2.6终端安全
目前主流的信息安全产品从根本上来说,存在三大缺陷:
1 以对外防护为主,对于访问者的源端却缺少相应的控制手段。
2 操作系统自身缺乏安全性,有待使用安全级别更高的操作系统来满足系统对安全性
的需求。
3 安全性的实现是基于已有知识的后验检测,导致系统越做越复杂,系统出问题的可
能性却没有减少反而增加了。
应该看到许多安全问题的根源在于传统冯诺依曼体系结构对于系统安全性实现的局限
性和当前主流应用操作系统的不安全性。如果不去控制发生不安全问题的根源,而在外围
封堵,各种安全措施充其量只不过是小打小闹,修修补补,要达到信息系统的相对安全都
很难。
如果对于这些不安全因素从终端源头加以控制,那么问题的解决是根本性的变化,可
以杜绝目前困扰信息安全的大部分问题,从而将信息系统的预期风险降低到可以承受的水
平甚至更低。
2.6.1可信赖计算
在一个大型信息系统中,主机(服务器)的安全常常是受到高度重视的,然而有时候
人们恰恰因此忽略了问题的另一个方面,那就是为数众多的终端设备的安全。在终端安全
方面,几大计算机硬件软件巨头如Intel,IBM,Microsoft等正在共同努力,他们取得的最
大成果就是可信赖计算的概念。
可信赖计算是使用软硬件相结合的安全技术,该技术使存储在电脑硬盘上的数据更加
安全可靠。目前,可信赖计算技术集团(Trusted Computing Group)已经成立,它致力于
创建开放式的、为可信赖计算技术服务的软件和硬件标准,这些标准将适用于PC、服务器
和PDA等多种平台。虽然这一技术刚刚起步,但是可以预见由于在终端安全方面革命性的改
进,这一技术的前途非常光明。
2.6.2设计目标
传统的信息安全措施主要是堵漏洞、做高墙、防外攻等老三样,但最终的结果是防不
胜防。产生这种局面的主要原因是不去控制发生不安全问题的根源,而在外围进行封堵。
所有的入侵攻击都是从PC终端上发起的,黑客利用被攻击系统的漏洞窃取超级用户权限,
肆意进行破坏;注入病毒也是从终端发起的,病毒程序利用PC操作系统对执行代码不检查
一致性的弱点,将病毒代码嵌入到执行代码程序,实现病毒传播;更为严重的是对合法的
用户没有进行严格的访问控制,可以进行越权访问,造成不安全事故。
其实,现在的不安全问题大多数都是PC机结构和操作系统不安全引起的。如果从终端
操作平台实施高等级防范,这些不安全因素将从终端源头被控制。这种情况在工作流程相
对固定的生产系统中显得更为重要而可行。
为了解决PC机体系结构上的不安全,从根本上提高其安全性,在世界范围内推行可信
计算技术,1999年由Compaq、HP、IBM、Intel和Microsoft牵头组织TCPA( Trusted Compu
ting Platform Alliance),目前已发展成员190家,遍布全球各大洲主力厂商。TCPA专注
于从计算平台体系结构上增强其安全性,2001年1月发布了标准规范(v1.1),2003年3月
改组为TCG(Trusted Computing Group),其目的是在计算和通信系统中广泛使用基于硬件
安全模块支持下的可信计算平台,以提高整体的安全性。可信计算终端基于可信赖平台模
块(TPM),以密码技术为支持、安全操作系统为核心(如下图所示)。
2.6.3功能
可信赖计算平台具有以下功能:
确保用户唯一身份、权限、工作空间的完整性/可用性;
确保存储、处理、传输的机密性/完整性;
确保硬件环境配置、操作系统内核、服务及应用程序的完整性;
确保密钥操作和存储的安全;
确保系统具有免疫能力,从根本上防止病毒和黑客。
2.6.4组成
安全操作系统是可信计算终端平台的核心和基础,没有安全的操作系统,就没有安全
的应用。操作系统中任何微小的纰漏将会造成整个信息系统的灾难。
对工作流程相对固定的生产系统,信息系统主要由应用操作、共享服务和网络通信三
个环节组成。如果信息系统中每一个使用者都是经过认证和授权的,其操作都是符合规定
的,网络上也不会被窃听和侵入,那么就不会产生攻击性的事故,就能保证整个信息系统
的安全。
可信终端确保用户的合法性和资源的一致性,使用户只能按照规定的权限和访问控制
规则进行操作,能做到什么样权限级别的人只能做与其身份规定的访问操作,只要控制规
则是合理的,那么整个信息系统资源访问过程是安全的。可信终端奠定了系统安全的基础
。
安全边界设备(如VPN安全网关等)具有身份认证和安全审计功能,将共享服务器(如
数据库服务器、Web服务器、邮件服务器等)与非法访问者隔离,防止意外的非授权用户的
访问(如非法接入的非可信终端)。这样共享服务器端主要增强其可靠性,如双机备份、
容错、灾难恢复等,而不必作繁重的访问控制,从而减轻服务器的压力,以防拒绝服务攻
击。
采用IPSec实现网络通信全程安全保密。IPSec工作在操作系统内核,速度快,几乎可
以达到线速处理,可以实现源到目的端的全程通信安全保护,确保传输连接的真实性和数
据的机密性、一致性 ,防止非法的窃听和侵入。
综上所述,可信的应用操作平台、安全的共享服务资源边界保护和全程安全保护的网
络通信,构成了工作流程相对固定的生产系统的信息安全保障框架。
要实现上述终端、边界和通信有效的全保障,还需要授权管理的管理中心以及可信配
置的密码管理中心的支撑。
目前主流的信息安全产品从根本上来说,存在三大缺陷:
1 以对外防护为主,对于访问者的源端却缺少相应的控制手段。
2 操作系统自身缺乏安全性,有待使用安全级别更高的操作系统来满足系统对安全性
的需求。
3 安全性的实现是基于已有知识的后验检测,导致系统越做越复杂,系统出问题的可
能性却没有减少反而增加了。
应该看到许多安全问题的根源在于传统冯诺依曼体系结构对于系统安全性实现的局限
性和当前主流应用操作系统的不安全性。如果不去控制发生不安全问题的根源,而在外围
封堵,各种安全措施充其量只不过是小打小闹,修修补补,要达到信息系统的相对安全都
很难。
如果对于这些不安全因素从终端源头加以控制,那么问题的解决是根本性的变化,可
以杜绝目前困扰信息安全的大部分问题,从而将信息系统的预期风险降低到可以承受的水
平甚至更低。
2.6.1可信赖计算
在一个大型信息系统中,主机(服务器)的安全常常是受到高度重视的,然而有时候
人们恰恰因此忽略了问题的另一个方面,那就是为数众多的终端设备的安全。在终端安全
方面,几大计算机硬件软件巨头如Intel,IBM,Microsoft等正在共同努力,他们取得的最
大成果就是可信赖计算的概念。
可信赖计算是使用软硬件相结合的安全技术,该技术使存储在电脑硬盘上的数据更加
安全可靠。目前,可信赖计算技术集团(Trusted Computing Group)已经成立,它致力于
创建开放式的、为可信赖计算技术服务的软件和硬件标准,这些标准将适用于PC、服务器
和PDA等多种平台。虽然这一技术刚刚起步,但是可以预见由于在终端安全方面革命性的改
进,这一技术的前途非常光明。
2.6.2设计目标
传统的信息安全措施主要是堵漏洞、做高墙、防外攻等老三样,但最终的结果是防不
胜防。产生这种局面的主要原因是不去控制发生不安全问题的根源,而在外围进行封堵。
所有的入侵攻击都是从PC终端上发起的,黑客利用被攻击系统的漏洞窃取超级用户权限,
肆意进行破坏;注入病毒也是从终端发起的,病毒程序利用PC操作系统对执行代码不检查
一致性的弱点,将病毒代码嵌入到执行代码程序,实现病毒传播;更为严重的是对合法的
用户没有进行严格的访问控制,可以进行越权访问,造成不安全事故。
其实,现在的不安全问题大多数都是PC机结构和操作系统不安全引起的。如果从终端
操作平台实施高等级防范,这些不安全因素将从终端源头被控制。这种情况在工作流程相
对固定的生产系统中显得更为重要而可行。
为了解决PC机体系结构上的不安全,从根本上提高其安全性,在世界范围内推行可信
计算技术,1999年由Compaq、HP、IBM、Intel和Microsoft牵头组织TCPA( Trusted Compu
ting Platform Alliance),目前已发展成员190家,遍布全球各大洲主力厂商。TCPA专注
于从计算平台体系结构上增强其安全性,2001年1月发布了标准规范(v1.1),2003年3月
改组为TCG(Trusted Computing Group),其目的是在计算和通信系统中广泛使用基于硬件
安全模块支持下的可信计算平台,以提高整体的安全性。可信计算终端基于可信赖平台模
块(TPM),以密码技术为支持、安全操作系统为核心(如下图所示)。
2.6.3功能
可信赖计算平台具有以下功能:
确保用户唯一身份、权限、工作空间的完整性/可用性;
确保存储、处理、传输的机密性/完整性;
确保硬件环境配置、操作系统内核、服务及应用程序的完整性;
确保密钥操作和存储的安全;
确保系统具有免疫能力,从根本上防止病毒和黑客。
2.6.4组成
安全操作系统是可信计算终端平台的核心和基础,没有安全的操作系统,就没有安全
的应用。操作系统中任何微小的纰漏将会造成整个信息系统的灾难。
对工作流程相对固定的生产系统,信息系统主要由应用操作、共享服务和网络通信三
个环节组成。如果信息系统中每一个使用者都是经过认证和授权的,其操作都是符合规定
的,网络上也不会被窃听和侵入,那么就不会产生攻击性的事故,就能保证整个信息系统
的安全。
可信终端确保用户的合法性和资源的一致性,使用户只能按照规定的权限和访问控制
规则进行操作,能做到什么样权限级别的人只能做与其身份规定的访问操作,只要控制规
则是合理的,那么整个信息系统资源访问过程是安全的。可信终端奠定了系统安全的基础
。
安全边界设备(如VPN安全网关等)具有身份认证和安全审计功能,将共享服务器(如
数据库服务器、Web服务器、邮件服务器等)与非法访问者隔离,防止意外的非授权用户的
访问(如非法接入的非可信终端)。这样共享服务器端主要增强其可靠性,如双机备份、
容错、灾难恢复等,而不必作繁重的访问控制,从而减轻服务器的压力,以防拒绝服务攻
击。
采用IPSec实现网络通信全程安全保密。IPSec工作在操作系统内核,速度快,几乎可
以达到线速处理,可以实现源到目的端的全程通信安全保护,确保传输连接的真实性和数
据的机密性、一致性 ,防止非法的窃听和侵入。
综上所述,可信的应用操作平台、安全的共享服务资源边界保护和全程安全保护的网
络通信,构成了工作流程相对固定的生产系统的信息安全保障框架。
要实现上述终端、边界和通信有效的全保障,还需要授权管理的管理中心以及可信配
置的密码管理中心的支撑。
695
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
