[[214737]]

2014年8月，美國國土安全部(以下簡稱“DHS”)首席信息安全官辦公室發(fā)布了DHS4300A-Q1(敏感系統(tǒng)手冊)文件。文件僅針對敏感無線系統(tǒng)的安全問題，不涉及機(jī)密無線系統(tǒng)的使用。DHS敏感系統(tǒng)政策指令(PD)4300A要求，無線通信技術(shù)和應(yīng)用程序必須是經(jīng)授權(quán)官員(AO)特別批準(zhǔn)的，否則在DHS中禁止使用。(NIST的出版物(SP)800-37，授權(quán)官員取代了指定的認(rèn)證機(jī)構(gòu)(DAA))。授權(quán)官員還必須批準(zhǔn)在認(rèn)證和認(rèn)證(C&A)過程中特定風(fēng)險級別的無線系統(tǒng)的實現(xiàn)和使用，并確保在安全計劃中包含適當(dāng)、有效的安全措施。

圖1DHS4300A敏感系統(tǒng)手冊

文件中覆蓋的無線網(wǎng)絡(luò)包括無線局域網(wǎng)絡(luò)(WLAN)、無線寬區(qū)域網(wǎng)絡(luò)(WWAN)、無線個人區(qū)域網(wǎng)絡(luò)(WPAN)、對等無線網(wǎng)絡(luò)(即特別的無線網(wǎng)絡(luò))，以及利用商業(yè)無線服務(wù)的無線基礎(chǔ)設(shè)施。無線系統(tǒng)包括傳輸介質(zhì)、固定集成設(shè)備、設(shè)備固件、支持服務(wù)和通信協(xié)議。DHS4300A建立了該部門的無線系統(tǒng)政策和所有無線通信技術(shù)的通用指南。需要指出的是，智能手機(jī)等無線設(shè)備的安全政策和指導(dǎo)方針將在一個獨立的文檔中提出，起因于該領(lǐng)域的復(fù)雜性和技術(shù)的快速發(fā)展。

對于所有的無線系統(tǒng)，DHS4300A-Q1提出了如下幾項安全措施：

基于風(fēng)險的方法

無線系統(tǒng)安全的一種基于風(fēng)險的方法是一種系統(tǒng)工程方法，用于識別、評估和優(yōu)先考慮與無線系統(tǒng)相關(guān)的風(fēng)險，并確定這些風(fēng)險的可能性和潛在影響。然后，采取緩和策略和資源來抵御最嚴(yán)重的威脅，防止過度風(fēng)險的發(fā)生。例如，在DHS內(nèi)部網(wǎng)絡(luò)中，有時會出現(xiàn)未經(jīng)授權(quán)的訪問點或設(shè)備，它們對國土安全部DHS的信息安全構(gòu)成巨大威脅。因為內(nèi)部網(wǎng)絡(luò)被認(rèn)為是受信任的，并且在防御范圍內(nèi)。針對這種威脅的一個緩解策略是部署有效的檢測和預(yù)防工具來識別這些威脅，并在檢測到時阻止它們的訪問。

一種基于風(fēng)險的方法可用于降低與無線系統(tǒng)相關(guān)的風(fēng)險。在最高級別，可以使用兩種安全分類來幫助識別和評估與給定的無線系統(tǒng)相關(guān)的風(fēng)險，包含人員、信息資源、數(shù)據(jù)系統(tǒng)和網(wǎng)絡(luò)，它們都服從于共享的安全策略(一組管理訪問數(shù)據(jù)和服務(wù)的規(guī)則)。DHS建立認(rèn)證邊界并可以直接控制所需的安全控制或?qū)Π踩刂朴行缘脑u估，認(rèn)證邊界內(nèi)的視為受信任的無線系統(tǒng)，而超出認(rèn)證邊界的則視為不受信任的無線系統(tǒng)。例如，商業(yè)或官方無線網(wǎng)絡(luò)應(yīng)該被認(rèn)為是不可信的，因為它們不在DHS的控制范圍之外。DHS內(nèi)部的無線網(wǎng)絡(luò)被認(rèn)為是值得信賴的，因為其可以對這些網(wǎng)絡(luò)應(yīng)用嚴(yán)格的安全政策和控制。通過考慮無線系統(tǒng)的獨特開放特性和無線技術(shù)的快速發(fā)展，可以從技術(shù)、過程和人員的角度來確定風(fēng)險。下一節(jié)將詳細(xì)描述各種無線系統(tǒng)的威脅和相應(yīng)的對策。

無線系統(tǒng)威脅和對策

由于無線技術(shù)的開放性，無線系統(tǒng)有其固有的弱點，因而安全威脅是普遍存在的。無線通信容易受到干擾、竊聽、射頻干擾，以及有線網(wǎng)絡(luò)的典型威脅。

