来源:IT世界 更新时间:2012-04-15
本文作者系专业技术人员出身,在信息安全领域探索多年,作者希望借助IT.COM.CN平台广结行内好友,我们在此留下其联系方式,对此类技术感兴趣的朋友可以通过邮件和作者讨论,作者的邮箱是:yu.huan@263.net,或者访问网站:www.longtech.com.cn讨论。
企业信息化工程通过近几年的建设,目前已经建立全国范围的专用通信和信息网络。与此同时,企业信息系统的发展也具备了广泛的应用基础,在多个业务系统内实现了业务和办公自动化。在信息系统安全方面,企业信息网同公众网是物理断开的,并采取了一定的访问控制和信息加密措施,如:防火墙、卫星信道话音、图像信道加密、机要通信端到端加密等。
为了确保企业信息系统的安全,设计出合理的、切实可行的安全保障体系方案,必须从信息系统终端安全的脆弱性和信息系统通信传输的安全性两方面入手,重点分析,确定企业系统存在的主要风险:
目前企业系统的安全主要重点还是防止内部人员的入侵和未经授权的访问。来自入侵者的外部威胁是真实存在的,但来自机构内部的损害却更隐蔽、更常见,破坏也更大。因为内部用户不但更容易进入系统,还知道最敏感或最重要的数据的存放位置。来自机构内部的威胁包括:
• 误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。
• 因不当使用Internet接入而降低生产率。不当使用Internet资源不但会浪费工人的时间,还能增加计算机网络的负担,降低了人员与网络的工作效率。
要解决上面的问题,就必须要选择好相关的安全模型和安全平台,制定好相应的安全策略。要从源头上防止非法入侵和开始和未经授权的资源访问,这样才能标本兼治,从根本上解决整个企业系统的安全。
LongTech Security Platform安全平台
从网络的整体安全性考虑,无论是有意的攻击,还是无意的误操作,都将给企业和政府机关带来不可估量的损失,因此部署一个企业范围的整体安全框架比单一的边界防护和Internet防御更加有效和全面。当然,这种安全框架必须既能保护重要信息资源,也能满足企业和政府机关的商业需要。有鉴于此,大唐龙创公司提出的信息安全平台即明确倡导,通过在网络边界和网络中的重要单元的保护数据、检查和发现攻击、控制非法用户对内部信息的访问等手段来确保企业和政府机关重要数据的安全。
通常对于威胁公司信息安全的种种因素,我们要进行各种风险评估,从而制定有针对性的防御策略。从信息安全的角度看,单元安全(Unit Security)是网络安全防御中的一项重要方法,其原理是对每个运行单元可能存在的已知安全漏洞进行逐项检查和评估。安全单元可以是工作站、服务器、单机、数据库应用等各种对象,然后根据安全风险结果从系统的源头开始进行安全控制和安全管理,防止没有授权的用户访问未经授权的系统资源,并保护合法用户的资源和网络通讯的安全,从而为提高整个网络和系统安全整体水平产生重要依据。
使得整个系统可以做到“进不来,拿不走,读不懂,打不烂”。
进不来:指未经授权的用户不能访问系统资源,使用相关资源时必须标示用户的角色并执行初始登录,对用户进行全程跟踪。
拿不走:指用户不能拿走高权限的资源,不能将安全客体带出安全使用环境。
读不懂:即使非法用户得到了客体资源在安全环境和平台外使用,它也不能正确获取真实的信息。因为关键信息都使用密码进行保护。
打不烂:系统经过多层保护可以在各种层次上防止各种非法的入侵。
安全平台采用可信计算机理论为基础,实现“三个保证,一个支持”为目的,采用自下而上的方法,针对重点保护的单机系统和部件实施相应的安全策略,从源头控制安全事件的发生。从而有效的保障整个系统和体系的总体安全。
平台模型
可信的基础安全设施是一个为整个安全体系提供安全服务的基础性平台,为应用系统和安全支撑平台提供包括数据完整性、真实性、可用性、不可抵赖性和机密性在内的安全服务。有了这一基础设施,整个系统安全策略便有了实现的保证。
