1.3 安全体系结构与模型
为了保证信息系统安全,需要使用一种系统方法来定义安全需求以及满足安全需求的方法。但是,信息安全体系结构的设计并没有严格统一的标准。在社会发展的不同时期和不同的行业领域,人们对信息安全的认识不尽相同,对解决信息安全问题的侧重也有所差别。在早期,信息安全体系是以防护技术为主的静态信息安全体系。随着人们对信息安全内涵认识的逐渐深入,其动态性和过程性的需求就越来越重要。
1.3.1 开放系统互连安全体系结构
国际标准化组织(ISO)于1989年在对开放系统互连(OSI)环境的安全性进行深入研究的基础上提出了ISO 7498-2和《Internet安全体系结构》(RFC 2401),即著名的ISO/OSI安全体系结构。我国的国家标准《信息处理系统 开放系统互连基本参考模型-第2部分:安全体系结构》(GB/T 9387.2-1995)是一个与之等同的标准,它给出了基于OSI参考模型七层协议之上的信息安全体系结构。
1.概述
OSI安全体系结构的核心内容是保证异构计算机系统进程与进程之间远距离安全地交换信息。为了全面而准确地满足开放系统的安全需求,OSI安全体系定义了安全服务、安全机制、安全管理以及如何在系统上合理地部署和配置。图1-2所示的三维框架描述了OSI安全体系结构。
图1-2 信息系统安全体系结构框架
2.安全服务
安全服务,也称安全业务,是指提高一个组织的数据处理系统和信息传递安全性的服务,这些服务的目的是对抗安全攻击,一般使用一种或多种安全机制来实现。国际标准化组织对开放系统互连参考模型规定了如下五种标准的安全服务。
(1)认证服务
认证就是识别和证实。识别是辨明一个对象的身份,证实是证明该对象的身份就是其声明的身份。OSI环境可提供对等实体认证服务和信源认证服务。对等实体认证是用于验证在某一关联的实体中,对等实体的声明是否是一致的,它可以确认对等实体是否为假冒身份;而信源认证是用于验证所接收的数据来源与所声明的来源是否一致,但它不能提供防止数据中途被修改的功能。
(2)访问控制服务
访问控制服务提供对越权使用资源的防御措施。访问控制的目标是防止对任何资源(如计算资源、通信资源或信息资源)进行非授权的访问。非授权访问包括未经授权的使用、泄露、修改、销毁以及颁发指令等。访问控制直接支持信息的机密性、完整性、可用性以及合法使用的安全目标,它对信息的机密性、完整性、可用性和合法使用起到了十分明显的作用。
(3)数据机密性服务
数据机密性服务就是保护信息不泄露或不暴露给那些未授权使用这一信息的实体(如人或组织),是针对信息泄露、窃听等被动威胁的防御措施。数据机密性服务可以分为以下四类:连接机密性,即对连接上的所有用户数据提供机密性保护;无连接机密性,即对无连接的数据报的所有用户数据提供机密性保护;选择字段保密,即对一个协议数据单元中的用户数据的一些经选择的字段提供机密性保护;信息流安全,即对可能从观察信息流就能推导出的信息提供机密性保护。
(4)数据完整性服务
数据完整性服务是针对非法篡改和破坏信息、文件以及业务流而设置的防范措施。数据完整性服务主要包括五种:带恢复的连接完整性,对连接中的数据流进行验证,保证发送信息和接受信息的一致性,可进行补救与恢复;不带恢复的连接完整性,与带恢复的连接完整性类似,对连接中的数据流进行一致性验证,只是不做补救恢复;选择字段的连接完整性,为连接上传送的用户数据中的选择字段提供完整性保护,确定被选择字段是否遭受了篡改、插入、删除或不可用;无连接完整性,为无连接的数据单元提供完整性保护,检测接收到的数据是否被篡改,并在一定程度上提供对连接重放检测;选择字段无连接完整性,为无连接上的数据单元中的选择字段提供完整性保护,检测被选择字段是否遭受了篡改。完整性服务与主动攻击有关,因此它更关注检测而不是预防攻击。
(5)不可否认性服务
不可否认性服务用于防止发送方或接收方否认消息的传送。OSI定义的不可否认性服务有两种类型:有数据原发证明的不可否认性,为数据的接收者提供数据的原发证据,使发送者不能否认这些数据的发送或否认发送内容;有交付证明的不可否认性,为数据的发送者提供数据交付证据,使接收者不能否认接收到这些数据或否认接收内容。
