2005年,党中央提出了加快构建社会主义和谐社会的建设目标,是我国建设小康社会,加快社会主义建设的重大举措。其中,网络社会的和谐建设成为不可或缺的内容之一。在中办、国办印发的《2006━2020年国家信息化发展战略》中提到,“要全面加强国家信息安全保障体系建设”进而“实现信息化与信息安全协调发展”,此举标志着,国家在大力倡导政府部门信息化建设的同时,已经充分意识到信息安全的重要性和紧迫性。随着信息化建设的不断深入,安全问题也越来越凸现出其重要性。如何保证网络的安全性已经成为电子政务建设过程中亟待解决的问题。
随着信息技术的发展,信息网络国际化、社会化、开放化和个人化的特点,在给人们带来方便、高效和信息共享的同时,也给信息安全带来许多问题。电子政务是近年业界强烈感受到的市场热点。由于电子政务系统本身的重要性和特殊性,安全性问题便成为人们建设电子政务时的首要话题。在网络信息的交互操作中,除了信息加密等措施以外,还需解决信任问题,建立一个完善的信任体系是网络安全的一个重要方面,如果网络没有一定的可信度,则所有人对网络本身就没有信任感。中办27号文中明确指出要加强身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。
一、信任和信任体系
信任是衡量可信任程度的度量,它依赖于所能提供的可信事实。由于信任是在事前对事物的判断,所以,信任与风险是紧密相连的。人们常常根据以前的历史来建立信任,从而信任某件事情能够发生。
信任关系则是在人和人之间建立一种关系。信任关系是人类社会存在和发展的重要基础,一个好的信任关系能够很好地促进经济的繁荣,减少不必要的人力和资源浪费。而一个不完善的信任关系会阻碍社会的进步和发展。同样在网络世界中,一个完善的信任体系能够促进网络、应用、安全的全面发展和进步,反之则不然。
网络信任体系就是在网络上建立的信任关系,它将所有活动的实体通过信任关系连接起来,记录各实体的历史表现,并维护这种信任关系。在网络中进行信息交流时,我们首先要知道对方的一些情况(如:他是谁?),这就是一个建立初始信任的过程。在这个过程中可能会用到第三方提供的信息,如身份证件等。在建立初始信任以后,我们还需要查阅对方所在单位、职务、权限、资信等情况,建立起可靠的信任关系,在这个过程中会再次用到第三方提供的信息,如权限证明等。最后是在这种信任关系之上进行信息交流,同时解决交流过程中出现的纠纷及安全事件。
可以看到,网络信任体系必须为网络使用者解决两个问题:
1、建立可靠的信任关系。信息交流的各个阶段的保密性应该得到保证,交流双方的身份认证应该是正确的,权限应该是恰当的,并能够给出对方的信用评估,该可信度可以帮助用户进行决策。
2、为用户提供风险规避的手段。为信息交流提供责任追究手段。
二、网络信任体系建设现状
目前,一谈到网络信任体系建设,人们首先想到的是PKI/PMI基础设施。PKI是“Public Key Infrastructure”的缩写,意为“公钥基础设施”。简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。PKI体系在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系,PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。PKI的核心是要确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,确认“你是谁,我是谁,他是谁”的问题,保护信息网络空间中各种主体的安全利益。目前,我国正在积极推进公共密钥基础设施(PKI)的建设,全国已建成CA(Certification Authority)认证中心约40个,发放电子证书超过500万张,在金融、税务、报关、工商年检等行业和部门得到了广泛应用。
