從網絡安全角度談網絡安全策略

為了抵御網上攻擊，保護網絡安全，現在幾乎所有的網絡信息系統都裝備了各式各樣的網絡安全設施，諸如：加密設備、防火牆、入侵檢測系統、漏洞掃描、防治病毒軟件、VPN、安全認證系統、安全審計系統……等等。有人形象地把它們稱為網絡安全的十八般兵器，但是，搞好網絡安全光擁有這些兵器是不夠的，必須重視安全策略。安全策略是網絡安全的生命，是靈魂。沒有正確安全策略的安全系統就像沒有靈魂的軀殼，是不能夠完成保障安全的使命的。

　　作為例子，我想先談談關於入侵檢測系統的安全策略。

　　入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵;後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。你看，這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高;誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都采取兩種模式相結合的策略。

　　入侵檢測系統還有其他安全策略，如控制策略和響應策略。對於控制策略，入侵檢測系統分為集中式控制和分布式控制兩種模式(還有第三種是混合式)。在前者模式中，只有一個中央入侵檢測服務器，分布於各個主機上的審計程序將搜集到的數據蹤跡發送到中央服務器集中分析處理。這種方式可以節約資源，降低成本，但是在可伸縮性和可配置性上有弱點，網絡一大，就可能形成瓶頸，而且具有單點故障的風險;分布式控制模式則將中央服務器的功能分配到各個節點的主機之中，讓大家都有入侵檢測的功能，這種模式顯然能夠避免上述弱點。但分布式控制策略的維護成本卻高了很多，而且增加了監控主機的工作負擔。

　　從響應策略上講，入侵檢測系統也分為兩種模式——主動響應和被動相應。前者對於搜集到的不正常情況只發出告警通知，不試圖降低所造成的破壞，也不對攻擊者反擊;後者則可能對被攻擊系統實施控制，阻斷或減輕攻擊影響。表面上看，主動響應的功能要比被動相應強很多，大家都選前者不就完了嗎?別忙，事情還有另一面，網絡上的事情是比較復雜的，如果沒有弄清楚異常情況的根源便自動采取反制措施，如斷開網絡連接、殺死可疑進程等，可能會給系統帶來嚴重後果。須知正在運行的信息系統是連著千萬個用戶，任何一個系統的操作需要慎之又慎。出於這個原因，CFCA(中國金融認證中心)的入侵檢測系統采用了被動響應的策略。

　　2001年，CFCA的入侵檢測系統曾經發現在某個IP地址上發出數千個密集的異常訪問。按照行為模式，這應該是屬於惡意的拒絕服務攻擊。但監控者並沒有貿然斷開網絡連接，而是做了一些深入調查。結果發現，原來是某家銀行剛上認證業務，正在用CFCA的生產系統做壓力測試，這才形成了“拒絕服務攻擊的假象。通過與該銀行電話溝通，問題得以順利解決。
在我們所熟悉的安全認證業務中，安全策略也具有舉足輕重的地位。如果你在多家銀行使用網銀業務，你就能發現，不同銀行所采用的安全認證的策略有所不同。當下，銀行一度推行的“用戶名+密碼口令認證手段，由於存在明顯的安全漏洞，案件屢屢發生，已經基本絕跡，而紛紛改用了數字證書認證機制。但是，同樣是使用數字證書認證，不同銀行的安全策略也有不同：

　　·工商銀行網銀——客戶登錄網銀不需要數字證書，查詢余額也不需要。但進行轉帳交易時，不論交易額大小，均需要使用數字證書認證。大眾版網銀使用文件證書(或稱硬盤證書)或動態口令卡;專業版網銀必須使用U盾(即USB Key數字證書密碼鑰匙)，而且要輸入PIN碼作為雙重保護。客戶如不正確地輸入PIN碼，證書就不起作用，不能轉帳。

　　·招商銀行網銀——大眾版網銀可以使用文件證書或USB Key證書;專業版客戶要求必須下載客戶端軟件。不論是查詢余額還是轉帳交易，必須使用USB Key，但沒有PIN保護。

　　·興業銀行網銀——客戶第一次登錄時必須使用USB Key證書，而且要求輸入PIN碼。登錄以後的查詢交易仍需要USB Key，但不需要輸入PIN。轉帳交易則兩者都需要。

　　有興趣的話，你可以分析對比一下這幾家銀行在安全認證上的策略，在安全性和方便性上，它們各有長短。可以看出，其設計者都是動了腦筋的。在使用證書認證的前提下，以下各種措施的安全性依次遞增：

　　文件證書-->USB Key證書 -->USB Key證書+PIN -->USB Key證書+PIN+專用客戶端認證軟件。

　　然而，制定網銀安全策略時，不能一味追求安全性，因為，隨著安全性的增高，安全措施的成本也會隨著提高，用戶使用的方便性會有所降低。因此，安全策略的設計者除了考慮安全因素以外，還將考慮到系統效率、安全成本、交易風險，以及用戶使用的方便性，而對於銀行業者來說，這一切的出發點事實上是圍繞著一個中心目標——就是提高本銀行的市場競爭力和經營效益。