3.安全机制
安全机制是指用来检测、预防或从安全攻击中恢复的机制。安全机制可以分为两类:一类与安全服务有关,被用于实现安全服务;另一类与管理功能有关,被用于加强对安全系统的管理。
与管理功能相关的安全机制不针对任何特定的OSI安全服务或者协议层,也称为普适安全机制,包括以下几种。
(1)可信任的功能性:相对于某些标准(例如,根据安全策略建立的标准)而言正确的功能。
(2)安全标签:绑定在资源(可能是数据单元)上的标记,用来指明该资源的安全属性。
(3)事件检测:与安全相关的事件的检测。
(4)安全审计追踪:收集可能对安全审计有用的数据,对系统记录和行为进行独立的检查和分析。
(5)安全恢复:处理来自安全机制的请求,如事件处理、管理功能,以及采取恢复措施。
与安全服务相关的安全机制包括以下八种。
(1)加密机制
加密能为数据提供机密性,是保护数据的最常用和最基本的方法。加密机制通过对存储或传输中的数据进行加密,可防止第三方获得真实数据。它既可以单独作为一种机制运行,也可以与其他机制结合使用。
(2)数据完整性机制
数据完整性包括两种形式:一种是数据单元的完整性,另一种是数据单元序列的完整性。实现数据完整性机制的一般方法是:发送实体使用某类函数对数据本身计算出一个校验值,然后与数据一起发送给接收实体;接收实体对数据同样产生一个校验值,并与接收到的校验值进行比较,以确定数据在传输过程中是否被修改过。在这个过程中,校验值必须是加密的,或者校验值的计算需要秘密信息的参与。数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性,以防止假冒、丢失、重发、插入或修改数据。
(3)数字签名机制
数据加密解决了安全问题的一个方面,但它并不能解决在通信双方之间发生的否认、伪造、篡改和冒充等情况。采用数字签名技术可以解决这些问题。数字签名是附加在数据单元上的一些数据,这种附加数据可以起到供接收者确认数据来源和数据完整性,保护数据,防止他人伪造的作用。数字签名具有可信、不可伪造、不可复制、不可抵赖、签名的消息是不可改变等特性。数字签名机制由两个过程组成:生成签名和验证签名。生成签名要使用签名者的私有信息(如私有密钥);验证签名则使用公开的信息(如公开密钥)和过程,用以验证签名是否由签名者的私有信息所产生。数字签名机制必须保证签名只能由签名者的私有信息产生,因此,当该签名得到验证之后,就能够在任何时候向第三方(仲裁)提供证明签名者的证据。
(4)认证交换机制
认证交换机制是以交换信息的方式来确认实体身份的机制。它通过在对等实体间交换认证信息,以检验和确认对等实体的合法性,是实现访问控制的先决条件。
(5)访问控制机制
访问控制机制根据实体的身份及其有关信息,来决定该实体的访问权限。它通常采用访问控制信息库、认证信息(如口令)、安全标记等几种措施来实现。访问控制机制按照事先确定的规则决定主体对客体的访问是否合法。当一个主体试图非法使用一个未经授权使用的资源(客体)时,访问控制功能将拒绝这一企图,并将事件报告给审计跟踪系统。
(6)防业务流分析机制
防业务流分析机制主要用于对抗非授权者在线路上监听数据并对其进行流量和流向分析,只有在通信业务受到机密性服务保护时才有效。防业务流分析机制可通过填充报文和改变传输路径来实现。
(7)路由控制机制
在一个大型的网络中,从源节点到目的节点可能有多条线路可以到达,其中,有些线路是安全的,有些线路可能是不安全的。路由控制机制可使信息发送者选择特殊的路由申请,以保证数据安全。为了使用安全的子网、中继站和链路,既可预先安排网络中的路由,也可对其动态地进行选择。路由控制机制实质上就是流向控制。
(8)公证机制
在一个大型网络中,有许多节点或端节点。在使用这个网络时,并不是所有用户都是诚实的、可信的,同时也可能由于系统故障等原因使信息丢失、延迟等,这就很可能引起责任问题。为了解决这个问题,就需要有一个各方都信任的实体——公证机构,如同一个国家设立的公证机构一样,提供公证服务,仲裁出现的问题。一旦引入公证机制,通信双方进行数据通信时必须经过这个机构来转换,以确保公证机构能得到必要的信息进行仲裁。
