年輕時唱過一首毛主席語錄歌，歌曰：“政策和策略是黨的生命，各級領(lǐng)導(dǎo)同志務(wù)必充分注意，萬萬不可粗心大意。”物類相通，搞了幾年網(wǎng)絡(luò)安全，對于安全策略的體驗，竟也有相似的感覺。為了抵御網(wǎng)上攻擊，保護網(wǎng)絡(luò)安全，現(xiàn)在幾乎所有的網(wǎng)絡(luò)信息系統(tǒng)都裝備了各式各樣的網(wǎng)絡(luò)安全設(shè)施，諸如：加密設(shè)備、防火墻、入侵檢測系統(tǒng)、漏洞掃描、防治病毒軟件、VPN、安全認證系統(tǒng)、安全審計系統(tǒng)……等等。有人形象地把它們稱為網(wǎng)絡(luò)安全的十八般兵器，但是，搞好網(wǎng)絡(luò)安全光擁有這些兵器是不夠的，必須重視安全策略。安全策略是網(wǎng)絡(luò)安全的生命，是靈魂。沒有正確安全策略的安全系統(tǒng)就像沒有靈魂的軀殼，是不能夠完成保障安全的使命的。

　　工行網(wǎng)站刪除調(diào)價公告

　　高盛高華上調(diào)8家銀行股目標價

　　不足1成投資者選理財產(chǎn)品打新股

　　工行、建行領(lǐng)銜服務(wù)資費提價1倍

　　中行北京分行行長調(diào)任廣發(fā)董事長

　　花旗系QDII海外債年回報8%疑局

　　銀行股能走多遠 距高位有25%空間

　　作為例子，我想先談?wù)勱P(guān)于入侵檢測系統(tǒng)的安全策略。

　　入侵檢測系統(tǒng)根據(jù)入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統(tǒng)訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵；后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。你看，這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為并不見得就是惡意攻擊，因此這種策略誤報率較高；誤用檢測由于直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變?nèi)f化，可能沒有被收集在行為模式庫中，因此漏報率就很高。這就要求用戶必須根據(jù)本系統(tǒng)的特點和安全要求來制定策略，選擇行為檢測模式。現(xiàn)在用戶都采取兩種模式相結(jié)合的策略。

　　入侵檢測系統(tǒng)還有其他安全策略，如控制策略和響應(yīng)策略。對于控制策略，入侵檢測系統(tǒng)分為集中式控制和分布式控制兩種模式(還有第三種是混合式)。在前者模式中，只有一個中央入侵檢測服務(wù)器，分布于各個主機上的審計程序?qū)⑺鸭�到的�?shù)據(jù)蹤跡發(fā)送到中央服務(wù)器集中分析處理。這種方式可以節(jié)約資源，降低成本，但是在可伸縮性和可配置性上有弱點，網(wǎng)絡(luò)一大，就可能形成瓶頸，而且具有單點故障的風(fēng)險；分布式控制模式則將中央服務(wù)器的功能分配到各個節(jié)點的主機之中，讓大家都有入侵檢測的功能，這種模式顯然能夠避免上述弱點。但分布式控制策略的維護成本卻高了很多，而且增加了監(jiān)控主機的工作負擔。

　　從響應(yīng)策略上講，入侵檢測系統(tǒng)也分為兩種模式——主動響應(yīng)和被動相應(yīng)。前者對于搜集到的不正常情況只發(fā)出告警通知，不試圖降低所造成的破壞，也不對攻擊者反擊；后者則可能對被攻擊系統(tǒng)實施控制，阻斷或減輕攻擊影響。表面上看，主動響應(yīng)的功能要比被動相應(yīng)強很多，大家都選前者不就完了嗎？別忙，事情還有另一面，網(wǎng)絡(luò)上的事情是比較復(fù)雜的，如果沒有弄清楚異常情況的根源便自動采取反制措施，如斷開網(wǎng)絡(luò)連接、殺死可疑進程等，可能會給系統(tǒng)帶來嚴重后果。須知正在運行的信息系統(tǒng)是連著千萬個用戶，任何一個系統(tǒng)的操作需要慎之又慎。出于這個原因，CFCA的入侵檢測系統(tǒng)采用了被動響應(yīng)的策略。

　　2001年，CFCA的入侵檢測系統(tǒng)曾經(jīng)發(fā)現(xiàn)在某個IP地址上發(fā)出數(shù)千個密集的異常訪問。按照行為模式，這應(yīng)該是屬于惡意的拒絕服務(wù)攻擊。但監(jiān)控者并沒有貿(mào)然斷開網(wǎng)絡(luò)連接，而是做了一些深入調(diào)查。結(jié)果發(fā)現(xiàn)，原來是某家銀行剛上認證業(yè)務(wù)，正在用CFCA的生產(chǎn)系統(tǒng)做壓力測試，這才形成了“拒絕服務(wù)攻擊”的假象。通過與該銀行電話溝通，問題得以順利解決。