在安全平台模型中将安全风险分摊到各个微机单元中,防止安全风险的集中。主要解决平台的安全和安全的网络传输等关键安全问题。和基于服务器安全解决方案有着明显的不同,具有各自的优缺点。服务器是存储数据、处理请求的核心,因此服务器的安全性由为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。因此基于服务器的安全对服务器的硬件设备和网络环境有着非常高的要求,对服务器的管理人员的素质也提出了更高的要求。同时基于单个服务器将所有的安全风险集中在服务器上,从理论上不能防止DOS攻击行为。它的示意图如下:
基于安全服务器的安全模型示意图 
基于安全平台的安全模型示意图
基于安全平台的安全模型可以很好的解决安全服务器所不能解决的安全缺点。在以内核加固(安全操作系统)做为核心安全保护的基础上,综合利用安全评估技术、安全防护技术(如加密、身份鉴别、访问控制、完整性保护、病毒防护、系统内核防护等)、安全审计(如入侵检测技术、审计技术等)和安全响应恢复技术(异常告警、恢复与备份等)共同形成一个完整的安全事故预防一检测一响应一恢复的系统,建设一个既综合现有各类安全技术手段又有一定前瞻性的,能够适应行业网络系统和应用系统不断发展的安全防御体系。
安全平台的优点
建立完整的角色和身份认证体系
角色是指具有一定技能、可以执行某些工作的人员(或资源)集合。通过给成员赋予不同的角色,对成员的多职能进行表达,提供约束成员不同权限范围变化的依据。
基于IC/USB卡身份鉴别是对操作系统中角色身份识别的延伸和增强。从安全角度,传统的用户ID和口令等身份识别装置,已不能满足更高安全要求的需要。身份鉴别子系统通过IC身份信息卡,对普通用户、系统管理员、安全员、审计员等身份进行严格区分,从而为对各类用户访问权限的控制和管理提供可靠的基础。同时,身份卡信息的存储管理和传递,建立在加密子系统的基础之上,使得身份鉴别的可信度大大增强。 同时也保障了整个企业信息系统的使用安全和事件的审计的准确性。
随着木马和病毒的兴起和流行,对现代角色的区分带来很多困难,比如,如果一些系统公共的支持库被木马和病毒感染,这样无论用户A或者用户B来操作系统,都可能发生系统的秘密泄露问题.也就是说在不同的用户之间出现了交集,这个是现在安全系统所不能出现的情况,也破坏了整个系统的完整性,可审计性.而且要解决此类问题也不是某一个单一的安全产品所能解决的,需要从系统硬件,操作系统等全方面的安全考虑才能解决.这也是将来可信计算和可信网络的安全基础.
实施用户访问控制
无论是在企业信息系统或是在其他的网络信息系统,操作系统作为计算机系统的基础软件都是用来管理计算机资源的,它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统软件基础。微软Windows 平台是一个开放的系统,自从推出以来,不断有新版本问世,其开放性特点给用户带来了极大的灵活性。正是由于这种开放性,使得用户获得对CPU 的控制权之后, 就获得了整个微机系统的控制权,可以为所欲为,无安全可言,其原因就是没有一个安全可信基(TCB)。系统不仅受到病毒的感染,而且可用不正当的手段篡改和窃取机内保密信息, 严重威胁企业信息系统安全。
在安全平台中定义各种安全属性,系统对每个受控文件作了密级规定,强制型存取控制,是根据用户的权限来确定该用户能否对指定的受控文件进行操作。系统规定,高密级用户可以访问同密级和低密级文件,反之,低密级用户,则被强制禁止访问高密级文件。
企业网络安全域的分割
在众多的网络安全问题之中,对企业影响最大的要数网络传送安全威胁了。所谓安全威胁,就是未经授权,对位于服务器、网络和桌面的数据和资源进行访问,甚至破坏或者篡改这些数据资源。从安全威胁的对象来看,安全威胁可以分为网络传送过程、网络服务过程和软件应用过程威胁三类。而网络传送过程安全威胁是指"黑客"们主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击。一些商业机密在进行传送时很可能因为黑客们的恶意攻击而变成"透明"的。