信息安全体系结构与模型
安全体系结构定义了安全服务、安全机制、安全管理以及有关安全方面的其他问题。在这里我们主要介绍:ISO/OSI安全体系结构以及动态的自适应网络安全模型。接着介绍在Hurwitz Group提出的五层网络安全体系的基础上,我们提出的5层网络安全体系,以及在该体系之上的整体安全解决方案。
1.1 ISO/OSI安全体系结构
1.1.1 安全服务
在对威胁进行分析的基础上,规定了5种标准的安全服务:
(1)对象认证安全服务:用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒身份;而信源认证是用于验证所收到的数据来源与所声称的来源是否一致,它不提供防止数据中途被修改的功能。
(2)访问控制安全服务:提供对越权使用资源的防御措施。访问控制可分为自主访问控制、强制型访问控制、基于角色的访问控制,。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等。
(3)数据保密性安全服务:它是针对信息泄漏而采取的防御措施,可分为信息保密、选择段保密和业务流保密。它的基础是数据加密机制的选择。
(4)数据完整性安全服务:防止非法篡改信息,如修改、复制、插入和删除等。它有5种形式:可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。
(5)防抵赖性安全服务:是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。
1.1.2 安全机制
一个安全策略和安全服务可以单个使用,也可以组合起来使用,在上述提到的安全服务中可以借助以下安全机制:
(1)加密机制:借助各种加密算法对存放的数据和流通中的信息进行加密。DES算法已通过硬件实现,效率非常高。
(2)数字签名:采用公钥体制,使用私钥进行数字签名,使用公钥对签名信息进行证实。
(3)访问控制机制:根据访问者的身份和有关信息,决定实体的访问权限。
(4)数据完整性机制:判断信息在传输过程中是否被篡改过,与加密机制有关。
(5)认证交换机制:用来实现同级之间的认证。
(6)防业务流量分析机制:通过填充冗余的业务流量来防止攻击者对流量进行分析,填充过的流量需通过加密进行保护。
(7)路由控制机制:防止不利的信息通过路由。目前典型的应用为网络层防火墙。
(8)公证机制:由公证人(第三方)参与数字签名,它基于通信双方对第三者都绝对相信。目前,因特网上有许多向用户提供此机制的服务。
1.1.3 安全管理
为了更有效地运用安全服务,需要有其他措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息。
OSI概念化的安全体系结构是一个多层次的结构,它本身是面向对象的,给用户提供了各种安全应用,安全应用由安全服务来实现,而安全服务又是由各种安全机制来实现的。
OSI提出了每一类安全服务所需要的各种安全机制,而安全机制如何提供安全服务的细节可以在安全框架内找到。表3.1表明了安全机制和安全服务的关系。
安全机制安全服务 加密 数字签名 访问控制 数据完整性 认证交换 防业务流量分析 路由控制 公证
对象认证 √ √ √
访问控制 √ √
数据保密性 √ √ √
数据完整性 √ √ √
防抵赖性 √ √ √1.2 动态的自适应网络安全模型
单纯的防护技术容易导致系统的盲目建设,这种盲目包括两方面:一方面是不了解安全威胁的严峻,不了解当前的安全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致不必要的浪费。举例来说,一个水库的大坝到底应当修多高?大坝有没有漏洞?修好的大坝现在是否处在危险的状态?实际上,我们需要相应的检测机制,比如,利用工程探伤技术检查大坝修建和维护是否保证了大坝的安全;观察当前的水位是否超出了警戒水位。这样的检测机制对保证大坝的安全至关重要。当发现问题之后就需要迅速做出响应,比如立即修补大坝的漏洞并进行加固。如果到达警戒水位,大坝就需要有人24小时监护,还可能需要泄洪。这些措施实际上就是一些紧急应对和响应措施。对安全问题的处理方法也是类似的。
由于系统的攻击日趋频繁,安全的概念已经不仅仅局限于信息的保护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。
总的来说,安全模型已经从以前的被动保护转到了现在的主动防御,强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护(Protection)、检测(Detection)、响应(Reaction)的安全模型。
20世纪90年代末,美国国际互联网安全系统公司(ISS)提出了自适应网络安全模型 ANSM(AdaPtive Network Security Model),并联合其他厂商组成ANS联盟,试图在此基础上建立网络安全的标准。该模型即可量化、可由数学证明、基于时间的、以PDR为核心的安全模型,亦称为P2DR模型,这里P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)和ResPonse(响应)的缩写。
l•Policy(安全策略)
根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。安全策略是P2DR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段。
2•Protection(防护)
通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。
3•Detection(检测)
在P2DR模型中,检测是非常重要的一个环节,检测是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。
4•Response(响应)
紧急响应在安全系统中占有最重要的地位,是解决安全潜在性问题最有效的办法。从某种意义上讲,安全问题就是要解决紧急响应和异常处理问题。
