安全基础设施的设计原理

1、单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式第第18章章 安全基础设施设计原理安全基础设施设计原理18.1 安全基础设施概述安全基础设施概述18.2 安全基础设施的目标安全基础设施的目标18.3 安全基础设施的的设计指南安全基础设施的的设计指南18.4 密钥管理基础设施密钥管理基础设施/ /公钥基础设施公钥基础设施18.5 证书管理证书管理18.6 对称密钥管理对称密钥管理单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式18.7 基础设施目录服务基础设施目录服务18.8 信息系统安全

2、工程信息系统安全工程18.9 本章小结本章小结习题习题单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式一个安全基础设施应提供很多安全组件的协同使用，一个安全基础设施应提供很多安全组件的协同使用，其体系结构可改进整个的安全特性，而不仅是各个其体系结构可改进整个的安全特性，而不仅是各个安全组件的特性。使用这个定义，可推论出安全基安全组件的特性。使用这个定义，可推论出安全基础设施的设计和特性。础设施的设计和特性。18.1 安全基础设施概述安全基础设施概述 18.1.1 安全基础设施概述安全基础设施概述单击此处编辑母版标题样式单击此处编辑母版标题样

3、式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式以防火墙为例，使用防火墙可以很好地实施安全策以防火墙为例，使用防火墙可以很好地实施安全策略，但是，如果它不能和体系结构中的其他组件很略，但是，如果它不能和体系结构中的其他组件很好地连接，就不能构成一个安全基础设施。例如，好地连接，就不能构成一个安全基础设施。例如，这个防火墙不能和安全基础设施的其他方面互相联这个防火墙不能和安全基础设施的其他方面互相联系、互相作用，那它只是一个安全组件，而不是安系、互相作用，那它只是一个安全组件，而不是安全基础设施的一部分。这就是安全基础设施定义中全基础设施的一部分。这就是安全基础设施定义中的协同组件。再如

4、，假如从防火墙能发送报警至事的协同组件。再如，假如从防火墙能发送报警至事件管理站，由事件管理站处理成通知网络运行中心件管理站，由事件管理站处理成通知网络运行中心（Network Operations Center, NOC）的报警，那么，）的报警，那么，防火墙可能成为基础设施的一部分。防火墙可能成为基础设施的一部分。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式反之，如防火墙本身做得很好，其屏幕可显示大部反之，如防火墙本身做得很好，其屏幕可显示大部分入侵的通信，且能在搜集后做日志，但它不能通分入侵的通信，且能在搜集后做日志，但它不能通知其

5、他任何组件，那防火墙的作用是不完全的。如知其他任何组件，那防火墙的作用是不完全的。如果将防火墙和入侵检测、强的身份鉴别、加密的隧果将防火墙和入侵检测、强的身份鉴别、加密的隧道（道（VPN）等组件协同作用，就能设计成一个基本）等组件协同作用，就能设计成一个基本的安全基础设施。的安全基础设施。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式安全基础设施的主要组成有安全基础设施的主要组成有4部分：网络、平台、物部分：网络、平台、物理设施、处理过程。理设施、处理过程。网络类包括防火墙、路由器、交换机、远程访问设网络类包括防火墙、路由器、交换机、远程

6、访问设备（如备（如VPN和拨号和拨号modem池）以及基于网络的入侵池）以及基于网络的入侵检测，它们分别在整个安全设计中增加某些安全特检测，它们分别在整个安全设计中增加某些安全特性。这些组件通过其网络接口或在软件中定义的逻性。这些组件通过其网络接口或在软件中定义的逻辑来监控、过滤或限制通信。这些安全组件的作用辑来监控、过滤或限制通信。这些安全组件的作用是监控和保护在网络中通过的数据，或保护在应用是监控和保护在网络中通过的数据，或保护在应用中通过、使用的数据。中通过、使用的数据。18.1.2 安全基础设施的组成安全基础设施的组成单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副

7、标题样式单击此处编辑母版副标题样式平台类包括服务器、客户端软件（例如，执行操作平台类包括服务器、客户端软件（例如，执行操作系统和安全应用的控制）。执行一些电子操作（如系统和安全应用的控制）。执行一些电子操作（如智能卡和读卡器、产生凭证的硬件卡、基于硬件的智能卡和读卡器、产生凭证的硬件卡、基于硬件的加密设备）的设备也属于这一类。平台类还包括应加密设备）的设备也属于这一类。平台类还包括应用级访问控制，如产生凭证的软件程序、数字证书、用级访问控制，如产生凭证的软件程序、数字证书、基于主机的入侵检测、病毒扫描和清除、事件搜集基于主机的入侵检测、病毒扫描和清除、事件搜集代理和分析软件程序。应用级访问控制

8、能提供鉴别、代理和分析软件程序。应用级访问控制能提供鉴别、授权、基于主机的入侵检测和分析、病毒检测和清授权、基于主机的入侵检测和分析、病毒检测和清除、事件账户管理和分析等功能。这些安全功能用除、事件账户管理和分析等功能。这些安全功能用来保护常驻在主要基础设施边界的应用。来保护常驻在主要基础设施边界的应用。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式安全基础设施的物理组成包括标准的门钥匙和锁、安全基础设施的物理组成包括标准的门钥匙和锁、钥匙卡、标识标志、安全照相机、活动传感器、声钥匙卡、标识标志、安全照相机、活动传感器、声像报警、安全警卫

