“內部人”的信息安全架構---信任體系

Jack zhai

?

安全架構的“花瓶”模型把信息安全分為“防護-監控-信任”三維體系，其中防護與監控體系主要是面對外部***者的，信任體系則是針對內部用戶的安全管理。區別***的來源，是因為內部用戶是可溯源的、可控制的，企業可以明確要求員工在內部網絡上使用什么、不使用什么，而對外部人員就無法這么要求，因此信任體系是對“合法”用戶的安全防護，當然也包括通過公網訪問進來的“自己人”(***用戶)。 信任體系的主要目標是通過對用戶權限的控制，做到對信息資源的保護，采用行為取證的方式，震懾蓄意破壞者，減少安全損失。因此，信任體系關注的重點是用戶訪問過程中的控制，以及事后發現“異樣”時，可以對用戶行為進行重現與取證。 防護體系的特點是千方百計地不讓***進來，監控體系的特點是時刻警惕，看誰“象”***就重點監控起來，而信任體系的特點是必須先讓員工工作，必須給他“足夠的”權限完成業務，員工的很多行為只有等做完了，甚至一段時間之后，才能確定其是否有問題。因此，信任體系是一個對過程的跟蹤，對人具體行為合法性的判定。信任體系的不同是先建立相互信任，敞開大門迎接你，發現你有“失信”行為時，要能夠提供充分的、不可偽造的證據。 從信任體系的過程圖來看，建立信任是通過身份確認與授權實現的，而監控用戶是否違規是通過審計日志實現的。 從用戶登錄開始，一直到用戶退出，信任體系的部署分為三個階段，首先是登錄時的身份鑒別，其次是根據用戶身份進行的授權進行訪問時的控制，最后是對用戶訪問行為的審計。 ?? 用戶登錄：

通常情況下有三個地方需要用戶進行登錄管理：主機登錄、網絡登錄、應用登錄。登錄過程的目標是身份鑒別，就是確認用戶身份的密碼(稱為鑒別因子)，常見的方法有“帳號+口令”，或者CA系統提供的身份證書等等。 作為身份鑒別的因子應該具有不易偽造、不易仿制的特性，一般有三類： 2? 可記住的，如密碼口令，可以是字符與數字組合串 2? 可攜帶的，如含證書的Key、身份證、射頻芯片等 2? 自身擁有的，如指紋、虹膜、DNA等 為了區別計算機模擬人登錄，還可使用了CAPTCHA(全自動公開人機分離圖靈測試)技術，在臨時生成的圖像中含代數字與字母，人辨認后回填送給認證方，當然計算機想自動識別就很不容易了。 用戶登錄過程中，有三個問題值得關注： a)???????? 雙向認證： 在應用系統登錄時，因為對于用戶來說，服務器不象大樓保安是面對面的，它是虛擬的，所以應用系統對用戶進行了的認證，用戶也需要對應用系統進行認證。要保證用戶訪問到的服務是自己要訪問的系統，而不是“釣魚網站”。為了整個通訊過程的安全，在用戶登錄的雙向身份確認后，生成雙方建立連接的臨時密碼，用于后續通訊信息流的加密，保證通訊的過程中，不被竊聽。 b)???????? 對“用戶標識”的理解： 確認用戶的身份以后，在系統中對應生成一個用戶唯一的標識符。不同的認證點的標識也可能不同，如主機登錄后給用戶一個主機內的帳戶，網絡登錄后記錄的是IP地址(或MAC地址)，應用登錄后也是給用戶一個用戶編碼。這些“唯一標識”都有一些“不安全”的特點：： ü? 帳戶可以共用：可能是管理簡單所致，如值班員特殊賬號往往是幾個人用；可能因為是通用的帳戶名，如Admin/root/guest等是大家共知的系統帳號，只要猜出了口令(仿制的用戶Key)，就可以冒用了 ü? IP可以隱藏，也可以修改，Mac同樣可以修改 ü? Web應用中的用戶編碼往往是Cookie保存，很容易被盜取 ??? 這些問題導致了如果有人直接繞過登錄環節訪問網絡，或者以一個身份登錄后，再冒充其它人的用戶標識去訪問網絡資源，你就無法區分到底是誰的行為。因此，用戶的標識與身份認證中的鑒別因子同樣需要唯一性保護，也需要采用多因子方式，比如帳戶+IP+MAC的綁定 c)???????? ?“重認證”的嵌入： 用戶登錄是通訊建立連接的開始，若中途更換了操作人員，系統則無法發現，所以需要在通訊的過程中，不定時的重新進行身份鑒別，包括雙向的鑒別。這種鑒別是嵌入在應用系統內的，或應用系統對某些操作定期觸發的，為了避免用戶頻繁輸入口令的麻煩，可以在通訊雙方的臨時緩沖區存放登錄信息，無需用戶干預就行了。 重認證的另一層含義是，用戶離開的時間長了，或通訊連接中長時間沒有數據了就會中斷，中斷后的恢復通訊，需要重新身份的鑒別。 ??? CA系統是通過“第三方”提供的可信系統來確認通訊雙方的身份，為信任系統找到了一個可信基，這種方式避免了每個應用系統自己開發身份鑒別或口令管理模塊，是目前采用比較多的身份鑒別方法。當然這個第三方系統也可以自己建設，成為網絡內部發的安全可信基。 ??? 用戶登錄階段是驗證用戶的身份，我們稱為“驗證人”。 ?? 訪問控制：

鑒別了用戶的身份，就需要給用戶合理授權(最小授權原則)，允許他訪問哪些資源，不允許他訪問哪些資源，授權表就是系統訪問控制的依據。 從資源安全的角度講，授權的顆粒度越細越好，到文件的每個段落，到數據庫的每個字段，但是授權越細，意味著授權數據庫越龐大，管理復雜度高，不易實現。因此，目前很多IT系統采用分層次的授權方式：