信息系统的安全是基于时间特性的,P2DR安全模型的特点就在于动态性和基于时间的特性。下面我们先定义几个时间值:
攻击时间Pt:表示从入侵开始到侵入系统的时间。攻击时间的衡量特性包括两个方面:①入侵能力。②系统脆弱性。高水平的人侵及安全薄弱的系统都能增强攻击的有效性,使攻击时间Pt缩短。
检测时间Dt:系统安全检测包括发现系统的安全隐患和潜在攻击检测,以利于系统的安全评测。改进检测算法和设计可缩短Dt,提高对抗攻击的效率。检测系统按计划完成所有检测的时间为一个检测周期。检测与防护是相互关联的,适当的防护措施可有效缩短检测时间。
响应时间Rt:包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。例如一个监控系统的响应可能包括监视、切换、跟踪、报警、反击等内容。而安全事件的后处理(如恢复、总结等)不纳入事件响应的范畴之内。
系统暴露时间Et:系统的暴露时间是指系统处于不安全状况的时间,可以定义为
Et=Dt+Rt-Pt。
我们认为,系统的检测时间与响应时间越长,或对系统的攻击时间越短,则系统的暴露时间越长,系统就越不安全。如果Et<0(即Dt+Rt<Pt,那么可以基于P2DR模型,认为该系统是安全的。所以从P2DR模型我们可以得出这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间。
PPDRR模型是在P2DR模型的基础上新增加了一点Recovery即恢复,这样一旦系统安全事故发生了,也能恢复系统功能和数据,恢复系统的正常运行等。
1.3 五层网络安全体系
依据普通人的经验来看,一般的网络会涉及以下几个方面:首先是网络硬件,即网络的实体;第二则是网络操作系统,即对于网络硬件的操作与控制;第三就是网络中的应用程序。有了这3个部分,一般认为便可构成一个网络整体。而若要实现网络的整体安全,考虑上述三方面的安全问题也就足够了。但事实上,这种分析和归纳是不完整和不全面的。在应用程序的背后,还隐藏着大量的数据作为对前者的支持,而这些数据的安全性问题也应被考虑在内。同时,还有最重要的一点,即无论是网络本身还是操作系统与应用程序,它们最终都是要由人来操作和使用的,所以还有一个重要的安全问题就是用户的安全性。
在经过系统和科学的分析之后,国际著名的网络安全研究公司 Hurwitz Group得出以下结论:在考虑网络安全问题的过程中,应该主要考虑以下5个方面的问题:网络是否安全?操作系统是否安全?用户是否安全?应用程序是否安全?数据是否安全?
目前,这个五层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持,并将这一安全体系理论应用在其产品之中。下面我们就将逐一对每一层的安全问题做出简单的阐述和分析。
1.3.1 网络层的安全性
网络层的安全性问题核心在于网络是否得到控制,即是不是任何一个IP地址来源的用户都能够进入网络?如果将整个网络比作一幢办公大楼的话,对于网络层的安全考虑就如同为大楼设置守门人一样。守门人会仔细察看每一位来访者,一旦发现危险的来访者,便会将其拒之门外。
通过网络通道对网络系统进行访问的时候,每一个用户都会拥有一个独立的IP地址,这一IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析,便能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,以及来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外,并且大多数系统能够自动记录那些曾经造成过危害的IP地址,使得它们的数据将无法第二次造成危害。
用于解决网络层安全性问题的产品主要有防火墙产品和 VPN(虚拟专用网)。防火墙的主要目的在于判断来源IP,将危险或未经授权的数据拒之于系统之外,而只让安全的IP数据通过。一般来说,公司的内部网络若要与公众Internet相连,则应该在二者之间配置防火墙产品,以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全问题,如果公司各部在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用VPN。其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。
1.3.2 系统的安全性
在系统安全性问题中,主要考虑的问题有两个:一是病毒对于网络的威胁,二是黑客对于网络的破坏和侵入。
病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够将自身在网络上进行复制。同时,电子邮件、文件传输(FTP)以及网络页面中的恶意Java程序和ActiveX控件,甚至文档文件都能够携带对网络和系统有破坏作用的病毒。这些病毒在网络上进行传播和破坏的多种途径和手段,使得网络环境中的防病毒工作变得更加复杂,网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。
对于网络黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二便是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。例如在UNIX系统的缺省安装过程中,会自动安装大多数系统指令,据统计,其中大概有约300个指令是大多数合法用户所根本不会使用的,但这些指令往往会被黑客所利用。
要弥补这些漏洞,我们就需要使用专门的系统风险评估工具,来帮助系统管理员找出哪些指令是不应该安装的,哪些指令是应该缩小其用户使用权限的。在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。
1.3.3 用户的安全性
对于用户的安全性问题,所要考虑的问题是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据?
