上篇: 主要讲解了国家信息系统安全技术⼀系列标准的相关情况和SqlServer2008如何满⾜国家第四级结构化保护级标准,接下来我们再结合国家标准解读⼀下应⽤软件系统的安全规范。交通事故现场图
附下载:
本⽂阅读⽬录如下:
3、应⽤软件系统安全
应⽤软件系统是信息系统的重要组成部分,是信息系统中对应⽤业务进⾏处理的软件的总和。业务应⽤的安全需求,是信息系统安全需求的出发点和归宿。信息系统安全所采取的⼀切技术和管理措施,最终都是为确保业务应⽤的安全。这些安全措施,有的可以在应⽤软件系统中实现,有的需要在信息系统的其它组成部分实现。 3、1 ⾝份鉴别
3、1、1国家⾝份鉴别规定
对应⽤软件系统的注册⽤户,按以下要求设计和实现标识功能:
——凡需进⼊应⽤软件系统的⽤户,应先进⾏标识(建⽴注册账号);
——应⽤软件系统的⽤户标识⼀般使⽤⽤户名和⽤户标识符(UID),并在应⽤软件系统的整个⽣存周期实现⽤户的唯⼀性标识,以及⽤户名或别名、UID等之间的⼀致性;
对登录到应⽤软件系统的⽤户,应按以下要求进⾏⾝份的真实性鉴别:
——采⽤强化管理的⼝令和/或基于令牌的动态⼝令和/或⽣物特征鉴别和/或数字证书等相结合的⽅式,采⽤多鉴别机制,进⾏⽤户的⾝份鉴别,并在每次⽤户登录系统时和重新连接时进⾏鉴别;
——鉴别信息应是不可见的,并在存储和传输时应按要求⽤加密⽅法进⾏安全保护; ——通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进⾏预先定义,并明确规定达到该值时所应采取的动作等措施来实现鉴别失败的处理;
对注册到应⽤软件系统的⽤户,应按以下要求设计和实现⽤户-主体绑定功能:
——将⽤户进程与所有者⽤户相关联,使⽤户进程的⾏为可以追溯到进程的所有者⽤户;
——将系统进程动态地与当前服务要求者⽤户相关联,使系统进程的⾏为可以追溯到当前服务要求者⽤户。
3、1、2开发⾝份鉴别解决⽅式
1) ⽤户⾝份鉴别可采⽤密码匹配⽅式,密码经过不可逆的加密算法加密之后存⼊数据库,并可根据实际情况选⽤多种加密算法。在统⼀授权管理和统⼀的⽤户⾝份认证管理系统中,⽤户对应⽤系统的访问权限存放在统⼀的权限信息库中。⽤户在访问应⽤系统的时候,应⽤系统通过统⼀授权系统的接⼝查询、验证该⽤户是否有权使⽤该功能,根据统⼀授权管理和统⼀的⽤户⾝份认证管理系统返回的结果进⾏相应的处理。 ⽤户⾝份鉴别这⼀块我们基本上采⽤md5加密,但是基本上对密码加密了⼀次,虽然说md5基本上是不可逆的,很多⼈认为⽐较安全,其实并不是这样,像这样的碰撞库,其规模已经⾮常巨⼤,常规的密码的破解⼏率⼤于95%,那我们怎么做最安全呢?那就是两次或多次Md5加密,这种⽅法很好的避免了加密后的密码在类似这样庞⼤的碰撞库中出现。
基于常规的⽤户⾝份鉴别,如果要做到符合国家结构化保护级标准,我⼤体上列出如下研发标准:
1)、⽤户⼝令强化(复杂度、验证码)
2)、⽤户⼝令周期性强制更换
3)、⽤户输⼊错误⼝令次数限制
4)、⽤户并发登录限制
5)、本次登录时显⽰上次成功登录情况
6)、本次登录时显⽰上次成功登录以后登录失败记录
后续⽂章中我会专门针对⽤户⾝份鉴别进⾏设计,并提供研发Demo下载。
2) ⽤户⾝份鉴别还可⽅便地与具有更强安全性的CA 认证系统集成,兼容第三⽅的CA 认证系统,⽀持⽤户认证,数字签名,时间戳,数据加解密等。
固体水
图 数字证书认证
