為了抵御網(wǎng)上攻擊���,保護網(wǎng)絡安全���,現(xiàn)在幾乎所有的網(wǎng)絡信息系統(tǒng)都裝備了各式各樣的網(wǎng)絡安全設施���,諸如:加密設備、防火墻���、入侵檢測系統(tǒng)���、漏洞掃描、防治病毒軟件���、VPN���、安全認證系統(tǒng)���、安全審計系統(tǒng)……等等。有人形象地把它們稱為網(wǎng)絡安全的十八般兵器���,但是���,搞好網(wǎng)絡安全光擁有這些兵器是不夠的,必須重視安全策略���。安全策略是網(wǎng)絡安全的生命���,是靈魂。沒有正確安全策略的安全系統(tǒng)就像沒有靈魂的軀殼���,是不能夠完成保障安全的使命的���。
作為例子,我想先談談關于入侵檢測系統(tǒng)的安全策略���。
入侵檢測系統(tǒng)根據(jù)入侵檢測的行為分為兩種模式:異常檢測和誤用檢測���。前者先要建立一個系統(tǒng)訪問正常行為的模型���,凡是訪問者不符合這個模型的行為將被斷定為入侵;后者則相反,先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個模型���,凡是訪問者符合這個模型的行為將被斷定為入侵���。你看���,這兩種模式的安全策略是完全不同的���,而且,它們各有長處和短處:異常檢測的漏報率很低���,但是不符合正常行為模式的行為并不見得就是惡意攻擊���,因此這種策略誤報率較高;誤用檢測由于直接匹配比對異常的不可接受的行為模式,因此誤報率較低���。但惡意行為千變萬化���,可能沒有被收集在行為模式庫中���,因此漏報率就很高。這就要求用戶必須根據(jù)本系統(tǒng)的特點和安全要求來制定策略���,選擇行為檢測模式?��,F(xiàn)在用戶都采取兩種模式相結合的策略。
入侵檢測系統(tǒng)還有其他安全策略���,如控制策略和響應策略���。對于控制策略,入侵檢測系統(tǒng)分為集中式控制和分布式控制兩種模式(還有第三種是混合式)���。在前者模式中���,只有一個中央入侵檢測服務器,分布于各個主機上的審計程序將搜集到的數(shù)據(jù)蹤跡發(fā)送到中央服務器集中分析處理���。這種方式可以節(jié)約資源���,降低成本���,但是在可伸縮性和可配置性上有弱點,網(wǎng)絡一大���,就可能形成瓶頸���,而且具有單點故障的風險;分布式控制模式則將中央服務器的功能分配到各個節(jié)點的主機之中,讓大家都有入侵檢測的功能���,這種模式顯然能夠避免上述弱點。但分布式控制策略的維護成本卻高了很多���,而且增加了監(jiān)控主機的工作負擔���。
從響應策略上講,入侵檢測系統(tǒng)也分為兩種模式——主動響應和被動相應���。前者對于搜集到的不正常情況只發(fā)出告警通知���,不試圖降低所造成的破壞���,也不對攻擊者反擊;后者則可能對被攻擊系統(tǒng)實施控制,阻斷或減輕攻擊影響���。表面上看���,主動響應的功能要比被動相應強很多,大家都選前者不就完了嗎?別忙���,事情還有另一面���,網(wǎng)絡上的事情是比較復雜的,如果沒有弄清楚異常情況的根源便自動采取反制措施���,如斷開網(wǎng)絡連接���、殺死可疑進程等,可能會給系統(tǒng)帶來嚴重后果���。須知正在運行的信息系統(tǒng)是連著千萬個用戶���,任何一個系統(tǒng)的操作需要慎之又慎���。出于這個原因,CFCA(中國金融認證中心)的入侵檢測系統(tǒng)采用了被動響應的策略���。
2001年���,CFCA的入侵檢測系統(tǒng)曾經(jīng)發(fā)現(xiàn)在某個IP地址上發(fā)出數(shù)千個密集的異常訪問。按照行為模式���,這應該是屬于惡意的拒絕服務攻擊���。但監(jiān)控者并沒有貿然斷開網(wǎng)絡連接,而是做了一些深入調查���。結果發(fā)現(xiàn),原來是某家銀行剛上認證業(yè)務���,正在用CFCA的生產(chǎn)系統(tǒng)做壓力測試���,這才形成了"拒絕服務攻擊"的假象。通過與該銀行電話溝通,問題得以順利解決���。
