構(gòu)造積極防御的安全保障框架 二

構(gòu)造積極防御的安全保障框架

一、對(duì)當(dāng)前信息安全系統(tǒng)

的反思

當(dāng)前大部分信息安全系統(tǒng)主要是由防火墻、入侵監(jiān)測(cè)和病毒防范等組成常規(guī)的安全手段只能是在網(wǎng)絡(luò)層（IP）設(shè)防，在外圍對(duì)非法用戶和越權(quán)訪問(wèn)進(jìn)行封堵，以達(dá)到防止外部攻擊的目的對(duì)訪問(wèn)者源端不加控制操作系統(tǒng)的不安全導(dǎo)致應(yīng)用系統(tǒng)的各種漏洞層出不窮，無(wú)法從根本上解決封堵的辦法是捕捉黑客攻擊和病毒入侵的行為特征，其特征是已發(fā)生過(guò)的滯后信息

惡意用戶的攻擊手段變化多端,防護(hù)者只能:防火墻越砌越高入侵檢測(cè)越做越復(fù)雜惡意代碼庫(kù)越做越大導(dǎo)致：：誤報(bào)率增增多，安全投入入不斷增增加維護(hù)與管管理更加加復(fù)雜和和難以實(shí)實(shí)施信息系統(tǒng)統(tǒng)的使用用效率大大大降低低對(duì)新的攻攻擊入侵侵毫無(wú)防防御能力力（如沖沖擊波））反思：老三樣、、堵漏洞洞、作高高墻、防外攻、、防不勝勝防產(chǎn)生安全全事故的的技術(shù)原原因：PC機(jī)軟軟、硬件件結(jié)構(gòu)簡(jiǎn)簡(jiǎn)化，導(dǎo)導(dǎo)致資源源可任意意使用，，尤其是是執(zhí)行代代碼可修修改，惡惡意程序序可以被被植入病毒程序序利用PC操作作系統(tǒng)對(duì)對(duì)執(zhí)行代代碼不檢檢查一致致性弱點(diǎn)點(diǎn)，將病病毒代碼碼嵌入到到執(zhí)行代代碼程序序，實(shí)現(xiàn)現(xiàn)病毒傳傳播黑客利用用被攻擊擊系統(tǒng)的的漏洞竊竊取超級(jí)級(jí)用戶權(quán)權(quán)限，肆肆意進(jìn)行行破壞更為嚴(yán)重重的是對(duì)對(duì)合法的的用戶沒(méi)沒(méi)有進(jìn)行行嚴(yán)格的的訪問(wèn)控控制，可可以進(jìn)行行越權(quán)訪訪問(wèn)，造造成不安安全事故故如果從終終端操作作平臺(tái)實(shí)實(shí)施高等等級(jí)防范范，這些些不安全全因素將將從終端端源頭被被控制。。這種情情況在工作流程程相對(duì)固固定的重重要信息息系統(tǒng)顯得更為為重要而而可行。在電子政政務(wù)的內(nèi)內(nèi)外網(wǎng)中中政務(wù)內(nèi)網(wǎng)網(wǎng)與政務(wù)務(wù)外網(wǎng)物物理隔離離，政務(wù)務(wù)外網(wǎng)與與Internet邏邏輯隔離離要處理的的工作流流程都是是預(yù)先設(shè)設(shè)計(jì)好的的操作使用用的角色色是確定定的應(yīng)用范圍圍和邊界界都是明明確的這類工作作流程相相對(duì)固定定的生產(chǎn)產(chǎn)系統(tǒng)與與Internet網(wǎng)網(wǎng)是有隔隔離措施施的，外外部網(wǎng)絡(luò)絡(luò)的用戶戶很難侵侵入到內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)來(lái)，其最大大的威脅脅是來(lái)自自內(nèi)部人人員的竊竊密和破破壞。據(jù)統(tǒng)計(jì)，，80%的信息息安全事事故為內(nèi)內(nèi)部人員員和內(nèi)外外勾結(jié)所所為，而而且呈上上升的趨趨勢(shì)。因因此我們們應(yīng)該以以“防防內(nèi)為主主、內(nèi)外外兼防””的模式式，從提提高使用用節(jié)點(diǎn)自自身的安安全著手手，構(gòu)筑筑積極、、綜合的的安全防防護(hù)系統(tǒng)統(tǒng)。應(yīng)該：強(qiáng)機(jī)制、、高可信信、控使使用、防防內(nèi)外，，積極防防御二、可信信賴計(jì)算算環(huán)境為了解決決PC機(jī)機(jī)結(jié)構(gòu)上上的不安安全，從從根本上上提高其其安全性性，在世世界范圍圍內(nèi)推行行可信計(jì)計(jì)算技術(shù)術(shù)1999年由Compaq、、HP、、IBM、Intel和Microsoft牽頭頭組織TCPA(TrustedComputingPlatformAlliance)，，目前已已發(fā)展成成員190家，，遍布全全球各大大洲主力力廠商TCPA專注于于從計(jì)算算平臺(tái)體體系結(jié)構(gòu)構(gòu)上增強(qiáng)強(qiáng)其安全全性，2001年1月月發(fā)布了了標(biāo)準(zhǔn)規(guī)規(guī)范（v1.1），2003年3月月改組為為TCG(TrustedComputingGroup)其目的是是在計(jì)算算和通信信系統(tǒng)中中廣泛使使用基于于硬件安安全模塊塊支持下下的可信信計(jì)算平平臺(tái)，以以提高整整體的安安全性。。