安全推动电子商务.doc

如 何 建 立 电 子 商 务 安 全 保 障 架 构冠群金辰公司策略与解决方案总监 应向荣（CISSP CISP BS7799LA)摘要：本文首先介绍与安全相关的一些知识，然后阐述了现代电子商务安全保障架构的几个重要环节，最后对实现该安全架构后组织的安全事件管理与响应流程作了简要介绍。1. 背景知识1.1 安全推动电子商务发展的基础今天，越来越多的公司和机构认识到要想在全球市场中获得竞争优势，必须将自己的业务拓展到 Internet。对于公司来说这是一个重大的转型，也是必不可少的一步。不少公司借助 Internet 技术扩大其在全球的市场份额，进军新的商业领域、拓展自己的业务，提高员工的工作效率，以及跨地区建立合作伙伴关系。但是，在他们开始享用 Internet 和网络技术带来的便利同时，也很快意识到连接到 Internet 后随之而来的风险。特别是，许多人可以通过网络访问到企业的重要系统和数据，从而使公司受到攻击的可能性极大地增加。在这种情况下，公司对网络的安全性、可用性和可管理性的要求也大大增加，因此安全不仅起着保护的作用，从更高程度理解，安全是电子商务发展不可或缺的基础条件。1.2 BS7799所定义的信息安全BS7799 是一个信息安全最佳实践的文件汇编。行业、政府和商业机构希望能够有一个共同建立的通用的架框，使各家公司可以通过它制订、实施和衡量有效的安全管理实践，并增强开展公司间业务合作的信心（比如现在很多的芯片、半导体制造企业之间必须要求对方通过BS7799认证），这种需求最终形成了 BS7799 标准。BS7799的第一部分已经成为一项国际标准（ISO17799）。按照 BS7799，安全保障信息资产免受来自多方面的威胁，从而能够保证公司正常运作、最大程度降低业务上的损害和获得投资回报和商业机会。按照 BS7799，安全以保护信息资产以下三个方面为其基本特征： 保密性：保证只有经授权的人才能够访问到信息 完整性：保护信息和处理方法的准确性和完整性；以及 可用性：保证经授权的用户可以在需要时访问到信息及相关资产1.3 基于BS7799的风险评估风险评估的重要性：安全投资的策略应该是“管理风险”，而不是企图“避免风险”，风险总是存在的，而且是动态变化的，关键是通过安全建设，将用户所面临的风险进行量化，制定风险承受策略，采取安全保障措施，制定管理制度等。通过对安全投资前后用户所面临的风险对比就可以了解安全投资的效益如何，这是用户非常关心的问题。所有这一切，都要基于正确有效的风险评估与分析。BS7799为系统安全风险评估、分析中数据的获取与收集、安全风险分析方法、评估准则提供了通用架构，目前主流的产商都基于BS7799开发了自己的安全风险分析和评估工具、方法，或者至少是符合BS7799标准定义的。1.4 J.P.Anderson模型J.P. Anderson模型原来用于阐述安全操作系统机制，我们应用该模型进行扩展，可以认为安全保障的基本原则就是如何实现信任的主体访问标识的客体，那么安全保障的内容可以分为实现访问主体的安全控制、客体的安全健壮性建设、访问通道的安全控制、访问的审计与监控等等，这些可以作为安全保障体系设计的参考思想。1.5 最低权限原则实现BS7799定义的安全三要素要通过执行许多安全最佳实践来实现的，其中一个最基本的原则就是“最低权限”原则。最低权限指：任何主体（用户、管理员、程序、系统等）只应具有执行其指定任务的权限。BS7799 特别指出，必须限制和控制权限的分配和使用。最低权限是使公司免受攻击和损害的重要基础。实现良好的最低权限依赖于鉴别、认证与授权以及安全管理制度。