淺談網(wǎng)絡安全策略

年輕時唱過一首毛主席語錄歌， 歌曰：政策和策略是黨的生命， 各級領導同志務必充分注意， 萬萬不可粗心大意。 物類相通， 搞了幾年網(wǎng)絡安全， 對于平安戰(zhàn)略的體驗， 竟也有相似的感覺。 為了抵御網(wǎng)上攻擊， 維護網(wǎng)絡平安， 現(xiàn)在幾乎所有的網(wǎng)絡信息系統(tǒng)都裝備了各式各樣的網(wǎng)絡平安設施， 諸如：加密設備、防火墻、入侵檢測系統(tǒng)、漏洞掃描、防治病毒軟件、 VPN 平安認證系統(tǒng)、平安審計系統(tǒng) … 等等。 有人形象地把它稱為網(wǎng)絡平安的十八般兵器， 但是搞好網(wǎng)絡平安光擁有這些兵器是不夠的必需重視平安戰(zhàn)略。 平安戰(zhàn)略是網(wǎng)絡平安的生命， 靈魂。 沒有正確平安戰(zhàn)略的平安系統(tǒng)就像沒有靈魂的軀殼， 不能夠完成保證平安的使命的

作為例子， 想先談談關于入侵檢測系統(tǒng)的平安戰(zhàn)略。

入侵檢測系統(tǒng)根據(jù)入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。 前者先要建立一個系統(tǒng)訪問正常行為的模型， 凡是訪問者不符合這個模型的行為將被斷定為入侵 ; 后者則相反， 先要將所有可能發(fā)生的有利的不可接受的行為歸納建立一個模型， 凡是訪問者符合這個模型的行為將被斷定為入侵。 看， 這兩種模式的平安戰(zhàn)略是完全不同的而且， 各有優(yōu)點和短處：異常檢測的漏報率很低， 但是不符合正常行為模式的行為并不見得就是惡意攻擊， 因此這種戰(zhàn)略誤報率較高 ; 誤用檢測由于直接匹配比對異常的不可接受的行為模式， 因此誤報率較低。 但惡意行為千變?nèi)f化， 可能沒有被收集在行為模式庫中， 因此漏報率就很高。 這就要求用戶必需根據(jù)本系統(tǒng)的特點和平安要求來制定策略， 選擇行為檢測模式。 現(xiàn)在用戶都采取兩種模式相結合的戰(zhàn)略。

入侵檢測系統(tǒng)還有其他平安戰(zhàn)略， 如控制戰(zhàn)略和響應策略。 對于控制戰(zhàn)略， 入侵檢測系統(tǒng)分為集中式控制和分布式控制兩種模式 ( 還有第三種是混合式 ) 前者模式中， 只有一個中央入侵檢測服務器， 分布于各個主機上的審計順序?qū)⑺鸭�到�?shù)據(jù)蹤跡發(fā)送到中央服務器集中分析處置。 這種方式可以節(jié)約資源， 降低本錢， 但是可伸縮性和可配置性上有弱點， 網(wǎng)絡一大， 就可能形成瓶頸， 而且具有單點故障的風險 ; 分布式控制模式則將中央服務器的功能分配到各個節(jié)點的主機之中， 讓大家都有入侵檢測的功能， 這種模式顯然能夠防止上述弱點。 但分布式控制策略的維護利息卻高了很多， 而且增加了監(jiān)控主機的工作負擔。

從響應戰(zhàn)略上講， 入侵檢測系統(tǒng)也分為兩種模式 — 主動響應和被動相應。 前者對于搜集到不正常情況只發(fā)出告警通知， 不試圖降低所造成的破壞， 也不對攻擊者反擊 ; 后者則可能對被攻擊系統(tǒng)實施控制， 阻斷或減輕攻擊影響。 外表上看， 主動響應的功能要比主動相應強很多， 大家都選前者不就完了嗎 ? 別忙， 事情還有另一面， 網(wǎng)絡上的事情是比較復雜的如果沒有弄清楚異常情況的根源便自動采取反制措施， 如斷開網(wǎng)絡連接、殺死可疑進程等， 可能會給系統(tǒng)帶來嚴重后果。 須知正在運行的信息系統(tǒng)是連著千萬個用戶， 任何一個系統(tǒng)的操作需要慎之又慎。 出于這個原因， CFCA 中國金融認證中心 ) 入侵檢測系統(tǒng)采用了主動響應的戰(zhàn)略。

2001 年， CFCA 入侵檢測系統(tǒng)曾經(jīng)發(fā)現(xiàn)在某個 IP 地址上發(fā)出數(shù)千個密集的異常訪問。 依照行為模式， 這應該是屬于惡意的拒絕服務攻擊。 但監(jiān)控者并沒有貿(mào)然斷開網(wǎng)絡連接， 而是做了一些深入調(diào)查。 結果發(fā)現(xiàn)， 原來是某家銀行剛上認證業(yè)務， 正在用 CFCA 生產(chǎn)系統(tǒng)做壓力測試， 這才形成了拒絕服務攻擊 ” 假象。 通過與該銀行電話溝通， 問題得以順利解決。