9、和系统、设备标签等。根据人的像报警、安全警卫和系统、设备标签等。根据人的生物特征检测的设备也属于这一类，如指纹读出器、生物特征检测的设备也属于这一类，如指纹读出器、面部形状照相机、视网膜扫描器等。这些仿生组件面部形状照相机、视网膜扫描器等。这些仿生组件是通过自然本质来标识和鉴别用户的。属于这一类是通过自然本质来标识和鉴别用户的。属于这一类的还有网络电缆和后备电源（如的还有网络电缆和后备电源（如UPS系统和自备发电系统和自备发电机）。物理安全设施的基本目的是防止非授权者进机）。物理安全设施的基本目的是防止非授权者进入以及保护安全基础设施的电力供应和网络连接。入以及保护安全基础设施的电力供应和网络

10、连接。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式处理过程包括企业安全策略和过程文档，用来管理处理过程包括企业安全策略和过程文档，用来管理企业数据的生成、使用、存储和销毁，以及管理这企业数据的生成、使用、存储和销毁，以及管理这些数据所在的系统和网络。企业安全策略的目的是些数据所在的系统和网络。企业安全策略的目的是定义企业资产保护的范围以及对这些资产所需的专定义企业资产保护的范围以及对这些资产所需的专门保护机制。企业安全过程是企业安全策略文档的门保护机制。企业安全过程是企业安全策略文档的一个组成，用来指导员工在特定环境下的行动。企一个组成

11、，用来指导员工在特定环境下的行动。企业安全策略和过程是安全基础设施的重要组成。有业安全策略和过程是安全基础设施的重要组成。有了综合的安全策略和过程文档，安全设计师就能明了综合的安全策略和过程文档，安全设计师就能明白什么样的资产是企业需要保护的，以及如何保护白什么样的资产是企业需要保护的，以及如何保护这些资产。这些资产。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式虽然安全策略文档提供数据、系统和网络的保护策虽然安全策略文档提供数据、系统和网络的保护策略，但它对厂商选择、设计或实施并不规定所需的略，但它对厂商选择、设计或实施并不规定所需的详

12、细战术。这些安全组件的成功实施需要了解安全详细战术。这些安全组件的成功实施需要了解安全基础设施目标，否则可能会不合适地保护或完全疏基础设施目标，否则可能会不合适地保护或完全疏忽那些关键资产。忽那些关键资产。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式安全基础设施设计的基本目标是保护企业的资产。安全基础设施设计的基本目标是保护企业的资产。保护这些资产的方法是适当地部署各个安全组件于保护这些资产的方法是适当地部署各个安全组件于有组织的、协同的安全基础设施中。这些资产包括有组织的、协同的安全基础设施中。这些资产包括硬件、软件、网络组件以及知识

13、财产。保护这些资硬件、软件、网络组件以及知识财产。保护这些资产应根据企业安全目标和企业安全策略文档。虽然产应根据企业安全目标和企业安全策略文档。虽然提到的只是数据的保护，实际上保护数据及其可用提到的只是数据的保护，实际上保护数据及其可用性也意味着保护执行的系统和网络。性也意味着保护执行的系统和网络。根据选择的数据等级分类体制，每种数据保护目标根据选择的数据等级分类体制，每种数据保护目标应按数据机密性、数据完整性和数据可行性来表示应按数据机密性、数据完整性和数据可行性来表示和衡量。和衡量。18.2 安全基础设施的目标安全基础设施的目标单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑

14、母版副标题样式单击此处编辑母版副标题样式当设计一个安全基础设施时，把应用的最好结果作当设计一个安全基础设施时，把应用的最好结果作为目标。因为应用最靠近数据以及数据的处理、交为目标。因为应用最靠近数据以及数据的处理、交换和存储。将设计目标放在数据机密性、数据完整换和存储。将设计目标放在数据机密性、数据完整性和数据可用性上，会发现这不仅使应用得到安全，性和数据可用性上，会发现这不仅使应用得到安全，而且企业也得到安全。这个概念如图而且企业也得到安全。这个概念如图18.1所示。所示。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式图图18.1 以应

15、用为目标的安全设计概念以应用为目标的安全设计概念单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式数据机密性的前提是防止非授权者看到非公共使用数据机密性的前提是防止非授权者看到非公共使用的数据。数据机密性应用于本书所定义的具有内部的数据。数据机密性应用于本书所定义的具有内部的、机密的、严格限制的标记的数据。通过安全数的、机密的、严格限制的标记的数据。通过安全数据存储和安全数据传输提供数据机密性保护。满足据存储和安全数据传输提供数据机密性保护。满足数据机密性要求的典型技术包括数据传输、安全在数据机密性要求的典型技术包括数据传输、安全在线和离线存

16、储的加密。线和离线存储的加密。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式数据完整性是关于对数据的任何非授权改变或破坏数据完整性是关于对数据的任何非授权改变或破坏的保护。这个目标的基本点是数据的准确性和合法的保护。这个目标的基本点是数据的准确性和合法性。通过产生原始数据集检查和同复制的数据进行性。通过产生原始数据集检查和同复制的数据进行比较的程序来管理完整性。提供数据完整性的通常比较的程序来管理完整性。提供数据完整性的通常解决方案是使用通用的加密策略，例如前面讲到的解决方案是使用通用的加密策略，例如前面讲到的IPSec，使用这样的检查和