首先要做的是应该对用户进行角色管理,并且这种角色管理应该是针对安全性问题而考虑的。也就是说,应该根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。
其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不会被他人猜测到。目前比较流行的是基于数字证书的身份认证。在大型的应用系统之中,有时会存在多重的登录体系,用户如需进入最高层的应用,往往需要多次输入多个不同的密码,如果管理不严,多重密码的存在也会造成安全问题上的漏洞。所以在某些先进的登录系统中,用户只需要输入一个密码,系统就能够自动识别用户的安全级别,从而使用户进入不同的应用层次。这种单点登录(Single-Sign On,SSO)体系要比多重登录体系能够提供更大的系统安全性。
1.3.4 应用程序的安全性
在这一层中我们需要回答的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作?
这其中涉及两个方面的问题:一是应用程序对数据的合法权限,二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般不应该允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,例如同一部门不同业务的应用程序也不应该互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是安全方面的考虑。
1.3.5 数据的安全性
数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态?
在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷盗者(如网络黑客)也读不懂其中的内容。这是一种比较被动的安全手段,但往往能够收到最好的效果。
上述的五层安全体系并非孤立分散。如果将网络系统比作一幢办公大楼的话,门卫就相当于对网络层的安全性考虑,他负责判断每一位来访者是否能够被允许进入办公大楼,发现具有危险性的来访者则将其拒之门外,而不是让所有人都能够随意出入。操作系统的安全性在这里相当于整个大楼的办公制度,办公流程的每一环节紧密相连,环环相扣,不让外人有可乘之机。如果对整个大楼的安全性有更高的要求的话,还应该在每一楼层中设置警卫,办公人员只能进入相应的楼层,而如果要进入其他楼层,则需要获得相应的权限,这实际是对用户的分组管理,类似于网络系统中对于用户安全问题的考虑。应用程序的安全性在这里相当于部门与部门间的分工,每一部门只做自己的工作,而不会干扰其他部门的工作。数据的安全性则类似于使用保险柜来存放机密文件,即使窃贼进入了办公室,也很难将保险柜打开,取得其中的文件。
上述的这些办公制度其实早已被人们所熟悉,而将其运用在网络系统中,便是我们所看到的五层网络安全体系。
1.4 天益七层体系安全模型:
基于Hurwitz Group的五层网络安全体系,加上我们实际的经验总结,我们提出了七层网络安全体系,并通过五大管理来实现。
七层网络安全体系包括:物理安全、网络传输的链路安全、网络安全、系统安全、信息安全、应用安全以及用户安全。
物理安全:主要包括防止物理通路的损坏、窃听、攻击(干扰等);各种设备的物理安全,包括环境安全(系统所在环境的安全保护)、设备安全和媒体安全三个方面。抗干扰、防窃听是物理层安全措施制订的重点!
