安全服务机械安全服务
2、访问控制
3、数据保密性
4、数据完整性
5、不可否认性
6、可用性服务
安全服务(security service)在不同的领域有不同的意义。
在信息安全领域,安全服务指的是加强网络信息系
|
1、认证 2、访问控制 3、数据保密性 4、数据完整性 5、不可否认性 6、可用性服务 安全服务(security service)在不同的领域有不同的意义。 在信息安全领域,安全服务指的是加强网络信息系统安全性,对抗安全攻击而采取的一系列措施。 网络安全服务 加强网络信息系统安全性,对抗安全攻击而采取的一系列措施称为安全服务。安全服务的主要内容包括:安全机制、安全连接、安全协议和安全策略等,它们能在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。[1] 关于安全服务与有关机制的一般描述,可参见ISO模型中的国际标准ISO7498-2:《信息处理系统开放系统互连基本参考模型第2部分:安全体系结构》。该标准为开放系统互连(OSI,Open System Interworking)描述了安全体系结构的基本参考模型,并确定在参考模型内部可以提供这些安全服务与安全机制的位置。ISO7498-2中定义了5大类可选的安全服务。[1] (1)认证 用于保证通信的真实性,正式接收的数据就来自所要求的源方,包括对等实体鉴别和数据源鉴别。数据源鉴别连同无连接的服务一起操作,而对等实体鉴别通常与面向连接的服务一起操作,一方面可确保双方实体可信的,另一方面可确保该连接不被第三方干扰,如假冒其中的一方进行非授权的传输或接收。 (2)访问控制 用于防止对网络资源的非授权访问,保证系统的可控性。访问控制可以用于通信的源或目的,或是通信链路上的某一地方。一般用在应用层,也可在传输层试下访问控制。 (3)数据保密性 用于加密数据以防被窃听,服务可根据保护范围的大小分为几个层次,例如可保护一定时间范围内两个用户之间传输的所有数据;也可以对单个消息的保护或对一个消息中某个特定字段的保护。 (4)数据完整性 用于保证所接受的消息为未经复制、插入、篡改、重排或重放,主要用于防止主动攻击。此外还能对遭受一定程度毁坏的数据进行恢复。,数据完整性可用于一个消息流、单个消息或一个消息中所选字段。 (5)不可否认 用于防止通讯双方中某一方抵赖所传输的消息。接受者能够证明消息的确是否消息的发送发出的,而发送者能够证明这一消息的确已被接受者接受了。 安全服务机械安全服务 安全服务机械安全定义 机械的安全性是指机械在使用说明书规定的预定使用条件下(有时在使用说明书中给定的期限内)执行其功能和在运输、安装、调整、维修、拆卸和处理时不产生损伤或危害健康的能力。[2] 安全服务机械安全性的做法 ⑴ 首先对设备的结构、适用环境去分析其危险存在的可能,进行风险分析和评估;[2] ⑵ 从设计角度上尽可能的减小风险; ⑶ 通过设计不能适当的避免或充分限制的危险,应采用安全防护装置(防护装置、安全装置)对人们加以防护; ⑷ 通过使用信息规定机器的预定用途,并应包括保证安全和正确使用机器的各项说明、各项警示、各项提示、各项禁止的信息,对专业和(或)非专业的使用者都是一个指导作用; ⑸ 同时还得对采取上述措施后的附加(剩余)风险采取措施加以克服; ⑹ 对于用户而言,也要进行安全培训和提供必要的个人防护,建立必要的安全监督制度。 安全服务危险 危险是指某一系统、产品、或设备或操作的内部和外部的一种潜在的状态,其发生可能造成人员伤害、职业病、财产损失、作业环境破坏的状态。[2] 安全服务风险 主要描述在投资领域的概念,可增加在工业中的定义。例如:在危险情况下,可能损伤或危害健康的概率和程度的综合。[2] 安全服务事故 事故如今一般是指造成死亡、疾病、伤害、损坏或者其他损失的意外情况。[2] 安全服务生产安全系统 安全服务安全系统简介 安全系统 由与生产安全问题有关的相互联系、相互作用、相互制约的若干个因素结合成的具有特定功能的有机整体。 在工业企业里,人——机系统、安全技术、职业卫生和安全管理构成了一个安全系统。它除了具有一般系统的特点外,还有自己的结构特点。第一,它是以人为中心的人机匹配、有反馈过程的系统。因此,在系统安全模式中要充分考虑人与机器的互相协调。第二,安全系统是工程系统与社会系统的结合。在系统中处于中心地位的人要受到社会、政治、文化、经济技术和家庭的影响,要考虑以上各方面的因素,系统的安全控制才能更为有效。第三,安全事故(系统的不安全状态)的发生具有随机性,首先是事故的发生与否呈现出不确定性;其次是事故发生后将造成什么样的后果在事先不可能确切得知。第四,事故识别的模糊性。安全系统中存在一些无法进行定量的描述的因素,因此对系统安全状态的描述无法达到明确的量化。安全系统工程活动要根据以上这些特点来开展研究工作,寻求处理安全问题的有效方法。[2] 安全服务安全系统设计 第一步:定义风险等级 在生产装置中引进安全防护手段,其作用是为了将风险减低到企业可接受的水平。任何防护手段都不可能完全消除风险。 由于石化生产装置的复杂性导致了潜在风险数目极大,不可能对所有的风险都采取措施。因此,需要在设计安全相关系统之前,就明确地定义多大程度的风险可以接受,而什么样的风险必须采取措施。只有将风险等级进行明确的定义和划分后,才能以此为衡量指标,在众多的潜在风险中找到必须要解决的关键风险。[2] 第二步:识别所有潜在风险 定义了风险等级后,使用合理的安全评价方法对装置中可能存在的风险进行充分、彻底地识别,获得装置中每个风险发生原因和所导致后果之间的对偶关系。只有在获得所有可能的潜在风险的基础上,才能对装置进行充分、完整地防护层设计与校核。 第三步:校核防护层设计
针对第二步中所识别出来的每一个可能的风险,考虑当前已有的保护措施对风险的降低程度,校核其是否满足在风险矩阵中定义的可接受范围。如果不能满足要求,则需要引入新的防护措施,并对引入新的防护措施后的风险降低程度重新进行计算。 第四步:结论审查 检查所有不可接受的风险是否都已受到防护,即所有风险的等级都达到“可接受”范围内。如若不然,回到第三步重新进行防护层校核与设计。 8.基础标准 基础标准是指具有广泛的适用范围或包含一个特定领域的通用条款的标准。 基础标准在一定范围内可以直接应用,也可以作为其他标准的依据和基础,具有普遍的指导意义。一定范围是指特定领域,如企业、专业、国家等。也就是说,基础标准既存在于国家标准、专业标准,也存在于企业标准中。在某领域中基础标准是覆盖面最大的标准。它是该领域中所有标准的共同基础。[2] 9.安全设备 安全设备是指保障人类生产、生活活动中的人身或设施免于各种自然、人为侵害的设备。 10.产品标准 对产品结构、规格、质量和检验方法所做的技术规定,称为产品标准。产品标准按其适用范围,分别由国家、部门和企业制定;它是一定时期和一定范围内具有约束力的产品技术准则,是产品生产、质量检验、选购验收、使用维护和洽谈贸易的技术依据。 产品质量法第12条规定,产品质量应当检验合格。所谓合格系统安全,是指产品的质量状况符合标准中规定的具体指标。我国现行的标准分为国家标准、行业标准、地方标准和经备案的企业标准。凡有强制性国家标准、行业标准的,必须符合该标准;没有强制性国家标准、行业标准的,允许适用其他标准,但必须符合保障人体健康及人身、财产安全的要求。同时,国家鼓励企业赶超国际先进水平。对不符合强制性国家标准、行业标准的产品,以及不符合保障人体健康和人身、财产安全标准和要求的产品,禁止生产和销售。 11.机械指令 机械指令98/37/EC,于1998年7月23日由欧盟官方公报颁布,替代了1989年颁布的89/392/EEC,及后续修订的指令 91/368/EEC,93/44/EEC,93/63/EEC。而自1995年1月1日起,机械指令正式成为欧洲的强制法规,同时所有欧盟会员国须将其一些基本规定纳入各自国家的法律。欧盟机械指令并非针对技术性细节,而是着重于机械设计和结构相关的安全与健康规定 12. EN 954-1 EN 954-1是由欧洲标准委员会(CEN)制定的欧洲标准,最早于1992年11月公布,这个标准是为机械的安全性制定的,被称为:机械安全-控制系统有关安全的部件。它包括两个部分,第一部分:设计总则,第二部分:确认,测试,故障表单。这个标准的基本术语和方法大部分参考了EN292-1::1991标准。 EN954-1也提供了一个典型的安全功能的列表:1.停车 2.紧急停车 3.手动重置 4.启动和重启 5.响应时间 6.安全相关的参数 7.本地控制功能 8,供电系统的波动,损失和复位 9 暂时失效 10.安全功能手册。 EN954-1将危险等级分为B、1、2、3、4五个等级,B是最低的等级,对安全系统没有特别的要求,等级4为最高的危险等级。控制等级为4级,安全控制等级必须大于等于其危险等级,它还为确定等级提供了一个指导文件。EN954-1通常适用于机械的低复杂性的安全系统。[2] 13.机床 机床是将金属毛坯加工成机器零件的机器,它是制造机器的机器,所以又称为”工作母机”或”工具机”,习惯上简称机床。现代机械制造中加工机械零件的方法很多:除切削加工外,还有铸造、锻造、焊接、冲压、挤压等,但凡属精度要求较高和表面粗糙度要求较细的零件,一般都需在机床上用切削的方法进行最终加工。在一般的机器制造中,机床所担负的加工工作量占机器总制造工作量的40%-60%,机床在国民经济现代化的建设中起着重大作用。 14.风险评估 风险评估(Risk Assessment) 是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 15.安全继电器 所谓“安全继电器”并不是“没有故障的继电器”,而是发生故障时做出有规则的动作,它具有强制导向接点结构,万一发生接点熔结现象时也能确保安全,这一点同一般继电器完全不同。 16.MTTFd使用最为广泛的一个衡量可靠性的参数是,MTTF(mean time to failure,平均失效前时间),定义为随机变量、出错时间等的"期望值"。但是,MTTF经常被错误地理解为,"能保证的最短的生命周期"。MTTF的长短,通常与使用周期中的产品有关,其中不包括老化失效。 平均失效前时间可以理解为:设备在规定的环境下,正常生产到发生下一次故障的平均时间。 MTTF=Σtti / Σri 其中: tti:在发生所有故障之前的工作时间 ri:故障发生件数 17.安全防护 安全防护,即安防,所谓安全,就是没有危险、不受侵害、不出事故;所谓防护,就是防备、戒备,而防备是指作好准备以应付攻击或避免受害,戒备是指防备和保护。综合上述解释,是否可以给安全防护下如下定义:做好准备和保护,以应付攻击或者避免受害,从而使被保护对象处于没有危险、不受侵害、不出现事故的安全状态。显而易见,安全是目的,防护是手段,通过防范的手段达到或实现安全的目的,就是安全防护的基本内涵。 延伸:信息安全服务 信息安全服务是指适应整个安全管理的需要,为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。 信息安全服务的作用编辑 目前,国内政府和企业中信息安全建设多处在较初级的阶段,缺乏信息安全的合理规划,也普遍缺乏相应的安全管理机制,这些问题受到整体管理水平和信息化水平的限制,在短期内很难根本改变。当前国内的信息安全服务商纷纷提出了自己的安全服务体系,一般都包括信息安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引用户的同时,给用户造成了很大的迷茫,很多用户购买安全服务的直接动机是应付当前的安全事件、满足管理层的意志或减轻来自内外的舆论压力,服务形式内容和现实需求之间存在较大落差。 必须承认当前信息安全服务对用户的帮助主要在技术方面,对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足,实际是“安全管理员”的缺位,其次是对基本管理体系探索的需求。从用户的角度来看,信息安全服务能带来的实际好处包括:弥补用户人力的不足,弥补用户技术的不足,弥补用户信息的不足,弥补用户管理思想的不足。这些服务内容主要通过服务团队特别是一线人员传递到用户的手中,服务人员的技术技能和态度将直接决定用户的收益。 信息安全服务我国信息安全服务市场应用 编辑 在市场需求方面,政府、电信、银行、能源、军队等仍然是信息安全企业关注的重点行业,证券、交通、教育、制造等新兴市场需求强劲,为信息安全产品市场注入了新的活力。 中国信息安全行业起步较晚,自本世纪初以来经历了三个重要发展阶段(萌芽、爆发和普及阶段),产业规模逐步扩张。尤其是近年来,各类网络威胁造成的损害不断增强,带动了市场对信息安全产品和服务需求的持续增长;另外,政府重视和政策扶持也不断推动我国信息安全产业的快速发展。2010年中国信息安全产品市场规模达到111.74亿元,同比增长20.23%。 中国信息安全行业市场前瞻与投资机会分析前瞻 指出我国信息安全产业针对各类网络威胁行为已经具备了一定的防护、监管、控制能力,市场开发潜力得到不断提升。在市场需求方面,政府、电信、银行、能源、军队等仍然是信息安全企业关注的重点行业,证券、交通、教育、制造等新兴市场需求强劲,为信息安全产品市场注入了新的活力。 目前,国内信息安全投入占IT整体投入比重仅在1%-2%之间,而欧美国家这一比例普遍达到8%-12%,因此国内信息安全市场随着应用环境和用户需求的不断成熟,存在较大的提升空间。 近年来,互联网渗透率持续提高,互联网商务化趋势明显,而信息安全形势的不断恶化使得企业对于信息安全的投入意愿加强,行业发展面临机遇。预计2012-2015年,中国信息安全市场整体仍将保持20%以上的年均增长率,至2015年,行业市场规模有望达到294.27亿元。 信息安全服务选择信息安全服务的基本的法则 编辑 1、谨慎选择厂商和服务内容 用户在选择服务商的时候,遇到的困惑之一是服务厂商的服务内容的同质化,市场排名或成本因素往往成了选择的主要标准,这是不理性的。真正重要因素是服务商的安全现状和安全目标的理解和认可程度,并能否针对性地提出合理的服务内容和方案;服务人员的技能考察非常重要,取得安全服务资格的厂商并不一定能具有真正的服务能力,用户方的负责人员和实际服务人员的深入交流一般会提供鉴别的依据;服务商的服务管理能力和信用等也是考察的要点。 2、引导与监控安全服务进程 在安全服务的实施过程中,需要用户的积极参与。虽然在服务契约签订时,双方已经初步确定了服务的内容和目标,但这些内容和目标往往是抽象的,高素质的服务人员会依此主动发现问题,提供合理的建议,普通服务人员常常不具备这种能力。但无论哪种情况,用户的引导和监控都是必要的,服务商对用户的信息系统的认识程度是有限的,能够介入的范围也很狭窄,用户应当用需求或目标来引导和监控服务的实施,甩手掌柜式的用户会导致安全服务的效力无法发挥和自身能力的停滞。
3、善于放大安全服务的效力 信息安全服务是一项借用外脑的活动,一般用户更情愿在软硬件系统的购买上投入资金,却对安全服务比较质疑,原因是认为服务既是无形的,又不创造经济效益。其实,用户是可以将安全服务的效力放大的,如果仅把安全服务看作是仅对it部门的服务,那效力就仅限于一个部门,如果为更大的范围服务,就会取得更大的效力,如安全预警。另外创造性的服务也可带来经济上的效益,一个合理的安全建设方案可能会带来实际的成本的节约,一个安全管理的认可,可能会带来企业形象的提升,甚至一项安全增值业务可能会带来直接的收益。 信息安全服务对信息安全服务商的基本要求 编辑 信息安全的特点决定了对信息安全服务商有较高的要求,我们将之分为管理要求、技术要求和高级要求,其中管理原则和技术原则主要基于实践应急反应层面,高级要求主要针对安全管理、安全策略和发展层面。 信息安全服务管理要求 * 信息安全要求建立一个24小时不间断反应。 * 能够建立一个针对不同攻击的正确行动方案。 * 能够保证及时、快速反应系统。 * 能够提供规范和详细的对自身和对客户培训体系。 * 、贴近被服务体系和对客户零干扰目标。 信息安全服务技术要求 * 拥有一定的监控技术,能够方便、简单、易操作地安装到所有接入设备和系统中。 * 监控设备不会影响和干扰已有的安全设备和软件的正常使用性能,并且不会引入新的安全隐患。 * 监控设备应当具有升级能力,并且能够进行方便的升级。 * 具有监控数据分析与处理技术。 * 具有知识库或专家库支持应急事件决策技术。 * 具有系统容灾与恢复的技术。 信息安全服务高级要求 * 先进原则:全面掌握和紧跟国际先进的信息安全管理和技术并有一套体系贯彻到服务系统中。 * 全面原则:掌握了全国的国内信息安全的标准和政策并有足够力度体现到服务体系中。 * 高手原则:有掌握最新的信息安全实践技术和防范技术,遇到特发情况能够解决问题的高手或专家存在。 * 团队原则:团队有明确分工和侧重点,基本人员全部掌握一般的服务方法和解决普遍性问题。 信息安全服务信息安全服务商的面临的问题 编辑 国内每个信息服务商都有自己的生存方式,站在用户的角度考虑,认为有两个问题不能回避: 1、服务能力建设。 安全服务的根本意义在于帮助用户以较低的成本实现高效的信息安全体系。缺乏具有合格技能和创造性的队伍,这是信息安全服务面临的最大问题。虽然安全服务这个市场的坚冰已经撬动,但对安全服务的评价仍在进行中。大量的服务项目在照搬概念、教条式地开展,服务人员不能发现、解决用户的实际问题,更不说为用户提供个性化的服务。在安全服务行业刚刚萌芽之际,遭遇用户的集体遗弃将会是致命的。 2、观念更新。 信息安全服务商如果要赢得用户的认可,就必须具备两个基本观念:一个是信息安全是为信息化服务的,不能离开对用户信息化脉搏的把握。从“安全就是防火墙”,到“安全三大件”,到“三分技术七分管理”用户和服务商都在思索信息安全建设的途径。因为“提升安全管理水平”似乎在中国实行困难后,安全服务惨淡的困守在网络安全、主机安全这两个孤岛上,随着信息化基础设施的渐入尾声,这两个领域能为用户带来的价值日渐式微。应用的安全日益成为用户关注的重点,身份认证、信息防扩散、电子签章、电子交易等成为一个个热点领域,安全服务商需要革新观念,将服务进一步专业化和细化,才能在有所作为,打破目前安全服务市场的同质化局面。另一个基本观念是每个用户的安全需求是个性化的,没有放之四海皆准的定律,经验的积累和再利用是必要的,但必须创造性地使用。 信息安全服务我国信息安全服务的重点发展方向 编辑 通过对国家标准、政策法规的研究与知识的积累;通过对各行业特点及业务流程特点的研究及工程经验的总结分析;通过对新技术的研究与运用;通过对市场发展动态的统计分析,预计我国未来安全服务市场将会有广阔的发展前景。