對(duì)利用深度防御思想構(gòu)筑公安信息安全體系的探討

張偉 （天津市公安局 天津300040）

對(duì)利用深度防御思想構(gòu)筑公安信息安全體系的探討

張偉 （天津市公安局 天津300040）

近年來(lái)，隨著公安信息化建設(shè)的不斷深入開(kāi)展，傳統(tǒng)的網(wǎng)絡(luò)安全部署抵御日趨復(fù)雜的網(wǎng)絡(luò)拓?fù)浜脱杆僭鲩L(zhǎng)的網(wǎng)絡(luò)應(yīng)用所帶來(lái)的安全風(fēng)險(xiǎn)的難度日益加大，因此，信息安全保障工作在各地公安機(jī)關(guān)得到了越來(lái)越高的關(guān)注。在分析公安網(wǎng)絡(luò)安全現(xiàn)狀的基礎(chǔ)上，對(duì)利用深度防御理念構(gòu)建公安網(wǎng)絡(luò)信息安全體系的相關(guān)技術(shù)進(jìn)行了探討。

公安網(wǎng)絡(luò) 信息安全 深度防御

0 引言

作為信息化建設(shè)的重要基礎(chǔ)設(shè)施，近年來(lái)公安網(wǎng)絡(luò)得到了極大發(fā)展，各類信息共享、網(wǎng)絡(luò)通信等信息化應(yīng)用越來(lái)越依賴于公安網(wǎng)絡(luò)的支持。然而，隨著公安網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，來(lái)自內(nèi)部網(wǎng)絡(luò)的威脅也日漸增多，如網(wǎng)絡(luò)攻擊、信息竊取、信息破壞以及人為的網(wǎng)絡(luò)搗蛋和誤操作等諸多可能因素，導(dǎo)致公安網(wǎng)絡(luò)所面臨的安全形勢(shì)日益嚴(yán)峻。如何建立起有效的網(wǎng)絡(luò)安全防范體系，使網(wǎng)絡(luò)運(yùn)行穩(wěn)定、可靠、安全，從而有效保障信息安全，現(xiàn)已成為公安網(wǎng)絡(luò)面臨的一個(gè)重要課題。

1 公安網(wǎng)安全威脅分析

公安網(wǎng)涉及網(wǎng)內(nèi)所有計(jì)算機(jī)和附屬設(shè)備互聯(lián)運(yùn)行的網(wǎng)絡(luò)，是由計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)設(shè)備和軟件等構(gòu)成的，其雖屬于內(nèi)部專網(wǎng)，但由于公安工作的特殊性，使其網(wǎng)絡(luò)管理的復(fù)雜性和所面臨的信息安全問(wèn)題的嚴(yán)重性遠(yuǎn)遠(yuǎn)高于其他網(wǎng)絡(luò)。

1.1 公安網(wǎng)規(guī)模大、速度快

一般公安網(wǎng)的接入帶寬不低于100 Mbps，而且網(wǎng)絡(luò)覆蓋面廣，以天津公安網(wǎng)絡(luò)為例，用戶群體已達(dá)上萬(wàn)人。這種高帶寬、大用戶量的特性，使公安網(wǎng)絡(luò)安全問(wèn)題一旦發(fā)生，則蔓延迅速、影響嚴(yán)重。

1.2 漏洞威脅普遍存在

隨著計(jì)算機(jī)新技術(shù)在公安網(wǎng)絡(luò)的廣泛應(yīng)用，內(nèi)部網(wǎng)絡(luò)中常見(jiàn)的除了常規(guī)PC、服務(wù)器外，還涉及CISCO、華為（3COM）等網(wǎng)絡(luò)設(shè)備，這些設(shè)備提供了各種網(wǎng)絡(luò)服務(wù)。而新技術(shù)的應(yīng)用往往伴隨著較大的安全風(fēng)險(xiǎn)，同時(shí)由于公安網(wǎng)與互聯(lián)網(wǎng)相隔離，不便于各類軟件的正常更新升級(jí)，致使各種軟、硬件漏洞對(duì)信息安全和網(wǎng)絡(luò)運(yùn)行構(gòu)成了現(xiàn)實(shí)威脅。

