安全基礎(chǔ)設(shè)施設(shè)計原理

1、第第18章章 安全基礎(chǔ)設(shè)施設(shè)計原理安全基礎(chǔ)設(shè)施設(shè)計原理18.1 安全基礎(chǔ)設(shè)施概述安全基礎(chǔ)設(shè)施概述18.2 安全基礎(chǔ)設(shè)施的目標(biāo)安全基礎(chǔ)設(shè)施的目標(biāo)18.3 安全基礎(chǔ)設(shè)施的的設(shè)計指南安全基礎(chǔ)設(shè)施的的設(shè)計指南18.4 密鑰管理基礎(chǔ)設(shè)施密鑰管理基礎(chǔ)設(shè)施/ /公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施18.5 證書管理證書管理18.6 對稱密鑰管理對稱密鑰管理18.7 基礎(chǔ)設(shè)施目錄服務(wù)基礎(chǔ)設(shè)施目錄服務(wù)18.8 信息系統(tǒng)安全工程信息系統(tǒng)安全工程18.9 本章小結(jié)本章小結(jié)習(xí)題習(xí)題一個安全基礎(chǔ)設(shè)施應(yīng)提供很多安全組件的協(xié)同使用，一個安全基礎(chǔ)設(shè)施應(yīng)提供很多安全組件的協(xié)同使用，其體系結(jié)構(gòu)可改進(jìn)整個的安全特性，而不僅是各個其體系結(jié)構(gòu)可改

2、進(jìn)整個的安全特性，而不僅是各個安全組件的特性。使用這個定義，可推論出安全基安全組件的特性。使用這個定義，可推論出安全基礎(chǔ)設(shè)施的設(shè)計和特性。礎(chǔ)設(shè)施的設(shè)計和特性。18.1 安全基礎(chǔ)設(shè)施概述安全基礎(chǔ)設(shè)施概述 18.1.1 安全基礎(chǔ)設(shè)施概述安全基礎(chǔ)設(shè)施概述以防火墻為例，使用防火墻可以很好地實施安全策以防火墻為例，使用防火墻可以很好地實施安全策略，但是，如果它不能和體系結(jié)構(gòu)中的其他組件很略，但是，如果它不能和體系結(jié)構(gòu)中的其他組件很好地連接，就不能構(gòu)成一個安全基礎(chǔ)設(shè)施。例如，好地連接，就不能構(gòu)成一個安全基礎(chǔ)設(shè)施。例如，這個防火墻不能和安全基礎(chǔ)設(shè)施的其他方面互相聯(lián)這個防火墻不能和安全基礎(chǔ)設(shè)施的其他方面互相聯(lián)

3、系、互相作用，那它只是一個安全組件，而不是安系、互相作用，那它只是一個安全組件，而不是安全基礎(chǔ)設(shè)施的一部分。這就是安全基礎(chǔ)設(shè)施定義中全基礎(chǔ)設(shè)施的一部分。這就是安全基礎(chǔ)設(shè)施定義中的協(xié)同組件。再如，假如從防火墻能發(fā)送報警至事的協(xié)同組件。再如，假如從防火墻能發(fā)送報警至事件管理站，由事件管理站處理成通知網(wǎng)絡(luò)運行中心件管理站，由事件管理站處理成通知網(wǎng)絡(luò)運行中心（Network Operations Center, NOC）的報警，那么，）的報警，那么，防火墻可能成為基礎(chǔ)設(shè)施的一部分。防火墻可能成為基礎(chǔ)設(shè)施的一部分。反之，如防火墻本身做得很好，其屏幕可顯示大部反之，如防火墻本身做得很好，其屏幕可顯示大部分

4、入侵的通信，且能在搜集后做日志，但它不能通分入侵的通信，且能在搜集后做日志，但它不能通知其他任何組件，那防火墻的作用是不完全的。如知其他任何組件，那防火墻的作用是不完全的。如果將防火墻和入侵檢測、強的身份鑒別、加密的隧果將防火墻和入侵檢測、強的身份鑒別、加密的隧道（道（VPN）等組件協(xié)同作用，就能設(shè)計成一個基本）等組件協(xié)同作用，就能設(shè)計成一個基本的安全基礎(chǔ)設(shè)施。的安全基礎(chǔ)設(shè)施。安全基礎(chǔ)設(shè)施的主要組成有安全基礎(chǔ)設(shè)施的主要組成有4部分：網(wǎng)絡(luò)、平臺、物部分：網(wǎng)絡(luò)、平臺、物理設(shè)施、處理過程。理設(shè)施、處理過程。網(wǎng)絡(luò)類包括防火墻、路由器、交換機、遠(yuǎn)程訪問設(shè)網(wǎng)絡(luò)類包括防火墻、路由器、交換機、遠(yuǎn)程訪問設(shè)備（如

5、備（如VPN和撥號和撥號modem池）以及基于網(wǎng)絡(luò)的入侵池）以及基于網(wǎng)絡(luò)的入侵檢測，它們分別在整個安全設(shè)計中增加某些安全特檢測，它們分別在整個安全設(shè)計中增加某些安全特性。這些組件通過其網(wǎng)絡(luò)接口或在軟件中定義的邏性。這些組件通過其網(wǎng)絡(luò)接口或在軟件中定義的邏輯來監(jiān)控、過濾或限制通信。這些安全組件的作用輯來監(jiān)控、過濾或限制通信。這些安全組件的作用是監(jiān)控和保護(hù)在網(wǎng)絡(luò)中通過的數(shù)據(jù)，或保護(hù)在應(yīng)用是監(jiān)控和保護(hù)在網(wǎng)絡(luò)中通過的數(shù)據(jù)，或保護(hù)在應(yīng)用中通過、使用的數(shù)據(jù)。中通過、使用的數(shù)據(jù)。18.1.2 安全基礎(chǔ)設(shè)施的組成安全基礎(chǔ)設(shè)施的組成平臺類包括服務(wù)器、客戶端軟件（例如，執(zhí)行操作平臺類包括服務(wù)器、客戶端軟件（例如，

6、執(zhí)行操作系統(tǒng)和安全應(yīng)用的控制）。執(zhí)行一些電子操作（如系統(tǒng)和安全應(yīng)用的控制）。執(zhí)行一些電子操作（如智能卡和讀卡器、產(chǎn)生憑證的硬件卡、基于硬件的智能卡和讀卡器、產(chǎn)生憑證的硬件卡、基于硬件的加密設(shè)備）的設(shè)備也屬于這一類。平臺類還包括應(yīng)加密設(shè)備）的設(shè)備也屬于這一類。平臺類還包括應(yīng)用級訪問控制，如產(chǎn)生憑證的軟件程序、數(shù)字證書、用級訪問控制，如產(chǎn)生憑證的軟件程序、數(shù)字證書、基于主機的入侵檢測、病毒掃描和清除、事件搜集基于主機的入侵檢測、病毒掃描和清除、事件搜集代理和分析軟件程序。應(yīng)用級訪問控制能提供鑒別、代理和分析軟件程序。應(yīng)用級訪問控制能提供鑒別、授權(quán)、基于主機的入侵檢測和分析、病毒檢測和清授權(quán)、基于主

7、機的入侵檢測和分析、病毒檢測和清除、事件賬戶管理和分析等功能。這些安全功能用除、事件賬戶管理和分析等功能。這些安全功能用來保護(hù)常駐在主要基礎(chǔ)設(shè)施邊界的應(yīng)用。來保護(hù)常駐在主要基礎(chǔ)設(shè)施邊界的應(yīng)用。安全基礎(chǔ)設(shè)施的物理組成包括標(biāo)準(zhǔn)的門鑰匙和鎖、安全基礎(chǔ)設(shè)施的物理組成包括標(biāo)準(zhǔn)的門鑰匙和鎖、鑰匙卡、標(biāo)識標(biāo)志、安全照相機、活動傳感器、聲鑰匙卡、標(biāo)識標(biāo)志、安全照相機、活動傳感器、聲像報警、安全警衛(wèi)和系統(tǒng)、設(shè)備標(biāo)簽等。根據(jù)人的像報警、安全警衛(wèi)和系統(tǒng)、設(shè)備標(biāo)簽等。根據(jù)人的生物特征檢測的設(shè)備也屬于這一類，如指紋讀出器、生物特征檢測的設(shè)備也屬于這一類，如指紋讀出器、面部形狀照相機、視網(wǎng)膜掃描器等。這些仿生組件面部形狀

