1.3 网络空间的信息安全防护
1.3.1 信息安全防护的原则
信息安全威胁的来源多种多样,安全威胁和安全事件的原因非常复杂。而且,随着技术的进步以及应用的普及,总会不断地有新的安全威胁产生,同时也会催生新的安全手段来防御它们。尽管没有一种完美的、一劳永逸的安全保护方法,但是从信息安全防护的发展中,可以总结出两条最基本的安全防护原则:整体性和分层性。这是经过长时间的检验并得到广泛认同的,可以视为保证计算机信息系统安全的一般性方法(原则)。
1.整体性原则
所谓整体性原则,是指需要从整体上构思和设计信息系统的整体安全框架,合理选择和布局信息安全的技术组件,使它们之间相互关联、相互补充,达到信息系统整体安全的目标。
这里不能不提及著名的“木桶”理论,它以生动形象的比喻,揭示了一个带有普遍意义的道理。如图1-13所示,一只木桶的盛水量,不是取决于最长的那块木板,而是取决于构成木桶的最短的那块木板。
图1-13 木桶原理图
其实,在实际应用中,一只木桶能够装多少水,不仅取决于每一块木板的长度,还取决于木板间的结合是否紧密,以及这个木桶是否有坚实的底板。底板决定这只木桶能不能容水,而木板间如果存在缝隙,或者缝隙很大,同样无法装满水,这就是“新木桶”理论。
计算机信息系统安全的研究应当遵循这一富含哲理的“新木桶”理论。
首先,对一个庞大而复杂的信息系统而言,其面临的安全威胁是多方面的,而攻击信息系统安全的途径更是复杂和多变的,对其实施信息安全保护达到的安全级别取决于对抗各种威胁的保护能力中最弱的一种保护措施,该保护措施和能力决定了整个信息系统的安全保护水平。
其次,木桶的底部要坚实,信息安全应该建立在牢固的安全理论、方法和技术的基础之上,才能确保安全。那么信息安全的底是什么呢?这就需要深入分析信息系统的构成,分析信息安全的本质和关键要素。通过后续章节的讨论可知,信息安全的底是密码技术、访问控制技术、安全操作系统、安全芯片技术和网络安全协议等,它们构成了信息安全的基础。设计和开发人员需要加强对信息安全的这些基础、核心和关键技术的研究,并在设计一个信息安全系统时,按照安全目标设计和选择这些底部的组件,使需要保护的信息安全系统建立在可靠、牢固的安全基础之上。
还有,木桶能否有效地容水,除了需要坚实的底板外,还取决于木板之间的缝隙,这个却是不易被大多数人重视的。对于一个安全防护体系而言,安全产品之间协同不好,有如木板之间存在缝隙,将致使木桶不能容水。不同产品之间的有效协作和联动有如木板之间的桶箍。桶箍的妙处就在于它能把一堆独立的木条联合起来,紧紧地排成一圈。同时它消除了木条之间的缝隙,使木条之间形成协作关系,形成一个共同的目标。
不同的计算机信息系统有着不同的安全需求,必须从实际出发,根据信息系统的安全目标,对信息系统进行全面分析,统筹规划信息安全保护措施,科学地设计好各安全措施的保护等级,使它们具有满足要求的安全能力,具有相同的保护能力,避免出现有些保护措施能力高、有些保护措施能力低的现象,做到成本效益最大化。同时,该信息系统还要综合平衡安全成本和风险,优化信息安全资源的配置,以确保重点。设计和开发人员要重点保护基础信息网络和关系信息安全等重要方面的信息系统,抓紧建立信息安全等级保护制度,把系统分成几个等级,不同等级采用不同的“木桶”来管理,然后对每一个“木桶”再进行安全评估和安全防护。
2.分层性原则
没有一个安全系统能够做到百分之百的安全,因此,不能依赖单一的保护机制。若是给予攻击者足够的时间和资源,任何安全措施都有可能被破解。如同银行在保险箱内保存财物的情形:保险箱有自身的钥匙和锁具;保险箱置于保险库中,而保险库的位置处于难以达到的银行建筑的中心位置或地下;仅允许通过授权的人进入保险库;通向保险库的道路有限且有监控系统进行监视;大厅有警卫巡视且有联网报警系统。不同层次和级别的安全措施共同保证了所保存的财物的安全。同样,经过良好分层的安全措施也能够保证组织信息的安全。
