着至关重要的作用。国家与国家之间在信息安全领域的竞争与角逐,就是人才的业务素质和整体规模的竞争与角逐。

5.加强监管力度,践行“主动防御”安全理念

目前通过互联网泄露国家秘密和商业秘密的事件屡有发生,除了人员的安全意识不高以外,更多的是对信息系统监管力度不到位而造成的。主要包括管理手段和技术手段两个方面,管理手段是在制度上约束人员的违规行为;技术手段则是通过对网络进行安全域的划分,严格实现内外网的物理隔离,并建立网络行为审计和桌面管理手段,对人员的违规行为实施有效的管控。

加强公共信息交换平台的管理,对论坛、博客和聊天室等公共信息交流场所要加大监控力度,防止涉密信息通过该类方式泄露。另一方面通过即时通讯工具、电子邮件、FTP等方式传输涉密文档的现象也屡有发现,由于互联网的信息源和信息通道都未加密,造成涉密文档极易被截获。所以加强对公共信息交换平台的监管是很有必要的。

对信息系统中的信息传输应采取信息过滤、敏感信息删除和信息泄露渠道追踪等技术手段,降低信息泄露的风险,堵塞信息泄露的渠道,切实对敏感信息的传输进行有效的管控。

五、政府审计维护信息安全的角色定位

为了对信息进行系统整合,需要分析信息产生源头,其主要有国家政策法规文件、技术资料、成文或不成文的资讯、财会资料、统计资料、业务管理资料和其他记载国家政治、经济、军事、科技、外交、民族、文化教育等活动的文献资料。信息资讯生成后便产生了对其进行管理的问题,首先是信息的传输,即信息处于运动状态,这是最容易出现风险的环节之一。传输信息的方式很多:有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性,即存在不安全的诸多因素。因此是信息安全管理的最重要的环节之一。不难看出,单一的保密措施和安全设置已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的、法律的等手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。

审计天然是与信息打交道的,对信息的生成、传输和使用具有防范、审核和把关作用的行政、管理和技术手段之一。国家审计是国家治理的重要组成,本身就是信息安全的守护机制的一部分,是对社会公共信息的审核和鉴证手段,对社会信息安全负有重要职责。不论是传统审计的审查会计账目,还是现代审计的审查政府管理的绩效,不论是过去的手工审计,还是现在的计算机信息系统审计,不论是政府审计,还是内部审计和注册会计师审计,不论是我国审计活动,还是国(境)外审计工作,无一例外都是围绕信息规划与实施审计活动的。

根据本书结构,此处仅对国家审计进行分析。国家审计从其本质特征分析,它是社会政治、经济管理系统的信息保障分系统,具有免疫系统功能,能够发挥预防、揭示和抵御经济社会运行中的障碍、矛盾和风险的“免疫”作用。国家审计监督的根本目的就是“维护人民群众的根本利益,推动依法行政,维护社会公平正义。”审计工作的首要任务就是“维护国家利益,保障国家安全”。就审计职责范围来讲,审计机关要在法定职责范围内关注国家安全,既要关注财政安全、金融安全、国有资产和国有资源安全、民生安全、生态环境安全等,也要关注国家信息安全,防范信息风险。信息安全与上述其他国家政治、经济安全具有联系性,信息安全是基础,与其他安全休戚相关,不可分割。信息是党和政府从事组织经济活动、管理社会事务、配置公共资源的“耳目”,也是决策与管理的重要依据,信息出了问题不仅是信息本身的灾难,而且要殃及赖以决策与管理国家政治、经济事务。所以可以说,没有信息安全,就没有财政、金融、国有资产、资源与环境、民生等其他方面的安全,这绝对不是危言耸听。

信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。大力推进信息化,是贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。但随着信息技术的快速发展,整个国民经济和社会对信息系统的依赖性正在增加,信息风险也不可避免地随之扩大。这不仅影响了广大群众的利益,甚至还将影响到国家的政治安全、经济安全和社会安全。在现实社会生活中已出现信息安全问题对社会生活造成了巨大冲击的诸多个例,如铁路、民航系统信息系统出现故障,短暂的“罢工”,造成营运系统的瘫痪,给社会管理、政府形象和人民生活造成巨大损坏;少数不法分子制造某些商品“涨价”、“缺供、断货”等虚假信息,造成市场巨大混乱,使某些地方市场供应长期生活在此阴影之中;因网站不慎错误发布洪水、地震等不实信息,造成社会的巨大恐慌,为此社会付出了很大成本;因某些领导干部安全意识薄弱,将我国防重要资讯泄露,造成国防尖端武器研制的被动,给了敌对国予可剩之机;如此等等。所以,信息安全作为“非传统安全”的核心内容,备受世界各国的关注,并成为国家安全体系中的关键要素。审计机关要在法定职责范围内关注国家安全,必定要主动与其它部门以及整个社会共同担负起“关注国家信息安全,防范信息风险”的历史重任——这是审计法赋予的法定职责,是审计机关自身应尽的社会责任,也是审计机关发展实践经历所证明其应有社会分工定位。

 

第二节  信息安全威胁、信息安全模型与信息安全评估准则

一、 信息安全威胁的具体形式

根据已经发生的信息安全事故的初步统计分析,信息安全威胁的具体类型主要有以下几方面:

1、信息泄露:信息通过各种渠道被泄露或透露给某个非授权的实体。

2、破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失,使信息不以其应有的面目出现于使用者面前。

3、拒绝服务:对信息或其他资源的合法访问被无条件地阻止,使信息正常功能破坏。

4、非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用,包括信息越权使用和窃取使用。

5、窃听:用各种可能的身份或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

6、业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。包括利用试错法对信息规律进行破解,对密码进行试解。

7、假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。假冒是以欺骗系统识别系统为特征的故意行为。

8、旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

9、授权侵犯:被授权以某一目的使用某一系统或资源的个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。内线作怪、内部人破坏,这是较难防范和查处的一种风险类型。

10、特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马。

11、陷阱门:在某个系统或某个部件中暗设的“暗道机关”,使得在特定的数据输入时,允许违反安全策略,这不是程序设计的缺陷,而是人为故意的破坏行为。

12、抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等,旨在使信息与信息生成者和传输者相脱离,不留信息产生与传输痕迹。

13、重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送,如对于一次性授权予以复制,以下次非法进入系统获取信息。

14、计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。这是对计算机信息系统进行破坏的最常见形式之一,在计算机系统普及化的今天,这也是信息安全的重要隐患之一。

15、人员不慎:一个授权的人不是出于故意,而是原于粗心、过失、误判等,将信息泄露给一个非授权的人。,也包括由于不慎所进行的误解操作,造成信息安全的问题。

16、媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得,即废弃的信息载体没有将信息作废弃处理,仍然保留着部分非公开信息而失密。