8、照相機、視網(wǎng)膜掃描器等。這些仿生組件是通過自然本質(zhì)來標(biāo)識和鑒別用戶的。屬于這一類是通過自然本質(zhì)來標(biāo)識和鑒別用戶的。屬于這一類的還有網(wǎng)絡(luò)電纜和后備電源（如的還有網(wǎng)絡(luò)電纜和后備電源（如UPS系統(tǒng)和自備發(fā)電系統(tǒng)和自備發(fā)電機）。物理安全設(shè)施的基本目的是防止非授權(quán)者進(jìn)機）。物理安全設(shè)施的基本目的是防止非授權(quán)者進(jìn)入以及保護(hù)安全基礎(chǔ)設(shè)施的電力供應(yīng)和網(wǎng)絡(luò)連接。入以及保護(hù)安全基礎(chǔ)設(shè)施的電力供應(yīng)和網(wǎng)絡(luò)連接。處理過程包括企業(yè)安全策略和過程文檔，用來管理處理過程包括企業(yè)安全策略和過程文檔，用來管理企業(yè)數(shù)據(jù)的生成、使用、存儲和銷毀，以及管理這企業(yè)數(shù)據(jù)的生成、使用、存儲和銷毀，以及管理這些數(shù)據(jù)所在的系統(tǒng)和網(wǎng)絡(luò)。企業(yè)安全策

9、略的目的是些數(shù)據(jù)所在的系統(tǒng)和網(wǎng)絡(luò)。企業(yè)安全策略的目的是定義企業(yè)資產(chǎn)保護(hù)的范圍以及對這些資產(chǎn)所需的專定義企業(yè)資產(chǎn)保護(hù)的范圍以及對這些資產(chǎn)所需的專門保護(hù)機制。企業(yè)安全過程是企業(yè)安全策略文檔的門保護(hù)機制。企業(yè)安全過程是企業(yè)安全策略文檔的一個組成，用來指導(dǎo)員工在特定環(huán)境下的行動。企一個組成，用來指導(dǎo)員工在特定環(huán)境下的行動。企業(yè)安全策略和過程是安全基礎(chǔ)設(shè)施的重要組成。有業(yè)安全策略和過程是安全基礎(chǔ)設(shè)施的重要組成。有了綜合的安全策略和過程文檔，安全設(shè)計師就能明了綜合的安全策略和過程文檔，安全設(shè)計師就能明白什么樣的資產(chǎn)是企業(yè)需要保護(hù)的，以及如何保護(hù)白什么樣的資產(chǎn)是企業(yè)需要保護(hù)的，以及如何保護(hù)這些資產(chǎn)。這些資產(chǎn)

10、。雖然安全策略文檔提供數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的保護(hù)策雖然安全策略文檔提供數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的保護(hù)策略，但它對廠商選擇、設(shè)計或?qū)嵤┎⒉灰?guī)定所需的略，但它對廠商選擇、設(shè)計或?qū)嵤┎⒉灰?guī)定所需的詳細(xì)戰(zhàn)術(shù)。這些安全組件的成功實施需要了解安全詳細(xì)戰(zhàn)術(shù)。這些安全組件的成功實施需要了解安全基礎(chǔ)設(shè)施目標(biāo)，否則可能會不合適地保護(hù)或完全疏基礎(chǔ)設(shè)施目標(biāo)，否則可能會不合適地保護(hù)或完全疏忽那些關(guān)鍵資產(chǎn)。忽那些關(guān)鍵資產(chǎn)。安全基礎(chǔ)設(shè)施設(shè)計的基本目標(biāo)是保護(hù)企業(yè)的資產(chǎn)。安全基礎(chǔ)設(shè)施設(shè)計的基本目標(biāo)是保護(hù)企業(yè)的資產(chǎn)。保護(hù)這些資產(chǎn)的方法是適當(dāng)?shù)夭渴鸶鱾€安全組件于保護(hù)這些資產(chǎn)的方法是適當(dāng)?shù)夭渴鸶鱾€安全組件于有組織的、協(xié)同的安全基礎(chǔ)設(shè)施中。這些資

11、產(chǎn)包括有組織的、協(xié)同的安全基礎(chǔ)設(shè)施中。這些資產(chǎn)包括硬件、軟件、網(wǎng)絡(luò)組件以及知識財產(chǎn)。保護(hù)這些資硬件、軟件、網(wǎng)絡(luò)組件以及知識財產(chǎn)。保護(hù)這些資產(chǎn)應(yīng)根據(jù)企業(yè)安全目標(biāo)和企業(yè)安全策略文檔。雖然產(chǎn)應(yīng)根據(jù)企業(yè)安全目標(biāo)和企業(yè)安全策略文檔。雖然提到的只是數(shù)據(jù)的保護(hù)，實際上保護(hù)數(shù)據(jù)及其可用提到的只是數(shù)據(jù)的保護(hù)，實際上保護(hù)數(shù)據(jù)及其可用性也意味著保護(hù)執(zhí)行的系統(tǒng)和網(wǎng)絡(luò)。性也意味著保護(hù)執(zhí)行的系統(tǒng)和網(wǎng)絡(luò)。根據(jù)選擇的數(shù)據(jù)等級分類體制，每種數(shù)據(jù)保護(hù)目標(biāo)根據(jù)選擇的數(shù)據(jù)等級分類體制，每種數(shù)據(jù)保護(hù)目標(biāo)應(yīng)按數(shù)據(jù)機密性、數(shù)據(jù)完整性和數(shù)據(jù)可行性來表示應(yīng)按數(shù)據(jù)機密性、數(shù)據(jù)完整性和數(shù)據(jù)可行性來表示和衡量。和衡量。18.2 安全基礎(chǔ)設(shè)施的目標(biāo)安

12、全基礎(chǔ)設(shè)施的目標(biāo)當(dāng)設(shè)計一個安全基礎(chǔ)設(shè)施時，把應(yīng)用的最好結(jié)果作當(dāng)設(shè)計一個安全基礎(chǔ)設(shè)施時，把應(yīng)用的最好結(jié)果作為目標(biāo)。因為應(yīng)用最靠近數(shù)據(jù)以及數(shù)據(jù)的處理、交為目標(biāo)。因為應(yīng)用最靠近數(shù)據(jù)以及數(shù)據(jù)的處理、交換和存儲。將設(shè)計目標(biāo)放在數(shù)據(jù)機密性、數(shù)據(jù)完整換和存儲。將設(shè)計目標(biāo)放在數(shù)據(jù)機密性、數(shù)據(jù)完整性和數(shù)據(jù)可用性上，會發(fā)現(xiàn)這不僅使應(yīng)用得到安全，性和數(shù)據(jù)可用性上，會發(fā)現(xiàn)這不僅使應(yīng)用得到安全，而且企業(yè)也得到安全。這個概念如圖而且企業(yè)也得到安全。這個概念如圖18.1所示。所示。圖圖18.1 以應(yīng)用為目標(biāo)的安全設(shè)計概念以應(yīng)用為目標(biāo)的安全設(shè)計概念數(shù)據(jù)機密性的前提是防止非授權(quán)者看到非公共使用數(shù)據(jù)機密性的前提是防止非授權(quán)者看到

13、非公共使用的數(shù)據(jù)。數(shù)據(jù)機密性應(yīng)用于本書所定義的具有內(nèi)部的數(shù)據(jù)。數(shù)據(jù)機密性應(yīng)用于本書所定義的具有內(nèi)部的、機密的、嚴(yán)格限制的標(biāo)記的數(shù)據(jù)。通過安全數(shù)的、機密的、嚴(yán)格限制的標(biāo)記的數(shù)據(jù)。通過安全數(shù)據(jù)存儲和安全數(shù)據(jù)傳輸提供數(shù)據(jù)機密性保護(hù)。滿足據(jù)存儲和安全數(shù)據(jù)傳輸提供數(shù)據(jù)機密性保護(hù)。滿足數(shù)據(jù)機密性要求的典型技術(shù)包括數(shù)據(jù)傳輸、安全在數(shù)據(jù)機密性要求的典型技術(shù)包括數(shù)據(jù)傳輸、安全在線和離線存儲的加密。線和離線存儲的加密。數(shù)據(jù)完整性是關(guān)于對數(shù)據(jù)的任何非授權(quán)改變或破壞數(shù)據(jù)完整性是關(guān)于對數(shù)據(jù)的任何非授權(quán)改變或破壞的保護(hù)。這個目標(biāo)的基本點是數(shù)據(jù)的準(zhǔn)確性和合法的保護(hù)。這個目標(biāo)的基本點是數(shù)據(jù)的準(zhǔn)確性和合法性。通過產(chǎn)生原始數(shù)據(jù)集

14、檢查和同復(fù)制的數(shù)據(jù)進(jìn)行性。通過產(chǎn)生原始數(shù)據(jù)集檢查和同復(fù)制的數(shù)據(jù)進(jìn)行比較的程序來管理完整性。提供數(shù)據(jù)完整性的通常比較的程序來管理完整性。提供數(shù)據(jù)完整性的通常解決方案是使用通用的加密策略，例如前面講到的解決方案是使用通用的加密策略，例如前面講到的IPSec，使用這樣的檢查和策略來保證發(fā)送的數(shù)據(jù)等，使用這樣的檢查和策略來保證發(fā)送的數(shù)據(jù)等于接收的數(shù)據(jù)。保護(hù)數(shù)據(jù)不被更改或破壞，可以用于接收的數(shù)據(jù)。保護(hù)數(shù)據(jù)不被更改或破壞，可以用類似反病毒這樣的簡單解決方法，也可以用部署關(guān)類似反病毒這樣的簡單解決方法，也可以用部署關(guān)鍵通路存儲解決方案、高可用性的防火墻簇以及企鍵通路存儲解決方案、高可用性的防火墻簇以及企業(yè)范