链路安全:主要是在通信链路环节确保传送的数据不被窃听,以及防止通过链路的连接进行攻击。常用的方法是:在局域网内部采用划分VLAN(虚拟局域网)来对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段之间的攻击和窃听。如果是远程网络则应该采用链路加密的方式实现隔离(VPN方式)
网络级的安全:主要是采用是形成完整的网络防御体系,包括采用防火墙、安全网关、VPN等措施实现网络层的访问控制;采用漏洞扫描、网络监控和入侵检测系统等与防火墙结合使用,形成主动性的防御体系。
系统安全:主要是防止病毒、木马等的入侵,以及攻击者通过系统漏洞实施的入侵。采用的方法可以部署从网关到桌面的病毒防御系统以及通过对系统的漏洞扫描,及时发现漏洞并进行修补
信息安全:主要是保证信息资源的机密性、完整性、真实性、不可抵赖性以及可用性。通常采用加密算法以及数据备份的方法保证信息的安全性。
应用安全:应用安全包括应用平台和应用程序的安全性。应用平台包括数据库服务器、WEB服务器等系统平台的安全性。应用程序则包括用户所使用的工具。
用户的安全性:用户的安全性主要是考虑用户的合法性以及其角色和权限。主要是身份认证、授权和访问控制!
1.5 天益五大管理解决七大安全问题:
五大管理包括:完善而有效的安全制度管理、用户(身份+角色+权限)的管理、存取的管理、资源管理、以及防御管理。
天益用户管理解决方案主要解决用户的身份、角色、权限的管理以及身份认证、授权服务;包含了单点登录(SSO)、PKI技术、PMI技术、OCSP技术和集中账户管理技术,并通过与第三方集成的增强身份验证技术,实现了对电子政务应用中所有类型的访问者(领导、工作人员、远程人员等)的集中管理。
天益存取管理解决方案包含了VLAN、访问控制、Web访问控制、防火墙、VPN和主机访问控制,实现了对企业所有类型的IT资源(用户、文件、目录、程序、数据库、备份等等)的集中访问存取控制和管理。大为存取管理解决方案突破了过去网络边界访问控制的局限性,将存取控制延伸到所有被访问对象上。
天益资源管理解决方案包含了对信息资源存储以及传输的机密性、完整性、真实性、不可抵赖性以及资源可用性的安全措施,主要采用数字签名、数字信封等加密技术以及完善的数据备份技术。
天益威胁管理解决方案包含了防病毒、内容检测、网络入侵检测和主机风险分析等技术,增强企业对各种类型的安全威胁(病毒、黑客、恶意代码、系统漏洞)的自动检测和增强保护能力,为政府实现电子政务提供了一个安全环境。
7层安全体系-----》五大安全管理--------》自主核心产品+代理产品+服务和咨询
安全问题 安全措施 安全产品
安全体系结构定义了安全服务、安全机制、安全管理以及有关安全方面的其他问题。在这里我们主要介绍:ISO/OSI安全体系结构以及动态的自适应网络安全模型。接着介绍在Hurwitz Group提出的五层网络安全体系的基础上,我们提出的5层网络安全体系,以及在该体系之上的整体安全解决方案。
1.1 ISO/OSI安全体系结构
1.1.1 安全服务
在对威胁进行分析的基础上,规定了5种标准的安全服务:
(1)对象认证安全服务:用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒身份;而信源认证是用于验证所收到的数据来源与所声称的来源是否一致,它不提供防止数据中途被修改的功能。
(2)访问控制安全服务:提供对越权使用资源的防御措施。访问控制可分为自主访问控制、强制型访问控制、基于角色的访问控制,。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等。
(3)数据保密性安全服务:它是针对信息泄漏而采取的防御措施,可分为信息保密、选择段保密和业务流保密。它的基础是数据加密机制的选择。
(4)数据完整性安全服务:防止非法篡改信息,如修改、复制、插入和删除等。它有5种形式:可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。
(5)防抵赖性安全服务:是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。
1.1.2 安全机制
一个安全策略和安全服务可以单个使用,也可以组合起来使用,在上述提到的安全服务中可以借助以下安全机制:
(1)加密机制:借助各种加密算法对存放的数据和流通中的信息进行加密。DES算法已通过硬件实现,效率非常高。
(2)数字签名:采用公钥体制,使用私钥进行数字签名,使用公钥对签名信息进行证实。
(3)访问控制机制:根据访问者的身份和有关信息,决定实体的访问权限。
(4)数据完整性机制:判断信息在传输过程中是否被篡改过,与加密机制有关。
(5)认证交换机制:用来实现同级之间的认证。
(6)防业务流量分析机制:通过填充冗余的业务流量来防止攻击者对流量进行分析,填充过的流量需通过加密进行保护。
(7)路由控制机制:防止不利的信息通过路由。目前典型的应用为网络层防火墙。
(8)公证机制:由公证人(第三方)参与数字签名,它基于通信双方对第三者都绝对相信。目前,因特网上有许多向用户提供此机制的服务。
1.1.3 安全管理
为了更有效地运用安全服务,需要有其他措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息。
OSI概念化的安全体系结构是一个多层次的结构,它本身是面向对象的,给用户提供了各种安全应用,安全应用由安全服务来实现,而安全服务又是由各种安全机制来实现的。
OSI提出了每一类安全服务所需要的各种安全机制,而安全机制如何提供安全服务的细节可以在安全框架内找到。表3.1表明了安全机制和安全服务的关系。
