应用平台安全技术规范

胜利石油管理局企业标准Q/SLTEC-m－2002应用平台安全技术标准1适用范围胜利油田各单位通用2规范解释权本规定适用于胜利油田管理局信息安全管理中心和下属各单位中心机房。3应用平台安全概述应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。现结合油田系统的应用分别阐述。4应用平台安全4.1数据库的安全4.1.1数据库安全概述数据库是按照某种规则主旨的存储数据的集合，换句话说，数据库是由信息实体和这些实体之间的关系组成的，这些关系和实体在数据库内以某种物理的方式（指针或记录）表示，数据库管理系统为用户和其他应用程序提供对数据库的访问，同时也提供事件登录，恢复和数据库组织。数据库的基本特性是它支持若干不同的应用（即可批处理也可联机处理等）以满足各种用户的数据要求。对于数据库系统来说，威胁主要来自：非法访问数据库信息；恶意破坏数据库或未经授权非法修改数据库数据；用户经过网络进行数据库访问时，受到各种攻击，如搭线窃听等；对数据库的不正确访问，引起数据库数据的错误。要对抗这些威胁，仅仅采用操作系统和网络中的保护是不够的，因为它的结构1与其它系统不同，含有重要程度和敏感级别不同的各种数据，并未拥有各种特权的用户共享，同时又不能超出给定的范围。它涉及的范围很广，除了对计算机，外部设备，联机网络和通信设备进行物理保护外，还要采用软件保护技术，防止非法运行系统软件，应用程序和用户专用软件；采取访问控制和加密，防止非法访问或盗用机密数据；对非法访问的记录和跟踪，同时要保证数据的完整性和一致性。4.1.2标准细则1.实现数据完整性，保证数据库中数据的正确，有效，使其免受无效更新的影响。2.防止外部非法程序或是外部力量（如火灾火或电）篡改或干扰数据，使得整个数据库被破坏（例如，发生磁盘密封损坏或其他损坏）或单个数据项不可读。3.应能定期备份系统中的所有文件，以防止灾难性故障4.能使用单向函数的密码算法对数据加密，以确保数据的完整性。5.为保证数据的正确性，数据库管理系统应能保证：能检测各种操作的有效性和是否违反对数据定义的完整性约束。在检测出错误操作后，要做出适当的反应，如拒绝操作，返回错误信息等。6.在多用户数据库系统中，各事务不能总是隔离串行运行，需要有并发控制机制，以防并行事务相互干扰。7.需要有一套恢复机制，在出现数据紊乱或者数据不可用时及时恢复数据库。8.数据库应该能通过用户的存取特权在逻辑上将数据分离。DBMS必须实施这一策略，授权存取所有指定数据或禁止存取所指定的数据，而且，存取方式是很多的。用户或程序有权读，修改，删除或加入值，增加或删除整个字段或记录，或者组织整个数据库。9.用户有可能通过读出其它数据元素而得到某一数据元素，这种现象叫做：“推理”。有可能通过推理存取数据，而不用直接存取保密实体本身。限制推理可以防止由推理得到未授权的存取路径，但是，限制推理也将限制那些并不打算存取非授权数值的用户的询问。为了检查所请求的存取是否有不可接受的推理，可能会降低对数据库的存取效率。10.需要解决数据库的保密问题，在传输中宜采取加密保护和控制非法访问，此外必须对存储数据加密保护。但由于受到数据库组织和数据库应用环境的限制，它与一般的网络加密和通信加密有很大区别，在数据库中，记录的长度一般较短，数据存储的时间长（通常几年到几十年），相应密钥的保存时间也因数据生命周期而定。若在库内使用同一密钥，保密性差；若不同记录使用不同的密钥，则密钥太多，管理相当复杂。因此，不能简单采用一般通用的加密技术，而必须针对数据库的特点，研究相应的加密方法和管理方法。24.1.3参考规范DODD8320.1国防部数据库管理；NCSC-TC-021TESEC对数据库管理系统的解释；FIPSPUB127-2DatabaseLanguageSQL(ANSIX3.135--192)。4.2Web网上采用的安全技术4.2.1Web安全概述在Web网上实现网络安全一半应有SHTTP/HTTP和SSL两种方式，也包括PTC。4.2.2标准细则SHTTP/HTTP(HypertextTransferProtocol)SHTTP/HTTP可以采用多种方式对信息进行封装。封装的内容包括加密，签名和基于MAC的认证。并且一个消息可以被反复封装加密。此外，SHTTP还定义了包头信息来进行密钥传输，认证传输和相似的管理功能。SHTTP可以支持多种加密协议，还为程序员提供了灵活的编程环境。SSL（安全套层）SSL(SecureSocketLayer)是Netscape公司率先采用的网络安全协议，是在传输通信协议（TCP/IP）上实现的一种安全协议，它采用公开密钥技术。SSL协议的目标是提供两个应用间通信的保密和可靠性，可在服务器和客户机端同时实现支持。SSL可提供三种基本的安全服务：信息保密，信息完整性，相互认证。SSL由两层组成。低层是SSL记录层，用于封装不同的上层协议。其中一个被封装的协议即SSL握手协议，它可以让服务器和客户机在传输应用数据之前，协商加密算法和加秘密钥。客户机提出自己能支持的全部算法清单，服务器选择最适合它的算法。SSL独立与应用协议，因此上层应用可能叠加在SSL协议上，因为SSL（主要集中在它的握手协议上）和SHTTP可融合成一个统一的协议。PTCPTC是Microsoft和Visa开发的在Internet上保密通信的协议，与SSL类似。其不同点是，它在客户和服务器之间提供了几个短的报文数据，并且认证和加密使用不同的密钥。34.2.3参考标准RFC2084,ConsiderationforWebTransactionSecureity;RFC2068,HypertextTransferProtocol–HTTP/1.1;TheSSLProtocolVersionCommunicationTechnologyProtocol,1995;IETF-Draft,ThePrivateCommunicationTechnologyProtocol,1995;IETF-Draft,TheSecureHyperTextTransferProtocol,1995。