深層防御戰(zhàn)略重要性

■

信息安全設(shè)計體系

在信息保障技術(shù)框架（IATF）的四個技術(shù)層面中，KMI/PKI屬于基礎(chǔ)性支撐設(shè)施，更可能由社會或某一個/多個行業(yè)統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，一般用戶業(yè)務(wù)會借助這個系統(tǒng)作為相互信任關(guān)系的認(rèn)證平臺。因此，對一般性用戶來講，在規(guī)劃和建設(shè)其網(wǎng)絡(luò)信息安全系統(tǒng)時，KMI/PKI是作為其應(yīng)用層面而非建設(shè)層面的內(nèi)容。

基于信息保障深層防御戰(zhàn)略思想和安全認(rèn)識，我們可以將一個典型的用戶網(wǎng)絡(luò)安全劃分為三個模塊來全盤考慮，這三個模塊是：主機(jī)、網(wǎng)絡(luò)傳輸設(shè)施和網(wǎng)絡(luò)邊界：

1.主機(jī)：包括用戶應(yīng)用系統(tǒng)的服務(wù)器、客戶機(jī)以及運行其上的操作系統(tǒng)、數(shù)據(jù)庫或其它應(yīng)用，比如HTTP、Mail、FTP、DNS等。

2.網(wǎng)絡(luò)傳輸設(shè)施：包括構(gòu)成用戶應(yīng)用網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備和設(shè)施。

3.網(wǎng)絡(luò)邊界：不同用戶應(yīng)用系統(tǒng)之間、不同組織之間的網(wǎng)絡(luò)連接處。比如財務(wù)部和技術(shù)部的接口、或者企業(yè)網(wǎng)和互聯(lián)網(wǎng)之間的接口。一個獨立的系統(tǒng)可能透過VPN或?qū)＞€互連跨越公網(wǎng)和互聯(lián)網(wǎng)。

信息安全發(fā)展及要求

20世紀(jì)以前，人們認(rèn)為信息安全就是通信保密，采用的保障措施就是加密和基于計算機(jī)規(guī)則的訪問控制，這個時期被稱為通信保密（COMSEC）時代，其時代標(biāo)志是1949年Shannon發(fā)表的《保密通信的信息理論》。到了20世紀(jì)90年代，人們的認(rèn)識加深了，大家逐步意識到數(shù)字化信息除了有保密性需要外，還有信息的完整性、信息和信息系統(tǒng)的可用性需求，因此明確提出了信息安全就是要保證信息的保密性、完整性和可用性，這就進(jìn)入了信息安全時代。

詹姆斯的早期短篇小說《戴西·米勒》（Daisy Miller,1878）從一位久居歐洲的美國青年溫特伯恩(Winterbourne)視角出發(fā)，講述了美國女孩戴西·米勒（Daisy Miller）在歐洲旅行時與當(dāng)?shù)厝思熬镁託W洲的美國人之間發(fā)生矛盾而遭到冷落，最終死于“羅馬熱”的故事。在這篇小說中，詹姆斯創(chuàng)造性地運用第三人稱有限視角（TheThird-person Limited Point of View），即在第三人稱敘述中用小說中某一人物的眼睛和頭腦來觀察過濾事件的技巧（申丹 2004:53），揭示了歐美大陸之間的文化沖突，展現(xiàn)了其國際主題。

信息安全的時代標(biāo)志是1977年發(fā)布的可信計算機(jī)系統(tǒng)評價準(zhǔn)則（TCSEC）。90年代后期到現(xiàn)在，認(rèn)識進(jìn)一步加深，信息安全在原來的概念上增加了信息和系統(tǒng)的可控性、信息行為的不可否認(rèn)性要求，同時，人們也開始認(rèn)識到安全的概念已經(jīng)不局限于信息的保護(hù)，人們需要的是對整個信息和信息系統(tǒng)的保護(hù)和防御，包括了對信息的保護(hù)、檢測、反應(yīng)和恢復(fù)能力。于是出現(xiàn)了信息安全保障的概念：為了保障信息安全，除了要進(jìn)行信息的安全保護(hù)，還應(yīng)該重視提高安全預(yù)警能力、系統(tǒng)的入侵檢測能力，系統(tǒng)的事件反應(yīng)能力和系統(tǒng)遭到入侵引起破壞的快速恢復(fù)能力。區(qū)別于傳統(tǒng)的加密、身份認(rèn)證、訪問控制、防火墻、安全路由等技術(shù)，信息保障強(qiáng)調(diào)信息系統(tǒng)整個生命周期的防御和恢復(fù)，同時安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預(yù)警、保護(hù)、檢測、反應(yīng)和恢復(fù)五個環(huán)節(jié)的信息保障概念，即信息保障的WPDRR模型，信息安全進(jìn)入信息保障時代。

信息保障的核心思想是深層防御戰(zhàn)略（Defense in Depth）。所謂深層防御戰(zhàn)略就是采用一個層次化的、多樣性的安全措施來保障用戶信息及信息系統(tǒng)的安全。