17、策略来保证发送的数据等，使用这样的检查和策略来保证发送的数据等于接收的数据。保护数据不被更改或破坏，可以用于接收的数据。保护数据不被更改或破坏，可以用类似反病毒这样的简单解决方法，也可以用部署关类似反病毒这样的简单解决方法，也可以用部署关键通路存储解决方案、高可用性的防火墙簇以及企键通路存储解决方案、高可用性的防火墙簇以及企业范围的变更管理等复杂的解决方案。为了防止非业范围的变更管理等复杂的解决方案。为了防止非授权使用或破坏，鉴别和授权控制是最合适的方法。授权使用或破坏，鉴别和授权控制是最合适的方法。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副

18、标题样式最后，数据可用性也是需要十分关注的。数据可用最后，数据可用性也是需要十分关注的。数据可用性的目标范围是根据数据可用的重要性而变化的。性的目标范围是根据数据可用的重要性而变化的。对某些系统需要高可用性，高达对某些系统需要高可用性，高达99.999%，而有些系，而有些系统可用性要求就较低。提供高可用性系统保护的典统可用性要求就较低。提供高可用性系统保护的典型方法是使用冗余系统，通常包括冗余的电源、数型方法是使用冗余系统，通常包括冗余的电源、数据访问和存储、网络以及应用服务器处理等。但冗据访问和存储、网络以及应用服务器处理等。但冗余并不能满足全部数据可行性问题，尤其是近年来余并不能满足全部数

19、据可行性问题，尤其是近年来增多的拒绝服务（增多的拒绝服务（DOS）和分布式拒绝服务（）和分布式拒绝服务（DDOS）的攻击。的攻击。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式首先，设计指南中最重要的是要保证企业安全策略首先，设计指南中最重要的是要保证企业安全策略和过程与当前经营业务目标相一致。如有不一致，和过程与当前经营业务目标相一致。如有不一致，在设计和构造安全基础设施之前，应对这些策略和在设计和构造安全基础设施之前，应对这些策略和过程做必要的修改。如果设计指南没有被企业的最过程做必要的修改。如果设计指南没有被企业的最高管理层接受和全

20、力支持，那么安全设计不可能完高管理层接受和全力支持，那么安全设计不可能完全达到它的功能，事实上有可能因缺少最高管理层全达到它的功能，事实上有可能因缺少最高管理层的支持而失败。的支持而失败。18.3 安全基础设施的的设计指南安全基础设施的的设计指南单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式第二步是开发一个计算机事故响应组（第二步是开发一个计算机事故响应组（Computer Incident Response Team, CIRT）,其职责是在安全报其职责是在安全报警事件中采取必要的行动和预防措施。为了使响应警事件中采取必要的行动和预防措

21、施。为了使响应组成员能熟练地处理事件（如安全破坏或灾难恢组成员能熟练地处理事件（如安全破坏或灾难恢复），应尽可能多地进行实际培训。在很多情况下，复），应尽可能多地进行实际培训。在很多情况下，把它当作有目的的测试场景，在那里能测试把它当作有目的的测试场景，在那里能测试CIRT成成员的行动在给定安全事件下的响应、效率、完整性员的行动在给定安全事件下的响应、效率、完整性以及恢复能力。这样的测试目标对改进以及恢复能力。这样的测试目标对改进CIRT成员的成员的能力是十分重要的。能力是十分重要的。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式第三步是

22、设计基础设施安全服务以直接支持指南和第三步是设计基础设施安全服务以直接支持指南和需求。这些服务包括鉴别、授权、账户、物理访问需求。这些服务包括鉴别、授权、账户、物理访问控制和逻辑访问控制。对安全服务的设计、部署和控制和逻辑访问控制。对安全服务的设计、部署和运行应遵循专门的方法。它定义了包括评估、设计、运行应遵循专门的方法。它定义了包括评估、设计、部署和管理部署和管理4个步骤的生命周期。在评估阶段，分析个步骤的生命周期。在评估阶段，分析现存的经营业务和安全需求，以决定大部分实际的、现存的经营业务和安全需求，以决定大部分实际的、有效的安全解决方案现在是否已可行，否则必须重有效的安全解决方案现在是否

23、已可行，否则必须重新设计和构造。在设计阶段，针对评估中发现的问新设计和构造。在设计阶段，针对评估中发现的问题，设计安全解决方案。部署阶段包括安全解决方题，设计安全解决方案。部署阶段包括安全解决方案的实施和设备安装。最后是管理阶段，保证安全案的实施和设备安装。最后是管理阶段，保证安全基础设施正常运行，功能正常。基础设施正常运行，功能正常。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式鉴别服务于鉴别服务于Internet资源、外联网资源、内部网资源资源、外联网资源、内部网资源的用户，相应于它们内在的风险，需要不同级别的的用户，相应于它们内在的

