应用平台安全技术规范

《应用平台安全技术规范》由会员分享，可在线阅读，更多相关《应用平台安全技术规范（11页珍藏版）》请在装配图网上搜索。

1、胜利石油管理局企业标准Q/SL TEC-m2002应用平台安全技术标准1适用范围 胜利油田各单位通用2规范解释权本规定适用于胜利油田管理局信息安全管理中心和下属各单位中心机房。3应用平台安全概述应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。现结合油田系统的应用分别阐述。4应用平台安全4.1 数据库的安全4.1.1 数据库安全概述 数据库是按照某种规则主旨的存储数据的集合，换句话说，数据库是由信息实体和这些实体之间的关系组成的，这些关系和实体在数据库内以某种物理的方式（

2、指针或记录）表示，数据库管理系统为用户和其他应用程序提供对数据库的访问，同时也提供事件登录，恢复和数据库组织。数据库的基本特性是它支持若干不同的应用（即可批处理也可联机处理等）以满足各种用户的数据要求。对于数据库系统来说，威胁主要来自：非法访问数据库信息；恶意破坏数据库或未经授权非法修改数据库数据；用户经过网络进行数据库访问时，受到各种攻击，如搭线窃听等；对数据库的不正确访问，引起数据库数据的错误。要对抗这些威胁，仅仅采用操作系统和网络中的保护是不够的，因为它的结构与其它系统不同，含有重要程度和敏感级别不同的各种数据，并未拥有各种特权的用户共享，同时又不能超出给定的范围。它涉及的范围很广，除了

3、对计算机，外部设备，联机网络和通信设备进行物理保护外，还要采用软件保护技术，防止非法运行系统软件，应用程序和用户专用软件；采取访问控制和加密，防止非法访问或盗用机密数据；对非法访问的记录和跟踪，同时要保证数据的完整性和一致性。4.1.2 标准细则1. 实现数据完整性，保证数据库中数据的正确，有效，使其免受无效更新的影响。2. 防止外部非法程序或是外部力量（如火灾火或电）篡改或干扰数据，使得整个数据库被破坏（例如，发生磁盘密封损坏或其他损坏）或单个数据项不可读。3. 应能定期备份系统中的所有文件，以防止灾难性故障4. 能使用单向函数的密码算法对数据加密，以确保数据的完整性。5. 为保证数据的正确

4、性，数据库管理系统应能保证：能检测各种操作的有效性和是否违反对数据定义的完整性约束。在检测出错误操作后，要做出适当的反应，如拒绝操作，返回错误信息等。6. 在多用户数据库系统中，各事务不能总是隔离串行运行，需要有并发控制机制，以防并行事务相互干扰。7. 需要有一套恢复机制，在出现数据紊乱或者数据不可用时及时恢复数据库。8. 数据库应该能通过用户的存取特权在逻辑上将数据分离。DBMS必须实施这一策略，授权存取所有指定数据或禁止存取所指定的数据，而且，存取方式是很多的。用户或程序有权读，修改，删除或加入值，增加或删除整个字段或记录，或者组织整个数据库。9. 用户有可能通过读出其它数据元素而得到某一

5、数据元素，这种现象叫做：“推理”。有可能通过推理存取数据，而不用直接存取保密实体本身。限制推理可以防止由推理得到未授权的存取路径，但是，限制推理也将限制那些并不打算存取非授权数值的用户的询问。为了检查所请求的存取是否有不可接受的推理，可能会降低对数据库的存取效率。10. 需要解决数据库的保密问题，在传输中宜采取加密保护和控制非法访问，此外必须对存储数据加密保护。但由于受到数据库组织和数据库应用环境的限制，它与一般的网络加密和通信加密有很大区别，在数据库中，记录的长度一般较短，数据存储的时间长（通常几年到几十年），相应密钥的保存时间也因数据生命周期而定。若在库内使用同一密钥，保密性差；若不同记录

6、使用不同的密钥，则密钥太多，管理相当复杂。因此，不能简单采用一般通用的加密技术，而必须针对数据库的特点，研究相应的加密方法和管理方法。4.1.3 参考规范 DODD8320.1国防部数据库管理； NCSC-TC-021 TESEC 对数据库管理系统的解释； FIPS PUB127-2 Database Language SQL (ANSI X 3.135-192)。 4.2 Web 网上采用的安全技术4.2.1 Web安全概述在Web网上实现网络安全一半应有SHTTP/HTTP和SSL两种方式，也包括PTC。4.2.2标准细则SHTTP/HTTP(Hypertext Transfer Prot