在如图1-14所示的信息安全分层情况下,一个入侵者如果意图获取组织在最内层的主机上存储的信息,必须首先想方设法绕过外部网络防火墙,然后使用不会被入侵检测系统识别和检测的方法来登录组织内部网络。此时,入侵者面对的是组织内部的网络访问控制和内部防火墙,只有在攻破内部防火墙或采用各种方法提升访问权限后才能进行下一步的入侵。在登录主机后,入侵者将面对基于主机的入侵检测系统,而他也必须想办法躲过检测。最后,如果主机经过良好配置,通常对存储的数据具有强制性的访问控制和权限控制,同时对用户的访问行为进行记录并生成日志文件供系统管理员进行审计,那么入侵者必须将这些控制措施一一突破才能够顺利达到预先设定的目标。即使入侵者突破了某一层,管理员和安全人员仍有可能在下一层安全措施上拦截入侵者。
图1-14 系统的分层防护
不同防护层次同时也保证了整个安全系统存在冗余,一旦某一层安全措施出现单点失效,不会对安全性产生严重的影响。同时,提高安全层次的方法不仅包括增加安全层次的数量,也包括在单一安全层次上采用多种不同的安全技术协同进行安全防范。
在使用分层安全时还要注重整体性的原则。不同的层级之间需要协调工作,这样,一层的工作不至于影响另外层次的正常功能,且每层之间的防护功能应可实现联动。为此,安全人员需要深刻地理解组织的安全目标,详细地划分每一个安全层次所提供的保护级别和起的作用以及层次之间的协调和兼容。
1.3.2 信息安全防护体系
在考虑网络空间信息安全防护体系时,既要注重分层性原则,也要注重整体性原则。
国际标准组织国际电信联盟电信标准化部门(International Telecommunication Union-Tel-ecommunication,ITU-T)在X.805标准中规定了信息网络端到端安全服务体系的架构模型。本节参考该标准,根据网络空间架构以及各层次防护目标的不同,给出了一个网络空间安全防护体系架构,包括3个平台、3个层次和10个维度,如图1-15所示。
图1-15 网络空间信息安全防护体系
在网络空间中,需要进行安全保护的对象是从底层的终端设备到应用服务乃至信息内容,因此安全需求分为终端用户平台、基础设施平台和业务应用平台。其中,基础设施平台安全包括接入部分安全、固定部分安全、接入和固定部分之间的安全以及移动安全。用户在移动时,提供可信认证、异种网络间的无缝融合是必不可少的。基础设施安全的实现,保证了应用服务的安全。
每个平台中又都分为3个层次,分别是安全防护与控制、安全检测与控制、安全评估与管理。
例如,在终端用户安全平台的安全防护与控制层次中,主要实现硬件/环境及其中的软件/数据的安全。其中包括终端等硬件设备漏洞的自动修复和安全引擎自动加载技术,实现安全防御技术的集成,如终端防火墙、防恶意代码、终端主机入侵检测等技术的有机集成,达到综合安全防御的目标,实现终端等设备的安全加固,体现“防、控”的思想。
例如,在基础设施安全平台的安全检测与控制层次中,主要实现接入安全控制。其中包括实现集成化的网络接入管理,通过对内容安全网关、安全引擎、安全管理、移动互联网安全中间件等有机集成,体现“测、控”的思想。内容安全网关提供接入管理平台与网络管理平台之间安全通信的专用保密通道以及内容过滤、行为监控;安全管理组件实现终端软件漏洞、病毒库、审计与无线定位等方面的管理,同时对遭受网络攻击而瘫痪的节点进行隔离与修复性管理。
例如,在业务应用安全平台的安全评估与管理层次中,主要通过安全等级评估系统、基础数据库以及网络性能监控管理等,实现网络安全管理的自动化,体现安全中以“评”促“管”的思想。
