安全基础设施的设计原理

最后，数据可用性也是需要十分关注的。数据可用性的目 标范围是根据数据可用的重要性而变化的。对某些系统需 要高可用性，高达99.999%，而有些系统可用性要求就较 低。提供高可用性系统保护的典型方法是使用冗余系统， 通常包括冗余的电源、数据访问和存储、网络以及应用服 务器处理等。但冗余并不能满足全部数据可行性问题，尤 其是近年来增多的拒绝服务（DOS）和分布式拒绝服务 （DDOS）的攻击。
安全基础设施的物理组成包括标准的门钥匙和锁、钥匙卡、 标识标志、安全照相机、活动传感器、声像报警、安全警 卫和系统、设备标签等。根据人的生物特征检测的设备也 属于这一类，如指纹读出器、面部形状照相机、视网膜扫 描器等。这些仿生组件是通过自然本质来标识和鉴别用户 的。属于这一类的还有网络电缆和后备电源（如UPS系统 和自备发电机）。物理安全设施的基本目的是防止非授权 者进入以及保护安全基础设施的电力供应和网络连接。
Hale Waihona Puke Baidu
以防火墙为例，使用防火墙可以很好地实施安全策略，但 是，如果它不能和体系结构中的其他组件很好地连接，就 不能构成一个安全基础设施。例如，这个防火墙不能和安 全基础设施的其他方面互相联系、互相作用，那它只是一 个安全组件，而不是安全基础设施的一部分。这就是安全 基础设施定义中的协同组件。再如，假如从防火墙能发送 报警至事件管理站，由事件管理站处理成通知网络运行中 心（Network Operations Center, NOC）的报警，那么， 防火墙可能成为基础设施的一部分。
反之，如防火墙本身做得很好，其屏幕可显示大部分入侵 的通信，且能在搜集后做日志，但它不能通知其他任何组 件，那防火墙的作用是不完全的。如果将防火墙和入侵检 测、强的身份鉴别、加密的隧道（VPN）等组件协同作用， 就能设计成一个基本的安全基础设施。
18.1.2 安全基础设施的组成
安全基础设施的主要组成有4部分：网络、平台、物理设施、 处理过程。
虽然安全策略文档提供数据、系统和网络的保护策略，但 它对厂商选择、设计或实施并不规定所需的详细战术。这 些安全组件的成功实施需要了解安全基础设施目标，否则 可能会不合适地保护或完全疏忽那些关键资产。
18.2 安全基础设施的目标
安全基础设施设计的基本目标是保护企业的资产。保护这 些资产的方法是适当地部署各个安全组件于有组织的、协 同的安全基础设施中。这些资产包括硬件、软件、网络组 件以及知识财产。保护这些资产应根据企业安全目标和企 业安全策略文档。虽然提到的只是数据的保护，实际上保 护数据及其可用性也意味着保护执行的系统和网络。
根据选择的数据等级分类体制，每种数据保护目标应按数 据机密性、数据完整性和数据可行性来表示和衡量。
当设计一个安全基础设施时，把应用的最好结果作为目标。 因为应用最靠近数据以及数据的处理、交换和存储。将设 计目标放在数据机密性、数据完整性和数据可用性上，会 发现这不仅使应用得到安全，而且企业也得到安全。这个 概念如图18.1所示。
平台类包括服务器、客户端软件（例如，执行操作系统和 安全应用的控制）。执行一些电子操作（如智能卡和读卡 器、产生凭证的硬件卡、基于硬件的加密设备）的设备也 属于这一类。平台类还包括应用级访问控制，如产生凭证 的软件程序、数字证书、基于主机的入侵检测、病毒扫描 和清除、事件搜集代理和分析软件程序。应用级访问控制 能提供鉴别、授权、基于主机的入侵检测和分析、病毒检 测和清除、事件账户管理和分析等功能。这些安全功能用 来保护常驻在主要基础设施边界的应用。
网络类包括防火墙、路由器、交换机、远程访问设备（如 VPN和拨号modem池）以及基于网络的入侵检测，它们分 别在整个安全设计中增加某些安全特性。这些组件通过其 网络接口或在软件中定义的逻辑来监控、过滤或限制通信。 这些安全组件的作用是监控和保护在网络中通过的数据， 或保护在应用中通过、使用的数据。
18.3 安全基础设施的的设计指南
首先，设计指南中最重要的是要保证企业安全策略和过程 与当前经营业务目标相一致。如有不一致，在设计和构造 安全基础设施之前，应对这些策略和过程做必要的修改。 如果设计指南没有被企业的最高管理层接受和全力支持， 那么安全设计不可能完全达到它的功能，事实上有可能因 缺少最高管理层的支持而失败。
图18.1 以应用为目标的安全设计概念
数据机密性的前提是防止非授权者看到非公共使用的数据。 数据机密性应用于本书所定义的具有内部的、机密的、严 格限制的标记的数据。通过安全数据存储和安全数据传输 提供数据机密性保护。满足数据机密性要求的典型技术包 括数据传输、安全在线和离线存储的加密。
数据完整性是关于对数据的任何非授权改变或破坏的保护。 这个目标的基本点是数据的准确性和合法性。通过产生原 始数据集检查和同复制的数据进行比较的程序来管理完整 性。提供数据完整性的通常解决方案是使用通用的加密策 略，例如前面讲到的IPSec，使用这样的检查和策略来保 证发送的数据等于接收的数据。保护数据不被更改或破坏， 可以用类似反病毒这样的简单解决方法，也可以用部署关 键通路存储解决方案、高可用性的防火墙簇以及企业范围 的变更管理等复杂的解决方案。为了防止非授权使用或破 坏，鉴别和授权控制是最合适的方法。
处理过程包括企业安全策略和过程文档，用来管理企业数 据的生成、使用、存储和销毁，以及管理这些数据所在的 系统和网络。企业安全策略的目的是定义企业资产保护的 范围以及对这些资产所需的专门保护机制。企业安全过程 是企业安全策略文档的一个组成，用来指导员工在特定环 境下的行动。企业安全策略和过程是安全基础设施的重要 组成。有了综合的安全策略和过程文档，安全设计师就能 明白什么样的资产是企业需要保护的，以及如何保护这些 资产。
安全基础设施的设计原理
18.7 基础设施目录服务 18.8 信息系统安全工程 18.9 本章小结 习题
18.1 安全基础设施概述
18.1.1 安全基础设施概述
一个安全基础设施应提供很多安全组件的协同使用，其体 系结构可改进整个的安全特性，而不仅是各个安全组件的 特性。使用这个定义，可推论出安全基础设施的设计和特 性。