作为美国国防部信息安全保障的一部分.doc

作为美国国防部信息安全保障的一部分，美国国防信息系统局（the Defense Information Systems Agency，DISA）已经公布了一系列的安全技术实施指南（Security Technical Implementation Guides，STIGs），确保国防部无数的系统处于安全配置状态。国防信息系统局公布的安全技术实施指南覆盖操作系统、网络设施（如路由器和防火墙）、数据库以及企业和桌面应用程序。为了反映不断变化的信息保障需求，安全技术实施指南将会不断加以更新。对于许多防务机构来说，要跟得上安全技术实施指南的发展步伐、遵守它的相关规定是一项挑战。为了应对这一难题，一些公司现在提供自动化的检查工具，帮助各单位安全地配置所属系统。根据国防部指令8500.1的权威发布该指令要求“所有纳入国防部信息系统的信息安全保障产品应该根据国防部批准的安全配置指南进行设置”美国国防信息系统局颁发的安全技术实施指南在整个国防部具有强制性，并且已经为许多联邦机构所接受，该指南同样引发了私营部门的关注。国防信息系统局安全技术实施指南为国防和工业计算设备及应用程序建立起一条安全底线。eIQnetworks公司（提供网络态势感知相关产品及服务）副总裁兼首席安全与合规官约翰林克斯说：“机构需要某种类型的说明指导，安全技术实施指南是一种好的方法。在此指南中，大多数高水平的建议不是指令性的。联邦信息安全管理法案（The Federal Information Security Management Act）要求各机构对系统加强防护，抵御威胁，但是它并没有具体说明对于Windows 2000操作系统、数据库、思科防火墙及其他系统、应用程序和组件应该采取什么样的措施。”Tripwire公司（该公司为用户提供配置管理服务）规范检查与安全架构师亚当蒙特维尔说：“安全技术实施指南包含了我所说的一些好的实践，但并不是最好的做法，最好的做法取决于企业具体的解决方案以及它所面临的威胁。国防信息系统局发布的安全技术实施指南只能作为一种最低层次防御威胁的指导。”如果评估操作系统、数据库、网络服务器和应用程序的过程只采用人工方式，这一过程将变得尤为笨拙。据主要提供信息安全管理服务的Excentium公司首席技术官安迪克雷斯介绍，当今世界，自动化的工具已经变得非常重要，但在一次完整的安全评估中人工方法仍很必要。克雷斯说：“80%的程序能够而且应该自动化完成，不过，剩下的20%仍需人工验证。无论自动化程度有多高，漏洞识别需要进行很多不同类型的测试，这必须仍由人工完成。”从人工到自动化在今天的市场上，有许多自动化的工具可以实现传统上由人工审核的程序，以便验证这些程序是否符合各种安全技术实施指南。许多供应商专注于安全技术实施指南所涵盖的专业领域，如基础设施、数据库、应用程序和设备。至少有一家供应商提供有关信息系统的指挥与控制中心产品和服务，使安全人员可以从宏观角度出发，检查系统遵守安全技术实施指南的情况。随着安全技术实施指南越来越多地采用标准化协议描述安全方面的要求，安全工具的研发与应用也变得越来越自动化。“当工程师依照安全标准，检验网络设备是否已经进行了合理配置时，他必须人工登录这套设备，检查配置选项，证实这些配置是否符合安全技术实施指南的要求，” Refense技术公司首席执行官汤姆帕姆皮利诺解释说。该公司是一家供应商，为用户提供有关系统漏洞及符合法律规范的解决方案。“这种人工流程在每件设备上可能要花费45分钟到2个小时的时间，必须由具备一定网络资质并拥有某些资格证书的非常熟练的工程师完成，以便验证设备的配置情况。这不仅是一项劳动密集型的工作，而且很难实现较高的精确度，因为实施检查的人员与最初对设备进行调试的人员是同一批人。我们告诉客户，如采用人工方法，每件设备平均需要花费60分钟检查配置情况，还需要再花费30分钟时间调整配置。