【正文】 來(lái)自 第 18章 安全基礎(chǔ)設(shè)施設(shè)計(jì)原理 安全基礎(chǔ)設(shè)施概述 安全基礎(chǔ)設(shè)施的目標(biāo) 安全基礎(chǔ)設(shè)施的的設(shè)計(jì)指南 密鑰管理基礎(chǔ)設(shè)施 /公鑰基礎(chǔ)設(shè)施 證書(shū)管理 對(duì)稱(chēng)密鑰管理 來(lái)自 基礎(chǔ)設(shè)施目錄服務(wù) 信息系統(tǒng)安全工程 本章小結(jié) 習(xí)題 來(lái)自 一個(gè)安全基礎(chǔ)設(shè)施應(yīng)提供很多安全組件的協(xié)同使用，其體系結(jié)構(gòu)可改進(jìn)整個(gè)的安全特性，而不僅是各個(gè)安全組件的特性。使用這個(gè)定義，可推論出安全基礎(chǔ)設(shè)施的設(shè)計(jì)和特性。 安全基礎(chǔ)設(shè)施概述 安全基礎(chǔ)設(shè)施概述 來(lái)自 以防火墻為例，使用防火墻可以很好地實(shí)施安全策略，但是，如果它不能和體系結(jié)構(gòu)中的其他組件很好地連接，就不能構(gòu)成一個(gè)安全基礎(chǔ)設(shè)施。例如，這個(gè)防火墻不能和安全基礎(chǔ)設(shè)施的其他方面互相聯(lián)系、互相作用，那它只是一個(gè)安全組件，而不是安全基礎(chǔ)設(shè)施的一部分。這就是安全基礎(chǔ)設(shè)施定義中的協(xié)同組件。再如，假如從防火墻能發(fā)送報(bào)警至事件管理站，由事件管理站處理成通知網(wǎng)絡(luò)運(yùn)行中心（ Network Operations Center, NOC）的報(bào)警，那么，防火墻可能成為基礎(chǔ)設(shè)施的一部分。 來(lái)自 反之，如防火墻本身做得很好，其屏幕可顯示大部分入侵的通信，且能在搜集后做日志，但它不能通知其他任何組件，那防火墻的作用是不完全的。如果將防火墻和入侵檢測(cè)、強(qiáng)的身份鑒別、加密的隧道（ VPN）等組件協(xié)同作用，就能設(shè)計(jì)成一個(gè)基本的安全基礎(chǔ)設(shè)施。 來(lái)自 安全基礎(chǔ)設(shè)施的主要組成有 4部分：網(wǎng)絡(luò)、平臺(tái)、物理設(shè)施、處理過(guò)程。 網(wǎng)絡(luò)類(lèi)包括防火墻、路由器、交換機(jī)、遠(yuǎn)程訪問(wèn)設(shè)備（如 VPN和撥號(hào) modem池）以及基于網(wǎng)絡(luò)的入侵檢測(cè)，它們分別在整個(gè)安全設(shè)計(jì)中增加某些安全特性。這些組件通過(guò)其網(wǎng)絡(luò)接口或在軟件中定義的邏輯來(lái)監(jiān)控、過(guò)濾或限制通信。這些安全組件的作用是監(jiān)控和保護(hù)在網(wǎng)絡(luò)中通過(guò)的數(shù)據(jù)，或保護(hù)在應(yīng)用中通過(guò)、使用的數(shù)據(jù)。 安全基礎(chǔ)設(shè)施的組成 來(lái)自 平臺(tái)類(lèi)包括服務(wù)器、客戶(hù)端軟件（例如，執(zhí)行操作系統(tǒng)和安全應(yīng)用的控制）。執(zhí)行一些電子操作（如智能卡和讀卡器、產(chǎn)生憑證的硬件卡、基于硬件的加密設(shè)備）的設(shè)備也屬于這一類(lèi)。平臺(tái)類(lèi)還包括應(yīng)用級(jí)訪問(wèn)控制，如產(chǎn)生憑證的軟件程序、數(shù)字證書(shū)、基于主機(jī)的入侵檢測(cè)、病毒掃描和清除、事件搜集代理和分析軟件程序。