构造积极防御的安全保障框架

构造积极防御的安全保障框架构造积极防御的安全保障框架一、对当前信息安全系统一、对当前信息安全系统的反思的反思 当前大部分信息安全系统主要是由防火当前大部分信息安全系统主要是由防火墙、入侵监测和病毒防范等组成墙、入侵监测和病毒防范等组成常规的安全手段只能是在网络层（常规的安全手段只能是在网络层（IP）设防，在外围对非法用户和越权访问进设防，在外围对非法用户和越权访问进行封堵，以达到防止外部攻击的目的行封堵，以达到防止外部攻击的目的对访问者源端不加控制对访问者源端不加控制操作系统的不安全导致应用系统的各种操作系统的不安全导致应用系统的各种漏洞层出不穷，无法从根本上解决漏洞层出不穷，无法从根本上解决封堵的办法是捕捉黑客攻击和病封堵的办法是捕捉黑客攻击和病毒入侵的行为特征，其特征是已毒入侵的行为特征，其特征是已发生过的滞后信息发生过的滞后信息 恶意用户的攻击手段变化多端恶意用户的攻击手段变化多端,防护者只防护者只能能:防火墙越砌越高防火墙越砌越高入侵检测越做越复杂入侵检测越做越复杂恶意代码库越做越大恶意代码库越做越大导导 致：致：误报率增多，误报率增多，安全投入不断增加安全投入不断增加维护与管理更加复杂和难以实施维护与管理更加复杂和难以实施信息系统的使用效率大大降低信息系统的使用效率大大降低对新的攻击入侵毫无防御能力（如冲对新的攻击入侵毫无防御能力（如冲击波）击波）反思：反思：老三样、堵漏洞、作高墙、老三样、堵漏洞、作高墙、防外攻、防不胜防防外攻、防不胜防 产生安全事故的技术原因：产生安全事故的技术原因：PC机软、硬件结构简化，导致资源可任意机软、硬件结构简化，导致资源可任意使用，尤其是执行代码可修改，恶意程序可使用，尤其是执行代码可修改，恶意程序可以被植入以被植入病毒程序利用病毒程序利用PC操作系统对执行代码不检操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播程序，实现病毒传播黑客利用被攻击系统的漏洞窃取超级用户权黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏限，肆意进行破坏更为严重的是对合法的用户没有进行严格的更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不安全访问控制，可以进行越权访问，造成不安全事故事故如果从终端操作平台实施高等级防如果从终端操作平台实施高等级防范，这些不安全因素将从终端源头范，这些不安全因素将从终端源头被控制。这种情况在被控制。这种情况在工作流程相对工作流程相对固定的重要信息系统固定的重要信息系统显得更为重要显得更为重要而可行而可行。在电子政务的内外网中在电子政务的内外网中政务内网与政务外网物理隔离，政务外政务内网与政务外网物理隔离，政务外网与网与Internet逻辑隔离逻辑隔离要处理的工作流程都是预先设计好的要处理的工作流程都是预先设计好的操作使用的角色是确定的操作使用的角色是确定的应用范围和边界都是明确的应用范围和边界都是明确的这类工作流程相对固定的生产系统与这类工作流程相对固定的生产系统与Internet网是有隔离措施的，外部网络的网是有隔离措施的，外部网络的用户很难侵入到内部网络来用户很难侵入到内部网络来，其最大的，其最大的威胁是来自内部人员的窃密和破坏。威胁是来自内部人员的窃密和破坏。据统计，据统计，80%的信息安全事故为内部人的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势。员和内外勾结所为，而且呈上升的趋势。因此我们应该以因此我们应该以“防内为主、内外兼防防内为主、内外兼防”的模式，从提高使用节点自身的安全着的模式，从提高使用节点自身的安全着手，构筑积极、综合的安全防护系统。手，构筑积极、综合的安全防护系统。