自动化的工具可以把这一流程从几小时缩短到几分钟。”蒙特维尔说：“国防部有数十万台主机，你还必须考虑操作系统、应用层和网络设备的情况。如果不能采取一种自动化的方法检查系统遵守安全技术实施指南的状况，你甚至不知道如何下手，更不用说顺利完成这一工作了。依靠人工方法，你永远都不可能跟上安全技术实施指南发展的步伐。不采用自动化的流程，你只能对系统配置的安全状况放任自流，得过且过。”网络基础设施安全技术实施指南旨在帮助用户满足网络安全运行必需的最低要求、标准、控制和选项设置。该文件为飞地边界（enclave perimeter）、防火墙、路由器、设备管理、身份验证与授权以及账户、密码、网络入侵检测、交换机和虚拟局域网提出了最低的安全要求。Tripwire公司的网络基础设施产品通过在每件设备上安装软件代理进行工作，而非依靠交换机和路由器。蒙特维尔说：“该软件确保用户系统满足安全技术实施指南的要求，如确保密码符合规定的长度，当3次输入错误的密码后，用户账号会被锁定。”首次运行Tripwire会生成一份有关系统变化的报告。它根据相关的国防信息系统局安全技术实施指南检查列表对设备的配置实施检查，然后生成一份检查报告，说明该设备是否符合安全技术实施指南，或者有哪些地方需要进一步改进。Tripwire还提供了涵盖操作系统、符合安全技术实施指南的工具。蒙特维尔说：“你可以选择执行任务的频率，例如，你可以设置数据中心节点，每天晚上10时对其实施检查。配置变化信息将被发送到收件箱中，这样第二天早上你就能看到它们。”用户还可以选择对不符合规定的配置进行修复。蒙特维尔说：“它是一种自动化的工具，但不是自主执行的，为了职责分离，有一个与修复相关的工作流程。可能会由一名合规官确定哪些配置需要修复，并决定哪些人有权执行这项工作。然后系统会允许那些有权这样做的人下达指令，使系统继续运行，并对那些不符合规定的配置进行修复。”Refense公司漏洞管理解决方案（vulnerability management solution，VMS)根据安全技术实施指南中的安全政策详细对比网络设备的设置，隔离错误配置和已知的漏洞，帮助用户遵守国防信息系统局网络基础设施安全技术实施指南。帕姆皮利诺说：“Refense漏洞管理解决方案依靠一名信息安全保障人员模拟要执行的任务，这套解决方案包括一定水平的智能程序，基本上类似于人类的审计员。这套程序对于每套设备只需花费几秒钟时间，而不是人工解决时所需的12小时。”例如，Refense会对照安全技术实施指南几十项要求中的每一条检查路由器是否符合相关规定。“国防信息系统局安全技术实施指南要求实施复杂的检查，如果依靠人工来完成，需要很长的时间，还会造成较高的错误率，”帕姆皮利诺说。有关这一问题的另一种观点来自于SolarWinds公司，这是一家信息技术管理解决方案供应商，于1999年成立，也就是1998年美国国防信息系统局现场安全（Field Security Operations，FSO）分部首次发布一系列安全技术实施指南后不久。SolarWinds公司产品营销副总裁桑杰卡斯特利诺介绍：“要确保网络设备遵守相关规定，知道你的网络设备什么时候发生了变化，由谁造成这种变化，都改变了哪些设置。我们的网络配置管理程序（Network Configuration Manager，NCM）是一种软件解决方案，很容易确保网络设备配置符合联邦信息安全管理法案、美国国家标准技术研究所和安全技术实施指南的要求。”“网络配置管理程序自动使程序符合有关检查、报告和修复的政策规定。依靠网络配置管理程序，管理员可以自动设置备份、实施大量变化更新、接收实时的变化提示并且对配置进行对比，因而使遵守规定的过程不那么复杂、更加简单。”卡斯特利诺说。