應(yīng)用級(jí)訪問(wèn)控制能提供鑒別、授權(quán)、基于主機(jī)的入侵檢測(cè)和分析、病毒檢測(cè)和清除、事件賬戶(hù)管理和分析等功能。這些安全功能用來(lái)保護(hù)常駐在主要基礎(chǔ)設(shè)施邊界的應(yīng)用。 來(lái)自 安全基礎(chǔ)設(shè)施的物理組成包括標(biāo)準(zhǔn)的門(mén)鑰匙和鎖、鑰匙卡、標(biāo)識(shí)標(biāo)志、安全照相機(jī)、活動(dòng)傳感器、聲像報(bào)警、安全警衛(wèi)和系統(tǒng)、設(shè)備標(biāo)簽等。根據(jù)人的生物特征檢測(cè)的設(shè)備也屬于這一類(lèi)，如指紋讀出器、面部形狀照相機(jī)、視網(wǎng)膜掃描器等。這些仿生組件是通過(guò)自然本質(zhì)來(lái)標(biāo)識(shí)和鑒別用戶(hù)的。屬于這一類(lèi)的還有網(wǎng)絡(luò)電纜和后備電源（如 UPS系統(tǒng)和自備發(fā)電機(jī)）。物理安全設(shè)施的基本目的是防止非授權(quán)者進(jìn)入以及保護(hù)安全基礎(chǔ)設(shè)施的電力供應(yīng)和網(wǎng)絡(luò)連接。 來(lái)自 處理過(guò)程包括企業(yè)安全策略和過(guò)程文檔，用來(lái)管理企業(yè)數(shù)據(jù)的生成、使用、存儲(chǔ)和銷(xiāo)毀，以及管理這些數(shù)據(jù)所在的系統(tǒng)和網(wǎng)絡(luò)。企業(yè)安全策略的目的是定義企業(yè)資產(chǎn)保護(hù)的范圍以及對(duì)這些資產(chǎn)所需的專(zhuān)門(mén)保護(hù)機(jī)制。企業(yè)安全過(guò)程是企業(yè)安全策略文檔的一個(gè)組成，用來(lái)指導(dǎo)員工在特定環(huán)境下的行動(dòng)。企業(yè)安全策略和過(guò)程是安全基礎(chǔ)設(shè)施的重要組成。有了綜合的安全策略和過(guò)程文檔，安全設(shè)計(jì)師就能明白什么樣的資產(chǎn)是企業(yè)需要保護(hù)的，以及如何保護(hù)這些資產(chǎn)。 來(lái)自 雖然安全策略文檔提供數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的保護(hù)策略，但它對(duì)廠商選擇、設(shè)計(jì)或?qū)嵤┎⒉灰?guī)定所需的詳細(xì)戰(zhàn)術(shù)。這些安全組件的成功實(shí)施需要了解安全基礎(chǔ)設(shè)施目標(biāo)，否則可能會(huì)不合適地保護(hù)或完全疏忽那些關(guān)鍵資產(chǎn)。 來(lái)自 安全基礎(chǔ)設(shè)施設(shè)計(jì)的基本目標(biāo)是保護(hù)企業(yè)的資產(chǎn)。保護(hù)這些資產(chǎn)的方法是適當(dāng)?shù)夭渴鸶鱾€(gè)安全組件于有組織的、協(xié)同的安全基礎(chǔ)設(shè)施中。這些資產(chǎn)包括硬件、軟件、網(wǎng)絡(luò)組件以及知識(shí)財(cái)產(chǎn)。保護(hù)這些資產(chǎn)應(yīng)根據(jù)企業(yè)安全目標(biāo)和企業(yè)安全策略文檔。雖然提到的只是數(shù)據(jù)的保護(hù)，實(shí)際上保護(hù)數(shù)據(jù)及其可用性也意味著保護(hù)執(zhí)行的系統(tǒng)和網(wǎng)絡(luò)。 根據(jù)選擇的數(shù)據(jù)等級(jí)分類(lèi)體制，每種數(shù)據(jù)保護(hù)目標(biāo)應(yīng)按數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和數(shù)據(jù)可行性來(lái)表示和衡量。 