4.3Email采用的安全技术4.3.1Email安全概述针对Email采用的安全技术主要是加密技术，主要的安全协议有S/MIME,PGP和PEM.4.3.2标准细则S/MIMES/MIME(Secure/MultipurposeInternetMailExtension)它是用于多目的的电子邮件安全的报文安全协议，和报文安全协议（MSP）,邮件隐私增强协议（PEM）,MIME对象安全服务协议（MOSS）的目的一样都是针对增强Internet的电子邮件的安全性。PGPPGP(PrettyGoodPrivacy)是HilZimmermann提出的方案，从80年代中期开始编写的。公钥密码和分组密码在同一个系统中，共钥系统采用RSA加密算法，实施对密钥的管理；分组密码采用IDEA算法，实施对信息的加密。PGP应用程序的特点是速度快，效率高，而且具有可移植性，可以在各种操作平台下运行。PGP主要用于加密文件，发送和接收加密的E-mail数字签名PEM保密增强邮件（PrivacyEnhanceMail）,是美国RSA实验室基于RSA和DES算法而开发的产品，其目的是为了增强个人的隐私功能，目前在Internet网上得到了广泛的应用，专为E-mail用户提供如下的两类服务：一类是对所有的报文提供诸如验证，完整性，抗抵赖性等安全服务功能；另一类是提供可选的安全服务功能，如保密性等。4.3.3参考标准RFC2311,S/MIMEVersion2MessageSpecificationRFC2312,S/MIMEVersion2CertificationHandling;RFC2440OpenPGPMessageFormat4RFC1421PrivacyEnhancementforInternetElectronicMail:PartI:MessageEncryptionandAuthenticationProceduresRFC1422PrivacyEnhancementforInternetElectronicMail:PartII:Certificate-BasedKeyManagementRFC1423PrivacyEnhancementforInternetElectronicMail:PartIII:Algorithms,Modes,andIdentifiersRFC1424PrivacyEnhancementforInternetElectronicMail:PartIV:KeyCertificationandRelatedServicesIETF-Draft,CryptographicMessageSyntaxIETF-Draft,EnhancedSecurityServiceforS/MIME;IETF-Draft,S/MIMEVersion3MessageSpecificationIETF-Draft,S/MIMEVersion3CertificationHandlingIETF-Draft,CertificationDistributionSpecificationIETF-Draft,Diffie-HellmanKeyAgreementMethordIETF-Draft,DomainSecurityServicesusingS/MIMEIETF-Draft,ExampleofCMSMessageBodies4.4文件传送系统采用的安全技术4.4.1文件传送系统安全概述文件传送使用Internet的文件传送协议（FTP）简单有效。FTP是一个典型的Client/Server系统，所有客户机/服务器的安全服务都可以应用于FTP。4.4.2标准细则Internet规定FTP用Kerberos管理密钥及安全服务。Kerberos是由MIT开发的网络认证系统。采用了密码技术和可信的第三方，保证认证的正确。Kerberos自身并不提供一个完整的安全环境。但Kerberos是建造安全网络的一个配件，为实现安全网络环境提供认证和加密手段。Kerberos包括认证服务器，Ticket散发服务器。这两种服务器必须是安全的。客户机需要应用服务器的服务。Kerberos假设服务器是安全的。其认证过程大致如下：客户向认证服务器发送请求，需要某应用服务器的证书认证服务器相应请求，发给用客户的密钥加密的证书。证书包括服务器的票和会话密钥（暂时用于加密）如果客户得到的Ticket是Ticket散发服务器的，客户机必须再向Ticket散发服务器换取应用服务器的Ticket.客户机将应用服务器的Ticket（由客户的标识、会话密钥的拷贝等组成，并经过应用服务器的密钥加密）送往应用服务器应用服务器和客户机于是拥有了同一个会话密钥。可以用于它们之5间的认证和加密。FTP的安全服务根据Kerberos鉴别系统情况可以提供以下安全服务：鉴别服务：FTP服务器对客户的单向鉴别；客户机/服务器相互鉴别。客户机对服务器来数据进行数据鉴别；服务器对来自客户机数据源的数据鉴别机密性服务：对客户机/服务器来往文件给予机密性保护完整性服务：用对称密钥体制对客户机/服务器来往文件提供服务责任性（抗抵赖）服务：以Kerberos作为可信第三方，对客户机/服务器来往文件提供用对称算法的抗抵赖服务。4.4.3参考标准IETF-Draft,KerberosChangePasswordProtocol;IETF-Draft,TheKerberosNetworkAuthenticationService(V5);IETF-Draft,FTPAuthenticationUsin