浅谈信息时代之数据安全

信息时代的数据安全建立在计算机系统安全之上。简单说，安全可以分为三大类：技术安全，管理安全和政策法律安全。

 

技术安全是人们最常见的安全场景，即硬件软件所构建的计算机系统保护其所存数据的不丢失，不泄露，不发生错误。管理安全是技术安全之外，由于管理不善或其他意外事故导致的计算机设备和数据介质的物理破坏，丢失等问题。政策法律安全即国有国情国有国法，由政府部门建立的有关计算机犯罪和数据安全保密的法律道德准则等。

 

本文暂时只解析技术安全。

在计算机安全领域的行业标准里，最为重要的是由美国国防部（DoD）于1985年颁布的《DoD可信计算机系统评估标准》（Trusted Computer SystemEvaluation Criteria ,简称TCSEC），制定此标准主要有两个目的，其一是站在用户的角度，是为了使用户可对其计算机系统内敏感信息安全操作的可信度做评估，其二是给计算机行业的制造商提供可循的指导规则，使其能更好满足敏感应用的安全需求。

 

依据TCSEC，可将系统安全划分为七个等级：

第一级：最小保护，MinimalProtection 。如常见的DOS系统，它只具备操作系统的基本功能，如文件系统，进程调度等，在安全性上基本没什么专门的机制来保障。

第二级：自主安全保护，DiscretionarySecurity Protection。非常初级，能够实现对用户和数据的分离，进行自主存取控制（Discretionary Access Control ，DAC），保护或限定用户的传播权限。

第三级：受控的存储保护，ControlledAccess Protection 。这是做安全产品的计算机制作商的最低档次。简单理解，就是将DAC进一步细化，以个人身份注册并负责，实施审计和资源隔离。一般的商业产品都已达到这一级别，如操作系统Microsoft 中的Windows NT3.5,数据库Oracle 7 等。

第四级：标记安全保护,Labeled Security Protection 。对数据给予标记，同时对标记的主客体实施强制存取控制（MAC，MandatoryAccess Control）及相关审计。第四级别在一些大型企业或政府部门上需求很高，一般这种级别的数据安全产品才被认为真正意义上的安全产品。

第五级别：结构化保护，StructuralProtection 。能达到这个级别的产品不多，确切来说，建立形式化的安全策略模型并对系统的所有主客体实施DAC和MAC。

第六级别：安全域，SecurityDomains 。这个级别的产品必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程，笔者曾在通信行业待过，一般像三大运营商和中兴华为这样的企业都是要加载安全域才能访问办公的。

第七级别：验证设计，VerifiedDesign。即在第六级别的基础上，同时能够给出系统的形式化设计说明和验证来确信安全保护真正实现。

划分安全等级的，有两个很重要的概念，一个叫自主存取控制DAC，另一个叫强制存取控制MAC，下面对这两个概念做一下介绍。

DAC：大型数据库管理系统几乎都支持DAC，主要通过SQL的GRANT语句和REVOKE语句实现。用户权限是由两个要素组成：数据对象和操作类型。定义用户的存储权限，也叫授权Authorization，即定义某用户可以在哪些数据上进行哪些类型的操作。一般来说，授权粒度越细，系统越灵活，但相应的系统定义和检查权限的开销也会相应增大，两种尺度来衡量精巧度，数据名和数据值，数据名很好理解，就是依据文档等的命名开放权限，反之，若有依赖数据对象的内容，则是数据值有关的授权，有的系统还允许存取谓词中引用系统变量，如某些用户只能在某段时间，某台终端上存取有关数据。当然，由于用户对数据的存取权限是“自主的”，用户可以自由决定将数据的存取权限授予何人，在这种机制下，仍可能存在数据的“无意泄露”。

MAC：强制存取控制是为了保证更高层度的安全性。它不是用户能直接感知和控制的，MAC适用于对数据有严格而固定密级分类的部门，如军事政府等。从MAC的角度，实体被分为主体客体两大类，主体是用户及各用户的进程，客体是被动实体，受主体操纵的，包括文件、基表、索引、视图等，这些主客体被敏感度标记为若干级别，我们常见公司的文件密级如绝密，机密，秘密，公开等，就是客体的敏感度标签，主体的敏感度标签称为许可证级别（Clearance label）。MAC机制就是通过匹配主客体之间的label，来确定是否主体可存取客体。

在安全领域，还有三种手段也很常见。

其一，视图机制，实际上是强DAC机制，为不同的用户定义不同的视图，在刚刚开始就把要保密的数据对无权存取的用户隐藏，所谓“无风不起念”，自动对数据提供一定程度的安全保护。

其二，审计，审计是对蓄意破坏，盗窃数据的一种跟踪。开放审计功能的系统，可以把用户对数据库的操作自动记录下来放入审计日志audit log中，一旦出现状况即可追踪。
其三，数据加密，是防止数据库中数据存储和传输中失密的有效手段。加密的基本思想是依据一定算法将原始数据（Plaintext）转为不可直接识别的格式（cipher text）。在美国1977年制定的数据加密标准（data encryption standard ,DES）里，规定要有两种算法相结合，一种是替换方法，即使用密钥（Encryption Key）将明文中的每个字符转换为密文中的一个字符，另一种是置换方法，即将明文的字符按不同顺序排列，概率计算可知，单独使用这两种方法都是不够安全的，但是将这两种结合起来就能提供相当高的安全程度。

事实上，安全问题之所有有价值，就在于无论什么样的安全机制，总有方法逻辑可以绕过它。好在好的安全措施从来都是让那些试图破坏安全的人所花费得代价远超过他们的所得利益，这也是计算机安全系统设计的目标。

 

下面简单介绍计算机系统安全领域几个常见的产品，帮助大家在日常生活中使用。

第一个，安全网关。安全网关主要工作在网络层，一般部署在内外网边界或者内网各部分间的边界。

第二个，应用监管内产品。这一部分比较多，像堡垒机，审计系统，DB防火墙，终端安全管理系统，Mail防火墙，安全运维平台（SOC），IT运维平台。

第三个，防火墙。一个由软件和硬件设备组合而成，在内部网和外部网之间，专用网和公共网之间的界面上构造的保护屏障，主要用于边界安全防护的权限控制和安全域划分，其功能上最重要的是NAT，路由，策略和日志。生产防火墙的厂家主要有思科Cisco，CheckPoint，深信服，天融信，华为，联想网御，网康，H3C。

第四个，VPN通道。在公用网络上建立专用网络，进行加密通讯，一般有需求的网络会自建这样的通道。VPN网关通过对数据包的加密和数据包目标地址的转换，主要按协议进行分类，一般可以通过硬件软件等多种方式实现。

鉴别，访问控制，入侵检测，防火墙，公钥基础设施，恶意程序代码保护，漏洞扫描，取证，介质清理或擦除，等等都是安全级别的分类。

整体来讲，数据在变得越来越有价值的时候，数据安全也变得愈发重要。