7、ocol)SHTTP/HTTP可以采用多种方式对信息进行封装。封装的内容包括加密，签名和基于MAC的认证。并且一个消息可以被反复封装加密。此外，SHTTP还定义了包头信息来进行密钥传输，认证传输和相似的管理功能。SHTTP可以支持多种加密协议，还为程序员提供了灵活的编程环境。SSL（安全套层）SSL(Secure Socket Layer)是Netscape公司率先采用的网络安全协议，是在传输通信协议（TCP/IP）上实现的一种安全协议，它采用公开密钥技术。SSL协议的目标是提供两个应用间通信的保密和可靠性，可在服务器和客户机端同时实现支持。SSL可提供三种基本的安全服务：信息保密，信息完整性

8、，相互认证。 SSL由两层组成。低层是SSL记录层，用于封装不同的上层协议。其中一个被封装的协议即SSL握手协议，它可以让服务器和客户机在传输应用数据之前，协商加密算法和加秘密钥。客户机提出自己能支持的全部算法清单，服务器选择最适合它的算法。SSL独立与应用协议，因此上层应用可能叠加在SSL协议上，因为SSL（主要集中在它的握手协议上）和SHTTP可融合成一个统一的协议。PTC PTC是Microsoft 和Visa开发的在Internet上保密通信的协议，与SSL类似。其不同点是，它在客户和服务器之间提供了几个短的报文数据，并且认证和加密使用不同的密钥。4.2.3参考标准 RFC2084,C

9、onsideration for Web Transaction Secureity; RFC2068,Hypertext Transfer Protocol HTTP/1.1; The SSL Protocol Version Communication Technology Protocol,1995; IETF-Draft,The Private Communication Technology Protocol,1995; IETF-Draft,The Secure HyperText Transfer Protocol,1995。4.3 Email采用的安全技术4.3.1 Email

10、安全概述针对Email采用的安全技术主要是加密技术，主要的安全协议有S/MIME,PGP和PEM.4.3.2标准细则S/MIMES/MIME(Secure/Multipurpose Internet Mail Extension)它是用于多目的的电子邮件安全的报文安全协议，和报文安全协议（MSP）,邮件隐私增强协议（PEM）,MIME对象安全服务协议（MOSS）的目的一样都是针对增强Internet的电子邮件的安全性。PGPPGP(Pretty Good Privacy)是Hil Zimmermann提出的方案，从80年代中期开始编写的。公钥密码和分组密码在同一个系统中，共钥系统采用RSA 加

11、密算法，实施对密钥的管理；分组密码采用IDEA算法，实施对信息的加密。PGP应用程序的特点是速度快，效率高，而且具有可移植性，可以在各种操作平台下运行。PGP主要用于加密文件，发送和接收加密的E-mail数字签名PEM保密增强邮件（Privacy Enhance Mail）,是美国RSA实验室基于RSA和DES算法而开发的产品，其目的是为了增强个人的隐私功能，目前在Internet网上得到了广泛的应用，专为E-mail用户提供如下的两类服务：一类是对所有的报文提供诸如验证，完整性，抗抵赖性等安全服务功能；另一类是提供可选的安全服务功能，如保密性等。4.3.3参考标准 RFC2311, S/MI

12、ME Version 2 Message Specification RFC2312, S/MIME Version 2 Certification Handling; RFC2440 OpenPGP Message Format RFC1421 Privacy Enhancement for Internet Electronic Mail: Part I: Message Encryption and Authentication Procedures RFC1422 Privacy Enhancement for Internet Electronic Mail: Part II: Ce

13、rtificate-Based Key Management RFC1423 Privacy Enhancement for Internet Electronic Mail: Part III: Algorithms, Modes, and Identifiers RFC1424 Privacy Enhancement for Internet Electronic Mail: Part IV: Key Certification and Related Services IETF-Draft, Cryptographic Message Syntax IETF-Draft, Enhance

14、d Security Service for S/MIME; IETF-Draft, S/MIME Version 3 Message Specification IETF-Draft, S/MIME Version 3 Certification Handling IETF-Draft, Certification Distribution Specification IETF-Draft, Diffie-Hellman Key Agreement Methord IETF-Draft, Domain Security Services using S/MIME IETF-Draft, Ex

