年輕時(shí)唱過一首毛主席語錄歌，歌曰：“政策和策略是黨的生命，各級(jí)領(lǐng)導(dǎo)同志務(wù)必充分注意，萬萬不可粗心大意。”物類相通，搞了幾年網(wǎng)絡(luò)安全，對(duì)于安全策略的體驗(yàn)，竟也有相似的感覺。為了抵御網(wǎng)上攻擊，保護(hù)網(wǎng)絡(luò)安全，現(xiàn)在幾乎所有的網(wǎng)絡(luò)信息系統(tǒng)都裝備了各式各樣的網(wǎng)絡(luò)安全設(shè)施，諸如：加密設(shè)備、防火墻、入侵檢測系統(tǒng)、漏洞掃描、防治病毒軟件、VPN、安全認(rèn)證系統(tǒng)、安全審計(jì)系統(tǒng)……等等。有人形象地把它們稱為網(wǎng)絡(luò)安全的十八般兵器，但是，搞好網(wǎng)絡(luò)安全光擁有這些兵器是不夠的，必須重視安全策略。安全策略是網(wǎng)絡(luò)安全的生命，是靈魂。沒有正確安全策略的安全系統(tǒng)就像沒有靈魂的軀殼，是不能夠完成保障安全的使命的。

　　工行網(wǎng)站刪除調(diào)價(jià)公告

　　高盛高華上調(diào)8家銀行股目標(biāo)價(jià)

　　不足1成投資者選理財(cái)產(chǎn)品打新股

　　工行、建行領(lǐng)銜服務(wù)資費(fèi)提價(jià)1倍

　　中行北京分行行長調(diào)任廣發(fā)董事長

　　花旗系QDII海外債年回報(bào)8%疑局

　　銀行股能走多遠(yuǎn) 距高位有25%空間

　　作為例子，我想先談?wù)勱P(guān)于入侵檢測系統(tǒng)的安全策略。

　　入侵檢測系統(tǒng)根據(jù)入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個(gè)系統(tǒng)訪問正常行為的模型，凡是訪問者不符合這個(gè)模型的行為將被斷定為入侵；后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個(gè)模型，凡是訪問者符合這個(gè)模型的行為將被斷定為入侵。你看，這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報(bào)率很低，但是不符合正常行為模式的行為并不見得就是惡意攻擊，因此這種策略誤報(bào)率較高；誤用檢測由于直接匹配比對(duì)異常的不可接受的行為模式，因此誤報(bào)率較低。但惡意行為千變?nèi)f化，可能沒有被收集在行為模式庫中，因此漏報(bào)率就很高。這就要求用戶必須根據(jù)本系統(tǒng)的特點(diǎn)和安全要求來制定策略，選擇行為檢測模式�，F(xiàn)在用戶都采取兩種模式相結(jié)合的策略。

　　入侵檢測系統(tǒng)還有其他安全策略，如控制策略和響應(yīng)策略。對(duì)于控制策略，入侵檢測系統(tǒng)分為集中式控制和分布式控制兩種模式(還有第三種是混合式)。在前者模式中，只有一個(gè)中央入侵檢測服務(wù)器，分布于各個(gè)主機(jī)上的審計(jì)程序?qū)⑺鸭�到的�?shù)據(jù)蹤跡發(fā)送到中央服務(wù)器集中分析處理。這種方式可以節(jié)約資源，降低成本，但是在可伸縮性和可配置性上有弱點(diǎn)，網(wǎng)絡(luò)一大，就可能形成瓶頸，而且具有單點(diǎn)故障的風(fēng)險(xiǎn)；分布式控制模式則將中央服務(wù)器的功能分配到各個(gè)節(jié)點(diǎn)的主機(jī)之中，讓大家都有入侵檢測的功能，這種模式顯然能夠避免上述弱點(diǎn)。但分布式控制策略的維護(hù)成本卻高了很多，而且增加了監(jiān)控主機(jī)的工作負(fù)擔(dān)。