PMI是“Privilege Management Infrastructure”的缩写,意为“授权管理基础设施”。它的目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。PMI是一个属性证书、属性权威、属性证书库等部件构成的综合系统,它以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。同公钥基础设施PKI相比,两者主要区别在于:PKI证明用户是谁,而PMI证明这个用户有什么权限,能干什么,而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证,能够与PKI和目录服务紧密地集成,为合法用户的信息资源访问提供权限管理。
三、对网络信任体系建设现状的思考
随着信息化发展对信息安全保障工作要求的进一步提高,我们应该看到,我国的网络信任体系建设还处在起步阶段,还存在着诸多问题。
对网络信任体系的认识存在偏差
在建设电子政务和电子商务过程中,不管是主管部门领导还是技术人员普遍认为建设网络信任体系就是建设PKI/PMI基础设施。很多政府部门在建立CA系统以后就认为自己已经建立了完善的网络信任体系,其实不然。
网络信任体系不是一种产品,也不仅仅是几张证书,而是一种机制。就像现实生活中的身份证和工作证一样,身份证用来说明你是谁;工作证通常记录你的工作单位、职务,从某种程度上规定了你的权限。对一般人而言,看到的只是一张身份证或工作证,但是,在一张薄薄的卡片后面,却是强大的机制作为支撑,如发证机构、管理机构、验证机构等等,一旦出现冒用身份,越权操作还应该有责任认定和事故追查机构。
目前,我们在信息化建设过程中积极推进的PKI/PMI基础设施,它基本解决了上网用户身份的合法性坚定,以及基于用户身份角色的权限管理,但缺少事后责任认定和追查机制。
PKI建设存在一些问题
构建一个标准的PKI域需要有数字证书认证中心CA(Certificate Authority)、审核注册中心RA(Registration Authority)、密钥管理中心KM(Key Manager),机构非常庞大,设备多,用户的总体投入大,技术支持难度高,对于中小企业来讲,建立一个独立的内部CA系统真可谓望尘莫及。因此,很多专家建议建立统一的PKI基础设施,目前全国建立的CA中心约40个,还有众多的CA中心正在筹划建设之中。这些CA系统大体可分为地区性CA、行业性CA和商业性CA三类,地区性CA以本地区的用户群体为服务对象,行业性CA结合自身业务特点,以本行业的用户群体为服务对象。电子政务也在积极推动CA系统的建立,根据规划,电子政务内网CA按涉密系统建设,电子政务外网CA将与电子商务CA合而为一。
各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”,使各证书之间缺乏“互通性”,CA证书格式不统一,不同CA中心签发的证书彼此间不能互认,严重阻碍了PKI的发展。
PKI的正常运行主要依靠层次化的CA机构和在线运行的证书库。由于系统主要依靠证书数据库的在线运行,因此其运行效率很底,处理能力并不大,据统计一个数据库的处理能力一般不到1000个用户,在线运行的证书库往往成为安全瓶颈,一旦出现安全问题,从某种意义上讲会使整个网络瘫痪。
权限管理不完善
目前,在信息化建设过程中,权限管理通常采用PMI技术。PMI需要PKI为其提供身份认证,它根据用户身份为用户签发一张属性证书,该证书记录了用户的各种权限,它基本解决了用户访问应用系统、信息资源的权限管理。
但是,目前普遍存在PMI无法“扎根”个性化应用的现象。应用系统的千差万别,注定了与PMI的接口也千差万别,PMI与应用系统无法紧密集成,接口由谁来开发成为亟待解决的问题。应用系统的安全性很大程度上取决于对PMI的信任,因此,用户存在着双重风险——自身的安全性和所信任的PMI的安全性。
同时,我们在建设授权管理系统时主要侧重于对应用系统、信息资源访问权限的管理,忽略了对设备使用,设备接入的权限管理(如:对软硬件的使用、拨号、I/O设备、移动存储介质、网络端口、红外线接口、1394口等的使用进行授权管理;缺少对重要文件的访问、存取、删除、拷贝、打印等进行授权管理)。