在我們所熟悉的安全認證業(yè)務中���,安全策略也具有舉足輕重的地位。如果你在多家銀行使用網(wǎng)銀業(yè)務���,你就能發(fā)現(xiàn)���,不同銀行所采用的安全認證的策略有所不同。當下���,銀行一度推行的"用戶名+密碼口令"認證手段���,由于存在明顯的安全漏洞,案件屢屢發(fā)生���,已經(jīng)基本絕跡���,而紛紛改用了數(shù)字證書認證機制。但是���,同樣是使用數(shù)字證書認證���,不同銀行的安全策略也有不同:
·工商銀行網(wǎng)銀——客戶登錄網(wǎng)銀不需要數(shù)字證書���,查詢余額也不需要。但進行轉帳交易時���,不論交易額大小���,均需要使用數(shù)字證書認證。大眾版網(wǎng)銀使用文件證書(或稱硬盤證書)或動態(tài)口令卡;專業(yè)版網(wǎng)銀必須使用U盾(即USB Key數(shù)字證書密碼鑰匙)���,而且要輸入PIN碼作為雙重保護���。客戶如不正確地輸入PIN碼���,證書就不起作用���,不能轉帳���。
·招商銀行網(wǎng)銀——大眾版網(wǎng)銀可以使用文件證書或USB Key證書;專業(yè)版客戶要求必須下載客戶端軟件���。不論是查詢余額還是轉帳交易���,必須使用USB Key,但沒有PIN保護���。
·興業(yè)銀行網(wǎng)銀——客戶第一次登錄時必須使用USB Key證書���,而且要求輸入PIN碼。登錄以后的查詢交易仍需要USB Key���,但不需要輸入PIN���。轉帳交易則兩者都需要。
有興趣的話���,你可以分析對比一下這幾家銀行在安全認證上的策略���,在安全性和方便性上,它們各有長短���?��?梢钥闯?��,其設計者都是動了腦筋的。在使用證書認證的前提下���,以下各種措施的安全性依次遞增:
文件證書-->USB Key證書 -->USB Key證書+PIN -->USB Key證書+PIN+專用客戶端認證軟件���。
然而,制定網(wǎng)銀安全策略時���,不能一味追求安全性���,因為,隨著安全性的增高���,安全措施的成本也會隨著提高���,用戶使用的方便性會有所降低。因此���,安全策略的設計者除了考慮安全因素以外���,還將考慮到系統(tǒng)效率、安全成本���、交易風險���,以及用戶使用的方便性,而對于銀行業(yè)者來說���,這一切的出發(fā)點事實上是圍繞著一個中心目標——就是提高本銀行的市場競爭力和經(jīng)營效益���。
說到這里,我不由得想起CFCA初期引進國外認證產(chǎn)品——Entrust/Direct軟件���,那是一個我們曾經(jīng)寄托了厚望���,最終卻讓我們大傷腦筋的舶來品。
應該說���,Direct產(chǎn)品從設計理念上說���,充分考慮到了認證過程中方方面面的安全問題���,采用了周密嚴格的安全策略,從通信到應用形成了一套完整的Web安全解決方案���。*注:證書+PIN碼屬于雙因子認證方式���,安全強度高;專用客戶端認證軟件的安全性要高于無客戶端軟件(僅瀏覽器)。
#p#副標題#e#
首先���,從通訊上講���,Direct以HTTP協(xié)議作為基礎,對沒有安全保護的HTTP協(xié)議通訊進行了改造封裝���,建立起一條通過SPKM協(xié)議加密的HTTP安全通道���。
在客戶端與服務器的Web應用程序之間建立通道之前,Direct進行了嚴格的雙向身份認證過程���,其執(zhí)行的查驗項目多達8種11個���,除了查驗服務器和客戶端的用戶證書之外���,還需查驗它們各自的CRL分布點、三層CA的證書���、2個CA的廢止列表(ARL)、OCA的Policy證書���、用戶的Policy證書等���。
與相對簡單的SSL協(xié)議作比較,大多數(shù)SSL認證方案僅查驗了客戶端和服務端的數(shù)字證書���,以及CA證書鏈���。對CRL的查驗僅僅在少數(shù)方案中得到實現(xiàn),對ARL���、Policy證書的查驗則完全缺失���。