1.3 管理與維護(hù)的投入有限

公安網(wǎng)絡(luò)的物理隔離決定了其在網(wǎng)絡(luò)管理與維護(hù)上投入的有限性，許多服務(wù)器系統(tǒng)缺乏維護(hù)人員，而且沒(méi)有容災(zāi)備份。而活躍的搗蛋者往往對(duì)新技術(shù)充滿好奇，甚至嘗試各種攻擊技術(shù)，卻對(duì)可能造成的影響和破壞缺乏認(rèn)識(shí)，這些因素也對(duì)公安網(wǎng)絡(luò)安全形成了一定威脅。

顯然，在當(dāng)今網(wǎng)絡(luò)技術(shù)飛速發(fā)展的情況下，要足以保證網(wǎng)絡(luò)和信息安全，就務(wù)必要建立起完善的安全保障機(jī)制。而信息安全保障的核心思想就是深度防御思想（Defense in Depth）。

2 實(shí)現(xiàn)深度防御

2.1 總體思想

所謂深度防御思想就是采用一個(gè)層次化的、多樣性的安全措施來(lái)保障用戶信息及信息系統(tǒng)的安全。通過(guò)實(shí)施深度防御，即使安全層次中的某一層被攻破，仍然可以依靠其他的保護(hù)措施來(lái)保護(hù)網(wǎng)絡(luò)。在深度防御思想中，邊界、內(nèi)部網(wǎng)絡(luò)和人是3個(gè)核心要素，要保障信息及信息系統(tǒng)的安全，三者缺一不可。

2.2 邊界防御

邊界是指不同可信級(jí)別網(wǎng)絡(luò)之間的分界線，它可能包括以下部件：路由器、防火墻、IDS/IPS、DMZ和被屏蔽的子網(wǎng)。每種部件各司其職，將各部件功能綜合后可整體保護(hù)網(wǎng)絡(luò)邊界。

2.2.1 路由器 引導(dǎo)流量流入網(wǎng)絡(luò)、流出網(wǎng)絡(luò)或者在網(wǎng)絡(luò)中傳輸。非正常流量的目的地址可能是內(nèi)部地址，它們會(huì)通過(guò)路由器的外部接口進(jìn)入網(wǎng)絡(luò)，也可能其目的地址是外部地址，它們會(huì)通過(guò)路由器的內(nèi)部接口流出網(wǎng)絡(luò)。位于邊界處的路由器是數(shù)據(jù)流入內(nèi)網(wǎng)的第一個(gè)可控設(shè)備，也是數(shù)據(jù)流出內(nèi)網(wǎng)時(shí)我們可控的最后一個(gè)設(shè)備。每一個(gè)網(wǎng)絡(luò)都應(yīng)該在邊界路由器上設(shè)置進(jìn)入過(guò)濾和外出過(guò)濾，只允許應(yīng)該進(jìn)入網(wǎng)絡(luò)內(nèi)部和應(yīng)流向網(wǎng)絡(luò)外部的報(bào)文通行。

2.2.2 防火墻 可以對(duì)邊界路由器不能監(jiān)控的流量進(jìn)行更加深入的分析和過(guò)濾。防火墻能夠識(shí)別和阻塞未建立連接的惡意流量或已連接但有安全隱患的流量。防火墻的規(guī)則庫(kù)定義了源IP地址、目的IP地址、源端口和目的端口，一般攻擊通常會(huì)有很多征兆，應(yīng)該及時(shí)將這些征兆加入規(guī)則庫(kù)中。

2.2.3 IDS/IPS 用于檢測(cè)和告警惡意事件，IPS在此基礎(chǔ)上更可阻斷惡意流量的進(jìn)入。有兩種類型的IDS/IPS，基于網(wǎng)絡(luò)的（Network-based IDS/IPS，NIDS/NIPS）和基于主機(jī)的（Host-based IDS/IPS，HIDS/HIPS）。防火墻降低了惡意流量進(jìn)出網(wǎng)絡(luò)的可能性，并能確保只有與協(xié)議一致的流量才能通過(guò)防火墻。如果惡意流量偽裝成正常的流量，并且與協(xié)議的行為一致，這樣的情況，可以使用IDS/IPS設(shè)備對(duì)網(wǎng)絡(luò)加以保護(hù)。IDS/IPS能夠在關(guān)鍵點(diǎn)上對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行監(jiān)視，以防止惡意行為。