15、圍的變更管理等復(fù)雜的解決方案。為了防止非業(yè)范圍的變更管理等復(fù)雜的解決方案。為了防止非授權(quán)使用或破壞，鑒別和授權(quán)控制是最合適的方法。授權(quán)使用或破壞，鑒別和授權(quán)控制是最合適的方法。最后，數(shù)據(jù)可用性也是需要十分關(guān)注的。數(shù)據(jù)可用最后，數(shù)據(jù)可用性也是需要十分關(guān)注的。數(shù)據(jù)可用性的目標(biāo)范圍是根據(jù)數(shù)據(jù)可用的重要性而變化的。性的目標(biāo)范圍是根據(jù)數(shù)據(jù)可用的重要性而變化的。對某些系統(tǒng)需要高可用性，高達(dá)對某些系統(tǒng)需要高可用性，高達(dá)99.999%，而有些系，而有些系統(tǒng)可用性要求就較低。提供高可用性系統(tǒng)保護(hù)的典統(tǒng)可用性要求就較低。提供高可用性系統(tǒng)保護(hù)的典型方法是使用冗余系統(tǒng)，通常包括冗余的電源、數(shù)型方法是使用冗余系統(tǒng)，通常

16、包括冗余的電源、數(shù)據(jù)訪問和存儲、網(wǎng)絡(luò)以及應(yīng)用服務(wù)器處理等。但冗據(jù)訪問和存儲、網(wǎng)絡(luò)以及應(yīng)用服務(wù)器處理等。但冗余并不能滿足全部數(shù)據(jù)可行性問題，尤其是近年來余并不能滿足全部數(shù)據(jù)可行性問題，尤其是近年來增多的拒絕服務(wù)（增多的拒絕服務(wù)（DOS）和分布式拒絕服務(wù)（）和分布式拒絕服務(wù)（DDOS）的攻擊。的攻擊。首先，設(shè)計指南中最重要的是要保證企業(yè)安全策略首先，設(shè)計指南中最重要的是要保證企業(yè)安全策略和過程與當(dāng)前經(jīng)營業(yè)務(wù)目標(biāo)相一致。如有不一致，和過程與當(dāng)前經(jīng)營業(yè)務(wù)目標(biāo)相一致。如有不一致，在設(shè)計和構(gòu)造安全基礎(chǔ)設(shè)施之前，應(yīng)對這些策略和在設(shè)計和構(gòu)造安全基礎(chǔ)設(shè)施之前，應(yīng)對這些策略和過程做必要的修改。如果設(shè)計指南沒有被企

17、業(yè)的最過程做必要的修改。如果設(shè)計指南沒有被企業(yè)的最高管理層接受和全力支持，那么安全設(shè)計不可能完高管理層接受和全力支持，那么安全設(shè)計不可能完全達(dá)到它的功能，事實上有可能因缺少最高管理層全達(dá)到它的功能，事實上有可能因缺少最高管理層的支持而失敗。的支持而失敗。18.3 安全基礎(chǔ)設(shè)施的的設(shè)計指南安全基礎(chǔ)設(shè)施的的設(shè)計指南第二步是開發(fā)一個計算機事故響應(yīng)組（第二步是開發(fā)一個計算機事故響應(yīng)組（Computer Incident Response Team, CIRT）,其職責(zé)是在安全報其職責(zé)是在安全報警事件中采取必要的行動和預(yù)防措施。為了使響應(yīng)警事件中采取必要的行動和預(yù)防措施。為了使響應(yīng)組成員能熟練地處理事件

18、（如安全破壞或災(zāi)難恢組成員能熟練地處理事件（如安全破壞或災(zāi)難恢復(fù)），應(yīng)盡可能多地進(jìn)行實際培訓(xùn)。在很多情況下，復(fù)），應(yīng)盡可能多地進(jìn)行實際培訓(xùn)。在很多情況下，把它當(dāng)作有目的的測試場景，在那里能測試把它當(dāng)作有目的的測試場景，在那里能測試CIRT成成員的行動在給定安全事件下的響應(yīng)、效率、完整性員的行動在給定安全事件下的響應(yīng)、效率、完整性以及恢復(fù)能力。這樣的測試目標(biāo)對改進(jìn)以及恢復(fù)能力。這樣的測試目標(biāo)對改進(jìn)CIRT成員的成員的能力是十分重要的。能力是十分重要的。第三步是設(shè)計基礎(chǔ)設(shè)施安全服務(wù)以直接支持指南和第三步是設(shè)計基礎(chǔ)設(shè)施安全服務(wù)以直接支持指南和需求。這些服務(wù)包括鑒別、授權(quán)、賬戶、物理訪問需求。這些服務(wù)

19、包括鑒別、授權(quán)、賬戶、物理訪問控制和邏輯訪問控制。對安全服務(wù)的設(shè)計、部署和控制和邏輯訪問控制。對安全服務(wù)的設(shè)計、部署和運行應(yīng)遵循專門的方法。它定義了包括評估、設(shè)計、運行應(yīng)遵循專門的方法。它定義了包括評估、設(shè)計、部署和管理部署和管理4個步驟的生命周期。在評估階段，分析個步驟的生命周期。在評估階段，分析現(xiàn)存的經(jīng)營業(yè)務(wù)和安全需求，以決定大部分實際的、現(xiàn)存的經(jīng)營業(yè)務(wù)和安全需求，以決定大部分實際的、有效的安全解決方案現(xiàn)在是否已可行，否則必須重有效的安全解決方案現(xiàn)在是否已可行，否則必須重新設(shè)計和構(gòu)造。在設(shè)計階段，針對評估中發(fā)現(xiàn)的問新設(shè)計和構(gòu)造。在設(shè)計階段，針對評估中發(fā)現(xiàn)的問題，設(shè)計安全解決方案。部署階段包

20、括安全解決方題，設(shè)計安全解決方案。部署階段包括安全解決方案的實施和設(shè)備安裝。最后是管理階段，保證安全案的實施和設(shè)備安裝。最后是管理階段，保證安全基礎(chǔ)設(shè)施正常運行，功能正常?；A(chǔ)設(shè)施正常運行，功能正常。鑒別服務(wù)于鑒別服務(wù)于Internet資源、外聯(lián)網(wǎng)資源、內(nèi)部網(wǎng)資源資源、外聯(lián)網(wǎng)資源、內(nèi)部網(wǎng)資源的用戶，相應(yīng)于它們內(nèi)在的風(fēng)險，需要不同級別的的用戶，相應(yīng)于它們內(nèi)在的風(fēng)險，需要不同級別的安全。內(nèi)部網(wǎng)用戶愿意基于他們登錄的安全。內(nèi)部網(wǎng)用戶愿意基于他們登錄的ID自動進(jìn)行自動進(jìn)行身份鑒別，而對外聯(lián)網(wǎng)和身份鑒別，而對外聯(lián)網(wǎng)和Internet用戶，需要使用賦用戶，需要使用賦予的硬件或軟件的標(biāo)記和個人標(biāo)識號予的硬件

21、或軟件的標(biāo)記和個人標(biāo)識號PIN登錄。登錄。通用的鑒別用戶的方法包括靜態(tài)用戶名（通用的鑒別用戶的方法包括靜態(tài)用戶名（UID）和口）和口令、強的兩因子鑒別、一次性口令鑒別以及單點登令、強的兩因子鑒別、一次性口令鑒別以及單點登錄（錄（Single Sign-On, SSO）鑒別?？赡艿脑?，為企業(yè)）鑒別?？赡艿脑?，為企業(yè)部署至少兩種鑒別方法的組合，用于需要不同保護(hù)部署至少兩種鑒別方法的組合，用于需要不同保護(hù)級別的不同等級數(shù)據(jù)。對給定類別的數(shù)據(jù)選擇合適級別的不同等級數(shù)據(jù)。對給定類別的數(shù)據(jù)選擇合適的鑒別方法是十分重要的。的鑒別方法是十分重要的。18.3.1 鑒別鑒別最普通的鑒別方式是靜態(tài)最普通的鑒別方式是

