一、總論

　　背景

　　中國的電信業(yè)正處于不斷變革的時(shí)期，市場正由中國電信獨(dú)家經(jīng)營的壟斷格局走向多家競爭。目前，國內(nèi)的電信市場主要由中國電信、中國聯(lián)通以及中國網(wǎng)通、中國吉通等擁有電信業(yè)務(wù)經(jīng)營權(quán)的運(yùn)營商共同經(jīng)營，他們主要從事基礎(chǔ)網(wǎng)絡(luò)的建設(shè)和基本業(yè)務(wù)經(jīng)營，同時(shí)紛紛對以數(shù)據(jù)業(yè)務(wù)為代表的新業(yè)務(wù)、電信增值業(yè)務(wù)投入了大量的人力和物力，在這些領(lǐng)域展開角逐。

　　隨著WTO的簽定、國外運(yùn)營商的逐步進(jìn)入，電信政策將越來越寬松，中國電信業(yè)的格局將發(fā)生急劇的變化。在這種劇烈的變化下，誰為用戶提供了更安全、快捷的服務(wù)，誰就將在巨大的中國電信市場抓住先機(jī)，快速壯大。

　　現(xiàn)狀

　　電信運(yùn)營網(wǎng)是以數(shù)據(jù)通信為基礎(chǔ)的計(jì)算機(jī)綜合信息網(wǎng)，它建立了跨行業(yè)、跨部門的公用計(jì)算機(jī)信息交換平臺，實(shí)現(xiàn)了信息通信和資源共享，面向社會提供網(wǎng)絡(luò)服務(wù)和信息服務(wù)。

　　經(jīng)過幾年的努力，我國的電信運(yùn)營網(wǎng)絡(luò)已經(jīng)具備了一定規(guī)模的，融合了各種數(shù)據(jù)通信技術(shù)，骨干網(wǎng)絡(luò)和國際出口的帶寬不斷增加，網(wǎng)絡(luò)節(jié)點(diǎn)遍布全國;可以向各種用戶提供衛(wèi)星VSAT、幀中繼Frame Relay、Internet接入、Internet信息服務(wù)、IP電話、IP/VPN、電子商務(wù)等等服務(wù)。

　　各個電信企業(yè)紛紛投入建設(shè)網(wǎng)管中心、運(yùn)營維護(hù)維護(hù)中心、計(jì)費(fèi)與結(jié)算中心、客服中心、認(rèn)證中心、數(shù)據(jù)中心，以期使網(wǎng)絡(luò)的規(guī)模、業(yè)務(wù)與服務(wù)的水平能夠達(dá)到一個新的水平。

　　電信業(yè)務(wù)簡要分析

　　圍繞電信行業(yè)有五大產(chǎn)業(yè)，它們是產(chǎn)品制造業(yè)、軟件開發(fā)及系統(tǒng)集成業(yè)、電信運(yùn)營業(yè)、信息服務(wù)業(yè)和電子商務(wù)。

　　中國電信、中國聯(lián)通、中國網(wǎng)通已經(jīng)建立了基礎(chǔ)網(wǎng)絡(luò)，基礎(chǔ)網(wǎng)絡(luò)建設(shè)具有建設(shè)周期長，投入大的特點(diǎn);設(shè)備制造業(yè)已形成以華為、中興為代表的民族產(chǎn)業(yè)與國際企業(yè)競爭的格局;東大阿爾派正在從事電信領(lǐng)域的軟件開發(fā)與系統(tǒng)集成業(yè);電信運(yùn)營業(yè)目前有很多高利潤機(jī)會，但其他企業(yè)一定時(shí)期內(nèi)很難得到基本電信業(yè)務(wù)經(jīng)營權(quán)，這部分的競爭主要集中在以上幾家大型電信運(yùn)營商中;電子商務(wù)需要巨大的資金投入，在中國正在出現(xiàn)蓬勃發(fā)展的態(tài)勢。各個電信企業(yè)欲成為具有競爭實(shí)力的電信與信息服務(wù)巨頭，必須找準(zhǔn)切入點(diǎn)，超前思維，迅速建立自己的業(yè)務(wù)網(wǎng)絡(luò)，開展切實(shí)能夠帶來現(xiàn)金流量的業(yè)務(wù)，從信息服務(wù)業(yè)入手，利用已有的基礎(chǔ)網(wǎng)絡(luò)建立自己的業(yè)務(wù)網(wǎng)絡(luò)，大力發(fā)展企業(yè)上網(wǎng)(ASP)、企業(yè)信息網(wǎng)組網(wǎng)(DATA-VPN)、企業(yè)內(nèi)部電話(VOIP)、呼叫中心網(wǎng)絡(luò)平臺(CALL CENTER)等信息服務(wù)業(yè)務(wù)，逐步介入電信業(yè)務(wù)，適時(shí)涉足電子商務(wù)，才能迅速成長為國際電信與信息業(yè)務(wù)服務(wù)商。

　　在上述業(yè)務(wù)迅速發(fā)展壯大的同時(shí)，一個不得不面對的問題就是：網(wǎng)絡(luò)安全成為關(guān)系到企業(yè)生死存亡的重大因素。

