[[214737]]

2014年8月，美國(guó)國(guó)土安全部(以下簡(jiǎn)稱“DHS”)首席信息安全官辦公室發(fā)布了DHS4300A-Q1(敏感系統(tǒng)手冊(cè))文件。文件僅針對(duì)敏感無(wú)線系統(tǒng)的安全問(wèn)題，不涉及機(jī)密無(wú)線系統(tǒng)的使用。DHS敏感系統(tǒng)政策指令(PD)4300A要求，無(wú)線通信技術(shù)和應(yīng)用程序必須是經(jīng)授權(quán)官員(AO)特別批準(zhǔn)的，否則在DHS中禁止使用。(NIST的出版物(SP)800-37，授權(quán)官員取代了指定的認(rèn)證機(jī)構(gòu)(DAA))。授權(quán)官員還必須批準(zhǔn)在認(rèn)證和認(rèn)證(C&A)過(guò)程中特定風(fēng)險(xiǎn)級(jí)別的無(wú)線系統(tǒng)的實(shí)現(xiàn)和使用，并確保在安全計(jì)劃中包含適當(dāng)、有效的安全措施。

圖1DHS4300A敏感系統(tǒng)手冊(cè)

文件中覆蓋的無(wú)線網(wǎng)絡(luò)包括無(wú)線局域網(wǎng)絡(luò)(WLAN)、無(wú)線寬區(qū)域網(wǎng)絡(luò)(WWAN)、無(wú)線個(gè)人區(qū)域網(wǎng)絡(luò)(WPAN)、對(duì)等無(wú)線網(wǎng)絡(luò)(即特別的無(wú)線網(wǎng)絡(luò))，以及利用商業(yè)無(wú)線服務(wù)的無(wú)線基礎(chǔ)設(shè)施。無(wú)線系統(tǒng)包括傳輸介質(zhì)、固定集成設(shè)備、設(shè)備固件、支持服務(wù)和通信協(xié)議。DHS4300A建立了該部門(mén)的無(wú)線系統(tǒng)政策和所有無(wú)線通信技術(shù)的通用指南。需要指出的是，智能手機(jī)等無(wú)線設(shè)備的安全政策和指導(dǎo)方針將在一個(gè)獨(dú)立的文檔中提出，起因于該領(lǐng)域的復(fù)雜性和技術(shù)的快速發(fā)展。

對(duì)于所有的無(wú)線系統(tǒng)，DHS4300A-Q1提出了如下幾項(xiàng)安全措施：

基于風(fēng)險(xiǎn)的方法

無(wú)線系統(tǒng)安全的一種基于風(fēng)險(xiǎn)的方法是一種系統(tǒng)工程方法，用于識(shí)別、評(píng)估和優(yōu)先考慮與無(wú)線系統(tǒng)相關(guān)的風(fēng)險(xiǎn)，并確定這些風(fēng)險(xiǎn)的可能性和潛在影響。然后，采取緩和策略和資源來(lái)抵御最嚴(yán)重的威脅，防止過(guò)度風(fēng)險(xiǎn)的發(fā)生。例如，在DHS內(nèi)部網(wǎng)絡(luò)中，有時(shí)會(huì)出現(xiàn)未經(jīng)授權(quán)的訪問(wèn)點(diǎn)或設(shè)備，它們對(duì)國(guó)土安全部DHS的信息安全構(gòu)成巨大威脅。因?yàn)閮?nèi)部網(wǎng)絡(luò)被認(rèn)為是受信任的，并且在防御范圍內(nèi)。針對(duì)這種威脅的一個(gè)緩解策略是部署有效的檢測(cè)和預(yù)防工具來(lái)識(shí)別這些威脅，并在檢測(cè)到時(shí)阻止它們的訪問(wèn)。