1.6 混合型威胁目前网络、电子商务面临的主要威胁包括：普通病毒、电子邮件病毒、蠕虫病毒、特洛伊木马、入侵攻击、垃圾邮件以及由这些威胁导致的具有黑客性质的非法入侵行为等。混合型威胁集成了以上各种威胁行为，以多种方式进行入侵破坏，造成的危害非常巨大。由于网络传播的快速性，利用网络传播的混合型威胁也更加难以防范，影响的范围也更大。蠕虫是混合型威胁的典型代表（比如冲击波、振荡波等），它具备极快的传播特性，可以种植木马，利用系统漏洞进行入侵，通过拒绝服务攻击（DoS/DDoS）造成网络瘫痪。我们已经不能从单一的角度考虑安全，而应该根据新的威胁发展趋势进行综合防范。为了应对混合型威胁，需要根据混合型威胁的不同特点，采用相应的安全控制技术分别加以抵御，做到全面防范。我们必须构筑一个基于信息安全最佳实践的安全的 Internet企业局域网结构体系，并开发制订出相应的事件管理和响应处理流程。没有这样一个结构体系和处理流程，企业就不能有效地应对与电子商务相关的风险。2. 电子商务安全结构体系的组成一个安全的 Internet企业局域网结构体系应该包括有以下方面：安全区域划分鉴别、认证与授权扩展的边界安全基于主机的安全（核心资产保护）实时监控与安全审计数据加密这个结构体系的各个组成部分相互支持，从而巩固了整个安全结构体系。2.1 安全区域的划分通过安全风险评估以及对网络结构的了解，对网络进行安全规划。可以按照安全级别或者性质类型划分各自的安全域，同时制定安全域的策略，从而形成整体的安全策略。安全域的划分在整个安全解决方案里起着非常重要的作用，为后面的身份管理与授权、安全边界，核心资产防护提供了明确的界限和依据。安全域有两个特征：同一安全域内的系统有相同安全保护需求、并相互信任，安全域内部又可以分为安全子域。进行安全域的划分是实现信息系统安全等级保护的前提，对不同的安全域有不同的信息系统组网、设备部署的原则。根据不同信息系统的资产价值和安全风险情况，确定各安全域不同的保护等级。DMZ网络就是大家熟悉的最简单的安全域的概念。在电子商务世界里，由于不同电子商务应用程序的复杂性，可能需要多个 DMZ 网络，每个网络提供一个不同程度的访问。访问要求不同的每组系统或应用程序都应连接到自己的 DMZ 网络。用防火墙、身份认证等到技术来控制这些网络之间的访问。给出一个实例，使用后端数据库的电子商务应用程序应使用两个或多个 DMZ 网络，客户可以访问的应用程序服务器应驻留在一个授予公共访问权限的 DMZ 网络上。数据库服务器连接到第二个 DMZ 网络上，必须通过应用程序才能访问这个数据库服务器，而且只有数据库访问所需的协议才能访问第二个 DMZ 网络。这种通过划分安全域的设计的好处是把攻击的范围缩小到第一个 DMZ 网络上的系统。2.2 鉴别、认证与授权鉴别、认证与授权是安全保障体系里非常重要的一个环节。鉴别和认证是通过对网络系统中的主、客体进行鉴别，并且给这些主、客体赋予恰当的标志、标签、证书等。主要的处理都是针对实体进行的。用一个动作来描述鉴别和认证的操作特点就是“贴标签Labeling”。鉴别和认证是为了解决主体的信用问题和客体的信任问题。这些问题的解决就是通过各种形式的标签来实现的。用户可以使用不同的身份认证机制，从简单的基于密码的系统到基于令牌的系统到基于生物测定学的系统。选定的验证技术取决于指定资产的分类。例如，作为防卫的第一线，防火墙应被划分为重要的一类。因此，最低程度上应采用基于令牌的系统来验证防火墙的管理员。鉴别和认证赋予主客体的“标签”常常在访问控制和审计跟踪中被使用。