| 中国信息安全体系机构基本框架与构想 |
| 2002-8-28 |
我们要发展信息安全产业,要保证信息安全需求,但是信息安全的体系结构是什么样子呢?如果不明白这个社会需要,就像看病一样,我们认为信息安全是信息系统中的一个免疫系统,有的同志是学医的,面对社会需要,如果大家都学外科没有人学内科,没有学其它科,当然也不能解决我们面临的全部需要。
我们国家在世纪之交已经明确做出了,以信息化带动工业化,发挥后化优势,实现生产力跨越发展的重大决策。而且提出了要强化信息网络安全的保证体系的问题。人们对信息安全体系的认识,是一个由浅入深、由此及彼、由表及里的深化过程。我们举几个例子:比如什么是信息安全,对于银行系统,它需要的是面对客户24小时不停机的服务,因此一些同志最初强调的是可靠性,似乎安全就等于可靠。处于早期的军方政府的种种应用,通讯要求保密,正好英文
“security”这个词,既能译成保密又可以译成安全,似乎安全又等于保密。我们国家对计算机病毒这个问题认识得比较早,产业形成也比较早。大家直接感受病毒的危害和媒体的宣传,以至相当一段时间里,大家一说到计算机安全就马上想到防病毒。当我们把网络联起来了,广泛地在网络应用中间遇到黑客攻击的时候,又出现了网络安全等于防黑客入侵的偏颇认识。这是全面地考虑吗?不是,这只是基于一个时期、一个局部的认识。就像瞎子摸象一样,摸到了鼻子的人说象是蛇,摸到腿的人说象是一个柱子。
信息安全的概念也是与时俱进的,过去是通信保密(COMSEC),昨天是信息安全(INFOSEC),而今天以至于今后是信息保障(IA-
Information Assurance)。这是这几年来美国国家安全局在推广的一个观念,在发展的一个思想。
20世纪60年代的COMSEC时代,人们认识到,通信过程不仅有收、发两方参与,实际上有一个敌人在那里时刻想窃听,因此要发展密码技术,通过加密使敌人听不懂。逐渐有了计算机了,如何在计算机中完成保密,美国军方提出一个可信计算机系统评价准则(TCSEC),这里边所强调的安全概念是指要使系统的安全特性成为仅仅被授权的主体,以主体的名义访问客体。我们现在面对的信息系统,是一个高度互联、高速、多媒体、智能化、人机交互的非线形的复杂大系统。在这个系统中,人和人打交道,人和机打交道,机和机打交道。专家预测,今后的机和机的通讯将要超过人和机、人和人的通讯。在这个数字化的时代,90年代,欧洲四国(英、法、德、荷)提出了信息技术安全评价准则(ITSEC),其中提到了信息安全除了要关注信息的保密性外还要关注信息的完整性和可用性。这标志着INFOSECS时代的到来。
ITSEC中所强调的是保障保密、完整、可用的三性安全的问题。其后由于社会管理以及电子商务,电子政务等的网上应用的开展,人们又逐步共识还要关注可控性和不可否认性。美国人实际想通过密钥管理(密钥托管、密钥恢复、可信第三方)来实施对社会使用密码加密通信的控制管理,但在其社会上引起公众担心侵犯个人隐私的强烈反对,学者层认可的可认证性的提法,忌讳可控性的提法。不管怎么说实际上做的是可控的问题。我们今天面临的信息环境,通讯参与诸方面已经绝不只是三方了,用法律管理社会将出现公证方和仲裁方的介入,依靠国家来治理管理必然出现控制方的参与。到了CC标准(ISO
15408),把所有的安全问题定义为信息系统或者安全产品的安全策略、安全功能、管理、开发、维护、检测、恢复和安全评测等概念的简称,把这个称之为安全的问题。
这样的进展使我们看到了,我们认识问题要从宏观着眼,但是我们解决问题又需要从微观着手。宏观对于微观有一种指导的作用,微观又保障宏观能不能落到实处。当然从我们国家来看,从局部的对象和信息环境来探讨肯定是必然、必要的,因为我们一段时间处在那个环境,认识是那么深度,现在我们更急需的是,有自己能够立住脚的宏观的一种思想。
信息安全现在存在着一些需要走出误区和炒作的问题。业界在宣传自己能够为用户提供的服务能力时,往往声称自己拥有解决信息安全的“Total
