浅谈网络安全的灵魂.doc

　　浅谈网络安全的灵魂 　　年轻时唱过一首毛主席语录歌，歌曰：政策和策略是党的生命，各级领导同志务必充分注意，万万不可粗心大意。物类相通，搞了几年网络安全，对于安全策略的体验，竟也有相似的感觉。为了抵御网上攻击，保护网络安全，现在几乎所有的网络信息系统都装备了各式各样的网络安全设施，诸如：加密设备、防火墙、入侵检测系统、漏洞扫描、防治病毒软件、VPN、安全认证系统、安全审计系统等等。有人形象地把它们称为网络安全的十八般兵器，但是，搞好网络安全光拥有这些兵器是不够的，必须重视安全策略。安全策略是网络安全的生命，是灵魂。没有正确安全策略的安全系统就像没有灵魂的躯壳，是不能够完成保障安全的使命的。 　　作为例子，我想先谈谈关于入侵检测系统的安全策略。 　　入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。你看，这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高;误用检测由于直接匹配比对异常的不可接受的行为模式，因此误报率较低。但恶意行为千变万化，可能没有被收集在行为模式库中，因此漏报率就很高。这就要求用户必须根据本系统的特点和安全要求来制定策略，选择行为检测模式。现在用户都采取两种模式相结合的策略。 　　入侵检测系统还有其他安全策略，如控制策略和响应策略。对于控制策略，入侵检测系统分为集中式控制和分布式控制两种模式(还有第三种是混合式)。在前者模式中，只有一个中央入侵检测服务器，分布于各个主机上的审计程序将搜集到的数据踪迹发送到中央服务器集中分析处理。这种方式可以节约资源，降低成本，但是在可伸缩性和可配置性上有弱点，网络一大，就可能形成瓶颈，而且具有单点故障的风险;分布式控制模式则将中央服务器的功能分配到各个节点的主机之中，让大家都有入侵检测的功能，这种模式显然能够避免上述弱点。但分布式控制策略的维护成本却高了很多，而且增加了监控主机的工作负担。 　　从响应策略上讲，入侵检测系统也分为两种模式主动响应和被动相应。前者对于搜集到的不正常情况只发出告警通知，不试图降低所造成的破坏，也不对攻击者反击;后者则可能对被攻击系统实施控制，阻断或减轻攻击影响。表面上看，主动响应的功能要比被动相应强很多，大家都选前者不就完了吗?别忙，事情还有另一面，网络上的事情是比较复杂的，如果没有弄清楚异常情况的根源便自动采取反制措施，如断开网络连接、杀死可疑进程等，可能会给系统带来严重后果。须知正在运行的信息系统是连着千万个用户，任何一个系统的操作需要慎之又慎。出于这个原因，CFCA(中国金融认证中心)的入侵检测系统采用了被动响应的策略。 　　2001年，CFCA的入侵检测系统曾经发现在某个IP地址上发出数千个密集的异常访问。按照行为模式，这应该是属于恶意的拒绝服务攻击。但监控者并没有贸然断开网络连接，而是做了一些深入调查。结果发现，原来是某家银行刚上认证业务，正在用CFCA的生产系统做压力测试，这才形成了拒绝服务攻击的假象。通过与该银行沟通，问题得以顺利解决。 　　在我们所熟悉的安全认证业务中，安全策略也具有举足轻重的地位。如果你在多家银行使用网银业务，你就能发现，不同银行所采用的安全认证的策略有所不同。当下，银行一度推行的用户名+密码口令认证手段，由于存在明显的安全漏洞，案件屡屡发生，已经基本绝迹，而纷纷改用了数字证书认证机制。但是，同样是使用数字证书认证，不同银行的安全策略也有不同： 　　工商银行网银客户登录网银不需要数字证书，查询余额也不需要。但进行转帐交易时，不论交易额大小，均需要使用数字证书认证。大众版网银使用文件证书(或称硬盘证书)或动态口令卡;专业版网银必须使用U盾(即USB Key数字证书密码钥匙)，而且要输入PIN码作为双重保护。客户如不正确地输入PIN码，证书就不起作用，不能转帐。 　　招商银行网银大众版网银可以使用文件证书或USB Key证书;专业版客户要求必须下载客户端软件。不论是查询余额还是转帐交易，必须使用USB Key，但没有PIN保护。 　　兴业银行网银客户第一次登录时必须使用USB Key证书，而且要求输入PIN码。登录以后的查询交易仍需要USB Key，但不需要输入PIN。转帐交易则两者都需要。 　　有兴趣的话，你可以分析对比一下这几家银行在安全认证上的策略，在安全性和方便性上，它们各有长短。可以看出，其设计者都是动了脑筋的。在使用证书认