如上图所⽰:应⽤客户端不能直接访问或登录Web服务器,只能利⽤⽤户数字证书,通过访问SSL安全⽹关来访问Web服务器。
当⽤户需要⽤浏览器的SSL与SSL安全⽹关进⾏连接时,⾸先发出请求,先与SSL安全⽹关建⽴⾼位数加密强度(⾼于128位)的握
⼿,SSL安全⽹关要求⽤户递交⽤户证书,从⽽验证⽤户的⾝份。⾝份验证通过后,SSL安全⽹关与客户端建⽴数据传输安全通道,然后将请求发送给Web服务器。数据传输时,客户端⽤户(⼀般位IE浏览器)先将数据加密,然后将密⽂发送给SSL安全⽹关,SSL安全⽹关收到密⽂后,将密⽂解密为明⽂,发送给Web服务器。同理,Web服务器返回数据给SSL安全⽹关,SSL安全⽹关先将明⽂加密为密⽂,再转发给客户端⽤户。
3、2 数据加解密和完整性
数据加解密技术是⽹络中最基本的安全技术,主要是通过对⽹络中传输的信息进⾏数据加密来保障其安全性,这是⼀种主动安全防御策略,⽤很⼩的代价即可为信息提供相当⼤的安全保护。
加密的基本功能包括:
1. 防⽌不速之客查看机密的数据⽂件;
2. 防⽌机密数据被泄露或篡改;
3. 防⽌特权⽤户(如系统管理员)查看私⼈数据⽂件;
4. 使⼊侵者不能轻易地查⼀个系统的⽂件。
加密类型可以简单地分为四种:
水电安装开槽机 1. 根本不考虑解密问题;
2. 私⽤密钥加密技术:对称式加密(Symmetric Key Encryption):对称式加密⽅式对加密和解密使⽤相同的密钥。如:RC4、
RC2、DES 和 AES 系列加密算法。
3. 公开密钥加密技术:⾮对称密钥加密(Asymmetric Key Encryption):⾮对称密钥加密使⽤⼀组公共/私⼈密钥系统,加密时使⽤⼀种密钥,解密时使⽤另⼀种密钥。公共密钥可以⼴泛的共享和透露。当需要⽤加密⽅式向服务器外部传送数据时,这种加密⽅式更⽅便。如: RSA
4. 数字证书。(Certificate):数字证书是⼀种⾮对称密钥加密,但是,⼀个组织可以使⽤证书并通过数字签名将⼀组公钥和私钥与其拥有者相关联。
3、2、1国家数据加密性和完整性规定
数据完整性(S4)
本项要求包括:
a) 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
b) 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
c) 应对重要通信提供专⽤通信协议或安全通信协议服务,避免来⾃基于通⽤通信协议的攻击破坏数据完整性。
铁硅铝
数据保密性(S4)
本项要求包括:
a) 应采⽤加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;
b) 应采⽤加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性;
c) 应对重要通信提供专⽤通信协议或安全通信协议服务,避免来⾃基于通⽤协议的攻击破坏数据保密性。
3、2、2 开发数据加密性和完整性规定解决⽅式
数据加密技术
在保障信息安全各种功能特性的诸多技术中,密码技术是信息安全的核⼼和关键技术。通过数据加密技术,可以在⼀定程度上提⾼数据传输的安全性,保证传输数据的完整性。在数据加密系统中,密钥控制加密和解密过程,⼀个加密系统的全部安全性是基于密钥的,⽽不是基于算法,所以加密系统的密钥管理是⼀个⾮常重要的问题。