24、风险，需要不同级别的安全。内部网用户愿意基于他们登录的安全。内部网用户愿意基于他们登录的ID自动进行自动进行身份鉴别，而对外联网和身份鉴别，而对外联网和Internet用户，需要使用赋用户，需要使用赋予的硬件或软件的标记和个人标识号予的硬件或软件的标记和个人标识号PIN登录。登录。通用的鉴别用户的方法包括静态用户名（通用的鉴别用户的方法包括静态用户名（UID）和口）和口令、强的两因子鉴别、一次性口令鉴别以及单点登令、强的两因子鉴别、一次性口令鉴别以及单点登录（录（Single Sign-On, SSO）鉴别。可能的话，为企业）鉴别。可能的话，为企业部署至少两种鉴别方法的组合，用于需要不同保护部

25、署至少两种鉴别方法的组合，用于需要不同保护级别的不同等级数据。对给定类别的数据选择合适级别的不同等级数据。对给定类别的数据选择合适的鉴别方法是十分重要的。的鉴别方法是十分重要的。18.3.1 鉴别鉴别单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式最普通的鉴别方式是静态最普通的鉴别方式是静态UID和口令的组合。因为静和口令的组合。因为静态口令不能经常更改，因此提供的数据保护能力是态口令不能经常更改，因此提供的数据保护能力是很小的。静态很小的。静态UID和口令的组合不能成功地抵御很多和口令的组合不能成功地抵御很多方式的攻击，包括回答攻击和蛮力

26、攻击。在回答攻方式的攻击，包括回答攻击和蛮力攻击。在回答攻击中，假冒者从以前的鉴别会话中获取击中，假冒者从以前的鉴别会话中获取UID和口令的和口令的组合，依靠偷得的组合，依靠偷得的UID和口令给鉴别服务器回答，以和口令给鉴别服务器回答，以得到访问权。在蛮力攻击中，攻击者只知道得到访问权。在蛮力攻击中，攻击者只知道UID，或，或使用一个默认系统账户，用很多口令和已知使用一个默认系统账户，用很多口令和已知UID组合组合来企图登录，以得到访问权。这两种方式的攻击都来企图登录，以得到访问权。这两种方式的攻击都广泛使用，从而削弱了静态方法的完整性。由于这广泛使用，从而削弱了静态方法的完整性。由于这个原因

27、，只有公共数据或内部数据的访问基于静态个原因，只有公共数据或内部数据的访问基于静态鉴别方法。鉴别方法。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式对更高等级的数据，需要更严格的解决方法，例如，对更高等级的数据，需要更严格的解决方法，例如，可使用强的鉴别方法和一次性口令。强的鉴别方法可使用强的鉴别方法和一次性口令。强的鉴别方法可使用诸如可使用诸如PIN这类的知识因子和智能卡、标记产生这类的知识因子和智能卡、标记产生卡、标记软件程序等的组合。标记卡或标记软件程卡、标记软件程序等的组合。标记卡或标记软件程序使用一个算法产生通常有序使用一个算法

28、产生通常有6个数字的号码，最后的个数字的号码，最后的口令码是该口令码是该6个数字码和个数字码和PIN的组合。智能卡一般包的组合。智能卡一般包含标识其拥有的权利的信息，如数字含标识其拥有的权利的信息，如数字ID或私钥。虽或私钥。虽然这种鉴别方法优于静态方法，可以不再有必要用然这种鉴别方法优于静态方法，可以不再有必要用一次性口令，但大部分标记产生卡和标记软件程序一次性口令，但大部分标记产生卡和标记软件程序利用一次性口令，使用一次后就不再有效了。利用一次性口令，使用一次后就不再有效了。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式很显然，强鉴别

29、和一次性口令的组合能力大大优于很显然，强鉴别和一次性口令的组合能力大大优于静态静态UID和口令的组合，它既不会受回答攻击的影响，和口令的组合，它既不会受回答攻击的影响，也不会受蛮力攻击的影响。像智能卡这些设备，当也不会受蛮力攻击的影响。像智能卡这些设备，当若干次非法企图后会自己失效，因此这些可携带的若干次非法企图后会自己失效，因此这些可携带的卡即使丢失或被偷窃，也不会有很大风险。卡即使丢失或被偷窃，也不会有很大风险。为了改进使用静态鉴别方法，可以建立一个口令老为了改进使用静态鉴别方法，可以建立一个口令老化的过程，规定在口令使用一定时期后必须更改。化的过程，规定在口令使用一定时期后必须更改。也可

30、以在安全策略文档中规定口令加强的需求，并也可以在安全策略文档中规定口令加强的需求，并且在鉴别服务器中进行设定，大部分操作系统支持且在鉴别服务器中进行设定，大部分操作系统支持这种特性。这种特性。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式另一个设计鉴别体制时需考虑的问题是选择分布式另一个设计鉴别体制时需考虑的问题是选择分布式或集中式的鉴别。分布式鉴别在业界是最流行的，或集中式的鉴别。分布式鉴别在业界是最流行的，对每一个要访问的系统，用户有不同的对每一个要访问的系统，用户有不同的UID和口令，和口令，有时甚至对给定系统访问的每个应用都有不同

