網絡安全的靈魂之安全策略
安全策略為網絡安全保駕護航
年輕時唱過一首毛主席語錄歌,歌曰:“政策和策略是黨的生命,各級領導同志務必充分注意,萬萬不可粗心大意。”物類相通,搞了幾年網絡安全,對于安 全策略的體驗,竟也有相似的感覺。為了抵御網上攻擊,保護網絡安全,現在幾乎所有的網絡信息系統都裝備了各式各樣的網絡安全設施,諸如:加密設備、防火墻、入侵檢測系統、漏洞掃描、防治病毒軟件、VPN、安全認證系統、安全審計系統……等等。
有人形象地把它們稱為網絡安全的十八般兵器,但是,搞好網絡安全光擁有這些兵器是不夠的,必須重視安全策略。安全策略是網絡安全的生命,是靈魂。沒有正確安全策略的安全系統就像沒有靈魂的軀殼,是不能夠完成保障安全的使命的。
入侵檢測系統的安全策略
入侵檢測系統根據入侵檢測的行為分為兩種模式:異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型,凡是訪問者不符合這個模型的行為 將被斷定為入侵;后者則相反,先要將所有可能發生的不利的不可接受的行為歸納建立一個模型,凡是訪問者符合這個模型的行為將被斷定為入侵。
你看,這兩種模 式的安全策略是完全不同的,而且,它們各有長處和短處:異常檢測的漏報率很低,但是不符合正常行為模式的行為并不見得就是惡意攻擊,因此這種策略誤報率較 高;誤用檢測由于直接匹配比對異常的不可接受的行為模式,因此誤報率較低。但惡意行為千變萬化,可能沒有被收集在行為模式庫中,因此漏報率就很高。這就要 求用戶必須根據本系統的特點和安全要求來制定策略,選擇行為檢測模式。現在用戶都采取兩種模式相結合的策略。
入侵檢測系統還有其他安全策略,如控制策略和響應策略。對于控制策略,入侵檢測系統分為集中式控制和分布式控制兩種模式(還有第三種是混合式)。在前者模式中,只有一個中央入侵檢測服務器, 分布于各個主機上的審計程序將搜集到的數據蹤跡發送到中央服務器集中分析處理。這種方式可以節約資源,降低成本,但是在可伸縮性和可配置性上有弱點,網絡 一大,就可能形成瓶頸,而且具有單點故障的風險。
分布式控制模式則將中央服務器的功能分配到各個節點的主機之中,讓大家都有入侵檢測的功能,這種模式顯然 能夠避免上述弱點。但分布式控制策略的維護成本卻高了很多,而且增加了監控主機的工作負擔。
從響應策略上講,入侵檢測系統也分為兩種模式——主動響應和被動相應。前者對于搜集到的不正常情況只發出告警通知,不試圖降低所造成的破壞,也 不對攻擊者反擊;后者則可能對被攻擊系統實施控制,阻斷或減輕攻擊影響。表面上看,主動響應的功能要比被動相應強很多,大家都選前者不就完了嗎?
別忙,事情還有另一面,網絡上的事情是比較復雜的,如果沒有弄清楚異常情況的根源便自動采取反制措施,如斷開網絡連接、殺死可疑進程等,可能會給系統帶來嚴重后果。須知正在運行的信息系統是連著千萬個用戶,任何一個系統的操作需要慎之又慎。出于這個原因,CFCA(中國金融認證中心)的入侵檢測系統采用了被動響 應的策略。
2001年,CFCA的入侵檢測系統曾經發現在某個IP地址上發出數千個密集的異常訪問。按照行為模式,這應該是屬于惡意的拒絕服務攻擊。但監 控者并沒有貿然斷開網絡連接,而是做了一些深入調查。結果發現,原來是某家銀行剛上認證業務,正在用CFCA的生產系統做壓力測試,這才形成了“拒絕服務 攻擊”的假象。通過與該銀行電話溝通,問題得以順利解決。
在我們所熟悉的安全認證業務中,安全策略也具有舉足輕重的地位。如果你在多家銀行使用網銀業務,你就能發現,不同銀行所采用的安全認證的策略有所不同。當下,銀行一度推行的“用戶名+密碼口令”認證手段,由于存在明顯的安全漏洞,案件屢屢發生,已經基本絕跡,而紛紛改用了數字證書認證機制。但是,同樣是使用數字證書認證,不同銀行的安全策略也有不同:
工商銀行網銀——客戶登錄網銀不需要數字證書,查詢余額也不需要。但進行轉帳交易時,不論交易額大小,均需要使用數字證書認證。大眾版網銀使 用文件證書(或稱硬盤證書)或動態口令卡;專業版網銀必須使用U盾(即USB Key數字證書密碼鑰匙),而且要輸入PIN碼作為雙重保護。客戶如不正確地輸入PIN碼,證書就不起作用,不能轉帳。
網絡安全中安全策略的的敘述就結束了,希望大家已經掌握了和理解了,同時希望大家能夠繼續關注相關信息。
【編輯推薦】