在深層防御戰(zhàn)略（Defense in Depth）中，人、技術(shù)和操作是三個主要核心因素，要保障信息及信息系統(tǒng)的安全，三者不可或缺；從技術(shù)上講深層防御戰(zhàn)略體現(xiàn)在包括主機(jī)、網(wǎng)絡(luò)、系統(tǒng)邊界和支撐性基礎(chǔ)設(shè)施等多個網(wǎng)絡(luò)環(huán)節(jié)之中如何實現(xiàn)預(yù)警、保護(hù)、檢測、反應(yīng)和恢復(fù)（WPDRR）這五個安全內(nèi)容。

深層防御戰(zhàn)略的含義是多方面的，它試圖全面覆蓋一個層次化的、多樣性的安全保障框架。深層防御戰(zhàn)略的核心目標(biāo)就是在攻擊者成功地破壞了某個保護(hù)機(jī)制的情況下，其它保護(hù)機(jī)制依然能夠提供附加的保護(hù)。

主機(jī)及其計算環(huán)境安全

1.主機(jī)及其計算環(huán)境安全

在主機(jī)及其計算環(huán)境中，安全保護(hù)對象包括用戶應(yīng)用環(huán)境中的服務(wù)器、客戶機(jī)以及其上安裝的操作系統(tǒng)和應(yīng)用系統(tǒng)。這些應(yīng)用能夠提供包括信息訪問、存儲、傳輸、錄入等在內(nèi)的服務(wù)。

根據(jù)信息保障技術(shù)框架，對主機(jī)及其計算環(huán)境中的安全關(guān)注是采用信息保障技術(shù)確保用戶信息在進(jìn)入、離開或駐留客戶機(jī)與服務(wù)器時具有保密性、完整性和可用性。客戶機(jī)是作為終端用戶工作站的帶外設(shè)的臺式機(jī)與筆記本計算機(jī)，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信服務(wù)器。運行于客戶機(jī)與服務(wù)器的應(yīng)用程序包括安全郵件與web瀏覽、文件傳輸、數(shù)據(jù)庫、病毒、審計以及基于主機(jī)的入侵檢測等應(yīng)用程序。

對主機(jī)及其計算環(huán)境實施保護(hù)是為了建立防止有惡意的內(nèi)部人員攻擊的首道防線以及防止外部人員穿越系統(tǒng)保護(hù)邊界并進(jìn)行攻擊的最后防線。

2.安全操作系統(tǒng)

目前主流的商用操作系統(tǒng)主要有UNIX、LINUX和NT平臺。由于商用的普遍性特點，這些系統(tǒng)都存在許多安全弱點，甚至包括結(jié)構(gòu)上的安全隱患，比如超級管理員/系統(tǒng)管理員的不受控制的權(quán)限、緩沖區(qū)溢出攻擊、病毒感染等。

3.安全使能應(yīng)用程序

應(yīng)用程序是運行于主機(jī)并可能涉及部分操作系統(tǒng)功能的軟件。嚴(yán)格來講，應(yīng)用程序的安全是個范疇很廣的問題（但也是很重要的問題），其解決方案必須有針對性，要依賴于具體的應(yīng)用程序。目前，應(yīng)用程序的安全標(biāo)準(zhǔn)剛剛立項。

對應(yīng)用程序安全的考慮可以遵循如下的方向：對通用應(yīng)用，如消息傳遞、文件保護(hù)、軟硬件交付等，制定通用技術(shù)要求；對于特定的復(fù)雜應(yīng)用，可分解為通用應(yīng)用，同時考慮互操作性問題。

基于主機(jī)的監(jiān)視技術(shù)：基于主機(jī)的監(jiān)視技術(shù)包括：檢測并根除病毒等惡意軟件；檢測系統(tǒng)配置的改變；審計、審計消除與審計報告的生成。監(jiān)視機(jī)制包括用戶運行的反病毒軟件等工具與系統(tǒng)管理員運行的工具。

4.網(wǎng)絡(luò)傳輸設(shè)施

網(wǎng)絡(luò)是為用戶數(shù)據(jù)流和用戶信息獲取提供一個傳輸機(jī)制。網(wǎng)絡(luò)和支撐它的基礎(chǔ)設(shè)施必須防止拒絕服務(wù)攻擊（DoS）。

網(wǎng)絡(luò)支持三種不同的數(shù)據(jù)流：用戶、控制和管理。

傳送用戶數(shù)據(jù)流是建設(shè)網(wǎng)絡(luò)的根本目的。網(wǎng)絡(luò)通過物理或邏輯方式負(fù)責(zé)分隔用戶數(shù)據(jù)流，比如數(shù)據(jù)專線、VPN等。網(wǎng)絡(luò)也可能為用戶提供保密性服務(wù)，比如IPsec等。