可信計(jì)算算終端基基于可信信賴平臺(tái)臺(tái)模塊（（TPM）,以以密碼技技術(shù)為支支持、安安全操作作系統(tǒng)為為核心（（如圖1所示））安全應(yīng)用組件安全操作系統(tǒng)安全操作系統(tǒng)內(nèi)核密碼模塊協(xié)議棧主板可信賴BIOSTPM(密碼模塊芯片)圖1：可信賴計(jì)算平臺(tái)具有以下下功能：：確保用戶戶唯一身身份、權(quán)權(quán)限、工工作空間間的完整整性/可可用性確保存儲(chǔ)儲(chǔ)、處理理、傳輸輸?shù)臋C(jī)密密性/完完整性確保硬件件環(huán)境配配置、操操作系統(tǒng)統(tǒng)內(nèi)核、、服務(wù)及及應(yīng)用程程序的完完整性確保密鑰鑰操作和和存儲(chǔ)的的安全確保系統(tǒng)統(tǒng)具有免免疫能力力，從根根本上防防止病毒毒和黑客客安全操作作系統(tǒng)是是可信計(jì)計(jì)算終端端平臺(tái)的的核心和和基礎(chǔ)，，沒(méi)有安安全的操操作系統(tǒng)統(tǒng)，就沒(méi)沒(méi)有安全全的應(yīng)用用，也不不能使TPM發(fā)發(fā)揮應(yīng)有有的作用用三、安全全技術(shù)保保障框架架對(duì)工作流流程相對(duì)對(duì)固定的的重要信信息系統(tǒng)統(tǒng)主要由應(yīng)應(yīng)用操作作、共享享服務(wù)和和網(wǎng)絡(luò)通通信三個(gè)個(gè)環(huán)節(jié)組組成。如如果信息息系統(tǒng)中中每一個(gè)個(gè)使用者者都通過(guò)過(guò)可信終終端認(rèn)證證和授權(quán)權(quán)，其操操作都是是符合規(guī)規(guī)定的，，網(wǎng)絡(luò)上上也不會(huì)會(huì)被竊聽(tīng)聽(tīng)和插入入，那么么就不會(huì)會(huì)產(chǎn)生攻攻擊性共共享服務(wù)務(wù)資源的的事故，，就能保保證整個(gè)個(gè)信息系系統(tǒng)的安安全可信終端端確保用用戶的合合法性和和資源的的一致性性，使用用戶只能能按照規(guī)規(guī)定的權(quán)權(quán)限和訪訪問(wèn)控制制規(guī)則進(jìn)進(jìn)行操作作，能做做到什么么樣權(quán)限限級(jí)別的的人只能能做與其其身份規(guī)規(guī)定的訪訪問(wèn)操作作，只要要控制規(guī)規(guī)則是合合理的，，那么整整個(gè)信息息系統(tǒng)資資源訪問(wèn)問(wèn)過(guò)程是是安全的的?？尚判沤K端奠奠定了系系統(tǒng)安全全的基礎(chǔ)礎(chǔ)應(yīng)用安全全邊界設(shè)設(shè)備（如如VPN安全網(wǎng)網(wǎng)關(guān)等））保護(hù)共共享服務(wù)務(wù)資源，，其具有有身份認(rèn)認(rèn)證和安安全審計(jì)計(jì)功能，，將共享享服務(wù)器器（如數(shù)數(shù)據(jù)庫(kù)服服務(wù)器、、WEB服務(wù)器器、郵件件服務(wù)器器等）與與非法訪訪問(wèn)者隔隔離，防防止意外外的非授授權(quán)用戶戶的訪問(wèn)問(wèn)（如非非法接入入的非可可信終端端）。這這樣共享享服務(wù)端端主要增增強(qiáng)其可可靠性，，如雙機(jī)機(jī)備份、、容錯(cuò)、、災(zāi)難恢恢復(fù)等，，而不必必作繁重重的訪問(wèn)問(wèn)控制，，從而減減輕服務(wù)務(wù)器的壓壓力，以以防拒絕絕服務(wù)攻攻擊采用IPSec實(shí)現(xiàn)現(xiàn)網(wǎng)絡(luò)通通信全程程安全保保密。IPSec工作作在操作作系統(tǒng)內(nèi)內(nèi)核，速速度快，，幾乎可可以達(dá)到到線速處處理，可可以實(shí)現(xiàn)現(xiàn)源到目目的端的的全程通通信安全全保護(hù)，，確保傳傳輸連接接的真實(shí)實(shí)性和數(shù)數(shù)據(jù)的機(jī)機(jī)密性、、一致性性，防止非法的的竊聽(tīng)和插入入綜上所述，可可信的應(yīng)用操操作平臺(tái)、安安全的共享服服務(wù)資源邊界界保護(hù)和全程程安全保護(hù)的的網(wǎng)絡(luò)通信，，構(gòu)成了工作作流程相對(duì)固固定的生產(chǎn)系系統(tǒng)的信息安安全保障框架架。（如圖2所示）圖2：工作流程相對(duì)固定的生產(chǎn)系統(tǒng)安全解決方案全程IPSec