17、物理侵入:侵入者绕过物理控制而获得对系统的访问。

18、窃取:非法取得重要的安全物品,如令牌或身份卡被盗等硬体。

19、业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。

20、其他:除上述以外的其他破坏信息安全的形式。如采取暴力获取身份、采取停电、停机、损坏硬件等物理手段影响系统正常工作等损坏信息安全等。

总之,信息安全威胁形式多样,方法各异,其技术含量高,隐藏性强,手法变换快,造成危害大,且花样仍在不翻新之中,所以对此必须保持高度警惕。

二、 信息安全模型

人们对信息安全体系的认识,是一个由浅入深的逐步深化过程。信息安全的概念也是与时俱进的,经历了最早的通信保密,正在深化的信息安全,再到今天以至于今后的信息保障。信息安全模型是人们认识信息安全和推进信息安全保障措施的框架,反映了人们对信息安全的基本定位和对策思路。以下简单介绍两类信息安全模型:信息保障模型和安全工程模型,它们在诸多的安全模型中颇具代表性和前沿性。

(一) 信息保障模型

信息保障是美国国家安全局(NSA)和美国国防部(DOD)以及美国商务部国家技术标准研究所(NIST)倡导的概念和实际部署。经过多年的信息安全技术的研究,信息安全已形成整体的解决思路,人们已改变以往对信息安全绝对化的看法,承认信息安全也是一个相对的、动态发展的过程。NSA1998年以来一直致力于信息保障技术框架(IATF)的研究和制订,IATF目前已发展到了版本三,目前还在继续更新、发展。

信息保障模型把信息安全保障分为四个环节PDRR,即保护(P)、检测(D)、反应(R)、恢复(R),认为这些是信息保障必不可少的环节,并且认为现在面临的信息环境,包括两个方面,一是局域的计算环境,一个是包括专网、公网和电话交换的网络基础设施。因此要保障信息安全就应该保护局域计算环境,保护网络技术设施,还要保护局域计算环境的边界和对外部网络的连接。

另外,信息安全保障不是单因素的,不仅仅是技术问题,还是人、政策和技术三大要素的有机结合。因此将PDRR扩展为WPDRRC,即预警、保护、检测、反应、恢复和反击等六个环节,强调人、政策(包括法律、法规、制度、管理)和技术三大要素构成了宏观的信息网络安全保障体系结构的框架。

 反击

预警

 保护

 恢复

 检测

 响应

          技术

    策略

                          信息保障模型

上图说明的是信息保障模型的架构。图中内圈是人,人是核心,中圈是政策,政策是桥梁,外圈是技术,技术将落实在WPDRRC六个环节的各个方面,在各个环节中发挥作用。六个环节之间存在动态反馈关系。三个因素:人、技术和政策之间存在层次关系,人是根本,技术是上层建筑,技术是要通过人,通过政策和策略去操作相应的技术。

可以看到,信息安全是一个系统的工程,其中强调技术的因素,但是更加强调管理和人的因素。因此,维护信息安全要妥善解决人、策略和技术三大问题,这对于我国国家审计维护信息安全策略的推出和实施具有一定参考价值。

(二) 安全工程产品模型

从网络安全工程实施的角度,结合相关安全产品,根据网络安全实施进程的不同阶段,构建一个实用的网络安全模型:

网络安全=事前检查+事中防护、监测、控制+事后取证

一个网络要被保护起来,要分三个基本阶段:事前、事中和事后。

事前检查就是把网络已经潜在的安全问题或者是潜在的弱点,即各类风险隐患发现出来并加以弥补,这类产品用得比较多的就是扫描、杀毒系统。

事中防护、监测和控制是对正在运行的系统进行防护,如防止黑客攻击,产品例如:防火墙、VPN网关和入侵检测技术等等;这是最经常采用的防护手段,很明显控制与不控制结果大相胫庭。

而事后的取证,就必须用到安全审计系统之中。安全审计系统通过建立内部系统的安全审计制度,辅以相应的分析手段和工具,从内部提升“内力”,杜绝了外强中干的现象。如果说防火墙是一道保护网络的重要关卡,那么网络安全审计则是在网络内部值勤的网上巡警。安全工程产品模型从信息安全维护系统运行的过程,提出了防护策略和措施,与信息安全保障模型从要素角度的分析,具有一定的相关性和互补性。

三、信息安全评估准则

信息安全评价准则是一种技术性法规,是评价信息安全等级的通行标准。在信息安全这一特殊领域,如果没有这一标准,与此相关的立法、执法就会有失偏颇,就不知道信息安全处于什么样的状态,也无法评估一项安全策略和措施的实际效果,更不知道信息安全是否得到改进。当然,随着人们对信息安全认识的深入,信息安全评价标准也在不断的发展,人们对信息安全的要求也越来越高,对其标准也在不断递进。以下简单介绍几个重要的国际信息安全评价标准,供信息安全管理和评估借鉴和参考。

(一) 美国信息安全评估准则(TCSEC

TCSEC标准是信息安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于198512月由美国国防部公布实施。TCSEC最初只是军用标准,后来延至民用领域,后来在全社会推广实施。TCSEC将计算机系统的安全划分为4个等级、8个级别,主要关注在计算机中完成保密的问题,它强调系统的安全特性在于被授权的主体的建立,并以主体的名义访问客体,强调系统运行的稳定性和可持续性。

(二) 欧洲信息技术安全评价准则(ITSEC

1990年由欧洲四国(英、法、德、荷)提出,该标准将安全概念分为功能与评估两部分。“功能”准则从F1F10共分10级。F1F5级对应于TCSECD级到A级,F6F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性与完整性的网络安全。“评估”准则分为6级,分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的系统脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。

(三) 加拿大的信息安全评价准则(CTCPEC

CTCPEC专门针对加拿大政府需求而设计。与ITSEC类似,该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类:机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类,来表示安全性上的差别,分级系数为0-5级。保证性需求是对功能需求的保障程度的分级评定。

(四) 美国联邦信息安全准则(FC

FC是对TCSEC的升级,引入了“保护轮廓”(PP)的概念。每个轮廓都包括功能、开发保证和评价三部分。FC充分吸取了ITSECCTCPED的优点,在美国的政府、民间和商业领域得到广泛应用。

(五) 国际通用信息安全准则(CC

CC是国际标准化组织统一现有多种准则的结果,是目前最全面的信息安全评价准则。199910CCV2·1版发布,并且成为ISO标准。CC的主要思想和框架都取自ITSECFC,并充分突出了“保护轮廓”概念。CC将评估过程划分为功能和保证两部分,评估等级分为EAL1EAL2EAL3EAL4EAL5EAL6EAL7共七个等级,每一级均需评估7项功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。

