随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。 年轻时唱过一首毛主席语录歌, 歌曰:政策和策略是党的生命, 各级领导同志务必充分注意, 万万不可粗心大意。 物类相通, 搞了几年网络安全, 对于平安战略的体验, 竟也有相似的感觉。 为了抵御网上攻击, 维护网络平安, 现在几乎所有的网络信息系统都装备了各式各样的网络平安设施, 诸如:加密设备、防火墙、入侵检测系统、漏洞扫描、防治病毒软件、 VPN 平安认证系统、平安审计系统 … 等等。 有人形象地把它称为网络平安的十八般兵器, 但是搞好网络平安光拥有这些兵器是不够的必需重视平安战略。 平安战略是网络平安的生命, 灵魂。 没有正确平安战略的平安系统就像没有灵魂的躯壳, 不能够完成保证平安的使命的 作为例子, 想先谈谈关于入侵检测系统的平安战略。 入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。 前者先要建立一个系统访问正常行为的模型, 凡是访问者不符合这个模型的行为将被断定为入侵 ; 后者则相反, 先要将所有可能发生的有利的不可接受的行为归纳建立一个模型, 凡是访问者符合这个模型的行为将被断定为入侵。 看, 这两种模式的平安战略是完全不同的而且, 各有优点和短处:异常检测的漏报率很低, 但是不符合正常行为模式的行为并不见得就是恶意攻击, 因此这种战略误报率较高 ; 误用检测由于直接匹配比对异常的不可接受的行为模式, 因此误报率较低。 但恶意行为千变万化, 可能没有被收集在行为模式库中, 因此漏报率就很高。 这就要求用户必需根据本系统的特点和平安要求来制定策略, 选择行为检测模式。 现在用户都采取两种模式相结合的战略。 入侵检测系统还有其他平安战略, 如控制战略和响应策略。 对于控制战略, 入侵检测系统分为集中式控制和分布式控制两种模式 ( 还有第三种是混合式 ) 前者模式中, 只有一个中央入侵检测服务器, 分布于各个主机上的审计顺序将搜集到数据踪迹发送到中央服务器集中分析处置。 这种方式可以节约资源, 降低本钱, 但是可伸缩性和可配置性上有弱点, 网络一大, 就可能形成瓶颈, 而且具有单点故障的风险 ; 分布式控制模式则将中央服务器的功能分配到各个节点的主机之中, 让大家都有入侵检测的功能, 这种模式显然能够防止上述弱点。 但分布式控制策略的维护利息却高了很多, 而且增加了监控主机的工作负担。 从响应战略上讲, 入侵检测系统也分为两种模式 — 主动响应和被动相应。 前者对于搜集到不正常情况只发出告警通知, 不试图降低所造成的破坏, 也不对攻击者反击 ; 后者则可能对被攻击系统实施控制, 阻断或减轻攻击影响。 外表上看, 主动响应的功能要比主动相应强很多, 大家都选前者不就完了吗 ? 别忙, 事情还有另一面, 网络上的事情是比较复杂的如果没有弄清楚异常情况的根源便自动采取反制措施, 如断开网络连接、杀死可疑进程等, 可能会给系统带来严重后果。 须知正在运行的信息系统是连着千万个用户, 任何一个系统的操作需要慎之又慎。 出于这个原因, CFCA 中国金融认证中心 ) 入侵检测系统采用了主动响应的战略。 2001 年, CFCA 入侵检测系统曾经发现在某个 IP 地址上发出数千个密集的异常访问。 依照行为模式, 这应该是属于恶意的拒绝服务攻击。 但监控者并没有贸然断开网络连接, 而是做了一些深入调查。 结果发现, 原来是某家银行刚上认证业务, 正在用 CFCA 生产系统做压力测试, 这才形成了拒绝服务攻击 ” 假象。 通过与该银行电话沟通, 问题得以顺利解决。 所熟悉的平安认证业务中, 平安战略也具有举足轻重的地位。 如果你多家银行使用网银业务, 就能发现, 不同银行所采用的平安认证的战略有所不同。 当下, 银行一度推行的用户名 + 密码口令 ” 认证手段, 由于存在明显的平安漏洞, 案件屡屡发生, 已经基本绝迹, 而纷纷改用了数字证书认证机制。 但是同样是使用数字证书认证, 不同银行的平安战略也有不同: 工商银行网银 — 客户登录网银不需要数字证书, 查询余额也不需要。 但进行转帐交易时, 不论交易额大小, 均需要使用数字证书认证。 大众版网银使用文件证书 ( 或称硬盘证书 ) 或动态口令卡 ; 专业版网银必须使用 U 盾 ( 即 USB Kei 数字证书密码钥匙 ) 而且要输入 PIN 码作为双重维护。 客户如不正确地输入 PIN 码, 证书就不起作用, 不能转帐。 招商银行网银 — 大众版网银可以使用文件证书或 USB Kei 证书 ; 专业版客户要求必需下载客户端软件。 不管是查询余额还是转帐交易, 必需使用 USB Kei 但没有 PIN 维护。 兴业银行网银 — 客户第一次登录时必须使用 USB Kei 证书, 而且要求输入 PIN 码。 登录以后的查询交易仍需要 USB Kei 但不需要输入 PIN 转帐交易则两者都需要。 有兴趣的话, 可以分析对比一下这几家银行在平安认证上的战略, 平安性和方便性上, 各有长短。 可以看出, 其设计者都是动了脑筋的使用证书认证的前提下, 以下各种措施的平安性依次递增: 文件证书 -->USB Kei 证书 -->USB Kei 证书 +PIN -->USB Kei 证书 +PIN+ 专用客户端认证软件。 然而, 制定网银平安战略时, 不能一味追求平安性, 因为, 随着平安性的增高, 平安措施的利息也会随着提高, 用户使用的方便性会有所降低。 