应该：应该：强机制、高可信、控使用、防内强机制、高可信、控使用、防内外，积极防御外，积极防御二、可信赖计算环境二、可信赖计算环境为了解决为了解决PC机结构上的不安全，从根本机结构上的不安全，从根本上提高其安全性，在世界范围内推行可上提高其安全性，在世界范围内推行可信计算技术信计算技术1999年由年由Compaq、HP、IBM、Intel和和Microsoft牵头组织牵头组织TCPA(Trusted Computing Platform Alliance)，目前已，目前已发展成员发展成员190家，遍布全球各大洲主力家，遍布全球各大洲主力厂商厂商TCPA专注于从计算平台体系结构上增专注于从计算平台体系结构上增强其安全性，强其安全性，2001年年1月发布了标准规月发布了标准规范（范（v1.1），），2003年年3月改组为月改组为TCG(Trusted Computing Group)其目的是在计算和通信系统中广泛使用其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。台，以提高整体的安全性。可信计算终端基于可信赖平台模块可信计算终端基于可信赖平台模块（TPM）,以密码技术为支持、安全操作以密码技术为支持、安全操作系统为核心（如图系统为核心（如图1所示）所示）安全应用组件安全应用组件安全操作系统安全操作系统安全操作系统内核安全操作系统内核密码模块协议栈密码模块协议栈主主板板可信赖可信赖BIOSTPM(密码模块芯片密码模块芯片)图图1：可信赖计算平台：可信赖计算平台具有以下功能：具有以下功能：确保用户唯一身份、权限、工作空间的确保用户唯一身份、权限、工作空间的完整性完整性/可用性可用性确保存储、处理、传输的机密性确保存储、处理、传输的机密性/完整性完整性确保硬件环境配置、操作系统内核、服确保硬件环境配置、操作系统内核、服务及应用程序的完整性务及应用程序的完整性确保密钥操作和存储的安全确保密钥操作和存储的安全确保系统具有免疫能力，从根本上防止确保系统具有免疫能力，从根本上防止病毒和黑客病毒和黑客安全操作系统是可信计算终端安全操作系统是可信计算终端平台的核心和基础，没有安全平台的核心和基础，没有安全的操作系统，就没有安全的应的操作系统，就没有安全的应用，也不能使用，也不能使TPM发挥应有的发挥应有的作用作用三、安全技术保障框架三、安全技术保障框架对工作流程相对固定的重要信息系统对工作流程相对固定的重要信息系统主要由应用操作、共享服务和网络主要由应用操作、共享服务和网络通信三个环节组成。如果信息系统通信三个环节组成。如果信息系统中每一个使用者都通过可信终端认中每一个使用者都通过可信终端认证和授权，其操作都是符合规定的，证和授权，其操作都是符合规定的，网络上也不会被窃听和插入，那么网络上也不会被窃听和插入，那么就不会产生攻击性共享服务资源的就不会产生攻击性共享服务资源的事故，就能保证整个信息系统的安事故，就能保证整个信息系统的安全全可信终端确保用户的合法性和资源可信终端确保用户的合法性和资源的一致性，使用户只能按照规定的的一致性，使用户只能按照规定的权限和访问控制规则进行操作，能权限和访问控制规则进行操作，能做到什么样权限级别的人只能做与做到什么样权限级别的人只能做与其身份规定的访问操作，只要控制其身份规定的访问操作，只要控制规则是合理的，那么整个信息系统规则是合理的，那么整个信息系统资源访问过程是安全的。可信终端资源访问过程是安全的。可信终端奠定了系统安全的基础奠定了系统安全的基础应用安全边界设备（如应用安全边界设备（如VPN安全网关等）安全网关等）保护共享服务资源，其具有身份认证和安保护共享服务资源，其具有身份认证和安全审计功能，将共享服务器（如数据库服全审计功能，将共享服务器（如数据库服务器、务器、WEB服务器、邮件服务器等）与服务器、邮件服务器等）与非法访问者隔离，防止意外的非授权用户非法访问者隔离，防止意外的非授权用户的访问（如非法接入的非可信终端）。这的访问（如非法接入的非可信终端）。这样共享服务端主要增强其可靠性，如双机样共享服务端主要增强其可靠性，如双机备份、容错、灾难恢复等，而不必作繁重备份、容错、灾难恢复等，而不必作繁重的访问控制，从而减轻服务器的压力，以的访问控制，从而减轻服务器的压力，以防拒绝服务攻击防拒绝服务攻击采用采用IPSec 实现网络通信全程安全保实现网络通信全程安全保密。密。