对于主、客体的鉴别是访问控制做出判断的依据；而对主、客体的一定粒度的鉴别，决定了审计跟踪中被监控的对象的粒度。2.3 扩展的安全边界借用J.P. Anderson模型，建立一个扩展的安全边界模型，来保障企业网络的安全。来自主体的数据流除了合法信息外，还可能有非法连接、恶意代码、非法信息。“防火墙”主要实现对连接的控制，从网络层阻挡非法连接；“恶意代码过滤”对病毒、蠕虫、以及由蠕虫造成的入侵攻击等破坏行为进行控制，可以从网络层、传输层、应用层分别处理；“信息内容过滤”实现对垃圾邮件、敏感信息等非法内容的过滤。经过多种手段控制，最后保证只有合法的信息能够到达客体。根据CERT CC在2002年发布的关于最新入侵者攻击方式的趋势分析结果，网络攻击呈现攻击过程自动化、攻击技术复杂化、漏洞发现的更快、以及渗透防火墙的趋势。采用蠕虫攻击、病毒扩散等混合型威胁的复杂攻击事件越来越多。这几年来多起大范围的网络安全事件（如：SQL Slammer、MS Blaster、Sobig、MyDoom等），都是属于这种类型的攻击。而传统的防火墙依靠对IP 地址、端口号来过滤数据的方式，显然不能有效地拦截住这些攻击。为了弥补防火墙的不足，过滤恶意代码和非法信息，实现全方位的边界控制，采用网关过滤技术是非常必要的，主要针对电子邮件、互联网访问等途径带来的混合型威胁进行安全控制。2.4 基于主机的安全（核心资产防护）基于主机的安全是组织整体安全的一个重要方面，特别是电子商务时代，重要的应用、交易数据都保留在主机上面。即使主机已经得到防火墙、验证机制和入侵监测系统保护，它仍然可能会受到攻击。因此，在主机本身实行安全控制也至关重要。必须制订、执行和监控一个可以接受的基线安全级别，以确保可以识别和解决一些风险，并保持安全策略的依从性。企业应对所有的生产系统定期进行基于主机的漏洞评估和配置扫描，这有助于保证操作系统和应用程序（如网络应用程序、数据应用程序等）都是最新版本并正确配置；也有助于保证用户帐号正确配置，验证机制被执行，文件完整性被确认，许可和权限被控制，以及日志记录审计操作正确执行。另外，所有主机（包括防火墙和入侵监测系统）的系统时钟应设为与公共时间同步，以允许从许多系统中对日志数据进行关联分析，这对日后的事件分析至关重要。这些步骤可以保证所记录数据的准确性和有效性。所有系统的系统日志和活动记录，以及上面所述的安全评估扫描中的数据都应被安全传输（加密并验证），并存储到一个安全的中心位置，而不是单独的主机上，这可以防止已获得系统访问权限的攻击者改变或销毁自己的活动证据。特别提出，在当前混合型威胁肆虐的情况下，对核心资产进行脆弱性管理与补丁管理尤其显得重要。2.5 实时监测与安全审计实时入侵监测系统可以发现未经授权的访问和攻击。完善的网络实时监测系统不仅仅是IDS，还应该包括内部员工行为的监控，传送数据的监控、异常网络流量的监控等等。在蠕虫攻击盛行的今天，网络状态的实时监控显得尤为重要，一个优秀的监控系统将为用户及时发现问题、获得响应时间、主动防范蠕虫攻击以及抵御由此带来的拒绝服务攻击，保障业务持续运行起到重要保证。另外通过对企业内部网络、员工行为的监控，提高劳动效率和生产力。网络实时监控系统还包括现在讨论越来越多的集中安全管理平台。各种安全系统收集相关安全资源的数据，并且发布相关告警。各个系统以不同方式和格式收集这一信息，同时将它们存储于不同位置，向不同位置提供报表。致使管理员负担过重，最终受困于大量安全数据。集中安全管理中心能够把各种安全解决方案集成为单个安全管理平台，将安全信息进行融合和关联分析，并提供企业资产目录，利用基于门户的业务视图和开放的界面，提供企业安全运营的整体视图，降低管理成本。