路由器要求路由器安全技术实施指南规范要求路由器的管理员限制预置路由器这种路由器与上游网络供应商连接接收任何包含源字段的入站数据包，无论是非法的BOGON或者是“火星”IP地址（指路由器列表中不应该出现的IP地址或还未分配的IP地址，译者注）。帕姆皮利诺解释说：“这些BOGON和火星IP地址列表一般会保留下来用于跟踪未分配或者储备的IP地址空间，路由器管理员必须检查这一列表，把IP地址空间与预置路由器上的访问控制列表进行比对，确保访问控制列表与当前的列表相互匹配。”另一项对路由器的要求针对信息安全保障官，他必须确保系统排除任何记录端口、协议或服务的企图。帕姆皮利诺说：“这就需要信息安全保障官或网络管理员检查访问控制列表中的每一项设置，确保有记录功能的应用程序都得到了授权，如果在设备的访问控制列表中有上百项或者甚至是上千项条目，那么完成这样一项工作就要花费一些时间。”此外，Refense公司还能分析防火墙设置规则，确保可以设置一些特殊的规则阻止某些IP地址访问国防部的计算机和系统。帕姆皮利诺说：“在安全技术实施指南中有多条内容要求网络管理员限制在网络上存在RFC 1918 IP地址（这些地址空间已经指定用于私人用途），需要有一名工程式师检查所有的防火墙规则和访问控制列表，确保存在明确拒绝这些IP地址访问网络和其他计算机设备的语句。”除了这些符合安全技术实施指南要求的活动，Refense还可以扫描网络，寻找新公布的漏洞。帕姆皮利诺说：“Refense不仅能比人工更加迅速地完成检查工作，而且还具备更高的准确度。一些大型机构，如美国各军兵种部，已经部署了数万套网络设备，依靠人工方法在这些设备中找到业已存在的漏洞并查明其位置无异于大海捞针。”EIQnetworks公司提供了一种产品，称之为“SecureVue”，它被描述为一种通用的态势感知平台。林克斯说：“依靠此产品，这些机构可以实现完全符合国防信息系统局安全技术实施指南要求，不必纠缠于安全技术实施指南错综复杂的细节和广泛的适用性，SecureVue降低了遵守国防信息系统局安全技术实施指南的成本，同时，通过提供自动化的验证程序，使用户做到遵守各安全技术实施指南个别章节和标准的要求，提高了用户系统的合格率，并最大限度地降低对于人员的影响。”据林克斯介绍，SecureVue已经证明可以减少某些联邦机构负责检查所属网络与系统是否遵守安全技术实施指南要求的人员数量，并可以降低多达90%的管理成本。参照林克斯的说法，从历史上来看，各机构之所以难于全面遵守国防信息系统局的安全技术实施指南，主要是由于安全技术实施指南有繁琐的细节和广泛的适用性。“SecureVue提供了一种全面、一体化的解决方案，使各类设备、主机和应用程序遵守国防信息系统局安全技术实施指南的要求”他说。该解决方案不包括代理方法，这意味着“不会在检查系统是否遵守安全技术实施指南的情况时植入程序或代码。它只是系统中起管理作用的一小段代码。另外，保密网络通常不允许安装第三方代理代码。”SecureVue提供了主机和设备库，以及常见的应用程序和数据库平台，方便实施安全技术实施指南检查。林克斯说：“根据各支持性安全技术实施指南中的控制性条款，这套产品提供端到端、全面的安全技术实施指南检查，它还提供了一套通用运行图，使所有适宜的人员都可以察看系统遵守规定的程度与系统修复的情况。”SecureVue还方便了对系统遵守规定的情况进行持续监控，这是由美国国家标准技术研究所（the National Institute of Standards and Technology，NIST）所倡导的一项原则，这项原则正在越来越多地被视为信息系统安全的一种最佳做法。根据美国国家标准技术研究所2011年9月发布的特别出版物800-137的规定：“信息安全持续监控（Information security continuous monitoring，ISCM）被定义为对信息安全、漏洞和威胁保持不间断的感知，为机构的风险管理决策提供支持。”