这些信息安全评估标准,对于我国信息安全管理与评估,特别是对于这项工作的起步,无是一个很好的参照。

 

第三节     信息安全审计概述

一、信息安全审计的概念

信息安全审计是在传统审计学、信息管理学、计算机安全、行为科学、人工智能等学科相互交叉、融合的基础上发展起来的一门新兴学科,和传统的审计概念不同的是,信息安全审计用于网络信息安全领域,是对所要保护的计算机系统的安全状态进行监控、审核和评估;也是国家审计维护信息安全所采取的常见方式之一。

信息安全审计是指根据一定的安全策略,通过记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方,进而提出审计意见和建议的审计监督与评价活动。确切的说,信息安全审计就是对系统安全的审核、稽查与计算,即在审核所有记录与系统安全有关活动的信息资料的基础上,对信息系统和信息资料进行分析处理、评价审查,发现系统中的安全隐患,或追查出造成安全事故的原因,并按照法律和程序,作出进一步的审计处理。

信息安全审计系统是信息安全保障系统的重要组成部分。从来就没有一种技术,可以绝对地保证信息安全和网络安全。即使再先进的技术,在理论上可以认为是很安全,但也不可能绝对保证执行人员完整无误地执行,保证运行环境与理论设计的绝对一致。因此,无论什么信息技术,都不能排除审计监督的必要性和重要性。

关于审计的目标,在TCSEC系列中有一份关于审计的文件,名叫《理解可信系统中的审计指南》(俗称“褐皮书”),其中提出了安全审计机制的5个安全的基本目标:

1、基于每个目标或每个用户,都要存在访问模式的审查,并使用系统的保护机制;

2、能够发现试图绕过保护机制的外部人员和内部人员;

3、能够发现用户从低等级到高等级的访问权限转移;

4、制止用户企图绕过系统保护机制的任何尝试;

5、作为另一种机制确保记录并发现用户企图绕过保护的尝试,为控制损失提供足够的资讯保障,即用信息保障信息,这是一环双重保障机制。

当然,这些标准反映的是集中程度很高的主机环境下的信息安全要求,对一些运行环境特别的系统并不完全适用,但它的基本原则对信息安全维护是适用的。

二、信息安全审计的功能

虽然审计措施相对网上的攻击和窃密行为是事后的。甚至有些被动,但它对追查网上发生的犯罪行为,对于亡羊补牢,仍能起到十分重要的作用,对内部人员犯罪也能起到了明显的威慑作用。

信息安全审计除了能够监控来自网络内部和外部的用户活动,对与信息安全有关的活动的相关资讯进行识别、记录、存储和分析,对突发事件进行报警和响应,还能通过对系统事件的记录,为事后处理提供重要依据,对网络犯罪行为及泄密行为提供取证基础。同时,通过对信息安全事件的资讯进行不断收集与积累并且加以及时分析,能有选择性和针对性地对其中的特定客体进行审计跟踪,即事后分析及追查取证,以保证信息系统的安全。

总之,信息安全审计可以起到以下的基本作用:

1、对潜在的攻击者起到震慑和警告作用;

2、对于已经发生的系统破坏行为提供有效的追纠证据;

3、提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞;

4、提供系统运行的统计日志,使系统管理员能够发现系统性能上的不足,并有针对性进行改进。

三、信息安全标准中有关审计的要求

(一) TCSEC对于审计的要求

TCSEC(Trusted Computer System Evaluation Criteria)准则俗称“橙皮书",是美国国防部发布的一个信息安全准则,用于评估自动信息数据处理系统产品的安全措施的有效性,它定义了一些基本的安全需求。TCSECC2级(中初级别的信息安全等级)开始要求具有审计功能,到B3级已经提出了关于审计的全部功能要求,A1A1+两个较高的级别也照此办理。因此,TCSEC详细定义了四个级别的审计要求:C2B1B2B3,即一般的信息安全标准要求具有信息安全审计的内容。

C2级要求审计监督以下事项:用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员/系统管理员/安全管理员的行为、其它与安全有关的事项。对于每一个审计事项,审计记录应包含以下信息:事项发生的日期和时间、事项的主体(即用户)、事项的类型、事项是否达到目标;对于用户鉴别的事项还要记录请求的来源(如终端号);对于在用户地址空间中引入或删除客体,则要记录客体的名称;系统管理员对于系统内的用户和系统安全数据库的修改也要在审计记录中得到体现。C2级要求审计管理员应能够根据每个用户的身份进行审计。

B1级相对于C2级增加了以下需要审计的事项:对于可以输出到硬拷贝设备上的人工可读标志的修改(包括敏感标记的覆写和标记功能的关闭)、对任何具有单一安全标记的通讯通道或I/O设备的标记指定、对具有多个安全标记的通讯通道或I/O设备的安全标记范围的修改。因为增加了强制访问控制机制,B1级要求在审计数据中也要记录客体的安全标记,同时审计管理员也可以根据客体的安全标记制定审计原则。

B2级的安全功能要求较之B1级增加了可信路径和隐蔽通道分析等内容,因此,除了B1级的审计要求外,对于可能被用于存储型隐蔽通道的活动,在B2级也要求被审计。

B3级在B2级的功能基础上,增加了对可能将要违背系统安全政策这类事项的审计,比如对于时间型隐蔽通道的利用。审计子系统能够监视这类事项的发生或积聚,并在这种积聚达到某个阈值时立即向安全管理员发出通告,如果随后这类危险事项仍然持续下去,系统应在做出最小牺牲的条件下主动终止这些事项的进程。这种及时通告意味着B3级的审计子系统不象其它较低的安全级别那样,只要求安全管理员在危险事项发生之后检查审计记录,而是能够更快地识别出这些违背系统安全政策的活动,并产生报告和进行主动响应。响应的方式包括锁闭发生此类事项的用户终端或者终止可疑的用户进程。一般地,“最小的牺牲”是与具体应用有关的,任何终止这类危险事项的行为都是可以接受的。

(二) CC标准对于审计的要求

CC标准是美国、加拿大、英国、法国、德国、荷兰等国家联合提出的信息安全评价标准,在1999年通过国际标准化组织认可,成为信息安全评价国际标准。CC标准基于安全功能与安全保证措施相独立的观念,在内容框架上分为基本概念、安全功能需求和安全保证需求三大部分。CC标准中,安全需求都以类、族、组件的层次结构的形式进行定义,其中,安全功能需求有11个类,安全保证需求有7个类,而信息安全审计就是一个单独的安全功能需求类别,其类名为FAU。信息安全审计类有六个族,分别对审计记录的选择、生成、存储、保护、分析以及相应的入侵响应等功能,做出了不同程度的要求,下面分别予以介绍:

