【正文】 賦予的組標(biāo)簽在應(yīng)用級進(jìn)行授權(quán)控制來控制組成員的活動。這樣就能防止入侵者得到訪問控制。明白這些應(yīng)用通信類型以及如何通信有助于設(shè)計有效的、適當(dāng)?shù)氖跈?quán)控制。決定使用什么樣的端口和什么樣的協(xié)議。 授權(quán) 應(yīng)用通常使用一個靜態(tài)的端口集以及和其他實(shí)體通信的協(xié)議。從根本上講，應(yīng)用安全是所有努力的目標(biāo)。 授權(quán)是基于一個人或一個組的標(biāo)識，允許或拒絕規(guī)定的特權(quán)的行為。這些新的努力包括兼容的問題、部署和功能操作的問題，以及管理的問題等。 然而， SSO不是沒有一點(diǎn)麻煩。 SSO對用戶提供方便的優(yōu)點(diǎn)是顯而易見的。 與上述方法相反的是單點(diǎn)登錄（ SSO）。 另一個設(shè)計鑒別體制時需考慮的問題是選擇分布式或集中式的鑒別。 為了改進(jìn)使用靜態(tài)鑒別方法，可以建立一個口令老化的過程，規(guī)定在口令使用一定時期后必須更改。 很顯然，強(qiáng)鑒別和一次性口令的組合能力大大優(yōu)于靜態(tài) UID和口令的組合，它既不會受回答攻擊的影響，也不會受蠻力攻擊的影響。智能卡一般包含標(biāo)識其擁有的權(quán)利的信息，如數(shù)字 ID或私鑰。強(qiáng)的鑒別方法可使用諸如 PIN這類的知識因子和智能卡、標(biāo)記產(chǎn)生卡、標(biāo)記軟件程序等的組合。由于這個原因，只有公共數(shù)據(jù)或內(nèi)部數(shù)據(jù)的訪問基于靜態(tài)鑒別方法。在蠻力攻擊中，攻擊者只知道 UID，或使用一個默認(rèn)系統(tǒng)賬戶，用很多口令和已知 UID組合來企圖登錄，以得到訪問權(quán)。靜態(tài) UID和口令的組合不能成功地抵御很多方式的攻擊，包括回答攻擊和蠻力攻擊。 鑒別 最普通的鑒別方式是靜態(tài) UID和口令的組合。可能的話，為企業(yè)部署至少兩種鑒別方法的組合，用于需要不同保護(hù)級別的不同等級數(shù)據(jù)。內(nèi)部網(wǎng)用戶愿意基于他們登錄的 ID自動進(jìn)行身份鑒別，而對外聯(lián)網(wǎng)和 Inter用戶，需要使用賦予的硬件或軟件的標(biāo)記和個人標(biāo)識號 PIN登錄。最后是管理階段，保證安全基礎(chǔ)設(shè)施正常運(yùn)行，功能正常。在設(shè)計階段，針對評估中發(fā)現(xiàn)的問題，設(shè)計安全解決方案。它定義了包括評估、設(shè)計、部署和管理 4個步驟的生命周期。這些服務(wù)包括鑒別、授權(quán)、賬戶、物理訪問控制和邏輯訪問控制。這樣的測試目標(biāo)對改進(jìn) CIRT成員的能力是十分重要的。為了使響應(yīng)組成員能熟練地處理事件（如安全破壞或?yàn)?zāi)難恢復(fù)），應(yīng)盡可能多地進(jìn)行實(shí)際培訓(xùn)。如果設(shè)計指南沒有被企業(yè)的最高管理層接受和全力支持，那么安全設(shè)計不可能完全達(dá)到它的功能，事實(shí)上有可能因缺少最高管理層的支持而失敗。 首先，設(shè)計指南中最重要的是要保證企業(yè)安全策略和過程與當(dāng)前經(jīng)營業(yè)務(wù)目標(biāo)相一致。提供高可用性系統(tǒng)保護(hù)的典型方法是使用冗余系統(tǒng)，通常包括冗余的電源、數(shù)據(jù)訪問和存儲、網(wǎng)絡(luò)以及應(yīng)用服務(wù)器處理等。數(shù)據(jù)可用性的目標(biāo)范圍是根據(jù)數(shù)據(jù)可用的重要性而變化的。為了防止非授權(quán)使用或破壞，鑒別和授權(quán)控制是最合適的方法。