一種基于風(fēng)險(xiǎn)的方法可用于降低與無(wú)線系統(tǒng)相關(guān)的風(fēng)險(xiǎn)。在最高級(jí)別，可以使用兩種安全分類來(lái)幫助識(shí)別和評(píng)估與給定的無(wú)線系統(tǒng)相關(guān)的風(fēng)險(xiǎn)，包含人員、信息資源、數(shù)據(jù)系統(tǒng)和網(wǎng)絡(luò)，它們都服從于共享的安全策略(一組管理訪問(wèn)數(shù)據(jù)和服務(wù)的規(guī)則)。DHS建立認(rèn)證邊界并可以直接控制所需的安全控制或?qū)Π踩刂朴行缘脑u(píng)估，認(rèn)證邊界內(nèi)的視為受信任的無(wú)線系統(tǒng)，而超出認(rèn)證邊界的則視為不受信任的無(wú)線系統(tǒng)。例如，商業(yè)或官方無(wú)線網(wǎng)絡(luò)應(yīng)該被認(rèn)為是不可信的，因?yàn)樗鼈儾辉贒HS的控制范圍之外。DHS內(nèi)部的無(wú)線網(wǎng)絡(luò)被認(rèn)為是值得信賴的，因?yàn)槠淇梢詫?duì)這些網(wǎng)絡(luò)應(yīng)用嚴(yán)格的安全政策和控制。通過(guò)考慮無(wú)線系統(tǒng)的獨(dú)特開(kāi)放特性和無(wú)線技術(shù)的快速發(fā)展，可以從技術(shù)、過(guò)程和人員的角度來(lái)確定風(fēng)險(xiǎn)。下一節(jié)將詳細(xì)描述各種無(wú)線系統(tǒng)的威脅和相應(yīng)的對(duì)策。

無(wú)線系統(tǒng)威脅和對(duì)策

由于無(wú)線技術(shù)的開(kāi)放性，無(wú)線系統(tǒng)有其固有的弱點(diǎn)，因而安全威脅是普遍存在的。無(wú)線通信容易受到干擾、竊聽(tīng)、射頻干擾，以及有線網(wǎng)絡(luò)的典型威脅。

表1無(wú)線系統(tǒng)的威脅

無(wú)線系統(tǒng)安全措施包括處理數(shù)據(jù)保密性和完整性、身份驗(yàn)證和訪問(wèn)控制、入侵檢測(cè)和預(yù)防、日志記錄和監(jiān)視，以及系統(tǒng)可用性和性能。無(wú)線系統(tǒng)安全的目標(biāo)可以更好地實(shí)現(xiàn)，通過(guò)遵循聯(lián)邦授權(quán)的標(biāo)準(zhǔn)和行業(yè)的信息安全最佳實(shí)踐來(lái)減輕威脅。

表2OSI安全注意事項(xiàng)

認(rèn)證

身份驗(yàn)證方法包括IEEE802.1X基于門(mén)戶的網(wǎng)絡(luò)訪問(wèn)控制、可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)-傳輸層安全性(EAP-TLS)認(rèn)證，以及利用企業(yè)遠(yuǎn)程(RADIUS)服務(wù)器為用戶設(shè)備和系統(tǒng)提供相互身份驗(yàn)證，同時(shí)提供動(dòng)態(tài)密鑰管理。應(yīng)該注意的是，EAP-TLS需要現(xiàn)有的公共密鑰基礎(chǔ)設(shè)施(PKI)。如果不能使用完全的PKI，則可以使用其他身份驗(yàn)證協(xié)議，比如保護(hù)性可擴(kuò)展身份驗(yàn)證協(xié)議(EAP-PEAP)。數(shù)字證書(shū)可以從第三方認(rèn)證機(jī)構(gòu)購(gòu)買(mǎi)，或者從組織的內(nèi)部證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)。額外的網(wǎng)絡(luò)控制訪問(wèn)，例如雙因素身份驗(yàn)證，需要對(duì)用戶和設(shè)備進(jìn)行身份驗(yàn)證，以確保它們不會(huì)引入安全漏洞和風(fēng)險(xiǎn)。

保密

DHSPD4300A要求：組件只使用聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)197(高級(jí)加密標(biāo)準(zhǔn)AES-256)的加密模塊，并在符合其預(yù)期用途的級(jí)別上收到FIPS140-2驗(yàn)證。

誠(chéng)信

無(wú)線通信的完整性是確保數(shù)據(jù)在傳輸或休息時(shí)沒(méi)有被修改的必要條件，它還可以防止其他威脅，比如攻擊。如果有一種機(jī)制允許對(duì)消息完整性進(jìn)行加密驗(yàn)證，那么系統(tǒng)節(jié)點(diǎn)必須丟棄所有無(wú)法驗(yàn)證的消息。