因此, 平安战略的设计者除了考虑平安因素以外, 还将考虑到系统效率、平安本钱、交易风险, 以及用户使用的方便性, 而对于银行业者来说, 这一切的动身点事实上是围绕着一个中心目标 — 就是提高本银行的市场竞争力和经营效益。 说到这里, 不由得想起 CFCA 初期引进国外认证产品 — Entrust/Direct 软件, 那是一个我曾经寄托了厚望, 最终却让我大伤脑筋的舶来品。 应该说, Direct 产品从设计理念上说, 充分考虑到认证过程中方方面面的平安问题, 采用了周密严格的平安战略, 从通信到应用形成了一套完整的 Web 平安解决方案。 * 注:证书 +PIN 码属于双因子认证方式, 平安强度高 ; 专用客户端认证软件的平安性要高于无客户端软件 ( 仅浏览器 ) 首先, 从通讯上讲, Direct 以 HTTP 协议作为基础, 对没有平安维护的 HTTP 协议通讯进行了改造封装, 建立起一条通过 SPKM 协议加密的 HTTP 平安通道。 客户端与服务器的 Web 应用顺序之间建立通道之前, Direct 进行了严格的双向身份认证过程, 其执行的查验项目多达 8 种 11 个, 除了查验服务器和客户端的用户证书之外, 还需查验它各自的 CRL 分布点、三层 CA 证书、 2 个 CA 废止列表 ( ARL OCA Polici 证书、用户的 Polici 证书等。 与相对简单的 SSL 协议作比较, 大多数 SSL 认证方案仅查验了客户端和服务端的数字证书, 以及 CA 证书链。 对 CRL 查验仅仅在少数方案中得到实现, 对 ARL Polici 证书的查验则完全缺失。 其次, Direct 提出了独特的三次签名机制:第一次是 Direct/Serv 服务端签名 ” 用以确保用户收到交易表单信息是由服务器发出的传输过程中未被篡改 ; 第二次是 Direct/Cli 客户端签名 ” 用以确保用户端接收到交易页面在用户 IE 和传输过程中不被篡改 ; 第三次是用户确认交易后, 提交 客户端提交签名 ” 用以保证用户在阅读了交易信息之后, 进行了交易的确认。 Direct 三次签名的平安战略, 即便是今天的平安应用中, 其设计也是独树一帜, 平安理念仍然坚持领先。 受到国外用户的广泛欢迎。 虽然 Direct 曾在全球占有 39% 市场份额, 然而它中国却 “ 不服水土 ” 由于其复杂的平安战略, 导致系统开销过大, 又由于它早期基于 Unix 环境展开的设计, 不支持线程, 不支持对称多处理 ( Symmetr Multi-Process SMP 技术, 注: SMP 指在一个计算机上汇集了一组处理器 — 多 CPU, 各 CPU 之间共享内存子系统以及总线结构。 从而 Direct/Serv 多并发情况下, 仍只能利用单 CPU 资源, 无法利用多 CPU 进行并行处置。 这使得 Direct 系统认证效率很低, 用户等待时间过长。 Entrust 公司后来工作重点转移, 宣布不再支持 Direct 产品, 因而也没有在 SMP 上做任何改进。 相比于竞争者所使用的快捷的 SSL 认证过程, Direct 饱受到客户商业银行的诟病责难, 市场和技术支持人员应接不暇苦不堪言, 这甚至影响到 CFCA 市场拓展, 一些商业银行因此舍 CFCA 而去。 加之 Direct 要求特殊端口访问、国外技术支持跟不上、外地化开发困难等不利因素, Entrust/Direct 认证产品终于走向了末路。 成也萧何, 败也萧何 ” 当初让 Direct 风光一时的独特的平安战略, 而后断送它前途的也正是其平安战略啊 ! 某院士在评论此事时曾说过:平安不必求全, 够用就行。 可谓言简意赅, 一语中的 以上列举了几个针对具体系统的平安战略的例子, 从这些例子中, 能够看到平安战略在平安系统建设和应用中的主导作用。 当然, 都还是属于一些局部微观方面的平安战略。 而作为整体的平安战略, 则包括的范围更广。 如 CFCA 证书认证的战略方面, 就有一整套的认证战略 CP 并在此基础上, 撰写出 CPS 认证操作声明 ) 向外界公布, 提供给证书用户和依赖方。 如果说得更广些, 全局和总体的网络平安战略应该包括以下三部分: 1 严肃的法律保证 — 平安的基石是法律、法规与手段。 面对日趋严重的网络犯罪, 必需建立与网络平安相关的法律、法规。 计算机网络是新生事物, 过去, 由于缺乏相应的法律法规, 无法可依, 导致网上计算机犯罪处于无序状态。 近年来, 国已经公布多种与网络平安相关的法律、法规, 如《全国人民代表大会常务委员会关于维护互联网平安的决定》中华人民共和国计算机信息系统平安维护条例》中华人民共和国电子签名法》等, 将对网上计算机犯罪起到极大的遏制震慑作用。 2 先进的平安技术工具 — 先进的平安技术是网络平安的物质保证。 用户对于自身面临的威胁进行风险评估, 决定其所需要的平安服务种类, 选择相应的平安机制, 集成先进的平安技术, 形成全方位的平安系统。 3 严格的平安管理措施 — 搞好网络平安不能 “ 见物不见人 ” 再先进的平安系统也是由人来控制的因此, 严格的平安管理是网络平安的决定性因素, 信息系统的运营者必需建立相应的网络平安管理方法, 加强内部管理, 建立平安审核和跟踪体系, 加强平安培训, 提高整体网络平安意识。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
|