某集团企业信息安全标准
应用平台安全技术标准
1适用范围
某集团区域
2规范解释权
本规定适用于某A 公司信息安全管理中心和各分公司。
3应用平台安全概述
应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web 服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL 等)来增强应用平台的安全性。现结合油田系统的应用分别阐述。 4应用平台安全
4.1 数据库的安全
4.1.1 数据库安全概述
数据库是按照某种规则主旨的存储数据的集合,换句话说,数据库是由信息实体和这些实体之间的关系组成的,这些关系和实体在数据库内以某种物理的方式(指针或记录)表示,数据库管理系统为用户和其他应用程序提供对数据库的访问,同时也提供事件登录,恢复和数据库组织。数据库的基本特性是它支持若干不同的应用(即可批处理也可联机处理等)以满足各种用户的数据要求。
对于数据库系统来说,威胁主要来自:非法访问数据库信息;恶意破坏数据库或未经授权非法修改数据库数据;用户经过网络进行数据库访问时,受到各种攻击,如搭线窃听等;对数据库的不正确访问,引起数据库数据的错误。要对抗这些威胁,仅仅采用操作系统和网络中的保护是不够的,因为它的结构
与其它系统不同,含有重要程度和敏感级别不同的各种数据,并未拥有各种特权的用户共享,同时又不能超出给定的范围。它涉及的范围很广,除了对计算机,外部设备,联机网络和通信设备进行物理保护外,还要采用软件保护技术,防止非法运行系统软件,应用程序和用户专用软件;采取访问控制和加密,防止非法访问或盗用机密数据;对非法访问的记录和跟踪,同时要保证数据的完整性和一致性。
4.1.2 标准细则
1. 实现数据完整性,保证数据库中数据的正确,有效,使其免受无效更新的
影响。
2. 防止外部非法程序或是外部力量(如火灾火或电)篡改或干扰数据,使得
整个数据库被破坏(例如,发生磁盘密封损坏或其他损坏)或单个数据项不可读。
3. 应能定期备份系统中的所有文件,以防止灾难性故障
4. 能使用单向函数的密码算法对数据加密,以确保数据的完整性。
5. 为保证数据的正确性,数据库管理系统应能保证:能检测各种操作的有效
性和是否违反对数据定义的完整性约束。在检测出错误操作后,要做出适当的反应,如拒绝操作,返回错误信息等。
6. 在多用户数据库系统中,各事务不能总是隔离串行运行,需要有并发控制
机制,以防并行事务相互干扰。
7. 需要有一套恢复机制,在出现数据紊乱或者数据不可用时及时恢复数据
库。
8. 数据库应该能通过用户的存取特权在逻辑上将数据分离。DBMS 必须实施
这一策略,授权存取所有指定数据或禁止存取所指定的数据,而且,存取方式是很多的。用户或程序有权读,修改,删除或加入值,增加或删除整个字段或记录,或者组织整个数据库。
9. 用户有可能通过读出其它数据元素而得到某一数据元素,这种现象叫做:
“推理”。有可能通过推理存取数据,而不用直接存取保密实体本身。限制推理可以防止由推理得到未授权的存取路径,但是,限制推理也将限制那些并不打算存取非授权数值的用户的询问。为了检查所请求的存取是否有不可接受的推理,可能会降低对数据库的存取效率。
10. 需要解决数据库的保密问题,在传输中宜采取加密保护和控制非法访问,
此外必须对存储数据加密保护。但由于受到数据库组织和数据库应用环境的限制,它与一般的网络加密和通信加密有很大区别,在数据库中,记录的长度一般较短,数据存储的时间长(通常几年到几十年),相应密钥的保存时间也因数据生命周期而定。若在库内使用同一密钥,保密性差;若不同记录使用不同的密钥,则密钥太多,管理相当复杂。因此,不能简单采用一般通用的加密技术,而必须针对数据库的特点,研究相应的加密方法和管理方法。
DODD8320.1国防部数据库管理;
NCSC-TC-021 TESEC 对数据库管理系统的解释;
FIPS PUB127-2 Database Language SQL (ANSI X 3.135--192)。
4.2 Web 网上采用的安全技术
4.2.1 Web安全概述
在Web 网上实现网络安全一半应有SHTTP/HTTP和SSL 两种方式,也包括PTC 。
4.2.2标准细则
SHTTP/HTTP(Hypertext Transfer Protocol)
SHTTP/HTTP可以采用多种方式对信息进行封装。封装的内容包括加密,签名和基于MAC 的认证。并且一个消息可以被反复封装加密。此外,SHTTP 还定义了包头信息来进行密钥传输,认证传输和相似的管理功能。SHTTP 可以支持多种加密协议,还为程序员提供了灵活的编程环境。
SSL (安全套层)
SSL(Secure Socket Layer) 是Netscape 公司率先采用的网络安全协议,是在传输通信协议(TCP/IP)上实现的一种安全协议,它采用公开密钥技术。SSL 协议的目标是提供两个应用间通信的保密和可靠性,可在服务器和客户机端同时实现支持。SSL 可提供三种基本的安全服务:信息保密,信息完整性,相互认证。
SSL 由两层组成。低层是SSL 记录层,用于封装不同的上层协议。其中一个被封装的协议即SSL 握手协议,它可以让服务器和客户机在传输应用数据之前,协商加密算法和加秘密钥。客户机提出自己能支持的全部算法清单,服务器选择最适合它的算法。SSL 独立与应用协议,因此上层应用可能叠加在SSL 协议上,因为SSL (主要集中在它的握手协议上)和SHTTP 可融合成一个统一的协议。
PTC
PTC 是Microsoft 和Visa 开发的在Internet 上保密通信的协议,与SSL 类似。其不同点是,它在客户和服务器之间提供了几个短的报文数据,并且认证和加密使用不同的密钥。
4.3 Email 采用的安全技术
4.3.1 Email安全概述
针对Email 采用的安全技术主要是加密技术,主要的安全协议有S/MIME,PGP和PEM.
