年輕時唱過一首毛主席語錄歌， 歌曰：政策和策略是黨的生命， 各級領導同志務必充分注意， 萬萬不可粗心大意。 物類相通， 搞了幾年網絡安全， 對于平安戰略的體驗， 竟也有相似的感覺。 為了抵御網上攻擊， 維護網絡平安， 現在幾乎所有的網絡信息系統都裝備了各式各樣的網絡平安設施， 諸如：加密設備、防火墻、入侵檢測系統、漏洞掃描、防治病毒軟件、 VPN 平安認證系統、平安審計系統 … 等等。 有人形象地把它稱為網絡平安的十八般兵器， 但是搞好網絡平安光擁有這些兵器是不夠的必需重視平安戰略。 平安戰略是網絡平安的生命， 靈魂。 沒有正確平安戰略的平安系統就像沒有靈魂的軀殼， 不能夠完成保證平安的使命的

作為例子， 想先談談關于入侵檢測系統的平安戰略。

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。 前者先要建立一個系統訪問正常行為的模型， 凡是訪問者不符合這個模型的行為將被斷定為入侵 ; 后者則相反， 先要將所有可能發生的有利的不可接受的行為歸納建立一個模型， 凡是訪問者符合這個模型的行為將被斷定為入侵。 看， 這兩種模式的平安戰略是完全不同的而且， 各有優點和短處：異常檢測的漏報率很低， 但是不符合正常行為模式的行為并不見得就是惡意攻擊， 因此這種戰略誤報率較高 ; 誤用檢測由于直接匹配比對異常的不可接受的行為模式， 因此誤報率較低。 但惡意行為千變萬化， 可能沒有被收集在行為模式庫中， 因此漏報率就很高。 這就要求用戶必需根據本系統的特點和平安要求來制定策略， 選擇行為檢測模式。 現在用戶都采取兩種模式相結合的戰略。

入侵檢測系統還有其他平安戰略， 如控制戰略和響應策略。 對于控制戰略， 入侵檢測系統分為集中式控制和分布式控制兩種模式 ( 還有第三種是混合式 ) 前者模式中， 只有一個中央入侵檢測服務器， 分布于各個主機上的審計順序將搜集到數據蹤跡發送到中央服務器集中分析處置。 這種方式可以節約資源， 降低本錢， 但是可伸縮性和可配置性上有弱點， 網絡一大， 就可能形成瓶頸， 而且具有單點故障的風險 ; 分布式控制模式則將中央服務器的功能分配到各個節點的主機之中， 讓大家都有入侵檢測的功能， 這種模式顯然能夠防止上述弱點。 但分布式控制策略的維護利息卻高了很多， 而且增加了監控主機的工作負擔。

從響應戰略上講， 入侵檢測系統也分為兩種模式 — 主動響應和被動相應。 前者對于搜集到不正常情況只發出告警通知， 不試圖降低所造成的破壞， 也不對攻擊者反擊 ; 后者則可能對被攻擊系統實施控制， 阻斷或減輕攻擊影響。 外表上看， 主動響應的功能要比主動相應強很多， 大家都選前者不就完了嗎 ? 別忙， 事情還有另一面， 網絡上的事情是比較復雜的如果沒有弄清楚異常情況的根源便自動采取反制措施， 如斷開網絡連接、殺死可疑進程等， 可能會給系統帶來嚴重后果。 須知正在運行的信息系統是連著千萬個用戶， 任何一個系統的操作需要慎之又慎。 出于這個原因， CFCA 中國金融認證中心 ) 入侵檢測系統采用了主動響應的戰略。

2001 年， CFCA 入侵檢測系統曾經發現在某個 IP 地址上發出數千個密集的異常訪問。 依照行為模式， 這應該是屬于惡意的拒絕服務攻擊。 但監控者并沒有貿然斷開網絡連接， 而是做了一些深入調查。 結果發現， 原來是某家銀行剛上認證業務， 正在用 CFCA 生產系統做壓力測試， 這才形成了拒絕服務攻擊 ” 假象。 通過與該銀行電話溝通， 問題得以順利解決。