在通信网络中,安全系统的功能由安全服务来体现,而安全服务又是由各种安全机制来实现的。安全服务与安全机制有着密切的关系,一个安全服务可以由一个或几个安全机制来实现;同样地,同一个安全机制也可用于实现不同的安全服务。表1-1列出了安全机制与安全服务的关系。
表1-1 安全机制与安全服务的关系
1.3.2 信息安全模型
ISO 7498-2中描述的安全体系结构针对的是基于OSI参考模型的网络通信系统,所定义的安全服务也只是解决网络通信安全性的技术措施,并没有涉及其他信息安全相关领域,如系统安全、物理安全、人员安全等方面。此外,ISO 7498-2中描述的安全体系结构关注的是静态的防护技术,并没有考虑到信息安全动态性和生命周期性的发展特点,缺乏检测、响应和恢复这些重要的环节,因而无法满足更复杂、更全面的信息保障的要求。
因此,随着信息安全概念的延伸,安全管理思想已经从被动加固、防护转变为主动防御,强调信息系统整个生命周期的防御和恢复。PDR(Protection Detection Reaction)模型就是最早提出的体现这样一种思想的安全模型,它是一种基于防护(Protection)、检测(Detection)、响应(Reaction)的安全模型,安全的概念不再仅仅局限于信息的保护,而是包括对整个信息和网络系统的保护、检测和反应能力等。
由于信息安全具有动态性,安全系统只有不断更新、不断完善、不断进步,才能最大限度地紧随实际情况的变化而发挥效用。因此,安全管理思想也在不断地发展,从静态防御转向动态防御。20世纪90年代末,美国国际互联网安全系统公司(ISS)提出了动态自适应网络安全模型PPDR(Policy Protection Detection Reaction,策略—防护—检测—响应)。该模型是可量化、可由数学证明、基于时间、以PDR为核心的安全模型,亦称为P2DR模型。
PPDR的基本思想是在整体的安全策略的指导下,在综合应用防护工具(如防火墙、操作系统身份认证和加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,将系统调整到最安全和风险最低的状态,PPDR模型如图1-3所示。
图1-3 PPDR模型
1.安全策略
根据风险分析产生的安全策略(Policy)描述了系统中哪些资源需要得到保护,以及如何实现对它们的保护等。安全策略是PPDR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,安全策略可以为安全管理提供管理方向和支持手段。
2.防护
防护(Protection)是指通过修复系统漏洞正确地设计、开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过访问控制、监视等手段来防止恶意威胁;通过教育等手段使用户和操作人员正确使用系统,防止意外威胁。总之,就是采取各种手段来保障信息的机密性、完整性、可用性、可控性和不可否认性。
3.检测
在PPDR模型中,检测(Detection)是非常重要的一个环节,检测是动态响应和加强防护的依据,是强制落实安全策略的有力工具。我们可以通过不断的检测和监控网络和系统,来发现新的威胁和弱点,并通知系统及时做出有效的响应。
4.响应
响应环节(Reaction)包括两方面内容:紧急响应和恢复。紧急响应是对危及安全的事件、行为、过程及时做出响应处理,避免危害进一步蔓延扩大,力求系统能够提供正常服务;恢复是指一旦系统遭到破坏,要尽快恢复系统功能,尽早提供正常的服务。这一环节在安全系统中占有最重要的地位,是解决安全潜在性问题最有效的办法。
PPDR模型是建立在时间的安全理论基础之上的。该理论的基本思想是:信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为还是响应行为,都会消耗时间,因而可以用时间尺度来衡量一个体系功能的强弱和安全性。在PPDR模型中,安全目标是要尽可能地延长保护时间,尽量缩短检测时间和响应时间。
