系统安全解决方案

思考的牛

在互联网应用日益普及的今天，信息系统面临的安全挑战也日趋严峻，即使最细小、最隐秘的漏洞也可能马上被人发现和利用，进而给企业带来重大损失; 而另一方面，企业的IT预算却一压再压。因此，如何以最经济、最有效的方式保障信息系统的安全，已经成为众多企业CIO们必须面对的问题。本期我们围绕信息系统安全这个话题，结合安全技术手段的介绍，提供几个实际的系统安全解决方案案例，供读者参考。

信息系统的安全防护是一项非常复杂的工程，围绕它目前已经形成了众多安全技术。而一个安全的信息系统通常要综合采用多种技术和部署相应的安全产品，通过建立一个纵深的安全防护体系，从而增加攻击者入侵系统所花费的时间、成本和所需要的资源，以最终降低系统被攻击的危险，达到安全防护的目标。下文是信息安全防护的技术架构，它基本上囊括了当今安全领域内所采用的主要安全技术，包括身份认证、访问控制、内容安全、审计和跟踪、响应和恢复几个部分。下面将分别对这些技术的特点及其使用范围进行介绍。

身份认证

身份认证是对网络中的主体和客体的身份进行验证的过程，所包括的典型技术有：口令认证机制、公开密钥基础设施(PKI)强认证机制、基于生物特征的认证等。

口令认证 口令认证是最常用的一种认证方式。口令是相互约定的代码，通常只有用户和系统知道。口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令相匹配，用户即可进入系统访问。口令有多种，如一次性口令，系统生成一次性口令的清单，规定第一次时必须使用X，第二次时必须使用Y，第三次时用Z……还有基于时间的口令，即访问者使用的口令随时间变化，变化基于时间和一个秘密的用户密钥，这样口令随时都在改变，使其更加难以猜测。

PKI的认证机制 PKI(Public Key Infrastructure)技术是通过公钥密码体制中用户私钥的机密性来提供用户身份的惟一性验证，并通过数字证书的方式为每个合法用户的公钥提供一个合法性的证明，建立了用户公钥到证书ID号之间的惟一映射关系。PKI主要由证书生产系统和应用系统组成，证书生产系统又包括数字证书认证中心(Certification Authority，CA)和密钥管理中心(Key Management，KM)，共同完成数字证书的申请、审核、签发、注销、更新、查询等功能。证书应用系统提供身份认证、加解密、签名验签等安全服务功能，以解决业务应用中的机密性、完整性、认证性、不可否认性等安全问题。

由于数字证书本身是公开的，因此在身份验证过程中必须通过公钥与私钥之间的惟一映射关系(由公钥加密体制自身提供保证)来间接建立用户私钥和证书ID号之间的映射关系。数字证书可以存储在多种介质上(硬盘、软盘、IC卡、USB Key等)。若采用硬件形式如智能IC卡、USB Key等，把用户的私钥存放其中则更安全。

PKI的认证是一种强认证机制，综合采用了摘要算法、非对称加密、对称加密、数字签名等技术，很好地将安全性和高效性结合起来。这种认证方法目前广泛应用在电子邮件、应用服务器访问、客户端认证、防火墙认证等领域。生物特征的认证 基于生物特征的认证是一项正处于研究开发阶段的技术，常见的有指纹、声音、视网膜或虹膜、手掌几何学等。这种利用个人生理特征进行鉴别的方式具有很高的安全性。目前已推出的设备包括：视网膜扫描仪、指纹识别仪、声音验证设备、手型识别器。

访问控制

访问控制的主要任务是保证网络资源和应用系统不被非法使用和访问。访问控制所包括的典型技术有：防火墙、虚拟专用网(VPN)、授权管理基础设施(PMI)等。

防火墙：防火墙是指设置在不同网络(如可信任的内部网和不可信的公共网)或网络安全域之间的一系列部件的组合，它是不同网络或网络安全域之间信息的惟一出入口，能根据单位的安全策略(允许、拒绝等)控制出入网络的信息流，且本身具有较强的抗攻击能力。

