主题：【原创】IT八股：闲聊信息安全 (之一.基本概念) -- 昔杨今雨

单位机器上所有的USB之类的口子统统干掉。

在本文里面, 我将探讨4种安全技术或产品, 作为反面教材, 这些安全技术或产品被我归入火坑一类. 所谓的火坑, 顾名思义, 就是跳进去出不来, 投入巨大, 但是收益不成比例. 这里的投入既指的是厂商, 也指的是用户. 而这些技术或产品之所以成为火坑, 是因为他们或多或少都违反了一些信息安全方面的原则.

上文结尾的时候, 我提到了认证和授权, 那么第一个火坑, 就从授权开始. 前文提到, 在认证方面, 目前已经发展出了一些目前看来比较有效的方法. 常见的用户名+口令方式的脆弱性大家已经有了共识, 因此在认证技术上, 发展出了例如Kerboro(源自MIT, MS Windows的用户管理就使用了这一技术), 双因子身份认证(RSA公司的SecureID动态令牌卡是我最早接触到的采用这一技术的安全产品), PKI(利用非对称密码算法构建的信任基础设施)等等. 在国内, PKI技术受到大力的追捧, 目前全国已经建立了二十几个省级电子商务CA中心(类似VeriSign, Entrust), 提供数字证书技术服务, 其他行业性大小CA也很多. PKI技术确实有很大的优势, 无论从安全性, 经济性, 适用性, 可管理性方面来说, 都非常适合电子商务和电子政务系统的需求. 目前这种诸侯割据的局面在某些\"砖家\"看来很不爽, 总是琢磨着要搞全国大一统, 但是在我看来真这么干才是脑子坏了的表现, 为了片面地追求全国一盘棋, 而把风险增大到无法承受的地步. 不过这不是本文所要讨论的内容, 还是先留个坑在这里吧.

PKI技术如火如荼地发展着, 有人就开始琢磨能否模仿PKI的模式, 实现统一授权管理, 这就有了第一个火坑, PMI(Privilege Management Infrastructure).

这里我不打算讨论PMI的具体实现, 在PMI的具体实现里面, 有很多值得借鉴的地方, 但是PMI之所以成为火坑, 是因为四个字\"越俎代庖\". 授权之所以是信息安全体系建设里面最难的部分, 是因为:

[*] 授权的复杂度太高. 假设有N个主体, M个客体, 认证的复杂度是N, 而授权的复杂度会是N*M. 通常情况下, M>>N. 再加上授权的流动性, 如此高的复杂度, 即使在一个企业内部, 想要通过技术手段统一起来也是不可想象的. 作为旁证, 大家也可以留意一下, 在目前市场上, 以授权管理为核心的产品有几个;

[*] 在实际生活中, 授权原本就来自不同的管理者, A公司的管理者不会听命于B公司的管理者, 更不用谈政府部门之间. 授权是真正的权力的体现, 没有人会拱手相让, 让一个\"可信的权威机构对用户进行统一的授权\";

[*] 统一授权的风险太大, 大到无法承受的地步. 请问, 如何保证这个授权权威机构可信? 授权系统的崩溃造成的损害远大于认证系统的崩溃, 因为授权是最接近保护对象的环节, 这个环节如果出问题会直接把保护对象暴露在无情的风雨之下. (越接近保护对象的环节越重要, 在生活中也是如此, 核心身边都是中南海保镖, 而外围的就可以交给地方捕快了) 而统一授权系统的崩溃就是整个安全体系的彻底崩溃, 谁能够承担这样的后果?

记得在4~5年前, PMI是个很时髦的话题, 虽然是老外提出来后一直仅仅停留在理论探讨的阶段, 但是国内的热情却一下子走到了实际应用. 从厂商的角度, 似乎又看到忽悠客户大干快上的机会; 对客户来说, 乍听之下, 前景非常诱人, 似乎是一个\"一劳永逸\"的解决方案. 而结果是双方都掉到火坑里面去了, 授权的高复杂度, 使的厂商的开发投入居高不下, 但是距离产出可用的系统遥遥无期, 而客户发现, 上了这个系统和现有的管理模式格格不入, 推行的难度恐怕胡哥亲自下令都搞不定.

简单小结一下, 对于信息安全技术或者产品或者方案, 第一要避免复杂, 第二要符合现有的管理模式, 第三要注意风险的可控和可承受.

------------------------华丽的分隔线(学来的:-)---------------------------

PMI只能归入信息安全技术的范畴, 因为根本不可能出得来产品. 但是接下来的两个火坑是实际的产品, 不但是产品, 还是目前应用很普遍的产品. 这样的东西怎么会是火坑呢? 请容我细细道来.