1、安全审计事项选择族(FAU_SEL),它定义了预先或在安全操作系统运行过程中,从可审计事项全集之中选择全部或部分事项进行审计的要求,它只有一个组件,该组件要求能够根据客体标识、用户身份、主体标识、主机标识以及其它条件确定需要审计的事项集合。CC标准要求对这种选择性审计事项集合的修改也是可以被审计的。

2、安全审计数据生成族(FAU_GEN),它给出了记录安全相关事项的一些要求。它包含二个组件,组件1定义了不同的审计级别(如最小级、基本级、详细级等),并要求明确给出所使用的特定级别中应该审计的事项类型,同时也指出了各种不同的审计记录类型所应包含的信息的最小集合(如事件的时间、类型、主体身份、事项结果以及与事项相关的其它信息);而组件2则是针对用户身份关联,它要求可审计事项应该能够关联到触发该事项的某个特定的用户身份。

3、信息安全审计事项存储族(FAU_STG),它对安全审计踪迹的建立、保护和维护提出了要求,它包含四个组件。组件1要求对所有已保存的审计踪迹进行保护,防止对审计记录进行非授权的删除或修改;组件2进一步要求在审计记录的存储介质用尽、失效或受到攻击时仍能确保审计记录的完整性和可用性;组件3要求在审计记录所占的存储量超过某个预定阈值时,适时采取某种措施以防止可能出现的审计数据丢失;组件4则还要求在审计踪迹的存储空间占满后,采取相应的措施以防止后续审计数据的丢失。

4、信息安全审计查看族(FAU_SAR),它对授权用户查看审计数据所使用的审计工具提出了要求,它有三个组件。组件1要求安全操作系统赋予授权用户从审计记录中读取特定审计信息的能力,而且要以便于解释的形式向用户提供审计数据;组件2是关于限制性审计查看的,要求除明确授权的用户以外的其它任何用户都不能读取审计记录;组件3是关于选择性审计查看的,要求审计工具能够根据某种条件,从审计记录中选择需要浏览的数据,或者能够按照某种条件进行排序。

5、信息安全审计分析族(FAU_SAA),它对于自动分析系统活动和审计数据提出了要求,用以发现可能存在的安全威胁。这种分析可以用于入侵检测,可以对检测到的可能违背系统安全政策的活动进行自动响应(响应的方式由FAU_ARP定义)FAU_SAA共有四个组件。组件1涉及对潜在入侵的分析,要求能够应用固定的规则来监视审计事项,并进行基本的阈值检测:组件2则是针对基于活动简档的入侵检测,要求系统为每个用户或用户组建立一个历史行为模式,每个用户或用户组被赋予一个可疑度以表明其当前的行为模式与其活动简档中的历史模式之间相异的程度,若其可疑度超过某个阈值,则意味着该用户或用户组可能会破坏系统的安全政策;组件3着重于对简单攻击行为的启发式检测,要求系统能够表示和检测代表安全威胁的特征事项;组件4则涉及对复杂攻击行为的启发式检测,不仅要求安全系统能够表示和检测表征安全威胁的特征事项,而且要能够表示和检测已知的入侵场景(scenario)序列。

6、安全自动响应族(FAU_ARP),它定义了在检测到潜在的入侵行为后所采取的行为,它只有一个称为“安全警告”的组件,管理员可以增加、删除或修改对检测到的“入侵”行为的响应方式,并且管理员的这种维护工作也是可审计的。

(三)我国国家标准对于审计的要求

我国的信息安全国家标准《计算机信息系统安全保护等级划分准则》定义了五个安全等级,其中较高的四个级别都对审计提出了明确的要求。从第二级“系统审计保护级”开始有了对审计的要求,它规定计算机信息系统可信计算基(TCB)可以记录以下事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或()系统安全管理员实施的动作,以及其它与系统安全相关的事项。对于每一个事项,其审计记录包括:事项的日期和时间、用户、事项类型、事项结果。对于身份鉴别事项,审计记录包含请求的来源(如终端标识);对于把客体引入用户地址空间的事项及客体删除事项,审计记录应包含客体名。对不能由TCB独立分辨的审计事项,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于TCB独立分辨的审计记录。

第三级“安全标记保护级”在第二级的基础上,要求对于客体的增加和删除这类事项要在审计记录中增加对客体安全标记的记录。另外,TCB也要审计针对可读输出记号(如输出文件的安全标记)的更改这类事项进行。

第四级“结构化保护级”的审计功能与第三级相比,增加了对可能利用存储型隐蔽通道的事项进行审计的要求。

第五级“访问验证保护级”在第四级的基础上,要求TCB能够监控可审计安全事项的发生与积累,当(这类事项的发生或积累)超过预定阈值时,TCB能够立即向安全管理员发出警报。并且,如果这些事项继续发生,系统应以最小的代价终止它们。

(四) 信息安全审计系统的组成

按照CIDF(公共入侵检测框架)提出的通用模型,将IDS(入侵检测系统)分为四个基本组件:事件产生器、事件分析器、响应单元和事件数据库,结构如下图所示。

在这个模型中,事件产生器、事件分析器和响应单元通常以应用程序的形式出现,而事件数据库则往往是文件或数据流的形式。需要分析的数据统称为事项,它可以是网络中的数据包,也可以是从系统日志或其他途径得到的信息。

按照此思路,一个安全审计系统就基本上有以下四个组件所构成:

 

 

事件产生器

(Event-Box)

事件响应单元

(Response-Box)

事件分析器

(Analysis-Box)

事件数据库

(Database-Box)

                         CIDF的基本模型

1、事件产生器:对应于系统的数据采集组件。事件产生器的任务是从入侵检测系统之外的计算环境中收集事项,并将这些事项传送给其他组件。

2、事件分析器:对应于系统的分析组件,事项分析器分析从其他组件收到的事项,并将产生分析的结果再传送给其他组件。

3、事件数据库:用来存储分析所得的中间数据或最终数据,以备系统需要的时候使用。

4、响应单元:对应于系统控制台,响应单元处理收到的分析数据,并据此采取相应的措施,如杀死相关进程、将连接复位、修改文件权限等。

(五)信息安全审计系统的分类

安全审计系统,按照不同的分类标准,具有不同的分类特性。

1.按审计所分析的对象

1)针对主机的审计:对系统资源如系统文件、打印机、注册表等文件的操作进行事前控制和事后取证,并形成日志文件。

2)针对网络的审计:主要是针对网络的信息内容和协议的分析。

2.按安全审计系统的工作方式

1)集中式安全审计系统

2)分布式安全审计系统

3. 按安全审计系统的响应方式

1)主动式安全审计系统:对审计出的结果进行主动响应,包括强制违法用户退出系统,关闭相关服务等等;

2)被动式安全审计系统:只是对审计出的异常进行报警。

 