安全机制安全服务 加密 数字签名 访问控制 数据完整性 认证交换 防业务流量分析 路由控制 公证
对象认证 √ √ √
访问控制 √ √
数据保密性 √ √ √
数据完整性 √ √ √
防抵赖性 √ √ √1.2 动态的自适应网络安全模型
单纯的防护技术容易导致系统的盲目建设,这种盲目包括两方面:一方面是不了解安全威胁的严峻,不了解当前的安全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致不必要的浪费。举例来说,一个水库的大坝到底应当修多高?大坝有没有漏洞?修好的大坝现在是否处在危险的状态?实际上,我们需要相应的检测机制,比如,利用工程探伤技术检查大坝修建和维护是否保证了大坝的安全;观察当前的水位是否超出了警戒水位。这样的检测机制对保证大坝的安全至关重要。当发现问题之后就需要迅速做出响应,比如立即修补大坝的漏洞并进行加固。如果到达警戒水位,大坝就需要有人24小时监护,还可能需要泄洪。这些措施实际上就是一些紧急应对和响应措施。对安全问题的处理方法也是类似的。
由于系统的攻击日趋频繁,安全的概念已经不仅仅局限于信息的保护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。
总的来说,安全模型已经从以前的被动保护转到了现在的主动防御,强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护(Protection)、检测(Detection)、响应(Reaction)的安全模型。
20世纪90年代末,美国国际互联网安全系统公司(ISS)提出了自适应网络安全模型 ANSM(AdaPtive Network Security Model),并联合其他厂商组成ANS联盟,试图在此基础上建立网络安全的标准。该模型即可量化、可由数学证明、基于时间的、以PDR为核心的安全模型,亦称为P2DR模型,这里P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)和ResPonse(响应)的缩写。
l•Policy(安全策略)
根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。安全策略是P2DR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段。
2•Protection(防护)
通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。
3•Detection(检测)
在P2DR模型中,检测是非常重要的一个环节,检测是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。
4•Response(响应)
紧急响应在安全系统中占有最重要的地位,是解决安全潜在性问题最有效的办法。从某种意义上讲,安全问题就是要解决紧急响应和异常处理问题。
信息系统的安全是基于时间特性的,P2DR安全模型的特点就在于动态性和基于时间的特性。下面我们先定义几个时间值:
攻击时间Pt:表示从入侵开始到侵入系统的时间。攻击时间的衡量特性包括两个方面:①入侵能力。②系统脆弱性。高水平的人侵及安全薄弱的系统都能增强攻击的有效性,使攻击时间Pt缩短。
检测时间Dt:系统安全检测包括发现系统的安全隐患和潜在攻击检测,以利于系统的安全评测。改进检测算法和设计可缩短Dt,提高对抗攻击的效率。检测系统按计划完成所有检测的时间为一个检测周期。检测与防护是相互关联的,适当的防护措施可有效缩短检测时间。
响应时间Rt:包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。例如一个监控系统的响应可能包括监视、切换、跟踪、报警、反击等内容。而安全事件的后处理(如恢复、总结等)不纳入事件响应的范畴之内。
系统暴露时间Et:系统的暴露时间是指系统处于不安全状况的时间,可以定义为
Et=Dt+Rt-Pt。
我们认为,系统的检测时间与响应时间越长,或对系统的攻击时间越短,则系统的暴露时间越长,系统就越不安全。如果Et<0(即Dt+Rt<Pt,那么可以基于P2DR模型,认为该系统是安全的。所以从P2DR模型我们可以得出这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间。
PPDRR模型是在P2DR模型的基础上新增加了一点Recovery即恢复,这样一旦系统安全事故发生了,也能恢复系统功能和数据,恢复系统的正常运行等。
1.3 五层网络安全体系
依据普通人的经验来看,一般的网络会涉及以下几个方面:首先是网络硬件,即网络的实体;第二则是网络操作系统,即对于网络硬件的操作与控制;第三就是网络中的应用程序。有了这3个部分,一般认为便可构成一个网络整体。而若要实现网络的整体安全,考虑上述三方面的安全问题也就足够了。但事实上,这种分析和归纳是不完整和不全面的。在应用程序的背后,还隐藏着大量的数据作为对前者的支持,而这些数据的安全性问题也应被考虑在内。同时,还有最重要的一点,即无论是网络本身还是操作系统与应用程序,它们最终都是要由人来操作和使用的,所以还有一个重要的安全问题就是用户的安全性。
在经过系统和科学的分析之后,国际著名的网络安全研究公司 Hurwitz Group得出以下结论:在考虑网络安全问题的过程中,应该主要考虑以下5个方面的问题:网络是否安全?操作系统是否安全?用户是否安全?应用程序是否安全?数据是否安全?