第二个火坑是目前挺时髦的病毒防火墙, 或者说防病毒网关. 这东西Symantec, Trendmicro等等都有产品, 卖得也挺起劲. 对厂商来说是件好事, 但我说它是火坑主要是针对用户而言, 也用四个字来说, 就是\"屋上架屋\".

防病毒网关的价格很高. 这么高的价格其实不能全怪厂商, 因为实时防病毒本来就耗资源, 网关防病毒更加需要很高的配置和性能, 这东西布置在网络通道上, 一方面要完成把网络数据包先做协议分析, 再组包, 再扫描, 再拆包向后传的过程, 能不需要高配置吗? 另一方面, 网络通信本身存在不可靠性, 例如由于数据包丢失重发, 网络阻塞等等, 都会造成扫描效率的下降, 大马都拉不了的大车, 怎么办? 只能把大马整成大大马, 这一整成本自然上去了, 所以有的时候有朋友问我某个防病毒网关如何, 我一般就先问价格, 百兆环境下的低于20w免谈.

但是问题是, 花了这个钱, 可以获得什么样的效果呢? 问任何一个防病毒网关的厂商, 上了网关之后是否可以不再需要使用桌面的防病毒软件? 我打赌没有一个厂商敢回答\"不需要\", 因为病毒的来源不仅仅是网络, 光盘, U盘, 临时接入网络的电脑, 个个都有可能成为病毒的来源, 光是防网络有什么用? 不但要上桌面防病毒, 而且定时更新, 定期扫描, 一个都不能少. 既然如此, 防病毒网关的效益又体现在哪里呢, 更何况一旦遇到ARP欺骗这样以网络为攻击目标的病毒, 防病毒网关也无能为力? 用户得到的产出和投入不成比例, 这不是火坑是什么?

防病毒网关的问题在于, 它有意或者无意地隐藏了信息安全里面整体性全方位的原则. 信息安全概念里面的\"木桶\"理论, 阐述浅显而重要的原则: 一个桶能够装的水量不取决于最高的那块板, 而是取决于最短的那块木板的高度. 安全的强度取决于其中最为薄弱的一环. 单纯加强某个方面, 或者加强了某个方面, 造成可以替代其他方面的假象, 在信息安全里面, 都是值得警惕和注意的.

------------------------华丽的分隔线(再来一个)---------------------------

写着写着发现已经很长了, 为了让大家看起来不累, 看来要分两篇了.

• 【原创】IT八股：闲聊信息安全 (之四.产品点评(下))

我所不能理解的是, 这样的需求为啥不用NC这样的方式去解决, 成本较低是一方面, 另一方面, NC的数据集中存储在中央服务器上, 管理的难度可以下降很多.

难道是要给大家留下机会来玩玩游戏, 炒炒股票?

这个物理防火墙除了降速，不觉得有太多好处。

防火墙就相当于小区保安, 没有是万万不可的, 但是有了也只能防防小毛贼, 遇到高人也是形同虚设.

那个东西也是每个包扫描并且判断是不是恶意发送，例如DoS什么的。

正是因为基于IP数据包做判断(更准确地说是基于IP数据包的包头), 所以防火墙的性能可以做得很高, 几个G乃至十几个G的都有, 因为一个IP数据包头也就百把的字节数, 格式固定, 即使需要做状态追踪(Connection Track), 其需要临时存储的数据量也很有限, 因此, 防火墙比较容易通过ASIC芯片等硬件来实现, 其性能容易提高.

但是病毒扫描是需要上下文的, 一个IP包里面最多几K的字节远远不够, 因此网络防病毒需要在应用层做协议分析, 重新组包, 获得完整数据后再进行扫描. 需要的临时存储空间也大, 想通过硬件实现, 有很多困难.

病毒的扫描模式要用ASIC来实现不是不可以，但是这病毒的更新换代可太快了，ASIC很难跟的上，成本上也受不了。

其实单位的机器就做单位的事情，个人只管使用，不能自行安装配置，下面有个单位就做的很好，不过那个费用可不是一般单位能承受的，看看他们的好几个机架的设备我看着就眼热(没办法，这钱不想花也要花，要达标)，要是我们也弄一套就不用担心单位一些家伙了，呵呵，上面不让干什么总是有人想什么，可苦了我们。

乐颠颠跑进来一看。。。。还真晕啊，不过概念性知识扫扫盲，也挺不错，昔杨兄是个好老师，花之！