第四节  网络信息安全审计

一、 网络信息安全审计的定义和分类

Internet已遍及世界180多个国家,容纳了60多万个网络,为3亿多用户提供了多样化的网络与信息服务。在信息化社会中网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用,社会对网络信息系统的依赖也日益增强。信息已成为现代信息社会的一个重要特征,网络正在逐步改变人们的工作方式和生活方式,成为当今社会发展的一个主题。

然而,计算机风险与信息安全随着信息化社会的发展逐步演变为一个不得不令人关注的话题:各类计算机网络环境极易受到攻击,当越来越多的应用系统加诸于网络,当社会正倾向于将其政治、经济、文化以及军事等,一切的一切加诸于网络,入侵、攻击事件一旦发生,随之而来的连锁反应可能将事态导向完全未知的局面,其结果难以想象。1998年,一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的统计资料,1998年中国共破获电脑黑客案件近百件,利用计算机网络进行的各类违法行为在中国以每年30%的速度惊人递增。黑客的攻击方法已超过计算机病毒的种类,总数达近千种。有媒介报道,中国95%的与Internet相连的网络管理中心都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。在中国,针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元,针对其他行业的黑客犯罪案件也时有发生。

另外,当前互联网的海量信息,给人们的工作、学习、生活带来极大便利,也给人们带来相当大的“信息冲击”的时候,也由此产生了诸多信息内容安全问题,诸如:境外敌对势力、宗教极端势力、“法轮功”邪教组织等利用互联网向境内进行渗透煽动、破坏活动的问题;利用主页、电子公告栏、留言板、聊天室等交互式栏目张贴、传播有害信息,泄露国家秘密的问题;利用电子邮件发送有害信息的问题;利用互联网进行诈骗、盗窃、赌博等违法活动的问题。尚未成年的青少年们正处于生长发育阶段,心志未成,极易受到不良信息的诱惑,由此引发种种不良后果;公司和企业在上网获取信息和沟通便利的同时,也面临着内部技术机密或者商业机密通过网络泄露给外界,特别是竞争对手的严重问题;对国家安全部门,反动言论或者谣言在网络的传播如果不能及时发现和控制,将给整个社会稳定和政府管控,以及社会金融秩序等带来恶劣的影响。

面对这种现实,各国政府有关部门和企业不得不重视网络安全的问题。网络安全技术和安全产品的研究与开发也随之发展,目前市场上有各式各样的网络安全产品,如防火墙就是普遍采用的一种安全产品,此外还有防病毒软件、防黑客攻击软件等。

网络信息安全审计在概念上应该属于安全审计的一个子集,但是由于目前的信息系统大多是基于网络的分布式应用,所以网络信息安全审计是安全审计的主要组成部分之一。

网络信息安全审计就是从网络上获取所有的或部分的信息,利用信息安全审计的思想,帮助网络审计主机并解决问题。网络信息安全审计覆盖OSI提出的网络管理功能领域中的多个目标,包括性能审计、故障审计、账户审计和安全审计。网络信息安全审计可以分为网络行为审计和网络内容审计两大类,防火墙、IDS、垃圾邮件过滤以及计算机取证等都属于第一类,而网络内容审计则属于第二类。防火墙和IDS等主要用于检测和防御来自网络的攻击和黑客的入侵,对网络的运行状况进行监控,但对于网络上应用层数据的内容无法审计。网络内容审计主要用于网络针对于具体应用的数据内容进行审计,网络内容审计所关心的是数据的内容有无非法内容,是否泄密等。

二、 网络行为审计

网络行为审计主要对网络中各个主机通过网络所做出的各种操作行为(如访问某个WEB页面或者通过某端口发送数据等)的监督和控制,如果该行为非法则报警,或者阻止操作行为的进行。操作行为是否非法的依据可以参照指定的网络行为审计策略。典型的代表是IDS和防火墙,其它的如反垃圾邮件系统以及计算机取证等。下面就主流的IDS和防火墙作一下介绍。

(一)入侵检测系统(IDS

入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。

IDS系统从最初实验的研究课题到如今的商业产品,已有20多年的发展历史。但是,直到20世纪90年代商业化的IDS才出现,国外有ISS公司的Real SecureNAI公司的CybercopSVC公司的NetProwlerCA公司的SessionWall-3Cisco公司的Secure IDSIBM公司的IRES(Internet Emergency Response Servive)等,而国内主要有中科网威“天眼”网络入侵侦测系统和启明星辰公司的黑客入侵检测和预警系统等。

1、 IDS技术

入侵检测即通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)

入侵检测系统主要通过以下几种活动来完成任务:

(1)监测并分析用户和系统的活动。

(2)核查系统配置和漏洞。

(3)评估系统关键资源和数据文件的完整性。

(4)识别已知的攻击行为。

(5)统计分析异常行为。

(6)操作系统日志管理,并识别违反安全策略的用户活动。

除此之外,有的入侵检测系统还能够自动安装厂商提供的安全补丁软件,并自动记录有关入侵者的信息。

按照IDS数据源的不同可以分为基于主机的入侵监测系统(HIDS)和基于网络的入侵监测系统(NIDS)。基于网络的入侵检测系统使用原始网络包作为数据源,它通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。基于主机的入侵检测系统主要监测本系统相关文件记录的变化。当有文件发生变化时,HIDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。

每种方法都有其优势和劣势,两种方法互为补充。一种真正有效的入侵检测系统应将二者结合,即所谓混合入侵检测系统,它可以弥补一些基于网络和基于主机的(IDS)的某些缺陷。

 

 

 

2、IDS的优点

IDS是近年来发展起来的系统安全技术,在信息安全领域的应用非常广泛,对网络安全管理起着很大的作用。IDS入侵检测技术是根据用户的历史行为,基于用户的当前操作来完成对攻击的检测,并留下攻击证据,为数据恢复和事故处理提供依据。IDS可以实现如下的功能:

(1)监视并分析用户和系统的活动,查找非法用户和合法用户的越权操作。

(2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞。

(3)对用户的非正常活动进行统计分析,发现入侵行为的规律。

(4)检查系统程序和数据的一致性与正确性,如计算和比较文件系统的校验。

(5)能够实时对检测到的入侵行为做出反应。

(6)操作系统的审计跟踪管理。

一个合格的入侵检测系统能大大简化管理员的工作,使管理员能够更容易地监视、审计网络和计算机系统,扩展了管理员的安全管理能力,保证网络和计算机系统安全的运行。

3、IDS的缺点

但是,IDS系统本身还在变化,远未成熟,不可避免地存在一些缺陷,主要是:

(1)目前,绝大多数商业IDS的入侵特征模式库可以定期更新;但是,特征模式库的提取和更新依赖于手工方式,维护不易;自我学习的IDS系统还未成熟,IDS技术在理论上还待突破。