IPSec工作在操作系统内核，速工作在操作系统内核，速度快，几乎可以达到线速处理，可度快，几乎可以达到线速处理，可以实现源到目的端的全程通信安全以实现源到目的端的全程通信安全保护，确保传输连接的真实性和数保护，确保传输连接的真实性和数据的机密性、一致性据的机密性、一致性，防止非法的窃，防止非法的窃听和插入听和插入综上所述，可信的应用操作平台、安全的共享综上所述，可信的应用操作平台、安全的共享服务资源边界保护和全程安全保护的网络通信，服务资源边界保护和全程安全保护的网络通信，构成了工作流程相对固定的生产系统的信息安构成了工作流程相对固定的生产系统的信息安全保障框架。（如图全保障框架。（如图2所示）所示）图图2：工作流程相对固定的生产系统安全解决方案：工作流程相对固定的生产系统安全解决方案全程全程IPSec 服务器服务器安全边界设备安全边界设备可信客户端可信客户端可信客户端可信客户端 全程全程IPSec 安全域一安全域一可信客户端可信客户端可信客户端可信客户端 安全域二安全域二安全隔离设备安全隔离设备全程全程IPSec 要实现上述终端、边界和通信有效的保要实现上述终端、边界和通信有效的保障，还需要授权管理的管理中心以及可障，还需要授权管理的管理中心以及可信配置的密码管理中心的支撑信配置的密码管理中心的支撑从技术层面上可以分为以下五个环节：从技术层面上可以分为以下五个环节：1.应用环境安全应用环境安全 2.应用区域边界安全应用区域边界安全 3.网络和通信传输安全网络和通信传输安全4.安全管理中心安全管理中心 5.密码管理中心密码管理中心即：两个中心支持下的三重保障体系结构即：两个中心支持下的三重保障体系结构 对于复杂系统：对于复杂系统：构成三纵（公共区域、专用区域、构成三纵（公共区域、专用区域、涉密区域）三横（应用环境、应用涉密区域）三横（应用环境、应用区域边界、网络通信）和两个中心区域边界、网络通信）和两个中心的安全防御框架。（如图的安全防御框架。（如图3所示）所示）图图3：信息安全技术保障框架：信息安全技术保障框架应用环境安全：应用环境安全：包括单机、包括单机、C/S、B/S模式，采用身份认模式，采用身份认证、访问控制、密码加密、安全审计等证、访问控制、密码加密、安全审计等机制，构成可信应用环境机制，构成可信应用环境应用区域边界安全：应用区域边界安全：通过部署边界保护措施控制对内部局域通过部署边界保护措施控制对内部局域网的访问，实现局域网与广域网之间的网的访问，实现局域网与广域网之间的安全。采用安全网关、防火墙等隔离过安全。采用安全网关、防火墙等隔离过滤机制，保护共享资源的可信连接滤机制，保护共享资源的可信连接网络和通信传输安全：网络和通信传输安全：包括实现局域网互联过程的安全，旨在包括实现局域网互联过程的安全，旨在确保通信的机密性、一致性和可用性。确保通信的机密性、一致性和可用性。采用密码加密、完整性校验和实体鉴别采用密码加密、完整性校验和实体鉴别等机制，实现可信连接和安全通信等机制，实现可信连接和安全通信安全管理中心：安全管理中心：提供认证、授权、实施访问控制策略等提供认证、授权、实施访问控制策略等 服务服务密码管理中心：密码管理中心：提供互联互通密码配置、公钥证书和传提供互联互通密码配置、公钥证书和传统的对称密钥的管理，为信息系统提供统的对称密钥的管理，为信息系统提供密码服务密码服务三种不同性质的应用区域在各自采用相三种不同性质的应用区域在各自采用相应的安全保障措施之后，互相之间有一应的安全保障措施之后，互相之间有一定的沟通，需要采用安全隔离和信息交定的沟通，需要采用安全隔离和信息交换设备进行连接换设备进行连接目前我国信息安全建设正处在一个关键目前我国信息安全建设正处在一个关键时期，我们必须把握住正确的研究方向，时期，我们必须把握住正确的研究方向，制定相应的发展战略，走符合我国国情制定相应的发展战略，走符合我国国情的发展道路，利用国际先进技术，开发的发展道路，利用国际先进技术，开发安全高效，具有自主知识产权的信息安安全高效，具有自主知识产权的信息安全产品，从而满足我国各行各业的迫切全产品，从而满足我国各行各业的迫切需要，促进我国信息安全事业的发展。需要，促进我国信息安全事业的发展。结结 束束 语语