　　二、安全問題概述

　　綜述

　　電信企業(yè)是以提供網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)為主要的經(jīng)營業(yè)務(wù)的企業(yè)。通過在電信企業(yè)實(shí)施全面、有效、合理的安全措施將達(dá)到以下目標(biāo)：

　　1、 保護(hù)電信企業(yè)電信運(yùn)營網(wǎng)的業(yè)務(wù)不間斷的正常運(yùn)作。包括構(gòu)成電信網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)(信息)。

　　2、 電信企業(yè)中的重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍，防止重要信息泄露給電信企業(yè)外部的組織或人員，如當(dāng)前的或潛在的競爭對手。

　　3、 以有限的代價(jià)，提高電信企業(yè)為其客戶提供優(yōu)于競爭對手的服務(wù)的能力，以獲得競爭優(yōu)勢。

　　信息系統(tǒng)的安全是一個復(fù)雜的系統(tǒng)工程，涉及到技術(shù)和管理等多個層面。為達(dá)成以上目標(biāo)，東大阿爾派將在充分調(diào)研和分析比較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品為電信企業(yè)構(gòu)建一個完整的安全技術(shù)體系，同時(shí)通過與用戶的緊密合作，協(xié)助用戶建立完善的安全管理體系。

　　本方案中，我們以"增強(qiáng)的經(jīng)典安全模型"為安全體系框架。相對于經(jīng)典安全模型，增強(qiáng)的經(jīng)典模型采用大量的先進(jìn)技術(shù)對經(jīng)典模型進(jìn)行強(qiáng)化和補(bǔ)充，特別是引入審核/檢測/響應(yīng)機(jī)制，使系統(tǒng)具備動態(tài)的安全特性，并在系統(tǒng)中增加了災(zāi)難的預(yù)防和恢復(fù)措施。基于這個模型可以構(gòu)件一個完整的安全體系。同近來比較流行的強(qiáng)調(diào)動態(tài)安全特性的模型相比較，系統(tǒng)由于強(qiáng)化的經(jīng)典安全機(jī)制，使系統(tǒng)的安全性更加穩(wěn)固。

　　首先介紹一下經(jīng)典安全模型。

　　安全模型闡述

　　1、經(jīng)典安全模型

　　在經(jīng)典安全模型中定義了"訪問監(jiān)視器的概念"，參考監(jiān)視器是用來控制當(dāng)主體訪問對象時(shí)發(fā)生的事情。

　　經(jīng)典安全模型包含如下要素：

　　明確定義的主體和對象

　　描述主體如何訪問對象的一個授權(quán)數(shù)據(jù)庫

　　約束主體對對象訪問嘗試的參考監(jiān)視器

　　識別和驗(yàn)證主體和對象的可信子系統(tǒng)

　　審計(jì)參考監(jiān)視器活動的可信子系統(tǒng)

　　2 經(jīng)典模型中的3個基本安全機(jī)制 (1)身份標(biāo)識和鑒別 (2)訪問控制 (3)審計(jì)

　　下面分別討論：

　　(1) 身份標(biāo)識和鑒別 ：

　　計(jì)算機(jī)信息系統(tǒng)的可信操作在初始執(zhí)行時(shí)，首先要求用戶標(biāo)識自己的身份，并提供證明自己身份的依據(jù)，計(jì)算機(jī)系統(tǒng)對其進(jìn)行鑒別。身份的標(biāo)識和鑒別是對訪問者授權(quán)的前提，并通過審計(jì)機(jī)制使系統(tǒng)保留追究用戶行為責(zé)任的能力。

　　身份鑒別可以是只對主體進(jìn)行鑒別，某些情況下，則同時(shí)需要對客體進(jìn)行鑒別。

　　目前在計(jì)算機(jī)系統(tǒng)中使用的身份鑒別的技術(shù)涉及3種因素： · 你知道什么(秘密的口令)·你擁有什么(令牌或密鑰)·你是誰(生理特征)

　　僅以口令作為驗(yàn)證依據(jù)是目前大多數(shù)商用系統(tǒng)所普遍采用的方法。這種簡單的方法會給計(jì)算機(jī)系統(tǒng)帶來明顯的風(fēng)險(xiǎn)，包括利用字典的口令破解;冒充合法計(jì)算機(jī)的登陸程序欺騙登錄者泄露口令;通過網(wǎng)絡(luò)嗅探器收集在網(wǎng)絡(luò)上以明文(如Telnet，F(xiàn)TP，POP3)或簡單編碼(如HTTP采用的BASE64)形式傳輸?shù)目诹?。此外簡單的口令?yàn)證在需要超過一個人知道同一個特權(quán)口令時(shí)會帶來管理上的困難，最明顯的問題是無法確認(rèn)有哪些人知道口令，特別是當(dāng)沒有及時(shí)更改口令時(shí)，無法確保臨時(shí)獲得口令的人員在執(zhí)行完臨時(shí)授權(quán)的任務(wù)后"立即"忘記口令。