15、ample of CMS Message Bodies4.4文件传送系统采用的安全技术4.4.1 文件传送系统安全概述 文件传送使用Internet的文件传送协议（ FTP）简单有效。FTP是一个典型的Client/Server系统，所有客户机/服务器的安全服务都可以应用于FTP。 4.4.2标准细则Internet规定FTP用Kerberos管理密钥及安全服务。Kerberos是由MIT开发的网络认证系统。采用了密码技术和可信的第三方，保证认证的正确。Kerberos自身并不提供一个完整的安全环境。但Kerberos是建造安全网络的一个配件，为实现安全网络环境提供认证和加密手段。Kerber

16、os 包括认证服务器，Ticket散发服务器。这两种服务器必须是安全的。客户机需要应用服务器的服务。Kerberos假设服务器是安全的。其认证过程大致如下： 客户向认证服务器发送请求，需要某应用服务器的证书 认证服务器相应请求，发给用客户的密钥加密的证书。证书包括服务器的票和会话密钥（暂时用于加密） 如果客户得到的Ticket是Ticket散发服务器的，客户机必须再向Ticket散发服务器换取应用服务器的Ticket. 客户机将应用服务器的Ticket（由客户的标识、会话密钥的拷贝等组成，并经过应用服务器的密钥加密）送往应用服务器 应用服务器和客户机于是拥有了同一个会话密钥。可以用于它们之间的

17、认证和加密。FTP的安全服务 根据Kerberos鉴别系统情况可以提供以下安全服务： 鉴别服务：FTP服务器对客户的单向鉴别；客户机/服务器相互鉴别。客户机对服务器来数据进行数据鉴别；服务器对来自客户机数据源的数据鉴别 机密性服务：对客户机/服务器来往文件给予机密性保护 完整性服务：用对称密钥体制对客户机/服务器来往文件提供服务 责任性（抗抵赖）服务：以Kerberos作为可信第三方，对客户机/服务器来往文件提供用对称算法的抗抵赖服务。4.4.3参考标准 IETF-Draft, Kerberos Change Password Protocol; IETF-Draft, The Kerbero

18、s Network Authentication Service(V5); IETF-Draft, FTP Authentication Using DSA; IETF-Draft, Extension to Kerberos V5 For Additional Initial Encryption; IETF-Draft, The Kerberos Version 5 GSSAPI Mechanism,Version 2; RFC 1510,The Kerberos network Authentication Service(V5).4.5 TELNET的安全技术4.5.1 标准细则 TE

19、LNET使用SSH作为其安全标准 SSH允许用户安全的登录远程主机，执行命令及传输文件。它支持鉴别、完整性和使用强密码算法的会话加密，实现了一种密钥交换协议和主机客户机鉴别协议。 SSH协议的设计就是用于抵制绝大多数常见的攻击，如重放、欺骗、窃听以及密码分析；也考虑了最大程度的减少CPU负荷和鉴别、会话密钥协商等所需的额外的业务流。 SSH使用了一个面向记录的协议，它在理论上可以使用任何的传输层协议。每个记录包含了一些随机填充，一个包类型标识，数据和一个校验和。也可以进行压缩。 SSH使用一个好的块模式算法如IDEA-CFB,RC4或者DES-CBC进行加密，当一个包到达时，它解密此包并检查校

20、验和的有效性。如果发现错误就把此包记入日志并且终止此连接 SSH对于当前使用的大多数UNIX系统来说可以免费获得，SSH的一个商业版本由Data Fellows公司推出4.5.2 参照标准 IETF-Draft, SSH Protocol Architecture; IETF-Draft, SSH Transport Layer Protocol; IETF-Draft, SSH Authentication Protocol; IETF-Draft, SSH Connection Protocol ; RFC 1411, Telnet Authentication : Kerberos Ve

21、rsion 4; IETF-Draft, Generic Message Exchange Authentication For SSH.4.6电子商务安全标准4.6.1 Internet 商务标准1999年12月14日，在美国加州旧金山的St.Francis饭店，公布了世界上第一个Internet商务标准（The Standard for Internet Commerce Version 1.01999）。对我国电子商务事业有相当的参考价值。制订这个Internet标准的目的有五个： 增加消费者在Internet上进行交易的信心和满意程度； 建立消费者和销售商之间的信赖程度； 帮助销售商获