产生这个问题的原因是由于网络是一个公共的数据传输平台,所有的用户和角色共用一个统一的安全域,所有的主体和客体使用同一个安全标示符,使用平台的IPSEC技术针对不同的资源,成员有不同的控制和访问权限。另外在扩展企业的数据交互过程中,信息通过网络传递过程中要防止恶意的破坏和盗取,如果保证成员的信息资源安全是扩展企业进行合作的基本要求,也是其相互建立信任的基础。IPSec协议族为Ipv4提供了位于网络层的、端到端的传送安全保证。它通过两个基本协议实现,其中由验证报头协议(AH) 提供了源地址验证和数据完整性检验,但不保证数据隐密性;而安全净荷封装协议(ESP)则提供了数据加密、主机验证和数据完整性检验,可以用来保证数据的隐秘性。除此之外,协议族中的密钥交换协议(IKE)实现了端到端的自动密钥交换机制。
针对整个网络现状,Windows IPSec客户端系统和VPN安全网关的配合实施,可以解决客户端到客户端,客户端到服务器,服务器到服务器,移动用户到客户端和服务器之间的安全域的分割。应用模式如下:
1. 仅在安全网关实施
安全网关SG1、SG2建立IPSEC隧道,IPSEC策略由安全网关配置和实现,位于隧道两边的局域网内用户透明地使用IPSEC隧道。
图1 隧道模式(Tunnel Mode)应用一:仅在安全网关实施
2. 安全网关及主机实施
安全网关SG1、SG2建立IPSEC隧道,并可配置实现针对隧道两边局域网的安全策略;同时,局域网内部主机可选地实施IPSEC,可配置Host-host的安全策略。
此应用模式可用于实现MLS(multi-level security,多级安全系统。
图2 隧道模式(Tunnel Mode)应用二:安全网关及主机实施
3. 远程客户(拨号用户)使用模式
远端客户通过Internet拨号到安全网关SG,建立IPSEC通道;位于安全网关后的局域网内用户可选地实施IPSEC。
此模式也可用于实现MLS系统。
图3 隧道模式(Tunnel Mode)应用三:远端客户(拨号用户)使用
结束语
新一代的安全平台为整个安全体系提供安全服务的基础性平台,为企业信息系统和安全支撑平台提供包括数据完整性、真实性、可用性、不可抵赖性和机密性在内的安全服务。有了这一基础设施,整个企业信息系统的安全策略便有了实现的保证。
―提供包括客户--服务器之间网络传输支持在内的客户/服务器模式的安全运行平台;
―融密码技术与安全技术于一体,大大增强系统的安全性;
―基于USB的身份鉴别、强制访问控制、三权分离、安全审计等功能,使操作系统具有B1级安全的主要特性;
―USB身份信息卡与密码系统相结合,实现严格的身份鉴别;
―在客户机和服务器之间,实现端到端的加密,确保敏感信息在传输中的安全;
―存储加密功能,实现敏感信息的存储保护;
―加密子系统同时提供数据完整性支持。
―建立安全的客户/服务器模式的运行平台,无论是通过局域网连接,还是城域网连接,或者是广域网连接,都能确保信息在存储、处理和传送中的安全;
―身份鉴别机制,严格鉴别进入服务器的任何用户(包括普通用户、系统管理员、安全员、审计员),确保其身份的真实性,防止来自外部的非法入侵;
―访问控制机制,严格按照等级和权限,对主、客体进行标识和管理,防止合法用户的越权访问;
―按照最小授权原则实现的三权分离机制,将系统管理员安全员、审计员的权限,限制在其完成自身任务的最小范围,从而最大限度地减少内部人员作案的可能;
―数据文件加密存储,可以防止通过非正常途径窃取所存储的文件数据;
―数据传输加密,可以防止传输过程中敏感信息的泄露;
―安全审计可提供与可疑的安全事件有关的日志记录及报警信息,供分析用。
当然随着网络技术的发展,整个安全平台的技术也需要不断的调整和更新,比如以前的角色都是基于单机平台,未来基于网络和黑客,木马入侵的恶劣条件下的角色区分,又比如,在网络环境下,以及分布式环境下安全域的划分和确定,以及安全域的动态调整和更新,等等,这些都也对未来的安全技术提出了理论和技术挑战。如果有对此类技术感兴趣的可以通过邮件和作者讨论,作者的邮箱是:yu.huan@263.net,或者访问网站:www.longtech.com.cn讨论。