如何實現敏感無線系統安全?
2014年8月,美國國土安全部(以下簡稱“DHS”)首席信息安全官辦公室發布了DHS4300A-Q1(敏感系統手冊)文件。文件僅針對敏感無線系統的安全問題,不涉及機密無線系統的使用。DHS敏感系統政策指令(PD)4300A要求,無線通信技術和應用程序必須是經授權官員(AO)特別批準的,否則在DHS中禁止使用。(NIST的出版物(SP)800-37,授權官員取代了指定的認證機構(DAA))。授權官員還必須批準在認證和認證(C&A)過程中特定風險級別的無線系統的實現和使用,并確保在安全計劃中包含適當、有效的安全措施。
圖1DHS4300A敏感系統手冊
文件中覆蓋的無線網絡包括無線局域網絡(WLAN)、無線寬區域網絡(WWAN)、無線個人區域網絡(WPAN)、對等無線網絡(即特別的無線網絡),以及利用商業無線服務的無線基礎設施。無線系統包括傳輸介質、固定集成設備、設備固件、支持服務和通信協議。DHS4300A建立了該部門的無線系統政策和所有無線通信技術的通用指南。需要指出的是,智能手機等無線設備的安全政策和指導方針將在一個獨立的文檔中提出,起因于該領域的復雜性和技術的快速發展。
對于所有的無線系統,DHS4300A-Q1提出了如下幾項安全措施:
基于風險的方法
無線系統安全的一種基于風險的方法是一種系統工程方法,用于識別、評估和優先考慮與無線系統相關的風險,并確定這些風險的可能性和潛在影響。然后,采取緩和策略和資源來抵御最嚴重的威脅,防止過度風險的發生。例如,在DHS內部網絡中,有時會出現未經授權的訪問點或設備,它們對國土安全部DHS的信息安全構成巨大威脅。因為內部網絡被認為是受信任的,并且在防御范圍內。針對這種威脅的一個緩解策略是部署有效的檢測和預防工具來識別這些威脅,并在檢測到時阻止它們的訪問。
一種基于風險的方法可用于降低與無線系統相關的風險。在最高級別,可以使用兩種安全分類來幫助識別和評估與給定的無線系統相關的風險,包含人員、信息資源、數據系統和網絡,它們都服從于共享的安全策略(一組管理訪問數據和服務的規則)。DHS建立認證邊界并可以直接控制所需的安全控制或對安全控制有效性的評估,認證邊界內的視為受信任的無線系統,而超出認證邊界的則視為不受信任的無線系統。例如,商業或官方無線網絡應該被認為是不可信的,因為它們不在DHS的控制范圍之外。DHS內部的無線網絡被認為是值得信賴的,因為其可以對這些網絡應用嚴格的安全政策和控制。通過考慮無線系統的獨特開放特性和無線技術的快速發展,可以從技術、過程和人員的角度來確定風險。下一節將詳細描述各種無線系統的威脅和相應的對策。
無線系統威脅和對策
由于無線技術的開放性,無線系統有其固有的弱點,因而安全威脅是普遍存在的。無線通信容易受到干擾、竊聽、射頻干擾,以及有線網絡的典型威脅。
表1無線系統的威脅
無線系統安全措施包括處理數據保密性和完整性、身份驗證和訪問控制、入侵檢測和預防、日志記錄和監視,以及系統可用性和性能。無線系統安全的目標可以更好地實現,通過遵循聯邦授權的標準和行業的信息安全最佳實踐來減輕威脅。
表2OSI安全注意事項
認證
身份驗證方法包括IEEE802.1X基于門戶的網絡訪問控制、可擴展身份驗證協議(EAP)-傳輸層安全性(EAP-TLS)認證,以及利用企業遠程(RADIUS)服務器為用戶設備和系統提供相互身份驗證,同時提供動態密鑰管理。應該注意的是,EAP-TLS需要現有的公共密鑰基礎設施(PKI)。如果不能使用完全的PKI,則可以使用其他身份驗證協議,比如保護性可擴展身份驗證協議(EAP-PEAP)。數字證書可以從第三方認證機構購買,或者從組織的內部證書頒發機構頒發。額外的網絡控制訪問,例如雙因素身份驗證,需要對用戶和設備進行身份驗證,以確保它們不會引入安全漏洞和風險。
保密
DHSPD4300A要求:組件只使用聯邦信息處理標準(FIPS)197(高級加密標準AES-256)的加密模塊,并在符合其預期用途的級別上收到FIPS140-2驗證。
誠信
無線通信的完整性是確保數據在傳輸或休息時沒有被修改的必要條件,它還可以防止其他威脅,比如攻擊。如果有一種機制允許對消息完整性進行加密驗證,那么系統節點必須丟棄所有無法驗證的消息。
管理控制