22、靜態(tài)UID和口令的組合。因為靜和口令的組合。因為靜態(tài)口令不能經(jīng)常更改，因此提供的數(shù)據(jù)保護(hù)能力是態(tài)口令不能經(jīng)常更改，因此提供的數(shù)據(jù)保護(hù)能力是很小的。靜態(tài)很小的。靜態(tài)UID和口令的組合不能成功地抵御很多和口令的組合不能成功地抵御很多方式的攻擊，包括回答攻擊和蠻力攻擊。在回答攻方式的攻擊，包括回答攻擊和蠻力攻擊。在回答攻擊中，假冒者從以前的鑒別會話中獲取擊中，假冒者從以前的鑒別會話中獲取UID和口令的和口令的組合，依靠偷得的組合，依靠偷得的UID和口令給鑒別服務(wù)器回答，以和口令給鑒別服務(wù)器回答，以得到訪問權(quán)。在蠻力攻擊中，攻擊者只知道得到訪問權(quán)。在蠻力攻擊中，攻擊者只知道UID，或，或使用一個默認(rèn)系

23、統(tǒng)賬戶，用很多口令和已知使用一個默認(rèn)系統(tǒng)賬戶，用很多口令和已知UID組合組合來企圖登錄，以得到訪問權(quán)。這兩種方式的攻擊都來企圖登錄，以得到訪問權(quán)。這兩種方式的攻擊都廣泛使用，從而削弱了靜態(tài)方法的完整性。由于這廣泛使用，從而削弱了靜態(tài)方法的完整性。由于這個原因，只有公共數(shù)據(jù)或內(nèi)部數(shù)據(jù)的訪問基于靜態(tài)個原因，只有公共數(shù)據(jù)或內(nèi)部數(shù)據(jù)的訪問基于靜態(tài)鑒別方法。鑒別方法。對更高等級的數(shù)據(jù)，需要更嚴(yán)格的解決方法，例如，對更高等級的數(shù)據(jù)，需要更嚴(yán)格的解決方法，例如，可使用強的鑒別方法和一次性口令。強的鑒別方法可使用強的鑒別方法和一次性口令。強的鑒別方法可使用諸如可使用諸如PIN這類的知識因子和智能卡、標(biāo)記產(chǎn)生這

24、類的知識因子和智能卡、標(biāo)記產(chǎn)生卡、標(biāo)記軟件程序等的組合。標(biāo)記卡或標(biāo)記軟件程卡、標(biāo)記軟件程序等的組合。標(biāo)記卡或標(biāo)記軟件程序使用一個算法產(chǎn)生通常有序使用一個算法產(chǎn)生通常有6個數(shù)字的號碼，最后的個數(shù)字的號碼，最后的口令碼是該口令碼是該6個數(shù)字碼和個數(shù)字碼和PIN的組合。智能卡一般包的組合。智能卡一般包含標(biāo)識其擁有的權(quán)利的信息，如數(shù)字含標(biāo)識其擁有的權(quán)利的信息，如數(shù)字ID或私鑰。雖或私鑰。雖然這種鑒別方法優(yōu)于靜態(tài)方法，可以不再有必要用然這種鑒別方法優(yōu)于靜態(tài)方法，可以不再有必要用一次性口令，但大部分標(biāo)記產(chǎn)生卡和標(biāo)記軟件程序一次性口令，但大部分標(biāo)記產(chǎn)生卡和標(biāo)記軟件程序利用一次性口令，使用一次后就不再有效了。

25、利用一次性口令，使用一次后就不再有效了。很顯然，強鑒別和一次性口令的組合能力大大優(yōu)于很顯然，強鑒別和一次性口令的組合能力大大優(yōu)于靜態(tài)靜態(tài)UID和口令的組合，它既不會受回答攻擊的影響，和口令的組合，它既不會受回答攻擊的影響，也不會受蠻力攻擊的影響。像智能卡這些設(shè)備，當(dāng)也不會受蠻力攻擊的影響。像智能卡這些設(shè)備，當(dāng)若干次非法企圖后會自己失效，因此這些可攜帶的若干次非法企圖后會自己失效，因此這些可攜帶的卡即使丟失或被偷竊，也不會有很大風(fēng)險?？词箒G失或被偷竊，也不會有很大風(fēng)險。為了改進(jìn)使用靜態(tài)鑒別方法，可以建立一個口令老為了改進(jìn)使用靜態(tài)鑒別方法，可以建立一個口令老化的過程，規(guī)定在口令使用一定時期后必須

26、更改?；倪^程，規(guī)定在口令使用一定時期后必須更改。也可以在安全策略文檔中規(guī)定口令加強的需求，并也可以在安全策略文檔中規(guī)定口令加強的需求，并且在鑒別服務(wù)器中進(jìn)行設(shè)定，大部分操作系統(tǒng)支持且在鑒別服務(wù)器中進(jìn)行設(shè)定，大部分操作系統(tǒng)支持這種特性。這種特性。另一個設(shè)計鑒別體制時需考慮的問題是選擇分布式另一個設(shè)計鑒別體制時需考慮的問題是選擇分布式或集中式的鑒別。分布式鑒別在業(yè)界是最流行的，或集中式的鑒別。分布式鑒別在業(yè)界是最流行的，對每一個要訪問的系統(tǒng)，用戶有不同的對每一個要訪問的系統(tǒng)，用戶有不同的UID和口令，和口令，有時甚至對給定系統(tǒng)訪問的每個應(yīng)用都有不同的有時甚至對給定系統(tǒng)訪問的每個應(yīng)用都有不同的UI

27、D和口令。和口令。與上述方法相反的是單點登錄（與上述方法相反的是單點登錄（SSO）。）。SSO準(zhǔn)許用準(zhǔn)許用戶使用單一賬號和口令的組合來訪問企業(yè)中的很多戶使用單一賬號和口令的組合來訪問企業(yè)中的很多資源。資源。SSO對用戶提供方便的優(yōu)點是顯而易見的。它對用戶提供方便的優(yōu)點是顯而易見的。它也減輕了管理的負(fù)擔(dān)，管理員需跟蹤的賬戶大大減也減輕了管理的負(fù)擔(dān)，管理員需跟蹤的賬戶大大減少，由于用戶忘記自己的口令而需要重新設(shè)置的負(fù)少，由于用戶忘記自己的口令而需要重新設(shè)置的負(fù)擔(dān)也減輕了。擔(dān)也減輕了。然而，然而，SSO不是沒有一點麻煩。將不是沒有一點麻煩。將SSO引入環(huán)境，使引入環(huán)境，使其在異構(gòu)環(huán)境中有效地運行需要

28、管理員付出新的努其在異構(gòu)環(huán)境中有效地運行需要管理員付出新的努力。這些新的努力包括兼容的問題、部署和功能操力。這些新的努力包括兼容的問題、部署和功能操作的問題，以及管理的問題等。如應(yīng)用適當(dāng)?shù)闹橇ψ鞯膯栴}，以及管理的問題等。如應(yīng)用適當(dāng)?shù)闹橇唾Y源解決了大部分問題，引入和資源解決了大部分問題，引入SSO解決方案，就能解決方案，就能成功地處理大部分企業(yè)范圍的鑒別需求。成功地處理大部分企業(yè)范圍的鑒別需求。授權(quán)是基于一個人或一個組的標(biāo)識，允許或拒絕規(guī)授權(quán)是基于一個人或一個組的標(biāo)識，允許或拒絕規(guī)定的特權(quán)的行為。授權(quán)應(yīng)從應(yīng)用的周圍世界來處理。定的特權(quán)的行為。授權(quán)應(yīng)從應(yīng)用的周圍世界來處理。從根本上講，應(yīng)用安全是

29、所有努力的目標(biāo)。這些努從根本上講，應(yīng)用安全是所有努力的目標(biāo)。這些努力包括了解你的應(yīng)用，以及如何和客戶機、數(shù)據(jù)庫力包括了解你的應(yīng)用，以及如何和客戶機、數(shù)據(jù)庫通信，以及其他服務(wù)器處理過程。通信，以及其他服務(wù)器處理過程。18.3.2 授權(quán)授權(quán)應(yīng)用通常使用一個靜態(tài)的端口集以及和其他實體通應(yīng)用通常使用一個靜態(tài)的端口集以及和其他實體通信的協(xié)議。端口用來處理通信的發(fā)送和接收。決定信的協(xié)議。端口用來處理通信的發(fā)送和接收。決定使用什么樣的端口和什么樣的協(xié)議。有了這些信息，使用什么樣的端口和什么樣的協(xié)議。有了這些信息，就可明白在使用哪一種應(yīng)用會話方式（例如就可明白在使用哪一種應(yīng)用會話方式（例如TCP會會話），還是

