企業資安防護的重要觀念

更新日期: 2005 年 10 月 5 日

作者: 賴榮樞
http://www.goodman-lai.idv.tw

每個人都知道資訊安全的重要性,但資訊安全卻也不是花錢購買產品就夠了。ITU-T是個網路通訊的國際標準組織,曾經定義過一份X.800 OSI安全架構的建議書,本文是以這份安全架構所提供的綱要為基礎,說明網路安全與威脅、攻擊的重要觀念,希望IT人員在規劃、檢視資安策略之前,能夠確實掌握資訊安全的具體面向。

本頁內容

企業資訊安全的重大變化
OSI安全架構
攻擊
安全服務
安全機制
入侵
結語
參考資料

企業資訊安全的重大變化

企業資訊安全在近年歷經了相當重大的變化。變化之一,是企業大量引進電腦來處理資訊,同時也改變了資訊的儲存方式。以往的資訊是存放在檔案櫃,只要檔案櫃和鎖夠堅固,並配有適當的警衛或保全系統,並且也適當的管控影印機的使用,大多能有效的保護企業資訊的安全。

但是當資訊儲存到電腦之後,雖然電腦可以處理並儲存更大量的資訊,但相對的也提高了資訊儲存的複雜度,並且需要專門的人力來維護儲存在電腦媒介裡的資訊。這些專門設計來保護電腦資訊,並阻止外來入侵的方法,通稱為「電腦安全」。

第二個影響資訊安全的重大變化,是因為引進了網路系統,不論是分散式系統,或者是資料通訊設備,都造成了資訊安全的重大改變。網路通訊技術讓資訊在電腦與使用者以及電腦與電腦之間快速的傳遞。為了因應這種變化,資訊工程人員和廠商發展了網路安全技術來保護藉由網路傳遞的資料。

OSI安全架構

為了能讓負責資訊安全的IT專業人員能夠有效的評估企業的資訊安全需求,ITU-T(The International Telecommunication Union Telecommunication Standardization Sector,國際電訊聯盟通訊標準部門)定義了一份稱為「X.800 OSI安全架構」(X.800, Security Architecture for OSI)的建議書。其中除了定義了若干讓IT人員評估企業資訊安全需求的方法,也提供了評比、選擇各種資訊安全產品、策略的方法。OSI安全架構不僅提供了資訊安全作業的規劃方式,也因為這份架構是由國際標準組織所制訂,因此電腦及通訊廠商也為資安相關的產品及服務發展了安全功能。

OSI安全架構的重點是在安全攻擊、安全機制及安全服務:

  • 安全攻擊:任何洩漏企業資訊的行為。

  • 安全機制:用來偵測或預防安全攻擊,或者能夠復原安全攻擊的機制。

  • 安全服務:能夠加強資訊安全的服務,這些服務是由數種安全機制提供。

此外,RFC 2828網際網路安全詞彙(Internet Security Glossary)也為兩個資訊安全最常見了詞彙下了清楚的定義:

  • 威脅(Threat):可能破壞系統安全的情況、能力或行為。

  • 攻擊(Attack):利用已知的技術,並且有計畫的迴避系統的安全服務。

攻擊

X.800和RFC 2828都將攻擊分成「主動式攻擊」和「被動式攻擊」。主動式攻擊企圖改變系統資源,或影響系統運作;被動式攻擊則企圖竊取或使用來自系統但卻不至於影響系統的資訊。

主動式攻擊

主動式攻擊(Active Attacks)可以分成四類:偽裝、修改訊息內容、重送和阻絕服務。

  • 偽裝(Masquerade)是相當基本的主動是攻擊類型,因此通常不會單獨使用,而會包含其他類型的主動式攻擊。

  • 修改訊息內容(Modification of Message Content)會更改訊息的某一部份,或者延遲訊息送出的時間。

  • 重送(Replay)通常需要以上兩種攻擊來配合,例如先偽裝成另一個使用者的身份,然後竊取並修改資訊內容,再重送給第三位使用者。

  • 阻絕服務(Denial of Service,DoS)是以阻止通信設備正常使用為目的的攻擊方式,這種攻擊方式大多有特定的目標,例如阻斷所有指向特定終點的訊息。另一種阻絕服務是讓網路無法正常運作為目的。