所熟悉的平安認證業務中， 平安戰略也具有舉足輕重的地位。 如果你多家銀行使用網銀業務， 就能發現， 不同銀行所采用的平安認證的戰略有所不同。 當下， 銀行一度推行的用戶名 + 密碼口令 ” 認證手段， 由于存在明顯的平安漏洞， 案件屢屢發生， 已經基本絕跡， 而紛紛改用了數字證書認證機制。 但是同樣是使用數字證書認證， 不同銀行的平安戰略也有不同：

工商銀行網銀 — 客戶登錄網銀不需要數字證書， 查詢余額也不需要。 但進行轉帳交易時， 不論交易額大小， 均需要使用數字證書認證。 大眾版網銀使用文件證書 ( 或稱硬盤證書 ) 或動態口令卡 ; 專業版網銀必須使用 U 盾 ( 即 USB Kei 數字證書密碼鑰匙 ) 而且要輸入 PIN 碼作為雙重維護。 客戶如不正確地輸入 PIN 碼， 證書就不起作用， 不能轉帳。

招商銀行網銀 — 大眾版網銀可以使用文件證書或 USB Kei 證書 ; 專業版客戶要求必需下載客戶端軟件。 不管是查詢余額還是轉帳交易， 必需使用 USB Kei 但沒有 PIN 維護。

興業銀行網銀 — 客戶第一次登錄時必須使用 USB Kei 證書， 而且要求輸入 PIN 碼。 登錄以后的查詢交易仍需要 USB Kei 但不需要輸入 PIN 轉帳交易則兩者都需要。

有興趣的話， 可以分析對比一下這幾家銀行在平安認證上的戰略， 平安性和方便性上， 各有長短。 可以看出， 其設計者都是動了腦筋的使用證書認證的前提下， 以下各種措施的平安性依次遞增：

文件證書 -->USB Kei 證書 -->USB Kei 證書 +PIN -->USB Kei 證書 +PIN+ 專用客戶端認證軟件。

然而， 制定網銀平安戰略時， 不能一味追求平安性， 因為， 隨著平安性的增高， 平安措施的利息也會隨著提高， 用戶使用的方便性會有所降低。 因此， 平安戰略的設計者除了考慮平安因素以外， 還將考慮到系統效率、平安本錢、交易風險， 以及用戶使用的方便性， 而對于銀行業者來說， 這一切的動身點事實上是圍繞著一個中心目標 — 就是提高本銀行的市場競爭力和經營效益。

說到這里， 不由得想起 CFCA 初期引進國外認證產品 — Entrust/Direct 軟件， 那是一個我曾經寄托了厚望， 最終卻讓我大傷腦筋的舶來品。

應該說， Direct 產品從設計理念上說， 充分考慮到認證過程中方方面面的平安問題， 采用了周密嚴格的平安戰略， 從通信到應用形成了一套完整的 Web 平安解決方案。 * 注：證書 +PIN 碼屬于雙因子認證方式， 平安強度高 ; 專用客戶端認證軟件的平安性要高于無客戶端軟件 ( 僅瀏覽器 )

首先， 從通訊上講， Direct 以 HTTP 協議作為基礎， 對沒有平安維護的 HTTP 協議通訊進行了改造封裝， 建立起一條通過 SPKM 協議加密的 HTTP 平安通道。

客戶端與服務器的 Web 應用順序之間建立通道之前， Direct 進行了嚴格的雙向身份認證過程， 其執行的查驗項目多達 8 種 11 個， 除了查驗服務器和客戶端的用戶證書之外， 還需查驗它各自的 CRL 分布點、三層 CA 證書、 2 個 CA 廢止列表 ( ARL OCA Polici 證書、用戶的 Polici 證書等。

與相對簡單的 SSL 協議作比較， 大多數 SSL 認證方案僅查驗了客戶端和服務端的數字證書， 以及 CA 證書鏈。 對 CRL 查驗僅僅在少數方案中得到實現， 對 ARL Polici 證書的查驗則完全缺失。