防火墙是目前用得最广泛的一种安全技术，它可以限制外部对系统资源的非授权访问，也可以限制内部对外部的非授权访问，同时还限制内部系统之间，特别是安全级别低的系统对安全级别高的系统的非授权访问。

VPN 虚拟专网(Virtual Private Network，VPN)是指采用隧道技术以及加密、身份认证等方法，在公共网络上构建专用的网络，数据通过安全的“加密隧道”在公共网络中传输。

VPN可使用户或企业通过公共的互联网络连接到远程服务器、分部办公室服务器或其他企业的网络，同时可以保护通信的安全。VPN具有安全性、服务质量保证(QoS)、可扩充性和灵活性、可管理性、使用价格低廉等特点，正是这些特点使得VPN已得到广泛应用。

PMI PMI(Privilege Management Infrastructure) 是属性机构、属性证书、属性证书注册申请中心、属性库、策略库等部件的集合体，用来实现权限和证书的产生、管理、存储、分发和撤销功能。PMI可以向应用系统提供对实体(人、服务器、程序等)的权限管理和授权服务，实现实体身份到应用权限的映射，提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。PMI以应用系统的资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者——业务应用系统来进行访问控制。

PKI解决了实体的身份认证问题，即“你是谁”，而PMI解决了实体的授权问题，即“你能干什么”。

内容安全

内容安全主要是直接保护系统中传输和存储的数据。主要是通过对信息和内容本身进行变形和变换，或者对具体的内容进行检查来实现。内容安全所包括的典型技术有：加密、防病毒、内容过滤等。

加密：加密是信息安全领域的一种基本、实用且非常重要的技术。主要分为对称加密、非对称加密两类。对称加密使用单个密钥对数据进行加密或解密，其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难，主要是密钥管理困难。这类算法的代表是DES、RC2、 RC4、 RC5、3DES等。非对称加密算法也称公开密钥加密算法，其特点是有两个密钥(即公用密钥和私有密钥)，只有二者搭配使用才能完成加密和解密的全过程。由于非对称算法拥有两个密钥，它特别适用于分布式系统中的数据加密，因此在Internet中得到广泛应用。其中公用密钥在网上公布，为对数据加密使用，而用于解密的相应私有密钥则由数据的接收方妥善保管。典型算法有： RSA、DSA、ECC等。

在实际应用中，通常将对称加密和非对称加密结合起来：即首先由对称密钥对输入的数据进行加密，然后用公钥对对称密钥进行加密。因为它不仅保证了加密的高效性(对称密钥的快速加密)，还保证了加密的高强度性(公钥的强加密)。

防病毒：病毒是一种进行自我复制、广泛传播、对计算机及其数据进行严重破坏的程序。由于病毒具有隐蔽性与随机性的特点，使用户防不胜防。特别是随着信息网络规模不断扩大和高带宽Internet的多点接入，病毒已成为最大的安全威胁。

防范病毒必须建立多层的网络级病毒防治系统： 第一层是网关(代理服务器)防毒，第二层是服务器防毒，第三层是客户端计算机防毒，这样能有效地防治病毒，并建立完善的病毒管理体系，负责防病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个企业范围内病毒防护体系的一致性和完整性。

内容过滤：内容过滤就是采取适当的技术措施，对Internet上的不良信息进行过滤，既阻止不良信息对人们的侵害，又可以通过规范用户的上网行为，提高工作效率，合理利用网络资源。

内容过滤技术还很不成熟，通常内容过滤技术包括关键词过滤技术、图像过滤技术、模板过滤技术和智能过滤技术等。目前，很多防火墙集成了内容过滤技术，能对URL网址和网页文字等固定内容进行过滤。

审计和跟踪

审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程，而是通过对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有：入侵检测系统(IDS)、漏洞扫描系统、安全审计系统等。