缺少责任认定和事后追查机制
随着计算机技术的成熟与广泛应用,以计算机信息系统为犯罪对象和以计算机为犯罪工具的各类新型犯罪活动越来越猖獗。计算机取证是将计算机调查和分析技术应用于对存在于计算机和相关外围设备中(包括网络介质)的潜在的、有法律效力的电子证据的确定与获取。
用户通过身份认证、授权管理建立了可靠的信任关系,并在该关系上进行信息交流,一旦出现用户冒用身份,越权访问,这种信任链就会受到破坏,造成信息的失窃密、不完整和不可用。此时我们必须要有完善的事后追查机制,将责任定位到人。
责任认定的核心技术亟为安全审计。审计是对日志记录(日志主要指记录的事件或统计数据,这些事件或统计数据能提供关于系统使用及性能方面的信息)进行分析并以清晰的、能理解的方式表述系统信息。审计提供了一种机制,它能分析系统的安全状态,能判断某个请求的行为是否会使系统处于不安全状态,并记录权限的任何使用情况。它是事后认定违反安全规则行为的分析技术。
四、加强审计监控技术建设
以责任认定为核心的审计监控体系较完整的解决了责任认定并延伸到基于网络的授权管理。与解决身份认证的CA等技术共同构建了完善的网络信息安全内部保障体系。
1、审计监控体系构建了完整的责任认定体系
在电子政务中对操作行为进行责任认定,它的前提就是操作者的行为是不可信任的,这就决定了责任认定在这里所处的地位:作为信息安全体系的核心,对整个电子政务起到防范、取证、安全管理等的作用。责任认定体系的完整建立,并且有力的执行是保障电子政务建设顺利进行的非常重要的一环。建立一个完整并且强有力的责任认定体系,是和身份认证体系、授权管理体系并列,保障网络安全的重要举措。责任认定体系主要分为两个方面:对合法操作行为的责任认定和对非法操作行为的责任认定。
1)对合法操作行为的责任认定
在信任域中的对合法操作的责任认定,传统的手段是通过查阅应用程序的操作日志、通过审计其他设备的操作日志来反映合法操作行为的责任认定问题。这部分的责任认定是整个完整的责任认定体系中的一部分。它不能解决所有的责任认定问题。相反地,由于各产品缺乏有效的协调性,记录的信息无法互通,所以在很大的程度上,这部分的责任认定一直是整个信息安全建设中的一个软肋。
2)对网络中非法操作行为的责任认定
对于非法操作的责任认定,现有的手段是通过审计监管技术来实现责任认定。由于这部分的责任认定针对性强,目的明确,又有实时响应、警告及时等特点,所以在电子政务建设中越来越被重视。它的作用与审计机关在国家经济体系中的审计行为有着非常类似的共性——同样是对非法的操作行为进行审计。所不同的是,审计机关是对非法的经济行为进行审计,而审计监控体系是对电子政务网络中的非法操作行为进行审计。对非法操作责任认定的作用已经决定了它是责任认定体系中最重要的一个组成部分。对整个责任认定体系起着决定性的作用。这是PMI无法做到的。
3)审计监控体系构建了完整的责任认定体系
要解决一个完整的责任认定体系,我们不仅要考虑到对合法操作行为的责任认定,更要考虑到对非法操作行为的责任认定。同时我们又要兼顾网络中各个设备审计信息的全面收集,以及对审计数据的集约化管理以及分析。审计监控体系的责任认定体系,将审计合法和非法操作都纳入到审计监控体系中去,我们通过对应用程序的审计,通过对安全产品的审计,通过对主机、服务器、网络、数据库等网络中所有资源的审计,构建了一个完整的责任认定体系。同时,由于审计监控体系强大的审计分析功能,可以及时有效的反映责任认定数据。确保了责任认定体系强有力、完整等的特性。
审计监控体系的责任认定体系主要是针对操作行为的责任认定,主要功能包括为:
主机、服务器操作行为责任认定系统(包括对网站访问的责任认定,IP地址修改的责任认定,进程启用的责任认定,邮件操作的责任认定,重要文件使用的责任认定,U盘、光盘、软盘使用的责任认定、1394口、串口、端口使用的责任认定,对系统日志的责任认定、对系统资源使用的责任认定、对服务器操作的责任认定等)
网络行为责任认定系统
数据库操作行为责任认定系统
网络安全设备责任认定系统
应用系统操作行为责任认定系统