信息安全持续监控的重要目标是要“确定信息系统采用的一整套安全控制措施随着时间的推移，在不可避免会发生变化时是否能够继续有效。”林克斯说：“SecureVue可以把系统作为一个整体提供一份报告，它把应用程序、数据库和用户层等与系统相关的信息关联起来，并且能够在系统不再遵守相关规定的时候发出通知。然后它会报告是谁在什么时候、在什么样的背景下造成了这种变化，是否属于有意为之。”林克斯声称过去许多用于监控系统遵守规定情况的其他产品非常笨拙，而且有许多产品设计粗糙，不能就系统遵守规定情况为用户提供一种较为全面的直观图像。林克斯说：“SecureVue能够向高级别的管理层提供有关系统遵守规定情况的信息，如把信息提交给参谋长联席会议或个别军种的首长，举个例子，一份报告可能说明在上个月，在路由器中已经有20%的配置选项发生了变化，或者有一定数量的防火墙规则做出了不适当的更改。这可能是一种入侵迹象。看待这份报告不能仅从设备层出发，而切实需要从一种很高的层面来看待这个问题，然后确定系统是否存在问题。”据林克斯介绍，作为一个实际问题，SecureVue由某个机构或基地级的单位购买，但它能够进行扩展，这是大型企业所必需的。EIQnetworks公司已经在陆军和海军以及情报界和民事机构中拥有了一些SecureVue产品的客户。SecureVue主要的客户之一是惠普公司，该公司目前运行着大规模的海军与陆战队内联网（NMCI）。“国防信息系统局安全技术实施指南是一项各联邦机构网络都要遵守的规定。就海军与陆战队内联网来说，这是惠普公司为其网络安全性提供支持首要的一个工作重点。安全技术实施指南相关规定不仅使我们用户的网络更加安全，而且确保重要的联邦目标，如联邦信息安全管理法案和国防部信息安全保障认证和鉴定流程（DIACAP），得以达成。”惠普数码与维护运营总监汤姆林奇指出。持续监控克雷斯认同在加强系统安全方面持续监控是一种新兴的主要趋势。“它将成为安全技术实施指南的一项要求，”他说，“对于一些系统如网络来说，它已经成为一项要求。”这种进展的含义是一些机构会需要具备一定水准的专家在机构内监测并管理更新。克雷斯说：“他们必须确保自己的扫描策略得到了更新，并且符合要求当一种新的威胁出现时，监控系统将做出比以往更为积极的反应。”由于新情况的出现，促使安全技术实施指南工具以及它们所代表的安全水平迅速更新，这就是国防信息系统局正在以一种标准化的方式对外发布基准检查程序。蒙特维尔说：“安全技术实施指南规范正在越来越多地以安全内容自动化协议（the Security Content Automation Protocol，SCAP）的方式对外公布，自动化的工具能够理解这一标准。我们正处在一个重要的节点上，即对配置进行的评估能够以一种互动的方式真正实现自动化，而不是仅仅停留在一个接一个供应商自身能力的基础上。”在安全内容自动化协议出台之前，人们已经对安全技术实施指南基准的变化做出了解释，并将其纳入了自动化的工具当中。蒙特维尔说：“我们有这么多聪明的信息技术人才从事于寻常问题的解决，他们必须理解可读文档，创造出机器可以识别的程序。不过，我们还是建议增加或取消一次测试，或改变一次测试的预期值，使得我们的自动化工具在生产过程中必须由人工加以干预，然后再提供给客户。而安全技术实施指南以符合安全内容自动化协议的方式对外公布，则会使原有工具自动发生改变，生成合乎规定的工具。”“我们是说，让我们都使用那种协议，这样基准检查程序就会以这种形式对外公布，”蒙特维尔继续说，“供应商提供的工具就能理解这些基准检查程序而无需人工翻译。这将降低成本，并且能使升级的工具更加迅速地发展与部署。”7日，韩国总统外交安全首席秘书官千英宇在青瓦台春秋馆举行新闻发布会，发表了新导弹政策宣言（新导弹指针）。