■

信息安全设计体系

在信息保障技术框架（IATF）的四个技术层面中，KMI/PKI属于基础性支撑设施，更可能由社会或某一个/多个行业统一标准、统一规划、统一建设，一般用户业务会借助这个系统作为相互信任关系的认证平台。因此，对一般性用户来讲，在规划和建设其网络信息安全系统时，KMI/PKI是作为其应用层面而非建设层面的内容。

基于信息保障深层防御战略思想和安全认识，我们可以将一个典型的用户网络安全划分为三个模块来全盘考虑，这三个模块是：主机、网络传输设施和网络边界：

1.主机：包括用户应用系统的服务器、客户机以及运行其上的操作系统、数据库或其它应用，比如HTTP、Mail、FTP、DNS等。

2.网络传输设施：包括构成用户应用网络的网络设备和设施。

3.网络边界：不同用户应用系统之间、不同组织之间的网络连接处。比如财务部和技术部的接口、或者企业网和互联网之间的接口。一个独立的系统可能透过VPN或专线互连跨越公网和互联网。

信息安全发展及要求

20世纪以前，人们认为信息安全就是通信保密，采用的保障措施就是加密和基于计算机规则的访问控制，这个时期被称为通信保密（COMSEC）时代，其时代标志是1949年Shannon发表的《保密通信的信息理论》。到了20世纪90年代，人们的认识加深了，大家逐步意识到数字化信息除了有保密性需要外，还有信息的完整性、信息和信息系统的可用性需求，因此明确提出了信息安全就是要保证信息的保密性、完整性和可用性，这就进入了信息安全时代。

詹姆斯的早期短篇小说《戴西·米勒》（Daisy Miller,1878）从一位久居欧洲的美国青年温特伯恩(Winterbourne)视角出发，讲述了美国女孩戴西·米勒（Daisy Miller）在欧洲旅行时与当地人及久居欧洲的美国人之间发生矛盾而遭到冷落，最终死于“罗马热”的故事。在这篇小说中，詹姆斯创造性地运用第三人称有限视角（TheThird-person Limited Point of View），即在第三人称叙述中用小说中某一人物的眼睛和头脑来观察过滤事件的技巧（申丹 2004:53），揭示了欧美大陆之间的文化冲突，展现了其国际主题。

信息安全的时代标志是1977年发布的可信计算机系统评价准则（TCSEC）。90年代后期到现在，认识进一步加深，信息安全在原来的概念上增加了信息和系统的可控性、信息行为的不可否认性要求，同时，人们也开始认识到安全的概念已经不局限于信息的保护，人们需要的是对整个信息和信息系统的保护和防御，包括了对信息的保护、检测、反应和恢复能力。于是出现了信息安全保障的概念：为了保障信息安全，除了要进行信息的安全保护，还应该重视提高安全预警能力、系统的入侵检测能力，系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术，信息保障强调信息系统整个生命周期的防御和恢复，同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型，信息安全进入信息保障时代。

信息保障的核心思想是深层防御战略（Defense in Depth）。所谓深层防御战略就是采用一个层次化的、多样性的安全措施来保障用户信息及信息系统的安全。

在深层防御战略（Defense in Depth）中，人、技术和操作是三个主要核心因素，要保障信息及信息系统的安全，三者不可或缺；从技术上讲深层防御战略体现在包括主机、网络、系统边界和支撑性基础设施等多个网络环节之中如何实现预警、保护、检测、反应和恢复（WPDRR）这五个安全内容。

深层防御战略的含义是多方面的，它试图全面覆盖一个层次化的、多样性的安全保障框架。深层防御战略的核心目标就是在攻击者成功地破坏了某个保护机制的情况下，其它保护机制依然能够提供附加的保护。

主机及其计算环境安全

1.主机及其计算环境安全

在主机及其计算环境中，安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。

根据信息保障技术框架，对主机及其计算环境中的安全关注是采用信息保障技术确保用户信息在进入、离开或驻留客户机与服务器时具有保密性、完整性和可用性。客户机是作为终端用户工作站的带外设的台式机与笔记本计算机，服务器则包括应用程序、网络、web、文件与通信服务器。运行于客户机与服务器的应用程序包括安全邮件与web浏览、文件传输、数据库、病毒、审计以及基于主机的入侵检测等应用程序。