其他操作行为责任认定
2、审计监控体系完善授权管理体系
1)通过PMI系统完成对应用系统资源的授权管理
PMI是基于PKI体系的授权管理系统,通过数字证书认证的机制对用户进行授权管理,将授权管理功能从传统的应用系统中分离出来,以独立服务的方式面向应用提供授权管理服务。PMI主要对应用系统的权限进行分配和管理,是信息资源授权管理的重要环节,PMI不是授权管理体系的全部,它提供了强大的面向应用的授权管理功能,但无法满足所有的授权管理。
2)通过审计监控体系完成对网络资源的授权管理
在授权管理中,对网络资源的授权管理是非常重要的问题。不解决这个问题,就无法建立起完整的授权管理体系。审计监控体系从根本上解决对全网进行授权监督管理的问题。主要表现在以下几个方面:
对网络的授权管理
网络的授权管理主要表现在外部计算机接入授权管理、网络内主机之间的访问和主机访问外网的授权管理等方面。首先,要保证网络的安全性,必须保证所有连接入网络的计算机都是合法的,任何非法接入的企图都是能够得到有效控制和管理的。其次,网络内各主机之间的访问和连接都是得到授权并可以控制的。第三,所有能够连入外网计算机的访问外网的权限都是有限的、受控的和经过授权的。
对主机的授权管理
主机的授权管理主要体现在盘符、MODEM、重要文件资源等方面。第一、对网络的输入输出授权管理是从源头上保证数据的安全性。输入输出的主要途径包括光驱(含刻录光驱)、软驱、USB口等,对网络内的用户使用光驱(含刻录光驱)、软驱、USB口授以权限并统一输入输出通道,从而保证数据进出的安全性。第二,对主机中重要文件资源的使用实行严格的授权管理。重要文件资源的使用包括对文件的阅读,修改、存储、备份、打印、另存、拷贝等行为,对这些行为的授权管理可以有效的保证网络内部用户对文件资源的操作都是在许可范围内的,所有非法的操作或者操作企图都会被禁止的。第三、对拨号的授权。对于有统一出口的网络或者物理隔离于公网的网络通过拨号上网(包括ADSL拨号、MODEM拨号、GPRS拨号、手机拨号等)的方式存在诸多的安全隐患,必须严格的授权与限制。
对数据库的授权管理
目前对数据库的授权管理通常只能通过采用传统的人为管理手段来实现,但现代的授权管理体系要求我们必须采用有效的网络技术来保证数据库的安全。审计监控体系中对操作者向数据库中字符、段的访问进行授权。有效的解决了数据库的授权管理问题
对服务器的授权管理
网络中的服务器是整个网络的大脑,它向网络中所有的主机以及终端提供服务。在开放性的网络服务中,服务器的授权管理一直是授权管理体系的重要问题。审计监控体系通过对重要文件的授权管理,对终端访问服务器的授权管理等方法,有效的解决了服务授权管理的问题
对网络打印机的权限分配、控制与管理。
打印机是文件输出的重要工具,现代办公环境中的打印机提供了开放的网络服务,极大的便捷了网络的应用。但在便捷的同时,网络打印机由于其本身开放性的特点,给网络授权管理造成了很大的难度。审计监控体系从网络打印服务的本质入手,解决了终端对网络打印权限的授权问题。
同时,审计监控体系与信息安全管理的行政手段有效结合,加强了网络安全管理力度,为信息安全管理策略的制定、风险评估等方面起到了极其重要的作用。
通过审计监控体系的建设将建立起完整的责任认定体系,健全授权管理体系,能够与网络管理相结合,完善电子政务网络管理模式,促进信息化建设全面发展。做到可防、可控、可查的事前事中事后的信息安全纵深防御体系,切实保障内部网络安全。
对审计监控体系建设的重视是我国信息化建设的重要转变,是我国信息化建设史上具有战略意义的重大举措,必须引起我们各个方面的高度重视并给予积极配合——以积极倡导,建设全民安全保密意识形态;以技术方面不断创新,适应不断变化的网络威胁变化趋势;以秉承“技管并重”的原则,科学建设安全管理体制。只有加强网络内部安全监管意识、加速审计监管技术的不断创新才能构建完善的安全审计监控体系。监控体系作为悬挂在电子政务违法违规操作人员头上的达摩克利斯之剑,系统的加快建设,必将全面促进信任体系建设,为电子政务安全保障体系的进一步完善奠定坚实的基础。