PPDRR(或者P2DR2),与PPDR非常相似,区别在于PPDRR把恢复环节提到了和防护、检测、响应等环节同等的高度。在PPDRR模型中,安全策略、防护、检测、响应和恢复共同构成了完整的安全体系,利用这样的模型,绝大多数的信息安全问题都能得以描述和解释。
1.3.3 信息保障技术框架
当信息安全发展到信息保障阶段之后,构建信息安全保障体系必须从安全的各个方面进行综合考虑。只有将技术、管理、策略、工程过程等方面紧密结合,安全保障体系才能真正成为指导安全方案设计和建设的有力依据。
在这个背景下,从1998年开始,美国国家安全局历经数年制定了《信息保障技术框架》(Information Assurance Technical Framework,IATF)这部对信息保障系统的建设具有重要指导意义的技术指南。IATF是一个全面描述信息安全保障体系的框架,它提出了建设信息基础设施的全套安全需求。
1.信息保障框架域
IATF将信息系统的信息保障技术层面划分成了四个技术框架域:网络和基础设施(Networks and Infrastructures)、区域边界(Enclave Boundaries)、本地计算环境(Local Computing Environment)和支撑性基础设施(Supporting Infrastructures)。其中,支撑性基础设施包括检测与响应(Detect and Respond)和密钥管理基础设施(Key Management Infrastructure)与公钥基础设施(Public Key Infrastructure)。IATF框架域范围如图1-4所示,在每个框架域范围内,IATF都描述了其特有的安全需求和相应的可供选择的技术措施。IATF提出这四个框架域,目的就是让人们理解网络安全的不同方面,以全面分析信息系统的安全需求,建立恰当的安全防御机制。IATF的主要作用有以下几点。
(1)保护本地计算环境
本地计算环境的安全,包括服务器和客户机以及安装在其上的应用程序、操作系统和基于主机的监控组件(病毒检测、入侵检测)等方面的安全。本地计算环境包括通信(如电子邮件)、操作系统、Web浏览器、无线访问、电子业务、数据库访问、共享计算等应用。
图1-4 IATF框架域
保护本地计算机环境的目标包括:确保对客户机、服务器和应用实施充分的保护,以防止拒绝服务、数据未授权泄露和数据篡改等攻击;无论客户机、服务器或应用位于某区域之内或之外,都必须确保由其所处理的数据具有机密性和完整性;防止未授权使用客户机、服务器或应用的情况;保障客户机和服务器遵守安全配置指南并正确安装了所有补丁;对所有的客户机与服务器的配置管理进行维护,跟踪补丁和系统配置更改信息;对于内部和外部的受信任人员对系统从事违规和攻击活动具有足够的防范能力。
(2)保护区域边界
在区域边界框架中,区域指的是通过局域网相互连接、采用单一安全策略并且不考虑物理位置的计算设备的集合。区域边界是区域与外部网络发生信息交换的部分,区域边界确保进入的信息不会影响区域内资源的安全,而离开的信息也是经过合法授权的。
保护区域边界的目标包括:对物理和逻辑区域进行充分保护;针对变化性的威胁采用动态抑制服务;确信在被保护区域内的系统与网络保持其可接受的可用性,并且不会被不适宜地泄露;为区域内由于技术或配置问题无法自行实施保护的系统提供边界保护;提供风险管理办法,有选择地允许重要信息跨区域边界流动;对被保护区域内的系统和数据进行保护,使之免受外部系统的攻击或破坏;针对用户向区域之外发送或接受区域之外的信息提供强认证以及经认证的访问控制。
(3)保护网络及基础设施
为维护信息服务,并对公共的、私人的或保密的信息进行保护,避免无意中泄露或更改这些信息,机构必须保护其网络和基础设施。网络及基础设施包括局域网(LAN)、城域网(MAN)、广域网(WLAN)、校园网(CAN)等网络。