　　從響應(yīng)策略上講，入侵檢測系統(tǒng)也分為兩種模式——主動(dòng)響應(yīng)和被動(dòng)相應(yīng)。前者對(duì)于搜集到的不正常情況只發(fā)出告警通知，不試圖降低所造成的破壞，也不對(duì)攻擊者反擊；后者則可能對(duì)被攻擊系統(tǒng)實(shí)施控制，阻斷或減輕攻擊影響。表面上看，主動(dòng)響應(yīng)的功能要比被動(dòng)相應(yīng)強(qiáng)很多，大家都選前者不就完了嗎？別忙，事情還有另一面，網(wǎng)絡(luò)上的事情是比較復(fù)雜的，如果沒有弄清楚異常情況的根源便自動(dòng)采取反制措施，如斷開網(wǎng)絡(luò)連接、殺死可疑進(jìn)程等，可能會(huì)給系統(tǒng)帶來嚴(yán)重后果。須知正在運(yùn)行的信息系統(tǒng)是連著千萬個(gè)用戶，任何一個(gè)系統(tǒng)的操作需要慎之又慎。出于這個(gè)原因，CFCA的入侵檢測系統(tǒng)采用了被動(dòng)響應(yīng)的策略。

　　2001年，CFCA的入侵檢測系統(tǒng)曾經(jīng)發(fā)現(xiàn)在某個(gè)IP地址上發(fā)出數(shù)千個(gè)密集的異常訪問。按照行為模式，這應(yīng)該是屬于惡意的拒絕服務(wù)攻擊。但監(jiān)控者并沒有貿(mào)然斷開網(wǎng)絡(luò)連接，而是做了一些深入調(diào)查。結(jié)果發(fā)現(xiàn)，原來是某家銀行剛上認(rèn)證業(yè)務(wù)，正在用CFCA的生產(chǎn)系統(tǒng)做壓力測試，這才形成了“拒絕服務(wù)攻擊”的假象。通過與該銀行電話溝通，問題得以順利解決。

　　在我們所熟悉的安全認(rèn)證業(yè)務(wù)中，安全策略也具有舉足輕重的地位。如果你在多家銀行使用網(wǎng)銀業(yè)務(wù)，你就能發(fā)現(xiàn)，不同銀行所采用的安全認(rèn)證的策略有所不同。當(dāng)下，銀行一度推行的“用戶名+密碼口令”認(rèn)證手段，由于存在明顯的安全漏洞，案件屢屢發(fā)生，已經(jīng)基本絕跡，而紛紛改用了數(shù)字證書認(rèn)證機(jī)制。但是，同樣是使用數(shù)字證書認(rèn)證，不同銀行的安全策略也有不同：

　　·工商銀行網(wǎng)銀——客戶登錄網(wǎng)銀不需要數(shù)字證書，查詢余額也不需要。但進(jìn)行轉(zhuǎn)帳交易時(shí)，不論交易額大小，均需要使用數(shù)字證書認(rèn)證。大眾版網(wǎng)銀使用文件證書(或稱硬盤證書)或動(dòng)態(tài)口令卡；專業(yè)版網(wǎng)銀必須使用U盾(即USB Key數(shù)字證書密碼鑰匙)，而且要輸入PIN碼作為雙重保護(hù)�？蛻羧绮徽�確地輸入PIN碼，證書就不起作用，不能轉(zhuǎn)帳。

　　·招商銀行網(wǎng)銀——大眾版網(wǎng)銀可以使用文件證書或USB Key證書；專業(yè)版客戶要求必須下載客戶端軟件。不論是查詢余額還是轉(zhuǎn)帳交易，必須使用USB Key，但沒有PIN保護(hù)。

　　·興業(yè)銀行網(wǎng)銀——客戶第一次登錄時(shí)必須使用USB Key證書，而且要求輸入PIN碼。登錄以后的查詢交易仍需要USB Key，但不需要輸入PIN。轉(zhuǎn)帳交易則兩者都需要。