目前,这个五层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持,并将这一安全体系理论应用在其产品之中。下面我们就将逐一对每一层的安全问题做出简单的阐述和分析。
1.3.1 网络层的安全性
网络层的安全性问题核心在于网络是否得到控制,即是不是任何一个IP地址来源的用户都能够进入网络?如果将整个网络比作一幢办公大楼的话,对于网络层的安全考虑就如同为大楼设置守门人一样。守门人会仔细察看每一位来访者,一旦发现危险的来访者,便会将其拒之门外。
通过网络通道对网络系统进行访问的时候,每一个用户都会拥有一个独立的IP地址,这一IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析,便能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,以及来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外,并且大多数系统能够自动记录那些曾经造成过危害的IP地址,使得它们的数据将无法第二次造成危害。
用于解决网络层安全性问题的产品主要有防火墙产品和 VPN(虚拟专用网)。防火墙的主要目的在于判断来源IP,将危险或未经授权的数据拒之于系统之外,而只让安全的IP数据通过。一般来说,公司的内部网络若要与公众Internet相连,则应该在二者之间配置防火墙产品,以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全问题,如果公司各部在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用VPN。其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。
1.3.2 系统的安全性
在系统安全性问题中,主要考虑的问题有两个:一是病毒对于网络的威胁,二是黑客对于网络的破坏和侵入。
病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够将自身在网络上进行复制。同时,电子邮件、文件传输(FTP)以及网络页面中的恶意Java程序和ActiveX控件,甚至文档文件都能够携带对网络和系统有破坏作用的病毒。这些病毒在网络上进行传播和破坏的多种途径和手段,使得网络环境中的防病毒工作变得更加复杂,网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。
对于网络黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二便是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。例如在UNIX系统的缺省安装过程中,会自动安装大多数系统指令,据统计,其中大概有约300个指令是大多数合法用户所根本不会使用的,但这些指令往往会被黑客所利用。
要弥补这些漏洞,我们就需要使用专门的系统风险评估工具,来帮助系统管理员找出哪些指令是不应该安装的,哪些指令是应该缩小其用户使用权限的。在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。
1.3.3 用户的安全性
对于用户的安全性问题,所要考虑的问题是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据?
首先要做的是应该对用户进行角色管理,并且这种角色管理应该是针对安全性问题而考虑的。也就是说,应该根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。
其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不会被他人猜测到。目前比较流行的是基于数字证书的身份认证。在大型的应用系统之中,有时会存在多重的登录体系,用户如需进入最高层的应用,往往需要多次输入多个不同的密码,如果管理不严,多重密码的存在也会造成安全问题上的漏洞。所以在某些先进的登录系统中,用户只需要输入一个密码,系统就能够自动识别用户的安全级别,从而使用户进入不同的应用层次。这种单点登录(Single-Sign On,SSO)体系要比多重登录体系能够提供更大的系统安全性。
1.3.4 应用程序的安全性
在这一层中我们需要回答的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作?
这其中涉及两个方面的问题:一是应用程序对数据的合法权限,二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般不应该允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,例如同一部门不同业务的应用程序也不应该互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是安全方面的考虑。
1.3.5 数据的安全性
数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态?