管理控制

無(wú)線系統(tǒng)必須能夠支持遠(yuǎn)程設(shè)備管理、建立或更改配置以符合安全策略，以及支持軟件和固件的更新。無(wú)線系統(tǒng)必須能夠通過(guò)管理接口和工具來(lái)管理無(wú)線基礎(chǔ)設(shè)施，這些工具是整個(gè)管理基礎(chǔ)設(shè)施的一部分。管理控制的網(wǎng)絡(luò)部分應(yīng)該集成到有線網(wǎng)絡(luò)中，并且應(yīng)該從數(shù)據(jù)網(wǎng)絡(luò)中分離出來(lái)，以確保管理的有效性健安全保護(hù)不能降低或妨礙法律保護(hù)的關(guān)鍵服務(wù)或可用性特性，或已發(fā)布的政策（例如，符合美國(guó)復(fù)興法第508條）。

集中的無(wú)線管理結(jié)構(gòu)提供了一種更有效的方式來(lái)管理無(wú)線基礎(chǔ)設(shè)施和信息安全程序。一個(gè)集中的結(jié)構(gòu)還可以促進(jìn)標(biāo)準(zhǔn)化指導(dǎo)的開(kāi)發(fā)和實(shí)現(xiàn)，這使得組織能夠一致地應(yīng)用信息安全策略。無(wú)線設(shè)備和/或軟件不能降低或繞過(guò)已建立的系統(tǒng)安全控制，任何系統(tǒng)修改都需要適當(dāng)?shù)陌踩詫彶?，并遵循變更管理策略和過(guò)程。此外，配置管理和安全基線配置應(yīng)該在組織的系統(tǒng)安全計(jì)劃中得到解決。

物理安全

對(duì)可疑行為的常規(guī)檢查和監(jiān)視將減少未經(jīng)授權(quán)的設(shè)備操作和盜竊的可能性。由于無(wú)線系統(tǒng)容易受到遠(yuǎn)程竊聽(tīng)的影響，所以警衛(wèi)和用戶應(yīng)該向適當(dāng)?shù)陌踩藛T報(bào)告在設(shè)施內(nèi)或周?chē)目梢扇藛T或活動(dòng)。

國(guó)家信息擔(dān)保合作伙伴關(guān)系共同標(biāo)準(zhǔn)安全驗(yàn)證

國(guó)家信息保障伙伴關(guān)系(NIAP)是美國(guó)政府的一項(xiàng)行動(dòng)，旨在解決IT消費(fèi)者和生產(chǎn)者對(duì)IT系統(tǒng)和產(chǎn)品的安全測(cè)試需求。NIAP是NIST和NSA的合作，在IT產(chǎn)品和網(wǎng)絡(luò)中增加了信任級(jí)別。通用標(biāo)準(zhǔn)定義了一組經(jīng)過(guò)驗(yàn)證的IT需求，可以用于為產(chǎn)品和系統(tǒng)建立安全需求。通用標(biāo)準(zhǔn)還定義了保護(hù)概要文件(PP)，或者基于特定安全需求的標(biāo)準(zhǔn)化集。PP可以用于無(wú)線安全架構(gòu)內(nèi)的產(chǎn)品。此外，還可開(kāi)發(fā)安全目標(biāo)(ST)來(lái)度量安全威脅、目標(biāo)需求和安全功能的摘要規(guī)范。

日志

日志作為無(wú)線網(wǎng)絡(luò)監(jiān)視和管理功能的一部分，用以確保無(wú)線網(wǎng)絡(luò)的持續(xù)監(jiān)控。它們提供了一種可跟蹤的機(jī)制來(lái)記錄網(wǎng)絡(luò)活動(dòng)并發(fā)現(xiàn)網(wǎng)絡(luò)入侵。應(yīng)該通過(guò)同步所有設(shè)備上的時(shí)間時(shí)鐘，遠(yuǎn)程記錄無(wú)線活動(dòng)和事件，以及對(duì)日志執(zhí)行嚴(yán)格的訪問(wèn)控制，以保護(hù)日志的完整性。

配置控制

為無(wú)線網(wǎng)絡(luò)和設(shè)備建立配置需求和安全的基線配置可以幫助確保它們按照DHS的安全策略部署在安全的方式中。通常，無(wú)線系統(tǒng)最初配置的是默認(rèn)的供應(yīng)商設(shè)置，這是常識(shí)。這些設(shè)置可以包括：網(wǎng)絡(luò)信息，如默認(rèn)通道或調(diào)制規(guī)范；安全信息，如網(wǎng)絡(luò)名稱、加密方法、傳遞短語(yǔ)或密鑰；系統(tǒng)管理信息，如管理用戶名、密碼、管理端口號(hào)和運(yùn)行的缺省應(yīng)用程序服務(wù)。

