「內部人」的資訊保安架構 信任體系

2021-09-05 06:27:53 字數 4538 閱讀 5942

「內部人

」的資訊保安架構---信任體系

jack zhai

安全架構的「花瓶」模型把資訊保安分為「防護-監控-信任」三維體系,其中防護與監控體系主要是面對外部***者的,信任體系則是針對內部使用者的安全管理。區別***的**,是因為內部使用者是可溯源的、可控制的,企業可以明確要求員工在內部網路上使用什麼、不使用什麼,而對外部人員就無法這麼要求,因此信任體系是對「合法」使用者的安全防護,當然也包括通過公網訪問進來的「自己人」(***使用者)。

信任體系的主要目標是通過對使用者許可權的控制,做到對資訊資源的保護,採用行為取證的方式,震懾蓄意破壞者,減少安全損失。因此,信任體系關注的重點是使用者訪問過程中的控制,以及事後發現「異樣」時,可以對使用者行為進行重現與取證。

防護體系的特點是千方百計地不讓***進來,監控體系的特點是時刻警惕,看誰「象」***就重點監控起來,而信任體系的特點是必須先讓員工工作,必須給他「足夠的」許可權完成業務,員工的很多行為只有等做完了,甚至一段時間之後,才能確定其是否有問題。因此,信任體系是乙個對過程的跟蹤,對人具體行為合法性的判定。信任體系的不同是先建立相互信任,敞開大門迎接你,發現你有「失信」行為時,要能夠提供充分的、不可偽造的證據。

從信任體系的過程圖來看,建立信任是通過身份確認與授權實現的,而監控使用者是否違規是通過審計日誌實現的。

從使用者登入開始,一直到使用者退出,信任體系的部署分為三個階段,首先是登入時的身份鑑別,其次是根據使用者身份進行的授權進行訪問時的控制,最後是對使用者訪問行為的審計。 ø

使用者登入:

通常情況下有三個地方需要使用者進行登入管理:主機登入、網路登入、應用登入。登入過程的目標是身份鑑別,就是確認使用者身份的密碼(稱為鑑別因子),常見的方法有「帳號+口令」,或者ca系統提供的身份證書等等。

作為身份鑑別的因子應該具有不易偽造、不易仿製的特性,一般有三類: ²

可記住的,如密碼口令,可以是字元與數字組合串 ²

可攜帶的,如含證書的key、身份證、射頻晶元等 ²

自身擁有的,如指紋、虹膜、dna等

為了區別計算機模擬人登入,還可使用了captcha(全自動公開人機分離圖靈測試)技術,在臨時生成的影象中含代數字與字母,人辨認後回填送給認證方,當然計算機想自動識別就很不容易了。

使用者登入過程中,有三個問題值得關注: a)

雙向認證:

b)對「使用者標識」的理解:

確認使用者的身份以後,在系統中對應生成乙個使用者唯一的識別符號。不同的認證點的標識也可能不同,如主機登入後給使用者乙個主機內的帳戶,網路登入後記錄的是ip位址(或mac位址),應用登入後也是給使用者乙個使用者編碼。這些「唯一標識」都有一些「不安全」的特點:: ü

帳戶可以共用:可能是管理簡單所致,如值班員特殊賬號往往是幾個人用;可能因為是通用的帳戶名,如admin/root/guest等是大家共知的系統帳號,只要猜出了口令(仿製的使用者key),就可以冒用了 ü

ip可以隱藏,也可以修改,mac同樣可以修改 ü

web應用中的使用者編碼往往是cookie儲存,很容易被盜取

這些問題導致了如果有人直接繞過登入環節訪問網路,或者以乙個身份登入後,再冒充其它人的使用者標識去訪問網路資源,你就無法區分到底是誰的行為。因此,使用者的標識與身份認證中的鑑別因子同樣需要唯一性保護,也需要採用多因子方式,比如帳戶+ip+mac的繫結 c)

「重認證」的嵌入:

