“内部人”的信息安全架构---信任体系
Jack zhai
安全架构的“花瓶”模型把信息安全分为“防护-监控-信任”三维体系,其中防护与监控体系主要是面对外部***者的,信任体系则是针对内部用户的安全管理。区别***的来源,是因为内部用户是可溯源的、可控制的,企业可以明确要求员工在内部网络上使用什么、不使用什么,而对外部人员就无法这么要求,因此信任体系是对“合法”用户的安全防护,当然也包括通过公网访问进来的“自己人”(×××用户)。
信任体系的主要目标是通过对用户权限的控制,做到对信息资源的保护,采用行为取证的方式,震慑蓄意破坏者,减少安全损失。因此,信任体系关注的重点是用户访问过程中的控制,以及事后发现“异样”时,可以对用户行为进行重现与取证。
防护体系的特点是千方百计地不让***进来,监控体系的特点是时刻警惕,看谁“象”***就重点监控起来,而信任体系的特点是必须先让员工工作,必须给他“足够的”权限完成业务,员工的很多行为只有等做完了,甚至一段时间之后,才能确定其是否有问题。因此,信任体系是一个对过程的跟踪,对人具体行为合法性的判定。信任体系的不同是先建立相互信任,敞开大门迎接你,发现你有“失信”行为时,要能够提供充分的、不可伪造的证据。
从信任体系的过程图来看,建立信任是通过身份确认与授权实现的,而监控用户是否违规是通过审计日志实现的。
从用户登录开始,一直到用户退出,信任体系的部署分为三个阶段,首先是登录时的身份鉴别,其次是根据用户身份进行的授权进行访问时的控制,最后是对用户访问行为的审计。
Ø用户登录:
通常情况下有三个地方需要用户进行登录管理:主机登录、网络登录、应用登录。登录过程的目标是身份鉴别,就是确认用户身份的密码(称为鉴别因子),常见的方法有“帐号+口令”,或者CA系统提供的×××书等等。
作为身份鉴别的因子应该具有不易伪造、不易仿制的特性,一般有三类:
²可记住的,如密码口令,可以是字符与数字组合串
²可携带的,如含证书的Key、×××、射频芯片等
²自身拥有的,如指纹、虹膜、DNA等
为了区别计算机模拟人登录,还可使用了CAPTCHA(全自动公开人机分离图灵测试)技术,在临时生成的图像中含代数字与字母,人辨认后回填送给认证方,当然计算机想自动识别就很不容易了。
用户登录过程中,有三个问题值得关注:
a)双向认证:
在应用系统登录时,因为对于用户来说,服务器不象大楼保安是面对面的,它是虚拟的,所以应用系统对用户进行了的认证,用户也需要对应用系统进行认证。要保证用户访问到的服务是自己要访问的系统,而不是“钓鱼网站”。为了整个通讯过程的安全,在用户登录的双向身份确认后,生成双方建立连接的临时密码,用于后续通讯信息流的加密,保证通讯的过程中,不被窃听。
b)对“用户标识”的理解:
确认用户的身份以后,在系统中对应生成一个用户唯一的标识符。不同的认证点的标识也可能不同,如主机登录后给用户一个主机内的帐户,网络登录后记录的是IP地址(或MAC地址),应用登录后也是给用户一个用户编码。这些“唯一标识”都有一些“不安全”的特点::
ü帐户可以共用:可能是管理简单所致,如值班员特殊账号往往是几个人用;可能因为是通用的帐户名,如Admin/root/guest等是大家共知的系统帐号,只要猜出了口令(仿制的用户Key),就可以冒用了
üIP可以隐藏,也可以修改,Mac同样可以修改
üWeb应用中的用户编码往往是Cookie保存,很容易被盗取
这些问题导致了如果有人直接绕过登录环节访问网络,或者以一个身份登录后,再冒充其它人的用户标识去访问网络资源,你就无法区分到底是谁的行为。因此,用户的标识与身份认证中的鉴别因子同样需要唯一性保护,也需要采用多因子方式,比如帐户+IP+MAC的绑定
c)“重认证”的嵌入:
用户登录是通讯建立连接的开始,若中途更换了操作人员,系统则无法发现,所以需要在通讯的过程中,不定时的重新进行身份鉴别,包括双向的鉴别。这种鉴别是嵌入在应用系统内的,或应用系统对某些操作定期触发的,为了避免用户频繁输入口令的麻烦,可以在通讯双方的临时缓冲区存放登录信息,无需用户干预就行了。
重认证的另一层含义是,用户离开的时间长了,或通讯连接中长时间没有数据了就会中断,中断后的恢复通讯,需要重新身份的鉴别。
CA系统是通过“第三方”提供的可信系统来确认通讯双方的身份,为信任系统找到了一个可信基,这种方式避免了每个应用系统自己开发身份鉴别或口令管理模块,是目前采用比较多的身份鉴别方法。当然这个第三方系统也可以自己建设,成为网络内部发的安全可信基。
用户登录阶段是验证用户的身份,我们称为“验证人”。
Ø访问控制:
鉴别了用户的身份,就需要给用户合理授权(最小授权原则),允许他访问哪些资源,不允许他访问哪些资源,授权表就是系统访问控制的依据。
从资源安全的角度讲,授权的颗粒度越细越好,到文件的每个段落,到数据库的每个字段,但是授权越细,意味着授权数据库越庞大,管理复杂度高,不易实现。因此,目前很多IT系统采用分层次的授权方式:
²目录文件授权:操作系统的文件管理系统以文件(或目录)为单位,对用户的授权就以文件(目录)为单位,每个文件(目录)有一个权限表格,权限可以分为读、写、执行、删除等,文件权限的管理是文件主(创建文件的用户)
²路由访问授权:用户要访问某个应用系统的服务器,总需要网络系统提供通路,否则就建立不了连接,在网络登录时,经常采用路由授权,一般在三层交换机、路由器中实现,这种方式以IP地址或服务端口号为控制点,权限很简单:允许或禁止
²业务模块访问授权:在大型应用系统中,用户只被允许访问几个功能模块,业务系统会根据用户的身份显示不同功能菜单。这种授权一般在业务系统中自身实现,每个功能模块有自己的访问控制表,记录了可以访问自己的用户列表
²数据元的授权:对于数据库内部数据的授权(数据元),需要采用强制访问控制方式,也就是用户与数据(可以是字段、表等)都定义一个安全级别,当用户的级别高于(或相同)数据的安全级别时,访问被允许,否则拒绝访问;这种方式实现在用户访问数据的过程中,访问控制条件为用户身份与安全级别比较结果两个因素
授权方式与访问控制措施是一体的,授权是依据用户登录中的身份标识,信任体系的架构将限制授权的颗粒度选择。
访问控制就是验证用户的授权,杜绝没有权限的访问,我们称为“验证权”
Ø行为审计
用户按照其身份确认的权限进行访问,不是就安全了,因为他可能是恶意篡改,也可能是无意出错,如何发现他做了不该做的事情,就需要行为审计了。审计就是信任体系的监视系统,它的有效保证了信任体系的正常运行。也许有人会问:访问已经是符合要求的了,都是正常的工作,审计如何起到安全功效呢?
行为审计的目标不是为了发现不符合授权的行为,其真正的作用有两个:
²详细记录的用户的操作,形成系统滚动的日志,当发现问题(无论是有意还是无意),都可以按照日志进行数据的“回滚”,消除不合规行为对系统的影响,这种管理方式也为数据备份与容灾提供了条件
²有了行为的审计,我们可以对每个操作回溯到身份认证的标识,即使不能完全追溯到具体的人(登录过程中谈到的),但具体操作的时间、标识、轨迹等信息,也可以大大缩小怀疑的范围,同时,行为的回放还可以成为“犯罪”的证据
审计的粒度越小,对系统的负担越大,太大了又达不到安全的要求,所以系统要选择适当的审计粒度。审计粒度与两个方面有关,一是用户的身份,一是行为的重要程度。所谓行为的重要程度很容易理解,就是动作对系统的影响大小,或者访问的数据是否重要,如系统的开机与关闭;帐号的建立与修改;口令的更改;系统服务的开启与关闭等等。与用户身份有关有些不好理解,不是领导的行为一定比普通员工的关键,而是用户的工作结果对系统影响大小,如运维人员的操作、领导文件审批、商务合同制作…
用户身份一般分为下面几类:
²普通用户:一般用户,
²特殊用户:某些领导,或为了适应业务灵活性组成的临时工作组
²系统管理员:业务管理员、安全管理员、审计员
²第三方维护人员:外包服务人员
安全审计一般分为下面几种:
a)网络行为审计:一般部署在网络的核心,是对所有用户公共行为的审计
b)数据库审计:数据库是业务系统的核心,保证数据的可以回滚
c)业务合规性审计:业务合规性的综合分析,主要是对业务日志审计,部署在业务服务器前
d)互联网行为审计:部署在网络的互联网出口,是对内部员工的互联网行为审计,因为该审计涉及很多私人信息,所以建议审计到行为,不建议审计到内容,如私人邮件、MSN聊天等
e)运维审计:网络、系统的维护是对系统影响很的大的,同时也是直接接触网络基础信息的行为,所以对运维人员的行为进行单独审计是非常有必要的。由于运维人员可以登录的方式很多,所以建议把维护人员的工作区与服务器区域分离,建立“堡垒机”作为运维工作的关闸,才可以进行全面的审计工作
另外,由于审计人员的权限很大,可以“回放”他人的通讯过程,甚至可以“监听”通讯的内容,所以,国家的安全法规中都明确要求审计岗位需要单独设立,不允许安全管理员兼任。
审计是确认好人不变坏,是对用户行为的验证,我们称为“验证行”。
信任体系通过“三个验证”机制,保障“合法”用户“合理访问”系统,是对可确认身份的自己人的管理;对于“外来”的人,即使知道你是谁,也不能对你进行任何法律、行政上的管理,只好拒绝登陆到信任体系保护的网络中来。
信任体系的建立是以身份鉴别为起点的,离开了身份鉴别,信任体系就无从谈起信任了。信任体系管理的是否“到位”体现在访问控制上,而行为审计,是行为的重现与分析,是信任体系工作的“结果”。当然在“浩瀚”的审计记录中,能找到用户需要的证据,本身还需要复杂的处理程序与检索算法,但只有审计中记录了,才可能分析找到,所以审计记录的完备与“够用”是信任体系策略设计的关键。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