31、的有时甚至对给定系统访问的每个应用都有不同的UID和口令。和口令。与上述方法相反的是单点登录（与上述方法相反的是单点登录（SSO）。）。SSO准许用准许用户使用单一账号和口令的组合来访问企业中的很多户使用单一账号和口令的组合来访问企业中的很多资源。资源。SSO对用户提供方便的优点是显而易见的。它对用户提供方便的优点是显而易见的。它也减轻了管理的负担，管理员需跟踪的账户大大减也减轻了管理的负担，管理员需跟踪的账户大大减少，由于用户忘记自己的口令而需要重新设置的负少，由于用户忘记自己的口令而需要重新设置的负担也减轻了。担也减轻了。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副

32、标题样式单击此处编辑母版副标题样式然而，然而，SSO不是没有一点麻烦。将不是没有一点麻烦。将SSO引入环境，使引入环境，使其在异构环境中有效地运行需要管理员付出新的努其在异构环境中有效地运行需要管理员付出新的努力。这些新的努力包括兼容的问题、部署和功能操力。这些新的努力包括兼容的问题、部署和功能操作的问题，以及管理的问题等。如应用适当的智力作的问题，以及管理的问题等。如应用适当的智力和资源解决了大部分问题，引入和资源解决了大部分问题，引入SSO解决方案，就能解决方案，就能成功地处理大部分企业范围的鉴别需求。成功地处理大部分企业范围的鉴别需求。单击此处编辑母版标题样式单击此处编辑母版标题样式 单

33、击此处编辑母版副标题样式单击此处编辑母版副标题样式授权是基于一个人或一个组的标识，允许或拒绝规授权是基于一个人或一个组的标识，允许或拒绝规定的特权的行为。授权应从应用的周围世界来处理。定的特权的行为。授权应从应用的周围世界来处理。从根本上讲，应用安全是所有努力的目标。这些努从根本上讲，应用安全是所有努力的目标。这些努力包括了解你的应用，以及如何和客户机、数据库力包括了解你的应用，以及如何和客户机、数据库通信，以及其他服务器处理过程。通信，以及其他服务器处理过程。18.3.2 授权授权单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式应用通常使

34、用一个静态的端口集以及和其他实体通应用通常使用一个静态的端口集以及和其他实体通信的协议。端口用来处理通信的发送和接收。决定信的协议。端口用来处理通信的发送和接收。决定使用什么样的端口和什么样的协议。有了这些信息，使用什么样的端口和什么样的协议。有了这些信息，就可明白在使用哪一种应用会话方式（例如就可明白在使用哪一种应用会话方式（例如TCP会会话），还是通过没有会话的突发数据的应用通信话），还是通过没有会话的突发数据的应用通信（例如（例如UDP或或HTTP）。明白这些应用通信类型以及）。明白这些应用通信类型以及如何通信有助于设计有效的、适当的授权控制。如何通信有助于设计有效的、适当的授权控制。对

35、应用功能及其如何实现有了很好的了解后，下一对应用功能及其如何实现有了很好的了解后，下一步是决定谁应该在什么时间访问哪些数据，还应决步是决定谁应该在什么时间访问哪些数据，还应决定谁能得到对应用服务器、数据库或它们常驻网络定谁能得到对应用服务器、数据库或它们常驻网络段的物理访问权。这样就能防止入侵者得到访问控段的物理访问权。这样就能防止入侵者得到访问控制。将应用访问限制在特定的群体和一天中的特定制。将应用访问限制在特定的群体和一天中的特定时间，就能减少受攻击的可能。时间，就能减少受攻击的可能。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式根据

36、赋予的资源特权将用户分成组，通过按资源将根据赋予的资源特权将用户分成组，通过按资源将用户分组的方法，用赋予的组标签在应用级进行授用户分组的方法，用赋予的组标签在应用级进行授权控制来控制组成员的活动。这样的策略是基于角权控制来控制组成员的活动。这样的策略是基于角色的访问控制（色的访问控制（role based access control, RBAC）。）。虽然虽然RBAC控制很好，适合于具有大量用户和大量公控制很好，适合于具有大量用户和大量公共或内部数据资源的服务，但是对标有机密或严格共或内部数据资源的服务，但是对标有机密或严格限制的数据保护需要更严格的控制。基于用户的访限制的数据保护需要更严

37、格的控制。基于用户的访问控制（问控制（User Based Access Control, UBAC）是根据）是根据各个用户的特权而不是赋予的角色来决定的访问控各个用户的特权而不是赋予的角色来决定的访问控制。制。UBAC需要对每个用户分别进行鉴别和授权。需要对每个用户分别进行鉴别和授权。UBAC控制从其本性看可提供更细粒度的控制，因为控制从其本性看可提供更细粒度的控制，因为它直接应用至每个用户或单个实体，而不是组或多它直接应用至每个用户或单个实体，而不是组或多个实体。个实体。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式账户管理涉及日志和

38、行为的监控、事件以及满足某账户管理涉及日志和行为的监控、事件以及满足某些条件引起的报警。大部分操作系统能配置生成账些条件引起的报警。大部分操作系统能配置生成账户日志，对各种系统里发生的事件向管理者发出报户日志，对各种系统里发生的事件向管理者发出报警。最流行的操作系统日志程序是用于警。最流行的操作系统日志程序是用于UNIX系统的系统的Syslog和用于和用于Microsoft NT的的NT事件日志。事件日志。UNIX Syslog或或NT事件日志设置报警事件日志设置报警,在日志文件中产生报在日志文件中产生报警级报文，或更高级的报文。然而，情况可能更为警级报文，或更高级的报文。然而，情况可能更为复

