浅谈网络安全的灵魂:安全策略

年轻时唱过一首毛主席语录歌，歌曰：“政策和策略是党的生命，各级领导同志务必充分注意，万万不可粗心大意。”物类相通，搞了几年网络安全，对于安全策略的体验，竟也有相似的感觉。为了抵御网上攻击，保护网络安全，现在几乎所有的网络信息系统都装备了各式各样的网络安全设施，诸如：加密设备、防火墙、入侵检测系统、漏洞扫描、防治病毒软件、VPN、安全认证系统、安全审计系统……等等。有人形象地把它们称为网络安全的十八般兵器，但是，搞好网络安全光拥有这些兵器是不够的，必须重视安全策略。安全策略是网络安全的生命，是灵魂。没有正确安全策略的安全系统就像没有灵魂的躯壳，是不能够完成保障安全的使命的。
　　作为例子，我想先谈谈关于入侵检测系统的安全策略。
　　入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。你看，这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高;误用检测由于直接匹配比对异常的不可软考站点加入收藏夹接受的行为模式，因此误报率较低。但恶意行为千变万化，可能没有被收集在行为模式库中，因此漏报率就很高。这就要求用户必须根据本系统的特点和安全要求来制定策略，选择行为检测模式。现在用户都采取两种模式相结合的策略。
　　入侵检测系统还有其他安全策略，如控制策略和响应策略。对于控制策略，入侵检测系统分为集中式控制和分布式控制两种模式(还有第三种是混合式)。在前者模式中，只有一个中央入侵检测服务器，分布于各个主机上的审计程序将搜集到的数据踪迹发送到中央服务器集中分析处理。这种方式可以节约资源，降低成本，但是在可伸缩性和可配置性上有弱点，网络一大，就可能形成瓶颈，而且具有单点故障的风险;分布式控制模式则将中央服务器的功能分配到各个节点的主机之中，让大家都有入侵检测的功能，这种模式显然能够避免上述弱点。但分布式控制策略的维护成本却高了很多，而且增加了监控主机的工作负担。
　　从响应策略上讲，入侵检测系统也分为两种模式——主动响应和被动相应。前者对于搜集到的不正常情况只发出告警通知，不试图降低所造成的破坏，也不对攻击者反击;后者则可能对被攻击系统实施控制，阻断或减轻攻击影响。表面上看，主动响应的功能要比被动相应强很多，大家都选前者不就完了吗?别忙，事情还有另一面，网络上的事情是比较复杂的，如果没有弄清楚异常情况的根源便自动采取反制措施，如断开网络连接、杀死可疑进程等，可能会给系统带来严重后果。须知正在运行的信息系统是连着千万个用户，任何一个系统的操作需要慎之又慎。出于这个原因，CFCA(中国金融认证中心)的入侵检测系统采用了被动响应的策略。
　　2001年，CFCA的入侵检测系统曾经发现在某个IP地址上发出数千个密集的异常访问。按照行为模式，这应该是属于恶意的拒绝服务攻击。但监控者并没有贸然断开网络连接，而是做了一些深入调查。结果发现，原来是某家银行刚上认证业务，正在用CFCA的生产系统做压力测试，这才形成了“拒绝服务攻击”的假象。通过与该银行电话沟通，问题得以顺利解决。
在我们所熟悉的安全认证业务中，安全策略也具有举足轻重的地位。如果你在多家银行使用网银业务，你就能发现，不同银行所采用的安全认证的策略有所不同。当下，银行一度推行的“用户名+密码口令”认证手段，由于存在明显的安全漏洞，案件屡屡发生，已经基本绝迹，而纷纷改用了数字证书认证机制。但是，同样是使用数字证书认证，不同银行的安全策略也有不同：
　　·工商银行网银——客户登录网银不需要数字证书，查询余额也不需要。但进行转帐交易时，不论交易额大小，均需要使用数字证书认证。大众版网银使用文件证书(或称硬盘证书)或动态口令卡;专业版网银必须使用U盾(即USB Key数字证书密码钥匙)，而且要输入PIN码作为双重保护。客户如不正确地输入PIN码，证书就不起作用，不能转帐。
　　·招商银行网银——大众版网银可以使用文件证书或USB Key证书;专业版客户要求必须下载客户端软件。不论是查询余额还是转帐交易，必须使用USB Key，但没有PIN保护。
　　·兴业银行网银——客户第一次登录时必须使用USB Key证书，而且要求输入PIN码。登录以后的查询交易仍需要USB Key，但不需要输入PIN。转帐交易则两者都需要。
　　有兴趣的话，你可以分析对比一下这几家银行在安全认证上的策略，在安全性和方便性上，它们各有长短。可以看出，其设计者都是动了脑筋的。在使用证书认证的前提下，以下各种措施的安全性依次递增：
　　文件证书-->USB Key证书 -->USB Key证书+PIN -->USB Key证书+PIN+专用客户端认证软件。
　　然而，制定网银安全策略时，不能一味追求安全性，因为，随着安全性的增高，安全措施的成本也会随着提高，用户使用的方便性会有所降低。因此，安全策略的设计者除了考虑安全因素以外，还将考虑到系统效率、安全成本、交易风险，以及用户使用的方便性，而对于银行业者来说，这一切的出发点事实上是围绕着一个中心目标——就是提高本银行的市场竞争力和经营效益。