　　任何一個口令系統(tǒng)都無法保證不會被入侵。一些系統(tǒng)使用口令與令牌相結(jié)合的方式，這種方式在檢查用戶口令的同時(shí)，驗(yàn)證用戶是否持有正確的令牌(擁有什么)。令牌是由計(jì)算機(jī)用戶執(zhí)行或持有的軟件或硬件。令牌連續(xù)的改變口令，通過與驗(yàn)證方同步獲得驗(yàn)證。由于口令是一次性的，所以口令的破解是不可能的，而且竊取口令輸入和通信的企圖變得毫無價(jià)值;以硬件形態(tài)存在的令牌具有使用者唯一持有的特性，使權(quán)限的授予和收回變得十分明確，避免了由于管理失誤而造成的權(quán)限擴(kuò)散?？诹钆c令牌相結(jié)合的身份驗(yàn)證方式可以為大多數(shù)的場合提供足夠的安全性。

　　(2)訪問控制：

　　訪問控制分為"自主訪問控制"和"強(qiáng)制訪問控制"兩種。

　　自主訪問控制(DAC)是商用系統(tǒng)中最常見的一種類型，UNIX和NT操作系統(tǒng)都使用DAC。在基于DAC的系統(tǒng)中，主體的擁有者負(fù)責(zé)設(shè)置訪問權(quán)限。而作為許多操作系統(tǒng)的副作用，一個或多個特權(quán)用戶也可以改變主體的控制權(quán)限。自主訪問控制的一個最大問題是主體是權(quán)限太大，無意間就可能泄露信息，而且不能防備特洛伊木馬的攻擊。

　　強(qiáng)制訪問控制(DMC)就是系統(tǒng)給每個客體和主體分配了不同的安全屬性，而且這些安全屬性不象ACL那樣輕易被修改。系統(tǒng)通過比較主體和客體的安全屬性才決定主體對客體的操作可行性。強(qiáng)制訪問控制常采用 DOD的軍事多級安全策略。強(qiáng)制訪問控制可以防范特洛伊木馬和用戶濫用權(quán)限，具有更高的安全性。

　　(3)審計(jì)：

　　審計(jì)是一個被信任的機(jī)制，TCB 的一個部分。參考監(jiān)視器也使用審計(jì)把它的活動記錄下來。參考監(jiān)視器記錄的信息應(yīng)包括主題和對象的標(biāo)識，訪問權(quán)限請求、日期和時(shí)間、參考請求結(jié)果(成功或失敗)。審計(jì)記錄應(yīng)以一種確保可信的方式存儲。

　　大多數(shù)操作系統(tǒng)都提供至少能記錄被用戶訪問的每個文件的審計(jì)子系統(tǒng)。由于操作系統(tǒng)中還有許多其他的主體和對象，審計(jì)機(jī)制為記錄下列事件負(fù)責(zé)，如開始一個程序，結(jié)束一個程序，系統(tǒng)從新啟動，增加用戶，改變用戶口令、安裝上新的磁盤驅(qū)動器。操作系統(tǒng)要維護(hù)許多不同的記錄，但不是所有記錄都包含足夠的信息來精確識別主體、對象和訪問請求。如果你希望能為系統(tǒng)活動分配責(zé)任，那么你就需要描述每個訪問控制決定的完全記錄。

　　只有通過積極的審計(jì)系統(tǒng)，才能夠知道要使用的安全策略是不是正確開始并被使用。入侵檢測就是基于這個簡單的需要的。如果你不監(jiān)視系統(tǒng)和網(wǎng)絡(luò)，就不能檢測到入侵者或者內(nèi)部的錯誤使用。

　　3 經(jīng)典模型的前提假定 (1)參考監(jiān)視器是主體對對象進(jìn)行訪問的唯一通路 (2)身份鑒別的機(jī)制是可靠的 (3)審計(jì)系統(tǒng)和授權(quán)數(shù)據(jù)庫本身受到充分的保護(hù)

　　4 經(jīng)典模型面對的困難

　　經(jīng)典安全模型是一個安全系統(tǒng)最基本的和不可缺少的安全機(jī)制，基本安全模型中的要素的缺乏意味著系統(tǒng)幾乎沒有可信賴的安全機(jī)制。但經(jīng)典安全模型并不能提供系統(tǒng)的可信程度的信息。此外優(yōu)于一些實(shí)際的因素會導(dǎo)致經(jīng)典模型的前提不能成立，從而使安全模型的有效性不能保證。下列是威脅經(jīng)典模型系統(tǒng)的一些可能的因素：

　　錯誤的系統(tǒng)配置

　　安全系統(tǒng)的管理員會由于知識和能力上的問題或偶然的失誤，造成系統(tǒng)安全策略處于危險(xiǎn)的狀態(tài)。另外，困難的配置工具也會增加配置失誤的風(fēng)險(xiǎn)。

　　不充分的實(shí)現(xiàn)：如基于口令的過于簡單的身份認(rèn)證機(jī)制。

　　不完整的訪問控制機(jī)制，以至于不能制定適合于實(shí)際系統(tǒng)授權(quán)需求的安全策略。

　　審計(jì)子系統(tǒng)和授權(quán)數(shù)據(jù)庫的可信度不充分，或者干脆沒有。