使用者登入是通訊建立連線的開始,若中途更換了操作人員,系統則無法發現,所以需要在通訊的過程中,不定時的重新進行身份鑑別,包括雙向的鑑別。這種鑑別是嵌入在應用系統內的,或應用系統對某些操作定期觸發的,為了避免使用者頻繁輸入口令的麻煩,可以在通訊雙方的臨時緩衝區存放登入資訊,無需使用者干預就行了。

重認證的另一層含義是,使用者離開的時間長了,或通訊連線中長時間沒有資料了就會中斷,中斷後的恢復通訊,需要重新身份的鑑別。

ca系統是通過「第三方」提供的可信系統來確認通訊雙方的身份,為信任系統找到了乙個可信基,這種方式避免了每個應用系統自己開發身份鑑別或口令管理模組,是目前採用比較多的身份鑑別方法。當然這個第三方系統也可以自己建設,成為網路內部發的安全可信基。

使用者登入階段是驗證使用者的身份,我們稱為「驗證人」。 ø

訪問控制:

鑑別了使用者的身份,就需要給使用者合理授權(最小授權原則),允許他訪問哪些資源,不允許他訪問哪些資源,授權表就是系統訪問控制的依據。

從資源安全的角度講,授權的顆粒度越細越好,到檔案的每個段落,到資料庫的每個字段,但是授權越細,意味著授權資料庫越龐大,管理複雜度高,不易實現。因此,目前很多it系統採用分層次的授權方式: ²

目錄檔案授權:作業系統的檔案管理系統以檔案

(或目錄

)為單位,對使用者的授權就以檔案

(目錄)為單位,每個檔案

(目錄)有乙個許可權**,許可權可以分為讀、寫、執行、刪除等,檔案許可權的管理是檔案主

(建立檔案的使用者

)

²路由訪問授權:使用者要訪問某個應用系統的伺服器,總需要網路系統提供通路,否則就建立不了連線,在網路登入時,經常採用路由授權,一般在三層交換機、路由器中實現,這種方式以ip位址或服務埠號為控制點,許可權很簡單:允許或禁止 ²

業務模組訪問授權:在大型應用系統中,使用者只被允許訪問幾個功能模組,業務系統會根據使用者的身份顯示不同功能選單。這種授權一般在業務系統中自身實現,每個功能模組有自己的訪問控制表,記錄了可以訪問自己的使用者列表 ²

資料元的授權:對於資料庫內部資料的授權(資料元),需要採用強制訪問控制方式,也就是使用者與資料(可以是字段、表等)都定義乙個安全級別,當使用者的級別高於(或相同)資料的安全級別時,訪問被允許,否則拒絕訪問;這種方式實現在使用者訪問資料的過程中,訪問控制條件為使用者身份與安全級別比較結果兩個因素

授權方式與訪問控制措施是一體的,授權是依據使用者登入中的身份標識,信任體系的架構將限制授權的顆粒度選擇。

訪問控制就是驗證使用者的授權,杜絕沒有許可權的訪問,我們稱為「驗證權」

ø行為審計

使用者按照其身份確認的許可權進行訪問,不是就安全了,因為他可能是惡意篡改,也可能是無意出錯,如何發現他做了不該做的事情,就需要行為審計了。審計就是信任體系的監視系統,它的有效保證了信任體系的正常執行。也許有人會問:訪問已經是符合要求的了,都是正常的工作,審計如何起到安全功效呢?

行為審計的目標不是為了發現不符合授權的行為,其真正的作用有兩個: ²

詳細記錄的使用者的操作,形成系統滾動的日誌,當發現問題(無論是有意還是無意),都可以按照日誌進行資料的「回滾」,消除不合規行為對系統的影響,這種管理方式也為資料備份與容災提供了條件 ²

有了行為的審計,我們可以對每個操作回溯到身份認證的標識,即使不能完全追溯到具體的人(登入過程中談到的),但具體操作的時間、標識、軌跡等資訊,也可以大大縮小懷疑的範圍,同時,行為的回放還可以成為「犯罪」的證據

