11.3.3逻辑访问的安全管理

    在逻辑访问控制方面，监理工程师应着重分析并评估项目建设过程中的信息系统策略、组织结构、业务流程及访问控制，以保护信息系统及数据，避免非法访问泄漏或损坏的发生。

    监理在逻辑访问风险分析与安全管理上，主要的原则有:

    (1)了解信息处理的整体环境并评估其安全需求，可通过审查相关数据，询问有关人员，个人观察及风险评估等;

    (2)通过对一些可能进入系统访问路径进行记录及复核，评价这些控制点的正确性、有效性。这种记录及复核包括审核系统软、硬件的安全管理，以确认其控制弱点或重要点;

    (3)通过相关测试数据访问控制点，评价安全系统的功能和有效性;·

    (4)分析测试结果和其他审核结论，评价访问控制的环境并判断是否达到控制目标;

 (5)审核书面策略，观察实际操作和流程，与一般公认的信息安全标准相比较，评价组织环境的安全性及其适当性等。

    1.逻辑访问问题与风险分析

    不适当的系统访问控制会使技术及运营风险方面造成的损失增加。这种损失可能只是对用户访问造成不便，也有可能使主机宕机或系统瘫痪，并造成某些业务运营中断。

    1)技术性风险分析

    技术性产生的风险包括利用“暗藏程序”直接或间接修改计算机内数据及执行程序。

在技术上有多种现象，现举例如下。

    (1)数据篡改

在原始数据输入计算机之前被篡改。由于这种方法容易实现并在安全技术管理范围

之外，故被广泛采用。

    (2)特洛伊木马

    特洛伊木马是指将一些带有恶意的、欺诈性的代码置于己授权的计算机程序中，当

程序启动时这些代码也会启动。典型的例子是在对方的系统中放置木马，自动监控或获

取对方的个人信息。特洛伊木马攻击的表现形式对被攻击者来说并不直观，甚至被攻击

者根本不知道己经被入侵，因而它是一种危害性很大的网络攻击手段。

    (3)去尾法

    将交易发生后计算出的金额(如利息)中小数点后的余额(如分)删除并转入某个未经授权的账户，因为金额微小而往往不被注意。

    (4)色粒米技术

    这是一种类似去尾法的舞弊行为，不同的是将余额切分成更小金额，再转入未授权账户。这种方法与去尾法的差异是:去尾法是去除掉分，例如若交易金额为$1235954.39。则去尾法的金额为$$1235954.35，而色粒米技术是将尾数去除或进位;如上述问题，则色米粒技术金额为$1235954.30或$1235954.40，其计算方法是由程序设计来决定的。

    (5)计算机病毒

    计算机病毒是指人为的且故意置入计算机的程序，它可自行复制并感染其他计算机中的程序，通过计算机磁盘的共用，通信线路数据的传输(如电子邮件)或对软、硬件的直接操作，都有可能感染病毒。

    计算机病毒有良性病毒和恶性病毒。良性病毒并不直接破坏计算机的软硬件，对源程序不做修改，一般只是进入内存，侵占一部分内存空间，消耗CPU资源等，对系统的危害较小。而恶性病毒则会对计算机的软硬件进行恶意的攻击，使系统遭到不同程度的破坏。恶性病毒又分为两类，一类是依赖于主程序的病毒，另一类是可独立存在的病毒。

    (6)计算机蠕虫

    蠕虫是一种破坏性程序，可以破坏计算机内数据或是使用大量计算机及通信资源，但不像计算机病毒那样能自行复制。比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。蠕虫病毒的一般防治方法是使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。

    (7)逻辑炸弹

逻辑炸弹是在满足特定的逻辑条件时按某种不同的方式运行，对目标系统实施破坏的计算机程序。在正常条件下检测不到这种炸弹，但如果特定的逻辑条件出现，则破坏计算机功能或数据。与计算机病毒不同，逻辑炸弹体现为对目标系统的破坏作用，而非传播其具有破坏作用的程序。但不像病毒或计算机蠕虫，逻辑炸弹一般不容易在其发作