所熟悉的平安認證業(yè)務中， 平安戰(zhàn)略也具有舉足輕重的地位。 如果你多家銀行使用網(wǎng)銀業(yè)務， 就能發(fā)現(xiàn)， 不同銀行所采用的平安認證的戰(zhàn)略有所不同。 當下， 銀行一度推行的用戶名 + 密碼口令 ” 認證手段， 由于存在明顯的平安漏洞， 案件屢屢發(fā)生， 已經(jīng)基本絕跡， 而紛紛改用了數(shù)字證書認證機制。 但是同樣是使用數(shù)字證書認證， 不同銀行的平安戰(zhàn)略也有不同：

工商銀行網(wǎng)銀 — 客戶登錄網(wǎng)銀不需要數(shù)字證書， 查詢余額也不需要。 但進行轉(zhuǎn)帳交易時， 不論交易額大小， 均需要使用數(shù)字證書認證。 大眾版網(wǎng)銀使用文件證書 ( 或稱硬盤證書 ) 或動態(tài)口令卡 ; 專業(yè)版網(wǎng)銀必須使用 U 盾 ( 即 USB Kei 數(shù)字證書密碼鑰匙 ) 而且要輸入 PIN 碼作為雙重維護。 客戶如不正確地輸入 PIN 碼， 證書就不起作用， 不能轉(zhuǎn)帳。

招商銀行網(wǎng)銀 — 大眾版網(wǎng)銀可以使用文件證書或 USB Kei 證書 ; 專業(yè)版客戶要求必需下載客戶端軟件。 不管是查詢余額還是轉(zhuǎn)帳交易， 必需使用 USB Kei 但沒有 PIN 維護。

興業(yè)銀行網(wǎng)銀 — 客戶第一次登錄時必須使用 USB Kei 證書， 而且要求輸入 PIN 碼。 登錄以后的查詢交易仍需要 USB Kei 但不需要輸入 PIN 轉(zhuǎn)帳交易則兩者都需要。

有興趣的話， 可以分析對比一下這幾家銀行在平安認證上的戰(zhàn)略， 平安性和方便性上， 各有長短。 可以看出， 其設計者都是動了腦筋的使用證書認證的前提下， 以下各種措施的平安性依次遞增：

文件證書 -->USB Kei 證書 -->USB Kei 證書 +PIN -->USB Kei 證書 +PIN+ 專用客戶端認證軟件。

然而， 制定網(wǎng)銀平安戰(zhàn)略時， 不能一味追求平安性， 因為， 隨著平安性的增高， 平安措施的利息也會隨著提高， 用戶使用的方便性會有所降低。 因此， 平安戰(zhàn)略的設計者除了考慮平安因素以外， 還將考慮到系統(tǒng)效率、平安本錢、交易風險， 以及用戶使用的方便性， 而對于銀行業(yè)者來說， 這一切的動身點事實上是圍繞著一個中心目標 — 就是提高本銀行的市場競爭力和經(jīng)營效益。

說到這里， 不由得想起 CFCA 初期引進國外認證產(chǎn)品 — Entrust/Direct 軟件， 那是一個我曾經(jīng)寄托了厚望， 最終卻讓我大傷腦筋的舶來品。

應該說， Direct 產(chǎn)品從設計理念上說， 充分考慮到認證過程中方方面面的平安問題， 采用了周密嚴格的平安戰(zhàn)略， 從通信到應用形成了一套完整的 Web 平安解決方案。 * 注：證書 +PIN 碼屬于雙因子認證方式， 平安強度高 ; 專用客戶端認證軟件的平安性要高于無客戶端軟件 ( 僅瀏覽器 )

首先， 從通訊上講， Direct 以 HTTP 協(xié)議作為基礎， 對沒有平安維護的 HTTP 協(xié)議通訊進行了改造封裝， 建立起一條通過 SPKM 協(xié)議加密的 HTTP 平安通道。

客戶端與服務器的 Web 應用順序之間建立通道之前， Direct 進行了嚴格的雙向身份認證過程， 其執(zhí)行的查驗項目多達 8 種 11 個， 除了查驗服務器和客戶端的用戶證書之外， 還需查驗它各自的 CRL 分布點、三層 CA 證書、 2 個 CA 廢止列表 ( ARL OCA Polici 證書、用戶的 Polici 證書等。

與相對簡單的 SSL 協(xié)議作比較， 大多數(shù) SSL 認證方案僅查驗了客戶端和服務端的數(shù)字證書， 以及 CA 證書鏈。 對 CRL 查驗僅僅在少數(shù)方案中得到實現(xiàn)， 對 ARL Polici 證書的查驗則完全缺失。