軟件和固件更新

NIST的國(guó)家脆弱性數(shù)據(jù)庫(kù)(NVD)是一個(gè)綜合的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)庫(kù)，它整合了所有公共可用的美國(guó)政府弱點(diǎn)資源，并提供了對(duì)行業(yè)資源的參考。如果可能的話，更新的固件應(yīng)該在非生產(chǎn)環(huán)境中進(jìn)行測(cè)試，以在產(chǎn)品發(fā)布之前驗(yàn)證功能。DHS敏感系統(tǒng)政策指令4300A和DHS敏感系統(tǒng)手冊(cè)提供了系統(tǒng)審計(jì)政策和指導(dǎo)。

無(wú)線監(jiān)控

無(wú)線監(jiān)控功能包括工具和方法：(a)進(jìn)行現(xiàn)場(chǎng)調(diào)查和設(shè)置適當(dāng)?shù)奶炀€位置以減少信號(hào)泄漏,(b)檢測(cè)錯(cuò)誤配置的客戶端和使用政策驅(qū)動(dòng)的軟件或硬件解決方案，確?？蛻舳嗽O(shè)備和用戶定義符合DHS無(wú)線安全策略，(c)檢測(cè)和阻斷可疑的或未經(jīng)授權(quán)的活動(dòng)或無(wú)線電干擾的來(lái)源。無(wú)線入侵檢測(cè)系統(tǒng)(WIDS)/入侵預(yù)防系統(tǒng)(IPS)可以檢測(cè)網(wǎng)絡(luò)異常并監(jiān)視無(wú)線基礎(chǔ)設(shè)施。異?？赡馨ǖ幌抻诟蓴_源、異常高或低使用率、多次登錄嘗試、攻擊簽名、非小時(shí)登錄以及其他可疑的系統(tǒng)基線的差異。

內(nèi)容過(guò)濾

內(nèi)容過(guò)濾是監(jiān)控電子郵件和網(wǎng)頁(yè)等通信的過(guò)程，對(duì)可疑內(nèi)容進(jìn)行分析，并防止向用戶發(fā)送可疑內(nèi)容。專用的服務(wù)器可以用來(lái)執(zhí)行內(nèi)容過(guò)濾任務(wù)。有線網(wǎng)絡(luò)內(nèi)部的無(wú)線系統(tǒng)，對(duì)已經(jīng)應(yīng)用到有線網(wǎng)絡(luò)的內(nèi)容過(guò)濾并沒(méi)有特定的要求。外部無(wú)線系統(tǒng)的內(nèi)容過(guò)濾，如訪客WLAN可能不同于組織內(nèi)部網(wǎng)絡(luò)應(yīng)用。這個(gè)網(wǎng)絡(luò)的流量不受?chē)?guó)家網(wǎng)絡(luò)保護(hù)系統(tǒng)(NCPS)的檢查，也被稱為“愛(ài)因斯坦”。因此，組織應(yīng)該為這個(gè)網(wǎng)絡(luò)擬定隔離的安全控制措施，例如允許通過(guò)HTTP、安全HTTP(HTTPS)和域名服務(wù)(DNS)訪問(wèn)的普通客戶端連接，只訪問(wèn)有限的Internet站點(diǎn)。

此外，還可以利用現(xiàn)有的可信Internet連接(TIC)功能來(lái)保護(hù)和監(jiān)視這些外部無(wú)線系統(tǒng)。所有的內(nèi)容過(guò)濾產(chǎn)品必須保持最新，以確保它們的檢測(cè)盡可能準(zhǔn)確。內(nèi)容過(guò)濾包的另一個(gè)關(guān)鍵特性是對(duì)可疑活動(dòng)的入站和出站數(shù)據(jù)進(jìn)行掃描，并采取相應(yīng)的預(yù)防措施。

總結(jié)

技術(shù)往往都是一把雙刃劍，無(wú)線技術(shù)也不例外。針對(duì)敏感無(wú)線系統(tǒng)易出現(xiàn)的安全問(wèn)題，美國(guó)國(guó)土安全局的《敏感系統(tǒng)手冊(cè)》從具體的攻擊手段出發(fā)，在各個(gè)方面都給出了指導(dǎo)性的防護(hù)意見(jiàn)，為敏感系統(tǒng)中的無(wú)線技術(shù)的安全使用點(diǎn)亮了明燈。

【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文