　　有興趣的話，你可以分析對(duì)比一下這幾家銀行在安全認(rèn)證上的策略，在安全性和方便性上，它們各有長短�？梢钥闯�，其設(shè)計(jì)者都是動(dòng)了腦筋的。在使用證書認(rèn)證的前提下，以下各種措施的安全性依次遞增：

　　文件證書-- USB Key證書 -- USB Key證書+PIN -- USB Key證書+PIN+專用客戶端認(rèn)證軟件。

　　然而，制定網(wǎng)銀安全策略時(shí)，不能一味追求安全性，因?yàn)�，隨著安全性的增高，安全措施的成本也會(huì)隨著提高，用戶使用的方便性會(huì)有所降低。因此，安全策略的設(shè)計(jì)者除了考慮安全因素以外，還將考慮到系統(tǒng)效率、安全成本、交易風(fēng)險(xiǎn)，以及用戶使用的方便性，而對(duì)于銀行業(yè)者來說，這一切的出發(fā)點(diǎn)事實(shí)上是圍繞著一個(gè)中心目標(biāo)——就是提高本銀行的市場競爭力和經(jīng)營效益。

　　說到這里，我不由得想起CFCA初期引進(jìn)國外認(rèn)證產(chǎn)品——Entrust/Direct軟件，那是一個(gè)我們?cè)��?jīng)寄托了厚望，最終卻讓我們大傷腦筋的舶來品。

　　應(yīng)該說，Direct產(chǎn)品從設(shè)計(jì)理念上說，充分考慮到了認(rèn)證過程中方方面面的安全問題，采用了周密嚴(yán)格的安全策略，從通信到應(yīng)用形成了一套完整的Web安全解決方案。*注：證書+PIN碼屬于雙因子認(rèn)證方式，安全強(qiáng)度高；專用客戶端認(rèn)證軟件的安全性要高于無客戶端軟件(僅瀏覽器)。

　　首先，從通訊上講，Direct以HTTP協(xié)議作為基礎(chǔ)，對(duì)沒有安全保護(hù)的HTTP協(xié)議通訊進(jìn)行了改造封裝，建立起一條通過SPKM協(xié)議加密的HTTP安全通道。

　　在客戶端與服務(wù)器的Web應(yīng)用程序之間建立通道之前，Direct進(jìn)行了嚴(yán)格的雙向身份認(rèn)證過程，其執(zhí)行的查驗(yàn)項(xiàng)目多達(dá)8種11個(gè)，除了查驗(yàn)服務(wù)器和客戶端的用戶證書之外，還需查驗(yàn)它們各自的CRL分布點(diǎn)、三層CA的證書、2個(gè)CA的廢止列表(ARL)、OCA的Policy證書、用戶的Policy證書等。

　　與相對(duì)簡單的SSL協(xié)議作比較，大多數(shù)SSL認(rèn)證方案僅查驗(yàn)了客戶端和服務(wù)端的數(shù)字證書，以及CA證書鏈。對(duì)CRL的查驗(yàn)僅僅在少數(shù)方案中得到實(shí)現(xiàn)，對(duì)ARL、Policy證書的查驗(yàn)則完全缺失。

　　其次， Direct提出了獨(dú)特的三次簽名機(jī)制：第一次是 Direct/Server “服務(wù)端簽名”。用以確保用戶收到交易表單信息是由服務(wù)器發(fā)出的，傳輸過程中未被篡改；第二次是Direct/Client “客戶端簽名”。用以確保用戶端接收到的交易頁面在用戶IE和傳輸過程中不被篡改；第三次是用戶確認(rèn)交易后，提交 “客戶端提交簽名”。用以保證用戶在閱讀了交易信息之后，進(jìn)行了交易的確認(rèn)。

　　Direct三次簽名的安全策略，即便是在今天的安全應(yīng)用中，其設(shè)計(jì)也是獨(dú)樹一幟，安全理念仍然保持領(lǐng)先。它受到了國外用戶的廣泛歡迎。