其次， Direct 提出了獨特的三次簽名機制：第一次是 Direct/Serv 服務端簽名 ” 用以確保用戶收到交易表單信息是由服務器發(fā)出的傳輸過程中未被篡改 ; 第二次是 Direct/Cli 客戶端簽名 ” 用以確保用戶端接收到交易頁面在用戶 IE 和傳輸過程中不被篡改 ; 第三次是用戶確認交易后， 提交 客戶端提交簽名 ” 用以保證用戶在閱讀了交易信息之后， 進行了交易的確認。

Direct 三次簽名的平安戰(zhàn)略， 即便是今天的平安應用中， 其設計也是獨樹一幟， 平安理念仍然堅持領先。 受到國外用戶的廣泛歡迎。

雖然 Direct 曾在全球占有 39% 市場份額， 然而它中國卻 “ 不服水土 ” 由于其復雜的平安戰(zhàn)略， 導致系統(tǒng)開銷過大， 又由于它早期基于 Unix 環(huán)境展開的設計， 不支持線程， 不支持對稱多處理 ( Symmetr Multi-Process SMP 技術， 注： SMP 指在一個計算機上匯集了一組處理器 — 多 CPU, 各 CPU 之間共享內(nèi)存子系統(tǒng)以及總線結構。 從而 Direct/Serv 多并發(fā)情況下， 仍只能利用單 CPU 資源， 無法利用多 CPU 進行并行處置。 這使得 Direct 系統(tǒng)認證效率很低， 用戶等待時間過長。 Entrust 公司后來工作重點轉(zhuǎn)移， 宣布不再支持 Direct 產(chǎn)品， 因而也沒有在 SMP 上做任何改進。

相比于競爭者所使用的快捷的 SSL 認證過程， Direct 飽受到客戶商業(yè)銀行的詬病責難， 市場和技術支持人員應接不暇苦不堪言， 這甚至影響到 CFCA 市場拓展， 一些商業(yè)銀行因此舍 CFCA 而去。 加之 Direct 要求特殊端口訪問、國外技術支持跟不上、外地化開發(fā)困難等不利因素， Entrust/Direct 認證產(chǎn)品終于走向了末路。

成也蕭何， 敗也蕭何 ” 當初讓 Direct 風光一時的獨特的平安戰(zhàn)略， 而后斷送它前途的也正是其平安戰(zhàn)略啊 ! 某院士在評論此事時曾說過：平安不必求全， 夠用就行。 可謂言簡意賅， 一語中的

以上列舉了幾個針對具體系統(tǒng)的平安戰(zhàn)略的例子， 從這些例子中， 能夠看到平安戰(zhàn)略在平安系統(tǒng)建設和應用中的主導作用。 當然， 都還是屬于一些局部微觀方面的平安戰(zhàn)略。 而作為整體的平安戰(zhàn)略， 則包括的范圍更廣。 如 CFCA 證書認證的戰(zhàn)略方面， 就有一整套的認證戰(zhàn)略 CP 并在此基礎上， 撰寫出 CPS 認證操作聲明 ) 向外界公布， 提供給證書用戶和依賴方。

如果說得更廣些， 全局和總體的網(wǎng)絡平安戰(zhàn)略應該包括以下三部分：

1 嚴肅的法律保證 —

平安的基石是法律、法規(guī)與手段。 面對日趨嚴重的網(wǎng)絡犯罪， 必需建立與網(wǎng)絡平安相關的法律、法規(guī)。 計算機網(wǎng)絡是新生事物， 過去， 由于缺乏相應的法律法規(guī)， 無法可依， 導致網(wǎng)上計算機犯罪處于無序狀態(tài)。 近年來， 國已經(jīng)公布多種與網(wǎng)絡平安相關的法律、法規(guī)， 如《全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)平安的決定》中華人民共和國計算機信息系統(tǒng)平安維護條例》中華人民共和國電子簽名法》等， 將對網(wǎng)上計算機犯罪起到極大的遏制震懾作用。

2 先進的平安技術工具 —

先進的平安技術是網(wǎng)絡平安的物質(zhì)保證。 用戶對于自身面臨的威脅進行風險評估， 決定其所需要的平安服務種類， 選擇相應的平安機制， 集成先進的平安技術， 形成全方位的平安系統(tǒng)。

3 嚴格的平安管理措施 —

搞好網(wǎng)絡平安不能 “ 見物不見人 ” 再先進的平安系統(tǒng)也是由人來控制的因此， 嚴格的平安管理是網(wǎng)絡平安的決定性因素， 信息系統(tǒng)的運營者必需建立相應的網(wǎng)絡平安管理方法， 加強內(nèi)部管理， 建立平安審核和跟蹤體系， 加強平安培訓， 提高整體網(wǎng)絡平安意識。