39、杂，如若干个相关的、协同的、不一样的事件从复杂，如若干个相关的、协同的、不一样的事件从不同的代理源发生，其结果是发出更严重的报警信不同的代理源发生，其结果是发出更严重的报警信息。不论复杂性如何，账户管理结果都能提供以下息。不论复杂性如何，账户管理结果都能提供以下信息：信息：18.3.3 帐户帐户单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式操作系统使用的详细情况；操作系统使用的详细情况；应用使用的详细情况；应用使用的详细情况；Internet、外联网或内部网的活动；、外联网或内部网的活动；用于法庭分析的数据；用于法庭分析的数据；趋势分析数

40、据；趋势分析数据；生成报告的数据。生成报告的数据。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式这些结果对企业都是很有价值的。除了提供性能预这些结果对企业都是很有价值的。除了提供性能预测和趋势分析之外，这些事件还能确定它的安全轮测和趋势分析之外，这些事件还能确定它的安全轮廓、标识存在的或可能的威胁。操作系统事件能提廓、标识存在的或可能的威胁。操作系统事件能提示安全职员下列情况：失败的登录企图、企图得到示安全职员下列情况：失败的登录企图、企图得到根或管理员的访问、文件系统是否已被安全送出。根或管理员的访问、文件系统是否已被安全送出。事件的时

41、间界限和事件覆盖的范围一样重要。当管事件的时间界限和事件覆盖的范围一样重要。当管理员只是每周一次用人工方法考查事件日志时，从理员只是每周一次用人工方法考查事件日志时，从操作系统、关键应用以及在网络段上的通信监控安操作系统、关键应用以及在网络段上的通信监控安全事件到底有多少价值呢？当管理员周期地考查这全事件到底有多少价值呢？当管理员周期地考查这些事件日志，查看一段历史时，黑客和漏洞的跟踪些事件日志，查看一段历史时，黑客和漏洞的跟踪有可能早已离开了，一些关键数据也可能已被取走。有可能早已离开了，一些关键数据也可能已被取走。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式

42、单击此处编辑母版副标题样式在在Internet年代，事情发生得很快。即使是黑客新手年代，事情发生得很快。即使是黑客新手也可能用大量黑客工具来攻击企业资产。这些新手也可能用大量黑客工具来攻击企业资产。这些新手从专门黑客那里得到好处，裁剪黑客工具对企业施从专门黑客那里得到好处，裁剪黑客工具对企业施加严重的破坏。加严重的破坏。因此，不仅需要连续的访问和鉴别控制，还需要实因此，不仅需要连续的访问和鉴别控制，还需要实时的事件管理和入侵检测（时的事件管理和入侵检测（ID）解决方法。将入侵）解决方法。将入侵检测也作为账户管理解决方案的一个组成部分，因检测也作为账户管理解决方案的一个组成部分，因为它的自然特性

43、是事件检测、分析，还有防止，十为它的自然特性是事件检测、分析，还有防止，十分类似于事件管理的目的。以往只是将事件管理当分类似于事件管理的目的。以往只是将事件管理当作一种静态搜集信息的工具，在这里将事件管理作作一种静态搜集信息的工具，在这里将事件管理作为一种实时安全报警机制。为一种实时安全报警机制。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式物理访问控制有关安全基础设施的组件，和其他安物理访问控制有关安全基础设施的组件，和其他安全设施一起减少资源滥用的效应。物理控制的操作全设施一起减少资源滥用的效应。物理控制的操作是物理的。是物理的。通用

44、物理访问控制包括标准的门钥匙、钥匙卡、标通用物理访问控制包括标准的门钥匙、钥匙卡、标识标志、安全照相机、活动传感器、声像报警、安识标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等。使用这些组件的方法全警卫和系统、设备标签等。使用这些组件的方法决定了物理访问控制策略的质量。企业安全策略和决定了物理访问控制策略的质量。企业安全策略和过程文档定义的操作应定义如何保护专门等级的数过程文档定义的操作应定义如何保护专门等级的数据及执行的系统。这些过程还应陈述在灾难事件中据及执行的系统。这些过程还应陈述在灾难事件中通知相应的人员采取哪些行动，对应用重要的数据通知相应的人员采取哪些行动，对应

45、用重要的数据影响，定义相应的法庭过程以及如何降低相关的风影响，定义相应的法庭过程以及如何降低相关的风险。险。18.3.4 物理访问控制物理访问控制单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式除了减少安全漏洞的风险和影响外，服务的破坏也除了减少安全漏洞的风险和影响外，服务的破坏也必须计入物理保护策略。服务破坏保护策略包括正必须计入物理保护策略。服务破坏保护策略包括正确的组件放置以及冗余。安全基础设施放置和冗余确的组件放置以及冗余。安全基础设施放置和冗余是一样重要的。例如，某公司需要一个高可用性的是一样重要的。例如，某公司需要一个高可用性的

