2.6終端安全
目前主流的資訊保安產品從根本上來說,存在三大缺陷:
1 以對外防護為主,對於訪問者的源端卻缺少相應的控制手段。
2 作業系統自身缺乏安全性,有待使用安全級別更高的作業系統來滿足系統對安全性
的需求。
3 安全性的實現是基於已有知識的後驗檢測,導致系統越做越複雜,系統出問題的可
能性卻沒有減少反而增加了。
應該看到許多安全問題的根源在於傳統馮諾依曼體系結構對於系統安全性實現的侷限
性和當前主流應用作業系統的不安全性。如果不去控制發生不安全問題的根源,而在外圍
封堵,各種安全措施充其量只不過是小打小鬧,修修補補,要達到資訊系統的相對安全都
很難。
如果對於這些不安全因素從終端源頭加以控制,那麼問題的解決是根本性的變化,可
以杜絕目前困擾資訊保安的大部分問題,從而將資訊系統的預期風險降低到可以承受的水
平甚至更低。
2.6.1可信賴計算
在乙個大型資訊系統中,主機(伺服器)的安全常常是受到高度重視的,然而有時候
人們恰恰因此忽略了問題的另乙個方面,那就是為數眾多的終端裝置的安全。在終端安全
方面,幾大計算機硬體軟體巨頭如intel,ibm,microsoft等正在共同努力,他們取得的最
大成果就是可信賴計算的概念。
可信賴計算是使用軟硬體相結合的安全技術,該技術使儲存在電腦硬碟上的資料更加
安全可靠。目前,可信賴計算技術集團(trusted ***puting group)已經成立,它致力於
建立開放式的、為可信賴計算技術服務的軟體和硬體標準,這些標準將適用於pc、伺服器
和pda等多種平台。雖然這一技術剛剛起步,但是可以預見由於在終端安全方面革命性的改
進,這一技術的前途非常光明。
2.6.2設計目標
傳統的資訊保安措施主要是堵漏洞、做高牆、防外攻等老三樣,但最終的結果是防不
勝防。產生這種局面的主要原因是不去控制發生不安全問題的根源,而在外圍進行封堵。
所有的入侵攻擊都是從pc終端上發起的,黑客利用被攻擊系統的漏洞竊取超級使用者許可權,
肆意進行破壞;注入病毒也是從終端發起的,病毒程式利用pc作業系統對執行**不檢查
一致性的弱點,將病毒**嵌入到執行**程式,實現病毒傳播;更為嚴重的是對合法的
使用者沒有進行嚴格的訪問控制,可以進行越權訪問,造成不安全事故。
其實,現在的不安全問題大多數都是pc機結構和作業系統不安全引起的。如果從終端
操作平台實施高等級防範,這些不安全因素將從終端源頭被控制。這種情況在工作流程相
對固定的生產系統中顯得更為重要而可行。
為了解決pc機體系結構上的不安全,從根本上提高其安全性,在世界範圍內推行可信
計算技術,2023年由***paq、hp、ibm、intel和microsoft牽頭組織tcpa( trusted ***pu
ting platform alliance),目前已發展成員190家,遍布全球各大洲主力廠商。tcpa專注
於從計算平台體系結構上增強其安全性,2023年1月發布了標準規範(v1.1),2023年3月
改組為tcg(trusted ***puting group),其目的是在計算和通訊系統中廣泛使用基於硬體
安全模組支援下的可信計算平台,以提高整體的安全性。可信計算終端基於可信賴平台模
塊(tpm),以密碼技術為支援、安全作業系統為核心(如下圖所示)。
2.6.3功能
可信賴計算平台具有以下功能:
確保使用者唯一身份、許可權、工作空間的完整性/可用性;
確保儲存、處理、傳輸的機密性/完整性;
確保硬體環境配置、作業系統核心、服務及應用程式的完整性;
確保金鑰操作和儲存的安全;
確保系統具有免疫能力,從根本上防止病毒和黑客。
2.6.4組成
安全作業系統是可信計算終端平台的核心和基礎,沒有安全的作業系統,就沒有安全
的應用。作業系統中任何微小的紕漏將會造成整個資訊系統的災難。
對工作流程相對固定的生產系統,資訊系統主要由應用操作、共享服務和網路通訊三
個環節組成。如果資訊系統中每乙個使用者都是經過認證和授權的,其操作都是符合規定
的,網路上也不會被竊聽和侵入,那麼就不會產生攻擊性的事故,就能保證整個資訊系統
的安全。
可信終端確保使用者的合法性和資源的一致性,使使用者只能按照規定的許可權和訪問控制
規則進行操作,能做到什麼樣許可權級別的人只能做與其身份規定的訪問操作,只要控制規
則是合理的,那麼整個資訊系統資源訪問過程是安全的。可信終端奠定了系統安全的基礎
。安全邊界裝置(如vpn安全閘道器等)具有身份認證和安全審計功能,將共享伺服器(如
資料庫伺服器、web伺服器、郵件伺服器等)與非法訪問者隔離,防止意外的非授權使用者的
訪問(如非法接入的非可信終端)。這樣共享伺服器端主要增強其可靠性,如雙機備份、
容錯、災難恢復等,而不必作繁重的訪問控制,從而減輕伺服器的壓力,以防拒絕服務攻
擊。 採用ipsec實現網路通訊全程安全保密。ipsec工作在作業系統核心,速度快,幾乎可
以達到線速處理,可以實現源到目的端的全程通訊安全保護,確保傳輸連線的真實性和數
據的機密性、一致性 ,防止非法的竊聽和侵入。
綜上所述,可信的應用操作平台、安全的共享服務資源邊界保護和全程安全保護的網
絡通訊,構成了工作流程相對固定的生產系統的資訊保安保障框架。
要實現上述終端、邊界和通訊有效的全保障,還需要授權管理的管理中心以及可信配
置的密碼管理中心的支撐。
主機安全加固 終端安全管理
寫在最前 安全產品系列目錄 目錄 總述 對主機進行全面加固保護,保證到達基線以上,並根據其他報告進行加固 產品簡介 針對主機作業系統安全加固,採用rost技術和三權分立思想,解決已知 未知病毒及黑客攻擊行為的侵入 產品特點 主動防禦安全保護 安全檢測 安全審計 安全管理 使用者價值 彌補短板,提公升...
終端安全產品的進化 終端安全檢測和響應
終端威脅的進化 現今針對於終端的惡意威脅複雜性和多樣性都有顯著的變化和提公升,短短的幾年時間,惡意威脅就由原來的盲目 直接 粗暴的惡意攻擊手段轉變為有目標 精確 持久隱藏的高階威脅所取代。同時現在高階威脅也並非像原來的單一的威脅事件,它們會依照安排好的多個階段進行有條不紊的開展,預估好每一步驟,通過...
安全終端模擬軟體推薦
1 xshell xshell 是乙個強大的安全終端模擬軟體,它支援ssh1,ssh2,以及microsoft windows 平台的telnet 協議。xshell 通過網際網路到遠端 主機的安全連線以及它創新性的設計和特色幫助使用者在複雜的網路環境中享受他們的工作。xshell可以在window...