该体系结构中提供10种安全应用服务,分别是机密性、完整性、可用性、不可否认性、隐私保护、可信认证、接入控制、身份管理、责任追踪、灾难恢复。
模型中的各个层次或平台上的安全相互独立,可以防止一个层(或平台)的安全被攻破而波及其他层(或平台)的安全。这个模型从理论上建立了一个抽象的网络安全模型,可以作为建立一个特定网络安全体系架构的依据,指导安全策略、安全事件处理和网络安全体系架构的综合制定及安全评估。
信息安全在我国发展的时间不长,早期的安全就是杀毒防毒,到后来的安全就是安装防火墙,到现在的购买系列安全产品,直至开始重视安全体系的建设,人们对安全的理解正在一步一步地加深。
以上讨论了网络空间的信息安全保障。实际上,信息安全保障问题的解决既不能只依靠纯粹的技术,也不能靠简单的安全产品的堆砌,它依赖于复杂的系统工程——信息安全工程。信息安全工程是采用工程的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全的过程,是将经过时间考验证明是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合的过程。读者可以进一步阅读《信息安全工程(第2版)》(Secur-ity Engineering:A Guide to Building Dependable Distributed Systems,Second Edition中译本,Ross Anderson著,齐宁等译,清华大学出版社)、《信息系统生存性与安全工程》(黄遵国等,高等教育出版社)。
1.3.3 本书的研究内容
通过前几节的分析和讨论可以总结出,信息安全是特定对象的安全,也是特定过程的安全。从信息安全要保护的对象来看,包括信息基础设施、计算环境、边界和连接、信息内容以及信息的应用;从过程来看,信息要保护的是信息生产、存储、传输、处理、使用直至销毁的全过程。本书着重讨论的就是包含上述内容的安全防护的理论、技术及应用。
为此,本书围绕构建信息安全体系结构的人、技术和管理3个关键要素展开。其中,信息安全技术介绍7大方面(见图1-16):设备与环境安全、数据安全、身份与访问安全、系统软件安全、网络安全、应用软件安全、信息内容安全,涵盖了从硬件到软件、从主机到网络、从数据到内容等不同层次的安全问题及解决手段。此外,信息安全管理介绍信息安全管理体系,涵盖法律、法规和标准等管理制度、等级保护、风险评估等重要环节。本书的目标是帮助读者构建系统化的知识和应用体系,同时也帮助读者解决身边的安全问题,如网络交易安全、网络交友安全、隐私安全等。
图1-16 本书的研究内容
1)设备与环境安全。设备与环境的安全是信息赖以存在的前提,是信息安全的基础。设备遭受破坏或受到环境影响,将直接影响信息的可用性和完整性,物理设备的不安全将导致敏感信息的泄露、客体被重用等安全隐患。因此,设备与环境安全将介绍计算机设备与环境面临的安全问题,介绍环境安全防护措施,以及针对设备的电磁安全防护和针对PC的物理防护措施。实例部分,以常用的移动存储设备为例,分析其面临的安全问题和对策。
2)数据安全。在当今这个由数据驱动的世界里,组织和个人是高度依赖于数据的。确保数据的保密性、完整性、不可否认性、可认证性以及存在性,是人们的重要需求;同时为了避免数据灾难,确保数据的可用性,还需要重视数据的备份和恢复。关于数据安全,将介绍:通过加密保护信息的机密性,利用散列函数保护信息的完整性,采用数字签名保护信息的不可否认性和可认证性,对信息进行隐藏以保护存在性,容灾备份与恢复以确保数据的可用性。实例部分,以Windows系统中的常用文档为例,分析其面临的安全问题并给出对策。