安全基礎(chǔ)設(shè)施的目標(biāo) 來(lái)自 當(dāng)設(shè)計(jì)一個(gè)安全基礎(chǔ)設(shè)施時(shí)，把應(yīng)用的最好結(jié)果作為目標(biāo)。因?yàn)閼?yīng)用最靠近數(shù)據(jù)以及數(shù)據(jù)的處理、交換和存儲(chǔ)。將設(shè)計(jì)目標(biāo)放在數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和數(shù)據(jù)可用性上，會(huì)發(fā)現(xiàn)這不僅使應(yīng)用得到安全，而且企業(yè)也得到安全。這個(gè)概念如圖 。 來(lái)自 圖 以應(yīng)用為目標(biāo)的安全設(shè)計(jì)概念 來(lái)自 數(shù)據(jù)機(jī)密性的前提是防止非授權(quán)者看到非公共使用的數(shù)據(jù)。數(shù)據(jù)機(jī)密性應(yīng)用于本書(shū)所定義的具有內(nèi)部的、機(jī)密的、嚴(yán)格限制的標(biāo)記的數(shù)據(jù)。通過(guò)安全數(shù)據(jù)存儲(chǔ)和安全數(shù)據(jù)傳輸提供數(shù)據(jù)機(jī)密性保護(hù)。滿(mǎn)足數(shù)據(jù)機(jī)密性要求的典型技術(shù)包括數(shù)據(jù)傳輸、安全在線和離線存儲(chǔ)的加密。 來(lái)自 數(shù)據(jù)完整性是關(guān)于對(duì)數(shù)據(jù)的任何非授權(quán)改變或破壞的保護(hù)。這個(gè)目標(biāo)的基本點(diǎn)是數(shù)據(jù)的準(zhǔn)確性和合法性。通過(guò)產(chǎn)生原始數(shù)據(jù)集檢查和同復(fù)制的數(shù)據(jù)進(jìn)行比較的程序來(lái)管理完整性。提供數(shù)據(jù)完整性的通常解決方案是使用通用的加密策略，例如前面講到的IPSec，使用這樣的檢查和策略來(lái)保證發(fā)送的數(shù)據(jù)等于接收的數(shù)據(jù)。保護(hù)數(shù)據(jù)不被更改或破壞，可以用類(lèi)似反病毒這樣的簡(jiǎn)單解決方法，也可以用部署關(guān)鍵通路存儲(chǔ)解決方案、高可用性的防火墻簇以及企業(yè)范圍的變更管理等復(fù)雜的解決方案。為了防止非授權(quán)使用或破壞，鑒別和授權(quán)控制是最合適的方法。 來(lái)自 最后，數(shù)據(jù)可用性也是需要十分關(guān)注的。數(shù)據(jù)可用性的目標(biāo)范圍是根據(jù)數(shù)據(jù)可用的重要性而變化的。對(duì)某些系統(tǒng)需要高可用性，高達(dá) %，而有些系統(tǒng)可用性要求就較低。提供高可用性系統(tǒng)保護(hù)的典型方法是使用冗余系統(tǒng)，通常包括冗余的電源、數(shù)據(jù)訪問(wèn)和存儲(chǔ)、網(wǎng)絡(luò)以及應(yīng)用服務(wù)器處理等。但冗余并不能滿(mǎn)足全部數(shù)據(jù)可行性問(wèn)題，尤其是近年來(lái)增多的拒絕服務(wù)（ DOS）和分布式拒絕服務(wù)（ DDOS）的攻擊。 來(lái)自 首先，設(shè)計(jì)指南中最重要的是要保證企業(yè)安全策略和過(guò)程與當(dāng)前經(jīng)營(yíng)業(yè)務(wù)目標(biāo)相一致。