4.3.2标准细则
S/MIME
S/MIME(Secure/Multipurpose Internet Mail Extension)它是用于多目的的电子邮件安全的报文安全协议,和报文安全协议(MSP ), 邮件隐私增强协议(PEM ),MIME 对象安全服务协议(MOSS )的目的一样都是针对增强Internet 的电子邮件的安全性。
PGP
PGP(Pretty Good Privacy)是Hil Zimmermann提出的方案,从80年代中期开始编写的。公钥密码和分组密码在同一个系统中,共钥系统采用RSA 加密算法,实施对密钥的管理;分组密码采用IDEA 算法,实施对信息的加密。PGP 应用程序的特点是速度快,效率高,而且具有可移植性,可以在各种操作平台下运行。PGP 主要用于加密文件,发送和接收加密的E-mail 数字签名
PEM
保密增强邮件(Privacy Enhance Mail), 是美国RSA 实验室基于RSA 和DES 算法而开发的产品,其目的是为了增强个人的隐私功能,目前在Internet 网上得到了广泛的应用,专为E-mail 用户提供如下的两类服务:一类是对所有的报文提供诸如验证,完整性,抗抵赖性等安全服务功能;另一类是提供可选的安全服务功能,如保密性等。
4.3.3参考标准
RFC2311, S/MIME Version 2 Message Specification
RFC2312, S/MIME Version 2 Certification Handling;
RFC2440 OpenPGP Message Format
RFC2084,Consideration for Web Transaction Secureity ; RFC2068,Hypertext Transfer Protocol –HTTP/1.1; The SSL Protocol Version Communication Technology Protocol,1995; IETF-Draft,The Private Communication Technology Protocol,1995; IETF-Draft,The Secure HyperText Transfer Protocol,1995。
RFC1421 Privacy Enhancement for Internet Electronic Mail:
Part I: Message Encryption and Authentication Procedures
RFC1422 Privacy Enhancement for Internet Electronic Mail:
Part II: Certificate-Based Key Management
RFC1423 Privacy Enhancement for Internet Electronic Mail:
Part III: Algorithms, Modes, and Identifiers
RFC1424 Privacy Enhancement for Internet Electronic Mail:
Part IV: Key Certification and Related Services
IETF-Draft, Cryptographic Message Syntax
IETF-Draft, Enhanced Security Service for S/MIME;
IETF-Draft, S/MIME Version 3 Message Specification
IETF-Draft, S/MIME Version 3 Certification Handling
IETF-Draft, Certification Distribution Specification
IETF-Draft, Diffie-Hellman Key Agreement Methord
IETF-Draft, Domain Security Services using S/MIME
IETF-Draft, Example of CMS Message Bodies
4.4文件传送系统采用的安全技术
4.4.1 文件传送系统安全概述
文件传送使用Internet 的文件传送协议( FTP )简单有效。FTP 是一个典型的Client/Server系统,所有客户机/服务器的安全服务都可以应用于FTP 。
4.4.2标准细则
Internet 规定FTP 用Kerberos 管理密钥及安全服务。Kerberos 是由MIT 开发的网络认证系统。采用了密码技术和可信的第三方,保证认证的正确。 Kerberos 自身并不提供一个完整的安全环境。但Kerberos 是建造安全网络的一个配件,为实现安全网络环境提供认证和加密手段。
Kerberos 包括认证服务器,Ticket 散发服务器。这两种服务器必须是安全的。客户机需要应用服务器的服务。Kerberos 假设服务器是安全的。其认证过程大致如下:
客户向认证服务器发送请求,需要某应用服务器的证书
认证服务器相应请求,发给用客户的密钥加密的证书。证书包括服
务器的票和会话密钥(暂时用于加密)
如果客户得到的Ticket 是Ticket 散发服务器的,客户机必须再向
Ticket 散发服务器换取应用服务器的Ticket.
客户机将应用服务器的Ticket (由客户的标识、会话密钥的拷贝等
组成,并经过应用服务器的密钥加密)送往应用服务器
应用服务器和客户机于是拥有了同一个会话密钥。可以用于它们之
间的认证和加密。
FTP 的安全服务 根据Kerberos 鉴别系统情况可以提供以下安全服务: 鉴别服务:FTP 服务器对客户的单向鉴别;客户机/服务器相互鉴别。
客户机对服务器来数据进行数据鉴别;服务器对来自客户机数据源的数据鉴别
机密性服务:对客户机/服务器来往文件给予机密性保护
完整性服务:用对称密钥体制对客户机/服务器来往文件提供服务 责任性(抗抵赖)服务:以Kerberos 作为可信第三方,对客户机/
服务器来往文件提供用对称算法的抗抵赖服务。
4.4.3参考标准
IETF-Draft, Kerberos Change Password Protocol; IETF-Draft, The Kerberos Network Authentication Service(V5); IETF-Draft, FTP Authentication Using DSA; IETF-Draft, Extension to Kerberos V5 For Additional Initial
Encryption;
IETF-Draft, The Kerberos Version 5 GSSAPI Mechanism,Version
2;
RFC 1510,The Kerberos network Authentication Service(V5).