面對主動式攻擊,我們應該採取偵測的方式,並且要能夠復原主動式攻擊之後所造成的任何破壞。也因為偵測能有嚇阻的作用,因此偵測主動式攻擊可能會對預防有所幫助。

被動式攻擊

被動式攻擊(Passive Attacks)的重點是在竊取資訊,或者監控資訊傳輸;例如司法調查人員取得法官的監聽票所採取的監聽行為,就算是一種被動式攻擊。面對被動式攻擊,我們可以採用加密的技術來保護資訊,縱使攻擊者取得了資訊,也無法或必須曠時費日才能得知資訊內容。

被動式攻擊偵測起來很困難,因為攻擊者不會變更任何資料。因此在面對被動式攻擊時,處理的重點是預防而非偵測。

安全服務

安全服務的目的是為了確保系統得到充分的安全,或資料能安全送達。RFC 2828也清楚定義:安全服務是由系統為了保護特定系統資源所提供的處理機制或通訊服務。安全服務分成五種類別:

  • 認證(Authentication):確保通訊方的身份。

  • 存取控制(Access Control):防止未授權而使用資源,例如沒有權限便不能存取檔案。

  • 資料完整性(Data Integrity):確保收到的資料和送出的內容完成相同。

  • 不可否認性(Nonrepudiation):可防止發送端或者接收端否認發送的訊息。

  • 可用性(Availability Service):系統的易用或可用的程度。許多攻擊會導致系統失去或減少可用性,而有些攻擊可以經由認證(Authentication)和加密(Encryption)的方式來降低。

安全機制

安全機制分成「特定安全機制」(Specific Security Mechanisms)和「一般安全機制」(Pervasive Security Mechanisms)兩種。前者指的是可以併入適當的通訊協定層,以提供某些OSI安全服務的機制;後者則並非針對特定的OSI安全服務或通訊協定層的安全機制。

特定安全機制

  • 加密(Encipherment):以數學演算法將資料轉換成不容易理解的形式,資料的轉換和還原是根據演算法和加密金鑰。

  • 數位簽章(Digital Signature):讓接收者可以證明資料的來源與完整性,並確保資料不被偽造。

  • 存取控制(Access Control):強制存取權限的各種機制。

  • 資料完整性(Data Integrity):確保資料完整的機制。

  • 驗證交換(Authentication Exchange):藉由資訊交換的方法確認身份的機制。

  • 路由控制(Routing Control):讓特定資料選用特定的安全路由,若懷疑連線已不安全時,也允許更換路由。

  • 公證(Notarization):利用信任的第三者來確保某些資料。

一般安全機制

  • 受信任的功能(Trusted Functionality):符合某些準則的功能,例如是依照安全原則所建立的功能。

  • 安全標籤(Security Label):附於資源之上,用來表示資源安全屬性的標記。

  • 事件偵測(Event Detection):偵測安全相關的事件。

  • 安全稽核追蹤(Security Audit Trail):收集可能幫助安全稽核的資料。

  • 安全復原(Security Recovery):根據事件處理或管理功能等機制的要求,進行復原的動作。

入侵

所謂的入侵(intrusion),意指未經許可便擅自進入系統。對網路系統而言,不論是不懷好意或是無意的入侵,都是重要的資訊安全議題。攻擊者可以透過非法登入來入侵系統,而已授權的使用者可能會非法取得超出原本的權限,而搖身變成攻擊者。此外,攻擊者也可能藉由病毒(virus)、蠕蟲(worm)或特洛伊木馬程式(Trojan horse),來達到入侵的目的。

入侵者分成三種等級:

  • 偽裝者(Masquerader):冒用合法使用者身份,或是破解系統存取控制機制,而取得合法使用者帳戶的人。

  • 濫權者(Misfeasor):雖然是合法使用者,但卻在未經授權的情況下擅自存取,或是有權可以存取但卻濫用特權的人。

  • 秘密客(Clandestine user):非法奪取系統管理員控制權限,並以此控制能力去逃避稽核和存取控制的人。

偽裝者有可能是企業外部的人,濫權者通常都是企業內部的人,而不論企業內部或是外部的人都有可能是秘密客。

入侵偵測

入侵偵測(Intrusion Detection)是保護系統的重要防線。如果可以快速的偵測到入侵,除了可以確認入侵者,更可以在入侵者危及系統之前將入侵者逐出系統。而就算無法在第一時間偵測到入侵者,越快偵測到非法入侵,就越能降低系統所招受的損失,並且也能越快的復原系統。

