|
纵深防御创建安全的网络环境
曲成义
“第八届中国信息安全大会”于2007年4月18日在北京新世纪日航饭店隆重举行。以下是国家信息化专家咨询委员会委员曲成义在会上的演讲:
大家都知道在我们国家信息安全领域一个里程碑式的文件,就是中办发[2003]27号文件,这个文件是我们专家小组第三次会议通过,关于加强信息安全保障工作的意见。我们现在在信息安全界,特别是在网络安全这个领域中,我们的很多战略、策略在这个文里面都提出来了。为什么我说它是一个里程碑式的文件呢?这个文件发出之后,对于信息产业的应用产生的巨大的作用。在这个文件里面提出了很多经典的预见,要积极防御、综合防范。比如说如何创建一个安全、健康的网络环境,里面特别提到了要发挥各界的积极性,共同构筑国家信息安全保障体系。
在这个文里面有很多的要点,我在这里列了9点。比如说关于社会上各个行业正在推进的,就是要执行我们国家的信息安全的等级保护制度,这是由四部委共同发的文件。也就是说信息安全需要投入,包括资金、人力、资源。那么这种投入和你承受的风险之间要寻找一个科学的平衡点。过投入不必要,欠投入是不允许的。因此,如何做好等级保护,也正是目前安全界正在推动的。包括网络的安全、环境等等怎么去制定。在这之前要加强安全风险的评估。
另外在这个文里面提出了要构建我们国家的网络信任体系。这个信任体系的含义有三个方面,一个是给予密码的管理、身份的认证,授权管理和责任认证。另外提出来了要构建我们国家的信息安全体系,安全监控体系。大家知道我们国家专门有应急中心,我们国家很多职能部门正在做这件事,而且产生了良好的效果。对于提高网络攻击、病毒入侵、网络失窃、有害信息的防范有很好的作用。再一个是提出了重视信息安全的处理,我们开了一个会,国家制定了应急办法。大家知道灾难是不可避免的,但是灾难出来以后,特别是对于我们信息化的领域,如何能够及早地预警、采取对策、应急和恢复。再一个里面提出来,我们国家的信息安全,一定要搭载我们国家自己的安全产业的基础上。我们不能完全依靠别人的,所以我们国家从科技部门的信息技术,到产业部门的信息产品、厂商,最近几年有很大的进展。另外就是建设安全的法制环境。
那么下面我从五个方面概述一下如何构建安全的网络环境:
第一,作为一个网络,应该如何构建一个安全的防御框架?大家知道现在这个网络从办公室走到楼宇,楼宇走到园区,然后走到城域甚至是全世界。那么在这么庞大的网络环境里面,怎么科学地划分信息安全,制定相应的安全等级。那么采取科学的隔离机制,而且实现可信的计算,我想这是一个网络纵深防御中必须遵循的规则。
从电子政务来说有内网、外网、互联网,还有部门有专网。就是既不涉秘,又不跟互联网联。总之你不管是内网、专网、互联网在这些网络环境中的安全需求和对策是不一样的。所以需要科学地划分,以及制定科学的等级。我国目前划分了5个等级。那么对于涉秘系统又分为三级,秘密、机密、绝密。要从涉秘和非涉秘对应来看,他这三级对应的是国家4、5、6级。科学地划分等级,才能够科学、合理地部署安全设施。这个问题是非常重要的。研究一个安全、健康的网络,要从网络的纵深防御框架做起,要从科学的划分安全等级,划分出对应的等级,采取与等级适应的安全机制。
那么对于外网,当然也有一个关键义务层,信息交换层等等,但是它是非国家涉秘的,但是有工作秘密、敏感信息、个人隐私,但是允许介入互联网,所以用防火墙等等来实施。
对于纵深防御关注的点有哪些呢?第一点是科学地划分,然后是对应着国家制定安全等级。那么安全划分好了之后,等级制定好了,你要采取科学、合理的隔离技术。你是采用逻辑隔离还是物理隔离?