4.5 TELNET的安全技术
4.5.1 标准细则
TELNET 使用SSH 作为其安全标准
SSH 允许用户安全的登录远程主机,执行命令及传输文件。它支持鉴别、
完整性和使用强密码算法的会话加密,实现了一种密钥交换协议和主机客户机鉴别协议。
SSH 协议的设计就是用于抵制绝大多数常见的攻击,如重放、欺骗、窃
听以及密码分析;也考虑了最大程度的减少CPU 负荷和鉴别、会话密钥协商等所需的额外的业务流。
SSH 使用了一个面向记录的协议,它在理论上可以使用任何的传输层协
议。每个记录包含了一些随机填充,一个包类型标识,数据和一个校验和。也可以进行压缩。
SSH 使用一个好的块模式算法如IDEA-CFB,RC4或者DES-CBC 进行加
密,当一个包到达时,它解密此包并检查校验和的有效性。如果发现错误就把此包记入日志并且终止此连接
SSH 对于当前使用的大多数UNIX 系统来说可以免费获得,SSH 的一
个商业版本由Data Fellows公司推出
4.5.2 参照标准
4.6电子商务安全标准
4.6.1 Internet 商务标准
2009年12月14日,在美国加州旧金山的St.Francis 饭店,公布了世界上第一个Internet 商务标准(The Standard for Internet Commerce Version 1.0——2009)。对我国电子商务事业有相当的参考价值。制订这个Internet 标准的目的有五个:
增加消费者在Internet 上进行交易的信心和满意程度;
建立消费者和销售商之间的信赖程度;
帮助销售商获得世界级的客户服务经验,加快发展步伐并将低成
本;
支持和增强Internet 商务的自我调节能力;
帮助销售商和消费者理解并处理迅猛增长的各种准则和符号。 这一标准可以被销售商用于其Internet 商务,并且向所有消费者和合作伙伴宣称自己符合这一标准;也可以被消费者用来检验销售上是否可以提供高质量的服务。同时,也可以指导如IT 供应商,系统集成商等从事相关的业务。
4.6.2 标准细则(第四项“保密和安全”)
必须公布销售商的保密原则,至少包括:销售上将收集消费者的那些资
料,在何处收集;使用这些资料的目的;销售商是否向第三方提供这些资料,如果提供,是在何种情况下;消费者资料是否是整个商务计划的一部分,如进行目标市场分析,建立各种促销方案等;消费者是否有可能限制使用私人资料,如何进行。(最低要求)
销售商必须在主页和信息中心提供标记为“privacy ”的保密原则链接。
(最低要求)
消费者必须有能力选择销售商是否可以利用收集到的消费者资料主动
发送的各种信息,并且在这些资料开始被收集时就可以进行这些选择。(最低要求)
消费者必须有能力选择是否同意将自己的私人信息提供给第三方,并且
在这些资料被收集时就可以进行这些选择。(最低要求)
IETF-Draft, SSH Protocol Architecture; IETF-Draft, SSH Transport Layer Protocol; IETF-Draft, SSH Authentication Protocol; IETF-Draft, SSH Connection Protocol ; RFC 1411, Telnet Authentication : Kerberos Version 4; IETF-Draft, Generic Message Exchange Authentication For SSH.
如果有关交易的第三方(如购物车,支付网关)的保密原则和销售商的
不同,销售商必须提供指向第三方保密原则的链接。(最低要求) 在整个交易过程中,销售商必须对所有消费者提供的信息加密传输。(最
低要求)
销售商必须对存储的消费者资料进行加密处理。(最低要求)
在信息中心,销售商必须为消费者提供那些传输过程和资料是被保护的
信息。(最低要求)
详细情况请参照标准:
The Standard for Internet Commerce , Part 1: Business to Consumer (DRAFT 1.0) ,2009。
4.6.3 安全电子交易(SET )
4.6.3.1概述
安全电子交易(SET,Secure Electronic Transaction )是一个通过开放网络进行安全资金支付的技术标准,已成为事实上的工业标准,目前已获得IETF 标准的认可。
SET 向基于信用卡进行电子交易的应用提供了实现安全措施的规则。SET 主要由3个文件组成,分别是SET 业务描述,SET 程序员指南和SET 协议描述。SET 规范涉及的范围有加密算法的应用(例如RSA 和DES ); 证书信息和对象指南;购买信息和对象格式;确认信息和对象格式;化帐信息和对象格式;对话实体之间消息的传输协议。SET 的目标如下:
信息在Internet 上传输,保证网上传输的数据不被黑客窃取; 订单信息和个人帐号信息的隔离,但包含持卡人账号信息的订单送
到商家时,商家只能看到订货信息,而看不到持卡人的账户信息; 持卡人和商家相互认证,以确定通信双方的身份,一般由第三方
(CA )负责为在线通信双方提供信息担保;