如有不一致，在設(shè)計(jì)和構(gòu)造安全基礎(chǔ)設(shè)施之前，應(yīng)對(duì)這些策略和過(guò)程做必要的修改。如果設(shè)計(jì)指南沒(méi)有被企業(yè)的最高管理層接受和全力支持，那么安全設(shè)計(jì)不可能完全達(dá)到它的功能，事實(shí)上有可能因缺少最高管理層的支持而失敗。 安全基礎(chǔ)設(shè)施的的設(shè)計(jì)指南 來(lái)自 第二步是開(kāi)發(fā)一個(gè)計(jì)算機(jī)事故響應(yīng)組（ Computer Incident Response Team, CIRT） ,其職責(zé)是在安全報(bào)警事件中采取必要的行動(dòng)和預(yù)防措施。為了使響應(yīng)組成員能熟練地處理事件（如安全破壞或?yàn)?zāi)難恢復(fù)），應(yīng)盡可能多地進(jìn)行實(shí)際培訓(xùn)。在很多情況下，把它當(dāng)作有目的的測(cè)試場(chǎng)景，在那里能測(cè)試 CIRT成員的行動(dòng)在給定安全事件下的響應(yīng)、效率、完整性以及恢復(fù)能力。這樣的測(cè)試目標(biāo)對(duì)改進(jìn) CIRT成員的能力是十分重要的。 來(lái)自 第三步是設(shè)計(jì)基礎(chǔ)設(shè)施安全服務(wù)以直接支持指南和需求。這些服務(wù)包括鑒別、授權(quán)、賬戶(hù)、物理訪問(wèn)控制和邏輯訪問(wèn)控制。對(duì)安全服務(wù)的設(shè)計(jì)、部署和運(yùn)行應(yīng)遵循專(zhuān)門(mén)的方法。它定義了包括評(píng)估、設(shè)計(jì)、部署和管理 4個(gè)步驟的生命周期。在評(píng)估階段，分析現(xiàn)存的經(jīng)營(yíng)業(yè)務(wù)和安全需求，以決定大部分實(shí)際的、有效的安全解決方案現(xiàn)在是否已可行，否則必須重新設(shè)計(jì)和構(gòu)造。在設(shè)計(jì)階段，針對(duì)評(píng)估中發(fā)現(xiàn)的問(wèn)題，設(shè)計(jì)安全解決方案。部署階段包括安全解決方案的實(shí)施和設(shè)備安裝。最后是管理階段，保證安全基礎(chǔ)設(shè)施正常運(yùn)行，功能正常。 來(lái)自 鑒別服務(wù)于 Inter資源、外聯(lián)網(wǎng)資源、內(nèi)部網(wǎng)資源的用戶(hù)，相應(yīng)于它們內(nèi)在的風(fēng)險(xiǎn)，需要不同級(jí)別的安全。內(nèi)部網(wǎng)用戶(hù)愿意基于他們登錄的 ID自動(dòng)進(jìn)行身份鑒別，而對(duì)外聯(lián)網(wǎng)和 Inter用戶(hù)，需要使用賦予的硬件或軟件的標(biāo)記和個(gè)人標(biāo)識(shí)號(hào) PIN登錄。 通用的鑒別用戶(hù)的方法包括靜態(tài)用戶(hù)名（ UID）和口令、強(qiáng)的兩因子鑒別、一次性口令鑒別以及單點(diǎn)登錄（ Single SignOn, SSO）鑒別?？赡艿脑?huà)，為企業(yè)部署至少兩種鑒別方法的組合，用于需要不同保護(hù)級(jí)別的不同等級(jí)數(shù)據(jù)。對(duì)給定類(lèi)別的數(shù)據(jù)選擇合適的鑒別方法是十分重要的。 鑒別 來(lái)自 最普通的鑒別方式是靜態(tài) UID和口令的組合。因?yàn)殪o態(tài)口令不能經(jīng)常更改，因此提供的數(shù)據(jù)保護(hù)能力是很小的。靜態(tài) UID和口令的組合不能成功地抵御很多方式的攻擊，包括回答攻擊和蠻力攻擊。