無線系統必須能夠支持遠程設備管理、建立或更改配置以符合安全策略,以及支持軟件和固件的更新。無線系統必須能夠通過管理接口和工具來管理無線基礎設施,這些工具是整個管理基礎設施的一部分。管理控制的網絡部分應該集成到有線網絡中,并且應該從數據網絡中分離出來,以確保管理的有效性健安全保護不能降低或妨礙法律保護的關鍵服務或可用性特性,或已發布的政策(例如,符合美國復興法第508條)。
集中的無線管理結構提供了一種更有效的方式來管理無線基礎設施和信息安全程序。一個集中的結構還可以促進標準化指導的開發和實現,這使得組織能夠一致地應用信息安全策略。無線設備和/或軟件不能降低或繞過已建立的系統安全控制,任何系統修改都需要適當的安全性審查,并遵循變更管理策略和過程。此外,配置管理和安全基線配置應該在組織的系統安全計劃中得到解決。
物理安全
對可疑行為的常規檢查和監視將減少未經授權的設備操作和盜竊的可能性。由于無線系統容易受到遠程竊聽的影響,所以警衛和用戶應該向適當的安全人員報告在設施內或周圍的可疑人員或活動。
國家信息擔保合作伙伴關系共同標準安全驗證
國家信息保障伙伴關系(NIAP)是美國政府的一項行動,旨在解決IT消費者和生產者對IT系統和產品的安全測試需求。NIAP是NIST和NSA的合作,在IT產品和網絡中增加了信任級別。通用標準定義了一組經過驗證的IT需求,可以用于為產品和系統建立安全需求。通用標準還定義了保護概要文件(PP),或者基于特定安全需求的標準化集。PP可以用于無線安全架構內的產品。此外,還可開發安全目標(ST)來度量安全威脅、目標需求和安全功能的摘要規范。
日志
日志作為無線網絡監視和管理功能的一部分,用以確保無線網絡的持續監控。它們提供了一種可跟蹤的機制來記錄網絡活動并發現網絡入侵。應該通過同步所有設備上的時間時鐘,遠程記錄無線活動和事件,以及對日志執行嚴格的訪問控制,以保護日志的完整性。
配置控制
為無線網絡和設備建立配置需求和安全的基線配置可以幫助確保它們按照DHS的安全策略部署在安全的方式中。通常,無線系統最初配置的是默認的供應商設置,這是常識。這些設置可以包括:網絡信息,如默認通道或調制規范;安全信息,如網絡名稱、加密方法、傳遞短語或密鑰;系統管理信息,如管理用戶名、密碼、管理端口號和運行的缺省應用程序服務。
軟件和固件更新
NIST的國家脆弱性數據庫(NVD)是一個綜合的網絡安全漏洞數據庫,它整合了所有公共可用的美國政府弱點資源,并提供了對行業資源的參考。如果可能的話,更新的固件應該在非生產環境中進行測試,以在產品發布之前驗證功能。DHS敏感系統政策指令4300A和DHS敏感系統手冊提供了系統審計政策和指導。
無線監控
無線監控功能包括工具和方法:(a)進行現場調查和設置適當的天線位置以減少信號泄漏,(b)檢測錯誤配置的客戶端和使用政策驅動的軟件或硬件解決方案,確保客戶端設備和用戶定義符合DHS無線安全策略,(c)檢測和阻斷可疑的或未經授權的活動或無線電干擾的來源。無線入侵檢測系統(WIDS)/入侵預防系統(IPS)可以檢測網絡異常并監視無線基礎設施。異常可能包括但不限于干擾源、異常高或低使用率、多次登錄嘗試、攻擊簽名、非小時登錄以及其他可疑的系統基線的差異。
內容過濾
內容過濾是監控電子郵件和網頁等通信的過程,對可疑內容進行分析,并防止向用戶發送可疑內容。專用的服務器可以用來執行內容過濾任務。有線網絡內部的無線系統,對已經應用到有線網絡的內容過濾并沒有特定的要求。外部無線系統的內容過濾,如訪客WLAN可能不同于組織內部網絡應用。這個網絡的流量不受國家網絡保護系統(NCPS)的檢查,也被稱為“愛因斯坦”。因此,組織應該為這個網絡擬定隔離的安全控制措施,例如允許通過HTTP、安全HTTP(HTTPS)和域名服務(DNS)訪問的普通客戶端連接,只訪問有限的Internet站點。
此外,還可以利用現有的可信Internet連接(TIC)功能來保護和監視這些外部無線系統。所有的內容過濾產品必須保持最新,以確保它們的檢測盡可能準確。內容過濾包的另一個關鍵特性是對可疑活動的入站和出站數據進行掃描,并采取相應的預防措施。
總結
技術往往都是一把雙刃劍,無線技術也不例外。針對敏感無線系統易出現的安全問題,美國國土安全局的《敏感系統手冊》從具體的攻擊手段出發,在各個方面都給出了指導性的防護意見,為敏感系統中的無線技術的安全使用點亮了明燈。
【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件,轉載請聯系原作者】