22、得世界级的客户服务经验，加快发展步伐并将低成本； 支持和增强Internet商务的自我调节能力； 帮助销售商和消费者理解并处理迅猛增长的各种准则和符号。这一标准可以被销售商用于其Internet商务，并且向所有消费者和合作伙伴宣称自己符合这一标准；也可以被消费者用来检验销售上是否可以提供高质量的服务。同时，也可以指导如IT供应商，系统集成商等从事相关的业务。4.6.2 标准细则(第四项“保密和安全”) 必须公布销售商的保密原则，至少包括：销售上将收集消费者的那些资料，在何处收集；使用这些资料的目的；销售商是否向第三方提供这些资料，如果提供，是在何种情况下；消费者资料是否是整个商务计划的一部分，

23、如进行目标市场分析，建立各种促销方案等；消费者是否有可能限制使用私人资料，如何进行。（最低要求） 销售商必须在主页和信息中心提供标记为“privacy”的保密原则链接。（最低要求） 消费者必须有能力选择销售商是否可以利用收集到的消费者资料主动发送的各种信息，并且在这些资料开始被收集时就可以进行这些选择。（最低要求） 消费者必须有能力选择是否同意将自己的私人信息提供给第三方，并且在这些资料被收集时就可以进行这些选择。（最低要求） 如果有关交易的第三方（如购物车，支付网关）的保密原则和销售商的不同，销售商必须提供指向第三方保密原则的链接。（最低要求） 在整个交易过程中，销售商必须对所有消费者提供的

24、信息加密传输。（最低要求） 销售商必须对存储的消费者资料进行加密处理。（最低要求） 在信息中心，销售商必须为消费者提供那些传输过程和资料是被保护的信息。（最低要求）详细情况请参照标准：The Standard for Internet Commerce , Part 1: Business to Consumer (DRAFT 1.0)，1999。4.6.3 安全电子交易（SET）4.6.3.1概述安全电子交易（SET,Secure Electronic Transaction）是一个通过开放网络进行安全资金支付的技术标准，已成为事实上的工业标准，目前已获得IETF标准的认可。SET向基于信用

25、卡进行电子交易的应用提供了实现安全措施的规则。SET主要由3个文件组成，分别是SET业务描述，SET程序员指南和SET协议描述。SET规范涉及的范围有加密算法的应用（例如RSA和DES）;证书信息和对象指南；购买信息和对象格式；确认信息和对象格式；化帐信息和对象格式；对话实体之间消息的传输协议。SET的目标如下： 信息在Internet上传输，保证网上传输的数据不被黑客窃取； 订单信息和个人帐号信息的隔离，但包含持卡人账号信息的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户信息； 持卡人和商家相互认证，以确定通信双方的身份，一般由第三方（CA）负责为在线通信双方提供信息担保； 要求

26、软件遵循相同协议和报文格式，是不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。4.6.3.2 SET的购物流程电子商务的工作流程与实际的购物流程非常接近，使得电子商务于传统商务可以很容易融合，用户使用也没有什么障碍。如何保证网上传输的数据的安全和交易对方的身份确认是电子商务能否得到推广的关键。这正是SET所要解决的最主要的问题。一个包括完整购物处理流程的SET工作过程如下：1) 持卡人使用浏览器在商家的Web主页上查看在线商品目录，浏览商品。2) 持卡人选择要购买的商品3) 持卡人填写订单，包括项目列表、价格、总价、运费、搬运费、税费。定单可以通过电子化方式从

27、商家传过来，或由持卡人的电子购物软件建立。有些在线商场可以让持卡人与商家协商物品的价格（例如出示自己是老客户的证明，或者给出竞争对手的价格信息）。4) 持卡人选择支付方式，此时SET介入。5) 持卡人发送给商家一个完整的定单及要求付款的指令。在SET中，定单和付款指令由持卡人进行数字签名，同时利用双重签名技术保证商家看不到持卡人的账号信息。6) 商家收到定单后，向持卡人的金融机构请求支付认可。通过支付网关到银行，再到发卡机构确认，批准交易。然后返回确认信息给商家。7) 商家发送定单确认信息给顾客。顾客端软件可记录交易日志，以备将来查询。8) 商家给顾客装运货物，或完成定购的服务。到此为止，购买

28、过程结束。商家可立即请求银行将钱从购物者的账号转移到上家长好，也可以等到某一时间，请求成批划帐处理。9) 商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔，例如在每天的下班前请求银行结一天的帐。10) 前三步与SET无关，从第四步开始SET起作用，一直到第九步，在处理过程中通信协议、请求信息的格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，持卡人、商家和支付网关都通过CA来验证通信主体的身份，以确保通信的双方都不是冒名顶替。4.6.3.2 SET的认证 SET中主要的证书是持卡认证书和商家证书。 持卡认证书是支付卡的一种电子化表示。持卡认证书不包括账号