之前被发现;比较类似于计算机舞弊，可能会造成各种直接或间接的损失。

    (8)后门

    将未经授权的非法出口置入程序中，以执行恶意的指令。比如数据处理时，可以检查某些数据，这种特殊逻辑也允许未经授权的非法入侵。

    (9)异步攻击

    在计算机多进程处理过程中，数据在线路上以异步方式传输，因此数据往往在排队等候传输，在等待过程中受到未授权的入侵称为“异步攻击”。这种攻击也通过硬件入侵计算机中，其中有多种异步攻击方法，由于技术复杂，通常很难察觉，必须由网络管理员或网络工程师协助进行检查。

    (10)数据失窃

    计算机数据被非法盗用，如将计算机文件拷贝出来以窃取数据或偷窃计算机磁盘、磁带等。

    (11)口令入侵

    任何可以完成口令破解或者屏蔽口令保护的程序都称为口令入侵。网络攻击者往往把用户口令的破解作为对目标系统攻击的开始。几乎所有的用户系统都利用口令来防止非法登录，但却很少有人严格地执行口令安全策略。网络黑客经常利用有问题的且缺乏保护的口令进行攻击。一个口令黑客并不一定能够解开任何口令，实际上，只要用户制定口令时满足口令的复杂性要求，绝大多数口令破解程序就不可能正确破解。

    (12)网络窃听

    不进行直接的网络攻击，但借助网络窃听器的软件或硬件，掌握对方的重要信息，如账号、密码等，它意味着高级别的泄密，对网络安全造成极大的威胁。

    (13)拒绝服务攻击(DOS )

    DOS攻击行为表现在使服务器充斥大量要求响应的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷，以至于瘫痪而停止提供正常的网络服务，是目前最为常见的网络攻击方法。

    2)病毒控制

    计算机病毒是当前计算机面临的最严重威胁现象之一。目前预防、侦测病毒感染的方法主要有两种:一种是建立规范严谨的管理策略与管理程序;另外一种是采用技术方法，如防病毒软件。

    (1)管理控制的策略

    安装正版软件;

计算机开机时，切记使用磁盘的写保护功能;

    凡是未在单机中做病毒扫描的磁盘不允许在网络环境中使用;

    随时更新病毒代码库;

    对可能感染病毒的文件做写保护;

    安装新软件前先进行杀毒处理;

    新磁盘使用时做病毒检测;

    确保在网络环境中安装、使用已更新的防病毒软件;

  　文件加密和使用前解密;

    授权方可更换必要的设备，如路由器、交换机等;

    在网络中不使用外单位的设备，如做商务演示时;

    备份数据的杀度处理;

    定期教育、检查制度的执行情况等。

    (2)技术控制方法

    对病毒的控制，在硬件架构处理上可以采用使用无软驱的工作站、远端执行开机程序、利用硬件方式的密码、使用磁盘的写保护功能等。

    防病毒软件是目前最好的软件工具。防病毒软件的主要功能有扫描、动态监控、完整性检查、行为阻断等。

    3)计算机及网络犯罪

    这是针对利用计算机和网络系统，通过非法操作或其他手段，对计算机和网络系统的完整性或正常运行造成危害后果的行为，它的对象是计算机系统或网络内部的数据，如计算机程序、文本资料、运算数据、图形表格等存在于计算机内部的信息。所谓非法操作，就是指一切没有按照操作规程或是超越授权范围而对计算机系统进行的操作。非法操作是对计算机系统造成损害的直接原因。

    一般而言，计算机及网络犯罪对政府或企业造成的威胁有以下几方面。

    (1)财务损失

    表现为直接损失如电子资金被盗用，间接损失如改善措施的花费。

    (2)法律责任

    在制定安全策略及规范时必须考虑其他相关法律及规定。因为法律保护受害者，但也会保护犯罪。在没有适当安全策略及规范的情况下，若有重大违反安全事件发生时，也可能导致建设单位受到投资方的控告。

