1.3.6 安全的根本任务
我们在1.2节中谈到,从威胁的角度来看,安全可以分为两大类,一类是由于自身或者自然因素导致的安全问题,另一类是由于他人的侵害导致的安全问题。无论是哪一类安全问题,强壮自身和有效避险都是解决问题的根本措施。但是如何强壮自身和如何避险需要分别讨论。
对于第一类安全问题,冗余备份、避免环境影响等措施是必需的,这需要针对具体问题进行分析。比如,对于有毒气体,我们必须采用相应的防毒措施;对于高温环境,我们就得采取降温的措施。也就是说,要对症下药。
对于第二类安全问题,说到底,我们要解决的是人的问题。那么在现实社会中,对人的各种管理措施都是可以借鉴和移植的。实际上,我们要解决的是保证正确的授权操作的问题。这里包含三层意思:
●操作是需要授权的;
●授权应该是正确的;
●正确的授权操作是有保证机制的,即授权机制不能失效。
我们试想一下,在一个没有法律、法规、制度约束的社会里,会是什么样的情况?这和动物世界有什么区别?这样的社会遵从的只有丛林法则、弱肉强食,可能每天都会出现头破血流的情况。所以,对于人类社会来说,“规则”是保证安全的前提和基线。
对于大多数人来说,使用规则来规范、限制人们的行为,避免对他人的利益构成侵害是基本也是最先决的条件。换句话说,每个人的行为都是由规则限定的。根据需要规范的范围,这些规则包括由国家制定的法律、法规、规章和相关部门制定的规范(如企业的劳动纪律),以及由文化、传统约定俗成的规矩。
在现实社会中,安全的核心任务是保证正确的授权操作。一般来讲,操作是有目的的,我们姑且把这种目的称为“任务”。为了完成这些任务,就要有一定的权力,没有相应的权力就无法完成任务。所以,授权是必要的。这里有三层意义:一是所有的操作在授权的范围之内;二是这些授权是正确的;三是这些授权操作要有相应的保证机制,保证这个授权操作不能被非法地更改、绕过或者失效。
1.授权
我们先来讨论授权。授权包括以下几类。
1)默认授权。如果操作(或行为)不会对任何其他共享实体的合法利益构成侵害,那么这类授权属于默认授权。比如,我们吃完饭去散步或者在家里看电视、看书、上网浏览合法网站上的新闻、打游戏,这些操作是不需要进行授权的。但是,有些操作会受到一些规矩的约束。比如,到饭店去吃饭,吃完饭就要支付餐费,有其他人坐着的座位不能去抢,等等。
2)必要授权。为了完成某项任务,需要获得的必要权力称为必要授权,这类权力是与任务相联系的。比如,公交车的驾驶员就有在特定线路上驾驶公共交通工具的权力。
3)限制性授权。相关规定明确不可以实施的操作(或行为)称为限制性授权。这类规定要求不得侵害其他主体的合法权利。比如,不能抢夺他人的合法财产。
4)强制性授权(职责)。相关规定要求必须执行的授权称为强制性授权。这是特定任务要求的,特定的人员必须执行。例如,剧场的验票员必须检查进入剧场的观众的票券;无论天气多么恶劣,交通警察都必须上岗;无论火势多么猛烈,消防员也要出警扑救火灾。
2.授权的正确性
授权的正确性包括下面几层含义。
1)授权不能对其他共享实体的合法利益构成侵害。
2)授权必须符合具体任务的相关安全要求,这里包括两个方面。一是安全属性的要求,如不可以抛甩贴有易碎标志的物品、贴有防火标志的物品必须远离火源。二是强度的要求,强度要求要根据任务本身涉及的对象的重要程度来确定。例如,我们盛水时,可以用普通的玻璃杯,也可以用名贵的陶瓷杯。这两种杯子都需要保护,但是由于它们的价值不同,保护强度也不同。
我国实施的网络安全等级保护制度就体现了这样一种思想,不同的网络承载的业务与数据的价值不同,受到的威胁也不同,所以保护的强度要适当。对于重要性不同的系统和数据,要用不同的强度进行保护。这一原则在风险评估中也有相同的体现,我们给资产进行赋值时,价值越高的资产,其风险也越大。