30、通過沒有會話的突發(fā)數(shù)據(jù)的應(yīng)用通信話），還是通過沒有會話的突發(fā)數(shù)據(jù)的應(yīng)用通信（例如（例如UDP或或HTTP）。明白這些應(yīng)用通信類型以及）。明白這些應(yīng)用通信類型以及如何通信有助于設(shè)計有效的、適當(dāng)?shù)氖跈?quán)控制。如何通信有助于設(shè)計有效的、適當(dāng)?shù)氖跈?quán)控制。對應(yīng)用功能及其如何實現(xiàn)有了很好的了解后，下一對應(yīng)用功能及其如何實現(xiàn)有了很好的了解后，下一步是決定誰應(yīng)該在什么時間訪問哪些數(shù)據(jù)，還應(yīng)決步是決定誰應(yīng)該在什么時間訪問哪些數(shù)據(jù)，還應(yīng)決定誰能得到對應(yīng)用服務(wù)器、數(shù)據(jù)庫或它們常駐網(wǎng)絡(luò)定誰能得到對應(yīng)用服務(wù)器、數(shù)據(jù)庫或它們常駐網(wǎng)絡(luò)段的物理訪問權(quán)。這樣就能防止入侵者得到訪問控段的物理訪問權(quán)。這樣就能防止入侵者得到訪問控制。

31、將應(yīng)用訪問限制在特定的群體和一天中的特定制。將應(yīng)用訪問限制在特定的群體和一天中的特定時間，就能減少受攻擊的可能。時間，就能減少受攻擊的可能。根據(jù)賦予的資源特權(quán)將用戶分成組，通過按資源將根據(jù)賦予的資源特權(quán)將用戶分成組，通過按資源將用戶分組的方法，用賦予的組標(biāo)簽在應(yīng)用級進(jìn)行授用戶分組的方法，用賦予的組標(biāo)簽在應(yīng)用級進(jìn)行授權(quán)控制來控制組成員的活動。這樣的策略是基于角權(quán)控制來控制組成員的活動。這樣的策略是基于角色的訪問控制（色的訪問控制（role based access control, RBAC）。）。雖然雖然RBAC控制很好，適合于具有大量用戶和大量公控制很好，適合于具有大量用戶和大量公共或內(nèi)部數(shù)

32、據(jù)資源的服務(wù)，但是對標(biāo)有機密或嚴(yán)格共或內(nèi)部數(shù)據(jù)資源的服務(wù)，但是對標(biāo)有機密或嚴(yán)格限制的數(shù)據(jù)保護(hù)需要更嚴(yán)格的控制。基于用戶的訪限制的數(shù)據(jù)保護(hù)需要更嚴(yán)格的控制?；谟脩舻脑L問控制（問控制（User Based Access Control, UBAC）是根據(jù)）是根據(jù)各個用戶的特權(quán)而不是賦予的角色來決定的訪問控各個用戶的特權(quán)而不是賦予的角色來決定的訪問控制。制。UBAC需要對每個用戶分別進(jìn)行鑒別和授權(quán)。需要對每個用戶分別進(jìn)行鑒別和授權(quán)。UBAC控制從其本性看可提供更細(xì)粒度的控制，因為控制從其本性看可提供更細(xì)粒度的控制，因為它直接應(yīng)用至每個用戶或單個實體，而不是組或多它直接應(yīng)用至每個用戶或單個實體，而不

33、是組或多個實體。個實體。賬戶管理涉及日志和行為的監(jiān)控、事件以及滿足某賬戶管理涉及日志和行為的監(jiān)控、事件以及滿足某些條件引起的報警。大部分操作系統(tǒng)能配置生成賬些條件引起的報警。大部分操作系統(tǒng)能配置生成賬戶日志，對各種系統(tǒng)里發(fā)生的事件向管理者發(fā)出報戶日志，對各種系統(tǒng)里發(fā)生的事件向管理者發(fā)出報警。最流行的操作系統(tǒng)日志程序是用于警。最流行的操作系統(tǒng)日志程序是用于UNIX系統(tǒng)的系統(tǒng)的Syslog和用于和用于Microsoft NT的的NT事件日志。事件日志。UNIX Syslog或或NT事件日志設(shè)置報警事件日志設(shè)置報警,在日志文件中產(chǎn)生報在日志文件中產(chǎn)生報警級報文，或更高級的報文。然而，情況可能更為警級

34、報文，或更高級的報文。然而，情況可能更為復(fù)雜，如若干個相關(guān)的、協(xié)同的、不一樣的事件從復(fù)雜，如若干個相關(guān)的、協(xié)同的、不一樣的事件從不同的代理源發(fā)生，其結(jié)果是發(fā)出更嚴(yán)重的報警信不同的代理源發(fā)生，其結(jié)果是發(fā)出更嚴(yán)重的報警信息。不論復(fù)雜性如何，賬戶管理結(jié)果都能提供以下息。不論復(fù)雜性如何，賬戶管理結(jié)果都能提供以下信息：信息：18.3.3 帳戶帳戶操作系統(tǒng)使用的詳細(xì)情況；操作系統(tǒng)使用的詳細(xì)情況；應(yīng)用使用的詳細(xì)情況；應(yīng)用使用的詳細(xì)情況；Internet、外聯(lián)網(wǎng)或內(nèi)部網(wǎng)的活動；、外聯(lián)網(wǎng)或內(nèi)部網(wǎng)的活動；用于法庭分析的數(shù)據(jù)；用于法庭分析的數(shù)據(jù)；趨勢分析數(shù)據(jù)；趨勢分析數(shù)據(jù)；生成報告的數(shù)據(jù)。生成報告的數(shù)據(jù)。這些結(jié)果對

35、企業(yè)都是很有價值的。除了提供性能預(yù)這些結(jié)果對企業(yè)都是很有價值的。除了提供性能預(yù)測和趨勢分析之外，這些事件還能確定它的安全輪測和趨勢分析之外，這些事件還能確定它的安全輪廓、標(biāo)識存在的或可能的威脅。操作系統(tǒng)事件能提廓、標(biāo)識存在的或可能的威脅。操作系統(tǒng)事件能提示安全職員下列情況：失敗的登錄企圖、企圖得到示安全職員下列情況：失敗的登錄企圖、企圖得到根或管理員的訪問、文件系統(tǒng)是否已被安全送出。根或管理員的訪問、文件系統(tǒng)是否已被安全送出。事件的時間界限和事件覆蓋的范圍一樣重要。當(dāng)管事件的時間界限和事件覆蓋的范圍一樣重要。當(dāng)管理員只是每周一次用人工方法考查事件日志時，從理員只是每周一次用人工方法考查事件日志

36、時，從操作系統(tǒng)、關(guān)鍵應(yīng)用以及在網(wǎng)絡(luò)段上的通信監(jiān)控安操作系統(tǒng)、關(guān)鍵應(yīng)用以及在網(wǎng)絡(luò)段上的通信監(jiān)控安全事件到底有多少價值呢？當(dāng)管理員周期地考查這全事件到底有多少價值呢？當(dāng)管理員周期地考查這些事件日志，查看一段歷史時，黑客和漏洞的跟蹤些事件日志，查看一段歷史時，黑客和漏洞的跟蹤有可能早已離開了，一些關(guān)鍵數(shù)據(jù)也可能已被取走。有可能早已離開了，一些關(guān)鍵數(shù)據(jù)也可能已被取走。在在Internet年代，事情發(fā)生得很快。即使是黑客新手年代，事情發(fā)生得很快。即使是黑客新手也可能用大量黑客工具來攻擊企業(yè)資產(chǎn)。這些新手也可能用大量黑客工具來攻擊企業(yè)資產(chǎn)。這些新手從專門黑客那里得到好處，裁剪黑客工具對企業(yè)施從專門黑客那里

37、得到好處，裁剪黑客工具對企業(yè)施加嚴(yán)重的破壞。加嚴(yán)重的破壞。因此，不僅需要連續(xù)的訪問和鑒別控制，還需要實因此，不僅需要連續(xù)的訪問和鑒別控制，還需要實時的事件管理和入侵檢測（時的事件管理和入侵檢測（ID）解決方法。將入侵）解決方法。將入侵檢測也作為賬戶管理解決方案的一個組成部分，因檢測也作為賬戶管理解決方案的一個組成部分，因為它的自然特性是事件檢測、分析，還有防止，十為它的自然特性是事件檢測、分析，還有防止，十分類似于事件管理的目的。以往只是將事件管理當(dāng)分類似于事件管理的目的。以往只是將事件管理當(dāng)作一種靜態(tài)搜集信息的工具，在這里將事件管理作作一種靜態(tài)搜集信息的工具，在這里將事件管理作為一種實時安全

38、報警機制。為一種實時安全報警機制。物理訪問控制有關(guān)安全基礎(chǔ)設(shè)施的組件，和其他安物理訪問控制有關(guān)安全基礎(chǔ)設(shè)施的組件，和其他安全設(shè)施一起減少資源濫用的效應(yīng)。物理控制的操作全設(shè)施一起減少資源濫用的效應(yīng)。物理控制的操作是物理的。是物理的。通用物理訪問控制包括標(biāo)準(zhǔn)的門鑰匙、鑰匙卡、標(biāo)通用物理訪問控制包括標(biāo)準(zhǔn)的門鑰匙、鑰匙卡、標(biāo)識標(biāo)志、安全照相機、活動傳感器、聲像報警、安識標(biāo)志、安全照相機、活動傳感器、聲像報警、安全警衛(wèi)和系統(tǒng)、設(shè)備標(biāo)簽等。使用這些組件的方法全警衛(wèi)和系統(tǒng)、設(shè)備標(biāo)簽等。使用這些組件的方法決定了物理訪問控制策略的質(zhì)量。企業(yè)安全策略和決定了物理訪問控制策略的質(zhì)量。企業(yè)安全策略和過程文檔定義的操作