要求软件遵循相同协议和报文格式,是不同厂家开发的软件具有兼
容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
4.6.3.2 SET的购物流程
电子商务的工作流程与实际的购物流程非常接近,使得电子商务于传统商务可以很容易融合,用户使用也没有什么障碍。如何保证网上传输的数据的安全和交易对方的身份确认是电子商务能否得到推广的关键。这正是SET 所要解决的最主要的问题。一个包括完整购物处理流程的SET 工作过程如下:
1) 持卡人使用浏览器在商家的Web 主页上查看在线商品目录,浏览商品。
2) 持卡人选择要购买的商品
3) 持卡人填写订单,包括项目列表、价格、总价、运费、搬运费、税费。
定单可以通过电子化方式从商家传过来,或由持卡人的电子购物软件建
立。有些在线商场可以让持卡人与商家协商物品的价格(例如出示自己是老客户的证明,或者给出竞争对手的价格信息)。
4) 持卡人选择支付方式,此时SET 介入。
5) 持卡人发送给商家一个完整的定单及要求付款的指令。在SET 中,定
单和付款指令由持卡人进行数字签名,同时利用双重签名技术保证商家看不到持卡人的账号信息。
6) 商家收到定单后,向持卡人的金融机构请求支付认可。通过支付网关到
银行,再到发卡机构确认,批准交易。然后返回确认信息给商家。
7) 商家发送定单确认信息给顾客。顾客端软件可记录交易日志,以备将来
查询。
8) 商家给顾客装运货物,或完成定购的服务。到此为止,购买过程结束。
商家可立即请求银行将钱从购物者的账号转移到上家长好,也可以等到某一时间,请求成批划帐处理。
9) 商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会
有一个时间间隔,例如在每天的下班前请求银行结一天的帐。
10) 前三步与SET 无关,从第四步开始SET 起作用,一直到第九步,在处
理过程中通信协议、请求信息的格式、数据类型的定义等,SET 都有明确的规定。在操作的每一步,持卡人、商家和支付网关都通过CA 来验证通信主体的身份,以确保通信的双方都不是冒名顶替。
4.6.3.2 SET的认证
SET 中主要的证书是持卡认证书和商家证书。
持卡认证书是支付卡的一种电子化表示。持卡认证书不包括账号和
终止日期信息,而是用单向散列算法根据账号和截止日期生成的一个代码,如果知道帐号、截止日期、密码值,即可导出这个码值,反之不行。
商家证书就像是贴在商家收款台小窗上的付款贴画,以表示它可以
用什么卡来结算。在SET 环境中,一个商家至少应由一对证书,与一个银行打交道;一个商家也可以有多对证书,表示它与多个银行由合作关系,可以接受多种付款方法。
除了持卡认证书和商家证书外,还有支付网关证书、银行证书、发
卡机构证书。
证书机构(CA )
持卡认可从公开媒体上获得商家的公开密钥,但持卡人无法确定商
家不是冒充的,于是持卡人请求CA 对商家认证。CA 对上加进行调查、验收和鉴别后,将包含商家公开密钥的证书经过数字千名传给持卡人。同样商家也可对持卡人进行验证。
CA 的功能包括:接收注册请求,处理、批准/拒绝请求,颁发证书。 在实际运作中,CA 可由大家都信任的一方担当,例如在客户、商
家、银行三角关系中,客户使用的时由某个银行发的卡,而商家又与此银行由业务关系(有帐号)。在此情况下,客户和商家都信任该银行,可由该银行担当CA 角色,接收、处理客户证书和商家证书的验证请求。
证书的树形验证结构
在通信双方通信时出示由某个CA 签发的证书来证明自己的身份,
如果对签发证书的CA 本身不信任,则可验证CA 的身份,依次类推,一直到公认的CA 处,就可确认证书的有效性。
每一个证术语签发证书的实体的签名证书关联。
SET 证书正式通过信任层次来逐级验证的。例如,C 证书是由B 的
CA 签发的,而B 的证书又是由A 的CA 签发的,A 是权威机构,通常称成为根CA 。验证到了根CA 处,就可确信C 的证书是合法的。
在 网上购物实现中,持卡人的证书与发卡机构的证书关联,而发
卡机构证书通过不同品牌卡的证书联结到根CA, 而根的公开密钥对所有的SET 软件都是一致的,可以校验每一个证书。
4.7简单网络管理标准
4.7.1 简单网络管理协议
RFC1157种描述的简单网络管理协议(SNMP ),广泛的被用于监视和控制TCP/IP网络上的设备的活动和行为。由于它为了解和管理那些使用网络进行通信的实体软硬件工作情况提供了一个精密的入口,所以即使是小型网络,也能从SNMP 的管理实践中受益不少。
4.7.2 标准细则(SNMP 框架)
管理中心站(Management Station):是一个专门的工作站,负责向被管元素发出询问(queries)和命令(commands),并接收和处理相应的响应。还提供用户接口,常基于X Windows系统或类似的窗口环境,以供网络管理员远程查看和影响被管元素。
被管元素(Managed Elements ):被管理中心站监视且有时部分控制的实体。这些实体通常可以是路由器、网关等中间设备,同时大型主机、桌面工作站和其它实体也可以不同程度加入。在这些被管元素上,有专门的代理(agents )为SNMP 提供接口.