提供數(shù)據(jù)完整性的通常解決方案是使用通用的加密策略，例如前面講到的IPSec，使用這樣的檢查和策略來保證發(fā)送的數(shù)據(jù)等于接收的數(shù)據(jù)。這個目標(biāo)的基本點(diǎn)是數(shù)據(jù)的準(zhǔn)確性和合法性。滿足數(shù)據(jù)機(jī)密性要求的典型技術(shù)包括數(shù)據(jù)傳輸、安全在線和離線存儲的加密。數(shù)據(jù)機(jī)密性應(yīng)用于本書所定義的具有內(nèi)部的、機(jī)密的、嚴(yán)格限制的標(biāo)記的數(shù)據(jù)。這個概念如圖 。因?yàn)閼?yīng)用最靠近數(shù)據(jù)以及數(shù)據(jù)的處理、交換和存儲。 根據(jù)選擇的數(shù)據(jù)等級分類體制，每種數(shù)據(jù)保護(hù)目標(biāo)應(yīng)按數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和數(shù)據(jù)可行性來表示和衡量。保護(hù)這些資產(chǎn)應(yīng)根據(jù)企業(yè)安全目標(biāo)和企業(yè)安全策略文檔。保護(hù)這些資產(chǎn)的方法是適當(dāng)?shù)夭渴鸶鱾€安全組件于有組織的、協(xié)同的安全基礎(chǔ)設(shè)施中。這些安全組件的成功實(shí)施需要了解安全基礎(chǔ)設(shè)施目標(biāo)，否則可能會不合適地保護(hù)或完全疏忽那些關(guān)鍵資產(chǎn)。有了綜合的安全策略和過程文檔，安全設(shè)計師就能明白什么樣的資產(chǎn)是企業(yè)需要保護(hù)的，以及如何保護(hù)這些資產(chǎn)。企業(yè)安全過程是企業(yè)安全策略文檔的一個組成，用來指導(dǎo)員工在特定環(huán)境下的行動。 處理過程包括企業(yè)安全策略和過程文檔，用來管理企業(yè)數(shù)據(jù)的生成、使用、存儲和銷毀，以及管理這些數(shù)據(jù)所在的系統(tǒng)和網(wǎng)絡(luò)。屬于這一類的還有網(wǎng)絡(luò)電纜和后備電源（如 UPS系統(tǒng)和自備發(fā)電機(jī)）。根據(jù)人的生物特征檢測的設(shè)備也屬于這一類，如指紋讀出器、面部形狀照相機(jī)、視網(wǎng)膜掃描器等。這些安全功能用來保護(hù)常駐在主要基礎(chǔ)設(shè)施邊界的應(yīng)用。平臺類還包括應(yīng)用級訪問控制，如產(chǎn)生憑證的軟件程序、數(shù)字證書、基于主機(jī)的入侵檢測、病毒掃描和清除、事件搜集代理和分析軟件程序。 安全基礎(chǔ)設(shè)施的組成 平臺類包括服務(wù)器、客戶端軟件（例如，執(zhí)行操作系統(tǒng)和安全應(yīng)用的控制）。這些組件通過其網(wǎng)絡(luò)接口或在軟件中定義的邏輯來監(jiān)控、過濾或限制通信。 安全基礎(chǔ)設(shè)施的主要組成有 4部分：網(wǎng)絡(luò)、平臺、物理設(shè)施、處理過程。 反之，如防火墻本身做得很好，其屏幕可顯示大部分入侵的通信，且能在搜集后做日志，但它不能通知其他任何組件，那防火墻的作用是不完全的。這就是安全基礎(chǔ)設(shè)施定義中的協(xié)同組件。 安全基礎(chǔ)設(shè)施概述 安全基礎(chǔ)設(shè)施概述 以防火墻為例，使用防火墻可以很好地實(shí)施安全策略，但是，如果它不能和體系結(jié)構(gòu)中的其他組件很好地連接，就不能構(gòu)成一個安全基礎(chǔ)設(shè)施。