六 終端安全

2.6終端安全
    目前主流的信息安全產品從根本上來說，存在三大缺陷：
    1 以對外防護爲主，對於訪問者的源端卻缺少相應的控制手段。
    2 操作系統自身缺乏安全性，有待使用安全級別更高的操作系統來滿足系統對安全性
的需求。
    3 安全性的實現是基於已有知識的後驗檢測，導致系統越做越複雜，系統出問題的可
能性卻沒有減少反而增加了。
    應該看到許多安全問題的根源在於傳統馮諾依曼體系結構對於系統安全性實現的侷限
性和當前主流應用操作系統的不安全性。如果不去控制發生不安全問題的根源，而在外圍
封堵，各種安全措施充其量只不過是小打小鬧，修修補補，要達到信息系統的相對安全都
很難。
    如果對於這些不安全因素從終端源頭加以控制，那麼問題的解決是根本性的變化，可
以杜絕目前困擾信息安全的大部分問題，從而將信息系統的預期風險降低到可以承受的水
平甚至更低。

2.6.1可信賴計算
    在一個大型信息系統中，主機（服務器）的安全常常是受到高度重視的，然而有時候
人們恰恰因此忽略了問題的另一個方面，那就是爲數衆多的終端設備的安全。在終端安全
方面，幾大計算機硬件軟件巨頭如Intel，IBM，Microsoft等正在共同努力，他們取得的最
大成果就是可信賴計算的概念。
    可信賴計算是使用軟硬件相結合的安全技術，該技術使存儲在電腦硬盤上的數據更加
安全可靠。目前，可信賴計算技術集團（Trusted Computing Group）已經成立，它致力於
創建開放式的、爲可信賴計算技術服務的軟件和硬件標準，這些標準將適用於PC、服務器
和PDA等多種平臺。雖然這一技術剛剛起步，但是可以預見由於在終端安全方面革命性的改
進，這一技術的前途非常光明。

2.6.2設計目標
    傳統的信息安全措施主要是堵漏洞、做高牆、防外攻等老三樣，但最終的結果是防不
勝防。產生這種局面的主要原因是不去控制發生不安全問題的根源，而在外圍進行封堵。
所有的入侵攻擊都是從PC終端上發起的，黑客利用被攻擊系統的漏洞竊取超級用戶權限，
肆意進行破壞；注入病毒也是從終端發起的，病毒程序利用PC操作系統對執行代碼不檢查
一致性的弱點，將病毒代碼嵌入到執行代碼程序，實現病毒傳播；更爲嚴重的是對合法的
用戶沒有進行嚴格的訪問控制，可以進行越權訪問，造成不安全事故。
    其實，現在的不安全問題大多數都是PC機結構和操作系統不安全引起的。如果從終端
操作平臺實施高等級防範，這些不安全因素將從終端源頭被控制。這種情況在工作流程相
對固定的生產系統中顯得更爲重要而可行。
    爲了解決PC機體系結構上的不安全，從根本上提高其安全性，在世界範圍內推行可信
計算技術，1999年由Compaq、HP、IBM、Intel和Microsoft牽頭組織TCPA( Trusted Compu
ting Platform Alliance)，目前已發展成員190家，遍佈全球各大洲主力廠商。TCPA專注
於從計算平臺體系結構上增強其安全性，2001年1月發佈了標準規範（v1.1），2003年3月
改組爲TCG(Trusted Computing Group)，其目的是在計算和通信系統中廣泛使用基於硬件
安全模塊支持下的可信計算平臺，以提高整體的安全性。可信計算終端基於可信賴平臺模
塊（TPM）,以密碼技術爲支持、安全操作系統爲核心（如下圖所示）。


2.6.3功能
    可信賴計算平臺具有以下功能：
    確保用戶唯一身份、權限、工作空間的完整性/可用性；
    確保存儲、處理、傳輸的機密性/完整性；
    確保硬件環境配置、操作系統內核、服務及應用程序的完整性；
    確保密鑰操作和存儲的安全；
    確保系統具有免疫能力，從根本上防止病毒和黑客。

2.6.4組成
    安全操作系統是可信計算終端平臺的核心和基礎，沒有安全的操作系統，就沒有安全
的應用。操作系統中任何微小的紕漏將會造成整個信息系統的災難。
    對工作流程相對固定的生產系統，信息系統主要由應用操作、共享服務和網絡通信三
個環節組成。如果信息系統中每一個使用者都是經過認證和授權的，其操作都是符合規定
的，網絡上也不會被竊聽和侵入，那麼就不會產生攻擊性的事故，就能保證整個信息系統
的安全。
    可信終端確保用戶的合法性和資源的一致性，使用戶只能按照規定的權限和訪問控制
規則進行操作，能做到什麼樣權限級別的人只能做與其身份規定的訪問操作，只要控制規
則是合理的，那麼整個信息系統資源訪問過程是安全的。可信終端奠定了系統安全的基礎
。
    安全邊界設備（如VPN安全網關等）具有身份認證和安全審計功能，將共享服務器（如
數據庫服務器、Web服務器、郵件服務器等）與非法訪問者隔離，防止意外的非授權用戶的
訪問（如非法接入的非可信終端）。這樣共享服務器端主要增強其可靠性，如雙機備份、
容錯、災難恢復等，而不必作繁重的訪問控制，從而減輕服務器的壓力，以防拒絕服務攻
擊。
    採用IPSec實現網絡通信全程安全保密。IPSec工作在操作系統內核，速度快，幾乎可
以達到線速處理，可以實現源到目的端的全程通信安全保護，確保傳輸連接的真實性和數
據的機密性、一致性 ，防止非法的竊聽和侵入。
    綜上所述，可信的應用操作平臺、安全的共享服務資源邊界保護和全程安全保護的網
絡通信，構成了工作流程相對固定的生產系統的信息安全保障框架。
    要實現上述終端、邊界和通信有效的全保障，還需要授權管理的管理中心以及可信配
置的密碼管理中心的支撐。