数据加密过程就是通过加密系统把原始的数字信息(明⽂),按照加密算法变换成与明⽂完全不同的数字信息(密⽂)的过程,如图所⽰。
推荐的两种加解密算法
对称加密之DES加密与解密
对称加密,是⼀种⽐较传统的加密⽅式,其加密运算、解密运算使⽤的是同样的密钥,信息的发送者和信息的接收者在进⾏信息的传输与处理时,必须共同持有该密码(称为对称密码)。因此,通信双⽅
都必须获得这把钥匙,并保持钥匙的秘密,如图:
⾮对称加密之RSA加密和解密
RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国⿇省理⼯学院)开发的。RSA取名来⾃开发他们三者的名字。RSA是⽬前最有影响⼒的公钥加密算法,它能够抵抗到⽬前为⽌已知的所有密码攻击,已被ISO推荐为公钥数据加密标准。RSA算法基于⼀个⼗分简单的数论事
实:将两个⼤素数相乘⼗分容易,但那时想要对其乘积进⾏因式分解却极其困难,因此可以将乘积公开作为加密密钥。RSA算法是第⼀个能同时⽤于加密和数字签名的算法,也易于理解和操作。
RSA是被研究得最⼴泛的公钥算法,从提出到现在已近⼆⼗年,经历了各种攻击的考验,逐渐为⼈们接受,普遍认为是⽬前最优秀的公钥⽅案之⼀。RSA的安全性依赖于⼤数的因⼦分解,但并没有从理论上证明破译RSA的难度与⼤数分解难度等价。即RSA的重⼤缺陷是⽆法从理论上把握它的保密性能如何,⽽且密码学界多数⼈⼠倾向于因⼦分解不是NPC问题。如下图:
数据加解密开发应⽤场景
URL传参加解密;
所有包含敏感数据的配置⽂件加解密;
业务系统保密数据加解密;
⽤户密码MD5加密;以车代磨
3、3 标记和访问控制
3、3、1国家标记和访问控制规定
⾃主访问控制:
a) 命名⽤户以⽤户的⾝份规定并控制对客体的访问,并阻⽌⾮授权⽤户对客体的访问;
b) 提供⽤户按照确定的访问控制策略对⾃⾝创建的客体的访问进⾏控制的功能,包括:
——客体创建者有权以各种操作⽅式访问⾃⾝所创建的客体;
—
—客体创建者有权对其它⽤户进⾏“访问授权”,使其可对客体拥有者创建的指定客体能按授权的操作⽅式进⾏访问;
——客体创建者有权对其它⽤户进⾏“授权传播”,使其可以获得将该拥有者的指定客体的访问权限授予其它⽤户的权限;
——客体创建者有权收回其所授予其它⽤户的“访问授权”和“授权传播”,并对授权传播进⾏限制,对不可传播的授权进⾏明确定义,由系统⾃动检查并限制这些授权的传播;
——未经授权的⽤户不得以任何操作⽅式访问客体;
——授权⽤户不得以未授权的操作⽅式访问客体;
c) 以⽂件形式存储和操作的⽤户数据,在操作系统的⽀持下,按GB/T 20272-2006中4.4.1.2的要求,可实现⽂件级粒度的⾃主访问控制;
d) 以数据库形式存储和操作的⽤户数据,在数据库管理系统的⽀持下,按GB/T 20273-2006中5.4.1.2的要求,可实现表级/记录、字段级粒度的⾃主访问控制;
e) 在应⽤软件系统中,通过设置⾃主访问控制安全机制,可实现⽂件级粒度的⾃主访问控制。
标记
从以下⽅⾯设计和实现主、客体标记功能:
a) ⽤户的敏感标记,应在⽤户建⽴注册账户后由系统安全员通过SSOASS所提供的安全员界⾯操作进⾏标记;
b) 客体的敏感标记,应在数据输⼊到由SSOASS安全功能的控制范围内时,以默认⽅式⽣成或由安全员通过操作界⾯进⾏标记;