第 18章 安全基礎(chǔ)設(shè)施設(shè)計原理 安全基礎(chǔ)設(shè)施概述 安全基礎(chǔ)設(shè)施的目標(biāo) 安全基礎(chǔ)設(shè)施的的設(shè)計指南 密鑰管理基礎(chǔ)設(shè)施 /公鑰基礎(chǔ)設(shè)施 證書管理 對稱密鑰管理 基礎(chǔ)設(shè)施目錄服務(wù) 信息系統(tǒng)安全工程 本章小結(jié) 習(xí)題 一個安全基礎(chǔ)設(shè)施應(yīng)提供很多安全組件的協(xié)同使用，其體系結(jié)構(gòu)可改進(jìn)整個的安全特性，而不僅是各個安全組件的特性。使用這個定義，可推論出安全基礎(chǔ)設(shè)施的設(shè)計和特性。例如，這個防火墻不能和安全基礎(chǔ)設(shè)施的其他方面互相聯(lián)系、互相作用，那它只是一個安全組件，而不是安全基礎(chǔ)設(shè)施的一部分。再如，假如從防火墻能發(fā)送報警至事件管理站，由事件管理站處理成通知網(wǎng)絡(luò)運(yùn)行中心（ Network Operations Center, NOC）的報警，那么，防火墻可能成為基礎(chǔ)設(shè)施的一部分。如果將防火墻和入侵檢測、強(qiáng)的身份鑒別、加密的隧道（ VPN）等組件協(xié)同作用，就能設(shè)計成一個基本的安全基礎(chǔ)設(shè)施。 網(wǎng)絡(luò)類包括防火墻、路由器、交換機(jī)、遠(yuǎn)程訪問設(shè)備（如 VPN和撥號 modem池）以及基于網(wǎng)絡(luò)的入侵檢測，它們分別在整個安全設(shè)計中增加某些安全特性。這些安全組件的作用是監(jiān)控和保護(hù)在網(wǎng)絡(luò)中通過的數(shù)據(jù)，或保護(hù)在應(yīng)用中通過、使用的數(shù)據(jù)。執(zhí)行一些電子操作（如智能卡和讀卡器、產(chǎn)生憑證的硬件卡、基于硬件的加密設(shè)備）的設(shè)備也屬于這一類。應(yīng)用級訪問控制能提供鑒別、授權(quán)、基于主機(jī)的入侵檢測和分析、病毒檢測和清除、事件賬戶管理和分析等功能。 安全基礎(chǔ)設(shè)施的物理組成包括標(biāo)準(zhǔn)的門鑰匙和鎖、鑰匙卡、標(biāo)識標(biāo)志、安全照相機(jī)、活動傳感器、聲像報警、安全警衛(wèi)和系統(tǒng)、設(shè)備標(biāo)簽等。這些仿生組件是通過自然本質(zhì)來標(biāo)識和鑒別用戶的。物理安全設(shè)施的基本目的是防止非授權(quán)者進(jìn)入以及保護(hù)安全基礎(chǔ)設(shè)施的電力供應(yīng)和網(wǎng)絡(luò)連接。企業(yè)安全策略的目的是定義企業(yè)資產(chǎn)保護(hù)的范圍以及對這些資產(chǎn)所需的專門保護(hù)機(jī)制。企業(yè)安全策略和過程是安全基礎(chǔ)設(shè)施的重要組成。 雖然安全策略文檔提供數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的保護(hù)策略，但它對廠商選擇、設(shè)計或?qū)嵤┎⒉灰?guī)定所需的詳細(xì)戰(zhàn)術(shù)。 安全基礎(chǔ)設(shè)施設(shè)計的基本目標(biāo)是保護(hù)企業(yè)的資產(chǎn)。這些資產(chǎn)包括硬件、軟件、網(wǎng)絡(luò)組件以及知識財產(chǎn)。雖然提到的只是數(shù)據(jù)的保護(hù)，實(shí)際上保護(hù)數(shù)據(jù)及其可用性也意味著保護(hù)執(zhí)行的系統(tǒng)和網(wǎng)絡(luò)。 安全基礎(chǔ)設(shè)施的目標(biāo) 當(dāng)設(shè)計一個安全基礎(chǔ)設(shè)施時，把應(yīng)用的最好結(jié)果作為目標(biāo)。將設(shè)計目標(biāo)放在數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和數(shù)據(jù)可用性上，會發(fā)現(xiàn)這不僅使應(yīng)用得到安全，而且企業(yè)也得到安全。 