39、應(yīng)定義如何保護(hù)專門等級的數(shù)過程文檔定義的操作應(yīng)定義如何保護(hù)專門等級的數(shù)據(jù)及執(zhí)行的系統(tǒng)。這些過程還應(yīng)陳述在災(zāi)難事件中據(jù)及執(zhí)行的系統(tǒng)。這些過程還應(yīng)陳述在災(zāi)難事件中通知相應(yīng)的人員采取哪些行動，對應(yīng)用重要的數(shù)據(jù)通知相應(yīng)的人員采取哪些行動，對應(yīng)用重要的數(shù)據(jù)影響，定義相應(yīng)的法庭過程以及如何降低相關(guān)的風(fēng)影響，定義相應(yīng)的法庭過程以及如何降低相關(guān)的風(fēng)險。險。18.3.4 物理訪問控制物理訪問控制除了減少安全漏洞的風(fēng)險和影響外，服務(wù)的破壞也除了減少安全漏洞的風(fēng)險和影響外，服務(wù)的破壞也必須計入物理保護(hù)策略。服務(wù)破壞保護(hù)策略包括正必須計入物理保護(hù)策略。服務(wù)破壞保護(hù)策略包括正確的組件放置以及冗余。安全基礎(chǔ)設(shè)施放置和冗余

40、確的組件放置以及冗余。安全基礎(chǔ)設(shè)施放置和冗余是一樣重要的。例如，某公司需要一個高可用性的是一樣重要的。例如，某公司需要一個高可用性的系統(tǒng)和數(shù)據(jù)為客戶服務(wù)，為此公司需安裝一條冗余系統(tǒng)和數(shù)據(jù)為客戶服務(wù)，為此公司需安裝一條冗余的的T-1電纜接到提供客戶服務(wù)的數(shù)據(jù)中心，同時需要電纜接到提供客戶服務(wù)的數(shù)據(jù)中心，同時需要安裝冗余的安裝冗余的UPS設(shè)備。由于施工土建工作量較小，施設(shè)備。由于施工土建工作量較小，施工過程未同土建安全部門聯(lián)系。但這種疏忽有可能工過程未同土建安全部門聯(lián)系。但這種疏忽有可能會引起水、電等事故，這類事故在安裝物理基礎(chǔ)設(shè)會引起水、電等事故，這類事故在安裝物理基礎(chǔ)設(shè)施組件時本來是完全可以避

41、免的。施組件時本來是完全可以避免的。邏輯訪問控制是所有安全基礎(chǔ)設(shè)施控制中最引人注邏輯訪問控制是所有安全基礎(chǔ)設(shè)施控制中最引人注目的。這些控制包括防火墻、路由器、交換機、目的。這些控制包括防火墻、路由器、交換機、VPN和應(yīng)用層控制，用來限制系統(tǒng)和網(wǎng)絡(luò)的使用。和應(yīng)用層控制，用來限制系統(tǒng)和網(wǎng)絡(luò)的使用。如前所述，邏輯訪問控制有時使用鑒別和授權(quán)信息如前所述，邏輯訪問控制有時使用鑒別和授權(quán)信息來決定準(zhǔn)予或拒絕訪問。另外，這些決定取決于正來決定準(zhǔn)予或拒絕訪問。另外，這些決定取決于正在使用的端口和協(xié)議。這些控制最好先集中在應(yīng)用在使用的端口和協(xié)議。這些控制最好先集中在應(yīng)用上，然后再控制低層協(xié)議。上，然后再控制低層

42、協(xié)議。18.3.5 邏輯訪問控制邏輯訪問控制下面舉例說明，假定有一個下面舉例說明，假定有一個HealthApp的應(yīng)用，此應(yīng)的應(yīng)用，此應(yīng)用利用端口用利用端口8111上的上的TCP和和HealthApp客戶通信，而客戶通信，而TCP8104處理服務(wù)器對服務(wù)器的通信。首先需明白處理服務(wù)器對服務(wù)器的通信。首先需明白應(yīng)用的功能，而不是一開始就訪問控制不希望的端應(yīng)用的功能，而不是一開始就訪問控制不希望的端口和協(xié)議。在本例中，口和協(xié)議。在本例中，HealthApp服務(wù)器和其他服務(wù)服務(wù)器和其他服務(wù)器通信首先執(zhí)行一個域名系統(tǒng)（器通信首先執(zhí)行一個域名系統(tǒng)（DNS）的查找來發(fā)）的查找來發(fā)現(xiàn)要同它通信的服務(wù)器的現(xiàn)要同

43、它通信的服務(wù)器的IP地址，地址，HealthApp服務(wù)器服務(wù)器和和DNS服務(wù)器之間的服務(wù)器之間的DNS詢問必須是允許的。詢問必須是允許的。在本例中，下一步是對不是和在本例中，下一步是對不是和HealthApp應(yīng)用相聯(lián)系應(yīng)用相聯(lián)系的操作，拒絕所有訪問控制設(shè)備（例如防火墻、路的操作，拒絕所有訪問控制設(shè)備（例如防火墻、路由器、交換機）上的通信，并對應(yīng)用進(jìn)行測試。這由器、交換機）上的通信，并對應(yīng)用進(jìn)行測試。這樣以應(yīng)用為目標(biāo)，導(dǎo)出可用的、最安全的邏輯訪問樣以應(yīng)用為目標(biāo)，導(dǎo)出可用的、最安全的邏輯訪問控制集。可以發(fā)現(xiàn)，使用這個策略是保護(hù)應(yīng)用數(shù)據(jù)控制集?？梢园l(fā)現(xiàn)，使用這個策略是保護(hù)應(yīng)用數(shù)據(jù)及其執(zhí)行的系統(tǒng)的最有

44、效方法。及其執(zhí)行的系統(tǒng)的最有效方法。邏輯訪問控制能應(yīng)用不同的方法來限制系統(tǒng)和網(wǎng)絡(luò)邏輯訪問控制能應(yīng)用不同的方法來限制系統(tǒng)和網(wǎng)絡(luò)的使用。對應(yīng)用訪問的保護(hù)，邏輯訪問控制通常使的使用。對應(yīng)用訪問的保護(hù)，邏輯訪問控制通常使用在應(yīng)用本身?；阼b別和授權(quán)準(zhǔn)則，可設(shè)計成明用在應(yīng)用本身?；阼b別和授權(quán)準(zhǔn)則，可設(shè)計成明確的限制或允許一定用戶或用戶組的訪問。網(wǎng)絡(luò)訪確的限制或允許一定用戶或用戶組的訪問。網(wǎng)絡(luò)訪問控制根據(jù)試圖經(jīng)過一個網(wǎng)絡(luò)段的端口號和協(xié)議來問控制根據(jù)試圖經(jīng)過一個網(wǎng)絡(luò)段的端口號和協(xié)議來決定允許還是拒絕通信。很多防火墻、路由器、交決定允許還是拒絕通信。很多防火墻、路由器、交換機、換機、VPN網(wǎng)關(guān)和網(wǎng)關(guān)和ID系

45、統(tǒng)可以根據(jù)它的類型（系統(tǒng)可以根據(jù)它的類型（TCP、UDP或或IPX）、源、目的甚至載荷來限制通信。）、源、目的甚至載荷來限制通信。邏輯訪問控制通常最后使用入侵檢測系統(tǒng)，包括發(fā)邏輯訪問控制通常最后使用入侵檢測系統(tǒng)，包括發(fā)送一個送一個TCP RESET（RST）分組給非授權(quán)網(wǎng)絡(luò)通信）分組給非授權(quán)網(wǎng)絡(luò)通信的發(fā)送源。這個的發(fā)送源。這個RST分組通知發(fā)送源（冒犯者）的主分組通知發(fā)送源（冒犯者）的主機該數(shù)據(jù)會話沒有接收到。雖然這個冒犯者的主機機該數(shù)據(jù)會話沒有接收到。雖然這個冒犯者的主機可能繼續(xù)再試，但它的非授權(quán)通信經(jīng)過給定的網(wǎng)絡(luò)可能繼續(xù)再試，但它的非授權(quán)通信經(jīng)過給定的網(wǎng)絡(luò)段，入侵檢測系統(tǒng)將重新設(shè)置這個會話