在回答攻擊中，假冒者從以前的鑒別會(huì)話(huà)中獲取 UID和口令的組合，依靠偷得的 UID和口令給鑒別服務(wù)器回答，以得到訪問(wèn)權(quán)。在蠻力攻擊中，攻擊者只知道 UID，或使用一個(gè)默認(rèn)系統(tǒng)賬戶(hù)，用很多口令和已知 UID組合來(lái)企圖登錄，以得到訪問(wèn)權(quán)。這兩種方式的攻擊都廣泛使用，從而削弱了靜態(tài)方法的完整性。由于這個(gè)原因，只有公共數(shù)據(jù)或內(nèi)部數(shù)據(jù)的訪問(wèn)基于靜態(tài)鑒別方法。 來(lái)自 對(duì)更高等級(jí)的數(shù)據(jù)，需要更嚴(yán)格的解決方法，例如，可使用強(qiáng)的鑒別方法和一次性口令。強(qiáng)的鑒別方法可使用諸如 PIN這類(lèi)的知識(shí)因子和智能卡、標(biāo)記產(chǎn)生卡、標(biāo)記軟件程序等的組合。標(biāo)記卡或標(biāo)記軟件程序使用一個(gè)算法產(chǎn)生通常有 6個(gè)數(shù)字的號(hào)碼，最后的口令碼是該 6個(gè)數(shù)字碼和 PIN的組合。智能卡一般包含標(biāo)識(shí)其擁有的權(quán)利的信息，如數(shù)字 ID或私鑰。雖然這種鑒別方法優(yōu)于靜態(tài)方法，可以不再有必要用一次性口令，但大部分標(biāo)記產(chǎn)生卡和標(biāo)記軟件程序利用一次性口令，使用一次后就不再有效了。 來(lái)自 很顯然，強(qiáng)鑒別和一次性口令的組合能力大大優(yōu)于靜態(tài) UID和口令的組合，它既不會(huì)受回答攻擊的影響，也不會(huì)受蠻力攻擊的影響。像智能卡這些設(shè)備，當(dāng)若干次非法企圖后會(huì)自己失效，因此這些可攜帶的卡即使丟失或被偷竊，也不會(huì)有很大風(fēng)險(xiǎn)。 為了改進(jìn)使用靜態(tài)鑒別方法，可以建立一個(gè)口令老化的過(guò)程，規(guī)定在口令使用一定時(shí)期后必須更改。也可以在安全策略文檔中規(guī)定口令加強(qiáng)的需求，并且在鑒別服務(wù)器中進(jìn)行設(shè)定，大部分操作系統(tǒng)支持這種特性。 來(lái)自 另一個(gè)設(shè)計(jì)鑒別體制時(shí)需考慮的問(wèn)題是選擇分布式或集中式的鑒別。分布式鑒別在業(yè)界是最流行的，對(duì)每一個(gè)要訪問(wèn)的系統(tǒng)，用戶(hù)有不同的 UID和口令，有時(shí)甚至對(duì)給定系統(tǒng)訪問(wèn)的每個(gè)應(yīng)用都有不同的 UID和口令。 與上述方法相反的是單點(diǎn)登錄（ SSO）。 SSO準(zhǔn)許用戶(hù)使用單一賬號(hào)和口令的組合來(lái)訪問(wèn)企業(yè)中的很多資源。 SSO對(duì)用戶(hù)提供方便的優(yōu)點(diǎn)是顯而易見(jiàn)的。它也減輕了管理的負(fù)擔(dān)，管理員需跟蹤的賬戶(hù)大大減少，由于用戶(hù)忘記自己的口令而需要重新設(shè)置的負(fù)擔(dān)也減輕了。 來(lái)自 然而， SSO不是沒(méi)有一點(diǎn)麻煩。將 SSO引入環(huán)境，使其在異構(gòu)環(huán)境中有效地運(yùn)行需要管理員付出新的努力。這些新的努力包括兼容的問(wèn)題、部署和功能操作的問(wèn)題，以及管理的問(wèn)題等。如應(yīng)用適當(dāng)?shù)闹橇唾Y源解決了大部分問(wèn)題，引入 SSO解決方案，就能成功地處理大部分企業(yè)范圍的鑒別需求。 