管理信息库(Management Information Base):简称MIB ,是一组变量的集合,可由管理中心站通过代理进行。检查和修改,MIB 变量可以是网络地址、字符串、计数值一类的统计值,以及状态量等等。他们可以分为不同的组,如系统组、接口组、IP 组、UDP 组和TCP 组等。
管理协议(Management Protocol) SNMP作为一种基于UDP 的应用层协议,目的就在于方便的实现管理中心站与代理之间的通信,正如其名字一样,SNMP 的设计十分简单,这种基本的方案很容易在配置很低的系统上实现,该协议在最初开始设计时目标就定为构建一个网络管理基础设施而不过分影响网络性能。
4.7.3 参照标准
RFC 2570, Introduction to Version 3 of the Internet-standard Network
Management Framework;
RFC 2571, An Architecture for Descriping SNMP Management
Frameworks;
RFC 2572, Message Processing and Dispatching for the Simple
Network Management Protocol (SNMP);
RFC 2573, SNMP Applications;
RFC 2574, User-based Security Model (USM) for the Simple Network
Management Protocol (SNMPv3);
RFC 2575, View-based Access Control Model (VACM) for the Simple
Network Management Protocol (SNMP);
RFC 1905, Protocol Operations for Version 2 of the Simple Network
Management Protocol (SNMPv2);
RFC 1906,Transport Mappings for Version 2 of the Simple Network
Management Protocol (SNMPv2);
RFC 1907, Management Information Base for Version 2 of the Simple
Network Management Protocol(SNMPv2)。
5生效日期
10
某集团企业信息安全标准
应用平台安全技术标准
1适用范围
某集团区域
2规范解释权
本规定适用于某A 公司信息安全管理中心和各分公司。
3应用平台安全概述
应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web 服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL 等)来增强应用平台的安全性。现结合油田系统的应用分别阐述。 4应用平台安全
4.1 数据库的安全
4.1.1 数据库安全概述
数据库是按照某种规则主旨的存储数据的集合,换句话说,数据库是由信息实体和这些实体之间的关系组成的,这些关系和实体在数据库内以某种物理的方式(指针或记录)表示,数据库管理系统为用户和其他应用程序提供对数据库的访问,同时也提供事件登录,恢复和数据库组织。数据库的基本特性是它支持若干不同的应用(即可批处理也可联机处理等)以满足各种用户的数据要求。
对于数据库系统来说,威胁主要来自:非法访问数据库信息;恶意破坏数据库或未经授权非法修改数据库数据;用户经过网络进行数据库访问时,受到各种攻击,如搭线窃听等;对数据库的不正确访问,引起数据库数据的错误。要对抗这些威胁,仅仅采用操作系统和网络中的保护是不够的,因为它的结构
与其它系统不同,含有重要程度和敏感级别不同的各种数据,并未拥有各种特权的用户共享,同时又不能超出给定的范围。它涉及的范围很广,除了对计算机,外部设备,联机网络和通信设备进行物理保护外,还要采用软件保护技术,防止非法运行系统软件,应用程序和用户专用软件;采取访问控制和加密,防止非法访问或盗用机密数据;对非法访问的记录和跟踪,同时要保证数据的完整性和一致性。
4.1.2 标准细则
1. 实现数据完整性,保证数据库中数据的正确,有效,使其免受无效更新的
影响。
2. 防止外部非法程序或是外部力量(如火灾火或电)篡改或干扰数据,使得
整个数据库被破坏(例如,发生磁盘密封损坏或其他损坏)或单个数据项不可读。
3. 应能定期备份系统中的所有文件,以防止灾难性故障
4. 能使用单向函数的密码算法对数据加密,以确保数据的完整性。
5. 为保证数据的正确性,数据库管理系统应能保证:能检测各种操作的有效
性和是否违反对数据定义的完整性约束。在检测出错误操作后,要做出适当的反应,如拒绝操作,返回错误信息等。
6. 在多用户数据库系统中,各事务不能总是隔离串行运行,需要有并发控制
机制,以防并行事务相互干扰。
7. 需要有一套恢复机制,在出现数据紊乱或者数据不可用时及时恢复数据
库。
8. 数据库应该能通过用户的存取特权在逻辑上将数据分离。DBMS 必须实施
这一策略,授权存取所有指定数据或禁止存取所指定的数据,而且,存取方式是很多的。用户或程序有权读,修改,删除或加入值,增加或删除整个字段或记录,或者组织整个数据库。
9. 用户有可能通过读出其它数据元素而得到某一数据元素,这种现象叫做:
“推理”。有可能通过推理存取数据,而不用直接存取保密实体本身。限制推理可以防止由推理得到未授权的存取路径,但是,限制推理也将限制那些并不打算存取非授权数值的用户的询问。为了检查所请求的存取是否有不可接受的推理,可能会降低对数据库的存取效率。
10. 需要解决数据库的保密问题,在传输中宜采取加密保护和控制非法访问,
此外必须对存储数据加密保护。但由于受到数据库组织和数据库应用环境的限制,它与一般的网络加密和通信加密有很大区别,在数据库中,记录的长度一般较短,数据存储的时间长(通常几年到几十年),相应密钥的保存时间也因数据生命周期而定。若在库内使用同一密钥,保密性差;若不同记录使用不同的密钥,则密钥太多,管理相当复杂。因此,不能简单采用一般通用的加密技术,而必须针对数据库的特点,研究相应的加密方法和管理方法。
DODD8320.1国防部数据库管理;
NCSC-TC-021 TESEC 对数据库管理系统的解释;
FIPS PUB127-2 Database Language SQL (ANSI X 3.135--192)。
4.2 Web 网上采用的安全技术
4.2.1 Web安全概述
在Web 网上实现网络安全一半应有SHTTP/HTTP和SSL 两种方式,也包括PTC 。
4.2.2标准细则
SHTTP/HTTP(Hypertext Transfer Protocol)
SHTTP/HTTP可以采用多种方式对信息进行封装。封装的内容包括加密,签名和基于MAC 的认证。并且一个消息可以被反复封装加密。此外,SHTTP 还定义了包头信息来进行密钥传输,认证传输和相似的管理功能。SHTTP 可以支持多种加密协议,还为程序员提供了灵活的编程环境。
SSL (安全套层)
SSL(Secure Socket Layer) 是Netscape 公司率先采用的网络安全协议,是在传输通信协议(TCP/IP)上实现的一种安全协议,它采用公开密钥技术。SSL 协议的目标是提供两个应用间通信的保密和可靠性,可在服务器和客户机端同时实现支持。SSL 可提供三种基本的安全服务:信息保密,信息完整性,相互认证。
SSL 由两层组成。低层是SSL 记录层,用于封装不同的上层协议。其中一个被封装的协议即SSL 握手协议,它可以让服务器和客户机在传输应用数据之前,协商加密算法和加秘密钥。客户机提出自己能支持的全部算法清单,服务器选择最适合它的算法。SSL 独立与应用协议,因此上层应用可能叠加在SSL 协议上,因为SSL (主要集中在它的握手协议上)和SHTTP 可融合成一个统一的协议。
PTC
PTC 是Microsoft 和Visa 开发的在Internet 上保密通信的协议,与SSL 类似。其不同点是,它在客户和服务器之间提供了几个短的报文数据,并且认证和加密使用不同的密钥。
4.3 Email 采用的安全技术
4.3.1 Email安全概述
针对Email 采用的安全技术主要是加密技术,主要的安全协议有S/MIME,PGP和PEM.