表1無線系統(tǒng)的威脅

無線系統(tǒng)安全措施包括處理數(shù)據(jù)保密性和完整性、身份驗證和訪問控制、入侵檢測和預(yù)防、日志記錄和監(jiān)視，以及系統(tǒng)可用性和性能。無線系統(tǒng)安全的目標(biāo)可以更好地實現(xiàn)，通過遵循聯(lián)邦授權(quán)的標(biāo)準(zhǔn)和行業(yè)的信息安全最佳實踐來減輕威脅。

表2OSI安全注意事項

認(rèn)證

身份驗證方法包括IEEE802.1X基于門戶的網(wǎng)絡(luò)訪問控制、可擴(kuò)展身份驗證協(xié)議(EAP)-傳輸層安全性(EAP-TLS)認(rèn)證，以及利用企業(yè)遠(yuǎn)程(RADIUS)服務(wù)器為用戶設(shè)備和系統(tǒng)提供相互身份驗證，同時提供動態(tài)密鑰管理。應(yīng)該注意的是，EAP-TLS需要現(xiàn)有的公共密鑰基礎(chǔ)設(shè)施(PKI)。如果不能使用完全的PKI，則可以使用其他身份驗證協(xié)議，比如保護(hù)性可擴(kuò)展身份驗證協(xié)議(EAP-PEAP)。數(shù)字證書可以從第三方認(rèn)證機(jī)構(gòu)購買，或者從組織的內(nèi)部證書頒發(fā)機(jī)構(gòu)頒發(fā)。額外的網(wǎng)絡(luò)控制訪問，例如雙因素身份驗證，需要對用戶和設(shè)備進(jìn)行身份驗證，以確保它們不會引入安全漏洞和風(fēng)險。

保密

DHSPD4300A要求：組件只使用聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)197(高級加密標(biāo)準(zhǔn)AES-256)的加密模塊，并在符合其預(yù)期用途的級別上收到FIPS140-2驗證。

誠信

無線通信的完整性是確保數(shù)據(jù)在傳輸或休息時沒有被修改的必要條件，它還可以防止其他威脅，比如攻擊。如果有一種機(jī)制允許對消息完整性進(jìn)行加密驗證，那么系統(tǒng)節(jié)點必須丟棄所有無法驗證的消息。

管理控制

無線系統(tǒng)必須能夠支持遠(yuǎn)程設(shè)備管理、建立或更改配置以符合安全策略，以及支持軟件和固件的更新。無線系統(tǒng)必須能夠通過管理接口和工具來管理無線基礎(chǔ)設(shè)施，這些工具是整個管理基礎(chǔ)設(shè)施的一部分。管理控制的網(wǎng)絡(luò)部分應(yīng)該集成到有線網(wǎng)絡(luò)中，并且應(yīng)該從數(shù)據(jù)網(wǎng)絡(luò)中分離出來，以確保管理的有效性健安全保護(hù)不能降低或妨礙法律保護(hù)的關(guān)鍵服務(wù)或可用性特性，或已發(fā)布的政策（例如，符合美國復(fù)興法第508條）。

集中的無線管理結(jié)構(gòu)提供了一種更有效的方式來管理無線基礎(chǔ)設(shè)施和信息安全程序。一個集中的結(jié)構(gòu)還可以促進(jìn)標(biāo)準(zhǔn)化指導(dǎo)的開發(fā)和實現(xiàn)，這使得組織能夠一致地應(yīng)用信息安全策略。無線設(shè)備和/或軟件不能降低或繞過已建立的系統(tǒng)安全控制，任何系統(tǒng)修改都需要適當(dāng)?shù)陌踩詫彶?，并遵循變更管理策略和過程。此外，配置管理和安全基線配置應(yīng)該在組織的系統(tǒng)安全計劃中得到解決。

物理安全

對可疑行為的常規(guī)檢查和監(jiān)視將減少未經(jīng)授權(quán)的設(shè)備操作和盜竊的可能性。由于無線系統(tǒng)容易受到遠(yuǎn)程竊聽的影響，所以警衛(wèi)和用戶應(yīng)該向適當(dāng)?shù)陌踩藛T報告在設(shè)施內(nèi)或周圍的可疑人員或活動。

國家信息擔(dān)保合作伙伴關(guān)系共同標(biāo)準(zhǔn)安全驗證

國家信息保障伙伴關(guān)系(NIAP)是美國政府的一項行動，旨在解決IT消費者和生產(chǎn)者對IT系統(tǒng)和產(chǎn)品的安全測試需求。NIAP是NIST和NSA的合作，在IT產(chǎn)品和網(wǎng)絡(luò)中增加了信任級別。通用標(biāo)準(zhǔn)定義了一組經(jīng)過驗證的IT需求，可以用于為產(chǎn)品和系統(tǒng)建立安全需求。通用標(biāo)準(zhǔn)還定義了保護(hù)概要文件(PP)，或者基于特定安全需求的標(biāo)準(zhǔn)化集。PP可以用于無線安全架構(gòu)內(nèi)的產(chǎn)品。此外，還可開發(fā)安全目標(biāo)(ST)來度量安全威脅、目標(biāo)需求和安全功能的摘要規(guī)范。

