网络安全基础设施设计原理

第18章安全基础设施设计原理18.1安全基础设施概述18.2安全基础设施的目标18.3安全基础设施的的设计指南18.4密钥管理基础设施/公钥基础设施18.5证书管理18.6对称密钥管理18.7基础设施目录服务18.8信息系统安全工程18.9本章小结习题一个安全基础设施应提供很多安全组件的协同使用，其体系结构可改进整个的安全特性，而不仅是各个安全组件的特性。使用这个定义，可推论出安全基础设施的设计和特性。18.1安全基础设施概述18.1.1安全基础设施概述以防火墙为例，使用防火墙可以很好地实施安全策略，但是，如果它不能和体系结构中的其他组件很好地连接，就不能构成一个安全基础设施。例如，这个防火墙不能和安全基础设施的其他方面互相联系、互相作用，那它只是一个安全组件，而不是安全基础设施的一部分。这就是安全基础设施定义中的协同组件。再如，假如从防火墙能发送报警至事件管理站，由事件管理站处理成通知网络运行中心（NetworkOperationsCenter,NOC）的报警，那么，防火墙可能成为基础设施的一部分。反之，如防火墙本身做得很好，其屏幕可显示大部分入侵的通信，且能在搜集后做日志，但它不能通知其他任何组件，那防火墙的作用是不完全的。如果将防火墙和入侵检测、强的身份鉴别、加密的隧道（VPN）等组件协同作用，就能设计成一个基本的安全基础设施。安全基础设施的主要组成有4部分：网络、平台、物理设施、处理过程。网络类包括防火墙、路由器、交换机、远程访问设备（如VPN和拨号modem池）以及基于网络的入侵检测，它们分别在整个安全设计中增加某些安全特性。这些组件通过其网络接口或在软件中定义的逻辑来监控、过滤或限制通信。这些安全组件的作用是监控和保护在网络中通过的数据，或保护在应用中通过、使用的数据。18.1.2安全基础设施的组成平台类包括服务器、客户端软件（例如，执行操作系统和安全应用的控制）。执行一些电子操作（如智能卡和读卡器、产生凭证的硬件卡、基于硬件的加密设备）的设备也属于这一类。平台类还包括应用级访问控制，如产生凭证的软件程序、数字证书、基于主机的入侵检测、病毒扫描和清除、事件搜集代理和分析软件程序。应用级访问控制能提供鉴别、授权、基于主机的入侵检测和分析、病毒检测和清除、事件账户管理和分析等功能。这些安全功能用来保护常驻在主要基础设施边界的应用。安全基础设施的物理组成包括标准的门钥匙和锁、钥匙卡、标识标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等。根据人的生物特征检测的设备也属于这一类，如指纹读出器、面部形状照相机、视网膜扫描器等。这些仿生组件是通过自然本质来标识和鉴别用户的。属于这一类的还有网络电缆和后备电源（如UPS系统和自备发电机）。物理安全设施的基本目的是防止非授权者进入以及保护安全基础设施的电力供应和网络连接。处理过程包括企业安全策略和过程文档，用来管理企业数据的生成、使用、存储和销毁，以及管理这些数据所在的系统和网络。企业安全策略的目的是定义企业资产保护的范围以及对这些资产所需的专门保护机制。企业安全过程是企业安全策略文档的一个组成，用来指导员工在特定环境下的行动。企业安全策略和过程是安全基础设施的重要组成。有了综合的安全策略和过程文档，安全设计师就能明白什么样的资产是企业需要保护的，以及如何保护这些资产。虽然安全策略文档提供数据、系统和网络的保护策略，但它对厂商选择、设计或实施并不规定所需的详细战术。这些安全组件的成功实施需要了解安全基础设施目标，否则可能会不合适地保护或完全疏忽那些关键资产。安全基础设施设计的基本目标是保护企业的资产。保护这些资产的方法是适当地部署各个安全组件于有组织的、协同的安全基础设施中。这些资产包括硬件、软件、网络组件以及知识财产。保护这些资产应根据企业安全目标和企业安全策略文档。虽然提到的只是数据的保护，实际上保护数据及其可用性也意味着保护执行的系统和网络。