    (3)信誉损失或竞争力丧失

许多建设单位特别是政府、银行或投资公司为保持其竞争力或在行业中的地位，必须维持良好的信誉及公信力。不良访问安全问题会对这种信誉造成重要伤害，并导致企业形象受损并失去客户，重大的安全事故还有可能动摇公众信心。

    (4)勒索

    机密数据一旦被入侵，可能会被勒索付款以换回此数据。

    (5)恶意破坏

    有些罪犯作案并不是为了财务利益，他们只是想单纯造成破坏、报复或出于自我满足心理。

    因此，对于各种形式的计算机及网络犯罪必须运用法律手段进行打击和惩处。而对子政府部门和企事业单位，应该认真研究和学习如何对出现的入侵事件采取相应的法律程序来维护自己的合法权益，减少由此带来的损失。

    2.协助建设单位制定完善的安全策略

    为使得安全管理落到实处并持续改进，关于信息安全管理策略的设计及目标包含以下各点。

    1)来自领导的重视

    通过对安全观念的宣传与贯彻，管理层必须表现出对安全策略支持到底的决心，尤其针对不了解其重要性的某些部门主管，更要加强培训，确保安全策略的全面整体落实。

    2)控制原则

    系统数据的访问应该建立在“业务需要”的基础上，也就是有业务上需要者才能访问信息系统，并且只能访问应该使用的数据。

    3)访问控制的授权与核准

    为方便用户访问信息系统，负责系统信息正确使用及报告的主管应提供给用户书面授权及使用方法。主管人员应该将此授权直接交给系统安全管理员，以避免此项授权被误用或篡改。

    4)访问授权的核准与审查

    同其他控制点一样，访问控制应该定期审查以确定其有效性。组织结构或人员的改变，恶意破坏，甚至单纯人为疏忽均足以对访问控制的功能造成负面的影响。因此，安全管理员通过相关人员的协助应该定期(至少每年一次)检查评估访问控制规则，任何系统或数据访问超越“业务需要”的原则，均应禁止。

    5)安全认知及宣传

    应通过培训、签订保密协议、安全规定明示、定期检查等对建设单位或承建单位的员工包括管理人员，持续宣传安全的重要性，牢固树立“安全第一”的意识。

    6)要让每一位涉及信息系统安全的员工切实认识到以下内容

熟知安全管理规定;建立安全意识，提高安全警觉，发现违反规定的可疑事件，主动报请安全管理员处理;将登录账号及密码放置在安全的地方，不得转借给他人使用;维持良好的安全管理习惯，如出门上锁、不随意泄露门锁号码、妥善保管钥匙、主动询问可疑的陌生人等。

    7)监理工程师还要提醒建设单位

    非本单位员工接触有关的信息系统时也必须遵守安全管理规定，包括承建单位的服务人员、程序员、系统分析员、软硬件维修人员和服务厂商的人员等。同时还要注意不应泄露安全数据，提供给员工的安全策略手册不应刊登敏感度高的安全数据，如计算机密码文档名、技术安全架构、基础设施安全措施或系统软件上的盲点等内容。

    3.建议建设单位设立安全管理员并明确其职责

    设立专职或兼职的安全管理员，是为了确保系统日常的系统安全，管理员的任务就是负责建立、监控并执行安全管理规定。安全管理员的主要职责和权利有:，

    (1)必须充分了解系统配置、系统组件本质的安全弱点与安全政策，针对潜在的威胁，安全管理员必须发现可能对系统造成影响的脆弱点。

    (2)口令管理，包括其保护、分发、存储、字符长度与有效期。

    (3)必须分配有足够的系统资源，以便能监控到包括操作系统更新及任何可能违反安全的行为。

    (4)在安全策略的指导下，通过口令、用户无法改变的安全标记、会话控制、屏幕锁、软件与操作系统补丁更新，以及安全管理等机制建立或运行一个安全系统。

    (5)必须通过监控正确的文档与站点及时掌握系统的潜在弱点，接受己发布的操作系统补丁与计算机应急响应组的建议。

    (6)鉴于职责划分的原则，安全管理员不应负责或介入应用系统的开发与维护，也不应是系统用户、程序员、系统分析员或计算机操作员。

    4.访问控制软件

    计算机技术的发展己使信息系统能够储存和管理大量重要数据，增加资源共享的能力，允许单一计算机模拟数台计算机形成虚拟系统的运转，允许很多用户通过终端设备和通信设备访问系统。