日志

日志作為無線網(wǎng)絡(luò)監(jiān)視和管理功能的一部分，用以確保無線網(wǎng)絡(luò)的持續(xù)監(jiān)控。它們提供了一種可跟蹤的機(jī)制來記錄網(wǎng)絡(luò)活動并發(fā)現(xiàn)網(wǎng)絡(luò)入侵。應(yīng)該通過同步所有設(shè)備上的時間時鐘，遠(yuǎn)程記錄無線活動和事件，以及對日志執(zhí)行嚴(yán)格的訪問控制，以保護(hù)日志的完整性。

配置控制

為無線網(wǎng)絡(luò)和設(shè)備建立配置需求和安全的基線配置可以幫助確保它們按照DHS的安全策略部署在安全的方式中。通常，無線系統(tǒng)最初配置的是默認(rèn)的供應(yīng)商設(shè)置，這是常識。這些設(shè)置可以包括：網(wǎng)絡(luò)信息，如默認(rèn)通道或調(diào)制規(guī)范；安全信息，如網(wǎng)絡(luò)名稱、加密方法、傳遞短語或密鑰；系統(tǒng)管理信息，如管理用戶名、密碼、管理端口號和運行的缺省應(yīng)用程序服務(wù)。

軟件和固件更新

NIST的國家脆弱性數(shù)據(jù)庫(NVD)是一個綜合的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)庫，它整合了所有公共可用的美國政府弱點資源，并提供了對行業(yè)資源的參考。如果可能的話，更新的固件應(yīng)該在非生產(chǎn)環(huán)境中進(jìn)行測試，以在產(chǎn)品發(fā)布之前驗證功能。DHS敏感系統(tǒng)政策指令4300A和DHS敏感系統(tǒng)手冊提供了系統(tǒng)審計政策和指導(dǎo)。

無線監(jiān)控

無線監(jiān)控功能包括工具和方法：(a)進(jìn)行現(xiàn)場調(diào)查和設(shè)置適當(dāng)?shù)奶炀€位置以減少信號泄漏,(b)檢測錯誤配置的客戶端和使用政策驅(qū)動的軟件或硬件解決方案，確保客戶端設(shè)備和用戶定義符合DHS無線安全策略，(c)檢測和阻斷可疑的或未經(jīng)授權(quán)的活動或無線電干擾的來源。無線入侵檢測系統(tǒng)(WIDS)/入侵預(yù)防系統(tǒng)(IPS)可以檢測網(wǎng)絡(luò)異常并監(jiān)視無線基礎(chǔ)設(shè)施。異?？赡馨ǖ幌抻诟蓴_源、異常高或低使用率、多次登錄嘗試、攻擊簽名、非小時登錄以及其他可疑的系統(tǒng)基線的差異。

內(nèi)容過濾

內(nèi)容過濾是監(jiān)控電子郵件和網(wǎng)頁等通信的過程，對可疑內(nèi)容進(jìn)行分析，并防止向用戶發(fā)送可疑內(nèi)容。專用的服務(wù)器可以用來執(zhí)行內(nèi)容過濾任務(wù)。有線網(wǎng)絡(luò)內(nèi)部的無線系統(tǒng)，對已經(jīng)應(yīng)用到有線網(wǎng)絡(luò)的內(nèi)容過濾并沒有特定的要求。外部無線系統(tǒng)的內(nèi)容過濾，如訪客WLAN可能不同于組織內(nèi)部網(wǎng)絡(luò)應(yīng)用。這個網(wǎng)絡(luò)的流量不受國家網(wǎng)絡(luò)保護(hù)系統(tǒng)(NCPS)的檢查，也被稱為“愛因斯坦”。因此，組織應(yīng)該為這個網(wǎng)絡(luò)擬定隔離的安全控制措施，例如允許通過HTTP、安全HTTP(HTTPS)和域名服務(wù)(DNS)訪問的普通客戶端連接，只訪問有限的Internet站點。

此外，還可以利用現(xiàn)有的可信Internet連接(TIC)功能來保護(hù)和監(jiān)視這些外部無線系統(tǒng)。所有的內(nèi)容過濾產(chǎn)品必須保持最新，以確保它們的檢測盡可能準(zhǔn)確。內(nèi)容過濾包的另一個關(guān)鍵特性是對可疑活動的入站和出站數(shù)據(jù)進(jìn)行掃描，并采取相應(yīng)的預(yù)防措施。

總結(jié)

技術(shù)往往都是一把雙刃劍，無線技術(shù)也不例外。針對敏感無線系統(tǒng)易出現(xiàn)的安全問題，美國國土安全局的《敏感系統(tǒng)手冊》從具體的攻擊手段出發(fā)，在各個方面都給出了指導(dǎo)性的防護(hù)意見，為敏感系統(tǒng)中的無線技術(shù)的安全使用點亮了明燈。

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文