根据选择的数据等级分类体制，每种数据保护目标应按数据机密性、数据完整性和数据可行性来表示和衡量。18.2安全基础设施的目标当设计一个安全基础设施时，把应用的最好结果作为目标。因为应用最靠近数据以及数据的处理、交换和存储。将设计目标放在数据机密性、数据完整性和数据可用性上，会发现这不仅使应用得到安全，而且企业也得到安全。这个概念如图18.1所示。图18.1以应用为目标的安全设计概念数据机密性的前提是防止非授权者看到非公共使用的数据。数据机密性应用于本书所定义的具有内部的、机密的、严格限制的标记的数据。通过安全数据存储和安全数据传输提供数据机密性保护。满足数据机密性要求的典型技术包括数据传输、安全在线和离线存储的加密。数据完整性是关于对数据的任何非授权改变或破坏的保护。这个目标的基本点是数据的准确性和合法性。通过产生原始数据集检查和同复制的数据进行比较的程序来管理完整性。提供数据完整性的通常解决方案是使用通用的加密策略，例如前面讲到的IPSec，使用这样的检查和策略来保证发送的数据等于接收的数据。保护数据不被更改或破坏，可以用类似反病毒这样的简单解决方法，也可以用部署关键通路存储解决方案、高可用性的防火墙簇以及企业范围的变更管理等复杂的解决方案。为了防止非授权使用或破坏，鉴别和授权控制是最合适的方法。最后，数据可用性也是需要十分关注的。数据可用性的目标范围是根据数据可用的重要性而变化的。对某些系统需要高可用性，高达99.999%，而有些系统可用性要求就较低。提供高可用性系统保护的典型方法是使用冗余系统，通常包括冗余的电源、数据访问和存储、网络以及应用服务器处理等。但冗余并不能满足全部数据可行性问题，尤其是近年来增多的拒绝服务（DOS）和分布式拒绝服务（DDOS）的攻击。首先，设计指南中最重要的是要保证企业安全策略和过程与当前经营业务目标相一致。如有不一致，在设计和构造安全基础设施之前，应对这些策略和过程做必要的修改。如果设计指南没有被企业的最高管理层接受和全力支持，那么安全设计不可能完全达到它的功能，事实上有可能因缺少最高管理层的支持而失败。18.3安全基础设施的的设计指南第二步是开发一个计算机事故响应组（ComputerIncidentResponseTeam,CIRT）,其职责是在安全报警事件中采取必要的行动和预防措施。为了使响应组成员能熟练地处理事件（如安全破坏或灾难恢复），应尽可能多地进行实际培训。在很多情况下，把它当作有目的的测试场景，在那里能测试CIRT成员的行动在给定安全事件下的响应、效率、完整性以及恢复能力。这样的测试目标对改进CIRT成员的能力是十分重要的。第三步是设计基础设施安全服务以直接支持指南和需求。这些服务包括鉴别、授权、账户、物理访问控制和逻辑访问控制。对安全服务的设计、部署和运行应遵循专门的方法。它定义了包括评估、设计、部署和管理4个步骤的生命周期。在评估阶段，分析现存的经营业务和安全需求，以决定大部分实际的、有效的安全解决方案现在是否已可行，否则必须重新设计和构造。在设计阶段，针对评估中发现的问题，设计安全解决方案。部署阶段包括安全解决方案的实施和设备安装。最后是管理阶段，保证安全基础设施正常运行，功能正常。鉴别服务于Internet资源、外联网资源、内部网资源的用户，相应于它们内在的风险，需要不同级别的安全。内部网用户愿意基于他们登录的ID自动进行身份鉴别，而对外联网和Internet用户，需要使用赋予的硬件或软件的标记和个人标识号PIN登录。通用的鉴别用户的方法包括静态用户名（UID）和口令、强的两因子鉴别、一次性口令鉴别以及单点登录（SingleSign-On,SSO）鉴别。可能的话，为企业部署至少两种鉴别方法的组合，用于需要不同保护级别的不同等级数据。对给定类别的数据选择合适的鉴别方法是十分重要的。18.3.1鉴别最普通的鉴别方式是静态UID和口令的组合。因为静态口令不能经常更改，因此提供的数据保护能力是很小的。静态UID和口令的组合不能成功地抵御很多方式的攻击，包括回答攻击和蛮力攻击。