再者,有效的入侵偵測也是嚇組入侵的力量,經常也能收到阻止入侵的效果。要做好入侵偵測,勢必得大量收集入侵相關的資訊,而這些資訊更可以用來加強防範入侵的能力。

入侵偵測的技術是以「入侵者的行為與合法使用者的行為有所不同」為前提,而且可以量化的方法來辨識入侵者的行為。但是,兩者之間依然會有重複之處。因此,雖然擴大界定入侵行為,就越能找到較多的入侵者,但同時卻也會導致更多的誤判,也就是將合法使用者誤以為是入侵者。反之,卻會讓某些入侵者成了漏網之魚。

入侵偵測方法

稽核記錄是入侵偵測的基礎,作法是持續記錄每位使用者的操作過程,並將記錄輸入到入侵偵測系統。而以下是常用的入侵偵測方法:

  • 異常統計偵測法(Statistical anomaly detection):這種方法是在一段時間之內,收集合法使用者的行為,並且統計這些行為資料進而產生檢驗規則,然後以這些規則檢視使用者是否出現不合法的行為。這種偵測方法要定義檢測各種事件的發生頻率,也就是門檻值(Threshold)。另一種異常統計偵測的作法,是記錄每位使用者的行為,然後以此來偵測使用者是否出現異常行為。

  • 規則偵測法(Rule-based detection):這種方法定義了一組規則,然後比對規則與使用者的行為,藉以決定使用者是否符合入侵者條件。這種方法會使用者以往的行為與目前行為之差異。此外,也可以利用專家系統來辨識可疑的行為。

簡單來說,異常統計偵測法所定義的是正常、標準或是意料中的行為,規則偵測法則是定義適當的行為。異常統計偵測法可以有效的防備偽裝者,因為偽裝者通常無法模仿所冒用的使用者行為。但是這種方法卻可能無法對付濫權者,而需要以規則偵測法才能加以辨識。實際上,為了降低誤判,應該合併採用兩種方法,才能有效防範各種可能的入侵。

分散式入侵偵測

分散式入侵偵測(Distributed Intrusion Detection)是在網路各節點都裝置入侵偵測系統,並且讓各個系統互助合作,以達到最有效的偵測。分散式入侵偵測系統可能需要處理不同的稽核記錄格式,而且網路上各個節點都將提供資訊收集和分析的服務,所以必須利用網路傳送相關的稽核資料或即時資料,也因此要確保這些資料的完整性與機密性,才能阻止入侵者更改傳送的稽核資訊來掩護入侵者的行為。

此外,分散式入侵偵測可能使用集中架構或是分散架構,這兩種架構各有優劣。集中式的架構有專門收集和分析所有稽核資料的單一位置,但單一位置卻可能形成效能瓶頸。分散式的架構有數個的分析中心,但是所有的分析中心則必須相互協調,並且需要交換資訊。

蜜罐

  • 蜜罐(Honeypots)是一種誘捕系統,目的是以調虎離山的作法引誘攻擊者,讓攻擊者遠離重要的系統。除此之外,蜜罐也會收集攻擊者的行為,並且拖延攻擊者在系統所停留的時間,讓管理者能採取適當的行動。

  • 蜜罐內的資訊都是假的、看起來有價值、但合法使用者卻不會存取的資訊。因此,任何存取蜜罐的行為都有可疑之處。目前最新的作法,是以蜜罐建立完整的網路,以模擬企業完整的網路。

結語

電腦與網路為企業帶來了效益與便利,但是攻擊者卻也無時無刻都想對發動攻擊,並且入侵系統;不論何種程度的入侵或攻擊,都會造成企業的損失。這使得網路、電腦雖然便利又有效益,卻也會變得不安全。尤其攻擊的手法不僅日新月異,更是越來越多樣,而攻擊手法甚至已經由手動變成自動,而讓攻擊事件大幅增加。

資訊安全是企業的基石,優秀的專業IT人員能夠將企業的重要資訊防護在牢固的堡壘之中,並且還能維持良好的網路效能。電腦與網路安全不僅是專門的技術,也是專門的學問,要維護企業的資訊安全,絕對不只是花錢買產品就夠了,本文希望引介學術界提出的資安理論,及基礎且重要的觀念,讓IT人員在規劃、檢視資安策略之前,能夠確實掌握資訊安全的具體面向。

參考資料

  • William Stallings, Network Security Essentials—Applications and Standard, the Second Edition.

  • RFC 2828, Internet Security Glossary

顯示: