五、信息系统安全的开发构建过程

1、构建模型

一些以互联网作为服务渠道的信息系统不可避免地暴露在开放的网络环境中，因而必须面对开放环境带来的复杂、多边的安全威胁。要解决这样的问题，一般的做法是将信息系统分成两部分：在不可控的开放环境下运作的部分（开放式系统部分）；在可控的封闭环境下运作的部分（封闭式系统部分）。

2、封闭式部分安全的设计

    封闭式系统安全实现途径的特征主要有两点：一是由多个防火墙的组合来创建一个封闭的系统；二是使用入侵检测系统对封闭系统进行实时的威胁监视。

其中封闭系统的多重防火墙实现的主要是进行数据包的过滤。

3、开放式部分安全的设计

    开放式系统的绝对安全保护很难实现，因为安全永远是有代价和有条件的。

    系统最容易出现的是软件漏洞，这往往也是最难进行检测的。从以往的经验看，攻击者一般都不会花时间去解破密码、攻击防火墙，而是找软件漏洞（如实现访问控制的软件漏洞）。软件漏洞有很多是编程者为了方便测试而留下的后门，但最后却没有删掉。

    该结构利用两层以上的防火墙把信息系统网络分成多个子网，网络显示多层结构，过滤策略就会简单。否则，当信息系统所有服务器都处于同一个网络中时，如果出现了安全漏洞，则所有服务器都会有危险。两层防火墙将信息系统网络分成Internet、外网、内网3层结构，分别形成了用户端、Web服务器和应用服务其3个系统部分的运行环境。这不仅是从软件设计角度考虑，也是从安全角度考虑而设计的结构。外网里放置的是一些提供公开服务的不敏感的服务器，如邮件服务器、网页服务器，虽然还是要对其进行保护，但即使外网防火墙被攻破，也不会使存储了敏感数据的服务器受到损害。内网中防止应用服务器，更里面一层的网络防止的是信息系统核心服务器，称为主机（Host System），一般使用专用编码、专用网络协议，核心数据资料都存放在这里。假设攻击者先从信息系统网站进入信息系统的网页服务器，然后再进入信息系统的应用服务器，则必须要通过3层结构。攻击者要攻击应用服务器甚至访问主机的话，至少要通过两个防火墙才能实现，才能接触到敏感数据。这样的结构使每个防火墙的安全策略设计难度降低，而攻击难度提高。

网络结构简单化主要是为了防火墙的过滤策略简单化。过滤策略简单化，一方面提高了风险防范程度，另一方面也使安全控制容易操作。通过这些方式来创造一个可控的封闭环境，在该环境中避免使用密码，但控制却容易操作。