在回答攻击中，假冒者从以前的鉴别会话中获取UID和口令的组合，依靠偷得的UID和口令给鉴别服务器回答，以得到访问权。在蛮力攻击中，攻击者只知道UID，或使用一个默认系统账户，用很多口令和已知UID组合来企图登录，以得到访问权。这两种方式的攻击都广泛使用，从而削弱了静态方法的完整性。由于这个原因，只有公共数据或内部数据的访问基于静态鉴别方法。对更高等级的数据，需要更严格的解决方法，例如，可使用强的鉴别方法和一次性口令。强的鉴别方法可使用诸如PIN这类的知识因子和智能卡、标记产生卡、标记软件程序等的组合。标记卡或标记软件程序使用一个算法产生通常有6个数字的号码，最后的口令码是该6个数字码和PIN的组合。智能卡一般包含标识其拥有的权利的信息，如数字ID或私钥。虽然这种鉴别方法优于静态方法，可以不再有必要用一次性口令，但大部分标记产生卡和标记软件程序利用一次性口令，使用一次后就不再有效了。很显然，强鉴别和一次性口令的组合能力大大优于静态UID和口令的组合，它既不会受回答攻击的影响，也不会受蛮力攻击的影响。像智能卡这些设备，当若干次非法企图后会自己失效，因此这些可携带的卡即使丢失或被偷窃，也不会有很大风险。为了改进使用静态鉴别方法，可以建立一个口令老化的过程，规定在口令使用一定时期后必须更改。也可以在安全策略文档中规定口令加强的需求，并且在鉴别服务器中进行设定，大部分操作系统支持这种特性。另一个设计鉴别体制时需考虑的问题是选择分布式或集中式的鉴别。分布式鉴别在业界是最流行的，对每一个要访问的系统，用户有不同的UID和口令，有时甚至对给定系统访问的每个应用都有不同的UID和口令。与上述方法相反的是单点登录（SSO）。SSO准许用户使用单一账号和口令的组合来访问企业中的很多资源。SSO对用户提供方便的优点是显而易见的。它也减轻了管理的负担，管理员需跟踪的账户大大减少，由于用户忘记自己的口令而需要重新设置的负担也减轻了。然而，SSO不是没有一点麻烦。将SSO引入环境，使其在异构环境中有效地运行需要管理员付出新的努力。这些新的努力包括兼容的问题、部署和功能操作的问题，以及管理的问题等。如应用适当的智力和资源解决了大部分问题，引入SSO解决方案，就能成功地处理大部分企业范围的鉴别需求。授权是基于一个人或一个组的标识，允许或拒绝规定的特权的行为。授权应从应用的周围世界来处理。从根本上讲，应用安全是所有努力的目标。这些努力包括了解你的应用，以及如何和客户机、数据库通信，以及其他服务器处理过程。18.3.2授权应用通常使用一个静态的端口集以及和其他实体通信的协议。端口用来处理通信的发送和接收。决定使用什么样的端口和什么样的协议。有了这些信息，就可明白在使用哪一种应用会话方式（例如TCP会话），还是通过没有会话的突发数据的应用通信（例如UDP或HTTP）。明白这些应用通信类型以及如何通信有助于设计有效的、适当的授权控制。对应用功能及其如何实现有了很好的了解后，下一步是决定谁应该在什么时间访问哪些数据，还应决定谁能得到对应用服务器、数据库或它们常驻网络段的物理访问权。这样就能防止入侵者得到访问控制。将应用访问限制在特定的群体和一天中的特定时间，就能减少受攻击的可能。根据赋予的资源特权将用户分成组，通过按资源将用户分组的方法，用赋予的组标签在应用级进行授权控制来控制组成员的活动。这样的策略是基于角色的访问控制（rolebasedaccesscontrol,RBAC）。虽然RBAC控制很好，适合于具有大量用户和大量公共或内部数据资源的服务，但是对标有机密或严格限制的数据保护需要更严格的控制。基于用户的访问控制（UserBasedAccessControl,UBAC）是根据各个用户的特权而不是赋予的角色来决定的访问控制。UBAC需要对每个用户分别进行鉴别和授权。UBAC控制从其本性看可提供更细粒度的控制，因为它直接应用至每个用户或单个实体，而不是组或多个实体。账户管理涉及日志和行为的监控、事件以及满足某些条件引起的报警。大