其次， Direct 提出了獨特的三次簽名機制：第一次是 Direct/Serv 服務端簽名 ” 用以確保用戶收到交易表單信息是由服務器發出的傳輸過程中未被篡改 ; 第二次是 Direct/Cli 客戶端簽名 ” 用以確保用戶端接收到交易頁面在用戶 IE 和傳輸過程中不被篡改 ; 第三次是用戶確認交易后， 提交 客戶端提交簽名 ” 用以保證用戶在閱讀了交易信息之后， 進行了交易的確認。

Direct 三次簽名的平安戰略， 即便是今天的平安應用中， 其設計也是獨樹一幟， 平安理念仍然堅持領先。 受到國外用戶的廣泛歡迎。

雖然 Direct 曾在全球占有 39% 市場份額， 然而它中國卻 “ 不服水土 ” 由于其復雜的平安戰略， 導致系統開銷過大， 又由于它早期基于 Unix 環境展開的設計， 不支持線程， 不支持對稱多處理 ( Symmetr Multi-Process SMP 技術， 注： SMP 指在一個計算機上匯集了一組處理器 — 多 CPU, 各 CPU 之間共享內存子系統以及總線結構。 從而 Direct/Serv 多并發情況下， 仍只能利用單 CPU 資源， 無法利用多 CPU 進行并行處置。 這使得 Direct 系統認證效率很低， 用戶等待時間過長。 Entrust 公司后來工作重點轉移， 宣布不再支持 Direct 產品， 因而也沒有在 SMP 上做任何改進。

相比于競爭者所使用的快捷的 SSL 認證過程， Direct 飽受到客戶商業銀行的詬病責難， 市場和技術支持人員應接不暇苦不堪言， 這甚至影響到 CFCA 市場拓展， 一些商業銀行因此舍 CFCA 而去。 加之 Direct 要求特殊端口訪問、國外技術支持跟不上、外地化開發困難等不利因素， Entrust/Direct 認證產品終于走向了末路。

成也蕭何， 敗也蕭何 ” 當初讓 Direct 風光一時的獨特的平安戰略， 而后斷送它前途的也正是其平安戰略啊 ! 某院士在評論此事時曾說過：平安不必求全， 夠用就行。 可謂言簡意賅， 一語中的

以上列舉了幾個針對具體系統的平安戰略的例子， 從這些例子中， 能夠看到平安戰略在平安系統建設和應用中的主導作用。 當然， 都還是屬于一些局部微觀方面的平安戰略。 而作為整體的平安戰略， 則包括的范圍更廣。 如 CFCA 證書認證的戰略方面， 就有一整套的認證戰略 CP 并在此基礎上， 撰寫出 CPS 認證操作聲明 ) 向外界公布， 提供給證書用戶和依賴方。

如果說得更廣些， 全局和總體的網絡平安戰略應該包括以下三部分：

1 嚴肅的法律保證 —

平安的基石是法律、法規與手段。 面對日趨嚴重的網絡犯罪， 必需建立與網絡平安相關的法律、法規。 計算機網絡是新生事物， 過去， 由于缺乏相應的法律法規， 無法可依， 導致網上計算機犯罪處于無序狀態。 近年來， 國已經公布多種與網絡平安相關的法律、法規， 如《全國人民代表大會常務委員會關于維護互聯網平安的決定》中華人民共和國計算機信息系統平安維護條例》中華人民共和國電子簽名法》等， 將對網上計算機犯罪起到極大的遏制震懾作用。

2 先進的平安技術工具 —

先進的平安技術是網絡平安的物質保證。 用戶對于自身面臨的威脅進行風險評估， 決定其所需要的平安服務種類， 選擇相應的平安機制， 集成先進的平安技術， 形成全方位的平安系統。

3 嚴格的平安管理措施 —

搞好網絡平安不能 “ 見物不見人 ” 再先進的平安系統也是由人來控制的因此， 嚴格的平安管理是網絡平安的決定性因素， 信息系統的運營者必需建立相應的網絡平安管理方法， 加強內部管理， 建立平安審核和跟蹤體系， 加強平安培訓， 提高整體網絡平安意識。