2.2.4 DMZ DMZ是界于安全區(qū)域之間的非安全區(qū)域，是針對(duì)網(wǎng)絡(luò)層的深度防御策略。這種把數(shù)據(jù)與網(wǎng)絡(luò)內(nèi)應(yīng)用層隔離開(kāi)來(lái)的辦法提供了又一層的安全。因?yàn)镈MZ系統(tǒng)即使受到危及，也不至于把存放關(guān)鍵數(shù)據(jù)的內(nèi)部系統(tǒng)暴露在網(wǎng)絡(luò)攻擊面前。

2.2.5 被屏蔽的子網(wǎng) 被屏蔽的子網(wǎng)是一個(gè)連接到防火墻或者其他過(guò)濾設(shè)備的專用接口上的隔離網(wǎng)絡(luò)。被屏蔽子網(wǎng)上一般駐留有“公共”服務(wù)，而運(yùn)行此類服務(wù)的服務(wù)器稱為堡壘主機(jī)，需要特別加強(qiáng)其安全性。

通過(guò)將以上各部件統(tǒng)一規(guī)劃后實(shí)施整體策略，以達(dá)到將網(wǎng)絡(luò)邊界形成立體化崗哨的功效，從各層面對(duì)出入流量實(shí)行嚴(yán)格把關(guān)。

2.3 內(nèi)部網(wǎng)絡(luò)保護(hù)

內(nèi)部網(wǎng)絡(luò)是受邊界保護(hù)的，它包含所有的服務(wù)器、工作站和基礎(chǔ)設(shè)施網(wǎng)絡(luò)。但內(nèi)部網(wǎng)絡(luò)并非是可以完全信任的網(wǎng)絡(luò)，因?yàn)橛行﹥?nèi)部攻擊并非是出于惡意，有時(shí)內(nèi)部人員無(wú)意識(shí)的操作也會(huì)造成攻擊的發(fā)生。內(nèi)部網(wǎng)絡(luò)的保護(hù)主要分為對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)和對(duì)網(wǎng)絡(luò)中心（即內(nèi)部主機(jī)）的保護(hù)。

2.3.1 部署內(nèi)部網(wǎng)絡(luò) 為了解決跨過(guò)邊界崗哨直接作用于內(nèi)網(wǎng)的攻擊問(wèn)題，在內(nèi)部網(wǎng)絡(luò)上，我們應(yīng)考慮實(shí)施如下策略：在每臺(tái)路由器上做出入過(guò)濾，用來(lái)做隔離資源的內(nèi)部防火墻，加強(qiáng)性能和安全的代理，并監(jiān)視內(nèi)部網(wǎng)絡(luò)的IDS/IPS。以上技術(shù)與邊界實(shí)施的技術(shù)大體相同，目的是要提高對(duì)內(nèi)網(wǎng)的監(jiān)控級(jí)別，及時(shí)發(fā)現(xiàn)和避免內(nèi)部可疑流量造成的破壞，減小其發(fā)作范圍。

2.3.2 部署網(wǎng)絡(luò)中心設(shè)備 在網(wǎng)絡(luò)中心的位置，如應(yīng)用服務(wù)器、單機(jī)等內(nèi)網(wǎng)資源性設(shè)備中，應(yīng)做如下部署：個(gè)人防火墻、反病毒軟件、操作系統(tǒng)加固、配置管理和審計(jì)。

①個(gè)人防火墻是擴(kuò)展邊界的一種很好的軟件。如果傳統(tǒng)的防火墻沒(méi)有在網(wǎng)絡(luò)入口點(diǎn)進(jìn)行部署的話，個(gè)人防火墻就是一種性能價(jià)格比很高的替代選擇，尤其是當(dāng)網(wǎng)絡(luò)上的主機(jī)都是一些小系統(tǒng)的時(shí)候更是如此。對(duì)于移動(dòng)用戶來(lái)說(shuō)，個(gè)人防火墻更加重要，因?yàn)樗麄兘?jīng)常要在外出的時(shí)候進(jìn)行網(wǎng)絡(luò)連接。

②反病毒軟件和網(wǎng)絡(luò)IDS在很多方面比較相似，他們都頻繁檢查數(shù)據(jù)，發(fā)現(xiàn)惡意流量。反病毒軟件一般檢查文件系統(tǒng)上的數(shù)據(jù)，而IDS/IPS則檢測(cè)網(wǎng)絡(luò)上的數(shù)據(jù)。