2.6 数据加密加密是电子商务的一个重要部分，只要涉及到保密性就应该实行加密。但是，许多情况下，加密只能在数据传输时对它进行保护。更安全的方法还应该是，即使数据储存在最终目的地，也能对其进行加密。电子商务环境下，移动办公、分支机构数据集中越来越普遍，必须通过适当的机制保障数据的完整性和保密性。目前普遍采用的方式有IPSec VPN，SSL VPN，加密机等等方式。3. 事件管理和响应上面介绍的安全保障结构体系是降低风险、限制威胁可能导致损害的最佳实践。然而，没有任何结构体系可以防止所有入侵，因此风险总是存在的。组织必须通过事件管理流程准备应付这种风险。BS7799规定，“应建立事件管理责任和流程，以确保对安全性意外事件的快速、有效和有序的响应。”组织必须制定流程来管理和响应发生的安全性事件。安全性事件可能随时发生，可能导致巨大的损耗、损坏和经济损失，常常极其复杂。由于这些原因，制定事件响应流程并与上述结构体系的配置结合在一起非常重要。事件管理和响应计划必须解决下列问题： 安全事件应对准备处理事件的人员角色和责任定义：必须成立安全事件响应小组，该小组要包括来自下列部门的代表（如果有的话）：IT安全部门、系统和网络管理部门、灾难恢复部门、法律部门、人力资源部门、公共关系部门。事件管理和响应的教育和培训：安全事件处理需要专门的技巧。情景测试和验证：组织要定期测试安全事件响应流程。 报警机制定义可能的警报源：警报不仅可来自诸如安全管理中心、防火墙和入侵检测之类的技术上的来源，也可来自诸如人力资源（例如心怀不满或已结束劳动关系的雇员）、最终用户（内部和外部的）、攻击者和Internet服务提供商（ISP）。 报告和通告机制定义接收和记录警报的方法：可视报警控制台、电子邮件、传呼机、电话、人员等都可接收警报。定义传达警报的方法：为确保及时报告意外事件，必须定义和公布事件报告和传达的流程，这将确保识别事件级别并将事件升级到相适应的管理渠道。 初步调查确定行动适当的初步方针：根据事件报警与升级制度，确保相应的角色和责任人进入事件管理小组。确定事件是否紧急：检查活动记录、会见用户、检查策略可帮助确定事件是否真实以及在性质上是否具有普遍性。必须由经过专门训练的人员执行该调查工作，以避免破坏事件证据。 决策和资源分配紧急声明：经过初步调查之后，可发出紧急声明并指派资源和分配预算。指派协调员：指派某个人协调对事件的响应。确定是否计划采取法律措施：考虑是否有法律相关的要求。 响应深入调查：在初步调查的基础上进行深入的分析、寻找事件的源头。遏制事件扩展：防止事件传播，应隔离和或禁用受破坏的系统。法律行动：由于事件的不同，可能有必要涉及公司法律顾问、公共媒体关系、人力资源等。沟通传达：如果该事件影响用户，可能需要通知他们发生了意外事件。 恢复根除：必须从受事件影响的系统除去事件的残余物（比如攻击者工具包、特洛伊木马、病毒等）。恢复运行：必须重建、恢复或替换系统。降低再次发生的风险：必须找出被攻击者利用的系统弱点和控制措施的不足。 吸取教训编制文档：必须将事件及其原因和影响编制成文档，必须将在响应期间采取的措施编制成文档并分析成功和失败之处。更新进程：应复查并按需要更新事件响应流程。财务影响分析：应确定与事件相关的成本，这可能影响未来用于系统安全性的预算分配。职员需要：对事件的响应可能发现需要增加职员或需要更好地培训现有的职员。整体信息安全性：应复查和按需要增强整个组织的安全性，以确保有足够的控制和监控。就如制定和执行灾难恢复计划通常需要该领域的专家帮助一样，制定、实施安全事件响应通常也