4.3.2标准细则
S/MIME
S/MIME(Secure/Multipurpose Internet Mail Extension)它是用于多目的的电子邮件安全的报文安全协议,和报文安全协议(MSP ), 邮件隐私增强协议(PEM ),MIME 对象安全服务协议(MOSS )的目的一样都是针对增强Internet 的电子邮件的安全性。
PGP
PGP(Pretty Good Privacy)是Hil Zimmermann提出的方案,从80年代中期开始编写的。公钥密码和分组密码在同一个系统中,共钥系统采用RSA 加密算法,实施对密钥的管理;分组密码采用IDEA 算法,实施对信息的加密。PGP 应用程序的特点是速度快,效率高,而且具有可移植性,可以在各种操作平台下运行。PGP 主要用于加密文件,发送和接收加密的E-mail 数字签名
PEM
保密增强邮件(Privacy Enhance Mail), 是美国RSA 实验室基于RSA 和DES 算法而开发的产品,其目的是为了增强个人的隐私功能,目前在Internet 网上得到了广泛的应用,专为E-mail 用户提供如下的两类服务:一类是对所有的报文提供诸如验证,完整性,抗抵赖性等安全服务功能;另一类是提供可选的安全服务功能,如保密性等。
4.3.3参考标准
RFC2311, S/MIME Version 2 Message Specification
RFC2312, S/MIME Version 2 Certification Handling;
RFC2440 OpenPGP Message Format
RFC2084,Consideration for Web Transaction Secureity ; RFC2068,Hypertext Transfer Protocol –HTTP/1.1; The SSL Protocol Version Communication Technology Protocol,1995; IETF-Draft,The Private Communication Technology Protocol,1995; IETF-Draft,The Secure HyperText Transfer Protocol,1995。
RFC1421 Privacy Enhancement for Internet Electronic Mail:
Part I: Message Encryption and Authentication Procedures
RFC1422 Privacy Enhancement for Internet Electronic Mail:
Part II: Certificate-Based Key Management
RFC1423 Privacy Enhancement for Internet Electronic Mail:
Part III: Algorithms, Modes, and Identifiers
RFC1424 Privacy Enhancement for Internet Electronic Mail:
Part IV: Key Certification and Related Services
IETF-Draft, Cryptographic Message Syntax
IETF-Draft, Enhanced Security Service for S/MIME;
IETF-Draft, S/MIME Version 3 Message Specification
IETF-Draft, S/MIME Version 3 Certification Handling
IETF-Draft, Certification Distribution Specification
IETF-Draft, Diffie-Hellman Key Agreement Methord
IETF-Draft, Domain Security Services using S/MIME
IETF-Draft, Example of CMS Message Bodies
4.4文件传送系统采用的安全技术
4.4.1 文件传送系统安全概述
文件传送使用Internet 的文件传送协议( FTP )简单有效。FTP 是一个典型的Client/Server系统,所有客户机/服务器的安全服务都可以应用于FTP 。
4.4.2标准细则
Internet 规定FTP 用Kerberos 管理密钥及安全服务。Kerberos 是由MIT 开发的网络认证系统。采用了密码技术和可信的第三方,保证认证的正确。 Kerberos 自身并不提供一个完整的安全环境。但Kerberos 是建造安全网络的一个配件,为实现安全网络环境提供认证和加密手段。
Kerberos 包括认证服务器,Ticket 散发服务器。这两种服务器必须是安全的。客户机需要应用服务器的服务。Kerberos 假设服务器是安全的。其认证过程大致如下:
客户向认证服务器发送请求,需要某应用服务器的证书
认证服务器相应请求,发给用客户的密钥加密的证书。证书包括服
务器的票和会话密钥(暂时用于加密)
如果客户得到的Ticket 是Ticket 散发服务器的,客户机必须再向
Ticket 散发服务器换取应用服务器的Ticket.
客户机将应用服务器的Ticket (由客户的标识、会话密钥的拷贝等
组成,并经过应用服务器的密钥加密)送往应用服务器
应用服务器和客户机于是拥有了同一个会话密钥。可以用于它们之
间的认证和加密。
FTP 的安全服务 根据Kerberos 鉴别系统情况可以提供以下安全服务: 鉴别服务:FTP 服务器对客户的单向鉴别;客户机/服务器相互鉴别。
客户机对服务器来数据进行数据鉴别;服务器对来自客户机数据源的数据鉴别
机密性服务:对客户机/服务器来往文件给予机密性保护
完整性服务:用对称密钥体制对客户机/服务器来往文件提供服务 责任性(抗抵赖)服务:以Kerberos 作为可信第三方,对客户机/
服务器来往文件提供用对称算法的抗抵赖服务。
4.4.3参考标准
IETF-Draft, Kerberos Change Password Protocol; IETF-Draft, The Kerberos Network Authentication Service(V5); IETF-Draft, FTP Authentication Using DSA; IETF-Draft, Extension to Kerberos V5 For Additional Initial
Encryption;
IETF-Draft, The Kerberos Version 5 GSSAPI Mechanism,Version
2;
RFC 1510,The Kerberos network Authentication Service(V5).
