安全十戒
许多自大的公司专家并没有真正意识到什么才算真正的安全。他们常常想当然地对持顾客的需求分析。顾客想要访问Internet么?那就给他加个防火墙吧,顾客的数据需要保护么?那就加上一个密码器吧,至于鉴别机制,加个密码保护就足够了。可事实是否如此呢?
安全(security)的定义是“防范潜在的危机”。保险(safety)则稍有不同,它更侧重于可得性和连续的\*\*\*\*作。而真正的安全是关于网络的每一个部分的。例如:网络是怎样增长的,它是怎样满足每一项工作需要的,网络各部分是怎样协同工作的,数据是怎样产生、存储和传输的,网络怎样“平滑”地完成工作,机密数据包括什么内容,什么样的资源需要保护,什么是威胁,什么是脆弱性,怎样尽量减少风险对于系统内脆弱的威胁,等等。这些问题都是安全所涉及的。
有了上述这些问题,怎样才能正确地实现安全呢?以下罗列十项戒条可以供设计安全时参考使用。
1. 由风险来为安全目标分级
先来看看风险分析的过程:若某机要部件(如计算部件,被存储的数据,被传输的数据等)可能面临威胁,被威胁的风险越大,潜在的被破坏的可能性就越大,因此丢失的可能性也越大。它就越应该处在安全保护之下。有以下几种方法尽量减少部件受威胁的可能性。
(1)给现有的安全漏洞打补丁,建立更好的保护措施,或分析现有的安全需求,开发新的更完备的安全解决方案。
(2)开发更好的检测机制,缩小潜在的威胁的时间窗口。IDS(攻击检测系统)就属于这一范畴。其他的一些网络管理工具,如完备的网络注册功能,带有复杂的警告机制的计算机事件功能等,也可以提供类似的安全机制。
(3)适当的使用检测手段可以检测到尽量多的攻击。
如何衡量某事件的重要程度,怎样度量潜在的威胁?一般来说有关这种问题的统计型数字很难找到,因此唯一可行的办法就是使用Delphi方法。该方法中每一位专家会独立评估相关的参数,然后再累计调查到的数据,与工作量巨大的风险评估相比,Delphi可以在安全底限上涵盖绝大部分的有问题项目。只有那些最关键的部件才有必要再次进行风险分析。许多美国公司目前都采用这样的方法。
DEC提出了一种“折衷管理”的基本想法,大意是任何一个IT系统都不可能完全防范潜在的攻击,也就是说,没有100%的安全。因此必须以最安全的方式\*\*\*\*作系统并管理不安全的系统。折衷管理要求技术上和组织上实现高级别的底限安全要求。这一技术的前提是必须在被影响的平台上存在自动检测安全参数的程序。UNIX系统中就有类似的工具,如Satan, Tripwire, COPS, Tiger等。不过这些工具只能检测以前的攻击,有待于继续开发可以检测当前攻击的工具。这种技术就称为攻击检测系统(IDS)。
2. 有效防止部件被毁坏或丢失可以得到最佳收益
丢失后所需恢复时间可以决定某个部件所需的安全措施的范围和深度。某部件的经济价值越高,功能越复杂,就越需要更多的安全保护。将威胁远离IT系统是面对攻击最好的保证。
假如你想在公司里安装一台Web服务器,很明显你希望直接访问Internet,这样服务器才物有所值。为了便于系统管理员的工作,Web服务器安装于中心数据服务系统中。但是你并没有购买防火墙(防火墙多贵呀!)。也没有咨询专家的意见(我才不需要老师呢!)这样做有没有不妥呢?一开始是不会有问题的,而且你还为公司省了一大笔钱。但是很快就会显示出你的鼠目寸光了。因为这无异于将你公司的大门敞开,允许任何人通行。就算是公司里没有任何不可以让别人共享的东西,这样做也是愚蠢的。唯一可行的方法是花钱购买知识,因为从长远规划来看,这是节省金钱和时间的唯一有效的办法。
3. 在设计早期确定安全概念
在各阶段中,从最初想法开始,就应该在头脑中时刻牢记安全概念。在已存在的系统上打补丁是件艰难的事情。还不如及早预见可能出现的威胁,及早定义完备的安全概念,这样更有利于减少将来的麻烦。如果在所有设计之前,先对安全措施进行详细设计,不仅可以在发生系统资源滥用时减轻安全分支的活动,更可以降低数据被毁坏和丢失的可能性。有许多相关的文件可以帮助用户详细地解决安全问题,比如美国国防部发布的TCSEC。在规划新的计算中心之前,一定要先通知建筑师你的安全需求,否则在安装服务器时一定会有麻烦的。
4. 完成规则
要想建立一个无缝隙的防护链,所有的措施必须相互安装协调。一定要小心控制各种级别的措施以免发生冲突。下列各项都需要多加小心。
人力资源:人力资源是所有资源中最宝贵的一种,应该予以最高级别的保护措施,其他各项都不如人力资源宝贵。
数据:数据有多种存储方式,有存储在硬盘、软盘、CD-ROM和RAM上的电子数据,也有存储在纸张等介质上的打印数据。而且数据出有不同的类型:商业计划、客户数据、个人数据、内部交易、源代码、协议、软件等。
硬件:所有可触的客体,计算机、打印机、键盘、主动和被动的网络设备、磁盘阵列、通信设备等。硬件的重要性依据其功能而不同。
设备:是所有上述部件的安装点,只要保证他们不被物理偷窃就可以了。千万不能忽略上述各项中的任何一项。曾经有一家大型德国银行想在门口处安装一个指纹鉴别系统,但不知何故,能够进出该大楼的员工中只有6-7人的指纹输入了该系统。结果是,只要某人拥有一个每个员工都有的ID卡,就可以轻易地进出,这样的安全措施岂不是形同虚设?