　　在我們所熟悉的安全認證業(yè)務(wù)中，安全策略也具有舉足輕重的地位。如果你在多家銀行使用網(wǎng)銀業(yè)務(wù)，你就能發(fā)現(xiàn)，不同銀行所采用的安全認證的策略有所不同。當下，銀行一度推行的“用戶名+密碼口令”認證手段，由于存在明顯的安全漏洞，案件屢屢發(fā)生，已經(jīng)基本絕跡，而紛紛改用了數(shù)字證書認證機制。但是，同樣是使用數(shù)字證書認證，不同銀行的安全策略也有不同：

　　·工商銀行網(wǎng)銀——客戶登錄網(wǎng)銀不需要數(shù)字證書，查詢余額也不需要。但進行轉(zhuǎn)帳交易時，不論交易額大小，均需要使用數(shù)字證書認證。大眾版網(wǎng)銀使用文件證書(或稱硬盤證書)或動態(tài)口令卡；專業(yè)版網(wǎng)銀必須使用U盾(即USB Key數(shù)字證書密碼鑰匙)，而且要輸入PIN碼作為雙重保護�？蛻羧绮徽�確地輸入PIN碼，證書就不起作用，不能轉(zhuǎn)帳。

　　·招商銀行網(wǎng)銀——大眾版網(wǎng)銀可以使用文件證書或USB Key證書；專業(yè)版客戶要求必須下載客戶端軟件。不論是查詢余額還是轉(zhuǎn)帳交易，必須使用USB Key，但沒有PIN保護。

　　·興業(yè)銀行網(wǎng)銀——客戶第一次登錄時必須使用USB Key證書，而且要求輸入PIN碼。登錄以后的查詢交易仍需要USB Key，但不需要輸入PIN。轉(zhuǎn)帳交易則兩者都需要。

　　有興趣的話，你可以分析對比一下這幾家銀行在安全認證上的策略，在安全性和方便性上，它們各有長短。可以看出，其設(shè)計者都是動了腦筋的。在使用證書認證的前提下，以下各種措施的安全性依次遞增：

　　文件證書-- USB Key證書 -- USB Key證書+PIN -- USB Key證書+PIN+專用客戶端認證軟件。

　　然而，制定網(wǎng)銀安全策略時，不能一味追求安全性，因為，隨著安全性的增高，安全措施的成本也會隨著提高，用戶使用的方便性會有所降低。因此，安全策略的設(shè)計者除了考慮安全因素以外，還將考慮到系統(tǒng)效率、安全成本、交易風(fēng)險，以及用戶使用的方便性，而對于銀行業(yè)者來說，這一切的出發(fā)點事實上是圍繞著一個中心目標——就是提高本銀行的市場競爭力和經(jīng)營效益。

　　說到這里，我不由得想起CFCA初期引進國外認證產(chǎn)品——Entrust/Direct軟件，那是一個我們曾經(jīng)寄托了厚望，最終卻讓我們大傷腦筋的舶來品。

　　應(yīng)該說，Direct產(chǎn)品從設(shè)計理念上說，充分考慮到了認證過程中方方面面的安全問題，采用了周密嚴格的安全策略，從通信到應(yīng)用形成了一套完整的Web安全解決方案。*注：證書+PIN碼屬于雙因子認證方式，安全強度高；專用客戶端認證軟件的安全性要高于無客戶端軟件(僅瀏覽器)。

　　首先，從通訊上講，Direct以HTTP協(xié)議作為基礎(chǔ)，對沒有安全保護的HTTP協(xié)議通訊進行了改造封裝，建立起一條通過SPKM協(xié)議加密的HTTP安全通道。

　　在客戶端與服務(wù)器的Web應(yīng)用程序之間建立通道之前，Direct進行了嚴格的雙向身份認證過程，其執(zhí)行的查驗項目多達8種11個，除了查驗服務(wù)器和客戶端的用戶證書之外，還需查驗它們各自的CRL分布點、三層CA的證書、2個CA的廢止列表(ARL)、OCA的Policy證書、用戶的Policy證書等。

　　與相對簡單的SSL協(xié)議作比較，大多數(shù)SSL認證方案僅查驗了客戶端和服務(wù)端的數(shù)字證書，以及CA證書鏈。對CRL的查驗僅僅在少數(shù)方案中得到實現(xiàn)，對ARL、Policy證書的查驗則完全缺失。