IDS 入侵检测是一种主动保护网络和系统安全的技术，它从计算机系统或网络中采集、分析数据，查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象，并采取适当的响应措施来阻挡攻击，降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。

入侵检测系统可分为基于网络(NIDS)和基于主机(HIDS)两种。通过在特定网段、关键服务器上安装IDS，可实时检测出大多数攻击，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。

漏洞扫描系统 漏洞扫描是自动检测网络或主机安全漏洞的技术，通过执行一些脚本文件对系统进行攻击并记录它的反应，从而发现其中的漏洞并采取补救措施。

不管攻击者是从外部还是从内部攻击某一网络系统，攻击机会来自已经知道的漏洞。对于系统管理员来说，漏洞扫描系统是最好的助手，它能够主动发现系统的漏洞，在主机系统安全保卫战中做到“有的放矢”，及时修补漏洞。漏洞扫描系统分为网络扫描系统、主机扫描系统和数据库扫描系统三种。网络扫描系统主要依靠安全漏洞库对服务器、路由器、防火墙、操作系统和网络应用进程等进行基于网络层面的安全扫描;主机扫描系统主要是针对操作系统内部问题进行更深入的扫描，如Unix、NT、Linux，它可弥补网络扫描系统只通过网络检查系统安全的不足;数据库扫描系统是一种专门针对数据库进行安全漏洞检查的扫描器，其主要功能是找出不良的密码设定、过期密码设定、侦测登录攻击行为、关闭久未使用的账号等。

安全审计：安全审计是对网络或主机的活动轨迹进行记录形成日志，并对日志进行审计，从而发现可疑行为。

响应和恢复：从过程上看，响应和恢复是对异常、故障、事故、入侵等事件发生后做出的反应，但从根本的实现上看，事前的准备才是该技术的关键。这方面的技术主要有数据备份和恢复、容灾。

备份和恢复：备份系统通常由备份管理系统和备份设备构成，备份设备主要有：磁带库、磁盘阵列、光盘、SAN等。备份系统的目的是尽可能快地全盘恢复计算机系统所需的数据和系统信息。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。一般的数据备份策略有三种：全备份、增量备份和差分备份。全备份备份系统中所有的数据;增量备份只备份上次备份以后有变化的数据;而差分备份则备份上次完全备份以后有变化的数据。全备份所需时间最长，但恢复时间最短，操作最方便，当系统中数据量不大时，采用全备份最可靠。随着数据量的不断增大，将无法每天做全备份，但可以在周末进行全备份，其他时间可采用用时更少的增量备份或采用介于两者之间的差分备份。

恢复措施在整个备份机制中占有相当重要的地位。恢复操作通常可以分为两类：第一类是全盘恢复，第二类是个别文件恢复。为了防备数据丢失，需要做好详细的恢复计划，同时还要定期进行恢复演练。

容灾：容灾系统可以分为数据容灾和应用容灾两种。主要取决于对故障停机时间的设计要求。如果要求系统恢复时间很短，就要采用应用级的容灾，同时也要做好网络链路的冗余和应用的异地接管。如果能够容忍较长一点的系统恢复时间，还可以采用数据级的容灾。

从对数据一致性的要求上来说，容灾实现数据传输的方式可以分为同步和异步两种，同步数据复制将严格保持生产系统和备份系统之间数据的同步，灾难发生后几乎没有数据的丢失，但对容灾距离和系统性能会有一定的影响;异步数据复制将保持生产系统和备份系统之间的数据在一定时间点的一致性，灾难发生后数据有部分的丢失，但对容灾距离和系统性能的影响相对同步要小。

容灾可以采用磁带库或者远程拷贝等。磁带库依靠备份系统，在每次系统做完一次全备份后，手工将磁带取出，保存到一个相对安全的地方，地理位置至少不应该在同一个大楼内;远程拷贝可以依靠SAN架构，在存储服务器时间内进行同步拷贝。

789lee

学以致用，谢谢楼主分享！

szrongfang008

安防的事情没有小事!