服務(wù)器安全邊界設(shè)備可信客戶端可信客戶端

全程IPSec

安全域一可信客戶端可信客戶端安全域二安全隔離設(shè)備全程IPSec要實(shí)現(xiàn)上述終終端、邊界和和通信有效的的保障，還需需要授權(quán)管理理的管理中心心以及可信配配置的密碼管管理中心的支支撐從技術(shù)層面上上可以分為以以下五個(gè)環(huán)節(jié)節(jié)：應(yīng)用環(huán)境安全全應(yīng)用區(qū)域邊界界安全網(wǎng)絡(luò)和通信傳傳輸安全安全管理中心心密碼管理中心心即：兩個(gè)中心心支持下的三三重保障體系系結(jié)構(gòu)對(duì)于復(fù)雜系統(tǒng)統(tǒng)：構(gòu)成三縱（公公共區(qū)域、專專用區(qū)域、涉涉密區(qū)域）三三橫（應(yīng)用環(huán)環(huán)境、應(yīng)用區(qū)區(qū)域邊界、網(wǎng)網(wǎng)絡(luò)通信）和和兩個(gè)中心的的安全防御框框架。（如圖圖3所示）圖3：信息安安全技術(shù)保障障框架應(yīng)用環(huán)境安全全：包括單機(jī)、C/S、B/S模式，采采用身份認(rèn)證證、訪問(wèn)控制制、密碼加密密、安全審計(jì)計(jì)等機(jī)制，構(gòu)構(gòu)成可信應(yīng)用用環(huán)境應(yīng)用區(qū)域邊界界安全：通過(guò)部署邊界界保護(hù)措施控控制對(duì)內(nèi)部局局域網(wǎng)的訪問(wèn)問(wèn)，實(shí)現(xiàn)局域域網(wǎng)與廣域網(wǎng)網(wǎng)之間的安全全。采用安全全網(wǎng)關(guān)、防火火墻等隔離過(guò)過(guò)濾機(jī)制，保保護(hù)共享資源源的可信連接接網(wǎng)絡(luò)和通信傳傳輸安全：包括實(shí)現(xiàn)局域域網(wǎng)互聯(lián)過(guò)程程的安全，旨旨在確保通信信的機(jī)密性、、一致性和可可用性。采用用密碼加密、、完整性校驗(yàn)驗(yàn)和實(shí)體鑒別別等機(jī)制，實(shí)實(shí)現(xiàn)可信連接接和安全通信信安全管理中心心：提供認(rèn)證、授授權(quán)、實(shí)施訪訪問(wèn)控制策略略等服務(wù)務(wù)密碼管理中心心：提供互聯(lián)互通通密碼配置、、公鑰證書和和傳統(tǒng)的對(duì)稱稱密鑰的管理理，為信息系系統(tǒng)提供密碼碼服務(wù)三種不同性質(zhì)質(zhì)的應(yīng)用區(qū)域域在各自采用用相應(yīng)的安全全保障措施之之后，互相之之間有一定的的溝通，需要要采用安全隔隔離和信息交交換設(shè)備進(jìn)行行連接目前我國(guó)信息息安全建設(shè)正正處在一個(gè)關(guān)關(guān)鍵時(shí)期，我我們必須把握握住正確的研研究方向，制制定相應(yīng)的發(fā)發(fā)展戰(zhàn)略，走走符合我國(guó)國(guó)國(guó)情的發(fā)展道道路，利用國(guó)國(guó)際先進(jìn)技術(shù)術(shù)，開(kāi)發(fā)安全全高效，具有有自主知識(shí)產(chǎn)產(chǎn)權(quán)的信息安安全產(chǎn)品，從從而滿足我國(guó)國(guó)各行各業(yè)的的迫切需要，，促進(jìn)我國(guó)信信息安全事業(yè)業(yè)的發(fā)展。結(jié)束語(yǔ)謝謝！9、靜夜夜四無(wú)無(wú)鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Thursday,December29,202210、雨中中黃葉葉樹(shù)，，燈下下白頭頭人。。。