    目前许多因失误或未经授权的数据访问而遭受损失，原因可能在于即使采用了高度复杂的安全防护软件，但其系统安全管理员依然不能掌握系统安全潜在的漏洞;虽然系统安全软件可与操作系统、应用软件及系统软件相互配合，然而这些配合并不会自动生效;即使这些配合经启动生效后，也不能保证系统的安全控制机制能被不间断地实施。

    访问控制软件可以解决上述问题。系统安全软件的功能在于禁止未经授权的数据访问，系统功能的调用及程序的使用、修改或变更，察觉或防范未经授权使用系统资源的企图。系统安全软件与操作系统互相配合，扮演所有系统安全的中心控制角色，在操作系统之上运作，提供管理数据访问的功能。

1)系统安全软件通常执行的工作

    (1)对用户身份的验证;

    (2)授权使用预先定义的资源;

    (3)限制用户从特定终端设备访问数据;

    (4)报告未经授权访问数据及程序的企图。

    2)访问控制软件可以提供的功能

    (1)用户在网络和子系统层面的登录验证;

    (2)用户在应用程序和交易类别的验证;

    (3)用户在数据库中的验证;

    (4)用户在子系统数据层面的验证。

    3)授权项目的分类

    授权是访问控制软件的最重要部分，有关授权的项目可以分为下列几类:

    (1)建立登录账户和用户授权使用的机制;

    (2)限制某些特殊账号只能从某些特定的终端设备登录;

    (3)在预定时间内的访问;

    (4)从预先定义授权程序库中调用程序执行特定任务:

    (5)建立访问的规则;

    (6)建立个人账户管理和日志审计机制;

    (7)数据文档和数据库变更的记录;

    (8)登录事件的记录;

    (9)记录用户的活动;

    (10)记录数据库异常访问活动，监控违规事件;

    (11)报告生成及事件通知的功能。

    系统安全软件针对访问的处理方法有:用户必须向访问控制软件提供身份验证，如名字或账号。用户同时必须向系统安全软件验证是其本人。身份证明首先由系统安全软件确定用户是否合法，然后通过相关信息的验证来确定是其本人。认证的信息有记忆性信息，如名字、账号和密码;可识别的如识别卡和钥匙;个人特征如指纹、声音和签名。

    逻辑访问控制应该保护的计算机文件和场所有:数据、应用程序(包括测试版本和正式发布版本)、远程通信线路、程序库、密码库、临时的介质上存储的文件(U盘、磁盘、光盘、磁带等)、系统软件、访问控制软件、交易日志文件、旁路标签、操作员系统出口、拨号链路、数据字典或数据目录等。

    5.逻辑安全的处理方法

    监理工程师在对建设单位提出逻辑安全的处理方法建议时，主要考虑有以下因素。

(1) 验证技术，即身份认证的方法，设定的基本原则是:只有你知道的事情，如账

号和密码;只有你拥有的东西，如身份证、工作证;只有你具有的特征，如指纹、声音、虹膜等;

    (2)账号和密码，双层控制;

    (3)访问日志;

    (4)在线日志记录;

    (5)生物特征安全访问控制;

    (6)终端设备使用限制;

    (7)控制拨号访问的回拨技术;

    (8)限制并监控系统的安全旁路;

    (9)数据保密分级;

    (10)保密数据的防护，通过逻辑或物理访问控制来避免未授权人阅读或修改;

    (11)设定访问控制的命名规则;

    (12)安全测试等。