保护网络及基础设施的目标包括:保证整个广域网上交换的数据不会泄露给任何未授权的网络访问者;保证广域网支持关键任务和支持数据任务,防止受到拒绝服务攻击;防止受到保护的信息在发送过程中的延时、误传和未发送;保护网络基础设施控制信息;确信保护机制不受那些存在于其他授权枢纽或区域网络之间的各种无缝操作的干扰。
(4)保护支撑性基础设施
支撑性基础设施是实现纵深防御的另一技术层面,它可为纵深防御策略提供密钥管理、检测和响应服务。所要求的能够进行检测和响应的支撑性基础设施组件包括入侵检测系统和审计配置系统。
保护支撑性基础设施的目标如下:提供支持密钥、权限与证书管理的密码基础设施,并能够识别使用网络服务的个人;能够对入侵和其他违规事件进行快速检测和响应;执行计划并报告连续性与重建方面的要求。
2.纵深防御策略
IATF提出的信息保障的核心思想是纵深防御策略(Defense in Depth)。纵深防御策略就是采用一个多层次的、高纵深的安全措施,最大限度地降低风险、防止攻击,来保障用户信息及信息系统的安全。在纵深防御战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可。人,借助技术的支持,实施一系列的操作过程,最终实现信息保障目标。
尽管IATF重点讨论的是技术因素,但是它也提出了“人”这一因素的重要性,人就是管理。管理在信息安全保障体系建设中同样起到了十分关键的作用,可以说技术是安全的基础,管理是安全的灵魂,因此,在重视安全技术应用的同时,还必须加强安全管理。IATF框架如图1-5所示。
图1-5 IATF框架
(1)人(People):人是信息保障体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的。正是基于这样的认识,安全管理在安全保障体系中就越显重要。安全管理包括意识培训、组织管理、技术管理和操作管理等多个方面。
(2)技术(Technology):技术是实现信息保障的重要手段,信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然,这里所说的技术,已经不单是以防护为主的静态技术体系,而是防护、检测、响应、恢复并重的动态技术保障体系。
(3)操作(Operation):又称为运行,它构成了信息保障的主动防御体系,操作和流程就是将各种技术紧密结合在一起进行应用的过程,其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。
除了纵深防御这个核心思想之外,IATF还提出了其他一些信息安全原则,这些原则对指导我们建立信息安全保障体系都具有非常重大的意义。主要作用如下。
(1)保护多个位置。包括保护网络和基础设施、区域边界、计算环境等,这一原则强调的是,仅仅在信息系统的重要敏感位置设置一些保护装置是不够的,任意一个系统漏洞都有可能导致严重的攻击和破坏后果。因此,我们应在信息系统的各个位置都布置全面的防御机制,只有这样才能将风险减至最低。
(2)分层防御。如果说上一个原则是横向防御,那么这一原则就是纵向防御,这也是纵深防御思想的一个具体体现。分层防御即在攻击者和目标之间部署多层防御机制,每一个这样的机制都可以对攻击者形成一道屏障。而且每一个这样的机制还应包括保护和检测措施,以使攻击者不得不面对被检测到的风险,迫使攻击者由于高昂的攻击代价而放弃攻击行为。
(3)安全强健性。不同的信息对于组织具有不同的价值,该信息丢失或破坏所产生的后果对组织也有不同的影响。所以对信息系统内每一个信息安全组件设置的安全强健性(即强度和保障)取决于被保护信息的价值以及所遭受的威胁的程度。在设计信息安全保障体系时,必须要考虑到信息价值和安全管理成本的平衡。
安全系统的强度取决于其最薄弱的环节,这就是安全均衡原理,也称为“木桶”原理,即木桶的盛水量取决于最短木条的高度。因此,安全是一个系统工程,涉及多个方面,任何方面的缺陷都可能会导致严重的安全事故,只有联合使用各种防护措施来综合改善系统中各部分的安全性,才能提高整个系统的安全水平。
互联网应用不断产生新的模式,随之而来的还有新的信息安全问题。提出新的安全体系和模型来促进和控制信息的智慧互通,将成为信息安全发展的挑战。