4.5 TELNET的安全技术
4.5.1 标准细则
TELNET 使用SSH 作为其安全标准
SSH 允许用户安全的登录远程主机,执行命令及传输文件。它支持鉴别、
完整性和使用强密码算法的会话加密,实现了一种密钥交换协议和主机客户机鉴别协议。
SSH 协议的设计就是用于抵制绝大多数常见的攻击,如重放、欺骗、窃
听以及密码分析;也考虑了最大程度的减少CPU 负荷和鉴别、会话密钥协商等所需的额外的业务流。
SSH 使用了一个面向记录的协议,它在理论上可以使用任何的传输层协
议。每个记录包含了一些随机填充,一个包类型标识,数据和一个校验和。也可以进行压缩。
SSH 使用一个好的块模式算法如IDEA-CFB,RC4或者DES-CBC 进行加
密,当一个包到达时,它解密此包并检查校验和的有效性。如果发现错误就把此包记入日志并且终止此连接
SSH 对于当前使用的大多数UNIX 系统来说可以免费获得,SSH 的一
个商业版本由Data Fellows公司推出
4.5.2 参照标准
4.6电子商务安全标准
4.6.1 Internet 商务标准
2009年12月14日,在美国加州旧金山的St.Francis 饭店,公布了世界上第一个Internet 商务标准(The Standard for Internet Commerce Version 1.0——2009)。对我国电子商务事业有相当的参考价值。制订这个Internet 标准的目的有五个:
增加消费者在Internet 上进行交易的信心和满意程度;
建立消费者和销售商之间的信赖程度;
帮助销售商获得世界级的客户服务经验,加快发展步伐并将低成
本;
支持和增强Internet 商务的自我调节能力;
帮助销售商和消费者理解并处理迅猛增长的各种准则和符号。 这一标准可以被销售商用于其Internet 商务,并且向所有消费者和合作伙伴宣称自己符合这一标准;也可以被消费者用来检验销售上是否可以提供高质量的服务。同时,也可以指导如IT 供应商,系统集成商等从事相关的业务。
4.6.2 标准细则(第四项“保密和安全”)
必须公布销售商的保密原则,至少包括:销售上将收集消费者的那些资
料,在何处收集;使用这些资料的目的;销售商是否向第三方提供这些资料,如果提供,是在何种情况下;消费者资料是否是整个商务计划的一部分,如进行目标市场分析,建立各种促销方案等;消费者是否有可能限制使用私人资料,如何进行。(最低要求)
销售商必须在主页和信息中心提供标记为“privacy ”的保密原则链接。
(最低要求)
消费者必须有能力选择销售商是否可以利用收集到的消费者资料主动
发送的各种信息,并且在这些资料开始被收集时就可以进行这些选择。(最低要求)
消费者必须有能力选择是否同意将自己的私人信息提供给第三方,并且
在这些资料被收集时就可以进行这些选择。(最低要求)
IETF-Draft, SSH Protocol Architecture; IETF-Draft, SSH Transport Layer Protocol; IETF-Draft, SSH Authentication Protocol; IETF-Draft, SSH Connection Protocol ; RFC 1411, Telnet Authentication : Kerberos Version 4; IETF-Draft, Generic Message Exchange Authentication For SSH.
如果有关交易的第三方(如购物车,支付网关)的保密原则和销售商的
不同,销售商必须提供指向第三方保密原则的链接。(最低要求) 在整个交易过程中,销售商必须对所有消费者提供的信息加密传输。(最
低要求)
销售商必须对存储的消费者资料进行加密处理。(最低要求)
在信息中心,销售商必须为消费者提供那些传输过程和资料是被保护的
信息。(最低要求)
详细情况请参照标准:
The Standard for Internet Commerce , Part 1: Business to Consumer (DRAFT 1.0) ,2009。
4.6.3 安全电子交易(SET )
4.6.3.1概述
安全电子交易(SET,Secure Electronic Transaction )是一个通过开放网络进行安全资金支付的技术标准,已成为事实上的工业标准,目前已获得IETF 标准的认可。
SET 向基于信用卡进行电子交易的应用提供了实现安全措施的规则。SET 主要由3个文件组成,分别是SET 业务描述,SET 程序员指南和SET 协议描述。SET 规范涉及的范围有加密算法的应用(例如RSA 和DES ); 证书信息和对象指南;购买信息和对象格式;确认信息和对象格式;化帐信息和对象格式;对话实体之间消息的传输协议。SET 的目标如下:
信息在Internet 上传输,保证网上传输的数据不被黑客窃取; 订单信息和个人帐号信息的隔离,但包含持卡人账号信息的订单送
到商家时,商家只能看到订货信息,而看不到持卡人的账户信息; 持卡人和商家相互认证,以确定通信双方的身份,一般由第三方
(CA )负责为在线通信双方提供信息担保;
要求软件遵循相同协议和报文格式,是不同厂家开发的软件具有兼
容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
4.6.3.2 SET的购物流程
电子商务的工作流程与实际的购物流程非常接近,使得电子商务于传统商务可以很容易融合,用户使用也没有什么障碍。如何保证网上传输的数据的安全和交易对方的身份确认是电子商务能否得到推广的关键。这正是SET 所要解决的最主要的问题。一个包括完整购物处理流程的SET 工作过程如下:
1) 持卡人使用浏览器在商家的Web 主页上查看在线商品目录,浏览商品。
2) 持卡人选择要购买的商品
3) 持卡人填写订单,包括项目列表、价格、总价、运费、搬运费、税费。
定单可以通过电子化方式从商家传过来,或由持卡人的电子购物软件建
立。有些在线商场可以让持卡人与商家协商物品的价格(例如出示自己是老客户的证明,或者给出竞争对手的价格信息)。
4) 持卡人选择支付方式,此时SET 介入。
5) 持卡人发送给商家一个完整的定单及要求付款的指令。在SET 中,定
单和付款指令由持卡人进行数字签名,同时利用双重签名技术保证商家看不到持卡人的账号信息。
6) 商家收到定单后,向持卡人的金融机构请求支付认可。通过支付网关到