根据新导弹政策宣言，韩国弹道导弹最大射程将从目前的300公里延长至800公里，续航距离300公里以上的无人机(UAV)搭载重量从500公斤增加为2.5吨。千英宇指出，此次修订韩美导弹指针最重要的目的在于遏制朝鲜的武力挑衅。今后，韩国将在增强弹道导弹打击能力的同时,不断提升对朝监视侦察能力及导弹防御能力，以有效应对朝鲜的导弹威胁。韩国防部在新闻发布会上表示，今后，韩军将基于新导弹指针,加强导弹打击能力建设。为了能够迅速提高韩军的导弹精确打击能力，韩军将构建可有效实施探测识别决策打击的杀伤链（Kill Chain）。与此同时，韩军还将加快发展韩国型导弹防御系统(KAMD)。不难看出，新导弹指针，为韩国具备有效应对朝鲜挑衅威胁的遏制手段奠定了坚实的基础。从这一点看，新导弹指针意义重大。1、可使用弹头重量1吨的导弹对朝鲜实施打击根据新导弹指针，韩国弹道导弹最大射程将延长至800公里,这意味着即便从韩国南部地区发射导弹，也能够对咸境北道等整个朝鲜地区实施打击。在此基础上，新导弹指针还包括“权衡(trade-off)原则”。 “权衡(trade-off)原则”的内容为，如果将导弹射程减少至550公里，那么可将弹头重量增加至1吨。韩国防部对此表示,韩国的中部地区已经完全在朝鲜战术导弹的射程范围之外。如果从韩国中部地区发射导弹，那么射程550公里的导弹就可以将朝鲜全境纳入打击范围之内。也就是说，今后，韩国可以使用弹头重量1吨的导弹对朝鲜全境实施打击。单纯从军事角度来讲，导弹指针修订意味着解除了对韩国的弹头重量的限制。2、可增强远程精确打击能力韩国防部表示，新导弹指针意味着今后韩军可以对朝鲜的导弹、大规模杀伤性武器等实施远程精确打击。韩国的导弹精确制导能力远远领先于朝鲜，依据新导弹指针，导弹射程和弹头重量增加后，韩军将可以有效应对朝鲜的各类挑衅威胁。韩国防部官员表示，韩国能够延长导弹射程，将使韩军具备彻底摧毁朝鲜导弹、大规模杀伤性武器的能力。如果韩国在此基础上，提出进一步的要求，那么很容易被周边国家误读、误解。3、可拥有弹头再进入技术新导弹指针将最大射程延长至800公里，这使韩军面临一个新的问题。即当导弹射程超过600公里时，需要掌握弹头再进入技术(Re-Entry)，这种技术在导弹离开大气层后，再次进入大气层时使用。一旦掌握弹头再进入技术，不但具有军事意义，更具有象征性意义。4、可以避开无人机的研究、引进及使用限制战场上，无人机发挥的作用日益凸显。新导弹指针将可重复使用的无人机(UAV)搭载重量从500公斤增加为2.5吨，这对韩军而言意义重大。无人机搭载重量2.5吨，意味着已超出了全世界最先进的远程无人侦察机“全球鹰”级的水平。也就说是，在相当长的时间里，韩军在研究、引进、使用无人机时，将不会碰到什么障碍和限制。韩国防部官员称，这一标准适用于侦察型无人机和攻击型无人机。今后，韩军不但可以拥有高尖端侦察型无人机,还可以拥有能够执行攻击任务的多用途无人机。5、加快研发远程弹道导弹新导弹指针公布后,人们普遍关心韩军究竟何时能够拥有相应的弹道导弹战力。对此，韩国防部官员表示，在过去的导弹指针中，对于导弹开发并无具体限制。远程导弹的研发工作一直在进行，所以韩军成功研发出新型弹道导弹的时间一定不会太长。从这句话中透露出，韩军的射程550公里至800公里的弹道导弹研发工作已取得了相当进展，因此成功开发到批量生产不会遇到什么大的问题。当记者们问及，此次导弹指针修订，是否意味着韩国将被纳入美国的导弹防御系统（MD）时，韩国防部予以否认称，韩国只是在推进韩国型导弹防御系统（KAMD）建设，绝对不是为了加入美国的导弹防御系统。另外，韩国防部官员对此还表示，加入美国的导弹防御系统，对于韩国而言，根本没有那个必要。若要在韩半岛上空拦截朝鲜发射的洲际导弹，只有追踪导弹尾部才有可能,但是从技术角度来讲，非常困难，同时需要投入的费用也会相当巨大，因此韩国认为是根本不现实的。