　　雖然Direct曾在全球占有39%的市場份額，然而它在中國卻“不服水土”。由于其復(fù)雜的安全策略，導(dǎo)致系統(tǒng)開銷過大，又由于它是早期基于Unix環(huán)境展開的設(shè)計(jì)，不支持線程，不支持對(duì)稱多處理(Symmetrical Multi-Processing，SMP)技術(shù)，(注：SMP是指在一個(gè)計(jì)算機(jī)上匯集了一組處理器——多CPU,各CPU之間共享內(nèi)存子系統(tǒng)以及總線結(jié)構(gòu)。)從而Direct/Server在多并發(fā)情況下，仍只能利用單CPU資源，無法利用多CPU進(jìn)行并行處理。這使得Direct系統(tǒng)認(rèn)證效率很低，用戶等待時(shí)間過長。Entrust公司后來工作重點(diǎn)轉(zhuǎn)移，宣布不再支持Direct產(chǎn)品，因而也沒有在SMP上做任何改進(jìn)。

　　相比于競爭者所使用的快捷的SSL認(rèn)證過程，Direct飽受到客戶商業(yè)銀行的詬病責(zé)難，市場和技術(shù)支持人員應(yīng)接不暇苦不堪言，這甚至影響到了CFCA的市場拓展，一些商業(yè)銀行因此舍CFCA而去。加之Direct要求特殊端口訪問、國外技術(shù)支持跟不上、本地化開發(fā)困難等不利因素，Entrust/Direct認(rèn)證產(chǎn)品終于走向了它的末路。

　　“成也蕭何，敗也蕭何”，當(dāng)初讓Direct風(fēng)光一時(shí)的，是它的獨(dú)特的安全策略，而后斷送它的前途的，也正是其安全策略啊！某院士在評(píng)論此事時(shí)曾說過：“安全不必求全，夠用就行。”可謂言簡意賅，一語中的。

　　以上列舉了幾個(gè)針對(duì)具體系統(tǒng)的安全策略的例子，從這些例子中，我們能夠看到安全策略在安全系統(tǒng)建設(shè)和應(yīng)用中的主導(dǎo)作用。當(dāng)然，它們都還是屬于一些局部微觀方面的安全策略。而作為整體的安全策略，則包括的范圍更廣。如CFCA在證書認(rèn)證的策略方面，就有一整套的認(rèn)證策略CP，并在此基礎(chǔ)上，撰寫出CPS(認(rèn)證操作聲明)，向外界公布，提供給證書用戶和依賴方。

　　如果說得更廣些，全局和總體的網(wǎng)絡(luò)安全策略應(yīng)該包含以下三部分：

　　1、嚴(yán)肅的法律保障——

　　安全的基石是法律、法規(guī)與手段。面對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)犯罪，必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)。計(jì)算機(jī)網(wǎng)絡(luò)是新生事物，過去，由于缺乏相應(yīng)的法律法規(guī)，無法可依，導(dǎo)致網(wǎng)上計(jì)算機(jī)犯罪處于無序狀態(tài)。近年來，我國已經(jīng)頒布多種與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，如《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國電子簽名法》等，將對(duì)網(wǎng)上計(jì)算機(jī)犯罪起到極大的遏制震懾作用。

　　2、先進(jìn)的安全技術(shù)工具——

　　先進(jìn)的安全技術(shù)是網(wǎng)絡(luò)安全的物質(zhì)保證。用戶對(duì)于自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定其所需要的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，集成先進(jìn)的安全技術(shù)，形成全方位的安全系統(tǒng)。

　　3、嚴(yán)格的安全管理措施——

　　搞好網(wǎng)絡(luò)安全不能“見物不見人”，再先進(jìn)的安全系統(tǒng)也是由人來控制的。因此，嚴(yán)格的安全管理是網(wǎng)絡(luò)安全的決定性因素，信息系統(tǒng)的運(yùn)營者必須建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，建立安全審核和跟蹤體系，加強(qiáng)安全培訓(xùn)，提高整體網(wǎng)絡(luò)安全意識(shí)。

標(biāo)簽： ssl ssl認(rèn)證 安全 防火墻 服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)安全 漏洞 通信 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)安全管理辦法

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。