5. 经济效益规则
在衡量安全.措施的可实现性时,常用的词是TCO(所有者的全部花销)。在安全规则中最困难的一部分是计算花费与潜在丢失的比率,不过好在许多大公司的控制部门可以为你提供适当的信息。要牢记的一点是:不要为一万美元耗资十万美元。
6. 尽量使用各种纵横交错的措施保证安全
如果能够很好地利用各种已有的安全产品,就可以达到很高的安全级别。这要特别注意一点,千万不能只依赖于美国产品,因为美国产品在设计初衷里就包含了政治目的,故意在所有的“安全系统”中留有后门。贯通世界的大网络,主要由美国的NSA、Mossad,德国的BND等建产和支持的,他们可以扫描到你的每一个数据文件。为了达到他们的监视目的,他们会利用密钥契约或者薄弱的加密系统到处寻找敏感数据,以此来强制公众盲目地依赖政府。在德国,你几乎找不到有条理的密码机制,尽管政府正在实施“加密战役”来限制使用未经检验的加密方法,但效果尚未可知。当然,德国市场上还是有许多高级而有效的产品可以保证你的机要数据不受别人的注意。
很显然,有必要设置多级而且多样的防备措施。某大型财政机构决定筹建自己的可信中心,它只有一台独立的机器,因此可以很容易的防止网络上的攻击。而且,这台服务器还配有独立的防火墙,用几道锁藏在四层的地下室里,只有经过特殊允许的雇员才能进入该房间。这台服务器持有七百万顾客的密钥,全部工程耗资60万美元,每年的维护费用高达25万美元。那么该服务器里的数据价值如何呢?有人估计在100亿美元左右。难道你不认为花25万美元拿到该数据的一份拷贝很值得么?
7. 减少外部联系
安全系统应该是自给自足的,要注意减少与公司其他部门的联系。有些人竟然认为不存在什么危险,于是把服务器放在公司的大厅里。应该锁好紧要的设备并且与其他物品严格区分。一定要注意空调和防火设备,尽量给所有的物品增加备份,如果你的布线盒坏了,即便是最复杂的数字通信设备也是没用的。仅仅有锁也不行,有许多标志和告示可以详细地提示窃贼哪里是关键设备所在的房间,因此被窃的可能性仍然很大。
8. 一致性与平等原则
这一原则意味着所有技术上的、企业里的每一项安全措施必须同步地进行。举例说明,一家大型的健康中心的计算机安装了UNIX系统,使用kerberos鉴别机制。这当然是个不错的设想。该中心还将的他们的服务器小心地锁起来,只有极少数人才能访问管理终端。每一个节点用以太网连接并共享介质。但是管理者却忽略了一点:尽管有了加密口令,对于每一个可以共享网络软件而且配一台笔记本电脑的人而言,每一个节点的交通流都是可读的。
9. 可以接受的基本原则
安全一直都是,而且永远会是有关人的问题,谁忽略了它,谁就会麻烦缠身。那么到底什么才算是“人的问题”呢?它一般分为几部分。一方面,人们会因为有利可图或者其他什么原因而不忠诚于自己的公司,这是人们未经授权访问机密数据的主要原因。另一方面,在安全和计算机使用方面,人们缺乏必要的培训,他们有时并不知道自已已经擦除或者修改了数据。因此从企业的角度,必须建立必要的支持措施,加强每一个用户对安全问题的认识以及对每一个\*\*\*\*作的责任。必须要明确公司内部的控制机制不仅有用而且必要,否则许多员工会花大量时间试图旁越它们。
虽然说安全是一个有关人的问题,但也不能忽略技术措施的作用,有效的技术手段可以使人们难以访问紧要资源。但是也不能完全依赖于技术手段。用于安全作用的各种技术措施在使用时既不能轻易地被旁越,也不能在日常生活中给用户带来麻烦。在可用性和安全之间找平衡就象走刚丝一样困难,但这种平衡并非不可能实现。另一点不能忽略的是,要加强员工关于诚实、可靠和忠诚等诸多品质的培养。
10. 时刻关注技术进步
毫无疑问,安全是一个动态的问题。在做未来的计划时,既要考虑用户环境的发展,也要考虑风险的发展,这样才能让安全在\*\*\*\*作进程中占有一席之地。回顾加密算法的历史,我们可以看到,目前使用的40位对称密钥加密可以满足绝大部分应用环境的要求。一般的黑客看到这样的系统会感到束手无策。在Julius Caesar的年代,加密技术相对简单多了。他给每一个字母按字母顺序后移3位,像“retreat at dusk”就变成了“uhwuhdw dx gdun”。在16世纪,玛丽王后因为用同样的方法写了一封刺杀她的侄女--伊丽莎白一世的信而掉了脑代。现在,有许多大公司因为使用的是太简单的加密手段,而对于现代通信和计算机技术中的安全系统又太缺乏认识和了解,所以会损失大量的金钱。
结束语
最谨慎、最安全的人会将他们的信息放在屋子里锁好,妥善地保护起来。这样做当然极为安全。不过一般来说,保护有价值的紧要数据时,还是尽量听从安全专家的意见为好。除了那些复杂的技术安全措施以外,还要注意企业中的管理漏洞,因为设备管理中总会有一些未知的因素。