③主機(jī)加固是對(duì)主機(jī)上的操作系統(tǒng)和應(yīng)用程序進(jìn)行安全配置的過(guò)程，目的是為了關(guān)閉系統(tǒng)中不必要的開(kāi)放狀態(tài)。一般要做的是及時(shí)打補(bǔ)丁和設(shè)置文件系統(tǒng)的權(quán)限，關(guān)閉不必要的權(quán)限，以及加強(qiáng)口令的約束能力等。如果網(wǎng)絡(luò)邊界上的其他部件在阻止入侵的過(guò)程中失敗了，那么主機(jī)加固是保護(hù)單個(gè)系統(tǒng)的最后一個(gè)保護(hù)層，因此，主機(jī)加固在深度防御中非常重要。

④配置管理是建立和維護(hù)網(wǎng)絡(luò)上的系統(tǒng)和設(shè)備配置的過(guò)程。其可以保證某種特定的運(yùn)行環(huán)境，如：所有的Windows機(jī)器都安裝了某個(gè)服務(wù)包；所有的Linux機(jī)器都運(yùn)行某個(gè)內(nèi)核；擁有遠(yuǎn)程訪問(wèn)賬戶的所有用戶都擁有個(gè)人防火墻；每臺(tái)機(jī)器每天都要進(jìn)行反病毒特征庫(kù)的更新；在用戶登錄時(shí)，他們應(yīng)該接受的使用策略等。

⑤審計(jì)是將對(duì)安全狀況進(jìn)行認(rèn)識(shí)并加以改善的過(guò)程。內(nèi)部員工或外部訪問(wèn)者都應(yīng)該進(jìn)行審計(jì)。審計(jì)的過(guò)程如下：收集需求，制定方案，實(shí)施審計(jì)，實(shí)施中定期生成審計(jì)報(bào)告（技術(shù)報(bào)告），生成最終報(bào)告（非技術(shù)報(bào)告和技術(shù)報(bào)告），進(jìn)行后續(xù)工作（驗(yàn)證執(zhí)行情況）。

2.4 重視人為因素

盡量避免由于用戶誤操作造成的內(nèi)部攻擊，這需要對(duì)人員本身的培訓(xùn)和對(duì)網(wǎng)絡(luò)中設(shè)備有策略的實(shí)施。一個(gè)有效的深度防御基礎(chǔ)結(jié)構(gòu)需要一套完整的且能夠解決實(shí)際問(wèn)題的策略。如：職權(quán)（誰(shuí)負(fù)責(zé)），范圍（誰(shuí)實(shí)現(xiàn)），截止（誰(shuí)終止），規(guī)范（需要什么樣的安全），透明（是否每一個(gè)人都能夠理解這些安全策略和方法）。

同時(shí)還要著力提高用戶的應(yīng)用技能和思想認(rèn)識(shí)，要使用戶認(rèn)識(shí)到策略的重要性，并在實(shí)踐中嚴(yán)格按照策略的要求進(jìn)行工作，進(jìn)一步減少風(fēng)險(xiǎn)，從而充分發(fā)揮深度防御的作用。

此外，實(shí)施基于深度防御理念的安全體系結(jié)構(gòu)時(shí)還要注意一些問(wèn)題，如：需要保護(hù)哪些資源、估計(jì)可能的風(fēng)險(xiǎn)、確定業(yè)務(wù)需求等，根據(jù)這些信息，就可以準(zhǔn)確地實(shí)施網(wǎng)絡(luò)防御的策略部署。

3 結(jié)語(yǔ)

基于深度防御思想建立網(wǎng)絡(luò)安全防范體系可以有效地抵御多種已知和未知的攻擊，是實(shí)現(xiàn)信息安全保障的有效方法，在公安網(wǎng)絡(luò)和信息化建設(shè)中具有廣泛的應(yīng)用空間，并且將對(duì)網(wǎng)絡(luò)信息技術(shù)的發(fā)展帶來(lái)深遠(yuǎn)的影響?！?/p>

[1]楊義先，任金強(qiáng).信息安全新技術(shù)[M].北京：北京郵電大學(xué)出版社，2002.

[2]宋連濤，莊為華.基于異常的入侵檢測(cè)技術(shù)在Snort系統(tǒng)中的應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展，2006（6）：136-138.

2012-03-06