3)身份与访问安全。用户对计算机信息资源的访问活动中,用户首先必须拥有身份标识,通过该标识鉴别该用户的身份;用户还应当具有执行所请求动作的必要权限,系统会验证并控制其能否执行对资源试图完成的操作;还有,用户在整个访问过程中的活动还应当被记录以确保可审查。因此,身份与访问安全将介绍身份认证和访问控制的概念,身份鉴别技术和常用的身份认证机制,访问控制模型和常用的访问控制方案。实例部分,以网络中基于口令的身份认证过程为例,分析其面临的安全问题并给出对策。
4)系统软件安全。操作系统是其他系统软件、应用软件运行的基础,操作系统的安全性对于保障其他系统软件和应用软件的安全至关重要。同时,在网络环境中,网络的安全性依赖于各主机系统的安全性,主机系统的安全性又依赖于其操作系统的安全性。而数据库管理系统作为信息系统的核心和运行支撑环境,其安全性也得到越来越广泛的重视。因此,系统软件安全将介绍操作系统常用安全机制的原理,如身份鉴别、访问控制、文件系统安全、安全审计等,读者可以了解并掌握Windows和Linux操作系统的安全配置及使用方法;这部分还将介绍数据库系统的安全问题及安全控制机制。实例部分,以Windows XP系统为例,给出了安全加固的基本方法。
5)网络安全。计算机网络系统可以看成是一个扩大了的计算机系统,在网络操作系统和各层通信协议的支持下,位于不同主机内的操作系统进程可以像在一个单机系统中一样互相通信,只不过通信时延稍大一些而已。讨论计算机网络安全时,可以参照操作系统安全的有关内容进行。对网络而言,它的安全性与计算机系统的安全问题一样都与数据的完整性、保密性以及服务的可用性有关。因此,网络安全将以APT(Advanced Persistent Threat,高级持续性威胁)攻击为例,介绍攻击的产生背景、技术特点和基本流程,着重从网络协议脆弱性的角度,剖析了攻击发生的原因,给出解决安全问题的分层防护技术,介绍防火墙、入侵检测、网络隔离、入侵防御等网络安全设备,网络架构安全,分别按照应用层、传输层和网络层介绍网络安全协议以及IPv6新一代网络安全协议机制。实例部分,给出了防范APT攻击的思路。
6)应用软件安全。应用软件安全主要包含两方面的含义,一是防止应用软件对支持其运行的计算机系统(或是本案例中的手机系统)的安全产生破坏,如恶意代码的防范;二是防止对应用软件漏洞的利用,如代码安全漏洞的防范。此外,应用软件的安全还应包括防止对应用软件本身的非法访问,如对软件版权的保护等。因此,应用软件的安全问题包括恶意代码、代码安全漏洞和软件侵权,这3类安全问题的解决方法有软件可信验证、安全软件工程和软件保护技术。实例部分,以Web应用开发为例,介绍Web安全防护的关键技术。
7)内容安全。信息内容安全是信息安全的一个重要部分,在很多书籍中很少涉及。网络中,尤其是社交媒体等新媒体中传递的内容影响着人们的思想,影响着事件的走势。此外,网络中人肉搜索、隐私侵害等也极大地影响着互联网的健康发展。为此,加强对社交媒体等传播新媒体的监管已经成为各国政府的共识。因此,信息内容安全将介绍信息内容安全问题,信息内容安全的保护对象以及当前得到应用的内容安全网关和舆情监控与预警系统这两种典型的内容安全产品及技术。实例部分,以个人隐私保护为例,分析个人隐私面临的安全问题和对策。
8)信息安全管理体系。“三分技术、七分管理”——这是强调管理的重要性,在安全领域更是如此。仅通过技术手段实现的安全能力是有限的,只有通过有效的安全管理,才能确保技术发挥其应有的安全作用,真正实现设备、应用、数据和人的整体安全。因此,信息安全管理将介绍信息安全管理的相关概念,包括计算机信息系统安全管理的概念、目标、内容,安全管理的程序和方法,介绍信息安全管理制度、信息安全等级保护、信息安全风险评估这3个关键工作。实例部分,介绍目前信息安全意识教育的多种方法。