圖 以應(yīng)用為目標(biāo)的安全設(shè)計概念 數(shù)據(jù)機(jī)密性的前提是防止非授權(quán)者看到非公共使用的數(shù)據(jù)。通過安全數(shù)據(jù)存儲和安全數(shù)據(jù)傳輸提供數(shù)據(jù)機(jī)密性保護(hù)。 數(shù)據(jù)完整性是關(guān)于對數(shù)據(jù)的任何非授權(quán)改變或破壞的保護(hù)。通過產(chǎn)生原始數(shù)據(jù)集檢查和同復(fù)制的數(shù)據(jù)進(jìn)行比較的程序來管理完整性。保護(hù)數(shù)據(jù)不被更改或破壞，可以用類似反病毒這樣的簡單解決方法，也可以用部署關(guān)鍵通路存儲解決方案、高可用性的防火墻簇以及企業(yè)范圍的變更管理等復(fù)雜的解決方案。 最后，數(shù)據(jù)可用性也是需要十分關(guān)注的。對某些系統(tǒng)需要高可用性，高達(dá) %，而有些系統(tǒng)可用性要求就較低。但冗余并不能滿足全部數(shù)據(jù)可行性問題，尤其是近年來增多的拒絕服務(wù)（ DOS）和分布式拒絕服務(wù)（ DDOS）的攻擊。如有不一致，在設(shè)計和構(gòu)造安全基礎(chǔ)設(shè)施之前，應(yīng)對這些策略和過程做必要的修改。 安全基礎(chǔ)設(shè)施的的設(shè)計指南 第二步是開發(fā)一個計算機(jī)事故響應(yīng)組（ Computer Incident Response Team, CIRT） ,其職責(zé)是在安全報警事件中采取必要的行動和預(yù)防措施。在很多情況下，把它當(dāng)作有目的的測試場景，在那里能測試 CIRT成員的行動在給定安全事件下的響應(yīng)、效率、完整性以及恢復(fù)能力。 第三步是設(shè)計基礎(chǔ)設(shè)施安全服務(wù)以直接支持指南和需求。對安全服務(wù)的設(shè)計、部署和運(yùn)行應(yīng)遵循專門的方法。在評估階段，分析現(xiàn)存的經(jīng)營業(yè)務(wù)和安全需求，以決定大部分實(shí)際的、有效的安全解決方案現(xiàn)在是否已可行，否則必須重新設(shè)計和構(gòu)造。部署階段包括安全解決方案的實(shí)施和設(shè)備安裝。 鑒別服務(wù)于 Inter資源、外聯(lián)網(wǎng)資源、內(nèi)部網(wǎng)資源的用戶，相應(yīng)于它們內(nèi)在的風(fēng)險，需要不同級別的安全。 通用的鑒別用戶的方法包括靜態(tài)用戶名（ UID）和口令、強(qiáng)的兩因子鑒別、一次性口令鑒別以及單點(diǎn)登錄（ Single SignOn, SSO）鑒別。對給定類別的數(shù)據(jù)選擇合適的鑒別方法是十分重要的。因?yàn)殪o態(tài)口令不能經(jīng)常更改，因此提供的數(shù)據(jù)保護(hù)能力是很小的。在回答攻擊中，假冒者從以前的鑒別會話中獲取 UID和口令的組合，依靠偷得的 UID和口令給鑒別服務(wù)器回答，以得到訪問權(quán)。這兩種方式的攻擊都廣泛使用，從而削弱了靜態(tài)方法的完整性。 對更高等級的數(shù)據(jù)，需要更嚴(yán)格的解決方法，例如，可使用強(qiáng)的鑒別方法和一次性口令。標(biāo)記卡或標(biāo)記軟件程序使用一個算法產(chǎn)生通常有 6個數(shù)字的號碼，最后的口令碼是該 6個數(shù)字碼和 PIN的組合。雖然這種鑒別方法優(yōu)于靜態(tài)方法，可以不再有必要用一次性口令，但大部分標(biāo)記產(chǎn)生卡和標(biāo)記軟件程序利用一次性口令，使用一次后就不再有效了。像智能卡這些設(shè)備，當(dāng)若干次非法企圖后會自己失效，因此這些可攜帶的卡即使丟失或被偷竊，也不會有很大風(fēng)險。