　　其次， Direct提出了獨特的三次簽名機制：第一次是 Direct/Server “服務(wù)端簽名”。用以確保用戶收到交易表單信息是由服務(wù)器發(fā)出的，傳輸過程中未被篡改；第二次是Direct/Client “客戶端簽名”。用以確保用戶端接收到的交易頁面在用戶IE和傳輸過程中不被篡改；第三次是用戶確認交易后，提交 “客戶端提交簽名”。用以保證用戶在閱讀了交易信息之后，進行了交易的確認。

　　Direct三次簽名的安全策略，即便是在今天的安全應(yīng)用中，其設(shè)計也是獨樹一幟，安全理念仍然保持領(lǐng)先。它受到了國外用戶的廣泛歡迎。

　　雖然Direct曾在全球占有39%的市場份額，然而它在中國卻“不服水土”。由于其復(fù)雜的安全策略，導(dǎo)致系統(tǒng)開銷過大，又由于它是早期基于Unix環(huán)境展開的設(shè)計，不支持線程，不支持對稱多處理(Symmetrical Multi-Processing，SMP)技術(shù)，(注：SMP是指在一個計算機上匯集了一組處理器——多CPU,各CPU之間共享內(nèi)存子系統(tǒng)以及總線結(jié)構(gòu)。)從而Direct/Server在多并發(fā)情況下，仍只能利用單CPU資源，無法利用多CPU進行并行處理。這使得Direct系統(tǒng)認證效率很低，用戶等待時間過長。Entrust公司后來工作重點轉(zhuǎn)移，宣布不再支持Direct產(chǎn)品，因而也沒有在SMP上做任何改進。

　　相比于競爭者所使用的快捷的SSL認證過程，Direct飽受到客戶商業(yè)銀行的詬病責難，市場和技術(shù)支持人員應(yīng)接不暇苦不堪言，這甚至影響到了CFCA的市場拓展，一些商業(yè)銀行因此舍CFCA而去。加之Direct要求特殊端口訪問、國外技術(shù)支持跟不上、本地化開發(fā)困難等不利因素，Entrust/Direct認證產(chǎn)品終于走向了它的末路。

　　“成也蕭何，敗也蕭何”，當初讓Direct風(fēng)光一時的，是它的獨特的安全策略，而后斷送它的前途的，也正是其安全策略��！某院士在評論此事時曾說過：“安全不必求全，夠用就行。”可謂言簡意賅，一語中的。

　　以上列舉了幾個針對具體系統(tǒng)的安全策略的例子，從這些例子中，我們能夠看到安全策略在安全系統(tǒng)建設(shè)和應(yīng)用中的主導(dǎo)作用。當然，它們都還是屬于一些局部微觀方面的安全策略。而作為整體的安全策略，則包括的范圍更廣。如CFCA在證書認證的策略方面，就有一整套的認證策略CP，并在此基礎(chǔ)上，撰寫出CPS(認證操作聲明)，向外界公布，提供給證書用戶和依賴方。

　　如果說得更廣些，全局和總體的網(wǎng)絡(luò)安全策略應(yīng)該包含以下三部分：

　　1、嚴肅的法律保障——

　　安全的基石是法律、法規(guī)與手段。面對日趨嚴重的網(wǎng)絡(luò)犯罪，必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)。計算機網(wǎng)絡(luò)是新生事物，過去，由于缺乏相應(yīng)的法律法規(guī)，無法可依，導(dǎo)致網(wǎng)上計算機犯罪處于無序狀態(tài)。近年來，我國已經(jīng)頒布多種與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，如《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國電子簽名法》等，將對網(wǎng)上計算機犯罪起到極大的遏制震懾作用。

　　2、先進的安全技術(shù)工具——

　　先進的安全技術(shù)是網(wǎng)絡(luò)安全的物質(zhì)保證。用戶對于自身面臨的威脅進行風(fēng)險評估，決定其所需要的安全服務(wù)種類，選擇相應(yīng)的安全機制，集成先進的安全技術(shù)，形成全方位的安全系統(tǒng)。

　　3、嚴格的安全管理措施——

　　搞好網(wǎng)絡(luò)安全不能“見物不見人”，再先進的安全系統(tǒng)也是由人來控制的。因此，嚴格的安全管理是網(wǎng)絡(luò)安全的決定性因素，信息系統(tǒng)的運營者必須建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強內(nèi)部管理，建立安全審核和跟蹤體系，加強安全培訓(xùn)，提高整體網(wǎng)絡(luò)安全意識。

標簽： ssl ssl認證 安全 防火墻 服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)安全 漏洞 通信 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)安全管理辦法

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。