3)授权时必须保证被授权实体能够完成相应的任务,并且只能完成授权范围内的任务(最小授权的原则)。
4)授权实体的授权操作与其他授权实体的授权不能产生特定的利益关系(分权制衡的原则)。
5)授权实体的操作是有监督的。
6)授权应该有时效性限制。也就是说,对一个角色的授权不能是无限期的,应该结合这个角色的变更情况对授权进行相应的变更。很多单位在员工离职时,没有妥善处理对他的授权,导致出现了安全问题。
7)授权人的操作是有监督的。
3.“正确授权操作”机制确立之后的保证机制
再正确的授权机制也要有相应的保证机制,如果没有相应的保证机制,授权就是一句空话。我们制定了很多法律、法规和制度,但如果相应的保证制度不到位,就会出现各类破坏这些法律、法规和制度的现象。为了保证这些授权操作,必须采取以下措施。
1)相应的隔离措施。通过对空间、时间的隔离,可以防范与此任务不相关的人员对执行此任务造成妨碍或者侵害,同时可以防止由于执行此任务而对别的实体执行其他任务造成妨碍和侵害。例如,在道路施工中,要用围栏将施工区域与其他区域隔离;在日常的工作中,用房间、工作位、建筑物等对任务区进行隔离。当然,隔离也是有强度要求的,隔离的强度要与任务的性质、重要程度相匹配。
2)相应的控制措施。完成同一个任务时,可能需要不同的角色共同配合。角色不同,任务细节也不同,相应的授权就不同。因此,需要对这些角色进行相应的授权控制。例如,医院中有院长、医生、护士、药师、护工和其他工作人员,这些人可能在同一个隔离区内工作,他们共同服务于某一个病人,治好这个病人是他们共同的任务。但是,只有医生才有处方权,护工不能给病人进行注射。
3)相应的检查与处置措施。检查的任务分为三类,第一类是对资产的检查,第二类是对防范威胁措施的检查,第三类是对威胁源的检查。
要对检查的结果进行处置,不处置等于没有检查。例如,清除或者隔离威胁源对保证安全是极为有效的,没有威胁当然也就安全了。
4)隐藏和欺骗措施。在现实生活中,我们不希望一些重要资产受到侵害,所以会把它藏起来;我们的一些操作(行为)不想被发现,就会利用夜幕作为掩护。隐藏是我们经常采用的方法,也是另外一种授权机制。在战争年代,把粮食藏起来、把水井填埋起来都是隐藏措施。在网络安全中,隐藏虽然用得不多,但这个技术还是存在的,并且有一些隐藏技术被入侵者所利用。从某种意义上来说,隐藏是一种欺骗措施。
5)应对威胁的各类保护与反制措施。应对威胁,就要有相应的保护和反制措施。保护是指把隔离、控制做得足够强,让威胁源无可奈何;还要有各种有效的检查工具,以便能及时、准确地发现各类威胁。反制就是“以其人之道,还治其人之身”。例如,当A国没有核武器时,B国和C国就会用武器来威胁;当A国有了核武器之后,B国和C国的威胁就失效了。
要保证以上所有措施不能失效,这是非常重要的。为此,就必须清楚有没有可能绕过这些机制的路径,是不是存在防范上的薄弱环节或者漏洞。在网络上,由于网络、主机、应用等软硬件往往存在各种各样的“漏洞”,而这些漏洞会导致“正确的授权操作”失效,因此出现了“网络攻防”的场景。可见,保障机制对于网络安全来说尤其重要。
我们经常说,网络(空间)安全是一个博弈的过程。说到底,这个博弈就是以授权为目标的。对于一个入侵者,其目标网络中并没有给他的授权,但是,他就是要利用各种方法谋求授权,甚至是网络中最高等级的授权。也许有人会说,拒绝服务攻击可不是追求进入系统的授权。实际上,拒绝服务攻击也是一种非授权操作。
控制(授权操作)、隔离、检查和隐藏,可以被认为是保障网络安全的最基本的方法。我们会在第4章讨论隔离方法,第5章讨论授权控制方法,第6章和第7章讨论检查方法,第8章讨论安全事件的响应和处置,第9章讨论隐藏方法。