也可以在安全策略文檔中規(guī)定口令加強(qiáng)的需求，并且在鑒別服務(wù)器中進(jìn)行設(shè)定，大部分操作系統(tǒng)支持這種特性。分布式鑒別在業(yè)界是最流行的，對每一個要訪問的系統(tǒng)，用戶有不同的 UID和口令，有時甚至對給定系統(tǒng)訪問的每個應(yīng)用都有不同的 UID和口令。 SSO準(zhǔn)許用戶使用單一賬號和口令的組合來訪問企業(yè)中的很多資源。它也減輕了管理的負(fù)擔(dān)，管理員需跟蹤的賬戶大大減少，由于用戶忘記自己的口令而需要重新設(shè)置的負(fù)擔(dān)也減輕了。將 SSO引入環(huán)境，使其在異構(gòu)環(huán)境中有效地運(yùn)行需要管理員付出新的努力。如應(yīng)用適當(dāng)?shù)闹橇唾Y源解決了大部分問題，引入 SSO解決方案，就能成功地處理大部分企業(yè)范圍的鑒別需求。授權(quán)應(yīng)從應(yīng)用的周圍世界來處理。這些努力包括了解你的應(yīng)用，以及如何和客戶機(jī)、數(shù)據(jù)庫通信，以及其他服務(wù)器處理過程。端口用來處理通信的發(fā)送和接收。有了這些信息，就可明白在使用哪一種應(yīng)用會話方式（例如 TCP會話），還是通過沒有會話的突發(fā)數(shù)據(jù)的應(yīng)用通信（例如 UDP或 HTTP）。 對應(yīng)用功能及其如何實(shí)現(xiàn)有了很好的了解后，下一步是決定誰應(yīng)該在什么時間訪問哪些數(shù)據(jù)，還應(yīng)決定誰能得到對應(yīng)用服務(wù)器、數(shù)據(jù)庫或它們常駐網(wǎng)絡(luò)段的物理訪問權(quán)。將應(yīng)用訪問限制在特定的群體和一天中的特定時間，就能減少受攻擊的可能。這樣的策略是基于角色的訪問控制（ role based access control, RBAC）?；谟脩舻脑L問控制（ User Based Access Control, UBAC）是根據(jù)各個用戶的特權(quán)而不是賦予的角色來決定的訪問控制。UBAC控制從其本性看可提供更細(xì)粒度的控制，因?yàn)樗苯討?yīng)用至每個用戶或單個實(shí)體，而不是組或多個實(shí)體。大部分操作系統(tǒng)能配置生成賬戶日志，對各種系統(tǒng)里發(fā)生的事件向管理者發(fā)出報警。 UNIX Syslog或 NT事件日志設(shè)置報警 ,在日志文件中產(chǎn)生報警級報文，或更高級的報文。不論復(fù)雜性如何，賬戶管理結(jié)果都能提供以下信息： 帳戶 操作系統(tǒng)使用的詳細(xì)情況； 應(yīng)用使用的詳細(xì)情況； Inter、外聯(lián)網(wǎng)或內(nèi)部網(wǎng)的活動； 用于法庭分析的數(shù)據(jù)； 趨勢分析數(shù)據(jù)； 生成報告的數(shù)據(jù)。除了提供性能預(yù)測和趨勢分析之外，這些事件還能確定它的安全輪廓、標(biāo)識存在的或可能的威脅。 事件的時間界限和事件覆蓋的范圍一樣重要。 在 Inter年代，事情發(fā)生得很快。這些新手從專門黑客那里得到好處，裁剪黑客工具對企業(yè)施加嚴(yán)重的破壞。將入侵檢測也作為賬戶管理解決方案的一個組成部分，因?yàn)樗淖匀惶匦允鞘录z測、分析，還有防止，十分類似于事件管理的目的。 物理訪問控制有關(guān)安全基礎(chǔ)設(shè)施的組件，和其他安全設(shè)施一起減少資源濫用的效應(yīng)。 通用物理訪問控制包括標(biāo)準(zhǔn)的門鑰匙、鑰匙卡、標(biāo)識標(biāo)志、安全照相機(jī)、活動傳感器、聲像報警、安全警衛(wèi)和系統(tǒng)、設(shè)備標(biāo)簽等。企業(yè)安全策略和過程文檔定義的操作應(yīng)定