c) 将标记扩展到应⽤软件系统中的所有主体与客体;对于从SSOASS控制范围外输⼊的未标记数据,应进⾏默认标记或由系统安全员进⾏标记;对于输出到SSOASS控制范围以外的数据,如打印输出的数据,应明显地标明该数据的安全标记。
强制访问控制
从以下⽅⾯设计和实现应⽤软件系统的强制访问控制功能:
a) 按确定的强制访问控制安全策略,设计和实现相应的强制访问控制功能;
b) 以⽂件形式存储和操作的⽤户数据,在操作系统的⽀持下,按GB/T 20272-2006中4.4.1.4的要求,可实现⽂件级粒度的强制访问控制;
c) 以数据库形式存储和操作的⽤户数据,在数据库管理系统的⽀持下,按GB/T 20273-2006中5.4.1.4的要求,可实现表级/记录、字段级粒度的强制访问控制;
d) 在应⽤软件系统中,在PMI(授权管理基础设施)的⽀持下,可实现⽂件级粒度的强制访问控制;
e) 将强制访问控制的范围应扩展到应⽤软件系统的所有主体与客体;
f) 将系统的常规管理、与安全有关的管理以及审计管理,分别由系统管理员、系统安全员和系统审计员来承担,按最⼩授权原则分别授予它们各⾃为完成⾃⼰所承担任务所需的最⼩权限。
3、3、2 研发标记和访问控制规定解决⽅式
访问控制是针对越权使⽤资源的防御措施。基本⽬标是为了限制访问主体(⽤户、进程、服务等)对访问客体(⽂件、系统等)的访问权限,从⽽使计算机系统在合法范围内使⽤;决定⽤户能做什么,也决定代表⼀定⽤户利益的程序能做什么。
企业环境中的访问控制策略⼀般有三种:⾃主型访问控制⽅法、强制型访问控制⽅法和基于⾓⾊的访
问控制⽅法(RBAC)。其中,⾃主式太弱,强制式太强,⼆者⼯作量⼤,不便于管理。基于⾓⾊的访问控制⽅法是⽬前公认的解决⼤型企业的统⼀资源访问控制的有效⽅法。其显著的两⼤特征是:1.减⼩授权管理的复杂性,降低管理开销;2.灵活地⽀持企业的安全策略,并对企业的变化有很⼤的伸缩性。
RBAC ⼏⼤特点:
(1)访问权限与⾓⾊相关联,不同的⾓⾊有不同的权限。⽤户以什么样的⾓⾊对资源进⾏访问,决定了⽤户拥有的权限以及可执⾏何种操作。
(2)⾓⾊继承。⾓⾊之间可能有互相重叠的职责和权⼒,属于不同⾓⾊的⽤户可能需要执⾏⼀些相同的操作。RBAC 采⽤⾓⾊继承的概念,如⾓⾊ 2 继承⾓⾊ 1,那么管理员在定义⾓⾊ 2 时就可以只设定不同于⾓⾊1 的属性及访问权限,避免了重复定义。
(3)最⼩权限原则,即指⽤户所拥有的权⼒不能超过他执⾏⼯作时所需的权限。实现最⼩特权原则,需要分清⽤户的⼯作职责,确定完成该⼯作的最⼩权限集,然后把⽤户限制在这个权限结合的范围之内。⼀定的⾓⾊就确定了其⼯作职责,⽽⾓⾊所能完成的事物蕴涵
了其完成⼯作所需的最⼩权限。⽤ 户要访问信息⾸先必须具有相应的⾓⾊,⽤ 户⽆法饶过⾓⾊直接访问信息。
(4)职责分离。⼀般职责分离有两种⽅式:静态和动态。
(5)⾓⾊容量。在⼀个特定的时间段内,有⼀些⾓⾊只能有⼀定⼈数的⽤户占⽤。在创建新的⾓⾊时应该指定⾓⾊的容量。
构建强健的权限管理系统,保证管理信息系统的安全性是⼗分重要的。权限管理系统是管理信息系统中可代码重⽤性最⾼的模块之⼀。任何多⽤户的系统都不可避免的涉及到相同的权限需求,都需要解决实体鉴别、数据保密性、数据完整性、防抵赖和访问控制等安全服务(据ISO7498-2)。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议