solution”翻译成中文可以译为全面地解决方案,又可以说是完整的解决方案,这可能给用户带来一些误导。因为从科学研究的意义上讲,对于我们面临的信息安全问题,人们还没有一个全面的、完整的认识和全面、完整的解决问题的理论基础和关键技术。我个人认为,一个公司声称有了Total解决方案,只不过是一个业界在那个时段拥有的能力的基础上,想为公众服务得好,尽量把它综合组织起来一个解决方案,例如一个提供计算机病毒防护产品的公司的所谓全面/完整的解决方案仅仅能解决防护病毒的一些问题,一个提供入侵检测产品的公司的全面/完整的解决方案也只能解决入侵检测的一些问题,就是在他擅长的领域也不能保证能解决一切问题,何况他们并不涉及其他许多用户需要的安全领域呢!因此,而不能把它叫做全面的、完整的,这样说,话说得大了一些。
在解决信息安全问题时,过去相当一段时间是两条线平行发展,一个是用密码来解决问题,一个是用计算机的游戏规则来解决问题。现在看来,这两条平行线逐渐出现了交叉,大家走到了一块儿。出于学者的兴趣或者拥有某一个领域的能力,过去出现过有人认为密码可以解决一切安全问题,而又有人认为计算机规则可以解决一切安全问题。一度有人恼火使用密码,因为在计算机资源(存储空间和运算速度)不够丰富的年代,密码一加到计算机系统中间来,必然消耗资源,可能降低系统效率。
信息安全问题是一个需要狠下工夫才能解决好的问题。因此,达到世界领先水平这句话是不能轻易说的。但是有时候听到业界说我的防火墙加到你系统中间,不但不会降低还可以提高系统的效率,我就不太听得懂了。
对于信息网络安全保障体系,要有一个适当的实事求是的审视。现在业界也在想这样一个模型、体系结构到底该怎么说。安氏公司拿出一个体系结构,他们认为由于没有办法全面解决网络信息安全问题,只能求得一种所谓的平衡。提出一个P2DR模型。第一是策略,第二是保护,第三是检测,第四是响应。声称这个模型的特点是基于时间的是动态的。可以画成一个循环链。这个模型对描述问题有用,但是作为系统工程实施有局限,所以又提出了一个工程的模型。依据生命周期过程依次为策略的明确、安全的评估、设计和方案、实施和实现、安全和管理监控、紧急事件的响应,贯穿于整个生命周期需要有一个人的层面上的教育和培训。
我们国家,中国人民银行去年开了信息安全的会议,组织编写出版了银行计算机信息系统安全规范,规范中提出了PDR模型。模型中定义了保护时间、检测时间、响应时间、暴露时间。什么叫安全?安全是保护时间大于检测和响应时间。什么叫不安全?当保护时间小于检测和响应时间之和,你的系统就暴露了当然就不安全了。
在信息保障的概念下,把信息安全保障分出了四个环节,而不只是三个环节了,它们是PDRR,即保护(P)检测(D)、反应(R)、恢复(R)。认为这些是信息保障必须的环节。他们用一个图反映他们的思想,认为现在面临的信息环境,一是局域的计算环境,一个是包括专网、公网和电话交换的网络基础设施。在他们眼里看来,我们面临的信息环境,绝不仅仅是一个Internet。因此要保障信息安就应该保护局域计算环境,保护网络技术设施,还要保护局域计算环境的边界和对外部网络的连接。靠什么保护?靠PDRR。支撑基础设施由密钥管理基础设施和公开密钥基础设施(KMI/PKI)、检测、响应组成。密钥管理是核心的东西,因此有KMI。
我们国家需要一个什么样的适合国情的,科学的信息安全保障体系结构呢?PDRR是不是就够了?我认为要提出这个结构,起码应该考虑以下几个问题:一是保障信息安全,必须哪些环节;二是这些环节应该能够全面衡量信息安全的保障能力;三是应该能够从宏观上指导信息安全保障的体系的建设,而且从微观上能够推动具体的技术、政策、管理、法规、标准、产业发展和人员素质的发展和提高等等,而且应该把握住相应的评测原则。
我们设想把原来PDRR前头加上一个W,后头加上一个C,试图用WPDRRC这六个环节和人、政策(包括法律、法规、制度、管理)和技术三大要素来构成宏观的信息网络安全保障体系结构的框架。它可以反映六大能力、它们是:预警能力、保护能力、检测能力、反应能力、恢复能力、反击能力。因为信息安全保障不是单一因素的,不仅仅是技术问题,是人、政策和技术三大要素的结合。六个环节是有时间关系的,是有动态反馈关系的。三个因素:人、技术和政策,它们是有层次关系的,人是打底座的,是根本的;技术是顶端的东西,但是技术是要通过人,通过相应的政策和策略去操作这个技术的。这三个因素在六个环节中都是起作用的。这些想法可以涵盖成这样一张图,外围是依次连接的预警、保护、检测、反应、恢复、反击六个环节,内层是人、政策、技术三个逐步扩展的同心圆。内圈是人,人是核心,中圈是政策,政策是桥梁,外圈是技术,技术将应是落实在WPDRRC六个环节的各个方面,在各个环节中起作用。技术也不是单一的技术,要支持信息系统的安全应用,我们认为密码理论和技术是一个核心,安全协议是一个桥梁,安全体系结构是一个基础,安全的芯片是关键,监控管理是保障。攻击和评测的理论和实践是考验。