银行,再到发卡机构确认,批准交易。然后返回确认信息给商家。
7) 商家发送定单确认信息给顾客。顾客端软件可记录交易日志,以备将来
查询。
8) 商家给顾客装运货物,或完成定购的服务。到此为止,购买过程结束。
商家可立即请求银行将钱从购物者的账号转移到上家长好,也可以等到某一时间,请求成批划帐处理。
9) 商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会
有一个时间间隔,例如在每天的下班前请求银行结一天的帐。
10) 前三步与SET 无关,从第四步开始SET 起作用,一直到第九步,在处
理过程中通信协议、请求信息的格式、数据类型的定义等,SET 都有明确的规定。在操作的每一步,持卡人、商家和支付网关都通过CA 来验证通信主体的身份,以确保通信的双方都不是冒名顶替。
4.6.3.2 SET的认证
SET 中主要的证书是持卡认证书和商家证书。
持卡认证书是支付卡的一种电子化表示。持卡认证书不包括账号和
终止日期信息,而是用单向散列算法根据账号和截止日期生成的一个代码,如果知道帐号、截止日期、密码值,即可导出这个码值,反之不行。
商家证书就像是贴在商家收款台小窗上的付款贴画,以表示它可以
用什么卡来结算。在SET 环境中,一个商家至少应由一对证书,与一个银行打交道;一个商家也可以有多对证书,表示它与多个银行由合作关系,可以接受多种付款方法。
除了持卡认证书和商家证书外,还有支付网关证书、银行证书、发
卡机构证书。
证书机构(CA )
持卡认可从公开媒体上获得商家的公开密钥,但持卡人无法确定商
家不是冒充的,于是持卡人请求CA 对商家认证。CA 对上加进行调查、验收和鉴别后,将包含商家公开密钥的证书经过数字千名传给持卡人。同样商家也可对持卡人进行验证。
CA 的功能包括:接收注册请求,处理、批准/拒绝请求,颁发证书。 在实际运作中,CA 可由大家都信任的一方担当,例如在客户、商
家、银行三角关系中,客户使用的时由某个银行发的卡,而商家又与此银行由业务关系(有帐号)。在此情况下,客户和商家都信任该银行,可由该银行担当CA 角色,接收、处理客户证书和商家证书的验证请求。
证书的树形验证结构
在通信双方通信时出示由某个CA 签发的证书来证明自己的身份,
如果对签发证书的CA 本身不信任,则可验证CA 的身份,依次类推,一直到公认的CA 处,就可确认证书的有效性。
每一个证术语签发证书的实体的签名证书关联。
SET 证书正式通过信任层次来逐级验证的。例如,C 证书是由B 的
CA 签发的,而B 的证书又是由A 的CA 签发的,A 是权威机构,通常称成为根CA 。验证到了根CA 处,就可确信C 的证书是合法的。
在 网上购物实现中,持卡人的证书与发卡机构的证书关联,而发
卡机构证书通过不同品牌卡的证书联结到根CA, 而根的公开密钥对所有的SET 软件都是一致的,可以校验每一个证书。
4.7简单网络管理标准
4.7.1 简单网络管理协议
RFC1157种描述的简单网络管理协议(SNMP ),广泛的被用于监视和控制TCP/IP网络上的设备的活动和行为。由于它为了解和管理那些使用网络进行通信的实体软硬件工作情况提供了一个精密的入口,所以即使是小型网络,也能从SNMP 的管理实践中受益不少。
4.7.2 标准细则(SNMP 框架)
管理中心站(Management Station):是一个专门的工作站,负责向被管元素发出询问(queries)和命令(commands),并接收和处理相应的响应。还提供用户接口,常基于X Windows系统或类似的窗口环境,以供网络管理员远程查看和影响被管元素。
被管元素(Managed Elements ):被管理中心站监视且有时部分控制的实体。这些实体通常可以是路由器、网关等中间设备,同时大型主机、桌面工作站和其它实体也可以不同程度加入。在这些被管元素上,有专门的代理(agents )为SNMP 提供接口.
管理信息库(Management Information Base):简称MIB ,是一组变量的集合,可由管理中心站通过代理进行。检查和修改,MIB 变量可以是网络地址、字符串、计数值一类的统计值,以及状态量等等。他们可以分为不同的组,如系统组、接口组、IP 组、UDP 组和TCP 组等。
管理协议(Management Protocol) SNMP作为一种基于UDP 的应用层协议,目的就在于方便的实现管理中心站与代理之间的通信,正如其名字一样,SNMP 的设计十分简单,这种基本的方案很容易在配置很低的系统上实现,该协议在最初开始设计时目标就定为构建一个网络管理基础设施而不过分影响网络性能。
4.7.3 参照标准
RFC 2570, Introduction to Version 3 of the Internet-standard Network
Management Framework;
RFC 2571, An Architecture for Descriping SNMP Management
Frameworks;
RFC 2572, Message Processing and Dispatching for the Simple
Network Management Protocol (SNMP);
RFC 2573, SNMP Applications;
RFC 2574, User-based Security Model (USM) for the Simple Network
Management Protocol (SNMPv3);
RFC 2575, View-based Access Control Model (VACM) for the Simple
Network Management Protocol (SNMP);
RFC 1905, Protocol Operations for Version 2 of the Simple Network
Management Protocol (SNMPv2);
RFC 1906,Transport Mappings for Version 2 of the Simple Network
Management Protocol (SNMPv2);
RFC 1907, Management Information Base for Version 2 of the Simple
Network Management Protocol(SNMPv2)。
5生效日期
10