(2)现有IDS系统错报或者虚警概率偏高,严重干扰了结果;通常这些错报会干扰管理员的注意力。

(3)事件响应与恢复机制不完善。这一部分对IDS非常必要,但目前几乎都被忽略,即使有,相当有限的响应和恢复功能还不能满足人们的期望和要求。

(4)IDS与其它安全技术的协作性不够。如今,网络系统中往往采用很多其它的安全技术,如防火墙、身份认证系统等。如果它们之间能够相互沟通、相互配合,对IDS进一步增强自身的检测和适应能力肯定是有帮助的。

(5)IDS缺乏对检测结果作进一步说明和分析的辅助工具。这妨碍了用户进一步理解看到的数据或图表。

(6)IDS缺乏国际统一的标准。没有关于描述入侵过程和提取攻击模式的统一规范;没有关于检测和响应模型的统一描述语言;检测引擎的定制没有标准化。

4、 IDS的发展趋势

入侵检测系统发展非常迅速,当前的入侵检测系统具有如下几个发展方向:

(1)分布式技术。传统的集中式入侵检测系统存在中央控制台负荷太大、网络传输时延较为严重、网络性能降低等诸多问题。

(2)决策理论。入侵检测的数据是随机的,为了在这些随机的入侵检测数据中找出统计规律,就需要使用决策理论。

(3)数据融合技术。当前的各种IDS系统在技术上还不能检测组合攻击。可以利用数据融合技术对多个传感器传来的数据对当前的系统安全进行评估。

(4)神经网络技术。神经网络对于用户行为具有学习和自适应性;同时,神经网络技术具有强大的攻击模式分析能力、处理噪声数据的能力、简单的建模能力等优点,在入侵检测系统中具有强大的生命力。

(5)评测模型。设计通用的入侵检测测试与评估方法的平台,实现对多种IDS系统的检测已成为当前IDS的另一重要研究与发展领域。

(二) 防火墙

防火墙是一种比较成熟的网络安全工具,部署防火墙是传统的、也是应用最为广泛的网络安全解决方案。防火墙是在两个网络之间执行控制策略的系统,这两个网络通常一个是保护内部网,一个是保护外部网。防火墙可能是纯硬件的,也可能是纯软件的,还可能是软硬件兼而有之。防火墙在内部网和外部网之间构造了一道屏障,它监测、限制、更改通过它的数据流,对外屏蔽内部网的信息、结构和运行状况,以防止发生网络入侵或攻击,实现对内部网的安全保护。

1、 防火墙技术

防火墙中使用的主要技术有:数据包过滤、应用网关和代理服务等。

(1)包过滤技术是在网络层对数据包进行的选择。它依据系统内事先设定好的筛选规则,检查数据流中每个数据包的源地址、目的地址、所有的TCP端口与TCP连接状态等信息,并以此来确定是否允许数据包通过防火墙。

(2)应用网关是在网络的应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的登记、统计和分析,形成日志报告。

(3)代理服务也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的,特点是将所有跨越防火墙的网络通信链路分为2段。防火墙内外计算机系统间应用层的“连接”由代理服务器以软件方式来实现,外部计算机的网络链路只能到达代理服务器,不能直接连接到内部网的任何机器上;这样,防火墙就可以很好地把内外网络分隔。代理服务也对过往的数据包进行登记、分析,形成日志报告。如果发现被攻击的迹象,代理服务器一般会向网络管理员发出警报,并保留攻击迹象。

防火墙的这三种技术各有优缺点,其应用范围也有不少差异。

2、防火墙的优点

使用防火墙可以带来如下好处:

(1)保护脆弱的服务,明显提高内部网的安全性。可以有效阻止攻击者获取攻击目标的有用信息,大大减小内部网资源的安全风险。

(2)便于实现集中的安全管理,强化安全策略。采用防火墙之后,网络管理员就可以通过这个中心“控制点”来有效地防止非法访问进出内部网。在防火墙上可以很方便地监视网络的安全性,判断可能的攻击和探测,及时发出报警。

(3)使用防火墙还具有方便对网络使用的记录和审计,缓解网络地址空间短缺等功能,防火墙所处的位置也是部署WWWFTP等服务器的理想场地。

3、防火墙的缺点

当然,防火墙也并非是保证网络安全的万全之策,一定也有自己的局限性。

(1)传统防火墙是一种被动防卫技术,它假设了网络安全的边界和服务,对内部的非法访问往往难以实施有效的控制。防火墙最适合相对独立于外部网络、互连途径有限、网络服务种类相对集中的单一网络,如常见的企业专用网。

(2)防火墙无法防范通过防火墙以外的其它途径的攻击,这就对网络安全造成了极大的威胁。

(3)防火墙无法彻底防范计算机病毒。

(4)防火墙不能防止内部网合法用户的不法行为和疏忽大意。

(5)防火墙本身的设置也可能成为安全隐患。随着防火墙系统功能的日益强大和复杂,其设置和使用者的要求也越来越高。如果设置不当,也会带来安全隐患。

所以,防火墙不可能做到万无一失,它不是解决网络安全所有问题的万能药方,而只是网络安全策略中的一个组成部分,构筑防火墙的目的是加强安全性而不是保证安全,没有任何一种防火墙可以提供绝对的安全保护。

4、 防火墙的发展趋势

防火墙有以下发展趋势:

(1)防火墙中过滤功能将不断扩展和加强。从目前对地址、服务的过滤,到对数据包分片、数据包内容、连接状态的检查;从静态包过滤到动态包过滤,包过滤的规则设置更为快速、灵活、自动化;将进一步加强病毒扫描功能。

(2)防火墙从技术上将更加综合,不仅结合了包过滤技术和网关技术,而且将采用数据加密技术,强化身份验证等访问控制措施。

(3)将增强对网络攻击的检测和预警功能,完善安全管理工具,特别是针对可疑活动的日志分析工具。考虑到攻击手段的多样性,一个网络安全不能单纯地依赖防火墙来实现,因此未来的防火墙需要带有入侵检测功能,或者能够与第三方的入侵检测软件实现互动。用户界面更为良好,方便防火墙的配置和管理。

总之,未来的防火墙技术将会全面考虑网络安全、操作系统安全、应用程序安全、用户安全、数据安全等多方面的因素,成为包过滤技术、代理服务技术、入侵检测技术、病毒检测防护技术和数据加密技术等多方面的综合体。

(三)网络内容审计

1、网络内容审计

防火墙和IDS等网络行为审计主要用于防范网络的攻击和黑客的入侵,在网络的网络层和传输层进行网络行为的监控和审计,但是基于内容的审计主要用于网络应用层数据的内容过滤,以保证信息的保密性。这类系统的原理和以上两类有相似之处,但是应用领域不同。