14:20:4714:20:4714:2012/29/20222:20:47PM11、以我我獨(dú)沈沈久，，愧君君相見(jiàn)見(jiàn)頻。。。12月月-2214:20:4714:20Dec-2229-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。14:20:4714:20:4714:20Thursday,December29,202213、乍見(jiàn)翻疑疑夢(mèng)，相悲悲各問(wèn)年。。。12月-2212月-2214:20:4714:20:47December29,202214、他鄉(xiāng)生白白發(fā)，舊國(guó)國(guó)見(jiàn)青山。。。29十二二月20222:20:47下下午14:20:4712月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月222:20下下午午12月月-2214:20December29,202216、行動(dòng)出成成果，工作作出財(cái)富。。。2022/12/2914:20:4714:20:4729December202217、做前，能夠夠環(huán)視四周；；做時(shí)，你只只能或者最好好沿著以腳為為起點(diǎn)的射線線向前。。2:20:47下午2:20下下午14:20:4712月-229、沒(méi)有失失敗，只只有暫時(shí)時(shí)停止成成功！。。12月-2212月-22Thursday,December29,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒(méi)有有。。。14:20:4714:20:4714:2012/29/20222:20:47PM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點(diǎn)點(diǎn)點(diǎn)點(diǎn)小小小小努努力力的的積積累累。。。。12月月-2214:20:4714:20Dec-2229-Dec-2212、世間成事，，不求其絕對(duì)對(duì)圓滿，留一一份不足，可可得無(wú)限完美美。。14:20:4714:20:4714:20Thursday,December29,202213、不知香積積寺，數(shù)里里入云峰。。。12月-2212月-2214:20:4714:20:47December29,202214、意志堅(jiān)強(qiáng)的的人能把世界界放在手中像像泥塊一樣任任意揉捏。29十二月月20222:20:48下午14:20:4812月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月222:20下午午12月-2214:20December29,202216、少年十五五二十時(shí)，，步行奪得得胡馬騎。。。2022/12/2914:20:4814:20:4829December202217、空空山山新新雨雨后后，，天天氣氣晚晚來(lái)來(lái)秋秋。。。。2:20:48下下午午2:20下下午午14:20:4812月月-229、楊柳柳散和和風(fēng)，，青山山澹吾吾慮。。。12月月-2212月月-22Thursday,December29,202210、閱讀讀一切切好書書如同同和過(guò)過(guò)去最最杰出出的人人談話話。14:20:4814:20:4814:2012/29/20222:20:48PM11、越是沒(méi)有本本領(lǐng)的就越加加自命不凡。。12月-2214:20:4814:20Dec-2229-Dec-2212、越越是是無(wú)無(wú)能能