46、系统和数据为客户服务，为此公司需安装一条冗余系统和数据为客户服务，为此公司需安装一条冗余的的T-1电缆接到提供客户服务的数据中心，同时需要电缆接到提供客户服务的数据中心，同时需要安装冗余的安装冗余的UPS设备。由于施工土建工作量较小，施设备。由于施工土建工作量较小，施工过程未同土建安全部门联系。但这种疏忽有可能工过程未同土建安全部门联系。但这种疏忽有可能会引起水、电等事故，这类事故在安装物理基础设会引起水、电等事故，这类事故在安装物理基础设施组件时本来是完全可以避免的。施组件时本来是完全可以避免的。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标

47、题样式逻辑访问控制是所有安全基础设施控制中最引人注逻辑访问控制是所有安全基础设施控制中最引人注目的。这些控制包括防火墙、路由器、交换机、目的。这些控制包括防火墙、路由器、交换机、VPN和应用层控制，用来限制系统和网络的使用。和应用层控制，用来限制系统和网络的使用。如前所述，逻辑访问控制有时使用鉴别和授权信息如前所述，逻辑访问控制有时使用鉴别和授权信息来决定准予或拒绝访问。另外，这些决定取决于正来决定准予或拒绝访问。另外，这些决定取决于正在使用的端口和协议。这些控制最好先集中在应用在使用的端口和协议。这些控制最好先集中在应用上，然后再控制低层协议。上，然后再控制低层协议。18.3.5 逻辑访问控

48、制逻辑访问控制单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式下面举例说明，假定有一个下面举例说明，假定有一个HealthApp的应用，此应的应用，此应用利用端口用利用端口8111上的上的TCP和和HealthApp客户通信，而客户通信，而TCP8104处理服务器对服务器的通信。首先需明白处理服务器对服务器的通信。首先需明白应用的功能，而不是一开始就访问控制不希望的端应用的功能，而不是一开始就访问控制不希望的端口和协议。在本例中，口和协议。在本例中，HealthApp服务器和其他服务服务器和其他服务器通信首先执行一个域名系统（器通信首先执行

49、一个域名系统（DNS）的查找来发）的查找来发现要同它通信的服务器的现要同它通信的服务器的IP地址，地址，HealthApp服务器服务器和和DNS服务器之间的服务器之间的DNS询问必须是允许的。询问必须是允许的。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式在本例中，下一步是对不是和在本例中，下一步是对不是和HealthApp应用相联系应用相联系的操作，拒绝所有访问控制设备（例如防火墙、路的操作，拒绝所有访问控制设备（例如防火墙、路由器、交换机）上的通信，并对应用进行测试。这由器、交换机）上的通信，并对应用进行测试。这样以应用为目标，导出可

50、用的、最安全的逻辑访问样以应用为目标，导出可用的、最安全的逻辑访问控制集。可以发现，使用这个策略是保护应用数据控制集。可以发现，使用这个策略是保护应用数据及其执行的系统的最有效方法。及其执行的系统的最有效方法。逻辑访问控制能应用不同的方法来限制系统和网络逻辑访问控制能应用不同的方法来限制系统和网络的使用。对应用访问的保护，逻辑访问控制通常使的使用。对应用访问的保护，逻辑访问控制通常使用在应用本身。基于鉴别和授权准则，可设计成明用在应用本身。基于鉴别和授权准则，可设计成明确的限制或允许一定用户或用户组的访问。网络访确的限制或允许一定用户或用户组的访问。网络访问控制根据试图经过一个网络段的端口号和

51、协议来问控制根据试图经过一个网络段的端口号和协议来决定允许还是拒绝通信。很多防火墙、路由器、交决定允许还是拒绝通信。很多防火墙、路由器、交换机、换机、VPN网关和网关和ID系统可以根据它的类型（系统可以根据它的类型（TCP、UDP或或IPX）、源、目的甚至载荷来限制通信。）、源、目的甚至载荷来限制通信。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式逻辑访问控制通常最后使用入侵检测系统，包括发逻辑访问控制通常最后使用入侵检测系统，包括发送一个送一个TCP RESET（RST）分组给非授权网络通信）分组给非授权网络通信的发送源。这个的发送源。

52、这个RST分组通知发送源（冒犯者）的主分组通知发送源（冒犯者）的主机该数据会话没有接收到。虽然这个冒犯者的主机机该数据会话没有接收到。虽然这个冒犯者的主机可能继续再试，但它的非授权通信经过给定的网络可能继续再试，但它的非授权通信经过给定的网络段，入侵检测系统将重新设置这个会话，因此阻止段，入侵检测系统将重新设置这个会话，因此阻止了该通信到达目的站。了该通信到达目的站。实践证明，最好的逻辑访问控制实施策略是包括周实践证明，最好的逻辑访问控制实施策略是包括周边的建立、内部应用和基于网络的控制、基础设施边的建立、内部应用和基于网络的控制、基础设施的保护。周边的建立将决定哪些系统和网络是最可的保护。周

53、边的建立将决定哪些系统和网络是最可信的（内部的），哪些系统和网络有点可信信的（内部的），哪些系统和网络有点可信（DMZ），哪些系统和网络根本不可信。图），哪些系统和网络根本不可信。图18.2表表示建立可信域的模型。示建立可信域的模型。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式图图18.2 可信域的模型可信域的模型单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式设计分开的可信区域，就能使用访问控制，以适合设计分开的可信区域，就能使用访问控制，以适合不同可信区域内网络和系统的经营业务的