2? 目錄文件授權：操作系統的文件管理系統以文件(或目錄)為單位，對用戶的授權就以文件(目錄)為單位，每個文件(目錄)有一個權限表格，權限可以分為讀、寫、執行、刪除等，文件權限的管理是文件主(創建文件的用戶) 2? 路由訪問授權：用戶要訪問某個應用系統的服務器，總需要網絡系統提供通路，否則就建立不了連接，在網絡登錄時，經常采用路由授權，一般在三層交換機、路由器中實現，這種方式以IP地址或服務端口號為控制點，權限很簡單：允許或禁止 2? 業務模塊訪問授權：在大型應用系統中，用戶只被允許訪問幾個功能模塊，業務系統會根據用戶的身份顯示不同功能菜單。這種授權一般在業務系統中自身實現，每個功能模塊有自己的訪問控制表，記錄了可以訪問自己的用戶列表 2? 數據元的授權：對于數據庫內部數據的授權(數據元)，需要采用強制訪問控制方式，也就是用戶與數據(可以是字段、表等)都定義一個安全級別，當用戶的級別高于(或相同)數據的安全級別時，訪問被允許，否則拒絕訪問；這種方式實現在用戶訪問數據的過程中，訪問控制條件為用戶身份與安全級別比較結果兩個因素 授權方式與訪問控制措施是一體的，授權是依據用戶登錄中的身份標識，信任體系的架構將限制授權的顆粒度選擇。 訪問控制就是驗證用戶的授權，杜絕沒有權限的訪問，我們稱為“驗證權”

?

?? 行為審計

用戶按照其身份確認的權限進行訪問，不是就安全了，因為他可能是惡意篡改，也可能是無意出錯，如何發現他做了不該做的事情，就需要行為審計了。審計就是信任體系的監視系統，它的有效保證了信任體系的正常運行。也許有人會問：訪問已經是符合要求的了，都是正常的工作，審計如何起到安全功效呢？ 行為審計的目標不是為了發現不符合授權的行為，其真正的作用有兩個： 2? 詳細記錄的用戶的操作，形成系統滾動的日志，當發現問題(無論是有意還是無意)，都可以按照日志進行數據的“回滾”，消除不合規行為對系統的影響，這種管理方式也為數據備份與容災提供了條件 2? 有了行為的審計，我們可以對每個操作回溯到身份認證的標識，即使不能完全追溯到具體的人(登錄過程中談到的)，但具體操作的時間、標識、軌跡等信息，也可以大大縮小懷疑的范圍，同時，行為的回放還可以成為“犯罪”的證據

審計的粒度越小，對系統的負擔越大，太大了又達不到安全的要求，所以系統要選擇適當的審計粒度。審計粒度與兩個方面有關，一是用戶的身份，一是行為的重要程度。所謂行為的重要程度很容易理解，就是動作對系統的影響大小，或者訪問的數據是否重要，如系統的開機與關閉；帳號的建立與修改；口令的更改；系統服務的開啟與關閉等等。與用戶身份有關有些不好理解，不是領導的行為一定比普通員工的關鍵，而是用戶的工作結果對系統影響大小，如運維人員的操作、領導文件審批、商務合同制作… 用戶身份一般分為下面幾類： 2? 普通用戶：一般用戶， 2? 特殊用戶：某些領導，或為了適應業務靈活性組成的臨時工作組 2? 系統管理員：業務管理員、安全管理員、審計員 2? 第三方維護人員：外包服務人員 安全審計一般分為下面幾種： a)???????? 網絡行為審計：一般部署在網絡的核心，是對所有用戶公共行為的審計 b)???????? 數據庫審計：數據庫是業務系統的核心，保證數據的可以回滾 c)???????? 業務合規性審計：業務合規性的綜合分析，主要是對業務日志審計，部署在業務服務器前 d)???????? 互聯網行為審計：部署在網絡的互聯網出口，是對內部員工的互聯網行為審計，因為該審計涉及很多私人信息，所以建議審計到行為，不建議審計到內容，如私人郵件、MSN聊天等 e)???????? 運維審計：網絡、系統的維護是對系統影響很的大的，同時也是直接接觸網絡基礎信息的行為，所以對運維人員的行為進行單獨審計是非常有必要的。由于運維人員可以登錄的方式很多，所以建議把維護人員的工作區與服務器區域分離，建立“堡壘機”作為運維工作的關閘，才可以進行全面的審計工作 另外，由于審計人員的權限很大，可以“回放”他人的通訊過程，甚至可以“監聽”通訊的內容，所以，國家的安全法規中都明確要求審計崗位需要單獨設立，不允許安全管理員兼任。 審計是確認好人不變壞，是對用戶行為的驗證，我們稱為“驗證行”。

?

信任體系通過“三個驗證”機制，保障“合法”用戶“合理訪問”系統，是對可確認身份的自己人的管理；對于“外來”的人，即使知道你是誰，也不能對你進行任何法律、行政上的管理，只好拒絕登陸到信任體系保護的網絡中來。 信任體系的建立是以身份鑒別為起點的，離開了身份鑒別，信任體系就無從談起信任了。信任體系管理的是否“到位”體現在訪問控制上，而行為審計，是行為的重現與分析，是信任體系工作的“結果”。當然在“浩瀚”的審計記錄中，能找到用戶需要的證據，本身還需要復雜的處理程序與檢索算法，但只有審計中記錄了，才可能分析找到，所以審計記錄的完備與“夠用”是信任體系策略設計的關鍵。

?

?

?

總結

以上是生活随笔為你收集整理的“内部人”的信息安全架构---信任体系的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。