　　說到這裡，我不由得想起CFCA初期引進國外認證產品——Entrust/Direct軟件，那是一個我們曾經寄托了厚望，最終卻讓我們大傷腦筋的舶來品。

　　應該說，Direct產品從設計理念上說，充分考慮到了認證過程中方方面面的安全問題，采用了周密嚴格的安全策略，從通信到應用形成了一套完整的Web安全解決方案。*注：證書+PIN碼屬於雙因子認證方式，安全強度高;專用客戶端認證軟件的安全性要高於無客戶端軟件(僅浏覽器)。

　　首先，從通訊上講，Direct以HTTP協議作為基礎，對沒有安全保護的HTTP協議通訊進行了改造封裝，建立起一條通過SPKM協議加密的HTTP安全通道。

　　在客戶端與服務器的Web應用程序之間建立通道之前，Direct進行了嚴格的雙向身份認證過程，其執行的查驗項目多達8種11個，除了查驗服務器和客戶端的用戶證書之外，還需查驗它們各自的CRL分布點、三層CA的證書、2個CA的廢止列表(ARL)、OCA的Policy證書、用戶的Policy證書等。

　　與相對簡單的SSL協議作比較，大多數SSL認證方案僅查驗了客戶端和服務端的數字證書，以及CA證書鏈。對CRL的查驗僅僅在少數方案中得到實現，對ARL、Policy證書的查驗則完全缺失。

　　其次， Direct提出了獨特的三次簽名機制：第一次是 Direct/Server “服務端簽名。用以確保用戶收到交易表單信息是由服務器發出的，傳輸過程中未被篡改;第二次是Direct/Client “客戶端簽名。用以確保用戶端接收到的交易頁面在用戶IE和傳輸過程中不被篡改;第三次是用戶確認交易後，提交 “客戶端提交簽名。用以保證用戶在閱讀了交易信息之後，進行了交易的確認。

　　Direct三次簽名的安全策略，即便是在今天的安全應用中，其設計也是獨樹一幟，安全理念仍然保持領先。它受到了國外用戶的廣泛歡迎。

　　雖然Direct曾在全球占有39%的市場份額，然而它在中國卻“不服水土。由於其復雜的安全策略，導致系統開銷過大，又由於它是早期基於Unix環境展開的設計，不支持線程，不支持對稱多處理(Symmetrical Multi-Processing，SMP)技術，(注：SMP是指在一個計算機上匯集了一組處理器——多CPU,各CPU之間共享內存子系統以及總線結構。)從而Direct/Server在多並發情況下，仍只能利用單CPU資源，無法利用多CPU進行並行處理。這使得Direct系統認證效率很低，用戶等待時間過長。Entrust公司後來工作重點轉移，宣布不再支持Direct產品，因而也沒有在SMP上做任何改進。

　　相比於競爭者所使用的快捷的SSL認證過程，Direct飽受到客戶商業銀行的诟病責難，市場和技術支持人員應接不暇苦不堪言，這甚至影響到了CFCA的市場拓展，一些商業銀行因此捨CFCA而去。加之Direct要求特殊端口訪問、國外技術支持跟不上、本地化開發困難等不利因素，Entrust/Direct認證產品終於走向了它的末路。

　　“成也蕭何，敗也蕭何，當初讓Direct風光一時的，是它的獨特的安全策略，而後斷送它的前途的，也正是其安全策略啊!某院士在評論此事時曾說過：“安全不必求全，夠用就行。可謂言簡意赅，一語中的。

　　以上列舉了幾個針對具體系統的安全策略的例子，從這些例子中，我們能夠看到安全策略在安全系統建設和應用中的主導作用。當然，它們都還是屬於一些局部微觀方面的安全策略。而作為整體的安全策略，則包括的范圍更廣。如CFCA在證書認證的策略方面，就有一整套的認證策略CP，並在此基礎上，撰寫出CPS(認證操作聲明)，向外界公布，提供給證書用戶和依賴方。
;如果說得更廣些，全局和總體的網絡安全策略應該包含以下三部分：

　　1、嚴肅的法律保障——

　　安全的基石是法律、法規與手段。面對日趨嚴重的網絡犯罪，必須建立與網絡安全相關的法律、法規。計算機網絡是新生事物，過去，由於缺乏相應的法律法規，無法可依，導致網上計算機犯罪處於無序狀態。近年來，我國已經頒布多種與網絡安全相關的法律、法規，如《全國人民代表大會常務委員會關於維護互聯網安全的決定》、《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國電子簽名法》等，將對網上計算機犯罪起到極大的遏制震懾作用。

　　2、先進的