審計的粒度越小,對系統的負擔越大,太大了又達不到安全的要求,所以系統要選擇適當的審計粒度。審計粒度與兩個方面有關,一是使用者的身份,一是行為的重要程度。所謂行為的重要程度很容易理解,就是動作對系統的影響大小,或者訪問的資料是否重要,如系統的開機與關閉;帳號的建立與修改;口令的更改;系統服務的開啟與關閉等等。與使用者身份有關有些不好理解,不是領導的行為一定比普通員工的關鍵,而是使用者的工作結果對系統影響大小,如運維人員的操作、領導檔案審批、商務合同製作

使用者身份一般分為下面幾類: ²

普通使用者:一般使用者, ²

特殊使用者:某些領導,或為了適應業務靈活性組成的臨時工作組 ²

系統管理員:業務管理員、安全管理員、審計員 ²

第三方維護人員:外包服務人員

安全審計一般分為下面幾種: a)

網路行為審計:一般部署在網路的核心,是對所有使用者公共行為的審計 b)

資料庫審計:資料庫是業務系統的核心,保證資料的可以回滾 c)

業務合規性審計:業務合規性的綜合分析,主要是對業務日誌審計,部署在業務伺服器前 d)

網際網路行為審計:部署在網路的網際網路出口,是對內部員工的網際網路行為審計,因為該審計涉及很多私人資訊,所以建議審計到行為,不建議審計到內容,如私人郵件、msn聊天等 e)

運維審計:網路、系統的維護是對系統影響很的大的,同時也是直接接觸網路基礎資訊的行為,所以對運維人員的行為進行單獨審計是非常有必要的。由於運維人員可以登入的方式很多,所以建議把維護人員的工作區與伺服器區域分離,建立「堡壘機」作為運維工作的關閘,才可以進行全面的審計工作

另外,由於審計人員的許可權很大,可以「回放」他人的通訊過程,甚至可以「監聽」通訊的內容,所以,國家的安全法規中都明確要求審計崗位需要單獨設立,不允許安全管理員兼任。

審計是確認好人不變壞,是對使用者行為的驗證,我們稱為「驗證行」。

信任體系通過「三個驗證」機制,保障「合法」使用者「合理訪問」系統,是對可確認身份的自己人的管理;對於「外來」的人,即使知道你是誰,也不能對你進行任何法律、行政上的管理,只好拒絕登陸到信任體系保護的網路中來。

信任體系的建立是以身份鑑別為起點的,離開了身份鑑別,信任體系就無從談起信任了。信任體系管理的是否「到位」體現在訪問控制上,而行為審計,是行為的重現與分析,是信任體系工作的「結果」。當然在「浩瀚」的審計記錄中,能找到使用者需要的證據,本身還需要複雜的處理程式與檢索演算法,但只有審計中記錄了,才可能分析找到,所以審計記錄的完備與「夠用」是信任體系策略設計的關鍵。

安全走向開放 建安全架構協同互聯生態體系

隨著聯網裝置的增加,安全威脅的 變得更為廣泛。預計到2019年連網裝置達到200多億,而這些聯網裝置的型別也將更加多樣性。大量智慧型終端訪問企業內部資料的需求,以及移動辦公 byod的興起,對於企業安全防護帶來新的挑戰。攻防態勢嚴重失衡 在網際網路 時代,接入裝置數量的增長,黑客攻擊的入口增多,防範...

物聯網安全架構的分層處理

物聯網的實現涉及多個層次,沒有一種解決方案能夠應對針對物聯網的所有威脅,為了給予物聯網最適合的保護措施,需要對物聯網安全進行分層處理。不同的權威機構在不同的時間會對物聯網安全架構劃分不同的層次,下面記錄三種分層方式 1 2016年,權威物聯網研究機構 iot analytics 將物聯網安全架構劃分...

系統安全架構設計的問答

資訊保安系統架構的簡述 資訊保安的現狀和威脅是什麼樣的 系統安全體系架構規劃框架簡介 系統安全體系架構規劃方法是怎麼進行的 網路安全體系架構設計有哪些,怎麼用 資料庫系統完整性設計原則 作用有哪些 1.資訊保安系統架構的簡述 答 資訊保安的特徵是為了保證資訊的機密性 完整性 可用性 可控性 不可抵賴...