2、网络内容审计系统产生的背景

作为信息时代的重要标志之一,国际互联网上的万千信息给人们的工作、学习和生活带来了极大便利。但在信息的海洋中,还夹杂着一些不良内容,它们给社会带来相当大的不良信息冲击,比如其中的色情、邪教以及毒品等;不良信息的危害是不言而喻的,尚未成年的青少年们正处于生长发育阶段,极易受到不良信息的感染,由此引发的种种不良后果;公司和企业在上网获取信息和沟通便利的同时,也面临着内部技术机密或者商业机密通过网络泄露给外界,特别是竞争对手的严重问题;对国家安全部门,反动言论或者谣言在网络的传播如果不能及时发现和控制,将给整个社会稳定和政府工作以及社会金融秩序等带来恶劣的影响。

3、网络内容审计的优缺点

网络内容审计可以完成针对具体应用或者具体主机的信息内容过滤,其优点具体可以表现为以下几个方面:

(1)基于内容的监控审计技术可以通过实时监控网络流量发现问题,及时切断连接,并保留日志,对网络信息进行过滤,为青少年的教育管理提供有力的技术支持,保护未成年人免受不良信息的毒害;

(2)基于内容的监控审计技术在保证政府和公司网络通信正常运作的情况下,通过分析网络信息流,报告可疑的链接和数据,为防止和杜绝政府和企业信息泄漏提供线索和证据,从而保证电子政务和电子商务的正常运行;

(3)对国家安全部门,基于内容的监控审计和监控技术能及时发现反动言论或谣言在网络上的传播,并提供证据以便国家部门事后查处。

虽然网络内容审计已引起人们的足够重视,国外多家企业和研究机构已推出许多网络信息内容审计工具,但是目前在国内的网络内容审计还比较少,已有的网络内容审计一般还存在以下缺点:

(1)系统所能处理的网络上的数据量小,系统的可扩展性差。一般普通单个采集分析系统仅能处理100M内的数据,跟不上目前网络的发展速度和网络的规模。

(2)所能处理的协议类型有限,系统的功能单一,仅仅针对具体的应用。

(3)所处理的数据一般都是针对文本资料,对网络上的多媒体信息(如音频和视频等)以及图片信息无法监控。

(4)网络内容审计和监控系统一般都有策略库,对于策略库的建立和维护相对较为复杂。

(5)对于内容的审计和过滤算法简单,而实际的应用需要进行关联等智能的分析。

4、网络内容审计的发展趋势

目前网络内容审计有以下两个发展趋势:

(1)大规模的高效率的分布式内容审计系统。不仅使系统的吞吐量大大增加,而且使系统的可扩展性增强,通过引入一些新技术(如移动Agent、零拷贝技术等),从网络底层到应用的系统设计等各个层面提高系统的效率。

(2)引入数据融合和数据挖掘技术的内容审计系统。通过引入这些技术可以大大提高系统的分析和判断能力,能够更智能更有效的对内容进行审计。

 

第五节  重要领域信息系统的信息安全审计

一、重要领域信息系统面临的安全挑战

随着信息技术的迅速发展,许多单位和部门对信息系统的依赖性日益严重,尤其是一些重要领域(如电子政务、金融、证券、航天航空、国防、国家安全等)的信息系统,一旦出现问题将带来巨大的损失。重要领域的信息系统将面临来自外部或内部的各种攻击,包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。

信息系统面临的安全威胁来自多个方面。首先,目前大部分信息系统选用的系统本身存在着安全隐患,如网络硬件设备(服务器、网络设备等)和操作平台(操作系统、数据库系统、通用软件系统等)存在弱点和漏洞。应用软件系统的脆弱性、应用系统的BUG、代码错误、不安全代码的执行模式、不安全设计、网络的脆弱性、网络协议的开放性(TCP/IP协议栈)、系统的相互依赖性都会导致网络的安全风险。此外,安全设计本身的不完备性、网络安全管理人员对系统漏洞的置若阁闻都会使攻击行为得以成功。因此,信息系统的安全方案中要综合考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等问题。

二、重要领域信息系统中信息安全审计的需求

在重要领域信息系统的众多安全问题中,内部的安全违规问题尤其值得重视。内部人员违规一般有两种形式:一种是内部人员的违规操作,造成的后果是影响系统的安全;另一种是有目的地窃取资源,造成系统外的安全危害。

最近几年网络安全领域主要强调的是如何防范外部人侵,如怎么建网关、建防火墙、实现内外网的物理隔离等,但是堡垒最容易从内部攻破,信息最容易从内部丢失。解决内部人员违规的一个重要手段是对重要领域信息系统实行高强度的安全审计。所谓的强审计不是简单的“日志记录”,而是增强的、全方位、多层次、分布式的安全审计,覆盖网络系统、操作系统、各类应用系统(WebE-mailNOTESExchangeDBMS)等,对各种未授权或非法的活动实时报警、阻断等。

安全强审计与一般的安全审计相比在以下几个方面得到增强:信息收集能力;信息分析能力;适应性;防绕过特性;信息保护特性;审计深度和针对性;规范化、标准化和开放性。

在重要领域信息系统中,信息安全审计的重点如下:

l)网络通信系统

重要领域信息系统的普遍特点是网络流量一般不是很高,但是网上传输的可能是机密或敏感的信息,因此除了需要具备一般企业内部网所需要的人侵检测功能之外,还需要具备以下审计功能,以发现内部网络上的违规行为:对网络流量中典型协议分析、识别、判断和记录;对TelnetHTTPE-mailFTP、网上聊天、文件共享操作的还原和记录;对网络流量进行监测以及对异常流量的识别和报警;对网络设备运行进行持续的监测。

2)重要服务器

重要领域信息系统中,重要服务器是信息的集中点,需要对其进行严格的审计,以保护信息资源,对以下事项的审计是最基础的安全审计功能:服务器系统启动、运行情况;管理员登录、操作情况;系统配置更改(如注册表、配置文件、用户系统等);病毒或蠕虫感染情况;资源消耗情况;硬盘、CPU、内存、网络负载、进程等;操作系统安全日志;系统内部事件;对重要文件的访问。

3)应用平台

仅仅对服务器系统层次的审计还是不够的,因为目前大量重要领域信息系统的应用平台在权限控制方面还有一定的缺陷,因此存在通过应用平台进行违规操作的可能性,例如:直接操作数据库的行为。因此,应用平台层次的安全审计也是必须的,审计内容包括:重要应用平台进程的运行;Web服务器、Mail服务器、LotusExchange服务器、中间件系统;各个平台的健康状况;重要数据库的操作;数据库的进程;绕过应用软件直接操作数据库的违规访问行为;数据库配置的更改操作;数据备份操作和其他维护管理操作;对重要数据的访问和更改操作。

