沈昌祥构建积极防御综合防范的防护体系

1、沈昌祥构建积极防御综合防范的防护体系如果信息系统中每一个使用者都是经过认证和授权的，其操作都是符合安全要求的，网 络上也不会被窃听和插入，那么就不会产生人为的攻击性事故，就能保证整个信息系统的安 全。这是不需要证明的公理，是信息系统安全所追求的目标。一、对当前信息安全系统的反 思当前大部分信息安全系统主要是由防火墙、入侵监测和病毒防范等组成。常规的安全手 段只能是在网络层（IP）设防，在外围对非法用户和越权访问进行封堵，以达到防止外部攻 击的目的，而对共享源的访问者源端（客户机）未加控制，信息资源随意共享，加之操作系 统的不安全导致应用系统的各种漏洞层出不穷，无法从根本上解决安全问题。封堵的办

2、法是 捕捉黑客攻击和病毒入侵的特征信息，其特征是已发生过的滞后信息，不能科学预测未来的 攻击和入侵。随着恶意用户的攻击手段变化多端，防护者只能把防火墙越砌越高、入侵检测 越做越复杂、恶意代码库越做越大，误报率也随之增多，使得安全的投入不断增加，维护与 管理变得更加复杂和难以实施，信息系统的使用效率大大降低。而对新的攻击毫无防御能力。 反思上述的做法为：老三样、堵漏洞、砌高墙、防外攻，防不胜防。产生这些安全事故的技术原因是：现在的PC软、硬件结构简化，导致资源可任意使用， 尤其是执行代码可修改，恶意程序可以被植入。病毒程序利用PC操作系统对执行代码不检 查一致性弱点，将病毒代码嵌入到执行代码程序

3、，实现病毒传播。黑客利用被攻击系统的漏 洞窃取超级用户权限，植入攻击程序，肆意进行破坏。更为严重的是对合法的用户没有进行 严格的访问控制，可以进行越权访问，造成不安全事件。积极防御应该是主动防止非授权访问操作，从客户端操作平台实施高等级防范，使不安 全因素从终端源头被控制。这对工作流程相对固定的重要信息系统中显得更为重要而可行。在工作流程相对固定的生产系统中，要处理的工作流程都是预先设计好的；操作使用的 角色是确定的；应用范围和边界都是明确的；这类工作流程相对固定的生产系统与Internet 网是有隔离措施的；外部网络的用户很难侵入到内部网络来，其最大的威胁是来自内部人员 的窃密和破坏。据国际

4、权威机构统计，83%的信息安全事故为内部人员或内外勾结所为， 而且呈上升趋势。因此应该以“防内为主、内外兼防”的模式，从提高使用节点自身的安全着 手，构筑积极、综合的安全防护系统。应该：强机制、高可信、控使用、防内外，积极防御。 二、可信计算环境为了解决PC结构上的不安全，从基础上提高其可信性，在世界范围内推行可信计算技 术,1999 年由 Compaq、HP、IBM、Intel 和 Mi 鄄 crosoft 牵头组织 TCPA（TrustedComputingPlatformAlliance）目前已发展成员190家，遍布全球各大洲主力厂 商TCPA专注于从计算平台体系结构上增强其安全性，20

5、01年1月发布了标准规范（v1.1）， 2003 年 3 月改组为 TCG（TrustedComputingGroup），2003 年 10 月发布了 TPM 主规范（v1.2）， 其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整 体的安全性。可信计算平台基于可信平台模块（TPM），以密码技术为支持、安全操作系统为核心， 具有以下功能。如图1所示。确保用户唯一身份、权限、工作空间的完整性/可用性；确保存储、处理、传输的机密性/完整性；确保硬件环境配置、操作系统内核、服务及应用程序的完整性；确保密钥操作和存储的安全；确保系统具有免疫能力，从根本上阻止病毒和黑客等软

6、件攻击。安全操作系统是可信计算平台的核心和基础，没有安全的操作系统，就没有安全的应用， 也不能使TPM发挥应有的作用。三、安全技术防护框架在工作流程相对固定的重要信息系统中，信息系统主要由操作应用、共享服务和网络通 信三个环节组成。如果信息系统中每一个使用者都是经过认证和授权的，其操作都是符合规 定的，网络上也不会被窃听和插入，那么就不会产生攻击性的事故，就能保证整个信息系统 的安全，以此来构建积极防御综合防范的防护框架。采用可信的应用操作平台确保用户的合法性和资源的一致性，使用户只能按照规定的权 限和访问控制规则进行操作，能做到什么样权限级别的人只能做与其身份规定的访问操作， 只要控制规则是

7、合理的，那么整个信息系统资源访问过程是安全的。这样构成了安全可信的 应用环境（子信息系统）。安全共享服务边界采用安全边界设备（如安全网关等）具有身份认证和安全审计功能， 将共享服务器（如数据库服务器、WEB服务器、邮件服务器等）与非法访问者隔离，防止 意外的非授权用户的访问（如非法接入的非可信终端）。这样共享服务端不必做繁重的访问 控制，从而减轻服务器的压力，以防拒绝服务攻击。全程保护网络通信采用IPSec实现网络通信全程安全保密。IPSec工作在操作系统内进 行实现源到目的端的全程通信安全保护，确保传输连接的真实性和数据的机密性、一致性， 防止非法的窃听和插入。综上所述，可信的应用操作平台、

8、安全的共享服务资源边界保护和全程安全保护的网络 通信，构成了工作流程相对固定的生产系统的信息安全防护框架。如图2所示。诚然，要实现上述终端、边界和通信有效的安全保障，还需要授权管理的管理中心以及 可信配置的密码管理中心的支撑。从技术层面上可以分为以下五个环节（即：两个中心支撑下的三重保障体系结构）：应用环境安全：包括单机、C/S、B/S模式的安全。采用身份认证、访问控制、密码加 密、安全审计等机制，构成可信应用环境。应用区域边界安全：通过部署边界保护措施控制对内部局域网的访问，实现局域网与广 域网之间的安全。采用安全网关、防火墙等隔离过滤机制，保护共享资源的可信连接。网络和通信传输安全：确保通信的机密性、一致性和可用性。采用密码加密、完整性校 验和实体鉴别等机制，实现可信连接和安全通信。安全管理中心：提供认证、授权、实时访问控制策略等运行安全服务。密码管理中心：提供互联互通密码配置、公钥证书和传统的对称密钥的管理，为信息系 统提供密码服务支持。对复杂的重要信息系统，可构成三纵（涉密区域、专用区域、公共区域）三横（应用环 境、应用区域边界、网络通信）和两个中心的信息防护框架。如图3所示。三种不同性质的应用区域在各自采用相应的安全保障措施之后，互相之间有一定的沟 通，应该采用安全隔离与信息交换设备进行连接。在重要应用域之间，也需要采用安全隔离 与信息交换设