其次���, Direct提出了獨特的三次簽名機制:第一次是 Direct/Server "服務端簽名"。用以確保用戶收到交易表單信息是由服務器發(fā)出的���,傳輸過程中未被篡改;第二次是Direct/Client "客戶端簽名"���。用以確保用戶端接收到的交易頁面在用戶IE和傳輸過程中不被篡改;第三次是用戶確認交易后,提交 "客戶端提交簽名"���。用以保證用戶在閱讀了交易信息之后���,進行了交易的確認。
Direct三次簽名的安全策略���,即便是在今天的安全應用中���,其設計也是獨樹一幟,安全理念仍然保持領先���。它受到了國外用戶的廣泛歡迎���。
雖然Direct曾在全球占有39%的市場份額���,然而它在中國卻"不服水土"。由于其復雜的安全策略���,導致系統(tǒng)開銷過大���,又由于它是早期基于Unix環(huán)境展開的設計,不支持線程���,不支持對稱多處理(Symmetrical Multi-Processing,SMP)技術���,(注:SMP是指在一個計算機上匯集了一組處理器——多CPU,各CPU之間共享內存子系統(tǒng)以及總線結構���。)從而Direct/Server在多并發(fā)情況下,仍只能利用單CPU資源���,無法利用多CPU進行并行處理���。這使得Direct系統(tǒng)認證效率很低,用戶等待時間過長。Entrust公司后來工作重點轉移���,宣布不再支持Direct產(chǎn)品���,因而也沒有在SMP上做任何改進。
相比于競爭者所使用的快捷的SSL認證過程���,Direct飽受到客戶商業(yè)銀行的詬病責難���,市場和技術支持人員應接不暇苦不堪言,這甚至影響到了CFCA的市場拓展���,一些商業(yè)銀行因此舍CFCA而去���。加之Direct要求特殊端口訪問、國外技術支持跟不上���、本地化開發(fā)困難等不利因素���,Entrust/Direct認證產(chǎn)品終于走向了它的末路。
"成也蕭何���,敗也蕭何"���,當初讓Direct風光一時的���,是它的獨特的安全策略,而后斷送它的前途的���,也正是其安全策略啊!某院士在評論此事時曾說過:"安全不必求全���,夠用就行。"可謂言簡意賅���,一語中的���。
以上列舉了幾個針對具體系統(tǒng)的安全策略的例子���,從這些例子中���,我們能夠看到安全策略在安全系統(tǒng)建設和應用中的主導作用。當然���,它們都還是屬于一些局部微觀方面的安全策略���。而作為整體的安全策略���,則包括的范圍更廣。如CFCA在證書認證的策略方面���,就有一整套的認證策略CP���,并在此基礎上,撰寫出CPS(認證操作聲明)���,向外界公布���,提供給證書用戶和依賴方。
如果說得更廣些���,全局和總體的網(wǎng)絡安全策略應該包含以下三部分:
1���、嚴肅的法律保障——
安全的基石是法律、法規(guī)與手段���。面對日趨嚴重的網(wǎng)絡犯罪���,必須建立與網(wǎng)絡安全相關的法律���、法規(guī)。計算機網(wǎng)絡是新生事物���,過去���,由于缺乏相應的法律法規(guī),無法可依���,導致網(wǎng)上計算機犯罪處于無序狀態(tài)���。近年來,我國已經(jīng)頒布多種與網(wǎng)絡安全相關的法律���、法規(guī),如《全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)安全的決定》���、《中華人民共和國計算機信息系統(tǒng)安全保護條例》���、《中華人民共和國電子簽名法》等���,將對網(wǎng)上計算機犯罪起到極大的遏制震懾作用。
2���、先進的安全技術工具——
先進的安全技術是網(wǎng)絡安全的物質保證���。用戶對于自身面臨的威脅進行風險評估,決
關鍵詞標簽:網(wǎng)絡安全,安全策略
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程