第三个是对于安全机制的纵深部署。刚才我说这个网已经到全国全球了,那么在这个网上你怎么配置自己的产品,形成集成管理和设施之间的联动,这有很多的例子,证明你不从全局集成管理,不实施业务联动多级的配合,你可能花了很多的钱,效果很低。那么对于刚才我提到国家涉秘的内网和互联网要用物理隔离。物理隔离有几层概念,从物理来说屏蔽室就是防止电磁波的干扰和泄露,比如说屏蔽线等等。第二个是物理机,就是一个按纽下去节省了很多的程序。那么它是物理隔离吗?他从电源、转接器到门卡都是分离的。甚至到使用的操作系统都是。这可以一个键就可以转换内容。那么什么叫做信道的隔离呢?现在没有严格的定义,但是基本上大家都在这样做。就是从公用信道上,从端对端之间,你使用了国家批准的密码进行加密的信道,应该就是等同于物理隔离的信道。为什么呢?因为我们不可能自己建一条远程信道,你去铺一条线,我想除了电信以外,很多部门是不可能的。所以,它可以形成一种等同的信道级的隔离。当然,最高一级的就是网络级的,刚才我已经说了,很多厂商在做,有人把它叫做网闸。有的产品做得还不错,但是到现在为止还没有开放到把互联网和涉秘的内网连接起来。但是确实比防火墙和安全网关提升了很多。但是它可以用在涉秘的内网之中的不同安全网之间,那么大家怎么实现涉秘的内网和互联网的信息交互呢?现在有很多的安全岛,虽然影响了时间效率,但是数据是可以安全地交换的。那么作为网闸有很多的共享性、互操作性等等。
那么作为网络的逻辑隔离就很多了。有防火墙、安全网关等等的产品。
第二步就是启动动态防御技术机制,有人叫做WPDRRA,就是从预警、防护、检测、响应、恢复、反击形成这样一个动态的机制。那么这个动态机制的核心,就是你目前的防护时间已经大于入侵检测和事件反应恢复的时间,这样才可以保证你的损失达到你可以承受的水平。那么这有一个模型,那么就是在之前做好准备。
对于动态防御技术的关键点,我想第一个是防患于未然,就是要做好风险评估和系统漏洞的一些发现,那么这样的话,有漏洞你可以赶快补,系统配置不合理你可以重新调整,这样可以减少攻击的可能性。第二就是对你这个系统做好需求分析,看一下你面临的威胁是什么,做好预警。再一个就是对你的信息系统,你要做安全预料划分,进行等级的科学预定。那么你才明确你的边界,当然对这个边界你可以采取很多的措施,防火墙就是其中一个,安全网关是,网闸也是。
但是任何没有攻破的防御,一旦攻破了你要有很好的入侵检测和诊断,尤其是像IDS、IPS、IPM。但是防护不是万能的,在突发事件的时候要制定应急预案,和采取瘫痪以后的机制,那么什么机制?像备份机制。也就是说坏了的部分怎么最快速地修复,就是你中心全瘫了,你有没有远程的再备份中心。现在国家灾难恢复指南已经出来了,特别是对重要的信息系统要想好。大家觉得最大的教训是800家没有灾难恢复的都灭亡了,有灾难恢复的400家慢慢做起来了。
第三点是构建健康的网络是要强化网络的神经。大家知道安全没有攻破,所以在这种情况下,如何做好网络的审计?大家知道总会有非法的、违规的各种操作,那么怎么办呢?有审计,审计就是说你不管谁的行为是违规的,我事后能把你发现,事前能预警,事中能够阻断。所以防空非法外联的措施很多,很多的产品。那么也有防治非法的内联,这种机制很多了。
第四个很重要的因素就是建设网络的信任体系,这是27号文件提出来的。构建一个良好的网络环境就是做好身份认证、授权管理和责任认定。真正地提供真实性、完整性、保密性、抗否认性,支持在安全网络下的交往、交换以及交易。
第五个很重要的因素就是提升网络安全风险的评估意识。刚才我上面说了任何安全要防患于未然,最近国信办等国家的1、2把手都做了批示,要加强信息安全的评审工作,要支持信息安全测评中心的建设,就是要提前发现隐患和漏洞,我想这一点已经得到了大家的共识和普遍的关注。
那么作为风险评估应该是网络建设安全的起点,也要贯彻网络生存的全声明周期。因为信息安全是高技术对抗,威胁那一面,每时每刻都在利用新技术,找你的缝隙和漏洞攻击你,所以你不及时地进行检测和评估,你就有可能被攻垮,造成严重的损失。因为网络信息系统是一个复杂的系统,它里面有很多的要素,比如说各种网络要素、系统要素、安全要素,这些要素在一起,不是哪一个高手就可以一眼看出你的漏洞和弱点,因此要借助于模型、工具、算法、平台加上人机结合,对你整个的系统进行风险评估。因为这个系统是一个复杂的信息,不但是一个技术环节,还包括行政管理、人员的要素等等。因此,风险评估做好了,可以及早地发现隐患,可以采取对策、提升强度、总结经验。风险评估一种是自评估和委托评估,一种是检查评估。当然自评估和委托评估是自己发起的,没有国家的保密系统信息上线之前是不允许的,现在这个新的政策在出台的过程中。就是防止你运行之后,有很大的深层次的严重的漏洞的存在,而造成了系统不可挽回的损失。最近保密局公布了很多的案例。
那么对于一个网络的信息系统的安全分析与检测有三个层次,一个是从管理层,从组织、人员、制度、资产控制、物理、操作、连续性、应急等等要做好分析、评估。第二个就是过程安全分析,就是从威胁、风险、脆弱性、需求、策略、方案、复合型、分发、运行、维护、更新、废气。还有技术安全分析与检测,就是安全机制、功能和强度分析、网络设施、安全设施及主机配置安全分析。现在有的主机明明支持10种,但是配置有20种或者是25种。另外要做检测,通过表层的检测和穿透性的检测,及早地发现漏洞好进行分析。
来源:中计在线 |