| 出版日期:2003-11-24 总期号:1269 本年期号:88 |
|
 |
安全防护要以人为本
曹斌 习惯上,一个基本的安全防御体系可以用三个“G”来表述:即你需要有门(Gate)、警卫(Guard)、并且给警卫配上必要的武器(Gun)。这个比喻清楚地说明了一个安全防御体系的基本要素:首先,要有明确的出入路径,并且在出入口部署了具有一定拦截作用的设施;其次,安全防御的关键是人,具有经过良好训练的素质优良的安全管理人员几乎是一个安全体系中最为重要的方面;另外,安全管理人员需要一些工具才能够发挥作用,工具是否先进和好用对于一个防御体系来说也非常关键,从另一个方面讲,安全产品应该是为人服务的。 现阶段,一些基本的安全技术已经逐渐被用户所了解,如基本的防火墙的部署、及时更新的防病毒产品、以及使用入侵检测与安全评估来保护重点设施等。我们要探讨的是,如何使这些安全措施或产品能够形成一个体系,从而更有效地发挥作用,尤其是当遇到安全威胁时,它们要能够有效保护用户的资源。这些也是用户经常忽略的方面。 基础建设要考虑安全问题 网络和信息系统的结构对安全体系来说是一个基础。在建设信息系统时,应该考虑是否有利于采取防御措施,同时,在实施安全方案时,也有必要重新调整信息系统的结构。这一点在我国的用户中尤其明显。很多用户在一两年前就已经建设好了网络系统,而在那个时间很少考虑安全问题。当部署安全措施时,我们会发现系统中的一些问题对于安全建设很不利,比如可能存在了很多的出入口、关键的需要保护的设施过于分散、角色定义有很多“孤岛”以至于难以进行统一的访问控制等等。这些问题对于用户来说,调整起来确实有一定的代价,但是从长远角度看,重新进行调整使其更有利于安全防范是非常必要的,否则系统中极有可能存在大量的安全隐患。 要重视安全管理队伍建设 一个安全体系不应该完全依赖于所部署的产品,使用和维护这些产品的人也非常重要,甚至是更为重要。用户应该在设计安全方案之前组建自己的安全管理员队伍。一个好的安全管理人员的作用胜过一个花重金购买却无人维护的安全产品,并且能够使安全产品真正发挥作用。安全队伍如何能够及时更新知识和技能,并在危险来临之前及时得到信息?除了必要的培训和自我学习以外,成熟的客户通常采取的办法是与安全研究机构和安全产品厂商建立紧密的联系。这些机构可以通过他们建立的信息传递系统及时向客户传输新的安全知识,以及当新的危险出现时能够及时通报。这样的机制有时可以使客户在危险来临前有几天甚至多达一周的准备时间,从而将损失降到最低的程度。很多用户发现自己的安全管理人员与安全产品厂商的关键技术人员建立的个人联系对于在关键时期的及时获得信息也是非常有用的。 静态与动态防御要兼顾 安全建设不仅要考虑当前的静态的安全防御体系,还要考虑安全系统在长期的运行过程中如何有效地对不断出现的各种威胁采取有效的防御措施。安全管理人员平时的工作就是要防微杜渐,对系统中的异常保持足够的警惕,并定期审查自己的安全体系。安全产品要不断更新,这也是管理人员经常要做的工作,忽略了更新就意味着系统处于危险状态。近两年攻击手段的不断演变,新的安全威胁层出不穷,安全人员遇到的挑战也在发生变化,其中比较有代表性的是所谓的“危机窗口”。 什么是危机窗口呢?危机窗口是指用户的网络或系统由于系统固有的缺陷,在一个特定的时间段内处于高度的危险状态,这段时间称为危机窗口。在系统安全领域,我们经常能看到这样一个不断往复的循环过程:主机系统中的软件被发现存在新的漏洞;漏洞的描述在Internet上散发;不久出现了利用该漏洞进行攻击的工具;继而工具大量扩散甚至出现利用该漏洞进行扩散的蠕虫病毒;系统软件厂家发布针对该漏洞的补丁或新版本。由于软件系统的规模越来越大,比如微软的新的操作系统的代码规模达到了几千万的量级,软件厂家发布补丁的速度在不断降低。现阶段,通常从一个漏洞被发现到厂家发布补丁之间存在两到三个月的时浼涓簟T谡飧鍪奔涠文冢没У南低撤浅4嗳酰妆蝗肭帧6坏┏鱿执蠊婺@┥⒌牟《荆虼罅坑没У南低扯嘉薹ㄐ颐狻U飧鍪奔涠尉褪堑湫偷奈;翱凇?安全产品应该在用户遇到危险时发挥作用,这是毋庸置疑的。但是遗憾的是,大量安全产品并不能在这个阶段发挥作用。比如防火墙产品,目前市场上的主流产品是采用状态检测的包过滤技术作为核心安全部件,优秀的状态检测包过滤产品可以精确地对TCP会话进行控制,但是对于建立在TCP层之上的应用协议部分则无法控制:它可以完美地执行类似“只开放对某个 服务器的某个端口的访问”,却不能防止透过该端口的具有攻击企图的数据通过防火墙对目标系统产生破坏作用。这种情况下,用户要么关闭服务,要么坐等攻击的发生。 流过滤技术提供应用层防护 如何使用户在危机窗口阶段即能够阻挡攻击,又能保持正常服务数据的畅通呢?简单地说,类似防火墙这样在关键节点实施访问控制的安全产品,应该提供针对应用协议的细粒度的访问控制能力,而且这个控制能力应该是可以快速部署、迅速升级,甚至是用户可以自己定制的。 东软的流过滤是针对危机窗口的利器。流过滤的明确定位是:针对应用层协议的细粒度访问控制、具备包过滤的对应用透明的特性,可以快速部署、用户可以定制专门的安全防御策略。 流过滤隔绝了防火墙两侧的直接的TCP数据包的传输,因此对应用层具备完全的控制能力,可以作为两侧的代理,分别与另一侧交换应用层数据。但是由于其特殊的内部结构,系统又能够保持完全的透明特性,在部署时不需要改变应用逻辑结构。这使得应用层的安全策略具备了“即插即用”的特性,从而使安全管理人员可以对安全威胁进行快速响应。 东软经过这些年的努力,不仅在防火墙、VPN、入侵检测等关键技术领域不断创新和改进,推出了一批技术先进、发展成熟的的安全产品,同时也培育了一批高素质的安全服务队伍,这些产品和服务队伍正在成为用户可以信赖的防御力量。 |
||||||||||||||||||||||||||||