46、，因此阻止段，入侵檢測系統(tǒng)將重新設(shè)置這個會話，因此阻止了該通信到達(dá)目的站。了該通信到達(dá)目的站。實踐證明，最好的邏輯訪問控制實施策略是包括周實踐證明，最好的邏輯訪問控制實施策略是包括周邊的建立、內(nèi)部應(yīng)用和基于網(wǎng)絡(luò)的控制、基礎(chǔ)設(shè)施邊的建立、內(nèi)部應(yīng)用和基于網(wǎng)絡(luò)的控制、基礎(chǔ)設(shè)施的保護(hù)。周邊的建立將決定哪些系統(tǒng)和網(wǎng)絡(luò)是最可的保護(hù)。周邊的建立將決定哪些系統(tǒng)和網(wǎng)絡(luò)是最可信的（內(nèi)部的），哪些系統(tǒng)和網(wǎng)絡(luò)有點可信信的（內(nèi)部的），哪些系統(tǒng)和網(wǎng)絡(luò)有點可信（DMZ），哪些系統(tǒng)和網(wǎng)絡(luò)根本不可信。圖），哪些系統(tǒng)和網(wǎng)絡(luò)根本不可信。圖18.2表表示建立可信域的模型。示建立可信域的模型。圖圖18.2 可信域的模型可信域的模型設(shè)計

47、分開的可信區(qū)域，就能使用訪問控制，以適合設(shè)計分開的可信區(qū)域，就能使用訪問控制，以適合不同可信區(qū)域內(nèi)網(wǎng)絡(luò)和系統(tǒng)的經(jīng)營業(yè)務(wù)的目的。不同可信區(qū)域內(nèi)網(wǎng)絡(luò)和系統(tǒng)的經(jīng)營業(yè)務(wù)的目的。Internet需要和內(nèi)部網(wǎng)和外聯(lián)網(wǎng)不同的訪問控制水平，需要和內(nèi)部網(wǎng)和外聯(lián)網(wǎng)不同的訪問控制水平，不僅必須選擇合適的訪問控制技術(shù)，還必須包括基不僅必須選擇合適的訪問控制技術(shù)，還必須包括基礎(chǔ)設(shè)施的正確部署位置。入侵檢測系統(tǒng)安裝在周邊礎(chǔ)設(shè)施的正確部署位置。入侵檢測系統(tǒng)安裝在周邊防火墻內(nèi)和防火墻外結(jié)果不同。不僅重要的事件及防火墻內(nèi)和防火墻外結(jié)果不同。不僅重要的事件及其內(nèi)容不同，而且使用的數(shù)據(jù)機密性、完整性和可其內(nèi)容不同，而且使用的數(shù)據(jù)機

48、密性、完整性和可用性的需求也不同，事件著重點的改變也相當(dāng)大。用性的需求也不同，事件著重點的改變也相當(dāng)大。當(dāng)實施這些控制時，應(yīng)盡可能少地犧牲企業(yè)的生產(chǎn)當(dāng)實施這些控制時，應(yīng)盡可能少地犧牲企業(yè)的生產(chǎn)力和利益，這是必須考慮的因素，雖然要做到這點力和利益，這是必須考慮的因素，雖然要做到這點不容易。不容易。支撐性基礎(chǔ)設(shè)施是能夠提供安全服務(wù)的一套相互關(guān)支撐性基礎(chǔ)設(shè)施是能夠提供安全服務(wù)的一套相互關(guān)聯(lián)的活動與基礎(chǔ)設(shè)施。有兩個十分重要的支撐性基聯(lián)的活動與基礎(chǔ)設(shè)施。有兩個十分重要的支撐性基礎(chǔ)設(shè)施：礎(chǔ)設(shè)施：密鑰管理基礎(chǔ)設(shè)施密鑰管理基礎(chǔ)設(shè)施/公鑰基礎(chǔ)設(shè)施，用于產(chǎn)生、公布公鑰基礎(chǔ)設(shè)施，用于產(chǎn)生、公布和管理密鑰與證書等安全

49、憑證。和管理密鑰與證書等安全憑證。檢測與響應(yīng)，用于預(yù)警、檢測、識別可能的網(wǎng)絡(luò)攻檢測與響應(yīng)，用于預(yù)警、檢測、識別可能的網(wǎng)絡(luò)攻擊，做出有效響應(yīng)以及對攻擊行為進(jìn)行調(diào)查分析。擊，做出有效響應(yīng)以及對攻擊行為進(jìn)行調(diào)查分析。18.4 密鑰管理基礎(chǔ)設(shè)施密鑰管理基礎(chǔ)設(shè)施/公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施本節(jié)闡述密鑰基礎(chǔ)設(shè)施與公鑰基礎(chǔ)設(shè)施本節(jié)闡述密鑰基礎(chǔ)設(shè)施與公鑰基礎(chǔ)設(shè)施（KMI/PKI），），KMI/PKI作為一種支撐性基礎(chǔ)設(shè)施，作為一種支撐性基礎(chǔ)設(shè)施，其本身并不能直接為用戶提供安全服務(wù)，但其本身并不能直接為用戶提供安全服務(wù)，但KMI/PKI是其他安全應(yīng)用的基礎(chǔ)。是其他安全應(yīng)用的基礎(chǔ)。KMI/PKI是安全是安全服務(wù)所必

50、需的組件，其體系結(jié)構(gòu)依賴于其支持的應(yīng)服務(wù)所必需的組件，其體系結(jié)構(gòu)依賴于其支持的應(yīng)用。表用。表18-1列出了不同用戶類型對列出了不同用戶類型對KMI/PKI的需求。的需求。例如，在為兩個用戶提供端到端加密隧道的虛擬專例如，在為兩個用戶提供端到端加密隧道的虛擬專用網(wǎng)（用網(wǎng)（VPN）中，）中，KMI/PKI為實現(xiàn)認(rèn)證和加密功能為實現(xiàn)認(rèn)證和加密功能的加密設(shè)備提供密鑰和證書，還為用戶提供密鑰恢的加密設(shè)備提供密鑰和證書，還為用戶提供密鑰恢復(fù)服務(wù)以及證書查詢的目錄服務(wù)。復(fù)服務(wù)以及證書查詢的目錄服務(wù)。表表18-1 KMI/PKI支持不同類型的用戶服務(wù)支持不同類型的用戶服務(wù)用戶類型KMI/PKI服務(wù)VPN密鑰產(chǎn)

51、生證書管理密鑰恢復(fù)目錄服務(wù)網(wǎng)絡(luò)訪問控制 密鑰產(chǎn)生證書管理增值服務(wù)目錄服務(wù)遠(yuǎn)程訪問服務(wù) 密鑰產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)多級安全密鑰產(chǎn)生證書管理目錄服務(wù)用戶類型用戶類型KMI/PKI服務(wù)服務(wù)VPN密鑰產(chǎn)生證書管理密鑰密鑰產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)網(wǎng)絡(luò)訪問控制密鑰產(chǎn)生證書管理增值恢復(fù)目錄服務(wù)網(wǎng)絡(luò)訪問控制密鑰產(chǎn)生證書管理增值服務(wù)目錄服務(wù)遠(yuǎn)程訪問服務(wù)密鑰產(chǎn)生證書管理密鑰服務(wù)目錄服務(wù)遠(yuǎn)程訪問服務(wù)密鑰產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)多級安全密鑰產(chǎn)生證書管理目錄服務(wù)恢復(fù)目錄服務(wù)多級安全密鑰產(chǎn)生證書管理目錄服務(wù)與其他基礎(chǔ)設(shè)施解決方案不同的是，與其他基礎(chǔ)設(shè)施解決方案不同的是，KMI/PKI將它將它的安全分布在一組

52、獨立的組件上。這些組件本身比的安全分布在一組獨立的組件上。這些組件本身比用戶應(yīng)用要求更高的安全性，以保證用戶證書和密用戶應(yīng)用要求更高的安全性，以保證用戶證書和密鑰的安全性。同樣，基礎(chǔ)設(shè)施中的安全策略管理、鑰的安全性。同樣，基礎(chǔ)設(shè)施中的安全策略管理、信息保障的水平等都要高于用戶應(yīng)用的安全級別。信息保障的水平等都要高于用戶應(yīng)用的安全級別。為了減少用戶獲取服務(wù)的成本和需花費的人力資源，為了減少用戶獲取服務(wù)的成本和需花費的人力資源，要求將提供不同服務(wù)的支撐性基礎(chǔ)設(shè)施組合在一起，要求將提供不同服務(wù)的支撐性基礎(chǔ)設(shè)施組合在一起，形成一個能為用戶提供多種服務(wù)的多組件基礎(chǔ)設(shè)施。形成一個能為用戶提供多種服務(wù)的多組