　　说到这里，我不由得想起CFCA初期引进国外认证产品——Entrust/Direct软件，那是一个我们曾经寄托了厚望，最终却让我们大伤脑筋的舶来品。
　　应该说，Direct产品从设计理念上说，充分考虑到了认证过程中方方面面的安全问题，采用了周密严格的安全策略，从通信到应用形成了一套完整的Web安全解决方案。*注：证书+PIN码属于双因子认证方式，安全强度高;专用客户端认证软件的安全性要高于无客户端软件(仅浏览器)。
　　首先，从通讯上讲，Direct以HTTP协议作为基础，对没有安全保护的HTTP协议通讯进行了改造封装，建立起一条通过SPKM协议加密的HTTP安全通道。
　　在客户端与服务器的Web应用程序之间建立通道之前，Direct进行了严格的双向身份认证过程，其执行的查验项目多达8种11个，除了查验服务器和客户端的用户证书之外，还需查验它们各自的CRL分布点、三层CA的证书、2个CA的废止列表(ARL)、OCA的Policy证书、用户的 Policy证书等。
　　与相对简单的SSL协议作比较，大多数SSL认证方案仅查验了客户端和服务端的数字证书，以及CA证书链。对CRL的查验仅仅在少数方案中得到实现，对ARL、Policy证书的查验则完全缺失。
　　其次， Direct提出了独特的三次签名机制：第一次是 Direct/Server “服务端签名”。用以确保用户收到交易表单信息是由服务器发出的，传输过程中未被篡改;第二次是Direct/Client “客户端签名”。用以确保用户端接收到的交易页面在用户IE和传输过程中不被篡改;第三次是用户确认交易后，提交 “客户端提交签名”。用以保证用户在阅读了交易信息之后，进行了交易的确认。
　　Direct三次签名的安全策略，即便是在今天的安全应用中，其设计也是独树一帜，安全理念仍然保持领先。它受到了国外用户的广泛欢迎。
　　虽然Direct曾在全球占有39%的市场份额，然而它在中国却“不服水土”。由于其复杂的安全策略，导致系统开销过大，又由于它是早期基于 Unix环境展开的设计，不支持线程，不支持对称多处理(Symmetrical Multi-Processing，SMP)技术，(注：SMP是指在一个计算机上汇集了一组处理器——多CPU,各CPU之间共享内存子系统以及总线结构。)从而Direct/Server在多并发情况下，仍只能利用单CPU资源，无法利用多CPU进行并行处理。这使得Direct系统认证效率很低，用户等待时间过长。Entrust公司后来工作重点转移，宣布不再支持Direct产品，因而也没有在SMP上做任何改进。
　　相比于竞争者所使用的快捷的SSL认证过程，Direct饱受到客户商业银行的诟病责难，市场和技术支持人员应接不暇苦不堪言，这甚至影响到了 CFCA的市场拓展，一些商业银行因此舍CFCA而去。加之Direct要求特殊端口访问、国外技术支持跟不上、本地化开发困难等不利因素，Entrust/Direct认证产品终于走向了它的末路。
　　“成也萧何，败也萧何”，当初让Direct风光一时的，是它的独特的安全策略，而后断送它的前途的，也正是其安全策略啊!某院士在评论此事时曾说过：“安全不必求全，够用就行。”可谓言简意赅，一语中的。
　　以上列举了几个针对具体系统的安全策略的例子，从这些例子中，我们能够看到安全策略在安全系统建设和应用中的主导作用。当然，它们都还是属于一些局部微观方面的安全策略。而作为整体的安全策略，则包括的范围更广。如CFCA在证书认证的策略方面，就有一整套的认证策略CP，并在此基础上，撰写出 CPS(认证操作声明)，向外界公布，提供给证书用户和依赖方。
如果说得更广些，全局和总体的网络安全策略应该包含以下三部分：
　　1、严肃的法律保障——
　　安全的基石是法律、法规与手段。面对日趋严重的网络犯罪，必须建立与网络安全相关的法律、法规。计算机网络是新生事物，过去，由于缺乏相应的法律法规，无法可依，导致网上计算机犯罪处于无序状态。近年来，我国已经颁布多种与网络安全相关的法律、法规，如《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国电子签名法》等，将对网上计算机犯罪起到极大的遏制震慑作用。
　　2、先进的安全技术工具——
　　先进的安全技术是网络安全的物质保证。用户对于自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，集成先进的安全技术，形成全方位的安全系统。
　　3、严格的安全管理措施——
　　搞好网络安全不能“见物不见人”，再先进的安全系统也是由人来控制的。因此，严格的安全管理是网络安全的决定性因素，信息系统的运营者必须建立相应的网络安全管理办法，加强内部管理，建立安全审核和跟踪体系，加强安全培训，提高整体网络安全意识。