4)重要应用系统

由于不少重要领域信息系统中已经建立了一系列的应用业务系统,因此对于一般的操作人员来说,业务系统是最主要的人机界面,对于有高安全需求的重要领域信息系统来说,还需要加强应用系统层次的审计。如对于电子政务系统,针对以下应用系统的审计是最基本的:办公自动化系统、公文流转和操作、网站系统、相关政务业务系统。

(5)重要网络区域的客户机

在一般的信息系统中,对客户机的审计通常不是必要的。但是对于一些安全级别较高的信息系统的重要网络区域,针对客户机的审计还是必要的,主要审计以下内容:病毒感染情况;过网络进行的文件共享操作;文件拷贝、打印操作;通过Modem擅自连接外网的情况;非业务异常软件的安装和运行。

三、 重要领域信息系统中安全审计系统的建设

在重要领域信息系统中,一个较为全面的审计系统建设需要关注以下几个方面:

1)数据的来源

审计系统如何获取所需的数据通常是最关键的,数据一般来源于以下几种方式:来自网络数据截获,如各类网络监听型的入侵检测和审计系统;来自系统、网络、防火墙、中间件等系统的日志;通过嵌人模块,主动收集系统内部事件;通过网络主动访问,获取信息(如扫描,HTTP访问等);来自应用系统、安全系统的审计接口。

在重要领域信息系统中的安全审计系统的建设中,尤其需要考虑强制获取数据的机制,即:有数据源的,通过审计系统来获取;无数据源的,要设法生成数据,进行审计。这也是强审计和一般的日志收集系统的区别之一。目前,各类wrapper技术是强制生成审计数据源的有效手段之一。

另外,在数据源方面,还需要关注所收集数据的性质,有些数据是已经经过分析和判断的数据,有些数据是未分析的原始数据,不同的数据要采用不同的处理机制。此外在很多系统中可能需要根据实际情况定制数据转化的功能。

2)审计系统的分析机制

审计系统需具备评判异常、违规的能力,一个没有分析机制的审计系统虽然理论上可以获取和记录所有的信息,但实际上发挥的作用十分有限。审计系统的分析机制通常包括:实时分析,提供或获取数据的设备/软件应具备预分析能力,并能够进行第一道筛选;事后分析,维护审计数据的机构对审计记录的事后分析,事后分析通常包括统计分析和数据挖掘两种技术。对于重要领域的信息系统来说,两方面的分析机制都是需要的,一般情况下审计系统都应具备实时分析能力,如果条件允许,也应具备事后分析的能力。

3)与原有系统的关系

通常一般企业构建安全审计系统时,仅仅采用一些入侵检测系统就满足需求了,与原有系统关系不大。但是在重要领域信息系统中,需要实现多层次多角度的安全强审计,因此审计系统必然和原有的系统有一定的关系。通常,审计系统与原有系统的关系包括:完全透明型,原有系统根本察觉不到审计系统的存在;松散嵌人型,基本上不改变原有系统;紧密嵌入型,需要原有系统的平台层和部分应用做出较大改变;一体化设计,系统设计之初就考虑审计功能,所有模块都有与审计系统的接口。

实现审计功能的同时,确保原有系统的正常运转是审计系统构建的关键,要尽量做到最小修改和影响系统性能最小。

4)保证审计功能不被绕过

有了安全审计的措施,必然会有各类绕过审计系统的手段。而在重要领域的信息系统中,审计系统如果被轻易绕过将导致严重的后果。所以在建设审计系统时,需要充分考虑审计系统的防绕特性。通常可以采用以下手段增强审计系统的防绕性:通过技术手段保证的强制审计,如网络监听和wrapper机制;通过不同审计数据的相互印证,发现绕过审计系统的行为;通过对审计记录的一致性检查,发现绕过审计系统的行为;采用相应的管理手段,从多角度保证审计措施的有力贯彻。

(5)对审计数据的有效利用

如果光建立一个审计系统,而缺乏对审计数据的深度利用将无法发挥审计系统的作用。可以考虑以下的措施:根据需求,进行二次开发,对审计数据进行深人的再分析,可以充分利用成熟的分析系统,实现关联分析、异常点分析、宏观决策支持等高层审计功能;对审计系统中安全事项建立相应的处理流程,并加强对事项处理的审计与评估;根据审计数据,对不同的安全部件建立有效的响应与联动措施;针对审计记录,有目的地进行应急处理以及预案和演习;建立相应的管理机制,实现技术和管理的有机结合。

 

 

 

本章主要参考文献:

1.陈峰: 信息系统安全风险评估,计算机工程与应用,2006年第4

2.陈雷霆、文立玉、李志刚:信息安全评估研究,电子科技大学学报,2005年第6

3.陈江:计算机安全审计技术研究,广东工业大学硕士学位论文,2005

4.陈效卫: 防不胜防:信息时代国家安全面临的挑战,国际展望,2007年第2

5.方清涛:中国国家信息安全与策略研究,河北师范大学博士学位论文,2009

6.杜永明:信息时代与中国国家安全战略选择,国际论坛,2002年第4

7.顾华详: 论中国保障信息安全的法治路径, 科学发展,2011年第8

8.何杰:国际机制理论的现实主义分析,欧洲研究,2003年第4

9.黄志国: 数据库安全审计的研究,中北大学硕士学位论文,2006

10.李海泉、李刚:Internet防火墙及其发展趋势,计算机应用与软件,2002年第11

11.李劲松:信息时代如何保障国家安全:信息安全的主要威胁及其对策, 国家安全通讯,2001年第7

12.林柏钢:网络与信息安全教程,机械工业出版社,2004

13.卢昱、林琪: 网络安全技术,中国物资出版社,2001

14.卢少峰:网络安全审计系统的设计和实现,西北工业大学硕士学位论文,2004

15.钱立亚、江亚平:信息全球化与国家安全,中国信息导报,2000年第10

16.史言信:经济全球化条件下的中国信息安全问题,江西财经大学学报,2003年第6

17.思维世纪:谈审计(1)什么是安全审计? 计算机世界报,2003年第6

18.宋世锋:互联网络和国家信息安全, 国际论坛,2000年第10

19.温朝霞:互联网的特性及其对国际政治关系的影响,探索,2001年第6

20.肖龙:一种定量的信息安全风险评估模型,空军工程大学学报,2005年第6

21.张少兵: 网络内容审计与监控技术研究,电子科技大学硕士学位论文,2004

22.张世永:信息安全审计技术的发展和应用,电信科学,2003年第12

23.张森: 审计在信息安全中的应用,信息网络安全,2002年第7

24.张翔:信息安全系统模型:平台与工程,http://www.antpower.org/

25.赵洪彪:信息安全策略概述,计算机安全,2003年第3

26.中国信息安全产品测评信息安全标准与法律法规,人民邮电出版社,2005