构造积极防御的安全保障框架

仅有“老三样”是不够的

　　当前大部分信息安全系统主要是由防火墙、入侵监测和病毒防范等组成，这些安全手段是从互联网（Internet）中共享信息服务和电子商务的平等交易等的安全需求中假定而来的，它的前提是用户不确定、没有一个明确的边界。

　　常规的安全手段只能是以共享信息资源为中心在外围对非法用户和越权访问进行封堵，以达到防止外部攻击的目的；对共享源的访问者源端不加控制；操作系统的不安全导致应用系统的各种漏洞层出不穷，无法从根本上解决；恶意用户的手段越来越高明，防护者只能将防火墙越“砌”越高、入侵检测越做越复杂、恶意代码库越做越大，从而导致误报率增多、安全投入不断增加、维护与管理更加复杂和难以实施以及信息系统的使用效率大大降低。

　　传统的信息安全措施主要是堵漏洞、做高墙、防外攻等老三样，但最终的结果是防不胜防。产生这种局面的主要原因是不去控制发生不安全问题的根源，而在外围进行封堵。所有的入侵攻击都是从PC终端上发起的，黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏；注入病毒也是从终端发起的，病毒程序利用PC操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播；更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不安全事故。

　　其实，现在的不安全问题大多数都是PC机结构和操作系统不安全引起的。如果从终端操作平台实施高等级防范，这些不安全因素将从终端源头被控制。这种情况在工作流程相对固定的生产系统显得更为重要而可行。

积极推行可信赖计算

　　为了解决PC机结构上的不安全，从根本上提高其安全性，在世界范围内推行可信计算技术，1999年由Compaq、HP、IBM、Intel和Microsoft牵头组织TCPA( Trusted Computing Platform Alliance)，目前已发展成员190家，遍布全球各大洲主力厂商。TCPA专注于从计算平台体系结构上增强其安全性，2001年1月发布了标准规范（v1.1），2003年3月改组为TCG(Trusted Computing Group)，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。可信计算终端基于可信赖平台模块（TPM）,以密码技术为支持、安全操作系统为核心（如图1所示）。

　　可信赖计算平台具有以下功能：

　　确保用户唯一身份、权限、工作空间的完整性/可用性；确保存储、处理、传输的机密性/完整性；确保硬件环境配置、操作系统内核、服务及应用程序的完整性；确保密钥操作和存储的安全；确保系统具有免疫能力，从根本上防止病毒和黑客。

　　安全操作系统是可信计算终端平台的核心和基础，没有安全的操作系统，就没有安全的应用。操作系统中任何微小的纰漏将会造成整个信息系统的灾难。

安全技术保障框架

　　对工作流程相对固定的生产系统，信息系统主要由应用操作、共享服务和网络通信三个环节组成。如果信息系统中每一个使用者都是经过认证和授权的，其操作都是符合规定的，网络上也不会被窃听和侵入，那么就不会产生攻击性的事故，就能保证整个信息系统的安全。

　　可信终端确保用户的合法性和资源的一致性，使用户只能按照规定的权限和访问控制规则进行操作，能做到什么样权限级别的人只能做与其身份规定的访问操作，只要控制规则是合理的，那么整个信息系统资源访问过程是安全的。可信终端奠定了系统安全的基础。

　　安全边界设备（如VPN安全网关等）具有身份认证和安全审计功能，将共享服务器（如数据库服务器、Web服务器、邮件服务器等）与非法访问者隔离，防止意外的非授权用户的访问（如非法接入的非可信终端）。这样共享服务端主要增强其可靠性，如双机备份、容错、灾难恢复等，而不必作繁重的访问控制，从而减轻服务器的压力，以防拒绝服务攻击。

　　采用IPSec实现网络通信全程安全保密。IPSec工作在操作系统内核，速度快，几乎可以达到线速处理，可以实现源到目的端的全程通信安全保护，确保传输连接的真实性和数据的机密性、一致性 ，防止非法的窃听和侵入。

　　综上所述，可信的应用操作平台、安全的共享服务资源边界保护和全程安全保护的网络通信，构成了工作流程相对固定的生产系统的信息安全保障框架。

　　要实现上述终端、边界和通信有效的全保障，还需要授权管理的管理中心以及可信配置的密码管理中心的支撑。

　　{本文根据沈昌祥（国家信息化专家咨询委员会委员、中国工程院院士）院士在第2届网络安全应用高峰论坛上的演示文稿内容整理。}