來(lái)自 授權(quán)是基于一個(gè)人或一個(gè)組的標(biāo)識(shí)，允許或拒絕規(guī)定的特權(quán)的行為。授權(quán)應(yīng)從應(yīng)用的周?chē)澜鐏?lái)處理。從根本上講，應(yīng)用安全是所有努力的目標(biāo)。這些努力包括了解你的應(yīng)用，以及如何和客戶(hù)機(jī)、數(shù)據(jù)庫(kù)通信，以及其他服務(wù)器處理過(guò)程。 授權(quán) 來(lái)自 應(yīng)用通常使用一個(gè)靜態(tài)的端口集以及和其他實(shí)體通信的協(xié)議。端口用來(lái)處理通信的發(fā)送和接收。決定使用什么樣的端口和什么樣的協(xié)議。有了這些信息，就可明白在使用哪一種應(yīng)用會(huì)話(huà)方式（例如 TCP會(huì)話(huà)），還是通過(guò)沒(méi)有會(huì)話(huà)的突發(fā)數(shù)據(jù)的應(yīng)用通信（例如 UDP或 HTTP）。明白這些應(yīng)用通信類(lèi)型以及如何通信有助于設(shè)計(jì)有效的、適當(dāng)?shù)氖跈?quán)控制。 對(duì)應(yīng)用功能及其如何實(shí)現(xiàn)有了很好的了解后，下一步是決定誰(shuí)應(yīng)該在什么時(shí)間訪問(wèn)哪些數(shù)據(jù)，還應(yīng)決定誰(shuí)能得到對(duì)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)或它們常駐網(wǎng)絡(luò)段的物理訪問(wèn)權(quán)。這樣就能防止入侵者得到訪問(wèn)控制。將應(yīng)用訪問(wèn)限制在特定的群體和一天中的特定時(shí)間，就能減少受攻擊的可能。 來(lái)自 根據(jù)賦予的資源特權(quán)將用戶(hù)分成組，通過(guò)按資源將用戶(hù)分組的方法，用賦予的組標(biāo)簽在應(yīng)用級(jí)進(jìn)行授權(quán)控制來(lái)控制組成員的活動(dòng)。這樣的策略是基于角色的訪問(wèn)控制（ role based access control, RBAC）。雖然 RBAC控制很好，適合于具有大量用戶(hù)和大量公共或內(nèi)部數(shù)據(jù)資源的服務(wù)，但是對(duì)標(biāo)有機(jī)密或嚴(yán)格限制的數(shù)據(jù)保護(hù)需要更嚴(yán)格的控制。基于用戶(hù)的訪問(wèn)控制（ User Based Access Control, UBAC）是根據(jù)各個(gè)用戶(hù)的特權(quán)而不是賦予的角色來(lái)決定的訪問(wèn)控制。 UBAC需要對(duì)每個(gè)用戶(hù)分別進(jìn)行鑒別和授權(quán)。UBAC控制從其本性看可提供更細(xì)粒度的控制，因?yàn)樗苯討?yīng)用至每個(gè)用戶(hù)或單個(gè)實(shí)體，而不是組或多個(gè)實(shí)體。 來(lái)自 賬戶(hù)管理涉及日志和行為的監(jiān)控、事件以及滿(mǎn)足某些條件引起的報(bào)警。大部分操作系統(tǒng)能配置生成賬戶(hù)日志，對(duì)各種系統(tǒng)里發(fā)生的事件向管理者發(fā)出報(bào)警。最流行的操作系統(tǒng)日志程序是用于 UNIX系統(tǒng)的Syslog和用于 Microsoft NT的 NT事件日志。 UNIX Syslog或 NT事件日志設(shè)置報(bào)警 ,在日志文件中產(chǎn)生報(bào)警級(jí)報(bào)文，或更高級(jí)的報(bào)文。然而，情況可能更為復(fù)雜，如若干個(gè)相關(guān)