在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷盗者(如网络黑客)也读不懂其中的内容。这是一种比较被动的安全手段,但往往能够收到最好的效果。
上述的五层安全体系并非孤立分散。如果将网络系统比作一幢办公大楼的话,门卫就相当于对网络层的安全性考虑,他负责判断每一位来访者是否能够被允许进入办公大楼,发现具有危险性的来访者则将其拒之门外,而不是让所有人都能够随意出入。操作系统的安全性在这里相当于整个大楼的办公制度,办公流程的每一环节紧密相连,环环相扣,不让外人有可乘之机。如果对整个大楼的安全性有更高的要求的话,还应该在每一楼层中设置警卫,办公人员只能进入相应的楼层,而如果要进入其他楼层,则需要获得相应的权限,这实际是对用户的分组管理,类似于网络系统中对于用户安全问题的考虑。应用程序的安全性在这里相当于部门与部门间的分工,每一部门只做自己的工作,而不会干扰其他部门的工作。数据的安全性则类似于使用保险柜来存放机密文件,即使窃贼进入了办公室,也很难将保险柜打开,取得其中的文件。
上述的这些办公制度其实早已被人们所熟悉,而将其运用在网络系统中,便是我们所看到的五层网络安全体系。
1.4 天益七层体系安全模型:
基于Hurwitz Group的五层网络安全体系,加上我们实际的经验总结,我们提出了七层网络安全体系,并通过五大管理来实现。
七层网络安全体系包括:物理安全、网络传输的链路安全、网络安全、系统安全、信息安全、应用安全以及用户安全。
物理安全:主要包括防止物理通路的损坏、窃听、攻击(干扰等);各种设备的物理安全,包括环境安全(系统所在环境的安全保护)、设备安全和媒体安全三个方面。抗干扰、防窃听是物理层安全措施制订的重点!
链路安全:主要是在通信链路环节确保传送的数据不被窃听,以及防止通过链路的连接进行攻击。常用的方法是:在局域网内部采用划分VLAN(虚拟局域网)来对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段之间的攻击和窃听。如果是远程网络则应该采用链路加密的方式实现隔离(VPN方式)
网络级的安全:主要是采用是形成完整的网络防御体系,包括采用防火墙、安全网关、VPN等措施实现网络层的访问控制;采用漏洞扫描、网络监控和入侵检测系统等与防火墙结合使用,形成主动性的防御体系。
系统安全:主要是防止病毒、木马等的入侵,以及攻击者通过系统漏洞实施的入侵。采用的方法可以部署从网关到桌面的病毒防御系统以及通过对系统的漏洞扫描,及时发现漏洞并进行修补
信息安全:主要是保证信息资源的机密性、完整性、真实性、不可抵赖性以及可用性。通常采用加密算法以及数据备份的方法保证信息的安全性。
应用安全:应用安全包括应用平台和应用程序的安全性。应用平台包括数据库服务器、WEB服务器等系统平台的安全性。应用程序则包括用户所使用的工具。
用户的安全性:用户的安全性主要是考虑用户的合法性以及其角色和权限。主要是身份认证、授权和访问控制!
1.5 天益五大管理解决七大安全问题:
五大管理包括:完善而有效的安全制度管理、用户(身份+角色+权限)的管理、存取的管理、资源管理、以及防御管理。
天益用户管理解决方案主要解决用户的身份、角色、权限的管理以及身份认证、授权服务;包含了单点登录(SSO)、PKI技术、PMI技术、OCSP技术和集中账户管理技术,并通过与第三方集成的增强身份验证技术,实现了对电子政务应用中所有类型的访问者(领导、工作人员、远程人员等)的集中管理。
天益存取管理解决方案包含了VLAN、访问控制、Web访问控制、防火墙、VPN和主机访问控制,实现了对企业所有类型的IT资源(用户、文件、目录、程序、数据库、备份等等)的集中访问存取控制和管理。大为存取管理解决方案突破了过去网络边界访问控制的局限性,将存取控制延伸到所有被访问对象上。
天益资源管理解决方案包含了对信息资源存储以及传输的机密性、完整性、真实性、不可抵赖性以及资源可用性的安全措施,主要采用数字签名、数字信封等加密技术以及完善的数据备份技术。
天益威胁管理解决方案包含了防病毒、内容检测、网络入侵检测和主机风险分析等技术,增强企业对各种类型的安全威胁(病毒、黑客、恶意代码、系统漏洞)的自动检测和增强保护能力,为政府实现电子政务提供了一个安全环境。
7层安全体系-----》五大安全管理--------》自主核心产品+代理产品+服务和咨询
安全问题 安全措施 安全产品
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货