什么是预警?基本宗旨就是根据以前掌握系统的脆弱性和了解当前的犯罪趋势,预测未来可能受到的攻击和危害。这一点,美国的所谓国家信息技术保护计划是全国团结,举国体制的问题。因此,我们怎么把个人自扫门前雪,变成举国体制、协作机制,虽然目前Internet是以光速传播的,他攻击A,传播到B站点,里面还是有时间差和空间差,你以举国体制,或者机构的能力,和一个人,这里体现了知识差和能力差。
如果说我们只以个人的能力实施保护,它的结果永远是保障能力小于或者等于攻击的能力。如果你是把集团的能力,国家的能力,甚至于国际的能力集中,大家一起来做这个事情,就可能做到你的保障能力是大于等于攻击能力,当然这个是我们希望的。
作为预警,你搞信息系统建设,首先要分析威胁到底来自什么地方,什么方式?,系统可能有什么脆弱性,我的家当有什么,要做资产评估,用一万美元保护一百美元的东西当然不划算。这样就可以分析出我还面临着什么风险,用什么强度的保护可以消除、避免、转嫁这个风险,剩下的风险我们承受得了,还是承受不了?如果认为这是我们能够承受的适度风险,就可以在这个基础上考虑建设我们的系统。“预则利”
是一个系统建设的前提。
一旦我们的系统建成运转起来,这个时间段的预警对下个时间段的后续环节能够起到警示作用,甲地的警示可以为乙地获得后续环节的提前量。如果甲地在这个时间段里了解到黑客攻击,病毒泛滥等等因素的时候,在乙地得到警示就可能提前及早打好补丁,为下一个时段带来相应的好处。预警的问题,虽然美国人没有把它单独拿出来说,但是他做了,他们用建设FEDNET网络等方式部署网络联防和系统预警。
所谓保护,就是采用一切的手段保护我们信息系统的保密性、完整性、可用性、可控性和不可否认性。我们国家已经提出来实行计算机信息系统的等级保护的问题,我们应该依据不同等级的系统安全要求来完善自己系统的安全功能、安全机制,这都是大家熟知的。目前,这块技术和产品是最丰富的,也是市场竞争相对最拥挤的。但是,在其它一些信息保障环节,现在还缺乏很多技术,需要大家去思考它、研发它。
所谓检测,就是利用高技术提供的工具来检查系统存在的,可能提供黑客攻击、白领犯罪、病毒泛滥等等这样一些脆弱性。因此,要求具备相应的技术工具,形成动态检测的制度,建立报告协调机制,尽量来提高这种检测的实时性,当然需要的是脆弱性扫描、入侵检测、恶意代码过滤等等这样一些技术。
所谓反应,就是对于危及安全的事件、行为、过程,及时做出响应的处理,杜绝危害进一步扩大,使得我们的系统力求提供正常的服务。要求通过综合建立起来反应的机制,提高实时性,形成快速响应的能力,当然这个报警、跟踪、处理,处理中间包括封堵、隔离、报告,这些系统都要开发的。
对于恢复,所有数据的备份,运转机制有另外的备份,马上可以运转起来的恢复技术如容错、冗余、替换、修复和一致性保证等都是需要发展的。
所谓反击,就是利用高技术工具,提供犯罪分子犯罪的线索、犯罪依据,依法侦查犯罪分子处理犯罪案件,要求形成取证能力和打击手段,依法打击犯罪和网络恐怖主义分子。国际上已经发展起一个像法医学一样的,有人翻译成计算机取证的学科。我们必须要用法律手段保护我们自己。但是法律的手段能不能用得起来,在数字化的环境中间,拿到证据是比较困难的。因此需要发展相应的取证、证据保全、举证、起诉、打击这样的技术,要发展相应的媒体修复、媒体恢复、数据检查、完整性分析、系统分析、密码分析破译、追踪等等这样的技术工具。
最后,我国的信息安全保障能力,不能仅从零零星星的技术产品的使用来得到。我们需要一个宏观信息安全保障体系结构,需要大家从各自擅长的方向努力,为我们国家最终解决信息安全问题而努力,信息革命的成功才能得到保证。
|
|
|
|
|
|
|
|