53、件基礎(chǔ)設(shè)施。KMI/PKI支持支持4種服務(wù)，其中每一種服務(wù)都使用了多種服務(wù)，其中每一種服務(wù)都使用了多種機制來滿足用戶應(yīng)用對安全的不同要求。前兩種種機制來滿足用戶應(yīng)用對安全的不同要求。前兩種服務(wù)能直接支持用戶應(yīng)用，后兩種服務(wù)是用戶應(yīng)用服務(wù)能直接支持用戶應(yīng)用，后兩種服務(wù)是用戶應(yīng)用正常工作所必需的。正常工作所必需的。18.4.1 KMI/PKI服務(wù)服務(wù)第一種服務(wù)是對稱密鑰的產(chǎn)生和分發(fā)。對稱密鑰的第一種服務(wù)是對稱密鑰的產(chǎn)生和分發(fā)。對稱密鑰的產(chǎn)生和分發(fā)仍然是政府部門、金融部門和密鑰管理產(chǎn)生和分發(fā)仍然是政府部門、金融部門和密鑰管理機制中最主要的部分。盡管許多應(yīng)用正在使用非對機制中最主要的部分。盡管許多應(yīng)用

54、正在使用非對稱密鑰管理代替對稱密鑰管理，但對稱密鑰管理仍稱密鑰管理代替對稱密鑰管理，但對稱密鑰管理仍然有用武之地。對稱密鑰中，多個用戶的密鑰的產(chǎn)然有用武之地。對稱密鑰中，多個用戶的密鑰的產(chǎn)生、分發(fā)和管理由一個中心（可能是一個用戶或一生、分發(fā)和管理由一個中心（可能是一個用戶或一個獨立的第三方）完成。在應(yīng)用對稱密鑰的團體中，個獨立的第三方）完成。在應(yīng)用對稱密鑰的團體中，一個成員在其密鑰的生命周期中只使用同一個密鑰一個成員在其密鑰的生命周期中只使用同一個密鑰與其他成員進(jìn)行保密通信。與其他成員進(jìn)行保密通信。第二種服務(wù)是支持非對稱密鑰技術(shù)及與其相關(guān)的證第二種服務(wù)是支持非對稱密鑰技術(shù)及與其相關(guān)的證書管理。

55、非對稱密鑰通常使用數(shù)字證書來鑒別公書管理。非對稱密鑰通常使用數(shù)字證書來鑒別公/私私鑰對中公鑰部分的真實性。這種鑒別很重要，因為鑰對中公鑰部分的真實性。這種鑒別很重要，因為非對稱密碼提供的安全服務(wù)要依賴于公鑰用戶確保非對稱密碼提供的安全服務(wù)要依賴于公鑰用戶確保公鑰已與特定的用戶綁定。數(shù)字證書（公鑰已與特定的用戶綁定。數(shù)字證書（X.509證書）證書）恰恰能將公恰恰能將公/私密鑰對中的公鑰部分與其擁有者的身私密鑰對中的公鑰部分與其擁有者的身份綁定在一起，并使用密碼技術(shù)保證這種綁定關(guān)系份綁定在一起，并使用密碼技術(shù)保證這種綁定關(guān)系的安全性。公鑰基礎(chǔ)設(shè)施由多個部分組成，包括組的安全性。公鑰基礎(chǔ)設(shè)施由多個部

56、分組成，包括組成基礎(chǔ)設(shè)施的組件、使用并操作基礎(chǔ)設(shè)施的人員、成基礎(chǔ)設(shè)施的組件、使用并操作基礎(chǔ)設(shè)施的人員、基礎(chǔ)設(shè)施提供的服務(wù)、基礎(chǔ)設(shè)施運行的策略以及對基礎(chǔ)設(shè)施提供的服務(wù)、基礎(chǔ)設(shè)施運行的策略以及對公鑰證書的管理。公鑰基礎(chǔ)設(shè)施可以產(chǎn)生、管理數(shù)公鑰證書的管理。公鑰基礎(chǔ)設(shè)施可以產(chǎn)生、管理數(shù)字證書以保證數(shù)據(jù)的真實性、完整性及不可否認(rèn)性，字證書以保證數(shù)據(jù)的真實性、完整性及不可否認(rèn)性，也可產(chǎn)生、管理密鑰協(xié)商證書以保護(hù)數(shù)據(jù)的機密性。也可產(chǎn)生、管理密鑰協(xié)商證書以保護(hù)數(shù)據(jù)的機密性。第三種服務(wù)是目錄服務(wù)。通過目錄服務(wù)，用戶可獲第三種服務(wù)是目錄服務(wù)。通過目錄服務(wù)，用戶可獲得得PKI提供的公開信息，如公鑰證書、相關(guān)基礎(chǔ)設(shè)施

57、提供的公開信息，如公鑰證書、相關(guān)基礎(chǔ)設(shè)施的證書、受損的密鑰信息等。目錄服務(wù)可以由全球的證書、受損的密鑰信息等。目錄服務(wù)可以由全球的分布目錄集提供，如的分布目錄集提供，如X.500DMS(Defense Message System),也可以由單一站點組成的在線存儲庫提供。也可以由單一站點組成的在線存儲庫提供。目錄服務(wù)一般與目錄服務(wù)一般與PKI結(jié)合在一起使用，但也可以用來結(jié)合在一起使用，但也可以用來提供其他服務(wù)。提供其他服務(wù)。第四種服務(wù)是對基礎(chǔ)設(shè)施本身的管理?；A(chǔ)設(shè)施是第四種服務(wù)是對基礎(chǔ)設(shè)施本身的管理?；A(chǔ)設(shè)施是由多個組件協(xié)同工作為用戶提供服務(wù)的，這種分布由多個組件協(xié)同工作為用戶提供服務(wù)的，這種

58、分布特性增加了對特性增加了對KMI/PKI的功能和操作上的要求。同的功能和操作上的要求。同時應(yīng)用安全需求的敏感性也對時應(yīng)用安全需求的敏感性也對KMI/PKI提出了更多提出了更多的安全需求。的安全需求。KMI/PKI的內(nèi)部結(jié)構(gòu)也受其支持的應(yīng)的內(nèi)部結(jié)構(gòu)也受其支持的應(yīng)用的影響。用的影響。KMI/PKI能支持不同的安全應(yīng)用，這取決于應(yīng)用使能支持不同的安全應(yīng)用，這取決于應(yīng)用使用的密碼技術(shù)。對稱密碼技術(shù)一般保護(hù)信息在傳輸用的密碼技術(shù)。對稱密碼技術(shù)一般保護(hù)信息在傳輸和存儲中的機密性，如傳輸機密性、文件加密、密和存儲中的機密性，如傳輸機密性、文件加密、密鑰協(xié)商。對稱密鑰技術(shù)與其他機制相結(jié)合也可保證鑰協(xié)商。對稱

59、密鑰技術(shù)與其他機制相結(jié)合也可保證交易過程中數(shù)據(jù)的完整性和真實性，從而確保交易交易過程中數(shù)據(jù)的完整性和真實性，從而確保交易安全，如鑒別、完整性、不可否認(rèn)等安全應(yīng)用。與安全，如鑒別、完整性、不可否認(rèn)等安全應(yīng)用。與對稱密碼不同，非對稱密碼技術(shù)可以保護(hù)信息在傳對稱密碼不同，非對稱密碼技術(shù)可以保護(hù)信息在傳輸和存儲中的完整性和真實性，如鑒別、完整性和輸和存儲中的完整性和真實性，如鑒別、完整性和不可否認(rèn)等安全應(yīng)用。公開密鑰密碼技術(shù)與證書管不可否認(rèn)等安全應(yīng)用。公開密鑰密碼技術(shù)與證書管理相結(jié)合可以為應(yīng)用提供全方位的安全服務(wù)。公開理相結(jié)合可以為應(yīng)用提供全方位的安全服務(wù)。公開密鑰密碼技術(shù)對數(shù)據(jù)進(jìn)行加密、解密的速度比

60、較慢，密鑰密碼技術(shù)對數(shù)據(jù)進(jìn)行加密、解密的速度比較慢，因此一般都使用對稱密碼算法對數(shù)據(jù)進(jìn)行加密和解因此一般都使用對稱密碼算法對數(shù)據(jù)進(jìn)行加密和解密。密。KMI/PKI包含一系列過程。這些過程需要正確地協(xié)包含一系列過程。這些過程需要正確地協(xié)同工作，以保護(hù)用戶服務(wù)的安全。這些過程列舉如同工作，以保護(hù)用戶服務(wù)的安全。這些過程列舉如下：下： 注冊。在系統(tǒng)中登記已經(jīng)過認(rèn)證的用戶，使其可注冊。在系統(tǒng)中登記已經(jīng)過認(rèn)證的用戶，使其可以使用以使用KMI/PKI。 申請。用戶向申請。用戶向KMI/PKI請求密鑰或證書。請求密鑰或證書。 密鑰生成。由基礎(chǔ)設(shè)施的一個組件產(chǎn)生對稱密鑰密鑰生成。由基礎(chǔ)設(shè)施的一個組件產(chǎn)生對稱密