对主机及其计算环境实施保护是为了建立防止有恶意的内部人员攻击的首道防线以及防止外部人员穿越系统保护边界并进行攻击的最后防线。

2.安全操作系统

目前主流的商用操作系统主要有UNIX、LINUX和NT平台。由于商用的普遍性特点，这些系统都存在许多安全弱点，甚至包括结构上的安全隐患，比如超级管理员/系统管理员的不受控制的权限、缓冲区溢出攻击、病毒感染等。

3.安全使能应用程序

应用程序是运行于主机并可能涉及部分操作系统功能的软件。严格来讲，应用程序的安全是个范畴很广的问题（但也是很重要的问题），其解决方案必须有针对性，要依赖于具体的应用程序。目前，应用程序的安全标准刚刚立项。

对应用程序安全的考虑可以遵循如下的方向：对通用应用，如消息传递、文件保护、软硬件交付等，制定通用技术要求；对于特定的复杂应用，可分解为通用应用，同时考虑互操作性问题。

基于主机的监视技术：基于主机的监视技术包括：检测并根除病毒等恶意软件；检测系统配置的改变；审计、审计消除与审计报告的生成。监视机制包括用户运行的反病毒软件等工具与系统管理员运行的工具。

4.网络传输设施

网络是为用户数据流和用户信息获取提供一个传输机制。网络和支撑它的基础设施必须防止拒绝服务攻击（DoS）。

网络支持三种不同的数据流：用户、控制和管理。

传送用户数据流是建设网络的根本目的。网络通过物理或逻辑方式负责分隔用户数据流，比如数据专线、VPN等。网络也可能为用户提供保密性服务，比如IPsec等。

控制数据流是为建立用户连接而必须在网络组件之间传送的控制信息。控制数据流由一个信令协议提供的，如7号信令系统(SS7)，包括编址、路由信息和信令。其中路由信息决定用户信息流动的路径，信令控制用户的连接，而编址则是网络上设备的标识和最终寻找根据，因此必须要对网络中的控制信息加以保护。

网络数据流的第三种类型，管理数据流是用来配置网络元素或获取一个网络元素的信息。管理协议包括简单的网络管理协议(SNMP)、公共管理信息协议、超文本传输协议（HTTP）、rlogin和telnet命令行接口等。保护网络管理数据就是保障网络元素不会被未授权用户更改。如果网络元素被非法通过管理手段破坏，那么攻击者可以任意修改网络元素的配置和工作模式，网络的安全就无从谈起。

5.网络边界

网络边界安全保护关注的是如何对进出网络边界的数据流进行有效的控制与监视。有效的控制措施包括防火墙、边界护卫、虚拟专用网（VPN）以及对于远程用户的识别与认证（I&A）/访问控制。

有效的监视机制包括基于网络的入侵检测系统（IDS）、脆弱性扫描器与局域网中的病毒检测器。

6.支撑性基础设施

深层防御的一个基本原理便是提供防范针对网络的入侵与攻击的能力，并通过系统恢复来有效应对成功的攻击行为。支撑性的基础设施是能够提供安全服务的一套相互关联的活动与基础设施，它所提供的安全服务用于实现框架式的技术解决方案并对其进行管理。目前的深层防御策略定义了两个支持性的基础设施：

密钥管理基础设施/公钥基础设施（KMI/PKI） 用于产生、发布和管理密钥与证书等安全凭证；

检测与响应用于预警、检测、识别可能的网络攻击、做出有效响应以及对攻击行为进行调查分析。PKI技术尚不成熟，但发展迅速。快速建立一个大规模PKI应当采取如下策略，即：建立一个仅提数字标识符、篡改恢复、密钥恢复与归档等基本密码性能的简单基础设施。这样，政府部门、机构与公司便能够以此为基础建立具有访问控制等其它性能的基础设施。

而此层面的检测和响应机制是建立在基于网络的检测和响应以及基于主机的检测和响应基础之上的，并构成一个层次化的报告和响应协调体系和机制。

结语

坚持深层防御战略并不意味着需要在网络体系结构的各个可能位置实现信息保障机制。信息安全保障是一个动态的概念，动态的概念体现在无论是在对安全的认识过程上还是在风险环境的变化、技术管理手段的进步方面。在某个特定环境、特定时间下，通过在主要位置实现适当的保护级别，便能够依据各机构的特殊需要实现有效保护。这似乎和传统的安全木桶原理有悖，但我们认为，在信息安全保障的实际环境下，在对实际的风险环境有正确评估下，在对残留风险有着正确的认识后，这一点对我们实际的安全工程还是有重要的意义。