29、和终止日期信息，而是用单向散列算法根据账号和截止日期生成的一个代码，如果知道帐号、截止日期、密码值，即可导出这个码值，反之不行。 商家证书就像是贴在商家收款台小窗上的付款贴画，以表示它可以用什么卡来结算。在SET环境中，一个商家至少应由一对证书，与一个银行打交道；一个商家也可以有多对证书，表示它与多个银行由合作关系，可以接受多种付款方法。 除了持卡认证书和商家证书外，还有支付网关证书、银行证书、发卡机构证书。证书机构（CA） 持卡认可从公开媒体上获得商家的公开密钥，但持卡人无法确定商家不是冒充的，于是持卡人请求CA对商家认证。CA对上加进行调查、验收和鉴别后，将包含商家公开密钥的证书经过数字千

30、名传给持卡人。同样商家也可对持卡人进行验证。 CA的功能包括：接收注册请求，处理、批准/拒绝请求，颁发证书。 在实际运作中，CA可由大家都信任的一方担当，例如在客户、商家、银行三角关系中，客户使用的时由某个银行发的卡，而商家又与此银行由业务关系（有帐号）。在此情况下，客户和商家都信任该银行，可由该银行担当CA角色，接收、处理客户证书和商家证书的验证请求。证书的树形验证结构 在通信双方通信时出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的CA处，就可确认证书的有效性。 每一个证术语签发证书的实体的签名证书关联。 SET证书正式通

31、过信任层次来逐级验证的。例如，C证书是由B的CA签发的，而B的证书又是由A的CA签发的，A是权威机构，通常称成为根CA。验证到了根CA处，就可确信C的证书是合法的。 在 网上购物实现中，持卡人的证书与发卡机构的证书关联，而发卡机构证书通过不同品牌卡的证书联结到根CA,而根的公开密钥对所有的SET软件都是一致的，可以校验每一个证书。4.7简单网络管理标准4.7.1 简单网络管理协议RFC1157种描述的简单网络管理协议（SNMP），广泛的被用于监视和控制TCP/IP网络上的设备的活动和行为。由于它为了解和管理那些使用网络进行通信的实体软硬件工作情况提供了一个精密的入口，所以即使是小型网络，也能从

32、SNMP的管理实践中受益不少。4.7.2 标准细则（SNMP框架）管理中心站（Management Station）:是一个专门的工作站，负责向被管元素发出询问(queries)和命令(commands)，并接收和处理相应的响应。还提供用户接口，常基于X Windows系统或类似的窗口环境，以供网络管理员远程查看和影响被管元素。被管元素（Managed Elements）:被管理中心站监视且有时部分控制的实体。这些实体通常可以是路由器、网关等中间设备，同时大型主机、桌面工作站和其它实体也可以不同程度加入。在这些被管元素上，有专门的代理（agents）为SNMP提供接口.管理信息库(Manage

33、ment Information Base):简称MIB，是一组变量的集合，可由管理中心站通过代理进行。检查和修改，MIB变量可以是网络地址、字符串、计数值一类的统计值，以及状态量等等。他们可以分为不同的组，如系统组、接口组、IP组、UDP组和TCP组等。管理协议(Management Protocol) SNMP作为一种基于UDP的应用层协议，目的就在于方便的实现管理中心站与代理之间的通信，正如其名字一样，SNMP的设计十分简单，这种基本的方案很容易在配置很低的系统上实现，该协议在最初开始设计时目标就定为构建一个网络管理基础设施而不过分影响网络性能。4.7.3 参照标准 RFC 2570,

34、Introduction to Version 3 of the Internet-standard Network Management Framework; RFC 2571, An Architecture for Descriping SNMP Management Frameworks; RFC 2572, Message Processing and Dispatching for the Simple Network Management Protocol (SNMP); RFC 2573, SNMP Applications; RFC 2574, User-based Secu

35、rity Model (USM) for the Simple Network Management Protocol (SNMPv3); RFC 2575, View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP); RFC 1905, Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2); RFC 1906,Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2); RFC 1907, Management Information Base for Version 2 of the Simple Network Management Protocol(SNMPv2)。5生效日期10