与上述3个关键目标相对应,信息系统的安全需求一般分为3大类:机密性需求、完整性需求和可用性需求。然而,当谈及某个具体系统或应用时,提出的需求会更加细化,很少用上述如此粗线条的框架加以定义,而是结合实际情况阐述所需的具体要求。
1. 机密性需求
机密性的概念比较容易定义,即只有授权用户或系统才能对被保护的数据进行访问。在许多系统的安全目标或安全需求中都会提到机密性,但是想要真正实现系统的机密性却没有看上去那么容易。首先要确定由谁(可以是系统,也可以是人)授权可以访问系统资源的用户/系统,以及访问的数据粒度如何定义?例如,是以文件为单位进行授权访问,还是以比特为单位进行访问?合法用户是否有权将其获得的数据告诉其他人?
信息系统中的机密性需求和其他场合或系统中提到的机密性需求在实质上是一致的,并且在具体的实施上也有很多相似之处。例如,信息系统的敏感数据在物理上要防止攻击者通过传统的偷窃数据载体(硬盘、光盘、U盘,甚至机器等)等方法获取。
机密性除了用于保证受保护的数据内容不被泄露外,数据的存在性也是机密性所属范畴。有些数据的存在与否,比知道其具体内容更加重要。例如,在商业竞争中,多个企业竞争相同的客户源,知道某个企业已经和某个客户签订了合同有时比知道合同具体内容更重要。在这种情况下,数据本身是否存在也是一项机密数据。
2. 完整性需求
数据完整性的定义比较复杂,对其进行全面的描述较为困难。在不同的应用环境下,对数据完整性的含义有着不同的解释。但是当具体考察每一种应用时,会发现它们所指的含义都是属于完整性的范畴。例如,在数据库应用中,数据完整性需求可以分为不同层次:数据库完整性和元素完整性。其中,数据库完整性又可以细分为数据库的物理完整性和数据库的逻辑完整性。
总体而言,数据完整性可以从两个方面进行考虑:一是数据内容本身的完整性,有时称为数据内容完整性;二是数据来源的完整性,有时称为数据源完整性。数据内容完整性是指数据本身不被未授权地修改、增加和删除等。而数据源完整性是指数据的发送者即其所声称的来源是真实的,经常通过各种认证机制实现。
对数据来源的完整性破坏通常有重放攻击、篡改和伪装等。其中,重放攻击可以将一个旧消息多次发送达到破坏的目的。例如,Alice通过网络和银行之间进行账务管理,将1 000美元钱从自己账户划到Bob的账户上。Bob一直在网上监听Alice和银行之间的通信,并将划账消息复制了一份到本地。当本次交易结束后,Bob和银行发起一轮新的会话,将上次监听到的Alice与银行之间的消息再次发送给银行。如果没有使用安全认证机制,则银行会认为Alice又一次将1 000美元钱划给Bob。(www.daowen.com)
数据完整性的机制通常分为两类:预防机制与检测机制。预防机制用于防止未授权的用户修改数据,或授权用户以未授权的方式修改数据。注意:区分这两种未授权的访问是很重要的。对于前者比较容易理解,即一个用户对于某项数据或资源没有修改和增删的权力却要去篡改数据;而对于后者而言,一个用户可以修改某项数据或资源,但是他/她采用的修改方式却是未授权的。例如,一个银行的内部员工,他/她有权对用户申请的转账操作进行操作,即他/她有权修改账务数据,但是如果他在转账之后,隐藏(擦去)了这次账务操作,即隐藏了这次转账的去向,则他/她是以未授权的方式修改数据,破坏了数据的完整性。
检测机制不能防止未授权的用户修改数据,但是它可以告诉数据所有者数据是否保持了完整性,是否还值得信任。
3. 可用性需求
可用性是指使用所需资源或信息的能力。在系统设计中,可用性是系统可靠性的一个重要方面。如果一个系统无法使用,就如同系统不存在一样糟糕。目前,威胁信息系统可用性的典型攻击手段是拒绝服务(Denial of Service,DoS)攻击,这类攻击是最难检测到的。
例如,某个商务网站有多台服务器并行工作向终端用户提供服务,并且有一个负载平衡服务器可以根据客户流量自动平衡各个服务器上的负载。若攻击者攻破了这台负载平衡服务器,则在其他用户提出服务请求时,该服务器会以所有服务器都达到满负荷运行为由不再为用户的请求分配服务器,那么用户会觉得这个商务网站不可用。
为了防止这类攻击的发生,往往要求系统的设计者在建立系统模型时就能考虑到异常的访问方式或运行模式,即使有些情形在特定运行环境下看上去属于正常运行,也有可能在其他环境下是非正常的。这对系统设计者提出了很高的要求,因此实现的难度较大。
上述3个安全需求不是相互独立的,它们之间会有部分重叠之处。例如,实现信息系统保密性的时候,对系统的完整性也会有所帮助。实现保密性的安全机制在有的情形下也可用于实现系统完整性。因此,安全需求之间是相互联系的。在考虑如何使系统安全性能达到需求,同时成本可以接受时,应对各个安全需求之间的关系予以均衡。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。