安全策略為網(wǎng)絡(luò)安全保駕護(hù)航

年輕時(shí)唱過一首毛主席語錄歌，歌曰：“政策和策略是黨的生命，各級領(lǐng)導(dǎo)同志務(wù)必充分注意，萬萬不可粗心大意。”物類相通，搞了幾年網(wǎng)絡(luò)安全，對于安 全策略的體驗(yàn)，竟也有相似的感覺。為了抵御網(wǎng)上攻擊，保護(hù)網(wǎng)絡(luò)安全，現(xiàn)在幾乎所有的網(wǎng)絡(luò)信息系統(tǒng)都裝備了各式各樣的網(wǎng)絡(luò)安全設(shè)施，諸如：加密設(shè)備、防火墻、入侵檢測系統(tǒng)、漏洞掃描、防治病毒軟件、VPN、安全認(rèn)證系統(tǒng)、安全審計(jì)系統(tǒng)……等等。

有人形象地把它們稱為網(wǎng)絡(luò)安全的十八般兵器，但是，搞好網(wǎng)絡(luò)安全光擁有這些兵器是不夠的，必須重視安全策略。安全策略是網(wǎng)絡(luò)安全的生命，是靈魂。沒有正確安全策略的安全系統(tǒng)就像沒有靈魂的軀殼，是不能夠完成保障安全的使命的。

入侵檢測系統(tǒng)的安全策略

入侵檢測系統(tǒng)根據(jù)入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個(gè)系統(tǒng)訪問正常行為的模型，凡是訪問者不符合這個(gè)模型的行為 將被斷定為入侵;后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個(gè)模型，凡是訪問者符合這個(gè)模型的行為將被斷定為入侵。

你看，這兩種模 式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報(bào)率很低，但是不符合正常行為模式的行為并不見得就是惡意攻擊，因此這種策略誤報(bào)率較 高;誤用檢測由于直接匹配比對異常的不可接受的行為模式，因此誤報(bào)率較低。但惡意行為千變?nèi)f化，可能沒有被收集在行為模式庫中，因此漏報(bào)率就很高。這就要 求用戶必須根據(jù)本系統(tǒng)的特點(diǎn)和安全要求來制定策略，選擇行為檢測模式?，F(xiàn)在用戶都采取兩種模式相結(jié)合的策略。

入侵檢測系統(tǒng)還有其他安全策略，如控制策略和響應(yīng)策略。對于控制策略，入侵檢測系統(tǒng)分為集中式控制和分布式控制兩種模式(還有第三種是混合式)。在前者模式中，只有一個(gè)中央入侵檢測服務(wù)器， 分布于各個(gè)主機(jī)上的審計(jì)程序?qū)⑺鸭降臄?shù)據(jù)蹤跡發(fā)送到中央服務(wù)器集中分析處理。這種方式可以節(jié)約資源，降低成本，但是在可伸縮性和可配置性上有弱點(diǎn)，網(wǎng)絡(luò) 一大，就可能形成瓶頸，而且具有單點(diǎn)故障的風(fēng)險(xiǎn)。

分布式控制模式則將中央服務(wù)器的功能分配到各個(gè)節(jié)點(diǎn)的主機(jī)之中，讓大家都有入侵檢測的功能，這種模式顯然 能夠避免上述弱點(diǎn)。但分布式控制策略的維護(hù)成本卻高了很多，而且增加了監(jiān)控主機(jī)的工作負(fù)擔(dān)。

從響應(yīng)策略上講，入侵檢測系統(tǒng)也分為兩種模式——主動響應(yīng)和被動相應(yīng)。前者對于搜集到的不正常情況只發(fā)出告警通知，不試圖降低所造成的破壞，也 不對攻擊者反擊;后者則可能對被攻擊系統(tǒng)實(shí)施控制，阻斷或減輕攻擊影響。表面上看，主動響應(yīng)的功能要比被動相應(yīng)強(qiáng)很多，大家都選前者不就完了嗎?

別忙，事情還有另一面，網(wǎng)絡(luò)上的事情是比較復(fù)雜的，如果沒有弄清楚異常情況的根源便自動采取反制措施，如斷開網(wǎng)絡(luò)連接、殺死可疑進(jìn)程等，可能會給系統(tǒng)帶來嚴(yán)重后果。須知正在運(yùn)行的信息系統(tǒng)是連著千萬個(gè)用戶，任何一個(gè)系統(tǒng)的操作需要慎之又慎。出于這個(gè)原因，CFCA(中國金融認(rèn)證中心)的入侵檢測系統(tǒng)采用了被動響 應(yīng)的策略。

2001年，CFCA的入侵檢測系統(tǒng)曾經(jīng)發(fā)現(xiàn)在某個(gè)IP地址上發(fā)出數(shù)千個(gè)密集的異常訪問。按照行為模式，這應(yīng)該是屬于惡意的拒絕服務(wù)攻擊。但監(jiān) 控者并沒有貿(mào)然斷開網(wǎng)絡(luò)連接，而是做了一些深入調(diào)查。結(jié)果發(fā)現(xiàn)，原來是某家銀行剛上認(rèn)證業(yè)務(wù)，正在用CFCA的生產(chǎn)系統(tǒng)做壓力測試，這才形成了“拒絕服務(wù) 攻擊”的假象。通過與該銀行電話溝通，問題得以順利解決。

在我們所熟悉的安全認(rèn)證業(yè)務(wù)中，安全策略也具有舉足輕重的地位。如果你在多家銀行使用網(wǎng)銀業(yè)務(wù)，你就能發(fā)現(xiàn)，不同銀行所采用的安全認(rèn)證的策略有所不同。當(dāng)下，銀行一度推行的“用戶名+密碼口令”認(rèn)證手段，由于存在明顯的安全漏洞，案件屢屢發(fā)生，已經(jīng)基本絕跡，而紛紛改用了數(shù)字證書認(rèn)證機(jī)制。但是，同樣是使用數(shù)字證書認(rèn)證，不同銀行的安全策略也有不同：

工商銀行網(wǎng)銀——客戶登錄網(wǎng)銀不需要數(shù)字證書，查詢余額也不需要。但進(jìn)行轉(zhuǎn)帳交易時(shí)，不論交易額大小，均需要使用數(shù)字證書認(rèn)證。大眾版網(wǎng)銀使 用文件證書(或稱硬盤證書)或動態(tài)口令卡;專業(yè)版網(wǎng)銀必須使用U盾(即USB Key數(shù)字證書密碼鑰匙)，而且要輸入PIN碼作為雙重保護(hù)?？蛻羧绮徽_地輸入PIN碼，證書就不起作用，不能轉(zhuǎn)帳。

網(wǎng)絡(luò)安全中安全策略的的敘述就結(jié)束了，希望大家已經(jīng)掌握了和理解了，同時(shí)希望大家能夠繼續(xù)關(guān)注相關(guān)信息。

【編輯推薦】 

1. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
2. 別讓惡意軟件妨礙我們的生活
3. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
4. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播