54、目的。不同可信区域内网络和系统的经营业务的目的。Internet需要和内部网和外联网不同的访问控制水平，需要和内部网和外联网不同的访问控制水平，不仅必须选择合适的访问控制技术，还必须包括基不仅必须选择合适的访问控制技术，还必须包括基础设施的正确部署位置。入侵检测系统安装在周边础设施的正确部署位置。入侵检测系统安装在周边防火墙内和防火墙外结果不同。不仅重要的事件及防火墙内和防火墙外结果不同。不仅重要的事件及其内容不同，而且使用的数据机密性、完整性和可其内容不同，而且使用的数据机密性、完整性和可用性的需求也不同，事件着重点的改变也相当大。用性的需求也不同，事件着重点的改变也相当大。当实施这些控制时

55、，应尽可能少地牺牲企业的生产当实施这些控制时，应尽可能少地牺牲企业的生产力和利益，这是必须考虑的因素，虽然要做到这点力和利益，这是必须考虑的因素，虽然要做到这点不容易。不容易。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式支撑性基础设施是能够提供安全服务的一套相互关支撑性基础设施是能够提供安全服务的一套相互关联的活动与基础设施。有两个十分重要的支撑性基联的活动与基础设施。有两个十分重要的支撑性基础设施：础设施：密钥管理基础设施密钥管理基础设施/公钥基础设施，用于产生、公布公钥基础设施，用于产生、公布和管理密钥与证书等安全凭证。和管理密钥与

56、证书等安全凭证。检测与响应，用于预警、检测、识别可能的网络攻检测与响应，用于预警、检测、识别可能的网络攻击，做出有效响应以及对攻击行为进行调查分析。击，做出有效响应以及对攻击行为进行调查分析。18.4 密钥管理基础设施密钥管理基础设施/公钥基础设施公钥基础设施单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式本节阐述密钥基础设施与公钥基础设施本节阐述密钥基础设施与公钥基础设施（KMI/PKI），），KMI/PKI作为一种支撑性基础设施，作为一种支撑性基础设施，其本身并不能直接为用户提供安全服务，但其本身并不能直接为用户提供安全服务，但KMI/

57、PKI是其他安全应用的基础。是其他安全应用的基础。KMI/PKI是安全是安全服务所必需的组件，其体系结构依赖于其支持的应服务所必需的组件，其体系结构依赖于其支持的应用。表用。表18-1列出了不同用户类型对列出了不同用户类型对KMI/PKI的需求。的需求。例如，在为两个用户提供端到端加密隧道的虚拟专例如，在为两个用户提供端到端加密隧道的虚拟专用网（用网（VPN）中，）中，KMI/PKI为实现认证和加密功能为实现认证和加密功能的加密设备提供密钥和证书，还为用户提供密钥恢的加密设备提供密钥和证书，还为用户提供密钥恢复服务以及证书查询的目录服务。复服务以及证书查询的目录服务。单击此处编辑母版标题样式单

58、击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式表表18-1 KMI/PKI支持不同类型的用户服务支持不同类型的用户服务用户类型KMI/PKI服务VPN密钥产生证书管理密钥恢复目录服务网络访问控制 密钥产生证书管理增值服务目录服务远程访问服务 密钥产生证书管理密钥恢复目录服务多级安全密钥产生证书管理目录服务单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式用户类型用户类型KMI/PKI服务服务VPN密钥产生证书管理密钥密钥产生证书管理密钥恢复目录服务网络访问控制密钥产生证书管理增值恢复目录服务网络访问控制密钥产生证

59、书管理增值服务目录服务远程访问服务密钥产生证书管理密钥服务目录服务远程访问服务密钥产生证书管理密钥恢复目录服务多级安全密钥产生证书管理目录服务恢复目录服务多级安全密钥产生证书管理目录服务与其他基础设施解决方案不同的是，与其他基础设施解决方案不同的是，KMI/PKI将它将它的安全分布在一组独立的组件上。这些组件本身比的安全分布在一组独立的组件上。这些组件本身比用户应用要求更高的安全性，以保证用户证书和密用户应用要求更高的安全性，以保证用户证书和密钥的安全性。同样，基础设施中的安全策略管理、钥的安全性。同样，基础设施中的安全策略管理、信息保障的水平等都要高于用户应用的安全级别。信息保障的水平等都要

60、高于用户应用的安全级别。单击此处编辑母版标题样式单击此处编辑母版标题样式 单击此处编辑母版副标题样式单击此处编辑母版副标题样式为了减少用户获取服务的成本和需花费的人力资源，为了减少用户获取服务的成本和需花费的人力资源，要求将提供不同服务的支撑性基础设施组合在一起，要求将提供不同服务的支撑性基础设施组合在一起，形成一个能为用户提供多种服务的多组件基础设施。形成一个能为用户提供多种服务的多组件基础设施。KMI/PKI支持支持4种服务，其中每一种服务都使用了多种服务，其中每一种服务都使用了多种机制来满足用户应用对安全的不同要求。前两种种机制来满足用户应用对安全的不同要求。前两种服务能直接支持用户应用