与此同时,通过对安全服务市场发展趋动因素的分析,安全服务体系将包括安全咨询、等级测评、风险评估、安全审计、运维管理、安全培训等几个重点方向,用户更需要的是有针对性的、个性化的、模块化的、可供用户任意选择的、周全的安全服务体系。 信息安全服务安全咨询服务 安全咨询服务的发展趋势将向行业化的方向发展,针对性更强,咨询服务内容更细。具体会体现在政府、银行、企业等几个重点领域。咨询服务的内容将以行业特点为核心,从技术、运维、管理、策略等方面提供具有针对性的安全技术与管理咨询服务。 例如:针对企业提供信息安全管理体系ISMS建设咨询、IT服务管理体系ITSM建设咨询与企业IT内审咨询;针对国家政府信息化建设提供等级保护建设相关咨询服务,包括政务系统定级、系统规划、系统建设及运维管理的咨询等。 信息安全服务等级测评服务 针对国家政务信息系统的等级测评服务将会向自动化的方向快速发展。利用新技术开发自动化的等级测评工具,以降低测评难度、加快测评速度、提高测评准确性。利用自动化的专业等级测评系统对政务信息系统进行等级测评是未来技术的发展方向也是等级测评服务的发展方向。 信息安全服务风险评估服务 风险评估服务可帮助用户了解自身网络信息系统的安全状况:通过资产重要性分析明确需要重点保护的资产信息;通过系统弱点分析、威胁分析、安全措施的有效性分析确定各项资产所面临的真实安全威胁问题。 由于风险评估的流程复杂、技术难度大、历时久、周期长等问题,严重困扰着行业用户风险评估工作的实施。因此,开展针对性强、自动化、模块化的风险评估工具是未来风险评估服务发展的主要方向。它可以降低风险评估的难度,提升风险评估的效率,保障风险评估的准确性,更便于用户实施网络信息系统的自评估工作,降低风险管理成本。[1] 信息安全服务安全审计服务 安全审计服务将严格以安全政策或标准为基础,用于测定现行保护措施整体状况,同时检验是否妥善执行现有的保护措施。安全审计的目的在于了解现有环境是否已根据既定的安全策略得到妥善的保护。安全审计服务可能使用安全审计工具和不同的审核手段,以找出安全问题漏洞,因此安全审计需要多种技术作为支持。安全审计是需要反复进行的检查程序,以确保适当的安全措施已切实执行。因此,安全审计的进行次数会比安全风险评估的周期性更强,是风险评估服务的有效补充。 信息系统安全审计服务可协助用户确保系统安全策略运行在有效控制措施之下。从技术、管理和人员等多个方面,帮助客户加强内部控制,建立合规性机制,应对合规性审查,预计安全审计服务是未来信息安全服务行业发展的重点方向。 信息安全服务运维管理服务 应急响应是运维管理中的典型服务之一,可有效降低用户因突发安全事件造成的损失,可有效帮助用户及时准确定位安全事件并对安全事件进行处置,降低用户损失。应急响应主要针对突发的网络故障、病毒爆发、网络入侵、主机故障、软件故障等事件。目前,运维管理服务已逐渐将应急响应和系统维护、安全加固、安全检查等工作融为一体。 运维管理服务将保持快速增长的发展态势,2005年市场整体规模已达到23.32亿元。运维管理服务已成为推动市场增长的强劲动力。2005-2009年,中国运维管理服务市场的年均复合增长率将达到20.3%。2009年的整体市场规模将接近80亿元。针对广阔的市场前景,驻地安全运维服务、周期性巡检服务、渗透评估服务、安全加固服务将成为安全运维管理服务的重点方向。 信息安全服务安全培训服务 近年来,信息安全服务项目需求日益增加,市场前景广阔。除专业的信息安全服务机构外,信息安全产品厂商、信息安全产品代理商、系统集成商等都将面临诸多信息安全服务项目机会。然而,根据调查结果显示专业的信息安全服务人才极其缺乏,远远无法满足实际需求。 (编辑:南平站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