控制數(shù)據(jù)流是為建立用戶連接而必須在網(wǎng)絡(luò)組件之間傳送的控制信息。控制數(shù)據(jù)流由一個信令協(xié)議提供的，如7號信令系統(tǒng)(SS7)，包括編址、路由信息和信令。其中路由信息決定用戶信息流動的路徑，信令控制用戶的連接，而編址則是網(wǎng)絡(luò)上設(shè)備的標(biāo)識和最終尋找根據(jù)，因此必須要對網(wǎng)絡(luò)中的控制信息加以保護(hù)。

網(wǎng)絡(luò)數(shù)據(jù)流的第三種類型，管理數(shù)據(jù)流是用來配置網(wǎng)絡(luò)元素或獲取一個網(wǎng)絡(luò)元素的信息。管理協(xié)議包括簡單的網(wǎng)絡(luò)管理協(xié)議(SNMP)、公共管理信息協(xié)議、超文本傳輸協(xié)議（HTTP）、rlogin和telnet命令行接口等。保護(hù)網(wǎng)絡(luò)管理數(shù)據(jù)就是保障網(wǎng)絡(luò)元素不會被未授權(quán)用戶更改。如果網(wǎng)絡(luò)元素被非法通過管理手段破壞，那么攻擊者可以任意修改網(wǎng)絡(luò)元素的配置和工作模式，網(wǎng)絡(luò)的安全就無從談起。

5.網(wǎng)絡(luò)邊界

網(wǎng)絡(luò)邊界安全保護(hù)關(guān)注的是如何對進(jìn)出網(wǎng)絡(luò)邊界的數(shù)據(jù)流進(jìn)行有效的控制與監(jiān)視。有效的控制措施包括防火墻、邊界護(hù)衛(wèi)、虛擬專用網(wǎng)（VPN）以及對于遠(yuǎn)程用戶的識別與認(rèn)證（I&A）/訪問控制。

有效的監(jiān)視機(jī)制包括基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（IDS）、脆弱性掃描器與局域網(wǎng)中的病毒檢測器。

6.支撐性基礎(chǔ)設(shè)施

深層防御的一個基本原理便是提供防范針對網(wǎng)絡(luò)的入侵與攻擊的能力，并通過系統(tǒng)恢復(fù)來有效應(yīng)對成功的攻擊行為。支撐性的基礎(chǔ)設(shè)施是能夠提供安全服務(wù)的一套相互關(guān)聯(lián)的活動與基礎(chǔ)設(shè)施，它所提供的安全服務(wù)用于實現(xiàn)框架式的技術(shù)解決方案并對其進(jìn)行管理。目前的深層防御策略定義了兩個支持性的基礎(chǔ)設(shè)施：

密鑰管理基礎(chǔ)設(shè)施/公鑰基礎(chǔ)設(shè)施（KMI/PKI） 用于產(chǎn)生、發(fā)布和管理密鑰與證書等安全憑證；

檢測與響應(yīng)用于預(yù)警、檢測、識別可能的網(wǎng)絡(luò)攻擊、做出有效響應(yīng)以及對攻擊行為進(jìn)行調(diào)查分析。PKI技術(shù)尚不成熟，但發(fā)展迅速?？焖俳⒁粋€大規(guī)模PKI應(yīng)當(dāng)采取如下策略，即：建立一個僅提數(shù)字標(biāo)識符、篡改恢復(fù)、密鑰恢復(fù)與歸檔等基本密碼性能的簡單基礎(chǔ)設(shè)施。這樣，政府部門、機(jī)構(gòu)與公司便能夠以此為基礎(chǔ)建立具有訪問控制等其它性能的基礎(chǔ)設(shè)施。

而此層面的檢測和響應(yīng)機(jī)制是建立在基于網(wǎng)絡(luò)的檢測和響應(yīng)以及基于主機(jī)的檢測和響應(yīng)基礎(chǔ)之上的，并構(gòu)成一個層次化的報告和響應(yīng)協(xié)調(diào)體系和機(jī)制。

結(jié)語

堅持深層防御戰(zhàn)略并不意味著需要在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個可能位置實現(xiàn)信息保障機(jī)制。信息安全保障是一個動態(tài)的概念，動態(tài)的概念體現(xiàn)在無論是在對安全的認(rèn)識過程上還是在風(fēng)險環(huán)境的變化、技術(shù)管理手段的進(jìn)步方面。在某個特定環(huán)境、特定時間下，通過在主要位置實現(xiàn)適當(dāng)?shù)谋Ｗo(hù)級別，便能夠依據(jù)各機(jī)構(gòu)的特殊需要實現(xiàn)有效保護(hù)。這似乎和傳統(tǒng)的安全木桶原理有悖，但我們認(rèn)為，在信息安全保障的實際環(huán)境下，在對實際的風(fēng)險環(huán)境有正確評估下，在對殘留風(fēng)險有著正確的認(rèn)識后，這一點對我們實際的安全工程還是有重要的意義。